Bilgi sistemleri risk yönetimi ve denetimi standartlarının bankacılık sistemi üzerinde modellenmesi ve uygulanması

Abstract

Bu çalışmada, Bilgi Sistemleri Risk Yönetimi ve Denetimi standartlarınınBankacılık Bilgi Sistemleri üzerinde modellenmesi ve uygulanması için, bankacılıkbilgi sistemleri bileşenleri ve fonksiyonları açıklandı. Bankacılık operasyonelrisklerinden, teknolojik riskler kapsamında, bilgi sistemleri risk varlıkları tanımlama,risk yönetimi, risk analizi, tehditler, açıklıklar, kontrol noktaları belirleme, risk azaltmave giderme fonksiyonları tanımlandı. Bilgi sistemleri risk yönetim uygulamalarıincelenerek, bankacılık bilgi sistemleri risk yönetim süreçleri geliştirildi. Bankacılıkbilgi sistemleri risk yönetim politikası tasarlandı.Ulusal ve uluslararası bilgi sistemleri risk yönetim ve denetim standartlarıincelenerek, bankacılık bilgi sistemleri denetim süreçleri tasarlandı. Kritik bankacılıkürün ve hizmetlerinden, internet bankacılığı, ATM ve kredi kartı uygulamaları vesistemlerinin risk yönetimi ve denetimi aşamaları detaylı açıklandı. Bankacılıkoperasyonel risklerinin bilgi sistemleri fonksiyonları ile azaltılması örnekler verilerekdetaylı izah edildi. Bankacılık bilgi sistemleri güvenlik sızma testi süreçleri ve hangisistemler üzerinde ne şekilde uygulanması gerektiği, örnek bulgular ve örnek raporlarile açıklandı.Açık, izlenebilir, yönetilebilir ve denetlenebilir bir bankacılık bilgi sistemlerimimarisi tasarımı için bilinmesi ve uygulanması zorunlu olan, iş sürekliliği, felaketyönetimi, olay yönetimi, talep yönetimi, değişiklik yönetimi, problem yönetimi, süreçyönetimi gibi temel kavramlar uluslararası standartlara göre açıklandı.Bankacılık Bilgi Sistemleri Risk Yönetimi ve Denetimi ile ilgili geniş birliteratür taraması yapıldı. Kaynak/referans teşkil edebilecek daha önce yayınlanmış yerlive yabancı yüksek lisans ve doktora tezleri, makaleler ve kitaplar incelendi. Bukaynaklarda yapılan çalışmaların metotları, referansları, uygulamaları, verileri,problemleri ve eksikleri incelendi. Bankacılık Bilgi sistemleri risk yönetimi çerçevesi vestandartlarını belirleyen kaynaklar, bilgi sistemleri denetimi (auditing) standartları veuygulamaları, bankalarda risk yönetimi, iç kontrol ve denetim birimlerinin fonksiyonlarıile ilgili kaynaklar taranıp uygulamalar incelendi. Bankacılık bilgi sistemleri riskyönetimi ve denetimi alanında uygulamadaki eksiklikler tespit edilerek çözüm önerilerisunuldu.

In this study, the banking information system components and functions havebeen described for modelling and application of Information Systems Risk Managementand Auditing standards on the Banking Information Systems. Within the context oftechnological risks among banking operational risks, identification of informationsystems risk assets, risk management, risk analysis, threats, vulnerabilities,determination of control points, risk mitigation and elimination functions were defined.Banking information systems risk management processes were defined by examininginformation systems risk management applications. Banking information systems riskmanagement policy was developed.Banking information systems audit processes were designed by analysingnational and international information systems risk management and auditing standards.The risk management and auditing stages of internet banking, ATM and credit cardapplication and systems which are among critical banking products and services havebeen explained in detail. Mitigation of banking operational risks through the use ofinformation systems functions have been explained in detail with examples. Bankinginformation systems security penetration testing processes and how they should beapplied on which systems have been explained with sample findings and sample reports.Basic concepts like business continuity, disaster recovery management, incidentmanagement, request management, change management, problem management havebeen explained according to international standards, which are necessary to know andapply for a clear, traceable, manageable and auditable banking information systeminfrastructure design.A through literature study was performed about Banking Information SystemsRisk Management and Auditing. Domestic and foreign masters and doctoral theses,papers and books that might constitute a source / reference were examined. Themethods, references, applications, data, problems and shortcomings of the studiesperformed in these references were examined.Resources that determine the framework and standards of Banking Informationsystems risk management, information systems auditing standards and applications, riskmanagement in banks, functions of internal control and auditing units were studied andapplications were examined. Shortcomings in the banking information systems riskmanagement and auditing applications were identified and solutions were proposed.