İlkeler Tebliği ve COBIT5

Bankacılık sektöründe Bilgi Teknolojileri Denetimi konusunda özellikle regulatör kuruluş rolündeki BDDK'nın 2006'dan bu yana yürüttüğü çalışmalar neticesinde Türk Bankacılık Sektörü Bilgi Teknolojileri Hizmetlerinin bankanın ana faaliyetlerine ilişkin stratejilerini destekleme rolünün, bilgi güvenliği, süreklilik ve kurumsallaşma gibi başlıkları da göz önünde bulundurarak geliştirdiği önemli bir gerçektir. Özellikle 2006 yılından günümüze olan süreçte bankalar teftiş kurullarında Bilgi Sistemlerinin denetlenmesine yönelik gerek organizasyonel yapılanma gerekse kurumsal bilgi birikimine yönelik büyük yatırımlar yapmışlardır.

BDDK tarafından yayınlanan ve sektörde İlkeler Tebliği olarak bilinen Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği içerisinde Bilgi Teknolojileri denetiminin ISACA tarafından yayınlanan çerçeve olan COBIT'in en güncel versiyonu ile yapılacağından bahsedilmektedir. 2006 yılından bu yana bankalar ve bankaları denetleyen bağımsız denetçiler tarafından temelde kontrol oldaklı olan CobIT 4.1 sürümü kullanılmış, bankaların Bilgi Teknolojileri faaliyetlerinde rol alan aktörleri iş süreçlerini ve yapılanmalarının CobIT 4.1'e uygun organize etmişlerdir.

Haziran 2012 ayında ISACA COBIT'in yeni versiyonu COBIT5'i yayınlamış, çerçeve tanıtım ve uygulama rehberi dokümanlarını yayınlamış, gelecek vadede yayınlanacak doküman setinin üyelerini de açıklamıştır.

Şimdi kafalardaki soru, Bilgi Teknolojileri Denetimi faaliyetlerinin tebliğde bahsi geçtiği gibi COBIT'in en güncel sürümü olan COBIT5 ile mi yapılacağı, yoksa bu konuda bir uyum sürecinin BDDK tarafından bankalara tanınıp, tanınmayacağıdır. Kaldı ki bu uyum sürecindeki en önemli aşamanın bankaların teftiş kurullarının COBIT5'e uygun denetim yapacak bilgi ve uygulama birikimine sahip olmalarından ziyade banka Bilgi Teknolojileri süreç sahiplerini yönettikleri süreçleri COBIT5'e uygun hale getirmeleri olacağı aşikardır. Bilgi Teknolojileri süreç sahiplerine bu geçiş ve uyum süreci tanınmadığı takdirde 2006'dan bu yana süregelen uygulamalarla CobIT 4.1 hükümlerine göre uyarlanan BT süreçlerinin COBIT5 hükümlerine göre teftiş kurulları tarafından denetlenmesi neticesinde elde edilenin bulgu üreten bir mekanizmadan öteye gidemeyeceği bir gerçektir.

Akıllardaki bu önemli soru geçen Çarşamba günü katıldığım bir toplantı esnasında ilgili daire başkanı Ahmet Turkay Varlı'ya yöneltilmişti. Ahmet Bey cevabında tebliğde bahsedilen güncel Cobit sürecinden kastın belirli bir olgunluğa erişmiş, dokümanlarının önemli bir kısmının tamamlandığı hali ile olduğunu, denetimlerde önemli bir kılavuz olan Assurance Guide for COBIT5'in 2013 yılı içerisinden yayınlanmasının öngörüldüğünü, bu sebeple 2014 yılından önce teftiş kurullarının COBIT 5 kapsamında denetim yapmalarının mümkün olmadığını, BDDK tarafında bu geçişe ilişkin bir takvimin henüz var olmadığını belirtmiştir.

Kendime not bağlamında paylaşmak isterim.