Geri Dön

Finansal piyasalarda elektronik risk ve denetimi

Electronic risc and auditing in the financial markets

  1. Tez No: 111152
  2. Yazar: HASAN ÖZKAN
  3. Danışmanlar: YRD. DOÇ. DR. AHMET ÇİLİNGİRTÜRK
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bankacılık, İşletme, Banking, Business Administration
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2002
  8. Dil: Türkçe
  9. Üniversite: Marmara Üniversitesi
  10. Enstitü: Bankacılık ve Sigortacılık Enstitüsü
  11. Ana Bilim Dalı: Sermaye Piyasası ve Borsa Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 154

Özet

ÖZET Finansal piyasalarda işlemlerin önemli bir kısmı günümüzde elektronik ortamlarda gerçekleşmekte, değerleri elektronik ortamlarda saklanmakta ve iletilmektedir. Bu durum finansal piyasaların coğrafyadan bağımsız, derin bir piyasada, düşük maliyetle işlemlerini gerçekleştirmesi gibi sayısız faydaları olmasıyla birlikte beraberinde yeni ve kompleks bir çok riskide beraberinde ortaya çıkarmaktadır. Bu çalışmada; ilk bölümde konuya ilişkin kavramsal çerçeve ifade edilmiştir. Bu kapsamda risk kavramı ile sistematik ve sistematik olmayan riskin neler olduğu açıklanmaya çalışılmıştır. Finansal piyasalardaki ana elektronik risk noktalarının belirtilmesi ve tasnifi çerçevesinde operasyonel risk, itibar riski, yasal risk, sınır ötesi konular ve diğer ilişikli risk unsurları irdelenmiştir. Bu risk unsurlarının belirtilmesinin ardından finansal piyasalarda kullanılan başlıca elektronik sistemler ve bu sistemlere ilişkin kavramlar açıklanmaya çalışılmıştır. Bu kapsamda İnternet teknolojileri ile alt yapısında bulunan modeller, protokoller, uygulamalar ve sistemler incelenmiştir. Bu kavramlar açıklanmaya çalışılırken ilişikli güvenlik riskleri ve önlemlerine ilişkin kavramlara da yer verilmiştir. Ardından internetin finansal anlamda en faal kullanıldığıinternet bankacılığı irdelenmiştir. Finansal Piyasalarda yaygın olarak kullanılan bir diğer enstrüman olan çağrı merkezleride bu bölümde incelenerek mahiyeti ve taşıdığı önem konu edilmiştir. Bu çerçevede çağrı merkezleri ile web sitelerinin birbirleri ile entegrasyonu ve ortak olarak taşıdıkları değerler ve birbirlerini nasıl tamamladıklarına ve güncel örneklere yer verilmiştir. Banka kartları, kredi kartları ve Otomatik Vezne Makinaların niteliği, gerçekleştirdiği işlemler ve diğer alternatif kanal enstrümanlarıyla nasıl şubesiz bankacılık merkezleri haline geldikleride bu bölümün kapsamı altında incelenmiştir. ikinci bölümde finansal piyasalarda elektronik ortamın getirdiği risklerin analizinin yapılması, bu risklerin asgari düzeyde tutulması, kontrol, takip ve denetiminin yapılması ile gözlemlenebilir ve yönetilebilir hale gelmesi için metod ve standartların belirtilmesi, bu alandaki gelişmelerin neler olduğu ve ne yöne doğru ilerlediği bilgileri verilerek geleceğin finansal piyasalarının güvenli ve sağlıklı 137çalışması için asgari müştereklerin neler olması, nasıl bir güvenlik politikası oluşturulması gerektiği konusunda değerlendirmeler yapılmaya çalışılmıştır. Sonraki bölümde bu unsurları gerçekleştirmede en önemli araç olarak kullanılan denetim prosesi ele alınmıştır.Bilgi işlem bölümlerinde yapılan ve şirketlerin diğer bölümlerinde de kullanılan sistemlerin karmaşıklığı ve bunların güvenliği elektronik risk yönetiminde en önemli unsur olarak karşımıza çıkması ve bu çerçevede ortaya çıkan Bilişim Denetim bölümleri ile bu bölümlerin risklerini asgari düzeye indirmede aldıkları rol konu edilmiştir. Bu çerçevede denetimin organizasyon içindeki yeri ve sahip olduğu rolün niteliği, görev tanımları, çalışma metodları, denetçi profili ile denetim sürecinin başlaması için gerekli asgari şartların tanımlaması yapılarak denetim ve güvenlik alanındaki gelişmeler yer verilmiştir. Denetim prosesinin organizasyonu ve planlaması ele alınarak karşılaşılabilecek risklerin neler olduğu belirtilmeye çalışılmış ve bu risklerin nasıl değerlendirilebileceği hususna yer verilmiştir. Bu risklerin değerlendirilmesi ardından denetim yöntem ve standartları belirtilerek, mevcut elektronik risklerin nasıl minimize edilebileceğine ilişkin esaslar incelenmeye başlanmıştır. Bu çerçevede ilk olarak sistemin çalışma koşullarına yönelik değerlendirmeler yapılmıştır. Sistemin çalışacağı fiziksel koşulların, elektronik cihazların bulunduğu sistem odalarının, fiziksel erişim, yangın, su baskını vb. hususlara ilişkin standart ve denetim ilkeleri irdelenmeye çalışılmıştır. Fiziksel koşuların irdelenmesinin ardından mantıksal güvenlik kavramı ile sistemlere erişme ve bilgilerin saklanması, işlenmesi ve depolanmasına ilişkin denetim yöntem ve standartları incelenmeye çalışılmıştır. Bu kapsamda iletişim güvenliği başlığı altında bilgilerin iletimi esnasında çalınması araya girilmesi vb. riskler ele alınmış, sistemlere ait cihazlar ve üzerindeki uygulamalara ilişkin şifreler, erişim yetkilendirmesi ile günümüzde bu işlemler ilişkin ortaya çıkan gelişmeler ve yeni yöntemler incelenmiştir. Sistemin network özellikleri ile sisteme dial-up bağlantısı yapılması sürecindeki güvenlikte bu bölümde incelenmiştir. Sonraki bölümde yazılımların nasıl güvenli olabileceği, uygulama geliştirme ve proje sürecinin nasıl sağlıklı işleyebileceği versiyon kontrolü ve kodların korunmasına ilişkin konular değerlendirilmiştir. Geliştirilen kodların gerçek uygulama ortamlarına nasıl taşınacağı ve bu işlemler esnasında nelere dikkat edilmesi gerektiği konusuna 138değinilmiştir. Yazılımların performans ve çalışılabilirliği ilede yazılım kısmı sonlandırılmıştır. İkinci bölümde son olarak finansal piyasaların aktörlerinin her koşul altında işlemlerini sürdürmeleri ve olağanüstü durumlarda zamlarını minimize etmek ve işlemlerin kesintisiz devamı ile yeniden eski çalışma kapasitesine dönebilme yöntem ve enstrümanlarına yer verilmiş, bu kapsamda sigorta ve verilen yedeklenmesi ile yedeklemenin giderek değişen yüzü ele alınmıştıır. Finansal Piyasalarda oluşan risklerin önüne geçilmesinde kontrol ve denetimin yanısıra şirket yönetiminin ve diğer çalışanların da belirlenecek risk önleme politikası anlayışına sahip olması, acil durum planlarıve kriz yönetimi gibi unsurlar da bu kapsamda incelenmiştir. Üçüncü bölümde finansal piyasaların genel sistem bazında risklerinin incelenmesi ardından kullanılan ana enstrümanlara yönelik daha detaylı olarak riskler ele alınmıştır. Bu kapsamda internet, veritabanı, rapor ve dokümanlar, çağrı merkezi, kartlar ve ATM lere ilişkin riskler ve kontrol noktaları hakkında, sistemin niteliğine göre detaylara inilmiştir. Bu bölümde ilk olarak finansal piyasalarda en yaygın olan internet ele alınarak, internetteki başlıca atak türlerinin neler olduğu, bu saldırıların niteliği, muhtemel zararların neler olabileceği, sistemin hangi kısımlarının hedef alındığı ve bu saldırıların amaçları hususlarına değinilmiştir. Bu ataklardan nasıl korunulabileceği, bu süreçte kullanılan cihazların neler olduğu ve ne tip yazılımlar kullanıldığı, güvenlik yapısının nasıl kurulması gerektiği, ne tip şifreleme mekanizmaları ve uyarı mekanizmaları kurulması gerektiği, en yaygın kullanımı olan SSL şifreleme mekanizması, kullanılan işletim sistemlerinin bu süreçteki durumu ve karşılaştırmaları ile muhtemel saldırıların zararlarının asgari düzeye indirilmesi konu edilmiştir. Tüm bu bilgiler çerçevesinde ön güvenlik hazırlıkları ile periyodik yapılması gerekenler irdelenmiştir. Tüm sistemlerin yapılan işlemleri ve bilgileri saklanması, arşivlemesi ve istenildiği takdirde tekrar verebilmesi amacıyla sahip oldukları veri tabanları ve veri dosyaları incelenerek güvenlik önlemleri ve riskler ve bu risklerden korunmaya ilişkin 139değerlendirmelere yer verilmiştir. Ardından bilgi güvenliğinin devamı olan rapor ve doküman güvenliği konu edilmiştir. Çağrı Merkezleri günümüzde nakit işlemler haricinde her türlü işlemleri gerçekleştirmesi nedeni ile en önemli işlem kanallarından biri haline gelmiştir. Bu sisteme yönelik olarak riskler ve kontrol noktaları belirtilmeye çalışılmış, hizmet kalitesi, servis verimliliği ve raporlarına ilişkin hususlar irdelenmeye çalışılmıştır. Kart ve ATM güvenliğine ilişkin önemli risk ve kontrol noktaları ile dünyada ve Türkiye'deki konuya ilişkin riskler, suistimal noktaları ve önlemleri konuları irdelenmiştir. Tüm alternatif kanalların kullanıcı doğrulama işlemlerini gerçekleştirirken kullandıkları şifre yöntemi yerine veya ona destek olması için Biometrik Sistemler devreye alınmaya başlanmıştır. Müşterinin biyolojik özellikleri vasıtasıyla sisteme tanımlamasını yapmak üzere kullanılan parmak izi, ses tanıma vb. teknolojilerin çalışma prensibi, performansı,maliyeti, doğruluğu ve hangi teknolojiyi hangi sistemde kullanmanın efektif olacağı çalışma kapsamında irdelenmiştir. Tüm bu safhaların etkin ve verimli bir şekilde gerçekleştirilmesi için vazgeçilmez unsurlardan olan kalite kavramı ve Toplam Kalite Yönetimi de incelenerek finansal piyasalarda elektronik risk ve denetimi kapsamlı irdelenmeye çalışılmıştır. Kalite kavramı dünya pazarlarında yer alma çabasında olan her firma ve ekonomi için stratejik bir faktör haline gelmiştir. Bu nedenle kaliteyi ve Toplam Kalite Yönetiminin firmalarda tesisi, risklerin minimize edilmesi ve işlemlerin sıhati açısından önem taşımaktadır. Özellikle finansal piyasalarda gelişen teknoloji ile sunulan yeni ürünlerde tatmin düzeyinin yakalanması, pazar riskinin minimize edilmesi ve yatırımlardan maksimum veriminin elde edilmesi toplam kalite yönetim tesisi ve işlemesini sağlayacak yapının tesisi ile mümkün olacağından hareketle konu ele alınmıştır. Bu sürecin oluşturulabilesi, bu vasıtayla risklerinin minimize edilerek maksimum verimliliğe ulaşmasına yönelik konularda bu bölümde ele alınmıştır. Finansal Piyasalarda kullanılan bilgi sistemlerinin güvenliğinin nasıl sağlanacağı ile birlikte giderek gelişen internet teknolojileri, ağ sistemleri, çağrı merkezleri, kart sistemlerine ilişkin temel bilgiler ile bu sistemlerin risk dereceleri ve 140karmaşıklık derecesine göre analizleri, mevcut durumları, muhtemel tehlikeler, korunma yöntemleri ve denetimine ilişkin esaslar hakkındaki konularda bilişim, denetim ve güvenlik alanlarına yönelik yayınları bulunan INTOSAI, IEEE, Computer Society, ISACA gibi uluslararası dernek ve kurumların periyodik yayınlarından faydalanarak, güncel durum ve gelecekteki gelişmelere yönelik projeksiyon tutulmaya çalışılmıştır. Teknolojik gelişim beraberinde yeni imkanlar ve riskler getirecek olması,.bu risklerin gerçekleşmesinin önlenmesi veya zararın minumuma indirilmesi önceden yapılacak çalışmalara ihtiyaç duyması, bu çalışmaların her firmanın kendi değerleri ve önemli varlıklarını belirleyerek oluşturacağı güvenlik politikası çerçevesinde şekilleneceği de tüm çalışmanın kapsamında irdelenmiştir. Çünkü güvenlik önlemlerinin olmaması gibi gerekli olmayan noktalarda uygulanacak güvenlik tedbirleri kurumun iş akışında gereksiz aksamave veya iş yüküne neden olabileceği gerçeğide tezde işlenmeye çalışılmıştır. Oluşturulacak güvenlik politikasının BT denetim kadroları tarafından kontrol edilmesi ve eksikliklerin yönetime raporlanması, takibi, risk değerlendirmesi ve bu doğrultuda tavsiyelerde bulunulması, güvenlik politikasının geliştirilmesi büyük önem arz ettiği de çalışmanın ana fikirleri arasında işlenmeye çalışılmıştır:. BT denetiminin kapsamında hızla ilerleyen bir artışın olduğu dolayısıyla BT Denetim ve BT Güvenlik' in öneminin giderek arttığı ancak kısıtlı personelin Güvenlik Politikasının içeriğini bilmesinin açacağı sorunlar ve başta yönetim ardından tüm personelinin BT Güvenliği kavramı önemi anlamalarının önemi işlenmiştir. Elektronik riskini analizini yapmanın, önlemenin, kontrol edilebilen ve gözlemlenebilen hale getirmenin finansal piyasalar için ne kadar hayati önem taşıdığı irdelenerek tez sona erdirilmiştir. 141

Özet (Çeviri)

SUMMARY Most financial transactions are processed, stored, transferred in an electronic environment. This state gives a lot of benefits to financial markets including the independence of location, deep market, and transaction process with low cost. However at the same time this state causes new and complex risks. In this work the first chapter has covers the summary conceptual out line. This scope contains explanations of risk concept and what are the systematic and nonsistematic risk. In order to define the main electronic risk points the following categories have been considered operational risk, reputation risk, legal risk, cross- border subjects and the other related subjects at detail Furthermore main electronic systems and their concepts in the context of financial markets have been explained. Also Internet technology and its infrastructure model, protocols, applications and systems have been analysed. These concepts have been considered in relation to security risk and precautions concept. In addition to that, since Internet Banking is the most predominant use of Internet Technology has also been analysed. The other widespread instrument in the financial markets is the call center. It has been analysed and its importance for the markets has been explained. In this context the integration of call center and web technology, importance of their usage together (interdependence), complete to each other in this section recently examples have been considered. This section, Plastic Cards, Credit Cards, Automatic Teller Machine are described along side the processing of their transactions, and how they operate without branches of bank centers, with the other alternative distributive channels. 142The second section includes analysis of risk which comes with an electronic environment in the financial markets, how to minimise these risks, to exercise control, follow and audit, and to determine which methods and standards for observing and controlling, to give information on future. Improvement of this area should be applied. In this way I have attempted to what are the minimum common properties for the working of financial markets securely and healthy and how the security policy is established. When these security issues have been the processed, most important tool is auditing. Hence in this part the IT(Information Technology) audit process has been covered. IT system complexity and security is the most important area and how it is used in IT and most department in the firm IT how the auditing role has been started in this area and the IT auditing role in minimising risk have been covered in this section. Also organisational statue and role of auditing, job descriptions, minimum conditions to start auditing, improvement in the security and audit area have been considered. This section has covered the Audit process organisation and planning, determining bullet risk point, and evaluating risk profile. Following this, the evaluation of risk that section is covered that determines the audit methods and standards and analysing how the electronic risk can be minimised. First of all, the thesis has analysed environmental conditions of system. Physical conditions of system rooms have been considered physical access, fire water flood etc. length. They include a lot of electronic equipment After the physical conditions have been analysed, the thesis begins to analyse auditing methods and standards regarding logical security concept, accessing the systems, storage of the data and processing the data. This section covers communication security and related risks such as the data stolen during the communication, capturing the data etc. Also this section deals with those system equipment's and their applications' password, access policy, improvement of access and authorisation techniques and finally network security and dial-up security. 143This section considers how the software can be safe, how the development and project cycle can be stable, and version control, code security. Furthermore how the code can be transferred, production environment, and what are the key issues, and finally software performance and availability have been analysed. In the last section the second chapter, the thesis covers the method and instrument of business resumption, business continuity, disaster recovery, crisis management, minimising the disaster effect, return to standard business cycle, insurance, back up and the new face of back up. Also the analysis includes the necessity of management and how the other staff should understand the risk policy right along with auditing and controlling and crisis management subjects. In the third chapter of the thesis has been covered the main electronic instrument which are used in the financial markets are covered risk detail, Internet, database, report, call center, cards and ATM risk profile and control point have been determined according to system and security property. In this chapter, the Internet is mentioned in the first section because of its widest usage in the financial markets. This section considers main attack type, property of attack, possible damage type, aim of attack and, target of the attack in the system. The second section has covered protection against these attacks, protection of hardware and software and tool types, how security infrastructure should be built, what kind of intrusion deduction and encryption mechanism should be set up, SSL encryption mechanism which is in the industrial sphere, operating system position, and comparison, minimising the attacks effects. Finally, the thesis mentions pre security precaution and periodic precautions. The risks of database and data files which store, restore, archive transaction, data have been considered alongside, vulnerability, risk profile and precautions for security weaknesses. Following this, the section covers reports security. 144Call center can process every transaction except cash transactions, and therefore it is a very important transactional channel. This thesis analyse risk profile, control points, service productivity and reporting. Card and ATM security are considered about important risk and control point, fraud issues and precautions in detail. Alternative distributive channel use passwords for the user authentication. Recently the firm has started to use a biometric system instead of passwords or to support the password authentication. The thesis considers that authentication with a customer's biological property such as fingerprint, voice recognition etc. their working principles, performance, cost, accuracy, and which technology is appropriate for the effectiveness of the systems length. All these processes are needed for quality and total quality management. Therefore the thesis considers quality and total quality management to analysis electronic risk and auditing in the financial market in detail. Quality concept is a strategic point on which the firm can take place in the world market. Hence, building quality and total quality management is very important to its risk minimisation and the health of operations for in the firm. New products may be offered that the market may not be interested in which is a financial risk to the firm. Investment should have the most productivity: If quality has this process property, it will minimise risk and maximise productivity. This section covers these issues. INTOSAI, IEEE, Computer Society, ISACA and related societies and association have published papers about information security, Internet technology, network systems, call center, card system, their risk profiles, improvement and precaution methods, system analyses, observations, control methods etc. The thesis uses these sources of information Thesis tries to give the current status and future of the thesis subjects from these papers 145The thesis suggest that new technology create new risks, which need to be assessed prioritised and minimised in order of priority, because unnecessary security precautions give damage workflow and effectiveness The thesis mentions the importance of the IT Auditing role in controlling security policy, the reporting of deficiencies to the board of directors, risk evaluation, preparing recommendations and improving the security policy. IT Audit covers more areas day by day. Hence the importance of IT Audit and IT Security importance has been growing. The thesis argues that If only IT Audit and IT security staff knows the security policy, the firms may have a security problem. Therefore all management and staff should have understand the importance of information security and security policy. Finally the thesis covers and determines importance of electronic risk analysis, risk precautions, risk control, and management for the financial markets. 146

Benzer Tezler

  1. Tez No

    571493

    Avrupa Birliği ve Türk Banka Hukuku yönünden fintek

    Fintech from European Union and Turkish Banking Law perspectives

    ŞEBNEM ELİF KOCAOĞLU ULBRİCH

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    BankacılıkGalatasaray Üniversitesi

    Özel Hukuk Ana Bilim Dalı

    DOÇ. DR. SITKI ANLAM ALTAY

  2. Tez No

    641299

    Faiz ve kur riskinin finansal tablolarda raporlanması hakkında BİST 100 üzerinde bir araştırma

    A study on BIST 100 on reporting interest and currency risk in the financial statements

    HİLAL YILDIZ KAPLAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2020

    İşletmeMarmara Üniversitesi

    İşletme Ana Bilim Dalı

    PROF. DR. BARIŞ SİPAHİ

  3. Tez No

    71783

    Faiz riskinden korunmada vadeli işlem piyasası araçlarının kullanımı ve Türkiye'de uygulama çalışmaları

    Başlık çevirisi yok

    PINAR AKSEKİ

    Yüksek Lisans

    Türkçe

    Türkçe

    1998

    BankacılıkMarmara Üniversitesi

    Bankacılık Ana Bilim Dalı

    PROF. DR. VİLDAN SERİN

  4. Tez No

    363483

    Forex piyasaları ve Türkiye uygulamaları

    Forex markets and Turkey applications

    YEŞİM ŞENDUR

    Yüksek Lisans

    Türkçe

    Türkçe

    2014

    İşletmeOsmaniye Korkut Ata Üniversitesi

    İşletme Ana Bilim Dalı

    DOÇ. DR. MEHMET CİHANGİR

  5. Tez No

    899870

    Ticaret ve ödeme sistemlerinin dijitalleşmesi, dünya ve Türkiye uygulamalarının karşılaştırmalı analizi

    Digitalization of trade and payment systems, comparative analysis of world and Turkey applications

    BARIŞ PARLAK

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    İşletmeTürk Hava Kurumu Üniversitesi

    İşletme Ana Bilim Dalı

    DOÇ. DR. ADNAN GÜZEL

Geri Dön