Bilgi teknolojilerinin iş hayatındaki önemi arttıkça, oldukça yüklü yatırım ve riskli proje yönetimlerini gerektiren bilgi teknolojileri süreçlerinin olgunluk seviyeleri hakkında
güvence sağlayacak denetim metodolojilerine olan ihtiyaç da artmaktadır. Bu konuda genel kabul görmüş metodolojilerin içinde CobiT (“Control Objectives for Information and Related Technology”) en geniş katılım ve uygulamaya sahiptir.

CobiT, bilgi teknolojileri kontrol hedefleri ve denetim rehberinin yanı sıra uygulanabilir bir model olabilmek ve yönetime yön verebilmek için gerekli araçları da barındıran bir metodolojidir. CobiT diğer iç denetim ve bilgi teknolojileri risk ve kontrol metodolojilerinden bağımsız olarak hazırlanmamış,aksine oluşumunda mevcut metodolojiler dikkate alınmıştır. Mevcut ve genel kabul görmüş iç denetim metodolojilerinin bilgi teknolojileri kontrol ihtiyaçlarını karşılayan yönleri CobiT’e dahil edilmiş, bir anlamda tekerleğin yeniden icadı için çaba harcanmamıştır. Ancak CobiT özgün içeriğinin yanı sıra yüksek kalite güvencesinin sağlanabilmesi için çok geniş bir katılımla oluşturulmuş ve çeşitli gözden geçirme aşamalarına tabi tutulmuştur.

CobiT, bilgi teknolojileri süreçlerini iş süreçlerinin destekçisi olarak görür ve aralarındaki ilişkileri birebir ortaya koyar. Bu sayede bilgi teknolojileri kaynaklarının iş stratejileri doğrultusunda etkin biçimde kullanılmasına olanak sağlar.

şirketin bilgi teknolojileri politikasına temel olabilme özelliğinin yanında yönetim odaklı olması nedeniyle şirket içi kullanım için son derece uygundur.

Tamamen teknik kriterleri dikkate alan standartların aksine sadece gizlilik, bütünlük ve devamlılığı değil etkinlik, verimlilik, uyum ve güvenilirliği de kontrol hedeflerine dahil eder.

Bu metodoloji birçok standardı içinde barındırdığı ve diğer metodolojilerle uyum içinde olduğundan şirketlerin ilişki içinde oldukları iş ortakları, müşteri ve düzenleyici kurumlar tarafından talep edilen bilgi teknolojileri kontrol süreçleri sertifikasyonları denetimlerine hazır olmaya yardımcı olur ve böylece hızlı bir sertifikasyona olanak sağlar.

CobiT ilk olarak 1996 yılında Information System Audit and Control Foundation (ISACF) tarafından yayımlanmıştır. ıkinci çsürümde, üst seviye ve detay kontrol hedefleri revizyonu ile birlikte Implementation Tool Set Methodology’de CobiT’e eklenmiştir. 1998 yılında ISACF tarafından IT Governance Enstitüsü kurulmuş, 2000 yılında IT Governance Enstitüsü’nün liderliğinde çeşitli danışmanlık firmalarının da katkısıyla Management Guidelines CobiT’e eklenmiştir. Böylece üçüncü ve güncel sürüm kurumların yararına sunulmuştur. CobiT’in gelişimi sırasında ISO, EDIFACT gibi teknik kaynaklardan, Avrupa Konseyi, OECD, ISACA gibi uyum kriterlerinden, ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria gibi bilgi teknolojileri kalifikasyon kriterlerinden, COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO gibi profesyonel iç kontrol ve denetim standartlarından, Endüstri Forumları ve (Amerikan) Kamu Kurumları Tarafından Belirlenmiş Endüstri Pratik ve Kriterlerinden, Bankacılık, Elektronik Ticaret ve Bilgi Teknolojileri Üretim Sektörleri Tarafından Ortaya Konmuş İlkelerden kaynak olarak faydalanılmıştır.

CobiT’in misyonu; yönetim ve denetim kadroları tarafından sürekli kullanılabilmesi amacıyla güncel, genel kabul görmüş bilgi teknolojileri kontrol hedeflerinin araştırılması, geliştirilmesi, yayınlanması ve kullanımına destek verilmesi olarak açıklanabilir;
CobiT’in vizyonu ise bilgi teknolojileri yönetişim (IT governance) modeli olmaktır. CobiT salt bir denetim aracı olmanın ötesinde bir yönetişim aracı olma vizyonuna sahiptir. Bu nedenle yönetimden bilgi teknolojileri personeline kadar kurum içi ve dışında, kurumun varlığı ve sağlıklı faaliyet göstermesi konularında risk üstlenen çeşitli taraflara fayda sağlama amacını da yerine getirmeyi hedeflemektedir.

Çeşitli taraflara sağlanan faydalar aşağıdaki gibidir:

CobiT’in yönetime ve bilgi teknolojileri yönlendirme komitesine sağladığı faydalar;

• Kurum yönetiminin sorumluluğunda olan bilgi teknolojileri süreç kontrollerinin uygulanabilmesi için gerekli çatıyı sağlar.
• Bilgi teknolojileri ve iş süreçleri arasındaki ilişkiyi gözeterek öncelikli bilgi sistemleri kontrollerinin tesbitinin daha etkin yapılabilmesini sağlar.
• BT yatırımlarının iş süreçlerine uygun olarak gerçekleştirilmesi ve risk/maliyet oranı yüksek projelere ağırlık verilebilmesi için alınacak kararlara ışık tutar.
• Bilgi teknolojileri süreçlerinin olgunluğunu sadece üretilen sonuçlar ile değil aynı zamanda performans belirteçleri ile de değerlendirilebilmesine imkan tanır.
• Bu sayede bilgi teknolojileri amaç belirteçlerinin yanı sıra performans belirteçlerinin de belirlenerek “IT Scorecard”ın ortaya konabilmesine ve yönetimin geleceğe yönelik daha kesin beklentilere sahip olabilmesine olanak sağlar.

Bilgi Teknoloji personeline sağladığı yararlar:

• CobiT kontrol hedeflerinden özellikle Planlama ve Organizasyon sahasında bulunanların uygulamaya alınması ile önceliklendirme süreci ve diğer birimlerle olan ilişkilerde iyileşme yaşanabilecek, verimlilik artışı sağlanabilecektir.
   

Bu fayda tüm kurumu etkilemekle birlikte Bilgi Teknolojileri personeli tarafından daha fazla hissedilecektir.

• Bilgi teknolojileri personeli bilgi teknolojileri denetiminin hangi kriterlere göre yapıldığını bilerek denetimin daha verimli gerçekleştirilmesine katkıda bulunabilir.
• Bilgi teknolojileri personeli için bir rehberi hizmeti sağlar. Böylece bilgi teknolojileri personeli kontrol sahasında bulunan süreçlerinin olgunluk seviyesini CobiT’te belirtilen kriterlere göre kendi inisiyatifi ile yükseltebilir.

İç ve dış bilgi teknolojileri kaynak kullanıcılarına sağladığı yararlar:

• Bir kontrol metodolojisinin uygulanması iç ve dış kullanıcılara kullanılan bilgi kaynaklarının kontrollü olarak yönetildiğini ifade edecektir. Özellikle dış kullanıcılara sağladığı güvence zorunlu yükümlülüklerin yerine getirilmesine imkan tanıyabileceği gibi kurum için bir rekabet avantajı haline de dönüşebilir.
• Süreçlerin kontrollü olarak yürütülmesi, kullanıcıların gizlilik, bütünlük ve erişilebilirlik ihtiyaçlarının beklenen ve daha üstü düzeylerde sağlanmasına olanak sağlar.

ekleyen Gökhan Çıngay