COBIT, önceleri denetim, kontrol ve yönetim çerçevesi iken daha sonraları risk ve katma değer ile ilgili standartları da bünyesine alarak zamanla bir BT yönetişim çerçevesi haline gelmiştir. Her versiyonunda kendisini yenileyen COBIT, en sonunda sadece BT değil kurumdaki diğer iş süreçlerini de kapsayarak kapsamlı bir model olarak bütünlükçü, kapsayıcı ve uyarlayıcı bir BT yönetişim çerçevesi haline gelmiştir.
COBIT, ilk başta finansal ve BT denetim ve kontrol alanlarında kendisini göstermişti. İlk baştaki COBIT, “Control Objectives of IT” olarak bilinmekteydi. Daha sonra COBIT, göstergeler, süreç araçları, kritik başarı faktörleri, olgunluk modelleri ve BT yönetimi ile ilgili görev ve sorumluluklarının yerine getirilebilmesi için geliştirilen araçlarla birlikte aşamalı bir şekilde bir yönetişim ve yönetim çerçevesi haline gelmiştir.
COBIT yaklaşımı 5 temel ilke getirmektedir. Bu ilkeler COBIT çerçevesinin esas sütunlarını teşkil etmektedirler. Bu ilkelere göre bir kurumda;
- iç ve dış paydaşların ihtiyaçlarına odaklanan bir yaklaşımın ortaya konulması,
- kurumun tüm yapılarını kapsayan tüm kaynaklarını kullanan, iş ve bilişim süreçlerine bütüncül bir yaklaşımla bakan tek bir model oluşturulması,
- karar alma mekanizması olan yönetişim ile uygulama mekanizması olan yönetimin süreçler bazında ayrıştırılması gerekmektedir.
Bu yapıda 5 adet ana yönetişim süreci ve 32 adet yönetim süreci tesis edilmekte ve bu tüm süreçler birbirilerine girdi alıp vermektedir. En önemlisi de kurumun amaçları, paydaşların ihtiyaçları ve BT ile ilgili hedeflerin yönetim ve yönetişim süreçlerinde ölçülebilir göstergelerle takip edilmesine ve süreçlerin olgunlaştırılmasına olanak sağlayan teknik bir analiz ve uygulamanın kurgulanmasıdır.
Görüldüğü gibi COBIT beş temel ilke üzerinde kurulmuş olup, kurumlarda bu beş temel ilkenin birbirleriyle etkileşimlerinin dikkate alınarak bütüncül bir bakış acısının belirlenmesi gerektiğini belirtmektedir. Buna göre, verilen gerçekleştiriciler kurumsal yönetişim ve yönetim açısından birbirini bütünleyen, diğer çerçeve ve standartların eksikliklerini tamamlayan, kurumun varlığını sürdürmesi için gerekli olan alt sistemlerden oluşan canlı bir sistemin birliğini tanımlamaktadır.
COBIT ile gelinen noktada yönetişimin paydaş ihtiyaçlarını belirleme, kurumsal amaçlara dönüştürme ve bununla ilgili BT hedeflerini oluşturma alanında yönlendirme, değerlendirme ve izleme olarak 3 ana süreçte belirlenmiş olup, bunların diğer yönetim süreçlerinden ayrıştırılması esası benimsenmiştir. Buna göre, kurumsal yönetişim karar alma mekanizması ile kendi içerisinde bulunduğu özgün çevre ve ekosistemin içsellik ve dışsallıklarına göre değişebilen paydaş ihtiyaçlarına göre hedeflerin tekrar gözden geçirilerek mevcut kaynakların optimal kullanımı, risklerin en iyi yönetimi yoluyla katma değer oluşturacak şekilde kurumsal hedeflere
Buradaki risk optimizasyonu, kurumsal amaçları olumsuz etkileyen etkenleri mevcut kaynaklar ile elde edilecek faydanın dikkate alınmasıyla uygulanacak tedbir ve önlemlerin iyileştirilmesidir. Bunun sağlanması için de roller, faaliyetler ve ilişkilerin yönetişim kapsam ve gerçekleştiricileri dikkate alınarak belirlenmesi gerekir. Şekil de görüleceği üzere, COBIT yönetişim hedefi, katma değer oluşturmaktır. Bu katma değer de ancak paydaş ihtiyaçlarının yerine getirilmesi amacıyla kaynakların ve risklerin optimize edilmesiyle elde edilebilir.
Bilişim Teknolojileri Yönetişimi (IT Governance) ifadesi, BT Yönetişim Enstitüsü tarafından tanımlanmış ve pek çok kavramı bünyesine aldığı görülmektedir.
BT yönetişimi, COBIT modeli üzerine bina edilmiş yeni bir model olup, kurumsal tüm süreçlerin elektronik ortamlarda ve elektronik tekniklerle bir biriyle uyum içerisinde olan yönetişimin kavramsal ifadesidir. Buna göre; risk yönetimi, stratejik yönetim, performans yönetimi, kaynak yönetimi ve hizmetlerin sunumu bir birinden ayrılmaz ve birbirine bağımlı tamamlayıcı süreçler olup hepsinin uyumlu yönetimine “IT Governance” denilmektedir.
Kurumsal risk yönetimi ve katma değer elde etmede BT’nin merkezi rolünü dikkate aldığımızda son yirmi yıl içerisinde BT yönetişimi konusuna özel bir önem verilmektedir. BT yönetişimi kuşkusuz kurumsal yönetişimin tamamlayıcı bir parçasını teşkil etmektedir. Kurumsal BT yönetişimi, bir kurumdaki süreçlerin, yapıların ve ilişkisel mekanizmaların tanımlanmasını ve uygulanmasını ifade eder ki yönetim kurulları ile üst yönetimlerin BT yönetimi ile birlikte risk ve değer üretimi yönetimini destekleyecek şekilde sorumluluklarını yerine getirmeye olanak tanınsın.
BT yönetişimi konsepti, yirmi yıldan beri bilinmektedir. 1990’lı yılların başlarında BT yönetişiminin kilit taşları akademik alanda serpilmeye başlanmıştı. Bir boyutunda BT fonksiyonlarının farklı ve birbirine alternatif organizasyonları ile bunların iş sonuçları üzerindeki etkileri incelenmişti. Başka bir boyutunda
BT fonksiyonunun organizasyonu ve bunun verdiği hizmetlerin, paydaş/yararlanıcı konumundaki iş birimleri arasındaki eşgüdümün yapısı ve sonuçları çalışıldı. Üçüncü bir boyutunda ise daha çok kurumsal stratejiler, BT yatırımları ve kurumsal performans arasındaki bağlantılar açıklanmaya çalışılmıştır.
İç Denetim Enstitüsü (IIA) tarafından üretilen bir kavram olarak da bilgi güvenliği yönetişiminden söz edilebilmektedir. Daha çok BT yönetişiminin bir alt dalı olarak ifade edilebilen bilgi güvenliği yönetişimi kavramı ise oldukça yenidir. Bilgi Güvenliği Yönetişimi, liderlik, kurumsal yapılar ve kurum bilgi teknolojilerinin sürdürülmesini ve kurum stratejilerini ve hedeflerini desteklemesini güvenceye alan BT projeleri, operasyonları ve yönetişimiyle ilgili süreçlerden oluşur
COBIT yaklaşımının diğer karakteristik özelliklerinden birisi de yönetim ve yönetişim arasında kesin bir çizgi koyarak ayırmasıdır. Bunun gerekçesi de yönetim ve yönetişim süreçlerinin, amaçlarının ve organizasyonel yapılanmalarının farklı olmasıdır. Buna göre yönetişim; paydaşların ihtiyaçlarının şartlarının ve seçeneklerinin dengeli ve uzlaşılmış kurumsal amaçların belirlenmesi için değerlendirilmesini, karar almada ve önceliklendirmede sevk ve idareyi belirlemeyi ve kurumsal amaçlar ve yönlendirmeye göre performans ve uygunluğu gözetlemeyi güvenceye alır. Özel yönetişim sorumlulukları kurumsal yapılanma, karmaşıklık ve imkânların elverdiği ölçüde bazı özel birimlere devredilebilir. Yönetim ise yönetişim organı tarafından yapılmış olan sevk ve yönlendirmeye göre planlama, inşa etme, yürütme ve gözetim işlevlerini yerine getirir.
COBIT süreç referans modeli, kurumların BT yönetişim ve yönetim süreçlerini, süreç etki alanları halinde bölümlere ayrılmış halde yönetişim ve yönetim olmak üzere iki ana faaliyet alanına ayırır. Yönetişim karar mekanizmalarını ilgilendirirken yönetim kararların uygulama mekanizmasını ifade etmektedir. Bu yaklaşıma göre her ikisi birbirinden girdi almalarına rağmen ayrışık olmaları gerekir. Çünkü karar mekanizması ile uygulama mekanizması kurumsal olarak aynı amaçlara hizmet ederlerken farklı niteliklere ve süreçlere sahip olmalıdırlar. Yönetişim- Bu etki alanı beş yönetişim süreci içerir; her süreç dâhilinde EDM uygulamaları tanımlanır. Yönlendir, değerlendir ve izle olarak belirlenen süreçler EDM olarak bilinmekte olup her biri üçer alt süreci olan dört ana süreçten oluşan bir çerçevedir. Süreçlerin nasıl uygulanacağı ve ölçüleceğine dair inceleme ileriki kısımlarda yapılacak olup bu kısımda kavramsal olarak Şekil deki gibi gösterimi mümkündür.