Şirket bünyesindeki tüm departmanların bilgi teknolojilerine bağlı hale geldiği günümüzde; bilgi teknolojileri ekseninden şirketlerin vizyon ve stratejilerini belirlemekte ve yönetmekte tartışılmaz bir rehber olan Cobit, yeni versiyonu 5.0 ile görücüye çıkmaya hazırlanıyor.
Yeni versiyonun sunacağı yeniliklerden, fazla detaya inmeden bahseden tasarım dokümanı ISACA web sitesinde bulunmakta. Cobit 5.0’ın biz Cobit takipçilerine ve kullanıcılarına sunmayı vaat ettiği iyileştirmelerden bahsetmeden önce Cobit çerçevesi hakkında kısaca bilgi vermek istiyorum. Cobit kurumlara, bilgi teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koyan bir yaklaşım sunmaktadır. Ulaşılması gereken hedeflerden kastedilen, ilgili süreçler için sağlanması gereken en iyi uygulamalar bütünüdür.
Cobit’i ITIL, CMMI ve ISO standartlarından ayıran en büyük özellik, Cobit’in bütün bilgi teknolojileri fonksiyonlarını içeren bir yaklaşım sunuyor olması. İşte bu sebeple görüyoruz ki; Cobit, tek veya grup halinde bilgi teknolojileri süreçlerini değil bilgi teknolojilerini bir bütün olarak yönetmeye odaklanmaktadır. Genel olarak bilgi teknolojileri stratejisi ile iş stratejisinin uyumunu sağlamaya çalışan Cobit’in, her sektörden ve her boyuttan şirket tarafından uygulanabilmesi ile denetim, süreç iyileştirme ve süreç yönetimi gibi farklı kullanım amaçlarına da hizmet etme özelliği onu oldukça cazip bir hale getiriyor.
Okumakta olduğunuz doküman, sizlere henüz yayınlanmamış olan, Cobit 5.0 versiyonu ile yapılması düşünülen değişiklikleri anlatmak amacıyla hazırlanmıştır.
Bilindiği üzere ISACA, birçok farklı alana rehberlik edecek çeşitli kılavuzlar geliştirmiştir. Cobit 5.0 versiyonu; birbirinden etkili ve güçlü Val IT, Risk IT, ITAF ve BMIS kılavuzları ile Cobit 4.1’i bir araya getirerek yeni bir çerçeve sunumu ortaya çıkartmayı hedeflemiş. Bu şekilde tek bir bütünleşik yapı ortaya çıkmakta ve bu sayede de pek çok farklı alana hizmeti tek bir kaynaktan gerçekleştirebilecek olmanın getireceği kullanım kolaylığı bizi heyecanlandırmaktadır.
Yeni versiyon ile dikkat çeken diğer gelişmeler, Cobit 5.0 versiyonu ile kurumsal BT yönetişim ve yönetim faaliyet alanlarının birbirinden ayrılmış olması ve Cobit 4.1 versiyonundaki mevcut alan adlarına üçüncü bir boyut daha eklenmesidir. Faaliyet alanlarına ait süreç isimlerinin birkaç istisna süreç dışında yenilenmiş olduğu görülüyor. Süreçler arasındaki etkileşimlerin de göz önünde bulundurulmuş olması büyük bir artı puan getiriyor yeni versiyona.
Cobit 5.0’ı geliştirme aşamasında aşağıda sıralanan konuların göz önünde bulundurulduğu belirtilmiş.
Bu konular;
• ISACA tarafından oluşturulmuş olan bütün kılavuzları barındıran bütünleşik bir çerçeveye duyulan ihtiyaç,
• Cobit’in önceki versiyonlarından yeni versiyona geçişin kolay olması,
• Yeni versiyonda kullanılacak olan konseptler ve terminolojiler için yapılan detaylandırma seviyelerinin tutarlılığı,
• Kurumsal mimari, karar verme, sürdürebilirlik gibi alanlar için ek kılavuzlara duyulan ihtiyaç,
• Yönetişim ve yönetim süreçlerinin, iş ve BT sorumlulukları ile entegre olma garantisine duyulan ihtiyaç, olarak sıralanabilir.
Geliştirme aşamasında göz önünde bulundurulan konular, mevcut paydaşların ihtiyaçları üzerinde varsayımlar yapılarak belirlenmiş. Bahsedilen paydaşlar; Cobit’i uygulayan, Cobit’in uygulanmasında destek olan ya da kullanımından bir şekilde etkilenen taraflardır. Paydaşları; Cobit’i kullanmakta olan iç paydaşlar ile iş ortakları, danışmanlar, tedarikçiler ya da denetçilerin içinde bulunduğu grubu kapsayan dış paydaşlar olarak sınıflandırabiliriz. İç ve dış paydaşların endişelerine sırasıyla örnek vermek gerekirse; “Uygulamalarımın yasalarla uyumlu olduğundan nasıl emin olabilirim?” sorusu iç paydaşların, “Kurumun etkili bir iç denetim sağladığından nasıl emin olabilirim?” sorusu ise dış paydaşların düşündükleri varsayılan sorulara birer örnek teşkil edebilir.
Yönetişimi İleriye Taşımak: Cobit 5.0 versiyonunun sunduğu bir diğer yenilik; “Yönetişimi İleriye Taşımak” yaklaşımıdır. Yeni versiyon, bu yaklaşım temel alınarak şekillendirilmiş. Bu yaklaşımın sunmakta olduğu model, etkili bir yönetişim yapısının kurulabilmesi için sormamız gereken sorulara ve bu soruların birbirleriyle olan etkileşimlerine dikkat çekiyor. Bu sorular ile ilgili servisin ne için, kim tarafından, nerede ve nasıl gerçekleştirildiği konularında detaylı bilgi sahibi olunabilinmesi amaçlanmış. Bu yaklaşımın sunmuş olduğu model kapsamı içinde, yeni versiyon ile değişikliğe uğramış ve yeni oluşturulmuş olan “süreç modeli” ile “bilgi referans modeli” kullanılıyor.
Bilgi Referans Modeli: İş hedeflerinin istenildiği şekilde tam ve doğru olarak karşılanabilmesi için kullanılmakta olan bilginin, bazı kontrol özelliklerine sahip olması gerekiyor. Cobit, bahsetmiş olduğumuz kontrol özelliklerini bilgi için iş kriterleri olarak nitelendirmekte ve 4.1 versiyonunda yedi kriter üzerinde durmakta idi. Bu kriterler sırasıyla; etkinlik, verimlilik, gizlilik, bütünlük, erişebilirlik, uyum ve güvenilirliktir. Cobit 4.1 versiyonunda söz konusu olan bilgi kriterleri kapsamının, Cobit 5.0 versiyonu ile genişletilmiş olduğu görülmekte. Bu sayede bilgi için ihtiyaç duyulan gereksinimler daha net ve detaylı bir şekilde açıklanabilecek. Oluşturulan bu yeni modelin, bilgi kavramı için tek başına bir kılavuz niteliğinde olduğu açık ve çok çeşitli alanlarda görev alan paydaşlar için de ortak bir dil sunabileceği düşüncesi söz konusu.
Cobit 5.0 Ürün Ailesi: Yeni versiyonun ürün ailesini oluşturan yayınlardan bahsetmek gerekirse bunlar sırasıyla; başlangıç yayını olan “Cobit 5 Framework”, “Objectives Views”, “Enabler Views”, “Functional (Criteria) Views”, “Organisational Views” and “Responsibility Views”. Son beş yayının kapsamı paydaşların rollerine göre; paydaşlara rehber olabilecek nitelikte hazırlanmış olup, paydaşların çok özel ihtiyaçlarını karşılamak üzere grup bazlı geliştirilmiş. Başlangıç yayını olan “Cobit 5 Framework” yeni versiyonun sağladığı faydaları, nasıl uygulanacağından bahsetmeyi, süreç ve bilgi referans modelleri ile Cobit 5.0 mimarisi hakkında bilgiler içermeyi amaçlıyor. Yayın aynı zamanda süreçlerin detaylandırılması, sürecin kurumun iş etkisine olan katkısı, sürecin hedeflerine ulaşabilmesi için uygulanacak olan pratik uygulamaları, süreç olgunluk modeli, süreçlerin temel girdi ve çıktıları, süreçlerin hedefleri ve metrikleri konularına ışık tutmayı hedefliyor. Yayın aynı zamanda Cobit 5,0’a geçiş için bilgi sağlayacak ve BT yönetişiminin nasıl uygulanacağı konusunda rehberlik edecektir.
Cobit 5.0 Mimarisi: Yeni versiyonun sahip olduğu mimariye baktığımızda; üç katmanın rol almakta olduğunu görüyoruz. Bu katmanlar sırasıyla; “Cobit 5.0 Stakeholders”, “Knowledge Base” ve “Metadata Layer”dır. Birinci katman; BT paydaşlarına, onların ihtiyaçlarına ve amaçlarına ilişkin bilgiler içermekte, ikinci katmanda bütün faaliyet alanları ve süreçlerine ilişkin bilgilerin tamamı yer almakta ve son olarak üçüncü katmanda ise Cobit 5.0’da kullanılan bütün bileşenlerin tanımları ve birbirleriyle olan ilişkileri tanımlanmaktadır. Birinci katmanda belirlenen ihtiyaçlara göre ikinci katmandaki bilgilerin çekilmesi, sonrasında da ürün ya da özelleştirilmiş hizmetler şeklinde paydaşlara sunulması düşünülmektedir. İkinci katmandaki bilgiler, üçüncü katmanda bulunan modeller ve bileşenler kullanılarak yapılandırılacaktır.
Anket Çalışması: Yeni versiyon ile yapılan değişiklikleri anlatan tasarım dokümanına ilişkin yapılan anket çalışmasını inceleyecek olursak eğer; ankete 600 üzerinde IT uzmanının katılmış olduğu ve 3000 bireysel yorum ile yapılan değişiklikler hakkında geribildirimler alındığı bilgisine sahibiz. Yapılan kilit yorumların bazıları aşağıda görülmektedir;
• Yönetişimi ileriye taşımak modelinde yönetişim düşüncesinin bütünsel bir yapı olarak incelenebilmesini sağlayan yapı oldukça faydalı bulunmuş.
• Bilgi referans modeli beğenilmiş ancak bu çalışma ile başka kurumların ve akademik dünyanın çalışma alanlarına girildiği ve bazı konularda yeterli detaylandırma seviyesinin sağlanamadığı vurgulanmış.
• ISACA çalışmalarının, asıl odak noktası olan BT çekirdek denetimi misyonundan ve ilgili ürünlerinden uzaklaşmakta olduğuna dikkat çekilerek, kurumsal BT yönetişim çalışmasının faydalı olduğu ancak bu çalışmanın yeni versiyon yerine daha çok Val IT ile ilişkilendirileceği kanısına varılmış.
• Bilgi referans modeli için kullanılan IRM (Information Reference Model) kısaltmasının “Information Risk Management” ifadesi ile karıştırılabilineceği, bunun yerine ilgili model isminin “Reference Model for Information” olarak değiştirilmesi önerilmiş.
• ISACA tarafından oluşturulmuş olan bütün çerçevelerin yönetim tarafından satın alınmasının zor olduğu ve bu güçlü çerçevelerin tek bir bütünleşik yapıya indirgenmesinin hem sunum hem de uygulamaya teşvik edilmesi açısından faydalı olacağı düşünülmüş.
• Bütünleşik çerçeveyi oluşturan bileşenlerin farklı kullanıcılara da hitap etme özelliğinin güçlü bulunması sebebiyle, çerçevelerin bireysel olarak da aktif kalmaları gerekliliği vurgulanmış.
• Cobit 5.0 versiyonunun sahip olduğu ürün ailesi teorik olarak iyi bulunmuş ancak asıl önemli olan konunun, yayınların birbirleriyle olan ilişkilendirmelerinin iyi yapılması olduğu vurgulanmış.
• Planlanan ve uygulanmış olan işler bütün endüstri için çok değerli bulunmuş ancak kurumların büyük çoğunluğunun küçük ve orta ölçekli olduğunun unutulmaması gerektiği vurgulanmış.
• Yeni versiyon ile önerilen yaklaşım; diğer çerçeveleri bir araya toplamak olduğundan, çerçeveler arasındaki eşleştirmeleri ve çerçeveler perspektifinden oluşturulmuş bir kılavuzun varlığının oldukça faydalı olacağından bahsedilmiş.
• Yeni versiyon ile yapılmış olan büyük boyutlu iyileştirmeleri benimseyebilmek için yeterli niteliklere sahip eğitimlere ihtiyaç duyulacağı belirtilmiş.
• Veritabanına katkıda bulunulmasını sağlayacak, kritiklerin ve görüş ayrılıklarının paylaşılabilinmesine olanak sağlayacak bir modelin eksikliği vurgulanmış.
Cobit 5.0 versiyonu hakkında yapılan genel değerlendirme neticesinde yeni versiyonun; birçok alana rehberlik eden çalışmaları kapsam içine alması, önemli konuları detaylandırıp daha fazla boyutu göz önüne alarak incelemesi, yönetim ve yönetişim kavramlarını ayrı ayrı ele alarak aralarındaki etkileşimi de göz önünde bulundurması gibi özellikleriyle oldukça faydalı bir çerçeve sunmaya hazır olduğunu söyleyebiliriz.
Kaynak: Derya KORKMAZ, INNOVA
Rıdvan Akçiçek, PMP, PSM I 