Bir BT Yönetişim Standardı ISO 38500 ve Uygulanması

Share

ISO 38500

Rekabet Avantajı Rolünde bir BT Oluşturmak

Yetersiz Bilgi Teknolojileri (BT), organizasyonun performansına ve rekabetçi yapısına engel olur veya organizasyonu yasa ve kanunlarla uyum sağlayamama veya bu konuda yeterince hızlı ve uygun maliyetli (cost effective) hareket edememe riski ile yüz yüze bırakır. BT genelde teknoloji perspektifi ile değerlendirilir ve maliyet merkezi olarak görülür. Bir organizasyonda BT Yönetişimine sahip olma motivasyonununu sağlayan şey ise organizasyonun BT’yi işe fayda sağlayan bir yapı olarak görmesini sağlamaktır. İşte tam bu noktada ISO 38500 standardı, şirketlerin yönetimine, BT Yönetişimi ile ilgili alacakları aksiyonlar hakkında geniş kapsamda kılavuzluk eder.

François Coallier, ISO alt kurulunun başkanı, standardı şu şekilde açıklıyor : “Pek çok organizasyon BT’yi temel bir iş (business) aracı olarak kullanıyor ve pek azı onsuz işleyebiliyor. BT aynı zamanda bir çok organizasyonun gelecek iş planlarını mümkün kılan önemli bir işlevdir (function). ISO/IEC 38500, organizasyonun kurumsal yönetişim ekibine kullandıkları BT’yi değerlendirmede (Evaluate), yönetmede (Direct) ve izlemede (Monitor) yardımcı oluyor.”

Alison Holt, ISO BT Yönetişim çalışma gurubu başkanı, standardın hedef kitlesini şu şekilde tanımlıyor: “Bu standart yönetim kurulunu hedef alıyor, BT ve bilgi varlıklarından (information assets) maksimum değeri elde edebilmek için yönetime yardımcı oluyor.”

 

BT Yönetişimi Bağlamında Yönetim Kurulunun Görevleri

Standardın amacı, tüm organizasyonda BT’nin kullanımını daha etkin, verimli ve kabul edilebilir kılmak. Bu nedenle organizasyonun performansından ve politika ve standartlara uyumundan sorumlu yönetim kuruluna bazı görevler (tasks) yüklüyor:

 • Değerlendir (Evaluate): BT’nin bugünü ve yarınını değerlendir
 • Yönet/Yönlendir (Direct): BT’nin kullanımı hakkında politikaların ve stratejilerin tanımlı ve uygulamada olduğuna emin ol
 • İzle (Monitor): BT’nin performansı ve politikalara uyumu hakkında bilgi sahibi ol

iso38000_20000

 

Yönetim kurulu bu görevlerine yerine getirirken yöneticiler (bu başlıkta konumuz BT yöneticileri) ile etkileşim halinde olur. Yöneticiler, yönetim kurulu tarafından belirlenen stratejiler ve politikalar ile işlerini gerçekleştirirler. Yöneticiler, ileride değerlendirilmek üzere yönetim kuruluna plan ve tekliflerini iletirler. Yönetim kurulu da, yöneticilerin oluşturduğu raporlar üzerinden BT’nin strateji ve politikalara uyumunu ve performansını izler. Sonuçta, Değerlendirme, Yönetme ve İzleme görevleri, yöneticilerin sorumluluğunda olan fonksiyonların bulunduğu bir ortam/bağlam (context) içinde yerine getirilir. Bu ortam/bağlam aşağıdaki beş elementten meydana gelmektedir:

 • Yetki Kaynağı (Source of Authority): Yönetim kuruluna yetkiyi veren. Bu, organizasyonlarda genelde paydaşlardır.
 • Yasal Yükümlülükler (Regulatory Obligations): Organizasyonların içinde bulunduğu ortam, yaptığı iş, bulunduğu ülkeler, vb. bir çok kritere göre uyması gereken yasal ve hukuki düzenleyici yükümlülükler bulunmaktadır.
 • İş Baskısı (Business Pressures): Rakiplerin varlığı, pazarın zorlukları, ardı ardına gelen yıkıcı inovasyonlar günümüzde organizasyonları zorlayan en önemli konular.
 • Paydaşların Beklentileri (Stakeholder Expectations): Paydaşlar yalnız şirket sahipleri veya hisse sahipleri diye anlaşılmamalı, bunun yanında müşteriler, çalışanlar, vb. şirketin işleyişine etkisi olan roller de olabilir.
 • İş İhtiyaçları (Business Needs): Şirketin ulaşmak istediği hedef, iş tarafının bunun için uyguladığı taktikler ve aldığı aksiyonlar BT tarafından desteklenmelidir. Bunların hepsi birer iş ihtiyacı olarak ele alınır.

 

 

BT Yönetişimi PrensipleriIT Governance IT Business

ISO 38500, BT’nin bu ortam içinde karar vermesini sağlayan indikatörler olarak belirlenen altı prensip (principles) üzerinde kurgulanıyor. Yukarıda tanımladığımız bu üç görev (aynı ISO 20000’de PUKÖ [Planla Uygula Kontrol et Önlem al] döngüsünün tüm süreçlerde uygulanması gibi) aşağıdaki bu altı prensibin hepsine uygulanıyor:

 • Sorumluluk (Responsibility): BT’nin kullanımı amacıyla BT Yöneticisi/Yöneticileri ve BT Uzmanlıklarına verilen sorumluluklar değerlendirilmelidir. Çalışanların kabiliyetlerinin bu rolleri ve sorumlulukları yerine getirmede yeterli olup olmadığını değerlendirilir. Bu rollere verilen sorumluluklarla önceden tanımlanmış stratejilerin uygulanması için ilgili yönetim faaliyetleri gerçekleştirilmelidir. Çalışanların kendilerine atanan sorumlulukları kabullendiği ve anladığı ve çalışanların performanslarının kabul edilebilir olup olmadığı izlenmelidir.
 • Strateji (Strategy): BT ve İş süreçlerindeki mevcut gelişmeler değerlendirilmelidir. Aynı şekilde BT’nin organizasyonun ve paydaşların hedefleriyle ne kadar iyi hizalandığının da değerlendirilmesi gerekir. Risk yönetimi de (örneğin ISO 31000’de olduğu gibi) bu değerlendirmenin bir parçasıdır. Strateji ve politikaların geliştirilmesi ve kullanılması, innovasyonun kullanımının cesaretlendirilmesi yönünde yöneticiler aksiyonlar almalı ve çalışanları yönlendirmelidir. Yönetim kurulu, BT’nin mevcut kullanım durumunu ve organizasyona sağladığı faydayı izlemelidir.
 • Edinim (Acquisition): Sunulan BT yatırımları, organizasyona getireceği faydalar açısından değerlendirilmelidir. BT varlıklarının (assests) edinilmesi (satın alma, geliştirme, vb.) yönetilmelidir. Bu kapsamda iç ve dış tedarikçilerle yapılan anlaşmalar iş tarafını destekler nitelikte olmalı, tedarikçiler tarafından iş tarafının amaçları iyi anlaşılmış olmalıdır. BT edinimleri, tedarikçi ve BT arasındaki alışverişin yakından izlenmesi ile takip edilmelidir.business-it-alignment
 • Performans (Performance): Yöneticilerin oluşturdukları planların kabiliyet ve kapasite açısından iş tarafını destekleyecek nitelikte olup olmadığı değerlendirilmelidir. Risk değerlendirmesi yapılarak BT’nin faliyetlerinin iş tarafına etkileri analiz edilmelidir. BT çalışanları, edinilen doğru performans bilgileri ile yönetilmelidir. BT’nin iş tarafını etkin bir şekilde ve politikalara uygun şekilde takip ederek destek verip vermediğinin izlenmesi gerekir.
 • Uyum (Conformance): Yönetim kurulu, BT’nin iç ve dış düzenlemeler ve politikalar ile uyumlu olup olmadığını değerlendirmelidir. Yöneticiler ekiplerini yönetirken, BT’nin düzenlemeler ve politikalarla uyumlu olduğuna ve çalışanların, profesyonel ve etik açıdan bunlara uyduğuna emin olmalıdır. Düzenleme ve politikalara uyum izlenmelidir.
 • İnsan Davranışları (Human Behaviour): BT aktiviteleri, süreç akışı içinde insan davranışları da dikkate alınarak değerlendirilmelidir. Çalışanlar, BT hizmetlerinin tasarımında, insan davranışlarının oluşturacağı risklerin ve BT’ye dayalı sorunların dikkate alınması yönünde yönlendirilmelidir. BT hizmetlerinde ve politikalarında insan davranışlarının da dikkate alındığından emin olunması için BT aktiviteleri izlenmelidir.

 

Standart Serisinin Başlıkları

ISO 38500 standart serisi aşağıdaki başlıkları içermektedir:

 • ISO/IEC 38500 – Governance of IT for the organization (2015)
 • ISO/IEC TS 38501 – Implementation Guide (2015)
 • ISO/IEC TR 38502 – Framework and model (2014)
 • ISO/IEC TR 38503 – Assessment of Governance of IT (kaldırıldı)
 • ISO/IEC TR 38504 – The Structure of Principles-based Standards in the Governance of Information Technology (2016)
 • ISO/IEC TR 38505-1 – The application of ISO/IEC 38500 to the governance of data (geliştirmesi devam ediyor)
 • ISO/IEC TR 38505-2 – Implications of 38505-1 for data management (geliştirmesi devam ediyor)
 • ISO/IEC TR 38506 – Governance of IT enabled investments (geliştirmesi devam ediyor)

 

Nasıl Uygulanır?

ISO 38501 teknik tanımlamalar (Technical Specification – TS) dokümanıdır ve BT Yönetişiminin nasıl uygulanacağını tanımlar. Standart BT Yönetişiminin kurulumunu, BT Yönetişim ortamının kurulmasından başlayan sürekli gözden geçirme fazına kadar uzandıktan sonra tekrar kurulum fazına, ortamın korunması ve sürdürülmesi (sustaining) anlamında geri dönen bir döngü şeklinde sunar.

 • Ortamın Kurulması ve Sürdürülmesi (Establish and Sustain Enabling Environment): Paydaşlar, yönetim kurulu ve yöneticiler ile fikir birliği oluşturmak bu fazın ilk adımıdır. Bu fikir ve amaç birliğin sağlayabilmek için BT Yönetişim’inin faydaları hakkında farkındalığı oluşturmak gerekir. Bunun yanı sıra, bir sponsor ve küçük bir destek grubu olarak Yönetişim İcra Kurulu kurulmalıdır. Bu komite, BT Yönetişimi uygulama programının yönetimini yapmaktan sorumludur.
 • BT’nin Yönetilmesi (Govern IT): Bu faz BT Yönetişiminin üç adımından meydana gelmektedir: Değerlendir (Evaluate), Yönet (Direct), İzleme (Manitor).
  • Değerlendir (Evaluate): BT’nin mevcut durumunun SWOT analizi ile belirlenmesi. SWOT analizine göre Güçlü (Strengths) ve Zayıf (Weaknesses) yönler BT’nin iç ortamının mevcutiso38501durumunu (current state) gösterirken, Fırsatlar (Opportunities) ve Tehditler (Threats) ise BT’nin dış ortamının mevcut durumunu gösterir. BT’nin iç ortamını değerlendirirken; BT’nin mevcut rolü ve sağladığı fayda, iş tarafının hedefleri ve stratejileri, organizasyonel kültür ve olgunluk seviyesi, mevcut değişim/transformasyon projeleri, vb. başlıklar değerlendirilebilir.  BT’nin dış ortamını değerlendirirken; teknolojik gelişmeler, yasal düzenlemeler, yeteneklerin bulunabilirliği, pazardaki rekabet, vb. başlıklar değerlendirilebilir. SWOT analizine ek olarak, BT’nin mevcut yönetimine bakılıp, iş tarafıyla ne kadar hizalandığı, ISO 38500’ün prensipleri bazında değerlendirilmelidir.
  • Yönet (Direct): Bu faza da BT’nin gelecekte olması istenen yerin veya beklentilerin belirlenmesiyle başlanır. Bir önceki fazda belirlenen mevcut durumdan, gelecekteki beklenen duruma ulaşabilmesi için gerekli kurumsal değişim projeleri bir program çerçevesinde planlanmalı ve yürütülmelidir. Ayrıca yönetişim mekanizmasını etkin kılacak yapılar kurulmalıdır. Bunu, rol ve sorumlulukların belirlenmesi, gerekli politika ve prosedürlerin oluşturulması ve daha önce de bahsi geçen Yönetişim İcra Kurulunun kurulması ile gerçekleştirebiliriz. Yönetişim İcra Kurulu bir yandan BT Yönetişimini yönetip yönlendirirken diğer yandan Yönetim Kuruluna raporlar.
  • İzleme (Manitor): Bu son faz ise doğrulama fazıdır; bu süreçte ilerleme kaydedildi mi? doğru aksiyonlar alındı mı? hedefler gerçekleştirildi mi? sorularına cevap aranır. Basit anlamda, BT Yönetişim dönüşümünün başarısına dair kanıtlar arar. Yönetim kurulunu gelişmelerden bilgilendirmek için gerekli izleme imkanları kurulmalıdır.
 • Sürekli Gözden Geçirme (Continual Review): Bu son aşamada da (ITIL CSI’dan aşina olacağınız gibi), BT Yönetişiminin kurulumunda ve sürdürülmesinde karşılaşılan iyileştirme/geliştirme fırsatlarının değerlendirilmesidir. Yönetişim İcra Kurulu, bu iyileştirmeler için yeni bir uygulama döngüsü başlatma kararı alabilir.

 

Share

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Copy Protected by Chetan's WP-Copyprotect.