CobiT Nedir?
CobiT (Control Objectives for Information and Related Technology) Bilgi Sistemleri Denetim ve
Kontrol Birliği (Information Systems Audit and Control Association – ISACA) tarafından bir denetim
aracı olarak tasarlanmıştır ama bilgi işlem ve iş yönetiminde de kullanılabilir. Yazılım Mühendisleri
Enstitüsü’nün Yetenek Olgunluk Modeli (Capability Maturity Model-CMM) ile ISO ve ITIL’i esas alır.
İşletmelerin iş hedefleri doğrultusunda servis sağlamak amacıyla bilgi işlem kaynaklarını kullanmasını
amaçlar ve verilen servislerin, istenilen kalite, güvenlik ve hukuksal ihtiyaçlara cevap vermesini temin
eder. CobiT süreç değil kontrol esaslıdır. Bu nedenle kurumların neler yapmaları gerektiği ile
ilgilenir ama bunları nasıl yapmaları gerektiği ile ilgilenmez.
Türkiye’de son yıllarda yayılmakta olan CobiT, iş ihtiyaçlarına göre Bilgi Sistemleri’nin ne kadar
hizmet verdiğinden emin olunmasını sağlayan öneriler bütününden oluşan bir çerçevedir.

CobiT, bu sorulara sistematik bir yaklaşım sergileyerek ve yönetsel ihtiyaç lara da yanıt verecek
şekilde oluşturulmuş bir ölçme yöntemidir. Dört alandan oluşmaktadır:
• Planlama ve Organizasyon (Plan & Organize)
• Tedarik ve Uygulama (Acquire & Implement)
• Hizmet ve Destek (Deliver & Support)
• İzle ve Değerlendir (Monitor & Evaluate)

1. Sürüm:
1996 yılında Information Systems Audit and Control Foundation (ISACF) tarafından yayınlandı.
2. Sürüm:
1998 yılında Üst Seviye ve Detay Kontrol Hedefleri revizyonu ile birlikte Implementation Tool Set
metodolojiye eklendi.
3. Sürüm:
1998 yılında ISACF tarafından IT Governance Enstitüsü kuruldu. 2000 yılında IT Governance
Enstitüsü’nün liderliğinde çeşitli danışmanlık firmalarının da katkıları ile Management Guidelines
CobiT’e eklendi ve 3 ncü sürüm yayınlandı.
CobiT Tarihçesi
4. Sürüm:
2005 yılında yayımlandı. 34 kontrolun içeriği zenginleşti, BT yönetişim ve süreçler arası matrix ler
tanımlandı, daha işe yarar ölçüm metodları kondu, yönetişim rehberleri eklendi, ISO, ITIL, PMBOK,
vb ile ilişkilendirmeleri, bağlantıları sağlandı.
4.1. (en yeni ve güncel) Sürüm:
2007 yılında, 4.0 a bazı eklemeler ve zenginleştirmeler yapılarak yayımlandı. 18 adet olan
uygulama kontrolleri daha etkin kılınmış şekilde 6 adet yapıldı. İş hedefleri ve BT hedeflerini daha
ortak hedefe yöneltecek gelişmiş ölçümler eklendi. Bazı kontrollerde değişiklikler yapıldı ve kontrol
hedefleri daha güncel ve daha yardımcı bir şekle sokuldu.

Bilgi Kriterleri (Information Criteria = Business Requirements):
Etkililik (Effectiveness) = Bilginin iş süreçleri ihtiyaçları ile ilgili ve bu ihtiyaçlara cevap verir nitelikte
olması.
Verimlilik (Efficiency) = Bilginin kaynakların en etkin kullanımı ile elde edilmesi.
Gizlilik (Confidentiality) = Hassas bilginin yetkisiz erişime karşı korunması.
Bütünlük (Integrity) = Bilginin kendi içinde ve çevresel veriler ile bütünlük göstermesi, yetkisiz
değişikliğinin engellenmesi.
Kullanılabilirlik (Availability) = Bilginin ihtiyaç duyulduğunda erişilebilir olması.
Uyumluluk (Compliance) = İş süreçlerinde kanun, düzenleme ve kontratlara uyumun sağlanması.
Güvenilirlilik (Reliability) = Yönetimin finansal ve diğer raporlamalar için güvenilir veriye
ulaşabilmesi.

CobiT’in 6 Bileşeni
• Executive Summary
Yönetim Özeti (temel ilkeler, kavramlar, vb)
• Framework
Metodolojinin Çerçevesi (4 Alan, 34 Süreç, 7 çeşit Bilgi Kriteri, 5 çeşit BT Kaynağı)
• Control Objectives
Kontrol Hedefleri (34 Üst Seviye Kontrol Hedefi (Süreç) altında 318 Detay Kontrol Hedefi)
• Audit Guidelines
Denetim Rehberi (34 Üst Seviye Kontrol Hedefi için)
• Management Guidelines
Performans Ölçüm Rehberi (KGI, KPI ve CSF’leri ve bunlar için gerekli yöntemler ve araçlar)
• Control Practices
Kontrol Deneyimleri (Best practices, FAQs, Örnek Uygulamalar,..)