İş Sürekliliğinde Etkin Yönetişim Modeli Cüneyt Kırlar, CGEIT, PMP, Deloitte Kurumsal Risk Hizmetleri, Ortak
Konular İş Sürekliliğine Yaklaşım Deloitte İş Sürekliliği Metodolojisi Etkin Yönetişim Modeli 2 İş Sürekliliğinde Etkin Yönetişim Modeli
ĠĢ Sürekliliğine YaklaĢım
ĠĢ Sürekliliğine YaklaĢım İş Sürekliliği problemlerimiz PROBLEMLER ĠĢ sürekliliği sorunlarımız neler? Kurumsal Sorumluluğumuz Çalışanlar ve şirket ortaklarına karşı olan sorumluluklarımız ön plana çıkıyor. Kurum Ünümüz Bir felaketle karşılaşırsak yıllarca çalışarak yarattığımız kurum ünümüz tehlikeye girer. Sigorta gibi güvene dayanan sektörlerde kurumun, iyi ününün korunması önem kazanıyor. MüĢteri ve Gelir Kaybı Bir iş kesintisini başarıyla yönetemeyen bir kurum mevcut ve potansiyel müşterilerininin bir kısmını kaybetmeye mahkumdur. Regülasyonlar Bir iş kesintisi, kurumun tabi olduğu regülasyonlara istinaden yüklendiği yükümlülük açısından önem taşıyor. 4 İş Sürekliliğinde Etkin Yönetişim Modeli
ĠĢ Sürekliliğine YaklaĢım İş Sürekliliği problemlerinin temel sebepleri PROBLEMLER ĠĢ sürekliliği sorunlarımız neler? Kurumlar artan global ve lokal tehditlerle karģı karģıya Terör saldırıları, deprem, kasırga, yangın, vb. Tehditler çok dinamik ve iģ sürekliliğini bu boyutuyla da tehdit ediyor 2003 yılı bombalamaları, politik gelişmeler, 17 Ağustos depremi, vb. KarmaĢık Süreçler Karmaşık operasyonlarda karşı karşıya kalınabilecek kesinti yaratabilecek bir çok senaryonun olması (Regülasyon, afetler, vb.) Fonksiyonel süreklilik planları kuruma süreklilik kazandırmıyor İş sürekliliğini sağlayabilmek için fonksiyon bazında değil, süreç bazında yaklaşıp kuruma süreklilik kazandırmak gerekir. Bu da kurumun genelini etkileyen daha geniş bir çalışmayı işaret eder. 5 İş Sürekliliğinde Etkin Yönetişim Modeli
ĠĢ Sürekliliğine YaklaĢım İş Sürekliliği motivleri Ġlk 5 Güvenlik Ġnsiyatifi 2008 1 İş Sürekliliği (50%) Deloitte Küresel Finansal Sektör Güvenlik AraĢtırması na göre kurumların %44 ü kritik iş süreçlerini kurtarmak için planlarını oluşturmuş. 2 Kimlik Yönetimi (43,75%) 3 Güvenlik Altyapısı İyileştirme (43,75%) 4 Felaket Kurtarma (37,5%) 5 Uygulama Güvenliği (31,25%) Sırasıyla iş sürekliliği planlaması için motivler: Regulasyonlara uyum %75 Operasyonel esneklik ve süreklilik %75 Üst düzey yönetimin risk yönetimi sorumluluğu 63 % Kurum ününün korunması 44 % Önceki operasyon kesintileri 25 % 6 İş Sürekliliğinde Etkin Yönetişim Modeli
ĠĢ Sürekliliğine YaklaĢım İş Sürekliliği regülasyon yükümlülükleri PROBLEMLER ĠĢ sürekliliği sorunlarımız neler? BANKALARIN ĠÇ SĠSTEMLERĠ HAKKINDA YÖNETMELĠK 1 Kasım 2006 MADDE 9- İç kontrol sisteminin amacı ve kapsamı (2) İç kontrol sisteminden beklenen amacın sağlanabilmesi için; c) Acil ve beklenmedik durum planı hazırlanması, MADDE 13- Acil ve beklenmedik durum planı BANKALARDA BĠLGĠ SĠSTEMLERĠ YÖNETĠMĠNDE ESAS ALINACAK ĠLKELERE ĠLĠġKĠN TEBLĠĞ 14 Eylül 2007 MADDE 18 - Bilgi sistemlerine ilişkin iş sürekliliği ve kurtarma planı Yönetim kurulu tarafından onaylanmış bilgi sistemlerine ilişkin bir iş süreklilik ve kurtarma planı hazırlanır. MADDE 31 - Servis sürekliliği ve kurtarma planı 7 İş Sürekliliğinde Etkin Yönetişim Modeli
ĠĢ Sürekliliğine YaklaĢım Sürdürülebilir bir iş sürekliliği esnekliği sağlamak için ÇÖZÜM Nasıl bir yaklaģım benimsemeliyiz? Analiz Mevcut Durum Analizi Risk ve Tehdit Değerlendirmesi İş Etki Analizi GeliĢtirme Yönetişim İş Sürekliliği Stratejilerinin Belirlenmesi İş Sürekliliği Planının Geliştirilmesi Uygulama Risklerimizi kabul edilebilir seviyeye çekmek için bilgi güvenliği kontrollerini geliştirmeli ve uygulamalıyız. Organizasyonun güvenlik farkındalığını yükseltmeliyiz, güvenlik sorumluluklarını tanımlamalıyız. Güvence Sürekli İyileştirme, Kalite Güvencesi, Denetim ve Sertifikasyon 8 İş Sürekliliğinde Etkin Yönetişim Modeli
Deloitte ĠĢ Sürekliliği Metodolojisi
Deloitte ĠĢ Sürekliliği Metodolojisi Sürdürülebilir bir iş sürekliliği esnekliği sağlamak için 1 -Analiz 2- GeliĢtirme 3 - Uygulama YaklaĢımımız: 1 Mevcut Durum Analizi 4 - Yönetişim 7 Uygulama/ Kurulum The British Standards Institution BS 25999 2 - Risk ve Tehdit Değerlemesi 5 Erişilebilirlik / Geri Dönüş Stratejileri 8 Eğitim The Business Continuity Institute s Good Practice Guide ile uyumludur. 3 İş Etki Analizi 6 - Prosedürler 9 - Test 4 Güvence (10) Sürekli İyileştirme, Kalite Güvencesi, Denetim ve Sertifikasyon 10 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli
Etkin YönetiĢim Modeli Temel konular İş Sürekliliği Yönetimi Kurumsal Yönetişimin temel bir parçası olarak görülür. Yönetim Kurulunun ve üst düzey yönetimin sorumluluğu olarak tanımlanır. SOX BDDK düzenlemeleri Etkin İSY için yapılması gereken temel aktiviteler: İSY politika dokümanı İSY organizasyonunun rol ve sorumluluklarının belirlenmesi Temel Hedef: İSY ni güçlü organizasyonel yapı ve uygun politika ve prosedürlerle kurum kültürünün parçası haline getirebilmek 12 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Kritik Noktalar Üst düzey yönetim şampiyonu belirlemeli. Stratejik iş süreklilik amaçları belirlenmeli. İş etki analizi doğrultusunda belirlenen kurtarma öncelikleri anlaşılmalı ve yönetişim bu bilgileri doğrulamalıdır Personel ihtiyaçları yeniden değerlendirilmelidir. Programın tüm beklentileri karşıladığını garantilemek için personel değerlendirmesi yönetişim modeli baz alınarak yapılmalıdır. Acil durumlarda aynı anda olması gereken çeşitli görevler için aynı kişinin ataması kurumun riskini artırır. Rolleri doldurmak için birincil ve ikincil kaynakları belirlenmeli 13 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Yönetişim Yaklaşımı Liderlik Kurumda işin ve ilgili BT nin yönü nedir? Risk yönetimine ilişkin kültürel değerler nedir? Kritik hissedarlar nasıl temsil edilmelidir? Politika İSY nin temel işleyen kuralları neler olmalıdır? Hangi dahili İSY standartları, kuralları ve protokolları gereklidir? BCM YönetiĢim Kararları Gözlem & Kontrol Niteliksel karşılaştırma nasıl yapılmalıdır? (Benchmarking) Periyodik İSY ilerleme raporu nasıl oluşturulmalı ve gözden geçirilmelidir. Kritik bulguları gidermek üzere hangi düzeltici önlemler alınmalı? Organizasyon düzeltici önlemlerin alındığından nasıl emin olmalı? Planlama Kurumsal iş kurtarma stratejisi neler içermelidir? Kurumsal BT kurtarma amaçları neler olmalıdır? İSY programı yönetimi nasıl ölçülmeli? Bütçe Ayrılması Limitli kaynaklar etkili bir şekilde nasıl ayrılmalı? Yatırım için ne kadar kaynak var? İSY yatırım kararlarını belirlemek için hangi kriterler kullanılmalıdır? Harcamaları gözden geçirmek için nasıl bir süreç kullanılmalı? Koordinasyon & Uygunluk İSY standartlarının ve yükümlülüklerinin uyumunu sağlamak için nasıl bir süreç uygulanmalı? Kurumsal İSY kurum iş birimleri arasında kurtarma aktiviteleri konusunda nasıl bir koordinasyon sağlamalıdır? 14 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Yönetişim Yapı Denetim Komitesi Yönetim Kurulu Üst Yönetim Kadrosu İnsan Kaynakları Binalar İş Sürekliliği Yönetimi Düzenleyici Otoriteler Medya iliskileri Yasal Kurumsal Destek Ekibi İş Birimi Liderleri Kurumsal Bilgi Teknolojisi Kurtarma Risk Yönetimi Diğer İş Birimi Süreklilik Ekibi 15 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Rol Atamaları Etkin İş süreklilik yönetim modelinde iş sürekliliği yaşam döngüsünü organizasyonun yapısı içindeki sorumlu kaynaklara göre sıraya dizilir. Yönetişim çercevesi işlevler arası sorumlulukları atayan RACI matriksini içerir. Aşağıdaki RACI Yönetişim Çerçevesi örneği RACI matriksinin önemini vurgular. (R) Responsible (yetkili) İşi yapar (A) Accountable (Hesap verir) Ana sorumlu (C) Consulted (Danışılan) Girdi sağlar (I) Informed (Bilgilendirilen) Bilgi Akışı Görev Teknoloji ÇalıĢanı ĠĢ Birimi Yöneticisi ĠĢ Sürekliliği Koordinatörü CIO CRO (Chief Risk Officer) Sistem Kesintisini Belirleme R C I A I Durum Tayini C I C R A Felaket Bildirimi Onayı Yaşam Güvenliği Prosedürünü başlatma I R C I A I I R C A 16 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Takımların Rol ve Sorumlulukları Üst düzey Yönetici / Sponsor Roller CIO (Chief Information Officer) CFO (Chief Financial Officer) CRO (Chief Risk Officer) CTO (Chief Technology Officer) Sorumluluklar Yönetim Kuruluna karşı sorumludurlar. Öncelikleri belirleme Bütçe Tahsisi Politika belirleme Yaklaşım onaylama 17 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Takımların Rol ve Sorumlulukları ĠSY Program Ofisi / ĠĢ Sürekliliği Yöneticisi Sorumluluklar: Etkin iş süreklilik programı sağlar Başlıca statejik riskin belirlenmesi ve çözümlenmesini kolaylaştırır. Risk için süreçleri geliştirir ve kurumsallaştırır Riskleri belirlemek için iş birimleri arasında iletilişimi kolaylaştırmak Objektif gözden geçirmeyle sponsorları raporlama yapmak Risk planlamasının kalitesini sağlamak Tüm İSY çıktılarından final sorumluluğudur Üst yönetim ile çalışarak İSY stratejisini kurumun stratejisini ile uyumlandırır Yönetim kuruluna iş sürekliliği ile ilgili açık konuların raporlanmasını ve gözlemlenmesini sağlamak Düzenleyiciler ve yasal zorunlulıuklarla ilgili raporlama yapmak İSY test takvimi belirlemek 18 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Takımların Rol ve Sorumlulukları ĠSY Program Ofisi / ĠĢ Sürekliliği Yöneticisi - devam Sorumluluklar: İş süreklilik stratejilerini geliştirmek, gözden geçirimek ve onaylamak İş süreklilik politika ve prosedürlerini geliştirmek, gözden geçirimek ve onaylamak İş süreklilik politika ve prosedürlerinin uygulanmasını ve uyumunu sağlamak İSY girişimlerini önceliklendirmek İSY politika ve prosedürlerinin hayat döngüsünü yönetmek İSY farkındalık ve eğitim programını yönetmek 19 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Takımların Rol ve Sorumlulukları ĠĢ Birimi Yöneticileri Sorumluluklar: Sürekli olarak riskleri önceden belirlemek ve yönetmek İlgili riskler için bütünsel İSY planlarını oluşturmak ve güncellemek İlerleme ve aktiviteleri İSY proje yönetim ofisi (PMO) ile paylaşmak İş süreklilik politikası ve standartlarının uygulamasından ve yasal düzenlemelere uyumdan sorumlu olmak Kriz sırasında çalışmayı sağlayabilmek için iş kurtarma planlarını uygulamak İş biriminin iş sürekliliği faaliyetleri ve kaynakları için bütçelemeyi onaylamak ve öncelik vermek İş kurtarma planlarını onaylamak İş biriminin kurtarma önceliklerini belirlemek Departmanın iş sürekliliği programının yönetimi için yeterli personel sağlamak Risk değerlendirmesinin onayını ve iletilmesini sağlamak İş süreklilik politikasından sapma olduğu durumlarda risk kabulünü sağlamak. İşleri için iş sürekliliği eğitimini ve farkındalık programlarını gözlemlemek 20 İş Sürekliliğinde Etkin Yönetişim Modeli
Etkin YönetiĢim Modeli Başarılı İSY de Başarılı Yönetişim! Karmaşık kurum organizasyonu içinde İSY sorumlulukları netleştirilmeli, paydaşlar kendilerinden beklentileri net olarak anlamalıdırlar. Üst Yönetim doğrudan hesap verebilir konumda olmalıdır, gerekli kaynak ve bütçe tahsisinin yapılması sağlanmalıdır. Merkezi koordinasyon ile proje yönetimi gerçekleştirmeli, gerek kurum içinde gerekse yasal otoritelerle tek kanaldan iletişim sağlanarak karışıklık önlenmelidir. İSY nin kendini güncelleyecek kuralları oluşturması ve bunun kurumun yaşayan bir mekanizması haline getirilmesi etkin yönetişim ile sağlanacaktır. 21 İş Sürekliliğinde Etkin Yönetişim Modeli