Bilgi sistemleri risk yönetimi ve denetimi standartlarının bankacılık sistemi üzerinde modellenmesi ve uygulanması

Abstract

Bu çalışmada, Bilgi Sistemleri Risk Yönetimi ve Denetimi standartlarının Bankacılık Bilgi Sistemleri üzerinde modellenmesi ve uygulanması için, bankacılık bilgi sistemleri bileşenleri ve fonksiyonları açıklandı. Bankacılık operasyonel risklerinden, teknolojik riskler kapsamında, bilgi sistemleri risk varlıkları tanımlama, risk yönetimi, risk analizi, tehditler, açıklıklar, kontrol noktaları belirleme, risk azaltma ve giderme fonksiyonları tanımlandı. Bilgi sistemleri risk yönetim uygulamaları incelenerek, bankacılık bilgi sistemleri risk yönetim süreçleri geliştirildi. Bankacılık bilgi sistemleri risk yönetim politikası tasarlandı. Ulusal ve uluslararası bilgi sistemleri risk yönetim ve denetim standartları incelenerek, bankacılık bilgi sistemleri denetim süreçleri tasarlandı. Kritik bankacılık ürün ve hizmetlerinden, internet bankacılığı, ATM ve kredi kartı uygulamaları ve sistemlerinin risk yönetimi ve denetimi aşamaları detaylı açıklandı. Bankacılık operasyonel risklerinin bilgi sistemleri fonksiyonları ile azaltılması örnekler verilerek detaylı izah edildi. Bankacılık bilgi sistemleri güvenlik sızma testi süreçleri ve hangi sistemler üzerinde ne şekilde uygulanması gerektiği, örnek bulgular ve örnek raporlar ile açıklandı. Açık, izlenebilir, yönetilebilir ve denetlenebilir bir bankacılık bilgi sistemleri mimarisi tasarımı için bilinmesi ve uygulanması zorunlu olan, iş sürekliliği, felaket yönetimi, olay yönetimi, talep yönetimi, değişiklik yönetimi, problem yönetimi, süreç yönetimi gibi temel kavramlar uluslararası standartlara göre açıklandı. Bankacılık Bilgi Sistemleri Risk Yönetimi ve Denetimi ile ilgili geniş bir literatür taraması yapıldı. Kaynak/referans teşkil edebilecek daha önce yayınlanmış yerli ve yabancı yüksek lisans ve doktora tezleri, makaleler ve kitaplar incelendi. Bu kaynaklarda yapılan çalışmaların metotları, referansları, uygulamaları, verileri, problemleri ve eksikleri incelendi. Bankacılık Bilgi sistemleri risk yönetimi çerçevesi ve standartlarını belirleyen kaynaklar, bilgi sistemleri denetimi (auditing) standartları ve uygulamaları, bankalarda risk yönetimi, iç kontrol ve denetim birimlerinin fonksiyonları ile ilgili kaynaklar taranıp uygulamalar incelendi. Bankacılık bilgi sistemleri risk yönetimi ve denetimi alanında uygulamadaki eksiklikler tespit edilerek çözüm önerileri sunuldu.

In this study, the banking information system components and functions have been described for modelling and application of Information Systems Risk Management and Auditing standards on the Banking Information Systems. Within the context of technological risks among banking operational risks, identification of information systems risk assets, risk management, risk analysis, threats, vulnerabilities, determination of control points, risk mitigation and elimination functions were defined. Banking information systems risk management processes were defined by examining information systems risk management applications. Banking information systems risk management policy was developed. Banking information systems audit processes were designed by analysing national and international information systems risk management and auditing standards. The risk management and auditing stages of internet banking, ATM and credit card application and systems which are among critical banking products and services have been explained in detail. Mitigation of banking operational risks through the use of information systems functions have been explained in detail with examples. Banking information systems security penetration testing processes and how they should be applied on which systems have been explained with sample findings and sample reports. Basic concepts like business continuity, disaster recovery management, incident management, request management, change management, problem management have been explained according to international standards, which are necessary to know and apply for a clear, traceable, manageable and auditable banking information system infrastructure design. A through literature study was performed about Banking Information Systems Risk Management and Auditing. Domestic and foreign masters and doctoral theses, papers and books that might constitute a source / reference were examined. The methods, references, applications, data, problems and shortcomings of the studies performed in these references were examined. Resources that determine the framework and standards of Banking Information systems risk management, information systems auditing standards and applications, risk management in banks, functions of internal control and auditing units were studied and applications were examined. Shortcomings in the banking information systems risk management and auditing applications were identified and solutions were proposed.