GTAG 10 - Türkiye İç Denetim Enstitüsü
Transkript
GTAG 10 - Türkiye İç Denetim Enstitüsü
GTAG GLOBAL TEKNOLOJİ DENETİM REHBERİ UMUÇ – UYGULAMA REHBERİ GTAG 10 İŞ SÜREKLİLİĞİ YÖNETİMİ Global Teknoloji Denetim Rehberi (GTAG) BT yönetimi, kontrolü ve güvenliğiyle ilgili güncel bir konuyu ele almak üzere basit bir ticari dille yazılan bu GTAG, iç denetim yöneticileri için teknolojiyle ilintili farklı riskler ve önerilen uygulamalar hakkında hazır bir kaynak teşkil eder. Bilgi Teknolojisi Kontrolleri: Ele alınan konular arasında,bilgi teknolojisi kontrolü kavramları, BT kontrollerinin önemi, etkin ve etkili BT kontrolleri için kurumsal görev ve sorumluluklar, risk analizi ve izleme teknikleri yer alır. Değişiklik ve Yama Yönetimi Kontrolleri: Değişiklik ve yama yönetimi kontrollerinin BT risklerini ve maliyetlerini ve uygulamada neyin işe yarayıp neyin yaramadığını açıklamanın yanı sıra değişikliklerin kaynaklarını ve bunların işletme hedefleri üzerinde ne tür olası etkiler meydana getirdiğini açıklar. Sürekli Denetim: Sürekli denetimin günümüz iç denetim ortamındaki rolünü; sürekli denetimin, sürekli izleme ve sürekli güvenceyle ilişkisini ve sürekli denetim uygulamasını ve bunun uygulamaya konmasını ele alır. BT Denetim Yönetimi: BT denetim sürecinin nasıl uygulanacağının ve yönetileceğinin yanı sıra BT’yle ilişkili riskleri ele alır ve BT denetim evrenini tanımlar. Gizlilik Risklerinin Yönetimi ve Denetimi: Global gizlilik ilkelerini ve çerçevelerini, gizlilik risk modellerini ve kontrollerini, iç denetçilerin görevlerini ve denetim süreci boyunca sorulması gereken en önemli 10 gizlilik sorusunu ve daha fazlasını ele alır. BT Zafiyetlerinin Yönetimi ve Denetimi: Diğer konuların yanı sıra zafiyet yönetimi yaşam döngüsünü, bir zafiyet yönetimi denetiminin kapsamını ve zafiyet yönetimi uygulamalarını değerlendirmek için kullanılacak ölçütleri ele alır. Bilgi Teknolojisinde Dış Kaynak Kullanımı: Doğru BT dış kaynak satıcısının seçimi konusunda nasıl karar verileceğini ve müşteri ve hizmet sağlayıcısının operasyonlarından elde edilen kilit dış kaynak kullanım kontrol mülahazalarını ele alır. Uygulama Kontrollerinin Denetimi: Bir risk esaslı uygulama değerlendirmesinin nasıl inceleneceğinin yanı sıra uygulama kontrolü kavramını ve bunun genel kontrollerle ilişkisini ele alır. Kimlik ve Erişim Yönetimi: Kimlik ve erişim yönetiminin (IAM) kilit kavramlarını, IAM süreciyle ilişkili riskleri, IAM süreçlerinin denetimiyle ilgili ayrıntılı bir rehberliği ve denetçiler için örnek bir kontrol listesi içerir. BT Denetim Planını Geliştirme: İşin anlaşılmasından, BT denetim evreninin tanımlanmasından ve bir risk değerlendirmesinin yapılmasından BT denetim planının hazırlanmasına kadar adım adım bir BT planının nasıl geliştirileceğine dair rehberlik sağlar. İş Sürekliliği Yönetimi Yazarlar David Everest, Key Bank, Roy E. Garber, Safe Auto Insurance Co., Michael Keating, Navigant Consulting, Brian Peterson, Chevron Corp. Temmuz 2008 Telif Hakkı © 2008 247MaitlandAvenue, Altamonte Springs, FL 32701-4201, ABD merkezli Uluslararası İç Denetçiler Enstitüsü’ne aittir. Tüm hakları mahfuzdur. Amerika Birleşik Devletleri’nde basılmıştır. Bu yayının hiçbir bölümü, yayıncının ön yazılı izni alınmaksızın hiçbir şekilde ve tarzda – elektronik, mekanik, fotokopi çekme, kaydetme veya başka şekillerde – çoğaltılamaz, bir yedekleme sisteminde saklanamaz veya her ne surette ve yolla olursa olsun iletilemez. IIA, işbu dokümanı bilgilendirme ve eğitim amaçları için kullanılmak üzere yayımlamaktadır. Bu doküman bilgilendirme amacıyla hazırlanmıştır; hukuki veya muhasebeyle ilgili bir tavsiye değildir. Bu dokümanı yayımlayarak, IIA böyle bir tavsiyede bulunmaz ve herhangi bir hukukî veya muhasebe sonucuna ilişkin bir garanti vermez. Hukukî veya muhasebeyle ilgili herhangi bir sorunla karşılaşıldığında, profesyonel yardıma aranmalı ve kullanmalıdır. GTAG – İçindekiler İçindekiler Tablosu 1. YÖNETİCİ ÖZETİ… ……………………………………………………. 1 2. GİRİŞ ……………………………………………………………………………. 3 2.1 BCM’nin Tanımı ………………………………………………………... 3 2.2 Kriz Yönetimi Planlaması ………………………………………………. 3 2.3 Bir Felaket Durumunda BT’nin Kurtarılması ……………………........... 3 3. BİR İŞ VAKASI OLUŞTURMA ………………………………………………. 4 4. İŞ RİSKLERİ …………………………………………………………………… 5 5. 4.1 Yaygın Felaket Senaryoları …………………………………………….. 5 4.2 Felaketlerin Yaygın Etkileri ……………………………………………. 6 BCM GEREKLİLİKLERİ ……………………………………………………… 7 5.1 Yönetim Desteği ………………………………………………………… 7 5.2 Risk Değerlendirme ve Risk Hafifletme ………………………………… 8 5.3 İş Etki Analizi …………………………………………………………… 10 5.4 İş Kurtarma ve Süreklilik Stratejisi ……………………………………… 11 5.5 BT için Felaket Durumunda Kurtarma …………………………………... 12 5.6 Farkındalık ve Eğitim ……………………………………………………. 14 5.7 BCM Programının Sürdürülmesi ………………………………………… 14 5.8 İş Sürekliliği Tatbikatı …………………………………………………... 15 5.9 Kriz İletişimi ……………………………………………………………... 18 5.10 Dış Kurumlarla Koordinasyon …………………………………………… 18 6. ACİL DURUM CEVABI ………………………………………………………... 19 7. 8. 9. KRİZ YÖNETİMİ ……………………………………………………………….. 20 SONUÇ/ÖZET …………………………………………………………………... 21 EKLER …………………………………………………………………………... 22 9.1 Örnek BCP Denetim Rehberi ……………………………………………..22 9.2 BCM Standartları ve Kılavuz İlkeler …………………………………….. 22 9.3 BCM Kapasitesi Olgunluk Modeli ………………………………………. 23 SÖZLÜK ………………………………………………………………………….32 YAZARLAR HAKKINDA ……………………………………………………… 33 10. 11. GTAG – YÖNETİCİ ÖZETİ 1. YÖNETİCİ ÖZETİ İş dünyasındaki çoğu çalışan, başarılı bir işletmeyi yönetme sürecinde kurumsal yöneticilerin zamanlarının kayda değer bir bölümünü piyasayı inceleme, stratejiler geliştirip uygulama, performans hedefleri ve finansal hedefler oluşturma, işletme operasyon planları geliştirme ve uygulama, finansal sonuçları raporlama ve paydaşlara iletme konusunda harcadıklarını kabul edecektir. Dünya çapında 2000 yılı için hazırlanmadan önce, iş sürekliliği yönetiminin (Business Continuity Management-BCM) daima her kurumsal yöneticinin öncelik listesinde üst sıralarında yer almadığını çoğu kabul edecektir. Yakın tarihte yaşanan felaketler, iş sürekliliği (BC) riskleri ve söz konusu risklerin kurumsal finans faaliyetleri ve operasyonlar üzerindeki etkisine ilişkin farkındalığı arttırmış olsa da, hâlâ uyarı sinyallerini dikkate almayan ve olası bir felakete veya iş aksamasına hazır olmayan kurumlar vardır. İnsan eliyle meydana gelen ve doğal afetler nedeniyle yaşanan iş aksamaları öngörülemeyebilir; ancak etkin ve etkili bir BCM programı, genel kurumsal yönetişim çerçevesinin bir parçası hâline gelmişse, bu tür aksaklıkların etkileri kontrol altına alınabilir. BCM’nin amacı, bir felaket ilan edildikten sonra bir kurumdaki kritik iş süreçlerinin geriye döndürülmesini sağlamaktır. BCM, iş değeri esas alınarak olası riskleri karşılayacak iş sürekliliği kapasitelerini yaratmak için tasarlanmış basit bir risk yönetimi meselesidir. İşletmelerinin tamamını veya bir bölümünü uzun bir süre işlemez hâle getirebilecek olaylara karşı yeterince hazır olmayan büyük, orta ve küçük şirketler bulunmaktadır. 11 Eylül 2001 terör saldırılarının ardından, ABD hava yollarının; Londra bombalamalarının ardından TfL’nin (Transport for London) ve 2004’teki tsunami felaketinden sonra Sri Lanka ve Tayland’daki ticari balıkçılık sektörünün başına gelenler dâhil belgelenmiş vakalar, şirketlerin veya bütün bir sektörün öngörülemeyen felaketler karşısında hazırlıksız olmalarından dolayı nasıl büyük ve önemli finansal kayıplara uğradıklarını göstermiştir. Bir kurumun uğrayabileceği zararlar arasında müşteri, kâr, itibar veya resmi makamlardan alınan ruhsatlar/onaylar ve benzerinin kaybı da yer alabilir. Hazırlıksız olma, işletmeyi, işletme türüne göre değişen bir risk derecesine maruz bırakır. Sektördeki ekonomik düşüşlerden, bilgilendirilmiş yönetimin olmayışından ya da kurumun diğer kararlarından dolayı, iç denetim yöneticileri (İDY) gibi BCM programını savunanlar daha iyi ve gelişmiş bir BCM programıyla ilgili icraî yönetime ilettikleri önerilerin genellikle göz ardı edildiğini veya uzak bir tarihe ertelediğini görmektedirler.Mesela, bir denetim veya başka bir keşif aracı yoluyla yönetimin ilan edilmiş bir felaket durumunda aksamalara neden olabilecek olayların meydana gelme olasılıklarına göre işletme operasyonlarını ve sistemlerini, kurumun işletme, finans ve operasyonel amaçlarına uygun bir şekilde kurtaracağı konusunda yeterince kanıt sunamadığı tespit edildiği takdirde, İDY,yönetime ve denetim komitesine BCM yetersizliklerini bildirmekten sorumludur. Bu Global Teknoloji Rehberi (GTAG), İç Denetim Yöneticilerinin bakış açılarından hareketle yazılmıştır. İç Denetim Yöneticileri (İDY), kurumsal yöneticilere bir BCM programı edinme konusundaki riskler, kontroller, maliyetler ve faydalar hakkında eğitim verme zorluğuyla karşı karşıya kalmışlardır. Son dönemlerde dünya çapında yaşanan felaketler bazı kurumsal liderleri BCM programlarını dikkate alma konusunda motive etmişse de, diğer kurumsal liderler böyle bir riski kabul etmemişler ve/veya hiç ele almamışlardır. Buradaki kilit zorluk, GTAG – YÖNETİCİ ÖZETİ kurumsal yöneticileri bir BCM programını öncelik hâline getirmek konusunda sevk etmektir.Yüzeysel olarak, hemen her yönetici BCM programının iyi bir fikir olduğunu söyleyecektir; fakat iş uygulamaya gelince, sadece bir kısmı programı fonlamak için gereken bütçeyi ve programın başarılı olmasını sağlayacak zamanı olan bir yönetici sponsoru bulmaya çalışacaktır. Bu rehber, hem İDY’nin işletme süreklilik riski farkındalığını anlatmasını sağlayacak hem de bir BCM programı geliştirip bakımını yapması konusunda yönetime destek olacaktır. Şekil 1’de de gösterildiği gibi, İDY, Acil Durum Yönetim Programının üç unsurundan biri olan BCM’nin rolünü anlamalıdır. (Not: Acil Durum Yönetimi tüm dünyada farklı yönetim ve işletme sektörlerinde kullanılıyor olabilir; fakat bu durum onu standart meslekî bir terim yapmaz.). Acil durum müdahalesi (ER), bir felaketten kaçınmaya, felaketi ertelemeye veya engellemeye ve kurumu söz konusu felakete cevap verme konusunda hazırlamaya odaklanan ilk müdahaledir. ER’nin amacı; hayat kurtarmak, güvenliği sağlamak ve varlıkların zarar gerçekleştirmektir. Kriz Yönetimi (CM), bir felaket durumunda bir kurumun dış – bazı şirketlerde iç – iletişiminin ve üst yönetimin faaliyetlerinin yönetilmesine odaklanır. ER ve CM’nin yerleşmiş ve olgunlaşmış olduğu yerlerde bile BCM üzerinde yeterince durulmamış olabilir. BCM kapasiteleri, bir felaket veya işletme sırasında bir işletmenin maruz kalabileceği finansal ve diğer etkileri en aza indirmek amacıyla kritik iş süreçlerini kurtarmaya odaklanır. CM ER ve CM ile entegre edilmeli; fakat ayrı bir program olmalıdır. Bir kriz olayına etkin müdahale, kurumun Acil Durum Yönetim programının olaydan önce düzgün çalışmasına bağlıdır. Bu noktayı anlamak programda fark yaratılmasını sağlar. DAKİKA K R İ Z SAAT GÜN HAFTA Acil Müdahale Kriz Yönetimi İş Sürekliliği Şekil1. Acil Durum Yönetim Programı Asıl önemli olan, İDY’nin iş sürekliliğiyle ilgili aşağıdaki basit ve önemli üç soruya yanıt verebilmesi gerektiğidir: 1. Kurum yönetimi, şu anki iş sürekliliği riski düzeyini ve olası kayıp düzeylerinin potansiyel etkilerini anlıyor mu? 2. Kurum, iş sürekliliği risklerinin kabul edilebilir bir seviyeye düşürülerek hafifletildiğini ve bunun periyodik olarak düzeltilerek yenilendiğini kanıtlayabilir mi? 3. Kabul edilemez bir iş sürekliliği riski varsa ve buna rağmen kurum riski almaya karar vermişse, kurum sahiplerinin, işletme ortaklarının ve diğer işletme bileşenlerinin kurumun riski hafifletmediğinden haberleri var mıdır? Ayrıca riski göze alma kararı uygun bir şekilde belgelenmiş midir? Eğer bu sorulardan herhangi birisinin cevabı “hayır” ise, bu GTAG faydalı olabilir. Bu GTAG’ın amacı, özellikle, İDY’lerin BCM programını, risklerini ve kontrollerini anlamalarını sağlamayı ve onları hem yönetim düzeyindeki hem de kurul düzeyindeki GTAG – YÖNETİCİ ÖZETİ tartışmalara hazırlamaktır. Bu GTAG’ın değeri, üst-düzey bir özeti, yönetici okurlara basit bir ticari dille sunmasında ve iç denetçilere denetim değerlendirmeleri konusunda ayrıntılı bir rehber sağlamasında yatmaktadır. Bu GTAG, kurumun çalışma durumunu uzun süre etkileyebilecek doğal veya insan kaynaklı aksamalara neden olabilecektir olay meydana gelmesi durumunda, işletme yöneticilerinin kurumun karşılaşabileceği potansiyel risk düzeyini yönetmelerini sağlayacak bir program veya çerçeve olarak BCM’nin nasıl tasarlandığı üzerinde durur. Rehber, ayrıca, kritik bilgi teknolojisi altyapısının sürekliliğini ve işletme uygulama sistemleri için felaket kurtarma planlamasını (DRP) içerir; çünkü işletme fonksiyonlarının çoğu büyük ölçüde otomatiktir. Bu özellik, İDY’nin etkin ve etkili bir değerlendirme uygulaması için bir temel oluşturmasına ve kilit bilgileri paydaşlara bildirmesine yardım eder. GTAG – Giriş 2. Giriş Bu GTAG, yönetim organlarının, yöneticilerin ve iç denetçilerin işletme kurtarma kapasitelerinin etkinliğini ve söz konusu kapasitelerin işletme üzerindeki etkilerini ele almak için ihtiyaç duydukları bilgilere yer verir. Diğer mesleklerden kişiler de rehberi faydalı ve ilgili bulabilirler. Bu rehber, BCM kapasitelerini değerlendirmeyle ilgili bilgiler sunar ve kapsamlı bir programın farklı bölümlerini ve kurum için doğru programın nasıl oluşturulacağını açıklar. 2.1 BCM’in Tanımı İş sürekliliği yönetimi, bir kurumun temel görevlerini ve uzun vadeli geleceğini tehlikeye atabilecek olaylara karşı hazırlanmak için kullandığı bir süreçtir. Bu tür olaylar arasında bina yangınları gibi yerel bazlı olaylar, depremler gibi bölgesel bazlı olaylar veya pandemik hastalıklar bulunur. BCM’nin kilit bileşenleri şunlardır: 2.2 Yönetim Desteği – Yönetim, yeterli kaynak, insan gücü ve bütçelendirilmiş fonlar ayırarak, bir iş sürekliliği planını (BCP) uygun şekilde hazırlamak, sürdürmek ve uygulamak için destek vermelidir. Risk Değerlendirme ve Risk Hafifletme-Yangın, sel vb. tehlikelerden kaynaklanabilecek potansiyel riskler tespit edilmeli, söz konusu tehlikelerin görülme olasılığı ve işletme üzerindeki potansiyel etkileri saptanmalıdır.Olası tüm makul olayların anlaşıldıklarından ve gerektiği gibi yönetilebildiklerinden emin olmak için bu işlem,hem tesis hem de bölüm düzeyinde yapılmalıdır. İş Etki Analizi (BIA) – BIA, bir felaket durumunda ilgili işletme biriminin çalışmaya devam etmesi için hayati önemdeki iş süreçlerini tanımlamak ve bir felaketin ardından söz konusu süreçlerin ne kadar kısa sürede kurtarılması gerektiğini tespit etmek amacıyla kullanılır. İş Kurtarma ve İş Sürekliliği Stratejisi –Bu strateji, bir kritik iş sürecini kurtarmak için gereken gerçek basamakları, kişileri ve kaynakları ele alır. Farkındalık ve Eğitim –BCM programı ve PC planları hakkındaki eğitim ve farkındalık, planın uygulanması için kritik önemi haizdir. Tatbikatlar – Çalışanlar, BCM programı ve BC planlarına ilişkin düzenli bir şekilde programlanmış uygulama tatbikatlarına katılmalıdırlar. Sürdürme– BCM kapasiteleri ve dokümanları, etkin ve etkili olmaya ve işletme önceliklerine uygun olmaya devam etmelerini sağlamak için korunmalıdır. Kriz Yönetimi Planlaması Kriz yönetimi planlaması, kurumun kamuoyunu, çalışanlarını ve çeşitli paydaşlarını krizden ve işletmeyi tekrar ayağa kaldırmak için atılması gereken adımlardan nasıl haberdar edeceğini ele alır. Bir CM (Kriz yönetimi) planı, hem gerçek kriz durumuna hem de kriz algısına cevap vermede kullanılan,belgelendirilen yöntemlerden oluşur. CM, aynı zamanda, hangi senaryoların bir kriz oluşturduğu tanımlayacak ölçütler oluşturmayı içerir GTAG – Giriş ve sonuçta da gerekli cevap mekanizmalarını tetiklemelidir. Acil durum yönetim senaryolarına cevap verme aşamasında cereyan eden iletişim faaliyetinden oluşur. 2.3 Bir Felaket Durumunda BT’nin Kurtarılması Bilgi Teknolojileri (BT) bileşenlerini felaket durumunda kurtarma, bir felaketten sonra verilere (kayıtlar, donanım, yazılım vb.), iletişim araçlarına (e-posta, telefon vb.), çalışma alanına ve diğer iş süreçlerine yeniden erişim kazanmak da dâhil, işlerin kaldığı yerden devam etmesi için gereken operasyonları kurtarmayı destekler. Kurumun kritik önemdeki kayıtlarını başarılı kurtarma olasılığını arttırmak için BCM planıyla uyumlu olarak iyi ve etraflıca bir test edilmiş bir felaket kurtarma planı hazırlanmalıdır. GTAG – Bir İş Vakası Oluşturma 3. İş Vakası Oluşturma Dünyada deprem veya kasırga yaşanma ihtimali yüksek olan yerlerde acil durumlara hazırlıklı artık işletmelerin tek kaygısı değildir. Hazırlıklı olma, günümüzde salgın hastalıklar ve doğal afetlerin yanı sıra terör saldırıları gibi insan kaynaklı felaketlere karşı hazırlıklı olmayı da kapsamalıdır. Acil bir durumda ne yapacağını bilmek, hazırlıklı olmanın önemli bir parçasıdır ve saniyelerin bile önemli olduğu durumlarda fark yaratabilir. Hazırlıklı olmanın amacı, iş süreçlerini müşteri açısından olabildiğince şeffaf bir yolla yeniden başlatmaktır. Hem büyük ölçekli hem de küçük ölçekli işletmeleri aynı şekilde etkileyen son zamanlarda yaşanan katastrofik (feci) olaylardan bazıları aşağıda sıralanmıştır: SARS virüsü salgını (Kasım 2002’den Temmuz 2003’e kadar) dünya çapında 8,096 bilinen enfeksiyon vakasına ve 774 ölüme yol açmıştır. Bir pandemiye dönüşmek üzere salgın, Kuzey Amerika’daki Çin restoranlarında kayda değer - kimi durumlarda %90 oranında- bir düşüşe neden olmuştur. Büyük şehirlerde yapılması planlanan konferans ve toplantıların çoğu iptal edilmiştir. Ayrıca hükümet müdahalesi bilinen enfeksiyonların görüldüğü ülkelerdeki çoğu şirket açısından (seyahat, arz zinciri gibi) normal işletme fonksiyonlarını sekteye uğratmıştır. 11 Eylül 2001’de Pentagon ve Dünya Ticaret Merkezi’ne düzenlenen terör saldırıları Pearl Harbor bombalamasından bu yana ABD topraklarında düzenlenen en yıkıcı saldırılar olmuşlardır. 11 eylül saldırıları, yalnızca askeri süreçleri etkisiz bırakmakla kalmamış sivil süreçleri ve ABD işletmelerini de hedef almıştır. 7 Temmuz 2005 Londra bombalamaları, Londra toplu ulaşım sistemini hedef alan teröristler tarafından planlanmış bir dizi bombalamadır. 50 kişinin ölümüne ve 700’den fazla kişinin yaralanmasına neden olan bu saldırılar hem Londra’nın toplu ulaşım sistemini hem de ülkenin mobil telekomünikasyon sistemini tahrip etmiştir. Katrina Kasırgası (23 Ağustos, 2005), belki de ABD tarihinde en fazla maddi zarara yol açan doğal afettir. Yaşanan felakette ve ardından meydana gelen sel felaketinde en az 1830 insan yaşamını kaybetmiştir. Katrina Kasırgası, endüstriyel (çoğunlukla zeytinyağı, rafineri ve kimyasal), ticari (çoğunlukla hastane) tesisler ve tarım tesisleri de dâhil ABD’de yaklaşık 81,2 milyar dolar zarara yol açmıştır. Amerikan Bankalar Birliği ve Bankacılık İdaresi Enstitüsü, 1983 yılından bu yana, destekleyici üyelerinin kamu yararını gözeten operasyonel süreklilik uygulamalarını (daha sonra daha resmi olan BCP el kitapçıklarıyla desteklenmiştir) edinmelerini şart koşmaktadır. Daha yeni standartlar, genellikle ISO / IEC 25002 çerçevesinde tanımlanan resmileşmiş standartları esas almıştır. Çoğunlukla, bir BCM programının değeri, o programı kullanmak gerekmedikçe anlaşılamaz. Bir felaket gelip çatana kadar bir BCM programının değerinin anlaşılamamasının nedeni belki de, bir BCM programına yatırım yapmanın getirisini hesaplanın zor olmasıdır. Yönetim, böyle bir durum ortaya çıkarsa, işletmenin devam etmesi, fakat farklı koşularda devam etmesi gerektiğini anlamalı ve kabul etmelidir. GTAG – Bir İş Vakası Oluşturma İşletme yöneticileri, bir felakete karşı hazırlıklı olmanın maliyetiyle yaşanan felakete bağlı olarak işletmenin kapılarını bir hafta, bir ay veya sonsuza kadar kapatmanın maliyetini iyi tartmalıdırlar. Dünya çapında pek çok devlet belirli birtakım sektörlerin test edilmiş bir BCP programlarının olmasını şart koşar. Amerika Birleşik Devletleri’nde finans, altyapı hizmetleri (elektrik, su vb. hizmetler) ve sağlık sektörlerindeki tüm işletmeler güncellenmiş bir BCP programı bulundurmak zorundadırlar. Etkin ve etkili bir BCM için genel veya sektöre özel standartlar ve kılavuzlar vardır (Bakınız. Ek: BCM Standartları ve Kılavuzları, sayfa 22). Dünya Ticaret Merkezi’ne 1993’te düzenlenen ilk saldırıda Morgan Stanley (MS) önemli bir ders almıştır. MS çalışanlarından hiçbiri hayatını kaybetmemiş, fakat tüm çalışanların binayı terk etmesi dört saat almıştır. Bunun sonucunda yönetim BCP planının güncellenmesi gerektiğine karar verilmiştir. MS, kendi işletme operasyonlarını ve olası bir felaketin yaşanma riskini dikkatle incelemiş ve yeni bir plan geliştirmeye karar vermiştir. 11 Eylül 2001’de söz konusu planlama sonuç vermiştir. Kaçırılan ilk uçak, saldırı yapılan Dünya Ticaret Merkezi kulelerinden ilkine çarptıktan sonra MS güvenliği tüm binayı boşaltmıştır. Binayı boşaltmak yalnızca 45 saniye sürmüş ve bu da günlük operasyon verilerini kurtarmaları için onlara yeterince zaman sağlamıştır. ER kapasitelerinin geliştirilmesi ve iyileştirilmesi neyse ki çok sayıda hayat kurtarmıştır. BCM kapasiteleri de yapılan gözden geçirme işleminin bir parçası olarak geliştirilmiş ve iyileştirilmiştir. GTAG –İşletme Riski 4. İşletme Riskleri Dünyanın her yerinde sürekli felaketler yaşanıyor. Kasırgalar, seller, depremler ve yangınlar hayatları darmadağın ediyor. Yangınlar, elektrik kesintileri ve terörizm gibi insan kaynaklı felaketlerde en az bunlar kadar tahrip edicidir. Bir araya geldiklerinde tüm bu riskler, işletme için her zamanki gibi risk teşkil eder. Bazen bu tür felaketlerin ardından yaşanan düşüş yıllar sürer. Bazı şirketler bir daha eski hâllerine dönemezler; bazılarıysa toparlanamayıp iflas ederler. Ancak durum ne olursa olsun, söz konusu sonuçlardan kaçınmak mümkündür. Dünyanın hemen hemen her yeri kasırgalar, hortumlar, kontrol altına alınamayan yangınlar ve/veya seller gibi felaketlerden biri konusunda hassas bölge kategorisine girmektedir. Yangınlar, herhangi bir eyalette bulunan herhangi bir şehirdeki herhangi bir binayı yakıp kül edebilir. Aynı şekilde, bir terör saldırısı dünyanın her yerinde meydana gelebilir. 4.1 Yaygın Afet Senaryoları Tüm dünyada yaşanan yaygın afet senaryolarından bazıları şunlardır: Yangınlar, tek bir binada, komplekste veya endüstriyel tesiste ya da ormana veya ormanlık alana yakın bir yerin tamamında meydana gelebilir. Her yıl, çoğu önlenebilecek olan yangınlarda 4.000’in üzerinde Amerikan vatandaşı hayatını kaybederken 20.000 vatandaş yaralanır. Doğrudan yangınlardan kaynaklanan taşınmaz mal zararının ki buna operasyonlarının tahrip olmasından dolayı şirketlerin yaşadıkları finansal zararlar dâhil değildir yıllık 10 milyar Amerikan doları (yalnızca Birleşik Devletlerde) olduğu tahmin edilmektedir. Pandemi, küresel bir hastalık salgınıdır. Bir genel grip pandemisi, insan nüfusunda çok az bağışıklığı bulunan veya hiç bağışıklığı bulunmayan bir A grip virüsünün görülmesi üzerine ortaya çıkar. Söz konusu virüs bu durumda ciddi bir hastalığa neden olur ve insanlar arasında yayılır. Tüm dünyada pek çok devlet olası bir pandemi yaşanma riskine karşı planlar yapmaya başlamıştır. Finans, bankacılık, enerji, ulaşım ve kamu vb. gibi kritik altyapı sektörlerini tanımlamışlardır. Bir pandemi durumunda da kritik iş süreçlerinin işlemeye devam etmesini sağlamak için, bu sektörlerden BC planları hazırlamaları istenmektedir. Çalışacak personel bulunmamasından dolayı, bir pandeminin ekonomik etkisi yıkıcı olabilir ve işletme faaliyetlerinin askıya alınmasına neden olabilir. Bir pandemi oluştuğunda, bu pandeminin okullar, ofisler, ulaşım ve diğer kamu hizmetlerini sağlayan çoğu kamusal alanda geçici değişiklikler yapılmasını gerektiren uzun süreli ve yaygın salgınlara dönüşmesi muhtemeldir. Gerektiği gibi bilgilendirilmiş ve hazırlıklı bir halk bir pandemi ortaya çıktığında, etkilerini azaltmaya yönelik uygun tedbirler alabilir. Terörizm; korkutma, cebir veya fidye gibi amaçlarla dünyanın herhangi bir ülkesindeki ceza kanunlarının ihlal edilerek kişilere veya mülke karşı kuvvet veya şiddet kullanılmasıdır. Teröristler, sıklıkla, sayılan amaçlarla tehdit yaratırlar: Halk arasında korku yaymak, GTAG –İşletme Riski İnsanları ülkelerinde iktidarın terörü önleme konusunda yetersiz ve güçsüz olduğuna inandırmak, Bir amaca yönelik hızlı ve etkili propaganda yapmak. Terör eylemlerinden bazıları terörizm, suikastlar, adam kaçırma, uçak kaçırma, bombalama tehditleri ve bombalamalar, siber saldırılar (bilgisayar-tabanlı) ve kimyasal, biyolojik, nükleer ve radyolojik silahların kullanılmasıdır. Terör saldırıları büyük metropol alanlarını tahrip etmiştir ve bunun sonucunda da söz konusu genel alanlardaki işletmelere zarar vermiş ve etkilenen bölgedeki işletmelerin istihdam düzeylerini oldukça etkilemiştir. Biyolojik Saldırılar, insanları hasta edebilecek mikropların veya biyolojik maddelerin kasıtlı olarak salıverilmesidir. Çoğu ajanın etkili olabilmesi için teneffüs edilmesi, vücuttaki bir kesikten içeri girmesi veya yenmesi gerekir. Şarbon (antraks) gibi kimi biyolojik ajanlar bulaşıcı hastalıklara neden olmazlar. Çiçek hastalığı virüsü gibi diğer biyolojik ajanlar dokunma, öksürme gibi yollarla insandan insana geçebilen hastalıklara neden olabilirler. Ortada fiili bir saldırı olmasa da bir biyolojik saldırı tehdidinin bile işletmeler (örneğin, tesislerin boşaltılması gibi) üzerinde tahrip edici bir etkisi olabilir. Hortumlar, doğada görülen en şiddetli fırtınalardır. Hiçbir uyarı veya işaret olmadan ortaya çıkabilir ve toz veya moloz birikintileri toplanıncaya veya bir hortum bulutu oluşuncaya kadar görünmez olabilirler. Hortumlar, dünyanın belirli yerlerinde daha sık görülmelerine rağmen her an her yerde meydana gelebilirler ki bu da hortumlara karşı ön hazırlığı bilhassa önemli kılmaktadır. Hortumlar işletme tesislerine zarar verebilir ve personelin iş görememesine yol açabilir. Kasırgalar/Tayfunlar, dünya genelinde tropik ve subtropik sularda meydana gelen çok şiddetli fırtınalardır. Bilim insanları artık çoğu siklonun ne zaman oluşacağını tahmin edebilmektedir. Siklonların etkilediği, kıyı toplumlarında veya böyle toplumların yakınlarında bulunan işletmeler, operasyonlarını önemli ölçüde etkileyebilecek siklonlara karşı tahliye planı hazırlamalıdır. Seller, dünyanın bir çok yerinde görülen yaygın bir doğal afettir. Ancak tüm sel felaketleri de aynı değildir. Bazıları uzun süre devam eden yağışlı bir dönem sonrasında veya yoğun kar yağışlı bir dönemi izleyen sıcak bir dönem sonrası meydana gelebilir. Ani su baskınları gibi seller, hiçbir yağış belirtisi göstermeksizin çok çabuk gelişebilirler. Dünyada çoğu yer fakat bilhassa deniz seviyesinin altındaki, suya yakın veya bir barajın akış yönünde bulunan bölgeler sel felaketlerine karşı hazırlıklı olmalıdırlar. Küçük bir çay veya kuru bir dere yatağı bile taşarak sele neden olabilir. Sel felaketi, birincil işletme tesislerini etkilemese bile çalışanların çalışmalarına engel olabilir. GTAG – BCM Gereklilikleri Doğal Afetlerin Artan Maliyetleri Doğal afetler tarih boyunca büyük kayıplara ve zararlara yol açmış olmalarına rağmen, afetlerin son on yıllarda giderek daha sık ve şiddetli hâle geldiklerini gösteren güçlü göstergeler bulunuyor ve bu artma eğilimi de devam edeceğe benziyor. Bu eğilim, kısmen artan kentleşmeyle açıklanabilir ki artan kentleşme doğal afetlere karşı savunmasız yerlerde giderek artan bir nüfus yoğunluğunu da beraberinde getirmiştir (Freeman, Keen ve Mani, 2003). Kasırga, sel, kuraklık (Bakınız IPPC (Entegre Kirlilik Önleme ve Kontrolü Yönetmeliği), 2007.) gibi kötü hava koşullarının görülme sıklığının ve yoğunluğunun artmasının nedeni olarak görülen hava durumu değişikliklerini – özellikle küresel yüzey sıcaklıklarıyla ilişkili değişiklikleri – de yansıtır. Daha sıklaşan ve yoğun görülen doğal afetlerin nüfus yoğunluğu fazla olan yerleri giderek daha fazla etkilemesiyle, meydana gelen zararların maliyetleri büyük ölçüde artmıştır (bakınız aşağıdaki tablo.). Olay Sayısı 1950-59 1960-69 1970-79 1980-89 1990-99 1996-2005 21 27 47 63 91 57 (milyar dolar; Sabit 2005 fiyatları) Genel Kayıplar 48,1 87,5 151,7 247,0 728,8 575,2 Ortalama Kayıp 2,3 3,2 3,2 3,9 8,0 10,1 Şekil 2. Doğal Afetlerin artan maliyetleri1 4.2 Yaygın Felaketlerin Etkileri Sık yaşanan felaketler, şu kayıplarla sonuçlanabilir: 1 İnsan: Önemli oranda can kaybı varsa veya personel yokluğu görülüyorsa, kurum günlük operasyonlarını yürütecek uygun sayıda personel bulamayabilir. Tesisler ve Ekipman: Yukarıda anlatılan felaketlerden bir kısmı çalışma tesislerini, üretim tesislerini, ofisleri ve diğer kritik işletme alanlarını yok etme veya söz konusu yerlerde ağır hasara neden olma potansiyeli taşır. İletişim Altyapısı: Kurumlar, çalışanlarıyla, satıcılarla veya müşterilerle iletişim kuramayabilir. Kaynaklar: Bunun içinde güç kaynağı, satıcılardan sağlanan hizmetler ve üretim kaynakları vb. yer alır. Bilgi ve BT Sistemleri: Kritik iş süreçleri uygun şekilde çalışmayabilir. David Hoffman, “Sigorta alanında yaşanan gelişmeler ülkelerin doğal afetlerin mali zararlarının üstesinden gelmelerini sağlamaya yardım edebilir,” Finance & Development dergisi, Mart 2007, Sayı 44, No.1. GTAG – BCM Gereklilikleri 5. BCM Gereklilikleri Şekil 3 BCM gerekliliklerini yerine getirmek için yapılması gerekenleri göstermektedir. BCM Programına Yönetim Taahhüdü - İşletme vakası oluşturmak Değerini anlamak Bir BCM Programı oluşturmak BC Risk Değerlendirmesi ve BC Hafifletme Uygulama - Tahrip edici olayların etkilerini değerlendirmek BC’ye zarar verebilecek (makul) olayları tanımlamak BC risk hafifletme stratejileri geliştirmek İş Etki Analizi (BIA) Yapma - İş süreçlerini saptamak & kritik süreçleri tanımlamak Süreçler ve kaynaklar vb. için kurtarma zamanı hedefini ve kurtarma noktası hedefini tanımlamak Kurtarma için gereken diğer tarafları ve fiziksel kaynakları tanımlamak İş Kurtarma ve Süreklilik Stratejileri Tanımlama Kurtarma için gereken personel alım alternatiflerini tanımlamak Kritik fonksiyonlar için alternatif kaynak sağlamayı tanımlamak Kurtarma için alternatif görev ve pozisyonlar tanımlamak Yeniden normal operasyonlara geri dönmeyi planlamak BT için Bir Felaket Kurtarma Planı Oluşturma - İşletme kurtarma gerekliliklerini anlamak - Kurtarma çözümlerini ve yerlerini belirlemek BCM Programı Kapasitelerini Uygulama, Doğrulama ve Sürdürme - BCM programı konusunda farkındalık oluşturmak ve eğitim vermek BCM programının ve BC planlarını sürdürmek BC kapasitelerini kullanmak Kriz iletişim olanaklarını oluşturmak ve bunları kriz yönetimiyle uyumlu hâle getirmek Acil durum müdahalesiyle ve dış kuruluşlarla koordinasyon sağlanmasıyla BC programını uyumlu hâle getirmek Şekil 3. BCM Gereklilikleri Akış Tablosu GTAG – BCM Gereklilikleri 5.1 Yönetim Desteği Yönetimin desteği her kurumda BC başarısı için kritik önemi haizdir. Üst yönetim, kurumdaki tüm yönetim ekiplerinin kendi işletme birimlerinde bir BCM programını uygulamaya koymalarını gerektiren politikaların uygulanmasını sağlamalıdır. Gerçek bir felaket durumunda, CM, ER ve BCM’nin birlikte çalışmalarını sağlamak için tüm acil durum yönetim politikalarının birbiriyle uyumlu hâle getirilmeleri gerekir. A. Üst Yönetim Desteği Üst yönetim, BCM ve acil durum yönetim programını açık ve belirgin bir şekilde desteklemelidir.Bu destekleme çeşitli yollarla gerçekleştirilebilir: Kurum içerisinde, BCM’den ve yönetişimin yönetiminden (örn. gerekli standardizasyonun tanımlanmasından), bilgi paylaşımından, en iyi uygulamaların koordinasyonundan, danışmanlıktan ve işletme birimleri arasındaki BCM faaliyetlerinden sorumlu olacak merkezi bir grup tanımlayarak; Her işletme biriminin (İB) uygulaması gereken bir BCM sistemi kurarak; Kurumun yıllık işletme planı, test etme ve İB’lerin kendi BCM faaliyetleri için gereken finansmana sahip olmalarını sağlama yoluyla kurum çapındaki BCM faaliyetleri için uygun finansman sağlayarak; BCM’nin önemini ve işletmeye nasıl değer kattığını anlatarak ve bildirerek; BC uygulamalarına, eğitim seminerlerine ve diğer acil durum yönetimi etkinliklerine katılarak. Her İB’nin uygulaması gereken BCM sistemi, sayılanları içermelidir: BCM’nin ve BCM’nin şirket içindeki değerinin bir tanımını, Bir İB içerisinde bir BCM programını uygulamak ve sürdürmek için gereken adımların açıklanmasını, Her İB’nin BCM’yi sahiplenmesinin (Bakınız aşağıdaki “İşletme Birimi Yönetiminin Desteği”.) sağlanmasını, Programın kurum ve işletme birimi düzeyindeki veya bölgesel düzeydeki (örn. Her İB kendi yerel ölçütlerini oluşturur.) ilerleyişini ve gelişimini değerlendirmek için kullanılabilecek ölçütlerin tanımını, BCM’yi uygulamak ve sürdürmek için her İB’nin güncelleyebileceği bir BCM sürekli kalite programının uygulanmasını. B. İşletme Birimi Yönetiminin Desteği İB veya bölgesel yönetim de BCM ve acil durum yönetim programı için açık destek verdiğini göstermelidir.Çeşitli yollarla bu hayata geçirilebilir: Kurumun tanımladığı BCM sistemini uygulayarak, Risklerini ve iş değerlerini karşılayacak BC kapasitelerini yaratmak için İB’deki tüm ekiplerin BCM çalışmasına katılmasını sağlayarak, GTAG – BCM Gereklilikleri Kurum çapında BCM yönetişimine, bilgi paylaşımına, en iyi uygulamaların koordinasyonuna, danışmanlığa ve işletme birimleri arasındaki BCM faaliyetlerine katılacak birini belirleyerek, BCM’nin önemini ve işletmeye nasıl değer kattığını anlatarak. BC tatbikatlarına, eğitim seminerlerine ve İB için diğer acil durum yönetimi etkinliklerine katılarak, İB yıllık işletme planıyla İB’nin BCM faaliyetleri için uygun finansman sağlayarak. BCM sistemini kullanırken,İB veya bölgesel yönetim, 5.2 İB’ye özel işletme değerini tanımlamak için BCM’nin tanımı bölümünü güncellemelidir. BirİB içerisinde bir BCM programını uygulamak ve sürdürmek için gereken adımları anlamalıdır. İB BCM sponsoru (finansman ayarlamak ve BCM yöneticiliği yapmak için), İB BCM müdürü (BCM kapasitelerini yönetmek ve sürdürmek için) ve İB BCM koordinatörü (BCM faaliyetlerini BCM müdürünün istediği doğrultuda ayarlamak için) gibi kilit görevlerde görevlendirmek de dâhil kendi İB’lerinde BCM’nin sahiplenilmesini sağlamalıdır. Programın ilerleyişini değerlendirmede kullanılabilecek İB BCM ölçütlerini tanımlamalıdır. Bir İB BCM sürekli kalite programı uygulamalıdır. Risk Değerlendirme ve Risk Hafifletme İB veya bölgesel yönetim, işletme birimlerinin ve ilgili yerlerin (şehir veya bölge) her biri için bir BC risk değerlendirmesi yapmalıdır.Bu uygulamanın amacı, belirli operasyon yerlerinde gerçekleştirilen kritik işletme süreçlerine zarar verebilecek veya söz konusu süreçleri aksaklığa uğratabilecek olası riskleri tanımlamaktır. BC risk değerlendirmesi, olası olayların ve bir risk hafifletme planında (örn. önleme) ve BCM programında ele alınması gereken ilişkili sonuçların bir listesini sağlayarak BCM programının genel kapsamını şekillendirmede kullanılır. Tüm riskleri tahmin etmenin ve kabul edilmesi gereken bilinen tüm riskleri hafifletmenin yolu yoktur. BC risk değerlendirmesine katılacak kişiler işletme, sağlık, güvenlik ve çevre grubu personelinden, tesis yönetiminden, hukuk alanından, insan kaynaklarından kişilerden ve tıbbî personelden oluşmalıdır. Kasırgalar ve/veya dünyanın kimi bölgelerinde altyapı arızaları ya da diğer düzenli olarak yaşanan olaylar gibi tahrip edici olayların meydana gelmesi çok olasıdır. Bu tahmin edilebilir olaylar için özel taktiksel BC planları gerekebilir. Depremler gibi çoğu olayın meydana gelmesi oldukça olasıdır. Bir deprem felaketi bir bölgede görülmesine rağmen büyük olasılıkla daha büyük bir başka bölgeyi de etkiler. Bu yüzden, çalışma yeri deprem kuşağında bulunuyorsa, bu olası tahrip edici bir olay olarak değerlendirilmelidir ki bu durumlar çoğu kez bir makul olay olarak adlandırılır. Bir ortamdaki tüm riskleri ortadan kaldırmak imkânsızdır; fakat yine de etkin ve etkili operasyonlar yürütmek mümkündür. Denge, BC risk yönetiminin kilit öğesidir. Aksaklıklara GTAG – BCM Gereklilikleri neden olabilecek olayları değerlendirirken, makul olanları saptamak ve işletme operasyonlarını etkileyebilecek tüm potansiyel olayları bulmak önemlidir. Gelecekteki tahrip edici olayları tahmin etmenin olası yöntemleri arasında şunlar yer alır: Aynı bölgedeki benzer kurumların geçmiş verilerine bakarak, Olası risklere ilişkin devletin veya sektörün verilerini kullanarak, İşletme modeli değiştiğinde veya ayrıntılı bir risk değerlendirmesi yapmak için elde sınırlı veri bulunuyorsa, konunun uzmanlarından yararlanarak. A. Tahrip Edici Olaylardan Örnekler Kritik iş süreçlerini etkileyebilecek bazı tahrip edici olaylardan örnekler arasında: Depremler, kasırgalar, yağmur/sel ve yıldırım gibi doğal afetler; Yangınlar, patlamalar, sızıntılar ve kirlilik gibi endüstriyel olaylar; Bileşen sağlayıcısı aksaklıkları ve elektrik sağlayıcısı hataları Uçak kazaları gibi diğer facialar; Pandemi veya diğer tıbbi riskler gibi tıbbi epidemiler; Grevler, ulaşım aksaklıkları ve toplumsal itaatsizlik gibi işgücü aksaklıkları; Terörizm, bombalamalar ve savaş gibi ekonomik ve siyasal istikrarsızlık göstergeleri; Çalışan hataları, suç eylemleri ve suiistimal gibi insan faktörleri; Siber-terörizm, virüsler, hacker saldırıları ve hizmet-reddi (DOS) saldırıları gibi BT riskleri; Sayılan üretim ve imal riskleri: o Enerji, hammaddeler ve kritik hizmetler dâhil tedarikçi aksaklıkları, o Boru, kazan ve taşıyıcı bantlarda üretim ekipmanı arızaları, o İşleme tesisleri ve atık imha ekipmanları gibi yardımcı altyapı hizmetlerinin yokluğu, o Ürün depolanması, taşıma ve dağıtım aksamaları, o Kritik laboratuvar, test ve/veya kalite kontrol süreçlerinin yokluğu, o Üretimi durduran süreç otomasyon sistemi (SCADA ve DCS gibi BT sistemleri) arızaları. o İzinler, gümrük, personel vizesi ve/veya sertifika verme konularında devletin geciktirmeleri B. Tahrip Edici Olayların Etkilerini Değerlendirme Kurumun çalışma yerlerinde ve bölgelerinde makul olay tespit edildikten sonra, olayı anlamak için ek çalışma gerekir. Olayın kapsamını daha iyi anlayabilmek için etkenlerden bazıları değerlendirilmelidir; olası bir olayın etkileri arasında: Olayın etki alanının coğrafi büyüklüğü: Tek bir bina (yangın vb.), bir tesis kompleksinin tamamı (kimyasal sızıntı vb.), metropollerde (toplu taşıma grevleri vb.) büyük bir bölge (deprem)ya da potansiyel olarak tüm dünya (pandemik grip). Etki Süresi: Operasyonların yüzde 75 oranında işlerliğe,yani insanların, kaynakların ve üretimin yüzde 75 oranına kadar işler hâle geleceği tahmin edilen zamana kadar geçmesi GTAG – BCM Gereklilikleri gereken gün sayısı.Etki süresi, yeni bir bina kiralamak ve bir yangından sonra bir binayı yeniden eski hâline döndürmek gibi, kurumun kaybettiği ve zarar gören kaynaklarını yenileyinceye kadar geçecek süre de olarak da görülebilir. Personelin çalışabilme durumu (gün olarak): Her olası felakete bağlı olarak, çalışabilecek personelin yüzdesi (gün olarak: 0, 3, 7, 14 veya 30). Personelin deprem gibi evlerine zarar verebilecek bazı afetlerden sonra uzun bir süreliğine evlerine gitmeleri gerekebilir. Operasyonların ve/veya ofislerin durumu: İşler durumdaki muhtemel operasyon ve/veya ofis alanının (olayın etkisinin sürdüğü dönemde) yüzdesi. BT’nin Kullanılabilirliği (Olayın etkisinin devam ettiği dönemde): Her felaket durumunda kilit BT bileşenlerinin olası kullanılabilirliği. BT altyapısı (oturum açma kapasiteleri), BT ağı, BT uygulamaları vb.ni içerir. BC risk değerlendirmesi, kritik iş süreçleri üzerindeki etkiyi belirlemek için kullanılabilir. Araştırma ve geliştirme ofisleri gibi bazı operasyon tesislerinin çalışma yerinde gerçekleştirilen çok az kritik işletme süreçleri olabilir. CM ve ER birimlerinin başarılı olmaları için ihtiyaç duydukları kaynaklara sahip olmalarını sağlamak için tüm çalışma yerleri için BC risk değerlendirilmesi, en azından, personelin sağlığına ve emniyetine, güvenliğe ve olası çevresel etkilere odaklanmalıdır. C. Risk Hafifletme Stratejileri Geliştirme BC risk hafifletme stratejilerini geliştirip uygulamak tahrip edici olayların etkisini en aza indirecek ve müdahale kapasitelerini geliştirecektir. Risk örnekleri ve söz konusu risklere karşılık risk hafifletme stratejileri olarak şunlar yapılmalıdır: Çeşitli Felaketlere karşı güvenlik önlemleri (için): ER ve/veya Sağlık, Güvenlik ve Çevre ekibi ve/veya operasyonel planlar geliştirilmelidir. Operasyonel Aksaklıklar (için): Standart çalışma prosedürleri ve normal bakım faaliyetleri geliştirilmelidir. Genel merkezin zarar görmesi: Personel alternatif bir merkeze götürülmeli veya evlerinin çalışmaya müsait olması kaydıyla, personelin evlerinde çalışmalarına (bölgesel bir felaket durumunda, ev yıkılmamışsa; evde ekipmanlar, bilgisayar, ağ bağlantısı vb. gibi gerekli kaynaklar varsa)izin verilmelidir. BT ağ bağlantısının kaybı:Ağ yedeklemesi veya kurtarma oluşturmak için BT sistemi ve bilgi kurtarma (felaket kurtarma) planları geliştirilmelidir. BT veri merkezi kaybı: BT sistemleri geri yükleninceye kadar iş süreçlerini manuel olarak yapmak üzere bir plan geliştirilmelidir.Ayrıca, BT sistemlerini alternatif bir yerde geri yüklemek için bir BT felaket kurtarma planı yapılmalıdır. BCM sponsoru ve uygun bir yöneticiler ekibi, BC risk değerlendirme ve BC risk hafifletme stratejilerini gözden geçirmeli ve onaylamalıdır. BT risklerini ele alması gerektiğinden dolayı, yönetimin BC risk değerlendirmesini onaylaması ve BC risk hafifletme planının finanse edilmesini, uygulanmasını ve periyodik olarak test edilmesini sağlaması gerekir. GTAG – BCM Gereklilikleri 5.3 İş Etki Analizi: BIA, bir felaketten sonra kurtarılması gereken kritik iş süreçlerini tespit etmek için kullanılır. BIA, kritik iş süreçlerine kalınan yerden devam edilebilmesi için gereken kurtarma çözümlerine ilişkin bir başlangıç tartışması içerir (Bakınız sayfa 11’deki “ İş Kurtarma ve Süreklilik Stratejisi”). BIA’e, hem işletme personelinden hem de kilit tedarikçilerden personel katılımı olmalıdır. BIA, kuruma zarar verebilecek makul olayları tespit eden ve tanımlayan BC risk değerlendirmesinden elde edilen bilgiye göre yürütülmelidir. BIA toplantıları, tipik olarak, her ekip için ayrı düzenlenir.Ardından, her BIA toplantısından sonra kritik tedarikçi olarak belirlenen diğer ekiplerle tartışmalar yapılır. A. İş Süreçlerini Tanımlama BIA’deki ilk adım, görev ekibi (fonksiyonel ekip) tarafından uygulanan iş süreçlerini, söz konusu görevi (fonksiyonu) yerine getirmek için gereken kaynakları, işi yapan kritik personeli belirlemek ve tanımlamaktır. İş süreçleri başlangıçta çok sayıda münferit alt-sürece bölünmemelidir. Personel alımları (örn. Personel görev ve rolleri), hizmet sağlayıcıları (üçüncü taraflar, dışarıdan hizmet alanlar vb.) veya kaynakları (örn. BT sistemleri) farklıysa, iş süreçleri ayrı ayrı tanımlanmalıdır. B. İş Etkisine Bağlı Olarak RTO (Kurtarma Zamanı Hedefi) ve RPO (Kurtarma Noktası Hedefi) Belirleme Bir BIA’in ikinci adımı ise, iş süreci yapılamıyorsa, iş etkisi türünü tespit etmektir. Aşağıda bazı iş etkisi türleri verilmiştir: Sağlık ve güvenlik (örn. yaralanma) Çevresel (örn. sızıntı) Müşteri hizmetleri (örn. müşteri kaybı) Finansal (örn. cezalar) Düzenlemeyle ilgili/hukukî (örn. devlet kararları) İtibar (örn. İtibar kaybı) Daha sonra, iş etki türlerine dayalı olarak bir kurtarma zamanı hedefi (RTO) belirleyiniz. RTO, iş sürekliliğinde meydana gelebilecek olası bir aksaklığın neden olabileceği kabul edilemez sonuçlardan kaçınmak için, bir iş sürecinin kurtarılacağı (bir felaketten sonra) zaman ve hizmet düzeyi süresidir. Bir RTO, genel olarak, 0, 3, 7, 14 veya 30 gibi belirleyici standart zaman noktalarına bağlı olarak tanımlanır. İşletme yönetimi, sonunda,her bir iş süreci için doğru RTO’yu belirler. Genellikle, RTO azaldıkça (örn. iş sürecini hemen kurtarmak gerekiyorsa, maliyeti yüksek olabilir.) kurtarma çözümünün maliyeti artacaktır. Bir sonraki adımda, bilgi sistemleri için bir kurtarma noktası (RPO) hedefi belirleyiniz. RPO, bir felaketin bilgi sistemlerini yok etmesi sonucu kaybolabilecek veri miktarıdır. İşletme personeli kaç günlük verilerin makul olarak kaybolabileceğini ve ne kadarının yeniden GTAG – BCM Gereklilikleri manuel olarak oluşturulabileceğini belirlemelidir. Veriler, kurum sistemiyle (örn. bankacılık sistemleri) veri alışverişinde bulunan dış sistemler gibi diğer kaynaklar sayesinde çoğu zaman yeniden oluşturulabilir. İşletme yönetimi, sonunda, her bir iş süreci için doğru RPO’yu belirler. Genellikle, RPO azaldıkça, kurtarma çözümünün maliyeti artar (yani,iş sürecinin hiçbir verinin kaybolmasına tahammülü yoksa, veri kopyalamak oldukça pahalıya mal olabilir.). Şekil 4.RTO ve RPO’yu Anlamak C. Diğer Tarafları ve Fiziksel Kaynakları Tespit Etme BIA’in üçüncü adımı ise, diğer departmanların, satıcıların, diğer üçüncü tarafların, kritik ekipmanların ve fiziksel kayıtların da dâhil edilebileceği iş süreci için kritik olan diğer tarafları ve fiziksel kaynakları belirlemektir. Bir BIA’i da, işletme kurtarma süreçlerini desteklemeye hazır hâle gelmeleri için kritik iş süreçlerini destekleyen diğer taraflarla birlikte uygulamak gerekebilir. D. BIA için Sponsorun ve Müdürün Onayını Almak Her ekibin BCM sponsorunun ve müdürünün kapsam bakımından BIA’i gözden geçirip onaylaması gerekir. Yöneticiler kurum çapında iş sürekliliği ve kurtarma çözümlerinin uygulanmasından sorumlu oldukları için, çalıştıkları ekip için bir BIA’e edinirler. 5.4 İş Kurtarma ve Süreklilik Stratejisi BIA süreci esnasında saptanan kritik iş süreçleri için işletme kurtarma ve süreklilik stratejilerinin geliştirilmesi gerekir. BIA, kritik iş süreçlerinin yeniden başlayabilmesi için gereken kurtarma çözümlerine ilişkin bir başlangıç tartışmasını içerir (Bakınız sayfa 10’daki “İş Etki Analizi”). İş kurtarma ve süreklilik oturumunda yer alacak katılımcılar arasında işletmenin, kilit tedarikçilerin ve bilgi sistemleri kurumlarının çalışanları bulunabilir. GTAG – BCM Gereklilikleri İş kurtarma ve süreklilik stratejileri aşağıda sayılan çözüm türlerini içine alabilir: Manuel İş Süreçleri: BT sistemleri arızalıyken işler manuel olarak yapılabilir. Dışarıdan Hizmet Almak: İşlerin bir kısmını dış şirketler, rakipler (karşılıklı anlaşmalar yoluyla) veya ikincil satıcılar yapabilir. BT için Felaket Kurtarma: Kritik sistemler için bir BT kurtarma çözümü gerekir; ancak bunlar pahalıya mal olabilecekleri için bir felaketin ardından başlangıçta manuel iş süreçleri kullanılabilir. Alternatif personel görevlendirme: Personel içerisinde söz konusu işi yapabilecek başka kişiler belirleyiniz. Alternatif Tesisler: Birincil personelin çalışabileceği alternatif tesisler belirleyiniz. İşletme kurtarma ve süreklilik stratejileri geliştirilirken, BC risk değerlendirmesi esnasında belirlenen makul olayların yanı sıra bu olayların kaynaklar üzerindeki olası etkileri de dikkate alınmalıdır. Kasırga gibi aynı anda hem kurum tesislerini hem de çalışanların evlerini etkileyen bölgesel çapta etkili felaketler için alternatif tesis seçenekleri son derece sınırlı olabilir. A. Personel Görevlendirmeye İlişkin Kurtarma Faaliyetleri Çoğu makul olayın olası sonuçlarından birisi de sınırlı sayıda şirket-içi personel görevlendirme olduğundan dolayı, alternatif personel alımı BC için daima gereklidir. Bunun için en iyi seçenek, söz konusu makul olaya bağlı olarak felaketten etkilenen bölgenin dışından kişiler belirlemektir. Bölge dışından kimse yoksa birincil bölgedeki personel alım düzeyini arttırmayı düşününüz. Bir felaket yaşanması durumunda personelin %80’inin çalışacak durumda olmayacağını tahmin ediliyorsanız, belirli bir işi yapmak için kaç kişiye ihtiyaç duyulduğunu düşününüz ve bu sayıyı beşle çarpınız: Bir işi yapmak için bir kişi gerekiyorsa, bu işi yapabilecek beş kişi belirleyiniz. Eğer işi yapmak için iki kişiye ihtiyaç varsa, o halde bu işi yapabilecek 10 kişi belirleyiniz vesaire. Normalde işletmede çalışan personel kritik iş süreçlerini yapmanın başka yollarını biliyor olabilir. Bu seçenekler arasında, sistem bozuk olduğunda zaten uygulanmakta olan işlerin manuel olarak yapılması da bulunabilir. Diğer bir seçenek de, birincil personelin çalışamaz durumda olduğu zamanlar mevcut personeli başka bir yerde kullanmak olabilir. Gerekirse, bazı işleri için üçüncü bir taraftan dış kaynak hizmeti de sağlanabilir. B. Kritik Fonksiyonlar için Alternatif Kaynak Sağlama Bir işi bir dış sağlayıcıya yaptırmak için çeşitli seçenekleri göz önüne alınız. Her bir kritik iş için gereken tutarlılık ve kalite derecesini değerlendiriniz. Bir kurum,bir felaket durumunda kurumun tam spesifikasyonlarını karşılamayan endüstriyel standart ürün ve hizmetlerle çalışmaya devam edebilir. Bir diğer seçenek ise, diğer tedarikçilerden iç gereksinimi karşılamak için hizmet satın almaktır. İşletmenin sağladığı hizmetlerin çoğu dış kaynak kullanma yoluyla standart hizmetler sunan çeşitli şirketlere yaptırılabilir. Birden fazla şirketin aynı anda yürüttüğü, özel kanunlarla düzenlenmiş fonksiyonlar söz konusu ise ya da yatırım GTAG – BCM Gereklilikleri maliyetleri yüksekse, rakiplerle, mütekabiliyet esasına dayanan anlaşmalar yapma yoluna gidilebilir. BIA sırasında saptanan risklerin çoğu, kurumun genel tedarik zinciri için kritik öneme sahip ürün ve hizmet tedarikçilerini de içerebilir. Bu satıcılar, ürünleri imal etmek ya da ürünlerin ambalajlanması, saklanması veya dağıtımı için kullanılan kritik önemdeki hammaddeleri veya bileşenleri sağlayabilir. Sözleşme hükümleri kilit tedarikçilerin – çalışmaya devam ettikleri varsayılarak - yükümlülüklerini yerine getirmelerini sağlamak konusunda kullanılabilir. Birincil tedarikçiler konusunda bir aksaklık çıkması durumunda alternatif tedarikçilere (tedarikçi çeşitliliği)ihtiyaç duyulabilir. Bir başka seçenek ise, üretimde tam bir aksama yaşanması durumunda ürünlerin nasıl arz edileceğini belirlemektir. Bir felaket süresince rakip kurumlardan ürün almak bir seçenek olarak değerlendirilebilir; ancak önceden imzalanmış bir ikili anlaşma böyle bir durumda maliyeti kontrol etmeye yardım edebilir. Başka bir seçenek de, anlaşmada ortaya konan taahhütlere dayalı olarak müşteri memnuniyetini ve daha sonra da gelecek iş fırsatları vb.ni önceliklendirmektir. Çeşitli felaketleri göz önüne alarak önceden üretim alternatifleri belirlemek şirketin genel üretimini en üst düzeye çıkarmaya yardımcı olabilir. Böyle bir durumda, kaynak kullanımını, yan ürün üretimini ve mevcut kaynaklara ve (satıcı ve altyapı) hizmetlere dayanarak üretimi en üst düzeyde etkin ve verimli kılabilecek diğer faktörler de veriler arasında yer alır. C. Kurtarma Faaliyetleri için Gereken Alternatif Ofisler BCP’nin etkinleştirilmesini gerektiren hemen hemen tüm felaketlerde alternatif çalışma ofisi sağlamak gerekebilir. Personel için alternatif ofis sağlama konusunda çok sayıda seçenek vardır; fakat bunların maliyetleri de birbirinden son derece farklıdır. Aşağıda alternatif ofis alanları için bazı alternatifler verilmiştir: Felaket bölgesinin dışında olup genel merkeze yakın olan bir başka kurum tesisi genellikle düşük maliyetli bir seçenektir. Bu da alternatif kurum ofisindeki işletme biriminin kritik olmayan personeli eve göndermek için BCP’sini etkinleştirmesini gerektirir. Bugün ofis işlerini evden veya bir otelden yapmak için çok sayıda insan uzaktan erişimi kullanmaktadır. Burada kilit gereklilik, çalışanların uzaktan çalışabilmeleri için uygun güvenlik araçlarının (örn. uzaktan erişim şifresi) ve uygun donanımların(örn. dizüstü bilgisayar veya PC) bulunmasıdır.Uzaktan erişim çözümleri değerlendirilirken, özellikle işbirliği ve iletişim eksikliğiyle ilgili olduğu için bir ekip çok sayıda birbirinden farklı alana dağılmışsa, bunun üretime etkisi de hesaba katılmalıdır. Ticari kurtarma tesisleri de ofis alanları sunar; ancak bunu genellikle yüksek bir maliyet karşılığında ve kurumun BT sistemlerine genellikle sınırlı ağ bağlantısı sağlayarak yapar. Kullanıcılar, sisteme sorunsuz giriş yapabildiklerinden emin olabilmek amacıyla her türlü alternatif ofis alanını test etmelidir. Çözümden istenilen sayıda kullanıcının yararlanıp yararlanamayacağını öğrenip teyit edebilmek için bir hacim (performans) testi yapılmalıdır. Kritik olmayan işleri yürüten personele, bir felaket durumunda sisteme giriş yapmaması GTAG – BCM Gereklilikleri söylenmeli ve böylece kaynakların kritik olduğu düşünülen iş süreçlerini yapan personel için kullanılabilir olması sağlanmalıdır. D. Normal Çalışmalara Geçişi Planlama Kurtarma çözümlerine ihtiyaç sona erdiğinde, kurumun tekrar normal çalışmalarına (operasyonlarına) geçişini sağlamak üzere bir plan yapılmalıdır. Kurum bir felaket durumunda olağanüstü koşullarda çalışmak durumunda kaldığı için geçiş zor olabilir. Sistemler kurtarılır kurtarılmaz manuel olarak toplanan veriler sistemlere girilmelidir. Felaket sırasında meydana gelen finansal ve düzenleme istisnaları uygun evraklar gönderilip onaylanarak çözümlenmelidir. Felaket durumundayken yapılan ürün alışverişleri (ödünç alınan) ikmal edilmeli veya ödünç alınan ürünler için karşı tarafa ödeme yapılmalıdır. BCM sponsoru ve uygun bir yöneticiler ekibi, çalışma alanlarının kapsamında yer aldığı için süreklilik stratejilerini onaylamalıdır. Yöneticiler kurum çapında iş sürekliliği ve kurtarma çözümlerinin uygulanmasını sağlamaktan sorumlu oldukları için, çalışma ekipleri için süreklilik stratejileri edinmelidirler. 5.5 BT için Felaket Durumunda Kurtarma Yapılan işe ve BT’ye bağımlılık düzeylerine bağlı olarak, bazı kritik iş süreçlerinin bir kısmı BT veya bilgiler olmaksızın kurtarılabilir. Diğer durumlarda, kritik bazı iş süreçlerinin kurtarılması için BT ve bilgi gerekir. Saatler, günler, haftalar veya daha fazla olsun, her kurum BT sistemlerinin maksimum atalet süresini, bu durum bütün kurumu tehlikeye atabilecek düzeye ulaşmadan önce belirlemelidir. Felaket kurtarma planı, BT sistemlerini kurtarmayı açıklamak için kullanılan bir terimdir. Bazı şirketler, BT sistemlerinin, verilerin, bilgi yönetimi sistemlerinin, süreçlerin ve diğer ilgili sistemlerin kurtarılmasını da dâhil etmek için farklı terimler kullanmaktadırlar. Felaket kurtarma dokümanı, BT ve bilgi sistemleri yönetimini kurtarma stratejilerini açıklamalıdır. Felaket kurtarma planı, prosedürleri, satıcı referanslarını, sistem diyagramını ve diğer ilgili materyalleri de içeren ayrıntılı kurtarma talimatlarını da kapsamalıdır. Ayrıntılı kurtarma prosedürleri, sistem ve iş süreçleri değiştiğinde güncellenmelidir. Aşağıda DRP’nin bir parçası olarak kurtarılabilecek bileşenlerden bazı örnekler verilmiştir: Aşağıda sayılanlar dâhil olmak üzere BT sistemleri: o BT veri merkezi, o Kurumun ihtiyacı olan uygulamalar ve veriler, o Sunucular ve diğer donanımlar, o Telefon, radyo vb. gibi iletişim araçları, o Dış (üçüncü taraf) bağlantılar da dahil ağlar, o BT altyapısı (örn. sisteme giriş hizmetleri ve yazılım dağılımı) o Uzaktan erişim hizmetleri, o Süreç kontrol sistemleri (örn. SCADA/DCS) Aşağıda sayılanlar dahil olmak üzere bilgi yönetimi sistemleri: o Dosya arşiv odaları, GTAG – BCM Gereklilikleri o Doküman yönetim sistemleri (elektrikli ve manuel) A. DRP Stratejilerini Belirlerken Dikkate Alınması Gerekenler BT kurtarma stratejilerini belirlerken dikkate alınması gereken çok sayıda husus vardır: DRP dokümanı, personel bir BIA uyguladıktan sonra personelden gelecek talimatlara göre sistem ve bilgileri kurtarma stratejilerini açıklamalıdır. Kritik BT ve bilgi hizmeti sağlayıcılarının kurtarma kapasiteleri işletmenin gerekliliklerini karşılayıp karşılamadıklarını anlamak amacıyla değerlendirilmelidir. BT’nin ve bilgi bileşenlerinin kurtarılması, çoğunlukla kritik iş süreçlerini desteklemek için gereken tam bir sistem yaratmak için birleştirilmelidir. Örneğin, bir sistemin kurtarılması, masaüstü uygulamasının, sunucu uygulamasının, sunucu donanımının, sunucu işletim sisteminin, altyapı sunucularının, veri merkezlerinin ve üçüncü taraf ağları vb.nin kurtarılmasını gerektirebilir. BT ve bilgiye ilişkin iç ve dış hizmet sağlayıcıları, aşağıda sözü edilen konularla ilgili bilgiler de dâhil kurtarma hizmetlerini açıklamalıdırlar: o Hizmet sağlayıcısının sorumluluğundaki kurtarma faaliyetleri ve olabilecek her türlü kurtarma faaliyeti. o Kurumun sorumluluğundaki kurtarma faaliyetleri (Kaybolan verileri yeniden oluşturma gibi) o Bir felaket sırasında kurum ile hizmet sağlayıcısının iletişim kuracakları yolları. o Üçüncü taraflar için sözleşmeler (örn. uygulama hizmeti sağlayıcıları) veya iç hizmet sağlayıcıları için hizmet düzeyi sözleşmeleri o Kurtarma çabalarının (örn. Sistemler, veriler ve ağ vb.) kapsamı o Kurtarma stratejileri o RTO ve RPO’ları o Kurtarma çözümlerinin, hizmetlerinin ve testlerinin maliyeti ve felaket duyurusu o Kurtarmayı test etme sıklıkları. Çevre unsurları normalde bir üretim veri merkezinde kullanılmayan çözümler kullanılarak kurtarılabilir. Örneğin, bazı veriler başlangıçta kurtarılamayabilir (büyük resim kütüphaneleri) - ki bu da söz konusu verilerin kullanılabilir olmadığı anlamına gelir (örn. hata mesajları üretebilirler). Diğer BT sistemleriyle tutarlılık ihtiyacı duymadan her bir BT sistemi veya bileşeni için birbirinden bağımsız kurtarma stratejileri geliştirilmelidir. Fakat bir sistemi oluşturan bileşenlerin aynı yerde tutulmaları veya yeterince ağ bant-genişliği olan yerlerde tutulmaları önemlidir. Örneğin, büyük merkezi bir veri merkezinde e-postalar kurtarılabilir; yerel bölgedeki sunucu üzerindeki bir başka yerde dosya kopyalanabilir; bir felaket sırasında bazı uygulamalar ve hizmetler geçici olarak dışarıdan satın alınabilir ve yerel uygulamalar sunucu vb. yerine bir PC kullanılarak yapılabilir. Çözümler dünya çapında yayılmış olsalar da, amaç en iyi ve en maliyet verimli çözümü bulmaktır. Tek gereklilik nerede kurtarıldıklarına/geri yüklendiklerine bakılmaksızın, sistemlerin tüm kullanıcıların erişimine açık olmaları ve bir sistemin tüm bileşenlerinin birlikte çalışmasıdır. GTAG – BCM Gereklilikleri Kurtarma çözümleri geliştirilirken bilgi güvenliği ve uyum standartlarının düşünülmesi gerekir. Kurtarma çözümleri makul olamayan güvenlik düzeyleri veya uyum riskleri getirmemelidir. Gerçek bir felaket meydana gelirse, bazı güvenlik ve uyum kontrolleri gevşetilebilir; ancak kurtarma ortamında bulunan riskleri anlamak için bilinçli bir karar gerekir. Kurtarma çözümleri kullanılabilirliğin kaybıyla ilişkilendirilen riskleri azaltmayı amaçlar; ancak bütünlük ve gizlilik ihtiyacıyla dengelenmelidir. B. Kurtarma Çözümleri ve Kurtarma Yerleri Aşağıda, yaygın kullanılan kurtarma çözümleri ve uygulanma yerlerinin bir listesi verilmiştir: Sıcak kurtarma planı/kapasiteleri o Bir kurtarma planı vardır. o Kurtarma yerlerinde kurtarma kaynakları vardır ve sistemin hemen o anda veya birkaç saat içinde kurtarılmasını sağlamak için veriler gerçek zamanda senkronize edilir. o Genel kurtarma zamanı birkaç dakika ilâ bir gündür. Ilık kurtarma planı/kapasiteleri o Bir kurtarma planı vardır. o Kurtarma yer(ler)inde kurtarma kaynaklarına (üretim-dışı sistemler, yedek donanımlar vb.) ulaşılabilir; fakat bir felaket durumunda söz konusu kaynakların üretim sistemini desteklemeleri için yapılandırılmaları gerekir. o Bazı verilerin (muhtemelen kasetlerden veya diğer yedeklemeler cihazlarından) yedeklenmesi gerekir. o Yedekleme süresi genellikle 2 ilâ 13 gündür. Soğuk kurtarma planı/kapasiteleri o Bir kurtarma planı vardır. o Kurtarma yer(ler)i, kurtarma süreci için gereken alan ve temel altyapıyla özdeşleştirilmiştir. o Kurtarma kaynakları (örn. sunucular) kurtarma yerlerinde bulunmaz ve muhtemelen dışarıdan satın alınmaları gerekir. o Verilerin büyük ihtimalle yeniden yüklenmesi gerekir (muhtemelen kaset yedeklemelerinden). o Kurtarma zamanı genel olarak 14 ilâ 30 gündür. Kurtarma planı/kapasiteleri yoktur. o Kurtarma planı bulunmaz. o Kurtarma kaynakları ve veri geri yükleme süreçleri tanımlanmamıştır. o Kritik verilerin ileride bir gün geri yüklenmesini sağlamak üzere veri yedekleme planları bulunur. o Sistemlerin ve bunların destekledikleri iş süreçlerinin bir daha geri getirilemeyebileceği veya geciktirilmiş uzun bir kurtarma sürecinin yaşanma riski vardır. BCM sponsoru ve yöneticilerden oluşan uygun bir ekibin operasyonlarının kapsamı bakımından BT kurtarma çözümlerini onaylamaları gerekir. Kurumdaki tüm yöneticiler BC GTAG – BCM Gereklilikleri ve kurtarma çözümlerinin uygulanmasını sağlamaktan sorumlu oldukları için, çalışma ekipleri için BT kurtarma çözümlerine sahip olmalıdırlar. 5.6 Farkındalık ve Eğitim Personeli kurtarma durumlarına hazırlama sürecinde eğitim ve farkındalık yaratmak etkilidir. Personelin faaliyet gösterdikleri yerlerde ve bölgelerinde kendi BC rollerini ve acil durumlara müdahale faaliyetlerini anlamalarını sağlamak için yılda en az bir kez farkındalık eğitimi verilmelidir. Liderlik ekibinin karar alma ve iletişim araçlarını yönetme görevlerini de içeren süreklilik yönetimi (CM) eğitimi de son derece önemlidir. BCM programı, katılan kişilerin rollerine ve kaynak bulma stratejilerine dayalı olarak değişen düzeylerde bilgi gerektirir.Aşağıda bazı görevler ve her bir görev için gereken bilgi düzeyi verilmiştir: BCM sponsoru, o BCM kavramlarını ve BCM’ye yönelik değer önermesini anlamalıdır. BCM müdürü, o Acil durum yönetimini anlamalıdır (CM, ER ve BCM). o Uluslararası Felaket Kurtarma Enstitüsü (DRII), İş Sürekliliği Enstitüsü (BCI) veya dengi bir kurumdan Sertifikalı İş Sürekliliği Uzmanı (CBCP) sertifikası almalıdır (Bu kalifikasyon işletme birim yöneticileri için isteğe bağlıyken kurum çapındaki BCM yöneticileri için zorunludur.). o Bir BCM programı ve/veya süreç uygulaması yaratmalıdır (operasyonel verimlilik, güvenlik ve diğer ilgili süreçler gibi kurumsal metodoloji doğrultusunda olması tercih edilir.). BCM koordinatörleri, o Kurumun BCM süreci metodolojisiyle(genellikle ya kurum tarafından ya da dışarıdan eğitim yoluyla sağlanır.) ilgili sağlam bir bilgiye sahip olmalıdır. BCM Danışmanı (iç veya dış), o DRII, BCI veya dengi bir kurumdan bir CBCP veya Master İş Sürekliliği Uzmanı(MBCP) sertifikası almalıdır. o BCM risk değerlendirmesi, BIA, kurtarma planlaması ve tatbikatlar vb. konusunda kapsamlı bir bilgi ve deneyim sahibi olmalıdır. BCM personeli, o BCM kavramlarını ve BCM için değer önermesi anlamalıdır. o Acil durum iletişim prosedürlerini anlamalıdır. o Çalışma yeri ve bölgeleri için ER’yi bilmelidir. Tatbikatlar, açıkları ve zayıflıkları tespit etmenin yanı sıra gerçek bir felaket durumunda kurtarma planları ve personelin alacakları görevler konusunda personelin eğitimi için en önemli eğitim yöntemlerindendir. Farklı tatbikat türlerinin anlatımı için bakınız “İş Sürekliliği Tatbikatı” (sayfa 15). GTAG – BCM Gereklilikleri 5.7 BCM Programının Sürdürülmesi Kurumların bir BCM konusunda hazır olmalarının önündeki en yaygın engel ihmaldir. Kurumlar, daha sonra sürdüremeyecekleri planlar geliştirmek için çoğu zaman büyük zaman ve para yatırımı yaparlar. Diğer tüm operasyonel planlarda olduğu gibi BC ve CM planları da zamanla körelir ve işletme önceliklerindeki, işgücündeki (çalışanlardaki), süreçlerdeki, teknolojideki ve çalışma ortamındaki değişiklikler planlara yansıtılmadığı için gittikçe etkinliklerini kaybederler. Bazı durumlarda “sürdürme” içeriğe dokunmadan sadece belge üzerindeki tarihlerin değiştirilmesiyle sınırlıdır. Durum her ne olursa olsun, bir iç denetim ekibinin odağı her zaman bir belgenin güncellenmesi değil, BC/CM kapasitesinin sürdürülmesi olmalıdır. BC’nin sürdürülmesini değerlendirmeye yönelik bazı teknikler şunlardır: Belgede yapılan değişikliklerin kaydedilip kaydedilmediğini görmek için belge değişiklikleri geçmişini inceleyip değerlendirmek, Bileşenlerin bakımı için özellikle bu iş için seçilmiş kişilerin görevlendirilmelerini ve söz konusu kişilerin BC kapasitelerinin bakımı sırasında etkin ve etkili olabilmeleri için yönetimin bu kişilere kılavuzluk etmesini sağlamak amacıyla sürdürme gerekliliklerini gözden geçirmek, Güncel çalışma gereklilikleriyle uyumlu olmalarını sağlamak için, BC tahminlerini gözden geçirme. Ek yerler, yeni risk yoğunlaşmaları (örn. Yeni bir felaket senaryosu makul hâle gelebilir.), yeni/farklı üçüncü taraflara bağımlılık veya yeni ülkelerde operasyonlar gibi yeni sorunlara çözüm olabilmesi için BC tahminlerinin değişmesi gerekir. Yapılan her değişikliğin bir temele dayandığından emin olmak için BC tahmin değişikliklerini gözden geçirmek, BC planlarının temelinin yeterli yönlendirme sağlayabilecek kadar güncel olmasını sağlamak için BIA’in gerçekleştirilme tarihini gözden geçirmek, Görevlerini anlayıp anlamadıklarını ve görevlendirildikleri işleri layıkıyla yapıp yapamayacaklarını belirlemek için planlardaki görevleri yapacak kişilerle iletişime geçmek. Çoğu durumda, planlarda adları geçen kişiler sadece isim olarak halef olurlar; çünkü BCM programı ve/veya BC planı başlatılmadan önce selefleriyle aynı eğitime tâbi tutulmamışlardır. Güncel kurumsal model ve yapıyı ne kadar doğru yansıttığını belirlemek için BC dokümanının yapısını/planını gözden geçirmek, Özellikle bir doküman elektronik ortamda mevcutsa, dokümanın kurumdaki güncellemeleri gerçekten izleyip izlemediğini değerlendirmek için “güncel” ve “bugünkü” sözcüklerini tarayıp ilgili içeriği bu bakımdan değerlendirmek. İyileştirmeyi gerektiren istisnalar (örn. açıklar) için tatbikat/test sonuçlarını ve ilgili faaliyet raporlarını gözden geçirmek. GTAG – BCM Gereklilikleri Gerekli açıkları düzeltmek için doğru uygulanmalarını ve etkin bir şekilde uygulamaya konmalarını sağlamak için BCM programını ve BC kurtarma kapasitelerini değerlendirmek. 5.8 İş Sürekliliği Tatbikatı Tatbikatlar veya testler, genel olarak, bir BCM programını ve BC planlarını güncel ve uygulanabilir tutabilmenin en etkili yolu olarak düşünülürler. Bazı kurumlar tatbikat ve test kelimelerine özel tanımlar getirirler; ancak bu terimleri özel bağlamlarda kullanmaya gerek yoktur. Bilinen anlamı dikkate alınmaksızın, planın test edilmesi üzerindeki vurgunun gerçek bir olayda kurumun performansını geliştirmek olmalıdır. Uygun kullanıldıkları zaman güvence veren ve değer katan çok sayıda tatbikat türü bulunduğunu belirtmek önemlidir. Tüm ana BC standartları, bir BCM programının vazgeçilmez bir parçası olabilmek için birtakım tatbikat/test biçimlerine ihtiyaç duyarlar. Genel olarak, BCM programlarının ve planlarının büyük ölçekli bir tatbikatı en azından yılda bir kez uygulanmalıdır. Daha karmaşık ortamlar ve kurum üzerindeki etkisi büyük (örn. kayıt) olan ortamlar için daha sık test etmek gerekebilir.Birkaç bileşen testi yıl boyunca düzenli aralıklarla planlanmalıdır. Tatbikat/test gereklilikleri, ya bir planın kendisinde ya da kurumsal düzeyde bir BCM politikasında belgelenmelidir. BCM programlarını düzenlemek için kullanılan standartların çoğu, test rejiminin üç temel unsurunu gerektirir: Testler periyodik aralıklarla yapılmalı. Olaylar arasında geçmesi gereken gerçek süre BCM Yürütme Komitesi tarafından belirlenir ve programın amaç ve hedeflerine dayanır. Testler, BCM programındaki çeşitli tehditleri/senaryoları konu edinmelidir. Bir dizi geniş tabanlı yıllık tatbikat ya da daha özel amaçlı çalışma yeri düzeyinde veya bileşen düzeyinde testlerle bu konuları ele ele almak mümkündür. Testte ortaya çıkarılan bu konuları ve açıkları ve çözüm yollarını izlemek amacıyla bir yol belirlenmiş olmalıdır. GTAG – BCM Gereklilikleri BCM Programının hangi bileşenlerini geçen yıl en az bir kere uyguladınız? (Size uygun olanların hepsini işaretleyiniz.) Bölüm bazında iş kurtarma tatbikatı Tesise özel kurtarma tatbikatı Alternatif tesis (çalışma alanı kurtarma) tatbikatı Kriz simülasyonu/acil durum yönetimi tatbikatı Hiçbiri Kaynak: 2008 Süreklilik Görüşleri / KPMG Danışmanlık Hizmetleri İş Sürekliliği Karşılaştırma Raporu Şekil 5. BCM Programının bileşenlerini uygulamak GTAG – BCM Gereklilikleri A. Tatbikat Türleri Tanım ve Hedefler Tatbikat Türü Masa-başı Denetim veya Plan Denetimi Yönlendirme veya Kapsamlı İnceleme Bu tatbikat/test, hâlâ bir test olarak düşünülen en az yayılmacı tatbikat/test türüdür. Bir masabaşı denetimi, normalde test sahibinin yanında muhtemelen bir de yansız bir üçüncü taraftan oluşur. Bu tür bir çabanın amacı, sadece plan içeriğinin tarihinin hâlâ güncel olduğundan (örn. iletişim bilgileri) ve planın genel gidişatının hâlâ ilgili ve olumlu olduğundan emin olmaktır. Bu denetim normalde sadece sayfa sayfa okuma ve planının kendisini güncellemeyi içerir. Hedefler: Ekip üyelerinin doğru kişiler olmasını sağlamak, Dâhili ve dış iletişim numaralarının güncel olmasını sağlamak. Özellikle Bir BC veya CM planı yakın zamanda edinildikten veya önemli ve anlamlı düzeyde geliştirildikten sonra, dokümanı onu uygulaması beklenen kişilerle gayr-i resmi olarak incelemek faydalı olur. Çalışma, bu iş için seçilen bir ekip liderinin olanak sağladığı bir ekip toplantısını da içerir. Normalde, bu tür düşük yoğunluklu bir olay, kurumun BCM politikasının gerekliliği bakımından bir “test” oluşturmaz. Hedefler Masaüstü Tatbikatı (Kurul Odası Türü Tatbikat) Ekip üyelerinin yeni/güncellenmiş görevlerini anlamalarını sağlamak. Ekip üyelerinin planın temel içeriğini ve formatını anlamalarını sağlamak. Çoğu durumda, gerçekçi bir senaryo üzerinde çalışarak zorlukları tespit etmek ve söz konusu sorunları çözmek için uyum oluşturmak için işbirliği içinde çalışma oturumu için tüm BC/CM ekibini bir araya getirmek faydalıdır. Genel olarak, tatbikatlar iki ilâ dört saat sürer ve bir BC/CM yöneticisinin veya bağımsız bir üçüncü tarafın katılımıyla etkinliği artar. Çalışma, önceden belirlenen hedeflerin karşılanıp karşılanmadığını ayrıntısıyla sunan ve olay sırasında ortaya çıkarılan açıkların yanı sıra buna dönük iyileştirme zaman çizelgesini ve bundan sonra atılacak adımları özetleyen tatbikatın resmi eleştirisiyle sonlandırılır. Hedefler: İletişim Testi Ekip üyelerinin görev ve sorumluluklarının önemini anlamalarını sağlamak. Süreklilik/kriz sorunlarını bir ekip olarak çözmenin faydalarını görmek. Fonksiyonel alanlardaki özel planlama/eğitim açıklarını tespit etmek. İletişim, bir BCM sürecinin kilit bileşenlerinden birisidir. Aslında, herhangi bir konuda paydaşlara doğru bildirimde bulunamama kriz müdahalesinin başarısız olmasının en sık karşılaşılan nedenlerindendir. Bu testler, iletişim planlamasının kapsamına göre ve kriz bildirim sürecinde kullanılan otomasyon düzeyine göre değişir. Bir kitle bildirim aracı kullanılan şirketler bu uygulamalarından iki kat daha fazla fayda görürler: Bu aracın performansını değerlendirmek ve bildirimin nasıl alınacağını katılımcılara ifşa etmek. Normalde, bu olay sadece rehber bilgilerinin gözden geçirilmesini değil, aksine işletme ortaklarının ve çalışanların işe alınmasını içerir. Hedefler: Kilit paydaşların iletişim bilgilerini doğrulamak. Katılımcılara kitle bildirimi kullanma ve tepki kısmındaki her tülü görevleri konusunda eğitim vermek. Kitle bildirim araçlarını uygun şekilde yapılandırmak. Bir olayda İletişimin zamanında gerçekleşmesini engelleyebilecek iletişim açıklarını/darboğazlarını tespit etmek. GTAG – BCM Gereklilikleri Tanım ve Hedefler Uygulama Türü Bu test bildirilmiş veya bildirilmemiş bir felaket simülasyonu yapmayı ve belgelenmiş sistem kurtarma prosedürlerini uygulamayı kapsar. Çoğu BT ortamı son derece karmaşıktır ve tüm veri merkezi kaybından ziyade,özel uygulamaların veya sistemlerin kurtarılmasına göre planlar oluşturulabilir. Bu koşullar altında, veri tabanı kaybının test edilmesi son derece zarar verici ve maliyetli olabilir. İyi planlanmış bir kapsamlı inceleme, birbirinden farklı ve ayrık olan tarafları pratik olarak mümkün olan tek yolla bir araya getirmek için etkin bir uygulama olabilir. Hedefler: Büyük ölçekli bir olayda kritik sistemlerin ve verilerin kurtarılabileceğini doğrulamak. Çok sayıda sistemin/uygulamanın kaybolması durumunda, her bir münferit sistem veya uygulama planındaki iç kaynakların sorumluluklarını yerine getirip getiremeyeceklerini belirlemek. Müdahale/kurtarma kaynaklarının birden fazla yerde/iş kolunda kullanımını koordine etmek. Destekleyici/Ek kaynakların (insan, kaynaklar, satın alma gibi) BT tepkisi/cevabı bakımından yeterli olduğundan emin olmak. BT Ortamının (Sistemler ve Uygulama) Kapsamlı İncelenmesi Tüm kurtarma bileşenlerinin alternatif bir yerde test edilmesi, kurumun personelini alternatif bir tesise kaydırma yeteneğinin test edilmesini ve kurtarma süreçlerinin ve BT varlıklarının alternatif bir tesiste planlandığı gibi çalıştıklarına yönelik bir doğrulamayı da içermelidir. Alternatif Tesisin Testi Hedefler: Alternatif bir tesiste kilit süreçlere devam edebilme konusunda gerçek kapasiteyi belirlemek. Alternatif bir çalışma ortamında gizlilik, güvenlik ve finansal kontrollerin muhafaza edilip edilemediğini tespit etmek. Kilit süreçleri alternatif bir tesiste tamamlamak için katılımcıları gözden geçirilmiş/revize edilmiş prosedürler konusunda eğitmek. Alternatif bir tesiste BT varlıklarının yeterliliğini ve etkinliğini değerlendirmek. BCM risk değerlendirmesinde tanımlanan felaket senaryolarına dayalı olarak çalışanları bir yerden bir yere götürmenin makul olduğundan emin olmak. Alternatif bir tesisteki olanaklarının testi,söz konusu tesis olanaklarının hem iş hem de BT bakımından test edilmesini içermelidir. Kritik tedarikçiler/işletme ortakları ve müşterilerin – hem iç hem dış – kapsama alındıkları için, uçtan uca test bir alternatif tesis testinden farklıdır. Bu test, genel olarak, kurumun üretim tesisiyle bağlantısını doğrular. Uçtan Uca Test Etme Hedefler: Kilit süreçleri, kayda değer sorunlar yaşamadan önceden belirli bir düzeyde gerçekleştirme yeteneğini göstermek. Uçtan uca testte, yüzde 100 operasyon kapasitesini göstermek gerekmez; ancak en iyi uygulama süreklilik stratejisinin etkinliğini, süreklilik planında öngörülen veya belgelenen performans beklentileriyle uzlaştırmaktır. GTAG – BCM Gereklilikleri B. Tatbikat Sıklığı İç denetim yöneticileri, BCM programı için “doğru” bir tatbikat/test sıklığının olup olmadığını sık sık merak etmişlerdir. Uygulamanın sıklığı tek başına cevap olamaz; çünkü aynı testi yılda iki kere yapmak çok geçmeden durgun sonuçlara ve katılımcıların sıkılmalarına neden olacaktır. Pek çok alanda olduğu gibi, genel olarak kabul görmüş en iyi standart, uygulama sıklığının programın giderek daha fazla olgunlaşmasını sağlayacak ölçüde olmasıdır. Kurumsal olgunluğa ulaşmış kurumların çoğu, iş sürekliliği süreçlerini yılda bir veya iki kere test ederler; bu sıklık aşağıda verilen faktörler nedeniyle arttırılabilir: İş süreçlerinde yapılan değişiklikler, Teknolojide yapılacak değişiklikler, BCP ekip üyeliğinde yapılan bir değişiklik, Olası iş kesintilerine neden olabilecek öngörülen olaylar (örneğin, kasırga mevsiminin başlaması veya bir pandemi tehlikesi algısı). Tatbikatların ve yapılan testlerin sıklığına bakılmaksızın, iç denetim yöneticilerinin (İDY) odağı, gerçekleştirilen tatbikatların/testlerin programın sürekli gelişmesine katkıda bulunmasını sağlamak olmalıdır. 5.9 Kriz İletişimi Kriz durumunda iletişimi planlama, bütüncül bir BCM programının vazgeçilmez bir parçasıdır ev çoğunlukla da kurumsal iletişim, halkla ilişkiler veya iletişim uzmanlarının istihdam edildiği başka bir birim tarafından koordine edilir. Kriz iletişim planlarının bulunduğu yerlerde, bir krizin ardından iletişimin ve iletişim araçlarının nasıl yönetileceği sıklıkla ele alınır. Her halükarda, kriz iletişimin tek başına ve bağımsız bir çaba olmak yerine genel CM sürecinin bir parçası olmalıdır. Maalesef iletişim araçlarını ele almak gerçek bir durumda yaşanan kriz iletişiminin sadece küçük bir kısmını oluşturur. Kitle iletişim araçları önemli ve oldukça kamusal olmasına rağmen, “daha az önemli” görülen kriz iletişimi unsurlarında yaşanan aksaklık veya sorunlar da iyi yönetilemediklerinde veya uygulanamadıklarında aynı derecede yıkıcı ve tahrip edici olabilirler. Etkin kriz iletişimi planları, entegre bir mesajın çok sayıda ve çeşitli paydaşlara uğraşları ve ilgi alanlarına göre proaktif olarak iletilmesi amacıyla tasarlanmıştır. Finansla ilgilenen kesimi ilgilendirebilecek konular, çalışanlar ve komşular için aynı derecede ilgi çekici olmayabilir; ancak temel mesaj tutarlı olmalıdır. Bir kriz durumunda uygulanacak kriz iletişimini her yönüyle öngörmek imkânsız olsa da, planlarda ve hazırlık çalışmalarında muhatap alınacak hedef kitle içerisinde: Kurumun kriz müdahale ekibinin üyeleri. Operasyonlara devam etmekten ve çalışanlarla ilgilenmekten sorumlu yöneticiler. GTAG – BCM Gereklilikleri Daha geniş kapsamlı konuları anlama konusunda yönetime göre daha az bilgisi olan hat çalışanları, Çalışanların aileleri, özellikle felaketten veya kurumun söz konusu felakete müdahalesinden etkilenen çalışanların aile bireyleri, Kuruma olan ilgisinin odağında güncel kriz yönetimi bulunan finans medyası da dâhil ulusal medya, Geniş bir konu yelpazesinde kurumu konu alan - matbu veya yayın yapan – yerel medya organları, Yatırımcılar, özellikle bir olayın kısa ve uzun vadeli bölümlere ayrılmasında şeffaflık isteyen kurumsal yatırımcılar, Vergi matrahının uzun vadede devamlılığıyla ve kurumun kendi birimlerine sağladığı diğer faydalarla ilgilenen yerel yönetimler ve eyalet/il yönetimleri, Kurtarma (felaket sonrası toparlanma)koşullarında çalışırken bile sürekli uyumu sağlamaktan sorumlu düzenleyici otoriteler, Olaydan, kurumun müdahalesinden veya yerel makamların (otoritelerin) toplumun genel etkisini en aza indirme çabalarından olumsuz etkilenen komşular. 5.10 Dış Kurumlarla Koordinasyon BCM planının hiçbir safhası her şeyden yalıtılmış bir boşlukta var olamaz. Kurumun kendi birimleri arasında çeşitli alanları koordine etmesinin yanı sıra dış kurumlarla da koordinasyon noktalarını planlama sürecinde yansıtılması gerekir. Devlet kurumları, her türlü acil durum karşısında gerektiği gibi hazırlıklı olan özel sektör kurumlarıyla ilgilenirler. Örneğin, Amerika Birleşik Devletleri 2007 yılında, özel sektör kurumlarının bir kriz durumuna hazırlık durumlarını değerlendirmek için baz alabilecekleri bir gönüllü acil durum hazırlığı standardının hazırlanmasını öngören Kamu Kanunu (Public Law) 110-53’ü kabul etmiştir. Birleşik Krallık Sivil Beklenmeyen Durumlar Kanunu (Civil Contingencies Act), bir acil durum anında devletin özel sektör kurumlarıyla nasıl farklı yöntemle ilgileneceğini ele alır. Dış kurumlarla söz konusu temas noktalarının her birini belgelemenin bir standart “doğru” yolu yoktur; ancak en azından planlama aşağıda verilenleri içermelidir: Bir felaket olayının ardından hangi devlet kurumlarıyla temasa geçmek gerekir? Zorunlu bildirimin eşikleri nelerdir ve hangi durumlarda kurumlar gönüllü bildirimde bulunurlar? Her bir devlet dairesinin iştigal konuları nelerdir; bunlar ne kadar farklı veya benzer olabilir? Kendi kurumsal bağımsızlığından ödün vermeksizin,kurum deneyimlerinden yararlanmak üzere devlet kurumlarını planlama veya uygulama süreçlerinde nasıl işe koşabilir? Düzenleyici otoriteler açısından ne gibi BCM programı gereklilikleri vardır ve kurum bu gerekliliklere uyum durumunu nasıl bildirir? Ürünleri geçici olarak sertifikasız bir tesiste üretmek, düzenlemelere tâbi fonksiyonlarını farklı coğrafi alanlardan gerçekleştirmek, hammaddelerin veya bitmiş ürünlerin (mamul ürünlerin) ülkeye girişini değiştirmek gibi süreklilik stratejilerini gözden geçirmesi ve onaylaması gereken dış otoriteler var mıdır? GTAG – BCM Gereklilikleri Kurum içerisinde, her bir devlet kurumuyla ilişkileri kim, nasıl yürütecektir? Genellikle, bu ve diğer kaygılara cevap vermenin en iyi yolu yönetimin BCM programından sorumlu olmasını ve konuyla ilgili dış otoritelerle görüşmeler yapmasını sağlamaktır. Dış otoritelerin BCM performansı konusundaki beklentilerini yönetime bildirmemiş olmaları, bu yönde bir beklentilerinin olmadığı anlamına gelmez. Söz konusu kurumlarla önceden koordinasyon ve işbirliğine girmek, bir felaket durumunda ortak çalışmayı güvence altına almak için hayati önemi haizdir. 6. Acil Durum Müdahalesi Acil durum müdahalesi, genel olarak, herhangi bir felaketin hemen ardından can ve mal kaybını önlemek üzere tasarlanmış taktik planlama ve pratik faaliyetler olarak tanımlanır. Sanayileşmiş ülkelerin çoğunda, büyük kurumlara acil durum (ER) planları geliştirmeleri şartı getirilmiştir ve sektöre özel çok sayıda gereklilik bulunmaktadır. Çoğu durumda, devlet kurumları özel gereklilikler tanımlamaktadır; fakat hem ulusal hem de uluslararası sanayi gruplarının yayımladığı ve acil durum konularını ele alan çok sayıda kılavuz bulunmaktadır. Bir Acil durum programının en önemli bileşenlerinden bazıları arasında aşağıda sayılanlar yer alır: Tahliye planı ve toplanma Üst makama havale protokolleri Hasar değerlendirme ve raporlama Tehlikeli maddelere müdahale ve sızıntı kontrolü Tıbbi müdahale Kurtarma ve ıslah etme İtfaiye, ilk yardım, yüksek açı kurtarma veya dar alanda kurtarma gibi uzmanlık gerektiren konular. İç denetim yöneticilerinden (İDY), genellikle, hazırlıklı olmanın bu yönünü tek başına bir bileşen olarak gözden geçirmeleri istenmez. Bu yüzden her türlü BCM gözden geçirme veya danışma sürecinde ele alınması gereken kilit nokta, acil durum (ER) planından sorumlu iç kaynaklarla uygun entegrasyon ve koordinasyon düzeyidir. Her BC olayı acil durum çalışmalarıyla başladığı için plan ve faaliyetleri koordine edememe, sadece olayın acil etkilerine cevap vermeyi engellemez; aynı zamanda aksaklığa neden olan olayın kaynağı ve özgün özellikleri hakkındaki bir bilgiyi gereksiz yere atlayarak uzun vadeli karar-verme sürecini de zorlaştırır. Çoğu acil durum (ER) planı can güvenliğine odaklandığı için –neredeyse diğer tüm meselelerin göz ardı edilmesi pahasına da olsa- sürekliliği ve acil durum planlamasını koordine etmenin en sık karşılaşılan zorluklarından birisi, sorumluların ana odağı zayıflatmadan birbirlerinin önceliklerini nasıl dâhil edeceklerini belirlemektir. Tarafsızlığı ve danışma yaklaşımı sayesinde iç denetimin değer katabileceği bir alandır bu. Çoğu durumda, BC ekipleri BC planlarını geliştirmek için zaten acil durum (ER) ekipleri tarafından toplanmakta olan bilgileri kullanabilirler ve ER ekipleri de eylemlerinin, operasyonel, finansal toparlanmayı ve kurumun itibarını nasıl etkilediği hakkında daha iyi bilgi alabilirler. GTAG – BCM Gereklilikleri Çalışmalarının doğası itibariyle, önemli ve büyük acil durum (ER) ihtiyaçları olan kurumlar, müdahale çabasını yönetmek için hemen hemen her zaman yapılandırılmış bir yaklaşım kullanır. Lojistik, planlama, durum raporu verme ve operasyonel müdahale gibi acil durumun (ER) tüm yönlerini denetlemesi için seçilen bir Olay Komuta Ekibi modeli bu konuda yaygın olarak kullanılan oldukça tercih edilen bir mekanizmadır. Olay Komuta Ekibi mekanizmasını kullanan kurumların çoğu, kurumlarına yönelik yaklaşımlarını buna göre değiştirirler; ancak komuta birliği ve açıkça tanımlanmış görev ve sorumluluklar gibi kilit ilkeleri muhafaza ederler. Olay Komuta Ekibiyle ilgili daha fazla bilgiye http://www.fema.gov/txt/nims/nims_ics_position_paper.txt adresinden ulaşılabilir. Eğer denetim planına BC ve Er programlarının koordinasyonu dâhil edilecekse, bazı kilit soruların dikkate alınması gerekir: Program sahipleri program sorunlarını ve bu konudaki endişeleri görüşmek için ne kadar sık bir araya gelirler? Program sahipleri çeşitli ve farklı büyüklüklerdeki felaketlerin hem acil hem de uzun süreli etkileri bakımından en iyi nasıl yönetilebilecekleri üzerine bir görüş birliğine varmak için yerel ER otoriteleriyle bir araya geldiler mi? ER koordinatörü,gerektiğinde, BC stratejilerini değiştirmek konusunda veya tam tersi bir durum için yeterli nüfuza sahip mi? Üst yönetim ER ve BC’nin bir kurumdaki sorumluluklarının çerçevesini onayladı mı? ER sürecinin önceliği azalıp BC’nin önceliği artarken bilgi ve dış ilişkiler konusunda somut aktarım protokolleri var mı? Eğer Olay Yönetimi Ekibi modeli kullanıldıysa, ekip liderinin BC programı üzerinde bir etkisi var mı? GTAG – Kriz Yönetimi 7. Kriz Yönetimi Kriz Yönetiminin bütün BCM alanı içerisinde en çok yanlış anlaşılmaya müsait kelimelerden biri olduğunu söyleyebiliriz. Bizim az önce acil durum müdahalesi olarak tanımladığımız şeyi bazı kurumlar son derece taktik bir planlama olarak tanımlamaktadırlar. Bazı kurumlar ise, bunun fiziksel güvenlik olaylarını kapsayacak biçimde kullanırlar. Bazı kurumlar ise, kurum düzeyindeki büyük olaylara cevap vermeyi amaçlayan yönetim düzeyindeki planlar olarak tanımlarlar; fakat aslında planları sadece kriz durumunda iletişim sorunlarını çözmeye yöneliktir. Bu GTAG’ın amaçları için, bir kurumun karşı karşıya kaldığı acil ve yüksekdüzeydeki etkilere cevap vermek amacıyla tasarlanmış kurum-düzeyindeki planlamayı tanımlamak için kullanacağız. Çoğu kriz yönetimi planı, etkileri ne olursa olsun her türlü acil durum için harekete geçirilmek üzere hazırlanmıştır. Sıklıkla bir olayı bir üst makama havale etmekle ilişkilendirilen öznelliği ortadan kaldırmak amacıyla çoğu durumda çeşitli etki türleri için özel eşikler belirlenmiştir. Bu üst makama havale etme kriterleri insani, finansal ve operasyonel etkilerini içermeli ve kurumun faaliyet gösterdiği hemen hemen her yerde çalışanların olay yönetiminin kriz yönetimine havale edilmesinin gerekip gerekmediğini anlamasını sağlayacak kadar anlaşılır olmalıdır. Benzer şekilde, eşiklerin kurum çapında tutarlı bir biçimde kullanılması, kriz yönetiminin acil durumla ilgili kendisine henüz ulaşılmadığı ve olayın önceden belirlenmiş sınırları aşmadığı konusunda emin olmasını sağlar. Bu kilit eşiklerin bir diğer avantajı ise, bir BC olayını kurum düzeyinde bir krizden ayırt etme konusunda sağladıkları eşik değerleridir. Küçük çaplı bir yangın veya kilit bir tedarikçinin kaybedilmesi bir iş kolu için veya bir çalışma bölgesi için önemli bir etkiye sahip olabilir; ancak kriz yönetimi ekibinin etkin hale getirilmesini gerektirecek, kurum çapında bir kriz oluşturmaz. Uygun şekilde belirlenmiş eşik değerleri, üst yönetimin onları eleştirip eleştirmeyeceğini düşünmeksizin işleri yeniden başlatmak üzere harekete geçme konusunda işletme birimi yöneticilerini cesaretlendirir. Olgun kriz yönetimi programları kullanan şirketlerin çoğunda, birbiriyle uyumlu ve ortak olan konu, iyi tanımlanmış ve sınanmış komuta kontrol kapasitelerinin olmasıdır. Gerçek bir olay, özellikle de karmaşık bir olay meydana geldiğinde, her yerde bir kaos yaşanır. Böyle bir durumda her zaman doğru kararlar almak için kısa sürede yönetimin elinde yeterince güvenilir bilgi bulunmaz. Kriz yönetiminde mükemmeliyet arayan kurumlar, mevcut bilgileri toplayabilen, “gürültüyü” filtreleyebilen, bilginin çabuk ve güvenli yayılmasını sağlayarak karar verme kapasitesini en üst düzeye çıkarabilen sistemler geliştirip önceden test etmektedirler. GTAG – Kriz Yönetimi Bir acil duruma müdahale protokollerine, insanların, süreçlerin ve bilginin komuta ve kontrolüne ek olarak, etkin kriz yönetimi programlarının diğer yönleri de şunlardır: Ürün gaspı/ürün geri çağırma, güvenlik olayları (özellikle uluslararası olaylar) genel kriz yönetimi programına yapılacak sektöre özel (örneğin, havacılık) acil durum müdahalesi gibi uzmanlık alanlarını şirket bünyesine katmak. Genellikle bu alanlarda olaylara maruz kalmış şirketler söz konusu sorunları çözmek amacıyla bazı planlar geliştireceklerdir; fakat bu planlar kurumsal kriz yönetimi programıyla ilgili olmayabilir. Bir felaketten etkilenen çalışanlara yardım etmek ki bu yardım içerisinde psikolojik destek sağlamak, çalışanın ailesine yardım etmek veya bölgesel bir olayda maddi yardımda bulunmak sayılabilir. Yapılan yardımlar, seyahat teşviklerini veya bir acil durumda geçici olarak yerini değiştirmek gibi yardımları da içerebilir. Bir acil durum müdahale sürecine yönetim kurulunun beklentilerini katmak ve müdahale esnasında kurula rapor vermek. Bir acil durum olayından sonra, hata ve ihmaller, müdürlerin ve üst düzey yöneticilerin sorumluluğunu doğuran sorunlar da dâhil hissedar sorunları ve sorumlulukları konularını yönetmek. Her iki programın da birbirinin güçlü yanlarından faydalanabilmesi ve çalışmanın tamamının birlikte olgunlaşması ve gelişmesi için hem CM hem de BC programını birlikte test etmek. Bazı operasyonlar ortak bir girişim olarak yönetildiklerinde ve/veya çok sayıda ülkeye yayıldıklarında, ilgili yasal otoriteleri ve bu otoritelerin nerede bulunduklarını ayrıntılı olarak tanımlamak. Eğer kararlar başka bir yasal kurum tarafından veya başka bir ülkede veriliyorsa, yasal sorumluluk bir ortak girişimden veya bir başka ülkeden devralınabilir. Özellikle CM ekibi ABD’deyse, ülkenin çekişmeli yasal ortamından dolayı bu konuya özellikle önem verilmelidir. GTAG – Sonuç / Özet 8. Sonuç/Özet BCM, şirketleri kritik iş süreçlerine zarar verebilecek olaylarla bağlantılı olarak ortaya çıkan önemli ve anlamlı potansiyel sonuçlardan korunmak amacıyla hazırlanmış önemli bir risk yönetimi programıdır. İç Denetim Yöneticisi (İDY), kurumun etkin ve etkili bir BCM programı oluşturulurken, karşılaşabileceği risk ve seçenekleri anlamasına yardım edebilir. Kurumdaki tüm yöneticiler, kurumdaki iş süreçlerine ve ilgili işletme fonksiyonlarına zarar verebilecek risklerin uygun şekilde yönetilmelerinden sorumlu tutulmalıdır. Bir BCM programı, uygun risk hafifletme kararları vermek ve kurum direnci oluşturmak için bir çerçeve sunar. Kritik işletme operasyonlarının kurtarılmasını sağlamak için kritik iş süreçleri kurtarılmalıdır. BCM programı, kurumsal kapasiteler, bilgilerin, sistemlerin ve enformasyonun kurtarılması, kaynakların yeniden yüklenmesi ve satın alınması, tedarikçi yönetimi ve acil durum yönetim süreçleriyle uyum da dâhil olmak üzere bir kurumun kurtarma kapasitelerini sürdürmesini sağlar. BCM programı, iş sürekliliği kapasitelerinin sürdürülmesi ve sürekli geliştirilmesini sağlayacak biçimde tasarlanmalıdır. BCM kapasitelerinin etkin şekilde sürdürülmesi ve yönetilmesi; personelin düzenli olarak eğitimini, periyodik uygulamaları (tespit edilen her türlü açığın çözümü ve yönetimin program taahhüdü de dâhil), BCM programının ve işletme birim kapasitelerinin denetim değerlendirmelerini ve BCM programının sürekli iyileştirilmesi ve geliştirilmesini de kapsamalıdır. GTAG – EK 9.0 Ekler 9.1 Örnek BCP Denetim Rehberi Federal Finansal Kurumları Denetleme Kurulu’nun mükemmel bir İş Sürekliliği Planlama Kitapçığı bulunmaktadır (Mart 2008). Söz konusu rehbere kurulun web sitesinden, www.ffiec.gov, ulaşabilirsiniz. Söz konusu kitapçıkta üzerinde durulan başlıca hedefler aşağıda verilmiştir: BC planlama programını gözden geçirmek amacıyla kapsamını inceleme ve denetlemenin kapsamını ve hedeflerini belirlemek. Kurum çapında uygun bir BC planının bulunup bulunmadığını belirlemek. Yönetim kurulunun ve üst yönetimin sağladığı BC planı gözetimi ve desteğinin kalitesini belirlemek. Yeterli düzeyde BIA ve risk değerlendirmesinin yapılıp yapılmadığını belirlemek. BC süreciyle ilgili uygun risk yönetiminin uygulanmakta olup olmadığını belirlemek. İş süreçlerine planlandığı gibi bakım yapılması, bu süreçlerin kaldıkları yerden devam etmesini ve/veya kurtarılmasını sağlamak için BC planının/planlarının uygun test etmeyi içerip içermediklerini belirlemek. BT ortamında uygun şekilde belgelenmiş, kurum çapındaki ve departmanlara ait BC planlarını tamamlayan bir BC planı olup olmadığını belirlemek. BC planının/planlarının uygun donanım yedekleme ve kurtarmayı kapsayıp kapsamadığını belirlemek. BC sürecinin uygun veri ve uygulamalarına yönelik yedekleme ve kurtarmayı içerip içermediğini belirlemek. Veri kurtarma merkezinin istendiği gibi çalışmasını sağlamak için BC planının/planlarının uygun hazırlığa yer verip vermediğini belirlemek. BC planında/planlarında uygun güvenlik prosedürlerinin bulunup bulunmadığını belirlemek. BC planının/planlarının kritik dışarıdan satın alınan faaliyetleri ele alıp almadıklarını belirlemek. Düzeltici müdahaleyi tartışmak ve bulguları açıklamak. GTAG – EK 9.2 BCM Standartları ve Kılavuz İlkeler Kurum / Yönetim Organı Standart Uluslararası Standartlar Örgütü (ISO) ISO9000 Kalite Yönetimi ISO14001 Çevre Yönetim Sistemi ISO25002 Bilgi Güvenliği Yönetimi için Uygulama Prensipleri— İş Sürekliliği Yönetimi bölümü AS/NZ4360 İngiliz Standartlar Enstitüsü (BSI)kapsar: Birleşik Krallık Avustralya Yeni Zelanda Standartların Tanımı İş Sürekliliği Enstitüsü’nün tanımladığı 10 Yetkinlik alanı İş Sürekliliği Enstitüsü (BCI) HB221 Risk Yönetimi— (AS/NZ:Avustralya / Yeni Zelanda Standartları) İş Sürekliliği Yönetimi Rehberi—4360’a ek el kitabı AS/NZ4390 Kayıt Yönetimi AS/NZ4444 İş Sürekliliği Yönetimiyle Bilgi Güvenliği Genel Kullanıma Açık Standartlar (PAS) PAS56 BCM Rehberi — (PAS— UK) Birleşik Krallık ve Commonwealth Ülkeleri Kurum / Yönetim Organı ABD Ulusal Para Denetim Bürosu(OCC)Bültenleri finansal hizmetler birimleri —özellikle, BT konuları için geçerlidir. Standart Standartların Tanımı Bülten 97-23 Kurumsal İşe Yeniden Başlama ve Acil Durum Planlaması Bülten2001-14 Çabuk Toparlanma Bülten2003-18 İş Sürekliliği Planlaması ve Teknoloji Sağlayıcılarının Gözetimi ABD Menkul Kıymetler ve Borsa Komisyonu, ABD Ulusal Para Denetimi Bürosu ve ABD Merkez Bankası Sistemi Guvernörler Kurulu’nun yayımladığı Geçerli ve Güvenilir BCP Uygulamaları Hakkında Ortak Kurumlar arası Beyaz Kâğıt http://www.sec.gov/news/press/studies/2006/soundpractices.pdf New York Borsası(NYSE)/Finansal Sektör Düzenleme Otoritesi (FINRA) ANSI/ ARMA5 Hayati Kayıtlar Programı (İşletme için kritik öneme sahip kayıtların tanımlanması, yönetimi ve kurtarılması) Amerikan Endüstriyel Güvenlik Derneği (ASIS) ASISGDL BC 10 ARMA: Amerikan Kayıt Yönetimi Derneği (American Records Management Association) İş Sürekliliği Kılavuzu: Acil durum hazırlığına pratik bir yaklaşım, kriz yönetimi ve felaket durumunda kurtarma (2004 taslağı) ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) NISTSP 800-34,45 BT Sistemleri için Acil Durum Planlama Rehberi (2002) ABD Ulusal Yangın Koruma Derneği(NFPA) NFPA1600 Felaket / Acil Durum Yönetimi ve İş Sürekliliği Programlarına ilişkin Standart (BCP için bir standart olarak kaynak gösterilmiştir.) Amerikan Ulusal Standartlar Enstitüsü (ANSI) GTAG – EK 9.3 BCM Kapasite Olgunluğu Modeli Aşağıda verilen BCM Kapasite Olgunluğu Modeli bu GTAG rehberine birebir aynı olmasa da hem GTAG hem de BC endüstri uygulamalarına ve standartlara uygundur. Sadece bir BC programını değerlendirme yollarından biri olarak verilmiştir. Kaynak: Protiviti Inc. (www.protiviti.com). “Kapasite Olgunluğu Modeli: Yazılım Sürecini Geliştirmeye Yönelik Kılavuz İlkeler” (Capability Maturity Model: Guidelines for Improving the Software Process), Carnegie Mellon University Software Engineering Institute, 1994.) Değerlendirme Hedefi: İcraî Yönetimin Desteği ve Sponsorluğu Olgunluk Değerlendirmesi Kapasite Özellikleri Gerçekleştirme Yöntemi Optimize Edici BCM kapasiteleri sürekli ve sistematik olarak geliştirilir. Üst yönetim, diğer alanlarda içte diğer verimlilikleri teşvik etmek; dışarıda ise stratejik ilişkiler kurmak amacıyla BCM kapasitelerini kullanır. BCM stratejileri stratejik hedeflerle ve müşteri beklentileriyle uyumlu hâle getirilir. Üst yönetim, BCM planlamasının, çerçevesi açık hesapverebilirlik ve sorumlulukla çizilmiş ana işletme birimlerinden biri olarak çalışmasını sağlar. Yönetilen Üst yönetim, kilit ölçütleri mevzuat gereklilikleri ve sektör kılavuz ilkelerine uygun olarak tanımlamıştır. Bu ölçütler BCM kapasitelerinin etkinliğini ve kalitesini tayin etmek için kullanılır. Yönetim, testlere ve eğitim faaliyetlerine katılır ve iç politika ve test sonuçlarındaki istisnaları gözden geçirir. Üst yönetim,kendisini BCM programının yönetiminin kalitesine adamıştır. Ölçüm sonuçları alınır ve BCM stratejilerinin ve planlarının kalitesini garanti altına almak üzere düzenlenir. BC’ye ilişkin hedefler performans hedeflerinde belirtilmiştir. Tanımlanan Bir BCM yürütme komitesi kurulmuştur ve bilgi teknolojileri departmanından olmayan bir üst yönetim ekibi tarafından yönetilmektedir.Söz konusu yürütme komitesi, BCM stratejileri ve çözümleri konusunda karar verme yetkisine sahip en üst organdır. BCM kapasitelerinin etkinliğini arttırmak için özel bir BCM bütçesi tahsis edilmiş ve kurum için genel bir BCM çözümü sunmak için BCM disiplinleri entegre edilmiştir. Üst yönetim, bir yürütme komitesi fonksiyonuyla BCM karar verme sürecinin tamamına katılmaktadır. Kurum; işe yeniden başlama, CM ve BT felaket kurtarma kapasitelerine ek olarak uygun sürdürme, test etme ve eğitim süreçlerinin entegrasyonunu sağlamak için BCM politikasının yanı sıra özel çerçeveler de tanımlamıştır. Tekrarlanabilir Üst yönetim BCM programını desteklemektedir; fakat sürecin icrasına katılım hâlâ sınırlı düzeydedir. CM, BC ve BT felaket kurtarma faaliyetlerinin koordinasyonunu sağlama görevi, orta yönetime verilmesine rağmen, BCM’nin genel koordinasyonu ya ihtiyaca cevaben gelişmektedir ya da yoktur.Arızalar ve hatalar ancak meydana geldikten sonra tanınıp düzeltilmektedir. Üst yönetim, BCM kapasitelerine duyulan ihtiyacın farkındadır. Bir BCM politikası oluşturulmuştur ve BCM çalışmaları bir BIA’in (remi veya gayri resmi) sonuçları esas alınarak yürütülmektedir. Başlangıç Üst yönetimin, BCM çabalarına yönelik desteği ya gayri resmidir ya da yoktur. Bu aşamada, BCM kapasiteleri bireysel çabalara ve “kahramanlıklara” dayanır ve çoğunlukla BT sistemlerinin yedeklenmesi ve geri yüklenmesi, bina tahliye prosedürleri gibi acil durum müdahalelerine odaklanır. Bu çabalar orta yönetimin sorumluluğundadır ve uygun finansman ve yeterli kaynaklar olmadan yürütülür. Sonuçta, mevcut her türlü süreklilik kapasitesi taktik ölçüt olarak tanımlanır. Değerlendirme Hedefi: Risk Değerlendirmesi ve İş Etki Analizi (BIA) Olgunluk Değerlendirmesi Kapasite Özellikleri Gerçekleştirme Yöntemi Optimize Edici Risk değerlendirmesi ve BIA sonuçları, kurtarma stratejilerini sürekli geliştirir. Risk değerlendirmelerinin ve BIA’ların uygulanması ve gözden geçirilmesi, kurumsal ve teknoloji değişiklik yönetimi/itinalı değerlendirme süreçleriyle koordine edilmiştir. Üst yönetim, risk ve etki sonuçlarını tanımlamak ve onaylamak amacıyla bir yürütme komitesi olarak çalışır. Yürütme komitesi işletmenin ihtiyaçları ve gereklilikleri doğrultusunda risk değerlendirmesi ve BIA sürecine yönelik değişiklik önerilerinde bulunur. Yönetilen Üst yönetim, risk değerlendirmesi ve BIA’e yönelik resmi yaklaşımları destekler. Hedefler ve etkinliğin oluşturulması ölçülebilirdir. Hem kurtarma zamanı hedefleri (Recovery Time Objective-RTO) hem de kurtarma noktası (veri kaybetme toleransı) hedefleri (Recovery Point Objective-RPO) belirlenmiştir ve aynı şekilde RTO’daki kapasite/kabiliyet oluşturulmuştur. Risk değerlendirmesi süreci, kontrollerin değerlendirilmesini hesaba katar. Bu süreçler tekrarlanabilir niteliktedir ve planlanmış düzenli aralıklarla uygulanır. Risk değerlendirmelerinin ve BIA’ların sonuçları, kurtarma stratejilerinin ve çözümlerinin tanımlarına ve geliştirilmesine yön vermektedir. Çekirdek iş süreçleri ve BT uygulamaları/sistemleri ele alınmıştır ve düzenli aralıklarla programlanmış risk değerlendirmesi ve BIA güncellemeleri sırasında gözden geçirilmektedir. Üst yönetim, bu sonuçları tüm kurumdaki riskleri değerlendirmek ve yönetmek için kullanır. Tanımlanan Risk ve iş etkisinin değerlendirilmesiyle ilgili daha resmi bir yaklaşım uygulanmıştır. Yönetim, iş etkisi verilerini toplamak/tahmini olarak hesaplamak için bir metodolojiyi destekleyerek, kritiklik seviyelerini tanımlamak için bir yaklaşım tanımlamıştır. Kurtarma zamanı hedefleri tanımlanmış ve bu gereklilikleri karşılamak için stratejiler belirlenmiştir. Yönetim, risk değerlendirmesini ve BIA sonuçlarını gözden geçirir ve onaylar. Resmi bir BC stratejisi seçme ve uygulama sürecinin bir parçası olarak, tanımlanmış bir risk değerlendirmesi veya BIA yaklaşımı oluşturulmuştur. Strateji belirleme süreci, kritiklik düzeylerine ve kuruma etkilerine doğrudan bağlı olan kurtarma hedeflerini de içerir. İcraî yönetim bu analizleri resmi olarak yürütür ve onaylar. Tekrarlanabilir Yönetim, risk değerlendirme sonuçlarını ve kurtarma önceliklerini, resmi analizler yerine genellikle tartışmalar ve interaktif atölyeler sonucunda gayri resmi yolla geliştirmiştir. Öncelikler normalde bileşen düzeyine odaklanır. İş etki analizi bilgileri (ister finansal ister finans-dışı) yarım kaldığından dolayı, yönetim kurtarma stratejisi fonunu tamamen gerekçelendiremeyebilir. İşletme ve/veya BT yönetimi, iş kesintileriyle ilgili süreklilik/kullanılabilirlik risklerini veya algılanmış etkileri tartışmış ve özetlemiştir. Ön/yüksek düzeyde kurtarma hedefleri üzerinde uzlaşmaya varılmıştır; fakat söz konusu hedeflerin etkinliklerini ve makul olup olmadıklarını ölçecek bir süreç bulunmamaktadır. Başlangıç Henüz ne resmi ne de gayri resmi bir risk değerlendirmesi ve BIA gerçekleştirilmemiştir. İşletme ve BT yönetimi kurtarma öncelikleri geliştirmiş olabilirler; ancak bu sonuçlar, potansiyel olarak algılanmış önem düzeyleriyle (onların işle ilgili münferit bilgilerine odaklıdır) sınırlıdır. Kurum iş kesintileriyle ilintili etkileri (finansal ya da finans-dışı) hesaba katmamıştır. İşletme ve/veya BT yönetimi algılanmış önem düzeylerini esas alarak “ihtiyaca cevaben” kurtarma öncelikleri geliştirmiştir. Hata senaryoları ve kontrol değerlendirmeleri yarım kalmıştır. Ölçüm kriterleri belirlenmemiştir. Değerlendirme Hedefi: İş Sürekliliği Stratejisi ve Tasarımı Olgunluk Değerlendirmesi Kapasite Özellikleri Gerçekleştirme Yöntemi Optimize Edici BC stratejileri, stratejik karar verme ve kurumsal/teknoloji değişiklik yönetiminin bir parçası olarak gözden geçirilir. Stratejiler, ihtiyaçlar esas alınarak güncellenir. Üst yönetim strateji oturumları ve/veya değişiklik yönetimi komiteleri, BC stratejilerinin tasarımına, seçimine, fonuna ve uygulanmasına yön verir. Yönetilen Risk değerlendirmesi ve BIA sonuçları BC stratejilerinin seçimini yönlendirir. Çok çeşitli ve farklı alanlardan sorumlu bir yürütme komitesi, CM’yi, işe yeniden başlama ve BT felaket kurtarma seçeneklerini bir maliyet-fayda analizi doğrultusunda değerlendirir. BC stratejileri, periyodik aralıklarla, genellikle 12 ayda bir (Risk değerlendirmesi ve/veya BIA yenilenmesinden sonra) gözden geçirilir. Bir BC yürütme kurulu, bir maliyet-fayda analizi temelinde BC stratejilerinin seçimine yön verir. Bu çok-fonksiyonel ekip tamamlayıcı iş ve BT çözümlerini değerlendirir ve seçer. Tanımlanan Nokta çözümler veya uzmanlık alanlarına özel stratejiler yönetimin talimatları doğrultusunda tasarlanır ve uygulanır. Kurum, CM’yi, işi sürdürme ve BT felaket kurtarma süreçlerini entegre eden kurum çapında strateji belirlemeye bağlı olarak ortaya çıkabilecek avantajlardan henüz yararlanmamıştır. Kurum, yerleşik kurtarma hedeflerini karşılayan stratejiler uygulamaya giderek daha fazla yaklaşmaktadır. Bilgi teknolojisi kurumu (ITO) BT felaket kurtarma stratejileriyle ilgili karar verme yetkisini elinde tutar. CM ve işe yeniden başlama stratejisi tasarımı ve seçimi; risk yönetimi, güvenlik, iç denetim veya hatta ITO tarafından yürütülerek ayrı ele alınır. İşletme ve ITO arasındaki koordinasyon çoğu zaman göz ardı edilir. Tekrarlanabilir Maliyet kontrolü, BC strateji seçimine yön veren en önemli etkenlerdendir. Stratejiler, normalde temel altyapısı bulunan; fakat ofis eşyaları konulmamış olan işyeri düzenlemelerine (dâhili veya üçüncü taraflar) ve üreticiden tüketiciye kaynaklara dayanır. BC stratejileri daha rekabetçi (agresif) işletme hedeflerini karşılayamayabileceği için, kurum risk altında olmaya devam eder. Kurum BC stratejisinin uygulanması ve sürdürülmesine yönelik bir bütçe ayırmaz. Bunun yerine öngörülen minimum bütçe uygulanır ve ek fonlama gerektiği takdirde, bu durumlar bütçe istisnaları olarak ele alınır. Başlangıç Yönetim, ihtiyaca cevaben gelişen eylemlere veya test edilmemiş müdahalelere ve kurtarma stratejilerine dayanır. Müdahale ve kurtarma stratejilerinin tasarımı önceden planlanmamıştır; aksine, yönetim, bir kriz durumunda deneyimlerin, yaratıcılığın ve pratik zekânın duruma hâkim olmasını bekler. Yetersiz ve kötü BC programı sahipliği veya hesap verebilirliğinden dolayı, BC planları kurtarma stratejisi ve kaynak tanımlarından yoksundur. Kriz veya iş kesintisinden sonra, kurum satıcı desteğine oldukça bel bağlar. Değerlendirme Hedefi: İş Uyumu Olgunluk Değerlendirmesi Kapasite Özellikleri Gerçekleştirme Yöntemi BCM, mevcut müdahale ve kurtarma stratejileri üzerinde etkisi olabilecek tüm değişikliklerden kurumu haberdar etmek için değişiklik yönetimi gözden geçirme stratejileri toplantısına ve iş stratejisi toplantısına katılır. BCM yürütme kurulu, mevcut ve önerilen stratejilerin makul olup olmadıklarını değerlendirmek amacıyla üç ayda bir toplanır. BCM bütün kurumda kullanılan daha ileri iş stratejilerinden ve değişiklik yönetimi süreçlerinden yararlanır. Yönetilen Bir BCM yürütme kurulu, BIA sonuçlarını ve BC strateji yatırımlarını değerlendirirken müşteri gereksinimlerini ve/veya resmi hizmet düzeyi sözleşmelerini dikkate alır. İç denetim, BCM çalışmasında bir danışman olarak yer alabilir ve programı iç politika ve düzenleme gereklilikleri (ilgiliyse) doğrultusunda gözden geçirir. Kurum, BC stratejilerini test ettiğinde, iş/BT stratejileri de birlikte test edilir. BCM kilit bir kontrol olarak değerlendirilir ve iç denetim de mevcut belgelenmiş politikaya uyuma yön verir. BCM yaşam döngüsünün tüm yönleri ortak bir iş/BT tarzıyla uygulanır. BCM, diğer iş girişimleri arasında rekabetçi bir avantaj olarak kullanılır. Tanımlanan Kurum, BCM uzmanlık alanlarını entegre etmiştir; stratejiler ve çözümler konusunda tek bir BCM yürütme kurulu karar vermektedir. Bir BCM bütçesi geliştirilmiştir. Bir BIA ve resmi bir maliyet-fayda analizi karar verme sürecine yön vermektedir. İç denetim ve üçüncü taraf müdahaleleri ve kurtarma stratejileri resmi olarak değerlendirilir ve yapılan seçimler risk değerlendirmesinden alınan sonuçlara dayanır. BCM programının sorumluluğu, veri merkezinin dışına taşınmıştır. Bütün kurumu etkileyebilecek bir yönetici, çalışmayı desteklemektedir. BCM hedefleri, işletme biriminin yıllık performans hedefleri arasında yer alır. Tekrarlanabilir Kurum, BC’yi planlamak, uygulamak ve yönetmek amacıyla resmi bir BCM politikası geliştirmiştir. CM, işe yeniden başlama ve BT felaket kurtarma süreçleri arasında olgunlaşmış bir koordinasyon olmasa veya böyle koordinasyon hiç olmasa da, bu süreçler vardır ve müdahale ve kurtarma operasyonlarına yardımcı olacak şekilde konumlandırılmışlardır. Bir BIABCM stratejilerinin tasarımına yön verir. Planlama çalışmasının kapsamı iş sahibi olmayı içerecek şekilde genişlemiş olsa da, sahiplik ve hesapverebilirlik hâlâ BT kapsamında yer alır ya da iç denetim BCM çalışmasına yön veren olarak karşımıza çıkar. BIA, BCM stratejilerini tasarlamak için kullanılan ana araçtır. Başlangıç Taktik ER ve sistem geri yüklemelerine sınırlandırılmış olabilecek BC çözümleri, orta yönetim düzeyinde yönetilmekte ve mevcut ek fonla (veya kullanılabilen iç kaynaklarla) icra edilmektedir. Optimize Edici Kurumun BC programı, ER’yi ve/veya BT felaket kurtarma süreçlerini ele almaktadır; fakat stratejik CM ve/veya iş süreci kurtarmayı ele almamaktadır. Değerlendirme Hedefi: Plan Geliştirme ve Strateji Uygulama Olgunluk Değerlendirmesi Kapasite Özellikleri Gerçekleştirme Yöntemi Optimize Edici Kriz, felaket kurtarma ve işi sürdürme planları planlama ve Üst yönetim stratejisi oturumları, planlama önceliklerini ve uyumu yönlendirir. BCM içeriklerini kapsayan standartlaştırılmış eğitim ve farkındalık programları tüm planlama katılımcılarına verilir. Plan geliştirme sorumlulukları konularla en yakından ilgili olanlardadır; konular içerik ve uyum bakımından değerlendirilir. Bağımsız uzman değerlendirmesi programlanır ve hem taktiksel hem stratejik değişikliğe yön verir. Yönetilen CM, işi sürdürme ve BT felaket kurtarma planları ve ekipleri arasındaki koordinasyon iyi tanımlanmıştır. Planlar minimum bir standardı (örneğin, yılda en az bir) yerine, ihtiyaçlara göre sürdürülmektedir. Planların dokümantasyonu merkezi otorite/karar organı tarafından gözden geçirilir ve üst yönetim tarafından imzalanır. Test sonuçları ve günlük deneyimler, plan iyileştirme ve geliştirmeye katkıda bulunur. Belgeleme uygun şekilde güvenceye alınmış ve ihtiyaçlara göre dağıtılmıştır. Tüm personelin plan belgeleme konusundaki görev ve sorumluluklarıyla ilgili eğitim gördükleri merkezileştirilmiş ve kısmi merkezileştirilmiş planlama çalışmalarının bir kombinasyonu bulunur. Kurumsal ve teknoloji değişiklikleri ve test/tatbikat sonuçları plan güncellemelerine yön verir. Tanımlanan CM (ER ve kriz iletişimi dâhil) işe yeniden başlama ve BT felaket kurtarma planları belgelenir ve kurumsal detaylar içerir. Tüm planlar yıllık bazda güncellenir. Görev ve sorumluluklar açık olmasına rağmen, planlar arasındaki koordinasyon yeterince tanımlanmamıştır. Her plan için planı geliştirmeden ve sürdürmeden (bir kurumun şablon standardını başlangıç noktası olarak kullanmak suretiyle) sorumlu plan sahibi atanır. Uygun taraflar planların içeriklerine yön verir ve kalite kontrolü plan sahibine kalır. Planlanmış bir sürdürme süreci, plan güncelleştirmelerine yön verir. İç denetim, bir BC planlama ortağı olarak görülür ve sürekli gelişme sürecinin bir parçasıdır. Tekrarlanabilir Planlama çalışmasının odağı, BT felaket durumunda İç veya üçüncü taraf denetim bulguları, plan dokümantasyonuna yön verir. Teknoloji liderliği ekibi, plan dokümantasyonu çalışmasını yönetir ve bu yüzden de, BT dışında az vardır. Başlangıç BCM yeterince anlaşılmadan ve odağa alınmadan üretilmiştir. Planlar, sıklıkla, genel kullanıma açık veya yazılım-tabanlı şablonlarla başlar ve içeriği özelleştirip kuruma uygun hale getirmek için ise çok az çaba vardır. Planlar, çoğunlukla, ER’ye ve kurtarma planlama teorisine odaklanır. icraya entegre edilmiştir. Ekip üyeliği çapraz fonksiyonel ve bölgeler arasıdır. Beklentiler tüm paydaşlarca açıkça anlaşılır. Plan sürdürülmesi kurumsal değişiklik yönetimi süreçleriyle yakından bağlantılıdır. kurtarma sürecinin dokümantasyonu ve ER planlamasıdır (bina tahliye etme, ilk yardım vb.). Bir dereceye kadar CM dokümantasyonu bulunur; fakat işi odağında BT olay müdahalesi vardır. Plan dokümantasyonunun en önemli nedenlerinden birisi, denetim yorumlarından kaçınmaktır. Planlar, çoğunlukla, ihtiyaca cevaben güncellenir. Planlar vardır; ancak söz konusu planlar kurumun diğer birimlerinden bağımsız geliştirilmiştir ve bu nedenle de iş ve teknoloji prosedür detaylarından yoksundur. BCM paydaşları görev ve sorumluluklarını, hatta bazı durumlarda olaya müdahale ve kurtarma süreçleri uygulamasındaki rollerini tam olarak bilmezler. Planlar çoğunlukla güncel değildir. Olaya müdahale ve kurtarma süreçleri hafızaya dayanır ve sıklıkla ihtiyaca cevaben gelişir ve birkaç kilit çalışan tarafından yürütülür. Değerlendirme Hedefi: Eğitim ve Farkındalık Olgunluk Değerlendirmesi Kapasite Özellikleri Gerçekleştirme Yöntemi Optimize Edici Kurumun tüm katmanları, BCM programı ve bunun günlük operasyonlar üzerindeki etkisi konusunda daha derin bir kavrayış ve anlayışa sahiptir. BCM görevlerini gerçekleştirmekten sorumlu olanlar diğerlerinin eğitiminde daha etkindirler. BCM stratejileri, kurum değerine etkileri bakımından değerlendirilir. BCM eğitimi, performans değerlendirmelerine (örn. dengeli puantaj cetveli) dahil edilmiştir. Ekip üyeleri, nasıl bir BCM savunucusu olunacağı konusunda özel eğitim alırlar. BCM liderleri, BCM hedeflerini tanınmış üst düzey işletmelerin hedefleriyle koordine eder ve bu yolla da söz konusu işletmelerin itibarlarından yararlanmış olurlar. Çapraz eğitim verilen ekip üyelerine, normal sorumluluklarının dışında kullanmaları için olanaklar sağlanır. Yönetilen Yönetim, BCM bileşenlerinin nasıl birlikte çalıştığıyla ilgili geniş ve kapsamlı bir bilgiye sahiptir. Üyeler, gerçek bir felaket durumunda sorumluluklarını bilirler ve pek çoğu da uzun vadeli faaliyetlerini bilirler. Ekip üyeleri, kendi BCM bileşenlerinin diğer BCM bileşenleriyle ve bir bütün olarak şirket hedefleriyle nasıl bağlantılı olduğunun yanı sıra kendi münferit sorumluluklarını dile da getirebilirler. Tüm ekip üyeleri hem görevleri hem de daha geniş bir program hakkında eğitim alırlar. BCM yönetimi, program güncellemelerini düzenli olarak üst yönetime bildirir. Eğitim ve farkındalık programları ayrı bütçelendirilir ve gerekirse dış kaynaklar da dâhil edilir. Ekip üyeleri üçüncü taraf veya vaka çalışması eğitimlerine katılırlar. Etkileri şirketin dışına uzanan bir olayın ortasında, planın nasıl uygulanacağıyla ilgili konular eğitimin kapsamındadır. Tanımlanan Tüm bileşenlerin katılımıyla, BCM programının amaç ve hedeflerini anlatacak yapılandırılmış bir program geliştirilmiştir. Planlama ve uygulama ekipleri dışındaki çalışanlar programın amaç ve hedeflerini anlarlar. Yönetim içerisinde BCM programına çok yönlü bir yaklaşım konusunda genel bir farkındalık mevcuttur. Yönetimin her iş kolunda programı anladığı, BCM eğitimine ilişkin yapılandırılmış yaklaşım bulunur. Tüm kurumda birincil veya yedek ekip üyeleri olarak listelenen kişiler için görevlerle ilgili eğitim zorunludur. Şirket iç ağı veya yeni işe alınanların oryantasyonu gibi mevcut kaynaklar program hakkında genel bir farkındalık oluşturmak için kullanılır. Tekrarlanabilir Bir program bileşeninde sınırlı eğitim veya farkındalık vardır; fakat kriz, işe yeniden başlama ve felaket kurtarma eğitimleri arasında çapraz eğitim yoktur. Özel program bileşenlerinin tayin edilmiş yedekleri olabilir ve ekip üyeleri programla ilgili resmi olmayan iletişime dâhil edilirler. Program bileşenleri konusunda taktik sorumluluğu olan orta yönetim, kritik bir BCM görevi için tek bir kişiye güvenme konusundaki tehlikenin farkındadır. BCM testleri ve/veya güncellemeleri departman personeli toplantılarında dönemsel konulardır. BCM testleri/güncellemelerini yapacak kişilere özel görevler konusunda resmi eğitim verilir; ancak bunun dışında bir şey yapılmaz. Eğitim, tatbikatlara katılımla sınırlıdır. Planlama silolarının bir kombinasyonu tarafından üretilir. BCM’nin temelini olağanüstü bireysel çabaların oluşturduğu kurumlarda bulunur. Eğitim, olduğunda, ER faaliyetleriyle sınırlıdır. Başlangıç Resmi bir eğitim veya farkındalık programı yoktur. Sadece acil sorumluluğu olanlar programın amaç ve hedeflerini bilir. Kriz, işe yeniden başlama ve felaket kurtarma arasında çapraz eğitim yoktur. Mevzuatla ilgili konular, eğitim ve farkındalık çalışmalarına yön verir. Değerlendirme Hedefi: Test Etme ve Planı Sürdürme Olgunluk Değerlendirmesi Kapasite Özellikleri Gerçekleştirme Yöntemi Optimize Edici BC testleri önceden duyurulmaz. Simülasyonlar, bir risk Ekip üyeleri, kapsamlı bir eğitim görürler ve müdahaleleri sadece bir tepki şeklindedir. Testlere hazırlık olarak minimum plan yapılır ve yapılan planlama da birkaç kişi tarafından gizlice yapılır. Müdahale ve kurtarma ekibi üyeleri, güncel bazı teknik prosedürler veya irtibat listesi dışında plan dokümantasyonuna minimum düzeyde bağlıdırlar. Planları sürdürmek ve cari ve işletme operasyonlarını yansıtır hâle getirmek için otomatik araçlar kullanılır. Yönetilen İşletme ve BT için düzenli olarak tam ve eksiksiz bir BC testi yapılmaktadır. Simülasyonlar, bir risk değerlendirme sırasında tespit edilen olası riskler kullanılarak geliştirilir. Testler, kritik bileşenleri veya bağlantı, uygulama kullanımı veya hareket işleme gibi fonksiyonları kurtarma oranıyla ölçülür. Planlar çalışma yeri dışında (off-site) yapılır ve güncellemeler test sonunda yapılır. İç denetim, tatbikatı gözlemler ve planların güncellenmesini sağlar. Test planlama; CM, işe yeniden başlama ve BT felaket kurtarmayı kapsar. Ekip üyeleri, tüm ilgili ve önemli prosedürler konusunda çapraz eğitim alırlar. Plan dokümantasyonuna fazla bel bağlanmaz; ancak süreçle ilgili ve irtibat listesindeki yanlışlıklar zamanında düzeltilmelidir. İç denetim, test planlamayı, uygulamayı ve testten kaynaklanan eylemleri izler. Plan güncellemeleri, iç denetimim gözetiminde süreç sahiplerinin sorumluluğunda olmalıdır. Tanımlanan BC ve BT felaket kurtarma testleri bazen birlikte yapılır; fakat odak noktası, genelde, bileşen kurtarmadır. Süreklilik prosedürleri, planlama açıklarını tanımlamak için interaktif atölye çalışmalarıyla tartışılır. Testler, büyük ölçüde, kurtarma ve genel etkinlik için beklenen bir zaman çerçevesi kullanılarak değerlendirilir. Tüm departmanlar, yedek sistemleri kullanarak belirli bir süre boyunca alternatif bir yerde çalışırlar. Çıkarılan dersler belgelenir ve plan güncellemeleri bir program çerçevesinde yapılır. İşletme ve BT personeli, iş sürecini ve BT varlık kurtarmaya yönelik tasarlanmış düzenli programlanmış BC testlerini uygularlar. Kullanıcılar, bağlantıyı ve uygulamalara erişimi test ederler. Bu testlerin planlama süreci geniş kapsamlıdır ve kolaylaştırıcılar ve/veya izleyenler olarak kurum içinden dışarıdan personeli içerir. İç denetim test uygulamalarına katılır ve test sonuçlarına göre planları güncelleme sürecini izler. Plan güncellemeleri merkezi koordinasyonla süreç sahibinin sorumluluğundadır. Tekrarlanabilir Test süreci, BT felaket kurtarma sürecine odaklanır ve BT personeli, düzenli programlanmış BT felaket kurtarma ve bileşen kurtarma testlerini uygular. Söz konusu testler için planlama süreci kapsamlıdır ve kolaylaştırıcılar ve/veya izleyenler olarak kurum içinden dışarıdan personeli içermelidir. İç denetim test uygulamalarına katılır ve test sonuçlarına dayalı olarak plan güncellemeleri sürecini izler. Plan güncellemelerinden tek bir kişi sorumludur. Başlangıç BC planlama başarıları, normalde BT’yle sınırlı olmak üzere, olağanüstü bireysel çabalarının temel oldukları yerlerde olur. Eğitim, olduğu yerlerde de , ER (ilk yardım, tesisleri tahliye etme vb.) ve BT bileşenlerini kurtarma faaliyetleriyle sınırlıdır. Plan güncellemeleri süreç sahiplerinin sorumluluğundadır ve standart, izlenen belirli bir süreci takip etmez. değerlendirmesinde belirlenen olası riskler kullanılarak geliştirilir. Testler, ağırlıklı olarak, beklenen kurtarmayla ölçülür. Tüm departmanlar, yedek sistemleri ve kaynakları kullanarak belirli bir süre boyunca alternatif bir yerde çalışırlar. Üçüncü taraf iş ortakları ve satıcılar teste katılırlar. Plan güncellemeleri, bir sürdürme süreciyle otomatik olarak entegre edilir. kurtarılan ortamın veya test sonuçlarının son kullanıcılar tarafından doğrulanmasını da içerebilir. Bazı kurumlarda, yönetim, CM kapasitelerinin bir senaryoya bağlı, masaüstü uygulanmasına katılır. BT felaket kurtarma testleri, bileşen kurtarmaya odaklıdır. İç denetim, süreklilik prosedürlerini – böyle bir fonksiyon varsa – gözden geçirir. Plan güncellemeleri bir program dâhilinde yapılır. BT bileşen testi, yönetimin sınırlı bilgisi dâhilinde ve kullanıcıların katılımı olmadan, BT birimi içerisinde gerçekleşir. Resmi bir test programı oluşturulmamıştır ve test sonuçları nadiren belgelenir. Testler, müdahale/kurtarma süreçlerinde düzeltme ve değişiklikler yapılmasıyla sonuçlanmaz. BCM süreci yeni olduğu için, planlar iyi sürdürülmemiş veya güncel olmayabilir. GTAG - Sözlük Değerlendirme Hedefi: Mevzuata Uyumun İzlenmesi ve Denetimi Olgunluk Değerlendirme Kapasite Özellikleri Gerçekleştirme Yöntemi İç denetim, risk yönetimi ve baş hukuk müşaviri, plan dokümantasyonunu düzenli aralıklarla gözden geçirirler ve aynı zamanda test faaliyetleri de dâhil BCM kapasitelerinin üçünü şahıs denetimlerine de destek verir. Kurum mevzuata uyumla ilgili sektör tartışmalarına katılır ve performans karşılaştırma analizlerini düzenli olarak gözden geçirir. Bir risk değerlendirmesi ve BIA yapılır ve planların işletme gerçeklerini ve mevzuat ortamını yansıtmasını sağlamak için düzenli olarak yenilenir. Düzenleyici kurumlarla proaktif bir temas sürdürülür. İşe özel olarak tahsis edilmiş bir ekip, uzmanlık gerektiren hizmetler için iç denetim ve dış kaynak sağlayıcılarını içeren çapraz fonksiyonel iş ve teknoloji ekibinin desteklediği BCM faaliyetlerini yönetir. Bir risk değerlendirmesi (yer bakımından) ve BIA (süreç bakımından) uygulanmalı ve plan yapımı için temel olarak kullanılmalıdır. Bu planlar, aynı zamanda, periyodik olarak yenilenmelidir. Yönetilen Aralarında baş hukuk müşaviri ve iç denetimin de bulunduğu çapraz fonksiyonel ekipler, iş koşulları ve mevzuat gereklilikleriyle ilgili düzenli değerlendirmeler yaparlar. İç denetim, risk yönetimi ve baş hukuk müşaviri de plan dokümantasyonunu yıllık bazda bir dereceye kadar gözden geçirirler. Planların işletme gerçeklerini yansıtmasını ve en olası ve ciddi risklere ve etkilere odaklanmalarını sağlamak için bir risk değerlendirme ve BIA kullanılır. Özel hizmetler için aralarında iç denetim ve dış kaynak sağlayıcıların da bulunduğu çapraz fonksiyonel bir işletme ve teknoloji ekibinin desteklediği işe özel olarak tahsis edilmiş bir ekip BCM faaliyetlerini yönetir. Bir risk değerlendirmesi (yer bakımından) ve BIA (süreç bakımından) uygulanmalı ve plan yapmak için temel olarak kullanılmalıdır. Bunlar, aynı zamanda, periyodik olarak yenilenmelidir. İç denetim, planın içeriğinden ziyade BCM programının uygulanmasına odaklanır. Tanımlanan BCM’yle ilgili mevzuat değerlendirilir ve BCM planlarına dâhil edilir. Mevzuat ortamını izleme sorumluluğu BCM yürütme kuruluyla iletişim içinde olan baş hukuk müşavirindedir. İç denetim, planı sürdürme sürecini izler ve mevzuat değişikliklerinin dokümantasyona ne zaman değişiklik yapılmasını gerektireceğini etkiler. Son iki yıl içinde, mevzuat ortamını dikkate alan bir risk değerlendirmesi ve BIA gerçekleştirilmiştir. Küçük, çapraz fonksiyonel bir ekip uygulamada yer almaktadır ve iç denetim birimi de bu ekibin çalışmalarına aktif bir şekilde katılmaktadır. Bir risk değerlendirmesi (yer bakımından) ve BIA (süreç bakımından) uygulanmakta ve plan yapmak ve mevzuatın plan geliştirme üzerindeki etkisini belirlemek için bir temel olarak kullanılır. Tekrarlanabilir Finansal açıdan mümkün olduğunda, BCM’yle ilgili mevzuat değerlendirilir ve BCM planlarına dâhil edilir. İç denetim birimi, bir uzun-vadeli denetim planına uygun olarak dokümantasyonun anlamını ve önemini gözden geçirir ve plan testi kanıtları talep edebilir. İç denetim, risk yönetimi veya baş hukuk müşaviri; mevzuat hakkında güncel bilgileri, BCM ekibiyle veya BCM’den sorumlu olanlarla paylaşırlar. Başlangıç BCM’yle ilgili mevzuat gereklilikleri veya sektör standartları çok ender dikkate alınır ve BCM planlarına dâhil edilir veya uygulanamayacak kadar maliyetli olarak görülür. İç denetim, geleneksel BT felaket kurtarma planlarının belgelenmesini sağlamanın dışında başka şeylerle ilgilenmez. Bir BT felaket kurtarma planlaması süreci vardır. Bir iç denetim fonksiyonu vardır ve felaket kurtarma ise yıllık veya iki yıllık planda yer alır. Optimize Edici GTAG - Sözlük BC – İş Sürekliliği BCM – İş Sürekliliği Yönetimi BCP – İş Sürekliliği Planı BIA – İş Etki Analizi BU – İşletme Birimi İDY–İç Denetim Yöneticisi (İDY) CBCP – Sertifikalı İş Sürekliliği Uzmanı CM – Kriz Yönetimi DRII – Uluslararası Felaket Kurtarma Enstitüsü DRP – Felaket Kurtarma Planlaması ER – Acil Durum Müdahalesi GTAG – Global Teknoloji Denetim Rehberi BT – Bilgi Teknolojileri MBCP – Master İş Sürekliliği Uzmanı RPO – Kurtarma Noktası Hedefi RTO – Kurtarma Zamanı Hedefi GTAG – BCM Gereklilikleri 11. Yazarlar Hakkında David Everest, CISA David Everest, Cleveland, Ohio’da bulunan KeyBank’in Kilit Risk Değerlendirme bölümünün başkan yardımcısıdır. Everest, Key Bank içerisinde teknoloji bölümüne uzman danışmanlık sunmaya odaklanır. Uzmanlık alanları arasında altyapı ve ağ (networking) projeleri yer alır. Key’de çalışmaya başlamadan önce Detroit, MI’da bulunan General Motors şirketinde teknoloji denetçiliği yapmıştır. Everest’in – hem teknolojik olarak hem de stratejik anlamda - muazzam bir BT arka plan bilgisi vardır; ayrıca veri merkezlerinde çalışmış ve BT departmanlarını yönetmiştir. Everest’in Ohio, Berea’daki Baldwin Wallace College’da Bilgisayar Bilgi Sistemleri’nden Bilim Lisansı (Bachelor of Science) derecesi ve Cleaveland’daki Case Western Reserve University’de Weatherhead School of Management bölümünde MBA yapmıştır. Roy E. Garber, CIA, CISA RoyGarber, Safe Auto InsuranceCo.’da Uygulama Geliştirme direktörü ve proje yönetim bürosundan (PMO) sorumludur ve kurumsal BT uygulama çözümlerinin üretimi ve temin edilmesinden sorumludur. Şu anki sorumlulukları arasında BT yönetişim ilkeleri ve en iyi uygulamalar bulunur. Garber’ın 20 yıldan fazla BT, finansal ve operasyonel risk yönetimi deneyimi var. Daha önceki iç denetim görevi için, bir uluslararası sigorta şirketinde kurumsal BT denetim hizmetlerini yönetmekten sorumlu kurumsal üst düzey yöneticilik yapmıştır. Önceki dış denetim görevinde büyük, orta ve küçük ölçekli şirketlerde BT güvence hizmetlerini görevlerini yürütmüştür ve BT risk yönetimi ihtiyaçlarını karşılamalarına yardım etmek amacıyla müşteri yöneticileriyle ortaklıklar kurmuştur. Michael Keating Mike Keating, Navigant Consulting şirketinde iş sürekliliği yönetimi uygulamasına başkanlık etmektedir. Navigant Consulting şirketinde çalışmaya başlamadan önce, kriz yönetimi ve iş sürekliliği danışma alanlarında çeşitli yöneticilik pozisyonlarında çalışmıştır; bunlar arasında dünyanın en büyük sigorta aracısı için yaklaşık dört yıl Midwest Practice yöneticiliği yapmak ve seçkin bir iç denetim ve danışma şirketinde Southeast BCM Practice yöneticisi olarak görev yapmak bulunmaktadır. Keating, ayrıca, kurumları risklere hazırlamaya yardım eden bu türdeki programların ilki olan Amerikan Kızılhaç BICEPP programını geliştirmiştir. Uzmanlık alanı kurum çapında iş sürekliliği programlarıdır ve hemen hemen her büyüklükteki ve sektördeki müşterilerinin iş duraksamalarının etkisini en aza indirmek üzere hazırlanmaları konusunda yardım etmiştir. GTAG – BCM Gereklilikleri Brian Peterson Brian Peterson, Chevron Corp.’daki Global Bilgi Risk Yönetimi Danışma Ekibi’nde ekip başkanıdır ve dünya çapındaki Chevron şirketlerine danışmanlık hizmetlerini ulaştırmaktan sorumludur. Şu anki sorumluluklarından birisi dört ülkede risk yönetimi danışmanlığı yapan danışmanları yönetmektir. Peterson’un BT, proje yönetimi ve risk yönetimi alanlarında 25 yıldan fazla deneyimi vardır. 55 ülkede Chevron işletme birimlerine çeşitli ve farklı risk yönetimi girişimlerine yardım ederek çalışmıştır. Peterson, tüm Chevron şirketinde bilgi risklerini yönetmek için kullanılan çeşitli araçlar ve süreçler geliştirmiştir. Peterson, aynı zamanda, federal devletle sektör arasındaki bir ortaklık olan LOGIIC (Siber Teknolojiyi Geliştirmek için Petrol ve Doğal Gaz Sektörlerini Birbirine Bağlamak) konsorsiyumunun kurulmasına yardım etmiştir ve şimdilerde de proje yöneticisi olarak görev yapmaktadır. Gözden Geçirenler: IIA, bu rehber hakkında değerli yorum ve görüşlerini sunan ve büyük değer katan aşağıda isimleri sayılan kişilere teşekkürlerini sunar: Mesleki Uygulamalar Komitesi: o Yüksek Teknoloji Komitesi o Mütevelli Heyeti o Kalite Komitesi o İç Denetim Standartları Kurulu o Mesleki Konular Komitesi o Etik Komitesi Lily Bi, IIA Larry Brown, The Options Clearing Corp., ABD Faisal R. Danka, Londra, Birleşik Krallık Christopher Fox ASA, Delta, New York, ABD Nelson Gibbs, Deloitte & Touche, LLP, ABD Markus Künzel, Medizinische Universität Wien, Avustruya Lemuel Longwe, Ernst &Young Chartered Accountants Zimbabve Steve Mar, Resources Global, ABD Tom Margosian, Ford Motor Co., ABD James Reinhard, Simon Property Group Inc., ABD PROTIVITI BAĞIMSIZ RİSK DANIŞMANLIĞI’NDA LİDER Protiviti, risk ve danışmanlık hizmetleri alanında faaliyet gösteren uzmanlardan kişilerden oluşan bir danışmanlık ve iç denetim şirketidir. Şirket, müşterilerine finans, operasyonlar, teknoloji, hukuki ihtilâflar ve GRC (Yönetişim, Risk Yönetimi ve Mevzuata Uyum) konularında yardım eder. Protiviti’nin son derece eğitimli ve sonuç odaklı kadrosu Kuzey ve Güney Amerika’da, Asya-Pasifik’te, Avrupa’da ve Orta Doğu’da hizmet vermekte ve çok geniş bir yelpazeye yayılan kritik iş konularında özgün bir bakış açısı sunmaktadır. Protiviti dünya çapında 60’tan fazla yerde faaliyet göstermektedir ve Robert Half International Inc.’in (NYSE2 sembolü: RHI) tamamına sahip olduğu bir iştirakidir.1948’de kurulan Robert Half International Inc. S&P 500 endeksine üyedir. Hizmetlerimiz hakkında daha fazla bilgiye ulaşmak ve yayınlarımızın kopyalarını ücretsiz indirmek için, lütfen web sitemizi ziyaret edin: protiviti.com © 2008 Protiviti Inc. Hiçbir konuda ayrımcılık yapmayan bir işverendir. Protiviti bir muhasebe ve denetim firması olarak ruhsatlı veya kayıtlı değildir ve mali tablolar hakkında görüş yayınlamaz ya da onay hizmeti vermez. 2 New York Borsası RİSK VE RİSKİN İŞ SÜRECİNİZİN NERESİNDE OLDUĞUNU BİLMEK NEDEN İYİ BİR GECE UYKUSUNUN ANAHTARIDIR Çoğu yönetici, kritik sistemlerinin ve iş süreçlerinin ne zaman aksayacağını ve aksayıp aksamayacağını düşünerek uykusuz geceler geçirir. Günümüzdeki şirketlerin müşterilerin istediği kesintisiz hizmeti sağlayabilmek için uyum içerisinde çalışan veya işleyen çok sayıda tedarikçi, teknoloji, süreçler ve kişiler gerektirdiği göz önüne alındığında bu durum şaşırtıcı değildir. Bu sorunla başa çıkabilmek için dünya çapında ve çeşitli sektörlerden kurumlar Protivitiye yönelmektedirler. Protiviti’de iş sürekliliği planlamasına pragmatik bir bakış açısıyla yaklaşıyoruz ve işletme operasyonlarınızda birbirine bağımlı tüm süreç ve aktörlerin yapılarından kaynaklanan riskleri değerlendiriyoruz. Daha sonra ise, finansal performansınıza ve itibarınıza zarar verebilecek olayları/acil durumları yönetmek amacıyla pratik çözümler ve süreçler geliştirmek konusunda sizlerle birlikte çalışıyoruz. Bu sizlere, insan hatalarını, hatalı yazılımları ve güvenilir olmayan tedarikçilerden kaynaklanan aksamaları nokta çözümler ve süreç kılavuzlarıyla yönetmeye çalışan rakipleriz karşısında avantaj sağlar. Bu, onlar diken üzerinde bütün geceyi uyanık geçirirken sizin bir bebek gibi uyuyacağınız anlamına da gelir. Protiviti’nin kapasiteleri hakkında daha fazla bilgi edinmek ve İş Sürekliliği Yönetimi Rehberimizin 2. Basımının ücretsiz bir kopyasını indirmek için, protiviti.com/bcm web sitesini ziyaret ediniz. © 2008 Protiviti Inc. Hiçbir konuda ayrımcılık yapmayan bir işverendir. Protiviti bir muhasebe ev denetim firması olarak ruhsatlı veya kayıtlı değildir ve mali tablolar hakkında görüş yayınlamaz ya da onay hizmeti vermez. İş Sürekliliği Yönetimi Bu GTAG, kurumun işlerliğini etkileyerek kurumun uzun süre atıl kalmasına neden olan, kurumun potansiyel olarak karşılaşma ihtimali bulunan doğal veya insan kaynaklı tahrip edici bir olayın meydana gelmesi durumunda, iş sürekliliği yönetiminin (BCM) işletme yöneticilerinin kurumun karşılaştığı risk düzeyini yönetebilmelerini sağlamak amacıyla nasıl hazırlandığına odaklanır. Rehber, ilaveten, kritik bilgi teknolojisi altyapısının ve işletme uygulama sistemlerinin sürekliliği için felaket kurtarma planlamasını da içerir. İç denetim yöneticileri (İDY’ler) kurum yöneticilerine riskler, kontroller, maliyetler ve bir BCM programı edinmenin faydaları hakkında eğitim vermek zorluğuyla karşı karşıyadırlar. Son zamanlarda yaşanan felaketler, bazı kurum yöneticilerini BCM programlarına dikkat etmeleri konusunda motive etmişse de, söz konusu programları uygulama henüz yaygın olmaktan çok uzaktır. Kilit zorluk, BCM programını bir öncelik haline getirmeleri için kurum yöneticilerini teşvik etmektir. Çoğu yönetici BCM programını edinmenin iyi bir fikir olduğuna katılmasına rağmen, çoğu hem program için gereken finansman hem de programın başarısını garanti altına alacak bir yönetici sponsoru bulmaya çalışacaktır. İş Sürekliliği Yönetimi, İDY’nin iş sürekliliği riski farkındalığını iletmesini ve bir BCM programı geliştirmesinde ve sürdürmesinde yönetime destek olmasını sağlayacaktır. Bu rehberi oylamak veya görüş ve yorumlarınızı iletmek www.thiia.org/guidance/technology/gtag/gtag10 web sitesini ziyaret ediniz. için, lütfen