üstatlar.net

COBIT (Control OBjectives for Information and related Technology) Bilgi ve İlgili Teknoloji için Kontrol Amaçları

COBIT, ilk olarak 1996’da Information Systems Audit and Control Foundation (ISACF) tarafından yayımlanmıştır. Günümüzdeki başlıca yayımcısı Information Systems Audit and Control Association (ISACA) tarafından 1998’de kurulan IT Governance Enstitüsüdür.

COBIT; ISO teknik standartları, ISACA ve AB tarafından yayınlanan yönetim kanunları, COSO, AICPA3, GAO4 tarafından yayınlanan profesyonel iç kontrol ve denetim standartları tarafından biçimlendirilmiştir. Bu kaynaklar COBIT ’in organizasyona adapte edilen bilgi teknolojisinden bağımsız olmasını sağlarken aynı zamanda pratik, işletmenin ihtiyaçlarına cevap vermeye hazır olmasını sağlayacak şekilde tanımlar.

COBIT (Bilgi ve İlgili Teknoloji için Kontrol Amaçları), Bilgi Sistemleri Denetim ve Kontrol Birliği5 tarafından bir denetim aracı olarak tasarlanmıştır ama bilgi işlem ve iş yönetiminde de kullanılan bir araçtır. COBIT, bilgi ve ilgili teknoloji için kontrol amaçları yaklaşımıdır ve ulaşılmak istenen kontrol amaçları ve bu amaçlara ulaşmak için gerekli yollar tarafından tasarlanan kontroller olarak tanımlanan iç kontrol odaklı bir yaklaşımdır.

İşletmenin iş hedefleri doğrultusunda hizmet vermesini sağlamak amacıyla bilgi işlem kaynaklarını kullanmasını amaçlar ve verilen hizmetlerin, istenilen kalite, güvenlik ve hukuksal ihtiyaçlara cevap vermesini sağlar. COBIT süreç değil kontrol esaslıdır. Şirketlerin neler yapması gerektiği ile ilgilidir ama bunların nasıl yapmaları gerektiği ile ilgilenmez.

COBIT yöneticinin, kontrol gereksinimleri, teknik konular ve iş riskleri arasındaki boşluklar arasında köprü kurmasına yardımcı olan yönetişim çatısı ve destekleyici araçlardır.

COBIT, organizasyon genelinde bilgi teknolojisi kontrolü için saydam politika geliştirilmesine ve başarıyla uygulanmasına imkan vermektedir. Bilgi teknolojisinin işletmenin gereksinimlerini yerine getirmek konusunda başarılı olabilmesi için, yönetim iç kontrol modeli oluşturmaktadır. COBIT kontrol çerçevesi bu ihtiyaca cevap verir. İşletmenin gereksinimleri ile bağlantı kurar. Bilgi teknolojisi faaliyetlerini genel kabul görmüş bir süreç modeli şeklinde örgütler. Ana bilgi teknolojisi kaynaklarını tanımlar. İşletme kontrol hedeflerini açıklar.

İşletme yönelimli COBIT; işletmenin amaçlarının bilgi teknolojisi amaçlarına odaklanması, başarıyı değerlendirmek için vade modellerinin oluşturulması, işletme ve bilgi teknolojisi süreç sahiplerinin birleşik sorumluluklarının teşhis edilmesi faaliyetlerinden oluşur.

COBIT, iş süreç sahiplerinin bilgi sistem kontrol sorumluluklarını etkin ve verimli bir şekilde yerine getirmelerini sağlayan bir çerçevedir. SAC, iç denetçilere bilgi sistem ve teknolojisinin kontrol ve denetiminde yardım sağlar. SAS55 ve SAS78 dış denetçilere organizasyonun finansal tablolarının denetiminin planlanması ve gerçekleştirilmesi ile ilgili iç kontrol alanında rehberlik sağlar.

COBIT kaynak dokümanlarını COSO ve SAC ’dan sağlar. COBIT kontrolün tanımını COSO ’dan ve bilgi teknolojisi kontrol amaçlarının tanımını SAC ’dan alır. COBIT kontrol iş hedeflerinin gerçekleştirilmesi ve beklenmeyen olayların önlenmesi, düzeltilmesi için makul güvence sağlamak amacıyla tasarlanan kurallar, usuller, uygulamalar ve organizasyon yapıları olarak tanımlanmıştır.

İç kontrol, ulaşılmak istenen kontrol amaçları ve bu amaçlara ulaşmak için gerekli yollar tarafından tasarlanan kontrollerdir. COBIT anahtar iç kontrol gereksinimleri olan sistemleştirme, belgelendirme, standartlar ve tanımlanan beklentiler, değerlendirmeler, uygun risk değerlendirmeleri, tanımlanmış operasyonel hedefler ve kontrol hedefleri, uygun kontroller, yetkili ve güvenilir insanlar, kontrol etme ve değerlendirmeyi birleştirir.

COBİT ‘in misyonu; işletme yöneticileri ve denetçiler tarafından günlük kullanılan, yeterli, geçerli, modern, uluslararası genel kabul görmüş bilgi teknolojisi kontrol amaçlarını araştırmak, geliştirmek, tanıtmak ve ilerletmektir.

COBİT ‘in amacı, kar maksimizasyonu, fırsat optimizasyonu, rekabetçi avantaj sağlamak için iş riski, kontrol gerekleri ve teknik konular arasındaki boşluklar arasında köprü kurmak için bir çatı oluşturmaktır.

Kaynak: bumko