COBIT (Control Objectives for Information and Related Technology)

COBIT (Control Objectives for Information and Related Technology), işletmelerin bilgi yönetimi ve yönetişim etrafında stratejiler geliştirmelerine, düzenlemelerine ve uygulamalarına yardımcı olmak için ISACA tarafından geliştirilen bir BT yönetim çerçevesidir.

COBIT, ilk olarak 1996’da Information Systems Audit and Control Foundation (ISACF) tarafından yayımlanmıştır. COBIT; İş hedeflerinin, bilgi ve ilgili teknolojilerle uyumunu (Business-IT Aligment), sonuçlarını, etkinliğini, bütünlüğünü, verimliliğini, güvenilirliğini, gizliliğini vb. konularını izleyen, ölçen, denetleyen ve iyileştiren bir BT yönetişimi (IT Governance) metodolojisidir.

Yöneticiler için destekleyici bir araç olacak şekilde tasarlandı ve teknik konular, iş riskleri ve kontrol gereksinimleri arasındaki önemli uçurumun köpülenmesine izin verdi. COBIT, herhangi bir endüstrideki herhangi bir organizasyona uygulanabilecek tamamen tanınmış bir kılavuzdur. Genel olarak, COBIT, her modern işin en önemli yönü olan bir organizasyonda bilgi sistemlerinin kalitesini, kontrolünü ve güvenilirliğini sağlar. Bugün, COBIT, tüm BT iş süreci yöneticileri tarafından, kuruluşa değer sağlamak için bir modelle donatmak ve BT süreçleriyle ilişkili daha iyi risk yönetimi uygulamaları uygulamak için küresel olarak kullanılmaktadır. COBIT kontrol modeli, bilgi sisteminin bütünlüğünü garanti eder.

COBIT Çerçevesi

COBIT iş oryantasyonu, BT süreçlerinin ilişkili iş sorumluluklarını belirlerken başarıyı ölçen çeşitli olgunluk modelleri ve metrikleri sağlayarak iş hedeflerini BT altyapısıyla ilişkilendirmeyi içerir. COBİT ‘in ana odak noktası, aşağıdakiler de dahil olmak üzere dört özel alana bölünen süreç tabanlı bir modelle gösterilmiştir:

-Planlama ve Organizasyon
-Teslimat ve Destek
-Tedarik ve Uygulama
-İzleme ve Değerlendirme

COBIT Planlama & Organizasyon (Plan & Organize — PO)

PO 1 Stratejik BT Planını Tanımlama
PO 2 Bilginin Mimarisini Tanımlama
PO 3 Teknolojik Yön Belirleme
PO 4 BT Organizasyon ve İlişkilerini Tanımlama
PO 5 BT Yatırımlarını Yönetme
PO 6 Yönetim Amaç ve Hedeflerini Aktarma
PO 7 İnsan Kaynaklarını Yönetme
PO 8 Kalite Yönetimi
PO 9 Risk Yönetimi
PO 10 Proje Yönetimi

COBIT planlama ve organizasyon temelinde şu soruları sorar:

BT ve iş stratejileri birbirlerine uyumlu mu?
Banka kaynakları optimum şekilde kullanılıyor mu?
Kurum içerisindeki herkes BT hedeflerini anlıyor mu?
BT riskleri anlaşılıyor ve yönetiliyor mu?
BT Sistemlerinin kalitesi iş ihtiyaçlarını karşılamaya yeterli mi?

Planlama ve Organizasyon adımlarını açacak olursak:

PO 1 Stratejik BT Planını Tanımlama: Stratejik BT planının tanımlanması ve böylece bilgi teknolojileri fırsatları ile BT iş gerekleri arasındaki optimum
dengenin kurulması, ileriye yönelik başarının sağlanması.

– Stratejik planlama sürecinin devamlı aralıklarla uzun vadeli planların gerçekleştirilmesi sorumluluğunu alması; böylece uzun vadeli planların periyodik olarak operasyonel planlara, açık ve net kısa vadeli hedeflere dönüşümünün sağlanması.

PO 2 Bilginin Mimarisini Tanımlama:Kurumsal sistemlerin ve bilgi sistemlerinin optimizasyonu için bilgi mimarisinin tanımlanması
– İş Bilgi Modeli’nin yaratılması ve idaresi, böylece uygun sistemlerin tanımlanmış ve bilginin kullanımının en iyi seviyede olmasının sağlanması.

PO 3 Teknolojik Yön Belirleme: Mevcut ve sürekli gelişen teknolojinin yönetim stratejilerinin gerçekleşmesinde avantaj olarak
kullanılabilmesi için teknolojik yön tayin edilmesi.
– Teknolojinin ürün, hizmet ve servis mekanizmaları bağlamında neler sunabileceği konusunda açık ve gerçekçi beklentiler ortaya koyan teknolojik altyapı planının yaratılması.

PO 4 BT Organizasyon ve İlişkilerini Tanımlama: BT süreçlerinin, organizasyonunun ve ilişkilerinin tanımlanması ve doğru BT hizmetlerinin sağlanması ilişkisini kurulması.
– Mevcut ve yeteneklerin rol ve sorumluluklar ile uyumlu olduğu bir organizasyonun tanımlanmış, stratejinin gerçekleşmesi yönünde etkin yöntem ve uygun kontrollerle bağdaştırılması.

PO 5 BT Yatırımlarını Yönetme: BT yatırımının yönetimi böylece mali kaynakların kontrol ve finansmanının sağlanması
– Periyodik bir yatırım ve operasyon bütçesinin kurulması ve onaylanması.

PO 6 Yönetim Amaç ve Hedeflerini Aktarma: Yönetimin amaçlarının ve yönünün iletişimi ile kullanıcıların bu amaçları anlayış ve bilincinin yönlendirilmesi
– Politikaların oluşturulmuş ve kullanıcı topluluğuna iletişimin sağlanmış olması; bunun ötesinde, stratejik seçeneklerin pratik ve kullanılabilir kullanıcı kurallarına dönüşümü için standartların belirlenmesi.

PO 7 İnsan Kaynaklarını Yönetme: İnsan kaynakları yönetimi ile rekabete açık ve motive iş gücünün BT süreçlerine katılımının maksimize
edilmesi.
– Sağlam, adil ve şeffaf personel yönetimi uygulamalarının işe alım, inceleme, değerlendirme, eğitim, terfi, işten çıkarma ve tazminat ödeme aşamalarında gösterilmesi.

PO 8 Kalite Yönetimi: kalite yönetimi’nin BT müşterilerinin ihtiyaçlarını karşılamakta kullanılması.
– Kalite yönetimi standartlarının planlanması, kurulum ve yönetimi; ayrı gelişim fazları ve belirgin sorumlulukların sağlandığı sistem ve uygulamalar.

PO 9 Risk Yönetimi: Risk değerlendirmesi ile yönetim kararlarının BT hedeflerinin gerçekleştirilmesi yönünde desteklenmesi,
karmaşıklığın azaltılıp önemli karar faktörlerinin belirlenerek tehditlerin karşılanması.
– Kurumun BT riskleri analizi ve etki değerlendirmesine disiplinler arası fonksiyonların dahil edilmesi ve etkin / uygun maliyetli önlemlerin risklerin hafifletilmesi için alınması.

PO 10 Proje Yönetimi: önceliklerin belirlenmesi ve bütçe dahilinde zamanında teslim için proje yönetimi.
– Etkili proje yönetimi tekniklerinin her proje için operasyonel plan dahilinde proje önceliklerinin belirlenmesinde kullanılması.

Teslimat ve Destek (DS)

Teslimat ve Destek Süreç Alanı, BT’nin teslimat durumlarına odaklanır.Uygulamaların BT sistemi içinde yürütülmesi ve sonuçlarıyla olduğu kadar, BT sistemlerinin etkili ve yeterli işletilmesine olanak sağlayan destek süreçlerini de kapsar. Destek süreçleri; güvenlik konuları ve eğitimi içerir. Teslimat ve Destek Süreç Alanına ait üst seviye kontrol hedefleri listeleyecek olursak:

DS1 Hizmet Düzeyi Belirleme ve Yönetimi
DS2 Üçüncü Parti Hizmet Yönetimi
DS3 Performans ve Kapasite Yönetimi
DS4 Sürekli Hizmetin Sağlanması
DS5 Sistem Güvenliğinin Sağlanması
DS6 Harcamaların Belirlenmesi ve Bütçelenmesi
DS7 Kullanıcı Eğitimi
DS8 Kullanıcılara Yardım ve Danışmanlık
DS9 Konfigürasyon Yönetimi
DS10 Problem ve Olay Yönetimi
DS11 Veri Yönetimi
DS12 Fiziksel Çevre Yönetimi
DS13 Operasyon Yönetimi

Tedarik ve Uygulama(AI)

Tedarik ve Gerçekleştirme Süreç Alanı, BT gereksinimlerini belirlemeyi, teknolojiyi tedarik etmeyi ve şirketin mevcut iş süreçleri içinde uygulamayı kapsar. Bu Süreç Alanı ayrıca, şirketin BT sistemi ve bileşenlerinin ömrünü uzatmak için bir bakım planı oluşturmayı adresler. Tedarik ve Uygulama Süreç Alanına ait üst seviye kontrol hedefleri listeleyecek olursak:

AI1 Otomasyon Çözümlerinin Belirlenmesi
AI2 Uygulama Yazılımı Tedarik Edilmesi ve Bakımı
AI3 Teknoloji Altyapısının Tedarik Edilmesi ve Bakımı
AI4 İş ve Kullanımın Etkin Kılınması
AI5 BT Kaynaklarının Sağlanması
AI6 Değişiklik Yönetimi
AI7 Çözüm ve Değşikliklerin Kurulması ve Kabul Edilmesi

İzleme ve Değerlendirme(ME)

İzle ve Değerlendir Süreç Alanı, şirket ihtiyaçlarının tayin edilmesiyle ilgili şirket stratejilerinin belirlenmesi ve mevcut BT sisteminin tasarlanırken niyetlenildiği ihtiyaçları karşılayıp karşılamadığı ile ilgilenir. Bu süreç alanı ayrıca BT sisteminin iş amaçları ve şirketin kontrol süreçlerinin iç ve dış denetçiler tarafından etkinliğinin değerlendirilmesini de kapsar.İzle ve Değerlendir Süreç Alanına ait üst seviye kontrol hedeflerini listeleyecek olursak:

ME1 Süreç İzleme
ME2 İç Kontrol Değerlendirme Yeterliliği
ME3 Bağımsız Güvence Elde Edilmesi
ME4 Bağımsız Denetimin Sağlanması

CobiT’in 4 temel Süreç Alanının altında toplam 34 adet BT süreci bulunmaktadır. Bu BT süreçleri 318 adet detaylı kontrol amacı içermektedir. CobiT,BT süreçlerini aşağıdaki bilgi kriterleri ve bilgi kaynakları ile ilişkilendirilir.

Bilgi kriterleri

Etkililik: Bilginin iş süreçleri ihtiyaçları ile ilgili ve bu ihtiyaçlara cevap verir nitelikte olması.
Verimlilik: Bilgi kaynakların en etkin kullanımı ile elde edilmesi.
Gizlilik: Hassas bilginin yetkisiz erişime karşı korunması.
Bütünlük: Bilginin kendi içinde ve çevresel veriler ile bütünlük göstermesi, yetkisiz değişikliğinin engellenmesi.
Devamlılık: Bilginin ihtiyaç duyulduğunda erişilebilir olması.
Uyumluluk: İş süreçlerinde kanun, düzenleme ve kontratlara uyumun sağlanması.
Güvenilirlilik: Yönetimin finansal ve diğer raporlamalar için güvenilir veriye ulaşabilmesi.

Bilgi kaynakları

İnsan Kaynakları: BT personel yetenekleri, bilinç, bilgi sistemleri planlama, organizasyon, uygulama, destek, gözetim üretkenliği.
Uygulama Sistemleri: Manuel ve programlanmış işsüreçlerinin tümü.
Teknoloji: Donanım, işletim sistemi, veritabanı yönetim sistemi, bilgi ağı ve diğer teknoloji altyapısı.
Fiziksel Ortam: Bilgi sistemlerini barındıran ve koruyan fiziksel ortamlar.
Veri: En geniş anlamıyla, iç, dış veri türlerinin tamamı.

Umarım yararlı olmuştur.