Orkestra Şefiniz: COBIT

Orkestra Şefiniz: COBIT
Mehmet Cüneyt Üvey
Mehmet Cüneyt Üvey
Şirketler de orkestra gibidirler. Her departmanın ayrı bir ses tınısı
vardır. Kendi başlarına iyi işler yapabilmeleri yeterli değildir. Bir bütün olarak, diğer tüm enstrümanlarla ahenk içerisinde çalışabilmeli,
bütünün
parçasındaki
yerlerini
görebilmelidirler.
COBIT’i
bir
orkestra şefine benzetiyoruz. Tüm departmanların bilgi teknolojilerine bağlı hale geldiği günümüzde, BT ekseninden şirketin vizyon ve
stratejisini belirleyip yöneten yeni orkestra şefimiz; COBIT.
52
COBIT’i Türkiye’ye ilk getiren ve Yapı Kredi Bankası’nda hayata geçmesini sağlayan, akademisyen ve danışman olan sayın Mehmet Cüneyt Üvey ile geçmişten günümüze COBIT’i, finans dünyasını, CIO’ları, akademik
ve iş dünyasındaki ilişkileri konuştuk. Bilgi ve tecrübelerini detaylı olarak dergimizle paylaşan Cüneyt hocamıza teşekkür ediyoruz. BT yöneticilerinin mutlaka okuması gereken bu röportaj, optimizasyona giden bir yol
haritası niteliği taşımaktadır. Keyifli okumalar…
Röportajı hazırlayan: Burak Bulduk
1- Bize kendinizden, iş dünyasındaki yerinizden
ve akademik konumunuzdan bahseder misiniz?
1967 doğumluyum. Tarsus Amerikan Koleji ve
ODTÜ Kamu Yönetimi’nden mezunum. T.C. Ziraat
Bankası Bankacılık Okulu’nu ilk açıldığı yıl kazanarak, ODTÜ sonrasında 1 yıllık Bankacılık Eğitimi aldım. 1990’ların başında borsa, menkul kıymetler, yatırım fonları, hazine bonoları ve devlet
tahvilleri gibi konular çok popülerdi. Bankacılık
Okulu sonrasında Ziraat Menkul Değerler
Müdürlüğü’nde çalıştım. Özel sektör deneyimi elde
etmek ve özellikle denetim konusunda kendimi geliştirmek üzere 1991’de Yapı Kredi Bankası (YKB)
Teftiş Kurulu’na girdim. İki sene kadar, ülkemizin
farklı yerlerinde ve farklı boyutlarda hizmet veren
genel müdürlük birimlerinin denetimlerinde müfettişlik yaptıktan sonra, 1993-95 yılları arasında
Amerika’da İş İdaresi (MBA) üzerine Bloomsburg
University - Pennsylvania’da yüksek lisans eğitimi
aldım. MBA sonrasında YKB’ye geri döndüm.
aldım. Öncelikle Teftiş Kurulu’na BT denetimi fonksiyonunun kazandırılmasını takiben, BT Risk Yönetimi birimini kurdum ve işleyişe geçirdim. Böylelikle
Türkiye’deki ilk BT Risk Yöneticisi oldum.
Yapı Kredi’de 16 yıl süren muhtelif görevlerim sırasında; mesleki gelişimime katkıda bulunması e
bilgilerimin standartlara uygun bir şekilde yeterli
olduğunu belgelemek adına uluslararası geçerliliği
olan CGEIT (BT Kurumsal Yönetişim), CISA (BT
Denetçisi), CISM (Bilgi Güvenliği Yöneticisi), ISO
27001 LA (Bilgi Güvenliği Yönetim Sistemi Baş
Tetkikçisi), PMP (Proje
YKB’de 2000 yılında, Biz bir şeyi kontrol edebiliyorsak, demek ki Yöneticiliği) sertifikalarıyla ilgili eğitimleri tabelki de Türkiye’deki ilk
ve en geniş kapsamlı CO- yönetiyoruz. Peki, daha iyi nasıl yönetebiliriz? mamladım.
BIT uygulama projesini
2004 yılında, ODTÜ Enformatik Enstitüsü’nde,
başlattım ve yönettim. O dönemde üst yönetimin
sonradan üç farklı bölümde (IS, SM ve ION) birden
vizyonerliği sayesinde, COBIT’i yazan insanları da
verilebilecek “IT Governance” adındaki dersimi
getirterek, Türkiye’de birlikte çalışma fırsatımız
vermeye başladım. ODTÜ’de bu ders çok tuttu ve
oldu. Projenin bir bacağı; YKB’deki 550 kişinin çahatta bazı kurumlardan dersi almaya istekli birçok
lıştığı teknoloji organizasyonu içerisinde, süreçlerin
yönetici ve çalışanlar derse özel öğrenci/izleyici
ayrıştırılması ve oturtulması yönünde uygulanırken,
olarak kaydoldular. Sabancı Üniversitesi ile de bu
diğer bacağı ise, Teftiş Kurulu’nun Bilgi Teknolojikonuda anlaştım. Sabancı Üniversitesi’nde IT (Billeri (BT) denetimi yapabilir hale getirilmesi şeklingi Teknolojileri) ve ITM (Yönetimde Bilişim Sisde uygulandı.
temleri) programları var; orada da bu dersi vermeye
başladım. İstanbul Ticaret Üniversitesi’nde de özelProje tamamlanır tamamlanmaz, COBIT uygulamalikle bilgisayar sistemlerinin denetimi konusundaki
ları ile ilgili yol haritasını hayata geçirmek ve YKB
ihtiyacı gidermek üzere, Muhasebe ve Denetim
Teknoloji Yönetimi’nin tüm BT süreçlerinin ve proMaster öğrencilerine BT Denetimi dersi verdim.
jelerinin risklerinin yönetimi işinin sorumluluklarını
53
Son olarak da Bilkent MBA programında, bu sefer
de iş dünyasından gelen insanların teknolojiye
adaptasyonu yönünde, bu dersi vermeye başladım.
Bu derslerden birkaç tanesi sürüyor, bazıları
ise senede 1 - 2 ders şeklinde devam ediyor. Sonuçta profesyonel deneyimlerimi paylaşmak ve
yetişen gençlere yönetsel özellikler kazandırmak için COBIT’i, ISO 27001’i, ITIL’ı ve benzeri en iyi uygulamalar ve standartları kullanarak akademisyenliğe de adım atmış oldum.
Geleceğin BT yöneticilerini, çalıştıkları alanlarda ve kurumlarda her şeyi şimdiden tepeden görebilecekleri yöntemlere sahip olmak üzere yetiştirmeyi kendime bir misyon edindim.
Şuanda, Ankara’da bulunan TNS ve Stratek adlı
kardeş firmalarda danışman olarak çalışmaktayım. Kamu kurum ve kuruluşlarına bilgi hizmetleri sunarak, eğitimler vererek, yurtiçi ve yurtdışındaki projelerde roller alarak iş hayatıma devam
ediyorum.
ilgili yaptığım çalışmaları ve kendi hazırladığım akademik çalışmaları ISACA ile yani
COBIT’i yazan kuruluş ile paylaşarak,
ISACA’nın bana COBIT Eğitmeni olarak akreditasyon vermelerini sağladım. Dünyada
ISACA’nın akredite ettiği ve sayısı 20’yi geçmeyen COBIT eğitmenlerinden biriyim.
Yıllardır kurmaya çalıştığımız ISACA İstanbul
Chapter, 2009 başında resmi olarak kuruluşunu
tamamladı. Bilgi Teknolojileri’nin Denetimi ve
Kurumsal Yönetimi ile ilgili faaliyet gösterecek
olan bu derneğin kurucuları arasında olan birisi
olarak, COBIT’in yaygınlaşması ve kullanımı
ile ilgili birçok eğitim, bilinçlendirme ve uygulama çalışmasına rehberlik etmek yönünde çalışmalarımızın olacağını düşünüyorum. ISACA
ve ITGI çatısı altındaki meslektaşlarımla birlikte, ülkemizde mesleki standartların belirlenmesinde, konferans ve seminerlerin düzenlenmesinde, uluslararası yayınların adaptasyonunda
ve bunları destekleyen akademik çalışmalarda
da yer alacağımızı umuyorum.
2- COBIT konusundaki uzmanlığınız ve çalışmalarınız nelerdir?
COBIT’i 2000’li yılların başında Türkiye’de
ilk uygulayan ve tanıtmaya çalışan kişilerden
biri olarak söyleyebilirim ki; özellikle İmar
Bankası olayından sonra bilgi teknolojileri
denetiminin öneminin ve gerekliliğinin anlaşılması, COBIT’in yaygınlaşmasını çok hızlandırdı. COBIT’in denetim için seçilen yöntem olması yönünde uzun soluklu çalışma ve
toplantılar yapılarak; bankalar, BDDK ve bağımsız denetim ve danışmanlık kuruluşları
arasında 2003 yılında başlayan çalışmalar sonucunda ortak bir çizgi belirlendi. Benim kişisel olarak bu işi YKB bünyesinde 2003 öncesinde projelendirip, çalışmalarımı COBIT’e
dayalı olarak devam ettirmem büyük avantajlar sağladı. Bir anlamda, BDDK’nın belirlemiş olduğu yöntemin uygulama tecrübesine
sahip olunmaması nedeniyle bütün bankalarda
ve denetim - danışmanlık kuruluşlarında COBIT ile ilgili bir know - how gereksinimi ortaya çıktı. Ben bu sayede gerek özel eğitim kurumlarına destek olarak, gerekse Bankalar
Birliği’ndeki bütün bankalara eğitimler düzenleyerek 40’ar kişilik gruplar halinde
200’den fazla bankacının COBIT ile tanışmasına ve bu yöntemi öğrenmelerine vesile oldum. Bu açıdan baktığımız zaman COBIT ile
54
3- Türkiye’ de COBIT tam anlaşılmış ve benimsenmiş bir konu değil! Konunun uzmanı olarak
COBIT’in ne olduğunu ve tarihsel gelişimini tanımlar mısınız?
İsterseniz ilk önce bu COBIT kısaltmasının kelime açılımını yaparak başlayalım: “Control Objectives for Information and Related Technologies”
sözcüklerini “Bilgi Teknolojileri ve ilgili teknolojiler için Kontrol Hedefleri” şeklinde çevirebiliriz Türkçeye. Tabii, konu çeviri yaparak da anlaşılabilecek kadar kolay değil. COBIT, özellikle
bankacılık ve finans çevresinde, BDDK’nın ve
dış denetim & danışmanlık firmalarının çalışmaları sonucunda denetim boyutu ile gayet iyi anlaşılmaya başlanmıştır. Ancak yine de farklı sektörlerde de daha iyi kavranabilmesi ve
yaygınlaşabilmesi için temel teorik bilgi ile başlamakta yarar vardır. Kitabı www.isaca.org’dan
ücretsiz olarak edinebilirsiniz. Ancak COBIT’i
anlamak için kitabı okumak pek yeterli olmamak-
tadır. Kitaptaki kavramları gerçek hayat ile bağdaştırabilmek, örneklerini yaşamak, yani tecrübeli bir BT Yöneticisi olarak konuya hakim bir
bakış açısı edinmek gerekir.
COBIT’in tarihçesine bakarsak, ilk önce 1996
yılında bir denetim Checklist’i olarak ortaya çıkıyor. Denetlenecek süreçlerin, bilginin yönetimi
açısından; “etkinliğini, verimliliğini, gizlilik bütünlük ve erişilebilirliğini, güvenilirliğini ve
düzenlemelere uyumluluğunu” dikkate alan
yedi kriter sorgulanıyor. 1998’ e geliyoruz;
COBIT’ in ikinci versiyonu çıkıyor. Bu versiyon, denetimin, olay gerçekleştikten sonra olan
bir şey olması nedeniyle, denetimden önce gerekli standartları ve yapılması gereken işleri
belirlemek amacıyla daha anlamlı bir “kontrol
standardı” haline dönüşüyor. “Kontrol” kavramının tanımını yapmak gerekirse; “istenmeyen
bir olayı öncelikle önlemek, önleyemiyorsak
tespit etmek veya istemediğimiz olay gerçekleşiyorsa bu olayın bize vereceği zararı asgariye
indirmek için durumu düzeltmek” şeklinde tanımlayabiliriz. Mesela bir deprem gerçekleşmesini önleyemezsiniz. Depremin gerçekleştiğini ancak olduğu anda tespit edebilirsiniz.
Fakat deprem sonrası yapmanız gerekenleri önceden planlar ve deprem olduğunda da bunları
uygulamaya geçirirseniz, depremin zararlarını
asgariye indirebilirsiniz. Bu şekilde düşünürsek, COBIT’ teki (Control) kontrol dediğimiz
ve “C” harfine tekabül eden kelime bu anlama
geliyor. Control Objective (kontrol hedefi) ise
bu kontrolü ne için uyguladığınız anlamına geliyor. Mesela, kontrol hedefi depremi engellemek değildir; depremin size vereceği insani
zararı ve maddi kaybı engellemek bir kontrol
hedefi olabilir… Özellikle 1996’da COBIT’in
bir denetim Checklist’i olarak ortaya çıkmasından sonra 1998’de kontrol mantığını kazanmış
olması ve 2000 yılına kadar kontrol odaklı bir
yaklaşımı olması nedeniyle, COBIT aslında
1996 – 2000 yılları arasında olgunlaşmıştır.
2000 yılında, “Biz bir şeyi kontrol edebiliyorsak, demek ki yönetiyoruz. Peki daha iyi nasıl
yönetebiliriz?” bakış açısından yola çıkılarak,
COBIT’in aynı zamanda bir yönetim çerçevesi
olduğu yönünde bir yaklaşım gelişti ve bir set
halinde COBIT 3 versiyonu çıktı. Yönetim rehberi, ölçüm kriterleri, yönetsel özet, kontrol
hedefleri, uygulama rehberi, denetim rehberi
vb. yönetişim araçları da ayrı kitaplar olarak
setin içerisinde yerlerini aldılar.
Kurumlarda, endüstri devriminden bu yana
gelişen Corporate Governance (Kurumsal Yönetişim) dediğimiz konular ve kavramlar var.
COBIT gelişimini sürdürdükçe ve yaygınlaştıkça, sadece BT yönetimi değil, BT ile iş dünyasının da birbirleri ile etkileşimini iyileştirmeye çalışan bir yöntem olduğu için 2005
yılından itibaren artık bir IT Governance (bilgi
teknolojilerinin kurumsal yönetişim yöntemi)
olarak dönüşüme uğradı. COBIT’in 4.0 ve 4.1
versiyonları, iş dünyası ile BT dünyasını birbirine yaklaştırmaya çalışan, özellikle “stratejik
uyum, katma değer yaratmak, kaynakların etkin ve verimli yönetimi, risklerin yönetimi ve
performansın ölçümlenebilmesi” alanlarında
kullanılmaya uygun bir Governance yöntemine
dönüşmüş durumdadır.
Yapısal olarak COBIT’in 4 temel faaliyet alanı altında gruplanmış 34 süreçten oluştuğunu
görüyoruz. Her bir süreç ile yukarıda saydığımız 7 adet Bilgi Kriteri ve 4 adet BT Kaynağı
55
(Uygulamalar, Bilgiler, Altyapı ve İnsan Kaynakları) bağlantıları kurulmuştur. BT Yönetişimi açısından da her bir sürecin, hangi yönetsel
boyuta hizmet ettiğinin ilişkisi net olarak
COBIT’de belirtilmiştir. Bunlar ilk bakışta anlaşılabilecek durumdadır. Ayrıca COBIT’in
hangi sürecinin hangi süreçlere girdi sağladığı
ve hangi süreçlerin çıktılarından yararlandığı
da açıkça ortaya koyularak süreçlerin birbirleri
ile ilişkileri tanımlanmıştır.
KOBİ’lere de uygulanmasını mümkün kılacak Quickstart versiyonu mevcuttur. Ya da küçük bir organizasyonda sadece gerekli kısımları alıp, onları çok iyi
hale getirmek de mümkün. COBIT, şu anki 34 süreçlik
haliyle, her vücuda uyan bir elbise değildir! Tüm süreçleri dikkate alabilmek için, büyük ve olgunlaşmış
organizasyonlarda kullanılması etkinlik ve verimlilik
COBIT, şu anki 34 süreçlik haliyle,
her vücuda uyan bir elbise değildir!
4- Bence kavram karmaşasına yol açan bir durum
var; COBIT bir kalite yönetim süreci midir?
COBIT öncelikli olarak COSO Kontrol Modeli’nden
esinlenerek, BT Süreç ve Kontrollerine yönelik olarak
ortaya koyulmuş bir şemsiyedir. BT süreçlerinin tümüne, bir modelleme yaparak veya COBIT’in oluşturduğu model gözlüğü ile tepeden bakabiliyorsunuz.
Kalite yönetiminde ise var olan süreçlerinizi dokümante edersiniz. Bu süreçlerin ölçüm kriterlerini,
girdi – çıktılarını tanımlarsınız. Süreçlerde; yaptığınızı yazdığınız veya yazdığınızı yaptığınızın tutarlılığı ve sürekli iyileştirme gibi gereksinimleri
yerine getiriyorsanız, kalite sistemi %80 kurulmuş
demektir. Ama olaya COBIT tarafından bakarsak,
herhangi bir BT organizasyonunun 34 süreçlik bir
model ile ifade edilmesi ve COBIT’in tüm BT organizasyonlarına kısmen veya tamamen uygulanabilecek bir çerçeve olduğunu düşünebiliriz.
Kalite yönetim sisteminde, bir iş yapılıyorsa bu bir
süreçtir. COBIT’de ise işler zaten BT kurumlarında
yapılır; onların süreç modelinde yerleri bellidir. Kalite
yönetimi, gereksinimlerinin çoğunu COBIT ile karşılar. Bir BT organizasyonunda ayrı bir kalite sistemine
ihtiyaç yoktur. Süreçler zaten modellenmiştir. Siz kalite yönetimi sisteminde sıfırdan bir şeyler yapmaya çalışırsınız. Fakat elinizde bir COBIT gözlüğü olduğu
zaman KYS ile ilgili bir BT organizasyonunun gereksinimlerinin tümünü (ölçüm yöntemleri, hedefler, rol
tanımları ve görevleri) belki de fazlasıyla COBIT içerisinde hazır bulabilirsiniz. Sadece kendi şirketinize
adapte etmeniz gerekir. Örneğin; “Bu raporlar 3 ayda
bir mi daha etkin olur, yoksa 6 ayda bir mi?”. Ölçüm
kriterinizi buna göre adapte edebilirsiniz.
Benim şansım, COBIT’in 34 sürecinin tümünün yürütüldüğü 500-600 kişilik dev ve gelişmiş bir BT organizasyonunda bunu uygulamış olmamdır. Bu nedenle 15
kişilik bir BT organizasyonunda COBIT uygulamaya
çalışmak çok anlamsız ve gereksiz bir çalışma olabilir.
Bunun için ISACA’nın web sitesinde COBIT’in
56
sağlar. Küçük organizasyonlar, biz COBIT uygulayacağız derken asıl işlerini kenarda bırakmamalılar. Bu
süreç; zaman, emek ve maddi yeterliliğe dayalıdır.
COBIT’in içerisinde CMM-I ile paralel bir yaklaşımla oluşturulmuş bir olgunluk modeli de vardır. Süreçlerin nihai gelişimini değerlendirebilmeniz için 0 – 5 arasındaki skalada; “Bir süreç
hangi olgunluk seviyesindedir ve bir sonraki olgunluk seviyesine getirmek için neler yapılmalıdır?” gibi, sizi gittikçe olgunluk modelinde yer
alan skalaya göre yükselten ve iyileştiren, Kalite
Yönetimindeki sürekli iyileştirme döngüsü ile örtüşen bir yaklaşıma da sahiptir. COBIT; kendi iç
dinamiklerinin dışında, süreçlerin iyileştirilmesi
için paydaşları, tedarikçileri, proje yönetim yöntemlerini ve süreçlerin birbirleri arasındaki ilişkileri de dikkate alarak, entegre çalışmalarla uygulanabilecek bir yöntemdir.
Olgunluk Modeli ve seviyeler şöyle bir benzetme ile açıklanabilir: Bir bebek ilk yaşını doldurana kadar bir tek kelime bile söyleyemez ve
onun konuşma özelliği doğduğunda var olmayan
bir unsurdur! Zamanla birkaç kelime konuşmaya başlamasından, herkes tarafından tanınmış,
kitleler önünde konuşan, üstün başarılı ve örnek
alınan bir hatip olmasına kadar geçen süreç en
az 20 – 30 yıldır. Bir kurumun süreçlerinin gelişmesinin, bir insanın hayatından ve kazandığı
becerilerinin gelişerek olgunlaşmasından pek de
farklı değildir! Kurumda yeni bir iş ortaya çıktığında sıfır seviyesinde olan bir süreç; bu işin
tekrarlanır hale gelmesi, sorumlusunun belirlenmesi, yapılan işin geliştirilip kurum içinde diğer
süreçler ve diğer kurumlarca da örnek gösterilir
hale gelmesi, kurumun buna ayırdığı kaynak ve
harcanan efor ile doğru orantılı olarak belki de
yıllar sürecektir. Çok çabuk gerçekleşebilen bir
şey değil bu. COBIT bu gerçeği dikkate alarak
bir olgunluk modeli ortaya koymuş; süreçlerin
bir sonraki aşamaya gitmesi, ilerlemesi ve iyileştirilmesi için neler yapılması gerektiğini, her
seviyede nelerin ilgili olgunluk seviyesini tanımladığını belirlemiştir. Kısacası; 34 süreç ve
bu süreçlerin altında yer alan 200’den fazla kontrol hedefi için kişiler, rolleri ve ölçüm kriterleri
de dahil olmak üzere, neler yapılması gerektiği
COBIT’in içerisinde tanımlıdır.
olan iş tarafındaki paydaşların, “Teknolojik işler nasıl yürütülüyor?” gibi soru bulutlarının içerisindeki
işleyişi görebilmeleri için kullanabilecekleri bir sis
dağıtma aracı; BT yöneticileri için “kaptanın seyir
defteri ve pusulası”; denetçilerin iyileştirme fırsatları yaratabilmek için karşılaştırma yapmak amaçlı
kullanılabilecek bir mihenk taşı özelliklerini taşıyan
bir rehberdir. İş ve BT birimleri arasında “Ortak
Dil” oluşmasında bir kılavuz görevindedir. Gelişmiş kurumlarda ise “büyük resmin” görülmesinde
kullanılabilecek ve kurumsal gelişmeyi izleyebilecek bir yol haritası diyebiliriz. Ben COBIT’i; içerisinde birçok fonksiyon ve araç olan, ne lazımsa sanki içerisinde barındıran bir İsviçre Çakısı’na
benzetirim. Bunu sunumlarımda da birçok kez dile
getirmişimdir.
5- COBIT hangi sorulara yanıt bulmaya çalışır?
COBIT; bir kurumda farklı seviyelerde görev alan
farklı yöneticiler ve çalışanların farklı gereksinimlerine yanıt bulmaya çalışır. Öncelikle üst yönetimi
dikkate alırsak; COBIT bir BT organizasyonunun,
en başta hizmet vermiş olduğu iş birimleriyle stratejik olarak aynı yönde ilerlemelerini güvence altına
almaya ve stratejik uyum sağlamaya çalışır. Bu çalışmalar “Planlama ve Organizasyon (PO)” adlı faaliyet alanı ve bu alan altındaki süreçler ile yürütülür. Bunun dışında, kurum içerisinde BT’nin
6- Geçmişten günümüze COBIT versiyonlarınözellikle yatırım amaçlı tercihler yapması ve çödan bahseder misiniz?
zümlerin oluşturularak uygulanmasında değer yaratma unsurunu fayda / maliyet ve iş odaklı olarak
Şuana kadar COBIT’in gelişiminden, kapsamıgerçekleştirmesi gibi işler yer alır. Bu işler ise “Tenın genişlemesinden ve yıllar itibariyle tarihçedarik ve Uygulamaya Alma (AI)” faaliyet alanı alsinden bahsettim. Bunu biraz da şu şekilde açıktındaki süreçler içerisinde gerçekleştirilir. Orta kalamak isterim: “Kumdan bir kale yaparsınız, bu
deme yöneticiler; BT
diyelim ki COBIT
Risk Yöneticileri, BT Bir kurumun süreçlerinin gelişmesi, bir insanın 1’dir. Kalenin etrafıDenetçileri, Bilgi Günı çevirirsiniz, COvenliği Yöneticileri gibi hayatından ve kazandığı becerilerinin gelişerek BIT 2 olur. Çevirdiğiyöneticiler ise, yönteniz duvarın üzerine
min tümünü dikkate
olgunlaşmasından pek de farklı değildir.
midye
kabuklarını
alarak çalıştıkları alana
koyarsınız, COBIT 3
ait bakış açısı ile COBIT’i kullanarak riskleri analiz
olur. Bunların hepsini korumak için üzerine nayve takip ederler. Denetim faaliyetlerini gerçekleştilon bir tente koyarsınız, COBIT 4’e gelirsiniz.”
rirler, bilgi güvenliği ile ilgili yönetsel ve operasyoBu, az önce size bahsetmiş olduğum olgunluk
nel düzenlemeleri yaparlar ve izleme & değerlenmodeli çerçevesinde; kurum, işleyişini çağdaş
dirmeye yönelik süreçler bütününün “sürekli
koşullara adapte etme sürecinde ne kadar ileriye
iyileştirme” bacağına katkıda bulunurlar.
giderse, COBIT de aynı olgunluk seviyesini yaşayarak ileriye gitmek ve kurumların ihtiyaçlaKısacası COBIT; kullanmasını bilen her BT çalışarına birebir hizmet edecek yöntemi oluşturmak
nının elinde bir rehberdir. BT ile ilgili beklentileri
adına ilerlemiş olacaktır. Versiyon 2’den versi-
57
yon 4’e geçilir mi diye soracaksınız? Bu bir yazılım değil! Bu şekilde düşünülmemesi gereken
bir konudur bu. Kurumun ihtiyaçları, büyüklüğü, süreçlerini ayrıştırması ve olgunlaştırması
ile yapılan bir yolculuktur COBIT. Hiçbir versiyon, kendisinden bir önceki versiyonu yok sayan bir yaklaşımda değildir. Mevcut olanların
üzerine biriken yeni ihtiyaçlar doğrultusunda
COBIT, genişlemiş ve güncellenmiş durumdadır. Bu nedenle; COBIT’in bu yolculuktan kendisinin geçiyor olması, kurumların da aynı yolculuğu zaten takip ediyor olmasının bir
sonucudur diye düşünüyorum…
COBIT esas alınarak diğer yöntemlerle eşleştirmeler yapılmış, hatta denetim ve güvence yöntemleri,
uygulama rehberleri ve kontrollerin uygulanması
ile ilgili uygulama pratikleri türetilmiştir. COBIT
ilerledikçe, ona dayalı farklı yöntem ve rehberlerin
de zamanla ilerleyeceği ve güncelleneceği bir ürün
ailesine dönüşen bir yapı oluşmuştur.
rak finans sektöründe kullanılmaya başlamıştır. Diğer sektörler de finans sektöründeki pratikleri kendi
sektörlerine adapte etmişlerdir.
Büyüklük ve küçüklük ayrımına gelirsek; 10 kişilik bir şirketin, biz COBIT uygulayacağız diye normal işini yapmaması gibi bir lükse sahip olmadığı,
ancak COBIT Quickstart ile harekete geçebilecekleri gerçeğinden bahsettik. Zorunlu ve zorunlu olmayan sektörler olarak bakarsak şunu görmekteyiz:
Finans sektörü, özellikle İmar Bankası olayından
sonra Türkiye’de tüm bankaların COBIT denetiminden geçmesini şart hale getirmiş durumdadır.
Ne fayda sağlayacağı konusunda çok kısa olarak
şunu söyleyebilirim; planlı, hedeflerini ortaya koymuş, şeffaf, tutarlı, yasal gereksinimlere uyumlu,
risklerin yönetildiği, fayda / maliyet esaslarına riayet edilerek değer yaratma üzerine kurulu ve iplerin
yönetimin elinde kontrollü olarak yer aldığı ve yetki
& görevler ayrılığı ilkesine uyum sağlayan bir yapı
ortaya koyulmuş olur. Birkaç satırdan oluşan bu
cümledekileri yerine getirebilmek kolay değildir.
7- Hangi kurumlar (sektör, büyüklük, şirket
tipi) COBIT uygulayabilirler? Kendilerine ne
fayda sağlar?
Geçmiş 30 - 40 yıla bakıp hem Türkiye hem de
Dünyadaki gelişimi incelediğimizde, BT’nin ilk ve
en yaygın olarak finans sektöründe kendini gösterdiğinin farkına varıyoruz. Çünkü bu sektörler, hesaplama ve veri tutma gereksinimleri en yüksek
olan sektörlerden biridir. Bilim, sağlık, eğitim, üretim, endüstri ve inşaat derken, buna kamu hizmetleri ve e-devlet de dahil olmak üzere. Artık en basit
yapılan işlemlerde bile BT kullanılmaya başlandı.
Bu nedenle günümüzde COBIT için şu veya bu sektörde uygulanmalı diye bir ayırım yapamayız.
BT’nin kullanıldığı ve entegre olduğu her alanda bu
yöntemin uygulanabilirliği mümkündür. BT’yi ülkemizde geniş çapta ilk kullananlar bankacılar olmuştur. Özellikle bilgisayarlarının bir network üzerinden birbirleriyle konuşmaları sonucunda; yaygın
şubeli bankalarda provizyon alma ve havale gönderme gibi telefonla yapılan; güvenlik amacıyla sözel şifreler kullanılarak gerçekleştirilen zahmetli ve
masraflı işlemler online hale gelmiştir. Finans sektörü; paranın döndüğü sektördür ve tehditlere, saldırılara, zimmet, sahtecilik, soygun ve dolandırıcılık
yapılmaya en çok maruz kalan, bu nedenle de en
çok kontrol altında tutulması gereken sektördür…
Mali bilgiler işlenmekte, paranın söz konusu olduğu
süreçler işletilmektedir. Dolaylısıyla da COBIT, ilk
olarak ülkemizde ve dünya genelinde ağırlıklı ola-
58
8- COBIT’in bir süreç modeli ve kontrol hedefleri barındırdığını biliyoruz. Peki, kim ya da
kimler, nasıl yönetecek bu süreçleri?
Bu tip yönetim modelleri, yönetim sistemleri veya
standartların uygulanmasında üst yönetim desteği
birincil ve en öncelikli şarttır. Üst Yönetim desteğinin bir başka alternatifi veya tetikleyicisi ise, yasal
zorunluluklar ve düzenlemelere uyum sağlama gereksinimidir. Hangi baskı unsuru dikkate alınarak
yaklaşılırsa yaklaşılsın, temelde bir BT organizasyonunun yaptığı iki ana iş vardır: 1- Yazılım ve Sistemler geliştirmek, 2- Geliştirilmiş veya dışarıdan
tedarik edilmiş sistemlerin, günlük operasyonel sis-
temlerle desteklenerek ayakta ve çalışıyor olmasını
sağlamak. COBIT; BT’nin kurumsal yönetimini
sağlamak için kullanılan bir yöntem olduğu için, en
önce BT’nin başındaki yöneticilerin (CIO, GMY,
ITM) COBIT’in yaratabileceği farkları anlamaları
ve topluca benimsemeleri gereklidir. Fakat bu kişiler teknik uzmanlık ve bunun uygulamasını yerine
getirebilecek çalışmalara tam hakim olmadıkları ya
da daha büyük ve önemli işlerle ilgili karar alıcı konumda bulundukları için, genelde bu konuda kendini geliştirmiş alt veya orta seviyelerdeki kişilere
ihtiyaç duyulabilmektedir. Sonuçta üst yönetimin
karar alması ile mutlaka bir kişiye bu çalışmanın
sorumluluğunu verirler ve kendilerine periyodik raporlama yapmalarını isterler. Bu kişi genelde BT ile
geçmesi zorunlu bir iş alanı olabilir. Başka bir banka ile
ilgili tüm kurumu anlamış ve çözmüş, tecrübeli ve
birleşme öncesinde, Due Dilligence çalışmalarında, bir
iletişim kabiliyeti gelişmiş bir lider olmalıdır. Yönyurtdışı finansman kurumu ile yapacağınız bir borçlantemin uygulanması; danışmanlık alınarak, eğitim
ma öncesinde, BT süreçlerinizin olgunluğunun belirlenalınarak veya bizzat elinizi taşın altına sokup belki
mesi zorunluluk teşkil edebilir. Bankalar Kanunu’nun
biraz zorlanarak ama iç
öngördüğü bilgilerin sakkaynaklarla gerçekleştirilVersiyon 2’den versiyon 4’e geçilir mi lanması ve gizliliği ile ilgimek şeklinde yerine getirili denetimlerden geçmek
lebilir. Ancak üst BT yö- diye soracaksınız? Bu bir yazılım değil! zorunda olabilirsiniz. Yetneticisi (CIO), tüm kalite
ki almış bağımsız bir deve güvenlik gereksinimlerini anlayan, COBIT’in
netim kuruluşu BDDK’ya raporlamak üzere sizi denetnasıl bir yarar sağlayabileceğini hem üst yönetime
lemek durumundadır.
hem de beraber çalıştığı kişilere doğru anlatabilecek yetenekteki kişileri seçmek ve teşvik etmek duBDDK, zaten var olan ve tüm dünyada kullanılan
rumundadır. Kısacası; bir proje olarak ele alınması,
COBIT yönteminin denetim perspektifi ile kullanıproje yönetim yöntemleri ile uygulamaya geçilmelarak, ülkemizde standart hale getirilmesi açısınsi, çıktıların sorumluluk alanlarına kazandırılarak
dan olumlu ve faydalı bir adım atmıştır. Denetimsürekliliğinin sağlanması ve operasyonel hale getiriller, uluslararası standartlara göre ve COBIT
mesi gereken bir yapıdır COBIT. Adreslediğimiz zakonusunda yetkinliklerini BDDK’ya kanıtlayarak
man; kurumun iş akışlarını iyi bilen ve düzeltmeye /
yetki belgesi alabilmiş bağımsız denetim kuruluşdenetlemeye çalışan risk, denetim, güvenlik ya da
larınca yapılmaktadır. Bu denetimlerin halihazırda
kalite birimleri bu çalışmada etkin rol alabilirler.
yürütülmesi ile ilgili olarak dünyada farklı yöntemler ve mekanizmaların da işlediği farklı modeller kullanılarak doğrudan denetim yapılabilmesi
9- Türkiye’de BDDK’nın denetim çerçevesi olagibi imkanlar da değerlendirilebilir mi diye zaman
rak COBIT’i referans göstermesini finans sektörü açısından değerlendirir misiniz?
zaman düşünüyorum. Şöyle ki, BT denetçileri kısıtlı ve pahalı kaynaklardır. Denetim olgusunu bilmeleri veya teknik olarak yeterliliklerinin yanında,
Belki işin içinde olmayanlar pek bilmezler ama bankabankacılıktan da çok iyi anlamaları ve geniş bir
lar, hizmetlerinin yaygınlığı ve büyüklükleri ile doğru
bilgi dağarcığına sahip olmaları gerekmektedir. Bu
orantılı olarak, özellikle son 3 - 4 yıldır birçok farklı
konu ve alanda, senede neredeyse 7 - 8 kez ve çeşitli
mesleğin ülkemizdeki ilk örneklerini yetiştirmek
denetim unsurları tarafından BT denetimine tabi tutuliçin uluslararası sertifikalara hazırlık amaçlı kursmaktadırlar. Örneğin; BT faaliyetleriniz, uluslararası bir
lar düzenledim. Mesleki olarak yeterlilik için çok
kredi kartı kuruluşu tarafından denetlenmekte veya defarklı alanlarda bilgi birikimlerine gereksinim olnetlettirilmekte olabilir. ATM’leriniz ve POS uyguladuğunu ve çok farklı bilgi birikimlerine sahip olmalarınız size karşı açılan bir dava sonucunda denetimmak (iş ve teknoloji açısından) gerektiğini anlamış
den geçmek zorunda olabilir. Internet Bankacılığı
bulunuyorum. Kurslara gelen ve çok farklı bilgi
uygulamanız, her yıl güvenlik gereksinimlerini yerine
birikimi olan arkadaşlarımı “BT Denetçisi” çizgisine
getirdiğinizin teyidini almanız açısından denetimden
yaklaştırmaya çalışırken, COBIT’in ortak dil oluştur-
59
makta oldukça faydasını gördüğümü ve bu nedenle
isabetli bir tercih olduğunu söyleyebilirim. Sonuç
olarak, yasalar artık tüm bankalar ve iştirak ettiği tüm
kuruluşların denetimden geçmesi ve COBIT’e uyum
sağlaması zorunluluğunu getirmiştir.
Şu an çalışmalarımı ağırlıklı olarak yürüttüğüm
kamu kurum ve kuruluşlarında böyle bir denetim
zorunluluğu henüz yok. Ancak zamanla gereksinim olacağını düşünüyorum. E-devlet kapısı adına
yapılan birçok çalışma ve süreçlerin otomasyonunun gerçekleştirilmesi adına yüzlerce farklı devlet
biriminin yüzlerce farklı yöntemlerle, değişik web
siteleri ve standartlarla bu işin içine girmiş olduğunu görmekteyiz. Aynı BDDK gibi “e-devlet düzenleme ve denetleme kurulu” gibi bir yapıya ihtiyaç olabileceğini düşünüyorum.
10- Sizce CIO’lar COBIT çalışmalarının neresinde yer almaktalar?
CIO’lar öncelikle kendi şirket analizlerini iyi yapmalı, sonrasında ise sektörlerini iyi izlemeliler. En
iyi uygulamaları (best practices) kendi kurumlarında uygulayabilmek için bu işin başında olmaları ve
en alt kademeye kadar tüm personeli ve süreçleri
kontrol etmeleri gerekmektedir. Ayrıca bu projedeki
uzman ve lider kimlikli personeli destekleyerek, onlara yetki ve sorumluluk vererek bir takım olma bilinci aşılamalıdırlar.
Daha önceki açıklamalarımda da aktardığım gibi COBIT çalışması, kurumsallaşma amaçlı ve kontrol odaklı
bir proje olarak ele alınmalıdır. Projenin sahibinin de
CIO’nun bizzat kendisinin olması, başarıyı garantilemek adına başlangıçta itici güç olarak kullanılmalıdır.
Sonuç olarak, her türlü yönetim sistemi uygulamasında
olduğu gibi COBIT çalışmaları da top-down dediğimiz,
üst yönetimden başlayıp kurumun alt kademelerine
doğru yaygınlaşan bir yaklaşım ile yürütülmelidir.
11- Dışarıdan ne tür bir danışmanlık ve eğitim
almak gerekiyor?
Bundan 3 - 4 yıl önce COBIT eğitimlerini ilk veren
kişi bendim. Artık birçok eğitim kurumu; eğitimcilerinin uygulama tecrübesi olsun olmasın, bu eğitimleri
programlarına almış durumdadır. Kurumlara tek tavsiyem; konuyu ciddi anlamda hazmetmiş, COBIT’teki
süreçleri bizzat yaşamış, denetimlerini yapmış, risklerini yönetmiş bir eğitmenden bu eğitimi almalarıdır.
Belki biraz maliyeti yükseltebilecek bir unsur olsa da,
uygulamada ortaya çıkacak faydayı kısa zamanda kat-
60
layarak, değeri maksimize edecektir. Sonuçta COBIT
kitabı bedava ve herkesin internetten erişeceği bir yerde durmaktadır. Bunu eline alacak tecrübeli ve geniş
bakış açısına sahip bir BT yöneticisi, neyin ne olduğunu kolayca kavrayabilir ve biraz araştırma ve ön hazırlık çalışmaları yaparak kurumunda COBIT eğitimlerini verebilir diye düşünüyorum. ISACA web sitesinde
en çok tavsiye edilen COBIT Foundation ve Implementation eğitimleri, akredite kişi ve kurumlarca verilebilecek eğitimlerdir. Uygulama ise, projenin yönetimi açısından oldukça farklı ve kurumdan kuruma
değişkenlik gösterecek daha derin bir konudur.
12- Hepimizin de bildiği üzere; kurumlar başarıyla sonuçlandırdıkları her faaliyeti belgelendirerek
rakiplerine fark atmak ve müşterileri gözünde itibar kazanmak isterler… COBIT’i başarıyla uyguluyor olmak, bir belge ya da sertifika (firma ve şahıslar açısından) ile tescillenebiliyor mu?
COBIT bir metodolojidir. Bunun içerisinde
muhtelif ölçüm kriterleri var ve en son olarak olgunluk modelinde hangi aşamadan olduğunuzu
süreç bazında ölçebiliyorsunuz. Fakat “ben şu süreçte COBIT 3’tüm, şimdi COBIT 4 olgunluk seviyesinde oldum” demek, sektörde rekabet avantajı yaratmak adına düşündüğünüzde çok anlamlı
bir gösterge değil. Çünkü COBIT‘in bazı süreçlerinin 3 seviyesinde olması bazı kurumlara fazla
bile gelebiliyor olabilir. Kimi kurumlar ise en az
4 seviyesinde olmalı ki başarılı sayılabilsin.
COBIT’de firmalar için bir sertifikasyon süreci
yoktur. Fakat COBIT eğitimi alan bireyler ve uygulayıcısı olan danışmanlar, ISACA’dan kişisel
sertifikalar alabilirler. Bu sertifikalarda, “COBIT
eğitimi almıştır”, “COBIT uygulama eğitimi almıştır” şeklinde bir ibare bulunur. Bunun bir yükseği ise bende de bulunan, akredite COBIT eğitimcisi sözleşmesidir. Bunu dışında, BT Denetimi
ile ilgili “CISA Sertifikası” da bireyler için oldukça prestijli ve dünyada kabul gören önemli bir
mesleki yetkinlik sertifikasıdır.
13- Tüm bu çalışmaların maliyeti hakkında elbette kesin bir şey söylemek çok güçtür. Fakat bu
yola çıkacak olan firmalar için bir taban ve tavan fiyatı çıkartabilir misiniz?
Bu konudaki değerlendirme kriterleri ve değişken faktör sayısı çok geniştir. Bu bakımdan
bir rakam çıkartmak çok zordur. COBIT, bir
kere yapılıp bitirilebilecek bir çalışma değildir.
Öncelikle eğitimleri almak, hedefleri koymak
ve kapsam geniş ise belki de çok ciddi bir bütçe
ayırmak ve kurumun büyüklüğüne ve yürüttüğü
süreçlere göre çalışmayı bölümlendirmek veya
yıllara yaymak gerekebilir. İç kaynaklar mı
kullanılacak dış kaynaklar mı? Danışmanlık ne
kadar olacak? Projede kaç kişi çalışacak? Bir
COBIT 5, kurumlar için bir NİRVANA
noktası sayılabilir.
yazılım desteği talep edilmekte midir? Bunun
gibi konuları da düşünerek maliyetlendirme yapılırsa daha sağlıklı rakamlara ulaşılabilir.
ya gelme ihtiyacınız varsa ve bu noktaya geleceğiniz zamana kadar harcayacağınız efor ve maliyetin
bir geri dönüşü olacaksa… Her yıl nereden nereye
gideceğinizi ölçmeniz gerekiyor. COBIT’ in hedeflemeye çalıştığı şey; topluca Kurumsal Yönetim
açısından ama detayda “Anlayış ve Bilinç” seviyesinin, “Eğitim ve İletişim” aktivitelerinin, “Süreç ve
Pratiklerin”, “Teknoloji Kullanımı ve Otomasyon
İmkanlarının”, “Yasal Uyumun” ve “Tecrübenin”
her bir süreç ve bu süreçlerin altındaki 200’den fazla kontrol için 5 seviyesine gelebilmesidir. Bu seviye, mükemmeliyetin ulaştığı son noktadır!
14- COBIT konusundaki akademik çalışmaların iş dünyasına yansıması ne şekilde oluyor?
Öğrencilerimin çoğu COBIT’le tanıştıktan sonra kendi
alanlarında kafalarını kuma gömmek yerine, kafalarını
kaldırıp büyük resmi görmeye, çalıştıkları kurumu ve
üst yönetimdekilerin bakış açılarını değerlendirmeye ve
incelemeye başladılar. “Ben şirketin neresindeyim?
Hangi projeleri ne şekilde yönetebiliriz? Kimlerle ne
şekilde çalışmalıyız? Hangi yolu izlersem yükselirim?”
gibi sorulara, eskisinden daha çabuk ve net yanıt bulabiliyorlar. Siz bir yazılımcı olarak girdiğiniz 300 kişilik bir
şirkette dört seneyi kod yazarak geçirirseniz, kurumla
ilgili fazla bir şey öğrenemezsiniz! Büyük resmi en tepeden görüp, kurumun tüm süreçlerini ayırt edip
COBIT’in bakış açısıyla bakarsanız, tüm kod yazanlara
göre avantaj elde etmiş olursunuz. Büyük resim çok
16- Bu yola çıkacak olan şirketlere ve yöneticilere
tavsiyeleriniz nelerdir?
önemli! Şirketi tepeden görebiliyorsanız, bu daha da
önemlidir. Sular nereye akıyor? Besin zinciri nereden
başlayıp nereye gidiyor? COBIT’i teorik olarak bilen
kişiler, iş dünyasında daha aktif gözlem yapabiliyorlar.
15- Kurumumuzda COBIT süreçlerini başarıyla uyguladığımızı varsayalım! İşimiz bitti mi?
Hayır, daha yeni başladınız… COBIT sürekli bir
yolculuk. Bir sürecin, “hiç var olmayan” bir düzeyden; optimize edilmiş, mükemmele ulaşmış, tüm
dünya tarafından örnek uygulama olarak kabul edilebilecek bir seviyeye gelmesi ve bunu 34 süreçte
birden yapabilmek ile ulaşılacak bir nokta. Nirvana
noktası kurumlar için bu olsa gerek. Tabii bu nokta-
• Birincisi; üst yönetimin böyle bir ihtiyaç olup
olmadığına net karar vermesi.
• İkincisi; bu konuyla ilgili geniş bir araştırma
yapmaları, sorumlu bir kişi atamaları ve bir yol
haritası belirlemeleri.
• Üçüncüsü; eğitim ve danışmanlık ihtiyaçlarını,
sektörde deneyimli ve uygulamaya da hakim
olduklarından emin oldukları kurum ve kişilerden
gidermeleri.
• Dördüncüsü; bu işe bir proje olarak bakmaları,
çıktıları net olarak tanımlamaları ve ürün odaklı
hareket etmeleri gerekiyor.
• Doğru yönde gitmek, doğru hızla gitmekle aynı
anlama gelmiyor! Bunu da dikkate almakta fayda var.
• Hepsinden önce, gerçekten gitmek istediğiniz yeri
biliyor musunuz?
• Son olarak, COBIT yolculuğunda kolaylıklar ve
başarılar diliyorum...
61