ISO/IEC
38500 Bilgi Teknolojileri Yönetişimi Standardı
Ali Dinçkan, Gizem Göktaş, BTYÖN Danışmanlık
Ali Dinçkan, Gizem Göktaş, BTYÖN Danışmanlık
Yönetişim (Governance) kelimesi
ilk kez 1980'lerin sonlarında birleşmiş milletler’in bir raporunda
kullanılmıştır. Türkçe’ye yönetim ve iletişim kelimelerinin birleştirilmesinden
oluşarak yönetişim şeklinde geçmiştir. Yönetişimin asıl amacı tüm paydaşların
yönetimde söz sahibi olması ilkesine dayanır. Bu açıdan ‘Paydaşlarla beraber
yönetim’ şeklinde de ifade edilebilir.
Yönetişim etkilenen tüm tarafların görüşleri ve çıkarları dikkate alınarak
doğru kararların alınması amacını güder.
Başarılı işletmeler bilgi
teknolojilerinin faydasını anlar ve bu bilgiyi paylaşlara sağladığı katkıyı
arttırmakta kullanır. Bu işletmeler, bir çok iş sürecinin bilgi teknolojilerine
kritik düzeyde bağımlı olduğunun, regülatif uyumluluğun öneminin ve riskin
etkin yönetiminin faydasının farkındadır. Bilgi teknolojileri yönetişimi alanı
ile ilgili zaman içerisinde bir çok standart ve çerçeve yayınlanmıştır. Bu
standart ve çerçevelerden en çok bilinenleri ISACA ( Bilgi Sistemleri Denetim
ve Kontrol Derneği) ve ITGI (Bilgi Teknolojileri Yönetişim Enstitüsü)
tarafından yayınlanan COBIT (Bilgi ve İlgili Teknolojiler İçin Kontrol
Hedefleri) çerçevesi ve ISO (Uluslararası Standartlar Organizasyonu) tarafından
yayınlanmış ISO/IEC 38500 Bilgi Teknolojilerinin Kurumsal Yönetişimi
standardıdır. Bu makalede ISO/IEC 38500 standardının bilgi teknolojilerinin
yönetişimi konusuna yaklaşımı ele alınacaktır.
ISO/IEC 38500 standardı İnovasyona
önem veren, iş ihtiyaçları ile uyumlu, tanımlanmış sorumluluklar ile hesap
verilebilirliğin korunduğu, iş sürekliliği ve sürdürülebilirliğin sağlandığı, efektif
kaynak kullanımının olduğu, iyi seviyede paydaş ilişkilerinin bulunduğu ve mevzuata
uyumlu BT süreçleri için yönetişim yapısı tarifleyen bir iyi uygulama
standardıdır.
Organizasyonların bilgi teknolojilerinden yeterli faydayı elde
edememesinin nedenleri aşağıdaki gibi sıralanabilir;
- Belirsiz sorumluluklar,
- Şeffaf olmayan yatırımlar,
- Değerlendirilmeyen gereksinimler,
- Cezai yaptırımlar,
- Bağımsız yürütülen yönetim sistemleri,
- Birçok kez farklı noktalarda tekrar eden işler,
- Yönetim ile operasyon arasında kopukluk,
- BT ile iş birimleri arasında iletişimsizlik.
Organizasyonlarda oluşturulacak etkin bir BT yönetişim çerçevesi ile
aşağıdaki faydaların elde edilmesi amaçlanmaktadır.
- İş ihtiyaçlarına yanıt verebilen BT servisleri oluşur,
- BT servis kalitesi artar,
- İş ile bilgi teknolojileri daha yakın hale gelir,
- BT müşteri memnuniyet seviyesi artar,
- Üretkenlik yüksek seviyelere ulaşır,
- BT servisleri sürekli iyileşir,
- BT harcamaları şeffaflaşır ve yatırım geri dönüşü hesap edilebilir,
- Kullanıcı üretkenliğinin düşmesine sebep olan olay sayıları azalır,
- Uyum,
- Sorumluluklar netleşir.
ISO/IEC 38500 standardı
içerisinde iyi BT yönetişimi için 6 adet temel ilke açıklanmıştır. Bu ilkeler
geneldir ve türlerinden bağımsız olarak bir çok organizasyona uygulanabilir.
İlkeler karar almayı desteklemek üzere önerilen davranışları özetler.
Standartta her bir ilke için ne yapılması gerektiği açıklanır fakat bu ilkeleri
kim, nasıl uygular konusuna işletmeden işletmeye değişebileceği için
değinilmez. Organizasyonların yönetim kurullarının bu ilkelerin yerine geirilmesinden
sorumlu olduğu belirtilir.
BT Yönetişim İlkeleri
- İlke 1 – Sorumluluk: Sorumlulukların ve bu sorumlulukların gerektirdiği yetkilerin tanımlı ve atanmış olmasıdır.
- İlke 2 – Stateji: Kuruluşun stratejisi, iş hedefleri ile BT yeteneklerinin ve planlarının uyumlu olmasıdır.
- İlke 3 – Edinim: BT edinimlerinin (yatırımlarının) analizler temelinde şeffaf bir şekilde yapılmasıdır. Fayda, maliyet, fırsat ve riskler arasında kısa vadede bir denge tarifler.
- İlke 4 – Performans: Bilgi teknolojilerinin; iş hedeflerine ulaşmak için yeterli olduğunu, ihtiyaçları karşıladığını ve hizmet kalitesi seviyesini raporlamayı tarifler.
- İlke 5 – Uyumluluk: Bilgi teknolojileri kullanımının tüm zorunlu mevzuat ve yönetmeliklere uygun olmasıdır. BT politikaları ve uygulamaları açıkça tanımlanmış olmalıdır.
- İlke 6 – İnsan Davranışı: Süreç dahilindeki bütün bireylerin mevcut ve değişen ihtiyaçlarına, insani davranış ve değerlere uygun politika, prosedür ve uygulamalar oluşturulmasıdır.
ISO/IEC 38500 standardına göre BT
Yönetişim modeli üç ana görev içerir;
- Bilgi teknolojilerinin mevcut ve gelecekte ki kullanımını değerlendirme,
- İş hedeflerini karşılayan bir bilgi teknolojileri kullanımını sağlamak için gerekli plan ve politikaların hazırlanması ve hayata geçirilmesini yönlendirme,
- Politikalara ve planlanan performans seviyelerine uyumu izleme.
Özet olarak BT yönetişim modeli
bilgi teknolojilerini değerlendirme (evaluate), yönlendirme (direct) ve izleme
(monitor) faaliyetlerinden oluşur.
BT Yönetişimi içerisinde yer alan
değerlendirme faaliyeti iş hedefleri, risk iştahı, yetkinlik, ana iş süreçleri,
ana BT hizmetleri, düzenleyici taraflar, teknolojik durum, sektör trendleri,
dış tehditler, paydaş gereksinimleri gibi konuların değerlendirilmesini içerir.
Bu faaliyet kapsamında mevcut durumun tanımı ve iş hedeflerinin analizi
gerçekleştirilir.
Yönlendirme faaliyeti kapsamında
ise risk, uyum, karar destek mekanizmaları ve iş stratejilerinin çıktılarına
dayalı BT stratejilerinin tanımı yapılır. Bu kapsamda değişimin başlatılması için
bütçe, yetkinlik gelişim, paydaşların katılımı, standart işler ile projelerin
ayrıştırılması, fırsatların değerlendirilmesi, önceliklendirmeleri yapılması gibi
işlemler gerçekleştirilir. Son olarak risk, denetim ve yönlendirme komiteleri
tanımlanır ve 6 BT yönetişim ilkesi çerçevesinde destek sağlanır.
İzleme faaliyeti kapsamında
başarı kriterlerinin tanımı yapılır ve izleme sistemlerinin hayata geçirilmesi sağlanır.
Bu kapsamda “Doğru şeyi yapıyor muyuz? İlerliyor muyuz? Nasıl
iyileştirebiliriz?” gibi soruların cevapları aranır. Son olarak yönetimin BT hakkında
düzenleyici mevzuat ve sözleşme yükümlülükleri ve iç çalışma uygulamaları ile uyumlu
olduğundan emin olmak üzere gerekli faaliyetler yerine getirilir.
BT yönetişim modeli içerisinde
bulunan değerlendir, yönlendir ve izle yaklaşımı ISO/IEC 38500 standardına her
bir BT yönetişim ilkesi için ayrı ayrı tanımlanmıştır.
İlke 1 – Sorumluluk
Değerlendir
|
BT kabiliyetlerinin bugünkü ve gelecekteki
kullanımı konusunda sorumlular atanır.
Sorumluluk, yetki ve yetkinliklerin
yeterlilikleri göz önünde bulundurulur.
Genellikle sorumluluk sahipleri, kuruluşun iş
hedefleri ve performansından sorumlu iş birimi yöneticileri olurken; bilgi
teknolojileri uzmanları tarafından desteklenir
|
Yönlendir
|
Yönetişim sorumlusu tarafından, BT
stratejilerinin sorumluluk sahiplerince takip edilmesi ve hayata geçirilmesi
desteklenir.
Sorumluluk sahiplerinin ihtiyaç duydukları bilgilere
ulaşabilir olması sağlanır.
|
İzle
|
İlgili süreçlere dair izleme metotları
geliştirilir.
Sorumluluklar onaylanır, bildirilir ve
tanımlanır.
Sorumluluk sahiplerinin performansları izlenir.
(Örneğin; yönlendirme komitelerine sunulanlar)
|
İlke 2 – Stateji
Değerlendir
|
Gelecekteki iş ihtiyaçlarının karşılanması için
BT ve iş süreçlerinde gerekli geliştirmeler sağlanır.
Kurum hedefleri, paydaş beklentileri ve iyi
uygulamalar dikkate alınarak stratejiler belirlenir.
Risk yönetimi stratejilerin belirlenmesinde göz
önünde bulundurulur.
|
Yönlendir
|
BT geliştirmeleri ile kurum strateji ve
politikalarına uyum sağlanması garanti edilir.
Fırsatlar ve iyileştirmeleri değerlendirebilmek
için yenilikçi girişimler desteklenir.
|
İzle
|
Hedeflerin başarımı izlenir.
Elde edilen faydalar değerlendirilir.
|
İlke 3 – Edinim
Değerlendir
|
Risk ve maliyet dengesine uygun olarak yatırım
seçenekleri değerlendirilir.
|
Yönlendir
|
BT sistem ve altyapı varlıkları gerekli
kabiliyetler ve servislerle birlikte dokümante edilir.
İş gereksinimlerine uygun olarak uygulamalar
desteklenir.
|
İzle
|
Gereken kabiliyetler dikkate alınarak BT
yatırımları izlenir.
Yatırımlarda paydaşlarla aynı yaklaşımda olup
olmadıkları izlenir.
|
İlke 4 – Performans
Değerlendir
|
İş gereksinimlerinin karşılanması için gerekli
kabiliyet ve kapasite değerlendirilir.
Sürdürülen BT operasyonlarında risk
değerlendirmesi yapılır.
Bilgi bütünlüğü ve kurumsal bilgi ve yetenekler
dahil BT varlıklarının korunması için risk değerlendirmesi yapılır.
BT hedefleri ve yönetişim hedefleri
değerlendirilir.
|
Yönlendir
|
BT stratejilerinin başarılması için gerekli
kaynaklar atanır.
BT’yi yönlendiren iş hedeflerinin güncel ve
geçerli olması sağlanır.
|
İzle
|
BT’nin etkin kullanımı ve hedeflere uyumu
izlenir.
|
İlke 5 – Uyumluluk
Değerlendir
|
İç prosedürler, standartlar, profesyonel
rehberler ve düzenleyici kuruluşlarca tariflenen gereklilikler takip edilir.
Uyum durumu takip edilir.
|
Yönlendir
|
Uyum izleme mekanizmaları geliştirilir.
Kaynakların takibi için atamalar, görevlendirmeler
yapılır.
Tüm uygulamaların etik ve yasal olduğu garanti
edilir.
|
İzle
|
Belirli aralıklarla denetimler ve gözden
geçirmeler aracılığıyla uyum izlenir.
Dataların imhası da dahil olmak üzere tüm BT
uygulamalarının mevzuata uyumu takip edilir.
|
İlke 6 – İnsan Davranışı
Değerlendir
|
BT uygulamalarının birey davranışlarına uyumu
değerlendirilir.
|
Yönlendir
|
Risk ve fırsatlar da göz önüne alınarak birey
davranışlarına uygun BT uygulamaları desteklenir. Uyumun sağlanması ve
korunması için çalışmalar yürütülür.
|
İzle
|
Çalışma pratikleri ile BT uygulamalarının uyumu
izlenir.
|
Sonuç olarak ISO/IEC 38500
standardı bilgi teknolojilerinin etkin, verimli ve kabul edilebilir kullanımı
için ilkeleri ve BT yönetişim modelini tanımlamaktadır. Tanımlanan ilkelerin ve
modelin takip edilmesi, organizasyonun üst yönetimine risklerin dengelenmesi ve
bilgi teknolojilerinin oluşturduğu fırsatlardan istifade edilmesi için imkan
sağlar. BT yönetişimi, organizasyonun tabi olduğu regülatif ve sözleşmelerden
doğan yükümlülüklerin karşılanması konusunda güvence verir. Etkin BT yönetişimi
iş hedeflerinin başarılması ve iş hedefleri ile uyumlu BT süreçlerinin
oluşması, maliyet şeffaflığı, paydaşlarla etkin iş birliği, maliyetlerin
düşmesi ve yapılan yatırımların değere dönüşmesi, iş sürekliliğinin sağlanması, hizmetlerde ve pazarda yenilikçi
bir yaklaşımın ortaya çıkmasına imkan sağlar.
