CobIT 4.1: PO2 Define the Information Architecture / Bilgi Mimarisinin Tanımlanması

CobIT 4.1 Planlama ve Organize Etme temel alanı içerisinde yer alan, güvenilir ve gizli bilginin sunulmasını sağlayarak yönetim karar alma sürecinin kalitesinin iyileştirilmesi ve bilgi kaynaklarının iş stratejilerine uygun bir sistematik ile düzenlenmesini öneren süreçtir. Süreç kapsamında, çeşitli kaynaklardan akan verilerin daha kolay ve hızlı bir şekilde bilgiye dönüştürülmesi için ortak kabul edilmiş, sistematik bir yaklaşımla bilgiye dönüştürülmesi önerilmekte, bu kapsamda kurum bilgi modelinin yaratılması önerilmektedir. Bu model de çerçeve içerisinde Bilgi Mimarisi olarak tanımlanmaktadır.

BT Yönetişim alanlarından Stratejik Uyumluluk ve Kaynak Yönetimi alanları ile birincil, Risk Yönetimi ve Değer Yönetimi alanları ile ikincil dereceden ilişkili olarak tanımlanmaktadır.

Süreç, kurum tarafından ihtiyaç duyulan güvenilir ve tutarlı bilginin çevik (agile) bir yaklaşımla iş süreçleri kullanımına sunulmasını önermektedir. Farklı uygulamalar tarafından kullanılan bilginin, oluşturulan yapılar üzerinde paylaşımının etkinliğini ve kontrolünü iyileştirmek gerekmektedir. Bu kapsamda kurum bilgi modeli oluşturulmalı, düzenli olarak güncelliği takip edilmeli, kullanımını optimize bir şekilde yönetebilmek adına uygun tanımlar yapılmalıdır. Bu kapsamda bilgi mimarisi modeli kurulmalı, veri sözlüğü ve veri dizimi kuralları oluşturulmalı ve güncelliği sağlanmalı, veri sınıflandırma yapıları tanımlanmalı, verinin bütünlüğünün sağlanmasına yönelik önlemler alınmalıdır.

PO2.1 Enterprise Information Architecture (Bilgi Mimarisi Modeli): BT Planları ile tutarlı, uygulama geliştirme sürecini ve karar vermeyi destekleyici aktiviteleri kolaylaştıracak bir kurum bilgi mimarisi modelinin kurulması ve düzenli bakımının yapılması önerilmektedir. Model, bilginin iş birimleri tarafından en iyi şekilde yaratılmasını, kullanımını ve paylaşımını kolaylaştırmalı; esnek, fonksiyonel, maliyet-etkin, uygun, güvenilir ve hata karşısında eski haline kolay döndürülebilir olmalıdır. Kurum içerisinde uygulamalara yönelik veri grupları, arayüzler ve ilişkileri Bilgi Modeli içerisinde ele alınabilir. Bu aşamada uygulamalar ile alakalı paydaşların (geliştirme yapan BT personeli örnek verilebilir) modele hakim olması sağlanmalıdır.

PO2.2 Enterprise Data Dictionary and Data Syntax Rules (Veri Sözlüğü ve Veri Söz Dizimi Kuralları): Veri söz dizimi kurallarının tanımlandığı bir kurum veri sözlüğü oluşturulmalıdır. Sözlük, uygulamalar ve sistemler arasında veri elemanlarının paylaşılmasını düzenlemekle birlikte BT ve iş birimleri arasında genel bir anlayışı teşvik etmekte ve uyumsuz veri öğelerinin yaratılmasını engellemektedir. Oluşturulan veri sözlüğü ve veri söz dizim kurallarının gözden geçirilmesi, farklı paydaşlar tarafından veri sözlüğü üzerinde yapılan ekleme ve güncellemelerin diğer paydaşlarla paylaşılmasının sağlanacağı bir yapı kurulmalıdır. Yöneticilerin bilgisayarlarında oluşturulmuş, pdf formatındaki dokümanların denetçileri güncellik durumu ve paydaşların güncelliğe hakim olması noktasında tatmin etmediği bir gerçektir. Veri Sözlüğü gibi yaşayan dokümanların ortak veri tabanları üzerinden yönetilmesi, tanımlanan belli aşamalarda (trigger) ise belirlenen paydaşları bilgilendirmesi önerilmektedir.

PO2.3 Data Classification Scheme (Veri Sınıflandırma Şeması): Kurumlar bünyesinde üretilen verilerin iletilme, paylaşılma, saklanma, yedeklenme kararlarının verilmesi için verilerin sınıflandırılması önem taşımaktadır. Bu sınıflandırılmanın yapılması esnasında verinin kritikliği ve hassasiyetine göre sınıflandırma önerilmektedir. Bu şema üzerinde verinin sahibinin kim olduğu(veri sahipliği)*, gerekli güvenlik seviyeleri ve koruma kontrolleri, verinin saklanmasının kısaca açıklanması, veri yok etme şartları, verilerin kritikliği ve hassasiyeti bilgisi (gizlilik durumu gibi) gibi unsurların yer alması önerilmektedir. Veri sınıflandırma şeması; veriye erişim kontrollerinin belirlenmesi, veri arşivleme ve şifreleme gibi kontrollerin gerçekleştirilmesi için alt yapı oluşturmaktadır. Belirli aralıklarla iş birimleri tarafından güvenlik sınıflandırmasının tartışılması önerilmektedir.  

PO2.4 Integrity Management ( Bütünlük Yönetimi): Veri tabanı, veri ambarı ve veri arşivleri gibi yapılarda elektronik olarak saklanan verinin bütünlüğünün ve tutarlılığının garanti altına alınacağı prosedürler tanımlanmalı ve işletilmelidir. Bahsi geçen yapılarda tutulan verilerin kalitesi belirli aralıklarla gözden geçirilmeli, üretilmiş kalitesiz öğelerden bu yapılar arındırılmalı, yapılarda yer alan kalitesiz verinin oluşma nedenleri incelenmeli ve mümkünse kontrollerle tekrar oluşma olasılığı kontrol altına alınmalıdır.

COBIT 5 kapsamında;

CobIT 4.1 kapsamında sadece bilgi mimarisi olarak ele alınan yapı, kurumsal mimariye doğru genişlemektedir. Bir önceki sürümde sadece bilgi mimarisi olarak ele alınan süreç, COBIT 5 kapsamında TOGAF’tan da faydalanarak yapısını veri, uygulama, süreç ve altyapı/teknoloji başlıklarında da genişletmiştir. Bu süreç COBIT 5 kapsamında APO1 Define the Managemet Framework for IT ve APO3 Manage Entreprise Architecture süreçlerinde ele alınmaktadır. COBIT 5 ile öne çıkan Kurumsal mimari kavramı ile ele alınan bilgi mimarisinin ağırlığının da azaltıldığı görülmektedir. Veri sınıflandırması ve veri sahipliği başlıkları ise BT Yönetim Çerçevesinin Kurulması süreci altında ele alınmaktadır (APO1 Define the Managemet Framework for IT). İki süreç kapsamında da verinin nerede üretildiği, nasıl kullanıldığı, nasıl saklandığı, nasıl yok edildiği hususlarında yoğunlaşılır.

Özetle,

CobIT 4.1 kapsamında Sürece ilişkin önemle vurgulanan iki aşama vardır. Birincisi veri sınıflandırma, ikincisi bilgi mimarisi yönetimidir. Veri sınıflandırma çalışmasında bilgi envanterinin oluşturulması, bilgi sahiplerinin belirlenmesi, bilginin sınıflandırılması (genel uygulamalarda gizliliğe göre, sürekliliğe göre, yasal duruma göre sınıflandırmalar mevcuttur.), gerekli kontrollerin belirlenmesi, kontrollerin uygulanması ve sürekli iyileşmeye yönelik izleme mekanizmasının kurulup, işletilmesi aktiviteleri gerçekleştirilmelidir. Veri isimlendirme kurallarının belirlenmesi be veri sözlüğü tanımlanması gibi işlemlerin de bu aşamada yapılması önerilir. (Burada öne çıkan bir diğer husus ise veri sahipliğinde verinin sahibinin kim olduğuna karar verilmesidir. Verinin sahibi veriyi üreten midir, veriyi kullanan mıdır, veriyi saklayan mıdır?) İkinci aşamada ise bilginin yönetilebileceği bir Bilgi Mimarisi Yönetim standardı oluşturulmalıdır.

*Veri sahipliği neden önemlidir? Veri sahipliği verinin yönetilmesi, yedeklenmesi, yasal mevzuata uygun bir şekilde kullanılması  için sorumluların belirlenmesi noktasında önemlidir.

CobIT 4.1: PO1 Define a Strategic IT Plan / Stratejik BT Planının Tanımlanması

CobIT 4.1 Planlama ve Organize Etme temel alanı içerisinde yer alan, kurum tarafından Kurum Stratejik Planıyla (Business Strategic Plan) uyumlu bir Bilgi Teknolojileri Stratejik Planı hazırlanmasını öneren süreçtir.

BT Yönetişim alanlarından Stratejik Uyum (Strategic Alignment) alanı ile birincil, Risk Yönetimi ve Kaynak Yönetimi (Resource Management) alanları ile ise ikincil dereceden ilişkili olarak tanımlanmaktadır.

PO1.1 IT Value Management: Süreç kapsamında Stratejik Planlamanın yapılmasına zemin hazırlamak adına BT'ye yönelik bir değer yönetimi mekanizmasının geliştirilmesini ( PO1.1 IT Value Management) önermektedir. Böylelikle strateji belirlenmesi esnasında yürütülmesi planlanacak olan projeler açısından bir değerleme ve önceliklendirme mekanizmasının kurulması sağlanacaktır. Planın hazırlandığı dönem içerisinde ( yıllık ya da bir kaç yıllık planlar mümkündür) iş birimlerine ilişkin BT stratejilerinin ve Bilgi Teknolojilerinden bu stratejilere yönelik beklentilerin açık ve net tanımlanması sağlanmalı, kurum içerisindeki projelerin önceliklendirilme ve değerlendirilme kriterleri bu alt süreç ile belirlenmelidir. Denetimler esnasında geneli itibariyle bu sürece ilişkin olarak Proje Taleplerinin nasıl toplandığı, değerlendirilmesine yönelik olurluk analizinin nasıl gerçekleştirildiği, analiz dokümanlarında üst seviye yol haritası varlığı, genel maliyet hususlarının ele alınış yöntemi gibi unsurlara bakılmaktadır.

PO1.2 Business-IT Alignment: Cobit 4.1 hazırlanan stratejik planların, kurum stratejik planları ile uyumlu olmasını önermektedir. Bu uyumun sağlanması adına sonrasında PO04 sürecinde de ele alacağımız BT Strateji komitesinin kurulması, komitede kurum üst yönetiminin temsilinin sağlanması, belirlenen aralıklarla bu kurulun toplanması ve alınan kararları yazılı hale getirmeleri önemsenmektedir. Strateji komitesinin üyelerinin, görev, sorumluluk ve rollerinin yazılı prosedürler ile belirlenmesi ve İş stratejiyle uyumun sağlanmasına yönelik tanımların bu prosedürler içerisinde verilmesi alt süreç kapsamında değerlendirilmektedir.

PO1.3 Assessment of Current Capability and Performance: Gelecekte alınacak stratejik kararların hazırlanması, hedeflerin belirlenmesi ve o hedefe ulaşılmasına yönelik stratejilerin planlanmasına yönelik hali hazırdaki durumun ortaya konulmasına yardımcı alt süreçtir. Cobit performansın iş hedeflerine yönelik BT'nin katkısı, fonksiyonellik, sağlamlık (stability), karmaşıklık, maliyetler, güçlü ve zayıf yönler gibi alt başlıklarla değerlendirilmesini önermektedir. Hazırlanan prosedürler altında prosedürün başarımının ölçülmesine yönelik başarım kriterlerinin belirlenmesi ve yapılan ölçümlerin belirli periyotlarla raporlanması önerilmektedir.

PO1.4 IT Strategic Plan: Sürecin en can alıcı alt sürecidir. BT Hedeflerinin, İş stratejik hedeflerine nasıl katkı sağlayabileceği, ilişkili paydaşların uyumla nasıl çalışabileceği, ilgili maliyetler ve risklere plan içerisinde yer verilmesi önerilmektedir. BT yönetimi, hedeflere nasıl ulaşılacağına, başarımın ölçülmesine yönelik ölçüm kriterlerine, sağlanacak faydaların nasıl takip edileceğine ve yönetileceğini plan içerisinde yer vermelidir. Önerilen plan içerisinde; bütçenin, gerekli fon temininin, kaynak stratejisinin, satın alma stratejisinin ve yasal gerekliliklerin bulunmasıdır. BT Strateji planının detaylandırma seviyesi ise taktik planlarda detayları ile ele alınacak konuların tanımlanması düzeyinde olmalıdır. Farklı bir deyişle taktik planlar stratejik plan içerisinde yer verilen tanımların detaylandırıldığı dokümanlardır.

PO1.5 IT Tactical Plans: BT Stratejik Plan içerisinde tanımları yapılan ve genel olarak değinilen hususlar, taktik planları ile detaylandırılırlar. Taktik planlar içerisinde gerekli olan BT yetkinlikleri, ihtiyaç duyulan kaynaklar, yapılması önerilen BT yatırımlarına, BT hizmetlerine ve BT varlıklarına yer verilmektedir. Taktik Planlar proje yönetim analizi sonuçlarına göre etkin bir şekilde yönetilmelidir. Bu alt süreç içerisinde önemli olan, taktik planlarının BT stratejik planına dayandırılmasıdır.

PO1.6 IT Portfolio Management: Stratejik planın hazırlanması, beraberinde stratejik plandaki hususların taktik planlar ile detaylandırılması konuları planlama için önemlidir. Sonrasında ise belirlenen hususların hayata geçirilmesi, stratejiye yönelik projelerin yürütülmesi ile ilişkilidir. Bu noktada projelerin oluşturduğu programlar ve/veya portföylerin yönetimi önem kazanmaktadır. Proje-Program-Portföy arasında ise hiyerarşik bir yapı mevcuttur. Programlar, projelerden oluşmaktadır, portföyler ise birden fazla program ve programlardan bağımsız projeler içerebilecek yapıya sahip olabilirler. Büyüklük ve yapı tamamen ihtiyaçlara göre tasarlanabilmektedir. Programlar alakalı projeleri içerisinde barındırırken, portföy ise biraz daha genel bir gruplandırma yöntemi olabilir. Örneğin, müşteri ilişkileri geliştirilmesi programı altında yer alan müşteri ilişkileri geliştirme yazılım sisteminin geliştirilmesi projesi, satışı destekleyen projeler portföyü altında yer alabilir. Alt süreç kapsamında portföy yönetilirken, portföyde yer alan projelerin önceliklendirilmesi, tahsis edilecek kaynaklar, projelerin bağımlılıkları ve projelerin kapsamı yönetilmelidir. Projeleri belirlenen kriterlere göre puanlamak ve önceliklendirmek önemlidir. Elbette bu noktada portföy içerisindeki projelerin yönetilmesinde iş birimleri ile tam uyumun sağlanması önemsenmelidir.

COBIT 5 kapsamında;

CobIT 4.1 sürecinde alt süreç olarak ele alınan portföy yönetimi için yeni bir süreç tanımlanmıştır. APO5 Manage Portfolio süreci kapsamında portföy yönetimi daha detaylandırılmıştır. APO02 Manage Strategy süreci kapsamında ise kalan alt süreçler geneliyle korunmuştur. COBIT 5 kapsamında stratejik yönün belirlenmesi, kurumun mevcut durumunun belirlenmesi, hedefin belirlenmesi, aradaki fark analizinin yapılması, gerekli planlamanın yapılması, ilgili paydaşlara gerekli duyuruların yapılması, taktik planları kapsamında yol haritaların belirlenmesi şeklinde bir akış önerilmektedir.

Burada önemle vurgulamak gereken nokta COBIT 5 kapsamında BT Stratejik Planın ilgili paydaşlarla paylaşılması önerilmektedir. Şeffaflık anlamında bir adım ileri gidildiğini düşünüyorum. Çünkü CobIT 4.1 kapsamında değinilmediği için insiyatife bırakılan bu husus, artık paylaşılmasının önerildiği bir yapıya kavuşmuştur.

CobIT 4.1

Türkiye'de BDDK regülasyonlarına tabii olan bankalarda yıllık Bilgi Teknolojileri Denetimi çerçevesi profesyonellerin ilkeler tebliği adını verdiği bir tebliğle çizilmiş, ucu açık konularla ilgili ise ISACA tarafından uzun ve yıllara sari bir araştırmanın sonucu oluşturulan CobIT 4.1 çerçevesinin hükümlerine bağlanmıştır.

CobIT tarihsel gelişimi incelendiğinde öncelikle denetçiler için tasarlanmış, en iyi uygulamaları tarifleyen ve ilk dönemlerinde denetçilere denetimleri kapsamında yol haritası çizen bir çerçeveyken, kurumsallaşmanın önem kazanmasıyla birlikte yönetişime yani kurumsallaşmaya doğru ekseni kayan bir çerçeve haline gelmiştir. COBIT 5 kapsamında ise önceki sürümünde CobIT 4.1 süreciyle Bilgi Teknolojileri özelinde kurumsallaşmayı ön plana çıkaran çerçeve, yeni sürümüyle kurumsallaşma bakış açısını bütün kuruma genişletirken, kurumun yönetişiminde Bilgi Teknolojilerinin de kurumsallaşarak katkı sağlamasını ön plana çıkarmaktadır. Tarihsel gelişiminde ilk dönemlerinde denetçileri, sonrasında uygulamacılar olan BT profesyonellerini ve bu gün geldiği süreçte ise organizasyonun üst yönetimi ve iş birimlerini de içeren bir hedef kitleye ulaşmış durumdadır. COBIT 5 kurumun bütün paydaşlarına rehberlik etmektedir. Sadece bir Bilgi Teknolojileri Yönetişim çerçevesi olmaktan, kurumun tamamını ilgilendiren yönetişim ve yönetim çerçevesi haline gelmiştir.

CobIT 4.1 temelde kurum içerisinde BT Yönetişimin sağlanmasını, BT kurumsallığının geliştirilmesini hedefleyen, bu noktada BT Yönetişimin 5 temel unsuruna (başka bir yazı ile değinilecektir) yönelik, toplamda 4 temel alan altında (domain) 34 süreç tanımlayan, bu süreçlere ilişkin ISACA bünyesinde, binlerce uzmanın tecrübe ve araştırmaları ile oluşturulan en iyi uygulamalar (best case) kapsamında organizasyon içerisinde yapılması önerilenleri ortaya koyan bir yönetim çerçevesidir. Bu önerilenleri biraz açıklamak istersek; tanımlanması önerilen organizasyon yapıları, ilişkiler, uygulamalar, politikalardır, komiteler hatta ve hatta genel yaklaşımlardır diyebiliriz.

Blog kapsamında dönem dönem CobIT 4.1 süreçleri ve bu süreçlerin son çerçeve program olan COBIT 5 kapsamında nasıl değişiklik yaşadığını, ilişkilerini incelemeye çalışacağım. Bu yazı altında da değinilen süreçlere ilişkin bağlantıları paylaşacağım. Vira bismillah 23.05.2012

PO1 Define a Strategic IT Plan / Stratejik BT Planının Tanımlanması
PO2 Define the Information Architecture / Bilgi Mimarisinin Tanımlanması
AI6 Manage Changes / Değişiklikleri Yönet

ISO 38500 Corporate Governance of Information Technologies

COBIT 5 çerçevesinin temel aldığı standartlardan birisi olan ISO 38500, COBIT 5 çerçeve dokümanını okuduktan sonra merak ettiğim ve okuduğum, Bilgi Teknolojileri Yönetişim'e yönelik bir standarttır. Standarda ilişkin aldığım notları bu yazı aracılığı ile paylaşmak isterim.

Hedef

Standart kapsamında hedeflenen, yöneticilerin kurum içerisindeki Bilgi Teknolojileri kullanımını değerlendirme, yönetme ve izlemelerini sağlamaya yönelik rehberlik sağlayan, içerisinde prensipler barındıran ve bu prensipleri önerdiği model çerçevesinde açıklayan bir çerçeve (framework) geliştirilmesidir. 

Birçok organizasyon Bilgi Teknolojilerini temel işlerini destekleyen bir araç olarak kullanmaktadır. Temel faaliyetlerinde yürüttükleri aktivitelerde Bilgi Teknolojilerinin kendilerine sunduğu faydalardan yararlanmaktadırlar. Çoğu organizasyonun gelecek planlarını oluşturmalarında BT ve BT’nin sağladığı faydalar önemli bir faktör olarak karşımıza çıkmaktadırlar.
Bilgi Teknolojileri üzerine yapılan harcamalar, organizasyonların iş gücü ve finansal kaynaklarının kullanımı noktasında önemli bir paya sahip olmakla birlikte, çoğu zaman yapılan bu yatırımlardan sağlanabilecek maksimum fayda elde edilememektedir. Bu durumun temel sebeplerinden birisi, BT kullanımının işin bütününe sağladığı faydanın göz önünde bulundurulmasından ziyade, BT aktivitelerinin teknik, finansal ve zaman boyutuna daha çok odaklanılmasıdır. Başka bir deyişle organizasyonlar büyük resme odaklanmak yerine, ayrıntılar ile cebelleşmektedirler. Büyük resim ana hatları ile çizilmeden, resim içerisindeki objeler belirlenmeden, nesnelere verilecek gölge üzerinde çabalayan ressam, sonrasında bütünlüğü sağlamakta zorlanacaktır.

Bu çerçeve BT’nin daha etkili yönetilmesinin sağlamakta, daha üst düzeyde bir yönetim anlayışı ile gerek yasal uyumun sağlanması, gerek etik kuralların uygulanması, gerek ise BT kaynaklarının daha etkin kullanılması noktasında üst yönetimi yönlendirmektedir. Çerçeve tanımlar, ilkeler ve bir modelden oluşmaktadır.

Governance (Yönetişim) vs. Management (Yönetim)

Yönetişim, yönetimden ayrışmaktadır. Çoğu zaman birbirleri yerine kullanılan bu terimlerin arasındaki farklar framework içerisinde tanımlanmıştır. Yakın geçmişte yayınlanan COBIT 5 içeriğinde de ISO38500 standartı temel alınarak, yönetim ve yönetişim arasındaki farklar tanımlanmıştır.
Kurumun yapısından ve özelliklerinden bağımsız bir şekilde framework bütün organizasyonlarda uygulanabilir bir yapı arz etmektedir.

Çerçevenin bir diğer amacı ise yönetişimin sağlanması adına politika, proses ve süreçler tasarlayan uzmanlara rehberlik etmektir.

Kapsam, Uygulama ve Hedefler

Kapsam

Standart, BT Teknolojileri kaynaklarının organizasyon içerisinde etkin, etkili ve kabul edilebilir seviyede kullanımının sağlanması adına her düzeydeki yöneticilere rehberlik edecek ilkeleri belirlemektedir. Her düzeydeki yöneticiler; yönetim kurulu üyeleri, direktörler, orta düzey yöneticiler, ortaklar, şirket sahipleri olarak belirtilmiştir.

Standart, Bilgi ve iletişim teknolojilerine ait hizmetlerin yönetim faaliyetlerinin düzenlenmesini sağlamaktadır. Bu hizmetler, organizasyon bünyesinde yer alan BT uzmanları tarafından ya da dış kaynaklı bir ortak tarafından yürütülüyor olabilir.

Standart, farklı fonsiyonları yürüten, farklı paydaşlara da rehberlik etmektedir. Bu paydaşlar;

·         Orta düzey yöneticiler,

·         Kurum kaynaklarının kullanımını değerlendiren grupların üyeleri

·         Dış denetim ve düzenleme kurumları gibi dış kaynaklı paydaşların uzmanları

·         Donanım, yazılım gibi BT kaynakları üreticileri

·         İç ve Dış kaynaklı hizmet sağlayıcılar

·         BT Denetçileri

Uygulama

Standart, organizasyonun kamu ya da özel sektörde olması, kar amaçlı ya da kar amacı gütmeyen kuruluş olması, büyüklüğü gibi özelliklerden bağımsız olarak bütün organizasyonlara uygulanabilir yapıdadır.

Hedefler

Standardın amacı BT’nin sunduğu olanakların ve faydalarının etkin, etkili ve kabul edilebilir düzeyde kullanımın sağlanmasını desteklemektir. Bu amacı gerçekleştirmeyi aşağıdaki maddelerde bahsedilen hedeflerle gerçekleştirmektedir:

1.       BT Yönetişiminin kurumda sağlayacağı faydalara bütün paydaşlar tarafından güvenin sağlanması

2.       BT’nin kullanımının geliştirilmesi hususunda karar verici paydaşların bilgilendirilmesi ve bu paydaşlara rehberlik edilmesi

3.       BT’nin yönetişiminin sağlanması için bir temel ve ortak anlayış oluşturulması

Standardın Faydaları

Standart, karar verici paydaşların karar verirken BT’nin sunduklarının kullanımı sonucu oluşan riskler ve olanaklar arasında dengeli karar verebilmeleri konusunda yol gösterici olmaktadır.

Organizasyonun Performansı

·         BT varlıklarının kabul edilebilir düzeyde kullanımı

·         BT kaynaklarının kullanımı ve tedariğinde sorumlulukların ve hesap verilebilirliklerin açık ve net tanımlanması

·         İş sürekliliği ve sürdürülebilirliği

·         BT kaynaklarının iş ihtiyaçlarına cevap verebilecek şekilde tahsisi ve kullanımı

·         Hizmetlerdeki yenilikçilik

·         Paydaşlarla ilişkilerin iyi yönetilmesi

·         Maliyetlerin düşürülmesi

·         Her yatırımdan ön görülen faydanın elde edilmesi

Bazı Önemli Tanımlar

BT Yönetişim: Organizasyonun temel faaliyetlerinin desteklenmesi için BT kaynaklarının kullanımının geliştirilmesi ve yönlendirilmesi, eş zamanlı olarak BT olanaklarının kullanımın planları gerçekleştirilmesini teminen sürekli izlenmesi olarak tanımlanabilir.

BT: Bilginin elde edilmesi, işlenmesi, saklanması ve yayılması amacıyla ihtiyaç duyulan kaynakların bütününü ifade eden bir terimdir.

Yatırım: İş gücü, sermaye gibi kaynakların tanımlanmış bir hedefe yönelik olarak temin edilmesidir.

Politika: Clear and measurable statements of preferred direction and behaviour to condition the decisions made within an organization. (İngilizcesini direkt paylaşmanın daha anlamlı olacağını düşündüm.)

Kaynaklar: İnsanlar, prosedürler, yazılım, bilgi, ekipman, alt yapı, sermaye, zaman, operasyonu destekleyen fonlar.

Risk: Bir olayın gerçekleşme olasılığı ve organizasyona etkisinin kombinasyonu olarak tariflenmektedir. Alışıldık olumsuz anlamının yanı sıra, fırsatları sunması anlamına da sahiptir.

BT’nin kullanımı: Planlama, tasarım, geliştirme, kaynak tahsis etme, operasyon yürütme, yönetim, aplikasyonlar kavramlarını içermektedir.

İyi BT Yönetişimi için Framework – ISO38500

Standart kapsamında iyi BT yönetişiminin sağlanması için 6 prensipten bahsedilmektedir. Bu prensipler;

1.       Sorumluluk

2.       Strateji

3.       Kazanç

4.       Performans

5.       Uyumluluk

6.       İnsan Davranışı

Prensip 1: Sorumluluk (Responsibility): Operasyon içerisinde faaliyet gösteren bireyler ve gruplar BT kaynaklarına yönelik talep ve arz sorumluluklarını tam olarak anlamalı ve kabul etmelidirler.

Prensip 2-Strateji (Strategy): Organizasyonun iş stratejisi şimdiki ve gelecekte hedefe yönelik öngörülen BT kapasitesini dikkate almalı, BT stratejik planı şimdiki ve gelecekteki ihtiyaçları giderebilecek yeterlilikte olmalıdır.

Prensip 3-Edinim (Acquisition): BT alımları, şeffaf ve açık karar merciini içerecek şekilde, sağlıklı analizlere dayandırılarak, geçerli sebepler için yapılmalıdır. Gerek uzun vadede, gerek kısa vadede karar verilmesi esnasında faydalar, olanaklar, maliyetler ve riskler arasında ince bir denge mevcuttur.

Prensip 4-Performans (Performance): BT, organizasyonu temel faaliyetlerinde desteklemek, organizasyonun şimdiki ve gelecekte öngörülen ihtiyaçlarını karşılayacak yeterlilikte hizmet sunma amacıyla faaliyet göstermektedir.

Prensip 5-Uyumluluk (Conformance): BT, faaliyet gösterilen alana ilişkin yönetmelik ve düzenlemelere uyumlu şekilde hizmet sunmalıdır. Politika ve prosedürler açıkça tanımlanmalı ve yürütülmelidir.

Prensip 6-İnsan Davranışı (Human Behaviour): BT politika, prosedür ve uygulamaları İnsan Davranışına güveni eksiksiz sağlayacak şekilde yapılandırılmalıdır. Süreç içerisinde insanlara şimdi ve gelişmeye bağlı olarak gelecekte oluşabilecek ihtiyacın karşılanmasına prensip kapsamında değinilmektedir.

Model

Karar vericiler, BT yönetişimini 3 temel fonksiyon ile sağlayabilirler;

1-     BT’nin şimdi ve gelecekte ön görülen kullanımının değerlendirilmesi (evaluate)

2-     İş hedeflerinin gerçekleştiriminin desteklenmesine yönelik BT kullanımının Plan ve politikaların hazırlanmasının, bu plan ve politikaların hayata geçirilmesinin yönetilmesi (direct)

3-     Politikalara uyumun ve performansın izlenmesi (monitor)

Değerlendir(Evaluate) – Yönet(Direct) – İzle(Monitor) BT Yönetişim Çerçevesinin temelini oluşturmaktadır.

Çerçevenin devamında ise ilkeler ile model eşleştirilmekte, modelde yer alan her aşama, her ilke için ayrı ayrı tanımlanmaktadır. Örnek vermek gerekirse örneğin performans ilkesi için değerlendirmenin yapılması, gerekli yönetimin ne olduğu ve izlemenin nasıl yapılacağı açıklanmaktadır.

COBIT 5 çerçevesi kapsamında da yoğun bir şekilde karşımıza çıkan standart olan ISO 38500, genel tanımları yapmakta, BT Yönetişimin ne olduğunu söylemekte fakat BT Yönetişim için ne gibi aktiviteler yapılması gerektiği, performans-başarımın nasıl ölçüleceği ile ilgili bilgi paylaşmamaktadır. IT Governance tanımlanması noktasında yol gösterici özellikte bir standarttır. COBIT içerisinde de yönetim ve yönetişim arasındaki farklar ortaya konulmaktadır.

Bilgi Teknolojileri Denetimi ile ilgili sık sorulan sorular

Kurumda ilk çalışmaya başladığım günlerde bulmuştum linkte sizinle paylaştığım belgeyi.

Oldukça kapsamlı bir şekilde Bilgi Teknolojileri Denetim konusunu ele alan, bu alanda kariyer planlayanlar için yararlı olduğunu düşündüğüm bu belgeyi görüntülemek için

http://www.isect.com/html/ca_faq.html#IThinkI

Bilgi Teknolojilerinden yüksek düzeyde fayda sağlayarak, başarıya ulaşmak mümkün.

Öncelikle tam da bu noktada vurgulanması gereken 4 önemli nokta mevcut Bilgi Teknolojilerinde; doğru strateji, operasyon verimliliği, güvenlik ve kişiler.

Her organizasyonunun bir varoluş amacı (misyonu) ve ulaşmak istediği nokta vardır (vizyonu); varoluş amacıyla ulaşmak istediği noktaya belirlediği hedefleri aşama aşama gerçekleştirerek yol alabilir. Tam da bu noktada bu yolculuğunun özelliklerini stratejisi ile belirler. Internet üzerinde çok görmüşüzdür, kurum, şirket stratejilerini. Bunlar çoğu zaman zaman dilimleri ile sınırlandırılır. 5 yıllık strateji, yıllık strateji gibi. Hatta kamu kurumlarının stratejilerini oluşturmaları ve bu stratejilerini paylaşmaları kanunen de zorunluluktur.

Strateji: Organizasyonlar tarafından tanımlanan bu stratejilerin Bilgi Teknolojileri fonksiyonları tarafından da desteklenmesi gerekmektedir. Bilgi Teknolojileri yöneticilerinin hazırladıkları BT stratejileri kurum stratejisi ile uyumlu ve kurum stratejisini destekleyecek niteliklere sahip olmalıdır. Peki BT tarafından hazırlanması gereken bu stratejiler alt başlık olarak neleri içerisinde barındırmalıdır? ( Bu başka bir yazımızın konusu olsun. :)

CobIT çerçevesinde BT stratejisi PO1 süreci kapsamında ele alınmaktadır. Kısaca açıklarsak PO1 süreci, BT Değer Yönetimi, İş ve BT uyumlaştırması, Sahip olunan kapasite ve performansın belirlenmesi, BT strateji planının hazırlanması, BT Taktik Planlarının hazırlanması ve BT portföyünün yönetilmesini içermektedir. Belirlenen BT stratejileri özelde hazırlanan taktik planları ile gerçekleştirilmelidirler.

Operasyon verimliliği: Bilgi Teknolojileri sistemlerinin kusursuz kullanılması ve süreçlerinin kusursuz işletilmesi, düzenli olarak gözden geçirilmesi ve geliştirilmesi önemlidir. Kurumlar içerisinde BT yapılarının İş ihtiyaçlarına uygun tasarlanması, ihtiyaca yönelik sistemlerin kurulması, bu sistemlerin ihtiyaca yönelik işletilmesi, sistemlerin sürekli incelenmesinin sağlanarak, teknolojik gelişmelerinde yakından takip edildiği bir anlayışla güncelliğinin korunması, sürekli iyileşmenin sağlanması önemlidir. Sistemlerin doğru ve verimli kullanımı sağlayacak süreçlerin tasarlanması ve bu süreçlerin sürekli iyileştirilerek, işletilmesi de operasyon verimliliği açısından önemlidir. Elbette bu sistemleri kullanan personelin yetkinliklerinin artırılması da önemlidir.

İngilizler tarafından belirlenen bir standart olan ITIL tamamen bu konuyla ilgilenmektedir. ITIL hizmetlerin planlanma aşamasından tutunda, kullanıcılara ulaştırılması, sürekli iyileştirilmenin sağlanmasına kadar uzun bir süreci ele almaktadır. BS25999 ise sunulan operasyonların sürekliliği ile ilgilenmekte, her hangi bir kesinti durumunda operasyonun işleyişinin devanımı sağlayacak önlemlerin alınmasını sağlamaktadır.

Güvenlik: Kullanılan sistemlerde dijital ortamlarda oluşturulan, iletilen, saklanan bilgilerin bütünlüğünün, gizliliğinin ve erişilebilirliğinin sağlanması da önemlidir. Kurumuz için önem arz eden, rakipleriniz karşısında önemli rekabet gücünüzü oluşturan bilgilerin, sahip oldukları yaşam döngülerinde korunmasını sağlamak, sistemlerin sürekli kullanılabilir, doğru kişiler tarafından erişilebilir olduğunu sağlamak da çok önemlidir.

Bu konuda ISO27001 Bilgi Güvenliği Yönetim Sistemi kurulması, işletilmesi önem arz etmektedir. CobIT süreçlerinde ise DS05 sürecinde güvenlik konusu ele alınmaktadır.

Kişiler: BT ve İş tarafında belirlenen stratejinin sağlanması, operasyonların gerçekleştirilmesi ve BT operasyonlarından hizmet alarak, iş operasyonlarının gerçekleştirilmesi, bunlar yapılırken güvenliğin sağlanması odağında kişiler yer almaktadır. Bilgi Teknolojileri fonksiyonları ancak BT ve iş süreçlerindeki kullanıcılar kadar güçlüdür. Bu noktada kişi yetenekleri, yeterli düzeyde yetkilendirme ve atanacak sorumluluklar için çalışanların uygun becerilere sahip olması, kişilerin ihtiyaç duyulan becerilere sahip olması için yapılacaklar planlanmalıdır.

Bu konu ise CobIT 4.1 DS07 sürecinde ele alınmaktadır. Bu konuyla ilgili direkt İnsan Kaynakları ile alakalı CMMI çerçevesi olduğunu öncesinde bir yazıda okumuştum.

Servis Yönetimi ve Önemi

Çağımızın bilişim çağı olması ile birlikte özel sektör ve kamu kesiminde faaliyet gösteren kuruluşların çeşitli adlar altında (BT, Bilgi İşlem Daire, Sistem Geliştirme vb.) bilişim ürün ve hizmetleri sunan birimlerinin önemi gün geçtikçe artmaktadır. Bu birimlerin sunduğu hizmetler, kuruluşların temel hedeflerini gerçekleştirmelerine yönelik destek sunan önemli unsurlar olarak karşımıza çıkmaktadır. Bilgi Teknolojileri birimlerinin genel müdür yardımcılığı düzeyinde temsil edilmesi ve geçmiş dönemlerde sadece operasyonel olarak görülen bu birimlerin yönetim kurullarına iştirak etmeleri beraberinde yönetimde söz sahipliğinin artması da sağlamakta ve yaygınlaşmaktadır.

Pazarlamanın ilk evrelerindeki gibi ürünü üret, alıcısı zaten gelecektir anlayışı da hizmetlerin çeşitlenmesi ile geçerliliğini yitirmiştir. Artık bu birimlerin sundukları hizmetlerin proaktif yaklaşımla sergilenmesi, optimal faydayı sağlaması, BT'ye dayalı risklerin bu vesile ile yönetilmesi, sunulan hizmetlerin kayıt altına alınması ve yönetsel kararlarda bu kayıtların değerlendirilmesi de önem kazanmıştır. Geleneksel bilgisayarcı tanımı yerini yönetimsel anlamda mükemmeliyeti arayan, fayda-maliyet temeli ile sorunlara yaklaşıp, kurum içi bir bilgi havuzu (know-how) geliştiren, kaynakları verimli kullanan yapılara terk etmiştir. Tabii ki bu terkediş, yurt dışı menşeili standartların gerek gönüllü, gerek ise kanuni yükümlülükler sonucu uygulamaya geçirilmesi ile yaygınlık kazanmıştır. BDDK'nın bankalara COBIT standartları kapsamında BT servislerini yönetmelerini hatta BT Denetimi yapmalarını yönetmelik ve usüllerle belirlemesi örnek olarak verilebilir.

Günümüz Bilgi Teknolojileri hizmeti sunulmasında servis kavramı bu sebeplerle önemli unsur olarak karşımıza çıkmaktadır. Bu kavram yazıcı tanıtmak, bilgisayarlara format atmak, falanca daire başkanlığı için rapor tasarlamak, veri tabanlarından sorgu çekmenin çok ötesindedir. Sunulan servisin kuruluş temel hedeflerine ulaşmasına yönelik olarak faaliyetlerine yardımcı olan hizmetlerin yanı sıra, BT yatırımlarına yönelik kararların alınması, sürekli sorun yaratan temel nedenlerin (kök neden) izlenebilmesi, değişikliklerin sistemin bütününe etkisinin kontrol edilebilmesi, çok hızlı şekilde değişen teknolojilere adaptasyon ve bu değişikliklerden kaynaklanan risklerin yönetilebilmesi gibi hizmetler de sunulmaktadır.

Yukarıda bahsi geçen standartlardan birisi olup, İngiliz hükümeti tarafından en iyi örnek uygulamaların ortak noktalarının belirlenip, analiz edilmesi ile oluşturulmuş ITIL standartlarını öğrenmek için araştırma yaparken bir kitapta hizmet ve hizmet kalitesi ile ilgili güzel bir örnek buldum ve bunu paylaşmak isterim.

Yemek yemenin iki yolu vardır. Yemeği harcanacak zamanı ve eforu düşünmeden kendin hazırlamak ve bir restorana gidip yemeği yemek. Şayet siz aşcıysanız bir markete gidersiniz, yemek malzemelerini düzgünce seçersiniz, malzemeleri evinize taşırsınız, hazırlar ve pişirir, masayı düzenler ve elbette mutfağı sonrasında kullanabilmek adına temizlersiniz. Tüm bunlar için ise belli bir emek ve zaman harcarsınız. Restoranda aynı yemeği yiyeceğim zaman ise zaman ve eforu hesaba katmak zorunda değilimdir. Yemek önüme direkt gelmektedir. Ben de karşılığını ödemekteyimdir. Peki ama ben kaliteyi sadece önüme gelen yemeğin tadı ile mi ölçerim sorusu akla gelmektedir diyen yazar restoranın kalitesini değerlendirirken aşağıdaki kriterlerin de önem arz edeceğinden bahseder;

Restoranın temizliği,
Garson ve diğer çalışanların müşteri ilişkileri ve yakınlığı,
Restoranın ambiyansı (ışıklandırma, müzik, dekorasyon vb.)
Yemeğin siparişinden sunulmasına kadar geçen süre,
Restoran tarafından sunulan ikramlar

Sonrasında ise BT birimleri tarafından sunulan hizmetlerin kalitesinin de benzeri şekilde değerlendirilebileceğinden bahseder. Servis temelli yaklaşımda aşağıdaki başlıkların önemli unsurlar olacağını belirtir;

• Müşteriler ve son kullanıcılarla etkili iletişimin sağlanması,
• Kabul edilebilir çözüm sürelerinin müşterilere ve son kullanıcılara sağlanabildiği,
• BT organizasyonunda yürütülen operasyonların ve bu operasyonlar için ayrılan bütçelerin nerelere harcanıldığının takibinin şeffaf bir şekilde yapılabildiği,
• BT organizasyonunun gelecekte potansiyel problem oluşturabilecek unsurları proaktif bir yaklaşımla takip edebildiği, sürekli iyileştirmeye yönelik aksiyon belirleyebildiği,

Şayet Bilgi Teknolojileri çalışanları kurum içerisinde kullanılan uygulamalar ve donanım elemanları üzerinde yoğunlaşıp, sunulan hizmetin niteliklerini bütünsel olarak değerlendirmez ve göz ardı ederse hizmetten faydalanan tarafların hizmete dair deneyimleri, algıladıkları kalite ve değer olumsuz etkilenecektir.

Tıpkı yemek yediğiniz restorantta aşçı ne kadar güzel yemekler pişirirse pişirsin, garsonlar tarafından sunulan hizmet, ikramlar kötü olduğu takdirde restoranı olumsuz değerlendirebileceğiniz gibi.

TİDE İç Denetim Farkındalık Ayı

Mayıs ayı Türkiye İç Denetim Enstitüsü tarafından mesleki bilgilendirme ve bilinçlendirme ayı olarak belirlenmiş, bu ay içerisinde amaç İç Denetim'in fonksiyonu, faaliyetleri ve kuruma faydaları konusunda bilinçlendirme sağlanması. Ben de bu aya özel olarak sizlerle mesleğimizle ilgili, bir kaç kavramı paylaşmak isterim.



Konuyla ilgili TİDE başkanının mesajı için buraya tıklayınız.

İç denetim nedir?
İş kültürü, sistemleri ve prosesleri hakkında derin bilgi sahibi profesyoneller tarafından icra edilen iç denetim faaliyetleri, bir kurumda uygulanan iç denetim prosedürlerinin riskleri hafifletme noktasında yeterliliğini, yönetim süreçlerinin verimliliğini ve etkinliğini ve organizasyonel hedef ve amaçların ulaşılabilirliğini güvence altına alır.

Bir kurum neden iç denetime tabi olmalıdır?
Etkili yönetim uygulamalarında önemli rol oynayan iç denetim, yönetim kademesi ile yönetim kurulu arasında köprü kurar, kurumda hakim olan etik kültürü ve operasyonların verimliliğini değerlendirir ve kurallara, yönetmeliklere ve genel ideal iş uygulamaları kaidelerine uyumu sağlama noktasında kurumun güvenlik ağı işlevini görür.

İç denetim yöneticisinin hiyerarşik konumu nedir?
Şeffaflığı sağlamak, çıkar çatışmalarını ve çıkar birliklerini önlemek için, iç denetim faaliyetinin ikili hiyerarşik ilişkisi çerçevesinde yapılmasının en iyi uygulama olduğu görülmüştür. İç denetim yöneticisi; yönlendirme, destek ve idari ilişkilerde yardım etmek için üst yönetici kadrolara ve stratejik yönlendirme, takviye, sorumluluklar, kadro, ücret belirlenmesi ve performans değerlendirmesi için kurumun en üst gözetim ve denetim organına normal de denetim komitesine bağlı olmalıdır.

İç denetçi bağımsızlığını ve tarafsızlığını nasıl korur?
BAĞIMSIZLIK: Üst yönetici kadrolarla ve kurumun en üst gözetim ve denetim organıyla ikili hiyerarşik ilişki kurmak suretiyle iç denetim faaliyetinin bağımsızlığı iç denetim yönetmeliğiyle düzenlenmelidir. Daha açık bir ifadeyle, iç denetim yöneticisi, yönlendirme, destek ve idari ilişkilerde yardım etmek için üst yönetici kadrolara ve stratejik yönlendirme, takviye, sorumluluklar, kadro, ücret belirlenmesi ve performans değerlendirmesi için denetim komitesine bağlı olmalıdır. İç denetçiler, gerektiğinde şirket kayıtlarına ve personeline erişebilmeli ve herhangi bir engelle karşılaşmadan uygun araştırma tekniklerini kullanabilmelidir.

TARAFSIZLIK: İç denetçiler, tarafsızlıklarını korumak hedefiyle, denetledikleri alanla hiç bir kişisel veya profesyonel ilişki veya çıkar birliği kurmamalı ve tüm işlerinde ön yargısız ve tarafsız bir kafa yapısını muhafaza etmelidir.

İç denetim faaliyetiyle denetim komitesi arasındaki uygun ilişki tarzı nedir?
Yönetim kurulu denetim komitesi ile iç denetçiler birbirine bağımlıdırlar ve karşılıklı olarak erişilebilir olmalıdırlar. Bu çerçevede iç denetçiler denetim komitesini objektif görüşleriyle, bilgileriyle, eğitim faaliyetleriyle desteklerken, denetim komitesi de iç denetçilerin faaliyetlerini onaylar ve onlara doğrulama ve gözetim desteği sunar.

İç denetim profesyonellerinin faaliyetlerini yönlendiren standartlar nelerdir?
IIA’nın Mesleki Uygulamalar Çerçevesi’nin bir parçası olarak, Uluslararası İç Denetim Mesleki Uygulama Standartları(Standartlar)iç denetim mesleğinin temel prensiplerini anahatlarıyla belirler. İç denetim faaliyetinin nasıl icra edileceği noktasında ilgili diğer yönergeler, talimatlar ve düzenlemeler de belirleyici olabilir ve tavsiye edilen makul prosesler hakkında aydınlatıcı bilgiler sağlayabilir.

İç denetim işi ne gibi becerileri ve nasıl bir kadroyu gerektirir?
Verimli bir iç denetim yapısının kurulması ve bu yapının devamlılığı açısından, geniş bir beceri ve uzmanlık yelpazesi ve kendini profesyonel olarak sürekli geliştirme noktaları çok kritik önemdedir. Bu noktada, kurumun faaliyet yürüttüğü sektör ve iç denetim alanında geçerli Standartlar ve en iyi uygulamalar hakkında derinlemesine bilgi sahibi olma; teknik beceri ve uzmanlık; finansal ve operasyonel alanlar da prosesleri uygulama ve geliştirme bilgi ve becerisi; kuvvetli iletişim ve sunum becerileri ve mesleki sertifikasyon, örneğin CIA en temel unsurlardır. Bu noktada özel yeterliliklerin ve becerilerin kurum için denteminedilemediği noktada eş kaynaklardan veya dış kaynaklardan istifade etme yoluna gidilebilir, ancak iç denetim faaliyetinin yönetimi ve sorumluluğu dış kaynaklara teslim edilemez.

(* Tanımlar, Uluslararası İç Denetim Farkındalık Ayı Planlama Klavuzundan alınmıştır.)