İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği Zeki Yazar, Siemens Sanayi ve Ticaret A.Ş. Sayfa 1
Bir uygulama örneği olarak Siemens İş Sürekliliği Yönetimi İşe Etki Analizi Sayfa 2
Dünyada Siemens Sayfa 3
Türkiye de Siemens (Siemens Sanayi ve Ticaret A.Ş.) Sayfa 4
Türkiye de Siemens Sayfa 5
Bir uygulama örneği olarak Siemens İş Sürekliliği Yönetimi İşe Etki Analizi Sayfa 6
Neden İş Sürekliliği Yönetimi? Afete dayanma, işi sürdürme gereği, artan farkındalık Doğal ve insan kaynaklı afet tehditleri Altyapı sistemlerine bağımlılık Ekonomik çevredeki (örn. tedarikçiler) riskler Çalışanların, varlıkların, bilginin korunması Normale dönüş maliyetlerinin azaltılması Mevzuat gereklilikleri, iç ve dış denetimler Müşteri beklentileri, pazar gereklilikleri İmaj kaybının engellenmesi Sayfa 7
Siemens de Önleyici Kriz Yönetimi (~ İş Sürekliliği Yönetimi) İş süreçlerini katlanılmaz ölçüde kesintiye uğratan bir olaya karşılık verme ve işi sürdürme dayanıklılığını arttırma amacıyla işe etki analizleri temelinde gerekli insan, süreç ve teknolojiyle ilgili tüm önlemlerin yönetimi (planlama, tatbikat, eğitim, vb.) Business Continuity Management Standard (BS25999) BSI BS25999 Sayfa 8
BS25999: İş Sürekliliği Yönetimi Standardı İş sürekliliği yönetimi döngüsü (BS25999) Tatbikat, gözden geçirme 2 İşin anlaşılması 5 1 Program Yönetimi 3 İş sürekliliği stratejisinin belirlenmesi 6 İş sürekliliği kültürünün geliştirilmesi 4 İş sürekliliği için müdahale planlama ve uygulaması Sayfa 9
1- Program Yönetimi (Siemens Acil Durum Yönetimi) İş sürekliliği yönetimi politikası Şirket genelgeleri (2001: AHO*, 2005: ÖKY) Acil Durum Yönetimi (ADY) El Kitabı (Politika) Program kapsamı Siemens Sanayi ve Ticaret A.Ş. Program yöneticisi, program ekibi ADY organizasyonu (Başkan: Genel Müdür) Program yönetimi, belgeleme Şirket ADY programı Tanımlı Önleyici Kriz Yönetimi süreci ADY El Kitabı Süreç, işe etki ve risk analizi, strateji seçimi, iş sürekliliği planı, eğitim, test vb. 1 Program Yönetimi * Afete Hazırlık Organizasyonu (Disaster Preparedness Organization) Sayfa 10
1- Program Yönetimi (Siemens Acil Durum Yönetimi) ADY organizasyonu Kurulu BT Bilgi Kurtarma Merkezi, plan ve testler Mevcut ÖKY, İşe Etki ve Risk Analizi yöntemi ve deneyimi Sayfa 11
2- İşin anlaşılması (İşe Etki ve Risk Analizi) İşe etki analizi (Business Impact Analysis, BIA) İşe etki analizi yöntemi, yol haritası Kritik süreçler ve kaynaklar Kritik süreçlerin belirlenmesi (Süreç Yönetimi) Kritik kaynaklar ve bağımlılıkların belirlenmesi İşe etki ve dayanma süresi 2 İşin anlaşılması Maks. Dayanma Süresi, kurtarma süresi/noktası (RTO/RPO) Risk analizi Kritik süreç risklerini değerlendirme (SEÇ ve BG risk analizleri) Stratejik seçenekler 4T: İş Sürekliliği (Treat), Kabul (Tolerate), Aktarma (Transfer), Bitirme (Terminate) Sayfa 12
3- İş sürekliliği stratejisi Strateji seçimi 4T ye göre kritik süreç ve kaynaklar için strateji kararı (max. katlanma süresi, stratejinin maliyeti, önlem almamanın sonuçları) Stratejilerin belirlenmesi İnsan (örn. belgeleme, eğitim, dış destek) Bina/Tesis (örn. alternatif yerleşim, uzaktan çalışma) Teknoloji (coğrafi yayılım, yedek araç/gereç, IT) Bilgi (kağıt ve elektronik ortamdaki bilgi kurtarma) Tedarikçi (stok, tedarik sözleşmesi, alternatif tedarikçi) Paydaşlar (sosyal sorumluluklar) 3 İş sürekliliği stratejisinin belirlenmesi Sayfa 13
4- Olay/İş sürekliliği planları 5- Tatbikat, gözden geçirme 6- İş sürekliliği kültürü Olay yönetimi ADY Kriz Yönetimi Planlar Acil Durum Planları/Ekipler İş Sürekliliği Planları 4 İş sürekliliği planlama ve uygulaması 5 Tatbikat, gözden geçirme Tatbikat programı ADY tatbikatı (ör. yangın), BT bilgi kurtarma testi İş sürekliliği planı testi Değerlendirme Gözden geçirme, denetim 6 İş sürekliliği kültürünün geliştirilmesi Bilinçlendirme ADY intranet Eğitim ADY eğitimi (örn. yangın, sivil savunma) İş sürekliliğiyle ilgili bilgilendirme Sayfa 14
Bir uygulama örneği olarak Siemens İş Sürekliliği Yönetimi İşe Etki Analizi Sayfa 15
İşe Etki Analizi (İEA) Yöntemi Bir iş kesintisinin zaman içinde iş süreçleri üzerindeki olası etkisi Analiz sonucunda, her kritik iş süreci için, zaman içinde kesintiden etkilenme derecesi, maksimum dayanma süresi (MDS), süreç bağımlılıkları ortaya konur. 2 İşin anlaşılması İşe Etki Analizinde belirlenecekler: 1. Kritik iş süreçleri 2. Kritik kaynaklar ve süreç bağımlılıkları (süreklilik gerekleri) 3. Kesintiden etkilenme derecesi ve dayanma süresi İşe Etki Analizi Risk Analizi Süreklilik Stratejisi 2 3 Sayfa 16
İşe Etki Analizi (İEA) Yöntemi (1) Kritik iş süreçleri Mevcut süreç yönetimi araçlarından yararlanma İşe etki kategorileri: Finansal / Operasyonel / Müşteri / Çalışan Yönetici çalıştayı ve onayı 2 İşin anlaşılması yönetim onayı Sayfa 17
Planlama Analiz Tanımlama Devreye alma Gözden geçirme Uygulama Minimum İş Sürekliliği Düzeyi (MİSD) Süreçler (%) İşe Etki Analizi Yöntemi (2-3) Süreklilik gerekleri, katlanma süresi 1... 6 Kriz göstergeleri Kriz başlangıcı Tanım: Krizler, bir yerleşim, iş birimi ya da şantiyenin dış etkenler sonucu varlığının tehlikeye düştüğü veya çalışanlar ve varlıkların tehdit altında olduğu olaylardır. Normal Düzey 100% ŞİRKET RİSKİ Maksimum Dayanma Süresi (MDS) normale dönüş süresi Önleyici Kriz Yönetimi ÖKY => İşe Etki ve Risk Analizleri => İş Sürekliliği Planlaması Kriz Yönetimi Kurtarma ekibi iş başında İş Sürekliliği Yönetimi (BCM) / Normale dönüş (Restoration) İş sürekliliği ekibi iş başında Organizasyon, oluşturma ve kontrol Koordinasyon Zaman (t) Sayfa 18
İşe Etki Analizi (İEA) Yöntemi (2-3) Süreklilik gerekleri, katlanma süresi Her bir kritik süreç için: 2. Kritik kaynaklar ve süreç bağımlılıkları (süreklilik gerekleri) Gereken kaynaklar: Personel, Altyapı, Teknoloji, Bilgi, Tedarikçi Süreç bağımlılıkları: Yasal, Müşteri, Diğer süreçler 2 İşin anlaşılması 3. Kesintiden etkilenme derecesi ve dayanma süresi Zamana bağlı olarak etkilenme derecesi (Yüksek-Orta-Düşük) Maksimum Dayanma Süresi (MDS; RTO daha küçük olmalı) Minimum İş Sürekliliği Düzeyi (MİSD) yönetim onayı Sayfa 19
Risk Analizi Mevcut risk analizi yöntemleri: 1. İş Sağlığı ve Güvenliği Risk Analizi 2. Çevre Etki Analizi 3. Bilgi Güvenliği Risk ve Zayıf Nokta Analizi 4. Kurumsal Risk ve Fırsat Yönetimi 5. Proje ve Süreç (FMEA) Risk Analizleri 6. SOA Finansal Raporlama Kontrolleri (risk temelli) 7. İç Kontrol Sistemi (risk temelli) Mevcut analizleri kritik iş süreçleri/kaynaklara yansıtma 2 İşin anlaşılması yönetim onayı Sayfa 20
İş Sürekliliği Stratejisi Olasılık 3 İş sürekliliği Etki stratejisinin İş sürekliliği strateji örnekleri: belirlenmesi Hiç bir şey yapmama (kritik olmayan süreçler) Mevcut kaynakları (personel, alan) kritik süreçlere kaydırma Uzaktan (ev, otel) çalışma, mobil işletme Karşılıklı süreklilik sözleşmeleri Satın alma sözleşmeleri, dış hizmet kullanma Dayanıklı süreçler (çift yerde işletme, sürekli erişilirlik) Sigortalama İşe Etki ve Risk Analizi çıktıları Fayda/Maliyet Analizi Süreklilik Stratejisi yönetim onayı Sayfa 21
Öneriler Organizasyon ve Program Yönetimi Üstyönetim desteği; net strateji, risk toleransı ve sorumluluklar İşlevsel merkezi koordinasyon BT dışı (ör. İnsan Kaynakları, İletişim, Satınalma) işlevler Önleyici ve giderici yanların bağı İşe Etki ve Risk Analizi Mevcut sistem yönetimiyle bütünleşme Kurum kültürüne uyma ve geliştirme Altsüreçlerin ve dış etkenlerin etkileşimi Sayfa 22
Son İzlediğiniz için teşekkürler! Sayfa 23