BİLGİ TEKNOLOJİLERİ YÖNETİMİ VE DENETİM İLKELERİ

Sanayi toplumundan bilgi toplumuna geçiş ile re- kabet üstünlüğü yaratmada bilgi ve teknolojinin rolü- nün artmış olmasından dolayı, hem kamu hem de özel sektör kurumları bilgi ve iletişim teknolojileri alanında yaşanan gelişmeleri yakından takip etmek ve çağı yaka- lamak adına bilişim sistem ve teknolojilerini kullanma gerekliliğini benimsemişlerdir. Bilişim teknolojisinde yaşanan büyük gelişmeler ışığında, kamu ve özel sek- tör kuruluşları iş akışları içerisinde karar süreçlerinde kolaylık sağlamak amacıyla bilişim sistemlerini yoğun bir şekilde kullanmaya başlamıştır. Eskiden manuel ola- rak yapılan birçok işlemin gerçekleştirilmesinde artık bilgisayarlar tüm yönleriyle kullanılmakta olup, bilgi ve belgelerin bilişim ortamında üretilmesiyle eskiden çok uzun süre alan ve herkesin şikâyetçi olduğu işlemler daha kolay ve kısa sürede tamamlanabilmektedir. Tüm bu yaşanan gelişmeler doğrultusunda, bilişim ortamın- da üretilen bu bilgi ve belgelerin değiştirilebilir olması güvenilirliği konusunda tartışmalar başlatmıştır.

Bilişim sektörünün en önemli konularından olan gü- venlik ve gizlilik tehditleri bugün tüm bilişim kullanıcı- larının gündeminde bulunmaktadır. Bu tehditleri, kulla- nıcı kaynaklı, hizmet sağlayıcısı kaynaklı ve suç kaynaklı olmak üzere üç sınıfta incelemek mümkündür. Kullanıcı kaynaklı güvenlik ve gizlilik tehditleri, genel olarak bi- linçsiz kullanım ve diğer kaynaklardan gelen tehditlere karşı alınması gereken önlemlerin alınmaması ile orta- ya çıkmaktadır. Hizmet sağlayıcı kaynaklı tehditler ise, hizmet sağlayıcısı firmaların; sağladıkları hizmette, suç kaynaklı tehditlerin önlenmesi için gereken altyapıları kurmaması ve müşterilerini güvenlik konularında yete- rince yönlendirememesidir. Suç kaynaklı tehditler ise, temelde bilişimin sistematik ya da sistematik olmayan yollarla kullanılması suretiyle, çoğunlukla maddi zarar verme sonucunu doğuran fiillerin işlenmesi şeklinde özetlenebilir. Suç kaynaklı olan güvenlik tehditlerin- den en yaygın bilinenleri virüsler, trojenler, keylogger

VE DENETİM İLKELERİ

Ahmet TOPKAYA

Sayıştay Başdenetçisi

gibi programlar ile hacker olarak hareket eden kişi ya da kurumlardır. Bu çerçevede kavram kargaşasına fırsat vermemek için bilişim sistemi ve bilişim sistemlerinin tanımın yapılması faydalı olacaktır.

Bilişim sistemi, alt, orta ve üst düzey yöneticiler için karar verme sürecinde gerekli olan bilgiyi toplayan, işle- yen, saklayan ve elde edilen verileri raporlayan ve çıktıyı bir kurumdaki sorumlu kişilere tekrar göndererek girdi- lerin değerlendirilmesini ve düzeltilmesini sağlayan; yö- neticilerin veri veya bilgi işlemesini sağlayan bilgisayar destekli sistemlerin genel adıdır. Bu bağlamda bilişim sistemleri, kurumlarda işlevsel düzeyde, bilgi düzeyin- de, yönetim düzeyinde ve stratejik düzeyde kullanılabil- mektedir.

Bilişim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar donanımı, yazılımı ile kaynak paylaşı- mını gerçekleştirmek için bilgisayarları birbirine bağla- yan ağlar (network) ve onları kullanan insanlardan olu- şur. Bir kurumda bilişim sistemlerinin kullanılmasıyla, doğru ve güvenilir veri tabanları oluşturulması, verilere kolay ulaşım sağlanması, veri girişi sonrasında manuel ortamda yapılan birçok ara işlemin ortadan kalkarak bu işlemlerin otomatik yapılması, verilerin saklanmasında yer tasarrufu sağlanması, kolay dosya yönetimi sayesin- de işlemlerin daha hızlı yapılması, karmaşık olan işlem- lerin daha kolay bir şekilde çözülebilmesi, iş verimliliği- nin artması ve maliyetlerin düşmesi gibi imkânlardan yararlanılabilmektedir.

1. Bilişim Sistemlerinin Gelişimi

Bilişim sistemleri örgütlerin yönetim anlayışların- da meydana gelen değişikliklere paralel olarak gelişim göstermiştir. Başlangıçta bilişim sistemleri  kağıt  ka- lem kullanılarak elle tutulan sistemler şeklinde ortaya çıkmış,  zaman içinde teknolojik gelişim ve  bu gelişi- me uyum sağlama gereksinimiyle beraber bilgisayar te- melli bilişim sistemleri geliştirilmiştir.

Geliştirilen ilk bilişim sistemi, 1950’li yıllarda temel- de ticari işlemlerin izlenmesi, bordro, ücretlendirme ve hesaplama işlemleri konusunda yardımcı olması düşü- nülen ve elektronik işlem düzeyinde işlem yapan Kayıt İşleme Sistemidir. 

1960-1970 arası dönemde yöneticilere bilgi raporla- ma amacıyla Yönetim Raporlama Sistemleri ve ardından yöneticilerin karar almalarını  kolaylaştırmak amacıy-

la Yönetim Bilişim Sistemleri geliştirilmiştir. Bu dönem- de  yöneticiler bu sistemleri yalnız  karar alma sürecine yardımcı olacak bilgilerin sağlanması, saklanması ve ra- porlanması amacıyla kullanmışlardır. 

1970-1980 arası dönemde  bilgisayar ve  iletişim teknolojileri alanında  yaşanan hızlı  gelişmeler sonucu bilgisayar kullanıcıları gereksinim duydukları  bilgileri bireysel bilgisayarlarını kullanarak kolaylıkla  elde  ede- bilir hale gelmişlerdir. Bu dönemde Yönetim Bilişim ve Raporlama Sistemleri daha da geniş bir uygulama ala- nı bulmuş ve Ofis Otomasyon Sistemleri ve yönetsel ka- rarların alınmasında karşılıklı etkileşim imkanı sağlayan Karar Destek Sistemleri  geliştirilmiş,  örgütler bilişim teknolojilerine yatırım yaparak rekabetçi üstünlük sağ- lamaya başlamışlardır. 

1980’li yıllarda sanayi ötesi toplum ya da bilgi top- lumu  diye  adlandırılan yeni  bir  toplum yapısı  oluşma- ya başlamış,  bilgi devrimi sonucunda bilginin toplan- ması,  işlenmesi ve  dağıtılması,  tüm üretim biçimlerini, ilişkilerini ve bunlara ek olarak günlük yaşamı sürdürme tarzlarını tümüyle  değiştirmeye  başlamıştır.  Bu yıllar- da  Karar Destek Sistemlerinin her kararın alınmasın- da destekleyici olamaması sonucu alt, orta ve üst düzey yöneticilerin karar vermelerini kolaylaştıracak kritik bil- gileri sağlamak amacıyla Üst Yönetim Bilişim Sistemleri ve  programlandıkları alanda uzman görüş  sağlayarak karar vericiyi  destekleyen Uzman Sistemler  geliştiril- miştir. 

1990’larda  strateji geliştirme  ve uygulama  süre- cinde  üst düzey yöneticileri  desteklemek,  örgütlerin stratejik amaçlarına ulaşmalarını ve rekabetçi üstünlük kazanmalarını sağlamak amacıyla  Stratejik Bilişim Sis- temleri  geliştirilmiştir. 2000’li yıllara geldiğimizde artık yapay zekâya sahip bilgisayar ve robotlar geliştirilmiş ve bunlar iş süreçlerinde kullanılmaya başlanmıştır.

Bu gelişim süreci de göstermektedir ki; bilişim sis- temlerinin yönetimi, denetimi ve uygulamaya ilişkin hususların genel kabul görmüş standartlara uygun ola- rak düzenlenmesi gerekmektedir. Aksi takdirde yukarı- da bahsettiğimiz gibi bilişim sistemleri ile ilgili güvenlik ve gizlilik tehditleri her zaman varlığını koruyacaktır.

Bilişim sistemlerinin ve özellikle bilgisayarın işlem- lerde kullanılmasıyla teknolojinin kendine özgü riskle- ri de beraberinde gelmekte olup, manüel sistemden farklı olan bu yeni sistemde üretilen çıktıların doğrulu-

ğunun kontrol edilmesi ve bilgi, belgelerin güvenilirli- ğinin sağlanması gereği özellikle bilişim sistemlerinin denetlenmesini zorunlu kılmaktadır. Başka bir deyişle, denetçilerin etkin bir denetim yapmak için ihtiyaç duy- dukları bilgi ve belgeleri sanal ortamdan elde etmeleri sonucunda, denetimde kullanılacak olan bu bilgilerin doğruluğu hakkında güvence verilmesi gerekmektedir.

Bu güvence olgusu bilişim sistemleri denetiminin ge- rekliliğini ortaya çıkartmıştır.

Teknolojide yaşanan gelişmeler doğrultusunda güncel denetim yaklaşımlarından bir tanesi olan bili- şim sistemleri denetimi; işletmelerin sahip oldukları bilişim sistemleri kaynaklarının değerlenmesi sürecidir.

Bu noktada bilişim sistemleri ile ilgili unsurların güven- lik altında olduğu, bilgisayar verilerinin bütünlüğünün ve doğruluğunun sağlanmış olduğu ve organizasyonel amaçlara ulaşılıp ulaşılmadığı dikkatlice incelenmelidir.

Bilişim sistemleri denetimi daha açık bir ifadeyle,

“bir bilişim sisteminin, kurum amaçlarına etkin bir şe- kilde ulaşılmasını, kaynakların verimli kullanılmasını, varlıkların korunmasını ve veri bütünlüğünün sürdürül- mesini sağlayacak şekilde tasarlanıp tasarlanmadığını tespit etmeye yönelik kanıt toplama ve değerlendirme süreci”olarak tanımlanabilmektedir.

Bu çerçevede bilişim sistemleri denetimlerinde ve bilişim sistemlerinin güvenlik ve güvenilirliğinin değer- lendirilmesi aşamalarında genel kabul görmüş uluslara- rası standartların kullanılması esas alınmalıdır.

2. Bilgi Teknolojileri Yönetim İlkeleri ve Kontrol Çerçeveleri

Bilgi sistemlerini yoğun olarak kullanan kurumların bilgi sistemleri ile iş hedeflerinin uyumlu olup olmadı- ğını, iş süreçlerini desteklediğini, kaynakların sadece yetkili kullanıcılar tarafından kullanıldığını, müşteri ve kurum bilgilerinin güvenliğinin sağlandığını, bilgi sis- temlerinden elde edilen bilginin doğru, güvenilir ve güncel olduğunu, bilgi sistemlerinin sürekliliğine ilişkin çalışmalar yapıldığını garanti altına alması gerekmektedir.

Dünya çapında BT yönetim ilkelerine ilişkin standart çalışmaların en önemlileri bir İngiliz kuruluşu olan Of- fice of Government Commerce tarafından hazırlanmış olan ITIL (the IT Infrastructure Library), International Organisation for Standardisation ve International Elect- rotechnical Commission tarafından bilgi sistemlerine

ilişkin olarak ISO 27001 Bilgi Güvenliği Yönetimi Sistemi (ISO 27001 BGYS) ve IT Governance Institute tarafından ortaya konulan COBIT çerçeve dokümanıdır. Ayrıca IN- TOSAI (Uluslararası Yüksek Denetim Kurumları Birliği) tarafından yayınlanmış denetim standartlarında da bili- şim sistemleri ile ilgili standartlar mevcuttur.

3. ISO (International Organization for Standardization), Uluslararası Standartlar Teşkilâtı Standartları

ISO (International Organizationfor Standardization), Uluslararası Standartlar Teşkilâtı,  Uluslararası Elektro- teknik Komisyonu›nun çalışma sahasına giren elektrik ve elektronik mühendisliği konuları dışında, bütün tek- nik ve teknik dışı dallardaki standartların belirlenmesi çalışmalarını yürütmek gayesiyle  1946›da  Cenevre›de kurulan uluslararası teşkilâttır.

Uluslararası Standartlar Teşkilâtına üye ülkelerin sa- yısı 162’dir. Teşkilât üyesi olan millî birimler kendi ülke- lerinde standartlar konusunda en yetkili kuruluşlardır.

Her ülke teşkilatta yetkili bir organ tarafından temsil edilir.

Standartlaştırma, ölçme, adlandırma ve yabancı ad- ları çeşitli dillere çevirmeyle, makinelerin, deney idare- cilerinin, aletlerin, işlemlerin, yüzeylerin, malzemelerin ve parçaların taşıması gereken özelliklerin ve bu özel- liklerin arz edilme biçiminin tespiti gibi konular Ulusla- rarası Standartlar Teşkilatının faaliyet sahasına girer. Bu teşkilat talep üzerine özel bir ilmi standart konusunu çözüme bağlamak üzere uluslararası teknik komiteler kurarak bu komitelerin çalışmalarının neticelerini Ulus- lararası Standart (IS) olarak yayımlar. Teknolojik ihtiyaç- lardan dolayı ISO standartları, her beş yılda bir gözden geçirilir ve gerekli değişiklikler yapılır.

ISO’nun bilgi güvenliğine ilişkin çerçeve niteliğin- deki standardı ISO 27001 BGYS standardıdır. ISO 27001 BGYS standardı bilginin gizliliğinin ve bütünlüğünün nasıl korunacağına ve bilgiye sürekli erişimin nasıl sağ- lanacağı hakkında rehber bir çalışmadır. Bir İngiliz bil- gi güvenliği standardı olan BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001 BGYS olarak değiştiril- mesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır. Bilgi güvenliği yönetim sistemi, bir kurumdaki tüm varlıkların değerlendirilmesi, bu varlık- ların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını ve bu analiz sonucunda standartta öngörülen kontrol he- defleri ve kontrollerden seçimler yapılmasını gerektirir.

Risk işleme için standartta öngörülen kontrol hedefle- rinden seçimler yapılmalı ve uygulanmalıdır. Planla - uy- gula - kontrol et - önlem al (PUKO) çevrimi uyarınca, risk yönetimi faaliyetleri yürütülmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışma sürdürülmelidir.

PUKO DÖNGÜSÜ

Planla (BGYS’nin kurulması); Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, süreçler ve pro- sedürlerin kurulması.

Uygula(BGYS’nin gerçekleştirilmesi ve işletilme- si); BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi.

Kontrol Et (BGYS’nin izlenmesi ve gözden geçi- rilmesi); BGYS politikası, amaçlar ve kullanım deneyim- lerine göre süreç performansının değerlendirilmesi ve

uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi.

Önlem al (BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi); BGYS’nin sürekli iyileştirilmesini sağla- mak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi.

ISO 27001, kurumların risk yönetimi ve risk işle- me planlarını, görev ve sorumluluklarını, iş devamlılığı planlarını, acil durum olay yönetimi prosedürlerinin hazırlanmasını ve bunların kayıtlarının tutulmasını ge- rektirir. Kurum, tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayımlamalı ve personelini bilgi güvenliği ve tehditleri hakkında bilinçlendirmeli- dir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrolle- rin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreçtir.

ISO 27001 BGYS kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlayan tek de- netlenebilir bilgi güvenliği yönetim sistemi standardı- dır.(TSE,2006).

Bu çerçevede ISO 27001 standardı ile birlikte değer- lendirilmesi gereken diğer ISO standartları şunlardır;

ISO 21827; veri işleme, veri güvenliği, veri depola- ma koruması, bilgisayar yazılımı, bilgisayar programları, bilgi alışverişi, veri transferi, organizasyonlar, yönetim, risk değerlendirmesi bilgi teknolojisi hakkında düzen- lemeler içeren, güvenlik teknikleri, sistemleri, güvenlik mühendisliği çerçevesinde oluşturulmuş bir Yetenek Olgunluk Modelidir (SSE-CMM; The Systems Security Engineering Capability Maturity Model). İyi güvenlik teknikleri uygulandığından emin olmanız için olması gereken sistem güvenliği süreçlerinin temel özellikleri- ni tanımlar.

ISO 27003; ISO 27000 grubu altında yer alan; bilgi güvenliğine yönelik metodoloji standartları çerçevesin- de değerlendirilen “Bilgi Güvenliği Yönetim Sistemleri - Uygulama Kılavuzları”dır. 27001 standardının nasıl kul- lanılacağına dair açıklamalar ve örnekler içeren uygu- lama rehberi olarak geliştirilmiştir. Geliştirilen standart içerisinde temel olarak; kritik başarı faktörleri, süreç yaklaşımı üzerine rehber, PUKÖ modeli rehberi, planla- ma süreç rehberi, uygulama süreç rehberi, kontrol süreç rehberi, önlem alma süreç rehberi ve diğer kurumlarla birlikte çalışma gibi konu başlıklarının yer almaktadır.

ISO/IEC 27004:2009, bu standart bilgi güvenliği yönetim metrikleri ve ölçümüne tahsis edilmiştir. Bilgi güvenliği yönetim sistemlerinin etkinliğinin ölçülmesi ve raporlanmasında kurumlara yardımcı olması amaç- lanmaktadır.

ISO/IEC 27005:2008, bu standart BS 7799 Kısım-3

“BS 7799-3:2006 - Bilgi Güvenliği Yönetim Sistemleri - Bilgi Güvenliği Risk Yönetimi Kılavuzları” isimli İngiliz standardının ISO tarafından uyarlanması çalışmasını içermektedir. BS 7799-3:2006 standardı 16 Mart 2006 tarihinde İngiliz standardı olarak kabul edilmiş, riskle- rin değerlendirilmesi, kontrollerin uygulanması, riskle- rin düzenli olarak izlenmesi ve gözden geçirilmesi gibi konu başlıklarını içermektedir.

ISO/IEC 27006: 2007, bu standart “Bilgi Teknoloji- leri Felaket Önleme Hizmetleri Kılavuzu” olarak tanım- lanmıştır.

ISO/IEC 27031:2009, standardı ISO 17799/27002 standardı esas alınarak telekom sektörü için özel olarak geliştirilmektedir.

ISO 18044:2004; bu standart “Olay Yönetimi-İş Sü- rekliliği” çerçevesinde oluşturulmuş bir standarttır.

BS 25999:2006; Yaşam döngüsünün merkezinde bulunmaktadır. Yaşam döngüsünün kalbi olarak düşü- nülebilecek bu parça, iş sürekliliği politikası ile belirlen- miş amaçların gerçekleştirilmesini sağlamak üzere ya- pılması gereken çalışmaları tanımlamaktadır. (Yandaki şekilde BS 25999’a ait yaşam döngüsü modeli gösteril- mektedir)

4. COBİT (The Control Objectives for Informa- tion and related Technology- Bilgi Teknolojisi ve İl- gili Teknolojilere İlişkin Kontrol Hedefleri)

Tanım olarak CobiT, “Control Objectives for Informa- tion and Related Technology” nin kısaltılmış halidir. Türk- çe ifade etmek gerekirse “Bilgi ve ilgili teknoloji için kontrol hedefleri”.  Bu tanım, CobiT’in amacını ifade etmesi açı- sından önemlidir. CobiT, Bilgi Teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koymaktadır.

CobiT’i, ITIL, CMMI ve ISO standartlarından ayıran en büyük özelliği tüm BT fonksiyonlarını kapsayan bir çer- çeve sunmasıdır.  Bu nedenle diğer standartlardan farklı şekilde, CobiT’in tek veya grup halinde BT süreçlerine değil BT’nin yönetilmesine odaklandığını söylemek doğru olur. CobiT’in diğer bir özelliği de, içerisindeki süreçle- rin nasıl uygulanması gerektiğine dair detaylı çözüm yöntemleri içermemesidir.  Esas olarak kontrol hedefle- rinden oluşmaktadır ve bu hedefler o süreç içerisinde sağlanması gereken en iyi uygulamaları açıklamaktadır.

Fakat birkaç istisna dışında bu süreçlerin hiçbiri için kontrol hedeflerine ulaşılmasını sağlayacak bir yöntem, şablon veya tasarım önermemektedir.

 Dört ana başlık altında yer alan 34 ana kontrol he- defi ve bunların altında yer alan 318 ayrıntılı kontrol hedefini içeren, bilişim sistemleri yönetimi ve denetimi alanında en geniş teorik çerçeveyi sunan ve tüm dünya- da yaygın şekilde kullanılan bilişim sistemleri standar- dıdır. 34 kontrol hedefinin her birinin beş ayrı olgunluk düzeyinde değerlendirildiği COBIT, bilgi kriterleri ola- rak belirlediği, etkinlik, verimlilik, bütünlük, devamlılık, uyumluluk ve güvenirlilik unsurlarına vurgu yapar. CO- BIT, bilişim sistemleri süreçlerin nasıl işlediğine vurgu yapan süreç odaklı bir yaklaşım yerine, kontrol odaklı bir yaklaşım uygular (ITGI 2005).

4.1. Tarihsel Gelişim

COBIT, ISACA¹ ve ITGI tarafından, BTY ilkelerine iliş- kin olarak hazırlanan “en iyi uygulamalar” bütünüdür.

COBIT, temelde bilgi teknolojilerinden maksimum fay- danın sağlanması, organizasyon bazında uygun BTY ilkelerinin oluşturulması ve etkin bir kontrol ve dene- tim ortamının sağlanması amacıyla oluşturulmuş genel kabul görmüş ölçütler, göstergeler, süreçler ve uygula- malardan oluşan bir BTY çerçevesidir. COBIT’in hedef

1 Information Systems Audit and Control Association

kitlesi, yöneticiler, denetçiler, kontrol elemanları ve BT kullanıcılarından oluşmaktadır.

1996 yılında yayımlanan “COBIT 1.0” ilk başta ulusla- rarası BT standartlarının, kılavuz dokümanların ve pra- tikte anılan kuralların en iyi şekilde uygulanması üzeri- ne yapılan araştırmalar sonucunda geliştirilen “Kontrol Hedeflerine”, söz konusu kontrollerin ne ölçüde gerçek- leştirildiğinin denetimine ilişkin kılavuz bir dokumanın ilave edilmesiyle oluşturulmuştur.

COBIT 1.0 ve 1998 yılında yayımlanan COBIT 2.0, Free University of Amsterdam, California Polytechnic University ve University of New South Wales’ten gelen araştırmacılardan oluşan ekibin çalışmalarıyla oluştu- rulmuş ve COBIT Proje Kontrol Komitesi’nin bu çalışma- ları konsolide etmesiyle sonuçlandırılmıştır.

2000 yılında ise, uluslararası kaynaklardan faydala- nılarak yapılan gözden geçirmeler, yönetimsel kontrol- lere ilave vurgu yapılması, BT performans yönetiminin ilk defa ortaya konulması ve BTY ilkelerin geliştirilmesi sonucunda COBIT 3.0 dokümanı ortaya çıkmıştır.

2001 yılı sonunda ortaya çıkan Enron skandalı- nın da etkisiyle 2002 yılında çıkarılan Sarbanes-Oxley Yasası’nın öngördüğü sıkı iç kontrol düzenlemeleri de COBIT çerçevesinin ününü artırmasında etkili olmuştur.

Nitekim Sarbanes-Oxley Yasası’na tabi firmaların bu ya- saya uyumlarını sağlamak üzere COSO² ve COBIT gibi çerçeve dokümanlarından faydalandıkları bilinmekte- dir.

Öte yandan ISACA ve ITGI’nin, COBIT’in sürekli ola- rak kendini yenilemesi ve geliştirmesini amaçlamaları nedeniyle, COBIT üzerinde çalışmalar 2000’li yıllarda da devam etmiş, önce COBIT 4.0 sonra da halen yürürlükte olan COBIT 4.1 dokümanı hazırlanmıştır. COBIT 4.0 ve COBIT 4.1’de organizasyonların faaliyetlerine, yönetici ve çalışanlara daha fazla odaklanılmış, her bir yönetici seviyesinde rehber kurallar getirilmiş, diğer standartla- ra (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799) olan uyum artırılmış ve karşılaştırılabilirliğin sağlanması için eşleştirme tabloları oluşturulmuştur.

Yaklaşık iki yıl önce başlayan çalışmalar sonucunda 5.0 versiyonunun yayınlanmasına çok yaklaşılmıştır.

2011 yılında yayınlanması beklenen yeni versiyon ile ISACA tarafından yayınlanan Risk IT ve Val IT’nin Co-

2 COSO genel anlamda daha çok yönetimle ilgili ve daha az BT odaklı olan bir uluslar arası iç kontrol standardıdır.

biT içerisinde birleştirilmesi, CobiT sertifikasyonunun mümkün hale getirilmesi gibi pek çok yenilik bekleniyor.

4.2. COBIT 4.1’in Yapısı

COBIT dokümanı, üç ana bölüm ve eklerden oluş- maktadır. “Yöneticiler için Bilgi Notu” kısmı, yönetici düzeyindeki kişilerin kısıtlı bir süre içinde temel COBIT kavramlarının üzerinden geçebilmeleri için hazırlan- mıştır. “Çerçeve” bölümünde, BT süreçlerinin organizas- yon ihtiyaçları için nasıl kullanılabileceği, verilere ilişkin önemli kriterler (etkinlik, verimlilik, gizlilik, bütünlük, ulaşılabilirlik, ölçütlere uyum ve güvenilirlik) ve kritik BT kaynaklarının belirlenmesi konularında bilgiler veril- mektedir.

COBIT dokümanının üçüncü ve son kısmı olan “Ana Doküman” COBIT’in çekirdeğini oluşturmaktadır. Bu bö- lümde COBIT tarafından belirlenmiş 34 adet BT sürecine ilişkin “Üst-düzey Kontrol Hedefleri” ve bu hedeflere iliş- kin detaylı alt kontroller, yönetimsel kurallar ve olgun- luk modellerine ilişkin açıklamalar yer almaktadır.

4.3. COBIT süreçleri

CobiT içerisinde 4 ana başlık altında toplam 34 sü- reç bulunmaktadır. Yukarıda da belirttiğimiz gibi bu 34 süreç, pek çok şirket için BT fonksiyonlarının hemen hepsini kapsar. CobiT içerisinde aşağıdaki süreçler bu- lunmaktadır:

  Planlama ve Organizasyon

¾ PO 1 Stratejik BT planının tanımlanması

¾ PO 2 Bilgi mimarisinin tanımlanması

¾ PO 3 Teknolojik yönün belirlenmesi

¾ PO 4 BT süreçlerinin organizasyonunun ve iliş- kilerinin tanımlanması

¾ PO 5 BT yatırımlarının yönetimi

¾ PO 6 Yönetimin amaçlarının iletilmesi

¾ PO 7 BT İnsan kaynakları yönetimi

¾ PO 8 BT Kalite yönetimi

¾ PO 9 BT riskinin değerlendirilmesi ve yönetimi

¾ PO 10 Proje yönetimi

Edinim ve Kurulum

¾AI 1 Çözümlerin belirlenmesi

¾AI 2 Uygulama yazılımının geliştirilmesi ve bakımı

¾AI 3 Teknoloji alt yapısının oluşturulması ve bakımı

¾AI 4 Operasyon ve kullanımın sağlanması

¾AI 5 BT kaynaklarının satın alınması

¾AI 6 Değişiklik yönetimi

¾AI 7 Çözümlerin ve değişikliklerin uygulanması ve akredite edilmesi

 Hizmet ve Destek

¾DS 1 Hizmet seviyelerinin tanımlanması ve yönetimi

¾DS 2 Üçüncü kişilerden alınan hizmetlerin yönetimi

¾DS 3 Performans ve kapasite yönetimi

¾DS 4 Hizmet sürekliliğinin sağlanması

¾DS 5 Sistem güvenliğinin sağlanması

¾DS 6 Maliyetlerin belirlenmesi ve dağıtılması

¾DS 7 Kullanıcıların eğitimi

¾DS 8 Hizmet sunumu yönetimi ve olay yönetimi

¾DS 9 Konfigürasyon yönetimi

¾DS 10 Problem yönetimi

¾DS 11 Veri yönetimi

¾DS 12 Fiziksel çevre yönetimi

¾DS 13 Operasyon yönetimi  İzleme ve Değerlendirme

¾ME 1 Bilgi sistemleri performansının izlenmesi ve değerlendirilmesi

¾ME 2 İç kontrolün izlenmesi ve değerlendirilmesi

¾ME 3 Mevzuata uyumun sağlanması

¾ME 4 Bilgi sistemlerine ilişkin kurumsal yönetişimin temini 

4.4. İçeriği

CobiT içerisinde, yukarıdaki her bir süreç için aşağı- dakiler bulunmaktadır:

4.4.1. Sürecin tanımı;

Süreç tanımı, her CobiT sürecinin ilk sayfasında bu- lunur ve sürecin genel hatlarını belirler. İçerisinde şu bilgiler bulunur:

¾ İlgili süreç hedefleri 9Etkinlik

9Verimlilik 9Gizlilik 9Bütünlük 9Erişilebilirlik 9Uyum 9Güvenilirlik

¾ Sürecin amacı

¾ Sürecin, iş süreçleri açısından önemi

¾ Odaklanılan konular

¾ İçerisindeki temel faaliyetler

¾ Başarı göstergeleri

¾ İlgili BT yönetişimi alanları 9Stratejik uyum

9Değer üretimi 9Risk yönetimi 9Performans ölçümü 9Kaynak yönetimi

¾ İlgili BT unsurları 9Uygulama 9Bilgi 9Altyapı 9İnsan

Süreç tanımı, CobiT’in en çok kullanılan ve en fay- dalı alanlarından birisidir. Kullanımına örnek olarak her iş yerinde bulunan bir süreci ele alalım: “Performans ve kapasite yönetimi”. Elbette sistemlerimizin performans ve kapasitesini yönetiyoruz, peki şu soruların yanıtları- nı verebiliyor muyuz?

¾ Kapasite ve performans yönetimi ne demektir?

¾ Biz bu süreci daha iyi işletince şirketin ticari fa- aliyetleri bundan nasıl yarar sağlamaktadır?

¾ Sürecin ana adımları nelerdir?

¾ Süreçte nelere odaklanılmalıdır?

¾ Performans ve kapasite yönetimini ne kadar iyi yaptığımızı nasıl ölçebiliriz?

4.4.2. Detaylı kontrol hedefleri;

Detaylı kontrol hedeflerinde sürecin işletilmesi ile ulaşılması gerekli hedefler yani iyi uygulamalar bulun- maktadır. Detaylı kontrol hedefleri, her süreç için farklı şekilde kategorilere göre ayrılmıştır. Bu bölüm ayrıca, CobiT esaslı denetimlerde uyulması gerekli bir kriter lis- tesi olarak kullanılır. Benzer şekilde CobiT uyumluluğu- nun sağlanması amacıyla gerçekleştirilen süreç iyileş- tirme çalışmalarının da dayanak noktası detaylı kontrol hedefleridir.

Örnek olarak “DS3 Performans ve Kapasite Yönetimi”

süreci üzerinden ilerlemek istersek, içerisinde şu katego- riler altında, ulaşılması gerekli hedefler bulunmaktadır:

¾ DS3.1 Performans ve kapasite planlaması

¾ DS3.2 Mevcut kapasite ve performans

¾ DS3.3 Gelecekteki kapasite ve performans

¾ DS3.4 BT kaynaklarının erişilebilirliği

¾ DS3.5 İzleme ve raporlama 4.4.3. Yönetim Kılavuzları;

Sürecin yönetilmesi için gerekli bilgilere yer veril- mektedir. İçerisinde şu konularda bilgiler bulunur:

¾ Süreç girdileri ve çıktıları: Sürece girdi olabile- cek bilgiler, dokümanlar veya diğer faaliyet sonuçları ile bu sürecin sonunda diğer süreçlere girdi olacak unsurlar.

¾ Süreçteki roller ve sorumluluklar (RACI tablo- su): Her bir süreçle ilgili öne çıkan faaliyetler ve bu faa- liyetlerin gerçekleştirilmesi sırasında işletimden sorum- lu, hesap vermekten sorumlu, danışılan ve bilgi verilen organizasyonel roller.

¾   Süreç hedefleri ve ölçüm kriterleri: Sürecin hangi şartlar gerçekleştiğinde başarılı sayılacağı ve sü- recin ne kadar iyi işletildiğinin nasıl ölçülebileceği.

4.4.4. Olgunluk Modeli ;

CobiT, ayrıca her bir sürecin ne kadar olgun şekilde yönetildiğinin belirlenebilmesi ve benzer şirketlerle karşılaştırılabilmesi için bir olgunluk modeli sunmakta- dır. Olgunluk modeli 0 ile 5 arasında 6’lı bir skala içer- mektedir ve her bir seviyeye ulaşılması için sağlanması gerekli kriterler, her bir sürece özel olarak detaylı şekil- de belirtilmiştir. Olgunluk modelinde şu seviyeler bu- lunmaktadır:

Olgunluk seviyesi Açıklama

0. Tanımlanmamış

Süreç konusunda şirket bünyesinde herhangi bir bilinç bulunmamaktadır.

Yönetim sürecin varlığından/gereklili- ğinden haberdar değildir

1. Düzensiz Sürecin gerekliliği bilinmektedir ancak düzenli şekilde uygulanmamaktadır

2. Tekrarlanabilir

Süreç tekrarlanabilir şekilde uygulan- maktadır ancak sürecin kriterleri ve uygulama esasları tanımlanmamıştır

3. Tanımlı Süreç tanımlanmıştır ve tanımlandığı şekilde işletilmektedir

4. Ölçülebilir Sürecin ne kadar iyi işletildiği ölçül- mektedir

5. Optimize edilmiş Süreç, sürekli olarak iyileştirilmektedir

4.4.5. Bilgi Teknolojileri Süreç Eşleştirme Tabloları;

CobiT içerisinde ayrıca, iş hedeflerinin bilgi teknolo- jileri hedefleri ile bağlantılarının kurulabilmesi amacıyla kılavuz olabilecek üç farklı tablo sunulmaktadır.

¾ İlk tabloda iş hedefleri, bilgi teknolojileri he- defleri ve CobiT bilgi kriterleri ile eşleştirilmiştir. Bu tab- lo kullanılarak, örnek iş hedefleri için, bu hedefleri des- tekleyen bilgi teknolojiler hedefleri ve ilgili CobiT bilgi kriterleri görülebilir.

¾ İkinci tablo, CobiT içerisindeki BT süreçleri ile genel BT hedefleri ve bilgi kriterlerinin eşleştirilmesini içerir.

¾ Üçüncü tabloda ise her bir BT süreci için des- teklenen BT hedefleri tersten gösterilmiştir.

4.4.6. İyi Uygulamalar;

CobiT, detaylı kontrol hedefleri sayesinde, her bir BT süreci için dünyada kabul görmüş en iyi uygulamaları da içermektedir. İyi uygulamalar, süreçte bulunması ge- rekli faaliyetleri, sorumlulukları, oluşturulması gereken rolleri, süreçlerin işlem sıralarını, süreçlerde kullanılması gereken girdileri ve oluşturulması gereken çıktıları ve buna benzer bilgileri içerir. Ek olarak, “CobiT control practices” dokümanında daha detaylı örnek alınabile- cek kontrol tanımları bulunmaktadır.

4.4.7. Karşılaştırma Aracı: 

İçerisindeki olgunluk modeli ile her bir BT sürecinin ne kadar olgun işletildiğinin belirlenmesi ve benzer şir- ketler ile karşılaştırılmasına da imkân vermektedir.

5. ITIL, Information Technology Infrastructure Library 

Sözcüklerinin ilk harflerinde oluşmuş bir kısaltmadır ve Bilgi Teknolojisi Altyapı Kütüphanesi olarak adlandı- rılır. ITIL, BT servislerini eksiksiz ve en iyi kalitede yönet- mek üzere geliştirilmiş servis yönetim metodolojisidir.

Farklı bir ifade ile; bilgi sistemleri ile ilintili konularda operasyon yönetimini en etkin ve verimli şekilde kur- manın yöntemlerini belirten dünyaca kabul görmüş bir pratiktir.

ITIL, 1987’de İngiltere Ticaret Bakanlığı tarafından geliştirilmiştir. İş süreç yaklaşımı sayesinde ITIL, müşte- ri, tedarikçi, BT bölümü ve kullanıcıları arasında başarılı bir şekilde iletişim kurulmasını sağlamaktadır. “En iyi uygulamalar / deneyimler” üzerine yapılandırılmış olan ITIL BT Servis Yönetimi ve dağıtımı süreçleri ile dünyada yaygın olarak kullanılmakta ve kabul görmüş bir stan- dart olarak benimsenmektedir. ITIL versiyon 2 2001’de yayınlanmıştır. 2007 yılında ITIL’ın üçüncü versiyonu bir giriş ve 5 temel kitap olarak yayınlanmıştır.

ITIL oluşumunu sağlayan 5 başlık aslında Servis yaşam döngümüzün oluşmasını sağlayan süreçler ile bunların dışında bu süreçleri etkileyen ve BT organizas- yonumuzun dışında bulunan iç müşteri ve dış tedarikçi süreçleri servis yaşam döngümüzü etkileyen süreçler- den meydana gelmektedir.

5.1. Hizmet Stratejisi: 

Servis Yönetiminin uygulanması, geliştirilmesi ve tasar- lanması konusunda rehber niteliğindedir. Bu konuda BT Organizasyonlarının müşterilerine farklı hizmetler sun- masını ve operasyonel etkinliğini artırmasını amaçlar.

Hizmet Strateji fazında, 3 temel süreci işletiyoruz:

x Hizmet Portföy Yönetimi: Hangi servislerin ve- rileceğine karar verilir.

x Talep Yönetimi: Sektör ve kullanıcı beklentileri- ni periyodik olarak değerlendirerek iş aktiviteleri plan- lanır.

x Finansal Yönetim: Hizmeti sunarken bunları en doğru maliyetler ile sunulduğundan emin olmak için segment bazlı bütçeleme, muhasebeleştirme ve öde- me yönetimi gerçekleştirilir.

5.2. Hizmet Tasarımı: 

Hizmet tasarımı, iş gereksinimleri değişimi sürecin- de önemli bir eleman ve genel servis yaşam döngüsü içerisinde önemli bir katmandır.

Özelleştirilebilir ve Yenilikçi BT Hizmetleri tasarımı, süreçler, politikalar ve belgeler de dahil olmak üzere mevcutta kabul edilmiş ve gelecekteki iş gereksinimle- rini karşılamak için oluşturulan mimarilerdir.

Başarılı bir tasarımın yapılabilmesi için 4P (People, Product, Processes, Partners) tasarımının doğru yapıl- masına bağlıdır.

Hizmet Tasarımı fazında 5 temel süreci işletiyoruz.

x Hizmet Katalog Yönetimi: Hizmet kataloğu, servis destek sağlayıcısı tarafından BT servisleri hakkın- daki bilgilerin merkezi bilgi kaynağı üzerinden iletimin- den sorumludur.

x Hizmet Seviyesi Yönetimi:  Spesifik hizmetler ile ilişkilendirilmiş garanti seviyeleri, Hizmet sağlayıcı ile ilgili performans seviyeleri, müşteri ile yapılan anlaşma- nın yönetilmesi ve güvenliği, fiyatlandırılması konula- rından sorumludur.

x Tedarikçi Yönetimi:  Sunulan hizmetlerin bu- lunurluk, erişilebilirlik ve kullanılabilirlik düzeyleri göz- lemlenerek, müşteri beklentisinin karşılanmasına yöne- lik çalışmalar yürütülür.

x Bilgi Güvenliği Yönetimi: Servisler de dâhil ol- mak üzere tüm BT envanterlerini gelebilecek tehditlere karşı korumak ile ilgilenen süreçtir.

x Tedarik Yönetimi:   Hizmet Seviyesi Yönetimine ((SLM)- Service Level Management)) çok benzer bir rol oynar ve Hizmet tasarımı içerisinde kritik bir rol alır. İç tedarikçi ve müşterilerden daha çok dış tedarikçiler ile ilgilenir.

x Kapasite Yönetimi: Uygun maliyetlere beklen- tileri karşılayacak kapasite yönetimini sağlamaya çalışı- lır. Bu süreçte kapasite yönetimi yaparken kullanıcılara ekstra maliyetler çıkararak servis maliyetini artırmaktan kaçınılmalıdır.

Bilgi Hizmetleri Devamlılık Yönetimi: Herhangi bir fela- ket olayı esnasında BT hizmet ve servisleri için planlama ve risk yönetimi ile ilgilenir. BIA (Business Impact Analy- sis) ve MOR(Management of Risk) tekniklerini kullana- rak iş sürekliliği yönetiminde büyük çaba harcar.

5.3. Hizmet Geçişi:

Hizmet geçiş rolü, Oprasyonel süreçte kullanılmak üzere iş gerekliliklerini iletir.

Hizmet geçişi, Servis tasarım aşamasından Hizmet tasarım paketini alması ile başlar ve Operasyonel aşa- maya devam eden operasyon ve hizmet desteği için gerekli tüm bilgileri ve elemanları teslim eder.

İş Koşulları, gereksinimleri ya da varsayımlar tasa- rım sürecinden sonra değişime uğradıysa, Hizmet geçiş aşamasında gerekli hizmeti sunmak için bir takım deği- şiklikler gerekebilir. Unutulmaması gereken en önemli nokta Hizmet Geçişi sadece uygulamalarla ve/veya nor- mal şartlar altında nasıl kullanıldığı ile değil hizmetlerin tüm yönleri ile uygulanmasından sorumludur.

x Değişim Yönetimi:  Değişiklik Yönetimi, ilgili değişikliklerin değerlendirilmesi, kayıt edilmesi, önce- liklendirilmesi, planlanması, test edilmesi, uygulanması, belgelenmesi ve düzenli şekilde gözden geçirilmesini sağlar.

x Yapılandırma Yönetimi:  Sistemsel varlıklarının ve müşteri envanterinin eşleştirmesini elektronik or- tamda kaydedip, sürekli güncel kalmasını sağlayacak süreçler yönetilir.

x Bilgi Yönetimi: Bilgi Yönetimi, işin gerektirdiği hizmet desteğini, doğru kişiye doğru bilgi ile doğru za- manda iletmekten sorumludur.

x Varlık Yönetimi: Organizasyonun BT altyapısı içinde kullandığı tüm varlıkların yönetimini içerir. Bu BT varlıklarına ‘Konfigürasyon Öğeleri’ denir ve KÖVT (Kon- figürasyon Öğesi Veri Tabanı) içinde yer alırlar. Varlık Yö- netimi ITIL en iyi pratikler içinde yer alan Konfigürasyon Yönetimiyle tamamen etkileşim içindedir.

5.4. Hizmet Operasyonu: 

Hizmet Operasyonu, kullanıcılarına ve müşterilerine belirlenmiş hizmet seviyesini sağlayacak olan uygula- ma yönetimi, teknoloji ve altyapı hizmet desteği sunar.

Bu hizmetler sadece servis yaşam döngüsünün bu aşamasında işe gerçek değerini verir. Hizmet yaşam döngüsü, hizmet operasyonu aşamasında, kabul edi- len parametreler dahilinde faaliyet sağlamakla ilgilenir.

Herhangi bir hizmet kesintisi meydana geldiğinde, hiz- met operasyonu olabildiğince çabuk şekilde servisleri

geri yükleyerek iş etkisini en aza indirgiyor.

Bu süreç, temel parametreler olan “Reactive-Proac- tive”, “Internal-External”, “Cost-Quality”, “Stability- Fle- xibility” arasında denge sağlamak durumundadır. Eğer bu dengeyi kuramazsa hizmet operasyonu kötü olarak görünüyor olacaktır.

En önemli kısımlardan biri ise, operasyon esnasında olan iletişimdir ver her ne olursa olsun iletişimin doğru algılanması kurulması gerekir. Bu ilişkiler;

BT Hizmet sağlayıcı ile kullanıcı arasındaki iletişim.

BT Hizmet sağlayıcı ile Müşteri arasındaki iletişim.

BT Hizmet sağlayıcı içerisinde yer alan farklı süreçler, fonksiyonlar ve takımlar arasındaki iletişim.

BT Hizmet sağlayıcı ile tedarikçileri arasındaki ileti- şim.

x Sorun Yönetimi:  Olası herhangi bir sorunun bildirilmesi ile gelen isteğin işe etkisinin en aza indir- genmesi noktasında çoğunlukla servislerin hızlı şekilde restorasyonu sağlar. Fakat bazı vakalardan durum sorun yönetiminden çıkarak yardım masası tarafından sahip- lenilir ve uygulanır.

x Problem Yönetimi: Problem Yönetiminin amacı , BT altyapısı içerisinde, hataların neden olduğu olay- lar ve problemlerin ters etkisini en aza indirgemek, bu hatalarla ilgili olayların yinelenmesini önlemektir. Bu amacı gerçekleştirmek için problem yönetimi, olayların temel nedenini araştırır ve bu durumu düzeltmek ya da iyileştirmek için gereken eylemleri başlatır. Problem Yönetim sürecinde iki tür yaklaşım geçerlidir. Birincisi BT alt yapısını oluşturan ürünleri, sistem ve ağ yönetim araçları ile izlemek, ortaya çıkması olası problemleri dü- zeltmek (proactive yaklaşım), diğeri ise bir ya da daha fazla Olay meydana geldikten sonra buna karşılık gelen Problemin çözümüyle ilgilidir (reactive yaklaşım).

x Olay Yönetimi: Olay yönetim sürecinin birincil amacı normal servis işletimine mümkün olduğunca ça- buk geri dönmek ve iş işletimi üzerindeki ters etkiyi en aza indirgemek ve sonuç olarak en iyi olası servis kali- te seviyesini tutturmak, kullanılırlığı sağlamak. Burada anılan ‘Normal servis işletimi’, Servis Seviye Anlaşması sınırları içinde yürütülen servis işletimidir.

ITIL terminolojisinde ‘Olay’ şu şekilde tanımlanır:

Standart servis işletiminin bir parçası olmayan ve kesintiye ya da o servisin kalitesinin düşmesine neden olan duruma ‘Olay’ denir.

Olay kategorilerine şu örnekleri verebiliriz :

¾ Uygulama

9 Servis kullanılabilir değil

9 Uygulama yanlışı/sorgu Müşterinin çalışmasını önlüyor Disk-kullanım eşik değeri aşıldı

¾ Donanım

9 Sistem çalışmıyor Otomatik uyarı 9 Yazıcı çalışmıyor

9 Konfigürasyon bilgisine erişilemiyor Servis is- tekleri

9 Bilgi/öneri/belge istemi 9 Unutulmuş şifre

x Erişim Yönetimi:  Erişim Yönetimi kimlik ve haklar ile ilgilenir. Bu süreç kimlik ve yetki doğrulama, hizmetlere erişim verme, işlem günlüğü, erişim izleme- kaldırma yada durum veya rollerin haklarını değiştirme- yi içerir. Erişim Yönetimi, gizlilik, kullanılabilirlik ve veri bütünlüğünü yönetmenize yardımcı olur. Yetkili olma- yan kullanıcıların erişimlerini engellerken, erişim yetkisi olan kullanıcıların bir servise yada servis grubuna erişi- mini sağlar.

x İsteğin Yerine Getirilmesi: Hata yönetimine da- hil edilemeyecek ortak kullanıcı istekleri olarak adlandı- rılmaktadır. Yeni bir ekipman yada bir eğitim isteği bu başlığın altında değerlendirilir. Özellikle belirli periyot-

larda kullanıcılar tarafından yapılmakta olan bir isteğin cevaplandırılması için idealdir. Bütün istekler kayıt edil- meli ve izlenilmelidir. Bu süreç içerisinde aynı zamanda dikkat edilmesi gereken en önemli konu ise isteğin ce- vaplanmadan önce onay sürecine sokulmasıdır.

5.5. Hizmet İyileştirme Devamlılığı:

Değişen iş ihtiyaçlarına göre fonksiyonların, süreç- lerin ve hizmetlerin yeniden uyumlu hale getirilmesi sürecidir. Aynı zamanda Genel Hizmet yönetimi içeri- sindeki kalite yönetim yöntemleri uygulama tutarlığı ile ilgilenir.

ITIL içerisinde “Ölçü (Measurement)” kritik bir rol al- maktadır. Hizmet iyileştirme sürekliliğinin bir parçası, aynı zamanda Hizmet Seviyesi Yönetiminin ve tüm sü- reçlerin önemli bir parçasıdır. Ölçümleri burada 4 temel amaç için kullanılabilir;

¾ Doğrulamak (Justify)

¾ Direkt (Direct)

¾ Müdahale (Intervenne)

¾ Onaylamak (Validate)

7 adımda iyileştirme süreci ölçümleme ile hizmet performansının düzeltilmesi ve iyileştirilmesini sağlıyor.

¾ Karar = Ne Ölçülmelidir

¾ Karar =Ne Ölçülebilir

¾ Veri Toplama

¾ Veri İşleme

¾ Veri Analizi

¾ Veri Kullanma ve sunma

¾ Düzeltici Eylem (Aksiyon) uygulama

Hizmet Seviyesi Yönetimi (SLM) aynı zamanda Servis Tasarım yaşam döngüsü aşamasının içerisindeki süreç- lerden birisidir. Birçok aktivite ve nesne hizmet iyileş- tirme sürekliliği ile ortaktır. Özellikle her iki hizmet se- viyesi yönetimi ve iyileştirme sürekliliği düzenli ölçüm, servislerin gözden geçirilmesini ve servis yönetim başa- rımının diğer yönlerini vurgulamaktadır.

6. INTOSAI (Uluslararası Yüksek Denetim Ku- rumları Birliği) Standartları

Yüksek denetim kurumları arasında işbirliğinin sağlanması, geliştirilmesi ve güçlendirilmesi amacıyla 1953 yılında Küba’da INTOSAI (International Organiza- tion of Supreme Audit Institutions – Uluslararası Yük- sek Denetim Kurumları Birliği) oluşturulmuştur.

INTOSAI›nin temel amacı, farklı ülkelerin yüksek dene- tim kurumları arasındaki ilişkileri güçlendirerek, özellik- le kamusal mali denetim alanında bilgi, görüş ve dene- yim alışverişini geliştirmek, üyelerine ihtiyaç duydukları her alanda destek sağlamaktır. INTOSAI, bu amaçla her üç yılda bir ve değişik ülkelerde Kongreler düzenleye- rek, kamu mali yönetimi ve denetimi alanında güncel konu ve sorunların tartışılmasını ve kararlar alınmasını sağlamaktadır.

INTOSAI’nin denetim standartlarında bilişim sistem- leri ile ilgili hususlar iç kontrollerin değerlendirilmesi aşamasında değerlendirilmektedir. Bu çerçevede bili- şim sistemleri ile ilgili INTOSAI standartları şunlardır;

6. Temel önermeler şunlardır:

……

g) Yeterli bir iç kontrol sisteminin varlığı hata ve düzensizliklere ilişkin riski asgariye indirir.

…….

12. Sayıştaylar sıkça katı denetim tanımı içine soku- lamayan, fakat daha iyi bir yönetimin oluşumuna kat- kıda bulunan çeşitli işler yaparlar. Denetim tanımı içine sokulamayan işlere ilişkin örnekler şunlardır;

…………

(f ) bilgi işlem fonksiyonları.

Denetim tanımı içine sokulamayan bu tür faaliyet- ler, karar verme durumunda bulunan kişilere değerli bilgiler sağladığından, bunların sürekli olarak üstün vasıflarını korumaları gerekir.

39. Düzenlilik denetimi şunları içerir:

……….

d) İç denetimin ve iç kontrol fonksiyonlarının dene- timi;

……….

40. Performans denetimi, verimlilik, etkinlik ve tu-

tumluluğun denetimi ile ilgili olup şunları kapsar:

………..

b) İnsan, mali ve diğer kaynakların kullanımındaki verimliliğin, bilgi sistemleri, performans ölçüleri ve gözetim düzenlemeleri ve denetlenen kurumlarca be- lirlenen eksiklikleri gidermek için izlenen yöntemlerin incelenmesi de dahil olmak üzere denetlenmesi;

………

86. Sayıştay, denetim görevinin etkin bir şekilde ye- rine getirilmesi için gerekli olan deneyim ve beceriler kapsamını belirlemelidir. Yüklenilen denetim görevi- nin tabiatı ne olursa olsun denetim, bu görevin niteli- ği, güçlüğü ve kapsamı ile orantılı eğitim ve tecrübeye sahip kişilerce yerine getirilmelidir. Sayıştayın kendisini, iç kontrol mekanizmalarının güvenilirliğine dayalı de- netim tekniklerini (sistem tabanlı teknikler), mali tablo analiz metotlarını, istatistiki örneklemeyi ve bilgi işlem sistemlerinin denetimini içeren tüm güncel denetim metodolojileri ile donatması gerekmektedir.

Planlama

134. Bir denetimin planlanmasında denetçi;

…………..

e) Belli başlı yönetim sistem ve kontrollerini belir- lemeli ve bunların hem güçlü hem de zayıf taraflarını ortaya çıkarmak amacıyla ön değerlendirme yapmalı;

f ) Üzerinde durulacak konuların önemliliğine karar vermeli;

g) Denetlenen kurumun iç denetimini ve çalışma programını gözden geçirmeli;

h) Diğer denetçilerin, örneğin iç denetimin, güveni- lebilirlik derecesini değerlendirmeli;

i) En verimli ve en etkin denetim yaklaşımına karar vermeli;

………..

İç Kontrolün İncelenmesi ve Değerlendirilmesi

KAYNAKÇA

t
Emini, Filiz Tufan, (2007), “Kamu Yönetiminde Bilişim Sistemlerinin Strateji Gelitirme Amaçlı Kullanımı:Kuram ve Selçuk Üniversitesiİktisadi İdari Bilimler Fakültesi İçin Bir Model Önerisi”, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü,Konya.

t
IT Governance Institute, COBIT 4.0, Illinois Eyaleti, 2007.

t
IT Governance Institute, COBIT 4.1, Illinois Eyaleti, 2007.

t
Kayrak, Musa, (2007) “Bilişim Sistemeleri Stratejisinin Önemi ve Sayıştay Deneyimi” , Sayıştay Dergisi, Sayı:65 t
Köse, Hacı Ömer (2007), “Dünyada ve Türkiye’de Yüksek Denetim”, http://www.sayistay.gov.tr/yayin/yayinicerik/

aras12yukden.htm (Erişim Tarihi:20.12.2011)

t
Özbilgin, İzzet Gökhan; İmamoğlu Meltem Yıldırım, (2010) “Bilişim Sistemleri Denetimi ve Kamu Kurum- ları”, Todai-KAYFOR

t
Özkul, Davut, (2002) “Bilişim Sistemi Kavramı ve Bilişim Sistemlerinin Denetimi”, Sayıştay Dergisi, Sayı:

44–45,

t
Özkul, Davut, (2002) “Bilişim Sistemleri Denetimi”, , G.Ü. Sosyal Bilimler Enstitüsü, Ankara, t
Yıldız, Özcan Rıza,(2007) «Bilişim Sistemleri Denetimi ve Şayıştay», Sayıştay Dergisi, Sayı: 65,

t
Weber, R., (2003) Information Systems Control and Audit, 1999, Akt. ASOSAI, IT Audit Guidelines, ASOSAI Rese- arch Project

t
http://en.wikipedia.org/wiki/COBIT t
http://www.isaca.org/cobit/

t
http://tr.wikipedia.org/wiki/Bilgi_Teknolojisi_Altyap%C4%B1_K%C3%BCt%C3%BCphanesi t
http://www.intosai.org

t
http://www.mshowto.org/itil-nedir-surec-haritalari-versiyon-farkliliklari-ve-standardizasyon.html t
http://www.cozumpark.com/blogs/cobit-itil/archive/2010/11/21/cobit-nedir.aspx

t
http:// http://eski.tbd.org.tr/resimler/ekler/efb100a295c0c69_ek.pdf?tipi=27&turu=X&sube=0 142. Denetlenen kurumun iç kontrolü, yürütülen

denetim tipine göre değerlendirilmelidir. Düzenlilik (mali) denetiminde bu değerlendirme, varlıkları ve kaynakları teminat altına almaya yönelik ve muhasebe kayıtlarının doğru ve tam olmasını sağlayan iç kontrol- ler üzerinde yapılmalıdır. Düzenlilik (uygunluk) deneti- minde söz konusu değerlendirme, idarenin kanun ve nizamlara uymasını sağlayan kontroller üzerinde yapıl- malıdır. Performans denetiminde ise anılan değerlen- dirme denetlenen kuruluşun işlemlerinin ekonomik, verimli ve etkin bir şekilde yürütülmesine ve bu arada yönetim politikalarına bağlı kalınmasına ve vaktinde güvenilir mali ve idari bilgi üretilmesine yardımcı olan kontroller üzerinde yapılmalıdır.

144. Muhasebe ve diğer bilgi sistemlerinin bilgi- sayarlaştırıldığı ortamlarda denetçi, denetlenen kuru- mun iç kontrolünün doğruluk, tamlık ve güvenilirliği ne dereceye kadar sağladığını araştırmak durumun- dadır.

Denetim Kanıtı

153. Denetim bulgu sonuç ve tavsiyeleri kanıta da- yanmalıdır. Denetçilerin denetlenen kurum hakkındaki tüm bilgileri değerlendirmeleri her zaman mümkün ol- madığından, veri toplama ve örnekleme tekniklerinin dikkatli seçilmesi gerekmektedir. Bilgisayar temelli sis- tem verileri denetimin önemli bir parçasını oluşturdu- ğunda ve veri güvenirliği denetim hedefini gerçekleş- tirmede hayati bir rol oynadığında, denetçilerin verinin güvenilir ve hedefle ilgili olduğu konusunda tatmin olmaları gerekmektedir.

INTOSAI Denetim Standartlarında; işlerin yeterli ka- litede yürütebilmesi için gerekli yeterliliğe sahip olun- ması ve iç kontrol mekanizmalarının güvenilirliğine dayalı denetim tekniklerini (sistem tabanlı teknikler), mali tablo analiz metotlarını ve bilişim sistemlerinin denetimini içeren tüm güncel denetim metodolojile- riyle donatılması gerektiği belirtilmektedir.