Anasayfa » ISO 27001 » Yaygın iç ve Dış Denetim Bulguları
yaygin-ic-dis-denetim-bulgulari

Yaygın iç ve Dış Denetim Bulguları

Yaygın iç ve Dış Denetim Bulguları

Bu makalemde bugüne kadar ki karşılaştığım iç ve dış denetim bulguları maddelerine değineceğim. Aşağıda İç ve Dış denetimlerde bir inceleme esnasında karşılaşılabilecek olaylar ve problemlerin listesi yer almaktadır. Bu örnekleri denetçi adayları, danışmanlar ve organizasyonların kendilerini geliştirmesi amacıyla yardımcı olmak için yazıyorum.

Politika ve prosedürlere uygunsuzluk

Çalışanların tüm politika ve prosedürlerden haberdar olması ve bunları izlemesi gerekmektedir. Farkındalık ile ilgili eksiklikler genelde bu kısımda yer almaktadır.

Yazılı prosedürlere uymama

Bu bulgu firmanın yazmış olduğu prosedürleri tam olarak bilmemesinden kaynaklanan ve çok sık şekilde karşılaştığımız bir bulgu olarak ilk sıralarda yer alıyor. Bu bulgunun ilk sırada yer almasının en temel nedenlerinden birisi dokümanların danışmanlar tarafından hazırlanıyor olmasıdır.

Verimsiz ve etkisiz süreçler ya da prosedürler

Tüm birimler, iş tanımlamalarındaki sorumlulukların yanlış çoğaltılması ya da kullanışsız, zaman tüketen aşamalara sahip ağır işleyen süreçler gibi kaçınılması gereken idari süreçlerin incelenmesinden fayda sağlarlar.

ic-denetim-bulgulari

Kayıt Eksikliği

Organizasyonların oluşturduğu dokümantasyon içerisinde mevcut dokümanların (politika, prosedür, talimat vb.) çıktıları olan kayıtların oluşturulması konusunda eksiklikler yaşanmaktadır. Bu kayıtlar ile ilgili saklama, imha etme ve etiketleme konularında da yazılı kurallarına uyum eksikliği ile bolca karşılaşılmaktadır.

Personel Farkındalığı

Bu kısımda da firmalar içerisinde sistem kurulum çalışmalarında çalışanlar hariç diğer kullanıcıların firmanın mevcut dokümantasyonuna ve yönetim sistemine hakim olmaması durumuyla sık sık karşılaşıyoruz. Personel farkındalığını arttırmada ki en büyük rol üst yönetimin desteğini ile olacaktır. Üst yönetim bu işin önemini personele ne kadar hissettirirse personelin farkındalık düzeyi de doğru orantılı olarak artacaktır.

İyileştirme için maliyetten kaçma

Yönetim sistemlerinin temel mantığı risk bazlı bir sistem üzerinde sürekli iyileştirmeler yaparak organizasyonların daha ileri bir seviyeye taşınmasıdır. Bu bağlamda da firmaların teknolojiye ayak uydurması gerekmektedir. Denetimlerde gördüğüm olay ise öncelikle risk değerlendirmede yatırım ihtiyaçlarının tam olarak belirlenememesi, belirlendikten sonra da yöneticiler tarafından bu “MUST” mı? Sorusunun sorulması olarak görüyorum. Şu hiçbir zaman unutulmamalıdır ki standartlar asgari şartları içermektedir. Standart bunu ne kadar istiyor diye bir soru? Bence yalnızca sertifikasyon odaklı olunduğu anlamı taşıyor.

Yukarıda saydığım örnekler daha da çoğaltılabilir. Genel olanlara değinmeye çalıştım.

Hakkında Burak Ekşi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

İlginizi çekebilir...

iso-27001-yazili-bilgi-hangi-bilgiler-yazili-hale-getirilmeli

ISO 27001 Yazılı Bilgi – Hangi bilgiler yazılı hale getirilmeli?

ISO 27001 Yazılı Bilgi – Hangi bilgiler yazılı hale getirilmeli? Son zamanlarda gerek müşterilerim gerekse …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir