• the control objectives for information and related technology'nin kısaltmasıdır. yani "bilgi ve ilgili teknoloji için kontrol amaçları".

    bilgi sistemleri denetim ve kontrol birliği (information systems audit and control association- isaca) tarafından bir denetim aracı olarak tasarlanmıştır ama bilgi işlem ve iş yönetiminde de kullanılabilir. yazılım mühendisleri enstitüsü’nün yetenek olgunluk modeli (capability maturity model-cmm) ile iso 9000 ve itil’i esas alır. işletmelerin iş hedefleri doğrultusunda servis sağlamak amacıyla bilgi işlem kaynaklarını kullanmasını amaçlar ve verilen servislerin, istenilen kalite, güvenlik ve hukuksal ihtiyaçlara cevap vermesini temin eder. cobit süreç değil kontrol esaslıdır. bu nedenle şirketlerin neler yapmaları gerektiği ile ilgilenir ama bunları nasıl yapmaları gerektiği ile ilgilenmez.

    http://en.wikipedia.org/wiki/cobit

    kaynak: http://www.kalder.org/

    ukteyi veren: vietnamli (20.02.2007 13:59)
    notu: "denetimle ilgili bir şey olsa gerek."
  • bddk tarafindan kabul goren denetim araci...
  • bddk denetimleri kapsaminda 4 buyuk denetim sirketinin adeta el kitabi olmus bilgi teknolojileri kontrol esaslari.
  • en geniş kapsamlı bilgi teknolojileri denetim mekanizmalarından biridir. genel itibariyle dört ana bölümden oluşur:

    po: plan and organise (planlama ve organizasyon)
    ai: acquire and implement (tedarik ve uygulama)
    ds: deliver and support (hizmet sunumu ve destek)
    me: monitor and evaluate (izleme ve değerlendirme)

    bu dört ana bölüm çerçevesinde incelenen bilgi teknolojileri departmanlarının her türlü prosedüründen, uygulamasından, denetim ve kontrol faaliyetlerine kadar tüm yapısını ilgilendiren, sürekli sorular soran süreçtir.

    türkçe kaynak bulmakta sıkıntılar yaşanmaktadır. www.isaca.org bu konuda en doğru bilgilere ulaşılabilecek adrestir.
  • pratikte bddk tam olarak ne uygulamaktadır bilmem ama, resmi gazete de yayınlanan "bankalarda bilgi sistemleri yönetiminde esas alınacak ilkelere ilişkin tebliğ" ine (http://www.bddk.org.tr/…stemleri_ilkeler_teblig.pdf) göre,

    " madde 22:
    ....
    (2) banka, genel kontrollerin tesisi amacıyla uluslararası kabul görmüş bir standart, çerçeve veya metodolojiyi belirleyerek, buna göre kontrolleri tesis eder. seçilecek standart, çerçeve veya metodoloji, bankanın faaliyet kapsamı ve faaliyetlerde yararlanılan bilgi teknolojileri ağırlığı ve karmaşıklığı göz önünde bulundurularak belirlenir. bankanın bilgi sistemleri genel kontrollerini tesis etmek üzere kullanacağı standart, çerçeve veya metodolojinin cobit’te ele alınan kontrol hedeflerini gerçekleyebilmesi, eğer bu konuda eksiklikleri varsa buna ilişkin kontrollerin ayrıca ele alınarak tesis edilmesi gerekir.
    ...."

    diyör. ben tebliğ okumaktan anlamam şahsen, ama yamulmuyosam birebit cobit kullanmak zorunda diilsiniz, ama en az muadili şukelalıkta bi metodoloji belleyip uygulamanız gerekir, deyu.
  • öyle ya da böyle bankaların bddk tarafından sorumlu tutulduğu standarttır. bağımsız denetleme şirketleri tarafından yapılan denetleme raporlarında cobit ve sox terimleri alenen zikredilmektedir. cobit süreçlerinin tam olarak işletilebilmesi ve uygulanabilmesi ancak itil standartlarının uygulanmasıyla mümkündür. ancak itil bir library iken cobit bir denetleme standartıdır, karıştırmamak gerekir. edit: event dedi ki, bir control frameworktür, denetleme standartı değil. haklıdır, ama denetlemelerde cobit baz alınır.
    cobit süreçleri aşağıdaki gibidir:

    plan and organize

    po1 define a strategic it plan and direction
    po2 define the information architecture
    po3 determine technological direction
    po4 define the it processes, organization and relationships
    po5 manage the it investment
    po6 communicate management aims and direction
    po7 manage it human resources
    po8 manage quality
    po9 assess and manage it risks
    po10 manage projects

    acquire and implement

    ai1 identify automated solutions
    ai2 acquire and maintain application software
    ai3 acquire and maintain technology infrastructure
    ai4 enable operation and use
    ai5 procure it resources
    ai6 manage changes
    ai7 install and accredit solutions and changes

    deliver and support

    ds1 define and manage service levels
    ds2 manage third-party services
    ds3 manage performance and capacity
    ds4 ensure continuous service
    ds5 ensure systems security
    ds6 identify and allocate costs
    ds7 educate and train users
    ds8 manage service desk and incidents
    ds9 manage the configuration
    ds10 manage problems
    ds11 manage data
    ds12 manage the physical environment
    ds13 manage operations

    monitor and evaluate

    me1 monitor and evaluate it processes
    me2 monitor and evaluate internal control
    me3 ensure regulatory compliance
    me4 provide it governance
  • cobit, organizasyonun / şirketin süreçlerinin iç kontrol anlamında hangi seviyede olduğunu, iyileştirilmesi gereken başlıkların hangileri olduğunu belirleyebilir. her süreç için 0 ile 5 arasında, kötüden iyiye doğru, bir olgunluk seviyesi ölçütü vardır.

    0, süreçin hiç olmadığı anlamına gelir.
    1, sürecin farkındalığının oluştuğu ama henüz standartlaşmamış olduğu anlamındadır.(bir işin tek bir yöntem ile güvenilir şekilde yapılması)
    2, bir işin sorumluluğunun büyük oranda tek kişide olduğu ama aynı işlerin farklı kişilerce yapılabildiği anlamına gelir. (ki bu istenmez. süreçler kişilerden bağımsız olmalıdır. bu sebeple süreç dokümantasyonu önemlidir. işi yapan kişi herhangi bir sebeple işi bıraktığında / bırakmak zorunda kaldığında süreç aynı şekilde işleyebilmelidir.)
    3, standardizasyon ve dokümantasyon yapılmasına rağmen, ancak sürecin işletilmesine dair bir otomasyon / yaptırım olmadığı anlamına gelir. (süreçler herkes tarafından uygulanmadığında, sürecin başarılı olması düşünülemez. süreç çıktılarının güvenilirliği de ortadan kalkmış olur)
    4, otomasyonun veya işleyişin kısıtlı veya eksik bir biçimde kullanılabildiği anlamına gelir. (örneğin, birbiri ile ilişkili süreçlerin akışında uygulamada kopukluklar / kaçaklar olması)
    5, burada süpersiniz zaten sözümüz yok.*
  • insanı meslekten soğutan bürokratik kurallar bütünü. yazılımcıların elinden local adminliği alarak yazılım geliştirme esnasında zaten yeterince buglarla uğraşmıyormuş gibi bir de bundan kaynaklanan izin hatalarıyla uğraştırmaya başlamıştır. ha bir de işin diğer bacağı her işi yaparken bir sistem aracılığı ile istek açma onay bekleme vs. gibi bürokrasiler getirmiştir.
  • beşinci versiyonu yayınlanmış olan bilgi teknolojileri yönetişim ve kontrol çerçevesi. incelenmesi, kabul görmesi ve yaygınlaşmasının 1-2 yılı alacağı düşünülebilir.
  • cobit'in bence en ilginç tarafı, bt tarafına bir çeki düzen vermek isterken, aslında banka tarafındaki iç sistemlere ve diğer birimlere de noluyo lan dedirtmesidir. örnek operasyonel risk hesaplama için bir yöntem kullanmayan ama biz risk yönetimi yapıyoz yeminle diyen kişilere formülünü ver bende kullanacam diyerek ayar çekmesi şeklinde. veya üst yönetime ana sayfaya misyon vizyon koymuşsun ama stratejik planın nerde ver bakıım, dedirterek aslında tüm kuruma yayılma amacında. tek problemi there is no spoon, herşey yalan.
hesabın var mı? giriş yap