İdarenin bilişim sistemi ile ilgili yapılan çalışmalar sonucunda;

1. Bilişim sistemlerinden kaynaklanabilecek riskler değerlendirildiği fakat risk kütüğünün tutulmadığı,
2. İç denetim biriminin bilişim sistemlerini denetlemesine ilişkin bir düzenlemenin olmadığı,
3. İdarenin sistemlerinin düzenli aralıklarla iş hedeflerine uygun bir şekilde çalışmasını temin eden bir kontrol sürecine sahip olmadığı,
4. Pozisyonlar için eğitim/formasyon yönünden hangi kriterlerin aranacağı (işi yürütmek için gerekli beceriler) doğru bir şekilde tespit edilmediği ve iş tariflerinin yer almadığı,
5. Kurum bilişim sitemine ait verileri yedekleme yapılmakta ama bu konuda yazılı bir stratejinin olmadığı,
6. Kurumun Bilişim Sistemi teçhizatı, yazılım ve verilerin fiziksel güvenliği için yazılı politika ve prosedürlerin yer almadığı,
7. Hizmet içi eğitimin yetersiz olduğu,
8. Bilişim sisteminin yapısı ile bütün iş ve işlemlere ilişkin yazılı belgeleme ve belge tutma politikalarının olmadığı,
9. Üçüncü kişilerden bilişim sistemleri ile ilgili hizmet alımlarına ilişkin bir düzenleme yapılmadığı,
10. Yazılım geliştirme ve değişim yönetimine ilişkin projelerin üst yönetim tarafından onaylanmadığı,
11. Sistemin başarısız şifre giriş denemelerini sınırlandırmadığı,
12. Sisteme yetkisiz giriş denemeleri kullanıcı kütüklerine kaydedilip periyodik olarak gözden geçirilmediği fakat log kayıtlarının tutulduğu,
13. Dışarıdan sisteme giriş denemeleri yönetime raporlanmadığı,
14. Sistem aynı şifre ile aynı anda birden fazla giriş yapılmasına izin verildiği, Tespit edilmiştir.

    Kamu idaresi cevabında; “Bulguya konu edilen 14 maddede belirtilen husus ile ilgili iç kontrol eylem planı güncellenerek aksiyonlar iç kontrol birimince planlanacak ve yerine getirilecektir. İç Kontrol Yönetmeliği ve Risk Yönergesi hazırlanması hususlarında çalışmalar yapılmaya başlanmıştır. Söz konusu hususlar ile ilgili politika, prosedür ve kurallar belirlenerek gerekli önlemler alınacaktır.

    • İdarenin sistemlerinin düzenli aralıklarla iş hedeflerine uygun bir şekilde çalışmasını temin eden bir kontrol süreci mevcuttur, hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Pozisyonlar için eğitim/formasyon yönünden hangi kriterlerin aranacağı (işi yürütmek için gerekli beceriler) doğru bir şekilde tespit edilmiş ve iş tariflerinde yer almadığı hususuyla ilgili gerekli çalışma İnsan Kaynakları ve Eğitim Müdürlüğünce yapılmaktadır, hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Kurum bilişim sistemine ait verileri yedekleme yapılmakta ama bu konuda yazılı bir stratejinin olmadığı hususuyla ilgili yazılı bir stratejimiz mevcut olup; hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Kurumun Bilişim Sistemi teçhizatı, yazılım ve verilerin fiziksel güvenliği için yazılı politika ve prosedürlerin yer almadığı hususuyla ilgili yazılı politika/prosedürler mevcut olup; hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Hizmet içi eğitimin yetersiz olduğu hususuyla ilgili gerekli çalışma İnsan Kaynakları ve Eğitim Müdürlüğünce yapılmaktadır, hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Bilişim Sisteminin yapısı ile bütün iş ve işlemlere ilişkin yazılı belgeleme ve belge tutma politikalarının olmadığı hususuyla ilgili belge tutma politikaları mevcut olup; hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Üçüncü kişilerden bilişim sistemleri ile ilgili hizmet alımlarına ilişkin bir düzenleme yapılmadığı hususuyla ilgili düzenleme mevcut olup; hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Yazılım geliştirme ve değişim yönetimine ilişkin projelerin üst yönetim tarafından onaylanmadığı hususuyla ilgili “İhale Onayı, İdari karar/düzenlemeler veya yeni yapılanmalar” gerektiren projeler, üst yönetimin izleyip onaylayacağı süreçlere yönlenmektedir. Ayrıca, hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Sistemin başarısız şifre giriş denemelerini sınırlandırmadığı hususuyla ilgili gerekli çalışma yapılacak olup; hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir,
    • Sisteme yetkisiz giriş denemeleri kullanıcı kütüklerine kaydedilip periyodik olarak gözden geçirilmediği fakat log kayıtlarının tutulduğu hususuyla ilgili gerekli çalışma yapılacak olup; hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir.
    • Dışarıdan sisteme giriş denemeleri yönetime raporlanmadığı hususuyla ilgili Olağanüstü girişimler/veri tehditleri” olarak rapor edilmektedir. Ayrıca bu konuda hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir.

Sistem aynı şifre ile aynı anda birden fazla giriş yapılmasına izin verildiği hususuyla ilgili Gerekli çalışma yapılacak olup; hazırlanması çalışmalarına başlandığı belirtilen “İç Kontrol Yönetmeliği ve Risk Yönergesi” kapsamına dâhil edilecektir.” denmiştir.

Sonuç olarak kamu idaresi cevabında bilişim sistemleri konusunda yapılan tespitlere katılmış olup gerekli çalışmaların başlatıldığını belirtmiş olmakla birlikte bulgu konusu tespitin devam edip etmediği takip eden denetimlerde izlenecektir.