IT Balanced ScoreCard ve COBIT ile ilişkisi

Bu ilişkinin nasıl yapıldığını belirtmeden önce IT Balanced Scorecard ne olduğundan bahsetmek istiyorum. COBIT ile ilgili daha önceki yazılarımda çok detaylı olmasa da bilgi vermeye çalışmıştım. COBIT, IT Governance Institute tarafında geliştirilmiş, BT fonksiyonlarının kontrollü  ve amaca hizmet edecek şekilde yönetilmesini sağlayan, 4 grup ve altında 34 process’den oluşan bir frameworktür.

IT Balanced ScoreCard ise Balanced Scorecard’ın IT için uyarlanmış versiyonudur. Balanced Scorecard’ı türkçeye çevirecek olursak “Dengeli Karne” olarak çevirebiliriz. Hepimizin bildiği gibi okul karnelerinde öğrencinin geçmiş döneme ait performans sonuçları vardır. Fakat bir de görüş alanı bulunur ki öğrencinin hangi alanlarda kendini geliştirmesi gerektiği hangi yönlerine daha çok çalışması gerektiği tarzında notlar buraya yazılır. İşte bu şekilde düşünürsek, verilen hedefler doğrultusunda kurumun karnesinin ne olduğu ve nelere dikkat etmesi gerektiğini gösteren bir karnedir Balanced Scorecard. “Dengeli” kelimesinin ne anlama geldiğini ise şöyle açıklamak mümkündür. Kurumların karnesinin sadece finansal açıdan değil farklı perspektiflerden de değerlendirip, daha geniş açılı bir değer seti ile ölçümleme yapılmasıdır. IT Balanced ScoreCard ise kurum geneli için yapılmış olan bu dengeli karnenin IT için uyarlanmasıdır.

“Dengeli” Karnenin oluşturulmasında 4 farklı perspektif kullanılmaktadır.(Finansal, Müşteri, Operasyonel, Gelecek)

 Buradaki “Learning and Growth”‘u Gelecek perspektifi olarak adlandırıyorum. Böylece şirketin performansı sadece finansal açıdan değerlendirilmemekte, operasyonel verimlilik, müşteriye değer üretme açısından da değerlendirilmektedir. Ayrıca ne açıdan gelişmesi gerektiği konusunda geleceğe yönelik de değerlendirme bulunmaktadır.

Tüm bunlardan sonra IT Balanced Scorecard ve COBIT ilişkisine gelecek olursak;

Aşağıdaki ilk tablo BT yönetişim kapsamında iş hedefleri ile BT hedeflerini nasıl bağlanacağını belirtmektedir. Hücrelerde belirtilen numaralar ise 28 adet olan IT hedeflerine atıf numarasıdır

Yukarıdaki tabloda BT hedefleri numaralandırılmış şekilde gösterilmiştir. Bu numaralara karşılık gelen BT hedeflerinin neler olduğunu gösterir tablo şu şekildedir;

P:Primary S:Secondary

Yukarıdaki tabloda her bir BT hedefini karşılamak için gerekli prosesler kısaltmalar şeklinde verilmiş ve bu hedeflerin COBIT kriterlerini karşılamada ana hedef mi yoksa ikincil hedef mi olduğu belirtilmiştir. Bu prosesler PO, AI, DS, ME olmakla birlikte bunların ilişkisini daha önceki yazımda belirtmiştim.

Bu proseslerin neler olduğu, altında ne gibi ana başlıklar içerdiğini ise şu tablo ile gösterebiliriz.

Bu tabloda belirtilen her ana başlığın altında, detaylı yapılması gereken aktiviteler de bulunmaktadır. Fakat ben bunlara burada yer vermedim. İlgilenenler COBIT ile ilgili kitapçıklardan bunlara ulaşabilirler.

Val IT ve COBIT

Val IT(Value of IT), COBIT gibi ITGI(IT Governance Institue) tarafından oluşturulmuş bir frameworktür. Val IT ile ilgili kısa da olsa daha önceki bir yazımda değinmiştim.

Bu yazımda Val IT hakkında biraz daha açıklayıcı bilgi vermek istiyorum. İlk olarak Val IT ile COBIT’in ilişkisine değinecek olursak şunları söyleyebiliriz. Val IT değer yönetimine kurum seviyesinde yaklaşmaktadır. COBIT ise Val IT, IT tabanlı değer yönetiminde IT fonksiyonuna odaklanmaktadır. Bu cümle ilk başta size bir anlam ifade etmemiş olabilir.

Detaylandırmak gerekirse, Val IT ve COBIT aslında birbirini kapsamak yerine farklı amaçları kendilerine hedef seçerek değer yönetiminde tamamlayıcı rol üstlenirler. Val IT , IT ilişkili yatırımların değerini maximize etmek için tanımlanmış bir frameworktür. Daha çok finansal ve stratejik (kurum seviyesi) açıdan yaklaşmaktadır. COBIT ise kurumsal stratejide IT’ye düşen görevi kontrol etmek ve istenen değeri maksimize etmek ile sorumludur. Aşağıdaki şekil bu anlattığım ilşkiyi görselleştirmek açısından iyi bir örnektir.

 Buradan da anlaşılacağı gibi Val IT’de 2 kritik soru “Doğru işi mi yapıyoruz?(Stratejik)”, “Bunlardan bir fayda sağlıyor muyuz?(Finansal)” iken, COBIT de şu sorulara cevap aramaktadır: “İşi”Doğru şekilde de mi yapıyoruz?” (Mimari), “Hedefleri doğru şekilde alıyor muyuz?”.

Val IT’nin oluşturulmasının en büyük sebebi, kendisine olan ihtiyacın büyüklüğünden kaynaklanmaktadır. Yapılan araştırmalarda %20-70 arası BT yatırımları boşa gitmektedir. Yani yatırım kendini karşılamadığı gibi, yatırım bütçesi de geri dönülmez şekilde çöpe atılmaktadır.

BT yatırımlarını maximize etmek ve değer yönetimini yapabilmek için Val IT 3 alanda yoğunlaşır;
– Değer Yönetişimi(Value Governance)
– Portföy Yönetimi
– Yatırım Yönetimi

Değer Yönetişimi: Amacı IT bazlı yatırımların, kurumsal yönetişim içerisinde maksimize edilmesi
Portföy Yönetimi: Amaç her porftöyün kendi içerisinde değerini maksimize etmesi
Yatırım Yönetimi: Amaç Her bit IT yatırımının kendi değer yönetimin yapılması ve makisimize edilmesi

Böylece her IT yatırımı tekil olarak kontrol altında tutulurken, portföyler bazında gruplanmış yatırımların da kontrol edilmesi sağlanır. En son olarak da genel olarak tüm IT yatırımlarının kurumsal yönetişim içerisinde maximize edilmesi için gerekli aksiyonlar alınmış olur.

**Portföy: Belli alanlara göre yatırımların, projelerin vs. gruplanması

BT stratejisi ve Talep/Kapasite Yönetimi

BT Yönetişimin 5 farklı bacaktan oluştuğunu, bunlardan bir tanesinin de BT stratejisi ve Kurumsal Strateji’nin uyumlu olması gerekliğinden bahsetmiştim. Bu ikisinin uyumlu olması gerektiğini söylemek kolay fakat uygulamak göründüğü kadar kolay değildir. Bunun için üst yönetimin onaylacağı bir BT master planı yapmak, Talep/Kapasite Yönetimini iyi uygulamak ve en önemlisi bunu yaparken zamanında ve doğru bir şekilde ölçümleme yapmak gerekmektedir.

Şirketlerde bir çok birimin BT bölümünden talepleri olmaktadır. Bunlar mevcut kurulu ve çalışmakta olan sistemler ile ilgili problemler olabileceği gibi rutin operasyonel işler de olabilmektedir. Kimi zaman da yeni taleplerle BT’nin kapısına gelmektedirler. Her birimin talebi kendine göre önemlidir ve çoğu zaman acildir.

Bunu bir düzene sokmak için öncelikle eldeki kaynakların yıl boyunca aylar bazında operasyon, bakım, danışmanlık FTE(Full Time Equivalent)’lerini belirlemek gerekmektedir. Ek olarak oluşacak problemler için de aylar bazında FTE’ler belirlenir. Tüm bunlar belirlendikten sonra kalan FTE’ler yeni taleplere atanabilir durumdadır. Talepler neredeyse sonsuz fakat kaynaklar sınırlı olduğu için bu taleplerin bir önceliklendirme modelinden geçirilmesi gerekmektedir.

Önceliklendirme modeli de şirkete özel olmalı ve üst yönetim tarafından belirlenmiş stratejiyi destekleyen ve BT hedeflerini yerine getirecek şekilde tasarlanmalıdır. Böylece istenen talebin sadece talep sahibi için değil aynı zamanda kurumun için de önemli olup olmadığı da doğrulanmış olur.

Tüm bu talepler önem sırasına göre yeni projeler için ayrılmış FTE’lere yedirilir ve yıllık Master Plan oluşturulur. Böylece BT’nin yıl boyunca kurum stratejisi dışında keyfi projelere FTE harcaması kontrol altına alınmış olur. Master plan uygulamaya konduktan sonra değişmez bir anayasa niteliğinde olmamalıdır, olamaz da. Yıl için de öngörülemeyen zorunlu talepler(Regülatif, Repütasyonel vs..) çıkabilir ya da stratejik ölçümlede yüksek değer içeren taleplerle karşılaşılabilir. Bu durumda Talep Yönetim komitesinin onayı doğrultusunda master planda gerekli değişiklikler yapılabilir.

Bu değişikliklerin sonucunda araya giren projenin süresine bağlı olarak planlanmış diğer projeler ötelenebilir veya ortaya çıkan FTE açığı göz önüne alınarak BT personel alımına gidilebilir. Bu planı yapmak kadar ay bazında harcanan FTE’lerin plana uygunluğunun da kontrol edilmesi gerekir. Böylece BT’de Talep/Kapasite yönetimi maximize edilirken, yapılacak işlerin hem müşteriye hem de şirketin geneline en yüksek değeri üretmesi sağlanır…

BT Yönetişimi Neleri Kapsar?

Temel Olarak BT yönetişimi 2 konuya odaklanır; BT’nin İşbirimlerine bir “değer” üretebilmesi, BT risklerinin yönetilebilmesi ve azaltılabilmesi. Bunlarda ilki BT’nin şirket strateji ile uyumunu gerektirir, ikinicisi ise Kurum içinde iç denetim yapısının kurulması ve BT’nin bu denetim çerçevesinde hesap verilebilir olması ile gerçekleştirilir.

Tüm bunlar ışığında BT 5 teme alana ayrılır.Her bir alan paydaş değerinin korunmasına ve artırılmasına destek verir niteliktedir. Bu 5 alandan 2’si(Değer Yönetimi-Value Delivery, Risk Yönetimi-Risk Managment) diğer 3’nün iyi işletilmesi sonucunda ortaya çıkar.

Şekilde görüldüğü gibi, BT yönetişimi bir döngü şeklindedir. Bu işleyiş kendi başına işleyen bir sistemden ziyade dışarıdan etkilenen bir sistemdir. “Dışarı” kavramını içini dolduracak olursak;
– Paydaşlar
– Kurum Misyon, vizyon ve itibarı
– Toplumsal ve kurumsal kültür/ahlak
– Uyulması gereken yasa, regülasyonlar ve kurum ahlakı
– Bulunulanan endüstrinin dinamikleri olarak doldurulabilir.

Daha alt seviyeye indiğimizde, BT yönetişimi kavramı daha teknik bir hal almaktadır. BT kendisine verilen hedefler doğrultusunda prosesleri işletir, kaynak kullanımını optimize eder ve verilen hedefler doğrultusunda çıktı üretir. Bu çıktılar üst makamlara raporlanarak performans değerlendirmesi kapsamında hedeflere ne kadar uyulduğunun tesbiti yapılır

BT yönetişimi ile ilgili yazı dizisini burada bitiyorum. Her bir alana daha detaylı girmek mümkün fakat ben burada girmeyeceğim. Detaylı bilgi isterseniz, ISACA web sitesinden “Board Briefing on IT Governance, 2nd Edition.pdf” indirip okuyabilirsiniz.

BT Yönetişimi(IT Governance) Nedir?

Bu kavramı pek çok kişi-kitap pek çok farklı şekilde tanımlamaktadır. Örneğin benim okuduğum yayında BT yönetişimi, direktörler ve üst yönetim sorumluluğunda takip edilen, BT’nin sürdürülebilirliğini, kurumsal organizasyonun hedeflerine ulaşmasını ve ufkunu genişletmesini sağlayan, belli bir düzeyde liderlik ve organizasyonel yapılanma gerektiren, kurumsal yönetişimin bir parçası olarak tanmlanmaktadır.
Yönetişimin temelinde paydaşlara değer üretmek yatar. Paydaşlar kelimesi şirket çalışanlarından, yatırımcılara kadar uzanan, kurum ile organik veya inorganik bağı olan herşeyi kapsamaktadır. Bu değeri üretmedeki temel kilometre taşları stratejiyi doğru belirlemek, riskleri doğru yönetmek, paydaşlara bir değer sunmak(maddi, teknolojik vs…), performansı doğru ölçüp gerekli aksiyonları almaktır.
BT yönetişiminde organizasyonel yapılanmaya bağlı olarak bir çok seviye bulunabilir. Genelde veri/ bilgi aşağıdan yukarıya doğru(bottom-up) bir yol izlerken, kararlar yukarıdan aşağı doğru(top-down) bir yol izler. Bu akışın doğru bir şekilde olması ve kurum stratejisine katkısının olabilmesi için üst yönetim tarafından belirlenen kurumsal stratejinin en alt seviyeye kadar nufüz etmesi gerekmektedir. Bunun yapılmadığı durumda aşağıdan yukarıya veri/bilgi akışı istenen bilgi seviyesinde olmayacaktır.
BT Yönetişiminde iş sırası bir strateji yöne belirlemek, IT için bu hedefe uygun hedefler belirlemek ve bunu doğru ve sürekli bir şekilde ölçmek olarak söylenebilir.

BT Yönetişimi(IT Governance) – Giriş

Daha önceki yazılarımda COBIT ile ilgili çok kapsamlı olmasada bilgi vermiş ve bunu yaparken de BT Yönetişimi(IT Governance) konusunu da değinmiştim.
Bu ve bundan sonraki bir kaç yazımda BT yönetişimi hakkında biraz daha detaylı yazılar yazmak istiyorum.

Günümüzde bir çok üst yönetim mensubu, kendi kurumlarının hedeflerine ulaşmasında ve mevcut kaynaklarını kullanmada kaldıraç görevi gören BT birimlerinin önemi farketmiş durumdadır. Farketmeyenler ise bunu rekabet gücünü kaybetme, buna bağlı düşen hisse ve itibar kayıplarıyla tecrübe ederek öğrenmeye devam etmektedir.

Geçenlerde ISACA İstanbul biriminin BT Yönetişimi konulu akşam toplantısına katıldım. Toplantının konuğu ise Akbank CIO’su Alparslan Özlü idi. Kendisi BT biriminin şirketlerdeki tarihsel gelişimi ile ilgili güzel bir örnek verdi. Kendisinin anlatımına göre 1980’lerde başladığı iş yaşamında BT birimi şirkette muhasebe bölümünün bir alt birimi imiş ve şirkete BT’nin katkısı bordro ve günlük faiz hesaplaması gibi basit operasyonel işlerin daha hızlı yapılmasını sağlamakdan ibaretmiş.

Bugün ise BT birimi ayrı bir departman olarak yapılanırken, kurumdan kuruma değişmek kaydı ile çoğu zaman birçok departmanın önüne geçebilmektedir. Her ne olursa olsun, artık BT’siz bir kurumsal yapının düşünülmesi imkansızdır.

Tüm bunlar ışığında üst yönetim, BT’yi kullanarak kurumsal başarıyı artırma, kaynakları BT kaldıracı vasıtası ile daha etkin kullanarak rekabet avantajı elde etmek için çalışmaktadır. Bunu yapabilmek için de BT birimlerinin;

– Verilen hedeflere ulaşması
– Değişikliklere karşı esnek olması
– Karşılacağı riskleri iyi yönetebilmesi
– Fırsatları da iyi değerlendirebilmesi
gerekmektedir.

Başarılı kurumlar yukarıda bahsettiğim gibi BT’nin önemini kavramış, Şirket stratejisi ile BT stratejisini uyumlaştırabilmiş, organizasyonel yapıyı bu stratejiyi gerçekleştirbilecek şekilde oluşturabilmiş, BT-kurum içi müşteri-dış müşteri üçlüsü arasındaki iletişimi doğru bir şekilde yapılandırmış, BT’yı kontrol altında tutabilmek için belli framwework’leri başarı ile uyguluyabilen ve BT performansını doğru bir şekilde ölçebilen kurumlardır.

BT yönetişimi, ayrı bir disiplin olmayıp, Kurumsal Yönetişimin bir parçasıdır. BT Yönetişimin gözardı edilmesi çoğu zaman aşağıdaki problemleri de berberinde getirir;

– İş sürecinin aksaması, itibari kayıpları ve rekabet gücünde düşüş
– IT yatırımlarının geri dönüşünün anlaşılaması ve yeni yatırımların ne kadarının IT’ye yapılması gerekliliği

Çoğu zaman şirketler BT yönetişimini uyguladıklarını söylerler. Bunu gerçek anlamda yapıp yapmadıklarını şu soruları kendilerine sorarak anlayabilirler
– BT kurumun sürdürebilir başarısı ve büyümesi için ne kadar kritiktir?
– Kurum tehdit veya fırsatlarla ne kadar karşılaşmaktadır? Buralarda BT yeri nerededir?
– BT, yönetimin sürekli takip konuları arasında mıdır?
– Yönetim, BT durumu ile ilgili sürekli bilgilendirilmekte midir?
– Yönetim, BT stratejisini kabul etmiş midir?
– Şirketin, BT strateji kurulu var mıdır? Düzenli olarak toplanmakta mıdır?

Bu yazımı burada bitiriyorum. Diğer yazılarımda BT yönetişimi konusuna devam edeceğim.

COBIT – III

BT Yönetişimi ve COBIT’in ne olduğunu anlattıktan sonra sıra bu anlattıklarını nasıl yaptığını anlatmaya geldi. COBIT daha önce de bahsedildiği gibi kurumsal strateji ile IT stratejisini uyuşturmayı ve IT’yı kontrol edilebilir bir yapı içine oturtmayı hedefler. Bunu yapmak içinde oluşturulan framework; “business-focused, process-oriented, controls-based, measurment-driven” motto su ile oluşturulmuştur.

Business-focused:

Kurum’un hedeflediği stratejiye ulaşabilmesi için IT’den elde edeceği bilgiler hayati önem taşımaktadır. Bilgiyi yönetmek ve kontrol etmek de COBIT’in temel amaçlarından olduğu için COBIT akacak bilginin kriterini 7 aşamada değerlendirmektedir.
– Etkililik
– Verimlilik
– Güvenlik
– Bütünlük
– Uygunluk
– Uyumluluk
– Güvenlirlik

COBIT, BT kaynakları olarak da Uygulamalar, Bilgi, Altyapı ve İnsan’ı kabul etmektedir.

Process-Oriented:

COBIT framewrokü 4 temel process’e bölünmüştür; Bu 4 temel alan altında 34 tane process bulunmaktadır.
– PO(Plan&Organize)
– AI(Acquire&Implement)
– DS(Deliver&Support)
– ME(Monitor&Evaluate)

Daha detaylı tablolar, process adları ve kontrol noktaları için http://www.itgi.org COBIT 4.1’i inceleyebilirisiniz.