Bilgi Teknolojileri Yönetim Sistemleri ve Türkiye’de Kullanımı Araştırmamı sonuçlandırdım.

Türkiye’de BT sektöründe faaliyet gösteren kurumlardan ve büyük kurumların BT birimlerinden topladığım veriler doğrultusunda şu standartlar ve frameworklerin yaygınlığını inceledim.

ITIL : Information Technology Infrastructure Library

COBIT : Control Objectives for Information and Related Technology
ISO : International Standarts Organisation
ITSM: IT Service Management
ISO 9001 : Kalite Yönetim Sistemi Standardı
ISO 27001 : Bilgi Güvenliği Yönetim Sistemi Standardı
ISO 20000 : Bilgi Teknolojileri Hizmet Yönetim Sistemi Standardı
BS 25999 : İş Sürekliliği Yönetim Sistemi Standardı
CMMI : Capability Maturity Model Integration
MOF : Microsoft Operations Framework
ASL : Application Services Library
BISL : Business Information Services Library
PMI-PMP : Project Management Institute – Project Management Professional
PRINCE2 : PRojects IN Controlled Environment
MSP : Managing Successful Programs
EFQM : European Foundation for Quality Management
SA8000 : Social Accountability 8000
ISPL : Information Services Procurement Library
GRC REDBOOK : Governance Compliance Risk Red Book
M_o_R : Management of Risk
SIX SIGMA : Six Sigma
CMMI-SVC : CMMI for Services
eTOM : enhanced Telecom Operations Map. Telekom sektörü standardı
IPMA :International Project Management Association
TICKIT : Yazılım kalite yönetimi sistemi standard ve rehberi
SOX : Sarbannes-Oxley Yasası ve regülesyonlarını ifade eder.
VALIT :  Value of IT
RISKIT : ISACA’nın BT Risk Yönetimi Çerçeve Programı
TOGAF : The Open Group Architecture Framework. Kurumsal mimari çerçeve programı

Ankette iki tanesi genel bilgi amaçlı sekiz tanesi ölçüm amaçlı toplam 10 soru katılımcılara yöneltilmiştir. Daha fazla cevap toplayabilmek için soru sayısı aztutulmuş fakat cevap seçenekleri arttırılmıştır. Sorulardaki cevap seçenekleri uluslararası kabul görmüş standart isimlerinin kısaltmaları olarak kullanılmıştır. Cevaplarda sektörde İngilizce karşılıkları ile bilinen bu standartlar ve yönetim disiplinlerinin bir çoğunun Türkçe literatürde karşılıkların bulunmaması ve bulunanlarında İngilizce kullanımlarının daha yaygın olması nedeniyle seçeneklerde bu kısaltma ve disiplinler İngilizce olarak verilmiştir. Sorular ve cevap seçenekleri aşağıdaki gibidir.

Anket Soruları

1.Kurumunuzda çalışan sayısı nedir? (Kurum çalışan sayısı şirket büyüklüğü ve standartların kullanımı ilişkisini tespit için sorulmaktadır)

Cevap Seçenekleri

1-10
10-100
100-500
500-1000
1000+

2. Kurum tipinizi seçiniz. (Standartların kurum türlerine dağılımı için sorulmaktadır)

Cevap Seçenekleri

OzelSektor
KamuKurulu
Universite
Askeri Kurum

Sivil Toplum Kuruluşu

Kar Amacı Olmayan Kurum

3. Kurumunuzda hangi standartlar kullanılmaktadır? (Birden fazla seçebilirsiniz)

Cevap Seçenekleri

ISO 9001, MOF, ASL, BISL, PMI-PMP, PRINCE2, MSP, EFQM, SA8000, ISPL, GRC REDBOOK, M_o_R, SIX SIGMA, CMMI-SVC, eTOM, IPMA, ISO 27001, ISO 20000, BS 25999, ITIL, COBIT, CMMI, TICKIT, SOX, VALIT, RISKIT, TOGAF

4. Bu standartlarla ilgili destek (eğitim, danışmanlık, denetim, yazılım) kullanıldı mı?

Cevap Seçenekleri

Evet
Hayır

5. Aşağıdaki standartlardan hangileri 1-3 yıl içerisinde kurumunuzda uygulanması planlanmaktadır? (Gelişen ve yaygınlaşan standartların tespiti için sorulmaktadır)

Cevap Seçenekleri

ISO 9001, MOF, ASL, BISL, PMI-PMP, PRINCE2, MSP, EFQM, SA8000, ISPL, GRC REDBOOK, M_o_R, SIX SIGMA, CMMI-SVC, eTOM, IPMA, ISO 27001, ISO 20000, BS 25999, ITIL, COBIT, CMMI, TICKIT, SOX, VALIT, RISKIT, TOGAF

6. Bu standartlarla ilgili destek (eğitim, danışmanlık, denetim, yazılım) kullanılması düşünülmekte midir? Varsa hangileri seçilecektir?

Cevap Seçenekleri

Eğitim, Danışmanlık, Denetim, Belgelendirme, Yazılım

7. Eğer varsa uymak zorunda olduğunuz standartlar hangileridir?Varsa hangi standartlar için denetlenmektesiniz? (Regülatör kurumların tercih ettiği standartları tespit etmek amacıyla sorulmaktadır)

Cevap Seçenekleri

ISO 9001, MOF, ASL, BISL, PMI-PMP, PRINCE2, MSP, EFQM, SA8000, ISPL, GRC REDBOOK, M_o_R, SIX SIGMA, CMMI-SVC, eTOM, IPMA, ISO 27001, ISO 20000, BS 25999, ITIL, COBIT, CMMI, TICKIT, SOX, VALIT, RISKIT, TOGAF

8. Aşağıdaki konulardan hangilerinde kurumunuzda çalışma-proje yürütülmektedir? (Standartlar kapsamında yer alan disiplinlerde öne çıkanların tespiti amacıyla sorulmaktadır)

Cevap Seçenekleri

Enterprise Architecture, Business Process Management, Governance Risk Compliance, Risk Management, Information Security Management, IT Service Management, Software Process Management, Business Continuity Management, Quality Management,Project Management, Portfolio Management, Program Management, Customer Relationship Management, Performance Management, Strategic Management, Change Management, Configuration Management

9. Kurumunuzda 1-3 yıl içerisinde çalışma başlatmayı düşündüğünüz disiplinler hangileridir. (Standartlar kapsamında yer alan disiplinlerde öne çıkacakların tespiti amacıyla sorulmaktadır)

Cevap Seçenekleri

Enterprise Architecture, Business Process Management, Governance Risk Compliance, Risk Management, Information Security Management, IT Service Management,Software Process Management, Business Continuity Management, Quality Management, Project Management, Portfolio Management, Program Management, Customer Relationship Management, Performance Management, Strategic Management, Change Management, Configuration Management

10. Ankete Katılan Kişinin Bilgileri

Cevap Seçenekleri

İsim-Soyisim
Şirket Bilgileri

Görev/Ünvan
İletişim Bilgileri

ANKET SONUÇLARI

Kurum tipinizi seçiniz. (Standartların kurum türlerine dağılımı için sorulmaktadır)
Cevap Seçenekleri Cevaplama Yüzdesi Cevaplama Sayısı
OzelSektor 84,6% 99
KamuKurulusu 11,1% 13
Vakıf-Dernek 3,4% 4
Universite 0,0% 0
AskeriKurum 0,0% 0
SivilToplumKuruluşu 0,0% 0
KarAmacıOlmayanKurum 0,9% 1
Toplam Cevaplayan Sayısı 117

Ankete katılan kurumların büyük çoğunluğu (%84,6) özel sektör ve kalanı kamu (%11,1) ve çok küçük bir oranı (%4,3) vakıf-dernek benzeri kar amacı olmayan kurumları temsil etmektedir.

Askeri kurumlar, üniversiteler, sivil toplum kuruluşları bu araştırmanın kapsamı dışında kalmışlardır. Bulgularımız ağırlıklı olarak özel sektörü temsil etmektedir.

Kurumunuzda hangi standartlar kullanılmaktadır? (Birden fazla seçebilirsiniz)
Cevap Seçenekleri Cevaplama Yüzdesi Cevaplama Sayısı
ISO 9001 80,3% 94
MOF 1,7% 2
ASL 0,0% 0
BISL 0,0% 0
PMI-PMP 7,7% 9
PRINCE2 0,9% 1
MSP 0,0% 0
EFQM 6,8% 8
SA8000 0,9% 1
ISPL 0,0% 0
GRC REDBOOK 0,0% 0
M_o_R 0,0% 0
SIX SIGMA 6,8% 8
CMMI-SVC 0,9% 1
eTOM 0,9% 1
IPMA 0,0% 0
ISO 27001 38,5% 45
ISO 20000 17,1% 20
BS 25999 8,5% 10
ITIL 24,8% 29
COBIT 16,2% 19
CMMI 12,8% 15
TICKIT 0,9% 1
SOX 3,4% 4
VALIT 1,7% 2
RISKIT 1,7% 2
TOGAF 0,9% 1
Diğer (LütfenBelirtiniz) 26
Toplam Cevaplayan Sayısı 117

ISO 9001, ISO 27001, ISO 20000 ve BS25999 gibi uluslararası standartların öne çıktığını görmek mümkündür. Bu tabloya bakıldığında özellikle Türkiye’deki standartlara yönelik yaptırımlar, müşteri beklentileri ve regülasyonlar bu standartların ön plana çıkmasını sağlamış gibi görünmektedir.

ITIL, COBIT, CMMI, PMI-PMP, EFQM ve SIX SIGMA framework ve rehberlerinin de bu standartlarla beraber fakat bunlardan daha az bir dağılımla kullanılmakta olduğun göstermektedir.

ISO 9001, ISO 27001 ve ISO 20000 diğerlerine oranla çok daha yüksek bir oranda cevaplanmış ve büyük bir farkla en çok kullanılan standartlar olduğu gözlemlenmektedir. Bunların hangilerinin zorunluluk nedeniyle yayıldığını tespit etmek için ise bir sonraki soruların sonuçlarını incelemek faydalı olacaktır.

Bu standartlarla ilgili destek (eğitim, danışmanlık, denetim, yazılım) kullanıldı  mı?
Cevap Seçenekleri Cevaplama Yüzdesi Cevaplama Sayısı
Evet 80,9% 89
Hayır 19,1% 21
Toplam Cevaplayan Sayısı 110
Kurumların bu standartlarla ilgili dış kaynaklı hizmetlerden sektörde yaygın olan eğitim, danışmanlık, denetim, yazılım hizmetlerinin kullanım oranlarını tespit etmek amacıyla sorulan soruya çoğunluğun (%80,9) evet yanıtı verdiği görülmektedir. Genellikle BT yönetimi konusunda kurumların bünyelerinde uzman bulundurmak yerine dış kaynaklı uzmanlar kullanmaya eğilimli olduklarını söyleyebiliriz. Kurumların bundan sonraki hizmet kullanım hedefleri de sonraki soruda ele alınmaktadır.
Aşağıdaki standarlardan hangileri 1-3 yıl içerisinde kurumunuzda uygulanması planlanmaktadır? (Gelişen veya yaygınlaşan standartların tespiti için sorulmaktadır)
Cevap Seçenekleri Cevaplama Yüzdesi Cevaplama Sayısı
ISO 9001 21,6% 25
MOF 0,9% 1
ASL 0,0% 0
BISL 0,9% 1
PMI-PMP 7,8% 9
PRINCE2 1,7% 2
MSP 0,0% 0
EFQM 5,2% 6
SA8000 3,4% 4
ISPL 0,9% 1
GRC REDBOOK 0,9% 1
M_o_R 0,0% 0
SIX SIGMA 4,3% 5
CMMI-SVC 2,6% 3
eTOM 0,0% 0
IPMA 0,0% 0
ISO 27001 42,2% 49
ISO 20000 22,4% 26
BS 25999 14,7% 17
ITIL 19,8% 23
COBIT 15,5% 18
CMMI 8,6% 10
TICKIT 0,0% 0
SOX 2,6% 3
VALIT 2,6% 3
RISKIT 2,6% 3
TOGAF 0,9% 1
Diğer (LütfenBelirtiniz) 11
Toplam Cevaplayan Sayısı 116

Kurumların önümüzdeki 1-3 yıl içerisinde uygulamayı planladıkları standartlar sırlamasında büyük bir farkla ISO 27001’i görmekteyiz. Regülasyon kurumlarının ve müşterilerin bilgi güvenliğine verdikleri önemin artması ile paralel olarak bilgi güvenliği standardına yönelik planların öne alındığını söylemek yerinde olacaktır. ISO 20000 ve ITIL ikilisi BT servis yönetimi alanında artan bir ilginin olduğunu göstermektedir. COBIT regülasyon nedeniyle öne çıkan bir diğer BT denetim standardı olduğundan popülerliğini önümüzdeki dönemde de sürdürecek gibi durmaktadır. BS25999 iş sürekliliği yönetimi standardı özellikle felaketlerle kesintiye uğrayan işlerin maliyetlerinin neler olabileceği konusunda deprem ve sel gibi doğal afetler ile internet bağlantılarında yaşanan kesintilerin sektörde önemsenmeye başlandığını göstermektedir.

ISO 9001 Kalite yönetimine duyulan ilgilinin devam ettiği görülmektedir. En eski ve yaygın standartlardan biri olmasına rağmen henüz uygulamamış kurumların bulunması temel seviyede eksiklikleri olan BT kurumlarının da az olmadığını göstermektedir. ISO 9001 bir çok diğer standardın temeli olarak değerlendirilebilecek prensipleri barındırır ve ankete katılan kurumların 25 tanesi bu konuda uygulama planladığını belirtmekte ve bu oran %20 ye denk gelmektedir. Bu durumda kurumların yaklaşık her 5 tanesinden 1 tanesinde BT ile ilgili fonksiyonlarda BT yönetimi kapsamında temel seviyede bir yönetim sistemi disiplini konusunda eksiklikleri bulunduğunu tespit etmek mümkündür.

CMMI’a olan ilgi pazarda büyük bir talep olmadığını fakat yine de konuyu dikkate alan kurumların bulunduğunu göstermektedir. EFQM ve SIX SIGMA’ya olan ilginin ise azaldığını ve az sayıda kurumun bu konularda çalışma planladığını göstermektedir. Proje yönetimi alanında da toplamda %10 u biraz geçebilen bir ilgi ile PMI-PMP ve PRINCE2 metodlarına az da olsa bir ilginin bulunduğunu göstermektedir. Bir sonraki soruda ise planlanan çalışma konularında destek hizmeti alınması ile ilgili eğilim deste hizmeti türlerine göre ayrıştırılmıştır.

Bu standartlarla ilgili destek (eğitim, danışmanlık, denetim, yazılım) kullanılması düşünülmekte midir? Varsa hangileri seçilecektir?
Cevap Seçenekleri Cevaplama Yüzdesi Cevaplama Sayısı
Eğitim 68,3% 69
Danışmanlık 63,4% 64
Denetim 39,6% 40
Belgelendirme 49,5% 50
Yazılım 23,8% 24
Toplam Cevaplayan Sayısı 101

Kurumların birincil ihtiyaç olarak eğitim hizmetlerine yönelmekte oldukları görülmektedir. Danışmanlık eğitime yakın bir oranda talep edilecek destek hizmetlerden biri olarak değerlendirilebilir. Denetime olan ilginin belgelendirmeden daha az olması ise ilginç bulgulardan biridir. Zira denetim olmadan belgelendirmenin olması mümkün değildir. Denetlenmeyi bir servis olarak kabul etmeme eğilimi BT sektörünün eğilimlerinden biridir. Belgelendirmenin öneminin artması ise regülasyon ve müşteri baskısının ispat ve güvence odaklı bir BT yönetim anlayışının ortaya çıkmakta olduğunu göstermektedir. Giderek iyi yönetim beklentisinin önüne geçmeye başlayan “uyumluluk” gereksinimi anket ile de eğilim olarak istatistiklerde görülebilmektedir. Bu zorunluluk hakkında bulgularımız bir sonraki soru ile daha da artmaktadır.

Eğer varsa uymak zorunda olduğunuz standartlar hangileridir?

Varsa hangi standartlar için denetlenmektesiniz?

(Regülatör kurumların tercih ettiği standartları tespit etmek amacıyla sorulmaktadır)

Cevap Seçenekleri Cevaplama Yüzdesi Cevaplama Sayısı
ISO 9001 72,0% 59
MOF 1,2% 1
ASL 0,0% 0
BISL 1,2% 1
PMI-PMP 2,4% 2
PRINCE2 0,0% 0
MSP 0,0% 0
EFQM 2,4% 2
SA8000 0,0% 0
ISPL 0,0% 0
GRC REDBOOK 0,0% 0
M_o_R 0,0% 0
SIX SIGMA 0,0% 0
CMMI-SVC 1,2% 1
eTOM 0,0% 0
IPMA 0,0% 0
ISO 27001 32,9% 27
ISO 20000 14,6% 12
BS 25999 3,7% 3
ITIL 13,4% 11
COBIT 19,5% 16
CMMI 6,1% 5
TICKIT 0,0% 0
SOX 2,4% 2
VALIT 0,0% 0
RISKIT 0,0% 0
TOGAF 0,0% 0
Diğer (LütfenBelirtiniz) 14
Toplam Cevaplayan Sayısı 82

Uyum gereksinimi ve regülasyon açısından bakıldığında ISO 9001 büyük oranda zorunluluk haline gelmiş bir standart olarak görülmektedir. Sıralama kurumların mevcut ve gelecek ile ilgili uygulama planlarına dair sorularımızı destekleyecek bulgular vermektedir. 1-3 yıl içerisinde uygulanması planlanan standartlar ile uyum zorunluluğu bulunan standartlar arasında paralellik açıkça görülebilmektedir.

ISO 27001, ISO 20000, ITIL ve COBIT uyum gerekliliği getirilen ve Türkiye’de resmi kurumların ortak kullandıkları standartlardır. Bu tabloya yansımaları da bundan kaynaklanmaktadır. CMMI ve SOX ise biri kamu diğeri yabancı kökenli iki kurum tarafından kurumlara dayatıldığından listede küçük de olsa bir orana sahip olmuşlardır.

COBIT Bankacılık Düzenleme ve Denetleme Kurumu tarafından bir tebliğ ile bankalara zorunlu hale getirilmiştir. (BDDK,05.06.2007, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ) Bunun etkisi ile özellikle bankalar başta olmak üzere finans sektöründe ve sektör çevresindeki paydaşlarda COBIT giderek önem kazanmaya başlamıştır.

ISO 27001 ve ISO 20000 standartları da bir çok kamu kurumu tarafından teknik şartnamelerde kurum yeterliliği için bir ön koşul olarak istenmektedir. Ayrıca Bilgi Teknolojileri ve İletişim Kurumu 15 Ekim 2010 tarihli 27730 sayılı tebliğ ile ISO 27001 uygulamasını Telekom şirketlerine zorunlu hale getirmiştir. (BTK, 15 Ekim 2010, Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğ, Resmi Gazete Sayı:27730)

Aşağıdaki konulardan hangilerinde kurumunuzda çalışma-proje yürütülmektedir? (Standartlar kapsamında yer alan disiplinlerde öne çıkanların tespiti amacıyla sorulmaktadır)
Cevap Seçenekleri Cevaplama Yüzdesi Cevaplama Sayısı
Enterprise Architecture 19,0% 20
Business Process Management 34,3% 36
Governance Risk Compliance 12,4% 13
Risk Management 45,7% 48
Information Security Management 53,3% 56
IT Service Management 56,2% 59
Software Process Management 21,0% 22
Business Continuity Management 37,1% 39
Quality Management 44,8% 47
Project Management 60,0% 63
Portfolio Management 15,2% 16
Program Management 13,3% 14
Customer Relationship Management 31,4% 33
Performance Management 27,6% 29
Strategic Management 16,2% 17
Change Management 37,1% 39
Configuration Management 27,6% 29
Toplam Cevaplayan Sayısı 105

BT yönetimi disiplinleri bazında değerlendirme yapıp konuyu standartlar ayrımında değil yönetim disiplinleri ayrımında değerlendirmek biraz daha spesifik veri toplamamızı sağlayabilir. Tablo 8’deki verilere bakıldığında şaşırtıcı bir sonuçla karşılaşmaktayız. Proje yönetimi standartları önceki sorularda pek önemsenmezken burada en çok uygulanan disiplinler sırlamasında birinci sıraya yerleştiğini görmekteyiz. BT dünyasında her bir işin proje olarak adlandırılması ve gerçek anlamda proje yönetimi disiplininin aygın olmayıp “proje” kelimesinin günlük işler için bile kullanılıyor olmasının bunda ciddi bir etkisi olduğu dikkate alınmalıdır.

İkinci sırada BT servis yönetimi disiplini gelmektedir ve bu da daha önceki sorularda ikinci planda kalmış bir konu gibi görünmesine rağmen standartlaşmanın ikinci planda, uygulama disiplininin birinci planda olduğu konulardan birisi olduğunu tespit etmemizi sağlamaktadır.

Üçüncü sırada yer alan bilgi güvenliği yönetimi aslında risk yönetimi konusu ile birlikte ele alındığında ISO 27001’in toplam yüzdesi diğerlerinin de önüne geçebilmektedir.

Bir diğer ilginç bulgu ise M_o_R ve RISKIT gibi risk yönetimi frameworklerine hemen hiç ilgi duyulmazken bir disiplin olarak risk yönetiminin uygulanması ele alındığında ciddi bir oranda uygulamada olduğunu tespit etmekteyiz. Bu da yönetim disiplinlerinde uluslar arası literatürün fazla bilinmediğini veya kullanılmadığını göstermektedir.

Kurumunuzda 1-3 yıl içerisinde çalışma başlatmayı düşündüğünüz disiplinler hangileridir. (Standartlar kapsamında yer alan disiplinlerde öne çıkacakların tespiti amacıyla sorulmaktadır)
Cevap Seçenekleri Cevaplama Yüzdesi Cevaplama Sayısı
Enterprise Architecture 7,7% 7
Business Process Management 24,2% 22
Governance Risk Compliance 9,9% 9
Risk Management 23,1% 21
Information Security Management 24,2% 22
IT Service Management 26,4% 24
Software Process Management 13,2% 12
Business Continuity Management 23,1% 21
Quality Management 17,6% 16
Project Management 26,4% 24
Portfolio Management 12,1% 11
Program Management 6,6% 6
Customer Relationship Management 18,7% 17
Performance Management 27,5% 25
Strategic Management 13,2% 12
Change Management 19,8% 18
Configuration Management 16,5% 15
Toplam Cevaplayan Sayısı 91

Kurumların önümüzdeki dönemde çalışma yapmayı planladıkları disiplinlerde daha önce adı pek geçmeyen performans yönetiminin ön plana çıktığı görülmektedir.

BT servis yönetimi, proje yönetimi bilgi güvenliği ve iş sürekliliği yine en çok çalışma planlanan konular arasında yer almaktadır. Risk yönetimi ve süreç yönetimi konularında da dikkate değer bir çalışma planı olduğu gözlemlenmektedir.

SONUÇLAR HAKKINDA GENEL DEĞERLENDİRMELER ve YORUMLAR

Araştırma sonuçları genel olarak şu noktaları sergilemektedir.

Kurumların öncelikli ilgilendiği konular; Kalite Yönetimi, Bilgi Güvenliği Yönetimi, BT Servis Yönetimi, Proje Yönetimi, Performans Yönetimi, Risk Yönetimi, Süreç Yönetimi ve Yazılım Yönetimidir.

Bu konularda şimdiye kadar büyük oranda dış kaynaklı uzmanların destek hizmetlerinden faydalanılmıştır. Bu hizmetlerden öne çıkanlar ise eğitim ve danışmanlık hizmetleridir.

Sektörde regülasyonlar ve uyum zorunlulukları yönetim disiplinlerinin seçiminde önemli bir faktör olarak ortaya çıkmaktadır. Belgelendirmenin önemi ve kurumlar üzerindeki baskısının standartlaşmaya daha fazla önem verilmeye başlamasına olumlu katkıda bulunmaktadır.

Yönetim disiplinleri olarak kurumların uygulamakta oldukları konularla uluslar arası en iyi pratiklerin kullanımı arasında kopukluk gözlemlenmektedir. Kurumlar disiplinlerin farkında fakat bu disiplinlerle ilgili en iyi pratikler hakkında mesafeli bir yaklaşımdadırlar.

Kurumların bünyelerinde uzman bulundurmak yerine dış kaynaklı hizmetlerle bu çalışmaları yürütmeleri ve yönetim gibi içselleştirilmesi gerekli olan bir konunun dış kaynaklara dayandırılması eğilimi BT yönetimi gibi önemli bir konunun bir yan süreç olarak ele alınmakta olduğuna dair ipuçları vermektedir.

Bir diğer göze çarpan eksiklik ise risk yönetimi, stratejik yönetim, süreç yönetimi gibi konularda uygulama yapan ve uygulama planı bulunan kurumların toplam sayısı yüksek olduğu halde bu konudaki temel standartlar hakkında bilgi ve ilginin aynı seviyede olmamasıdır. Bu da BT yönetimi için en iyi pratiklerin, rehberlerin ve standartların uygulamada gerektiği kadar dikkate alınmadığını göstermektedir.

Bunun nedenlerinden birisi de bu yönetimsel faaliyetlerin dış kaynaklı birer sürece daha yakın olarak işletilmesi ve diğer nedeni de bu konulardaki çalışmaların genellikle bir uyum gerekliliği ile gündeme gelmekte olmasıdır.

Zorunluluk, uyum gereksinimi ve baskısı olmadan kurumun kendi ihtiyaçları doğrultusunda önceliklendirdiği ve standartlara bağımlı olmayan performans yönetimi konusunun en ön planda çıkması ise arka planda sistem verimliliği ile ilgili sıkıntıların bulunduğuna dair ipuçları vermektedir.

Zeminde yer alması gereken en iyi BT yönetimi pratiklerinin zayıf kaldığı durumlarda düşük verimliliğin bir sonuç olarak belirmesi kaçınılmazdır. İyi yönetim yapısı olmadan performansın iyi yönetilmesi gerçekçi bir hedef olarak kabul edilmemektedir. Bu bağlamda kurumların mevcut durumda yönetimi içselleştirmeleri, bilgiyi ve beceriyi kuruma kazandıracak bir metodu öne almaları önerilebilir.

Uyum gereksinimlerinden önce kurum gereksinimlerinin doğru tespiti için karşılaştırma ve ölçü alma (benchmarking) amaçlı olarak bu standartların kullanımı kurumlara vizyon sağlayacaktır. Diğer kurumların deneyimlerinden yola çıkılarak sektör uzmanlarınca oluşturulmuş rehber ve standartları kullanmak bir çok hatayı daha yapmadan görmeyi sağlayabilir.

Kurumların dikkate alması gereken bir diğer konu ise çok sayıda standardın aslında benzer yönetim disiplinleri çevresinde toplanmış olmasından ötürü bağımsız gibi duran ama entegre çalışması gereken standartları uygularken mükerrer ve parçalı olarak sistem kurulmamasıdır. Pek çok standart temel yönetim ve kurumsallık yeteneklerine ölçümlemeyi, sürekli iyileştirmeyi, yaşam döngüsü yaklaşımını, denetleme ve düzenli gözden geçirmeleri, süreç yaklaşımını, analiz ve raporlama kabiliyetlerini, risk yönetimi yaklaşımını ve buna dayanan karar verme tekniklerini barındırmaktadır. Bu standartların her biri için ayrı ayrı tekrarlanması öngörülen bu uygulamalar kurum yeteneklerine kazandırılması gereken özelliklerdir. Kurumların çok büyük çoğunluğu tüm standartları, disiplinleri, rehberleri ve üst seviye yönetim görevlerini bir araya getiren GRC yaklaşımını henüz kullanmamakta ve bununla ilgili literatürü bilmemektedirler.

Genel olarak standartlar dünyasında pek çok disiplini bir araya getirip tekil bir çatı altında toplayan GRC disiplini pek çok kurum tarafından mevcutta veya gelecek planında ajandada yer almamaktadır. Parçalı ve dağınık standartlara yönelik ilgi ve bilgi devam etmektedir.

Genel olarak kurumlara en iyi pratiklerin ve standartların neler olduğu hakkında bilgi verilmesi gerekmektedir. Tüm standartların ortak çatı altında yönetildiği GRC yaklaşımının tanıtılması gerekmektedir.

BT yönetimi disiplinlerinde daha az dış kaynak kullanımı ve daha çok iç kaynakların eğitilmesi ve istihdamına yönlendirme ile yönetsel fonksiyonların kuruma içselleştirilmesine özen gösterilmelidir. Regülasyonun özellikle önemli kabul edildiği ve talebi de belirleyen düzenleme kurumları, müşteriler ve şartnamelerde yer alacak standartların listeler halinde uzaması yerine tekil bir üst yönetim çerçevesinin öne çıkarılması önerilebilir. Her bir standart için ayrıca uyumluluk çalışması yapmanın maliyetlerinin fazlalığı bir yana kurumların bir çok durumda sahip oldukları uyumluluk belgelerini iyi işletme olma yerine diğer kurumlarla rekabeti haksız hale getirme amaçlı kullanmalarının önüne geçilmesi sağlanmalıdır. Belgelendirmenin giderek daha fazla önem kazanmaya başlaması ile birlikte bir çok kurumun belgeyi ve uyumluluk beyanını öne alması kaçınılmaz olarak belgelendirmenin uygulamadan uzaklaşmasına ve haksız belgelendirmelere yol açmaktadır. Bunun önüne geçmek üzere denetim ve uyumluluk tespiti işinin olabildiğince tarafsız kalması ve belgelendirme yerine uygulama ispatları üzerine kurulu bir değerlendirme mekanizmasının kullanılması önerilir.

Bu yazıyı paylaşmak mı istiyorsunuz? Ne duruyorsunuz: