Bilgi Sistemleri Yönetimi ve Denetimi
Dış Kaynak (Outsourcing) Yönetimi
Dış kaynak yönetimi; outsourcing kavramı, dış kaynak kullanım riskleri, sözleşme yönetimi ve denetim boyutu çerçevesinde kitapta yer alan yaklaşıma sadık kalınarak sınav odaklı biçimde ele alınmaktadır.
Konu İçeriği
Dış Kaynak (Outsourcing) Yönetimi
Bilgi sistemleri faaliyetleri, günümüzde çoğu işletmede tamamen kurum içinde yürütülen kapalı bir yapı olmaktan çıkmıştır. Yüksek yatırım ihtiyacı, uzman insan kaynağı gereksinimi, teknolojiye erişim ihtiyacı ve maliyet baskıları nedeniyle dış kaynak kullanımı bilgi sistemleri alanında yaygınlaşmıştır. Bu nedenle outsourcing, yalnızca satın alma kararı değil; stratejik, operasyonel, hukuki ve denetim boyutu olan bir yönetim konusudur.
1) Outsourcing Kavramı
Kitaba göre dış kaynak kullanımı, en basit anlatımla, bir işletmenin ürün veya hizmetlerinin bir kısmını kendi bünyesinde gerçekleştirmek yerine başka bir işletmeyle anlaşarak ona yaptırmasıdır. Bir başka tanıma göre ise işletmenin normalde kendi geliştirdiği ürünü veya hizmeti dışarıdan üçüncü bir tarafa yaptırmasıdır.
Bu model yalnızca bilgi sistemlerine özgü değildir; ancak bu bölümde bilgi sistemleri bazında ele alınır. Bilgi sistemleri alanında dış kaynak kullanımı; uzmanlık alanı dışındaki bazı fonksiyonların uzman taraflara bırakılması, böylece işletmenin kendi asıl işine odaklanabilmesi anlamına gelir. Temel güdü çoğu zaman maliyet avantajı olmakla birlikte, tek neden bu değildir.
Outsourcing = işletmenin normalde kendi yapabileceği ürün veya hizmetin bir kısmını dışarıdan temin etmesi
2) Dış Kaynak Kullanımının Nedenleri
Kitapta dış kaynak kullanımının teknolojik, ekonomik ve stratejik faydaları olduğu belirtilmektedir. Bunlar maliyet etkinliği, etkin performans ve genel memnuniyet başlıklarında toplanabilir. Daha somut ifadeyle; teknolojik gelişmeleri takip edebilme, ileri teknolojiye erişebilme, maliyetleri azaltma, bilgi sistemleri yatırımlarını azaltma, hizmet sağlayıcıların ölçek ekonomisinden yararlanma, verimlilik artışı, asıl faaliyet konusuna odaklanma, farklı hizmet sağlayıcılar arasında seçim yapabilme, kapasiteyi ihtiyaca göre edinme ve bazı bilgi sistemleri risklerini paylaşabilme dış kaynak kullanımının tercih nedenleri arasındadır.
Bu yüzden dış kaynak kullanımı sadece “işi başkasına yaptırma” mantığıyla değil, iş hedeflerine, kaynak yapısına ve risk iştahına göre verilen stratejik karar olarak görülmelidir.
Dış kaynak kullanımının nedenleri arasında maliyet, teknolojiye erişim, verimlilik ve risk paylaşımı vardır.
3) Satın Alma ile Dış Kaynak Kullanımı Arasındaki Sınır
Kitapta önemli bir nüans da belirtilmektedir. Bazı işler, örneğin internet bağlantısı hizmeti, ilk bakışta sadece “satın alma” olarak görülebilir. Ancak servis sağlayıcı seçimi, yazılı sözleşme, hizmet seviyesi, sözleşme yönetimi ve hizmetin belirli süreye yayılması söz konusu olduğunda, bu tür alımlar da dış kaynak kullanımı kapsamında değerlendirilebilir.
Dolayısıyla sınav açısından kritik nokta şudur: dış kaynak kullanımı yalnızca büyük proje devri değildir. Sürekli hizmet alınan ve yönetim gerektiren birçok bilgi sistemleri ilişkisi de outsourcing mantığına girer.
Süreye yayılan, servis sağlayıcı seçimi ve sözleşme yönetimi gerektiren bazı satın almalar da dış kaynak kullanımı sayılabilir.
4) Dış Kaynak Kullanımında Riskler
Dış kaynak kullanımı çeşitli faydalar sağlasa da önemli riskler barındırır. Kitabın IOSCO ilkeleri üzerinden verdiği çerçevede; yanlış servis sağlayıcı seçimi, yazılı süreç eksikliği, zayıf sözleşme yönetimi, bilgi güvenliği ve iş sürekliliği kontrollerinin yetersizliği, işletme bilgilerinin korunamaması, üçüncü taraflarla uygunsuz paylaşım ve dış kaynak kullanımından doğan riskler için uygun yöntemle risk yönetimi yapılmaması temel risk alanlarıdır.
Bu nedenle outsourcing, sadece maliyet avantajı üzerinden değerlendirilemez. İşletme, maruz kalacağı riskleri de dikkate almak zorundadır.
Dış kaynak kullanımı riski ortadan kaldırmaz.
Bazı riskleri paylaşabilir; ama yeni kontrol ve gözetim ihtiyacı da doğurur.
5) Sözleşme Yönetimi
Kitapta sözleşme yönetimi temel olarak şu süreçlerden oluşur: sözleşmenin yazılması, sözleşmenin onaylanması, sözleşmenin işletime alınması, izleme, çatışmaların çözümü, sözleşmeye ek yapılmasını gerektiren durumların yönetimi ve yenileme/sonlandırma.
Bu yapı bize şunu gösterir: sözleşme yönetimi imza anıyla biten değil, yaşam döngüsü boyunca süren süreçtir. Hizmetin başlaması, planlanan raporlamalar, toplantılar, tarafların yükümlülüklerini yerine getirmesi, uyumun izlenmesi ve sonunda sözleşmenin yenilenip yenilenmeyeceğine karar verilmesi bu kapsamın içindedir.
Sözleşme yönetimi sadece sözleşme yazımı değil; işletime alma, izleme, çatışma çözümü ve yenileme/sonlandırmayı da kapsar.
6) Yazılı Anlaşma ve İçerik Önemi
Kitapta yazılı anlaşma imzalanmasının temel ilke olduğu açıkça belirtilmektedir. Ayrıca hukuk biriminin yönlendirmesine ihtiyaç duyulabileceği ve sermaye piyasası mevzuatında dış kaynak yoluyla hizmet alınırken düzenlenecek sözleşmelere ilişkin bazı gereksinimlerin bulunduğu ifade edilmektedir.
Bu nedenle sözleşme sadece ticari mutabakat metni değildir. Hizmet kapsamı, sorumluluklar, bilgi güvenliği yükümlülükleri, iş sürekliliği, hizmet seviyesi, raporlama yükümlülükleri, gizlilik ve fesih şartları gibi kritik alanların net biçimde tanımlanması gerekir.
7) Bilgi Güvenliği ve İş Sürekliliği Boyutu
IOSCO ilkeleri çerçevesinde kitapta hem servis sağlayıcının hem de işletmenin kendi bünyesinde, sözleşme konusu ürün veya hizmetlere yönelik bilgi güvenliği ve iş sürekliliğini sağlayacak kontrolleri hayata geçirmiş olması gerektiği belirtilmektedir. Ayrıca işletmenin, servis sağlayıcının işletme bilgilerini koruduğu ve üçüncü taraflarla paylaşmadığı konusunda gerekli kontrolleri kurması beklenir.
Bu nokta sınav açısından çok önemlidir: hizmet dışarıya verilmiş olsa da bilgi güvenliği sorumluluğu tamamen ortadan kalkmaz. İşletme, üçüncü taraf üzerinde de gözetim ve kontrol kurmalıdır.
Hizmet dışarıda yürütülse bile bilgi güvenliği ve iş sürekliliği sorumluluğu işletme açısından devam eder.
8) Denetim Boyutu ve Değerlendirme Mantığı
Kitapta dış kaynak kullanımının değerlendirilmesinde işe işletmedeki farkındalığın değerlendirilmesiyle başlanması gerektiği belirtilmektedir. Ardından ilgili tüm politika, prosedür ve kontrollerin varlığı, uygunluğu ve işlerliği değerlendirilir. Sürecin yönetilmesiyle görevlendirilmiş, bilgi sistemleri ve diğer taraflardan oluşan yapının var olması ön şarttır.
Yani denetim sadece aktif bir sözleşme olup olmadığına bakmaz. Sözleşme yaşam döngüsü boyunca sürecin gerçekten yönetilip yönetilmediğine, sorumluların belirli olup olmadığına, kontrollerin yazılı ve işler olup olmadığına bakar.
Denetimde sadece sözleşmenin varlığı yetmez.
Politika, prosedür, kontrol, farkındalık ve işler ekip yapısı da aranır.
9) Sözleşme Yaşam Döngüsü Boyunca Yönetim
Kitapta işletmede bilgi sistemlerine ait herhangi bir aktif sözleşmenin varlığı süresince, bunun yönetimiyle ilgili ve en az bir bilgi sistemleri çalışanını da içeren bir ekibin iş başında olması gerektiği belirtilmektedir. Bu ifade, outsourcing ilişkisinin “imzaladık ve bitti” mantığıyla yönetilemeyeceğini gösterir.
Hizmet süresince sözleşmeye uyum, hizmet seviyesi, raporlamalar, değişiklik ihtiyaçları, yenileme ve sonlandırma kararları bu ekip tarafından takip edilmelidir. Böylece sözleşme yönetimi ile denetim boyutu birleşir.
10) Dış Kaynak Yönetiminin Temel Mantığı
Dış kaynak yönetimi, fayda ve risk dengesini kurma sanatıdır. İşletme, maliyet etkinliği, kapasite esnekliği ve uzmanlık avantajı elde etmek ister; buna karşılık bilgi güvenliği, iş sürekliliği, bağımlılık, gizlilik, hizmet seviyesi ve gözetim risklerini yönetmek zorundadır.
Bu nedenle outsourcing kararı, sadece satın alma değil; yönetişim, risk yönetimi, sözleşme disiplini ve denetim bakış açısı gerektiren kurumsal karardır.
11) Bölümün Sınav Mantığı
Bu bölümde sınav açısından en kritik alanlar; outsourcing kavramının tanımı, nedenleri, yazılı sözleşme zorunluluğu, bilgi güvenliği ve iş sürekliliği kontrolleri, sözleşme yönetiminin aşamaları ve dış kaynak kullanımının değerlendirilmesinde farkındalık-politika-prosedür-kontrol-ekip yapısının aranmasıdır.
Sorular hem tanım hem ilke hem de “hangisi sözleşme yönetimi sürecine dahildir?” biçiminde gelebilir.
Final Özet (Sınavlık)
- Dış kaynak kullanımı, işletmenin ürün veya hizmetlerinin bir kısmını dışarıdan üçüncü tarafa yaptırmasıdır.
- Outsourcing nedenleri arasında maliyet etkinliği, teknolojiye erişim, verimlilik, kapasite esnekliği ve risk paylaşımı vardır.
- Bazı süreklilik taşıyan satın almalar da dış kaynak kullanımı kapsamında değerlendirilebilir.
- Dış kaynak kullanımında servis sağlayıcı seçimi dikkatle yapılmalı ve süreç yazılı olarak yönetilmelidir.
- Yazılı anlaşma temel ilkedir.
- Sözleşme yönetimi; yazım, onay, işletime alma, izleme, çatışma çözümü, ek süreçleri ve yenileme/sonlandırmayı kapsar.
- Bilgi güvenliği ve iş sürekliliği kontrolleri hem işletmede hem servis sağlayıcıda bulunmalıdır.
- İşletme, servis sağlayıcının bilgileri koruduğu ve uygunsuz paylaşmadığına ilişkin kontroller kurmalıdır.
- Dış kaynak kullanımının değerlendirilmesinde farkındalık, politika, prosedür, kontroller ve ekip yapısı incelenir.
- Aktif sözleşme süresince en az bir bilgi sistemleri çalışanını içeren ekip yönetim sorumluluğu taşımalıdır.
Öğrenim Hedefleri
- Outsourcing kavramını sınav düzeyinde tanımlayabilmek
- Dış kaynak kullanım nedenlerini açıklayabilmek
- Dış kaynak kullanımında ortaya çıkan temel riskleri kavrayabilmek
- Sözleşme yönetimi sürecinin aşamalarını sıralayabilmek
- Bilgi güvenliği ve iş sürekliliği açısından dış kaynak ilişkisinin nasıl ele alınması gerektiğini açıklayabilmek
- Yazılı anlaşmanın neden temel ilke olduğunu anlayabilmek
- Dış kaynak kullanımının denetim boyutunda hangi alanların incelendiğini ayırt edebilmek
- Sözleşme yaşam döngüsü boyunca yönetim gereğini kavrayabilmek
Önemli Notlar
EZBER: Dış kaynak kullanımı, işletmenin normalde kendi yaptığı ürün veya hizmetin bir kısmını üçüncü tarafa yaptırmasıdır.
EZBER: Yazılı anlaşma dış kaynak kullanımında temel ilkedir.
EZBER: Sözleşme yönetimi sadece sözleşme yazımı değil, izleme ve yenileme/sonlandırmayı da kapsar.
EZBER: Bilgi güvenliği ve iş sürekliliği kontrolleri hem işletmede hem hizmet sağlayıcıda bulunmalıdır.
EZBER: Dış kaynak kullanımının değerlendirilmesinde farkındalık, politika, prosedür ve kontrol yapısı aranır.
Bu Konudaki Tüm Sorular
Aşağıda, ilgili konuya ait veritabanında kayıtlı tüm aktif sorular listelenmektedir.