52

Şirketler de orkestra gibidirler. Her departmanın ayrı bir ses tınısı

vardır. Kendi başlarına iyi işler yapabilmeleri yeterli değildir. Bir bü-

tün olarak, diğer tüm enstrümanlarla ahenk içerisinde çalışabilmeli,

bütünün parçasındaki yerlerini görebilmelidirler. COBIT’i bir

orkestra şefine benzetiyoruz. Tüm departmanların bilgi teknolojileri-

ne bağlı hale geldiği günümüzde, BT ekseninden şirketin vizyon ve

stratejisini belirleyip yöneten yeni orkestra şefimiz; COBIT.

Mehmet Cüneyt Üvey

Mehmet Cüneyt Üvey

Orkestra Şefiniz: COBIT

53

1- Bize kendinizden, iş dünyasındaki yerinizden ve akademik konumunuzdan bahseder misiniz?

1967 doğumluyum. Tarsus Amerikan Koleji ve ODTÜ Kamu Yönetimi’nden mezunum. T.C. Ziraat Bankası Bankacılık Okulu’nu ilk açıldığı yıl kaza-narak, ODTÜ sonrasında 1 yıllık Bankacılık Eğiti-mi aldım. 1990’ların başında borsa, menkul kıymet-ler, yatırım fonları, hazine bonoları ve devlet tahvilleri gibi konular çok popülerdi. Bankacılık Okulu sonrasında Ziraat Menkul Değerler Müdürlüğü’nde çalıştım. Özel sektör deneyimi elde etmek ve özellikle denetim konusunda kendimi ge-liştirmek üzere 1991’de Yapı Kredi Bankası (YKB) Teftiş Kurulu’na girdim. İki sene kadar, ülkemizin farklı yerlerinde ve farklı boyutlarda hizmet veren genel müdürlük birimlerinin denetimlerinde müfet-tişlik yaptıktan sonra, 1993-95 yılları arasında Amerika’da İş İdaresi (MBA) üzerine Bloomsburg University - Pennsylvania’da yüksek lisans eğitimi aldım. MBA sonrasında YKB’ye geri döndüm.

YKB’de 2000 yılında, belki de Türkiye’deki ilk ve en geniş kapsamlı CO-BIT uygulama projesini başlattım ve yönettim. O dönemde üst yönetimin vizyonerliği sayesinde, COBIT’i yazan insanları da getirterek, Türkiye’de birlikte çalışma fırsatımız oldu. Projenin bir bacağı; YKB’deki 550 kişinin ça-lıştığı teknoloji organizasyonu içerisinde, süreçlerin ayrıştırılması ve oturtulması yönünde uygulanırken, diğer bacağı ise, Teftiş Kurulu’nun Bilgi Teknoloji-leri (BT) denetimi yapabilir hale getirilmesi şeklin-de uygulandı. Proje tamamlanır tamamlanmaz, COBIT uygulama-ları ile ilgili yol haritasını hayata geçirmek ve YKB Teknoloji Yönetimi’nin tüm BT süreçlerinin ve pro-jelerinin risklerinin yönetimi işinin sorumluluklarını

aldım. Öncelikle Teftiş Kurulu’na BT denetimi fonk-siyonunun kazandırılmasını takiben, BT Risk Yöne-timi birimini kurdum ve işleyişe geçirdim. Böylelikle Türkiye’deki ilk BT Risk Yöneticisi oldum.

Yapı Kredi’de 16 yıl süren muhtelif görevlerim sı-rasında; mesleki gelişimime katkıda bulunması e bilgilerimin standartlara uygun bir şekilde yeterli olduğunu belgelemek adına uluslararası geçerliliği olan CGEIT (BT Kurumsal Yönetişim), CISA (BT Denetçisi), CISM (Bilgi Güvenliği Yöneticisi), ISO 27001 LA (Bilgi Güvenliği Yönetim Sistemi Baş

Tetkikçisi), PMP (Proje Yöneticiliği) sertifikala-rıyla ilgili eğitimleri ta-mamladım.

2004 yılında, ODTÜ Enformatik Enstitüsü’nde, sonradan üç farklı bölümde (IS, SM ve ION) birden verilebilecek “IT Governance” adındaki dersimi vermeye başladım. ODTÜ’de bu ders çok tuttu ve hatta bazı kurumlardan dersi almaya istekli birçok yönetici ve çalışanlar derse özel öğrenci/izleyici olarak kaydoldular. Sabancı Üniversitesi ile de bu konuda anlaştım. Sabancı Üniversitesi’nde IT (Bil-gi Teknolojileri) ve ITM (Yönetimde Bilişim Sis-temleri) programları var; orada da bu dersi vermeye başladım. İstanbul Ticaret Üniversitesi’nde de özel-likle bilgisayar sistemlerinin denetimi konusundaki ihtiyacı gidermek üzere, Muhasebe ve Denetim Master öğrencilerine BT Denetimi dersi verdim.

COBIT’i Türkiye’ye ilk getiren ve Yapı Kredi Bankası’nda hayata geçmesini sağlayan, akademisyen ve danış-

man olan sayın Mehmet Cüneyt Üvey ile geçmişten günümüze COBIT’i, finans dünyasını, CIO’ları, akademik

ve iş dünyasındaki ilişkileri konuştuk. Bilgi ve tecrübelerini detaylı olarak dergimizle paylaşan Cüneyt hocamı-

za teşekkür ediyoruz. BT yöneticilerinin mutlaka okuması gereken bu röportaj, optimizasyona giden bir yol

haritası niteliği taşımaktadır. Keyifli okumalar…

Röportajı hazırlayan: Burak Bulduk

Biz bir şeyi kontrol edebiliyorsak, demek ki

yönetiyoruz. Peki, daha iyi nasıl yönetebiliriz?

54

Son olarak da Bilkent MBA programında, bu sefer de iş dünyasından gelen insanların teknolojiye adaptasyonu yönünde, bu dersi vermeye başladım.

Bu derslerden birkaç tanesi sürüyor, bazıları ise senede 1 - 2 ders şeklinde devam ediyor. So-nuçta profesyonel deneyimlerimi paylaşmak ve yetişen gençlere yönetsel özellikler kazandır-mak için COBIT’i, ISO 27001’i, ITIL’ı ve ben-zeri en iyi uygulamalar ve standartları kullana-rak akademisyenliğe de adım atmış oldum. Geleceğin BT yöneticilerini, çalıştıkları alanlar-da ve kurumlarda her şeyi şimdiden tepeden gö-rebilecekleri yöntemlere sahip olmak üzere ye-tiştirmeyi kendime bir misyon edindim.

Şuanda, Ankara’da bulunan TNS ve Stratek adlı kardeş firmalarda danışman olarak çalışmakta-yım. Kamu kurum ve kuruluşlarına bilgi hizmet-leri sunarak, eğitimler vererek, yurtiçi ve yurtdı-şındaki projelerde roller alarak iş hayatıma devam ediyorum.

2- COBIT konusundaki uzmanlığınız ve çalış-malarınız nelerdir?

COBIT’i 2000’li yılların başında Türkiye’de ilk uygulayan ve tanıtmaya çalışan kişilerden biri olarak söyleyebilirim ki; özellikle İmar Bankası olayından sonra bilgi teknolojileri denetiminin öneminin ve gerekliliğinin anla-şılması, COBIT’in yaygınlaşmasını çok hız-landırdı. COBIT’in denetim için seçilen yön-tem olması yönünde uzun soluklu çalışma ve toplantılar yapılarak; bankalar, BDDK ve ba-ğımsız denetim ve danışmanlık kuruluşları arasında 2003 yılında başlayan çalışmalar so-nucunda ortak bir çizgi belirlendi. Benim kişi-sel olarak bu işi YKB bünyesinde 2003 önce-sinde projelendirip, çalışmalarımı COBIT’e dayalı olarak devam ettirmem büyük avantaj-lar sağladı. Bir anlamda, BDDK’nın belirle-miş olduğu yöntemin uygulama tecrübesine sahip olunmaması nedeniyle bütün bankalarda ve denetim - danışmanlık kuruluşlarında CO-BIT ile ilgili bir know - how gereksinimi orta-ya çıktı. Ben bu sayede gerek özel eğitim ku-rumlarına destek olarak, gerekse Bankalar Birliği’ndeki bütün bankalara eğitimler dü-zenleyerek 40’ar kişilik gruplar halinde 200’den fazla bankacının COBIT ile tanışma-sına ve bu yöntemi öğrenmelerine vesile ol-dum. Bu açıdan baktığımız zaman COBIT ile

ilgili yaptığım çalışmaları ve kendi hazırladı-ğım akademik çalışmaları ISACA ile yani COBIT’i yazan kuruluş ile paylaşarak, ISACA’nın bana COBIT Eğitmeni olarak ak-reditasyon vermelerini sağladım. Dünyada ISACA’nın akredite ettiği ve sayısı 20’yi geç-meyen COBIT eğitmenlerinden biriyim. Yıllardır kurmaya çalıştığımız ISACA İstanbul Chapter, 2009 başında resmi olarak kuruluşunu tamamladı. Bilgi Teknolojileri’nin Denetimi ve Kurumsal Yönetimi ile ilgili faaliyet gösterecek olan bu derneğin kurucuları arasında olan birisi olarak, COBIT’in yaygınlaşması ve kullanımı ile ilgili birçok eğitim, bilinçlendirme ve uygu-lama çalışmasına rehberlik etmek yönünde ça-lışmalarımızın olacağını düşünüyorum. ISACA ve ITGI çatısı altındaki meslektaşlarımla birlik-te, ülkemizde mesleki standartların belirlenme-sinde, konferans ve seminerlerin düzenlenme-sinde, uluslararası yayınların adaptasyonunda ve bunları destekleyen akademik çalışmalarda da yer alacağımızı umuyorum.

3- Türkiye’ de COBIT tam anlaşılmış ve benim-senmiş bir konu değil! Konunun uzmanı olarak COBIT’in ne olduğunu ve tarihsel gelişimini ta-nımlar mısınız?

İsterseniz ilk önce bu COBIT kısaltmasının keli-me açılımını yaparak başlayalım: “Control Obje-ctives for Information and Related Technologies” sözcüklerini “Bilgi Teknolojileri ve ilgili tekno-lojiler için Kontrol Hedefleri” şeklinde çevirebi-liriz Türkçeye. Tabii, konu çeviri yaparak da an-laşılabilecek kadar kolay değil. COBIT, özellikle bankacılık ve finans çevresinde, BDDK’nın ve dış denetim & danışmanlık firmalarının çalışma-ları sonucunda denetim boyutu ile gayet iyi anla-şılmaya başlanmıştır. Ancak yine de farklı sektör-lerde de daha iyi kavranabilmesi ve yaygınlaşabilmesi için temel teorik bilgi ile baş-lamakta yarar vardır. Kitabı www.isaca.org’dan ücretsiz olarak edinebilirsiniz. Ancak COBIT’i anlamak için kitabı okumak pek yeterli olmamak-

55

tadır. Kitaptaki kavramları gerçek hayat ile bağ-daştırabilmek, örneklerini yaşamak, yani tecrü-beli bir BT Yöneticisi olarak konuya hakim bir bakış açısı edinmek gerekir.

COBIT’in tarihçesine bakarsak, ilk önce 1996 yılında bir denetim Checklist’i olarak ortaya çıkı-yor. Denetlenecek süreçlerin, bilginin yönetimi açısından; “etkinliğini, verimliliğini, gizlilik - bütünlük ve erişilebilirliğini, güvenilirliğini ve düzenlemelere uyumluluğunu” dikkate alan yedi kriter sorgulanıyor. 1998’ e geliyoruz; COBIT’ in ikinci versiyonu çıkıyor. Bu versi-yon, denetimin, olay gerçekleştikten sonra olan bir şey olması nedeniyle, denetimden önce ge-rekli standartları ve yapılması gereken işleri belirlemek amacıyla daha anlamlı bir “kontrol standardı” haline dönüşüyor. “Kontrol” kavra-mının tanımını yapmak gerekirse; “istenmeyen bir olayı öncelikle önlemek, önleyemiyorsak tespit etmek veya istemediğimiz olay gerçekle-şiyorsa bu olayın bize vereceği zararı asgariye indirmek için durumu düzeltmek” şeklinde ta-nımlayabiliriz. Mesela bir deprem gerçekleş-mesini önleyemezsiniz. Depremin gerçekleşti-ğini ancak olduğu anda tespit edebilirsiniz. Fakat deprem sonrası yapmanız gerekenleri ön-ceden planlar ve deprem olduğunda da bunları uygulamaya geçirirseniz, depremin zararlarını asgariye indirebilirsiniz. Bu şekilde düşünür-sek, COBIT’ teki (Control) kontrol dediğimiz

ve “C” harfine tekabül eden kelime bu anlama geliyor. Control Objective (kontrol hedefi) ise bu kontrolü ne için uyguladığınız anlamına ge-liyor. Mesela, kontrol hedefi depremi engelle-mek değildir; depremin size vereceği insani zararı ve maddi kaybı engellemek bir kontrol hedefi olabilir… Özellikle 1996’da COBIT’in bir denetim Checklist’i olarak ortaya çıkmasın-dan sonra 1998’de kontrol mantığını kazanmış olması ve 2000 yılına kadar kontrol odaklı bir yaklaşımı olması nedeniyle, COBIT aslında 1996 – 2000 yılları arasında olgunlaşmıştır. 2000 yılında, “Biz bir şeyi kontrol edebiliyor-sak, demek ki yönetiyoruz. Peki daha iyi nasıl yönetebiliriz?” bakış açısından yola çıkılarak, COBIT’in aynı zamanda bir yönetim çerçevesi olduğu yönünde bir yaklaşım gelişti ve bir set halinde COBIT 3 versiyonu çıktı. Yönetim reh-beri, ölçüm kriterleri, yönetsel özet, kontrol hedefleri, uygulama rehberi, denetim rehberi vb. yönetişim araçları da ayrı kitaplar olarak setin içerisinde yerlerini aldılar.

Kurumlarda, endüstri devriminden bu yana gelişen Corporate Governance (Kurumsal Yö-netişim) dediğimiz konular ve kavramlar var. COBIT gelişimini sürdürdükçe ve yaygınlaş-tıkça, sadece BT yönetimi değil, BT ile iş dün-yasının da birbirleri ile etkileşimini iyileştir-meye çalışan bir yöntem olduğu için 2005 yılından itibaren artık bir IT Governance (bilgi teknolojilerinin kurumsal yönetişim yöntemi) olarak dönüşüme uğradı. COBIT’in 4.0 ve 4.1 versiyonları, iş dünyası ile BT dünyasını birbi-rine yaklaştırmaya çalışan, özellikle “stratejik uyum, katma değer yaratmak, kaynakların et-kin ve verimli yönetimi, risklerin yönetimi ve performansın ölçümlenebilmesi” alanlarında kullanılmaya uygun bir Governance yöntemine dönüşmüş durumdadır.

Yapısal olarak COBIT’in 4 temel faaliyet ala-nı altında gruplanmış 34 süreçten oluştuğunu görüyoruz. Her bir süreç ile yukarıda saydığı-mız 7 adet Bilgi Kriteri ve 4 adet BT Kaynağı

56

(Uygulamalar, Bilgiler, Altyapı ve İnsan Kay-nakları) bağlantıları kurulmuştur. BT Yönetişi-mi açısından da her bir sürecin, hangi yönetsel boyuta hizmet ettiğinin ilişkisi net olarak COBIT’de belirtilmiştir. Bunlar ilk bakışta an-laşılabilecek durumdadır. Ayrıca COBIT’in hangi sürecinin hangi süreçlere girdi sağladığı ve hangi süreçlerin çıktılarından yararlandığı da açıkça ortaya koyularak süreçlerin birbirleri ile ilişkileri tanımlanmıştır.

4- Bence kavram karmaşasına yol açan bir durum var; COBIT bir kalite yönetim süreci midir?

COBIT öncelikli olarak COSO Kontrol Modeli’nden esinlenerek, BT Süreç ve Kontrollerine yönelik olarak ortaya koyulmuş bir şemsiyedir. BT süreçlerinin tü-müne, bir modelleme yaparak veya COBIT’in oluştur-duğu model gözlüğü ile tepeden bakabiliyorsunuz. Kalite yönetiminde ise var olan süreçlerinizi dokü-mante edersiniz. Bu süreçlerin ölçüm kriterlerini, girdi – çıktılarını tanımlarsınız. Süreçlerde; yaptı-ğınızı yazdığınız veya yazdığınızı yaptığınızın tu-tarlılığı ve sürekli iyileştirme gibi gereksinimleri yerine getiriyorsanız, kalite sistemi %80 kurulmuş demektir. Ama olaya COBIT tarafından bakarsak, herhangi bir BT organizasyonunun 34 süreçlik bir model ile ifade edilmesi ve COBIT’in tüm BT or-ganizasyonlarına kısmen veya tamamen uygulana-bilecek bir çerçeve olduğunu düşünebiliriz.

Kalite yönetim sisteminde, bir iş yapılıyorsa bu bir

süreçtir. COBIT’de ise işler zaten BT kurumlarında

yapılır; onların süreç modelinde yerleri bellidir. Kalite

yönetimi, gereksinimlerinin çoğunu COBIT ile karşı-

lar. Bir BT organizasyonunda ayrı bir kalite sistemine ihtiyaç yoktur. Süreçler zaten modellenmiştir. Siz kali-te yönetimi sisteminde sıfırdan bir şeyler yapmaya ça-lışırsınız. Fakat elinizde bir COBIT gözlüğü olduğu zaman KYS ile ilgili bir BT organizasyonunun gerek-sinimlerinin tümünü (ölçüm yöntemleri, hedefler, rol tanımları ve görevleri) belki de fazlasıyla COBIT içe-risinde hazır bulabilirsiniz. Sadece kendi şirketinize adapte etmeniz gerekir. Örneğin; “Bu raporlar 3 ayda bir mi daha etkin olur, yoksa 6 ayda bir mi?”. Ölçüm kriterinizi buna göre adapte edebilirsiniz.

Benim şansım, COBIT’in 34 sürecinin tümünün yürü-

tüldüğü 500-600 kişilik dev ve gelişmiş bir BT organi-

zasyonunda bunu uygulamış olmamdır. Bu nedenle 15 kişilik bir BT organizasyonunda COBIT uygulamaya çalışmak çok anlamsız ve gereksiz bir çalışma olabilir. Bunun için ISACA’nın web sitesinde COBIT’in

KOBİ’lere de uygulanmasını mümkün kılacak Qu-ickstart versiyonu mevcuttur. Ya da küçük bir organi-zasyonda sadece gerekli kısımları alıp, onları çok iyi hale getirmek de mümkün. COBIT, şu anki 34 süreçlik haliyle, her vücuda uyan bir elbise değildir! Tüm sü-reçleri dikkate alabilmek için, büyük ve olgunlaşmış organizasyonlarda kullanılması etkinlik ve verimlilik

sağlar. Küçük organizasyonlar, biz COBIT uygulaya-cağız derken asıl işlerini kenarda bırakmamalılar. Bu süreç; zaman, emek ve maddi yeterliliğe dayalıdır. COBIT’in içerisinde CMM-I ile paralel bir yak-laşımla oluşturulmuş bir olgunluk modeli de var-dır. Süreçlerin nihai gelişimini değerlendirebil-meniz için 0 – 5 arasındaki skalada; “Bir süreç hangi olgunluk seviyesindedir ve bir sonraki ol-gunluk seviyesine getirmek için neler yapılmalı-dır?” gibi, sizi gittikçe olgunluk modelinde yer alan skalaya göre yükselten ve iyileştiren, Kalite Yönetimindeki sürekli iyileştirme döngüsü ile ör-tüşen bir yaklaşıma da sahiptir. COBIT; kendi iç

dinamiklerinin dışında, süreçlerin iyileştirilmesi

için paydaşları, tedarikçileri, proje yönetim yön-

temlerini ve süreçlerin birbirleri arasındaki iliş-

kileri de dikkate alarak, entegre çalışmalarla uy-

gulanabilecek bir yöntemdir.

Olgunluk Modeli ve seviyeler şöyle bir benzet-me ile açıklanabilir: Bir bebek ilk yaşını doldu-

rana kadar bir tek kelime bile söyleyemez ve

onun konuşma özelliği doğduğunda var olmayan

bir unsurdur! Zamanla birkaç kelime konuşma-

ya başlamasından, herkes tarafından tanınmış,

kitleler önünde konuşan, üstün başarılı ve örnek

alınan bir hatip olmasına kadar geçen süreç en

az 20 – 30 yıldır. Bir kurumun süreçlerinin ge-lişmesinin, bir insanın hayatından ve kazandığı becerilerinin gelişerek olgunlaşmasından pek de farklı değildir! Kurumda yeni bir iş ortaya çıktı-ğında sıfır seviyesinde olan bir süreç; bu işin tekrarlanır hale gelmesi, sorumlusunun belirlen-mesi, yapılan işin geliştirilip kurum içinde diğer süreçler ve diğer kurumlarca da örnek gösterilir hale gelmesi, kurumun buna ayırdığı kaynak ve harcanan efor ile doğru orantılı olarak belki de yıllar sürecektir. Çok çabuk gerçekleşebilen bir şey değil bu. COBIT bu gerçeği dikkate alarak bir olgunluk modeli ortaya koymuş; süreçlerin

COBIT, şu anki 34 süreçlik haliyle,

her vücuda uyan bir elbise değildir!

57

bir sonraki aşamaya gitmesi, ilerlemesi ve iyi-leştirilmesi için neler yapılması gerektiğini, her seviyede nelerin ilgili olgunluk seviyesini ta-nımladığını belirlemiştir. Kısacası; 34 süreç ve bu süreçlerin altında yer alan 200’den fazla kon-trol hedefi için kişiler, rolleri ve ölçüm kriterleri de dahil olmak üzere, neler yapılması gerektiği COBIT’in içerisinde tanımlıdır.

5- COBIT hangi sorulara yanıt bulmaya çalışır?

COBIT; bir kurumda farklı seviyelerde görev alan farklı yöneticiler ve çalışanların farklı gereksinim-lerine yanıt bulmaya çalışır. Öncelikle üst yönetimi dikkate alırsak; COBIT bir BT organizasyonunun, en başta hizmet vermiş olduğu iş birimleriyle strate-jik olarak aynı yönde ilerlemelerini güvence altına almaya ve stratejik uyum sağlamaya çalışır. Bu ça-lışmalar “Planlama ve Organizasyon (PO)” adlı fa-aliyet alanı ve bu alan altındaki süreçler ile yürütü-lür. Bunun dışında, kurum içerisinde BT’nin özellikle yatırım amaçlı tercihler yapması ve çö-zümlerin oluşturularak uygulanmasında değer ya-ratma unsurunu fayda / maliyet ve iş odaklı olarak gerçekleştirmesi gibi işler yer alır. Bu işler ise “Te-darik ve Uygulamaya Alma (AI)” faaliyet alanı al-tındaki süreçler içerisinde gerçekleştirilir. Orta ka-deme yöneticiler; BT Risk Yöneticileri, BT Denetçileri, Bilgi Gü-venliği Yöneticileri gibi yöneticiler ise, yönte-min tümünü dikkate alarak çalıştıkları alana ait bakış açısı ile COBIT’i kullanarak riskleri analiz ve takip ederler. Denetim faaliyetlerini gerçekleşti-rirler, bilgi güvenliği ile ilgili yönetsel ve operasyo-nel düzenlemeleri yaparlar ve izleme & değerlen-dirmeye yönelik süreçler bütününün “sürekli iyileştirme” bacağına katkıda bulunurlar.

Kısacası COBIT; kullanmasını bilen her BT çalışa-nının elinde bir rehberdir. BT ile ilgili beklentileri

olan iş tarafındaki paydaşların, “Teknolojik işler na-sıl yürütülüyor?” gibi soru bulutlarının içerisindeki işleyişi görebilmeleri için kullanabilecekleri bir sis dağıtma aracı; BT yöneticileri için “kaptanın seyir defteri ve pusulası”; denetçilerin iyileştirme fırsat-ları yaratabilmek için karşılaştırma yapmak amaçlı kullanılabilecek bir mihenk taşı özelliklerini taşıyan bir rehberdir. İş ve BT birimleri arasında “Ortak Dil” oluşmasında bir kılavuz görevindedir. Geliş-miş kurumlarda ise “büyük resmin” görülmesinde kullanılabilecek ve kurumsal gelişmeyi izleyebile-cek bir yol haritası diyebiliriz. Ben COBIT’i; içeri-sinde birçok fonksiyon ve araç olan, ne lazımsa san-ki içerisinde barındıran bir İsviçre Çakısı’na benzetirim. Bunu sunumlarımda da birçok kez dile getirmişimdir.

6- Geçmişten günümüze COBIT versiyonların-dan bahseder misiniz?

Şuana kadar COBIT’in gelişiminden, kapsamı-nın genişlemesinden ve yıllar itibariyle tarihçe-sinden bahsettim. Bunu biraz da şu şekilde açık-lamak isterim: “Kumdan bir kale yaparsınız, bu

diyelim ki COBIT

1’dir. Kalenin etrafı-

nı çevirirsiniz, CO-

BIT 2 olur. Çevirdiği-

niz duvarın üzerine

midye kabuklarını

koyarsınız, COBIT 3

olur. Bunların hepsini korumak için üzerine nay-

lon bir tente koyarsınız, COBIT 4’e gelirsiniz.” Bu, az önce size bahsetmiş olduğum olgunluk modeli çerçevesinde; kurum, işleyişini çağdaş koşullara adapte etme sürecinde ne kadar ileriye giderse, COBIT de aynı olgunluk seviyesini ya-şayarak ileriye gitmek ve kurumların ihtiyaçla-rına birebir hizmet edecek yöntemi oluşturmak adına ilerlemiş olacaktır. Versiyon 2’den versi-

Bir kurumun süreçlerinin gelişmesi, bir insanın

hayatından ve kazandığı becerilerinin gelişerek

olgunlaşmasından pek de farklı değildir.

58

yon 4’e geçilir mi diye soracaksınız? Bu bir ya-zılım değil! Bu şekilde düşünülmemesi gereken bir konudur bu. Kurumun ihtiyaçları, büyüklü-ğü, süreçlerini ayrıştırması ve olgunlaştırması ile yapılan bir yolculuktur COBIT. Hiçbir versi-yon, kendisinden bir önceki versiyonu yok sa-yan bir yaklaşımda değildir. Mevcut olanların üzerine biriken yeni ihtiyaçlar doğrultusunda COBIT, genişlemiş ve güncellenmiş durumda-dır. Bu nedenle; COBIT’in bu yolculuktan ken-disinin geçiyor olması, kurumların da aynı yol-culuğu zaten takip ediyor olmasının bir sonucudur diye düşünüyorum… COBIT esas alınarak diğer yöntemlerle eşleştirme-ler yapılmış, hatta denetim ve güvence yöntemleri, uygulama rehberleri ve kontrollerin uygulanması ile ilgili uygulama pratikleri türetilmiştir. COBIT ilerledikçe, ona dayalı farklı yöntem ve rehberlerin de zamanla ilerleyeceği ve güncelleneceği bir ürün ailesine dönüşen bir yapı oluşmuştur.

7- Hangi kurumlar (sektör, büyüklük, şirket tipi) COBIT uygulayabilirler? Kendilerine ne fayda sağlar?

Geçmiş 30 - 40 yıla bakıp hem Türkiye hem de Dünyadaki gelişimi incelediğimizde, BT’nin ilk ve en yaygın olarak finans sektöründe kendini göster-diğinin farkına varıyoruz. Çünkü bu sektörler, he-saplama ve veri tutma gereksinimleri en yüksek olan sektörlerden biridir. Bilim, sağlık, eğitim, üre-tim, endüstri ve inşaat derken, buna kamu hizmetle-ri ve e-devlet de dahil olmak üzere. Artık en basit yapılan işlemlerde bile BT kullanılmaya başlandı. Bu nedenle günümüzde COBIT için şu veya bu sek-törde uygulanmalı diye bir ayırım yapamayız. BT’nin kullanıldığı ve entegre olduğu her alanda bu yöntemin uygulanabilirliği mümkündür. BT’yi ül-kemizde geniş çapta ilk kullananlar bankacılar ol-muştur. Özellikle bilgisayarlarının bir network üze-rinden birbirleriyle konuşmaları sonucunda; yaygın şubeli bankalarda provizyon alma ve havale gön-derme gibi telefonla yapılan; güvenlik amacıyla sö-zel şifreler kullanılarak gerçekleştirilen zahmetli ve masraflı işlemler online hale gelmiştir. Finans sek-törü; paranın döndüğü sektördür ve tehditlere, saldı-rılara, zimmet, sahtecilik, soygun ve dolandırıcılık yapılmaya en çok maruz kalan, bu nedenle de en çok kontrol altında tutulması gereken sektördür… Mali bilgiler işlenmekte, paranın söz konusu olduğu süreçler işletilmektedir. Dolaylısıyla da COBIT, ilk olarak ülkemizde ve dünya genelinde ağırlıklı ola-

rak finans sektöründe kullanılmaya başlamıştır. Di-ğer sektörler de finans sektöründeki pratikleri kendi sektörlerine adapte etmişlerdir. Büyüklük ve küçüklük ayrımına gelirsek; 10 kişi-lik bir şirketin, biz COBIT uygulayacağız diye nor-mal işini yapmaması gibi bir lükse sahip olmadığı, ancak COBIT Quickstart ile harekete geçebilecek-leri gerçeğinden bahsettik. Zorunlu ve zorunlu ol-mayan sektörler olarak bakarsak şunu görmekteyiz: Finans sektörü, özellikle İmar Bankası olayından sonra Türkiye’de tüm bankaların COBIT deneti-minden geçmesini şart hale getirmiş durumdadır. Ne fayda sağlayacağı konusunda çok kısa olarak şunu söyleyebilirim; planlı, hedeflerini ortaya koy-muş, şeffaf, tutarlı, yasal gereksinimlere uyumlu, risklerin yönetildiği, fayda / maliyet esaslarına ria-yet edilerek değer yaratma üzerine kurulu ve iplerin yönetimin elinde kontrollü olarak yer aldığı ve yetki & görevler ayrılığı ilkesine uyum sağlayan bir yapı ortaya koyulmuş olur. Birkaç satırdan oluşan bu cümledekileri yerine getirebilmek kolay değildir.

8- COBIT’in bir süreç modeli ve kontrol hedef-leri barındırdığını biliyoruz. Peki, kim ya da kimler, nasıl yönetecek bu süreçleri?

Bu tip yönetim modelleri, yönetim sistemleri veya standartların uygulanmasında üst yönetim desteği birincil ve en öncelikli şarttır. Üst Yönetim desteği-nin bir başka alternatifi veya tetikleyicisi ise, yasal zorunluluklar ve düzenlemelere uyum sağlama ge-reksinimidir. Hangi baskı unsuru dikkate alınarak yaklaşılırsa yaklaşılsın, temelde bir BT organizas-yonunun yaptığı iki ana iş vardır: 1- Yazılım ve Sis-temler geliştirmek, 2- Geliştirilmiş veya dışarıdan tedarik edilmiş sistemlerin, günlük operasyonel sis-

59

temlerle desteklenerek ayakta ve çalışıyor olmasını sağlamak. COBIT; BT’nin kurumsal yönetimini sağlamak için kullanılan bir yöntem olduğu için, en önce BT’nin başındaki yöneticilerin (CIO, GMY, ITM) COBIT’in yaratabileceği farkları anlamaları ve topluca benimsemeleri gereklidir. Fakat bu kişi-ler teknik uzmanlık ve bunun uygulamasını yerine getirebilecek çalışmalara tam hakim olmadıkları ya da daha büyük ve önemli işlerle ilgili karar alıcı ko-numda bulundukları için, genelde bu konuda kendi-ni geliştirmiş alt veya orta seviyelerdeki kişilere ihtiyaç duyulabilmektedir. Sonuçta üst yönetimin karar alması ile mutlaka bir kişiye bu çalışmanın sorumluluğunu verirler ve kendilerine periyodik ra-porlama yapmalarını isterler. Bu kişi genelde BT ile ilgili tüm kurumu anlamış ve çözmüş, tecrübeli ve iletişim kabiliyeti gelişmiş bir lider olmalıdır. Yön-temin uygulanması; danışmanlık alınarak, eğitim alınarak veya bizzat elinizi taşın altına sokup belki biraz zorlanarak ama iç kaynaklarla gerçekleştiril-mek şeklinde yerine getiri-lebilir. Ancak üst BT yö-neticisi (CIO), tüm kalite ve güvenlik gereksinimlerini anlayan, COBIT’in nasıl bir yarar sağlayabileceğini hem üst yönetime hem de beraber çalıştığı kişilere doğru anlatabile-cek yetenekteki kişileri seçmek ve teşvik etmek du-rumundadır. Kısacası; bir proje olarak ele alınması, proje yönetim yöntemleri ile uygulamaya geçilme-si, çıktıların sorumluluk alanlarına kazandırılarak sürekliliğinin sağlanması ve operasyonel hale getiril-mesi gereken bir yapıdır COBIT. Adreslediğimiz za-man; kurumun iş akışlarını iyi bilen ve düzeltmeye / denetlemeye çalışan risk, denetim, güvenlik ya da kalite birimleri bu çalışmada etkin rol alabilirler.

9- Türkiye’de BDDK’nın denetim çerçevesi ola-rak COBIT’i referans göstermesini finans sektö-rü açısından değerlendirir misiniz?

Belki işin içinde olmayanlar pek bilmezler ama banka-lar, hizmetlerinin yaygınlığı ve büyüklükleri ile doğru orantılı olarak, özellikle son 3 - 4 yıldır birçok farklı konu ve alanda, senede neredeyse 7 - 8 kez ve çeşitli denetim unsurları tarafından BT denetimine tabi tutul-maktadırlar. Örneğin; BT faaliyetleriniz, uluslararası bir kredi kartı kuruluşu tarafından denetlenmekte veya de-netlettirilmekte olabilir. ATM’leriniz ve POS uygula-malarınız size karşı açılan bir dava sonucunda denetim-den geçmek zorunda olabilir. Internet Bankacılığı uygulamanız, her yıl güvenlik gereksinimlerini yerine getirdiğinizin teyidini almanız açısından denetimden

geçmesi zorunlu bir iş alanı olabilir. Başka bir banka ile birleşme öncesinde, Due Dilligence çalışmalarında, bir yurtdışı finansman kurumu ile yapacağınız bir borçlan-ma öncesinde, BT süreçlerinizin olgunluğunun belirlen-mesi zorunluluk teşkil edebilir. Bankalar Kanunu’nun

öngördüğü bilgilerin sak-lanması ve gizliliği ile ilgi-li denetimlerden geçmek zorunda olabilirsiniz. Yet-ki almış bağımsız bir de-

netim kuruluşu BDDK’ya raporlamak üzere sizi denet-lemek durumundadır.

BDDK, zaten var olan ve tüm dünyada kullanılan COBIT yönteminin denetim perspektifi ile kullanı-larak, ülkemizde standart hale getirilmesi açısın-dan olumlu ve faydalı bir adım atmıştır. Denetim-ler, uluslararası standartlara göre ve COBIT konusunda yetkinliklerini BDDK’ya kanıtlayarak yetki belgesi alabilmiş bağımsız denetim kuruluş-larınca yapılmaktadır. Bu denetimlerin halihazırda yürütülmesi ile ilgili olarak dünyada farklı yön-temler ve mekanizmaların da işlediği farklı model-ler kullanılarak doğrudan denetim yapılabilmesi gibi imkanlar da değerlendirilebilir mi diye zaman zaman düşünüyorum. Şöyle ki, BT denetçileri kı-sıtlı ve pahalı kaynaklardır. Denetim olgusunu bil-meleri veya teknik olarak yeterliliklerinin yanında, bankacılıktan da çok iyi anlamaları ve geniş bir bilgi dağarcığına sahip olmaları gerekmektedir. Bu mesleğin ülkemizdeki ilk örneklerini yetiştirmek için uluslararası sertifikalara hazırlık amaçlı kurs-lar düzenledim. Mesleki olarak yeterlilik için çok farklı alanlarda bilgi birikimlerine gereksinim ol-duğunu ve çok farklı bilgi birikimlerine sahip ol-mak (iş ve teknoloji açısından) gerektiğini anlamış bulunuyorum. Kurslara gelen ve çok farklı bilgi birikimi olan arkadaşlarımı “BT Denetçisi” çizgisine yaklaştırmaya çalışırken, COBIT’in ortak dil oluştur-

Versiyon 2’den versiyon 4’e geçilir mi

diye soracaksınız? Bu bir yazılım değil!

60

makta oldukça faydasını gördüğümü ve bu nedenle isabetli bir tercih olduğunu söyleyebilirim. Sonuç olarak, yasalar artık tüm bankalar ve iştirak ettiği tüm kuruluşların denetimden geçmesi ve COBIT’e uyum sağlaması zorunluluğunu getirmiştir.

Şu an çalışmalarımı ağırlıklı olarak yürüttüğüm kamu kurum ve kuruluşlarında böyle bir denetim zorunluluğu henüz yok. Ancak zamanla gereksi-nim olacağını düşünüyorum. E-devlet kapısı adına yapılan birçok çalışma ve süreçlerin otomasyonu-nun gerçekleştirilmesi adına yüzlerce farklı devlet biriminin yüzlerce farklı yöntemlerle, değişik web siteleri ve standartlarla bu işin içine girmiş oldu-ğunu görmekteyiz. Aynı BDDK gibi “e-devlet dü-

zenleme ve denetleme kurulu” gibi bir yapıya ihti-

yaç olabileceğini düşünüyorum.

10- Sizce CIO’lar COBIT çalışmalarının nere-sinde yer almaktalar?

CIO’lar öncelikle kendi şirket analizlerini iyi yap-malı, sonrasında ise sektörlerini iyi izlemeliler. En iyi uygulamaları (best practices) kendi kurumların-da uygulayabilmek için bu işin başında olmaları ve en alt kademeye kadar tüm personeli ve süreçleri kontrol etmeleri gerekmektedir. Ayrıca bu projedeki uzman ve lider kimlikli personeli destekleyerek, on-lara yetki ve sorumluluk vererek bir takım olma bi-linci aşılamalıdırlar.

Daha önceki açıklamalarımda da aktardığım gibi CO-BIT çalışması, kurumsallaşma amaçlı ve kontrol odaklı bir proje olarak ele alınmalıdır. Projenin sahibinin de CIO’nun bizzat kendisinin olması, başarıyı garantile-mek adına başlangıçta itici güç olarak kullanılmalıdır. Sonuç olarak, her türlü yönetim sistemi uygulamasında olduğu gibi COBIT çalışmaları da top-down dediğimiz, üst yönetimden başlayıp kurumun alt kademelerine doğru yaygınlaşan bir yaklaşım ile yürütülmelidir.

11- Dışarıdan ne tür bir danışmanlık ve eğitim almak gerekiyor?

Bundan 3 - 4 yıl önce COBIT eğitimlerini ilk veren kişi bendim. Artık birçok eğitim kurumu; eğitimcileri-nin uygulama tecrübesi olsun olmasın, bu eğitimleri programlarına almış durumdadır. Kurumlara tek tavsi-yem; konuyu ciddi anlamda hazmetmiş, COBIT’teki süreçleri bizzat yaşamış, denetimlerini yapmış, riskle-rini yönetmiş bir eğitmenden bu eğitimi almalarıdır. Belki biraz maliyeti yükseltebilecek bir unsur olsa da, uygulamada ortaya çıkacak faydayı kısa zamanda kat-

layarak, değeri maksimize edecektir. Sonuçta COBIT kitabı bedava ve herkesin internetten erişeceği bir yer-de durmaktadır. Bunu eline alacak tecrübeli ve geniş bakış açısına sahip bir BT yöneticisi, neyin ne olduğu-nu kolayca kavrayabilir ve biraz araştırma ve ön hazır-lık çalışmaları yaparak kurumunda COBIT eğitimleri-ni verebilir diye düşünüyorum. ISACA web sitesinde en çok tavsiye edilen COBIT Foundation ve Imple-mentation eğitimleri, akredite kişi ve kurumlarca veri-lebilecek eğitimlerdir. Uygulama ise, projenin yöneti-mi açısından oldukça farklı ve kurumdan kuruma değişkenlik gösterecek daha derin bir konudur.

12- Hepimizin de bildiği üzere; kurumlar başarıy-la sonuçlandırdıkları her faaliyeti belgelendirerek rakiplerine fark atmak ve müşterileri gözünde iti-bar kazanmak isterler… COBIT’i başarıyla uygu-luyor olmak, bir belge ya da sertifika (firma ve şa-hıslar açısından) ile tescillenebiliyor mu?

COBIT bir metodolojidir. Bunun içerisinde muhtelif ölçüm kriterleri var ve en son olarak ol-gunluk modelinde hangi aşamadan olduğunuzu süreç bazında ölçebiliyorsunuz. Fakat “ben şu sü-reçte COBIT 3’tüm, şimdi COBIT 4 olgunluk se-viyesinde oldum” demek, sektörde rekabet avan-tajı yaratmak adına düşündüğünüzde çok anlamlı bir gösterge değil. Çünkü COBIT‘in bazı süreçle-rinin 3 seviyesinde olması bazı kurumlara fazla bile gelebiliyor olabilir. Kimi kurumlar ise en az 4 seviyesinde olmalı ki başarılı sayılabilsin. COBIT’de firmalar için bir sertifikasyon süreci

yoktur. Fakat COBIT eğitimi alan bireyler ve uy-gulayıcısı olan danışmanlar, ISACA’dan kişisel sertifikalar alabilirler. Bu sertifikalarda, “COBIT eğitimi almıştır”, “COBIT uygulama eğitimi al-mıştır” şeklinde bir ibare bulunur. Bunun bir yük-seği ise bende de bulunan, akredite COBIT eği-timcisi sözleşmesidir. Bunu dışında, BT Denetimi ile ilgili “CISA Sertifikası” da bireyler için ol-dukça prestijli ve dünyada kabul gören önemli bir mesleki yetkinlik sertifikasıdır.

13- Tüm bu çalışmaların maliyeti hakkında el-bette kesin bir şey söylemek çok güçtür. Fakat bu yola çıkacak olan firmalar için bir taban ve ta-van fiyatı çıkartabilir misiniz?

Bu konudaki değerlendirme kriterleri ve de-ğişken faktör sayısı çok geniştir. Bu bakımdan bir rakam çıkartmak çok zordur. COBIT, bir kere yapılıp bitirilebilecek bir çalışma değildir. Öncelikle eğitimleri almak, hedefleri koymak

61

ve kapsam geniş ise belki de çok ciddi bir bütçe ayırmak ve kurumun büyüklüğüne ve yürüttüğü süreçlere göre çalışmayı bölümlendirmek veya yıllara yaymak gerekebilir. İç kaynaklar mı kullanılacak dış kaynaklar mı? Danışmanlık ne kadar olacak? Projede kaç kişi çalışacak? Bir

yazılım desteği talep edilmekte midir? Bunun gibi konuları da düşünerek maliyetlendirme ya-pılırsa daha sağlıklı rakamlara ulaşılabilir.

14- COBIT konusundaki akademik çalışmala-rın iş dünyasına yansıması ne şekilde oluyor?

Öğrencilerimin çoğu COBIT’le tanıştıktan sonra kendi alanlarında kafalarını kuma gömmek yerine, kafalarını kaldırıp büyük resmi görmeye, çalıştıkları kurumu ve üst yönetimdekilerin bakış açılarını değerlendirmeye ve incelemeye başladılar. “Ben şirketin neresindeyim? Hangi projeleri ne şekilde yönetebiliriz? Kimlerle ne şekilde çalışmalıyız? Hangi yolu izlersem yükselirim?” gibi sorulara, eskisinden daha çabuk ve net yanıt bulabi-liyorlar. Siz bir yazılımcı olarak girdiğiniz 300 kişilik bir şirkette dört seneyi kod yazarak geçirirseniz, kurumla ilgili fazla bir şey öğrenemezsiniz! Büyük resmi en te-peden görüp, kurumun tüm süreçlerini ayırt edip COBIT’in bakış açısıyla bakarsanız, tüm kod yazanlara göre avantaj elde etmiş olursunuz. Büyük resim çok

önemli! Şirketi tepeden görebiliyorsanız, bu daha da önemlidir. Sular nereye akıyor? Besin zinciri nereden başlayıp nereye gidiyor? COBIT’i teorik olarak bilen kişiler, iş dünyasında daha aktif gözlem yapabiliyorlar.

15- Kurumumuzda COBIT süreçlerini başarıy-la uyguladığımızı varsayalım! İşimiz bitti mi?

Hayır, daha yeni başladınız… COBIT sürekli bir yolculuk. Bir sürecin, “hiç var olmayan” bir düzey-den; optimize edilmiş, mükemmele ulaşmış, tüm dünya tarafından örnek uygulama olarak kabul edi-lebilecek bir seviyeye gelmesi ve bunu 34 süreçte birden yapabilmek ile ulaşılacak bir nokta. Nirvana

noktası kurumlar için bu olsa gerek. Tabii bu nokta-

ya gelme ihtiyacınız varsa ve bu noktaya geleceği-niz zamana kadar harcayacağınız efor ve maliyetin bir geri dönüşü olacaksa… Her yıl nereden nereye gideceğinizi ölçmeniz gerekiyor. COBIT’ in hedef-lemeye çalıştığı şey; topluca Kurumsal Yönetim açısından ama detayda “Anlayış ve Bilinç” seviye-sinin, “Eğitim ve İletişim” aktivitelerinin, “Süreç ve Pratiklerin”, “Teknoloji Kullanımı ve Otomasyon İmkanlarının”, “Yasal Uyumun” ve “Tecrübenin” her bir süreç ve bu süreçlerin altındaki 200’den faz-la kontrol için 5 seviyesine gelebilmesidir. Bu sevi-ye, mükemmeliyetin ulaştığı son noktadır!

16- Bu yola çıkacak olan şirketlere ve yöneticilere tavsiyeleriniz nelerdir?

• Birincisi; üst yönetimin böyle bir ihtiyaç olup olmadığına net karar vermesi.• İkincisi; bu konuyla ilgili geniş bir araştırma yapmaları, sorumlu bir kişi atamaları ve bir yol haritası belirlemeleri.• Üçüncüsü; eğitim ve danışmanlık ihtiyaçlarını, sektörde deneyimli ve uygulamaya da hakim olduklarından emin oldukları kurum ve kişilerden gidermeleri.• Dördüncüsü; bu işe bir proje olarak bakmaları, çıktıları net olarak tanımlamaları ve ürün odaklı hareket etmeleri gerekiyor.• Doğru yönde gitmek, doğru hızla gitmekle aynı anlama gelmiyor! Bunu da dikkate almakta fayda var.• Hepsinden önce, gerçekten gitmek istediğiniz yeri biliyor musunuz?• Son olarak, COBIT yolculuğunda kolaylıklar ve başarılar diliyorum...

COBIT 5, kurumlar için bir NİRVANA

noktası sayılabilir.