idea worker - fikir işçisi

CAATs TABU Değildir: SQL mi, ÖZEL YAZILIM mı?

23.08.2019 01:06

Bu Blog’ta bilgisayar destekli denetim teknikleri (CAATs) hakkında zaman zaman yazılar yazdım, ama düzenli bir yazı dizisi olmadığını itiraf etmeliyim. İşte, CAATs hakkında düzenli bir yazı dizisini başlatıyorum.

Bu yazıda bazı temelleri vurgulayacağım:

1- CAATs konusu efsane değildir. Abartmıyorum, çünkü özel ve dokunulmaz bir alan hükmünde. Görüştüğüm kaç tane CAE veya iç denetçi bu konudan ürperiyor.

2- Piyasaya hakim pahalı bir çözüm var. Peki, daha bütçe dostu çözümler bulamaz mıyız? Bulabiliriz. Active Data daha bütçe dostu bir çözümdür.

3- İç denetim birimlerinde her bir iç denetçi bu yazılımlara ulaşabilmelidir. Ki tam tersi oluyor, genel olaraktan. Benim de başıma gelmişti. Yazılı kullanım talebim olmuştu, ama olumsuz geri dönüş almıştım.

4- Özel yazılım kullanmayıp, kurumun veri tabanından veri çekemez miyiz? SQL sorgulama ile bu mümkündür elbette. İç denetim birimi personeline “Select” gibi masum yetkiler verilir ve “Truncate” gibi sakıncalı yetkiler verilmez. Fakat SQL’i kullanırsanız, yaptığınız bütün sorgulamaların log kayıtları BS personeline gitmiş olacaktır. Yürüttüğünüz çok gizli soruşturmaların üçüncü tarafça izlenmesini ister misiniz? Ki iç denetim birimleri tarafından kullanılan özel yazılımların veri tabanlarının kurum veri tabanına bağlı olmamasını savunan bir insanım. Örneğin kurumunuz SQL Server tercih ederken, iç denetim birimi özel yazılımları için SQLite tercih edilebilir. Elbette iç denetim birimi için “hesap verilebilirlik” ilkesi geçerlidir. 

5- Veri talep formuyla, BS biriminden veriler talep edilmelidir. Fakat şu husus önemli: Brüt/ham veriler talep edilmelidir. Bu konuda hatalı bir talep şu olabilir: “Mart 2019 için, idari işler personeli Ahmet Gürbüz’ün SAP işlem kayıtlarını .csv formatında istiyoruz.”. Evet, böyle acemi taleplerin vaki olmadığını biliyoruz. Makul bir talep örneği: “Mart 2019 İdari İşler personeli SAP işlem kayıtlarını istiyoruz.”.

 

6- Peki, özel yazılım kullanmayıp SQLite kullansak? ActiveData’nın sunduğu özel seçeneklerden mahrum kalırız. Örneğin Levenshtein Distance algortiması… Ayrıntılara değineceğim.

Bu yazı giriş mahiyetindeydi. Active Data ve CAATs konusuna değinmeye devam edeceğim.

Bu Blog’ta bilgisayar destekli denetim teknikleri (CAATs) hakkında zaman zaman yazılar yazdım, ama düzenli bir yazı dizisi olmadığını itiraf etmeliyim. İşte, CAATs hakkında düzenli bir yazı dizisini başlatıyorum.

 

Bu yazıda bazı temelleri vurgulayacağım:

 

1- CAATs konusu efsane değildir. Abartmıyorum, çünkü özel ve dokunulmaz bir alan hükmünde. Görüştüğüm kaç tane CAE veya iç denetçi bu konudan ürperiyor.

 

2- Piyasaya hakim pahalı bir çözüm var. Peki, daha bütçe dostu çözümler bulamaz mıyız? Bulabiliriz. ActiveData daha bütçe dostu bir çözümdür.

 

3- İç denetim birimlerinde her bir iç denetçi bu yazılımlara ulaşabilmelidir. Ki tam tersi oluyor, genel olaraktan. Benim de başıma gelmişti. Yazılı kullanım talebim olmuştu, ama olumsuz geri dönüş almıştım.

 

4- Özel yazılım kullanmayıp, kurumun veri tabanından veri çekemez miyiz? SQL sorgulama ile bu mümkündür elbette. İç denetim birimi personeline “Select” gibi masum yetkiler verilir ve “Truncate” gibi sakıncalı yetkiler verilmez. Fakat SQL’i kullanırsanız, yaptığınız bütün sorgulamaların log kayıtları BS personeline gitmiş olacaktır. Yürüttüğünüz çok gizli soruşturmaların üçüncü tarafça izlenmesini ister misiniz? Ki iç denetim birimleri tarafından kullanılan özel yazılımların veri tabanlarının kurum veri tabanına bağlı olmamasını savunan bir insanım. Örneğin kurumunuz SQL Server tercih ederken, iç denetim birimi özel yazılımları için SQLite tercih edilebilir. Elbette iç denetim birimi için “hesap verilebilirlik” ilkesi geçerlidir. 

 

 

5- Veri talep formuyla, BS biriminden veriler talep edilmelidir. Fakat şu husus önemli: Brüt/ham veriler talep edilmelidir. Bu konuda hatalı bir talep şu olabilir: “Mart 2019 için, idari işler personeli Ahmet Gürbüz’ün SAP işlem kayıtlarını .csv formatında istiyoruz.”. Evet, böyle acemi taleplerin vaki olmadığını biliyoruz. Makul bir talep örneği: “Mart 2019 İdari İşler personeli SAP işlem kayıtlarını .csv formatında istiyoruz.”.

 

6- Peki, özel yazılım kullanmayıp SQLite kullansak? ActiveData’nın sunduğu özel seçeneklerden mahrum kalırız. Örneğin Levenshtein Distance algortiması… Ayrıntılara değineceğim.

Bu yazı giriş mahiyetindeydi. ActiveData ve CAATs konusuna değinmeye devam edeceğim.

 

Etiketler:

| | | | | | | |

—————

Geri