Yönetim Kurulu ve İç Denetim İçin Doğru İstihdam, Uygun ... - TİDE

PARMAK İZİ50 51PARMAK İZİtında “Değerlendirme, Yönlendirme ve İzleme”(Evaluate, Direct and Monitor – EDM) olaraktanımlanan yeni bir etki alanın oluşturulmasıdır.Bu değişiklikle, yönetişim kavramı organizasyonbünyesinde daha üst seviyeye ve ön plana taşınıyor.Aşağıdaki şekilde COBIT 5 süreç modeli vesüreçlerin bulunduğu etki alanları detaylı olarakgösteriliyor.Şekil 2: COBIT 5 Süreç ModeliKaynak: COBIT ® 5. © 2012 ISACA ®İÇ DENETİM / SONBAHAR 2012Şekil 1: COBIT 5 PrensipleriKaynak: COBIT ® 5. © 2012 ISACA ®“Process for Management of Enterprise IT”altında ise COBIT 4.1 versiyonundan aşinaolduğumuz PO (Plan and Organize), AI (Acquireand Implement), DS (Deliver and Support)ve ME (Monitor and Evaluate) etki alanlarının;APO (Align, Plan and Organize), BAI(Build, Acquire and Implement), DSS (Deliver,Service and Support) ve MEA (Monitor,Evaluate and Assess) olarak değiştirildiğigözlemleniyor.Burada sadece isimlendirme anlamında bir değişiklikgerçekleştirilmiş gibi görülmekle birlikte,aslında bazı kontrol hedeflerinin yeni versiyonadahil edilmediği, yeni süreçlerin tanımlandığı yada mevcut kontrol hedefleri üzerinde (örneğin,BAI09 Varlık Yönetimi, APO04 Yeniliklerin Yönetimigibi) değişiklikler gerçekleştiriliyor.COBIT 5 çerçevesinde yer alan bu değişikliklerle;organizasyonun bütünüyle dikkatealınması, tüm paydaşların yönetişime dahiledilmesi ve bu anlamda sorumlulukların vesahipliklerin dağıtılarak etkin bir yönetiminsağlanması amacı güdülüyor. Bir süreçte yürütülmesigereken aktiviteler için tüm paydaşlaraait sorumluluk ve sahipliklerin etkin dağıtılmasınayönelik bizlere referans kaynağı olanRACI (Responsible Accountable ConsultedInformed) çizelgesi de yeni versiyon ile çokdaha detaylandırılmış durumda. Her iki versiyondayer alan (COBIT 4.1 ve COBIT 5) RACIçizelgeleri karşılaştırılma yapılabilecek şekildeaşağıda yer alıyor. Bu çizelgelere bakıldığındasorumluluk ve sahipliklere ilişkin tanımlamalarınorganizasyonun tüm taraflarını kapsayacakşekilde detaylandırıldığı görülüyor.Bir diğer yenilik ise COBIT 4.1, Val IT veRisk IT olgunluk seviyesi (maturity level) değerlendirmemodelinin ISO/IEC 15504 doğrultusundayetkinlik/yapabilirlik (capability)değerlendirme modeli ile değiştirilmesidir.Bu değişiklikle birlikte, olgunluk seviyesi hesaplamasıaşamasında kullanılan yöntemlerinfarklı nitelik ve ölçüm skalalarını içermesi sebebiylesonuçların da farklı ortaya çıkabileceğidüşünülüyor.Örneğin; COBIT 4.1’de tanımlanan olgunlukseviyesi hesaplama yöntemlerine göre “2yinelenebilir (repeatable)” olarak değerlendirilenbir kontrol hedefi COBIT 5 kriterlerinegöre “0 tamamlanmamış (incomplete)” olarakdeğerlendirilebilir. BDDK tarafından güncelCOBIT versiyonunun kullanılmasına yöneliktanımlanmış olan yönetmelik üzerinde bir de-ğişiklik gerçekleştirilmediği takdirde, söz konusudurum birçok organizasyonun daha öncedenraporlanan olgunluk seviyeleri üzerindefarklılıklar oluşturabilecek.Şekil 3: COBIT 4.1 RACI çizelgesiKaynak: COBIT ® 4.1 © 2007 IT Governance Institute ®Şekil 4: COBIT 5 RACI çizelgesiKaynak: COBIT ® 5: Enabling Processes © 2012 ISACA ®Yukarıda detayı verilen önemli değişiklikleri birliste halinde özetlemek gerekirse;• Yenilenen COBIT 5 prensipleri,• Tüm paydaşların farkındalığının artırılması,• Kontrol hedefi tanımı yerine yeni süreç referansmodelinin oluşturulması,• Yeni süreçlerin eklenmesi ve mevcut süreçlerin(kontrol hedefleri) yenilenmesi,• RACI çizelgesinin yenilenmesi ve genişletilmesi,• Olgunluk seviyesi değerlendirme kriter veskalasının yenilenmesi, şeklinde sıralanabilir.Sonuç olarak, mevcut yasal düzenlemeler doğrultusunda,değişen COBIT kapsamıyla birlikteözellikle finans sektöründe hem bağımsız denetimfirmaları hem de organizasyon iç sistemlerbirimleri tarafından yapılan denetim kapsamlarınıngüncellenmesi, BT birimlerinin de yeniversiyona uyumlu olarak süreç ve aktivitelerinigözden geçirmeleri gereksiniminin ortaya çıktığıgörülüyor.Kaynakça:1) http://www.isaca.org2) http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT5-Compare-With-4.1-27Feb2012.pptSezgin Topcu, CISA, CRISCKPMG TürkiyeİÇ DENETİM / SONBAHAR 2012