İŞ SÜREKLİLİĞİNDE KATMA DEĞERLİ DENETİM YAKLAŞIMI UYGULAMA ÇALIŞMASI İstanbul, ÖZGÜVEN SAYMAZ

Transkript

1 İŞ SÜREKLİLİĞİNDE KATMA DEĞERLİ DENETİM YAKLAŞIMI UYGULAMA ÇALIŞMASI İstanbul, ÖZGÜVEN SAYMAZ

2 Özgüven SAYMAZ İş Sürekliği Yönetim Sistemi ve ISO İSYS Denetim Kılavuzu Kitaplarının yazarı Özgüven Atölyesi Platformunda; İş Sürekliliği, Süreç geliştirme ve Kişisel Gelişim Atölyelerinde yazar ve eğitmen İlk İSYS belgelendirme BS in üzerinden firmada İSY Sistem kurulum deneyimi 10 un üzerinden firmada ISO 9001 KYS Kurulumu ve belgelendirme 50 yi aşkın süreç iyileştirme proje gerçekleştirme deneyimi 1000 saati aşkın eğitim deneyimi Albaraka Türk, İş Sürekliliği Yöneticisi Süreç Geliştirme, İş Sürekliliği ve Risk Yönetimi, Kalite Yönetim Sistemi, Organizasyon geliştirme 12 yılı aşkın iş deneyimi ISO ISY Eğitmen ve Denetçi ISO 9001 Eğitmen ve Denetçi ISO İç denetçi / Denetçi Yönetim Sistemleri Risk Yönetimi Eğitmen

3 Uygulama Çalışmasının Amaçları 1. Genelde ISO Yönetim sistemleri, özelde ISO İSYS denetim yaklaşımı hakkında temel bilgiler vermek 2. Denetlenen ve denetleyen bakış açısı ile katma değerli bir denetimi yaklaşımı oluşturmak için gerekli temel bilgileri vermek 3. COBİT DS4 İş Sürekliliği Yönetimi Kontrol yaklaşımını, katma değerli denetim yaklaşıma ile birleştirecek temel bilgileri vermek 4. İş sürekliliği Test Yönetim Süreci ve İş Etki Analizi Yönetimi Süreci üzerinde denetim uygulaması gerçekleştirerek temel becerileri kazandırmak. 5. Eğlenceli bir öğrenme deneyimi yaşatmak

4 Gündem ISO İSYS Yapısı COBIT 5 DSS4 İş Sürekliliği Yapısı İş Sürekliliği Nedir? İş Sürekliliğinin Amacı Nedir? Denetim Nedir? Denetim Amacı Nedir? Katma Değerli Denetimin Temel Unsuları Nelerdir? o Süreç Yaklaşım o PUKÖ Yaklaşım o Soru Sorma Test Süreci Gereksinimler ve Kontroller İş Etki Analiz Süreci Gereksinimler ve Kontroller

5 ISO İSYS Yapısı Planlama Planlama Planlama Planlama Uygulama Kontrol Önlem Al

6 COBIT 5 DSS4 İş Sürekliliği Yapısı HİZMETE ÖZEL

7 İş Sürekliliği Nedir? İş Sürekliliği, olağanüstü durumlara karşı hazırlıklı olmayı, olaylara hızlı ve etkili tepki vermeyi, insan hayatının, varlıkların ve şirket itibarının korunmasını GÜVENCE altına almayı amaçlayan bir yönetim yaklaşımıdır. Yangın Şirket itibarına yönelik saldırı Doğal Afet Tedarik Zinciri Kesintisi Enerji Kesintisi İletişim Kesintisi Sistem Kesintisi Terör Saldırısı Salgın Hastalık Kesintiye neden olan bir ihlal olayının ardından ürün ve hizmetlerin önceden tanımlanmış kabul edilebilir seviyelerdeki sunumuna devam etme konusunda firmaların sahip olduğu yetenek [ISO 22300].

8 İş Sürekliliğinin Amacı Nedir? 1. Çalışanların ve diğer varlıkların güvende olmasını sağlamak 2. İş kesintisine sebebiyet verecek hususları belirleyip tedbirler almak 3. Olası bir kesinti sonrası önceden belirlenmiş kabul edilebilir süreler içerisinde ön görülen mal ve hizmetleri tekrar sunabilir hale gelmek

9 Denetim Nedir? Denetim, Bir sistemin ya da sürecin; yeterlilik, uygunluk ve etkinlik yönünden sistematik ve objektif bir şekilde değerlendirilmesi faaliyetidir.

10 Denetim Nedir? Yeterlilik Uygunluk Etkinlik Yeterlilik Oluşturulmuş dokümantasyonun referans alınan standart ve mevzuat şartlarını karşılayıp karşılamadığının incelenmesidir. Uygunluk Sahadaki uygulamaların (fili uygulamaların) oluşturulan dokümantasyona göre işletilip işletilmediğinin incelenmesidir. Etkinlik Oluşturulan dokümanların ve yapılan uygulamaların belirlenen amaç veya hedeflere ne kadar ulaştırabildiğinin incelenmesidir.

11 Denetim Nedir? Sistematik Belirli bir program ve plan çerçevesinde düzenli yapılmalıdır. Sistematik Objektif Objektif Belirlenen kriterlere göre tarafsız kişilerce yapılmalıdır.

12 Denetim Amacı Nedir? Denetlenene Değer Katmak Sürekli İyileştirme Bir sistemin ve/veya sürecin sürekli iyileştirilmesini ve geliştirilmesini sağlamak Makul Güvence Referans alınan standart ve/veya mevzuata uyumun sağlandığına yönelik makul güvence vermek Yetkinlik ve Yeterlilik Organizasyonel yetkinlik ve yeterliliği artırmak Teyit Yeterlilik, Uygunluk ve Etkinliği teyit etmek HİZMETE ÖZEL

13 Katma Değerli Denetimin Temel Unsuları Nelerdir? Katma Değer Odaklı Denetimin Temel Unsurları Süreç Yaklaşımı PUKÖ Yaklaşımı Soru Sorma Süreç Yaklaşımı Denetlenen sürecin unsurlarının ve süreç bağımlılıklarının bilinmesi PUKÖ Yaklaşımı Denetlenen sürecin PUKÖ yaklaşımı çerçevesinde ele alınması Soru Sorma Yeterlilik, Uygunluk ve Etkinlik alanlarına yönelik % 80 den fazla açık uçlu, %20 den az kapalı uçlu sorular sorulması HİZMETE ÖZEL

14 Katma Değerli Denetimin Temel Unsuları Nelerdir? - Süreç Yaklaşım HİZMETE ÖZEL

15 I O Measurement, Analysis, and Improvement Katma Değerli Denetimin Temel Unsuları Nelerdir? - Süreç Yaklaşım Management Processes I O Process Design I Product Design I O Production O I O Project Planning I O I O I O Resource Processes

16 Katma Değerli Denetimin Temel Unsuları Nelerdir? - Süreç Yaklaşım Outputs from other processes Outputs from other processes Inputs to A PROCESS A Outputs from A Inputs to B PROCESS B Outputs from B Inputs to D PROCESS D Outputs from D Inputs to C PROCESS C Outputs from C

17 Katma Değerli Denetimin Temel Unsuları Nelerdir? - Süreç Yaklaşım Çıktı FAALİYET FAALİYET * Öncelikler, Kaynaklar * Koruma ve azaltma Girdi * Amaç ve hedefler * Risk minimizasyonu * Raporlama ve faaliyetler İş Etki Analizi Risk Analizi İS Stratejileri İş Sürekliliği Planı Tatbikat ve Test * Kritik süreçler, bağımlılıklar * Risk belirleme, işleme FAALİYET Çıktı Girdi * Olay cevap verme yapısı * Uyarı ve iletişim * IS Planları * Kurtarma FAALİYET Çıktı Girdi SÜREÇ KPI ve HEDEF? SÜREÇ KONTROLLERİ? RİSK - FIRSAT? HİZMETE ÖZEL

18 Katma Değerli Denetimin Temel Unsuları Nelerdir? - PUKÖ Yaklaşım Aksiyon Amaç-Hedef Metot /5N1K Etkileşim KPI Önlem Al Planla Kontrol Et Uygula Ölçme Analiz Değerlendirme Kayıt Kanıt

19 Katma Değerli Denetimin Temel Unsuları Nelerdir? - Soru Sorma 1. Soru Hazırlama Denetlenen sürece/konuya yönelik gereksinimler belirlenmeli Denetim için referans alınan standart, iç ve dış mevzuat incelenmeli Gereksinimlere yönelik sorular hazırlanmalı Her sorunun bir amacı olmalı. Soruya karşılık alınacak bilgi ne işe yarayacak? Sorular Yeterlilik, Uygunluk ve Etkinlik alanlarına yönelik; İyileştirme fırsatı yakalama, Güvence verme, Yetkinlik ve yeterlilik artırma ve Teyit amaçlı olmalıdır.

20 Katma Değerli Denetimin Temel Unsuları Nelerdir? - Soru Sorma 2. Açık & Kapalı Uçlu Soru Cevabı EVET ya da HAYIR olan sorular kapalı uçlu soru olup, bir bilgiyi teyit ettirmek ya da bir şeyin varlığını ve yokluğunu öğrenmek için kullanılır. Cevabı EVET ya da HAYIR olmayan sorular açık uçlu soru olup, bir konuda neden, nasıl (5N1K) gibi açıklayıcı bilgiler almak için kullanılır. Soru sorarken, süreç unsurları, süreç etkileşimleri ve sürecin PUKÖ döngüsü mutlaka göz önüne alınmalıdır.

21 Uygulama Çalışması 1 Test Süreci Denetim Çalışması

22 Test Süreci Gereksinimler ve Kontroller Gereksinimler; - ISYS : 8.5 İş sürekliliği yönetim sistemi, kapsamı ve hedefleri ile tutarlı olmalı, Amaç ve hedefler tanımlanmalı, Uygun senaryolara dayanmalı, İlgili tarafların gereksinimlerini (yasa-sözleşme) içermeli, İşlemlerin kesintiye uğrama riskini en aza indirmeli, Gerçekleştirilen faaliyetleri, sonuçları ve tavsiyeleri içeren rapor hazırlanmalı, Sürekli iyileştirmeyi teşvik etmek için gözden geçirilmeli, Planlı aralıklarla yapılmalı, Kuruluşta veya kuruluşun çalıştığı ortamda önemli değişiklik olduğunda yapılmalı.

23 Test Süreci Gereksinimler ve Kontroller DSS04.04 İş süreklilik planını (BCP) uygula, test et ve gözden geçir: - COBİT : 04 Önceden belirlenmiş sonuçlara göre geri kazanım planlarını düzenli aralıklarla uygulamak, yenilikçi çözümlerin geliştirilmesine imkan tanımak ve planın zaman içinde öngörüldüğü üzere çalıştığının doğrulanmasına yardımcı olmak amacıyla süreklilik düzenlemelerini test et. İş riskinin karşılanmasında, iş süreklilik planının (BCP) bütünlüğünü doğrulamak amacıyla, plana ait iş, teknik, lojistik, idari, prosedür ve operasyon sistemlerini test etme amaçlarını tanımla. Gerçekçi olan paydaş uygulamalarını tanımla ve üzerinde anlaş, süreklilik prosedürlerini doğrula ve iş süreçlerinde minimum kesintiye yol açan görevler, sorumluluklar ve veri saklama düzenlemelerine yer ver. Süreklilik planı uygulama ve testlerini gerçekleştirmek için görevler ve sorumluluklar ata. Uygulamalar ve test faaliyetlerini süreklilik planında tanımlandığı üzere programla. Başarıyı incelemek amacıyla uygulama sonrası bilgi al ve analiz et Gözden geçirmenin sonuçları bazında güncel süreklilik planını iyileştirmek amacıyla öneriler oluştur. Arşivlenmiş ve yedeklenmiş verileri düzenli aralıklarla test et ve yenile

24 Test Süreci Gereksinimler ve Kontroller Yeterlilik Test yönetim metodu, test yönetim süreciniz nasıldır? Testlerin amacı ve hedefi tanımlımıdır? Testler senaryo bazlı mı yapılmaktadır? Ve örnek senaryolar nelerdir? Testler sürekli iyileştirme için gözden geçirilmekte midir? Testler ne sıklıkla yapılmaktadır? Hangi durumlarda testler yapılmaktadır? Uygunluk Test programına uyum oranı nedir? Örnek test baz alınarak, testin amaçları ve hedefleri nelerdir? Örnek test baz alınarak, test raporunu kimler değerlendirmektedir? Etkinlik Test Sürecinin başarı göstergeleri nelerdir? Testlerin başarısı hangi kriterlere göre ve nasıl değerlendirilmektedir? Testler sonrası planlarda, stratejide ve iş sürekliliği yönetim sisteminde yaptığınız iyileştirmeler neler nelerdir? Testlerin kesinti yaşanma riskini azaltmadaki etkileri nelerdir?

25 Uygulama Çalışması 2 (Grup Çalışması) İş Etki Analizi Denetim Çalışması

26 İş Etki Analiz Süreci Gereksinimler ve Kontroller İş Etki Analizi ve Risk Değerlendirme - ISYS : 8.2 İş Etki Analizi ile kuruluş şunları belirlemeli; Resmi ve yazılı bir değerlendirme süreci, Süreklilik ve kurtarma öncelikleri, Ürün ve hizmet sunumunda yaşanan kesintinin etkisi,

27 İş Etki Analiz Süreci Gereksinimler ve Kontroller - ISYS : 8.2 İş Etki Analizi ve Risk Değerlendirme Devam İş Etki Analizi, aşağıda belirtilenleri içermeli; Ürün ve hizmetlerin sunumunu destekleyen faaliyetlerin (süreçlerin) tespiti, Bu faaliyetlerde yaşanan bir kesintinin zaman içerisindeki etkileri, Belirlenen kabul edilebilir en düşük seviyedeki ürün - hizmet seviyesi ve yeniden başlatılması için faaliyetlerin önceliklendirilmiş zaman cetveli, Belirlenen faaliyetlerin (ürün hizmet) yeniden başlatılması için kesinti etkilerinin kabul edilemez hale geldiği süre (MAO-MTPOD), Belirlenen faaliyetlerin işletilmesi için gerekli iç ve dış bağımlılıklar

28 İş Etki Analiz Süreci Gereksinimler ve Kontroller DSS04.01 İş süreklilik politikası, amaçları ve kapsamını tanımla: DSS04.02 Süreklilik stratejisini sürdür: - COBİT : 04 Temel destekleyici iş süreçleri ve Bağlantılı BT hizmetlerini belirle. Kesintinin zaman içinde kritik iş fonksiyonu üzerindeki etkisi ve kesintinin üzerlerinde bırakacağı etkiyi değerlendirmek amacıyla, iş etki analizi gerçekleştir. Kabul edilebilir iş kesintisi uzunluğu ve maksimum tolere edilebilen hizmet aksama süresi bazında, iş süreci ve destekleyici BT nin toparlanması için gereken minimum süreyi belirle. Olası stratejik iş ve teknik seçenekleri belirlemek amacıyla süreklilik gereksinimlerini analiz et. HİZMETE ÖZEL

29 İş Etki Analiz Süreci Gereksinimler ve Kontroller Yeterlilik Uygunluk Etkinlik

30 Teşekkür ederiz! İletişim: Mail: GSM: HİZMETE ÖZEL