Orkestra Şefiniz: COBIT

Transkript

1 Orkestra Şefiniz: COBIT Mehmet Cüneyt Üvey Mehmet Cüneyt Üvey Şirketler de orkestra gibidirler. Her departmanın ayrı bir ses tınısı vardır. Kendi başlarına iyi işler yapabilmeleri yeterli değildir. Bir bütün olarak, diğer tüm enstrümanlarla ahenk içerisinde çalışabilmeli, bütünün parçasındaki yerlerini görebilmelidirler. COBIT i bir orkestra şefine benzetiyoruz. Tüm departmanların bilgi teknolojilerine bağlı hale geldiği günümüzde, BT ekseninden şirketin vizyon ve stratejisini belirleyip yöneten yeni orkestra şefimiz; COBIT. 52

2 COBIT i Türkiye ye ilk getiren ve Yapı Kredi Bankası nda hayata geçmesini sağlayan, akademisyen ve danışman olan sayın Mehmet Cüneyt Üvey ile geçmişten günümüze COBIT i, finans dünyasını, CIO ları, akademik ve iş dünyasındaki ilişkileri konuştuk. Bilgi ve tecrübelerini detaylı olarak dergimizle paylaşan Cüneyt hocamıza teşekkür ediyoruz. BT yöneticilerinin mutlaka okuması gereken bu röportaj, optimizasyona giden bir yol haritası niteliği taşımaktadır. Keyifli okumalar Röportajı hazırlayan: Burak Bulduk 1- Bize kendinizden, iş dünyasındaki yerinizden ve akademik konumunuzdan bahseder misiniz? 1967 doğumluyum. Tarsus Amerikan Koleji ve ODTÜ Kamu Yönetimi nden mezunum. T.C. Ziraat Bankası Bankacılık Okulu nu ilk açıldığı yıl kazanarak, ODTÜ sonrasında 1 yıllık Bankacılık Eğitimi aldım ların başında borsa, menkul kıymetler, yatırım fonları, hazine bonoları ve devlet tahvilleri gibi konular çok popülerdi. Bankacılık Okulu sonrasında Ziraat Menkul Değerler Müdürlüğü nde çalıştım. Özel sektör deneyimi elde etmek ve özellikle denetim konusunda kendimi geliştirmek üzere 1991 de Yapı Kredi Bankası (YKB) Teftiş Kurulu na girdim. İki sene kadar, ülkemizin farklı yerlerinde ve farklı boyutlarda hizmet veren genel müdürlük birimlerinin denetimlerinde müfettişlik yaptıktan sonra, yılları arasında Amerika da İş İdaresi (MBA) üzerine Bloomsburg University - Pennsylvania da yüksek lisans eğitimi aldım. MBA sonrasında YKB ye geri döndüm. YKB de 2000 yılında, belki de Türkiye deki ilk ve en geniş kapsamlı CO- BIT uygulama projesini başlattım ve yönettim. O dönemde üst yönetimin vizyonerliği sayesinde, COBIT i yazan insanları da getirterek, Türkiye de birlikte çalışma fırsatımız oldu. Projenin bir bacağı; YKB deki 550 kişinin çalıştığı teknoloji organizasyonu içerisinde, süreçlerin ayrıştırılması ve oturtulması yönünde uygulanırken, diğer bacağı ise, Teftiş Kurulu nun Bilgi Teknolojileri (BT) denetimi yapabilir hale getirilmesi şeklinde uygulandı. Proje tamamlanır tamamlanmaz, COBIT uygulamaları ile ilgili yol haritasını hayata geçirmek ve YKB Teknoloji Yönetimi nin tüm BT süreçlerinin ve projelerinin risklerinin yönetimi işinin sorumluluklarını Biz bir şeyi kontrol edebiliyorsak, demek ki yönetiyoruz. Peki, daha iyi nasıl yönetebiliriz? aldım. Öncelikle Teftiş Kurulu na BT denetimi fonksiyonunun kazandırılmasını takiben, BT Risk Yönetimi birimini kurdum ve işleyişe geçirdim. Böylelikle Türkiye deki ilk BT Risk Yöneticisi oldum. Yapı Kredi de 16 yıl süren muhtelif görevlerim sırasında; mesleki gelişimime katkıda bulunması e bilgilerimin standartlara uygun bir şekilde yeterli olduğunu belgelemek adına uluslararası geçerliliği olan CGEIT (BT Kurumsal Yönetişim), CISA (BT Denetçisi), CISM (Bilgi Güvenliği Yöneticisi), ISO LA (Bilgi Güvenliği Yönetim Sistemi Baş Tetkikçisi), PMP (Proje Yöneticiliği) sertifikalarıyla ilgili eğitimleri tamamladım yılında, ODTÜ Enformatik Enstitüsü nde, sonradan üç farklı bölümde (IS, SM ve ION) birden verilebilecek IT Governance adındaki dersimi vermeye başladım. ODTÜ de bu ders çok tuttu ve hatta bazı kurumlardan dersi almaya istekli birçok yönetici ve çalışanlar derse özel öğrenci/izleyici olarak kaydoldular. Sabancı Üniversitesi ile de bu konuda anlaştım. Sabancı Üniversitesi nde IT (Bilgi Teknolojileri) ve ITM (Yönetimde Bilişim Sistemleri) programları var; orada da bu dersi vermeye başladım. İstanbul Ticaret Üniversitesi nde de özellikle bilgisayar sistemlerinin denetimi konusundaki ihtiyacı gidermek üzere, Muhasebe ve Denetim Master öğrencilerine BT Denetimi dersi verdim. 53

3 Son olarak da Bilkent MBA programında, bu sefer de iş dünyasından gelen insanların teknolojiye adaptasyonu yönünde, bu dersi vermeye başladım. Bu derslerden birkaç tanesi sürüyor, bazıları ise senede 1-2 ders şeklinde devam ediyor. Sonuçta profesyonel deneyimlerimi paylaşmak ve yetişen gençlere yönetsel özellikler kazandırmak için COBIT i, ISO i, ITIL ı ve benzeri en iyi uygulamalar ve standartları kullanarak akademisyenliğe de adım atmış oldum. Geleceğin BT yöneticilerini, çalıştıkları alanlarda ve kurumlarda her şeyi şimdiden tepeden görebilecekleri yöntemlere sahip olmak üzere yetiştirmeyi kendime bir misyon edindim. Şuanda, Ankara da bulunan TNS ve Stratek adlı kardeş firmalarda danışman olarak çalışmaktayım. Kamu kurum ve kuruluşlarına bilgi hizmetleri sunarak, eğitimler vererek, yurtiçi ve yurtdışındaki projelerde roller alarak iş hayatıma devam ediyorum. ilgili yaptığım çalışmaları ve kendi hazırladığım akademik çalışmaları ISACA ile yani COBIT i yazan kuruluş ile paylaşarak, ISACA nın bana COBIT Eğitmeni olarak akreditasyon vermelerini sağladım. Dünyada ISACA nın akredite ettiği ve sayısı 20 yi geçmeyen COBIT eğitmenlerinden biriyim. Yıllardır kurmaya çalıştığımız ISACA İstanbul Chapter, 2009 başında resmi olarak kuruluşunu tamamladı. Bilgi Teknolojileri nin Denetimi ve Kurumsal Yönetimi ile ilgili faaliyet gösterecek olan bu derneğin kurucuları arasında olan birisi olarak, COBIT in yaygınlaşması ve kullanımı ile ilgili birçok eğitim, bilinçlendirme ve uygulama çalışmasına rehberlik etmek yönünde çalışmalarımızın olacağını düşünüyorum. ISACA ve ITGI çatısı altındaki meslektaşlarımla birlikte, ülkemizde mesleki standartların belirlenmesinde, konferans ve seminerlerin düzenlenmesinde, uluslararası yayınların adaptasyonunda ve bunları destekleyen akademik çalışmalarda da yer alacağımızı umuyorum. 2- COBIT konusundaki uzmanlığınız ve çalışmalarınız nelerdir? COBIT i 2000 li yılların başında Türkiye de ilk uygulayan ve tanıtmaya çalışan kişilerden biri olarak söyleyebilirim ki; özellikle İmar Bankası olayından sonra bilgi teknolojileri denetiminin öneminin ve gerekliliğinin anlaşılması, COBIT in yaygınlaşmasını çok hızlandırdı. COBIT in denetim için seçilen yöntem olması yönünde uzun soluklu çalışma ve toplantılar yapılarak; bankalar, BDDK ve bağımsız denetim ve danışmanlık kuruluşları arasında 2003 yılında başlayan çalışmalar sonucunda ortak bir çizgi belirlendi. Benim kişisel olarak bu işi YKB bünyesinde 2003 öncesinde projelendirip, çalışmalarımı COBIT e dayalı olarak devam ettirmem büyük avantajlar sağladı. Bir anlamda, BDDK nın belirlemiş olduğu yöntemin uygulama tecrübesine sahip olunmaması nedeniyle bütün bankalarda ve denetim - danışmanlık kuruluşlarında CO- BIT ile ilgili bir know - how gereksinimi ortaya çıktı. Ben bu sayede gerek özel eğitim kurumlarına destek olarak, gerekse Bankalar Birliği ndeki bütün bankalara eğitimler düzenleyerek 40 ar kişilik gruplar halinde 200 den fazla bankacının COBIT ile tanışmasına ve bu yöntemi öğrenmelerine vesile oldum. Bu açıdan baktığımız zaman COBIT ile 3- Türkiye de COBIT tam anlaşılmış ve benimsenmiş bir konu değil! Konunun uzmanı olarak COBIT in ne olduğunu ve tarihsel gelişimini tanımlar mısınız? İsterseniz ilk önce bu COBIT kısaltmasının kelime açılımını yaparak başlayalım: Control Objectives for Information and Related Technologies sözcüklerini Bilgi Teknolojileri ve ilgili teknolojiler için Kontrol Hedefleri şeklinde çevirebiliriz Türkçeye. Tabii, konu çeviri yaparak da anlaşılabilecek kadar kolay değil. COBIT, özellikle bankacılık ve finans çevresinde, BDDK nın ve dış denetim & danışmanlık firmalarının çalışmaları sonucunda denetim boyutu ile gayet iyi anlaşılmaya başlanmıştır. Ancak yine de farklı sektörlerde de daha iyi kavranabilmesi ve yaygınlaşabilmesi için temel teorik bilgi ile başlamakta yarar vardır. Kitabı dan ücretsiz olarak edinebilirsiniz. Ancak COBIT i anlamak için kitabı okumak pek yeterli olmamak- 54

4 tadır. Kitaptaki kavramları gerçek hayat ile bağdaştırabilmek, örneklerini yaşamak, yani tecrübeli bir BT Yöneticisi olarak konuya hakim bir bakış açısı edinmek gerekir. COBIT in tarihçesine bakarsak, ilk önce 1996 yılında bir denetim Checklist i olarak ortaya çıkıyor. Denetlenecek süreçlerin, bilginin yönetimi açısından; etkinliğini, verimliliğini, gizlilik - bütünlük ve erişilebilirliğini, güvenilirliğini ve düzenlemelere uyumluluğunu dikkate alan yedi kriter sorgulanıyor e geliyoruz; COBIT in ikinci versiyonu çıkıyor. Bu versiyon, denetimin, olay gerçekleştikten sonra olan bir şey olması nedeniyle, denetimden önce gerekli standartları ve yapılması gereken işleri belirlemek amacıyla daha anlamlı bir kontrol standardı haline dönüşüyor. Kontrol kavramının tanımını yapmak gerekirse; istenmeyen bir olayı öncelikle önlemek, önleyemiyorsak tespit etmek veya istemediğimiz olay gerçekleşiyorsa bu olayın bize vereceği zararı asgariye indirmek için durumu düzeltmek şeklinde tanımlayabiliriz. Mesela bir deprem gerçekleşmesini önleyemezsiniz. Depremin gerçekleştiğini ancak olduğu anda tespit edebilirsiniz. Fakat deprem sonrası yapmanız gerekenleri önceden planlar ve deprem olduğunda da bunları uygulamaya geçirirseniz, depremin zararlarını asgariye indirebilirsiniz. Bu şekilde düşünürsek, COBIT teki (Control) kontrol dediğimiz ve C harfine tekabül eden kelime bu anlama geliyor. Control Objective (kontrol hedefi) ise bu kontrolü ne için uyguladığınız anlamına geliyor. Mesela, kontrol hedefi depremi engellemek değildir; depremin size vereceği insani zararı ve maddi kaybı engellemek bir kontrol hedefi olabilir Özellikle 1996 da COBIT in bir denetim Checklist i olarak ortaya çıkmasından sonra 1998 de kontrol mantığını kazanmış olması ve 2000 yılına kadar kontrol odaklı bir yaklaşımı olması nedeniyle, COBIT aslında yılları arasında olgunlaşmıştır yılında, Biz bir şeyi kontrol edebiliyorsak, demek ki yönetiyoruz. Peki daha iyi nasıl yönetebiliriz? bakış açısından yola çıkılarak, COBIT in aynı zamanda bir yönetim çerçevesi olduğu yönünde bir yaklaşım gelişti ve bir set halinde COBIT 3 versiyonu çıktı. Yönetim rehberi, ölçüm kriterleri, yönetsel özet, kontrol hedefleri, uygulama rehberi, denetim rehberi vb. yönetişim araçları da ayrı kitaplar olarak setin içerisinde yerlerini aldılar. Kurumlarda, endüstri devriminden bu yana gelişen Corporate Governance (Kurumsal Yönetişim) dediğimiz konular ve kavramlar var. COBIT gelişimini sürdürdükçe ve yaygınlaştıkça, sadece BT yönetimi değil, BT ile iş dünyasının da birbirleri ile etkileşimini iyileştirmeye çalışan bir yöntem olduğu için 2005 yılından itibaren artık bir IT Governance (bilgi teknolojilerinin kurumsal yönetişim yöntemi) olarak dönüşüme uğradı. COBIT in 4.0 ve 4.1 versiyonları, iş dünyası ile BT dünyasını birbirine yaklaştırmaya çalışan, özellikle stratejik uyum, katma değer yaratmak, kaynakların etkin ve verimli yönetimi, risklerin yönetimi ve performansın ölçümlenebilmesi alanlarında kullanılmaya uygun bir Governance yöntemine dönüşmüş durumdadır. Yapısal olarak COBIT in 4 temel faaliyet alanı altında gruplanmış 34 süreçten oluştuğunu görüyoruz. Her bir süreç ile yukarıda saydığımız 7 adet Bilgi Kriteri ve 4 adet BT Kaynağı 55

5 (Uygulamalar, Bilgiler, Altyapı ve İnsan Kaynakları) bağlantıları kurulmuştur. BT Yönetişimi açısından da her bir sürecin, hangi yönetsel boyuta hizmet ettiğinin ilişkisi net olarak COBIT de belirtilmiştir. Bunlar ilk bakışta anlaşılabilecek durumdadır. Ayrıca COBIT in hangi sürecinin hangi süreçlere girdi sağladığı ve hangi süreçlerin çıktılarından yararlandığı da açıkça ortaya koyularak süreçlerin birbirleri ile ilişkileri tanımlanmıştır. 4- Bence kavram karmaşasına yol açan bir durum var; COBIT bir kalite yönetim süreci midir? COBIT öncelikli olarak COSO Kontrol Modeli nden esinlenerek, BT Süreç ve Kontrollerine yönelik olarak ortaya koyulmuş bir şemsiyedir. BT süreçlerinin tümüne, bir modelleme yaparak veya COBIT in oluşturduğu model gözlüğü ile tepeden bakabiliyorsunuz. Kalite yönetiminde ise var olan süreçlerinizi dokümante edersiniz. Bu süreçlerin ölçüm kriterlerini, girdi çıktılarını tanımlarsınız. Süreçlerde; yaptığınızı yazdığınız veya yazdığınızı yaptığınızın tutarlılığı ve sürekli iyileştirme gibi gereksinimleri yerine getiriyorsanız, kalite sistemi %80 kurulmuş demektir. Ama olaya COBIT tarafından bakarsak, herhangi bir BT organizasyonunun 34 süreçlik bir model ile ifade edilmesi ve COBIT in tüm BT organizasyonlarına kısmen veya tamamen uygulanabilecek bir çerçeve olduğunu düşünebiliriz. Kalite yönetim sisteminde, bir iş yapılıyorsa bu bir süreçtir. COBIT de ise işler zaten BT kurumlarında yapılır; onların süreç modelinde yerleri bellidir. Kalite yönetimi, gereksinimlerinin çoğunu COBIT ile karşılar. Bir BT organizasyonunda ayrı bir kalite sistemine ihtiyaç yoktur. Süreçler zaten modellenmiştir. Siz kalite yönetimi sisteminde sıfırdan bir şeyler yapmaya çalışırsınız. Fakat elinizde bir COBIT gözlüğü olduğu zaman KYS ile ilgili bir BT organizasyonunun gereksinimlerinin tümünü (ölçüm yöntemleri, hedefler, rol tanımları ve görevleri) belki de fazlasıyla COBIT içerisinde hazır bulabilirsiniz. Sadece kendi şirketinize adapte etmeniz gerekir. Örneğin; Bu raporlar 3 ayda bir mi daha etkin olur, yoksa 6 ayda bir mi?. Ölçüm kriterinizi buna göre adapte edebilirsiniz. Benim şansım, COBIT in 34 sürecinin tümünün yürütüldüğü kişilik dev ve gelişmiş bir BT organizasyonunda bunu uygulamış olmamdır. Bu nedenle 15 kişilik bir BT organizasyonunda COBIT uygulamaya çalışmak çok anlamsız ve gereksiz bir çalışma olabilir. Bunun için ISACA nın web sitesinde COBIT in KOBİ lere de uygulanmasını mümkün kılacak Quickstart versiyonu mevcuttur. Ya da küçük bir organizasyonda sadece gerekli kısımları alıp, onları çok iyi hale getirmek de mümkün. COBIT, şu anki 34 süreçlik haliyle, her vücuda uyan bir elbise değildir! Tüm süreçleri dikkate alabilmek için, büyük ve olgunlaşmış organizasyonlarda kullanılması etkinlik ve verimlilik COBIT, şu anki 34 süreçlik haliyle, her vücuda uyan bir elbise değildir! sağlar. Küçük organizasyonlar, biz COBIT uygulayacağız derken asıl işlerini kenarda bırakmamalılar. Bu süreç; zaman, emek ve maddi yeterliliğe dayalıdır. COBIT in içerisinde CMM-I ile paralel bir yaklaşımla oluşturulmuş bir olgunluk modeli de vardır. Süreçlerin nihai gelişimini değerlendirebilmeniz için 0 5 arasındaki skalada; Bir süreç hangi olgunluk seviyesindedir ve bir sonraki olgunluk seviyesine getirmek için neler yapılmalıdır? gibi, sizi gittikçe olgunluk modelinde yer alan skalaya göre yükselten ve iyileştiren, Kalite Yönetimindeki sürekli iyileştirme döngüsü ile örtüşen bir yaklaşıma da sahiptir. COBIT; kendi iç dinamiklerinin dışında, süreçlerin iyileştirilmesi için paydaşları, tedarikçileri, proje yönetim yöntemlerini ve süreçlerin birbirleri arasındaki ilişkileri de dikkate alarak, entegre çalışmalarla uygulanabilecek bir yöntemdir. Olgunluk Modeli ve seviyeler şöyle bir benzetme ile açıklanabilir: Bir bebek ilk yaşını doldurana kadar bir tek kelime bile söyleyemez ve onun konuşma özelliği doğduğunda var olmayan bir unsurdur! Zamanla birkaç kelime konuşmaya başlamasından, herkes tarafından tanınmış, kitleler önünde konuşan, üstün başarılı ve örnek alınan bir hatip olmasına kadar geçen süreç en az yıldır. Bir kurumun süreçlerinin gelişmesinin, bir insanın hayatından ve kazandığı becerilerinin gelişerek olgunlaşmasından pek de farklı değildir! Kurumda yeni bir iş ortaya çıktığında sıfır seviyesinde olan bir süreç; bu işin tekrarlanır hale gelmesi, sorumlusunun belirlenmesi, yapılan işin geliştirilip kurum içinde diğer süreçler ve diğer kurumlarca da örnek gösterilir hale gelmesi, kurumun buna ayırdığı kaynak ve harcanan efor ile doğru orantılı olarak belki de yıllar sürecektir. Çok çabuk gerçekleşebilen bir şey değil bu. COBIT bu gerçeği dikkate alarak bir olgunluk modeli ortaya koymuş; süreçlerin 56

6 bir sonraki aşamaya gitmesi, ilerlemesi ve iyileştirilmesi için neler yapılması gerektiğini, her seviyede nelerin ilgili olgunluk seviyesini tanımladığını belirlemiştir. Kısacası; 34 süreç ve bu süreçlerin altında yer alan 200 den fazla kontrol hedefi için kişiler, rolleri ve ölçüm kriterleri de dahil olmak üzere, neler yapılması gerektiği COBIT in içerisinde tanımlıdır. olan iş tarafındaki paydaşların, Teknolojik işler nasıl yürütülüyor? gibi soru bulutlarının içerisindeki işleyişi görebilmeleri için kullanabilecekleri bir sis dağıtma aracı; BT yöneticileri için kaptanın seyir defteri ve pusulası ; denetçilerin iyileştirme fırsatları yaratabilmek için karşılaştırma yapmak amaçlı kullanılabilecek bir mihenk taşı özelliklerini taşıyan bir rehberdir. İş ve BT birimleri arasında Ortak Dil oluşmasında bir kılavuz görevindedir. Gelişmiş kurumlarda ise büyük resmin görülmesinde kullanılabilecek ve kurumsal gelişmeyi izleyebilecek bir yol haritası diyebiliriz. Ben COBIT i; içerisinde birçok fonksiyon ve araç olan, ne lazımsa sanki içerisinde barındıran bir İsviçre Çakısı na benzetirim. Bunu sunumlarımda da birçok kez dile getirmişimdir. 5- COBIT hangi sorulara yanıt bulmaya çalışır? COBIT; bir kurumda farklı seviyelerde görev alan farklı yöneticiler ve çalışanların farklı gereksinimlerine yanıt bulmaya çalışır. Öncelikle üst yönetimi dikkate alırsak; COBIT bir BT organizasyonunun, en başta hizmet vermiş olduğu iş birimleriyle stratejik olarak aynı yönde ilerlemelerini güvence altına almaya ve stratejik uyum sağlamaya çalışır. Bu çalışmalar Planlama ve Organizasyon (PO) adlı faaliyet alanı ve bu alan altındaki süreçler ile yürütülür. Bunun dışında, kurum içerisinde BT nin özellikle yatırım amaçlı tercihler yapması ve çözümlerin oluşturularak uygulanmasında değer yaratma unsurunu fayda / maliyet ve iş odaklı olarak gerçekleştirmesi gibi işler yer alır. Bu işler ise Tedarik ve Uygulamaya Alma (AI) faaliyet alanı altındaki süreçler içerisinde gerçekleştirilir. Orta kademe yöneticiler; BT Risk Yöneticileri, BT Denetçileri, Bilgi Güvenliği Yöneticileri gibi yöneticiler ise, yöntemin tümünü dikkate alarak çalıştıkları alana ait bakış açısı ile COBIT i kullanarak riskleri analiz ve takip ederler. Denetim faaliyetlerini gerçekleştirirler, bilgi güvenliği ile ilgili yönetsel ve operasyonel düzenlemeleri yaparlar ve izleme & değerlendirmeye yönelik süreçler bütününün sürekli iyileştirme bacağına katkıda bulunurlar. Kısacası COBIT; kullanmasını bilen her BT çalışanının elinde bir rehberdir. BT ile ilgili beklentileri 6- Geçmişten günümüze COBIT versiyonlarından bahseder misiniz? Bir kurumun süreçlerinin gelişmesi, bir insanın hayatından ve kazandığı becerilerinin gelişerek olgunlaşmasından pek de farklı değildir. Şuana kadar COBIT in gelişiminden, kapsamının genişlemesinden ve yıllar itibariyle tarihçesinden bahsettim. Bunu biraz da şu şekilde açıklamak isterim: Kumdan bir kale yaparsınız, bu diyelim ki COBIT 1 dir. Kalenin etrafını çevirirsiniz, CO- BIT 2 olur. Çevirdiğiniz duvarın üzerine midye kabuklarını koyarsınız, COBIT 3 olur. Bunların hepsini korumak için üzerine naylon bir tente koyarsınız, COBIT 4 e gelirsiniz. Bu, az önce size bahsetmiş olduğum olgunluk modeli çerçevesinde; kurum, işleyişini çağdaş koşullara adapte etme sürecinde ne kadar ileriye giderse, COBIT de aynı olgunluk seviyesini yaşayarak ileriye gitmek ve kurumların ihtiyaçlarına birebir hizmet edecek yöntemi oluşturmak adına ilerlemiş olacaktır. Versiyon 2 den versi- 57

7 yon 4 e geçilir mi diye soracaksınız? Bu bir yazılım değil! Bu şekilde düşünülmemesi gereken bir konudur bu. Kurumun ihtiyaçları, büyüklüğü, süreçlerini ayrıştırması ve olgunlaştırması ile yapılan bir yolculuktur COBIT. Hiçbir versiyon, kendisinden bir önceki versiyonu yok sayan bir yaklaşımda değildir. Mevcut olanların üzerine biriken yeni ihtiyaçlar doğrultusunda COBIT, genişlemiş ve güncellenmiş durumdadır. Bu nedenle; COBIT in bu yolculuktan kendisinin geçiyor olması, kurumların da aynı yolculuğu zaten takip ediyor olmasının bir sonucudur diye düşünüyorum COBIT esas alınarak diğer yöntemlerle eşleştirmeler yapılmış, hatta denetim ve güvence yöntemleri, uygulama rehberleri ve kontrollerin uygulanması ile ilgili uygulama pratikleri türetilmiştir. COBIT ilerledikçe, ona dayalı farklı yöntem ve rehberlerin de zamanla ilerleyeceği ve güncelleneceği bir ürün ailesine dönüşen bir yapı oluşmuştur. 7- Hangi kurumlar (sektör, büyüklük, şirket tipi) COBIT uygulayabilirler? Kendilerine ne fayda sağlar? Geçmiş yıla bakıp hem Türkiye hem de Dünyadaki gelişimi incelediğimizde, BT nin ilk ve en yaygın olarak finans sektöründe kendini gösterdiğinin farkına varıyoruz. Çünkü bu sektörler, hesaplama ve veri tutma gereksinimleri en yüksek olan sektörlerden biridir. Bilim, sağlık, eğitim, üretim, endüstri ve inşaat derken, buna kamu hizmetleri ve e-devlet de dahil olmak üzere. Artık en basit yapılan işlemlerde bile BT kullanılmaya başlandı. Bu nedenle günümüzde COBIT için şu veya bu sektörde uygulanmalı diye bir ayırım yapamayız. BT nin kullanıldığı ve entegre olduğu her alanda bu yöntemin uygulanabilirliği mümkündür. BT yi ülkemizde geniş çapta ilk kullananlar bankacılar olmuştur. Özellikle bilgisayarlarının bir network üzerinden birbirleriyle konuşmaları sonucunda; yaygın şubeli bankalarda provizyon alma ve havale gönderme gibi telefonla yapılan; güvenlik amacıyla sözel şifreler kullanılarak gerçekleştirilen zahmetli ve masraflı işlemler online hale gelmiştir. Finans sektörü; paranın döndüğü sektördür ve tehditlere, saldırılara, zimmet, sahtecilik, soygun ve dolandırıcılık yapılmaya en çok maruz kalan, bu nedenle de en çok kontrol altında tutulması gereken sektördür Mali bilgiler işlenmekte, paranın söz konusu olduğu süreçler işletilmektedir. Dolaylısıyla da COBIT, ilk olarak ülkemizde ve dünya genelinde ağırlıklı olarak finans sektöründe kullanılmaya başlamıştır. Diğer sektörler de finans sektöründeki pratikleri kendi sektörlerine adapte etmişlerdir. Büyüklük ve küçüklük ayrımına gelirsek; 10 kişilik bir şirketin, biz COBIT uygulayacağız diye normal işini yapmaması gibi bir lükse sahip olmadığı, ancak COBIT Quickstart ile harekete geçebilecekleri gerçeğinden bahsettik. Zorunlu ve zorunlu olmayan sektörler olarak bakarsak şunu görmekteyiz: Finans sektörü, özellikle İmar Bankası olayından sonra Türkiye de tüm bankaların COBIT denetiminden geçmesini şart hale getirmiş durumdadır. Ne fayda sağlayacağı konusunda çok kısa olarak şunu söyleyebilirim; planlı, hedeflerini ortaya koymuş, şeffaf, tutarlı, yasal gereksinimlere uyumlu, risklerin yönetildiği, fayda / maliyet esaslarına riayet edilerek değer yaratma üzerine kurulu ve iplerin yönetimin elinde kontrollü olarak yer aldığı ve yetki & görevler ayrılığı ilkesine uyum sağlayan bir yapı ortaya koyulmuş olur. Birkaç satırdan oluşan bu cümledekileri yerine getirebilmek kolay değildir. 8- COBIT in bir süreç modeli ve kontrol hedefleri barındırdığını biliyoruz. Peki, kim ya da kimler, nasıl yönetecek bu süreçleri? Bu tip yönetim modelleri, yönetim sistemleri veya standartların uygulanmasında üst yönetim desteği birincil ve en öncelikli şarttır. Üst Yönetim desteğinin bir başka alternatifi veya tetikleyicisi ise, yasal zorunluluklar ve düzenlemelere uyum sağlama gereksinimidir. Hangi baskı unsuru dikkate alınarak yaklaşılırsa yaklaşılsın, temelde bir BT organizasyonunun yaptığı iki ana iş vardır: 1- Yazılım ve Sistemler geliştirmek, 2- Geliştirilmiş veya dışarıdan tedarik edilmiş sistemlerin, günlük operasyonel sis- 58

8 temlerle desteklenerek ayakta ve çalışıyor olmasını sağlamak. COBIT; BT nin kurumsal yönetimini sağlamak için kullanılan bir yöntem olduğu için, en önce BT nin başındaki yöneticilerin (CIO, GMY, ITM) COBIT in yaratabileceği farkları anlamaları ve topluca benimsemeleri gereklidir. Fakat bu kişiler teknik uzmanlık ve bunun uygulamasını yerine getirebilecek çalışmalara tam hakim olmadıkları ya da daha büyük ve önemli işlerle ilgili karar alıcı konumda bulundukları için, genelde bu konuda kendini geliştirmiş alt veya orta seviyelerdeki kişilere ihtiyaç duyulabilmektedir. Sonuçta üst yönetimin karar alması ile mutlaka bir kişiye bu çalışmanın sorumluluğunu verirler ve kendilerine periyodik raporlama yapmalarını isterler. Bu kişi genelde BT ile ilgili tüm kurumu anlamış ve çözmüş, tecrübeli ve iletişim kabiliyeti gelişmiş bir lider olmalıdır. Yöntemin uygulanması; danışmanlık alınarak, eğitim alınarak veya bizzat elinizi taşın altına sokup belki biraz zorlanarak ama iç kaynaklarla gerçekleştirilmek şeklinde yerine getirilebilir. Ancak üst BT yöneticisi (CIO), tüm kalite ve güvenlik gereksinimlerini anlayan, COBIT in nasıl bir yarar sağlayabileceğini hem üst yönetime hem de beraber çalıştığı kişilere doğru anlatabilecek yetenekteki kişileri seçmek ve teşvik etmek durumundadır. Kısacası; bir proje olarak ele alınması, proje yönetim yöntemleri ile uygulamaya geçilmesi, çıktıların sorumluluk alanlarına kazandırılarak sürekliliğinin sağlanması ve operasyonel hale getirilmesi gereken bir yapıdır COBIT. Adreslediğimiz zaman; kurumun iş akışlarını iyi bilen ve düzeltmeye / denetlemeye çalışan risk, denetim, güvenlik ya da kalite birimleri bu çalışmada etkin rol alabilirler. 9- Türkiye de BDDK nın denetim çerçevesi olarak COBIT i referans göstermesini finans sektörü açısından değerlendirir misiniz? Belki işin içinde olmayanlar pek bilmezler ama bankalar, hizmetlerinin yaygınlığı ve büyüklükleri ile doğru orantılı olarak, özellikle son 3-4 yıldır birçok farklı konu ve alanda, senede neredeyse 7-8 kez ve çeşitli denetim unsurları tarafından BT denetimine tabi tutulmaktadırlar. Örneğin; BT faaliyetleriniz, uluslararası bir kredi kartı kuruluşu tarafından denetlenmekte veya denetlettirilmekte olabilir. ATM leriniz ve POS uygulamalarınız size karşı açılan bir dava sonucunda denetimden geçmek zorunda olabilir. Internet Bankacılığı uygulamanız, her yıl güvenlik gereksinimlerini yerine getirdiğinizin teyidini almanız açısından denetimden Versiyon 2 den versiyon 4 e geçilir mi diye soracaksınız? Bu bir yazılım değil! geçmesi zorunlu bir iş alanı olabilir. Başka bir banka ile birleşme öncesinde, Due Dilligence çalışmalarında, bir yurtdışı finansman kurumu ile yapacağınız bir borçlanma öncesinde, BT süreçlerinizin olgunluğunun belirlenmesi zorunluluk teşkil edebilir. Bankalar Kanunu nun öngördüğü bilgilerin saklanması ve gizliliği ile ilgili denetimlerden geçmek zorunda olabilirsiniz. Yetki almış bağımsız bir denetim kuruluşu BDDK ya raporlamak üzere sizi denetlemek durumundadır. BDDK, zaten var olan ve tüm dünyada kullanılan COBIT yönteminin denetim perspektifi ile kullanılarak, ülkemizde standart hale getirilmesi açısından olumlu ve faydalı bir adım atmıştır. Denetimler, uluslararası standartlara göre ve COBIT konusunda yetkinliklerini BDDK ya kanıtlayarak yetki belgesi alabilmiş bağımsız denetim kuruluşlarınca yapılmaktadır. Bu denetimlerin halihazırda yürütülmesi ile ilgili olarak dünyada farklı yöntemler ve mekanizmaların da işlediği farklı modeller kullanılarak doğrudan denetim yapılabilmesi gibi imkanlar da değerlendirilebilir mi diye zaman zaman düşünüyorum. Şöyle ki, BT denetçileri kısıtlı ve pahalı kaynaklardır. Denetim olgusunu bilmeleri veya teknik olarak yeterliliklerinin yanında, bankacılıktan da çok iyi anlamaları ve geniş bir bilgi dağarcığına sahip olmaları gerekmektedir. Bu mesleğin ülkemizdeki ilk örneklerini yetiştirmek için uluslararası sertifikalara hazırlık amaçlı kurslar düzenledim. Mesleki olarak yeterlilik için çok farklı alanlarda bilgi birikimlerine gereksinim olduğunu ve çok farklı bilgi birikimlerine sahip olmak (iş ve teknoloji açısından) gerektiğini anlamış bulunuyorum. Kurslara gelen ve çok farklı bilgi birikimi olan arkadaşlarımı BT Denetçisi çizgisine yaklaştırmaya çalışırken, COBIT in ortak dil oluştur- 59

9 makta oldukça faydasını gördüğümü ve bu nedenle isabetli bir tercih olduğunu söyleyebilirim. Sonuç olarak, yasalar artık tüm bankalar ve iştirak ettiği tüm kuruluşların denetimden geçmesi ve COBIT e uyum sağlaması zorunluluğunu getirmiştir. Şu an çalışmalarımı ağırlıklı olarak yürüttüğüm kamu kurum ve kuruluşlarında böyle bir denetim zorunluluğu henüz yok. Ancak zamanla gereksinim olacağını düşünüyorum. E-devlet kapısı adına yapılan birçok çalışma ve süreçlerin otomasyonunun gerçekleştirilmesi adına yüzlerce farklı devlet biriminin yüzlerce farklı yöntemlerle, değişik web siteleri ve standartlarla bu işin içine girmiş olduğunu görmekteyiz. Aynı BDDK gibi e-devlet düzenleme ve denetleme kurulu gibi bir yapıya ihtiyaç olabileceğini düşünüyorum. 10- Sizce CIO lar COBIT çalışmalarının neresinde yer almaktalar? CIO lar öncelikle kendi şirket analizlerini iyi yapmalı, sonrasında ise sektörlerini iyi izlemeliler. En iyi uygulamaları (best practices) kendi kurumlarında uygulayabilmek için bu işin başında olmaları ve en alt kademeye kadar tüm personeli ve süreçleri kontrol etmeleri gerekmektedir. Ayrıca bu projedeki uzman ve lider kimlikli personeli destekleyerek, onlara yetki ve sorumluluk vererek bir takım olma bilinci aşılamalıdırlar. Daha önceki açıklamalarımda da aktardığım gibi CO- BIT çalışması, kurumsallaşma amaçlı ve kontrol odaklı bir proje olarak ele alınmalıdır. Projenin sahibinin de CIO nun bizzat kendisinin olması, başarıyı garantilemek adına başlangıçta itici güç olarak kullanılmalıdır. Sonuç olarak, her türlü yönetim sistemi uygulamasında olduğu gibi COBIT çalışmaları da top-down dediğimiz, üst yönetimden başlayıp kurumun alt kademelerine doğru yaygınlaşan bir yaklaşım ile yürütülmelidir. 11- Dışarıdan ne tür bir danışmanlık ve eğitim almak gerekiyor? Bundan 3-4 yıl önce COBIT eğitimlerini ilk veren kişi bendim. Artık birçok eğitim kurumu; eğitimcilerinin uygulama tecrübesi olsun olmasın, bu eğitimleri programlarına almış durumdadır. Kurumlara tek tavsiyem; konuyu ciddi anlamda hazmetmiş, COBIT teki süreçleri bizzat yaşamış, denetimlerini yapmış, risklerini yönetmiş bir eğitmenden bu eğitimi almalarıdır. Belki biraz maliyeti yükseltebilecek bir unsur olsa da, uygulamada ortaya çıkacak faydayı kısa zamanda katlayarak, değeri maksimize edecektir. Sonuçta COBIT kitabı bedava ve herkesin internetten erişeceği bir yerde durmaktadır. Bunu eline alacak tecrübeli ve geniş bakış açısına sahip bir BT yöneticisi, neyin ne olduğunu kolayca kavrayabilir ve biraz araştırma ve ön hazırlık çalışmaları yaparak kurumunda COBIT eğitimlerini verebilir diye düşünüyorum. ISACA web sitesinde en çok tavsiye edilen COBIT Foundation ve Implementation eğitimleri, akredite kişi ve kurumlarca verilebilecek eğitimlerdir. Uygulama ise, projenin yönetimi açısından oldukça farklı ve kurumdan kuruma değişkenlik gösterecek daha derin bir konudur. 12- Hepimizin de bildiği üzere; kurumlar başarıyla sonuçlandırdıkları her faaliyeti belgelendirerek rakiplerine fark atmak ve müşterileri gözünde itibar kazanmak isterler COBIT i başarıyla uyguluyor olmak, bir belge ya da sertifika (firma ve şahıslar açısından) ile tescillenebiliyor mu? COBIT bir metodolojidir. Bunun içerisinde muhtelif ölçüm kriterleri var ve en son olarak olgunluk modelinde hangi aşamadan olduğunuzu süreç bazında ölçebiliyorsunuz. Fakat ben şu süreçte COBIT 3 tüm, şimdi COBIT 4 olgunluk seviyesinde oldum demek, sektörde rekabet avantajı yaratmak adına düşündüğünüzde çok anlamlı bir gösterge değil. Çünkü COBIT in bazı süreçlerinin 3 seviyesinde olması bazı kurumlara fazla bile gelebiliyor olabilir. Kimi kurumlar ise en az 4 seviyesinde olmalı ki başarılı sayılabilsin. COBIT de firmalar için bir sertifikasyon süreci yoktur. Fakat COBIT eğitimi alan bireyler ve uygulayıcısı olan danışmanlar, ISACA dan kişisel sertifikalar alabilirler. Bu sertifikalarda, COBIT eğitimi almıştır, COBIT uygulama eğitimi almıştır şeklinde bir ibare bulunur. Bunun bir yükseği ise bende de bulunan, akredite COBIT eğitimcisi sözleşmesidir. Bunu dışında, BT Denetimi ile ilgili CISA Sertifikası da bireyler için oldukça prestijli ve dünyada kabul gören önemli bir mesleki yetkinlik sertifikasıdır. 13- Tüm bu çalışmaların maliyeti hakkında elbette kesin bir şey söylemek çok güçtür. Fakat bu yola çıkacak olan firmalar için bir taban ve tavan fiyatı çıkartabilir misiniz? Bu konudaki değerlendirme kriterleri ve değişken faktör sayısı çok geniştir. Bu bakımdan bir rakam çıkartmak çok zordur. COBIT, bir kere yapılıp bitirilebilecek bir çalışma değildir. Öncelikle eğitimleri almak, hedefleri koymak 60

10 ve kapsam geniş ise belki de çok ciddi bir bütçe ayırmak ve kurumun büyüklüğüne ve yürüttüğü süreçlere göre çalışmayı bölümlendirmek veya yıllara yaymak gerekebilir. İç kaynaklar mı kullanılacak dış kaynaklar mı? Danışmanlık ne kadar olacak? Projede kaç kişi çalışacak? Bir COBIT 5, kurumlar için bir NİRVANA noktası sayılabilir. yazılım desteği talep edilmekte midir? Bunun gibi konuları da düşünerek maliyetlendirme yapılırsa daha sağlıklı rakamlara ulaşılabilir. Hayır, daha yeni başladınız COBIT sürekli bir yolculuk. Bir sürecin, hiç var olmayan bir düzeyden; optimize edilmiş, mükemmele ulaşmış, tüm dünya tarafından örnek uygulama olarak kabul edilebilecek bir seviyeye gelmesi ve bunu 34 süreçte birden yapabilmek ile ulaşılacak bir nokta. Nirvana noktası kurumlar için bu olsa gerek. Tabii bu noktaya gelme ihtiyacınız varsa ve bu noktaya geleceğiniz zamana kadar harcayacağınız efor ve maliyetin bir geri dönüşü olacaksa Her yıl nereden nereye gideceğinizi ölçmeniz gerekiyor. COBIT in hedeflemeye çalıştığı şey; topluca Kurumsal Yönetim açısından ama detayda Anlayış ve Bilinç seviyesinin, Eğitim ve İletişim aktivitelerinin, Süreç ve Pratiklerin, Teknoloji Kullanımı ve Otomasyon İmkanlarının, Yasal Uyumun ve Tecrübenin her bir süreç ve bu süreçlerin altındaki 200 den fazla kontrol için 5 seviyesine gelebilmesidir. Bu seviye, mükemmeliyetin ulaştığı son noktadır! 14- COBIT konusundaki akademik çalışmaların iş dünyasına yansıması ne şekilde oluyor? Öğrencilerimin çoğu COBIT le tanıştıktan sonra kendi alanlarında kafalarını kuma gömmek yerine, kafalarını kaldırıp büyük resmi görmeye, çalıştıkları kurumu ve üst yönetimdekilerin bakış açılarını değerlendirmeye ve incelemeye başladılar. Ben şirketin neresindeyim? Hangi projeleri ne şekilde yönetebiliriz? Kimlerle ne şekilde çalışmalıyız? Hangi yolu izlersem yükselirim? gibi sorulara, eskisinden daha çabuk ve net yanıt bulabiliyorlar. Siz bir yazılımcı olarak girdiğiniz 300 kişilik bir şirkette dört seneyi kod yazarak geçirirseniz, kurumla ilgili fazla bir şey öğrenemezsiniz! Büyük resmi en tepeden görüp, kurumun tüm süreçlerini ayırt edip COBIT in bakış açısıyla bakarsanız, tüm kod yazanlara göre avantaj elde etmiş olursunuz. Büyük resim çok 16- Bu yola çıkacak olan şirketlere ve yöneticilere tavsiyeleriniz nelerdir? önemli! Şirketi tepeden görebiliyorsanız, bu daha da önemlidir. Sular nereye akıyor? Besin zinciri nereden başlayıp nereye gidiyor? COBIT i teorik olarak bilen kişiler, iş dünyasında daha aktif gözlem yapabiliyorlar. 15- Kurumumuzda COBIT süreçlerini başarıyla uyguladığımızı varsayalım! İşimiz bitti mi? Birincisi; üst yönetimin böyle bir ihtiyaç olup olmadığına net karar vermesi. İkincisi; bu konuyla ilgili geniş bir araştırma yapmaları, sorumlu bir kişi atamaları ve bir yol haritası belirlemeleri. Üçüncüsü; eğitim ve danışmanlık ihtiyaçlarını, sektörde deneyimli ve uygulamaya da hakim olduklarından emin oldukları kurum ve kişilerden gidermeleri. Dördüncüsü; bu işe bir proje olarak bakmaları, çıktıları net olarak tanımlamaları ve ürün odaklı hareket etmeleri gerekiyor. Doğru yönde gitmek, doğru hızla gitmekle aynı anlama gelmiyor! Bunu da dikkate almakta fayda var. Hepsinden önce, gerçekten gitmek istediğiniz yeri biliyor musunuz? Son olarak, COBIT yolculuğunda kolaylıklar ve başarılar diliyorum... 61