BİLİŞİM TEKNOLOJİSİNE YÖNELİK PERFORMANS DENETİMİ

Transkript

1 Hizmet İçi Eğitim Yayınları INTOSAI Elektronik Bilgi İşlem Komitesi Bilişim Teknolojisi Denetim Eğitimi BİLİŞİM TEKNOLOJİSİNE YÖNELİK PERFORMANS DENETİMİ Çeviri Firdevs Karahan Araştırma Görevlisi MART 2000 ANKARA

2 INTOSAI Elektronik Bilgi İşlem Komitesi Bilişim Teknolojisi Denetim Eğitimi BİLİŞİM TEKNOLOJİSİNE YÖNELİK PERFORMANS DENETİMİ Çeviri Firdevs Karahan Araştırma Görevlisi MART 2000 ANKARA

3 Hizmet İçi Eğitim Yayınları: 8 Özgün Adı: Value for Money Audit of IT Student Notes Çeviren : Araştırma Görevlisi Firdevs Karahan HÜ Edebiyat Fakültesi İngiliz Dilbilimi Bölümü Uluslararası Yüksek Denetim Kurumları Organizasyonu (INTOSAI) tarafından yayımlanan (1996) kitapçıktan dilimize aktarılmıştır. Sayıştay mensuplarının kullanımı için bastırılmıştır. Hizmet İçi Eğitim Yayınları ndan Çıkan Kitaplar Tek Düzen Muhasebe Sistemi ve Dönem Sonu Muhasebe Uygulamaları Prof.Dr. Remzi Örten Performans Denetimi - Temel Kavramlar, Yöntemler, Teknikler ve Yaklaşımlar Uzman Denetçi Fikret Gülen Yatırım Harcamaları Denetimi/Hizmet İçi Eğitim Notları (17-27 Nisan 1999) Risk Denetimi - Temel Kavramlar ve Yaklaşımlar Uzman Denetçi Levent Karabeyli Temel Bilgisayar Denetimi İçin Ön Bilgi/ Çeviri/Bilgisayar Mühendisi Gökhan Yazıcı Bilgisayar / Bilgisayar Destekli Denetim Grubu Genel Olarak Kurslar ve Organizasyonu/ Çeviri/Bilgisayar Mühendisi Gökhan Yazıcı Redaksiyon : Sacit Yörüker Son Okuma : Baran Özeren Dizgi ve Mizanpaj : Gürkan Alpsoy Baskı ve Cilt : Yayın İşleri Müdürlüğü Birinci Basım : Mart 2000 T.C.SAYIŞTAY BAŞKANLIĞI Ulus/ANKARA Tlf : Fx :

4 İçindekiler 1. Kapsam Performans denetimi nedir? Bilişim teknolojisi performans denetim konuları Performans denetiminin amaçları Performans denetim süreci 3 Sayfa 2. Araştırma Giriş Amaçlar Önceliklendirme Hedefler Organizasyon Kaynaklar Araçlar ve neticeler Etkiler Performans ölçümü İnceleme konusunun seçimi Bilişim teknolojisi sistemlerinin uygulaması 13 3 Kanıt Giriş Kullanıcı memnuniyetsizliği Güvenilir olmayan sistemler Yetersiz bütünleşme Maliyet aşımları Gecikmeler Yarıda bırakılmış projeler İşletim maliyetleri Tedarikçilerle olan anlaşmazlıklar 18 i

5 4. Nedeni belirleme Giriş Bilişim teknolojisi stratejisi Bilişim teknolojisi standartları Bilişim teknolojisi stratejisi Yönetim Tasarım ve geliştirme Teknik standartlar Değişim yönetim Kullanıcı katılımı İş ihtiyaçları Tedarik Proje yönetimi İşletme yönetimi İş devamlılığı Rapor türleri 28 ii

6 1. Kapsam 1.1 Performans denetimi nedir? Performans denetimi, organizasyonun etkili bir şekilde faaliyet gösterip göstermediğini tespit etmek üzere bir organizasyonun amaçlarının belirlenmesi ve kaynak kullanımının analiz edilmesi ve performans göstergeleri ile ilgilidir. Performansın gerçekleştirilmesinde söz konusu olan öğeler genellikle şu şekilde sınıflanır: Tasarruf - az harcama - girdiler Denetlenen, faaliyetinin bir girdisi olarak uygun kalitede kaynakları kullanıyor mu? Denetlenen kaynakları uygun fiyata tedarik ediyor mu? Verimlilik - iyi harcama - süreçler Denetlenen işleri doğru şekilde yapıyor mu? Denetlenen kaynaklarını yetersiz iş süreçleriyle israf ediyor mu? Etkinlik - akıllıca harcama - çıktılar Denetlenen doğru işleri mi yapıyor? Denetlenen, optimum sonuçları elde etmek için uygun kaynakları verimli bir şekilde kullanarak amaçlarına varıyor mu? 1.2 Bilişim teknolojisi performans denetim konuları Tasarruf, belli kalitedeki kaynaklar için daha az harcamaya odaklanmaktadır. Bilişim Teknolojisi bakımından harcamada tasarruf konuları arasında şunlar yer alabilir: Tüketim mallarında (diskler, kağıt vb.) toptan indirim avantajından yararlanılması, Geçici çıktılar için çok kaliteli kağıt kullanılması, Basit bir terminalin iş görebileceği yere pahalı bir santralin alınması, Kaynakların kurum içi kapasite boşluğu olduğu zaman satın alınması, İvedi olmayan uluslararası görüşmelerin en yoğun dönemlerde yapılması; ya da Tedarikçilerin düzenli aralıklarla rakip fiyata kıyasen test edilmemesi 1

7 Verimlilik, iyi harcamaya odaklanmaktadır - yüksek düzeyde bir çıktının belli bir düzey ve kalitede girdi kaynaklarıyla gerçekleştirilmesi. Verimlilikle ilgili Bilişim Teknolojisi konuları şunları içerebilir: Gerçek bir amaca hizmet etmeyen kontrollar yapılması, Yetersiz işlem ya da depolama olanaklarından yararlanmak suretiyle bilgisayar kaynaklarını ihtiyaç duyulandan daha fazla kullanan süreçler, Arka plandaki görevlerin en yoğun dönemlerde yapılması, Günlük tek bir görüşmenin yeterli olacağı zamanlarda uluslararası telefon görüşmelerinin sıklıkla yapılması; ya da Aynı işlevi yerine getiren mükerrer sistemlerin bulunması. Etkinlik akıllıca harcamayla ilgilidir - uygun kalite ve fiyattaki girdi kaynaklarının ve verimli işleyen süreçleri kullanarak uygun kalitede doğru çıktıların üretilmesi. Bilişim Teknolojisinin etkin olmayan bir biçimde kullanımı şunları içerebilir: İşletme işlevine hizmet etmeyen sistemler, İşletme kârları söz konusu olduğunda haklı görülebilecek kaynaklardan daha fazlasını tüketen sistemler, İşletme amaçlarının gerçekleştirilmesini zorlaştıran sistemler; ya da Güvenilir olmayan sistemler. Genellikle, dış denetçi öncelikle etkinsizlikle ilgilenecektir ancak etkin olmayan bir sistemin açıklaması tasarrufu gerçekleştirmedeki başarısızlıkta ya da yüksek seviyelerde yararlanılamaz çıktılara ya da çok fazla girdi kaynaklarının tüketilmesine yol açan yetersiz süreçlerde bulunabilmektedir. 1.3 Performans denetiminin amaçları Performans denetimleri geçmişe yönelik olmasına karşın, bu denetimlere girişilmesinin en başta gelen amacı denetlenenin gelecekteki faaliyetlerinin etkinliğine katkıda bulunacak iyileştirmelerin belirlenmesinde yatmaktadır. Bu amacın Bilişim Teknolojisi cephesi şunları kapsamaktadır: Denetlenenin Bilişim Teknolojisi stratejisi kullanımını geliştirmek, Denetlenenin Bilişim Teknolojisi proje yönetimini iyileştirmek, 2

8 Bilişim Teknolojisi işletimlerinde tasarrufu ve verimliliği iyileştirerek Bilişim Teknolojisi hizmetlerini geliştirmek, Merkezî rehberliği geçerli kılmak ve bir yandan bunun benimsenmesini öte yandan deneyimlerin merkezî rehberliğin değişime ihtiyacı olduğunu gösterdiği alanlarda bu rehberliğin iyileştirilmesini teşvik etmek, Başka bir yere uygulanabilen önceki Bilişim Teknolojisi projelerinden ders almak; ve Gelecekte israftan kaçınmak amacıyla israfın nedenini belirtmek. 1.4 Performans denetim süreci Bir performans denetiminde üç aşama vardır: uygun konuların belirlenmesi için araştırma (bölüm 2), düşük performansın kanıtının belirlenmesi (bölüm 3); ve düşük performansın nedenlerinin belirtilmesi (bölüm 4). 3

9 2. Araştırma 2.1 Giriş Bir performans denetimi araştırmasının amacı, bir denetlenenin faaliyetinin daha sonra ayrıntılı incelemeyi gerektirebilecek yönlerini belirlemektir. İyi bir inceleme konusu şu özellikleri taşıyacaktır: Önemlilik: Konu maliyet ya da etki bakımından incelemeye girişmenin maliyetini haklı gösterecek yeterlilikte öneme sahip olacaktır. İlgi: Konu, inceleme raporunun potansiyel alıcılarını ilgilendirecek nitelikte bir konu olmalıdır. Kanıt: İncelenecek bir sorunun olduğunu ortaya koymak için yeterli, güvenilir ve ilgili bilgi bulunmalıdır; ve Sonuçlar: İnceleme tavsiyeleri yoluyla iyileştirmelerin sağlanması imkânı bulunmalıdır. Bu kriterleri karşılayacak konuların belirlenmesi amacıyla, denetlenenin faaliyetinin bir modelinin oluşturulması gerekmektedir. Bu da aşağıdaki konular hakkında bilgi toplanmasını içermektedir: amaçlar, organizasyon, kaynaklar; ve performans göstergeleri. Bu bölüm, toplanması gereken bilgilerin çeşidini, bilgiyi analiz etme yollarını ve çalışma seçimi konusuna Bilişim Teknolojisinin etkisini açıklamaktadır. 2.2 Amaçlar Denetçi, denetlenenin amaçlarının bir resmini oluşturmadan denetlenenin faaliyetlerinin etkinliğini incelemeye başlayamaz. Üst düzey amaçlar, organizasyon dışında, örneğin, mevzuat ya da organizasyonun üst yönetim başkanı tarafından belirlenebilmektedir. Bu amaçlar, genellikle tek bir ana amaç ya da "misyon" ile bir hiyerarşi oluşturacaklardır. Bir demiryolu şirketi için bir misyon bildirimi şu şekilde olabilir: 4

10 "tasarruf ve verimlilik ihtiyacına göre en düşük güçlükle müşterilerin ve malların bir yerden bir yere taşınması için demiryolu varlıklarının kullanımı, geliştirilmesi ve devamının sağlanması" Organizasyonun misyonu belirlenince, misyona katkıda bulunacak üst düzey amaçlara ayrılması gerekmektedir. Bunların, sırasıyla, operasyonel hedefler ve amaçlar bunlara göre hareket edecek yöneticiler için yeterince net oluncaya kadar daha alt seviyede amaçlara ayrılabilir. Hiyerarşinin her düzeyinde belirtilmesi gereken amaçların ya da gereken düzeylerin sayısı için kesin bir kural yoktur. Ancak genellikle hiyerarşide tek bir amacın bir alt düzeyde sekizden fazla amaca ayrılması yetersiz bir uygulama olarak sayılır. Amaçların hiyerarşisinin arzulanan büyüklüğü ve detayları denetlenenin faaliyetinin karmaşıklığı ışığında değerlendirilecek bir meseledir. Bir performans denetim araştırmasının amaçları bakımından amaçlar hiyerarşisindeki en üst iki düzeyin incelenmesi genellikle yeterlidir. Sonuçta ortaya çıkan analiz aşağıdaki gibi bir görünüm alacaktır: 1. Misyon ve benzerleri. 1.1 misyona katkıda bulunan üst düzey amaç 1.1'e katkıda bulunan ikinci düzey amaç 1.1'e katkıda bulunan ikinci düzey amaç 1.2 misyona katkıda üst düzey amaç 1.2'ye katkıda bulunan ikinci düzey amaç Her bir amacın bir "sahibi" olmalıdır. Bu sahip, belirli bir amaca kıyasen performansın izlenmesinden, alt düzeydeki amaçların tanımlanmasından ve gelişmenin raporlanmasından sorumlu kişi olacaktır. Misyonun sahibi organizasyonun başındaki kişi olmalıdır. Amaçlara kıyasen gelişmenin izlenmesi ve raporlanması gereği, amaçların bunlara yönelik gelişmenin ölçülebilmesine el verecek bir şekilde belirtilmesi gerektiğini ima etmektedir. Organizasyonun amacı gerçekleştirip gerçekleştiremediğini gösteren kanıtların toplanması için hiç bir yol yoksa amaç da bir işe yaramaz. Amaçlar ancak, yüksek düzeydeki amaçlar değişmedikçe sabit kalacak şekilde formüle edilmeleri bakımından değişmez olmalıdırlar. Demiryolları örneğinde iyi bir amaç "müşterinin bir bilet alması için gereken zamanı minimuma indirmek" olabilir. 5

11 2.3.Önceliklendirme Amaçların hepsi aynı öneme sahip değildir. Denetlenen, her amacın önemini açıklamak için amacı ağırlıklandırılmış olabilir. Böyle bir ağırlıklandırma yoksa, denetçi belirlenen amaçların her birinin önemini belirlemeyi yararlı bulacaktır. Amaçların öneminin analizinde yararlanılan metotlardan biri, organizasyonun misyon bildirimine 100 puan vermek, daha sonra organizasyonun başkanından üst düzey amaçlar için 100 puanı dağıtmasını istemektir. Üst düzey amaçların sahiplerinden, ayrıca hiyerarşinin bir alt sırasındaki amaçları için puanları dağıtmaları istenebilir. Eğer bu, hiyerarşideki bütün amaçlar için tekrar edilirse, bu takdirde, her bir amacın öneminin bir resmi ortaya konacaktır. Sonuç aşağıdaki gibi olabilir: Bu tablo bazı yararlı bilgiler sağlamaktadır. Alt düzey amaç 1.2.2, üst düzey amaç 1.1'den daha önemli hale gelmektedir. Amaçlara puan verilmeseydi, bu gözden kaçırılabilirdi 2.4 Hedefler Herhangi bir zaman dilimindeki amaçlar, hedef olarak yeniden ifade edilebilir. Bir hedef, bir amaca kıyasen performansın spesifik bir düzeyine ihtiyaç gösterir. Demiryolu örneğinden tekrar yararlanmak gerekirse, "müşterinin bilet alma zamanını minimuma indirmek" şeklindeki amaç, "müşteriler bir bilet gişesi önünde 30 dakikadan fazla beklememelidirler" şeklinde hedefe dönüştürülebilir. 6

12 Fark, bir spesifik hizmet düzeyinin hedef olarak ifade edilmesidir ve bu, hizmet geliştikçe değişecektir. Oysa amaç değişiklik gerektirmeyecek tarzda ifade edilir. Bir demiryolu için diğer hedefler şunları kapsayabilir: trenlerin en az %90'ı, programlanmış zamanın 15 dakikası içinde varmak ve ayrılmak zorundadır. müşteri başına/seyahat edilen mil maliyetleri %5 azaltılmalıdır; ve seyahat süreleri %5 azaltılmalıdır. 2.5 Organizasyon Amaçların analizi bir organizasyonun ne yapmak istediğini ortaya koyar. Organizasyonun ve o organizasyonun yönetiminin analizi, organizasyonun amaçlarını nasıl yerine getirmeyi tasarladığını gösterir. Denetçi, uygun ve yeterli olup olmadıklarını belirlemek üzere politikaların, standartların ve kontrollerin üst düzey incelemesine girişmelidir. Zayıflıklar performansa olan potansiyel riskler şeklinde belirtilmelidir. Bu seviyedeki zayıflıklar sistematik bir başarısızlık -bütün programların başarısızlığına yönelik bir eğilim- olasılığının yüksek olduğunu gösterir ve haklı olarak bir raporu gerektirebilir. Organizasyonel kültür öznel bir alan olmakla beraber organizasyon kültürüne ilişkin sorular araştırılmaya değerdir, özellikle üst yönetimin davranışları; organizasyonun girişimci ya da bürokratik, yetkileri merkezde toplamış ya da devretmiş, müşteri ya da ürün odaklı olmasının gerekip gerekmediği konusunda yöneticilerin tutumları, performansı etkileyebilecektir. Denetçi mali kontrol ortamını da dikkate almalıdır. Üst yönetim düzenliliğe, doğruluğa ve yönetim tarzına yönelik olarak hangi tavırları takınmaktadır? Üst yönetimin tavırları muhtemelen bütün organizasyonu etkileyecektir ve performansa dönük ilgileri artırabilecektir. Bir organizasyonun yapısı, bir organizasyon şemasıyla örneklendirilebilir. Denetçi, politika, finans, hizmet sunumu ve satışlar gibi belirli faaliyetlere katılan personeli belirlenmeyi amaçlamalıdır. Bir hiyerarşi oluşturulmalıdır. Bu da amaçlar hiyerarşisi üzerinde detaylı olarak planlanabilir. Faaliyetleri amaçlarla ilişkilendirmeye çalışın. Herhangi bir amaca hizmet etmeyen bir faaliyet var gibi gözüküyorsa, o zaman bu ya amaçların yanlış olduğunu ya da o faaliyetin sona erdirilmesi gerektiğini gösterir. Faaliyetler, önemlerini katkıda bulundukları amaçtan alırlar. Yukarıdaki örnek metodundan yararlanarak, amaçların sahiplerinden, amaçlarını destekleyen faaliyetlere kendi objektif puanlarını dağıtmaları istenebilir. Verilen puanların toplamı faaliyetin öneminin bir ölçüsü olur. 7

13 Her ana faaliyet için denetçi, personelin kalifiye olup olmadığını, politikalara ve standartlara uyup uymadığını, gerçekleştirmeye çalıştıkları amaçlar hakkında net bir düşüncelerinin bulunup bulunmadığını dikkate almalıdır. 2.6 Kaynaklar Tahsis edilen kaynaklar faaliyetlerin girdisini temsil etmektedir ve bir faaliyetin anlamlılığının ve ekonomik, verimli ve etkin biçimde yürütülüp yürütülmediğinin değerlendirilmesinde hiç kuşkusuz önemli olacaktır. Bir faaliyete tahsis edilen mali kaynakların ve iç personelin oranı; idarî organizasyonun, planların, raporların ve hesapların incelenmesinden açık bir şekilde anlaşılmalıdır. Dış kaynakların organizasyonun müşterileri üzerindeki yük ve diğerleri bakımından değerlendirilmesi çok daha zor olabilirse de hiç olmazsa değerlendirmeye alınmalıdır. Bu eğer denetlenen, her bir faaliyet ve amaçla ilişkili maliyetlerin analizini sağlayabilecek bir tam kaynak yönetimine sahipse bu, çok yararlıdır. Böyle bir sistem bulunmadığında, denetçi mevcut muhasebe bilgilerinden faaliyetlerin maliyetlerini hesaplamak durumda kalacaktır. 2.7 Araçlar ve neticeler Performansın değerlendirilmesi yukarıda ele alınan konuların hepsini bir araya getirmektedir. Bunlar iki gruba ayrılır: girdileri, faaliyeti, çıktıları ve geri-bildirimi içeren araçlar; ve amaçları, faaliyeti, etkileri ve gözden geçirmeyi içeren neticeler. Faaliyetler araçları ve neticeleri birbirine bağlamaktadır; faaliyetler amaçların gerçekleştirildiği mekanizmalardır. Neticeler organizasyonun misyonu ve organizasyonun başındaki kişinin vizyonu tarafından yönlendirilir. Araçlar, girdi kaynaklarını çıktıya dönüştürme süreciyle ilgilenen yöneticiler tarafından yönlendirilir. Faaliyetler, örgütsel performansın iki cephesini birbirine bağlar. 2.8 Etkiler Amaçların ve faaliyetlerin analizi, bir amacın pek çok faaliyeti yönlendirebileceği ve bir faaliyetin pek çok amaca hizmet edebileceği şeklinde aralarında karmaşık etkileşime sahip iki hiyerarşi seti yaratmış olacaktır. Bu etkileşimi görsel hale getirmenin bir yolunu bir hücre olarak göstermektir. Misyon çekirdekte yer alır ve birbirleriyle ve faaliyetlerle etkileşim 8

14 halinde olan amaçlarla çevrilmiştir. Bütün faaliyetlerin bütün çıktılarının birleşimi, dış çevreyle ilişki noktası olan hücre çeperinde gösterilmektedir. Karmaşık bir organizasyon, hepsinin etrafı deriyle kaplı, uzmanlaşmış ve etkileşim halindeki pek çok hücre olarak görülebilir. Bu modelde, faaliyetlerin diğer faaliyetlere girdi olarak görev yapan ara çıktıları görülmemektedir. Sadece son çıktılar hücre yüzeyinde görülmektedir. Dış ortamı etkileyen ve bütün olarak hücrenin başarısını ya da başarısızlığını belirleyecek olan bu son çıktılardır. Bu dış ortamda ilgili taraflar bulunabilir. İlgili taraflar, organizasyonun başarısında ya da başarısızlığında belli bir çıkarı bulunan organizasyonlar ya da kişilerdir. İlgili taraflara müşteriler, tedarikçiler, hissedarlar, medya ve politikacılar dahil edilebilir. Performans denetimi açısından, etkiler etkinliği, ara çıktılar ve bunları üreten süreçler verimliliği belirler. Girdi kaynakları tasarrufla ilgilidir. Çıktılar, genellikle, ürünlerin birimleri olarak ifade edilir. Bu bilgi tanımlanmış faaliyetlerle ilişkili olabilir. Her bir faaliyet, üretilen çıktıların ve tüketilen kaynakların hesaplarıyla ilişkili olmalıdır. Bu bilgi denetçiye, organizasyonun düşük performanslı alanını belirlemek için yardımcı olabilirse de, çalışma seçimini yönlendiren genellikle etkinlik konuları ve dolayısıyla etkilerdir 2.9 Performans ölçümü Bir organizasyonun kontrolü, amaçların halen geçerli olup olmadığını ve faaliyetlerin gerçekten amaçları gerçekleştirip gerçekleştirmediğini belirlemek için geri-bildirime ihtiyaç duyar. Geri-bildirim, girdilerin, süreçlerin ve çıktıların yanı sıra etkilerin kapsamını içeren bir performans ölçüm rejimi yoluyla sağlanır. Böyle bir rejim içinde, performans, başarının ya da başarısızlığın bir ölçümünü veren performans göstergeleri aracılığıyla ölçülmektedir. İyi bir performans ölçüm rejiminin bazı özellikleri bulunmaktadır: organizasyonun temel amaçlarıyla ilgili geri- bildirim sağlayan kilit göstergeler az sayıda olmalı ve tasarruf, verimlilik ve hizmet kalitesi dahil etkinlik arasında dengeli şekilde dağıtılmış bulunmalıdır, rejim net bir şekilde tanımlanmış yönetim sorumlulukları ve destekleyici kurumsal yapı üzerine kurulmuş olmalıdır - faaliyetlerin yöneticileri, amaçların sahipleri ve performans göstergeleri arasında belirgin bağlantılar bulunmalıdır, finansal ve yönetim bilgi sistemleri, organizasyonun bütün kademeleri için tam maliyetlerin çıktı verilerinin vaktinde ve doğru şekilde belirlemesini sağlamalıdır, performans göstergeleri: 9

15 ilgili (temel amaçlarla/faaliyetlerle bağlantılı, ileriye dönük ve organizasyonun bütününe yayılmış), kapsamlı (bütün önemli örgütsel yönleri yansıtan ve farklı ilgili tarafların ihtiyaçlarına yanıt veren faaliyetleri tam olarak tanımlayan), sınırlanmış (her bir amaç/faaliyet düzeyi için sınırlı sayıda), tutarlı (tanımlamalar, faaliyetler/amaçlar bazında ve zaman içinde tutarlı olmalıdır), organizasyonlar arasında ve zaman içinde karşılaştırılabilir, hem iç hem dış denetim yoluyla denetlenebilir, olmalıdır. örgütsel kontrollar, performansın, faaliyet birimleri arasında, diğer organizasyonlarla ve en iyi uygulama örnekleriyle sağlanan normatif modellere göre zaman içinde karşılaştırmaya yarayan performans göstergeleri aracılığıyla düzenli bir şekilde gözden geçirilmesini güvence altına almalıdır, yetersiz performans süratli ve kararlı eyleme yol açmalıdır, faaliyetler, belirli bir zaman çerçevesinde istenen verili bir performans düzeyi bağlamında performans göstergelerini yorumlayan hedefler seti olmalıdır, performans bilgisi hem hesap verme sorumluluğu (amaçlar) hem de kontrol (yönetim) için kullanılmalıdır. Yukarıda tanımlanan türden bir rejim, dış denetçi için ilgi alanlarını aydınlattığı gibi, yönetime kendi performanslarını değerlendirmek imkânı verecektir. Eğer denetlenenin performans izleme rejimi bulunmuyorsa, denetçi herhangi bir detaylı performans denetim çalışmasına girişmeden önce bunun oluşturulması tavsiyesinde bulunmak isteyebilir. Kontrol mekanizmasının bulunmaması, denetlenenin faaliyetinin bütününü tehlikeye sokabilecek ciddi sistematik bir zaaftır kanıtın olmayışı tehlike kanıtıdır! Kıyaslama (benchmarking) kilit performans göstergelerinin diğer organizasyonlarınkileriyle karşılaştırılmasını içerir. Kıyaslama, mevcut performans göstergelerinden yararlanarak organizasyonlar arasında karşılaştırılabilir olduklarında veyahut benzer fonksiyonların performansındaki farklılıkları göstermek için dizayn edilmiş bir dış araştırma yoluyla yapılabilir. 10

16 İlgili taraflar organizasyonda belirli çıkarları olan organizasyon dışındaki ilgililerdir. Programların başarısına ya da başarısızlığına ve gerçekleşen performansın derecesine daha çok farklı bir anlayış getirebilirler. İlgili taraflar organizasyonun iç çalışmasıyla nadiren ilgilenirler ve daha çok programın etkinliğine ve programla sağlanan şeyin kalitesine odaklanırlar. Önemli ilgili taraf grupları arasında çoğu kez şunlar bulunur: politikacılar; gazeteciler ve medya; müşteriler ve yararlananlar, akademik ve meslekî kuruluşlar. Bu grupların hepsinin organizasyonla ilgili kendi perspektifleri ve organizasyonun uyguladığı belirli programların etkinliğiyle ilgili olarak kendilerine ait bilgi kaynakları vardır. Bunların görüşleri organizasyonun doğrudan incelenmesiyle elde edilmiş araştırma bilgisine yararlı katkıdır İnceleme konusunun seçimi Yukarıdaki bölümler, denetlenenin amaçlarına, faaliyetlerine, performansına ve ilgili taraflarına ilişkin olarak geniş çaplı bilginin toplanması için bir çerçeve sağlamaktadır. Bu bilgiler başarısızlığa uğramış ya da uğramakta olan alanlara dikkat çekecek bir dizi değişik yol içinde dikkate alınabilir. Denetçi şunlara odaklanabilir: faaliyetlerin önemlerini, tükettiği kaynakları, bağlantılı amaçlarını, bağlantılı performans göstergelerini ve ilgili tarafları belirleyen faaliyetler tablosu; her bir başlık için denetçi yetersiz performans kanıtını not edebilir. amaçların önceliklerini, faaliyetle bağlantılarını, performans göstergelerine ve ilgili taraflara olan bağlantıları gösteren amaçlar tablosu, finans, mal yönetimi, Bilişim Teknolojisi gibi hizmetler ya da ilgili oldukları amaçlarla ilişkilendirilmiş personel veyahut; müdahil oldukları faaliyetlere ve performans bilgilerine karşılıklı referanslar yapılmak suretiyle belirli bir program hakkında ilgili tarafların geri- bildirimi, 11

17 Bir performans denetim raporu için uygun bir konun belirlemenin pek çok yolu bulunabilir; ancak uygun olmayan konuları elemenin bazı ilkeleri vardır: konu, tüketilen kaynakların anlamlılığı ya da program amaçlarının organizasyon açısından kritikliği anlamında önemli olmalıdır. yetersiz performansın kanıtları bulunmalıdır. denetçi gelecek için farklılık yaratacak bir açıklamayı getirebilmelidir. Belli bir konuyu seçmenin gerekçeleri arasında şunlar bulunur: yetersiz performans, aşırı maliyetler, yüksek maliyete bağlı düşük seviyede öncelik, yüksek seviyede öncelik, yönetim etiğindeki veya kültüründeki zayıflıkları gösteren kanıtlar, kontrol yetersizliklerini ya da projelerde sistematik başarısızlıkları ortaya koyan kanıtlar, pek çok organizasyonla ilgili olma. Performans denetim çalışmaları için elverişli konuların seçimi süreci, bir mücevhercinin çok yüzeyli bir taşı incelemesine benzetilebilir. Bir organizasyona bakmanın pek çok yolu vardır ve organizasyon bazı yönlerden mükemmel görünebilirken diğer yönlerden de vahim derecede kusurlu görünebilir. Aşağıdaki diyagram, faaliyet modeli öğeleri arasındaki ilişkiyi göstermektedir. İlgili taraflar bütün faaliyet sürecine dikkat göstermelidir. Faaliyetin kendisi, soldaki dairede gösterilen amaçların arılaştırılması sürecinde yansımasını bulması gereken gaye ya da misyon tarafından yönlendirilmelidir. Sağdaki daire, amaçlar tarafından yönlendirilmesi ve bunlara bağlı olması gereken işletimsel faaliyetleri göstermektedir. Faaliyetler iki daireyi bağlamaktadır; Faaliyetler bu iki dairede amaçların sonucu ve işletimlerin maksadıdır. Faaliyetler, ayrıca performans ölçümü ve kaynak yönetimi için odak noktasıdır. 12

18 Etkinliğin Denetimi ve Kontrolu İçin Çerçeve Amaçlar Girdiler İnceleme GAYE FAALİYETLER HEDEF Geri bildirim Etkiler M A L İ Y E T L E R Çıktılar Performans Göstergeleri 2.11 Bilişim teknolojisi sistemlerinin uygulaması Yukarıdaki analiz faaliyet üzerinde yoğunlaşmış ve Bilişim Teknolojisi sistemlerine çok az vurguda bulunmuştur. Bilişim Teknolojisi üzerine odaklanan çalışmaların niçin seyrek olduğunun geçerli nedenleri vardır: Bilişim Teknolojisine yapılan harcamalar faaliyetin diğer yönlerine yapılan harcamalarla gölgede bırakılmaktadır. İngiltere'de Merkezî hükümet sektörünün Bilişim Teknolojisine yönelik harcaması yaklaşık 2.5 milyar pound iken yıllık toplam nakit akışı yaklaşık 450 milyar pounddur. Bilişim Teknolojisi amaç için bir araçtır. Bilişim Teknolojisi sistemlerinin varlık nedeni bizatihi kurumu desteklemek üzere varolan faaliyetleri desteklemektir ve 13

19 amaçların gerçekleştirilmesine odaklanmak amaçların gerçekleştirilmesine yarayan araçlara odaklanmaktan çok daha önemlidir. Böyle olmakla birlikte, Bilişim Teknolojisi üzerine odaklanan bir çalışmanın haklı görülebileceği durumlar vardır: yatırımın kendi başına önemli olduğu çok büyük projelerin incelenmesi çalışmaları, pek çok organizasyondaki Bilişim Teknolojisi işletimlerini karşılaştıran çalışmalar, belli bir organizasyondaki büyük çaplı ya da sürüp giden başarısızlıkları hakkında bilgi veren çalışmalar, merkezî rehberliğin ya da metotların etkinliği üzerinde yoğunlaşan çalışmalar; ve yeni teknolojinin işletimini inceleyen çalışmalar. 14

20 3. Kanıt 3.1 Giriş Araştırmanın çıktısı, denetlenenin faaliyet alanlarından performans ya da maliyetler yönünden ilgi uyandıranlarının bir listesidir. Bu modül, Bilişim Teknolojisi sistemlerinin, açıklamanın parçasını oluşturabilecek kanıtın bulunup bulunmadığını incelemektedir. Araştırmada yapılan analiz şunları göstermiş olacaktır: bağlantılı performans göstergeleriyle birlikte amaçların bir hiyerarşisi; amaçlarla bağlantıları kurulmuş faaliyetler; faaliyetlerle bağlantılı maliyetler; ve faaliyetleri destekleyen bilgi sistemleri Bilişim Teknolojisi denetçisi için bir sonraki aşama, özel bir ilgi çeken amaçlarla bağlantılı faaliyetleri destekleyen bilgi sistemlerini incelemektir. Aksamaları olan bilgi sistemlerinin bir takım göstergeleri vardır ve bunlar aşağıda incelenmiştir. Ana kategoriler şöyledir: kullanıcı memnuniyetsizliği, güvenilir olmayan sistemler, diğer bilgi sistemleriyle yetersiz bütünleşme, aşırı maliyetler, yeni bilgi sistemlerinin uygulanmasında gecikmeler, yarıda bırakılmış projeler, yüksek maliyet, ya da uzun süren bakım; ve tedarikçilerle anlaşmazlıklar. Aşağıdaki bölümler bu göstergeleri tek tek incelemekte ve: başarısızlığın kanıtının bulunup bulunmadığını belirlemek üzere yararlanılabilecek bilgi kaynakları; ve başarısızlık için ileri sürülebilecek açıklamalara olan bağlantılar. 15

21 3.2 Kullanıcı memnuniyetsizliği Bilişim Teknolojisine Yönelik Performans Denetimi Kullanıcının bir sistemden memnuniyetsizliğinin düzeyini incelemeye başlamak için sistemin en iyi yer sistemin sahibidir. Bu sahip, sistemi kimin kullanabileceğini ve sistemin nasıl gelişeceğini tanımlamaktan sorumlu yöneticidir. Sistemin sahibine kullanıcıların kimler olduğunu sorun. Bu, araştırma aşaması süresince analizi doğrulayacak ve görüşülebilecek kullanıcıların bir listesini verecektir. Sistemde kullanıcı geri bildirim kayıtlarının bulunup bulunmadığını sorun. Kullanıcıların geliştirme yönündeki talepleri ve varsa, yardım masasına başvuruları sistemle ilgili kullanıcı memnuniyeti düzeyinin yararlı bir göstergesi olacaktır. Eğer kullanıcı memnuniyetini gösteren güncel kayıtlar yoksa, bir araştırma gerekebilir. Bir sistem kullanıcılar arasından seçilecek bir örnek gruba sistemin performansından memnun olup olmadıklarını, memnun değillerse nedenini yazılı olarak sorun. Eğer yaygın bir kullanıcı memnuniyetsizliğinin kanıtı varsa, bu, kullanıcıların sistemin ayrıntılarıyla tanımlanmasına veya sistem faaliyete geçtiğinde sistemin kabulüne yeterince katılmalarında bir aksamayı gösterir. İncelenmekte olan sistem bağlamında, proje yönetim standartlarında ya da bunların uygulanmasında yetersizlikler bulunabilir. Kullanıcı eğitimi başarısız bir şekilde yönetilmiş olabilir. Kullanıcı memnuniyetsizliği yetersiz işletim yönetiminden de kaynaklanabilir; sistem, tasarımındaki amaçları gerçekleştirme iktidarına sahip olabilir, ancak yetersiz işletim desteği nedeniyle bunu yapmakta başarısızdır. 3.3 Güvenilir olmayan sistemler Sistem başarısızlıklarının ve kullanıcılar tarafından bildirilen problemlerin kayıtlarının bulunup bulunmadığını bilgi sistemleri yöneticileriyle görüşün. Hiç bir kayıt yoksa kullanıcılarla görüşmeniz ya da onlara anket formları göndermeniz gerekebilir. Düzenli olarak aksaklıklar gösteren sistemler tasarım ya da geliştirme standartlarında ya da bunların belirli sistemlere uygulanmasında yetersizlikler bulunduğuna işaret eder. Eksik işletim desteği ya da yetersiz alt yapı yetersiz güvenilirliği kısmen açıklayabilir. 16

22 3.4 Yetersiz bütünleşme Kullanıcılara bilgiyi bir defadan fazla girmelerinin gerekip gerekmediğini ya da birden fazla sistemden elle bilgi derleme zorunda olup olmadıklarını sorun. Her iki özellik muhtemelen verimsizlikle ve kullanıcı memnuniyetsizliğiyle sonuçlanacaktır. Eğer bir veri yöneticisi bulunuyorsa, aynı bilginin bir defadan fazla saklanıp saklanmadığını belirlemek için onunla görüşün. Bilgi saklanmasındaki mükerrerlik sadece verimsizlik değil, aynı zamanda bilgilerin değişik kopyalarından bazılarının güncelleştirilip diğerlerinin eksik kalmasından dolayı farklılık gösterebildiği için bilgi bütünlüğüne yönelik bir tehdittir. Yetersiz bütünleşme bilgi sistemlerinin stratejik planlamasındaki ve koordinasyonundaki zayıflıklara işaret etmektedir. Bilgi sistem planlamasında ve geliştirmesinde üst yönetimin yetersiz gözetimi söz konusu olabilir. 3.5 Maliyet aşımları Sistem sahibinden, sistemin satın alınmasını ya da geliştirilmesini teyit eden iş ihtiyacının bir örneğini vermesini isteyin. Eğer bir iş ihtiyacı yoksa, bu olgu bizatihi, bilgi sistemlerinin geliştirilmesi üzerinde yetersiz kontrolun varlığına işaret eden ciddi bir zayıflıktır. Sistem sahibinden, sisteme ilişkin bütçe dokümanını ve bütçe uygulaması sırasında yapılan değişiklikleri isteyin. Eğer önemli değişiklikler varsa, bu yetersiz tedarik prosedürlerine, yetersiz proje yönetimine ya da iş ihtiyaçlarının kalitesine yönelik yetersiz kontrollara işaret edebilir. Sistemin işletim maliyetlerini inceleyin. Eğer yüksekse, bu durum yetersiz sistem tasarımına ya da işletim eksikliğine işaret edebilir. 3.6 Gecikmeler Sistem sahibi tarafından sağlanan iş ihtiyacı varsa, bunu inceleyin. Proje kurul toplantılarının tutanaklarını inceleyin. Sistemin önerildiği, tasarlandığı ve tedarik edildiği ya da geliştirildiği periyodu kapsayan bilgi sistemi stratejilerini inceleyin. Proje kabul dokümanı, projeyi aralarında bir aydan daha uzun süre olmayan teslimatlara (proje öğelerine) ayırmalıdır. Bu teslimat programına göre uygulamanın izlendiğinin ve herhangi bir sapmanın incelendiğinin kanıtı bulunmalıdır. Proje teslimat tarihlerindeki değişiklikler proje kurulunun onayına bağlı olmalıdır. Proje kurulu tutanaklarının incelenmesi teslimat programı üzerindeki kontrolün yeterliliği noktasından kanıt sağlayabilir. Eğer detaylı 17