• Bookmark

COBIT 5’in Esnekliği, Başarının Anahtarı

Mark Thomas, CGEIT

COBIT Focus | 20 Ekim 2014 İngilizce | Portekizce

Mark ThomasBT operasyonlarından sorumlu başkan yardımcısı, kurumda yakın geçmişte yaşanan sorunlardan dolayı, COBIT adındaki yönetişim çerçevesine bakmaları gerektiğini söylediği zaman, konferans salonunda bulunan, yazar da dahil olmak üzere, dokuz yönetici vardı. Kendisi dışında, odadaki sekiz yönetici ona boş gözlerle baktılar.


Yönetilen hizmet sağlayıcısı, ülke çapında küçük ve orta ölçekli pazara dışarıdan BT hizmetleri sağlıyordu. Veri merkezi, dış kaynaklı e-posta, altyapı, uygulamalar, yazılım geliştirme, proje yönetimi ve hizmet masası işlevleri sağlayan çok müşterili bir ortamdı. Yapıları özel sektördeki bu tür kurumlara özgü olup, idare, finans, satış ve pazarlama, operasyonlar ve BT fonksiyonlarını içeriyordu. Güvenlik, risk ve mevzuat uyumu ile ilgili çalışmalar büyük ölçüde BT'ye devrediliyor, tipik olarak sadece sorunlar ortaya çıktığında ele alınıyordu. Kullanılmakta olan bazı çerçeve ve standartlar vardı ama bunların kullanımı da bölük pörçük. Kurum paydaşların “çerçeve tükenmesi” dedikleri sorundan mustarip, bu yüzden COBIT'in benimsenmesinin zor olacağı tahmin ediliyordu; ama şaşırtıcı bir şekilde beklenen olmadı.


Beklenenin aksine, yakın geçmişteki olaylar COBIT'i zorunlu hale getirdi. Şirket, ilk ve en büyük müşterisi aldığı hizmetleri rakip bir firmaya devretmeye karar verince büyük bir gerileme yaşamıştı. En büyük müşterisini kaybetmesine ek olarak birkaç can sıkıcı konu daha gündemdeydi:

  • Kurumun müşteri memnuniyeti notu önemli ölçüde düşmüştü.
  • Yakın geçmişteki yeni müşteri geçişlerinin yaklaşık beşte biri neredeyse başarısız olmuştu.
  • Bir çok önemli vaka yüzünden kurumun son dokuz ay içindeki toplam ulaşabilirlik yüzdesi önemli ölçüde düşmüştü.

Bu meseleler sebebiyle yapılan yönetim değerlendirmesi yaşanan sorunların bir tek temel nedeni olduğunu ortaya çıkardı: BT’nin üzerindeki yönetişimin yetersiz olması.


COBIT'in Savunulması

COBIT'in benimsenmesi gerektiğini savunurken, paydaşlar COBIT’in beş prensibine baktılar ve bunları kurumun Şekil 1'de ele alınan belli başlı ihtiyaçları ile karşılaştırdılar:
 

Şekil 1—COBIT Çözüm Geçişi

COBIT İlkesi Kurumsal İhtiyaçlar COBIT Çözümü
Paydaşların ihtiyaçlarının karşılanması Paydaşlar için değer yaratımı üzerine odaklanma—risk ve kaynakları en iyi şekilde kullanırken faydaları gerçekleştirme. Hedefler paydaşların ihtiyaçlarından sağlayıcılara doğru kademelendirilir
Kurumun uçtan uca kapsama alınması BT'nin kendi kendini yönetmesinden kurumsal BT'nin yönetişimine (GEIT) geçişi. İşletme sahipleri ve paydaşlardan operasyonlara ve uygulamaya giden roller, faaliyetler ve ilişkiler modeli
Bir tek entegre çerçevenin uygulanması Çoklu çerçeveleri tek bir yönetişim yapısı altında birleştirme. İlgili standartlara ve çerçevelere gönderme yapan COBIT’i çerçeve bütünleyicisi olarak uygulama
Bütünsel bir yaklaşımın sağlanması Sadece süreçler üzerinde odaklanmayı bırakıp bütün yönetişim sağlayıcılarını kapsayacak şekilde genişleme. Yedi sağlayıcı ve bunların dört ortak boyutu
Yönetişimle yönetimi birbirinden ayırma Yönetişim süreçleriyle yönetim süreçlerini birbirlerinden açıkça ayırarak tanımlama. Bir tek yönetişim alanı ve dört yönetim alanı içeren COBIT süreç referans modeli
Kaynak: Mark Thomas. İzinle tekrar basılmıştır.


COBIT'in Pratikte Uygulanması

Bu senaryoda çerçevenin bazı yararlı uygulamaları vardı; ancak aralarından ikisi hemen yararlı olmasıyla öne çıkıyordu. Bunlardan biri hedeflerin kademelendirilmesi, diğeri de süreç referans modeliydi.


Hedeflerin kademelendirilmesi, özellikle çalışmalara hedef koymak ve çalışmaları önceliklendirmek için kullanıldı. Strateji, COBIT eşleştirme belgelerini değişiklik yapmadan kullanmaktı. Dolayısıyla, paydaşlar kuruma özgü hedefler ile hedefler basamağına bir ilave eşleştirme ekleyebildiler. Keşfedilen bir benzersiz yön de paydaşların sadece süreçlere değil, diğer sağlayıcılara da eşleştirme yapabilmesiydi. Aşağıdaki adımlarda (Şekil 2) hedeflerin kademelendirilmesinin nasıl kullanıldığı gösteriliyor:


Şekil 2—COBIT Hedefler Kademesinin Kullanılması
Şekil 2

  1. Paydaş sürücüleri—Bunlar doğrudan belirli kurum hedeflerine eşleştirildi.
  2. Özel Organizasyonel hedefler—Bu hedefler bu işletmeye özeldi ve belli performans ve büyüme hedeflerini içeriyordu. Dolayısıyla, paydaş ihtiyaçları eklendi ve doğrudan modele eşleştirildi.
  3. Paydaş ihtiyaçları—Değişiklik gerekmedi. COBIT eşleştirmesi yeterliydi.
  4. İşletme hedefleri—Değişiklik gerekmedi. COBIT eşleştirmesi yeterliydi.
  5. BT ile ilgili hedefler—Değişiklik gerekmedi. COBIT eşleştirmesi yeterliydi.
  6. Sağlayıcılar—Süreç bakış açısından, hedeflerin kademelendirilmesi, ele alınması gereken 10 süreci ortaya koydu. Bununla birlikte sadece süreçlere odaklanmak yeterli değildi. Kurum, bir hizmet kurumu olduğu için hedefler aynı zamanda portföyden alınan hizmetlerle (daha belirli olarak hizmet kataloğuyla) eşleştirildi. Bu eşleştirme, daha bütünsel bir yaklaşıma imkan tanıdı. Bu eşleştirmeler COBIT'te mevcut olmadığı için eşleştirmeleri paydaşlar kendileri oluşturdu. Kurumun planı, diğer sağlayıcıları gelecekte bu hedef eşleştirmeleriyle bütünleştirmektir.

Hedeflerin kademelendirilmesine ek olarak, süreç referans modeli COBIT 5 Gerçekleştirme Süreçleriyle beraber, en kritik sağlayıcıların seçilmesi için gerekli ayrıntıları sağladı. Paydaşların, sağlayıcının göreceli riskine dayanarak güvence verebilmesini sağlayabilmek için, paydaşlar bu yaklaşımı kurumun iç denetim çalışmalarıyla uyumlu hale getirdi. Daha önce de sözü edildiği gibi hedeflerin kademelendirilmesi alıştırması, kurumun hedeflere ulaşmasında anlamlı bir etkisi olan 10 süreci ortaya koydu. Paydaşların bütün süreçleri geliştirme yeteneği olmadığı için bu süreçleri, "uygulama kolaylığı" ve "beklenen yararlar"ına göre önceliklendirdi. Hızlı kazanım getirecek süreçler öncelikle uygulandı.


COBIT 5'in kullanılması: COBIT 5 Gerçekleştirme Süreçlerin uygulanması, seçilen süreçler için kritik uygulamaları ve faaliyetleri belirledi. Örneğin, BAI06 Değişikliklerin yönetilmesi bu çalışmadaki ilk süreçlerden biriydi. Süreç sahibi çok az değişiklikle BAI06'yı ayağa kaldırabildi:

  1. Süreç tanımı ve amacı—Değişiklik gerekmedi.
  2. BT ve süreç hedefi ölçütleri—Rehberde seçilebilecek çok sayıda ölçüt bulunmaktadır. Bu durumda paydaşlar, işin en önemli başarı faktörlerine ve bilgi toplayabilme yeteneğine dayanarak kullanılacak en geçerli hedefleri seçtiler.
  3. Sorumluluk Sahibi, Hesap Veren, Danışılan ve Bilgi Alan (RACI) Çizelgesi—Paydaşlar bu rehberde önerilen bütün görevlere sahip olmadığı için, kuruma özgü bir şekilde uygulandı.
  4. Yönetim uygulamaları ve faaliyetler—Bütün yönetim uygulamaları ve faaliyetler hiçbir değişiklik yapılmadan benimsendi.
  5. Girdiler ve Çıktılar—Bunlar değiştirildi. Bu noktada kurum, bütün süreçleri tamamen benimsememişti. Kurumda bulunmayan süreçlerin yüzünden, resmi olarak tanınmayan çok sayıda girdi ve çıktı takip edilmiyordu. Takip edilmeyen ürünler ilgili süreçler uygulana kadar ele alınmayacaktı.
  6. İlgili rehberlik—Bu, diğer çerçeve ve standartlarının hangi bölümlerine gönderme yapılacağını belirlemek için kullanıldı. BAI06 için ilişkilendirilen standartlar ITIL ve ISO/IEC 20000’dı.

COBIT ile Sürekli Uyum

COBIT sadece akademik değildir. Bu çalışmanın başarısı büyük ölçüde paydaşların COBIT'i kuruma uyacak şekilde değiştirme ve ayarlama becerisine dayalıydı. Çok yararlı olan belli başlı birkaç alan vardı. Hedeflerin kademelendirilmesi, BT süreçlerinin paydaşların ihtiyaçlarını nasıl desteklediğini görselleştirdi. Bu çalışma sürekli hedef hizalamasını destekleyen, düzenli olarak tekrarlanan bir faaliyet haline geldi. Aynı zamanda sağlayıcılar, kurumun ufkunu sadece süreçlerden daha ötesine de genişletti. Bütün sağlayıcıların kullanılması; paydaşların bir sağlayıcıya değişiklik yapmanın, diğerleri üzerindeki etkilerini incelemelerine olanak tanıdı. Ayrıca bu çalışma BT ve güvence arasındaki işbirliğini teşvik etti, bu da performans ve uyumu gerçekleştirmek için yapılan çabaları düzene soktu.


Mark Thomas, CGEIT

Uluslararası olarak tanınmış bir BT yönetişim uzmanı ve Escoute Consulting'in başkanıdır. Geçmişi, üst düzey BT yöneticisinden (CIO) yönetime ve BT danışmanlığına kadar lider roller de dahil olmak üzere 20 yıllık profesyonel bir tecrübeden oluşmaktadır. Thomas dışarıdan alınan BT düzenlemelerinde büyük ekiplere liderlik etti, kurumsal başvuru uygulamalarını yönetti ve birçok endüstriye yönetişim ve risk süreçlerini uyguladı. Bunlara ek olarak, kendisi danışman, eğitmen ve COBIT, ITIL ve BT yönetişimi dahil bazı disiplinlerde konuşmacı olarak yeterlilik ve ün kazandı.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.