CobiT te Olgunluk Seviyelerinin Anlamı ve Hesaplanması. Altuğ Kul, MA, CISA

Transkript

1 CobiT te Olgunluk Seviyelerinin Anlamı ve Hesaplanması Altuğ Kul, MA, CISA Bilgi işlem, bilgi teknolojileri, bilgi sistemleri bölümü veya departmanı ya da adı her nasıl tanımlanmış olursa olsun BT merkezli şirketlerin, Türkiye de ise özellikle bankaların bilgi sistemlerinden sorumlu bölümlerinin bugünlerde özellikle CobiT konusuna yoğun mesai harcadıklarını tahmin etmek hiç zor değil. BT yönetişiminde (governance) içerdiği alanlarda en iyi uygulamaları içinde barındırdığı yönünde bir iddiası olan CobiT daha çok bir kontrol çerçevesi olarak kendini tanımlamaktadır. Bu çerçeve içerisinde temel taş olarak iş gereklilikleri ve iş birimleri ile BT bölümünün hedeflerinin ilişkilendirilmesi oturtulmuştur. Ve CobiT tüm bunları yaparken çerçevesi içine aldığı otuzdört sürecin her biri için kurumun ne seviyede olduğunu görebilmesi amacıyla olgunluk modelleri/seviyeleri (maturity models/levels) tanımlamaktadır. Olgunluk Seviyesinin Anlamı Olgunluk seviyeleri CobiT te (0-5) skalasında toplam altı seviyede tanımlanmıştır. Tanımındaki doğası gereği olgunluk seviyeleri kurumun ilgili süreçteki kontrollerin ne seviyede olduğunu göstermektedir. Çeşitli nedenlerle CobiT uygulamalarının dünya çapında önem kazanması sonucunda CobiT kontrol hedeflerinin anlamlarının yorumlanması ve hesaplanmasına yönelik çalışmaların yapıldığı görülmüştür (1) (2). Olgunluk seviyelerinin hesaplanmasından önce kullanım alanlarının ya da olgunluk seviyelerine yüklenmesi gereken anlamların tartışılması daha doğru olacaktır. Bu amaca yönelik olarak CobiT i oluşturan bileşenlerin kendi içindeki ilişkilerinin doğru tanımlanması gerekmektedir. CobiT bileşenlerinin ilişkileri aşağıdaki gibidir (3) : İş hedefleri BT hedefleri / BT süreçleri (iş hedefleri için gereklidir ve iş hedeflerine bilgi sağlar) Anahtar aktiviteler (BT hedeflerini oluşturur) Sorumluluk ve hesap verme seviyesi tablosu (anahtar aktivitelerin gerçekleştirilmesine yardımcı olur) Ölçüm (BT hedeflerinin ölçülmesine yardımcı olur) Performans göstergeleri (BT performans ölçümüne yardımcı olur) Çıktı ölçümleri (BT çıktılarının ölçümüne yardımcı olur) Olgunluk modelleri (Olgunluk ölçümüne yardımcı olur) Kontrol çıktılarının testi (BT hedeflerinin denetlenmesinde kullanılır) Kontrol hedefleri (Kontrol çıktılarının oluşturulmasına yardımcı olur) Kontrol hedefleri (BT hedeflerinin kontrol edilmesinde kullanılır) Kontrol dizayn testleri (Kontrol hedeflerinin denetlenmesine yardımcı olur) Kontrol uygulamaları (Kontrol dizayn testlerinin oluşturulmasına yardımcı olur) Kontrol uygulamaları (Kontrol hedefleri kontrol uygulamaları ile hayata geçirilir)

2 Yukarıdaki bileşen ilişkilerinden de görülebileceği gibi olgunluk modeli BT hedeflerinin ölçümü için kullanılan bir araç; aslında araçlardan bir tanesi. CobiT çerçevesi tanımlanırken olgunluk modelleri ile kontrol hedefleri arasında direkt bir ilişki kurulmamış olması ufak da olsa gözden kaçırılmaması gereken bir detay olarak ortaya çıkmaktadır. Bu da birçok CobiT profesyonelinin kontrol hedefleri ile olgunluk seviyelerinin pek de bağdaşmadığına yönelik eleştirilerinin kökenini oluşturduğu söylenebilir; çünkü CobiT zaten böyle bir ilişkiyi öngörmemiştir (4). CobiT olgunluk seviyeleri, girişinde de bahsettiği üzere birbirini takip edecek şekilde dizayn edilmemiştir. Örnek olarak, bir CobiT sürecinde 3 seviyesinde olgunluk sahibi olabilmek için bu seviyenin altındaki tüm seviyelerin karşılanması mecburi değildir. CobiT in 4.1 versiyonu bu konudaki spekülasyonlara oldukça açıklık getiren birtakım açıklamalarla yayınlanmıştır. Buna göre bir kurum bir CobiT sürecinde olgunluk seviyelerini belli ölçüde değişik seviyelerde sağlayabilir. Yani, 2 seviyesini yüzde elli sağlarken 3 seviyesini yüzde seksen, 4 seviyesini yüzde yirmi sağlaması mümkün olabilir. Bu durumda bu kurumun bu süreç için yaklaşık 3 seviyesinde bir olgunluk seviyesi olduğu söylenebilir. Bu konuda detaylı bir örnek Grafik 1 de (5) bulunabilir. Grafik 1 de görülebildiği gibi olgunluk modelinin (OM) her seviyesi için belli ölçülerde olgunluk hesaplanabilir. Bu örnekte genel olarak 3 seviyesinde bir yoğunluk olmakla beraber hali hazırda hala daha düşük seviyelerde uyuma yönelik problemler bulunmakta, daha yüksek seviyelerde ise birtakım yatırımlar yapılmaktadır. Bu örneklerden anlaşılabileceği üzerine CobiT olgunluk seviyeleri belli bir olgunluk seviyesini işaret etmemekte genel olarak olgunluk modeline yönelik uyumun nasıl olduğunu ölçemeye çalışmaktadır. Ancak gerek üst düzey yöneticiler için gerekse kurum hedeflerinin konulabilmesi amacıyla olgunluk seviyesinin atanabileceği görülmüştür. Grafik 1 deki örneğe bu amaçla 3 seviyesinde bir süreç diyebiliriz.

3 Olgunluk Seviyesinin Ölçümü Yukarıda da bahsedildiği üzere olgunluk modelleri daha çok bir ölçüm sistemi olarak kurulmuştur. Ancak CobiT çerçevesindeki diğer ölçüm yöntemlerinden farklı olarak olgunluk modelleri benchmark tekniği (kurumun kendi seviyesini sektöründeki benzer süreçlerin ortalaması ile karşılaştırma) ile kullanılmak üzere hazırlanmıştır. Sektör ortalamasının ve kurumun aynı süreçte 2 seviyesinde olması aslında kurumun mevcut durumda gerekli yatırımları yaptığını göstermektedir. Bu süreçte sektörün ya yasal nedenlerden ya da gelişen sektör ihtiyaçlarından doğan bir şekilde ekstra yatırımlar yapması kurumun da yatırım ihtiyaçlarını arttıracaktır. Olgunluk seviyelerinin nasıl yorumlanmasına yönelik yukarıda anlatılanlardan sonra olgunluk seviyelerinin hesaplanma yöntemine bakmak lazım. Yukarıda da bahsedildiği üzere olgunluk seviyeleri belirli bir sıra ile birbirini takip edecek şekilde oluşturulmamıştır. Bu nedenle örnek olarak 4 seviyesinde bulunmak için 1, 2 ve 3 seviyelerinin hepsinin tamamen karşılanmış olması gerekmemektedir. Bu durumda her olgunluk seviyesi cümleciklerinin tek tek karşılanması sonucu olgunluk seviyesi hesaplamasının pek de CobiT hedefleri ile bağdaşmadığı söylenebilir. Olgunluk seviyesinin hesaplanmasına yönelik çeşitli çalışmaların öngörülmüş olmasına rağmen bu konuda en ciddi ve detaylı çalışma Pederiva (1) tarafından yapılmıştır. Bu çalışmanın benzer bir versiyonu CobiT 4.1 ile tavsiye niteliğinde yayınlanmıştır (6). Buna göre olgunluk seviyesinin hesaplanması temelde birbirini izleyen beş aşamada yapılmaktadır: Aşama 1 Cümleciklerin önemlerinin belirlenmesi: Birinci aşamada olgunluk seviyeleri açıklamalarındaki her bir cümlecik için kendi seviyesi içerisinde ne kadar önemli olduğunu belirlemek amacıyla bir ağırlık verilir. Son derece öznel (subjective) bir değerlendirme olan bu aşama puanlama sürecini temelden etkilemektedir. Burada verilen ağırlık değerleri ilgili olgunluk seviyesine uyumu (3. aşama) direkt olarak etkilemektedir. Bu aşamadaki öznelliği en aza indirgemek için tüm cümleciklere eşit ağırlık verilmesi (örn: 1) bir çözüm olabilir; ancak bu da kurumun olgunluk seviyesine yönelik olarak kendisi için çok da gerekli olmayan bir takım yatırımlara girmesi sonucunu doğurabilir. Aşama 2 Cümleciklere uyumun belirlenmesi: Cümleciklere birer ağırlık değeri verildikten sonra ikinci aşamada kurumun her bir cümlecik ile ne kadar uyumlu olduğu hesaplanmaktadır. Bu amaçla her bir cümleciğe 0 ile 1 arasında değişen dört (0-0,33-0,66-1) uyum seviyesinden biri atanmaktadır. Burada hesaplamayı yapan denetçinin ya da kurumun bu cümlecikler için doğru uyum değerlerinin atanmasına yönelik yeterli derecede bilgiye sahip olduğu öngörülmektedir. Eğer denetçi ya da kurum herhangi bir cümleciğe uyumla ilgili net bir takım bilgilere sahip değil ise burada yapacağı değerlendirme gene öznel bir niteliğe bürünmektedir. Bunu engellemek için bu cümlecik için 1. aşamada daha düşük bir ağırlık verilmesi, hatta hesaplamadan tamamen çıkartılması için (0) ağırlık verilmesi düşünülmelidir; bu durumda bu aşamada uyuma yönelik herhangi bir değerlendirme yapma zorunluluğu kalmamaktadır. Aşama 3 Olgunluk seviyesine uyumun hesaplanması: Kurumun belli bir süreçte tüm olgunluk seviyelerindeki tüm cümleciklere uyumunun hesaplanmasından sonra sıra her bir olgunluk seviyesine uyumun hesaplanmasına gelmektedir. 1. ve 2. aşamadaki değerlerin çarpımından bulunan cümlecik değerlerinin toplamı 1 aşamadaki ağırlık değerlerinin toplamına bölünerek olgunluk seviyesine uyum hesaplanmaktadır. Örnek olarak 10 adet

4 cümlecik olan bir olgunluk seviyesinde her bir cümleciğin ağırlığı 1 ise (1. aşama) ve her bir cümlecik için 0,66 uyum değeri verilmiş ise (2. aşama), her bir cümleciğin ağırlığı 1x0,66=0,66 dır. Toplam 10 cümlecik olduğundan olgunluk seviyesi uyum değeri şu şekildedir: (0,66x10) / 10 = 0,66. Tüm cümleciklere eşit ağırlık verilmesi ve hepsinin de aynı uyum değerini alması sonucu olgunluk seviyesi uyum değeri de aynı çıkması normaldir. Aşama 4 Olgunluk seviyelerinin katkı değerlerinin belirlenmesi: Belli bir süreçteki tüm olgunluk seviyelerine uyum değerlerinin hesaplanmasından sonra sıra olgunluk seviyelerinin ilgili sürece olan katkılarının belirlenmesine gelmiştir. Bu aslında olgunluk seviyelerinin o süreç için ne kadar önemli olduğunu belirlemek gibidir. Genel olarak olgunluk seviyesi arttığında süreçteki uyumun artacağı ve daha kontrollü bir ortamın yaratılmış olduğu varsayıldığından olgunluk seviyelerine giderek artan bir katkı değerinin verilmesi öngörülmüştür. Bu amaçla bize örnek olarak sunulan 1 ile 5 arasındaki olgunluk seviyelerine (0,33 0,66 1,00 1,33 1,66) değerlerinin atanmasıdır. Bu durumda en düşük olgunluk seviyesi (1) sürece en az katkıyı (0,33) yapmakta, en yüksek olgunluk seviyesi (5) ise sürece en fazla katkıyı (1,66) yapmaktadır. Bu aşamada Pederiva nın önerisi olgunluk seviyesi uyum değerlerinin normalize edilmesi ve sonra olgunluk seviyeleri ile (1-5) çarpılarak olgunluk seviyesi katkılarının bu şekilde verilmesi. Bu yöntem daha standart olması nedeniyle öznellikten uzak görünmektedir, ancak yukarıda belirtilen tavsiye değerlerinin de kullanılması sonucu Pederiva nın yöntemi ile çok yakın sonuçlar elde edilmektedir. Aşama 5 Olgunluk seviyesinin hesaplanması: Bir süreçteki tüm olgunluk seviyelerinin uyum değerlerinin (3. aşama) ve katkı değerlerinin (4.aşama) hesaplanmasından sonra son olarak bu iki değerin çarpımından ortaya çıkan toplam beş adet seviyenin toplanması gerekmektedir. Bu toplam bize kurumun bu süreçteki olgunluk seviyesini göstermektedir. Olgunluk seviyesinin daha standart bir şekilde ölçülmesine yönelik oluşturulmuş ve yukarıda da detaylı bir şekilde anlatılan yöntem aslında yöntem olarak ne kadar standart olsa da içerisinde birçok öznel öğe içermektedir. Toplam beş aşamanın üçünün belirlenmesi ile sadece iki tanesinin hesaplanması ile bitmesi aslında hesaplama yönteminde ağırlığın öznel öğelerde olduğunu göstermektedir. Bu da denetimi ya da çalışmayı yapana çok fazla alan bırakmakta ve aslında sonuç olarak ortaya çıkan olgunluk seviyelerinin kurumlar arası bir karşılaştırmada kullanılmasının pek de sağlıklı olmadığını göstermektedir. Hatta CobiT bazlı BT denetimi yapan denetim şirketlerinin kendi içindeki ekipleri arasında dahi profesyonel yorumdan kaynaklanan farklılıkların oluşması nedeniyle hesaplama yöntemindeki öznelliğin ön plana çıkması kaçınılmaz olabilir. Yukarıdaki anlatılanlar ışığında kurumların olgunluk seviyelerini tek tek başka kurumlar ile karşılaştırması yerine daha önce de belirtildiği üzere sektör ortalamaları ile karşılaştırmaları daha sağlıklı bir sonuç verecektir. En iyi sonuç ise kurumların kendileri için önemli süreçleri belirleyip bu süreçlerde en azından sektör ortalamalarının üzerine çıkmak için hedef değerler koyması ile alınabilir. Notlar: (1) Pederiva, Andrea; The CobiT Maturity Model in a Vendor Evaluation Case, Information Systems Control Journal, Vol. 3, 2003 (2) Guldentops, Erik; Maturity Measurement First the Purpose, Then the Method, Information Systems Control Journal, Vol. 4, 2003

5 (3) IT Governance Institute, CobiT 4.1, s.8, Fig.4, 2007 (4) Bu durumda aslında kontrol hedefleri bazlı bir denetim çalışmasının sonucunda olgunluk seviyelerinin hesaplanmasının pek de uygun olmadığı sonucu ortaya çıkmaktadır. Bunun nedeni Olgunluk seviyesinin ölçümü bölümünde anlatıldığı üzere olgunluk seviyelerindeki her bir cümlecik için bir yargıya varılması zorunluluğudur. (5) IT Governance Institute, CobiT 4.1, s.18, Fig.11, 2007 (6) CobiT 4.1 versiyonu denetçilere ve kurumlara yardımcı olmak amacıyla birtakım ek dokümanlar ile beraber yayınlanmıştır. Denetim güvence kılavuzu (assurance guide) ve tavsiye niteliğindeki araçlar (toolkit) bunlar arasında sayılabilir. Bu araçlar içinde olgunluk seviyesi hesaplanması da bulunmaktadır. Yukarıdaki anlatım bu örneğe dayanmaktadır. Daha fazla bilgi için adresine başvurulabilir. Altuğ Kul Deloitte Kurumsal Risk Hizmetleri