BİLİŞİM TEKNOLOJİLERİ ve KALİTE YÖNETİMİ
Ahmet PEKEL
Ocak 2007, Ankara
Köken olarak Fransızca'dan gelen “kalite” sözcüğünü günlük yaşantımızda şu
veya bu sebeple sık sık kullanıyor ya da işitiyoruz. Kalite, sözlük tanımıyla bir şeyin
iyi veya kötü olma özelliğidir; nitelik anlamında kullanılmaktadır. Genel bir ifadeyle
kaliteyi, ihtiyaç ve beklentilerin karşılanması suretiyle kullanıcı veya müşteri
memnuniyetinin sağlanması olarak tanımlayabiliriz. Bunu sağlayabilecek temel
özelliklere; bir ürünün görüntüsü, uzun ömürlü olması, sağlamlığı, kolay edinilebilir
olması, teslimat şekli, kullanım ve bakım kolaylığı, fiyatı ve inandırıcılığı gibi hususlar
örnek olarak verilebilir.
Bu çerçevede, aşağıdaki soruların cevaplarını birlikte bulmaya çalışalım:
 Kalite hedeflerine uygun üretim yaparak müşteri memnuniyetini
sağlamanın ve bunda sürekliliği sağlamanın sırrı nedir?
 Kalite bir tesadüf müdür?
 Hangi yöntemler kullanılarak kaliteli bir ürün veya hizmet sunulabilir?
 Bilişim Teknolojileri, kalite kavramı ile nerede buluşuyor?
 Bilişim teknolojilerinde kalite nasıl yönetilir?
İlk kalite yönetim uygulaması nasıl başladı?
1940'lı yıllarda, Japon endüstrisinin tahrip olması, kalifiye iş gücü eksikliği
nedeniyle ucuz ve kalitesiz üretim yapan Japon'ları yeni bir arayışa itmiştir. Bu arayış
çerçevesinde, kalite guruları1 olarak kabul edilen Joseph M. Juran, W. Edwards
Deming ve Armand V. Feigenbaum'un fikirlerinden yararlanan Japonlar, 1950'lerin
başlarında fabrikalarında ilk “kalite yönetim” pratiklerini gerçekleştirmişlerdir. Kalite
kontrolü ve kalite yönetimi zamanla bir Japon Yönetim Felsefesi haline gelmiştir.
Bunun sonucunda, 1960'ların sonu ile 1970'lerin başlarında, daha ucuz ve kaliteli
ürünler sunmayı başaran Japonların, ABD ve Avrupa ülkelerine ihracatı hızla artmaya
başlamıştır.
1 Herhangi bir sanat dalında veya işte en üst derecede değerlendirilen usta, pir.

1960'da, “Kalite Kontrolü” konusundaki ilk uluslararası konferans, Japonların
ev sahipliğinde Tokyo'da yapılmış ve “Toplam Kalite” terimi Feigenbaum tarafından
ilk defa burada kullanılmıştır. Toplam kalite anlayışı Japon şirketlerinde, 1970'lerin
sonlarından başlayarak giderek daha fazla benimsenmeye başlanmıştır.
Uluslararası kalite standardı nasıl gelişti?
Japonların, uygulamaya başladıkları kalite yönetimi anlayışıyla ürettikleri
ürünler sayesinde dünya pazarında pay sahibi olmaya başlamaları batı dünyasını da
harekete geçirmiş; bu doğrultuda İngiltere'de, 1979'da, kalite sistemleri için BS
(British Standard) 5750 dokümanı yayınlanmıştır. Aynı kapsamda, 1983'de, Dünya
piyasalarındaki rekabet ortamında, endüstri dünyasının dikkatini kalitenin önemine
çekebilmek amacıyla Ulusal Kalite Kampanyası başlatılmıştır. O tarihten sonra
belgelendirmeye (sertifikasyona) yönelik olarak, 5750 dokümanı temel alınarak
geliştirilen ISO (International Organization for Standardization) 90002 tüm Dünyaca
kabul gören kalite sistemleri standardı haline gelmiştir.3 Anılan belge, ISO tarafından
2000 yılında tekrar gözden geçirilmiş ve ISO 9001:2000 adıyla yayınlanmıştır.
Six Sigma
1980'lerin ortalarında Motorola firması, zamanla kalite geliştirme
yöntemlerinden biri olarak kabul edilecek Six Sigma'yı kullanmaya başlamıştır. Anılan
belge, resmi olarak 1995 yılında yayınlanmıştır. Six Sigma DMAIC ve DMADV olarak
iki temel metodolojiden4 oluşmaktadır.
DMAIC olarak ifade edilen metodolojinin safhaları aşağıdaki gibidir:
1. Tanımla (Define),
2. Ölç (Measure),
3. Analiz Et ( Analyze),
4. Geliştir (Improve),
5. Kontrol Et (Control).
DMADV olarak ifade edilen metodoloji ise aşağıdaki adımlardan oluşmaktadır:
2 ISO 9000, herhangi bir üretim sonucu kaliteli ürün geliştirildiğini garanti etmek yerine, üretim sürecinin
olması gerektiği gibi takip edilip edilmediğini onaylamaktadır.
3 Bu standardın temeli, 1963 yılında ABD savunma teknolojisinde geliştirilen MIL/Q/9858 belgesine
dayanmaktadır.
4 Yöntem Bilimi.

1. Tanımla (Define),
2. Ölç (Measure),
3. Analiz Et (Analyze),
4. Tasarla (Design),
5. Doğrula (Verify).
Six Sigma'da, hatasız üretim, sayılarla ifade edilmektedir. Örneğin, %30,9
başarılı çıktı üretmek sayısal anlamda “1” ile ifade edilirken, %99.99 başarılı çıktı
üretmek “6” ile ifade edilmektedir. Six Sigma, organizasyonların üretim performansını,
prosedürel5 hataları tespit ederek ve düzelterek iyileştirmeyi amaçlamaktadır.
Yazılım geliştirme modeli: CMMI
The Standish Group (2003)'un bir araştırmasına göre yazılım geliştirme
projelerinde,
 %66 oranında başarısız olunmakta,
 Teslimatta %70 gecikme yaşanmakta,
 %54 oranla bütçe aşılmakta,
 Projelerin %30'u ise iptal edilmektedir.
Bilgisayar yazılımlarında, geliştirmenin, testin ve az hatayla uygulamaya
almanın önemli zaman ve maliyet gerektiren süreçler6 olması nedeniyle, zamanında
bitirilemeyen, çok hata içeren, yüksek maliyetli yazılım geliştirme projeleri, 1980'lerde
ABD Savunma Bakanlığı'nın yeni bir proje başlatmasına neden olmuştur. Söz konusu
proje, Bakanlığın talebiyle, Carnegie Mellon Üniversitesi'nde SEI - Software
Engineering Institute (Yazılım Mühendisliği Enstitüsü) tarafından gerçekleştirilmiştir.
Yazılım geliştirme süreçlerinin iyileştirme çalışmalarında kullanılmak üzere geliştirilen
CMM (Capability Maturity Model), Yazılım ve Sistem Mühendisliği konularının
bütünleştirilmesiyle 2001'de güncellenmiş ve CMMI (Capability Maturity Model
Integration – Bütünleşik Yetenek Olgunluk Modeli) adını almıştır. CMMI genel bir
ifadeyle, süreç iyileştirme için kullanılan modellerin, değerlendirme yöntemlerinin ve
eğitimlerin bütünü olarak tanımlanabilir. Başlangıçta Yazılım Geliştirme sahası için
5 Bir sürecin nasıl uygulanacağının anlatımı.
6 Girdileri çıktıya dönüştüren, birbirleriyle ilişkili veya etkileşimli aktiviteler.

düşünülen CMMI'ın, çalışanların üretkenliğinin artırılmasını amaçlayan insan
kaynakları yönetimi'ne yönelik modeli de “People CMMI” ismiyle yayımlanmıştır.
Diğer taraftan, 2007 yılında SEI bünyesinde, hizmet süreçlerinin iyileştirilmesine
yönelik olarak da “CMMI for Services” geliştirilmiştir.
CMMI kullanımında amaç,
 Zamanında,
 Bütçeye uygun,
 Arzu edilen işlevsellikte ve
 Kabul edilebilir kalite seviyesinde
ürünler geliştirerek kullanıcı beklentilerini karşılamaktır.
Kabul edilebilir kalite seviyesini, verilere ve standart modellere göre yapılacak
değerlendirmelerle anlayabiliriz.
Bu kapsamda CMMI, mevcut süreçlerin yetenek seviyelerine göre
iyileştirilmesi için gerekli model ve metotları sunmaktadır. Süreç yetenek
seviyelerinin7 belirlenmesinde (derecelendirmesinde) ise SCAMPI (Standard CMMI
Appraisal Method for Process Improvement) adı verilen değerlendirme yöntemi
kullanılmaktadır.
CMMI'da kurumsal düzeyde yapılacak değerlendirmeler kapsamında,
1: başlangıç,
2: yönetilen,
3: tanımlı,
4: nicel yönetilen,
5: iyileşen
olarak ifade edilen olgunluk düzeyleri kullanılmaktadır.
Seviye 1, başlangıç düzeyidir. Bu seviyede, risk yönetimi yapılmamakta,
değişiklikler yönetilmemekte, işler kişilere bağımlı sürdürülmektedir.
Seviye 2'nin Seviye 1'den farkı, yönetiliyor olmasıdır. Bu seviyede, proje
yönetimi yapılmaya başlanmış olup işler tekrarlanabilir durumdadır.
7 Süreçlerin planlanan sonuçlerı üretme becerisi.

Seviye 3'ün Seviye 2'den farkı, süreç standardizasyonunun olmasıdır. Süreçler
tanımlanmıştır, risk yönetimi yapılmaktadır.
Seviye 4'ün Seviye 3'den farkı, süreçler, verilere dayalı olarak yönetilmekte
ölçümleme yapılabilmektedir.
Seviye 5'de, süreçlerin sürekli iyileştirilmesi söz konusudur.
John D.Vu (Boeing, 1996)'nun bilgilerine göre Bilgi Servisleri Bölümü'nde,
Uçuş Yazılımı geliştirmede CMMI uygulayan Boeing Firması'nın, CMMI Seviye 1'den
Seviye 2'ye 34 ayda geçerek,
 Hataları %12,
 Zamanı %10,
 Maliyeti %8
Oranında azalttığı görülmüştür.
Seviye 2'den Seviye 3'e 25 ayda geçen Firma,
 Hataları %40,
 Zamanı %38,
 Maliyeti %35
Oranında azaltmayı başarabilmiştir.
Firma, Seviye 3'den Seviye 4'e 30 ayda geçerek,
 Hataları %85,
 Zamanı %63,
 Maliyeti ise %75
Oranında azaltmıştır.
Özetle, CMMI, bir organizasyonun yazılım geliştirmede gerekli süreçlerini
tanımlaması ve iyileştirmesi için kullanılan bir modeldir.
Bu modelde, süreçlerin olması gerektiği gibi (diğer bir deyişle önceden
tanımlanmış şekliyle) işliyor olması hedeflenmektedir. Ürünün (yazılımın) kalitesinin
garanti edilmesi söz konusu değildir. Çünkü CMMI, düzgün işleyen ve sürekli
iyileştirilen süreçlerle kaliteli yazılım geliştirilebileceği anlayışına dayalıdır.

Bilişim teknolojilerinde hizmet yönetimi: ITIL ve ISO 20000
1980'lerin sonunda, İngiliz Hükümeti'nin Merkezi Bilgisayar ve
Telekomünikasyon Dairesi'nce, BT (Bilişim Teknolojileri) çalışanlarının üretkenliğinin 8
artırılması, insandan kaynaklanabilecek hataların azaltılması ve BT hizmetlerinden
yararlanan kullanıcıların memnuniyetinin sağlanması için ITIL (Information
Technology Infrastructure Library – Bilgi Teknolojisi Altyapı Kütüphanesi) adı verilen
en iyi uygulamaları içeren bir doküman kütüphanesi oluşturulmuştur. ITIL yüksek
düzeyde BT hizmeti verilmesinde yararlanılabilecek kaynak dokümanlardan
oluşmaktadır.
ITIL, BT hizmetlerinin planlama ve uygulamasının nasıl yapılacağını kapsar.
Ancak, ITIL belgelendirmeye yönelik değildir. Standart9 belge anlamında, BT Hizmet
Yönetiminde 2002'de yayınlanan eski adıyla BS 15000 ve 2005'de yayınlanan yeni
ismiyle ISO 20000 standardı kullanılmaktadır.
ITIL uygulanarak,
 İşletim maliyetleri düşürülebilmekte,
 Kaynak kullanımı iyileştirilebilmekte,
 BT hizmetlerinin erişilebilirliği ve BT ekiplerinin memnuniyeti artırılmakta,
 BT, önceki deneyimlerinden ders çıkarabilmekte,
 Son kullanıcılara hizmet garantisi verilebilmekte,
 BT ile son kullanıcı iletişiminde iyileşme sağlanmakta, beklentiler
yönetilebilmektedir.
Bilişim teknolojilerinde denetim: COBIT
BT süreçlerinin yönetiminde kullanılan modellerden biri de iş yöneticileri için
geliştirilen COBIT (Control Objectives for Information and related Technology – Bilgi
ve İlgili Teknolojiler için Kontrol Hedefleri) modelidir. Model, BT süreçleriyle ilgili
kontrol hedeflerinden ve denetim çerçevesinden oluşmaktadır. ISACA (Information
Systems Audit and Control Association – Bilgi Sistemleri Denetim ve Kontrol Birliği)
tarafından 1996 yılında yayımlanmıştır. COBIT denetim çerçevesi BT'nin bağlı olduğu
organizasyonel yapının üst yönetimine muhtemel BT risklerini, örneğin,
8 Üretilen işin harcanan kaynağa oranı.
9 Belirli ölçülere, yasaya, kullanıma uygun olan.

 Başarısızlıkla sonuçlanabilecek projeleri,
 Yatırım yanlışlarını,
 Güvenlik zafiyetlerini,
 Müşteri / kullanıcı ihtiyaçlarıyla uyumlu olmayan çözümleri,
 Sistem kayıplarını
görünür kılmayı amaçlamakta ve aşağıdaki sorulara cevap vermektedir:
 Ne kadar daha ileri gidebiliriz?
 Harcanacak çaba ile elde edilecek fayda örtüşüyor mu?
 İyi bir performansın10 göstergeleri nelerdir?
 Kritik başarı faktörleri nelerdir?
 Kontrol hedeflerini yerine getirmemenin riskleri nelerdir?
 Başkaları ne yapıyor?
 Kendimizi nasıl ölçeriz ve başkalarıyla mukayese ederiz?
COBIT bir BT Yönetişim (IT Governance) modelidir ve risk odaklı bir denetim
çerçevesi sunmaktadır.
COBIT BT kontrol alanları, BT süreçlerinde uygulanması gereken kontrolleri
içermektedir. Kontroller, “Deming Kalite Yaşam Döngüsü” olarak bilinen ve ISO 9001:
2000 Kalite Yönetim Sistemi temelinde de kullanılan:
 Planla
 Uygula
 Kontrol Et
 İyileştir yaşam döngüsünü kullanmaktadır.
COBIT bu çerçevede olmak üzere, organizasyonlarda aynı zamanda BT'ye
yönelik bir kalite yönetim sürecinin tanımlanmasında yönlendirici rol oynamaktadır.
Bilgi Güvenliği Yönetimi: ISO 17799
10 Başarım, verim gücü.

BT süreçlerinin yönetimine yönelik olarak kullanılan belgelerden, son olarak
bahsedeceğimiz standart 2000 yılında yayımlanan ISO 17799 olup, temeli 1995'de
yayınlanan İngiliz Bilgi Güvenliği Standardı BS 7799'a dayanmaktadır. ISO 17799,
Bilgi Güvenliği Yönetim Sistemi'ni kurmayı hedefleyen bir standarttır. Bilgi Güvenliği
Yönetimi'nde de, COBIT'de olduğu gibi, Deming Kalite Yaşam Döngüsü
kullanılmaktadır. Bu anlamda, bilgi güvenliği başlı başına bir kalite hedefi olarak
görülmelidir. Belgelendirme, BT için değil kurum için yapılmaktadır. Yanlış kanının
aksine, bilişim sistemlerinde saklanmakta olan bilgilerin tek sahibi BT değildir;
kurumsal bilgi güvenliğinin de tek sorumlusu BT değildir. O nedenle, Bilgi Güvenliği
çalışmaları iş birimleriyle gerçekleştirilmek zorundadır. BT, taraflardan biri olarak bu
çalışmada görev almalıdır. Buna göre bilgi varlıklarına teknik sahiplik ve iş sahipliği
şeklinde bir “sahiplik (ownership)” anlayışı getirilmelidir. ISO 17799’dan, bilgiye
yönelik tehditler karşısında uygun koruma önlemlerinin alınmasını sağlayacak
kurumsal bilgi güvenliği yönetimi altyapısının kurulmasında yararlanılmaktadır. Anılan
belge, 2005'in sonlarında yeniden düzenlenerek ISO 27001 adıyla yayımlanmıştır.
Hangi yolu izlemeliyiz?
Bugün, yukarıda adı geçen “standart, model, yöntem ya da belgelerden
hangilerini nerede ve hangi amaçla kullanmalıyız?” sorusu BT organizasyonlarının
gündemini oluşturmaktadır.
Varılmak istenilen hedef konusunda netlik yoksa bu belgelerden hangisi ya da
hangilerinin rehber olarak seçildiğinin de bir anlamı olmayacaktır. Bugün bunlardan
birini diğerine tercih etmek gibi bir yaklaşım da doğru değildir.
Önemli olan, kurumsal düzeyde nereye gidileceğine karar verilmiş olmasıdır.
Kesişme noktaları olmakla birlikte, hedef farklılıkları sebebiyle, anılan belgelerin her
birinin ayrı ayrı ele alınıp değerlendirilmesi gerekmektedir. Asıl amaç, yapmakta
olduğumuz işi iyileştirmek olmalıdır. Birer araç olan anılan belgelerden bu anlamda
yararlanılmalıdır.
Kurumsal Yönetişim için BT neden önemlidir?
“Yapmakta olduğumuz işi nasıl iyileştirebiliriz?” sorusunun tek cevabı
olmamakla birlikte bu soruya yönetişim (Governance) kavramı açısından bakarak
cevap bulmaya çalışalım. Kurumsal Yönetişim genel tanımlamayla, bir kurumun
değişik bölümlerinin faaliyetlerinin ortak bir kurumsal kazanç ve amaç doğrultusunda

yönetilmesidir. Hızlı ve doğru kararlar alınabilmesi için kurum içinde işleyen etkili bir
iletişimin sağlanması gerekir. Bunun için kurumlar, bilginin yönetilmesine, bilginin
yönetilmesi içinse BT'ye ihtiyaç duyarlar11. Kurumun BT'den istenen faydayı
sağlayabilmesi için BT'nin, kurumun iş hedefleriyle örtüşen amaçlar doğrultusunda
yönetilmesi gerekir (IT Governance).
BT organizasyonlarının temel işlevleri bağlı oldukları kurumsal yapının
ihtiyaçlarına uygun,
 Yazılım, sistem ve iletişim altyapısını temin etmek,
 Bunları hizmete almak ve
 İşletim desteklerini vermektir.
BT'nin bu temel işlevler dâhilinde, parçası olduğu organizasyonun iş hedefleriyle
uyumlu kalite hedefleri olmalıdır.
BT'nin sunduğu hizmetlerin aslında birer kalite hedefi olan,
 Güvenlik,
 Süreklilik,
 Hatasızlık ve
 Zamanında teslim edebilirlik
özelliklerine uygun olarak kurum çalışanlarına verilmesi, son kullanıcı memnuniyetini
artıracaktır. Bunu sağlamak için, işlevlerle ilişkili süreçler tanımlanmalı, dokümante
edilmeli ve kişi bağımsız işleyebilir olmalıdır. Süreçlerde belli kontrol noktaları olmalı,
bunlar düzenli olarak yine süreç sahibi birimde işi yapandan bağımsız kişilerce
kontrol edilmelidir (Kalite Kontrol). Kontrollerin yapıldığının teyidi, sürecin
gerçekleştirildiği birim yönetimince yapılmalıdır (Kalite Güvence). Belli model, metot
ve standartlara göre kalite güvencesinin sağlanıp sağlanmadığı ise kuvvetler ayrılığı
ilkesi çerçevesinde birimin dışında tarafsız olarak saptanmalı, sonuçlar
raporlanmalıdır (Kalite Denetimi). Kalite hedeflerinin tutturulmasındaki başarı düzenli
olarak değerlendirilmeli, sonuçlar dikkate alınmak suretiyle birimlerin hangi noktada
olduklarını görerek süreçlerini iyileştirmeleri sağlanmalıdır (Süreç İyileştirme).
11 Başarılı BİM'de Örgütsel Yapılanma Raporu, TBD, KAMU-BİB, Çalışma Grubu 5.

Özetle, bir organizasyonun iş hedeflerine ulaşmasında, iş hedefleriyle uyumlu
olarak belirlenmiş BT kaynaklarının, tanımlanmış ve kontrol mekanizmaları
oluşturulmuş süreçlerle yönetilmesi gerekir.
Nasıl başlamalıyız?
Bir organizasyonda, kalite altyapısının kurulması için çalışma başlatılması, o
organizasyonun “daha iyi olma” hedefindeki kararlılığı gösteren bir ilk adım olarak
kabul edilmelidir. Lao Tsu'ya atfedilen “Binlerce mil sürecek bir yolculuk bile tek bir
adımla başlamalıdır” sözü uzun soluklu işlerin başlangıcının önemine binaen
söylenmiştir. Atılan ilk adımı takiben işe nereden ve nasıl başlanacağını söyleyecek
bir Yol Haritası'nın oluşturulması, organizasyonun kalite yönünde atacağı adımların
netleşmesini sağlayacaktır. Organizasyon içinde tecrübe ve bilgi birikiminin olmadığı
durumda, doğru başlangıç yapmak adına bir danışmanlık hizmetinin alınması,
üçüncü taraf yaklaşımının ve tecrübesinin kuruma aktarılması ve kurumun
çalışmalara kısa sürede başlayabilmesi açısından faydalı olacaktır.
Bu kapsamda ilk olarak, rol ve sorumluluklar belirlenmeli, buna uygun örgütsel
yapılanma gerçekleştirilmeli ve gerekli eğitimler rol ve sorumluluklara uygun olarak
alınmalıdır. Tanımlı olmayan süreçler; o işi en iyi bilenin, o süreci yaşayan ve işi
yapan kişi olmasından hareketle, yürütülmekte oldukları birimlerde tanımlanmalıdır.
Tüm bu çalışmaların, yeterli bilinçlendirme eğitimlerini takiben mevcut kadrolarla
yapılması mümkündür. Ayrıca, organizasyonun kalite hedef ve ilkelerinin yer aldığı bir
kalite politikası oluşturulmalı ve kararlılıkla uygulanmalıdır. İyileştirme çalışmaları
öncesinde, organizasyonda, bir ön analiz çalışması yapılmalı; mevcut durumun toplu
resmi görülmeli, daha sonra, iyileştirme ihtiyacı duyulan süreçler için bir iyileştirme
planı uygulanmalıdır. Resmin bütününü görebilmek, ama işe küçük bir parçasıyla
başlamak en akılcı yol olacaktır. Aksi takdirde, resmin tamamı için harcanacak
çabada konunun değişimle ilgili sıkıntıları daha fazla hissedilecek ve bu da iyi niyetle
başlanan çalışmaları aksatabilecektir. Bu durumda, sonuca ulaşmak zaman alacak,
değişimle ilgili kararlılık zamanla yerini yılgınlığa ve inançsızlığa bırakabilecektir.
Diğer taraftan, yönetimlerin de kabul ve onayı dâhilinde mevcut işler için ayrılan
zamanın belli bir yüzdesinin, kalite iyileştirme sürecine adanması ve başarı için
yönetimlerin zaman kısıtı şeklinde gelen dış baskılara karşı kaliteden taviz
vermemeleri bu çalışmaların başarısında önemli rol oynayacaktır.

Hangi standart, model ve yöntemlerden yararlanabiliriz?
Yukarıda ifade edildiği üzere, CMMI çıkış amacı itibariyle, BT organizasyonu
içinde yazılım geliştirme süreçlerinin tanımlanmasında, denetlenmesinde ve
kalitesinin iyileştirilmesinde kullanılmak üzere geliştirilmiştir. CMMI'dan süreçlerin
yetenek seviyelerinin belirlenmesinde ve süreç iyileştirmede yararlanılabilir.
Gerekmesi halinde resmi belgelendirme yapılabilir.
Benzer şekilde, ITIL kütüphanesindeki en iyi uygulamalardan yararlanılarak,
BT hizmetlerinin kalitesinin artırılmasında yararlanılabilir. İhtiyaç duyuluyorsa ISO
20000 kullanılmak suretiyle belgelendirme çalışması yapılabilir. ISO 17799'dan ise,
bir kurumda Bilgi Güvenliği altyapısını oluşturma konusunda yararlanılabilir; son
düzenlemeler kapsamında ISO 27001 temel alınarak kurumsal düzeyde
belgelendirme çalışması yapılabilir.
COBIT modelinden, bir kurumun üst yönetimi için BT risklerini görünür kılmak
amacıyla istifade edilebilir. COBIT denetimleri, kurumların İç Denetim veya bu göreve
karşılık gelebilecek bölümleri tarafından yapılabilir ve kurumun üst yönetimine
(yönetim kurulu) raporlanabilir. Denetim, belli periyodlarda, örneğin yılda bir veya iki
kez veya organizasyonun üst yönetiminin talebiyle ihtiyaç duyuldukça
gerçekleştirilebilir.
Buraya kadar bahsedilenler12, bir BT organizasyonunun sürekli ilerleme13 için
kendisini en iyi uygulamalara göre karşılaştırmasını sağlayan, BT Yönetişimi'ni
destekleyen araçlardır. İlerleme, organizasyonun ne zaman, nerede sıkıntı yaşadığını
görmesi, zayıf noktalarını fark edip bunları iyileştirmesi ile mümkündür. Anılan
araçlardan yararlanılmak suretiyle riskli süreçlerin tespit edilmesi ve düzeltilmesi
mümkün olacak, yükümlü olunan yasalara ve düzenleyici belgelere uyum
sağlanacaktır.
Bilişim Teknolojileri ile ilgili risklerin gündemi meşgul etmesiyle paralel olarak
dış ülkelerde ve Ülkemizde birçok BT organizasyonu kalite ile ilgili projelere
başlamıştır. Başlangıçta bu projelere iyi bir planlamayla başlanmadığı için birçok
girişim başarıya ulaşamamıştır.
12 Belge isimleri ve/veya yayın numaralarında bu yazının yazılmasını takip eden tarihlerde değişiklik yapılmış
olabilir.
13 Sürekli İlerleme, Kaizen olarak bilinen bir Japon Yönetim Stratejisidir. Organizasyondaki tüm çalışanları
kapsar. Kaizen belli sonuçlara ulaşmak yerine süreçlerin geliştirilmesine odaklanır. Buna göre, süreçlerde
yapılacak iyileştirmelerle ilerleme sağlanır.

Bunun nedenleri,
 Başlangıçta uzman desteğinin alınmaması,
 Yol haritasının olmayışı,
 Rol ve sorumlulukların netleştirilememesi,
 Bu doğrultuda örgütsel yapılanmanın gerçekleştirilemeyişi,
 Resmin küçük parçasını değil tümünü çizme eğilimi,
 Yönetim desteğinin olmayışı,
 Çalışanların projeye inanmayışları,
 Kalite konusunda yapılan çalışmalar çerçevesinde edinilen kurumsal
kazanımlara süreklilik kazandırılamayışı şeklinde özetlenebilir.
Sürekli ilerleme için, aktivitelerin kayıt altında tutulması ve süreç
performansının ölçülmesi gerekir. Bunun bir organizasyona uygulanması, aynı
zamanda o organizasyon için kültürel değişim anlamına gelmektedir.
Organizasyonlarda, kültürel değişim gerektiren yapılanmalar sırasında, başlangıçta
reddetme aşamasından geçildiği görülür. Bu sürenin kısaltılması için çalışanların
öncelikle harcanacak çabanın elde edilecek kazanca değeceğine inanması gerekir.
Ayrıca yönetimlerin, bir kalite kaygısı ile hareket edip, sonunda elde edilecek
kazançla organizasyonlarını daha ileriye taşıyacaklarına inanmaları ve bu işin
arkasında güçlü bir şekilde durmaları, bahse konu organizasyonun kalite hedefleriyle
buluşmasında en önemli itici güçlerden biri olacaktır.
İş gerekliliklerine uygun olarak en iyi uygulamalara göre yönetilme kararlılığı, o
organizasyon için kalite yönetimi adına atılmış en önemli adım olarak kabul
edilmelidir.
Yararlanılan Kaynakçalar
 Department of British Trade and Industry, www.dti.gov.tr/quality/evaluation, 2/5/2006
 Software Engineering Institute, Carnegie Mellon University, www.sei.cmu.edu/cmmi,
2/5/2006
 Information Technology Infrastructure Library, www.itil.co.uk, 2/5/2006
 Türk Standartları Enstitüsü, www.tse.org.tr, 2/5/2006
 Information Systems Audit and Control Association, www.isaca.org, 2/5/2006

 Bilgi Grubu, E.Demirörs, CMMI: Temel Kavramlar Kurs Notları, www.bg.com.tr, 2/5/2006
 Nitelik Yazılım Süreç Kalitesi ve Yönetim Danışmanlığı, www.nitelik.net, 2/5/2006
 Türk Dil Kurumu, www.tdk.gov.tr, 2/5/2006
 IT Audit 2006, Çalıştay ve Sempozyumu, ArtiFex Solutions, İstanbul, 19-21 Nisan 2006
 ISO 17799, www.iso.org, 13/11/2006
 David Wheeldon, IT Service Management, HP Education, İstanbul, 6/6/2006
 International Society of Six Sigma Professionals, http://www.isssp.com, 9/5/2006
 Bank for International Settlements, http://www.bis.org, 9/5/2006
 Sarbanes-Oxley, Financial and Accounting Disclosure Information, http://www.sarbanes-
oxley.com, 9/5/2006