Karar Künyesi
Kurum üst yönetimiyle bilişim sistemlerini yöneten birim arasındaki ilişkinin, orta ve uzun vadeli stratejiler ve planlar çerçevesinde yürütülmesinde, gözetim ve denetiminin yapılmasında yetersizlik olduğu gözlemlenmiştir
5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu'nun, 55'inci maddesinde iç kontrol şu şekilde tanımlanmıştır:
“İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür…"
İç kontrol özetle, idarenin sağlıklı çalışmasını etkileme ihtimali olan risklerin tanımlanması ve bu riskleri ortadan kaldıracak eylem ve süreçlerin oluşturulmasıdır. Kurumların faaliyetlerinin büyük ölçüde bilişim sistemleri desteğiyle yürütülmesi sebebiyle günümüzde iç kontrollerin önemli bir kısmının bilişim ortamında oluşturulması gerekmektedir. Nitekim Maliye Bakanlığı tarafından 5018 sayılı Kanuna dayanılarak 2007 yılında yayınlanan Kamu İç Kontrol Standartları Tebliği'nde bu husus standarda bağlanmıştır. Tebliğde yer alan
12 numaralı "Bilgi sistemleri kontrolleri" standardında, idarelerin, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmalarını geliştirmeleri gerektiği vurgulanmış ve “İdareler bilişim yönetişimini sağlayacak mekanizmalar geliştirmelidir” denilmiştir.
Bilişim sistemleri kontrolleri arasında yer alan yönetişim kontrollerinin amacı, güvenli ve yeterli bir bilişim ortamının sağlanması için kurumsal strateji ve amaçlara uygun yönetim, karar alma, yönlendirme ve izleme mekanizmalarının oluşturulmasını sağlamaktır. Bu kontroller kuruma, alt düzeydeki ayrıntılı kontrollerin varlığı ve etkinliği konusunda makul bir güvence sağlar.
Etkin bir bilişim sistemleri yönetişim yapısının kurulması; kurumun stratejik hedeflerine ulaşmasını, paydaş ihtiyaçlarına uygun ürünler ortaya çıkarmasını, bilişim sistemleri ile ilgili riskleri yönetmesini, kaynakları daha etkin kullanmasını, bilgi güvenliği gereklerine ve yasal mevzuata uygun çalışmasını destekler.
Yürütülen denetim çerçevesinde iç kontrollerin etkinliği değerlendirilirken bilişim sistemleri kontrolleri incelenmiş, Kurumda bilişim sistemlerinin geliştirilmesi ve güvenliğe kavuşturulması amacıyla kapsamlı ve yetkin çalışmalar yürütüldüğü, ancak yönetişim alanında kurulan kontrollerin yetersiz olduğu görülmüştür.
Kurumda Yazılı ve Müstakil Bir Bilişim Sistemleri Stratejisinin Oluşturulmaması
Kurum bilişim sistemlerine ilişkin çalışmaların üst yönetim tarafından planlanmasını, yönlendirilmesini ve izlemesini öngören kontrollerin zayıf olduğu görülmüştür.
e-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik'in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7'nci maddesinde, kamu kurum ve kuruluşlarının bilişim stratejileri hazırlaması gerektiği şu şekilde ifade edilmiştir:
“b) Kamu kurum ve kuruluşları, ulusal stratejiler ve planlar ile mevcut kurumsal stratejik planlarıyla uyumlu, kurumun e-Devlet hizmetleri sunumu amacıyla yapacakları yatırım, teknoloji tercihleri, kurumsal kapasite, tasarruf planları, fayda-maliyet, iş planı gibi unsurları kapsayacak bilişim stratejilerini hazırlar.”
Kurumun bilişim sistemleri ile ilgili hedefler, yatırımlar ve eylemler müstakil bir plan ile yönetilmediğinden, bunların kurumun ana stratejisi ve amaçları ile ne derecede uyumlu olduğunun Kurum üst yönetimi tarafından izlenmesinin oldukça güç olduğu gözlenmiştir.
Kurumun, üst yönetimin ve ilgili paydaş birimlerin katılımıyla yazılı ve müstakil bir bilişim sistemleri stratejisi oluşturması gerekmektedir.
Bilişim Sistemlerine İlişkin Planlama, Koordinasyon ve İzlemenin Sağlanmasına Yönelik Kurumsal Bir Mekanizmanın Bulunmaması
Kurum üst yönetiminin, bilişim sistemlerine ilişkin planlama, koordinasyon ve izleme faaliyetlerine etkin olarak katılmasını sağlayacak kurumsal süreç ve yapıların oluşturulmadığı görülmüştür.
Bilişim faaliyetlerinin geleceğinin planlanması, bu faaliyetlerin başarısı için gerekli kurum içi koordinasyonun temin edilmesi ve faaliyet sonuçlarının izlenmesi faaliyetleri büyük ölçüde Bilgi İşlem Daire Başkanlığına bırakılmış durumdadır. Ancak bilgi işlem biriminin organizasyon yapısı içindeki yeri, birime devredilmiş olan yetkiler, birim bütçesi ve personel sayısı söz konusu faaliyetlerin yerine getirilmesi için yeterli bulunmamaktadır.
Kurum bilişim sistemlerinin yönetişimini sağlamak üst yönetimin sorumluluğundadır. Bazı kurumlarda üst yönetim, söz konusu yönetişimi sağlamak amacıyla müstakil yönlendirme kurulları veya eşdeğer yapılar oluşturmaktadır.
Ancak, yapılan incelemede Kurum üst yönetiminin bilişim sistemleri ile ilgili kararlara katılımının; görevlendirmelerin yapılması, bütçelerin ve satın alma süreçlerinin onaylanması ve genel çalışma çerçevesini belirleyen iç düzenlemelerin yapılması gibi faaliyetlerle sınırlı kaldığı görülmüştür. Bilişim ile ilgili kararlarda üst yönetimi, bilişim sistemleri yöneticilerini ve bilişim sistemlerinden doğrudan etkilenen önemli birimlerin yöneticilerini (paydaşları) bir araya getiren organ, kurul ve mekanizmalar ihdas edilmemiştir. Bu sebeple esasen, Kurum üst yönetimi, bilişim sistemlerinin yönetimiyle ilgili temel nitelikli kararların mahiyetini ve etkilerini kavrama ve bu kararları yönetme imkânına sahip bulunmamaktadır.
Kurum üst yönetiminin, bilişim sistemleriyle ilgili temel kararların alınması sürecine katılmasını, alınan kararların yürütülmesi sürecinde koordinasyonu sağlamasını ve sonuçları izlemesini temin edecek kurumsal mekanizma ve süreçlerin oluşturması gerekmektedir.
Bilişim Sistemlerine İlişkin Faaliyetlerin İç Denetime Tabi Tutulmaması
Kurum bilişim sistemlerinin üst yönetim adına iç denetime tabi tutulmadığı görülmüştür.
2019/12 sayılı, “Bilgi ve İletişim Güvenliği Tedbirleri” konulu Cumhurbaşkanlığı Genelgesi ve Genelge çerçevesinde kamu kurumları tarafından uygulanması gereken hususları tanzim eden Bilgi ve İletişim Güvenliği Rehberi, bilişime ilişkin sözleşmelerin nasıl hazırlanması gerektiğini açıklamıştır.
Söz konusu genelgede, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda hazırlanan “Bilgi ve İletişim Güvenliği Rehberi” ile ilgili olarak şu ifadeye yer verilmiştir:
“…Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur…”
Söz konusu Rehber’de iç denetime ilişkin olarak şu düzenlemelere yer verilmiştir: “2.3.2. Bilgi ve İletişim Güvenliği Denetimi
Rehberin uygulanmasına ilişkin denetimler, gerekli mekanizmalar oluşturularak, yılda en az bir kez olmak üzere iç denetim yolu ile gerçekleştirilir. Denetim faaliyetleri Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanan ve https://www.cbddo.gov.tr adresinde yayımlanan Bilgi ve İletişim Güvenliği Denetim Rehberi esas alınarak yürütülür.”
Kamu İç Kontrol Standartları Tebliği 17 numaralı standartta “İdareler fonksiyonel olarak bağımsız bir iç denetim faaliyetini sağlamalıdır.” denilmektedir.
27002 sayılı “Bilgi teknolojisi - Güvenlik teknikleri” adını taşıyan TSE standardının "Bilgi güvenliğinin bağımsız gözden geçirilmesi" başlıklı 18.2.1 numaralı bölümü, bağımsız gözden geçirmenin önemini vurgulamaktadır:
“Kuruluşun bilgi güvenliğine ve uygulamasının (örneğin; bilgi güvenliği için kontrol amaçları, kontroller, politikalar, prosesler ve prosedürler) yönetimine olan yaklaşımı belirli
aralıklarla veya önemli değişiklikler meydana geldiğinde bağımsız bir şekilde gözden geçirilmelidir.”
Faaliyet alanının etkinliği dolayısıyla, esasen bilişim sistemlerinin yönetimiyle sorumlu birim, Kurum’un en güçlü birimleri arasında bulunmaktadır. Örneğin yeni bir yazılım geliştirildiğinde, kurumsal süreçlerin nasıl yürütüleceğini, kurumsal ve kişisel bilgilerin nasıl işleneceğini ve nasıl korunacağını, vb. kritik önemdeki birçok konuyu bilişim sistemlerinden sorumlu birim belirlemektedir.
Ancak, bilgi işlem biriminin sahip olduğu bu gücün kurum lehine kullanıldığı hususunda üst yönetime güvence temin edecek gerekli denetim ve gözetim mekanizmalarının kurulmadığı görülmüştür. Bilişim sistemleriyle ilgili olarak üst yönetim tarafından yürütülen kurumsal süreçler, bilişim kaynaklarının etkin bir şekilde yönetilmesi ve kararların doğru alınması için yeterli bilgiyi sağlamamaktadır.
Kuruma ait bilişim sistemleri, oldukça karmaşık, birbirini etkileyen ve dış dünyadan etkilenen iç içe geçmiş süreçlerle işletilmektedir. Bu karmaşık yapı içinde üst yönetim, bilişim alanında kurumsal hedeflere ulaşılmasını güvence altına alacak izleme, sonuçları değerlendirme, gerektiğinde hedef ve planları revize etme faaliyetlerini yerine getirememektedir. Esasen, Kurumda bir iç denetim birimi oluşturulmamıştır. Bu sebeple bilişim faaliyetlerin iç denetimi yapılmamaktadır.
Kurumda iç denetim birimi oluşturulmasını müteakip bilişim sistemleri denetiminin, planlanarak yürütülmesi ve üst yönetime raporlanması gerekmektedir.
Kamu İdaresi tarafından gönderilen cevapta, bilişim sistemleri yönetişim kontrollerinin yetersizliği ile ilgili olarak nitelikli personel eksikliğine dikkat çekilmiş ve tespit edilen eksiklerin giderilmesi ve gerekli denetim mekanizmalarının oluşturulması için gayret gösterileceği ifade edilmiştir.
Sonuç olarak, bilişim sistemlerinin Kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak etkin bir bilişim sistemleri yönetişim yapısının oluşturması, bu amaçla bilişim sistemlerine ilişkin planlama süreçlerinin ve yönetişim mekanizmalarının ihdas edilmesi ve bilişim sistemleri denetiminin düzenli olarak yapılması gerekmektedir.