Muhasebede Bilgi Yönetimi Dersi 5. Ünite Özet

Muhasebe Bilgi Sistemi Güvenliği

Muhasebe Bilgi Sistemi (MBS) Güvenliğinin Gerekliliği

şletmelerin bölümler temelinde iletişim ağlarıyla Muhasebe Bilgi Sistemi Güvenliği birbirlerine bağlanması ve Internet üzerinden tüm dünyayla anında bağ kurabilmesi gibi güncel gelişmeler bir yandan da güvenlik sorunlarını ön plana çıkarmaktadır. Burada karşımıza kendine özgü bir alanda kendine özgü bir sorun çıkmaktadır. Bu sorun tümüyle Bilgi Teknolojileri (BT) ortamında yürütülen muhasebe işlemlerinin güvenliğinin nasıl gerçekleştirileceği ve bu özgün sorun karşısında yönetimin tutumunun ne olacağıdır.

Bilgi Güvenliği

İşletmelerde güvenlik kavramı; Bilgi güvenliği, işletmenin değer yaratma, varlıklarını koruma ve artırma sürecinde kullandığı ve bu nedenle önemseyerek koruduğu bilgiye yetkisiz ve haksız erişimi engelleme önlemlerinin bir bütünü olarak tanımlanabilir.

Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır. Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi güvenliği temelde aşağıdaki üç öğeyi hedefler:

  • Gizlilik (Confidentiality)
  • Bütünlük (Integrity)
  • Kullanılabilirlik (Availability)

Bilgi güvenliği programının bileşenleri; Bir işletmenin, yukarıda belirtilen; gizlilik, bütünlük ve kullanılabilirlik hedeflerine ulaşması, bilgi güvenliği ve yönetim ilişkisini temel alan bir yaklaşımı oluşturmasıyla olanaklıdır. Bu yaklaşımın üç temel bileşeni vardır:

  • Yönetişim
  • Yönetim
  • Teknik

Yönetişim; bir şirketin, hak sahipleri ve kamuoyunun çıkarlarını gözeten bir biçimde, mali kaynakları ve insan kaynaklarını kendine çekmesini, verimli çalışmasını ve bu sayede de pay sahipleri için uzun dönemde ekonomik kazanç yaratarak istikrar sağlamasına olanak veren yasa, yönetmelik ve özel sektör uygulamalarının bir bileşimidir.

Yönetişim (Yönetim Kurulu)

  • Risk yönetimini ve bilgi güvenliğine ilişkin uyumluluk programlarını göz etmek (örneğin, Sarbanes-Oxley),
  • Bilgi güvenliği programının genel ilkelerini kabul etmek ve benimsemek,
  • Bilgi güvenliğinden sorumlu kilit yöneticilerin atanmasını onaylamak,
  • Tüm paydaşların bilgi güvenliğine bağlı çıkarlarının korunması için çaba harcamak,
  • Stratejik iş ortaklarına ve üçüncü taraşara ilişkin bilgi güvenliği politikalarını gözden geçirmek,
  • İşletme sürekliliğinin sağlanması için çaba harcamak,
  • Bilgi güvenliği programının iç ve dış denetimlerine ilişkin hususları gözden geçirmek,
  • Kurula raporlanacak bilgi güvenliği ölçüsünün belirlenmesi için yönetimle işbirliği yapmak.

Yönetim

  • Bilgi güvenliği yönetim politikalarının oluşturulması, kontrolü ve politikalara uyumluluğun izlenmesi,
  • Bilgi güvenliğine ilişkin görev, sorumluluk ve gerekli becerileri kararlaştırmak/ atamak ve görev(rol) tabanlı bilgi erişim ayrıcalıklarını uygulamak,
  • Bilgi risklerini değerlendirmek, risk eşiklerini belirlemek ve risk azaltımını aktif şekilde yönetmek,
  • Stratejik iş ortakları ve üçüncü taraşar için bilgi güvenliği gereklerinin/şartları nın yerine getirilmesini sağlamak,
  • Bilgi varlıklarını belirlemek ve sınışandırmak,
  • İşletmenin sürekliliğini sağlayan planları uygulamak ve test etmek,
  • Satın alma, geliştirme, işletme ve bakım sırasında bilgi sistemlerinin yapılanması na onay vermek,
  • Fiziksel çevreyi korumak,
  • Zamanında takip ederek, bilgi güvenliği programının iç ve dış denetimlerini sağlamak,
  • Yönetime raporlanacak bilgi güvenliği ölçüsünün belirlenmesi için güvenlik personeli ile işbirliği yapmak

Teknik

  • Kullanıcı tanımlama ve doğrulama,
  • Kullanıcı hesap yönetimi,
  • Kullanıcı ayrıcalıkları,
  • Düzenleme (Configuration) yönetimi,
  • Olay ve faaliyet kaydı (logging) ve izlenmesi,
  • İletişim, e-mail ve uzaktan erişim güvenliği,
  • Virüs, solucan ve trojanları içeren zararlı kodlardan koruması,
  • Yamayı da içeren yazılım değişikliğini yönetmek,
  • Güvenlik duvarları,
  • Veri şifreleme,
  • Yedekleme ve geri yükleme,
  • Arıza ve güvenlik zaafını tespit etmek ve buna müdahale etmek,
  • Yönetime raporlanacak teknik ölçülerin belirlenmesi için yönetimle işbirliği yapmak.

Bilgi güvenliği standartları; Bilgi güvenliğini çok geniş kapsamlı düşünmeli ve sorun genel bir çözüm içinde ele alınmalıdır. Bu nedenle bilgi güvenliği, Uluslararası Standartlaştırma Örgütü (ISO) tarafından standartlara bağlanmıştır. Buna göre işletmeler için ISO 27000 Bilgi Güvenliği Yönetim Sistemi (BGYS) standartları içinde konu ele alınarak, sistem kurulumu ve belgelendirme bu standart üzerinden yapılmaktadır. Bu standartlar (ISO 27001 ve ISO 27002) göreceğiniz gibi bilgi güvenliği bileşenlerini temel alan aşağıdaki amaçlara göre belirlenmiştir:

  • Kurumun / kuruluşun, bilgi güvenlik risklerini, bilgi varlıklarına yönelik tehditleri, varlıkları kayba uğratabilecek açıkları sistematik olarak denetlemek,
  • Risk işleme planları, artık risklerin transferleri ile tutarlı bilgi güvenliği kontrollerini tanımlamak ve gerçekleştirmek, riskleri kabul edilebilir seviyelere çekmek,
  • Bilgi güvenliği kontrollerinin sürekliliğini bilgi güvenliği esaslarına göre sağlamak üzere yönetim süreçlerini kabul etmek ve uygulamak.

MBS ve Hileler

Doğal olarak Muhasebe Bilgi Sistemi (MBS), işletmede Yönetim Bilgi Sisteminin (YBS) bir alt sistemi olarak yer almakta ve BT ortamında varlığını ve etkinliğini sürdürmektedir. Bu yapıyı gözönünde tutarak YBS ve MBS’yi bilgi sistemi güvenliğinden ayrı düşünemeyiz.

Hile nedir; Hile, bir veya birçok nedenle bir kişinin başka bir kişiye karşı haksız üstünlük sağlaması olarak tanımlanabilir. işletmeler açısından konuya baktığımızda ise hile, işletmeyi zarara bir diğer deyişle varlık kaybına uğratmaya yönelik kasıtlı ve kötü niyetli her türlü girişim olarak tanımlanabilir. Muhasebe hilelerini temel olarak aşağıdaki gibi gruplayabiliriz:

  • Kayıt dışı işlemler,
  • Sahte belge düzenlenmesi ve kullanılması,
  • İçeriği itibariyle yanıltıcı belge düzenlenmesi ve kullanılması,
  • Defterlerde ve belgelerde tahrifat yapılması,
  • Defter ve belgeleri yok etmek ve gizlemek,
  • Gerçek dışı hesaplar ve satışlar,
  • Belgelerin mükerrer kullanımı,
  • Zamanından önce veya sonra kayıt düşme,
  • Özel giderlerin işletmeye aktarılması,
  • Kayıtlar üzerinde hile yapılması,
  • Bilgisayar yazılımlarını hileye göre düzenleme.

Hile üçgeni; Baskı, haklı gösterme ve fırsat olarak üç temel grupta toplanabilen hileler, işletmeyi çevreleyen bir hile üçgeni oluşturmaktadırlar.

Baskı: Çoğu zaman yöneticiler finansal sonuçların iyi gözükmesini isterler. Çünkü, alacakları ücretler, primler ve işlerini sürdürmeleri buna bağlıdır. Bu tür bir baskı, bu kişilerin muhasebe bilgileri üzerinde hileye başvurmaları ve finansal raporların gerçek olmayan biçimde üretilmesi sonucunu yaratabilir.

Haklı Gösterme: Hile üçgeninin ikinci faktörü, haklı göstermedir. Kişiler kendilerini dürüst olarak algılarlar ve suç davranışına girdiklerinde de bunu haklı kılmaya çalışırlar.

Fırsat: Bir çalışanın hile yapabilmesi için bunu yapacak uygun bir konumda bulunması gerekir. Genellikle çalışan, bir varlığın gözetimi veya varlıkla ilgili işlemleri başlatma yetkisine sahiptir. Bu konuma ulşılması hile yapmak için bir fırsat olarak görülmüş olur.

Güvenlik Riskinin Kaynakları

Bilgi güvenliğini zayışatan üç temel kaynak vardır. Bunlar:

  • İç kaynaklar,
  • Dış kaynaklar,
  • Ve gizli anlaşmalardır.

İç kaynaklar; Riskin iç kaynaklardan gelmesi, genellikle işletme çalışanlarının bilgi güvenliğinin zayıf yanlarını bularak istismar etmeleriyle ortaya çıkar. Bu kişiler, özellikle yönetici düzeyindeki çalışanlar ve işlemleri yürütenlerdir.

Dış kaynaklar; Dış kaynak riski ise işletme ilişkilerini bilen ve işletme varlıklarını çalma olanağına sahip kişilerden kaynaklanan potansiyel suçları içerir. Çeşitli türlerdeki işletme ilişkileri, bilgisayara dayalı suç işleme olanağını da yaratmaktadır. Burada iki ana risk kaynağı, müşteriler ve satıcılardır. Bir diğer risk kaynağı ise işletmenin rakipleridir.

Gizli anlaşmalar; Bu risk kaynağı, iki veya daha çok kişinin komplo kurarak işletmeyi dolandırmaları ve bilgisayar kayıtlarını değiştirerek hırsızlıklarını gizlemeleridir. Gizli anlaşma riskinin kaynakları iç ve dış olmak üzere iki biçimde ortaya çıkmaktadır.

İç gizli anlaşma, iki ya da daha çok sayıdaki işletme çalışanının anlaşarak, işletme politikalarını, prosedürlerini ve uygulamalarını aşmalarıdır (by-pass).

Dış gizli anlaşma, bir işletme çalışanının, işletme çalışanı olmayan bir kişiyle anlaşarak, işletmeyi dolandırmalarıdır.

BT Ortamı ve MBS Güvenliğinin Yapılandırılması

MBS ve iç kontrol önemli ölçüde BT ortamında yazılım düzeyinde yapılandırılmış durumdadır. Sistemin güvenliği ise şu iki temel ayrımda yapılandırılır:

  • Genel Kontroller
  • Uygulama Kontrolleri

Genel kontroller; Genel kontroller, bir işletmenin çok geniş bir kesimine veya tümüne uygulanan ve faaliyetlerin yerindeliğini ve doğruluğunu güvence altına alan kontrollerdir. Bir işletme için tasarlanacak genel kontrolleri aşağıdaki başlıklar altında toplayabiliriz.

  • Örgütsel Kontroller
  • İşletim Sistemi Kontrolleri
  • Veri Kaynağı Kontrolleri
  • Sistem Geliştirme Kontrolleri
  • Sistem Bakım Kontrolleri
  • Bilgi işlem Merkezi Güvenliği ve Kontrolü
  • Veri iletişim Kontrolleri
  • Elektronik Veri Değişim Kontrolleri

Örgütsel kontroller; Bir işletmede belirli görevlere ilişkin sorumluluklar, açık ve net olarak, yönergelerle, iş tanımlarıyla ve diğer dokümanlarla açıklanmış ve tanımlanmış olmalıdır. Bu ayrımlamada üç temel sorumluluk alanı oluşturabiliriz;

  • İşlemler için yetkilendirme,
  • İşlemlerin kayıtlanması,
  • Varlıkların korunmasının sağlanmasıdır.

Burada kontrollerin yoğunlaşacağı iki temel nokta; işlemlerin yetki alanları içinde ve onay görerek yapılması ile işlemlerin kaydında girdi verilerinin tamlığı ve kesinliği konusundaki muhasebe bölümü sorumluluğunun bilgi işlem bölümündeki kontrollerle desteklenmesidir.

İşletim sistemi kontrolleri; işletim sistemi; yazılım (software), bellenim (firmware) ve donanımdan (hardware) oluşur. işletim sistemi özellikle, bir donanımın yazılım düzeyindeki özünü oluşturur. Bir işletim sistemi beş temel kontrol amacını yerine getirmelidir:

  1. İşletim sistemi kendisini kullanıcılardan koruyabilmelidir.
  2. İşletim sistemi, kullanıcıyı diğer kullanıcılardan koruyabilmelidir.
  3. İşletim sistemi kullanıcıları kendilerinden koruyabilmelidir.
  4. İşletim sistemi kendisinden korunmuş olmalıdır.
  5. İşletim sistemi çevresinden korunmuş olmalıdır.

Veri kaynağı kontrolleri; Veri kaynağı; geleneksel yedekleme kontrollerini ve veri tabanı yönetim sistemi kontrollerini içerir.

Yedekleme Kontrolleri: işletme uygulamalarına ilişkin manyetik ortamlarda yer alan çok büyük veri evrenlerinin özenle korunması ve bunların yedeklenmesi (backup) ve saklanması gerekir.

Veri Tabanı Yönetim Sistemi (VTYS)Kontrolleri: Veri tabanı uygulaması, birbiriyle ilişkili kütüklerin birleştirilerek, birbirinden bağımsız alanlarda ortaklaşa kullanı mına olanak veren bir yapılanmadır ve Veri Tabanı Yönetim Sistemi adı verilen gelişmiş bir yazılıma bağlı olarak işlev görür. VTYS Kontrolleri iki ana kategoride ele alınabilir. Bunlar; erişim Kontrolleri ve fiziksel güvenlik ve yedekleme Kontrolleridir. Erişim Kontrolleri, korunması gerekli veriye zarar verilmesine, değiştirilmesine, yok edilmesine ve görülmesine yönelik,her türlü yetkisiz erişimi önlemek amacıyla oluşturulurlar. Birçok veri tabanı yönetim yazılımı, bu amacı yerine getirmek amacıyla hazırlanmıştır.

Yine çok kullanılan bir uygulama, erişimde parola (password) ve kullanıcı kodu (user identification) kullanılmasıdır.

Dış tehditlere karşı, güvenlik duvarı (firewall) muhasebe bilgilerinin güvenliği açısından işletmelerin alacakları önemli önlemlerden birisidir. Bunlar, ağın Internet’e çıkışının sağlandığı noktada kurulmakta ve bir güvenlik duvarı oluşturmaktadır.

Sistem geliştirme kontrolleri; Sistem geliştirme, sistem veya sistemlerin amaçlarına uygun olarak işlemesini sağlayan bir süreçtir. Sistem geliştirmede, bir sistemin işleyişi, o sistemin nasıl işleyeceği konusunda önceden belirlenmiş hedeflerle karşılaştırılır Daha sonra, istenmeyen yönde sapmaların nedenleri göz önüne alınarak sistemin istenen sonuçları nasıl elde edebileceği araştırılır.

Sistem bakım kontrolleri; Bir bilgisayar sisteminin uzun süre sorunsuzca çalışması ve daha fazla hizmet verebilmesinin yani sisteminin sürekliliğinin önemi açıktır. Programların işletim sürelerinin artırılması, makinelerin denetimi ile ilgili çalışmalar, donanım bakımını, programların günlenmesi, belgeleme ve programların geliştirilmesi çalışmaları ise yazılım bakımını oluşturur.

Bilgi işlem merkezi kontrolleri ve güvenliği; İşletmenin tüm verilerinin işlendiği, saklandığı, iletildiği bilgi işlem merkezinin (BİM) ve bilgisayar sisteminin çok iyi korunması gerektiği açıktır. BiM’in fiziksel yerleşimi, yetkisiz erişim ve zarar görme riski taşımayan güvenli bir alanda olmalıdır. BiM’e erişim, belirlenmiş kişilerle son derece sınırlandırılmış olmalı, tek bir girişi olmalı, yangın söndürme sistemleri ve alarmlarla donatılmış olmalıdır.

Veri iletişim kontrolleri; içinde yaşadığımız çağın çok önemli bir gelişmesi de veri iletişimidir. Veri iletişimi, verinin bir merkezden, alıcı bir diğer noktaya iletilmesidir. Bir veri iletişiminin beş temel bileşeni vardır:

  • Gönderme birimi: Terminal, mikrobilgisayar, mini bilgisayar, ana bilgisayar, giriş/çıkış birimleri gibi,
  • İletişim arabirimleri: Modem, multiplexor, konsantratör, faks gibi,
  • İletişim hatları: Telefon hatları, coaxial kablolar, uydular, mikrodalga sistemler gibi,
  • Alıcı birimleri. Bilgisayarlar,
  • İletişim yazılımı.

Elektronik veri değişim kontrolleri ve internet güvenliği ; Genel bir tanımla EVD (Elektronik Veri Değişimi: Electronic Data Interchange), bilgisayarda işlenebilir duruma getirilmiş standart formattaki işletme bilgilerinin,işletmeler arasındaki değişimidir. EVD Kontrolleri üç alanda oluşturulmalıdır:

  • İşlemlerin yetkilendirilmesi ve geçerli kılınması (kullanıcı kodları ve parolaların kullanılması gibi...)
  • Erişim Kontrolleri
  • EVD denetim izi günlüklerinin (kütüklerinin) oluşturulması güvenlik önlemleri şu şekilde sıralanabilir:
  • Güvenlik duvarı (firewall) kurularak internet ile işletmenin özel ağı arasında bağlantı kurulur.
  • İnternet ortamında e-posta ve elektronik dosyalar aracılığıyla bulaşabilecek virüsler ciddi bir tehlike oluşturmaktadır. Virüslere karşı koruyucu yazılımlar (antivirüs yazılımları) yüklenmelidir.
  • İnternet üzerinden iletilen bilgiler üçüncü kişiler tarafından ulaşılma riski taşımaktadırlar. Internet üzerinden güvenli özel bilgi alışverişi için dijital şifreleme (encryption) ve kimlik kontrol (authentication) çözümleri sağlanmalıdır.
  • Erişim kontrolü (authorization) sağlanarak Web erişimi ve mail içeriklerini kontrol eden çözümler geliştirilmelidir.

Uygulama kontrolleri; Uygulama Kontrolleri; ücretler, satışlar, satın almalar, ödemeler, tahsilatlar, stoklar gibi işletmenin bilgisayarda yürütülen işlem döngülerine ilişkin uygulamaların yürütülmesinde kullanılan kontrollerdir. Bu kontroller üç ana kategoriye ayrılır (şekil 5.5):

  • Girdi Kontrolleri,
  • Bilgi işleme Kontrolleri
  • Çıktı Kontrolleri

Girdi kontrolleri: Girdi Kontrolleri, Kontroller açısından gerek kullanıcıların gerekse denetçilerin en yoğun biçimde dikkat göstermeleri gereken alandır. Girdi kontrolleri: kaynak belge kontrolleri, veri kodlama kontrolleri, yığın işlem kontrolleri, girdi geçerlilik kontrolleri ve genelleştirilmiş veri girdi sistemleri şeklinde sınırandırılabilir:

Bilgi işleme kontrolleri: işlemler girdi adımını aştıktan sonra, sistemin bilgi işleme adımına girerler. Bilgi işleme kontrolleri:geçiş kontrolleri, işletmen (operatör) kontrolleri ve denetim izi kontrolleri şeklinde üç kategoride ele alınabilirler.

Çıktı kontrolleri: Her şeyden önce bilinmelidir ki, çıktıların doğruluğu ve güvenilirliği, buraya dek üzerinde durduğumuz Kontrollerin varlığına ve etkinliğine bağlıdır. Çıktıların kontrolü açısından üzerinde durulması gerekli üç temel nokta çıktıların doğrulanması, çıktıların dağıtımı ve özel raporlardır.

Kontrol Testleri

Muhasebe bilgi sisteminin güvenlik açısından yukarıda verdiğimiz biçimde yapılandırılması, hataları ve hileleri önleyerek doğru finansal raporların üretilmesini sağlamada çok önemli bir rol oynayacaktır. Kontrol testlerinde etkin olarak kullanılan yöntemlerden başlıcaları şunlardır:

Veri testi tekniği: Sistemdeki programlanmış kontrollerin işlev görüp görmediğinin test edilmesidir.

Bütünleşik test tekniği: Veri testinin bir türü olan bu teknikte hayali kayıtlar oluşturulur ve bu kayıtlar süreğen bir temelde kukla (dummy) verilerle çalıştırılır ve testin etkinliği önemli ölçüde artırılmış olur.

Paralel benzetim: Paralel benzetim, bir muhasebe uygulamasında verinin, işletmenin ve denetçinin programlarında paralel olarak işlenmesi sürecidir.

Genelleştirilmiş denetim yazılımı; Bu uygulama, işletmelerde karşılaşılabilecek olası birçok muhasebe sorununu gözönünde bulunduran denetim programlarından oluşan bir yazılım paketidir. Bu yazılımlar, bilgisayar konusunda gereksinilen teknik bilgiyi azaltırlar ve zamandan tasarruf sağlarlar.


Bahar Dönemi Dönem Sonu Sınavı
25 Mayıs 2024 Cumartesi