Türkçe çevirisi Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri olan COBIT, ISACA tarafından geliştirilen ve bilgi teknolojilerine ilişkin risklerin değerlendirilmesi, yönetimi ve denetimi için oluşturulmuş kapsamlı bir çerçevedir. Başlangıçta denetim odaklı bir araç olarak tasarlanmış olsa da zamanla bilgi teknolojilerinin yönetimi ve yönetişimine odaklanan bir yapıya evrilmiştir. Temel amacı, bilgi teknolojileri hedeflerini iş hedefleriyle uyumlu hale getirerek etkin bir bilgi teknolojileri yönetişimi sağlamaktır (T.C. Sayıştay Başkanlığı, 2024).
COBIT’in temel özellikleri aşağıdaki gibi listenelenebilir (Meral, 2016);
- Bilgi teknolojilerinin, işletmenin genel stratejik hedeflerine katkı sunması gerektiğini vurgular.
- Bilgi teknolojileri faaliyetleri ile iş stratejisi arasında etkin bir uyum sağlanmasını amaçlar.
- İş hedefleri ile bilgi sistemlerini birlikte ele alarak, kurumsal yönetimle bütünleşik bir bakış açısı sunar.
- İçerdiği 34 süreç aracılığıyla bilgi sistemlerinin neredeyse tüm temel işlevlerini kapsam altına alır.
- ISO, ITIL, CMMI, MOF gibi uluslararası geçerliliği olan çerçevelerle uyumlu çalışabilir.
- Farklı sektör ve büyüklükteki kuruluşlar tarafından uygulanabilecek esneklikte tasarlanmıştır.
- Denetim, süreç yönetimi, performans ölçümü ve karşılaştırmalı analiz gibi çeşitli amaçlarla kullanılabilir.
COBIT 5’in temel ilkeleri ise Şekil 1‘de gösterilmektedir.
Şekil 1: COBIT 5 Temel İlkeleri.
Kaynak: Yıldırım (2017) temel alınarak derlenmiştir.
COBIT 5, toplam 37 süreçten oluşan bu yapı, beş ana alanda gruplanmıştır:
Yönetişim (EDM – Evaluate, Direct and Monitor)
Bu alan, kurumsal bilgi teknolojileri yönetişiminin yapılandırılması, stratejik yönlendirme yapılması ve sonuçların izlenmesini içerir. Kurumun bilgi teknolojileri yatırımlarından değer elde etmesini, risklerin dengelenmesini ve kaynakların etkin kullanımını sağlamaya odaklanır ve paydaşlarla şeffaflık ilkesi çerçevesinde iletişim kurulmasını kapsar.
Planlama ve Organizasyon (APO – Align, Plan and Organize)
Bilgi teknolojileri stratejisinin iş hedefleriyle hizalanması (align) bu alanın temelini oluşturur. Kurumsal mimari yönetimi, portföy ve bütçe yönetimi, insan kaynakları planlaması, dış hizmet sağlayıcıların yönetimi ve risk kontrol mekanizmalarının kurulması gibi faaliyetleri içerir. Kalite güvence ve bilgi güvenliği yönetimi bu alan altında değerlendirilmektedir.
Kazanım ve Uygulama (BAI – Build, Acquire and Implement)
İş ihtiyaçlarını karşılayacak teknoloji çözümlerinin tasarımı, geliştirilmesi, uygulanması ve hayata geçirilmesi bu alandadır. Sistem geliştirme yaşam döngüsü, değişiklik yönetimi, çözüm entegrasyonu ve konfigürasyon yönetimi gibi uygulama aşamalarını kapsar. Donanım, yazılım ve hizmetlerin edinimi de bu sürecin parçasıdır.
Teslim ve Destek (DSS – Deliver, Service and Support)
Bilgi teknolojileri hizmetlerinin kullanıcılarla buluşturulmasını sağlayan süreçleri içerir. Hizmet sürekliliği, olay ve problem yönetimi, güvenlik operasyonları, veri yönetimi ve kullanıcı desteği gibi işlevleri barındırır. Hizmet seviyesi anlaşmaları ve hizmet talep gibi süreçler bu alan altında yürütülür.
İzleme ve Değerlendirme (MEA – Monitor, Evaluate and Assess)
Bilgi teknolojileri performansının, iç kontrollerin ve düzenleyici uyumun düzenli olarak izlenmesi ve raporlanması bu alanın temelidir. Performans göstergelerinin ölçülmesi, iç denetim süreçlerinin yürütülmesi ve mevzuatla uyumlu hareket edilip edilmediğinin değerlendirilmesi gibi faaliyetler bu kapsam altındadır.
Etkin işleyen bir yönetişim sistemi kurmak ve sürdürmek için gerekli bileşenler Şekil 2‘de verilmiştir.
Şekil 2: COBIT 2019 Çerçevesine göre Yönetişim ve Yönetim Hedefleri.
Kaynak: (T.C. Sayıştay Başkanlığı, 2024) temel alınarak derlenmiştir.
Süreçler: Bilgi teknolojileri hedeflerinin gerçekleştirilmesini sağlamak için yürütülen yapılandırılmış faaliyetler dizisidir. Kontrol ve izlemenin temelini oluşturur.
Örgütsel Yapılar: Karar alma, yetki devri ve sorumluluklar açısından yönetişim çerçevesini destekleyen roller ve yapıları içermektedir.
İlkeler, Politikalar ve Prosedürler: Bilgi teknolojileri faaliyetlerini yönlendiren yazılı kurallar, uygulama kılavuzları ve standart prosedürlerdir.
Bilgi: Karar verme ve süreçler için gerekli olan verilerin ve bilgilerin güvenilir, güncel ve ulaşılabilir olmasını kapsar.
Kültür, Etik ve Davranışlar: İç değerler, davranış normları ve etik anlayış, yönetişimin başarısında kritik bir faktördür.
İnsanlar, Beceriler ve Yetkinlikler: Bilgi teknolojileri yönetişimi süreçlerini yürütecek personelin bilgi, tecrübe ve yetkinlik düzeylerini ifade eder.
Hizmetler, Altyapı ve Uygulamalar: Bilgi teknolojileri hizmetlerinin sunumunda kullanılan yazılımlar, donanımlar, ağlar ve destek sistemlerini kapsar.
ISACA tarafından ücretsiz olarak yayınlanmış COBIT 2019 Çerçevesi: Giriş ve Metodoloji Türkçe çevirisi; https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KoYjEAK
Kaynaklar
T.C. Sayıştay Başkanlığı. (2024). Bilişim sistemleri denetimi rehberi. Sayıştay Yayınları. https://www.sayistay.gov.tr/files/3002_BSDR__240426_DO.pdf
Meral, E. (2016). Türkiye’de bilgi sistemleri denetimi ve Kamu Gözetimi Kurumu’nun bilgi sistemleri denetiminde üstlendiği misyon [Uzmanlık tezi, Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu, Bilgi Sistemleri Yönetimi Daire Başkanlığı]. https://kgk.gov.tr/Portalv2Uploads/files/Duyurular/v2/uzmanlik_tezi/TEZ%20%28Uzman%20Erkan%20MERAL%29.pdf
Yıldırım, S. (2017). Bilgi sistemleri denetim süreçleri: Yeterlik etüdü [Yeterlik çalışması, Sermaye Piyasası Kurulu, Denetleme Dairesi]. https://spk.gov.tr/data/61e48fc71b41c60d1404d68a/8409f2906798eb2f5e1f9589f546c2be.pdf