|
S.W.I.F.T., bankalararası güvenli finansal mesajlaşma hizmetleri ve arabirim yazılımı sağlamak için kurulmuş olan ve 2.465 bankanın sahibi olduğu Belçika kaynaklı bir kooperatiftir. S.W.I.F.T.'in küresel ağı, günde yaklaşık 2,5 milyon mesajı işler ve ortalama günlük işlem hacmi 2,3 trilyon ABD Doları değerindedir.
S.W.I.F.T. müşteri destek birimi yakın zamanda yeniden yapılandırıldı ve yeni araçlar ve süreçler uygulamaya koyuldu. Denetim planı, denetim araçlarına ve süreçlerine yer sağladı. COBIT daha önceden araçları değil, süreçleri denetlemek için kullanılıyordu.
 SÜREÇ
Yönetimin COBIT BT yönetişim ve kontrol modeline ilk tepkisi zamanlama nedeniyle olumsuzdu. Ancak denetlenenler genelde her zaman denetim zamanlamasının kötü olduğunu düşünürler. Denetim sırasında bu tutum tersine döndü ve yaklaşım kabul görmeye başladı. Bu değişim, taslak denetim raporunu aldıktan sonra üst yönetim tarafından da doğrulandı.
Özellikle gizlilik/bütünlük/kullanılabilirlik odaklı geleneksel yöntemin yerine süreç üzerinde odaklanma, yöneticileri oldukça etkiledi. COBIT yaklaşımının en belirgin çıktısı, denetçiler bilgilerini uygun sırada inşa ettikleri için süreci daha verimli hale getiren, görüşmelerin mantıksal düzeni ve sıralamasıdır.
COBIT yapısı daha önceden dokunulmamış alanlara el attığı için denetim kapsamının üst yönetim ve yatay yönetim tarafından onaylanması için uzun tartışmalar yapılması gerekti. Yöneticiler, denetim ekibinin bu yeni alanlarda nesnel bir denetim gerçekleştirme kapasitesini sorguladılar. Departman daha önce yalnızca BT güvenliği (geniş anlamıyla güvenlik) konularını incelemişti. COBIT yaklaşımı, süreç yönetimi ve süreç kontrolü konularına odaklandı.
COBIT kontrol hedeflerini kullanarak bir matris oluşturduk. Risk değerlendirmesi, denetim sırasında hangi hedeflerin doğrulanacağını belirlememize yardımcı oldu. Daha sonra denetim için ayrılan hedeflerin sağlamasını şunlarla yaptık: (a) önceki denetimlerin kapsamları, (b) sektör standartları ve (c) dış denetçiler tarafından sağlanan kontrol listeleri.
Bu matrise dayanarak denetim programını oluşturduk. COBIT yapısı, COBIT tarafından sağlanan birincil/ikincil puanlamaları kullanarak, denetim faaliyetlerini ve incelenecek alanları öncelik sırasına koymamıza olanak verdi.
SONUÇ
Bu kapsamlı denetimde COBIT yapısının uygulanması, denetçiler ve yönetim için büyük bir fark yarattı. Değişimin genellikle sıkıntıyı ve eleştirileri beraberinde getirmesine karşın, süreç üzerinde odaklanma yönetim tarafından çabucak takdir edildi ve denetçiler bunu tekrar kullanmayı planlıyorlar.
Özellikle artık Denetim Komitesinden BT denetim başvuru noktası olarak onay aldığı için COBIT, gelecekteki denetimlerde daha da çok kullanılacak. Bu çerçeve, kuşkusuz SAS70 türü incelemeler için iyi bir temel olarak kabul ediliyor. Buna paralel olarak, COBIT aynı zamanda işletmenin BT organizasyonunda kendine bir yer edindi. Yapıya tesadüfen rastlayan CIO, tüm Servis BT Müdürleri için çerçeveyi sipariş etti. CIO'nun BT organizasyonunu daha ölçülebilir kılma ve süreci kusursuzlaştırmaya yönelik fikir ve planlarını teşvik etmişti.
COBIT, aynı zamanda acil ve pratik durumlarda da işe yarıyor. Yeni bir sistem planlama grubunun misyonunu ve hedeflerini tanımlarken katkı arayan CIO, bana gelip şunu sordu: 'Bunu yapmama yardım etmesi için Ayrıntılı COBIT Hedeflerini bana verir misin'? Ona PO1 ile PO5 arasındaki bölümleri göstermem yeterli oldu. Benden daha önceden de bu misyon ve hedeflerle ilgili katkı istemişti; peki ben bunu neden düşünemedim?
|