9 Temmuz 2012 Pazartesi

CobIT 4.1: AI.06 Manage Changes / Değişlikleri Yönet

CobIT 4.1 Edinim ve Kurulum temel alanı içerisinde yer alan, mevcut tasarlanmış, kullanılan sistemler ve süreçler üzerinde tasarım ve/veya fonksiyonellik anlamında meydana gelen ve diğer sistemleri de etkileme olasılığı bulunan değişikliklerin kontrollü bir şekilde yönetilerek hayata geçirilmesini öneren süreçtir. Üretim ortamındaki alt yapı ve uygulamalara ilişkin bütün değişikliklerin resmi bir süreç yardımıyla, kontrollü olarak yönetilmesi önerilmektedir. Bu değişikliklere planlanmış ve takvimi belirlenmiş değişikliklerin yanı sıra acil duruma ilişkin değişiklikler ve rutin, periyodik yama uygulamaları da dahildir. Tasarlanmış ve işletilmekte olan prosedürler, süreçler, sistemler ve hizmeti etkileyebilecek bütün değişiklikler uygulama öncesinde kayıt altına alınmalı, değerlendirilmeli, etkilenen ilgili taraflarca onaylanmalı ve uygulama sonrası da planlanan sonuçlara göre gözden geçirilmelidir. Böylelikle üretim ortamında bütünlüğü ve sürekliliği olumsuz yönde etkileyecek risklerin azaltılması ve risklerin oluşması durumunda, değişiklik aşamaları kayıt altına alındığı, geri dönüş planlamaları yapıldığı için risk faktörü kolaylıkla ortadan kaldırılabilecektir.

BT Yönetişim alanlarından Değer üretimi alanı ile birincil, kaynak yönetimi alanı ile ikincil dereceden ilişkili olarak tanımlanmaktadır.
Değişiklik Yönetimi, hizmet talep edilen değişikliklerin tanımlanmış ve standartlaştırılmış bir şekilde bildirimini, değişikliklere ilişkin etki değerlendirmesi, önceliklendirme çalışmalarının yapılması ve bu sürecin onay mekanizması ile işlemesini ve her aşamanın kayıt altına alınmasını önermektedir. Süreçle ilgi karşımıza çıkan önemli kavramlardan birisi Acil Değişiklik kavramıdır. Acil Değişiklik kavramı, diğer sistemleri ve işleyişleri de etkileme olasılığı olan her hangi bir aksama gibi duruma ilişkin değişiklik talebinin farklı yaklaşımla ele alınmasına ilişkin bir kavramdır. Acil değişiklik olarak ayrıca etiketlenen bu değişikliklerin ivedi bir şekilde ele alınması önerilmektedir. Acil değişikliğe ilişkin dokümantasyon gibi zaman alıcı aşamalarının kısa süreli olarak atlanarak, değişikliğin sebep verdiği kesintinin anlık ve dolayısıyla geçici çözümlerle giderilmesi, atlanılan aşamaların sonradan gerçekleştirilmesi önerilmektedir. Değişiklik durumlarının takip edilmesi ve belirli aralıklarla gerçekleştirilen değişikliklere ilişkin bilgilerin üst yönetim ve ilgili paydaşlara sunulmasını, talep edilen değişikliğin giderilmesi sonrasında değişikliğe ilişkin bilgilerin dokümante edilmesini süreç kapsamında önerilen önemli adımlardır.
Peki BT birimlerinden hizmet alan paydaşlar hangi konularda değişiklik talepleri ile gelebilirler ya da talepleri hangi konularda değişiklik yapılmasını gerektirebilir? Uygulamalar, prosedürler, işletilen süreçler, sistem ve hizmetlere ilişkin parametreler değişikliklerden nasibini alabilirler.
AI.6.1 Değişiklik Standartları ve Prosedürleri:
Değişikliklerin operasyonel sistem ve bu sistemin işlevselliği üzerindeki etkileri organize bir şekilde değerlendirilmelidir. Değişikliklere yönelik bütün taleplerin hızlıca değerlendirilmesinin ve değişikliğe ilişkin aksiyonun alınmasının sağlanması için değişikliklere ilişkin taleplerin standart hale getirilmesini sağlayacak süreçler tasarlanmalıdır.
AI.6.2 Etki Değerlendirmesi, Önceliklendirme ve Onaylama
Talebi yapılan tüm değişikliklerin hali hazırda çalışan sistem ve bu sistemin işlevselliği üzerindeki etkileri belirlenmiş standartlar ışığında değerlendirilmelidir. Bu değerlendirme değişikliklerin sınıflandırılması ve önceliklendirilmesine zemin hazırlamalıdır. Değişiklikler üretim ortamına aktarılmadan ve kullanılmaya başlamadan önce değişiklik talebi yapan ve değişiklikten etkilenen paydaşlar tarafından onaylanmalıdır.
AI.6.3 Acil Durum Değişiklikleri
Acil değişiklik olarak tanımlanabilecek, diğer sistemlere ve kuruluşun temel iş yapışına etkisi büyük, hatta sistemler ve süreçler üzerinde kesinti boyutuna varacak kadar önemli olabilecek sorunlara ilişkin değişikliklerin ivedi olarak ele alınması gerekmektedir. Acil değişikliklerde değişikliğe ilişkin aksiyonun gecikmesi maliyeti yüksek olarak addedilmektedir. Bu sebeple değişikliğe ilişkin dokümantasyon ve bütün paydaşların değişikliğe ilişkin katılımını alma gibi süreçler daha hızlı yönetilmek adına geçici olarak atlanmakta ya da daha az paydaş ile değerlendirilmektedir. Fakat acil durum değişikliği sonrası atlanan bu aşamalar giderilmekte ve/veya katkısı alınamayan paydaşlar bilgilendirilmektedirler. Mevcut değişiklik yönetim süreci kapsamında ele alınamayacak olan bu değişikliklerin tanımlanması, değerlendirilmesi ve onaylanması süreçleri farklı tasarlanmalıdır. Acil değişikliklerin öncelikli olarak değişikliğe ilişkin aksiyonun yapılması ve dokümantasyon gibi süreçlerin sonrasında yerine getirilmesi şeklinde süreçlerden geçirilmesi önerilmekte, acil değişikliğe ilişkin test aşamaları ise önemsenmektedir. Çünkü aksiyonu ivedi olarak yerine getirmek, belirli süreçleri atlamak riskliliği artıracaktır.
AI.6.4 Değişiklik Durumlarını Takip Etme ve Raporlama
Değişikliklerin durumları hakkında değişiklikle ilişkili bütün paydaşların bilgi almasını sağlayacak bir raporlama mekanizması kurulması önerilmektedir. Değişiklikler hakkında güncel bilgi alınması bir raporlama ve takip etme sistemini kurulması önemsenmektedir.
AI.6.5. Değişikliklerin Kapanması ve Dokümante Edilmesi
Değişikliğe ilişkin aksiyonlar yerine getirildiğinde ve değişiklik uygulandığında değişiklikten etkilenen süreç adımları ve dokümantasyonun güncelliğinin sağlanması önerilmektedir. Değişikliklerin tam ve eksiksiz olarak uygulamaya alındığından emin olunması adına gözden geçirme süreci tasarlanmalıdır.
COBIT 5 kapsamında,
Sürece ilişkin çok büyük değişiklikler yapılmamıştır. Değişiklik Yönetim Süreci COBIT 5 kapsamında BAI 6 Manage Changes süreci kapsamında aynı isim altında ele alınmaktadır.
Özetle;

COBIT kapsamında kurum içerisinden Bilgi Teknolojileri varlıkları ve süreçlerini etkileyebilecek değişiklik talepleri tanımlanmış standartlar kapsamında bildirilmeli, değişiklik ilgili taraflarca değerlendirilmeli ve onaylanmalı, değişikliğe ilişkin etki analizi ve önceliklendirme çalışması yapılmalı, değişiklikte her hangi bir aksilik durumunda geri dönüş stratejisi belirlenmeli, değişikliğe ilişkin test ve kullanıcı kabul aşamaları işletilmeli ve değişiklik gerekli dokümantasyon yapılarak kapatılmalıdır. Bu süreçler işletilirken acil değişiklikler farklı bir şekilde ele alınmalı, değişikliğin dokümantasyonu sonradan yapılabilecek şekilde değişiklik işletilmelidir. Değişiklik durumlarının ilgili paydaşlar tarafından izlenebilmesi adına ise raporlama mekanizması kurulmalıdır. Burada asıl vurgulanması gereken bir önemli nokta ise CobIT'in değişikliği sorunsuzca uygulanabilmesinden ziyade uygulama adımlarının sistematik olarak yerine getirilmesini önemsemesidir. Uygulayıcılar değişiklik adımlarını tamamlamadan, paydaşlardan gerekli katılım ve onayı almadan, aksilik durumlarında geri dönüş stratejisi belirlemeden ilerledikleri takdirde, iş sonunda değişikliği başarılı gerçekleştirseler bile süreç boyunca yüksek derecede risk taşıdıkları ve sistematik ilerlemedikleri sürece başarısız olarak değerlendirilmektedirler. 

0 yorum:

Yorum Gönder