23 Mart tarihinde Kamu İç Denetçileri Derneği (KİDDER) ve ICT Media ile birlikte gerçekleştirdiğimiz “Bilişimde Denetim Uygulamaları” etkinliğinde iç denetimin katma değeri başta olmak üzere, denetimin dijitalleşmesi ve bilişim denetiminde uygulanan yöntemler ile Cumhurbaşkanlığı tarafından 6 Temmuz 2019 tarihinde yayımlanarak yürürlüğe giren Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesinin ve KVKK Kanunun uygulanması etraflıca ele alındı. Ben de bu ayki yazımda bu güzel etkinlikte konuşulanları ve kendi adıma öğrendiklerimi sizler için kısaca derlemek istiyorum.

Avrupa Birliğine uyum sürecinde çıkarılan 10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, 24 Aralık 2003 tarihli Resmî Gazete’de yayımlanmış ve tüm hükümleri ile 01.01.2006 da yürürlüğe girmiştir. Fiili olarak ancak 2008 yılından itibaren uygulama alanı bulan Kamu İç Denetim Birimleri, kamu idaresinin çalışmalarına değer katmak ve geliştirmek için kaynakların ekonomiklik, etkililik ve verimlilik esaslarına göre yönetilip yönetilmediğini değerlendirmek ve rehberlik yapmak amacıyla yapılan; Bağımsız, nesnel güvence sağlama ve danışmanlık faaliyetidir. Bu faaliyetler, idarelerin yönetim ve kontrol yapıları ile malî işlemlerinin risk yönetimi, yönetim ve kontrol süreçlerinin etkinliğini değerlendirmek ve geliştirmek yönünde sistematik, sürekli ve disiplinli bir yaklaşımla ve genel kabul görmüş standartlara uygun olarak gerçekleştirilir. Kamu idarelerinin iç denetim sistemlerini izlemek üzere, bağımsız ve tarafsız bir organ olarak yine aynı kanunun 67’nci maddesine göre kurulan İç Denetim Koordinasyon Kurulu (İDKK) ise iç denetim ile ilgili gerekli mevzuatsal düzenlemeleri yapmaktadır.

2006 yılında yürürlüğe giren kamu mali yönetim ve kontrol sistemi iki tür denetimi ihtiva etmektedir. Birincisi idarelerin üst yöneticilerinin yönetim ve hesap verme sorumluluğu kapsamında görev yürüterek denetim ve danışmanlık faaliyetleri yapan iç denetim, ikincisi de Türkiye Büyük Millet Meclisi adına yürütülen dış denetim, yani Sayıştay denetimidir. Kanunun yürürlüğe girdiği döneme kadar ülkemizde sadece mevzuata uygunluk odaklı yürütülmekte olan teftiş ve denetim faaliyetleri kanun ile birlikte; performans denetimi, sistem denetimi ve bilgi teknolojileri denetimi gibi modern denetim türleri ve teknikleri hem iç denetim hem de dış denetim aracılığıyla kamu idareleri için de uygulanmaya başlamıştır.

Temelde iç denetim faaliyeti iki unsuru içermektedir. Birincisi güvence sağlama, ikincisi danışmanlıktır. Güvence sağlama faaliyeti; idare içerisinde etkin bir iç kontrol sisteminin var olup olmadığına; kurumların risk yönetimi, iç kontrol sistemi ve süreçlerinin etkin bir şekilde işleyip işlemediğine; üretilen bilgilerin doğru ve tam olup olmadığına; varlıklarının korunup korunmadığına, faaliyetlerin etkili, ekonomik, verimli ve mevzuata uygun bir şekilde gerçekleştirilip gerçekleştirilmediğine dair kurum içine ve dışına makul güvencenin verilmesidir. Fiili uygulamada güvence sağlama faaliyetleri aslında “denetim” olarak adlandırılmaktadır. Danışmanlık faaliyetiise idarenin hedeflerini gerçekleştirmeye yönelik kurumsal yönetim, risk yönetimi ve iç kontrol faaliyetlerinin ve süreçlerinin sistematik bir biçimde değerlendirilmesi ve geliştirilmesine yönelik önerilerde bulunulmasıdır.

4. Sanayi devrimi sonrasında tüm organizasyonlar ve bireyler, tarihde hiç olmadığı kadar veri odaklı çalışmakta ve bilişim teknolojilerine bağımlı halde yaşamaktadır. İç denetim birimleri de buna paralel olarak organizasyonların amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini sağlamak amacı ile artık hem bilişim sistemlerini denetliyor ve hem de teknolojiyi denetimin her aşamasında kullanıyorlar.

T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (DDO) tarafından 6 Temmuz 2019 tarihinde yayımlanarak yürürlüğe giren Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi uyarınca, kamu kurumları ve kritik altyapı hizmeti veren işletmeler veri güvenliğinin sağlanması amacıyla belirli güvenlik tedbirlerini uygulamakla yükümlü kılınmış, tebliği takiben 10 Temmuz 2020 de Bilgi ve İletişim Güvenliği Rehberi yayınlanmış ve son olarak bu rehbere göre yapılacak denetimler için 27 Ekim 2021 tarihinde Bilgi ve İletişim Güvenliği Denetim Rehberi (yazının bundan sonraki bölümlerinde rehber diye anılacaktır) yayınlanmıştır. Temmuz 2022 sonrası başlaması öngörülen denetimlerin öncelikli olarak Kurum içi personel ve İç Denetim Birimlerinden sağlanmak kaydı ile yılda en az bir kez olacak şekilde yerine getirilmesi ve ilk denetimlerin 31.12.2022’ye kadar tamamlanarak sonuçların DDO’ya gönderilmesi istenmiştir.

Bununla beraber Kişisel Verileri Koruma Kurulunun (KVKK) 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile VERBİS’e kayıt süreleri Kamu Kurumları dahil son kez 31.12.2021 tarihine kadar uzatılmış ve bu tarihten sonra Kamu Kurumlarının da ilgili mevzuata uyması gerektiği bildirilmiştir. Rehber KVKK’nın da görüşleri alınarak geliştirildiğinden kamu kurumları açısından rehbere uyum büyük oranda KVKK mevzuatını kapsamakla birlikte kamu kurumlarının tek yükümlülüklerinin VERBİS olmadığını KVKK kanununda bunun dışında birçok yükümlülüğün bulunduğunu da ayrıca hatırlatmak gerekiyor. KVKK’ya uyum noktasında yaşanan sıkıntıların başında kamu kurumlarında görevi değişen irtibat kişilerinin zamanında güncellenmemesi ve uygun birimlere sorumlulukların verilmemesi sayılabilir. Kamu kurumlarına KVKK tarafından idari para cezası uygulanmamakla beraber disiplin hükümlerine göre gerekli yaptırımların uygulanması kurul tarafından kurumlardan istenebiliyor.

Etkinlikte günümüzde iç denetçilerin kullandığı yıllık denetim planlarında siber güvenlik ve veri güvenliği her zaman en üste yer aldığının altı çizildi. Bununla beraber bilgi teknolojileri, denetim sürecinin kapsamını genişlettiğinden ötürü denetçilerin de teknolojik araçları kullanması ve çapraz beceriler geliştirmesi gerektiği vurgulandı. Rehberin uluslararası mevzuatlara uygun hatta daha kapsamlı olarak hazırlandığı teyit edildi.

Kamuda en çok görülen denetim bulguları ise;

· Hemen hemen tüm çerçevelerde önemi vurgulanan bilgi bankası, konfigürasyon yönetimi gibi dokümantasyonların olmaması, olanlarda ise temel eksikliklerin bulunması ve bunun doğal bir sonucu olarak kişilere bağlılıkların oluşması,

· Yaşayan güncel bir envanter listesinin olmaması dolayısı ile envanter yönetiminin olmaması,

· Kanunların, yönetmeliklerin kısacası mevzuatın yazılım gereksinimleri düşünülmeden ortaya konulmasından dolayı yazılımların süratle geliştirildiği ya da tedarik edildiği ve bu aciliyetin bir sonucu olarak da ihtiyaç analizlerinin, fayda ve maliyet analizlerinin tam olarak yapılmadığı,

· Kimlik yönetimi ve erişim kontrol yönetiminin tam ve etkin olmadığı,

· Yeterli sayıda ve nitelikte teknik personelin ve BT yöneticisin olmaması,

· Son zamanlarda sıklıkla karşılaşılan fidye saldırıları gibi ataklarla karşılaşılması durumlarında verilerin hızlı, tutarlı ve doğru geri dönüşü için bir yedekleme sistematiğinin bulunmaması,

sıralandı.

İç denetçilere bakan tavsiye ve öz eleştiri kısmında ise,

· Kişilere değil sürece odaklanılmalı, hatayı kimin yaptığı değil süreç içerisinde bu hatanın yapılmasına neden olan süreç eksikliğini sorgulamanın gerektiği,

· Kaynaklar sınırlı olduğundan her konuya değil katma değer yaratacak konulara ve sorunların kök nedenlerine odaklanılması gerektiği,

· Yoğun iş temposu ile çalışan BT ekipleri ile sık sık görüşmeler yerine az ve etkin görüşmeler yapılması gerektiği,

· Sözlü ve yazılı iletişim ile vücut dilinin iyi kullanılması gerektiği, süreç sahiplerinin çoğu zaman işi denetçiden daha iyi bildiğini unutmadan karşı tarafı dinleyip empati kurmak gerektiği,

· Bulguların süreç sahipleri ile tam mutabakat ile üst yönetime iletilmesini sağlamanın önemi,

· BT denetimlerinde yalnızca BT birimlerini değil bu birimlerin hizmet verdiği mevzuat ve iş birimlerini sorumluluklarını yerine getirip getirmedikleri açısından sorgulamak gerektiği

İfade edildi.

Etkinlikte vurgulanan en önemli noktalardan biri de kamu kurumları açısından baktığımızda yürürlükteki bilişim mevzuatının (5651 sayılı kanun, 6698 KVKK, 5237 TCK, 5846 Fikir ve Sanat Eserleri Kanunu, Bilgi ve iletişim Güvenliği rehberi… vb) bir kısmında doğrudan idari ve mali yaptırımlar olmasa da yapılmadığında kurum zarara uğruyorsa, yapılmadığında vatandaş zarara uğruyorsa, kasıt değil ihmal de olsa Türk Ceza Kanunun 256. Maddesine göre görevi kötüye kullanma suçu kapsamına girdiğiydi. Ancak kurumların ve idarecilerin yapması gerekenin bu mevzuata uyum sağlamak adına yapılacak çalışmaların kimin görevi olduğunun net ve açık bir şekilde belirlemek ve görevliye doğru şekilde tebliğ etmek olduğunu unutmayalım.

Bu güzel etkinliğin düzenlenmesinde emeği geçen başta 2007 yılında kurulan ve 900 üyesi ile yaklaşık 1000 iç denetçisi bulunan kamu iç denetim camiasını %90 temsil ile kapsayan KİDDER olmak üzere, organizasyonu düzenleyen ICT Media’ya, tüm konuşmacı ve panelistlerimize teşekkür ediyorum. Etkinlik kaydını ICT Media’nın youtube kanalından izleyebilirsiniz.

Akıldan çıkarılmaması gereken son notlar;

İç denetim birimleri ve denetçileri olarak ne yaparsak yapalım, iç denetime kurum üst yönetimlerince değer verilmediği ve gelişiminin desteklenmediği durumlarda katma değer yaratmamız zor hatta imkânsız olacaktır.

Bulguların önemsenmemesi iç denetimin sorunudur ama bulgular, rapor ve eylem planı ile onaylandıktan sonra ortaya konan eylemler hayata geçmiyorsa bu üst yöneticinin sorunudur. Burada önemsenmeyen üst yönetimdir.
 

• Email: yenalarslan@ictmedia.com.tr
• @yenalarslan1
• https://www.linkedin.com/in/yenalarslan