BT'ye yönelik yönetim ve yönetişim soruları??

ISACA tarafından yayınlanan ve geliştirilmesi devam eden COBIT 5 çerçevesine göre Bilgi Teknolojileri unsurları kurum hedeflerini gerçekleştirmeye hizmet edecek şekilde yapılandırılmalıdır. Bu unsurlar içerisinde BT organizasyon yapısı ve BT süreçleri önemli olanlardır. 5. sürümü ile birlikte COBIT bir denetim ve yönetim çerçevesi olmaktan ziyade kurum içerisinde BT Yönetişiminin sağlanmasına yönelik rehber olma niteliği kazanmıştır. Tam da bu noktada kurum içerisinde yönetim ve yönetişim tanımlarının açıkca belirtmiştir.

COBIT 5 içerisinde de geçen ve Yönetim ve Yönetişim'in teminine yönelik sorulması önerilen sorular iç paydaşlar ve dış paydaşlar özelinde ayrılmıştır. Çerçeve içerisinde iç paydaşlar olarak Yönetim kurulu, CEO, CFO, CIO, CRO gibi üst düzey yöneticiler, iş tarafı yöneticileri, iş süreç sahipleri, risk yöneticileri, güvenlik yöneticileri, hizmet yöneticileri, insan kaynakları yöneticileri, iç denetim, bilgi mahremiyeti (privacy) görevlileri, BT kullanıcıları, BT yöneticileri değerlendirilmektedir. BT fonksiyonuna yönelik yönetişim çerçevesi olarak düşünülebilecek olan COBIT 5'de bütün iç paydaşların rolü olduğu göze çarpmaktadır. COBIT 5, Bilgi Teknolojileri fonksiyonlarının yönetişiminin ötesinde kurum Bilgi Teknolojileri fonksiyonlarının yönetişimini amaçlamaktadır. BT fonksiyonlarının paydaşları eski anlayışa göre sadece hizmeti üreten, yönetenlerin ötesinde bütün kurum haline gelmiştir. Çerçeveye göre İç Paydaşların kendilerine sormaları önerilen sorular aşağıdaki gibidir;

1.      BT’nin kullanmı ile nasıl değer elde edebilirim? Son  kullanıcılar BT hizmet kalitesinden memnunlar mı?

2.      BT performansını nasıl yönetebilirim?

3.      Yeni stratejik fırsatlar için yeni teknolojiden en iyi nasıl istifade edebilirim?

4.      BT biriminin yapısını en iyi nasıl tasarlayıp, kurabilirim?

5.      Dış sağlayıcılara bağımlılığım ne düzeydedir? BT dış kaynak kullanımına yönelik anlaşmalar ne derece iyi yönetilmektedir?

6.      Dış sağlayıcılar ile uyumu nasıl sağlayabilirim?

7.      Bilgiye yönelik kontrol gereksinimlerim nelerdir?

8.      BT ile ilgili bütün riskleri dikkate alıyor muyum?

9.      BT operasyonlarını etkin ve esnek işletebiliyor muyum?

10.  BT maliyetini nasıl kontrol ediyorum? BT kaynaklarını en etkin ve etkili yaklaşımla nasıl kullanabilirim?

11.  En etkili ve etkin kaynak edinim seçeneği hangisidir?

12.  BT için yeterli elemana nasıl sahip olabilirim? Becerilerini nasıl geliştirip, becerilerin sürekliliğini sağlayabilirim, performanslarını nasıl yönetebilirim?

13.  BT’ye yönelik uyumu nasıl temin edebilirim?

14.  Üzerinde işlem yaptığım bilgilerin güvenliği iyi sağlanıyor mu?

15.  Daha esnek BT ortamı yardımıyla iş tarafının çevikliğini nasıl artırabilirim?

16.  BT projeleri söz verilen çıktıların üretiminde başarısız kalıyor mu? Eğer öyleyse neden? BT, iş stratejisinin işletilmesi noktasında katkı sağlayabiliyor mu?

17.  Kurumun sürekliliği için BT ne kadar kritik? BT hizmetleri sağlanamaz ise ne yapabilirim?

18.  Hangi kritik iş süreçleri BT’ye bağımlıdır? İş süreçlerinin gereksinimleri nelerdir?

19.  BT operasyonel bütçesinin ortalama bütçe aşımı ne düzeydedir? Hangi sıklıkta ve kaç adet BT projesinde bütçe aşımı olmuştur?

20.  BT eforunun ne kadarı iş iyileştirmelerinden ziyade günlük çözümlerin üretilmesinde kullanılmaktadır?

21.  Kurumsal stratejik hedeflerinin karşılanması noktasında yeterli BT kaynak ve alt yapısı mevcut mudur?

22.  Önemli (major) seviyede BT kararı almak ne kadar zaman almaktadır?

23.  Bütün BT eforu ve yatırımları saydam mıdır? (açık)

24.  BT, kurumu düzenlemelere ve hizmet seviyelerine uyum noktasında desteklemekte midir? Bütün uygulanabilir düzenlemelere uyumlu olduğumdan nasıl emin olabilirim?

Çerçeveye göre dış kullanıcılar ise İş ortakları, tedarikçiler, düzenleyici kurumlar ve devlet, dış kullanıcılar, müşteriler, standardizasyon kuruluşları, dış denetçiler, danışmanlar olarak sıralanmıştır ve dış paydaşlar açısından BT yönetişimi noktasında değerlendirme yapılması gereken sorular şu şekildedir;
      1.      İş ortaklarımın operasyonlarının güvenli ve güvenilir olduğundan nasıl emin olabilirim?

2.      Kurumun kurallar ve düzenlemelere uyumlu olduğunu nasıl bilebilirim?

3.      Kurumun etkili bir iç kontrol sistemine sahip olduğunu nasıl bilebilirim?

4.      İş ortakları kontrolü sağlanmış bilgi zincirine sahipler midir?

 Çerçeveye göre Kurumsal hedef (Enterprise Goals) olarak sıralanan örnek 17 adet hedef ile bu soruların ilişkileri belirlenmeli, kurum içerisinde BT kurumsallaşmasına yönelik bilinç cevabı aranan sorular ile sağlanmalı, kurumsal hedeflerden yola çıkarak, bu hedefler ile alakalı Bilgi Teknolojileri hedefleri (IT Related Goals) belirlendikten sonra bu hedefler ile eşleştirilmesi yapılmış olan gerçekleyiciler (Enabler) ihtiyaca uygun olarak düzenlenmelidir.

Gerçekleyicilere ilişkin tanımların daha netleşmesi için COBIT 5 ilgili dokümanlarının okunması önemlidir. Çerçeve içerisinde tanımlanan 7 adet gerçekleiyici mevcuttur. Bunlar;

1.      İlkeler, Politikalar ve Çerçeveler

2.      Süreçler

3.      Organizasyonel yapılar

4.      Kültür, etik ve davranış

5.      Bilgi

6.      Hizmetler, altyapı ve uygulamalar

7.      İnsanlar, beceri ve yetkinlikler