COBIT, ISACA (Information Systems Audit and Control Association) ve ITGI (IT Governance Institute) tarafından 1996 yılında geliştirilmiş, Bilgi Teknolojileri Yönetimi çerçevesidir.
COBIT yöneticilere, denetçilere ve Bilgi Teknolojileri (BT) kullanıcılarına iş hedeflerinin bilgi işlem hedeflerine dönüşümünü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getirirken, aynı zamanda bilgi teknolojileri alt yapılarını da etkin kullanmayı sağlar.
Yöneticiler, denetçiler ve kullanıcılar COBIT gelişmelerinden yararlanırlar; çünkü COBIT onlara BT sistemlerini anlamada, şirketlerin varlıklarını korumak için BT yönetişim modeline göre gerekli olan güvenlik ve kontrol seviyelerine karar vermede yardımcı olur. Yöneticilerin COBIT'ten yararlanma nedeni, BT alanında daha etkili kararlar verme ve kuruluş için doğru yatırımlar yapma olarak çıklanabilir. BT kullanıcılarının COBIT'ten yararlanma nedeni, kontrol, güvenlik ve süreç yönetimi güvencesi sağlanmasıdır. Denetçilere ise BT altyapısı içindeki sorunları kontrol esasları çerçevesinde belirlemelerine yardımcı olur.
İçerdiği stratejik BT planı, bilgi mimarisi, stratejiyi işletmek için gerekli BT donanım ve yazılımları, sürekli hizmet sağlaması ve BT performansını izleme sistemi ile COBIT karar vermeyi daha etkili hale getirmektedir.
CobiT (Bilgi Teknolojilerine İlişkin Kontrol Hedefleri) Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) tarafından bir denetim aracı olarak tasarlanmıştır. Yazılım Mühendisleri Enstitüsü’nün Yetenek Olgunluk Modeli (Capability Maturity Model-CMM) ile ISO ve ITIL’i esas alır. İşletmelerin iş hedefleri doğrultusunda servis sağlamak amacıyla bilgi işlem kaynaklarını kullanmasını amaçlar ve verilen servislerin, istenilen kalite, güvenlik ve hukuksal ihtiyaçlara cevap vermesini temin eder.
CobiT süreç değil kontrol esaslıdır bu yüzden kurumların neler yapmaları gerektiği ile ilgilenir ama bunları nasıl yapmaları gerektiği ile ilgilenmez.
COBIT in gelişimi 5 ana yayımdan oluşmuştur. Bunlar:
- 1996, COBIT 1
- 1998, COBIT 2
- 2000, COBIT 3
- 2005, COBIT 4 ve 2007, COBIT 4.1
- 2012,COBIT 5
- COBIT 1 1996 yılında yayımlandı. COBIT 1’in kapsamı temel olarak, denetim ile sınırlı idi.
- COBIT 2 “kontrol” kavramını ortaya çıkarttı. Ancak, COBIT bu aşamada halen bir BT denetim ve kontrol çerçevesi idi.
- COBIT 3 ile birlikte, “yönetim” çerçeve kapsamı içine girdi ve COBIT, BT yönetim çerçevesi haline geldi.
- COBIT 4 ve COBIT 4.1 ile birlikte, artık “BT yönetişimi” kavramı çerçeve kapsamına alınıyordu.
COBIT 4.1 ; 34 tane üst düzey işleme sahiptir. Bunların kapsadığı 210 tane kontrol hedeflerinin de dört ana kategorisi bulunur: Planlama ve Organizasyon, Teknoloji Edinme ve Uygulama, Hizmet Saglama ve Destek, İzleme ve Değerlendirme.
- COBIT 5 ise “kurumsal BT yönetişimi” kavramını öne çıkarıyor. COBIT 5 ile BT yönetişiminde yeni bir sayfa açılmıştır. En temel yenilik; yönetim ve yönetişim kavramlarının birbirinden ayrılarak farklı süreçler halinde ele alınmasıdır. Yeni süreç modelinde kurumsal yönetişim ve BT yönetişimini entegre bir şekilde ele almayı sağlayan yeni bir süreç modeli ortaya konulmaktadır. Bu bağlamda COBIT 5 “yönetişim” ve ”yönetim” terimlerine aşağıdaki şekilde iki bakış getiriyor:
• Yönetişim, işletme hedeflerinin belirlenmesinde paydaşların ihtiyaçlarının, durumlarının ve tercih haklarının değerlendirilmesini sağlar; önceliklendirme ve karar üretme yoluyla yönlendirir; üzerinde anlaşılmış yön ve hedeflere uyum ve performansı izler.
• Yönetim, işletme hedeflerine ulaşmak için yönetişim tarafından saptanmış yön ile uyumlu olarak planlama, inşa etme, işleme ve izleme faaliyetlerini gerçekleştirir.
Bu çerçevede COBIT 5’in beş temel prensibini aşağıdaki gibi tanımlayabiliriz:
• Paydaşların ihtiyaçlarını karşılamak.
• İşletmeyi uçtan uca kapsamak.
• Tek bir entegre çerçeve uygulamak.
• Bütünleşik bir yaklaşım sergilemek.
• Yönetişim ile yönetimi birbirinden ayırmak.
Bu prensiplerden de açık bir şekilde görülebileceği üzere artık COBIT, BT’nin konusu olmaktan çıkıp tüm işletmeyi ve paydaşlarını ilgilendiren bir çerçeve haline gelmiş durumdadır.
Yeni COBIT, daha önceki COBIT 4.1, Val IT 2.0 (BT yatırımlarından en iyi değeri elde etmek için anahtar yönetim uygulamaları) ve Risk IT (BT risk yönetimi) çerçevelerini konsolide ederek tek bir entegre çerçeve haline getiriyor. Bunu yaparken de ITIL ve ISO 27001 gibi standartlar ve en iyi uygulamalar ile de temas halinde görünüyor. Yani ISACA adeta, “Kurumsal BT yönetişimi için ihtiyacınız olan her şey burada,” diyor. COBIT 5’in getirdiği bir diğer yenilik de, hedef/ ölçü ve girdi/çıktı kavramlarında daha detaylı ve yönlendirici bilgiler içermesidir. Yeni COBIT’te kurum, süreç ve kontrol hedefi (ya da yeni
adıyla yönetim ve yönetişim uygulaması) bazında hedef ve ölçülere yer verilmektedir. Bununla birlikte her bir yönetim uygulaması için girdi ve çıktılar tanımlanmış durumdadır.
COBIT 5’in belki de en çok merak edilen ve ilgi çeken konularından biri de süreç olgunluk seviyesi modeline (PCM - Process Capability Model) getirilen değişim konusu idi. Yeni COBIT, daha önceki CMM tabanlı olgunluk modeli yaklaşımını tamamen bırakarak, ISO/ IEC 15504 tabanlı yeni bir modele geçti.
CobiT çerçevesi toplam 5 ana prensip den oluşmaktadır.
- Prensip 1: COBIT 5 INTEGRATOR FRAMEWORK—ARCHITECTURE
- Prensip 2 & 3: STAKEHOLDER VALUE‐DRIVEN AND BUSINESS‐FOCUSSED
- Prensip 4: COBIT 5 ENABLERS FOR GOVERNANCE AND MANAGEMENT
- Prensip 5: GOVERNANCE‐ AND MANAGEMENT‐STRUCTURED
Bütünleyici Çerçeve (Integrator Framework)
Val IT, Risk IT, BMIS ve ITAF standartlarını içeren ve diğer IT standartları (ISO, TOGAF, PMBOK ve ITIL) ile bütünleşmiş bir yapı oluşturulması anlatılmaktadır.
Paydaş Değerlerine Odaklı (Stakeholder Value Driven)
Organizasyonun var oluş amacı paydaşlar için değer oluşturmasıdır. Bu yüzden yönetişim objektiflerinden bir tanesi de değer oluşturmaktır. Değer oluşturulması faydalarının realize edilmesi, kaynakların optimize kullanılması ve risklerin optimize edilmesi şeklinde olmalıdır.
Paydaş Değerlerine Odak İçeriği:
- Risk Optimizasyonu
- Kaynak Optimizasyonu
- Fayda Farkındalık
İş ve Bağlam Odaklı (Business and Context Focussed)
Bir iş odaklı olması, kurumsal amaç ve hedeflere odaklanan anlamına gelir. Bu faydaları gerçekleştirilmesi, risk optimizasyonu ve kaynak optimizasyonu için her işletmenin amacı ile ilgilidir. COBIT 5 kritik iş elemanları, yani süreçleri, organizasyon yapıları, ilke ve politikalar, kültür, beceri ve servis yeteneklerini kapsar. Buna ek olarak, yeni bilgi modeli basit bir iş bilgi ve BT fonksiyonu arasında bir bağlantı sağlar.
Etkinleştirici Tabanlı (Enabler Based)
Yönetişim için kullanılan organizasyon araçlar (çerçeveler, ilkeler, yapılar, süreç ve uygulamalar) yönetişim kolaylaştırıcılar olarak tanımlanır. Yönetişim tüm organizasyonlar için uygulanabilir, ve işletmenin, maddi veya maddi olmayan tüm varlıklarına uygulanabilir.
Yönetişim ve Yönetim (Governance and Management Structured)
CobiT 5 Yönetişim ile Yönetim kavramları net olarak ayırmaktadır. Yenilik olarak göze ilk çarpan özelliklerden bir tanesidir.
Yönetişim (Governance) : Üst yönetim takımının kurumsal hedeflere ulaşılması için sponsorluk sunması ve doğru kararların verilmesini sağlamasıdır.
Yönetim (Management) : Yönetişim tarafından belirlene çalışma stratejisi doğrultusunda kaynakların, insan kaynaklarının, süreçlerin ve uygulamaların efektif olarak kullanılmasının sağlanmasından sorumludur.
CobiT çerçevesini oluşturan 5 prensibi özetle inceleyelim:
Bütünleyici Çerçeve (Integrator Framework)
Val IT, Risk IT, BMIS ve ITAF standartlarını içeren ve diğer IT standartları (ISO, TOGAF, PMBOK ve ITIL) ile bütünleşmiş bir yapı oluşturulması anlatılmaktadır.
Paydaş Değerlerine Odaklı (Stakeholder Value Driven)
Organizasyonun var oluş amacı paydaşlar için değer oluşturmasıdır. Bu yüzden yönetişim objektiflerinden bir tanesi de değer oluşturmaktır. Değer oluşturulması faydalarının realize edilmesi, kaynakların optimize kullanılması ve risklerin optimize edilmesi şeklinde olmalıdır.
Paydaş Değerlerine Odak İçeriği:
- Risk Optimizasyonu
- Kaynak Optimizasyonu
- Fayda Farkındalık
İş ve Bağlam Odaklı (Business and Context Focussed)
Bir iş odaklı olması, kurumsal amaç ve hedeflere odaklanan anlamına gelir. Bu faydaları gerçekleştirilmesi, risk optimizasyonu ve kaynak optimizasyonu için her işletmenin amacı ile ilgilidir. COBIT 5 kritik iş elemanları, yani süreçleri, organizasyon yapıları, ilke ve politikalar, kültür, beceri ve servis yeteneklerini kapsar. Buna ek olarak, yeni bilgi modeli basit bir iş bilgi ve BT fonksiyonu arasında bir bağlantı sağlar.
Etkinleştirici Tabanlı (Enabler Based)
Yönetişim için kullanılan organizasyon araçlar (çerçeveler, ilkeler, yapılar, süreç ve uygulamalar) yönetişim kolaylaştırıcılar olarak tanımlanır. Yönetişim tüm organizasyonlar için uygulanabilir ve işletmenin, maddi veya maddi olmayan tüm varlıklarına uygulanabilir.
Yönetişim ve Yönetim (Governance and Management Structured)
CobiT 5 Yönetişim ile Yönetim kavramları net olarak ayırmaktadır. Yenilik olarak göze ilk çarpan özelliklerden bir tanesidir.
Yönetişim (Governance) : Üst yönetim takımının kurumsal hedeflere ulaşılması için sponsorluk sunması ve doğru kararların verilmesini sağlamasıdır.
Yönetim (Management) : Yönetişim tarafından belirlene çalışma stratejisi doğrultusunda kaynakların, insan kaynaklarının, süreçlerin ve uygulamaların efektif olarak kullanılmasının sağlanmasından sorumludur.
Mevcut süreçlerin isimlerinde/kapsamlarında değişiklik yapılmış ve bu dört sürecin üzerinde bir adet yeni kurumsal yönetişim süreci oluşturulmuştur.
12 adet APO başlığı içerisinde, 8 adet BAI başlığı içerisinde, 8 adet DSS başlığı içerisinde, 3 adet MEA başlığı içerisinde ve tüm bu dört başlığı çevreleyen 5 adet EDM başlığı içerisinde olmak üzere toplam olarak 36 adet süreç tasarlanmıştır.
CobiT 5 süreçlerin oluşturulmasında farklı bir tarz izleyerek, ilk aşamada süreçleri iki alana ayırmaktadır. Yönetişim Süreçleri ve Yönetim Süreçleri.
Yönetişim Süreçleri:
Değerlendirme, Yönetme & İzleme (Evaluate, Direct and Monitor)
- EDM1 – Yönetişim Çerçevesini Belirle ve Yaşat
- EDM2 – Değer Optimizasyonu
- EDM3 – Risk Optimizasyonu
- EDM4 – Kaynak Optimizasyonu
- EDM5 – Paydaşların Şeffaflığı
Yönetim başlığında mevcut domainler korunmuş ve isimleri güncellenmiş ve içeriklerinde eklemeler ve/veya çıkarımlar yapılmıştır. CobiT 5 Yönetim başlığında dört adet domain bulunmaktadır.
Yönetim Süreçleri:
- Hizala, Planla ve Organizasyonu Oluştur (Align, Plan and Organise)
- Geliştirme, Tedarik ve Kurulum (Build, Acquire and Implement)
- Hizmet Sunumu, Servis ve Destek (Deliver, Service and Support)
- İzleme, Değerlendirme ve Sağlama (Monitor, Evaluate and Assess)
CobiT 5 içerisinde birleştirilen süreçler:
- DS7 süreci PO7 ile birleştirilmiştir
- PO6 süreci PO1 ile birleştirilmiştir
- PO2 süreci PO3 ile birleştirilmiştir
- AI2 süreci AI3 ile birleştirilmiştir
- DS12 süreci DS5 ile birleştirilmiştir
CobiT 5 içerisinde yeni domain’e atanan süreçler:
- ME4 süreci EDM1, 2, 3, 4, 5 olarak belirlenmiştir.
CobiT 5 içerisinde yeri değişen süreçler:
- PO1 süreci yeni yapıda APO2 başlığı altına alınmıştır.
- PO4 süreci yeni yapıda APO1 başlığı altına alınmıştır.
CobiT 5 içerisinde tamamen yeni olan süreçler:
- EDM1 Yönetişim Çerçevesini Belirle ve Yaşat
- APO1 BS Yönetim Çerçevesini Tanımla
- APO4 Yeniliklerin Yönetimi (kısmen PO3)
- APO8 İlişkilerin Yönetimi
- BAI8 Bilgi Birikimi Yönetimi
- DSS2 Varlıkların Yönetimi (kısmen DS9)
- DSS8 İş Süreçleri Kontrollerinin Yönetimi
ISACA IT tarafından kullanılan standartlar içerisinde bulunmayan IT Yönetişim olgusunu fark etmiş ve bunu ISO 38500 standardını kullanarak yeni oluşturduğu CobiT 5 yapısına eklemiştir. IT Yönetişiminde üç seviye bulunmaktadır:
- Yönetişim(Değerlendir, Yönet, İzle)
- Yönetim (Planla, Oluştur, Çalıştır, İzle)
- Operasyon (Planla, Yap, Kontrol Et, Harekete Geç)
Uygulama & Kurumsal BS Yönetişimin Sürekli Geliştirme (Implementing & ContinuallyImproving Enterprise Governance of IT)
CobiT 5 önceki sürümlerde tanımlanmış süreç modelleri üzerine kurulmaktadır. Mevcut süreçlerin birleştirilmesi ve/veya başka bir başlık altına alınması sağlanmış ve IT Yönetişim ve Yönetim başlıklarını içeren bir çerçeve oluşturulmuştur. Seviye 2 olgunluk seviyesinde olan kurumların CobiT4.1v den CobiT 5 ‘e geçişlerinin kolay olmuştur.
Seviye 1 ve altında olgunluk seviyesi bulunan kurumların doğrudan CobiT 5 çerçevesi için çalışmaları ve olgunluk seviyelerini yeni çerçeveye göre oluşturmaya çalışmaları daha hızlı sonuç almalarına ve daha az maliyetli olmuştur.
Sistem Yönetimi ve Çerçeve Yönetişimi algıları birçok organizasyon için tamamen yeni bir anlayıştır. Sistem Yönetimi ve Çerçeve Yönetişimi ile ilgili olarak temel bir yaklaşım oluşturmasını gerektirmektedir. Bu yaklaşımda yöneticilerin nasıl planlama yapacağı, nasıl organize edeceği, nasıl yöneteceği ve nasıl gerekli olan performansı göstereceği belirlenmelidir.
BDDK tarafından bankaların denetimi kapsamında kullanılan CobiT, güncellenmesi ile birlikte BDDK ve bağımsız denetim firmaları tarafında bankalara yönelik yapılan denetimlerin değişebileceği ön görülmektedir.
Kızıl Denetim Bilişim ve Veri Danışmanlığı A.Ş kurumların Bilgi Teknolojileri süreçlerinin incelenmesi, denetimlere hazırlanması, olası eksikliklerin raporlanması ve önerilerin geliştirilmesi aşamalarında destek vermektedir.
COBIT paketi şunlardan oluşur:
- Yönetici Özeti
- Yönetim ve Kontrol Çerçevesi
- Kontrol Nesneleri
- Yönetim Kılavuzu
- Uygulama Kılavuzu
- BT Güvence Kılavuzu
Yönetici Özeti
İş kararları, uygun zamanda iyi seçilmiş öz bilgilere dayanmaktadır. Özellikle zaman sıkışıklığı olan kıdemli yöneticiler için tasarlanan COBIT Yönetimsel Özet, COBIT’in temel kavram ve kurallarının anlaşılması için bir özet niteliğindedir. COBIT’in anahtar konuları ve kurallarına ilişkin anahtar bilgileri sağlar.
İşletme yönelimli COBIT; işletmenin amaçlarının bilgi teknolojisi amaçlarına odaklanması, başarıyı değerlendirmek için vade modellerinin oluşturulması, işletme ve bilgi teknolojisi süreç sahiplerinin birleşik sorumluluklarının teşhis edilmesi faaliyetlerinden oluşur.
Yönetim ve Kontrol Çerçevesi
Başarılı bir organizasyon veri ve bilgilerin sağlam bir çatı üzerine kuruludur. Bu çatı esas bileşenlere, süreçler, kontroller, hedefler ve metrikler arasındaki ilişkilere genel bir açıklama sağlar.
Kontrol Nesneleri
Tam destek için gerekli BT kaynakları kadar önemli olan yedi bilgi kriterini (etkinlik, verimlilik, gizlilik, bütünlük, uygunluk, uyum ve güvenilirlik) de tanıtır. İşletmenin gereksinimleri ile bağlantı kurar. Bilgi teknolojisi faaliyetlerini genel kabul görmüş bir süreç modeli şeklinde örgütler. Ana bilgi teknolojisi kaynaklarını tanımlar. İşletme kontrol hedeflerini açıklar.
Yönetim Kılavuzu:
Başarılı bir işletme sağlamak için, iş süreçleri ve bilgi sistemleri arasındaki birliği etkili bir şekilde yönetmek gerekir. Yeni Yönetim Yönergeleri, Olgunluk Modellerinden oluşur; bu da kontrol aşamalarını ve beklenen kontrol düzeylerini sanayi normlarıyla karşılaştırmak içindir. Kritik Başarı Faktörleri, BT işlemleri kontrolü için en önemli faaliyetleri içerir. Anahtar Hedef Göstergeleri, performans hedef seviyelerini tanımlamak içindir.
Uygulama Kılavuzu
Anahtar Performans Göstergeleri de BT kontrol sürecinin amaca ulaşmasına uygun olup olmadığını ölçmek içindir. Bu yönetim yönergeleri kurumsal yatırıma sahip olanların sorunlarına çözüm bulabilmelerinde yardımcı olur.
BT Güvence Kılavuzu:
Kontrol hedeflerinin gerçekleştirildiğinden emin olmak için, kontrolleri birbirlerine bağlı olarak değerlendirmek gerekir. Bu güvence kılavuzu her form için değerlendirmeleri yapmak adına kendi tasarım sonuçlarını gözden geçirerek, gereken araçları sağlar. Bu kılavuz tamamen denetim uygulamaları üzerinedir. Aslında kitabın bir parçası olmamakla beraber, ilgili bir yayındır.
COBIT Yapısı
COBIT, dört etki alanını kapsar:
- Planlama ve Organizasyon
- Tedarik ve Uygulama
- Teslimat ve Destek
- İzleme ve Değerlendirme
Planlama ve Organizasyon, Kontrol Hedefleri
PO1 |
Stratejik BT Planının Tanımlanması |
PO2 |
Bilgi Mimarisinin Tanımlanması |
PO3 |
Teknolojik Yönün Belirlenmesi |
PO4 |
BT Organizasyon ve İlişkilerinin Tanımlanması |
PO5 |
BT Yatırımlarının Yönetimi |
PO6 |
Yönetimin Hedeflerinin ve Talimatlarının İletilmesi |
PO7 |
İnsan Kaynakları Yönetimi |
PO8 |
Kalite Yönetimi |
PO9 |
Risk Değerlendirme |
PO10 |
Proje Yönetimi |
Tedarik ve Uygulama, Kontrol Hedefleri
AI1 |
Otomasyon Çözümlerinin Belirlenmesi |
AI2 |
Uygulama Yazılımı Tedarik Edilmesi ve Bakımı |
AI3 |
Teknoloji Altyapısının Tedarik Edilmesi ve Bakımı |
AI4 |
İş ve Kullanımın Etkin Kılınması |
AI5 |
BT Kaynaklarının Sağlanması |
AI6 |
Değişiklik Yönetimi |
AI7 |
Çözüm ve Değişikliklerin Kurulması ve Kabul Edilmesi |
Teslimat ve Destek, Kontrol Hedefleri
DS1 |
Hizmet Düzeyi Belirleme ve Yönetimi |
DS2 |
Üçüncü Parti Hizmet Yönetimi |
DS3 |
Performans ve Kapasite Yönetimi |
DS4 |
Sürekli Hizmetin Sağlanması |
DS5 |
Sistem Güvenliğinin Sağlanması |
DS6 |
Harcamaların Belirlenmesi ve Bütçelenmesi |
DS7 |
Kullanıcı Eğitimi |
DS8 |
Kullanıcılara Yardım ve Danışmanlık |
DS9 |
Konfigürasyon Yönetimi |
DS10 |
Problem ve Olay Yönetimi |
DS11 |
Veri Yönetimi |
DS12 |
Fiziksel Çevre Yönetimi |
DS13 |
Operasyon Yönetimi |
İzleme ve Değerlendirme, Kontrol Hedefleri
ME1 |
Süreç İzleme |
ME2 |
İş Kontrol Değerlendirme Yeterliliği |
ME3 |
Bağımsız Güvence Elde Edilmesi |
ME4 |
Bağımsız Denetimin Sağlanması |
İçerikte kullanılan Kaynaklar
http://www.isaca.org/KnowledgeCenter/cobit/Pages/Overview.aspx
http://en.wikipedia.org/wiki/COBIT
https://home.kpmg/content/dam/kpmg/pdf/2016/06/tr-kpmg-gundem-13-cobit-5.pdf