cobit
-
the control objectives for information and related technology'nin kısaltmasıdır. yani "bilgi ve ilgili teknoloji için kontrol amaçları".
bilgi sistemleri denetim ve kontrol birliği (information systems audit and control association- isaca) tarafından bir denetim aracı olarak tasarlanmıştır ama bilgi işlem ve iş yönetiminde de kullanılabilir. yazılım mühendisleri enstitüsü’nün yetenek olgunluk modeli (capability maturity model-cmm) ile iso 9000 ve itil’i esas alır. işletmelerin iş hedefleri doğrultusunda servis sağlamak amacıyla bilgi işlem kaynaklarını kullanmasını amaçlar ve verilen servislerin, istenilen kalite, güvenlik ve hukuksal ihtiyaçlara cevap vermesini temin eder. cobit süreç değil kontrol esaslıdır. bu nedenle şirketlerin neler yapmaları gerektiği ile ilgilenir ama bunları nasıl yapmaları gerektiği ile ilgilenmez.
http://en.wikipedia.org/wiki/cobit
kaynak: http://www.kalder.org/
ukteyi veren: vietnamli (20.02.2007 13:59)
notu: "denetimle ilgili bir şey olsa gerek." -
bddk tarafindan kabul goren denetim araci...
-
bddk denetimleri kapsaminda 4 buyuk denetim sirketinin adeta el kitabi olmus bilgi teknolojileri kontrol esaslari.
-
en geniş kapsamlı bilgi teknolojileri denetim mekanizmalarından biridir. genel itibariyle dört ana bölümden oluşur:
po: plan and organise (planlama ve organizasyon)
ai: acquire and implement (tedarik ve uygulama)
ds: deliver and support (hizmet sunumu ve destek)
me: monitor and evaluate (izleme ve değerlendirme)
bu dört ana bölüm çerçevesinde incelenen bilgi teknolojileri departmanlarının her türlü prosedüründen, uygulamasından, denetim ve kontrol faaliyetlerine kadar tüm yapısını ilgilendiren, sürekli sorular soran süreçtir.
türkçe kaynak bulmakta sıkıntılar yaşanmaktadır. www.isaca.org bu konuda en doğru bilgilere ulaşılabilecek adrestir. -
pratikte bddk tam olarak ne uygulamaktadır bilmem ama, resmi gazete de yayınlanan "bankalarda bilgi sistemleri yönetiminde esas alınacak ilkelere ilişkin tebliğ" ine (http://www.bddk.org.tr/…stemleri_ilkeler_teblig.pdf) göre,
" madde 22:
....
(2) banka, genel kontrollerin tesisi amacıyla uluslararası kabul görmüş bir standart, çerçeve veya metodolojiyi belirleyerek, buna göre kontrolleri tesis eder. seçilecek standart, çerçeve veya metodoloji, bankanın faaliyet kapsamı ve faaliyetlerde yararlanılan bilgi teknolojileri ağırlığı ve karmaşıklığı göz önünde bulundurularak belirlenir. bankanın bilgi sistemleri genel kontrollerini tesis etmek üzere kullanacağı standart, çerçeve veya metodolojinin cobit’te ele alınan kontrol hedeflerini gerçekleyebilmesi, eğer bu konuda eksiklikleri varsa buna ilişkin kontrollerin ayrıca ele alınarak tesis edilmesi gerekir.
...."
diyör. ben tebliğ okumaktan anlamam şahsen, ama yamulmuyosam birebit cobit kullanmak zorunda diilsiniz, ama en az muadili şukelalıkta bi metodoloji belleyip uygulamanız gerekir, deyu. -
öyle ya da böyle bankaların bddk tarafından sorumlu tutulduğu standarttır. bağımsız denetleme şirketleri tarafından yapılan denetleme raporlarında cobit ve sox terimleri alenen zikredilmektedir. cobit süreçlerinin tam olarak işletilebilmesi ve uygulanabilmesi ancak itil standartlarının uygulanmasıyla mümkündür. ancak itil bir library iken cobit bir denetleme standartıdır, karıştırmamak gerekir. edit: event dedi ki, bir control frameworktür, denetleme standartı değil. haklıdır, ama denetlemelerde cobit baz alınır.
cobit süreçleri aşağıdaki gibidir:
plan and organize
po1 define a strategic it plan and direction
po2 define the information architecture
po3 determine technological direction
po4 define the it processes, organization and relationships
po5 manage the it investment
po6 communicate management aims and direction
po7 manage it human resources
po8 manage quality
po9 assess and manage it risks
po10 manage projects
acquire and implement
ai1 identify automated solutions
ai2 acquire and maintain application software
ai3 acquire and maintain technology infrastructure
ai4 enable operation and use
ai5 procure it resources
ai6 manage changes
ai7 install and accredit solutions and changes
deliver and support
ds1 define and manage service levels
ds2 manage third-party services
ds3 manage performance and capacity
ds4 ensure continuous service
ds5 ensure systems security
ds6 identify and allocate costs
ds7 educate and train users
ds8 manage service desk and incidents
ds9 manage the configuration
ds10 manage problems
ds11 manage data
ds12 manage the physical environment
ds13 manage operations
monitor and evaluate
me1 monitor and evaluate it processes
me2 monitor and evaluate internal control
me3 ensure regulatory compliance
me4 provide it governance -
cobit, organizasyonun / şirketin süreçlerinin iç kontrol anlamında hangi seviyede olduğunu, iyileştirilmesi gereken başlıkların hangileri olduğunu belirleyebilir. her süreç için 0 ile 5 arasında, kötüden iyiye doğru, bir olgunluk seviyesi ölçütü vardır.
0, süreçin hiç olmadığı anlamına gelir.
1, sürecin farkındalığının oluştuğu ama henüz standartlaşmamış olduğu anlamındadır.(bir işin tek bir yöntem ile güvenilir şekilde yapılması)
2, bir işin sorumluluğunun büyük oranda tek kişide olduğu ama aynı işlerin farklı kişilerce yapılabildiği anlamına gelir. (ki bu istenmez. süreçler kişilerden bağımsız olmalıdır. bu sebeple süreç dokümantasyonu önemlidir. işi yapan kişi herhangi bir sebeple işi bıraktığında / bırakmak zorunda kaldığında süreç aynı şekilde işleyebilmelidir.)
3, standardizasyon ve dokümantasyon yapılmasına rağmen, ancak sürecin işletilmesine dair bir otomasyon / yaptırım olmadığı anlamına gelir. (süreçler herkes tarafından uygulanmadığında, sürecin başarılı olması düşünülemez. süreç çıktılarının güvenilirliği de ortadan kalkmış olur)
4, otomasyonun veya işleyişin kısıtlı veya eksik bir biçimde kullanılabildiği anlamına gelir. (örneğin, birbiri ile ilişkili süreçlerin akışında uygulamada kopukluklar / kaçaklar olması)
5, burada süpersiniz zaten sözümüz yok.* -
insanı meslekten soğutan bürokratik kurallar bütünü. yazılımcıların elinden local adminliği alarak yazılım geliştirme esnasında zaten yeterince buglarla uğraşmıyormuş gibi bir de bundan kaynaklanan izin hatalarıyla uğraştırmaya başlamıştır. ha bir de işin diğer bacağı her işi yaparken bir sistem aracılığı ile istek açma onay bekleme vs. gibi bürokrasiler getirmiştir.
-
beşinci versiyonu yayınlanmış olan bilgi teknolojileri yönetişim ve kontrol çerçevesi. incelenmesi, kabul görmesi ve yaygınlaşmasının 1-2 yılı alacağı düşünülebilir.
-
cobit'in bence en ilginç tarafı, bt tarafına bir çeki düzen vermek isterken, aslında banka tarafındaki iç sistemlere ve diğer birimlere de noluyo lan dedirtmesidir. örnek operasyonel risk hesaplama için bir yöntem kullanmayan ama biz risk yönetimi yapıyoz yeminle diyen kişilere formülünü ver bende kullanacam diyerek ayar çekmesi şeklinde. veya üst yönetime ana sayfaya misyon vizyon koymuşsun ama stratejik planın nerde ver bakıım, dedirterek aslında tüm kuruma yayılma amacında. tek problemi there is no spoon, herşey yalan.
ekşi sözlük kullanıcılarıyla mesajlaşmak ve yazdıkları entry'leri
takip etmek için giriş yapmalısın.
hesabın var mı? giriş yap