Cobit 5.0 Geliyor…

Share

Herşeyden önce ISACA’nın da dediği gibi Cobit baştan yaratıldı, bu bir upgrade, update veya improvement değil. Cobit 5 ile yeniliklere kısaca bakacak olursak:

Cobit 5’in geliştirme aşamasında aşağıda sıralanan konular göz önünde bulundurulmuş;
• ISACA tarafından oluşturulmuş olan bütün kılavuzları barındıran bütünleşik bir çerçeveye duyulan ihtiyaç,
• Cobit’in önceki versiyonlarından yeni versiyona geçişin kolay olması,
• Yeni versiyonda kullanılacak olan konseptler ve terminolojiler için yapılan detaylandırma seviyelerinin tutarlılığı,
• Kurumsal mimari, karar verme, sürdürebilirlik gibi alanlar için ek kılavuzlara duyulan ihtiyaç,
• Yönetişim süreçlerinin, iş ve BT sorumlulukları ile entegre olma garantisine duyulan ihtiyaç.

Cobit 5 versiyonu; BT’nin yönetişiminde farklı alanları detaylandıran Val IT, Risk IT, ITAF ve BMIS kılavuzları ile Cobit 4.1’i bir araya getirerek yeni bir çerçeve ortaya çıkartmış. Herşeyin bir arada olduğu tek bir kaynak, başvuru kitabı olmayı hedeflemişe benziyor.

Geliştirme aşamasında göz önünde bulundurulan konular paydaşların ihtiyaçları olmuştur. Bu paydaşları; Cobit’i kullanmakta olan iç paydaşlar  ve iş ortakları, danışmanlar, tedarikçiler ve denetçilerin içinde bulunduğu dış paydaşlar olarak sınıflandırabiliriz.

Control Objectives kavramı kalkıyor ve yerine process practices kavramı geliyor. Her process practices için bir RACI, Input/Output ve aktivteler mevcut. Eski versiyonda detay kontrol hedefleri, RACI chart da aktiviteler şeklinde geçiyordu. Süreç mantığına daha yaklaşmış olan bu versiyonda, denetim amacıyla Cobit’i kabul etmiş olan BDDK gibi kuruluşlar sıkıntı yaşayacağa benziyor. Yeni versiyonda da süreç aktiviteleri RACI içinde aynen geçiyor.  Süreçlerde eski versiyonda olan Key Goals ve metrikler bir revizyon ile Risk, value ve resource olmuşlar. Yeni eklenen bu iki metrik/goal’un nedeni RiskIT ve ValIT ile birleşmesi diye yorumluyoruz. Domainlarin isimleri değiştirilmiş ve yeni bir domain ismi eklenmiş; eski exposure’da (aşağıdaki resim) Governance for Enterprise IT domain’i Evaluate, Direct and Monitor olarak değişmiş.  Bunun yanı sıra domain kavramının yanına Area kavramıda eklenmiş. ITIL’den esinlenildiğini hissettiren bir başka yenilik ise LifeCyle kavramı ancak henüz detaylar yok.

Süreç Modeli (Eski - Nisan.2011'de değişti)

Süreç Modeli (Eski - Nisan.2011'de değişti)

 

 Manage Knowledge, Acceptance and Transition Change, Establish and Manintain Solutions vb yeni ve ITIL’i hatırlatan süreçler eklenmiş. ITIL’in SKMS’si gibi Cobit’de de bir Knowledge Base var. Verinin nasıl tutulacağı hakkında detay bilgiler içeren “Meta Layer” da veriyorlar. Bazı süreçlerin yerleri değişirken, örneğin Manage Service Agrements DS deyken PO’a alınmış. Bazı süreçlerinde isimleri ve kapsamları değiştirilmiş, örneğin Manage Incidents and Service Desk, Manage Incident and Request olmuş. Yeni eklenen, domain’i ve/ya ismi değiştirilen süreçlerle süreç sayısı 36’ya domain sayısı 5’e çıkmış durumda. 

Bir diğer yenilik; “Yönetişimi İleriye Taşımak”(Taking Governance Forward) yaklaşımıdır. Yeni versiyon, bu yaklaşım temel alınarak şekillendirilmiş. Bu yaklaşımın sunmakta olduğu model, etkili bir yönetişim yapısının kurulabilmesi için sormamız gereken sorulara ve bu soruların aşağıdaki şekilde belirtildiği gibi birbirleriyle olan etkileşimlerine dayanıyor. Bu sorular ile ilgili servisin ne için, kim tarafından, nerede ve nasıl gerçekleştirildiği konularında detaylı bilgi sahibi olunabilinmesi amaçlanmış. Bu yaklaşımın sunmuş olduğu model kapsamı içinde, yeni versiyon ile değişikliğe uğramış olan “süreç modeli” ile “bilgi referans modeli” kullanılıyor. (şekilde sarı renklerle belirtilmiş) 

TGF Model

TGF Model

 

 İş hedeflerinin tam ve doğru olarak karşılanabilmesi için, kullanılmakta olan bilginin bazı kontrol özelliklerine sahip olması gerekiyor. Cobit, bu kontrol özelliklerini bilgi kriterleri(information criteria) olarak isimlendirmekte ve 4.1 versiyonunda yedi kriter bulunmaktaydı; etkinlik, verimlilik, gizlilik, bütünlük, erişebilirlik, uyum ve güvenilirlikti. Yeni versiyon ile bu kapsam genişletilmiş (Information Referance Model – IRM). Bu sayede bilgi için ihtiyaç duyulan gereksinimler daha net ve detaylı bir şekilde açıklanmış. Bilgi kriterleri 4’e indirilmiş, Security’inin başlıkları CIA olarak korunurken, Quality’i 7 başlıkla ele alınmış.  Eski versiyonda bulunan 7 kriteri yasalarla eşleştirmek zordu, özellikle SOX ile. Bu yapıda var olan Privacy bilgi kriteri bu konuda yardımcı olacağa benziyor. Eski yapıda saece bilgi kriterleri varken, yeni versiyonda bilgiyi 5 ana başlıkta gruplamışlar.

Information Referance Model - IRM

Information Referance Model - IRM

 

Yeni versiyonun ürün ailesini oluşturan yayınlar hakkında şunları söyleyebiliriz; Cobit’in sağladığı faydaları, nasıl uygulanacağından bahsetmeyi, süreç ve bilgi referans modelleri ile Cobit 5.0 mimarisi hakkında bilgiler içeren; “Cobit 5 Framework”. Paydaşların rollerine göre; paydaşlara rehber olabilecek nitelikte hazırlanmış, paydaşların özel ihtiyaçlarını karşılamak üzere grup bazlı geliştirilmiş yayınlar olan;  “Objectives Views”, “Enabler Views”, “Functional (Criteria) Views”, “Organisational Views” and “Responsibility Views”.

Product Family

Product Family

 

Yeni versiyonun sahip olduğu mimariye baktığımızda üç katmanın rol almakta olduğunu görüyoruz; Cobit 5.0 Stakeholders, Knowledge Base ve Metadata Layer. İlk katman, BT paydaşlarına, onların ihtiyaçlarına ve amaçlarına ilişkin bilgiler içermektedir, ikinci katmanda bütün faaliyet alanları ve süreçlerine ilişkin bilgilerin tamamı yer almaktadır. Son katmanda ise Cobit 5.0’da kullanılan bütün bileşenlerin tanımları ve birbirleriyle olan ilişkileri tanımlanmaktadır. Birinci katmanda belirlenen ihtiyaçlara göre ikinci katmandaki bilgilerin çekilmesi, sonrasında da ürün ya da özelleştirilmiş hizmetler şeklinde paydaşlara sunulması düşünülmektedir. İkinci katmandaki bilgiler, üçüncü katmanda bulunan modeller ve bileşenler kullanılarak yapılandırılmaktadır.

Architecture

Architecture

 

 Yeni versiyona dair yenilikleri detaya inmeden anlatan tasarım dokümanı buradan ulaşabilirsiniz.

COBIT 5.0 framework için planlanan yayınlanma zamanları:
– Development workshop, Ağustos 2010
– Subject Matter Expert content reviews, Ekim 2010 – Nisan 2011 (including an exposure draft of the full publication)
– Public exposure of draft framework, Haziran-Temmuz 2011
– Finalize the overarching COBIT 5.0 framework development, Temmuz-Ağustos 2011
– Prepare the developed materials for publication, Eylül 2011’den sonra

Ancak Nisan 11 de son review’lar gönderilmiş ve bu nedenle bu seneye çıkması biraz zor gibi görünüyor diyor Yalçın Bey.

 

Kaynaklar: Alıntılar içermektedir
ISACA, COBIT® 5 Design Paper Exposure Draft
İnnova Bilişim, Derya Korkmaz
TAC, Yalçın Gerek

Share

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Copy Protected by Chetan's WP-Copyprotect.