MUHASEBEDE BİLGİ YÖNETİMİ - Deneme Sınavı - 7

Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür. Gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Doğru yanıt C’dir.

Veri Kodlama Kontrolleri: Muhasebede yürütülen uygulamaların birçoğu, bir tanıtım kodunu (numarasını) gerektirmektedir. Örneğin müşteri hesap kodları, stok kalemlerinin kodları gibi. Bu tür girişlerde yanlışlıkla farklı bir kod vererek yanlış hesaplara veya alanlara giriş yapılmasını yani kodlama hatalarını önlemek için çok etkin bir yöntem olan sağlama sayısı (check digit) kullanılır. Doğru yanıt B’dir.

Uygulama kontrolleri; ücretler, satışlar, satın almalar, ödemeler, tahsilatlar, stoklar gibi işletmenin bilgisayarda yürütülen işlem döngülerine ilişkin uygulamaların yürütülmesinde kullanılan kontrollerdir. Doğru yanıt B’dir.

Satın alma kontrolleri, işletmenin işlem döngüsüne ilişkin uygulama kontrollerindendir. Doğru yanıt E’dir.

Stok kontrolleri; işletmenin işlem döngüsüne ilişkin uygulama kontrollerindendir. Doğru yanıt B’dir.

Kontrol testlerinde etkin olarak kullanılan yöntemlerden başlıcaları; veri testi tekniği, bütünleşik test tekniği, paralel benzetim ve genelleştirilmiş denetim yazılımıdır. Doğru yanıt E’dir.

Bilgi güvenliği temelde aşağıdaki üç öğeyi hedef­ler:
• Gizlilik (Confidentiality)
• Bütünlük (Integrity)
• Kullanılabilirlik (Availability)

Bir işletmenin, yukarıda belirtilen; gizlilik, bütünlük ve kullanılabilirlik hedef­lerine ulaşması, bilgi güvenliği ve yönetim ilişkisini temel alan bir yaklaşımı oluşturmasıyla olanaklıdır. Bu yaklaşımın üç temel bileşeni vardır:
• Yönetişim
• Yönetim
• Teknik

Yönetişim; bir şirketin, hak sahipleri ve kamuoyunun çıkarlarını gözeten bir biçimde, mali kaynakları ve insan kaynaklarını kendine çekmesini, verimli çalışmasını ve bu sayede de pay sahipleri için uzun dönemde ekonomik kazanç yaratarak istikrar sağlamasına olanak veren yasa, yönetmelik ve özel sektör uygulamalarının bir bileşimidir.

Yönetişim bileşeni için bilgi güvenliği adımları aşağıdaki gibidir:

• Risk yönetimini ve bilgi güvenliğine ilişkin uyumluluk programlarını göz
etmek (örneğin, Sarbanes-Oxley),
• Bilgi güvenliği programının genel ilkelerini kabul etmek ve benimsemek,
• Bilgi güvenliğinden sorumlu kilit yöneticilerin atanmasını onaylamak,
• Tüm paydaşların bilgi güvenliğine bağlı çıkarlarının korunması için çaba
harcamak,
• Stratejik iş ortaklarına ve üçüncü taraf­lara ilişkin bilgi güvenliği politikalarını gözden geçirmek,
• İşletme sürekliliğinin sağlanması için çaba harcamak,
• Bilgi güvenliği programının iç ve dış denetimlerine ilişkin hususları gözden
geçirmek,
• Kurula raporlanacak bilgi güvenliği ölçüsünün belirlenmesi için yönetimle
işbirliği yapmak

Yönetim bileşeni için bilgi güvenliği adımları aşağıdaki gibidir:

 • Bilgi güvenliği yönetim politikalarının oluşturulması, kontrolü ve politikalara uyumluluğun izlenmesi,
• Bilgi güvenliğine ilişkin görev, sorumluluk ve gerekli becerileri kararlaştırmak/atamak ve görev(rol) tabanlı bilgi erişim ayrıcalıklarını uygulamak,
• Bilgi risklerini değerlendirmek, risk eşiklerini belirlemek ve risk azaltımını aktif şekilde yönetmek,
• Stratejik iş ortakları ve üçüncü taraf­lar için bilgi güvenliği gereklerinin/şartlarının yerine getirilmesini sağlamak,
• Bilgi varlıklarını belirlemek ve sınıf­landırmak,
• İşletmenin sürekliliğini sağlayan planları uygulamak ve test etmek,
• Satın alma, geliştirme, işletme ve bakım sırasında bilgi sistemlerinin  yapılanmasına onay vermek,
• Fiziksel çevreyi korumak,
• Zamanında takip ederek, bilgi güvenliği programının iç ve dış denetimlerini sağlamak,
• Yönetime raporlanacak bilgi güvenliği ölçüsünün belirlenmesi için güvenlik personeli ile işbirliği yapmak

Teknik bileşeni için bilgi güvenliği adımları aşağıdaki gibidir:

• Kullanıcı tanımlama ve doğrulama,
• Kullanıcı hesap yönetimi,
• Kullanıcı ayrıcalıkları,
• Düzenleme (Configuration) yönetimi,
• Olay ve faaliyet kaydı (logging) ve izlenmesi,
• İletişim, e-mail ve uzaktan erişim güvenliği,
• Virüs, solucan ve trojanları içeren zararlı kodlardan koruması,
• Yamayı da içeren yazılım değişikliğini yönetmek,
• Güvenlik duvarları,
• Veri şifreleme,
• Yedekleme ve geri yükleme,
• Arıza ve güvenlik zaafını tespit etmek ve buna müdahale etmek,
• Yönetime raporlanacak teknik ölçülerin belirlenmesi için yönetimle işbirliği yapmak.

İşletmeler için ISO 27000 Bilgi Güvenliği Yönetim Sistemi (BGYS)standartları içinde konu ele alınarak, sistem kurulumu ve belgelendirme bu standart üzerinden yapılmaktadır. Bu standartlar (ISO 27001 ve ISO 27002) bilgi güvenliği bileşenlerini temel alan aşağıdaki amaçlara göre belirlenmiştir:

• Kurumun / kuruluşun, bilgi güvenlik risklerini, bilgi varlıklarına yönelik tehditleri, varlıkları kayba uğratabilecek açıkları sistematik olarak denetlemek,
• Risk işleme planları, artık risklerin transferleri ile tutarlı bilgi güvenliği kontrollerini tanımlamak ve gerçekleştirmek, riskleri kabul edilebilir seviyelere çekmek,
• Bilgi güvenliği kontrollerinin sürekliliğini bilgi güvenliği esaslarına göre sağlamak üzere yönetim süreçlerini kabul etmek ve uygulamak.

İlgili standartlar, bir kuruluştaki bilgi güvenliği yönetim sisteminin başlatılması, uygulanması, sürdürülmesi ve iyileştirilmesi ile ilgili kılavuzları ve genel ilkeleri belirler ve aşağıdaki başlıklar altında düzenlenmişlerdir:
• Güvenlik politikası,
• Bilgi güvenliği organizasyonu,
• Varlık yönetimi,
• İnsan kaynakları güvenliği,
• Fiziksel ve çevresel güvenlik,
• İletişim ve uygulama yönetimi,
• Erişilebilirlik kontrolü,
• Bilgi sistemleri alma, geliştirme, bakımı,
• Bilgi güvenliği olay yönetimi,
• İş sürekliliği yönetimi,
• Yasal gereklilikler ve politikalara uyum.

Muhasebe hilelerini temel olarak aşağıdaki gibi gruplayabiliriz:
• Kayıt dışı işlemler,
• Sahte belge düzenlenmesi ve kullanılması,
• İçeriği itibariyle yanıltıcı belge düzenlenmesi ve kullanılması,
• Def­terlerde ve belgelerde tahrifat yapılması,
• Def­ter ve belgeleri yok etmek ve gizlemek,
• Gerçek dışı hesaplar ve satışlar,
• Belgelerin mükerrer kullanımı,
• Zamanından önce veya sonra kayıt düşme,
• Özel giderlerin işletmeye aktarılması,
• Kayıtlar üzerinde hile yapılması,
• Bilgisayar yazılımlarını hileye göre düzenleme.

Uygulama kontrolleri üç ana kategoriye ayrılır:
• Girdi Kontrolleri,
• Bilgi işleme Kontrolleri
• Çıktı Kontrolleri

Veri; işlenmemiş, anlamlandırılmamış ham bilgidir. Bilgi ise işlenerek anlam kazandırılan verilerdir. Nicelik ve nitelik yönünden hızlı bir şekilde değişen işletme çevresi, işletmeyi ve yönetimleri veri bombardımanına tutmaktadır. İşletmede veya dış çevrede meydana gelen gelişmeler de bu verilerin geçerliliğini sürekli tehdit etmekte, bu verilerin güncelliğini yitirmesi ya da güncelliğin korunması sorununu ortaya çıkarmaktadır.

Küreselleşme, artan rekabet ortamı, faaliyetlerin genişlemesi ve yükselen beklentilerin yarattığı baskı altındaki işletme yöneticileri, çok farklı alanlarla ilgili verileri bir araya getiren, güvenli bir şekilde saklayan ve bu verilere ihtiyaç anında kolayca ulaşımı sağlayan veri tabanlarını kullanmaya yönelmektedirler.

Verilerin ayrı ayrı dosyalarda gruplandırılması temeline dayanan geleneksel yaklaşımda birbiriyle ilgili olan ve aynı gruba dâhil olan veriler bir dosyada tutulmaktadır. Geleneksel dosya tabanlı modelin aksine veri tabanı modeli tüm kullanıcılara ortak bir veri havuzu sunmakta, süratli ve etkin karar alma ortamının oluşmasına önemli katkı sağlamaktadır. Veri tabanı modelinin bilgi saklama, depolama ve sunmada başarısı kendine özgü yazılımlar, uygulama programları ve donanımla mümkündür.

Veri tabanının literatürde farklı tanımlarının bulunmasına karşın tanımların ortak noktası işletme faaliyetleriyle ilgili verilerin saklandığı ve bu verilerin birbirleriyle ilişkilendirildikleri ortamı ifade etmesidir.