Türkiye'de COBIT rüzgarı

Günümüzde artık en küçükten en büyüğe kadar tüm kurumlar günlük işlevlerini sürdürmek için muhasebe yönetimi, dış dünya ile haberleşme gibi temel fonksiyonlardan tutunda veriambarı, veri madenciliği ile rekabette öne çıkaracak farklı ihtiyaçları için bilgi teknolojileri altyapıları kullanmaktadırlar.

Buralardaki akışların ve işleyişin kontrolü, güvenli olması, veriye ulaşım, rollerin tanımlanması, geçmişin raporlanabilir olması teknoloji kaynaklı risk ve kayıpları önleme açısından kritik hale gelir.

İşte COBIT bu noktada devreye girer ve 34 süreçde IT kontrol hedefleri koyularak kurumun operasyonel IT süreçleri denetlenir. SOX, ITIL, ISO 27001 gibi standartlarda COBIT'e benzer bir şekilde kurumsal akışların ve bilgi güvenliğinin üzerindeki riskleri azaltmaya yarayan diğer kural setleridir.

Peki Türkiye'de durum ne, Türkiye'de COBIT rüzgarı 2005'de başladı, BDDK bu yılda Finans kurumlarında COBIT bazlı Bilgi Teknolojileri denetimlerini zorunlu hale getirdi. Denetim maddelerinde COBIT 4.1 referans alındı, BDDK'nın sitesinden alınan bilgilerde en çok denetlenen kontrol hedefleri şunlar:

PO9 – Bilgi sistemleri riskinin değerlendirilmesi
AI1- Otomasyon çözümlerinin belirlenmesi
AI6 – Değişiklik Yönetimi
AI7 – Sistem Çözümlerinin ve değişikliklerinin uygulanması ve akredite edilmesi
DS2 – Üçüncü kişilerden alınan hizmetlerin yönetimi
DS4 – İş sürekliliğinin sağlanması
DS5 – Sistem güvenliğinin sağlanması
DS11 – Veri yönetimi
DS12 – Fiziksel Çevre Yönetimi
DS13 – Operasyon Yönetimi

DS13 maddesi kritik, veri ve sistemlere ulaşan, bunları yöneten, raporlayan tüm günlük işleyiş denetlenir. Bu maddenin DS13.2 alt maddesi Job scheduling diye ifade edilen bu işleyişin herhangi bir kişi veya teknoloji'ye bağlı olmadan bağımsız merkezi bir çözümle yönetilmesini ister.

Türkiye’de denetim şirketleri kurumlarda yaptıkları denetimlerde 1-5 arası bir skalada not veriyorlar. 5 ideal durum. BDDK, denetimler sonrası olumsuz not alan şirketlere ceza kesebiliyor ama bundan daha önemlisi bu notun kurumun siciline işlenmesi.

Peki finans sektörü dışında durum ne? Sigorta ve emeklilik şirketleri için Hazine Müsteşarlığı'da BDDK COBIT bazlı denetimlerini referans alan bir denetim rehberi hazırladı ancak henüz devreye alınmadı. SPK da benzer bir şekilde COBIT bazlı bir regülasyon denetim rehberi hazırlığı içinde, hangi şirketler denetime girecek, diğer regülasyon kurumları ile etkileşimler ne olacak bunlar belirlenmeye çalışılıyor, 2014 içinde yayınlanması ve denetimlerin başlaması bekleniyor. Kamu açısından ise Kamu Gözetim Kurumu (KGK) benzer bir çalışma içinde ve COBIT bazlı bir kamu denetim rehberi hazırlanıyor.

Yukarıda anlattığım resim bize gösteriyorki Türkiye’deki BT yöneticileri bu denetim maddelerinin önemini günlük hayatlarında giderek daha yakından hissedecekler. COBIT bazlı IT denetimleri Türkiye'deki kurumları giderek daha yakından ilgilendirecek.

Kurum içinde Risk Yöneticisi (CRO), Finans yöneticisi(CFO), Regulasyon yönetimi (Compliance Officer) gibi üst düzel yöneticiler riski daha yakından hisseden kişiler. Bu yöneticiler IT tarafındaki operasyonel işleyişin COBIT kontrol hedeflerinden iyi not alacak şekilde devam etmesini istiyorlar. Biliyorlarki bu süreçlerin tanımlanması, rollerin ayrışması, yönetilmesi ve merkezi olarak izlenmeye başlanması kurumun risklerini azaltacak çok önemli bir parametre.