BT Yönetimi etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
BT Yönetimi etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

2 Haziran 2017 Cuma

ISO/IEC 38500 Bilgi Teknolojileri Yönetişimi Standardı

ISO/IEC 38500 Bilgi Teknolojileri Yönetişimi Standardı
Ali Dinçkan, Gizem Göktaş, BTYÖN Danışmanlık

Yönetişim (Governance) kelimesi ilk kez 1980'lerin sonlarında birleşmiş milletler’in bir raporunda kullanılmıştır. Türkçe’ye yönetim ve iletişim kelimelerinin birleştirilmesinden oluşarak yönetişim şeklinde geçmiştir. Yönetişimin asıl amacı tüm paydaşların yönetimde söz sahibi olması ilkesine dayanır. Bu açıdan ‘Paydaşlarla beraber yönetim’  şeklinde de ifade edilebilir. Yönetişim etkilenen tüm tarafların görüşleri ve çıkarları dikkate alınarak doğru kararların alınması amacını güder.

Başarılı işletmeler bilgi teknolojilerinin faydasını anlar ve bu bilgiyi paylaşlara sağladığı katkıyı arttırmakta kullanır. Bu işletmeler, bir çok iş sürecinin bilgi teknolojilerine kritik düzeyde bağımlı olduğunun, regülatif uyumluluğun öneminin ve riskin etkin yönetiminin faydasının farkındadır. Bilgi teknolojileri yönetişimi alanı ile ilgili zaman içerisinde bir çok standart ve çerçeve yayınlanmıştır. Bu standart ve çerçevelerden en çok bilinenleri ISACA ( Bilgi Sistemleri Denetim ve Kontrol Derneği) ve ITGI (Bilgi Teknolojileri Yönetişim Enstitüsü) tarafından yayınlanan COBIT (Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri) çerçevesi ve ISO (Uluslararası Standartlar Organizasyonu) tarafından yayınlanmış ISO/IEC 38500 Bilgi Teknolojilerinin Kurumsal Yönetişimi standardıdır. Bu makalede ISO/IEC 38500 standardının bilgi teknolojilerinin yönetişimi konusuna yaklaşımı ele alınacaktır.

ISO/IEC 38500 standardı İnovasyona önem veren, iş ihtiyaçları ile uyumlu, tanımlanmış sorumluluklar ile hesap verilebilirliğin korunduğu, iş sürekliliği ve sürdürülebilirliğin sağlandığı, efektif kaynak kullanımının olduğu, iyi seviyede paydaş ilişkilerinin bulunduğu ve mevzuata uyumlu BT süreçleri için yönetişim yapısı tarifleyen bir iyi uygulama standardıdır.

Organizasyonların bilgi teknolojilerinden yeterli faydayı elde edememesinin nedenleri aşağıdaki gibi sıralanabilir;
  • Belirsiz sorumluluklar,
  • Şeffaf olmayan yatırımlar,
  • Değerlendirilmeyen gereksinimler,
  • Cezai yaptırımlar,
  • Bağımsız yürütülen yönetim sistemleri,
  • Birçok kez farklı noktalarda tekrar eden işler,
  • Yönetim ile operasyon arasında kopukluk,
  • BT ile iş birimleri arasında iletişimsizlik.

Organizasyonlarda oluşturulacak etkin bir BT yönetişim çerçevesi ile aşağıdaki faydaların elde edilmesi amaçlanmaktadır.
  • İş ihtiyaçlarına yanıt verebilen BT servisleri oluşur,
  • BT servis kalitesi artar,
  • İş ile bilgi teknolojileri daha yakın hale gelir,
  • BT müşteri memnuniyet seviyesi artar,
  • Üretkenlik yüksek seviyelere ulaşır,
  • BT servisleri sürekli iyileşir,
  • BT harcamaları şeffaflaşır ve yatırım geri dönüşü hesap edilebilir,
  • Kullanıcı üretkenliğinin düşmesine sebep olan olay sayıları azalır,
  • Uyum,
  • Sorumluluklar netleşir.

ISO/IEC 38500 standardı içerisinde iyi BT yönetişimi için 6 adet temel ilke açıklanmıştır. Bu ilkeler geneldir ve türlerinden bağımsız olarak bir çok organizasyona uygulanabilir. İlkeler karar almayı desteklemek üzere önerilen davranışları özetler. Standartta her bir ilke için ne yapılması gerektiği açıklanır fakat bu ilkeleri kim, nasıl uygular konusuna işletmeden işletmeye değişebileceği için değinilmez. Organizasyonların yönetim kurullarının bu ilkelerin yerine geirilmesinden sorumlu olduğu belirtilir.

BT Yönetişim İlkeleri
  • İlke 1 – Sorumluluk: Sorumlulukların ve bu sorumlulukların gerektirdiği yetkilerin tanımlı ve atanmış olmasıdır.
  • İlke 2 – Stateji: Kuruluşun stratejisi, iş hedefleri ile BT yeteneklerinin ve planlarının uyumlu olmasıdır.
  • İlke 3 – Edinim: BT edinimlerinin (yatırımlarının) analizler temelinde şeffaf bir şekilde yapılmasıdır. Fayda, maliyet, fırsat ve riskler arasında kısa vadede bir denge tarifler.
  • İlke 4 – Performans: Bilgi teknolojilerinin; iş hedeflerine ulaşmak için yeterli olduğunu, ihtiyaçları karşıladığını ve hizmet kalitesi seviyesini raporlamayı tarifler.
  • İlke 5 – Uyumluluk: Bilgi teknolojileri kullanımının tüm zorunlu mevzuat ve yönetmeliklere uygun olmasıdır. BT politikaları ve uygulamaları açıkça tanımlanmış olmalıdır.
  • İlke 6 – İnsan Davranışı: Süreç dahilindeki bütün bireylerin mevcut ve değişen ihtiyaçlarına, insani davranış ve değerlere uygun politika, prosedür ve uygulamalar oluşturulmasıdır.

 ISO/IEC 38500 standardına göre BT Yönetişim modeli üç ana görev içerir;
  1. Bilgi teknolojilerinin mevcut ve gelecekte ki kullanımını değerlendirme,
  2. İş hedeflerini karşılayan bir bilgi teknolojileri kullanımını sağlamak için gerekli plan ve politikaların hazırlanması ve hayata geçirilmesini yönlendirme,
  3. Politikalara ve planlanan performans seviyelerine uyumu izleme.

Özet olarak BT yönetişim modeli bilgi teknolojilerini değerlendirme (evaluate), yönlendirme (direct) ve izleme (monitor) faaliyetlerinden oluşur.


BT Yönetişimi içerisinde yer alan değerlendirme faaliyeti iş hedefleri, risk iştahı, yetkinlik, ana iş süreçleri, ana BT hizmetleri, düzenleyici taraflar, teknolojik durum, sektör trendleri, dış tehditler, paydaş gereksinimleri gibi konuların değerlendirilmesini içerir. Bu faaliyet kapsamında mevcut durumun tanımı ve iş hedeflerinin analizi gerçekleştirilir.

Yönlendirme faaliyeti kapsamında ise risk, uyum, karar destek mekanizmaları ve iş stratejilerinin çıktılarına dayalı BT stratejilerinin tanımı yapılır. Bu kapsamda değişimin başlatılması için bütçe, yetkinlik gelişim, paydaşların katılımı, standart işler ile projelerin ayrıştırılması, fırsatların değerlendirilmesi, önceliklendirmeleri yapılması gibi işlemler gerçekleştirilir. Son olarak risk, denetim ve yönlendirme komiteleri tanımlanır ve 6 BT yönetişim ilkesi çerçevesinde destek sağlanır.

İzleme faaliyeti kapsamında başarı kriterlerinin tanımı yapılır ve izleme sistemlerinin hayata geçirilmesi sağlanır. Bu kapsamda “Doğru şeyi yapıyor muyuz? İlerliyor muyuz? Nasıl iyileştirebiliriz?” gibi soruların cevapları aranır. Son olarak yönetimin BT hakkında düzenleyici mevzuat ve sözleşme yükümlülükleri ve iç çalışma uygulamaları ile uyumlu olduğundan emin olmak üzere gerekli faaliyetler yerine getirilir.

BT yönetişim modeli içerisinde bulunan değerlendir, yönlendir ve izle yaklaşımı ISO/IEC 38500 standardına her bir BT yönetişim ilkesi için ayrı ayrı tanımlanmıştır.


İlke 1 – Sorumluluk

Değerlendir
BT kabiliyetlerinin bugünkü ve gelecekteki kullanımı konusunda sorumlular atanır.
Sorumluluk, yetki ve yetkinliklerin yeterlilikleri göz önünde bulundurulur.
Genellikle sorumluluk sahipleri, kuruluşun iş hedefleri ve performansından sorumlu iş birimi yöneticileri olurken; bilgi teknolojileri uzmanları tarafından desteklenir

Yönlendir
Yönetişim sorumlusu tarafından, BT stratejilerinin sorumluluk sahiplerince takip edilmesi ve hayata geçirilmesi desteklenir.
Sorumluluk sahiplerinin ihtiyaç duydukları bilgilere ulaşabilir olması sağlanır.

İzle
İlgili süreçlere dair izleme metotları geliştirilir.
Sorumluluklar onaylanır, bildirilir ve tanımlanır.
Sorumluluk sahiplerinin performansları izlenir. (Örneğin; yönlendirme komitelerine sunulanlar)

İlke 2 – Stateji

Değerlendir
Gelecekteki iş ihtiyaçlarının karşılanması için BT ve iş süreçlerinde gerekli geliştirmeler sağlanır.
Kurum hedefleri, paydaş beklentileri ve iyi uygulamalar dikkate alınarak stratejiler belirlenir.
Risk yönetimi stratejilerin belirlenmesinde göz önünde bulundurulur.

Yönlendir
BT geliştirmeleri ile kurum strateji ve politikalarına uyum sağlanması garanti edilir.
Fırsatlar ve iyileştirmeleri değerlendirebilmek için yenilikçi girişimler desteklenir.

İzle
Hedeflerin başarımı izlenir.
Elde edilen faydalar değerlendirilir.


İlke 3 – Edinim

Değerlendir
Risk ve maliyet dengesine uygun olarak yatırım seçenekleri değerlendirilir.

Yönlendir
BT sistem ve altyapı varlıkları gerekli kabiliyetler ve servislerle birlikte dokümante edilir.
İş gereksinimlerine uygun olarak uygulamalar desteklenir.

İzle
Gereken kabiliyetler dikkate alınarak BT yatırımları izlenir.
Yatırımlarda paydaşlarla aynı yaklaşımda olup olmadıkları izlenir.



İlke 4 – Performans

Değerlendir
İş gereksinimlerinin karşılanması için gerekli kabiliyet ve kapasite değerlendirilir.
Sürdürülen BT operasyonlarında risk değerlendirmesi yapılır.
Bilgi bütünlüğü ve kurumsal bilgi ve yetenekler dahil BT varlıklarının korunması için risk değerlendirmesi yapılır.
BT hedefleri ve yönetişim hedefleri değerlendirilir.

Yönlendir
BT stratejilerinin başarılması için gerekli kaynaklar atanır.
BT’yi yönlendiren iş hedeflerinin güncel ve geçerli olması sağlanır.

İzle
BT’nin etkin kullanımı ve hedeflere uyumu izlenir.



İlke 5 – Uyumluluk

Değerlendir
İç prosedürler, standartlar, profesyonel rehberler ve düzenleyici kuruluşlarca tariflenen gereklilikler takip edilir.
Uyum durumu takip edilir.

Yönlendir
Uyum izleme mekanizmaları geliştirilir.
Kaynakların takibi için atamalar, görevlendirmeler yapılır.
Tüm uygulamaların etik ve yasal olduğu garanti edilir.

İzle
Belirli aralıklarla denetimler ve gözden geçirmeler aracılığıyla uyum izlenir.
Dataların imhası da dahil olmak üzere tüm BT uygulamalarının mevzuata uyumu takip edilir.



İlke 6 – İnsan Davranışı

Değerlendir
BT uygulamalarının birey davranışlarına uyumu değerlendirilir.

Yönlendir
Risk ve fırsatlar da göz önüne alınarak birey davranışlarına uygun BT uygulamaları desteklenir. Uyumun sağlanması ve korunması için çalışmalar yürütülür.

İzle
Çalışma pratikleri ile BT uygulamalarının uyumu izlenir.


Sonuç olarak ISO/IEC 38500 standardı bilgi teknolojilerinin etkin, verimli ve kabul edilebilir kullanımı için ilkeleri ve BT yönetişim modelini tanımlamaktadır. Tanımlanan ilkelerin ve modelin takip edilmesi, organizasyonun üst yönetimine risklerin dengelenmesi ve bilgi teknolojilerinin oluşturduğu fırsatlardan istifade edilmesi için imkan sağlar. BT yönetişimi, organizasyonun tabi olduğu regülatif ve sözleşmelerden doğan yükümlülüklerin karşılanması konusunda güvence verir. Etkin BT yönetişimi iş hedeflerinin başarılması ve iş hedefleri ile uyumlu BT süreçlerinin oluşması, maliyet şeffaflığı, paydaşlarla etkin iş birliği, maliyetlerin düşmesi ve yapılan yatırımların değere dönüşmesi, iş sürekliliğinin  sağlanması, hizmetlerde ve pazarda yenilikçi bir yaklaşımın ortaya çıkmasına imkan sağlar.

17 Haziran 2014 Salı

Bilgi Teknolojileri Yönetişimi (IT Governance)

Günümüz iş dünyasında bilgi teknolojilerinin daha yoğun bir biçimde kullanılmaya başlanması Bilgi Teknolojileri(BT) yönetişimi konusunu daha önemli bir hale getirmiştir. Geçmişte BT kurumların hedeflerine ulaşmasını kolaylaştıran bir araç olarak görülürken günümüzde kurumların ayrılmaz bir parçası haline gelmiştir ve iş hedeflerine ulaşmakta vazgeçilmez bir yer kazanmıştır. Başlarda BT, şirket yöneticilerinin gündeminde pek bulunmayan bir konu iken, BT yönetişimi bugün şirket yönetimi altında ele alınması gereken bir konu olmuştur. Şirketlerin başarısında etkin BT kullanımının belirleyici rol oynaması BT’nin üst düzey yönetilmesi ihtiyacını doğurmuştur.

Bu makalede ele aldığımız BT yönetim şekli BT’nin üst düzey ve stratejik boyutta yönetimidir (IT Governance). Bu sebeple kurum içinde BT yönetişimden birinci derecede sorumlu olanlar yönetim kurulu ve üst düzey yönetimdir, BT yöneticisi değildir. BT yönetişimi kurum yönetiminin bir bileşenidir.

BT yönetişiminin ana misyonu kurumun iş hedefleri ile BT faaliyetlerinin uyuşmasının ve aynı doğrultuda bulunmasının sağlanmasıdır (alignment). BT ile kurum hedefleri arasındaki bu stratejik uyumluluk günümüzde kritik bir başarı faktörü olarak karşımıza çıkmaktadır. BT yönetişimi bu kritik başarı faktörünün yakalanması için güvenli ve sağlam bilgi teknolojilerinin uygulanmasına çalışır. BT yönetişimde en iyi yöntemler (best practices) denilen sektörde güvenilirliği ve işlerliği kanıtlanmış teknikler kullanılır. Bu teknikler kullanılan bilgi teknolojilerinin kurum hedeflerini desteklemesini, kaynakların daha sorumlu kullanılmasını, risklerin uygun bir biçimde yönetilmesini ve iş alanlarının etkinliğinin artırılmasını sağlar.

BT yönetişimi 2 temel mesele ile ilgilenir:

  • BT kuruma katma değer kazandırmalıdır
  • BT riskleri kabul edilebilir seviyeye indirgenmelidir

BT yönetişimi bu hedefleri bir döngü içinde gerçekleştirmeye çalışır. BT’nin kurumun iş hedefleri ile aynı doğrultuda olması katma değer yaratır. Yaratılan katma değerin korunması yoğun biçimde kullanılan bilgi teknolojilerinin doğasında bulunan risklerin etkin yönetimi ile mümkündür. BT risk yönetimi ve performans değerlendirme sonuçları baştaki doğrultulamanın tekrar gözden geçirilmesine götürür.

BT yönetişiminin kurum içinde yürütülmesi için bir BT Strateji Komisyonu oluşturulması önerilir. BT strateji komisyonu üyeleri üst düzey yöneticilerden oluşur. Her üye sorumlu olduğu birim içinde karar verme yetkisine sahiptir. Bu komisyonun ana fonksiyonu kurumun BT sorumluları ile üst yönetim arasında köprü vazifesi görmektir. Üst yönetime BT ile ilgili kararlar alınması sürecinde teknik bilgi sağlayarak yardımcı olurken, alınan stratejik kararların BT tarafına aktarılması BT stratejik komisyonu tarafından yerine getirilir. Bu komisyon ile üst yönetim ve BT bölümü arasındaki iletişimin iyileştirilmesi hedeflenir.

BT yönetişimi içerisinde ele alınması gereken bir diğer önemli konu Bilgi Güvenliği Yönetimidir (BGY). BGY 3 temel konu üzerinde odaklanır: servislerin sürekli kullanılabilirliği (availability), bilginin bütünlüğü (integrity) ve bilgi gizliliğinin korunması (confidentiality). BGY bütün biçimleriyle (kağıda yazılı, ses halinde, elektronik ortamda, e-posta vb.) kuruma ait bilginin yaşam döngüsü içindeki her noktada korunmasına çalışır. Ağ ortamında gerçekleşen saldırıların yıldan yıla artması ve giderek daha karmaşık saldırıların uygulamaya konulması BGY’ni zorunlu hale getirmiştir. Günümüz iş dünyasında bilgiye olan bağımlılığın üst seviyeye çıkması onun çok iyi bir şekilde korunması gerekliliğini doğurmuştur. Bu alanda metodik bir yaklaşımla standart kuruluşları tarafından ortaya konan bir yönetim sistemi bulunmaktadır, Bilgi Güvenliği Yönetim Sistemi (BGYS). BT yönetişiminde olduğu gibi BGY’de de birinci derecede sorumlu yönetim kurulu ve üst yönetimdir.

Etkin bir BGY’de atılan ilk adım kurumun iş hedefleri ile örtüşen bir bilgi güvenliği politikasının geliştirilmesi olmalıdır. Bilgi güvenliği politikası kurumun güvenliğe olan yaklaşımını ortaya koyar. Güvenliğin üst yönetim tarafından ciddiye alındığını gösteren bir belgedir. Güvenliğin üst yönetim tarafından önemsenmesi tüm kurum çalışanlarının güvenliği daha kolay benimsemelerine yardımcı olur. Bilgi güvenliği politikası kurum içinde yayınlanmalı ve bütün çalışanlara ulaştığından emin olunmalıdır. Kurum içinde güvenliği arttırırken verimliliğin de düşürülmemesi gereklidir. Güvenlik ve verimlik bir terazinin ayrı kefelerinde bulunur. İkisi arasındaki hassas dengeyi kurumun kabul edebileceği risk seviyesi belirler. Öte yandan güvenlik için harcanan iş gücü ve maliyetin korunmaya çalışılan bilginin değerinden fazla olmamasına da dikkat edilmelidir.

BT yönetişimde en çok kullanılan yönetim araçları politika ve prosedürler olarak karşımıza çıkmaktadır. Politika ve prosedürler bilgi sistemleri ve bilgi kaynaklarını idare etme hususunda yönetimin yaklaşımını ortaya koyar. Politika daha üst düzey bir belge iken prosedür daha alt seviye bir belgedir. Politikalar kurum felsefesini yansıtmalıdır. Detaya girmeyen  ve kuralları her seviye çalışanın anlayabileceği bir biçimde açık ve net belirleyen bir belgedir. Prosedürler belli aktivitelerin ve iş süreçlerinin nasıl yapılması gerektiğini adım adım ayrıntılı bir şekilde ortaya koyar.

BT yönetişimin ilgilendiği temel konulardan birinin de risk yönetimi olduğundan bahsetmiştik. Risk yönetimi kurum içinde bilgi güvenliğinin sağlanmasındaki temel taşlardan biridir. Risk yönetiminde atılması gereken ilk adım kurumun riske karşı toleransını belirlemesidir. Kurum kabul edilebilecek risk seviyesini belirlemelidir. Risk yönetimi 4 ana adımından oluşan bir süreçtir:

  1. Varlıkların listelenmesi ve sınıflandırılması
  2. Açıklıkların ve tehditlerin belirlenmesi
  3. Karşı önlemlerin seçilmesi
  4. Riskin kabul edilebilir seviyeye çekilmesi

Somut veya soyut kurumun sahip olduğu her şey varlık olarak tanımlanabilir. Saygınlık, bilgi, yazılım, donanım, personel vb. kurum varlıklarına örnek olarak gösterilebilir. Risk yönetiminin ilk adımında bu varlıkların envanteri çıkarılır. Çıkarılan envanterde varlıklar sınıflandırılmış ve değerleri (parasal veya manevi) belirlenmiş olmalıdır. Bu adımda öncelikle neyin korunacağına karar verilir. İkinci adımda varlıklarda kazara veya kasıtlı olarak kayıp veya zarara yol açabilecek tehditler belirlenir. Bunun yanında varlıklarda bulunabilecek tehditlerin kullanabileceği açıklıklar da (zafiyet) tespit edilmelidir. Açıklık olmadan tehdidin zarar vermesi mümkün değildir. Son iki adımda uygun karşı önlemler ve kontroller seçilir ve bunlar uygulamaya geçirilir.

Risk yönetimi kurum bütün fonksiyon ve süreçlerine uygulanmalı, açıkta bir alan bırakılmamalıdır. Risk yönetimi kapsamında daha değerli olan varlıklara öncelik verilmesi gerekir. Benzer şekilde büyük kayıp ve zararlara yol açabilecek tehditler de yine öncelikli olarak ele alınmalıdır. BT yönetişimi kapsamında yürütülen risk yönetimi de diğerlerinde olduğu gibi üst yönetim sorumluluğundadır.

Bilgi güvenliğinde anahtar öneme sahip bir diğer unsur insan faktörüdür. Bilgi güvenliğinde en zayıf halkayı insanlar oluşturmaktadır. Çalışanlar, şirketin başarılı veya başarısız olmasında doğrudan etkiye sahiptir. Bu sebeple personel (insan kaynakları) yönetimi BT yönetişimi kapsamında ele alınması gereken önemli konulardan biridir. Personel yönetimi insanların işe alınması, çalıştırılması, terfi ettirilmesi ve işine son verilmesi ile ilgili politika ve prosedürlerle ilgilenir. Bu politika ve prosedürler, personel yönetimi kapsamında uygulanacak prensip ve ilkeleri ortaya koyar. Bunlardan bazıları:

  • İşe alma prensipleri
  • Çalışan el kitabı
  • Terfi politikası
  • Bilinçlendirme ve mesleki eğitimler
  • İşgücü planlama ve zaman yönetimi
  • Personel performansını değerlendirme
  • Zorunlu izne ayırma
  • İşten çıkarma politikası

Personel yönetimi ile ilgili tavsiye edilen uygulamalar örneğin;

  • İşe alırken adayın geçmiş iş tecrübelerinin, eğitim durumunun incelenmesi, referanslardan gerekli doğrulamaların alınması, işe başlatırken gizlilik anlaşmasının yapılması
  • İşe başladıktan sonra çalışanlara şirket içinde bilmesi ve uyması gereken tüm kural, politika, prosedür ve düzenlemeleri anlatan el kitabının verilmesi
  • İşini bilgi güvenliği prensiplerine uygun şekilde yerine getirebilmesini sağlayacak bilinçlendirme eğitimlerinin verilmesi
  • İşine son verirken kullanıcı hesaplarının zamanında devre dışı bırakılması, tüm erişim ve giriş kartlarının geri alınması, kullandığı tüm şirket malzemelerinin zamanında teslim alınması, kurum bilgisine zarar vermesini engellemek için erişiminin vakit kaybetmeden kaldırılması

vb. olabilir.

BT yönetişim kapsamında ele alınması gereken bir diğer konu dış kaynak kullanımı ile ilgilidir. Dış kaynak kullanımı sadece maliyetle ilgili bir karar değil kurum açısından stratejik bir karar olarak görülmelidir. Bir BT servisini dış kaynak kullanımı ile elde etmeden önce gerekli analiz çalışmasının çok dikkatli bir şekilde yürütülmesi gerekmektedir. Mutlaka kurum içinde sağlanması gereken BT servisleri olabilir, bunlar için dış kaynak kullanımı daha maliyet etkin bir yol bile olsa tercih edilmemesi gerekir. Dış kaynak kullanımı ile elde edilecek işlevin üçüncü taraflarca daha ucuza, daha kaliteli bir şekilde ve riski arttırmadan sağlanıp sağlanamayacağı mutlaka sorgulanmalıdır. Dış kaynak kullanımına yönelik karar ve stratejilerin BT strateji komisyonu tarafından gözden geçirilmese ve onaylanması tavsiye edilmektedir.


BT yönetişim kapsamında son olarak görevlerin ayrılığı (segregat,on of duties) ilkesine de değinmek gerekir. Görevlerin ayrılığı ilkesi kurum çalışanlarının gereğinden fazla geniş yetkilerle donatılması neticesinde ortaya çıkabilecek kötüye kullanımların önüne geçmeyi hedefler. Kritik görev ve işlerin sadece bir kişi tarafından yürütülmesi bu türden kötüye kullanımlara ve bu yanlışlıkların tespit edilememesine yol açar. Bu ilke gereği rol ve sorumluluklar birden fazla çalışana dağıtılmalıdır. Tek bir kişi üst düzey yetkilerle donatılmamalı ve her çalışanın faaliyetlerinin denetlenebilmesini sağlayacak şekilde sorumluluklar dağıtılmalıdır. Görevlerin ayrılığı ilkesi özellikle büyük ölçekli kurumlar için hayati önem taşır. Eğer bu ilkenin uygulanması insan kaynağı açısından mümkün olmuyorsa telafi edici kontroller tasarlanarak kurum riski azaltılmalıdır.