COBIT 5.0 Önemli Yeniliklerle Geliyor

Şirket bünyesindeki tüm departmanların bilgi teknolojilerine bağlı hale geldiği günümüzde; bilgi teknolojileri ekseninden şirketlerin vizyon ve stratejilerini belirlemekte ve yönetmekte tartışılmaz bir rehber olan Cobit, yeni versiyonu 5.0 ile görücüye çıkmaya hazırlanıyor.

Yeni versiyonun sunacağı yeniliklerden, fazla detaya inmeden bahseden tasarım dokümanı ISACA web sitesinde bulunmakta. Cobit 5.0’ın biz Cobit takipçilerine ve kullanıcılarına sunmayı vaat ettiği iyileştirmelerden bahsetmeden önce Cobit çerçevesi hakkında kısaca bilgi vermek istiyorum. Cobit kurumlara, bilgi teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koyan bir yaklaşım sunmaktadır. Ulaşılması gereken hedeflerden kastedilen, ilgili süreçler için sağlanması gereken en iyi uygulamalar bütünüdür.

Cobit’i ITIL, CMMI ve ISO standartlarından ayıran en büyük özellik, Cobit’in bütün bilgi teknolojileri fonksiyonlarını içeren bir yaklaşım sunuyor olması. İşte bu sebeple görüyoruz ki; Cobit, tek veya grup halinde bilgi teknolojileri süreçlerini değil bilgi teknolojilerini bir bütün olarak yönetmeye odaklanmaktadır. Genel olarak bilgi teknolojileri stratejisi ile iş stratejisinin uyumunu sağlamaya çalışan Cobit’in, her sektörden ve her boyuttan şirket tarafından uygulanabilmesi ile denetim, süreç iyileştirme ve süreç yönetimi gibi farklı kullanım amaçlarına da hizmet etme özelliği onu oldukça cazip bir hale getiriyor.
Okumakta olduğunuz doküman, sizlere henüz yayınlanmamış olan, Cobit 5.0 versiyonu ile yapılması düşünülen değişiklikleri anlatmak amacıyla hazırlanmıştır.

Bilindiği üzere ISACA, birçok farklı alana rehberlik edecek çeşitli kılavuzlar geliştirmiştir. Cobit 5.0 versiyonu; birbirinden etkili ve güçlü Val IT, Risk IT, ITAF ve BMIS kılavuzları ile Cobit 4.1’i bir araya getirerek yeni bir çerçeve sunumu ortaya çıkartmayı hedeflemiş. Bu şekilde tek bir bütünleşik yapı ortaya çıkmakta ve bu sayede de pek çok farklı alana hizmeti tek bir kaynaktan gerçekleştirebilecek olmanın getireceği kullanım kolaylığı bizi heyecanlandırmaktadır.

Yeni versiyon ile dikkat çeken diğer gelişmeler, Cobit 5.0 versiyonu ile kurumsal BT yönetişim ve yönetim faaliyet alanlarının birbirinden ayrılmış olması ve Cobit 4.1 versiyonundaki mevcut alan adlarına üçüncü bir boyut daha eklenmesidir. Faaliyet alanlarına ait süreç isimlerinin birkaç istisna süreç dışında yenilenmiş olduğu görülüyor. Süreçler arasındaki etkileşimlerin de göz önünde bulundurulmuş olması büyük bir artı puan getiriyor yeni versiyona.
Cobit 5.0’ı geliştirme aşamasında aşağıda sıralanan konuların göz önünde bulundurulduğu belirtilmiş.

Bu konular;
• ISACA tarafından oluşturulmuş olan bütün kılavuzları barındıran bütünleşik bir çerçeveye duyulan ihtiyaç,
• Cobit’in önceki versiyonlarından yeni versiyona geçişin kolay olması,
• Yeni versiyonda kullanılacak olan konseptler ve terminolojiler için yapılan detaylandırma seviyelerinin tutarlılığı,
• Kurumsal mimari, karar verme, sürdürebilirlik gibi alanlar için ek kılavuzlara duyulan ihtiyaç,
• Yönetişim ve yönetim süreçlerinin, iş ve BT sorumlulukları ile entegre olma garantisine duyulan ihtiyaç, olarak sıralanabilir.

Geliştirme aşamasında göz önünde bulundurulan konular, mevcut paydaşların ihtiyaçları üzerinde varsayımlar yapılarak belirlenmiş. Bahsedilen paydaşlar; Cobit’i uygulayan, Cobit’in uygulanmasında destek olan ya da kullanımından bir şekilde etkilenen taraflardır. Paydaşları; Cobit’i kullanmakta olan iç paydaşlar ile iş ortakları, danışmanlar, tedarikçiler ya da denetçilerin içinde bulunduğu grubu kapsayan dış paydaşlar olarak sınıflandırabiliriz. İç ve dış paydaşların endişelerine sırasıyla örnek vermek gerekirse; “Uygulamalarımın yasalarla uyumlu olduğundan nasıl emin olabilirim?” sorusu iç paydaşların, “Kurumun etkili bir iç denetim sağladığından nasıl emin olabilirim?” sorusu ise dış paydaşların düşündükleri varsayılan sorulara birer örnek teşkil edebilir.

Yönetişimi İleriye Taşımak: Cobit 5.0 versiyonunun sunduğu bir diğer yenilik; “Yönetişimi İleriye Taşımak” yaklaşımıdır. Yeni versiyon, bu yaklaşım temel alınarak şekillendirilmiş. Bu yaklaşımın sunmakta olduğu model, etkili bir yönetişim yapısının kurulabilmesi için sormamız gereken sorulara ve bu soruların birbirleriyle olan etkileşimlerine dikkat çekiyor. Bu sorular ile ilgili servisin ne için, kim tarafından, nerede ve nasıl gerçekleştirildiği konularında detaylı bilgi sahibi olunabilinmesi amaçlanmış. Bu yaklaşımın sunmuş olduğu model kapsamı içinde, yeni versiyon ile değişikliğe uğramış ve yeni oluşturulmuş olan “süreç modeli” ile “bilgi referans modeli” kullanılıyor.

Bilgi Referans Modeli: İş hedeflerinin istenildiği şekilde tam ve doğru olarak karşılanabilmesi için kullanılmakta olan bilginin, bazı kontrol özelliklerine sahip olması gerekiyor. Cobit, bahsetmiş olduğumuz kontrol özelliklerini bilgi için iş kriterleri olarak nitelendirmekte ve 4.1 versiyonunda yedi kriter üzerinde durmakta idi. Bu kriterler sırasıyla; etkinlik, verimlilik, gizlilik, bütünlük, erişebilirlik, uyum ve güvenilirliktir. Cobit 4.1 versiyonunda söz konusu olan bilgi kriterleri kapsamının, Cobit 5.0 versiyonu ile genişletilmiş olduğu görülmekte. Bu sayede bilgi için ihtiyaç duyulan gereksinimler daha net ve detaylı bir şekilde açıklanabilecek. Oluşturulan bu yeni modelin, bilgi kavramı için tek başına bir kılavuz niteliğinde olduğu açık ve çok çeşitli alanlarda görev alan paydaşlar için de ortak bir dil sunabileceği düşüncesi söz konusu.

Cobit 5.0 Ürün Ailesi: Yeni versiyonun ürün ailesini oluşturan yayınlardan bahsetmek gerekirse bunlar sırasıyla; başlangıç yayını olan “Cobit 5 Framework”, “Objectives Views”, “Enabler Views”, “Functional (Criteria) Views”, “Organisational Views” and “Responsibility Views”. Son beş yayının kapsamı paydaşların rollerine göre; paydaşlara rehber olabilecek nitelikte hazırlanmış olup, paydaşların çok özel ihtiyaçlarını karşılamak üzere grup bazlı geliştirilmiş. Başlangıç yayını olan “Cobit 5 Framework” yeni versiyonun sağladığı faydaları, nasıl uygulanacağından bahsetmeyi, süreç ve bilgi referans modelleri ile Cobit 5.0 mimarisi hakkında bilgiler içermeyi amaçlıyor. Yayın aynı zamanda süreçlerin detaylandırılması, sürecin kurumun iş etkisine olan katkısı, sürecin hedeflerine ulaşabilmesi için uygulanacak olan pratik uygulamaları, süreç olgunluk modeli, süreçlerin temel girdi ve çıktıları, süreçlerin hedefleri ve metrikleri konularına ışık tutmayı hedefliyor. Yayın aynı zamanda Cobit 5,0’a geçiş için bilgi sağlayacak ve BT yönetişiminin nasıl uygulanacağı konusunda rehberlik edecektir.

Cobit 5.0 Mimarisi: Yeni versiyonun sahip olduğu mimariye baktığımızda; üç katmanın rol almakta olduğunu görüyoruz. Bu katmanlar sırasıyla; “Cobit 5.0 Stakeholders”, “Knowledge Base” ve “Metadata Layer”dır. Birinci katman; BT paydaşlarına, onların ihtiyaçlarına ve amaçlarına ilişkin bilgiler içermekte, ikinci katmanda bütün faaliyet alanları ve süreçlerine ilişkin bilgilerin tamamı yer almakta ve son olarak üçüncü katmanda ise Cobit 5.0’da kullanılan bütün bileşenlerin tanımları ve birbirleriyle olan ilişkileri tanımlanmaktadır. Birinci katmanda belirlenen ihtiyaçlara göre ikinci katmandaki bilgilerin çekilmesi, sonrasında da ürün ya da özelleştirilmiş hizmetler şeklinde paydaşlara sunulması düşünülmektedir. İkinci katmandaki bilgiler, üçüncü katmanda bulunan modeller ve bileşenler kullanılarak yapılandırılacaktır.

Anket Çalışması: Yeni versiyon ile yapılan değişiklikleri anlatan tasarım dokümanına ilişkin yapılan anket çalışmasını inceleyecek olursak eğer; ankete 600 üzerinde IT uzmanının katılmış olduğu ve 3000 bireysel yorum ile yapılan değişiklikler hakkında geribildirimler alındığı bilgisine sahibiz. Yapılan kilit yorumların bazıları aşağıda görülmektedir;

• Yönetişimi ileriye taşımak modelinde yönetişim düşüncesinin bütünsel bir yapı olarak incelenebilmesini sağlayan yapı oldukça faydalı bulunmuş.
• Bilgi referans modeli beğenilmiş ancak bu çalışma ile başka kurumların ve akademik dünyanın çalışma alanlarına girildiği ve bazı konularda yeterli detaylandırma seviyesinin sağlanamadığı vurgulanmış.
• ISACA çalışmalarının, asıl odak noktası olan BT çekirdek denetimi misyonundan ve ilgili ürünlerinden uzaklaşmakta olduğuna dikkat çekilerek, kurumsal BT yönetişim çalışmasının faydalı olduğu ancak bu çalışmanın yeni versiyon yerine daha çok Val IT ile ilişkilendirileceği kanısına varılmış.
• Bilgi referans modeli için kullanılan IRM (Information Reference Model) kısaltmasının “Information Risk Management” ifadesi ile karıştırılabilineceği, bunun yerine ilgili model isminin “Reference Model for Information” olarak değiştirilmesi önerilmiş.
• ISACA tarafından oluşturulmuş olan bütün çerçevelerin yönetim tarafından satın alınmasının zor olduğu ve bu güçlü çerçevelerin tek bir bütünleşik yapıya indirgenmesinin hem sunum hem de uygulamaya teşvik edilmesi açısından faydalı olacağı düşünülmüş.
• Bütünleşik çerçeveyi oluşturan bileşenlerin farklı kullanıcılara da hitap etme özelliğinin güçlü bulunması sebebiyle, çerçevelerin bireysel olarak da aktif kalmaları gerekliliği vurgulanmış.
• Cobit 5.0 versiyonunun sahip olduğu ürün ailesi teorik olarak iyi bulunmuş ancak asıl önemli olan konunun, yayınların birbirleriyle olan ilişkilendirmelerinin iyi yapılması olduğu vurgulanmış.
• Planlanan ve uygulanmış olan işler bütün endüstri için çok değerli bulunmuş ancak kurumların büyük çoğunluğunun küçük ve orta ölçekli olduğunun unutulmaması gerektiği vurgulanmış.
• Yeni versiyon ile önerilen yaklaşım; diğer çerçeveleri bir araya toplamak olduğundan, çerçeveler arasındaki eşleştirmeleri ve çerçeveler perspektifinden oluşturulmuş bir kılavuzun varlığının oldukça faydalı olacağından bahsedilmiş.
• Yeni versiyon ile yapılmış olan büyük boyutlu iyileştirmeleri benimseyebilmek için yeterli niteliklere sahip eğitimlere ihtiyaç duyulacağı belirtilmiş.
• Veritabanına katkıda bulunulmasını sağlayacak, kritiklerin ve görüş ayrılıklarının paylaşılabilinmesine olanak sağlayacak bir modelin eksikliği vurgulanmış.
Cobit 5.0 versiyonu hakkında yapılan genel değerlendirme neticesinde yeni versiyonun; birçok alana rehberlik eden çalışmaları kapsam içine alması, önemli konuları detaylandırıp daha fazla boyutu göz önüne alarak incelemesi, yönetim ve yönetişim kavramlarını ayrı ayrı ele alarak aralarındaki etkileşimi de göz önünde bulundurması gibi özellikleriyle oldukça faydalı bir çerçeve sunmaya hazır olduğunu söyleyebiliriz.

Kaynak: Derya KORKMAZ, INNOVA

COBIT ve ITIL İlişkisini Merak Edenlere İlker Tutu’dan Güzel Bir Yazı..

COBIT ve ITIL

CobiT nedir?

Türkiye’de son yıllarda özellikle finans sektöründe bir CobiT rüzgârı almış başını gidiyor. Geçen birkaç yıl içerisinde bu rüzgâr finans sektörüyle de sınırlı kalmayıp üretimden eğlenceye, büyük holding şirketlerinden kobilere pek çok farklı alanda görülmeye başladı. Peki, nedir bu CobiT? Yazımda sizlere CobiT’i tanıtmaya ve nasıl kullanabileceğinizi göstermeye çalışacağım.

CobiT’in tanımı

Tanım olarak CobiT, “Control Objectives for Information and Related Technology” nin kısaltılmış halidir. Türkçe ifade etmek gerekirse “Bilgi ve ilgili teknoloji için kontrol hedefleri”.  Bu tanım, CobiT’in amacını ifade etmesi açısından önemlidir. CobiT, Bilgi Teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koymaktadır.

 

Benzer standartlardan farkı nedir?

CobiT’i, ITIL, CMMI ve ISO standartlarından ayıran en büyük özelliği tüm BT fonksiyonlarını kapsayan bir çerçeve sunmasıdır.  Farklı şekilde ifade etmek gerekirse CobiT içerisinde yer alan 34 süreci bir arada değerlendirdiğinizde BT yönetiminin her alanını kapsama almış olursunuz. Bu nedenle diğer standartlardan farklı şekilde, CobiT’in tek veya grup halinde BT süreçlerine değil BT’nin yönetilmesine odaklandığını söylemek doğru olur.

CobiT’in diğer bir özelliği de, içerisindeki süreçlerin nasıl uygulanması gerektiğine dair detaylı çözüm yöntemleri içermemesidir.  Esas olarak kontrol hedeflerinden oluşmaktadır ve bu hedefler o süreç içerisinde sağlanması gereken en iyi uygulamaları açıklamaktadır. Fakat birkaç istisna dışında bu süreçlerin hiçbiri için kontrol hedeflerine ulaşılmasını sağlayacak bir yöntem, şablon veya tasarım önermemektedir.  Örnek vermek gerekirse, DS5 Sistem Güvenliğinin Sağlanması sürecinde sistemlere ve bilgiye erişen kişilerin kimliklerinden emin olunması gerektiği belirtilir. Ancak bunun yapılması için kullanılabilecek yöntemlerden (kullanıcı adı/şifre, biyometrik kimlik doğrulama, token, fiziksel sınırlama vb) bahsedilmez. Uygulama sırasında bu tür kontrol örneklerine ihtiyaç duyulabileceği göz önünde bulundurularak ISACA tarafından “CobiT Control Practices” adında CobiT’e ek bir kılavuz dokümanı yayınlanmıştır.

Öne çıkan özellikleri

CobiT aşağıdaki genel özellikleri gösterir:

·         Bilgi Teknolojileri’nin şirketin iş (ticari) amaçlarına hizmet etmesi gerektiğini benimser,

·         BT stratejisi ile iş stratejisinin uyumunu sağlamaya çalışır,

·         Bu özellikleriyle modern BT Yönetiminin kabul görmüş kurallarını içerir,

·         İçerisindeki 34 süreç ile neredeyse tüm BT fonksiyonlarını kapsar,

·         Diğer BT yönetimi standartları ile (ISO, ITIL, CMMI, MOF, vb) uyumludur,

·         Her sektörden ve her boyuttaki şirket tarafından kullanılabilir,

·         Denetim, süreç iyileştirme, süreç yönetimi, ölçüm, karşılaştırma vb farklı kullanım amaçları vardır.

 

CobiT süreçleri

CobiT içerisinde 4 ana başlık altında toplam 34 süreç bulunmaktadır. Yukarıda da belirttiğimiz gibi bu 34 süreç, pek çok şirket için BT fonksiyonlarının hemen hepsini kapsar. CobiT içerisinde aşağıdaki süreçler bulunmaktadır:

Planlama ve Organizasyon

 

PO 1 Stratejik BT planının tanımlanması

PO 2 Bilgi mimarisinin tanımlanması

PO 3 Teknolojik yönün belirlenmesi

PO 4 BT süreçlerinin organizasyonunun ve ilişkilerinin tanımlanması

PO 5 BT yatırımlarının yönetimi

PO 6 Yönetimin amaçlarının iletilmesi

PO 7 BT İnsan kaynakları yönetimi

PO 8 BT Kalite yönetimi

PO 9 BT riskinin değerlendirilmesi ve yönetimi

PO 10 Proje yönetimi

Edinim ve Kurulum

AI 1 Çözümlerin belirlenmesi

AI 2 Uygulama yazılımının geliştirilmesi ve bakımı

AI 3 Teknoloji alt yapısının oluşturulması ve bakımı

AI 4 Operasyon ve kullanımın sağlanması

AI 5 BT kaynaklarının satın alınması

AI 6 Değişiklik yönetimi

AI 7 Çözümlerin ve değişikliklerin uygulanması ve akredite edilmesi

Hizmet ve Destek

DS 1 Hizmet seviyelerinin tanımlanması ve yönetimi

DS 2 Üçüncü kişilerden alınan hizmetlerin yönetimi

DS 3 Performans ve kapasite yönetimi

DS 4 Hizmet sürekliliğinin sağlanması

DS 5 Sistem güvenliğinin sağlanması

DS 6 Maliyetlerin belirlenmesi ve dağıtılması

DS 7 Kullanıcıların eğitimi

DS 8 Hizmet sunumu yönetimi ve olay yönetimi

DS 9 Konfigürasyon yönetimi

DS 10 Problem yönetimi

DS 11 Veri yönetimi

DS 12 Fiziksel çevre yönetimi

DS 13 Operasyon yönetimi

İzleme ve Değerlendirme

 

ME 1 Bilgi sistemleri performansının izlenmesi ve değerlendirilmesi

ME 2 İç kontrolün izlenmesi ve değerlendirilmesi

ME 3 Mevzuata uyumun sağlanması

ME 4 Bilgi sistemlerine ilişkin kurumsal yönetişimin temini

İçeriği

CobiT içerisinde, yukarıdaki her bir süreç için aşağıdakiler bulunmaktadır:

1.       Sürecin tanımı

 

Süreç tanımı, her CobiT sürecinin ilk sayfasında bulunur ve sürecin genel hatlarını belirler. İçerisinde şu bilgiler bulunur:

·         İlgili süreç hedefleri

o   Etkinlik

o   Verimlilik

o   Gizlilik

o   Bütünlük

o   Erişilebilirlik

o   Uyum

o   Güvenilirlik

·         Sürecin amacı

·         Sürecin, iş süreçleri açısından önemi

·         Odaklanılan konular

·         İçerisindeki temel faaliyetler

·         Başarı göstergeleri

·         İlgili BT yönetişimi alanları

o   Stratejik uyum

o   Değer üretimi

o   Risk yönetimi

o   Performans ölçümü

o   Kaynak yönetimi

·         İlgili BT unsurları

o   Uygulama

o   Bilgi

o   Altyapı

o   İnsan

Süreç tanımı, CobiT’in en çok kullanılan ve en faydalı alanlarından birisidir. Kullanımına örnek olarak her iş yerinde bulunan bir süreci ele alalım: “Performans ve kapasite yönetimi”. Elbette sistemlerimizin performans ve kapasitesini yönetiyoruz, peki şu soruların yanıtlarını verebiliyor muyuz?

·         Kapasite ve performans yönetimi ne demektir?

·         Biz bu süreci daha iyi işletince şirketin ticari faaliyetleri bundan nasıl yarar sağlamaktadır?

·         Sürecin ana adımları nelerdir?

·         Süreçte nelere odaklanılmalıdır?

·         Performans ve kapasite yönetimini ne kadar iyi yaptığımızı nasıl ölçebiliriz?

2.       Detaylı kontrol hedefleri

 

Detaylı kontrol hedeflerinde sürecin işletilmesi ile ulaşılması gerekli hedefler yani iyi uygulamalar bulunmaktadır. Detaylı kontrol hedefleri, her süreç için farklı şekilde kategorilere göre ayrılmıştır. Bu bölüm ayrıca, CobiT esaslı denetimlerde uyulması gerekli bir kriter listesi olarak kullanılır. Benzer şekilde CobiT uyumluluğunun sağlanması amacıyla gerçekleştirilen süreç iyileştirme çalışmalarının da dayanak noktası detaylı kontrol hedefleridir.

Örnek olarak “DS3 Performans ve Kapasite Yönetimi” süreci üzerinden ilerlemek istersek, içerisinde şu kategoriler altında, ulaşılması gerekli hedefler bulunmaktadır:

·         DS3.1 Performans ve kapasite planlaması

·         DS3.2 Mevcut kapasite ve performans

·         DS3.3 Gelecekteki kapasite ve performans

·         DS3.4 BT kaynaklarının erişilebilirliği

·         DS3.5 İzleme ve raporlama

 

 

3.       Yönetim kılavuzları

 

Bu sayfada, sürecin yönetilmesi için gerekli bilgilere yer verilmektedir. İçerisinde şu konularda bilgiler bulunur:

·         Süreç girdileri ve çıktıları: Sürece girdi olabilecek bilgiler, dokümanlar veya diğer faaliyet sonuçları ile bu sürecin sonunda diğer süreçlere girdi olacak unsurlar.

·         Süreçteki roller ve sorumluluklar (RACI tablosu): Her bir süreçle ilgili öne çıkan faaliyetler ve bu faaliyetlerin gerçekleştirilmesi sırasında işletimden sorumlu, hesap vermekten sorumlu, danışılan ve bilgi verilen organizasyonel roller.

·         Süreç hedefleri ve ölçüm kriterleri: Sürecin hangi şartlar gerçekleştiğinde başarılı sayılacağı ve sürecin ne kadar iyi işletildiğinin nasıl ölçülebileceği.

4.       Olgunluk modeli (Toplam bir sayfa)

 

CobiT, ayrıca her bir sürecin ne kadar olgun şekilde yönetildiğinin belirlenebilmesi ve benzer şirketlerle karşılaştırılabilmesi için bir olgunluk modeli sunmaktadır. Olgunluk modeli 0 ile 5 arasında 6 lı bir skala içermektedir ve her bir seviyeye ulaşılması için sağlanması gerekli kriterler, her bir sürece özel olarak detaylı şekilde belirtilmiştir. Olgunluk modelinde şu seviyeler bulunmaktadır:

Olgunluk seviyesi	Açıklama
0. Tanımlanmamış	Süreç konusunda şirket bünyesinde herhangi bir bilinç bulunmamaktadır. Yönetim sürecin varlığından/gerekliliğinden haberdar değildir.
1. Düzensiz	Sürecin gerekliliği bilinmektedir ancak düzenli şekilde uygulanmamaktadır
2. Tekrarlanabilir	Süreç tekrarlanabilir şekilde uygulanmaktadır ancak sürecin kriterleri ve uygulama esasları tanımlanmamıştır
3. Tanımlı	Süreç tanımlanmıştır ve tanımlandığı şekilde işletilmektedir
4. Ölçülebilir	Sürecin ne kadar iyi işletildiği ölçülmektedir
5. Optimize edilmiş	Süreç, sürekli olarak iyileştirilmektedir

Bilgi Teknolojileri süreç eşleştirme tabloları

 

CobiT içerisinde ayrıca, iş hedeflerinin bilgi teknolojileri hedefleri ile bağlantılarının kurulabilmesi amacıyla kılavuz olabilecek üç farklı tablo sunulmaktadır.

i)                    İlk tabloda iş hedefleri, bilgi teknolojileri hedefleri ve CobiT bilgi kriterleri ile eşleştirilmiştir. Bu tablo kullanılarak, örnek iş hedefleri için, bu hedefleri destekleyen bilgi teknolojiler hedefleri ve ilgili CobiT bilgi kriterleri görülebilir.

ii)                   İkinci tablo, CobiT içerisindeki BT süreçleri ile genel BT hedefleri ve bilgi kriterlerinin eşleştirilmesini içerir.

iii)                 Üçüncü tabloda ise her bir BT süreci için desteklenen BT hedefleri tersten gösterilmiştir.

Kullanım alanları

CobiT pek çok farklı amaçlar için kullanılabilir. Günümüzde en yaygın görünen kullanım amaçları şunlardır:

Denetim: CobiT, içerisinde karşılaştırma yapılabilecek iyi uygulamaları barındırması nedeniyle bir denetim aracı olarak kullanılabilir. Ayrıca, BT süreçlerinin listelenmesi sayesinde denetim kapsamının belirlenmesinde kolaylık sağlamaktadır. Bu özellikleriyle, birden fazla denetçi tarafından farklı şirketlerde yapılan denetimlerin kapsamlarının ve uyum kriterlerinin aynı şekilde değerlendirilebilmesini sağlar.

BT Süreç yönetimi: CobiT’in hemen hemen tüm BT fonksiyonlarını içeren bir çerçeve sunduğundan bahsetmiştik. Bu çerçeve sayesinde BT yöneticileri aşağıdaki soruların yanıtlarını CobiT’te bulabilir:

–          Hangi süreçleri oluşturmalıyım?

–          Bu süreçlerde hangi adımlara yer vermeliyim?

–          Rol ve sorumlulukları nasıl dağıtmalıyım?

–          Bu süreçleri ne kadar iyi uyguladığımı nasıl ölçebilirim?

 

İyi uygulamalar: CobiT, detaylı kontrol hedefleri sayesinde, her bir BT süreci için dünyada kabul görmüş en iyi uygulamaları da içermektedir. İyi uygulamalar, süreçte bulunması gerekli faaliyetleri, sorumlulukları, oluşturulması gereken rolleri, süreçlerin işlem sıralarını, süreçlerde kullanılması gereken girdileri ve oluşturulması gereken çıktıları ve buna benzer bilgileri içerir. Ek olarak, “CobiT control practices” dokümanında daha detaylı örnek alınabilecek kontrol tanımları bulunmaktadır.

Karşılaştırma aracı: İçerisindeki olgunluk modeli ile her bir BT sürecinin ne kadar olgun işletildiğinin belirlenmesi ve benzer şirketler ile karşılaştırılmasına da imkân vermektedir.

Türkiye’de CobiT

Türkiye’de CobiT’in kamuoyuna ilk yansıması BDDK’nın, bazı bankaları CobiT esaslı bir özel denetime tabi tutmasıyla gerçekleşti. Benzer bir çalışmanın 2006 yılında tüm bankalara genişletilerek zorunlu tutulması ve her iki yılda bir kez tekrar edilmesi sonucunda tüm bankalar CobiT ile tanışmış oldu. Başlangıçta yaşanan zorlukların ardından, bugün bakıldığında bankalar BT süreçlerini bir standarda uygun olarak yürütmenin meyvelerini daha kontrollü, verimli ve etkin bir BT şeklinde toplamaktalar.

Aslına bakarsanız, BDDK’nın denetim şartının çok öncesinde BT süreçlerini CobiT’e uygun şekilde yöneten bankalar bulunmaktaydı.

Fakat bankacılık CobiT’in görülebildiği tek yer değil elbette. Bankalara ek olarak, finans ve üretim sektörlerinde “olgun” sayılabilecek pek çok şirkette CobiT’i süreç yönetimi için kullanmakta. Bu konuda hem şirketlerdeki bilinç hem de bankacılık dışındaki sektörlere yönelik düzenlemeler de hızla gelişiyor.

CobiT sertifikasyonu

Gün itibariyle şirketler için bir CobiT’e uyum sertifikası yoktur. Ancak ISACA’nın CobiT 5.0 versiyonu ile birlikte bir uyum sertifikası oluşturma ve düzenleme planı bulunduğu gelen duyumlar arasında.

CobiT kaynakları

CobiT, kâr amacı gütmeyen bir kuruluş olan ISACA (“Information Systems Audit and Control Association”) ve ISACA tarafından kurulmuş olan ITGI (“IT Governance Institute”) tarafından yayınlanmaktadır.

CobiT’in en önemli kaynağı, ISACA tarafından yayınlanan CobiT 4.1 kitapçığıdır. Bu kitapçığın pdf versiyonu isaca.org/cobit adresinden ücretsiz olarak indirilebilir.

Ayrıca ISACA tarafından yayınlanan aşağıdaki kaynaklar bulunmaktadır:

CobiT Online: Isaca.org üzerinden üye olunarak ulaşılabilen ve CobiT ile ilgili tüm bilgilere ulaşılabilecek bir web sitesi

CobiT Control practices: Süreçlerin oluşturulması sırasında, CobiT Kontrol hedeflerinin sağlanabilmesi için oluşturulabilecek örnek kontroller

CobiT Assurance Guide: CobiT denetimlerinde sorgulanabilecek alanlar ve soru örnekleri

CobiT Quickstart: CobiT’in bütününün yerine deha kısıtlı bir versiyonunun uygulanması gereken durumlarda (kaynak sıkıntısı, süreç olgunluklarının çok düşük olması vb.) kullanılabilecek bir hızlı başlangıç versiyonu

CobiT eşleştirmeleri (mapping): CobiT’in farklı pek çok standart ile karşılaştırılması ve hangi alanların örtüştüğünün belirlenebilmesi için oluşturulmuş çeşitli dokümanlar

CobiT’in geleceği

CobiT’in şu andaki en son versiyonu CobiT 4.1’dir. Ancak, yaklaşık iki yıl önce başlayan çalışmalar sonucunda 5.0 versiyonunun yayınlanmasına çok yaklaşılmıştır. 2011 yılında yayınlanması beklenen yeni versiyon ile ISACA tarafından yayınlanan Risk IT ve Val IT’nin CobiT içerisinde birleştirilmesi, CobiT sertifikasyonunun mümkün hale getirilmesi gibi pek çok yenilik bekleniyor.

Türkiye’de ise her geçen gün farklı sektörlerdeki pek çok şirkette CobiT’in kullanıldığına şahit oluyoruz. Yasal düzenlemeler tarafında ise BDDK’nın yanı sıra  Hazine Müsteşarlığı ve SPK’nın da gelişmeleri izlediği ve BT’ye yönelik düzenlemelerinde CobiT’i göz önünde bulundurduğu bilinen konular.

Sonuç olarak, CobiT tüm dünyada olduğu gibi Türkiye’de de her geçen gün daha fazla şirket tarafından tanınıyor ve uygulanıyor. CobiT’in diğer standartlar ile uyumu, gözle görülebilen faydaları ve kendine özgü yaklaşımı ile bu gelişme hız kesmeyecek gibi.

COBIT ve ITIL Arasındaki Fark

CobiT ve ITIL’ın amaçları birbirinden farklı. Sınıflandırma yapılırken CobiT; Risk IT, Val IT, BMIS ve ISO38500 gibi standartlarla birlikte stratejik seviyede sınıflandırılıyor. ITIL ise MoF, ISO20000 vb ile birlikte operasyonel seviyede değerlendiriliyor. Farklı alanlarda ve seviyelerde oldukları için bu standartların hepsi birlikte kullanılmalı.

Kaynak: İlker Tutu, PwC, http://www.cozumpark.com/blogs/cobit-itil/archive/2010/11/21/cobit-nedir.aspx

COBIT Nedir?

Organizasyonların iş hedeflerini ve gereksinimlerini karşılayacak bilgilerin üretimi ve aktarımının hızlı, sürekli ve güvenli olarak sağlanabilmesi için teknoloji kullanımından kaynaklanan risklerin belirlenmesi, yönetimi ve kontrolünün etkin ve verimli olarak yapılması gerekmektedir. Kısaca “Teknoloji risklerini nasıl yöneteceğiz ve bağlı oldukları yapıyı daha
güvenli hale nasıl getireceğiz?” sorularının yanıtları, sadece bilgi işlem yöneticileri değil, teknoloji yoğun çalışan ve iş süreçlerine teknolojiyi entegre etmiş olan tüm kurumların yöneticileri için önem taşımaktadır.

CobiT, bu sorulara sistematik bir yaklaşım sergileyerek ve yönetsel ihtiyaçlara da yanıt verecek şekilde oluşturulmuş bir yöntemdir. İş Hedefleri’nin Bilgi İşlem Hedefleri’ne dönüşümü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getiren CobiT, Bilgi İşlem Teknolojileri için Kontrol Hedefleri anlamına (Control Objectives for IT and related Technologies) gelmektedir.