gtag 2-değişiklik ve yama yönetimi kontrolleri · 2013-07-11 · gtag —yönetici Özeti 4...

1

Rehber

GTAG®

GLOBAL TEKNOLOJİ DENETİM REHBERİ IPPF – Uygulama Rehberi

GTAG 2-Değişiklik ve Yama Yönetimi Kontrolleri: Kurumsal Başarı için Kritik Öneme Sahiptir

2. Baskı

2

GTAG®

GLOBAL TEKNOLOJİ DENETİM REHBERİ UMUÇ – Uygulama Rehberi

GTAG 2-Değişiklik ve Yama Yönetimi Kontrolleri: Kurumsal Başarı için Kritik Öneme Sahiptir

2. Baskı

Mart 2012

GTAG — İçindekiler

3

Yönetici Özeti …...……………………………………………………………………………………….. 4

Giriş ................................................................................................................................................ 5

İç Denetçiler Kurumun Değişiklikleri Nasıl Yönettiğine Neden Dikkat Etmelidir?........................... 10

Değişiklik Yönetimini Tanımlamak................................................................................................... 13

İç Denetçiler Değişiklik ve Yama Yönetimi Hakkında Hangi Soruları Sormalıdır? .......................... 22

İç Denetçiler Nereden Başlamalıdır?................................................................................................ 26

Yazarlar ve Gözden Geçirenler.........................................................................................................28

Ek A: Değişiklik Yönetimi için Örnek İş Vakası………………………………………………………… 29

Ek B: Örnek Denetleme Programı.................................................................................................... 31

GTAG —Yönetici Özeti

4

Yönetici Özeti

Her BT riski bir dereceye kadar işletme riski oluşturduğundan dolayı, İç Denetim Yöneticilerinin BT değişiklik ve yama yönetimi konularını tamamen ve layıkıyla anlamaları önemlidir.

BT değişiklik ve yama yönetimi, üretim sistemlerinde yapılacak geliştirme, güncelleme, onarımları ve yamaları yönetmek için BT biriminin bünyesinde uygulanan işlemler bütünü olarak tanımlanabilir; bu işlemler arasında:

Uygulama kodu revizyonları.

Sistem güncellemeleri (örn., uygulamalar, işletim sistemleri ve veritabanları)

Altyapı değişiklikleri (örn., sunucular, kablolama, yönelticiler (routers) ve güvenlik

duvarları).

Sabit ve yönetilen BT üretim ortamları, değişiklik uygulama sürecinin tahmin edilebilir ve tekrarlanabilir olmasını ve aynı zamanda tanımlanmış, denetlenmiş ve uygulanmış kontrollü bir süreç izlenmesini gerektirir. Görev ayrımı (örn., hazırlayan, test eden, uygulayan ve onaylayanın görevlerinin ayrılması) ve izleme kontrolleri, süreçte yaşanabilecek usulsüzlükleri ve hataları azaltacaktır.

İç denetçiler, aşağıda verilen kontroller de dahil BT değişiklik yönetimi sürecinin kilit kontrol işlemleriyle ilgili bilgi sahibi olmalıdırlar:

Yalnızca BT üretimi değişiklerini gerçekleştirmek için gereken asgari sayıda personelin

üretim ortamına erişimi bulunmalıdır (önleyici).

Önerilen değişikliklerle ilişkilendirilen riskleri değerlendirmek ve hafifletmek için

yetkilendirme süreçlerinde paydaşlar da yer almalıdır.

Gözetim süreçleri, BT yönetimini ve personeli görevlerini sorumlu bir şekilde

gerçekleştirmeleri (önleyici) ve yanlış uygulamaları saptayabilmeleri için teşvik edici

nitelikte olmalıdır (tespit edici).

Bu Global Teknoloji Denetim Rehberi (GTAG), İç denetçilerin değişiklik yönetimi kapasitesi ve süreç riskinin genel düzeyini değerlendirmek ve daha ayrıntılı bir süreç değerlendirmesinin gerekip gerekmediğini belirlemek için BT faaliyetine doğru sorular yöneltmelerini sağlamak gayesiyle hazırlanmıştır.

İç denetçiler, bu rehberi okuduktan sonra:

BT değişiklik yönetimi süreçleriyle ilgili işlevsel bir bilgiye sahip olacaklar;

Etkin değişiklik yönetimi süreçlerini etkin olmayan süreçlerden ayırabilecekler;

BT ortamlarının değişiklik yönetimiyle ilgili kontrol konularında içerdiği uyarı işaretlerini

ve göstergeleri çabucak tanıyabilecekler;

GTAG —Yönetici Özeti

5

Hem tam görev ayrımını sağlayabilmek hem de yönetimin yeterince izlenmesi ve

denetlenmesini sağlayabilmek için, etkin bir değişiklik yönetiminin önleyici, tespit edici

ve düzeltici kontroller yapılmasına bağlı olduğunu anlayacaklar;

Hem risklerin (kontrollerin onayları dâhil) bertaraf edilmelerinin güvence altına alınması

hem de etkinlik ve verimliliğin arttırılması için, bu konuların çözümüne yönelik bilinen en

iyi uygulamaları önerebilecekler ve

Bilgi Teknolojileri Yöneticisi’ ne (CIO), Genel Müdür’e (CEO) ve/veya Finanstan Sorumlu

Genel Müdür Yardımcısı’na (CFO) daha etkin tavsiyeler verebilecek ve önerilerde

bulunabileceklerdir.

GTAG — Giriş

6

Giriş

Bu GTAG, bir yönetim aracı olarak BT değişiklik ve yama yönetimini ele alır ve aşağıda sayılan konulara değinir:

BT değişiklik ve yama yönetimi neden önemlidir?

BT değişiklik ve yama yönetimi, BT risklerini ve giderlerini kontrol altına almayı nasıl

sağlar?

Ölçümler ve göstergeler, değişiklik sürecinde neyin işe yaradığını, neyin işe yaramadığını

nasıl gösterebilir?

BT değişiklik ve yama yönetiminin işe yarayıp yaramadığı nasıl anlaşılır?

BT değişiklik riskleri nasıl azaltılır?

İç denetimin sorumlulukları.

“Kurul” sözcüğü, bu GTAG rehberinde, Uluslararası İç Denetim Meslekî Uygulama Standartları (Standartlar) terimler sözlüğünde tanımlandığı haliyle kullanılmıştır: “Kurul; yönetim kurulu, denetim kurulu, bir kurumun veya yasama organının başı, kâr amaçlı olmayan kurumların guvernörler kurulu veya mütevelli heyeti veya iç denetim yöneticisinin işlevsel olarak bağlı bulunduğu denetim komitesi de dâhil, kurumun atanan diğer birimleri gibi yönetim mercilerini ifade eder.”

BT Değişiklik ve Yama Yönetimi Neden Önemlidir?

Son araştırmalar, zayıf bir BT değişiklik ve yama yönetiminin hem maliyeti hem de atıl kalma süresini arttırdığını göstermiştir. Yıllar boyunca, çeşitli farklı kurumlardaki BT birimleri, ufacık değişikliklerin bile büyük ve uzun süreli atalete sebep olabileceğini görmüşlerdir. Bu tür problemlerin maliyet hesabına nereden başlamak gerekir?

Daha iyi BT değişiklik ve yama yönetimi olan kurumlar:

Planlanmamış işler için daha az para ve daha az BT enerjisi harcarlar;

Yeni işler için ve işletme amaçlarını gerçekleştirmek için daha fazla para ve daha fazla BT

enerjisi ayırırlar;

Daha kısa atıl süreler yaşarlar;

Yamaları işi mümkün olduğu kadar az aksatacak bir şekilde kurabilirler ve

Yeni gelişme ve ilerlemelere daha fazla, “çıkan yangınları söndürmeye” ise daha az

odaklanırlar.

Çeşitli ülkelerde, kurumların daha fazla teşvike ihtiyaç duymaları durumunda, yönetici

kadronun BT kontrolleri dâhil finansal raporlama üzerindeki kontrolleri anlayarak onay

imzası vermelerini gerektiren özel mevzuat vardır. Etkin BT değişiklik yönetimi olmaksızın,

yönetimin yönetmeliklerin gerekliliklerini yerine getirmesi ve mali tabloların doğruluklarını

onaylaması zordur.

BT Değişiklik ve Yama Yönetimi, BT Risklerini ve Giderlerini Kontrol Etmeyi Nasıl Sağlar?

GTAG — Giriş

7

Etkin olmayan bir BT değişiklik yönetimi, her türlü BT riskinin kötüleşmesine neden olabilir. Hâlbuki riskler, makul ve iyi planlanmış BT değişiklik ve yama yönetimi süreçleriyle kontrol altına alınabilir. Uygun bir BT değişiklik ve yama yönetiminin giderleri azaltabileceği yeterince açık olmayabilir.

Yeterli kontrol ve açıklığın olmadığı bir kurum önemli fırsatları ihmal ederek, parasını ve emeğini gereksiz veya düşük öncelikli değişikliklere harcayabilir. İyi planlanmayan ve enine boyuna düşünülmeden yapılan değişiklikler, uygulamadan sonra uğraşılması gereken aksaklıklara neden olabilir veya yapılan değişikliklerin “geri çekilmesi” gerekebilir. Bir bileşende yapılan BT değişiklikleri, diğer bileşenlerin çalışmalarını aksatabilir. Bu aksaklıklar, zaman ve paraya mal olur, fakat uygun BT değişiklik ve yama yönetimi süreçleriyle azaltılabilirler.

Sonuçta verimsiz veya etkisiz BT değişiklik ve yama yönetimi bir kurumda:

Son derece nitelikli BT personelinin sürekli kötü sonuçlar almalarından dolayı istek ve

motivasyonlarını kaybetmeleri,

Çalışanları etkisiz veya verimsiz kılan veya müşterilerin elden kaçırılmasına neden olan

kalitesiz sistemler,

Müşterilere yenilikçi veya daha verimli ürünler ve hizmetler sunmaya yönelik kaçırılan

fırsatlara neden olabilir.

İyi planlanmış ve dikkatle uygulanmış BT değişiklik yönetimi süreçleri tam tersi sonuçlar doğurabilir. BT çalışmaları, işletme önceliklerine odaklanabilir. “Çıkan yangınları söndürme” gereği en aza indirilebilir. BT personelinin kurumda kalması sağlanabilir ve işte daha başarılı olması konusunda motive edilebilir. Çalışanlara, üretkenliklerini arttıracak araçlar sağlanabilir. Müşteriler, ihtiyaçlarına cevap veren sistemlerle memnun edilebilir.

Ne İşe Yarar, Ne Yaramaz?

Etkin ve etkili olabilmek için, BT değişiklik yönetimi kurum yönetimi için aşağıda zikredilen konuları açıklığa kavuşturmalıdır:

Ne değiştiriliyor, neden ve ne zaman değiştiriliyor?

Değişiklikler ne kadar verimli ve etkin uygulanıyor?

Değişikliklerin neden olduğu sorunlar ve bu sorunların büyüklüğü ve ciddiyeti.

Değişikliklerin maliyeti.

Değişikliklerin faydaları.

Bu türden bir açıklık, düzenli ve nesnel olarak bildirilen ölçüm sonuçları ve göstergelerle sağlanır. Bunlar, yönetime gereken açıklığı sağlayan gösterge paneli işaretleri gibidirler. BT değişiklik yönetimi, BT aracını kontrol etmeyi sağlayacak gaz pedalını, fren pedalını ve direksiyonu (ve daha önceki konfigürasyonlara dönmek için geri vites) sağlar:

BT değişikliklerini işletme ihtiyaçlarına uygun hâle getirebilmek için yönetim ve son

kullanıcıların erken ve sık sık müdahaleleri,

Tanımlanmış, tahmin edilebilir ve tekrarlanabilir sonuçları olan tanımlanmış, tahmin

edilebilir ve tekrarlanabilir bir süreç;

GTAG — Giriş

8

Değişikliklerden etkilenen bileşenlerle eşgüdüm ve iletişim.

BT Değişiklik ve Yama Yönetiminin İşleyip İşlemediği Nasıl Anlaşılır?

Yönetim (BT yönetimi dâhil), kaba bir rehber olarak, şu basit soruları sorarak ve aldığı cevapları dikkatle inceleyerek, değişiklik ve yama yönetiminin işe yarayıp işe yaramadığını anlayabilir:

Etkin ve etkili bir değişiklik yönetimi sürecimiz var mı? Alınan cevap BT değişiklik

yönetiminin önemini yadsır nitelikte mi yoksa BT değişiklik yönetiminin önemli olduğunu

doğrulayan ve yapılmakta olan geliştirmeleri kabul eder nitelikte mi?

Değişiklik yönetimi sürecimizde hangi kontroller uygulanıyor? Kontroller yürürlükte ve

geliştiriliyor mu ya da sadece değerlendirilmekle yetinilip “çıkan yangınları söndürme”

işleri azalana kadar erteleniyor mu?

BT değişiklik yönetimi sürecinin herhangi bir faydasını gördük mü? Alenen ölçülebilir

faydaları var mı yoksa esas aldığımız şey BT değişiklik yönetimi sürecinin maliyeti mi?

Bir değişiklikten dolayı geçen hafta bütün tesiste yaşanan kesintiyi hatırlıyor musunuz? Ne

olmuştu? Yönetimin bu kesintinin kaynağı konusunda ne kadar bilgisi var? Yönetim,

sorunun tekrarlanmasını engelleme konusunda ne kadar kontrol sahibi?

Kesintinin kaynağını tespit etmek için nasıl bir süreç izlendi? İzlenen süreç anlık mıydı,

yoksa metodolojik miydi? Sorunun teşhisi, kesintinin bir değişiklikten kaynaklanıp

kaynaklanmadığını hemen belirleyebildi mi? Kesinti bir değişiklikten kaynaklandıysa, ne

tür bir değişiklik soruna yol açmıştır?

BT, sürecin sağlıklı işleyip işlemediğini nasıl denetliyor? Göstergeler ve ölçüm sonuçları

nesnel ve gerçekten sonuçları ortaya koyar cinsten mi yoksa öznel ve şüpheli mi?

Değişiklik yönetimi sürecimizin amacı nedir? Güvenilirlik, kullanılabilirlik ve verimliliğe

mi odaklanıyor yoksa diğer daha az önemli amaçlara mı? Ya da bu bakımdan, bir odak

noktası var mı?

Yama sürecimiz ne kadar aksaklıklara yol açıyor? Yama yönetimi tanımlanmış ve

tekrarlanabilir bir değişiklik ve sürüm sürecinin bir parçası mı yoksa ad hoc, gayri resmî ve

acil duruma bağlı olarak gelişen bir süreç mi?

…………………………………………………………………………………………………

Zayıf Değişiklik Yönetimlerinin En Önemli Beş Göstergesi:

Yetkisiz değişiklikler (Sıfırın üstü kabul edilemez olarak addedilir.),

Planlanmamış kesintiler,

Düşük bir değişiklik başarı oranı,

Acil durum değişikliklerinin sayısının yüksek olması,

Ertelenen proje uygulamaları.

…………………………………………………………………………………………………

İyi kontrol edilmeyen BT değişikliklerine bağlı olarak görülen kontrol zafiyetinin kolayca fark edilebilecek belirtileri ve göstergeleri şunlardır:

GTAG — Giriş

9

Kritik hizmetlerin ve görevlerin – kısa bir süreliğine de olsa – sağlanamaması.

Tedarikçilerle programların eşgüdümünü yapmak ve müşterilerin siparişlerine cevap

vermek gibi kritik iş süreçlerinin durmasına neden olan planlanmamış sistem veya ağ

ataleti. Kullanıcıların kritik görevlerini yapmalarını engelleyen kritik uygulama,

veritabanı veya web sunucusu ataleti.

Kamuoyu nezdinde olumsuz imaj yaratma ve düzenleyici kurulların dikkatini çekme

durumu.

BT birimlerinin, değişiklik yönetimi kontrolü konusunda kurumsal düzeyde sistemik sorunları olabileceğine dair göstergeler arasında:

BT kurumunun zamanının çoğu (%70’inden fazlası), işletmenin yeni kapasiteleri

(imkânlar) kullanmasını sağlamak yerine işletim ve bakım işleri için harcanır.

Projeleri ve planlanmış işleri tamamlayamama (çok miktarda “çıkan yangınları

söndürmeden” işinden ve planlanmamış işlerden dolayı).

BT yönetimi, karşılaşılan sorunlardan dolayı gecenin bir yarısı uyandırılır.

BT personel değişikliğinin çok yüksek düzeyde olması.

BT destek personeli ve geliştiriciler ile (işletme içinden veya dışından) işletme müşterileri

arasında genellikle kötü hizmet kalitesinden veya işlevlerin zamanında yerine

getirilememesinden kaynaklanan hasmane ilişkiler.

BT yönetiminin BT denetimlerine hazırlanmak ve bu denetimler sonucunda elde edilen

sonuçları iyileştirmek için çok uzun zamana ihtiyaç duyması yer almaktadır.

BT değişiklik ve yama yönetimi süreçleri daha iyi olan kurumlar daha az sistem yöneticisine ihtiyaç duyarlar. BT değişiklik ve yama yönetimi iyi çalıştığında, BT personeli daha etkin ve verimli olur.

BT değişiklik ve yama yönetiminin etkinliğine maksimum düzeyde açıklık kazandırabilmek için, aşağıda sayılan önlemler gibi daha sıkı ve muntazam önlemler bildirilebilir, bildirilmelidir:

Her hafta yetki verilen değişiklikler,

Her hafta uygulanan değişiklikler,

Değişiklik sürecini baypas eden yetkisiz değişikliklerin sayısı,

Değişiklik başarı oranı (Kesintiler, hizmet aksamaları veya plan-dışı işler yapma gereği

yaratmayan fiili değişikliklerin yüzdesi),

Acil durum değişikliklerinin sayısı (yamalar dâhil).

Planlı yazılım sürümlerinde kullanılan yamaların yüzdesi,

Planlanmamış işlere harcanan zaman yüzdesi,

Planlandığı tarihte teslim edilemeyen projeler.

GTAG — Giriş

10

BT Değişiklik Riskleri Nasıl Azaltılır?

Bu GTAG, iş riskini azaltan, BT verimliliğini ve etkinliğini arttıran değişiklik yönetimi süreçlerinin gözlemlenmiş bilinen en iyi uygulamalarını ele almaktadır. Özetle, kurumların değişiklik yönetimi süreçlerini geliştirmek ve iyileştirmek için hemen alabilecekleri yol gösterici beş önlem bulunmaktadır:

Kabul edilebilir yetkisiz değişiklik sayısının sıfır olduğu konusunda BT yönetiminin bir

beyanıyla destekleyerek, kurum çapında bir değişim yönetimi kültürü yaratılması gereğini

motive eden bir yönetim atmosferi yaratın. Ancak o zaman, tüm üretim değişikliklerinin

yetkili iş emirleriyle mutabakatı sağlanarak, söz konusu hedefi gerçekleştirmeyi ve

sürdürmeyi sağlamak için önleyici ve tespit edici kontroller uygulanabilir.

Yetkisiz değişikliklerin ve değişiklik kontrolü zafiyetinin izlenebilmesi için mükemmel bir

gösterge teşkil eden planlanmamış kesintilerin sayısını sürekli takip edin.

İyi tanımlanmış ve uygulanmış değişiklik dondurma ve bakım sürelerini tanımlayarak

riskli değişikliklerin sayısını azaltın. Bu, üretim saatlerinde stabilite ve üretkenliği

maksimum düzeye çıkarır. Planlanmamış kesintiler, değişiklik sürecinin atlatıldığının etkin

bir göstergesidir.

Değişiklik başarı oranını, BT değişiklik yönetimi performansının kilit bir göstergesi olarak

kullanın. Değişikliklerin yönetilmediği, izlenmediği ve kontrol edilmediği kurumlarda

değişiklik başarı oranları tipik olarak %70’ten daha azdır. Her başarısız değişiklik; olası bir

atalete, planlanmamış ve acil durum işlerine, plandan sapmalara ve iş riskine neden olur.

Değişiklik başarı oranını arttırmak için, etkin önleyici, tespit edici ve düzeltici kontroller

uygulamak gerekir.

Planlanmamış işleri, BT yönetim süreçlerinin ve kontrollerinin etkinliğine ilişkin birer

gösterge olarak kullanın. Yüksek performans gösteren BT Kurumları normalde

zamanlarının %5’inden azını planlanmamış işlere ayırırken, ortalama bir BT kurumu

zamanının %45’i ilâ 55’ini planlanmamış (ve acil) işlere ayırır.

İç Denetim Ne Yapmalıdır?

Bu GTAG, yönetişim sürecinde olanlar için giderek büyüyen bir sorun teşkil eden risklerin yönetimini ele alır. BT değişikliklerinin yönetimi bilgi güvenliği gibi temel süreçlerden biridir ve iyi yapılmadığı takdirde bütün işletmeye zarar verebilir. Bütün işletmeye etki etmesi, onu çoğu kurul ve nihayetinde de üst yönetim için dikkate değer kılmaktadır. Bu rehber, iç denetçilere, BT yönetiminin beyanlarının (örn. performans, etkinlik ve verimlilik) doğru olup olmadığıyla ilgili kanıt toplamak ve elde edilen kanıtları değerlendirmek için kullanabilecekleri bir araç sunmaktadır. BT denetçilerinin, bir mali denetim sürecini1 incelerken, gerekli yetki verilerini (örn., yetkili değişiklik raporlarını) ve destekleyici bilgileri (örn. tespit edici kontrollerden alınan yetkili üretim değişiklikleri raporunu, üretim değişiklikleri ve yetkili değişikliklerin karşılaştırma sonuçlarını ve sistem kesintisi bilgilerini) almaları gerekir. Bu yolla, denetçiler, yönetimin kendi değişiklik yönetimi süreçleri hakkında ve bu yönetim süreçlerinin mali tablolarda görülebilecek riskleri hafifletme kabiliyeti hakkında yetkin bir görüş bildirebilirler.

1 Vincent M. O’Reilly ve arkadaşları, Montgomery Denetim Kitapçığında yayımlanan “Denetime Genel Bakış”: 12. Baskı (New Jersey: John Wiley & Sons Inc., 1998).

GTAG — Giriş

11

İç denetim; yönetime ve kurula aşağıdaki konularda yardımcı ve destek olabilir

BT işlemlerinin gizliliği, doğruluğu ve kullanıma hazır olup olmaması hakkında kurumsal

hedefleri anlama konusunda,

Değişikliklerden kaynaklanabilecek riskleri tanımlama ve bu risklerin kurumun risk

iştahına ve risk toleransına uygun olup olmadığını belirleme konusunda,

Uygun bir risk yönetimi cevapları portföyüne karar verme konusunda,

İyi bir değişiklik yönetiminin faydalarını teşvik etmek de dâhil disiplinli bir değişiklik

yönetimi kültürünü oluşturma ve destekleme konusunda,

Güvenilir ve güçlü bir BT yönetimi yaklaşımı için olmazsa olmaz kontrolleri anlama

konusunda,

- Önleyici Kontroller

* Uygun yetkiler* Görev Ayrımı * Denetim.

- Tespit Edici Kontroller

* Yetkisiz değişikliklerin tespit edilmesi.

* Geçerli ve nesnel değişiklik yönetimi ölçütlerinin izlenmesi.

- Düzeltici Kontroller

* Uygulama sonrası gözden geçirmeler. * Erken sorun tanıma basamaklarına girilen değişikliklere ilişkin bilgiler.

Öncü değişiklik ve yama yönetimi süreçleri hakkında en güncel bilgilere sahip olmak ve

kuruma en yeni ve en iyi değişiklik ve yama yönetimi süreçlerini benimsemesi yönünde

tavsiyelerde bulunma konusunda,

Yönetimin daha iyi bir risk yönetiminin ve daha büyük etkinlik düzeyinin ve daha düşük

maliyetin meyvelerini nasıl toplayabileceğini gösterme konusunda,

BT değişiklik yönetimine yönelik pratik ve etkin yaklaşımların belirlenmesi konusunda.

İç Denetim Enstitüsü’ndeki (IIA) Değişiklik Yönetimi ile İlgili Standartlar ve Rehberler

İç Denetim Enstitüsü’nün (IIA) yayımladığı, aşağıda sunulan standartlar ve rehberler, iç denetçilerin bir kurumda değişiklik ve yama yönetimine ilişkin görev ve sorumluluklarını tanımlar:

Standart 2120: Risk Yönetimi

Uygulama Önerisi 2120-1: Risk Yönetimi Süreçlerinin Yeterliliklerini Değerlendirme

Standart 2130: Kontrol

Uygulama Önerisi - 1: Kontrol Süreçlerinin Yeterliliklerini Değerlendirme

Uygulama Önerisi 2130-A1-1: Bilgi Güvenilirliği ve Doğruluğu

GTAG — Giriş

12

Aşağıda sunulan IIA Uygulama Rehberlerine, aynı zamanda kaynak olarak da başvurulabilir:

GTAG 1: BT Kontrolleri

GTAG 3: Kesintisiz Denetim: Güvence, Denetleme ve Risk Değerlendirme Mülahazaları

GTAG 9: Kimlik ve Erişim Yönetimi

GTAG 17: BT Yönetişimi (Henüz yayınlanmadı.)

Uygulama Rehberi, Kontrol Ortamının Denetimi

Uygulama Rehberi, Risk Yönetiminin Yeterliliğini Değerlendirme

GTAG — İç Denetçiler Kurumun Değişiklikleri Nasıl Yönettiğine Neden Dikkat Etmeli?

13

İç Denetçiler Kurumun Değişiklikleri Nasıl Yönettiğine Neden Dikkat Etmelidirler?

İç denetçiler ve BT uzmanları bilgisayar teknolojisinin ortaya çıktığı günlerden bu yana bilgisayar-tabanlı değişiklik yönetimi ve değişiklik kontrolü alanlarında çok sayıda kılavuzluk ve bilgilendirmeden yararlanmıştır. IIA’in 1994’te güncellenen çığır açan yayını SistemDenetlenebilirliği ve Kontrol hem yönetime hem de iç denetçilere bu konunun öneminigöstermektedir:

Sağlam, güvenilir ve iyi kontrol edilen bir çalışma için değişiklik ve sorunyönetimi kritik önem taşır. Bu, sorun izlemeyi, eskalasyon prosedürlerini, sorunların ve değişikliklerin yönetim tarafından gözden geçirilmesini, kaynakların önceliklendirilmesini, programların kontrollü bir şekilde üretime sürecine taşınmasını ve sistem yazılımlarının değişiklik kontrollerini içermektedir.

Fakat hangi BT uygulamalarının ve ortam koşullarının (dış etkenlerin) iş sonuçlarına nasıl yön verdiği konusunda ancak son zamanlarda ciddi çalışmalar yapılmaya başlanmıştır. Bu çalışmalar, yüksek ve düşük performanslı BT ile güvenlik kurumları arasındaki kilit farklılıklardan birinin etkin ve etkili bir değişiklik kültürünün olup olmaması olduğunu göstermiştir. Başka bir deyişle, değişiklik yönetimi sadece kilit önemi haiz bir kurumsal kontrol değildir, aynı zamanda işletmeye potansiyel faydalar da sağlar.

Değişiklikler Risk Yaratır: Yamalar Neden Başka Bir Değişiklik Gibi Ele Alınmalıdır?

Denetçiler, değişiklik ve risk arasındaki yakın ilişkinin farkındadırlar. BT varlıkları sürekli değişmektedir. Örneğin, BT yönetimi şu konuları ele almalıdır:

Düzenli değişiklikler (tipik olarak, uygulamalar, aracı yazılımlar, işletim sistemleri veya

uygulaması planlanan ağ yazılımı ve donanım güncellemeleri).

Yamalar (hatalı kodları onarmaya veya üretimde karşılaşılan diğer zayıflıkları onarmaya

yönelik değişiklikler).

Hizmet aksamalarına neden olan ani sorunları gidermek için gereken acil durum

değişiklikleri.

Etkin ve etkili bir BT değişiklik yönetimi, yapılan değişikliğin nedenine bakılmaksızın, kurumun bilinen ve tanımlanmış bir durumdan bir diğerine güvenle geçmesine imkân verir.

Değişiklikleri uygulama veya sunma konusunda bir baskı olmadığı takdirde, BT varlıklarını yönetmek ve kontrol etmek son derece kolaydır. Örneğin, değişiklik dondurma dönemlerinde olduğu varsayılan üstün özellikleri bir düşünün: hizmet düzeyi ve kullanılabilirlik en üst düzeydedir ve BT birimi zamanının çoğunu planlanmış işlere ayırır. Ancak, kritik zaaflar ortaya çıktığında ve risk seviyesi yükseldiğinde ne olacak? Şirketin birlikte iş yaptığı satıcıların çoğu kritik hataları gidermek için düzenli olarak yama uyguluyorlarsa ne olacak? İşletimsel altyapıya uygulanacak acil yamaların hacmi ve bu yamaları ele almak için bir yönetim sürecinin bulunmaması çoğu kurum için son derece önemli bir sorundur.

Performansı düşük olan kurumlarda, yama geliştirme işlemi, genellikle ad hoc (anlık), düzensiz ve acil duruma bağlı olarak gelişen yapıda olmasıyla ön plana çıkar. Bir güvenlik zafiyetini çözmek için bir yama bulunması bazen tahrip edici olabilir ve kaynakların önemli


14

bir kısmının planlanmış çalışmalardan planlanmamış yamalara kaydırılmasıyla sonuçlanabilir. Daha da kötüsü, yamaların başarılı bir şekilde uygulanması bile, sunucuların bozulması ve bunun sonucunda da kritik hizmetleri sağlayamayacak duruma gelmeleri gibi istenmeyen sorunlara yol açabilir.

Yüksek performans gösteren kurumların ise, yeni bir yamayı, normal değişiklik yönetimi sürecine tâbi olan tahmin edilebilir ve planlanmış bir değişiklik olarak ele almaları daha muhtemeldir. Yama değerlendirildiği, test edildiği ve mevcut planlı bir sürüm programına entegre edildiği kuyruğa eklenir. İyi tanımlanmış bir değişiklikleri entegre etme süreci izlemek daha yüksek bir değişiklik başarı yüzdesi elde edilmesini sağlar. Yüksek performans gösteren kurumların çoğunun, düşük performans gösterenlere kıyasla daha az sıklıkla - bazen on veya yüz katı kadar az - yama uyguluyor olmaları ilginçtir. Kötü veya döngü-dışı bir değişikliğin beklenmeyen ve öngörülemeyen sonuçları olabileceğinden dolayı, yüksek performans gösteren kurumlar, zayıflıklara maruz kalma riskinin kullanılabilirliğin risk altında olmasına kıyasla daha az zararlı olduğunu düşünmektedirler. Yamaları yüksek öncelikli değişiklikler olarak uygulamayı tercih eden yüksek performans gösteren kurumlar, bunu etkin ve etkili bir değişiklik yönetimi sayesinde tahmin edilebilir ve tekrarlanabilir tarzda gerçekleştirebilmektedirler.

Bu GTAG boyunca, yamalar normal değişiklik yönetimi sürecine tâbi olan bir değişiklik kategorisi veya sınıfı olarak ele alınmaktadır. Buradan iki kilit sonuç çıkmaktadır: yama yönetimi, değişiklik yönetiminin bir alt işlevidir ve genellikle, etkin bir değişiklik yönetimi, ‘yama-ve-dua et” (yama işlemini uygula ve sorun çıkmaması için dua et) sorununa çözüm olması için kullanılan teknolojilerin ek sorunlar doğurmamasını sağlamaya yardımcı olabilir.

Bizim Zaten Bir Değişiklik Yönetim Sürecimiz Var – Bunun Farkı Ne?

Etkin ve etkili yönetimin kilit unsurlarından birisi, bir kurumun görevlere ilişkin açık bir tanım ve görev ayrımının bulunmasına ek olarak kapsamlı, iyi tanımlanmış önleyici, tespit edici ve düzeltici kontroller uyguluyor olmasıdır. Değişiklik yönetimi kontrolleri, kurumun mevcut kaynaklarını arttırmak zorunda kalmadan yeni gereklilikleri (örneğin, yeni geliştirme projeleri ve mevzuat düzenlemeleri) karşılamasını sağlar. Etkin ve etkili değişiklik yönetimi, genel olarak, riskleri hafifletir, maliyetleri azaltır ve ek hizmetler için kaynak sağlar.

Öte yandan, zayıf bir değişiklik yönetimi büyük bir risktir. Çoğu kurumda, mesele kurumda bir değişiklik yönetimi süreci bulunup bulunmadığı değildir; mevcut değişiklik yönetimi sisteminin azami derecede etkin ve verimli olup olmadığı ve bunun tüm BT değişiklikleri için kullanılıp kullanılmadığıdır. Acil durum değişiklikleri uygulanırken, hataları, düzensizlikleri ve istenmeyen aksaklıkları önlemek son derece güçtür. BT kullanılabilirliği konusunda karşılaşılan aksaklıklar (düşük hizmet kalitesine ve müşteri memnuniyetsizliğine yol açarak), kurumları, değişiklik yönetimi süreçlerini ve kontrollerini düşünmeye ve uygulamaya itmektedir. Yapılan araştırmalar, yüksek performans gösteren BT birimlerinin sürekli değişiklik yönetimi süreci dâhil işletim süreçlerini geliştirmenin ve iyileştirmenin yollarını aradıklarını göstermektedir. Bir BT birimi sistemlere ve ağlara yönelik değişikliklerin kontrolünü ve öngörülebilirliğini arttırarak sınıfının-en-iyi kurumu olma yolunda ilerleyebilir. İç denetçiler, yönetimin bu süreçleri ve kontrolleri geliştirmesine ve iyileştirmesine yardım edebilirler.


15

…………………………………………………………………………………………………Bir BT birimi tüm değişiklikleri ve söz konusu değişikliklerin güncel durumlarını açıklayamazsa, neyin yönetildiğini veya değişikliklerin planlandığı gibi yapılıp yapılmadıklarını da açıklayamaz.

…………………………………………………………………………………………………

Konuşması kolay olsa da, değişiklik yönetimi uygulaması en zor sistemlerden bir tanesidir. Uygulama geliştiriciler, BT işletim personeli, denetçiler, uçtan uca hizmeti esas alan işletmecilerden oluşan bir ekip arasında görevler arası bir (çapraz-fonksiyonel) işbirliği ve uyum gerektirir. Her grubun oynayacak spesifik bir rolünün olduğuna ve bu rollerin değişiklik yönetimi işlemleri basamaklarında tanımlanması gerektiğini dikkate almak gerekir.

İç denetçiler, iş süreçlerinin ve değerlendirme kontrollerinin akış şemalarının hazırlanması ve kontrollerin değerlendirilmesi konusunda uzmanlaşmışlardır. Bağlı oldukları kurumların kilit süreçlere global bir perspektiften bakmanın ne gibi faydaları olacağını görmelerini sağlayacak en yetkin konumdadırlar. BT birimleri tüm değişikliklerin ne durumda olduklarını her zaman değerlendirebilmeli ve rapor edebilmelidirler. BT birimi, tüm onaylanan değişikliklerin ve bu değişiklikler için belirlenen uygulama tarihlerinin listelendiği bir değişiklik programı yayınlamalıdır. Etkin ve etkili değişiklik yönetimi süreçleri, farklı ve çeşitli tamamlanma aşamalarında bulunan değişikliklerin izlenebilmesi için gereken bilgi ve güvenceyi sağlar.

Son olarak, bir kuruma ait BT değişikliklerini daha iyi yönetme; (özellikle arızalardan dolayı işletme faaliyetlerinin yapılamamasına neden olarak gösterilen) riskleri azaltmak, planlanmamış işleri azaltmak (bu yolla, çok yüklenilen kaynakları rahatlatmak), (hatalar ve atlamalar nedeniyle meydana gelen) istenmeyen sonuçları ortadan kaldırmak ve tüm iç ve dış müşteriler için hizmet kalitesini arttırmak gibi amaçlar taşır.

Güçlü Bir Değişiklik Yönetim Sürecinin Faydaları Nelerdir?

Değişiklik talepleri, maliyeti azaltmak, sunulan hizmetleri geliştirmek ve iyileştirmek veya çıkan sorunları gidermek gibi işletme faydaları elde etme isteğine karşılık olarak ortaya çıkar. Değişiklik yönetim sürecinin amacı kurumsal işlemleri sürdürmek ve geliştirmektir. Bu da, değişikliklerin etkin ve verimli bir şekilde ele alınması ve değişikliklerle ilintili sorunların hizmet kalitesi ve kullanılabilirlik üzerindeki etkilerini en aza indirmek için standartlaştırılmış yöntem ve prosedürlerin kullanılmasını sağlamakla gerçekleştirilebilir.

Üretim ortamını korumak için, değişiklikler tekrarlanabilir, tanımlanabilir ve tahmin edilebilir bir tarzda yönetilmelidir. Bir uygulamayı, sunucuyu veya ağ cihazını düzeltmek için yapılan değişikliklerin diğer cihazlarda ve uygulamalarda sorunlara çıkarmamasına dikkat edilmelidir. Bu özellikle, kurumun kritik iş süreçlerini ve veri havuzlarını destekleyen BT varlıkları (örneğin, yazılım, donanım ve bilgi) için önemlidir.

Güçlü değişiklik yönetimi süreçleri, aynı zamanda, kurumun yeni ve kapsamı genişleyen düzenleme konularıyla devam eden uygunluğunu sağlamada da kuruma yardımcı olabilir. Değişikliklerin ilgili düzenlemelere uyum üzerindeki potansiyel etkisin yönelen faaliyetler, değişiklik sürecinin risk yönetimi ve işletme birim onayı basamaklarına eklenmelidir. Örneğin, Sarbanes-Oxley Kanunu’na kesintisiz uygunluğun sağlanabilmesi için finansal raporlama sürecini destekleyen teknolojilere değişikliklerin uygulanması sırasında dikkatli olunmalıdır. Aynı şekilde, Avrupa’da kişisel bilgilerin işlenmesine yönelik yapılan değişiklikler, Avrupa Birliği’nin gizlilik direktiflerine aykırılık teşkil edebilir. Düzenlemelere


16

uyumu desteklemek üzere yapılan değişiklikleri ayrıntılı olarak planlamak, doğrulamak ve onaylanmak için geren süreğen çalışmayı azaltmak için etkin ve etkili değişiklik süreçleri belgelenmelidir. Sarbanes-Oxley Kanunu, Madde 404, yönetimin BT kontrolleri dâhilfinansal raporlama süreçleri üzerindeki kontrolleri onaylamasını ve değerlendirmesini gerektirmektedir. Üretim ortamında karşılaşılan kontrol edilmeyen değişiklikler, yaygın veya kritik nitelikte iseler, kurumun yönetim kuruluna bildirilmesi gereken “ikinci derecede önemlieksiklikler” olarak düşünülebilir. Muhasebe ve denetim sektöründe “önemli ve esaslı zayıflıklar” olarak adlandırılan daha ciddi eksikliklerin şirketler tarafından ABD Menkul Kıymetler ve Borsa Kurulu’na (SEC) özel durum açıklamasıyla bildirilmesi gerekir. Eksikliklerin kamuya ifşa edilmesi, kurumun itibarını ve saygınlığını, borsa değerini ve piyasada kalma kabiliyetini etkileyebilir.

Değişiklik yönetimi gibi genel bilgisayar kontrolleri sırasında fark edilen eksiklikler, genellikle, uygulama kontrolleri üzerindeki etkileriyle ilişkili olarak değerlendirilirler. Özellikle, BT genel kontrolü (ITGC) sonucunda tespit edilen zafiyet, şu durumlardan biri ya da birden fazlası mevcutsa, “ikinci derecede önemli eksiklik” veya “önemli eksiklik” olarak sınıflandırılır2:

ITGC’nin neden olduğu veya onunla bağlantılı bir uygulama kontrolü zafiyeti, önemli bir

eksiklik olarak değerlendirilir.

ITGC zafiyetinin yaygınlığı ve önemi, bizi kurumun kontrol ortamında zafiyet bulunduğu

sonucuna götürür.

‘Önemli eksiklik’ olarak sınıflandırılan bir ITGC zafiyeti, makul bir süre geçtikten sonra

düzeltilmemiş olarak kalır.

Önceki yıllarda, çok sayıda kurum, finansal raporlama ortamlarının bir bölümüyle ilgili, genel kontrollerin değişiklik yönetimleriyle ilişkili ikinci derecede önemli eksikler bildirmişlerdir. Bu durum, eksikliklerin saptandığı yıl içinde düzeltilmediği takdirde, söz konusu kurumlar risk altına girmiş olur. İç denetçiler, bu sorunları saptayarak ve zamanında düzeltilmelerini sağlayarak yönetime yardımcı olabilirler.

İç kontrolleri değerlendirmek için genel kabul gören bir model de, Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi’nin (COSO) 1992 yılında yayımladığı bir model olan İç Kontrol-Bütünleşik Çerçeve’dir. 2004 yılında bu model; kilit ilkeler, kavramlar, ortak bir risk dili ve anlaşılır bir uygulama kılavuzunu içeren kabul gören bir işletme risk yönetimi çerçevesi sunmak üzere yeniden gözden geçirilmiştir.

Kurumsal Risk Yönetimi - Bütünleşik Çerçevesi başlıklı bu yeni yönerge, dört kurumsal hedef kategorisi/sınıflaması ve etkin risk yönetimine ilişkin birbiriyle ilişkili sekiz bileşen sağlamaktadır.

Yüksek performans gösteren kurumlar, kontrollerde genellikle olumlu bir genel görünümortaya koyarlar. Örneğin, etkin ve etkili değişiklik yönetimi süreçleri, daha düşük performans gösterme riskini azaltır ve daha az sorunun kurum dışı serbest muhasebeciler, eşdeğer bir düzenleyici otorite veya inceleme otoritesi tarafından aydınlatılması gerekir. Sonuçta, hem

2BDO Seidman LLP ve arkadaşları “Kontrol İstisnaları ve Zaaflarının Değerlendirilmesi için Bir Çerçeve”, versiyon 3

(2004). [Adları sayılan dokuz firma tarafından geliştirilmiştir: BDO Seidman LLP, Crowe Chizek and Company LLC, Deloitte &Touche LLP, Ernst &Young LLP, Grant Thornton LLP, Harbinger PLC, KPMG LLP, McGladrey & Pullen LLP,Princewaterhouse Coupers LLP.].


17

kurumun yönetim kurulu daha memnun olur hem de BT birimi yönetimi üzerindeki baskı azalmış olur. Nihayetinde, değişiklik yönetimi kontrollerini, etkin işletme yönetimini olanak sağlayan araçlar olarak ele alan kurumlar daha başarılı olmaktadırlar.

Unutulmaması gereken kilit nokta, değişiklik yönetiminin yönetimsel ve insan odağıyla sürece yaklaştığı ve teknik ve otomatik kontrollerle desteklendiğidir.

GTAG — Değişiklik Yönetimini Tanımlamak

18

BT Değişiklik Yönetimini Tanımlamak

Kurumların çoğunda, BT birimlerinin iki ana görevi vardır: kurumun hedeflerine ulaşmasını sağlamak için mevcut hizmet ve taahhütleri gerçekleştirip sürdürmek ve yeni ürünler ve/veya hizmetler sunmaktır. Bu bölüm, değişiklik yönetiminin kapsamını bu iki göreve, etkin ve etkin olmayan değişiklik yönetimi özelliklerine, değişiklik yönetiminde denetimin rolüne ve değişiklikleri etkin bir şekilde yönetmeye yardımcı olabilecek ölçümlere dayalı olarak açıklamaktır.

Değişiklik Yönetiminin Kapsamı Nedir?

Bu GTAG, hareketten üretime (örneğin, ya bir uygulama geliştirme ekibinden veya AR&GE ekibinden) geçmek için BT varlıklarına (örneğin altyapı ve uygulamalar) yapılan yükseltmeler (upgrade) veya güncellemeler tanımlandığı zaman başlayıp bu varlıklar üretim ortamından çekildiğinde sona erdiği BT işletimsel değişiklik yönetimine odaklanmaktadır. Bunun içinde de uygulama bakım ve acil durum değişiklik kontrolleri yer almaktadır. Yazılım tasarımı ve geliştirilmesi sırasında meydana gelen değişiklikler özellikle bu kapsamın dışında bırakılmıştır.

Değişiklik yönetimi terimi, bu kılavuzda kullanıldığı haliyle, konfigürasyon yönetimi sürecini kapsamamaktadır. Bilgi Teknolojileri Altyapı Kütüphanesi’nin (ITIL) tanımladığı gibi, “konfigürasyon yönetimi, tüm BT bileşenlerine ait versiyonları (örneğin, donanım, yazılım ve ilgili dokümantasyon) tanımlamak, kontrol etmek, bakımını yapmak ve onaylamak” işlemlerini kapsar. Fakat konfigürasyonlarda değişiklik yapıldığı zaman, değişiklik yönetimi süreci konfigürasyon yönetimi süreciyle (ve eşit seviyede kontrollerle) etkileşime girmelidir.

Değişiklik Kaynakları

Neredeyse bütün iş kararları BT’de değişiklik yapılmasını gerektirir. BT ortamında etkin bir şekilde üzerinde durulması ve yönetilmesi gereken değişiklik kaynakları görevi gören faktörler arasında şunlar yer almaktadır: Dış ortam (örneğin, rekabetçi piyasa, paydaşlar/ hissedarlar, değişen riskler).

Düzenleyici ortam.

İşletme hedefleri, amaçları, stratejileri, ihtiyaçları, süreçleri ve önceliklerdeki kaymalar.

Satıcılar (örneğin, yeni ürünler, yükseltmeler (upgrade), yamalar ve zayıflıklar).

Ortaklar ve tedarikçiler.

Denetleme, risk değerlendirme ve diğer inceleme veya değerlendirme türleri.

Operasyonel sorunlar.

Performans veya kapasite ihtiyaçları ve gerekliliklerinde değişiklikler.

Değişikliklerin Kapsamı

Etkin bir değişiklik yönetimi süreci, iş hizmetlerinin dayandığı her türlü ve tüm BT tabanlı varlıklara yapılan her türlü ve tüm değişiklikleri kapsar. Değişiklik yönetimine tâbi olan varlıklar şunlardır: Donanım: anabilgisayarlar, sunucular, iş istasyonları, yönlendiriciler (routers), anahtarlar

(açma kapama düğmeleri) ve mobil cihazlar.

Yazılım: İşletim sistemleri ve uygulamalar.


19

Bilgi, veri ve veri yapıları: Dosyalar ve veritabanları.

Güvenlik sistemleri: Anti-virüs yazılımları, güvenlik duvarları ve saldırı engelleme/tespit

sistemleri.

Süreçler, Politikalar ve Prosedürler.

Görevler/sorumluluklar: yetki, harekete geçme yetkisi ve erişim kontrolleri.

İç Değişiklik Yönetimi SüreciBir değişiklik yönetimi süreci tipik olarak şu aşamalardan oluşur: Değişiklik ihtiyacını saptamak.

Değişiklik için gereken hazırlıkları yapmak.

- Değişiklik talebini ayrıntılı olarak göstermek.

- Değişiklik test planını göstermek.

- Olası bir hata durumunda, değişikliklerden geri döndürme planı.

- Değişiklik, test planı ve değişikliklerden geri döndürme basamaklarını içeren aşamalı bir

prosedür yazmak.

- Değişiklik prosedürünü değişiklik talebi formunda sunmak.

İş gerekçesi bildirimini hazırlamak ve gereken onayları almak.

- Değişiklik talebinin konu değişikliğin etkisini, maliyetini ve yararlarını değerlendirmek.

- Mevzuatın etkileri de dâhil, değişiklik talebinin risklerini ve etkilerini gözden geçirmek

ve değerlendirmek.

Değişiklik Talebine Yetki Verilmesi.

- Değişiklik talebini yetkilendirme, reddetme ve bu taleple ilgili ek bilgi isteme.

- Bekleyen diğer taleplere kıyasla değişiklik talebine öncelik verme.

Değişikliği planlama, koordine etme ve uygulama.

- Bir değişiklik uygulayıcısı programının hazırlanması ve bir uygulayıcının atanması.

- Bir değişiklik test edicisi programının hazırlanması ve bir test edicinin atanması.

- Bir üretim-öncesi ortamda değişikliğin test edilmesi.

- Değişikliğin etkilenmesi muhtemel olan paydaşlara bildirilmesi.

- Değişikliğin uygulama amacıyla onaylanması.

- Değişikliğin talep edilen surette ve şekilde uygulanması.

Uygulanan değişikliğin onaylanması ve gözden geçirilmesi (Bu, genellikle gözden kaçan

kritik bir basamaktır.).

- Değişiklik başarılı oldu mu?

- Değişiklik süreci takip edildi mi?

- Planlanmış değişiklik ve uygulanmış değişiklik arasındaki fark neydi?

- İç kontrol, işletme çalışmalarına ve düzenlemelere uyum gereklilikleri sağlanmaya devam

edildi mi?

- Süreci iyileştirmek için kullanılabilecek süreçten çıkarılan dersler nelerdir?

Değişiklikten geri dönüş (başarılı olmadıysa).

Değişiklik talebini kapatmak ve etkilenen taraflarla temasa geçmek.

Değişiklik yönetimine kabul edilen değişiklikler yapmak.

Değişiklik programını yayımlamak.


20

Denetçiler, etkin ve etkili bir değişiklik yönetiminin önleyici, tespit edici ve düzeltici kontroller gerektirdiğini ve BT üretim ortamı dinamikleşip karmaşıklaştıkça bağımsız kontrollere duyulan ihtiyacın arttığını hemen kabul edeceklerdir. Gereken önleyici kontroller arasında görev ayrılığı, değişiklik yetkisi ve denetleme ve uygulama yer almaktadır. Fakat süreci etkin bir şekilde izlemek ve uygulamak için, üretim ortamını değişiklikler açısından takip etmek, bu değişikliklerin onaylanmış değişikliklerle uyumunu sağlamak ve yetki verilmemiş her türlü farklılığı bildirmek için tespit edici kontroller uygulanmalıdır. Etkin ve etkili bir değişiklik yönetimi, değişikliğin ilk olarak onarım aşamasında devre dışı bırakılmasını ve bu yolla da onarım süresinin kısalmasını sağlayarak ayrıca kesintiler ve hizmet aksaklıkları esnasında BT yönetimi için düzeltici bir rol oynar.

Etkisiz Değişiklik Yönetimi Nasıldır?

Bir kurumun etkin ve etkili bir değişiklik yönetim sürecinin olup olmadığı nasıl anlaşılır? Bir

kurumun bu konudaki kabiliyetini veya eksikliğinin göstergeleri olan davranış ve işaretler

nelerdir?

Etkin bir değişiklik yönetiminin olmadığının veya değişiklik yönetiminin bulunmadığının

göstergeleri, kurumsal boyutta meydana gelen bir dizi işlev bozukluğu olarak karşımıza çıkar.

Piyasa düzeyinde:

Kaçırılmış fırsatlar. Kurum, planlanmış ürün ve hizmetleri kullanmada sürekli başarısız

olur. Bu durum, iyi yönetilemeyen değişikliklerden dolayı kaynakların sonucu olarak

kaynakların planlanmamış işlere aktarılmasıyla ortaya çıkar. Planlanmamış işler

kayıp/bütçelendirilmemiş zaman, kayıp/ bütçelendirilmemiş kaynaklar (örneğin, insan ve

anapara) ve bütçelendirilmemiş çalışma olarak karşımıza çıkabilir.

Geliştirme projeleri gecikir ve çoğu zaman bütçeyi aşar ve bu da rakiplere kıyasla daha geç

çıkan ve daha maliyetli ürünler ve hizmetler arz etmeye yol açar.

Hizmet alıcısı/müşteri/paydaş düzeyinde:

Ürünler ve hizmetler, tanıtımlarında gösterildikleri veya olmaları gerektiği gibi

çalışmazlar. Bu da düşük ve güvenilir olmayan ürün veya hizmet kalitesine yol açar.

Müşterilerin hemen başka bir tedarikçiyle çalışma imkânları varsa, o başka tedarikçiye

geçerler.

Kurumsal düzeyde:

Yetkilendirilmeyen ve izlenmeyen değişiklikler, suiistimal potansiyelinin ortaya çıkmasına

neden olur.

Gereken BT değişikliklerine ilişkin işletme gereksinimleri yanlış yorumlanabilir ve bu

yüzden de, kötü veya yetersiz bir şekilde uygulanabilir.

Bir değişikliğin mevcut iş süreçleri üzerindeki etkisini tahmin etme kabiliyeti az olabilir

veya bulunmayabilir.

Değişikliklerin karşılaştırılarak değerlendirilmeleri söz konusu olmadığı göz önüne

alındığında, değişikliklerin önceliklerine göre sıralanmaları da mümkün değildir ve bu da


21

yanlış bir öncelik sıralamasına göre çalışmaya ya da daha önemsiz bir şey üzerine

çalışmaya neden olur. İşin istenen sıranın dışında yapılmasına ve yapılan bir işin yeniden

yapılmasına ve iki kat emeğin harcanmasına neden olur.

Birkaç yetkilendirilmemiş, başarısız veya acil durum yama değişikliği meydana gelir.

Yama sistemleri; kesintilere, hizmet aksamalarına, aynı işin tekrarlanmasına veya

planlanmamış işlerin yapılmasına neden olan başarısız değişikliklerden dolayı büyük

aksaklıklar meydana getirir. Bu durum, bilgi güvenliği ve BT işlemleri birimi arasındaki

kötü veya düşmanca olan çalışma ilişkilerini daha da kötüleştirir.

Yetkisiz proje faaliyetleri veya altyapılarını düzeltmek için çok sayıda çalışma döngüsü

(zaman, kaynaklar ve sermaye) harcanır ve bu da, planlanmış ve yetkili faaliyetler için

gereken sayıda döngünün kullanılamaması sonucunu doğurur.

Kaynaklar iyi yönetilemeyen değişikliklerin yol açtığı istenmeyen sonuçları düzeltmek

için, düzenli olarak yeniden çalışma için ayrılır.

Teknik personel çok sık değiştirildiğinden kilit konumlardaki personel arasında “moral

bozukluğu” gözlenir.

BT altyapısı düzeyinde:

Anlık, düzensiz ve acil davranışlar teknik uzmanların/ kahramanların düzenli

müdahalelerini gerektirir; zamanın çoğu, “çıkan yangınları söndürme” modunda tepkisel

işlere harcanır.

Değişiklikler izlenemiyor ve değişiklik durumları ve maliyetleri bildirilemiyor; yetkisiz

değişiklikler var.

Kaynaklar, giderek planlı işlerin yapılamaması pahasına planlanmamış işler için

harcanıyor. Bu, düşük bir değişiklik başarı oranı olarak tanımlanabilir. Değişiklik başarı

oranı, bir değişiklik uygulandığında ortaya çıkan yeni iş miktarının ölçüsüdür. Yüksek bir

değişiklik başarı oranı, değişikliğin planlandığı gibi gittiği ve değişiklik sonucunda ek iş

ortaya çıkmadığı anlamına gelir. Öte yandan, düşük bir başarı oranı, değişikliğin - bazen

asıl değişikliği uygulamak için gereken işten çok daha fazla - planlanmamış ek iş çıkardığı

anlamına gelir. Düşük bir başarı oranı, kaynakları aşırı ölçüde tüketmeye devam eden bir

aşağıya yönelimli iş sarmalı oluşturabilir.

Etkin olmayan bir BT arayüzü ve benzerleriyle (eşdeğerleriyle) (örneğin, AR&GE,

uygulama geliştiriciler, denetim, güvenlik ve operasyonlar) engeller yaratır ve gereksiz

gecikmelere neden olur.

Zamanla meydana gelen belgelenmemiş değişikliklerin çoğu konfigürasyon üretimini

arttırır ve sonuçta düşük değişiklik başarı oranlarına neden olur ve yamaların başarısız

değişiklikler ve planlanmamış işler olmadan yamaları kullanmanın zorluğunu arttırır.

Etkin Bir Değişiklik Yönetimi Nasıl Olur?

Etkin değişiklik yönetimi nasıl anlaşılır? Bir kuruma girip etkin bir değişiklik yönetiminin olup olmadığını belirlemek mümkün müdür?

Etkin bir değişiklik yönetiminin göstergeleri, bir dizi kurumsal alanda olgun bir (tahmin edilebilir, tekrarlanabilir, yönetilen, ölçülebilir ve ölçülen) kapasite olarak karşımıza çıkar.


22

Piyasa düzeyinde:

Kurum, ek veya yükseltilmiş BT kapasitesi gerektiren yeni iş olanaklarına uygun olarak harekete geçecek konumdadır. Her iş olanağı tahmin edilebilir bir tarzda planlanır ve yönetilir. Yeterli miktarda kaynak bulunduğuna güvenilerek ve izlenmiş, geçmiş performansa dayanarak bu iş olanakları için yeterince kaynak ayrılabilir.

BT-destekli ürünler ve hizmetler planlandıkları ve beklendikleri gibi piyasaya sürülürler.

Hizmet Alıcısı/Müşteri/Paydaş düzeyinde:

Ürün ve hizmetler tanıtıldıkları gibi performans gösterirler; istikrarlı ve güvenilir bir ürün ve hizmet kalitesi düzeyi ortaya koyarlar. Müşterilerin sorun ve şikâyetleriyle zamanında ilgilenilir. Müşteriler genel olarak memnundurlar ve kuruma sadıktırlar.

Müşteri destek merkezi/yardım masası gibi birimlere giderek daha az ihtiyaç duyulur.

Önerilen değişikliklerle ilgili riskleri değerlendirme ve bu değişiklikleri uygulama ve öncelikleri belirleme sürecinde konuyla ilgili uygun paydaşlar da yer alır.

Değişiklik sürecine dâhil olan katılımcılar, ilgili değişiklik kategorilerini ve bunların önceliklerini ve bu değişiklikleri uygulamak için gereken formalite düzeylerini ve özeni anlarlar.

Değişiklik yönetiminin kurumsal yapısından dolayı, değişikliklerin yeni düzenlemelere uyumunu sağlamak daha az çaba gerektirir. Hemen hemen her değişikliğin BT gereklilikleri vardır. Değişiklikler iyi belgelendikleri takdirde, yeni bir düzenlemeye uyum yeni bir mesele olmaktan çıkar, bunun yerine salt bir haritalama işlemine dönüşür.

Kurumsal düzeyde:

Bir değişiklik yönetimi kültürü, anlayış, farkındalık, açık destek ve harekete geçme ile kendisini gösterir.

Düzenli olarak etkin ve etkili ödünleşim (fayda-zarar dengesi) gerçekleşir ve bunun sonucu olarak da elde edilen iş olanağıyla değişiklik risk ve maliyeti dengelenir. Değişiklikler de buna uygun olarak programlanır ve önceliklerine göre sınıflandırılır. Değişikliğin iş üzerindeki etkilerini tahmin etme kapasitesi bulunur.

Kaynaklar (zaman, emek, para ve sermaye gibi) belirlenen değişiklikleri (değişiklik başarı oranının yüksek olduğu durumlarda) en az veya sıfır emek kaybıyla uygulamak için kullanılır, ender olarak planlanmayan işler için harcanır.

Böyle bir kurum şu sorulara güvenle yanıt verebilir:

- “Doğru şeyi mi yapıyorum?” (seçme ve önceliklendirme yeteneği)

- “Yaptığım şeyi doğru mu yapıyorum?” (Kabul edilebilir kalite ve performans gösterme)

Etkin ve etkili bir değişiklik yönetimi süreci sıkı bir süreç disiplini ve bağlılığı/uygulama, merkezi karar alma yetkisi ve birimler arası iletişim ve işbirliğiyle kendisini gösterir.


23

Yetki verilmiş projeler iş siparişlerine göre planlanır ya da iş siparişleri yetki verilmiş projelere göre planlanır.

Uyum ve güvenlik yatırımları askıya alınır; çünkü üretim konfigürasyonlarında aykırılık veya güvensizlik durumlarına düşmez. Sonuç olarak, güvenlik ve uyum maliyeti çok daha az olur.

Kurum taktiksel (günlük işletimsel) sorunları aştığından dolayı, stratejik BT sorunlarına gittikçe daha fazla zaman ve kaynaklar ayrılabilir.

Etkin ve etkili değişiklik yönetimi, BT yönetişimi konusunda esas kontrol olarak işlev görür.

BT altyapısı düzeyinde:

(İyi tanımlanmış BT operasyonel süreçlerinin bir parçası olan) değişiklik yönetimi kontrolleri, bu süreçlere dayanan işletme amaçlarına ulaşmak için gereken tutarlılığı ve tahmin edilebilirliği sağlanmak için kullanılır. Diğer bir deyişle, BT personeli etkin ve etkili bir değişiklik yönetiminin işletme hedeflerine ulaşmaya nasıl sağladığını anlar.

Bir değişiklik yönetimi kültürü, hem üst yönetimde uygun atmosferin oluşturulması hem gelecekteki olası yetkisiz değişiklikleri engellemeyi sağlayacak önleyici, tespit edici ve düzeltici kontroller yoluyla oluşturulur. Yönetim, tek kabul edilebilir yetkisiz değişiklik sayısının “sıfır” olduğunu açıkça ifade eder.

Yüksek düzeyde bir değişiklik başarı oranı bulunur ve bu da, planlanmamış işlerin olmaması veya en azından mümkün olan en az düzeyde olması anlamına gelir. Aciliyetin bulunmaması ve iyi tanımlanmış bir değişiklikleri entegre etme süreci çok daha yüksek bir değişiklik başarı oranı sağlar.

Etkin ve etkili değişiklik yönetimi kontrolleri uygulanır, düzenli olarak raporlanır ve kolayca denetlenir. Önleyici kontroller iyi belgelenir ve tutarlı bir şekilde uygulanır; tespit edici kontroller değişiklikleri denetlemek, izlemek ve bu değişiklikleri yetkili değişiklik komutlarıyla karşılaştırmak için kullanılır. Kontroller, denetçilere, somut örnekler almaları için uygun ortamı sağlar ve yönetimden çok az bilgi almayı gerektirir veya hiç gerektirmez.

En düşük maliyet ve en az düzeyde etkiye maruz kalmak için üretim konfigürasyonlarındaki farklılıklar erken tespit edilir.

İşletme, düzenli olarak değişiklik yönetimi alanında bir operasyonel mükemmeliyet sergiler.

Planlanmış ve tahmin edilebilir değişiklikler ortaya koyan iyi tanımlanmış süreçler varsa ancak, daha yüksek hizmet düzeylerinden (örneğin, yüksek düzeyde kullanılabilirlik/çalışma zamanı/arızalar arası ortalama süre; daha kısa ortalama sorun/arıza tespit süresi ve daha kısa ortalama onarım süresi) söz edilebilir.

Yeni uygulanan bir değişiklikte veya konfigürasyonda bir sorunla karşılaşılması durumunda, BT hemen bilinen, güvenli ve güvenilir bir işletim durumuna geri dönebilir.

BT, alışılmadık derecede verimli maliyet yapıları (örn. sunucu-sistem yöneticisi oranları en az bir kademe daha az olan düşük performans gösteren kurumlara kıyasla sunucu-sistem yöneticisi oranlar 100:1 veya daha fazla) gösterir.

BT, güvenlikle ilgili sorunlar da dâhil operasyonel sorunları zamanında tespit edebilir ve


24

çözebilir.

Etkin ve etkili değişiklik yönetimi süreçleri ve kontrolleri olan kurumlar, yamaları diğer değişikliklere uygulanan analiz ve süreçlere tâbi tutarak planlı ve tahmin edilebilir bir şekilde ele alırlar. Kritik yamalar, değerlendirmeye tâbi tutuldukları, test edildikleri ve mevcut programlanmış sürüm uygulamaya entegre edildikleri aday sürüm geliştirme kuyruğuna eklenirler.

Önleyici ve tespit edici kontroller otomatik hale gelir ve bu da denetçilere daha kolay vedaha doğru bir raporlama olanağı sağlar; daha az manuel denetim ve “arkeoloji” benzeri somut örnek almayı gerektirir.

En etkili kurumlar, kötü veya döngü-dışı bir değişikliğin beklenmeyen etkilerine maruz kalmak istemedikleri için, BT zafiyetlerine maruz kalma riskini kullanılabilirliğin zarar görmesi riskine tercih ederek normalden daha az sıklıkta – belki de sadece bir büyüklük kertesi kadar - yama uygularlar. Fakat kritik bir güncelleme gerekmesi durumunda,becerikli/bu konuda kabiliyetli kurumlar en az riskle döngü-dışı yamalar uygulayabilirler.

Paydaşlar, süreci daha etkin ve etkili kılabilmek için, önerilen değişikliklerle ilgili risklerin değerlendirilmesi ve uygulanacak değişikliklerin önceliklendirilmesi sürecine dâhil olmazlar. BT birimlerinin sağlam ve güvenilir bir değişiklik yönetimi süreci getirmek isterken karşılaştıkları en büyük engellerden birisi iş arkadaşlarından gereken ilgi, katılım ve desteği görememeleridir. İşletme birimi yöneticileri - başlangıç aşamasında ihtiyaçların belirlenmesinden kullanıcı kabul testlerinin çoğunun uygulanması ve değişikliklerin üretim aşamasına kaydırılmasına kadar - sürecin bütününde aktif bir şekilde yer almalıdır. İlgili politikalarda ve prosedürlerde işletme birimi yöneticisine görev verildiğinde ve üst düzey yöneticiler de gözlemci olmaktan ziyade sürecin ortak sorumluları olmaya gereken önemi verdiklerinde bu temas noktalarının gerçekleşmesi daha olası hâle gelir. Etkin ve etkili bir süreç için, BT ve işletme birimleri arasındaki iletişim ve işbirliği son derece önemlidir.

Değişiklik Yönetimi Ölçütleri ve Göstergeleri

İç denetçiler, bu kilit değişiklik ölçümlerinin süreç etkinliğini denetlemek ve işletme değerlerine itki sağlamak için kullanılıp kullanılmadıklarını denetlemelidirler. Tablo 1’de listelenen ölçümler, etkin bir değişiklik yönetimi sürecine ilişkin faydalı göstergelerdir.

Tablo 1: Değişiklik Yönetimi Ölçütleri

Ölçüt ve Göstergeler Yönergeler

Yetkili değişiklik yönetimi günlüğüne

kaydedilen haftalık yetkili değişikliklerin sayısı.

Genelde, değişiklik başarı oranı yüksek olduğu sürece, değişiklik sayısının yüksek olması verimliliğin de o düzeyde yüksek olduğunu gösterir. Trend (yukarı, aşağı veya durağan), iş sözleşmelerinde bir anlam ifade etmelidir.

Yazılımları denetlemek gibi tespit edici kontrollerle ölçülen haftalık fiili değişiklik sayısı.

Bir haftada fiilen uygulanan değişiklik sayısı o haftaya ilişkin yetkili değişikliklerin sayısını aşmamalıdır.


25

Yetkisiz değişikliklerin sayısı.

Bunlar, değişiklik sürecini baypas eden değişikliklerdir. Bu da yapılan fiilî değişikliklerin sayısını alıp bu sayıdan yetkili değişikliklerin sayısı çıkarılarak tespit edilir.

Tespit edici kontrollerin bulunmadığı durumlarda, fiilî değişikliklerin sayısının güvenilir bir şekilde tespit edilebilmesi söz konusu olamaz. Bu durumda, planlanmamış kesinti sayısı ikame edici bir ölçüt olarak kullanılabilir.

Ne kadar az olursa o kadar iyidir; fakatnormalde tek kabul edilebilir yetkisiz değişiklik sayısı sıfırdır; tek bir kayıt-dışı değişiklik bütün bir süreci yok edebilir ve önemli bir riskoluşturabilir.

Yetkisiz değişikliklerin sayısının yüksek olması, “değişiklik yapmanın gerçek yolunun” değişiklik yönetimi sürecini atlatmak olduğunu gösterir.

Fiilî değişikliklerin yüzdesi olarak ifade edilen başarıyla uygulanan değişiklikler şeklinde tanımlanan değişiklik başarı oranı (kesintileri, hizmet aksamalarını veya plan-dışı işler yapma gereğini doğurmayan değişiklikler)

Ne kadar yüksek olursa o kadar iyi.

Değişikliklerin yönetilmediği veya yeterince test edilmediği durumlarda, değişiklik başarı oranı genellikle %70 civarında seyreder.

Yüksek performans gösteren kurumlar hemdüzenli olarak %99 başarıya ulaşırlar hem de bu kurumlarda başarısız değişiklikler nadiren hizmet aksamalarına veya plan-dışı işlere neden olur.

Acil durum değişikliklerinin sayısı (yamalar da dâhil), bir gözden geçirme kurulu veya acildurum değişiklik süreci kullanılarak hafta boyunca acil onay gerektiren değişiklikler sayılarak belirlenir.

Normalde ne kadar az olursa o kadar iyidir.Acil durum değişikliklerinin çoğu, ister uygun ister hızlı olduğu için olsun bir değişikliği uygulamanın “gerçek yolunun” acil durum değişiklik sürecini kullanmak olduğunu gösterir.

Acil durum değişikliklerinde hata yaşanma olasılığı genel olarak daha yüksektir ve bu değişiklikler plan-dışı işlere veya iş tekrarına neden olur. Acil durum değişikliklerinde artış yaşanması, bunun kaynağında başka değişiklik yönetimi sorunları olabileceğini gösterir.


26

Planlı yazılım sürümlerinde kullanılan yama yüzdesi (oranı). Yamalar, planlı yazılım sürümlerinde kullanıldıklarında, üretim aksamalarına neden olmaz; başarılı değişiklik oranları da daha yüksek olur.

Ne kadar yüksek olursa o kadar iyidir.

Bu duruma aykırı olarak, performansı yüksek olan kurumlar en az yama uygulama oranına sahiptir. Yüksek performans gösteren bazı kurumlar her hafta binlerce değişiklik yapmalarına karşın yılda bir kez yama yapmayı tercihe ederler. Saldırıya açık hâle gelme (korunmasızlık) risklerini çoğunlukla üretim sistemlerinde (örneğin, bir güvenlik duvarındaki zafiyeti engelleme) değişiklik yapmaya gerek duymaksızın hafifletirler/azaltırlar.

Plan-dışı işlere ayrılan zaman (yüzde). Planlı işler, yetkili projelere veya görevlere harcanan zamandır. Planlanmamış iş, boz/onar döngülerini, yapılan işlerin tekrar yapılması ve acil durum değişikliklerini kapsar.

Ne kadar az olursa o kadar iyidir (örneğin, %5 veya daha az).

Planlanan tarihten sonra teslim edilenprojelerin yüzdesi (oranı); gerçi zayıf proje yönetimi de bu ölçütü etkileyebilir.

Genel olarak ne kadar az olursa o kadar iyidir.Kurumlar tüm zamanlarını plan-dışı işlere ayırdıklarında genellikle yeni projeler ve hizmetler gibi planlı işlere yeterince vakit kalmaz. Böylece proje sonuçlarının geç teslim edilmesine neden olur.

Şekil 1: Etkin bir Değişiklik Yönetimi Sürecinin Göstergesi Olarak Plan-dışı İşler

X XX

YüksekPerformanslı

>1000(değ./hafta)

< %1 Dakika Zamanının <%5’inden azı

VasatBilinmiyor,

yüzlerce ͌ %30 - 50 (Ort.) Saat, Gün Zamanın %35 – 45’i.

Ortalama: Zamanın (ve işletim maliyetinin) %35 – 45’i plan-dışı işlere ayırılır! Etki: Gecikmiş projeler, yeniden yapılan işler, uyum sorunları, kontrol farklılıkları vs.

ÜretimDeğişikliklerinin

Sayısı

Başarısız Değişiklik Yüzdesi veya Yetkisiz

Değişiklikler

Onarıma Kadar Geçen Ortalama

Süre

Plan-dışı İşlere Harcanan Zaman

Yüzdesi


27

Şekil 2: Değişiklik Yönetimi Süreçlerini Etkileyen Kilit Değişkenler

X X =

Şekil 1 ve 2’de etkin değişiklik yönetiminin kilit göstergeleri ve bu göstergeleri arttıran ve azaltan dominant kontroller yer almaktadır. Bu kilit göstergeler3:

Üretim değişikliklerinin sayısı. Başarısız veya yetkisiz değişikliklerin yüzdesi. Başarısız değişiklikleri telafi etmek için gereken süre.

Bu, çok basit bir modeldir ve matematiksel olması amaçlanmamıştır. Bundan ziyade, etkin ve etkili BT değişiklik yönetimi ve etkin BT için dominant değişkenleri ve başlıca göstergeleri göstermektedir.

3 Yüksek performans gösteren 11 BT kurumunu inceleyen ve diğer yüzlerce kurumu araştıran BT Süreci

Enstitüsü (ITPI) karşılaştırmalı değerlendirmesine dayanır.

DEĞİŞİKLİK BAŞARI ORANINI ARTTIRAN DAVRANIŞLAR:

Etkin değişiklik testi. Değişiklikler onaylanırken etkin bir gözden

geçirme süreci. Değişiklik paydaşlarının etkin bir şekilde tespit

edilmesi. Değişiklikleri etkin bir şekilde programlama.

YETKİSİZ DEĞİŞİKLİKLERİ AZALTAN DAVRANIŞLAR Değişiklik yönetimi kültürü.Yönetimin değişiklik sürecine sahip çıkması. Değişiklik sürecini uygulamak için tespit edici

kontrollerle etkin altyapı denetimi. Değişiklik süreçleri takip edilmediğinde yönetimin

düzeltici eylem kullanması. Değişiklikleri kimin uygulayabileceği hakkındaki

sınırlamalar nedeniyle uygulanamayan etkin bir görev ayrımı.

ORTALAMA ONARIM SÜRESİNİ AZALTAN UYGULAMALAR:

Acil durum kültürü: Değişikliği ilk sorun onarım döngüsünü devre dışı bırakmak.

Yetkili ve programlı değişiklikleri bildiren etkin değişiklik yönetimi süreci.

Planlı ve plan-dışı kesintileri birbirinden ayırma kabiliyeti.

Programlanmış değişikliklerle ilgili öncesinde ve sonrasında etkin iletişim sağlanmalı.

Üretim değişikleri için altyapının etkin bir şekilde denetlenmesi.

Üretim Değişikliklerinin Sayısı

Başarısız Değişiklik Yüzdesi veya Yetkisiz

Değişiklikler

Onarıma Kadar Geçen Ortalama

Süre

Plan-dışı İşlere Harcanan Zaman

Yüzdesi


28

Bir BT Kurumu değişiklik yapmazsa veya değişiklik dondurma döneminden geçiyorsa, kullanılabilirlik düzeyi en yüksek, plan-dışı işlerin düzeyi ise en düşüktür.

Bir BT Kurumu değişiklik yönetimi politikalarını (örneğin, yetersiz önleyici ve düzeltici kontroller) uygulamıyorsa, yetkisiz ve başarısız değişiklikler plan-dışı işleri arttıran uzun kesintilere neden olur.

BT birimlerinde plan-dışı işlerin planlı işlere oranı yüksekse, yeni ürün ve hizmetler sunmak gibi verilen görevleri yerine getirmek için yeterli vakitleri kalmaz.

Yüksek performans gösteren BT kurumları bu modelin ortaya koyduğundan çok daha başarılıdırlar. Değişikler uygun yönetildiklerinde, başarısız değişiklikler bile nadiren kesintilere neden olur ve sonuç olarak da onarım için “sıfır” ara zaman gerektirirler. Düşük performanslı kurumlar ise, apaçık kesintiler ve plan-dışı işler dışında hiçbir şeyi hesaplayamazlar.

Yama Yönetimini Değişiklik Yönetimine Entegre Etme

Yazılım yamalarının yaygın olarak acil uygulanmalarına rağmen, yama kullanımı ideal olarak yamaların yeterince test edilebileceği üretim öncesi aşamasına aittir. Yamalar, ideal olarak, programlanmış bir yazılım sürümünün bir parçasıdır.

Yamalama, pek çok bakımdan riskli bir işlemdir. Yamalar çoğu uygulama programı tarafından kullanılan kritik sistem kütüphaneleri ve diğer yazılımları etkileyebilir. Yamalar genellikle neyi değiştirdikleri çok fazla belgelenmeyen büyük değişikliklerdir. Yamalar, karmaşık ve büyük çaplı işlemlerdir. Küçük konfigürasyon değişiklikleri bile son derece farklı sonuçlar doğurabilir. Bu etkenler yamaların başarı oranının tipik değişikliklere kıyasla daha düşük olmasına neden olur ve bu nedenle de daha kapsamlı bir test aşaması gerektirir. Yeterince yama testi ve planlaması yapılmadığı zaman, kaçınılmaz olarak “yama-ve-dua et” açmazıyla karşı karşıya kalınır.

“Yama-ve-dua et” fenomeni sağlam bir temele dayanır; bu durum ne yama yaparak ne de yama yapmadan kullanılabilir ve güvenli bir bilgisayar platformu oluşturulamayacağı anlamına gelir. Daha önce de açıklandığı gibi, yüksek performanslı BT kurumları normal BT kurumlarından çok daha az yama uygular, bununla birlikte güvenlik hedeflerine ulaşmayı başarabilirler. Bunu, güvenliklerini tehlikeye atarak yaptıklarını düşünmek doğru değildir. Aksine, artık riski etkin bir şekilde yönetip yama işlemi yerine telafi edici kontroller uygularlar. Ayrıca her bir sisteme ayrı bir yama uygulamak yerine, yama ve güncellemeleri sürümler halinde bir araya getiren bir sürüm programları bulunur.

Değişikliklerle ilişkilendirilen riskler yalnızca yama uygulamalarıyla sınırlandırılamaz, otomatik değişiklik uygulama teknolojilerinin hepsinde görülebilir.

Yama yönetimi ile değişiklik uygulama teknolojilerinin aynı anda kullanılmaları BT üretim ortamını daha dinamik ve karmaşık hâle getirir; bu durumda hem değişiklik vektörlerinin hem de yapılacak değişikliklerin sayısı artar. Bu ortamlar aşağıda sıralanan önlemleri gerektirir:

Yetkisiz değişikliklerin görülme olasılığını azaltmak için ek önleyici kontroller uygulamayı,

Denetleme, mutabakat ve raporlama fonksiyonlarını basitleştirmek için bağımsız tespit


29

edici kontroller uygulamayı.

Kılavuz İlkeler: Değişikliklerin Uygulanıp Uygulanmayacağına, Ne Zaman Uygulanacağına ve Nasıl Uygulanacağına Karar Verme:

Nasıl iyi değişiklik yönetimi kararları alınabileceğiyle ilgili kılavuz ilkeler aşağıda sıralanan soruları sormayı gerektirir:

Değişikliğin gerçekten yapılması gerekiyor mu? BT kurumları, değişiklik dondurma dönemlerinde en az planlanmamış işle ve “çıkan yangınları söndürme” işleriyle uğraşırlar. Sonuç olarak, her değişiklik, hem değişiklik hazırlığı ve değişiklik uygulama çabalarını, hem de söz konusu değişikliğin uygulanması sonucunda ortaya çıkabilecek (genellikle öngörülemeyen) sonuçları gerektirecek nitelikte olmalıdır.

Değişikliklerin yapılmasına izin verilmediğinde, programlanmış onarım ve değişiklik dondurma dönemleri tanımlanıyor mu? İşlemlerin yapılmadığı (operasyonel durgunluk dönemleri) dönemler sadece en istikrarlı dönemler değildir, aynı zamanda en verimli dönemlerdir ve bu yüzden de tanımlanmaları ve etkin bir şekilde uygulanmaları gerekir.

Değişikliklerin yapılması gereken durumlarda, değişikliğin başarılı olacağından nasıl emin olunabilir? Test edilmeyen değişiklikler nadiren %70 başarı oranından yüksek bir başarı oranına ulaşırlar.

Başarılı değişiklikler uygulamak isteyen kurumlar, uygulanacak değişikliklerin test edilmesine de yeterince zaman ve kaynak ayırmalıdır.

Değişiklikler ne zaman uygulanmalıdır; söz konusu değişiklikler seri halde mi programlanmıştır? Farklılık risk yaratır ve aynı anda uygulanabilmeleri ve test edilebilmeleri için değişiklikler bir araya getirilerek bu farklılık azaltılabilir. Bu da, hem daha uzun süreli korunmuş operasyonel durgunluğa hem de daha kısa süren ve daha verimli değişiklik uygulama dönemlerine neden olur.

Farklılıklar düzenli olarak yönetime bildiriliyor mu? Üretim değişiklikleri yetkili işlere uygun hale getiriliyor mu? Plan-dışı kesintiler ve değişiklik farklılıkları belgelenmiş ve bunlarla ilgili harekete geçilmiş mi? Önleyici ve tespit edici kontrollerin etkilerini gösteren raporlara yönetimin ve iç denetçilerin kolayca erişimi sağlanıyor mu? Denetleme ve raporlama kontrolleri uygun işlediğinde, BT yönetimi sorunları daha etkin ve verimli bir şekilde tespit etmek için gereken bilgiye sahip olur ve işletme hedeflerine ulaşması daha olası hâle gelir.

GTAG — İç Denetçiler Değişiklik ve Yama Yönetimiyle İlgili Hangi Soruları Sormalıdırlar?

30

İç Denetçiler Değişiklikler ve Yama Yönetimiyle İlgili Hangi Soruları Sormalıdırlar?

Bu bölüm, iç denetçilerin değişikliklerin ne kadar etkin yönetildiklerini anlamak için kullanabilecekleri bir takım sorular sunmaktadır. Amaç, BT değişiklik yönetimi konusunda farklı görüşlere sahip olan birkaç BT yöneticisi tipinin verdiği cevapların nasıl yorumlanacağıyla ilgili iyi sorular sağlamak ve bir rehber hazırlamaktır. En sık karşılaşılan tipler şunlardır: Etkin bir BT değişiklik süreci uygulayan BT yöneticileri. Etkin olmayan bir BT yönetimi süreci olan, fakat geliştirmeye çalışan/bu durumu

düzeltmeye çalışan (“problem çözme modu”) BT yöneticileri. Etkin olmayan bir BT yönetimi olup bunu düzeltmek ve iyileştirmek gibi bir planı da

olmayan BT yöneticileri.

Tablo 2: Tiplere Göre Değişiklik Yönetimi Hakkında Sorulacak Sorular

BT YöneticisineYöneltilecek Sorular

Etkin Bir Değişiklik Yönetimi Olan BT

Yöneticisi

“Sorun ÇözmeModundaki” Bir BT

Yöneticisi

BT Yöneticisi Olası Bir Yalanlama Durumunda

“Değişiklik yönetimi çok önemlidir. Etkinbir değişiklik yönetiminiz olduğunu düşünüyor musunuz?”

“Bizimkisi dünyastandartlarında. Sarbanes – OxleyKanunu, Madde 404’üngerekliliklerinisağlamak konusunda bile hazır durumdayız, çünkü bütün kontrolleruygulanıyor. Kontrolharitalamalarını göstermek için birkaçrapor dahahazırlamamız gerekiyor; ama iyidurumdayız.”

“Bunu sormanız çok komik –Sarbanes –Oxley Kanunu’na tâbiolan herkes gibi bizde bunun üzerindeçalışıyoruz. “İlerleme sağlar sağlamaz, daha fazlasını öğreneceğiz.”

“Düzgün işlediğini düşündüğümüz bir sürecimiz var.Değişiklik yönetimiyle ilgili şu ana kadar – özelliklede iç denetimdenherhangi bir şikâyet almadık. Zaten çalışan bir şeyi onarmak için yüklü bir masrafın altına giremeyiz.”


31

“Sizde kabuledilebilir yetkisizdeğişiklik sayısı kaçtır?”

“Tek kabul edilebiliryetkisiz değişiklik sayısı sıfırdır. Bir tane bile kayıt dışı değişiklik bütün değişiklik işlemini mahvedebilir; buyüzden değişiklikleri günlük olarakkarşılaştırıyoruz. Sistemimizegüveniyoruz, ama teyitalmayı ihmal etmiyoruz.”

“Şey, yani böyle sorduğunuzda tabii ki tek kabul edilebiliryetkisiz değişiklik sayısı sıfırdır, ama üç aylık ikramiyelerimizle buna bahse girermiyiz? Kesinlikle,hayır. Özellikle son çeyrekten sonra.”

“Bakın, bize burada değişiklik yapmak için para verilmiyor. Bazenkuralları ihlâl etmek gerekir. Burada böyleiş yapıyoruz. Değişiklik yönetimi bürokratik bir işlemdir ve bununla sadeceişleri yavaşlatmak istiyorlar.”

“Kendi değişiklik yönetimi sürecinizdehangi kontrollereihtiyaçduyduğunuzdan söz eder misiniz?”

“Yönetime, yapılan iş hakkında en doğru bilgileri verebilmekiçin, önleyici, tespitedici ve düzelticikontrollere ihtiyaçduyuyoruz. Yenideğişiklik ölçütleri tanımladık ve değişiklik yönetimi komitesine katmakistediğimiz birkaç paydaş daha belirledik. Değişiklik yönetiminin aslında “fasulye sayıcılarının” umurunda olduğunu bilmiyorduk, buyüzden bundansonra onlar datoplantılarımıza katılacaklar.”

“Sarbanes – OxleyKanunu’yla ilgili birproje üzerinde çalışan iç denetçilerden vedanışmanlardan oluşan büyük bir ekibimizvar. Spesifikkontrolleri test etmekiçin bir planhazırlıyorlar. Sarbanes – Oxley projesibaşından sonuna kadar entegre bir denetim veişletme olarak değişikliklere yönelik bir bakış açısının gerekliliğini ortaya koymuştur. Ayrıca daha iyi değişiklik kontrollerine ihtiyaçolduğunu gösteren bazı iş süreçleri olduğunu keşfettik ve bunun üzerinde deçalışıyoruz.”

“Biz hâlâ incelemeaşamasındayız. Acil işlerle oldukça meşgul durumdayız ve şu anda tek vakitayırabileceğimiz şey Sarbanes – OxleyKanunu’yla ilgilikontrollerdir. Amabunun önemliolduğunu biliyoruz ve mümkün olan enkısa sürede bu işle ilgileneceğiz. Ayrıca şu anda bu iş için bu için bütçe ayıramayız. Şu ana kadarki iş deneyimim banabizdeki değişiklik yönetiminin yeterinceiyi olduğunu söylüyor; çünkü şimdiye kadar kimse çıkıp da bana sistemimizin yetersizolduğunu özel olarak söylemedi.”


32

Tablo 2: Farklı Yapılara Göre Değişiklik Yönetimi Hakkında Sorulacak Sorular

BT YöneticisineYöneltilecek Sorular

Etkin BirDeğişiklik

Yönetimi Olan BTYöneticisi

“Sorun ÇözmeModundaki” Bir BT

Yöneticisi

Olası Bir Yalanlama

DurumundakiBT Yöneticisi

“Değişiklik yönetimi sürecinin bir faydasını gördük mü?”

“Kesinlikle. Aslında faydaları o kadar açık oldu ki kendi içdeğişiklik yönetimi kültürümüzüoluşturduk. Artık kendimiziprofesyonel yangın söndürücüler gibihissetmiyoruz.Performansımızı, hizmet süremizi(hizmette kalmasüremizi) ve hemmüşterilerimizin hem de kendipersonelimizdenyöneticilerimizekadar tümçalışanlarımızın memnuniyetiniarttırdık.”

“Evet, ama hâlâolmak istediğimiz yerde değiliz. Kesinti miktarını azalttık ve değişiklik başarı oranımızı önemli ölçüdearttırdık. Şimdi onarım pencerelerindedeğişiklikler oluyor, yine de ara da sırada süreçten geçmeyiunutan bir‘kovboyumuz’oluyor.”

“ Çalışma hızımız o kadar yüksek kiişleri yavaşlatan, üretkenliği azaltan ve bürokratik biratmosfer yaratan buağır değişiklik yönetimi sürecineayıracak vaktimiz yok. Değişiklik sürecini takipetmeleri içininsanları sürekli bundan sorumlututamam; çünküişleri yürütebilmek için zatenkapasitelerinisonuna kadarzorluyorlar. Bunakarşın değişikliklerden kaynaklanankesintilerin ara sıra meydana geldiğini biliyoruz ve sipariş yönetim sisteminiikide birçökertemeyiz.”


33

“Geçen hafta tümtesiste yaşadığımız kesintiyi hatırlıyor musunuz? Neolmuştu?”

“10 dakikalık kesintiye neden olano değişikliğin yetkili bir değişiklik olduğunu belirledik. Fakat bunun aşağı doğru ilgisiz bir sistem üzerinde biretkisininolabileceğini düşünemedik. Bir daha olmayacak.”

“Bir geliştiricinin bir değişikliği mutabakatavardığımız sürecin dışında bir yerden başka bir yere taşıdığını öğrendik. Kesintinin yaşandığı o sistem için değişiklik emri vermemeliydi.Biz bu sistemiaceleyle onardık ve bu geliştirici artık üretim sunucularında oturum bileaçamıyor.”

“Tedarikçilerimizdenbirinin bazı onarımlar yaptığını ve bazı yazılımları güncellediğini öğrendik. Sorun şu ki bizimkişiselleştirdiğimiz bir kütüphanenin üzerineyeni veri yazarak eskiverilere zararvermişler. Yapmaları gereken mevcutkişiselleştirme verilerimizi kayıt altına almaktı; yani bu yaptıkları onarım sözleşmemize aykırı bir eylemdir.”

“Kesinti üzerindeçalışırken, hatanın nerede olduğunu bulabilmek için hangisüreci kullandınız?”

“Böyle durumlardaher zaman yaptığımız ilk şey, onarım döngüsü sürecindeyetkili değişiklikleri olabildiğince çabuk devre dışı bırakmaktır. Hemen oanda kesintininprogramlı bir değişiklikten kaynaklanmadığını anlamıştık. Daha sonra herhangi bir acil durumdeğişikliğinin yapılıp yapılmadığını kontrol ettik. Kesintiden ikidakika önce dörtdeğişikliğin yapıldığını ve sonra da bunları kimin yaptığını öğrendik. Değişiklikleri yapanlar değişikliklerden geri dönüş işlemini yaptılar ve birkaç dakikatoplanmış ve eskisi gibi çalışıyorduk.”

“Sorunun yetkili birdeğişiklikten kaynaklanmadığını seziyorduk. Bizdeğişikliklerimizi sadece belirli sürümpencereleri içinde testedip uygularız. Bu nedenle, araştırmaya, günlüklere bakmaya,değişiklikten geriye doğru çalışmaya, kısacası sürüm pencereleri dışındaki her şeye bakmaya başladık. Sonunda değişikliği kimin yaptığını öğrenmeye muvaffak olduk, ama nedenyapıldığını öğrenemedik. Sanırım sistem yöneticisi o günçok değerli bir ders almış oldu.”

“Merkezileşmiş bir sistemimizbulunmadığından ötürü, hatanın nerede olduğunu bulabilmek için birkaç ayrı ekip bu işe seferber edildi. Sonunda bir SWATekibi kurduk. Ekip,kesintinin tedarikçininyaptığı bir güncellemedenkaynaklandığını hemen tespit etti, ancak busorunun kütüphanemizietkilediğini gösterebilmek içinonlarla bir toplantı yapmak zorunda kaldık. Dahası, kütüphaneyi eski versiyonuna geridöndürmeleri mümkündeğildi. Bu yüzden, tüm yazılım dizinini kayıttan tekrar geri yüklemek zorundakaldık.”


34

“Sürecin genelolarak sağlıklı işleyip işlemediğini nasıl denetliyorsunuz?”

“Değişiklik oranı, değişiklik başarı oranı, onarıma kadar geçen ortalama süre(MTTR), arızalar arası ortalama süre (MTBF)ve değişiklik sürecini baypas eden yetkisizdeğişikliklerin sayısını dikkate alarak. Ayrıca sürece işletmenin hangi bölümlerininkatılmayacağını gösteren kapsamölçütümüz bulunuyor.Plan-dışı işler büyük bir göstergedir. Sürekliortaya çıkan farklılıklar olup olmadığını bulmaya çalışıyoruz ve farklılıkları kaynağından azaltmanın yollarını arıyoruz.

“Bir değişikliği ne kadar kısa sürede yapabildiğimizi anlamaya çalışıyoruz. Değişiklik talebinin alınmasından değişikliğin tamamlanmasına kadar geçen süreyihesaplıyoruz. Hem değişiklik başarı oranının yanı sıra acil durum değişikliklerini ve plan-dışı değişikliklerini ölçmeye hazırlanıyoruz.”

“Süreçmükemmelliğinde ısrarcı olsak da gerçek dışı ölçütler kullanmıyoruz. Söndürmemiz gerekençok sayıda yangın bulunduğunu biliyorum; ama buinsanlardan bazılarıyla çalışmak zorunda kalsaydınız sizde de bu kadar söndürecekyangın olurdu.”

“Değişiklik yönetimi sürecinizin amacı nedir?”

“Güvenilirlik,kullanılabilirlik ve maliyetin azaltılması. İlk iki hedefin yükselmesigerekirken üçüncüsününazalması gerekiyor.

“Biz işimizin gerektirdiği kadar değişiklik yapmak istiyoruz. Söz konusudeğişiklikleri hızlı ve doğru bir şekilde uygulamak istiyoruz.”

“Bizim amacımız değişiklik yönetimi toplantılarına tüm kilit paydaşların katılımını sağlamak ve her paydaşın toplantılarda neyin neden yapıldığını bilmesini sağlamaktır. Bize göre, denetimsonuçlarımız olumlu olduğu sürece sorun yok.”


35

“Yama süreciniz nekadar aksaklıklara neden oluyor?”

“Hiçbir aksaklığa neden olmuyor.İşletmede kullanılabilirliğinin son derece önemliolduğunu biliyoruz. Güvenlik risklerini,değişikliklerle ilişkilendirilen tehlikeler olmaksızın hafifletmenin yolunubulmak zorundayız. Her yıl ortalama olarak büyük biryama paketi/grubualıyoruz.”

“Yama işlemi önceden çok aksamalara nedenoluyordu, ama altı yıl önceki büyükkesintiden sonra, hangiyamayı uygulayacağımız ve bu yamanın sürümünü ne zaman yapacağımızla oluşturduğumuz her türlü varsayıma geri döndük. Yamalamaiçin harcadığımız süreyi azaltarakhaftalık olan yamaları aylık yamalara çıkardık ve bunu üç aylık süreye çıkarmaya çalışıyoruz.”

“Tedarikçilerinpiyasaya sürmekteoldukları kalitesiz yazılımlar yüzünden yamalara çok zamanharcamaya devamediyoruz. Bu, kazançsağlamayan bir durum. Yama yapmazsaksistemlerimiz hacklenir.Yama yaparsak üretimsistemlerimizçökebilir.”

Yeni Bir Değişiklik Yönetimi Kapasitesi Yaratmak

Değişiklik yönetimi gelişen bir süreçtir. Gruplar, kendi değişiklik yönetimi süreçlerini geliştirirken, cesaretlerini kaybetmemelidirler. Gereken çözümler insanların, süreçlerin ve teknolojinin değiştirilmesini gerektirebilir. Değişiklik yönetiminin en tipik basamakları arasında,

1. Değişiklikten Bihaber: “Hey, sistem yeniden mi başlatıldı?

2. Değişiklikten Haberdar: “Hey, sistemi kim yeniden başlattı?”

3. Değişikliği Bildirme: “Hey, sistemi yeniden başlatıyorum! Bir sorun çıkarsa beni

haberdar edin.”

4. Değişiklik için Yetki Verme: “Hey, sistemi yeniden başlatmam gerekiyor. Kimin onayı

gerekiyor?”

5. Değişikliği Programlama: “Bir sonraki önleyici bakım zamanı ne zaman? Ona göre sistemi

yeniden başlatmak istiyorum.”

6. Değişikliği Doğrulama: “Arıza yöneticisine günlüklerine göre, sistem programlandığı

gibi başlatılmıştır.”

7. Değişikliği Yönetme: “Haydi, yeniden başlatma işlemini 45. haftaya alalım, böylece hem

bakım yükseltmesini hem de yeniden başlatma işlemini aynı zamanda yapmış oluruz.”

GTAG — İç Denetçiler Nereden Başlamalıdırlar?

36

İç Denetçiler Nereden Başlamalıdırlar?

COSO’nun Kurumsal Risk Yönetimi – Bütünleşik Çerçevesi ’ne göre, yönetim stratejik hedefleri belirler, stratejileri seçer ve belirli bir düzene göre sıralanan hedefleri kurum içinde basamaklara ayırır. Kurumsal risk yönetimi çerçevesi, bir kurumun risklerini dört kategoride ele almak üzere düzenlenmiştir: stratejik, işlemler, raporlama ve uyum. Risk tepkilerinin etkin ve etkili bir biçimde uygulanmasını sağlamak için önleyici, tespit edici ve düzeltici kontroller geliştirilmeli ve uygulanmalıdır. İç denetim, kurumsal hedeflerle ilişkilendirilen risklerin yönetmede BT yönetiminin etkin ve etkili bir risk yönetimi sürecinin olmasına yardımcı olabilir. BT yönetiminin tanımlaması gereken değişiklik yönetimi hedeflerine yönelik örnekler arasında değişiklik taleplerinin gözden geçirilmesi ve onaylanması, değişikliklerin doğru ve etkin bir şekilde yapılmalarını sağlama ve değişiklikler başarısız olduğunda BT’nin çabucak tekrar eski hâline gelmesini sağlama yer almaktadır.

Önleyici, tespit edici ve düzeltici kontroller, yönetimin BT değişikliklerinin yönetimine ilişkin belirlediği hedeflere temel alınarak geliştirilmelidir.

Başarıyı yakalayabilmek için, kurum yönetiminin yönetim kurulunun temsil ettiği hissedar menfaatlerine ve kaygılarına uygun hareket etmesi gerekir. Kurumsal hedeflere – genel olarak gelir/pazar payı hedefleri, işin değer kazanmasına/hisse senedi fiyatlarının artmasına yönelik hedefler veya personel ve faaliyet giderlerinin sınırlandırılması — ulaşılmalıdır. Başarı şansının olabilmesi için, belirlenen hedeflere ulaşmak üzere planlar oluşturulmalı ve bütün kurumda etkin bir şekilde uygulanmalıdır. Kurul, yönetimin hedeflere ulaşmayı engelleyebilecek riskleri tespit etmesini ve değerlendirmesini sağlamak ister. Riskleri etkin bir şekilde hafifletmek, yönetmek, kabul etmek veya aktarmak için, zorlu süreçler uygulanmalıdır. Plandan sapma veya farklılık ise etkin bir şekilde yönetilmesi gereken bir başka risktir. İç denetçiler, risk yönetimi ortamında güçlendirilmesi gereken zayıf noktaları bulup ortaya çıkarmaya çalışan şirketin gözü kulağı gibi çalışırlar.

Çoğu kurumda, kısa bir süreliğine de olsa kritik önemdeki hizmet ve görevlerin sağlanamaması veya yerine getirilememesi işletme hedeflerine doğru ilerlemeyi aksatmanın en hızlı yollarından birisidir. Beklenmeyen bir ağ ataleti, malzeme çizelgelerinin tedarikçilerle eşgüdümünün yapılması ve müşteri siparişlerine çabuk cevap verme gibi kritik iş süreçlerini aksatabilir. Kritik önemdeki uygulamaların, veritabanlarının veya web sunucularının atıl duruma gelmesi de aynı derecede tahrip edici olabilir. İç denetçiler, yönetimle birlikte, bu riskler ve ilgili risklerin tespit edilmesini, ölçülmesini ve uygun şekilde yönetilmesini sağlamaya çalışır. Ancak nedenleri tespit edilip incelenmeden söz konusu riskler nasıl yönetilebilir? Üretim ortamını korumak ve şirket iş hedeflerini yakalamaya çalışırken şirketi desteklemek BT biriminin kilit sorumluluklarından birisidir. İç denetçiler, BT birimi de dahil uygun risk yönetimi süreçlerinin uygulanmasını sağlamaktan sorumludurlar. Bu amaçla, etkin ve etkili değişiklik yönetiminin önemi azımsanamaz; iç denetçiler bu konuda düzenli olarak geçmişe dönük değerlendirmeler yapmalı düşünmelidirler.

Değişiklik Yönetimi Sürecinde Denetimin Rolü: Bağlı oldukları kurumun her yönünü gözden geçirerek değerlendirmek için normalde yeterince vakitleri olmadığı için, iç denetçiler bir risk değerlendirmesine dayalı olarak kendi denetim planlarını hazırlamalıdırlar. İç denetçiler, BT’deki işletme riskini değerlendirmelerine


37

yardımcı olması için ön bilgi toplamalıdırlar. Çalıştıkları kurumların değişiklik yönetimi uygulamalarıyla ilişkili göreli işletme riski düzeyini ve değişiklik yönetimine yönelik yüksek düzeyde veya derinlemesine bir değerlendirme yapmak gerekip gerekmediğini belirleyebilmek için, iç denetçiler

Değişiklik yönetiminin temel unsurlarını anlamalıdırlar. Burada kullanıldığı haliyle değişiklik yönetimi terimi, uygulama geliştirme veya konfigürasyon yönetimi gibi sistem gelişiminin bütün yaşam dönemini içermez. Ancak değişiklik yönetimi, sistem gelişimi yaşam dönemini (ve eşit seviyede kontroller) yansıtmalıdır ve onlarla bütünleşmelidir. Bu GTAG rehberini anlamak iç denetçilere, kurumların değişiklik yönetimi sürecinde ve kontrollerde gerekebilecek ilerleme düzeyini anlamak üzere zor sorular sormalarıyla ilgili yeteri kadar arkaplan bilgisi sunar. (Tablo 2’de BT yönetimine sorulmak üzere yararlı olabilecek sorular bulunuyor.)

Kurumun değişiklik yönetimi süreçlerinin göreli etkinliğini değerlendirebilmek için etkin ve etkisiz değişiklik yönetimi süreçlerine ait göstergeler kullanmalıdırlar. Değişiklik yönetimi süreci baştan sona gözden geçirmeli ve bu rehberde özetlenen kilit unsurların olup olmadığına bakmalıdırlar. BT yönetiminin, süreci nasıl değerlendirdiğini ve bu değerlendirmenin işletme ihtiyaçlarına cevap verip vermediğini anlamalıdırlar.

Sürecin sonuçlarını ve etkinliğini değerlendirebilmek ve ölçebilmek için BT yönetiminin performans karnesini almalıdırlar. Sürecin izlemek ve sürekli ilerleme sağlamak üzere uygun ölçütlerin kullanılıp kullanılmadığını belirlemelidirler (Bakınız Tablo 1.).

BT yönetiminin, yazılım geliştiriciler ve değişiklikleri hazırlayan diğer görevliler dışında değişiklik yönetimiyle ilgili başka kimseyi görevlendirip görevlendirmediğini belirlemelidirler. Yönetim, üretim ortamını sadece değişiklikleri uygulayacak kişilerin değişiklikleri uygulayabilecekleri şekilde güvenceye almış mıdır? Üretim sisteminde yapılan değişikliklere ait denetim geçmişi kaydının olup olmadığını ve bu denetim geçmişi kayıtlarının manipüle edilemez veya yok edilemez olup olmadığını belirlemek amacıyla kısa bir değerlendirme yapmalıdırlar.

Değişiklik yönetimi kontrolünü denetlerken, etkin değişiklik yönetimine ilişkin göstergelere bakmalıdırlar. Kontrol hedeflerine ulaşabilmek için arızalardan kaynaklanan risklere odaklanmalıdırlar.

Yönetime, değişiklik yönetimine ilişkin yaklaşımlarını geliştirmek amacıyla yeni modeller tanımlama konusunda yardımcı olmalıdırlar.

Kurum BT faaliyetlerini bir hizmet sağlayıcısına yaptırmayı düşünüyorsa, kurumun beklentilerinin hizmet düzeyi sözleşmelerinde (SLA) ve kontratlarda alenen belirtildiğini doğrulamalıdırlar. Değişiklik yönetimi süreciyle ilgili şu noktaların dikkate alınması gerekir:

– Değişiklik talepleri üzerine yapılan günlük değişikliklerin yönetiminden kurum içinde kim sorumludur?

– Kurum, hizmet sağlayıcısının üzerinde mutabakata varılan değişiklik yönetimi sürecinin dışında bir değişiklik yaptığını nasıl anlar?

– Kurumun, hizmet sağlayıcısının yetkisi dışında ve makul olmayan değişiklikler için faturayı kendisine çıkartmamasını sağlamak konusunda kontrol sahibi midir? Kurum bu tür değişikliklerin meydana gelip gelmediğini nasıl anlar?

– Hizmet sağlayıcısının sağlanan hizmet (örneğin, ihtiyaç duyulduğunda kullanılamayan uygulamalar) ve gider (veya gelir kaybı) üzerinde kalıcı bir etki


38

bırakarak gereken bakım değişiklikleri dönemleri dışında değişiklik yapmasını engelleyen nedir?

- BT’yi etkileyen büyük işletme değişikliklerinin uygun hesaplanmasını, onaylanmasını, planlanmasını, kontrol edilmesini, uygulanmasını ve periyodik olarak gözden geçirilmesini sağlamaktan kim sorumludur?

– Hizmet sağlayıcısının altyapı (sistem ve network) ve bilgi güvenliği üzerindeki etkileri her değişikliğin değerlendirilmesinin bir parçası olarak görüp görmediği.

– Kurumun, hizmet sağlayıcının değişiklikleri kontrol komitelerine kurumdan kimin üye olacağını belirleyip belirlemediği.

– SLA’lara uyumu kim denetliyor?

– Sarbanes – Oxley Kanunu Madde 404 ve diğer düzenlemeler kapsamındaki sistemler için SLA’nın gerekli uygulamaları, onaylama süreçlerini, gereken testlerin zamanlamasını, onarım çalışmasını, yeniden test etme işlemini ve diğer hususları kapsamına alması gerekir.

Denetim gözlemlerini tartışırken ve yazarken, etkin ve etkili değişiklik yönetimi süreçlerinin ticari değerinin yanında etkisiz değişikliklerin risklerini de ortaya koymalıdırlar. Operasyonları, finansal riskleri ve düzenlemelere ilişkin iyi yönetilemeyen riskleri açıkça anlatmalı ve elde edilen sonuçları yönetimin işletme hedeflerine ve bu hedefleri desteklemek için belirlediği risk toleransına bağlamalıdırlar. Değişiklik yönetimi süreci kontrollerinin otomasyona dönüştürüldüğü belirli durumlar dışında, teknolojiye gereğinden fazla odaklanmaktan kaçınmalıdırlar. Bunun yerine, yönetime değişiklik yönetiminin teknik ve otomatik kontrollerle desteklenen yönetim ve insan odaklı, süreç bazlı olduğunu hatırlatmalıdırlar.

GTAG — Yazarlar ve Gözden Geçirenler

39

Yazarlar:

Sajay Rai, CPA, CISSP, CISM

Gregory Wilson, CISSP, CISM, CGEIT

Duy NguyenPhilip Chukwuma, CISSP

Gözden Geçirenler:

Steve Hunt, CIA

Steve Jameson, CIA, CCSA, CFSA, CRMA

GTAG — Ek A

40

Ek A: Değişiklik Yönetimine Konusunda Örnek İş Vakası

Yüksek performans gösteren kurumlar, BT değişiklik yönetimi süreçlerini riskleri azaltmak, operasyonel etkinlik ve verimliliklerini arttırmak için kullanırlar. Bu yüzden etkin değişiklik yönetimi kontrollerinin faydaları önemli ve anlamlı ve ölçülebilir niteliktedir. Değişiklikleri “sadece iç denetçileri mutlu etmek için” yapmak yerine, gerçekten bunu gösterebilmek değişiklik kontrollerini geliştirmek amacıyla örnek bir iş vakası oluşturmayı kolaylaştırır. Önceki bölümlerde anlatıldığı gibi, kilit operasyonel ölçütler arasında değişiklik başarısızlık oranı, başarısız değişiklikler durumunda toparlanma süresi ve bunun sonucunda ortaya çıkan plan-dışı işler yer alır. Tablo 3 etkisiz değişiklik yönetimi göstergelerini özetlemektedir. Tablo 4 gerçek alan deneyimine dayanarak bu sorunlar için çözüm yollarını açıklamaktadır.

Tablo 3: Etkisiz Değişiklik yönetimine İlişkin Sorunlar ve Göstergeler

Belirtilerimiz Altta Yatan Nedenler

“Çoğu BT Kurumu gibi biz de belgelenmemiş değişikliklerin etkilerini yaşıyorduk. Bu değişikliklerin yapıldıklarını biliyorduk; ama bunları izlemesi zordu ve günümüzün güvenlik konusunda bilinçli olan ortamında bu kabul edilemezdi.”

- Kötü hizmet düzeyleri ve kullanılabilirlik.

- Operayonel değişikliklerin bilinmeyen sayısı.

- Kontrol edilmeyen değişiklik sayısı. - Düşük değişiklik başarı oranları (%70’in altında). - Bol miktarda plan-dışı iş.

“Sabit getirili alım satım sistemleriyle ilgili kesintiler yaşanması durumunda, ilk haber verilmesi gereken yardım masasıydı. Buradan da bir müdahale ekibi kurup ne olduğunu öğrenmek için gereken araştırmayı yapacak olan BT yönetimi grubuna havale edilmesi gerekiyordu.”

- Değişiklikler başarısızlığa uğradığında, bu başarısızlığın nedenlerini araştırma ve sorun yönetimi iş yükünün %25’ini oluşturur.

-Yanlış teşhis, ilk-seferde onarabilme oranını düşürür (%50’nin altında).

“Ortalık vahşi batıyı andırıyordu. Bırakın onay almayı kimse yaptığı değişiklikleri kayıt altına almıyordu. Sadece istatistiklere bakarak bile bunu anlayabilirdiniz!”

- Değişiklik yönetimi süreçlerinde tespit edici kontrollerin olmayışı kötü performansa neden olur.

- Değişiklik kontrollerinin olmayışı, denetçilerin kontrollerin etkin olduğunu kanıtlamaları için önleyici ve tespit edici kontrollerden elde edilen kanıtları kullanmalarını engeller.

GTAG — Ek A

41

Tablo 4: Etkin ve Etkili Dönüşümün Faydaları (Fiilen Bildirilen Sonuçlara dayanır.)

Çözümlerimiz Faydalar

“Değişikliklerin öngörülemeyen sonuçlarının plan-dışı işlere en fazla neden olan etken olduğunu fark ettik. Üretim değişikliklerini ve süreci güçlendirmek için gereken onayı resmiyete bağladık. Ayrıca değişiklik yönetimi sürecinin takip edildiğinden emin olabilmek için süreci izliyoruz.”

- Önerilen değişiklikler konusunda yönetimde şeffaflığın artması.

- Operasyonel değişiklikler sadece değişiklik yönetimi sürecinin yetki verdiği değişikliklerdir.

- Artan değişiklik kontrolü, şeffaflık ve test sayesinde, %95’i aşan değişiklik başarı oranları sağlayabilir.

“Değişiklik yönetiminin takip edilmesini sağlamak amacıyla herkesin sorumlu tutulabileceği gerçek bir sorumluluk sistemi yarattık. İşletim sistemleri başkan yardımcımız, Kenny’nin başkanlık ettiği günlük kullanılabilirlik yönetimi toplantılarımızı (‘DAMM toplantıları’) yapmayı kararlaştırdık.Kenny değişiklik uygulayıcılarıyla tüm başarısız değişiklikleri gözden geçirir ve değişiklik yönetimi sürecinde bulunan herkese özel birseansı vardır. Yetkisiz değişiklikler ve kayıt-dışı değişiklikler daha az oluyor diyelim!”

(Bu iş için atalet maliyeti dakikada 7.000 ABDdolarıdır.)

- Yetkisiz değişikliklerin sayısı, “günde birkaç taneden” “yılda birkaç taneye” düştü.Her kesinti, hizmetin yeniden sağlanması için 2 saat (temkinli bir tahmin) gerektirdiğinden, yıllık bazda, 5.000 iş saatinden kaçınılmış olur.

- Değişimliklerin ilk sorun giderme döngüsünde bertaraf edilmeleri sağlanarak ve geri döndürme süresinin “saatlerden” “dakikalara” düşmesi sağlanarak tüm değişiklikler tamamen belgelenmiştir. Q3’teki 11 kesinti için, sistemin atıl kalma süresinden bize 13 saat kazandırmıştır.

GTAG — Ek A

42

“Değişikliklerin beklenmeyen sonuçlarının plan-dışı işlere en fazla neden olan etken olduğunun farkına vardık. Standartlarımızı daha iyi uygulamak ve tespit edici kontroller için harcadığımız zamanı ortadan kaldırabilmek istedik.

“Ayrıca, denetimlere hazırlanmak her proje için yılda dört iş haftasından her denetim için yarım günden az bir zaman harcamaya geçtik!”

“Son olarak, Sarbanes-Oxley Kanunu, Madde404; Gramm-Leach Bliley Kanunu ve Sağlık Sigortası Taşınabilirlik ve Sorumluluk Kanunu için birer ekip olmak üzere üç farklı uyum ekibimiz vardı. Tüm kanunların değişiklik kontrolü konusunda etkin ve etkili bir raporlamagerektirdiğini fark ettiğimizde, üç ekip yerine her üç kanun için uyumu sağlama amacını taşıyan tek bir ekip oluşturduk.

- Düzenlemelere (mevzuata) uyum ise birson dakika hazırlığı olmaktan ziyade artık günlük bir iş gibi ele alınmaya başlandı.

- Etkin değişiklik kontrollerinin kanıtları düzenli olarak üretildiği için, dış denetçiler yönetim hakkında eleştiri raporları yazmıyorlardı. (Geçen yıla kıyasla, plan-dışı işler için 130 iş saati harcamaktan ve denetim ücreti ödemekten kurtuldular.)

- Ortak düzenleme gerekliklerine dayalı değişiklikleri haritalamak farklı ekipler tarafından tekrar yapılan iş miktarını azaltır. On iki BT personeli BT operasyonları için yeniden görevlendirildi.

“Hepimizin evde çağrı cihazları takmak zorunda olmamamızın yanında sürekli çıkan yangınları söndürmekle uğraşmak yerine planlı projelere ayıracak çok daha fazla zamanımızın olduğunu görüyoruz.”

- Plan-dışı işler yüzde 40’tan fazlayken yüzde 15’e düşmüştür.

- Projeleri vaktinde teslim etme oranı yüzde 0’dan yüzde 60’a çıkmıştır.

- Bilgi Teknolojileri Yöneticisi, BT yönetimgrubunu gelecek yıla yönelik kilit stratejik projelerle görevlendirdi.

GTAG — Ek B

43

Ek B: Örnek Denetim Programı

Kontrol Amacı Risk Yapılan Kontrol

Çalışma Basamakları

Değişiklik Yönetimi Süreci

Sürecin amaçlarını, gerekliliklerini ve görevve sorumluluklarını bildirmek.

Hatalar, sürecinanlaşılamamasından kaynaklanıyor.

Değişiklik yönetimi süreci tanımlanır ve çalışanlar ve hizmet sağlayıcılar dâhil sürece dâhil olanherkese anlatılır.

Sürecin belgelenipbelgelenmediğini ve kayıtların nerede tutulduğunu belirleyin.

Sürece yönelikdeğişikliklerin nasıl bildirileceğini belirleyin.

Sürece dâhil olanlardanbazılarıyla yaptığınız görüşmelerden, bu kişilerin sürecin amaçlarını, basamaklarını ve süreçteki rollerininönemini anlayıp anlamadıklarını değerlendirin. Bu kişilerin, aynı zamanda, zaten ilgili belge vearaçlara erişiminin olduğunu teyit edin.

Görev Ayrılığı

GTAG — Ek B

44

Sorumlulukları, kasıtlı olmayan veya kasıtlı hatalar tespit edilecek şekilde dağıtmak.

Beklenmeyenveya olumsuzsonuçlar.

Hiç olmazsadeğişiklikleri onaylama ve uygulamasorumluluklarını farklı insanlar yerine getirirler.Değişikliklerin planlanmasını ve test edilmesini de idealolarak, farklı insanlar yaparlar.

Uygun bir yönetimkademesinindeğişiklikleri gözden geçirdiğini ve onayladığını teyit edin.

Değişiklikleri onaylayanların üretim ortamında bu değişiklikleri uygulamayaerişimlerinin olmadığını teyit edin.

Amaçlandıkları gibi kullanılmalarını ve verilerin bütünlüğüne, kullanılabilirliklerine veya gizliliklerinezarar vermemelerinisağlayabilmek için, değişikliklerin nasıl test edileceklerinibelirleyin.

GTAG — Ek B

45

Değişiklik Yönetimi İşlemleri

Bir değişikliğin işletme ihtiyaçlarını karşıladığından emin olmak.


Tüm değişiklikleri işlemek için standart ve merkezileştirilmiş bir süreç bulunur.

Değişikliklerden bir örnek alın ve gereken kontrollerin sürecinbaşlamasından her bir değişikliğin uygulanmasına kadar uygulandıklarını teyit edin.

Bir değişikliğin, sistem ve verilerinkullanılabilirliğini, bütünlüğünü ve gizliliğini olumsuz etkilemeyeceğini garanti altına almak.

Tüm değişiklikler uygun yönetimkademesindeonaylanır.

Tüm değişiklikler sınıflandırılır ve etkileri bakımından değerlendirilir.

Tüm değişiklikler, üretim aşamasına uygulanmadan önceBT ve işletmenin saha personelitarafından başarılı bir şekilde test edilir.

Tüm değişiklikler uygulanmadan önceprogramlanır ve bu değişikliklerden etkilenecek olanlarabildirilir.

Üretime uygulanacaktüm değişikliklere ait ilgili bir geri çekmeplanı vardır.

Acil Durum Değişiklikleri

İşletme ihtiyaçlarının karşılandığını garanti altına almak.

Acil durumdeğişiklik ihtiyaçlarına etkin ve etkili bir şekilde cevap verememe.

Gerçek acil durumdeğişikliklerini tespit etmek,değerlendirmek ve onaylamak içinişlemler bulunur.

Örnek olarak bazı acil durum değişikliklerini seçin ve budeğişikliklerin gerçek acil durumdeğişiklikleri tanımına uygun olduklarını ve her biri için sürecin

GTAG — Ek B

46

Değişikliklerin sistem ve verilerinkullanılabilirliklerini, bütünlüklerini vegizlilikleriniolumsuz yöndeetkilememesinisağlamak.


Acil durumdeğişikliklerinin uygun biçimde takipedildiklerinidoğrulamak ve yapılan değişikliğin etkisini belirlemek için biruygulama sonrası

başından uygulama aşamasına kadar uygun kontrolleringerçekleştirildiğini teyit edin.

İzleme ve Raporlama

Sürecin planlandığı gibi gitmesini vesürece dâhil olanlartarafından anlaşılmasını sağlamak.

Bilinmeyen sorunlar.

Ölçütler toplanır, incelenir veyönetime ve sürecedâhil olanlarabildirilir.

Hangi ölçümsonuçlarının bulunduğunu nasıl ve bunların kimler tarafından hesaplandıklarını belirleyin. Busonuçların kimlere bildirildiklerini tespitedin.

Ölçütlerin uygun,tam ve doğru olup olmadıklarını belirleyin.

Değişiklik yönetimi süreci için sonuçları alınan yaygın ölçütler arasında,

Belirli bir zamandiliminde yapılan değişikliklerin toplam sayısı.

Başarılı değişiklikler.

UMUÇ Hakkında

Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ), otoriter ve yetkeli bir rehberliği düzenleyen, İç Denetim Enstitüsü’nün yayımladığı kavramsal bir çerçevedir. UMUÇ rehberliği:

Zorunlu Rehberlik

Zorunlu rehberlikte ortaya konan ilkelere uyum, iç denetim mesleki uygulaması bakımından gerekli ve vazgeçilmezdir. Zorunlu rehberlik, paydaş girdilerinin kamuya açıklanması sürecini içeren yerleşik bir durum tespiti sürecinin ardından geliştirilir. UMUÇ’un üç olmazsa olmaz bileşeni: İç Denetimin Tanımı, Mesleki Ahlak Kuralları ve İç Denetim Uluslararası Mesleki Uygulama Standartları (Standartlar).

Bileşen Tanım

Tanım İç Denetimin Tanımı iç denetimin temel amacını, yapısını ve kapsamını açıklar.

Mesleki Ahlak Kuralları Mesleki Ahlak Kuralları, iç denetim uygulamasında birey ve kurumların davranışlarını yönlendiren ilke ve beklentileri ortaya koyar. Spesifik faaliyetlerden ziyade, asgari uygulama gerekliliklerini ve davranışlara yönelik beklentileri tanımlar.

Uluslararası Standartlar

Standartlar, ilke-odaklıdır ve iç denetimi uygulamaya ve teşvik etmeye yönelik bir çerçeve sunar. Standartlar, aşağıda verilen ilkelerden oluşan zorunlu gerekliliklerdir:

İç denetim mesleki uygulamaları ve uygulama performansı etkinliğini değerlendirmek için temel gerekliliklere yönelik beyanlar. Gereklilikler, kurumsal ve bireysel düzeylerde uluslararası bir geçerliliğe sahiptir.

Beyanlarda geçen terim ve kavramları açıklığa kavuşturan yorumlar.

Standartları doğru bir şekilde anlayıp uygulayabilmek için hem beyanları hem de bu beyanlara ilişkin yorumları dikkate almak gerekir. Standartlarda, Sözlükteyer verilen özel anlamlar taşıyan terimler kullanılmıştır.

Şiddetle Tavsiye Edilen Rehber

Şiddetle tavsiye edilen rehber, resmi bir onay süreciyle IIA tarafından onaylanır. IIA’in İç Denetim Tanımının, Mesleki Ahlak Kurallarının ve Standartların etkin ve etkili bir biçimde uygulanmasına yönelik uygulamalarını tanımlar. UMUÇ’un şiddetle tavsiye edilen üç bileşeni Görüş açıklamaları, Uygulama Tavsiyeleri ve Uygulama Rehberleridir.

Bileşen Tanım

Görüş Açıklamaları Mütalaa belgeleri, iç denetim işinde olmayanlar dâhil çok sayıda ilgili tarafın iç denetime yönelik önemli yönetişim, risk veya kontrol sorunlarını anlamasına ve iç denetimin görev ve sorumluluklarını açıklamasına yardımcı olur.

Uygulama Önerileri Uygulama Önerileri İç Denetimin Tanımı, Mesleki Ahlak Kurallarını ve Standartları uygulama ve iyi uygulamaları teşvik etme konusunda iç denetçilere yardımcı olur. Uygulama Önerileri detaylı süreç ve işlemlerden ziyade iç denetim yaklaşımını, metodolojilerini ve iç denetim fikrini ele alır. Uluslararası, ülkelerle ilgili veya endüstriye özel konular; özel görev türleri ve kanun veya düzenlemelereilişkin konulara yönelik uygulamalar içerir.

Bu GTAG UMUÇ’a uygun bir Uygulama Rehberidir.

Diğer otoriter ve yetkeli rehberlik malzemeleri için, lütfen www.theiia.org/guidance/. Bağlantısını ziyaret ediniz.

Uygulama Rehberleri Uygulama rehberleri iç denetim faaliyetlerini yerine getirmeye yönelik ayrıntılı bir rehberlik sağlar. Araçlar, teknikler, programlar, adım-adım yaklaşımlar ve süreç çıktılarına yönelik örnekler gibi ayrıntılı süreç ve işlemler içerir.

İç Denetim Enstitüsü Hakkında

1941 yılında kurulan İç Denetim Enstitüsü (IIA) tescilli merkezi Altamonte Springs, Fla., USA adresinde bulunan bir uluslararası meslek birliğidir. IIA; iç denetim mesleğinin dünya çapında sesi, tanınmış otoritesi, onaylanmış lideri, en önemli savunucusu ve baş öğreticisidir.

Uygulama Rehberleri Hakkında

Uygulama Rehberleri iç denetim faaliyetlerinin uygulanmasıyla ilgili ayrıntılı bir rehberlik sağlar. Araçlar ve teknikler, programlar ve adım-adım yaklaşımlar ve süreç çıktılarına dair örnekler içerir. Uygulama rehberleri, IIA’in yayımladığı UMUÇ’un bir parçasıdır. Rehberliğin Şiddetle Tavsiye Edilen kategorisinde yer aldığı için uygulanması zorunlu değildir, ama şiddetle tavsiye edilir ve bu rehberlik IIA tarafından resmi gözden geçirme süreci ve onaylama sürecinden geçerek onaylanır.

Bir Global Teknolojiler Denetim Rehberi (GTAG), bilgi teknolojileri yönetimi, kontrolü veya güvenliğiyle ilgili güncel bir konuya cevap olmak üzere basit bir ticari dille yazılmış bir Uygulama Rehberi türüdür.

IIA’in sağladığı diğer otoriter ve yetkeli materyallere www.globaliia.org/standards-guidance bağlantısından ulaşabilirsiniz.

Yasal Uyarı

IIA, bu dokümanı bilgi ve eğitim amacıyla yayımlamaktadır. Bu rehberlik materyali spesifik münferit durumlar için kati cevaplar verme amacını taşımaz; sadece bir rehber olarak kullanılmak üzere hazırlanmıştır. IIA, her türlü spesifik münferit durumda her zaman bağımsız bir uzmanın tavsiyesinin almayı önerir. IIA, tüm konularda bu rehberi tek kaynak olarak görüp kullananların karşılaşabilecekleri sorunlar için hiçbir şekilde sorumluluk kabul etmemektedir.

Telif Hakkı

Copyright® 2012 İç Denetim Enstitüsü. Çoğaltma izni için, [email protected] adresinden IIA ile iletişime geçiniz

gtag 2-değişiklik ve yama yönetimi kontrolleri · 2013-07-11 · gtag —yönetici Özeti 4...

Documents