Dijital Dönüşüm Denetiminde Yol Almak: IDW PS 850 ile Yolculuğumuz

Finans kuruluşları için dönüşüm girişimlerini hayata geçirmek karmaşık süreçlerin yönetilmesini ve önemli zorluklarla başa çıkılmasını gerektirmektedir. Bir bankanın bu dönüşüm yolculuğuna destek verirken hem teknik entegrasyon hem de proje yönetimi alanında yer aldık ve çalışmalarımızı IDW PS 850 çerçevesiyle uyumlu biçimde yürüttük. IDW PS 850 (Institut der Wirtschaftsprüfer Prüfungsstandard 850), özellikle bankacılık gibi düzenlenmiş sektörlerde BT projelerinin kalitesini, yapısını ve mevzuata uygunluğunu değerlendirmek üzere tasarlanmış bir denetim standardıdır. Bu standart, Proje konsepti, uygulama, test, migrasyon ve operasyonel entegrasyon süreçlerini inceleyerek düzenleyici ve riskle ilgili gereksinimlerin karşılanmasını sağlamaya odaklanır.

Danışmanlığımızın bir parçası olarak temel sorumluluklarımızdan biri, proje yönetimi iş akışına liderlik etmek ve tüm teknik ile organizasyonel alanlarda denetim hazırlığını desteklemekti. Bu yazıda, proje danışmanlığımız kapsamında yaptığımız katkıları, özellikle dönüşümün en zorlu ancak bir o kadar da ödüllendirici aşaması olan denetimi başarıyla yönetmemize yardımcı olan süreç ve yapıları şekillendirmedeki rolümüzü paylaşmak istedik. Denetim hazırlığını projeye ilk günden itibaren entegre ettik; bu sürecin son aşamada ele alınan bir aktivite değil, projenin işletim modelinin ayrılmaz bir parçası olmasını sağladık.

Temeli Atmak: Sıfırıncı Günden İtibaren Planlama

İlk kararlarımızdan biri, denetim hazırlığını nihai bir kontrol listesi olarak değil, proje yaşam döngüsüne entegre edilmiş süregelen bir gereklilik olarak ele almaktı. Entegrasyon çalışmalarımızla eş zamanlı olarak, genel yapının, planlamanın ve dokümantasyonun hem iş dönüşümünü hem de olası denetimi destekleyeceğinden emin olmak amacıyla bir proje yönetimi rolü üstlendik.

Bu yaklaşımla, sürekli denetim hazırlığı ve şeffaf dokümantasyon etrafında şekillenen bir yönetişim yapısı kurduk.

Bu yaklaşımın merkezinde, Temel Bankacılık Dönüşümü programının uçtan uca yapısını ve dokümantasyon yaklaşımını tanımlayan Proje Yönetimi Kılavuzumuz yer alıyordu. Bu Kılavuz; başlangıç planılarını, yönetişim yapılarını ve belirli Tamamlanma Tanımı (DoD) kriterlerini kapsayan kritik SDLC süreçlerini resmileştirdi. Söz konusu katı DoD kriterleri, tamamlanan her görevin tamamlandı olarak işaretlenmeden önce denetim ve iş beklentilerini karşıladığından emin olmak açısından büyük önem taşıyordu.

Bu süreçlerin denetim incelemesine tabi tutulacağını öngörerek, dokümantasyon akışlarını proaktif biçimde tasarladık, repo’lar oluşturduk ve ekipler arasında tutarlılık sağladık.

Peki, bağımsız denetim sürecinde aslında ne yaptık? Sürece nasıl yaklaştığımızı, ne tür materyaller hazırladığımızı ve zamanı geldiğinde tam anlamıyla denetim hazır olmak için nasıl organize olduğumuzu birlikte inceleyelim.

İç Denetim Koordinasyon Ekibinin Oluşturulması

Denetim aşaması yaklaştıkça, birincil sorumluluklarımız arasında yer almasa da tüm denetimle ilgili faaliyetleri yönetmek amacıyla farklı proje rollerinden üyeleri bir araya getirerek küçük bir iç koordinasyon ekibi kurduk.

Rolümüz şunları kapsıyordu:

• Dış denetçiden gelen tüm talepleri bir araya getirmek ve yönetmek
• Ekipler arasında doğru ve zamanında yanıtlar koordine etmek
• Gerekli tüm kanıtların eksiksiz, erişilebilir ve doğru biçimde formatlanmış olmasını sağlamak.

Bu ekip aynı zamanda denetçilerle sürekli iletişim kurarak zamanında güncellemeler sağladı ve her talebin amacını ve kapsamını netleştirdi. Bu yapı sayesinde karışıklık ve gecikmeleri önleyerek sorunsuz bir inceleme süreci yürüttük.

Tasarım Gereği Şeffaflık: Dokümantasyon

Şeffaflık stratejimizin temel unsurlarından biri, tüm proje aşamalarında uçtan uca izlenebilirliği ve görünürlüğü sağlayan bir dokümantasyon yaklaşımı geliştirmekti. Başından itibaren dokümantasyonu bir yan ürün olarak değil, teknik çıktılarla eşdeğer öneme sahip birincil bir teslimat olarak ele aldık. Gereksinimler, kullanıcı hikayeleri, test senaryoları, bulgular, kararlar ve teknik notlar tutarlı biçimde takip edildi ve birbirine bağlandı. Proje ekipleri, ilerlemeyi, zorlukları ve sonuçları doğrudan Jira üzerinde aktif olarak belgeledi; creating a transparent, centralized, ve real-time source of truth for all stakeholders. Jira, yalnızca bir görev yönetim aracı olarak değil, proje risk yönetimi, değişiklik yönetimi ve işlevler arası kararlar dahil tüm SDLC ile ilgili eserlerin yetkili aracı olarak hizmet verdi. Bağımsız denetimi desteklemek amacıyla, proje yönetim planında tanımlanan yönetişim çerçevesiyle uyumlu olarak Jira projesine read-only erişim verildi. Yorumlar, ekler ve çapraz referanslar bu ortamı zenginleştirerek tüm proje yürütme sürecinin bağlamsal bir hikayesini ortaya koydu. Bu kapsam şunları içeriyordu:

• Sprint ve board içinde takip edilen teslimat durumları ve yayın planılaması; kilometre taşları, sahiplik ve zaman çizelgelerine göre ilerleme hakkında gerçek zamanlı içgörü sundu
• Bağlantılı epikler, hikayeler ve alt görevler aracılığıyla uçtan uca gereksinim izlenebilirliği
• Önemli seçimler ve yönetişim etrafında şeffaflık sağlamak amacıyla ilgili özellik ve tartışmalara bağlı karar kayıtları ve değişiklik geçmişi
• Sistem gereksinimleri ve test sonuçlarıyla uyumlu, iyi organize edilmiş test dokümantasyonu
• Keşiften çözüme kadar kök neden bağlamıyla kapsamlı hata yaşam döngüsü takibi

Proje alanımıza ek olarak şunları sağladık:

• Proje yönetişimini, metodolojisini, rol ve sorumlulukları, risk yönetimini, değişiklik kontrolünü ve iletişim yapısını kapsayan Proje Yönetim Planı
• Yeni süreçlerin veya sistemlerin uygulanmasından önce yönetişimi, kontrol yeterliliğini ve uyumluluk hazırlığını sağlamak amacıyla kapsamlı departmanlar arası risk değerlendirme raporları sunuldu (örn. Almanya’da önemli operasyonel değişiklikler için erken risk değerlendirmelerini zorunlu kılan MaRisk AT 8.2 kapsamında gerektiği üzere)
• Onaylı konsept belgeleri ve sistem mimarisi
• Veri göç stratejisi ve uygulama kanıtları
• Eski ve yeni sistemler arasındaki GAP analizi
• Release ve olay yönetimi kılavuzları

Bu öğelerin her biri izlenebilirlik gözetilerek oluşturuldu.

The IDW PS 850 Audit Phases

Denetim çerçevesi, her biri kendi dokümantasyon ve kanıt setini gerektiren beş temel odak alanına ayrıldı:

1. Konsept

Konsept aşaması, tüm dönüşümün stratejik planı olarak işlev görür. Tek bir kod satırı yazılmadan veya bir sistem yapılandırılmadan önce, iş hedeflerinin, mimari kısıtlamaların ve katı düzenleyici sınırların kesiştiği noktada sağlam bir temel oluşturmak kritik önem taşır. Proje yönetimi perspektifinden bakıldığında, buradaki hedefimiz ilk iş talebinden itibaren tam uyumu sağlamaktı.

Denetçiler, gereksinimlerin nasıl tanımlandığını ve sistem ile süreç tasarımlarına nasıl dönüştürüldüğünü inceledi. Aşağıdaki materyaller sunuldu:

• İşlevsel ve işlevsel olmayan gereksinim belgeleri
• Hedef mimari diyagramları ve teknik konseptler
• Uyumlulukla ilgili konsept dokümanları
• Migration planlama dokümantasyonu

Temel değerlendirme hedefi, bu materyallerin makullüğünü ve tamlığını, özellikle düzenleyici uyumluluk ve muhasebe standartları açısından doğrulamaktı.

2. Uygulama

İkinci aşama, hedef sistem bileşenlerini nasıl geliştirdiğimize, yapılandırdığımıza ve doğruladığımıza odaklandı; bu bileşenlerin bankanın işlevsel, teknik ve düzenleyici ihtiyaçlarıyla uyumlu olmasını sağladık.

Tüm geliştirme çalışmaları, tasarım konvansiyonlarını, kod kalitesi kriterlerini, dokümantasyon beklentilerini ve inceleme prosedürlerini kapsayan önceden tanımlanmış geliştirme kılavuzları tarafından yönetilen yapılandırılmış bir SDLC çerçevesinde yürütüldü. Bu kılavuzlar, ekipler arasında tutarlılık sağladı ve uygulamayı tasarım gereği doğrulanabilir bir şekilde kolaylaştırmaya yardımcı oldu. Temel teslimatlar şunları içeriyordu:

• Veri aktarımının, dönüşümünün ve hata durumunda nasıl işlendiği dahil olmak üzere arayüzlerin ve sistem entegrasyonlarının net dokümantasyonu
• Uyumluluk ve iç kontrol standartlarını karşılayacak şekilde yapılandırılmış tanımlanmış yetkilendirme rolleri ve erişim kuralları
• Her ayarın neden uygulandığını ve nasıl test edildiğini açıklayan kritik sistem parametrelerine ilişkin yapılandırma kayıtları
• Geliştirme standartları ve kodlama kılavuzları
• Her ortam için özelleştirilmiş dağıtım talimatları; BT ve güvenlik politikalarıyla tutarlılık ve uyum sağlandı

Her uygulama ve yapılandırma faaliyeti tutarlı biçimde belgelendi, yerleşik uygulamalara göre gözden geçirildi ve izlenebilir karar kayıtlarıyla desteklendi.

3. Test Konsepti ve Yürütme

Tüm proje aşamaları arasında test en çok incelenen aşamalardan biriydi. Denetçiler, yeni sistemin kapsamlı biçimde doğrulandığına dair güvence arayışındaydı. Aşağıdaki kanıtlar sunuldu:

• Strateji, araçlar, ortamlar ve sorumlulukları özetleyen ayrıntılı bir Test Yönetim Planı
• İşlevsel, işlevsel olmayan ve UAT senaryolarını kapsayan eksiksiz bir test portföyü
• Gereksinimden test senaryosuna ve hata çözümüne kadar net izlenebilirlik

Önemli bir husus olarak, tüm test senaryoları BAIT 7.11 kapsamında gereken test metodolojisine uygun şekilde belgelendi; açıkça tanımlanmış ön koşullar, test adımları, beklenen sonuçlar ve gerçek sonuçlar yer aldı. Özellikle UAT testleri şu unsurları kapsayacak biçimde yapılandırıldı: net bir test açıklaması veya özeti, ön koşul (Verilen), senaryo (Ne Zaman-Ne-Nasıl), beklenen sonuç ve gerçek sonuç. Bu yapılandırılmış yaklaşım, netliği, tutarlılığı ve tamlığı sağlayarak her temel sürecin gereği gibi test edildiğini ve doğrulandığını göstermeyi kolaylaştırdı.

Test bulgularının yönetimi de belgelendi; tanımlanmış dokümantasyon prosedürlerini, takip süreçlerini ve yeniden test standartlarını kapsadı. Denetçiler, test bulgularının nasıl takip edildiği ve kapatıldığı konusunda tutarlılığı özellikle kontrol etti.

4. Göç ve Canlıya Geçiş

Canlıya geçiş aşamasında, veri göç yaklaşımının güvenli, eksiksiz ve iyi yönetildiğini kanıtlamak gerekiyordu. Şunları sunduk:

• Dry-run migration çalışmalarına ilişkin kanıtlar
• Eski ve yeni sistemlerin çıktılarını karşılaştıran mutabakat raporları
• Paralel çalışma dokümantasyonu
• Veri kalitesi kontrolleri ve doğrulama prosedürleri
• Canlıya geçiş kılavuzu ve eski sistem için hizmet dışı bırakma planı

Sorunsuz bir göç sağlamadaki temel stratejilerden biri, paralel çalışma aşamasının yürütülmesiydi. Bu geçiş döneminde eski ve yeni sistemler paralel olarak işletildi. Çıktılar gerçek zamanlı olarak karşılaştırıldı, tutarsızlıklar tespit edildi ve resmi canlıya geçişten önce süreçler düzenlendi.

Başarı kriterleri, karşılaştırma yöntemleri ve uyuşmazlık çözüm prosedürleri dahil olmak üzere tüm süreç belgelendi. Bu aşama bir güvenlik ağı oluşturarak işletmeye güven verirken denetçilere de yüksek kalite güvencesi standardı ortaya koydu.

Resmi canlıya geçiş onayları, projenin geçiş yönetişimi kapsamında ilgili her paydaş biriminden toplandı. Prodüksiyon geçişi başlatılmadan önce her departmanın nihai canlıya geçiş karar belgesini resmi olarak onaylaması gerekiyordu. Bu onaylar şunları içeriyordu:

• Departmana özgü değerlendirmeler
• Tespit edilen açık sorunlar (varsa)
• Atanan sorumluluklar
• Canlıya geçişi için onay

5. Operasyonel Entegrasyon

Canlıya geçiş aşamasının ardından, yeni sistemin düzenli operasyonel iş akışlarına yapılandırılmış biçimde entegre edilmesi birincil hedef haline geldi. Bu entegrasyonun bir parçası olarak, hypercare planı canlıya geçişin hemen ardından hayata geçirildi. Bu plan; gerçek zamanlı olay yönetimini, raporlanan sorunların önceliklendirilmesini ve sistemi stabilize etmek için kısa döngülü yayın düzenlemelerini kapsıyordu. Hypercare faaliyetleri için ayrıntılı kılavuzlar sunduk ve yürütmemizi yapılandırılmış olay takibi, zamanında müdahaleler ve paydaşlarla ile denetçilerle paylaşılan yayın sonrası raporlar aracılığıyla gözler önüne serdik.

Aşağıdaki dokümantasyon sunuldu:

• Hypercare kılavuzları ve izleme konsepti
• Güncellenmiş değişiklik ve erişim yönetimi iş akışları
• Olay takip günlükleri

BT operasyonlarının yeni sistemi kapsayacak biçimde nasıl uyarlandığını göstererek, geçişin sürdürülebilir ve iyi kontrol altında olduğu ortaya konuldu.

Temel Çıkarımlar

IDW PS 850 denetimiyle ilgili deneyimimiz, benzer dönüşüm yolculuklarına çıkan diğer kuruluşlar için çeşitli içgörüler sunmaktadır:

• Erken başlayın. Denetim hazırlığı ilk proje belgenizle başlar ve canlıya geçiş sonrası bir faaliyet olarak ele alınmamalıdır.
• Ekibinizi kurun ve sorumlulukları atayın. İş, BT ve uyumluluk paydaşları dahil olmak üzere iş akışları genelinde başından itibaren sahipliği tanımlamak, hesap verebilirliği güvence altına alır ve denetim sürecinde dokümantasyon veya karar alma süreçlerindeki boşlukları önler.
• Kanıt odaklı organize olun. Her karar ve eylem izlenebilir olmalıdır. Tüm denetim yaşam döngüsünü yönetmek için merkezi proje yönetimi araçları kullanılmalıdır.
• Şeffaflık kültürü oluşturun. Denetçilere çalışma platformlarına erişim vermek (uygun durumlarda) güveni pekiştirir ve süreci kolaylaştırır
• Amaç üzerine belgeleyin. Her belgenin net bir sahibi, bağlamı ve formatı olmalıdır. Test dokümantasyonu ve raporlar, yerleşik sektör en iyi uygulamalarına bağlı kalmalıdır.
• İş birimini dahil edin. İş birimleri, gereksinimlerden nihai onaya kadar süreçteki paylarının sahipliğini üstlenmek zorundadır

Sonuç

Temel bankacılık dönüşümünü hayata geçirmek özünde karmaşık ve zorludur. Paralel olarak bir düzenleyici denetimi başarıyla tamamlamak, disiplin, netlik ve ekipler arasında derin koordinasyon gerektirmektedir. Bizim yaklaşımımız, bu ilkeleri projenin DNA’sına yerleştirmeye odaklandı; bu sorunları geriye dönük ele almak yerine başından itibaren benimsedik.

Bu özet proje yönetimi perspektifini yansıtırken, başarılı teslimatın tüm paydaşların güçlü iş birliğine ve kritik katkılarına da dayandığını belirtmek gerekir; benzer projelerde her zaman ek girdiler söz konusu olacaktır.

Sonuç itibarıyla denetim, bir meydan okumadan çok yaptığımız çalışmanın bir doğrulaması haline geldi. Denetim hazırlığını her kilometre taşına entegre ederek uyumluluğu kanıtlayabildik, ivmeyi koruyabildik ve en önemlisi müşterinin güvenebileceği bir sistem teslim etmeyi başardık.

Yazar: Burak Karaosmanoğlu

Tags