uluslararası mesleki uygulama Çerçevesi°Ş sÜreklİlİĞİ yÖnetİmİ...3 yönetici Özeti İ...
TRANSCRIPT
1
Uluslararası Mesleki Uygulama Çerçevesi
Uygulama Rehberi
İŞ SÜREKLİLİĞİ YÖNETİMİ
AĞUSTOS 2014
İç Denetçiler Enstitüsü - Global
2
İçindekiler
Yönetici Özeti 3
Giriş 3
İç Denetim Rolleri ve Görevleri 7
İç Denetimin Anahtar BCM Unsurlarını Değerlendirmesi 8
Bir Kriz Öncesinde İç Denetim Faaliyetleri 10
Bir Kriz Sırasında ve Sonrasında İç Denetim Faaliyetleri 11
Ek 13
Yazarlar & Gözden Geçirenler 20
3
Yönetici Özeti
İş sürekliliği yönetimi (BCM), kurumları, iş hedeflerine ulaşılmasını engelleyebilecek
nitelikteki gelecek olaylar veya krizlere karşı hazır hale getirir. Kriz yönetimi (CM) BCM’nin
temel bileşenlerinden biridir ve krizle ilgili bilgi ve verilerin kurumun paydaşlarına iletişimini
sağlar.
İç denetim becerinin ve vasıflarının kapsamı ve derinliği, kurum içerisinde bulunduğu
pozisyon ve kurum çapındaki faaliyetlere dair sahip olduğu engin bilgi birikimi, kurumun
BCM ve CM girişimlerinin geliştirme, uygulama ve değerlendirme safhalarında anlamlı
katkılar sunmasını sağlar. İç denetim, BCM ve CM girişimlerinin mevcudiyetine ve/veya
olgunluğuna ve ayrıca mevcut kriz durumunun ciddiyetine ve koşullarına bağlı olarak anahtar
niteliği taşıyan çeşitli destekleyici roller üstlenebilir.
İç denetimin üstlenebileceği roller arasında, bir kriz vuku bulmadan önce, vuku bulduğu
esnada ya da vuku bulduktan sonra hayata geçirilebilecek olan güvence danışmanlık
hizmetleri bulunur. Güvence ve danışmanlık hizmetleri; program yönetimi, risk yönetimi, iş
etki analizi ve iş sürekliliği ve kurtarma planlamasının da (BCRP) aralarında bulunduğu kilit
önemdeki BCM unsurları hakkında uzmanlık düzeyinde bir bilgi birikiminin söz konusu
olmasını gerektirirler.
Güvence görevleri, BCM ve CM’nin etkin bir şekilde yürütüldüğünü doğrulamak
amacıyla gerçekleştirilebilir.
Danışmanlık hizmetleri, yönetimin iş faaliyeti planlamasına odaklanmasına ve BCM
ile CM’yi riskler ve kontrollerle koordine etmesine yardımcı olmak amacıyla
gerçekleştirilebilir.
Bir kriz esnasında, iç denetçilerden kurumun güncel ihtiyaçlarını karşılamak üzere denetim
harici kritik roller üstlenmeleri de beklenebilir ve iç denetçiler bu yönde yetkilendirilebilirler.
Giriş
IIA Global Teknoloji Denetim Rehberi (GTAG) 10: İş Sürekliliği Yönetimi, BCM’nin önemine
değinir, etkili bir BCM programının temel bileşenlerine ilişkin değerli bir kaynak görevi görür
ve bir kriz esnasında ve bir krizi müteakip süreçte kritik BT altyapı ve iş uygulamaları
sistemlerinin sürekliliğini sağlamak için başvurulabilecek bir rehber niteliği taşır. Bu
uygulama rehberi, denetçilerin kriz yönetiminde üstlenebilecekleri olası rolleri açıklayarak ve
aşağıda belirtilen hususlarda kılavuz bilgiler sunarak İş Sürekliliği Yönetimine dair ayrıntılı
bir profil ortaya koyar:
Bir krizden önceki, bir kriz esnasındaki ve bir krizden sonraki iç denetim faaliyetleri.
İç denetimin anahtar BCM unsurlarına yönelik değerlendirmesi.
Bu uygulama rehberinin ek kısmında sunulan uygulama yardımcıları arasında, bir risk
değerlendirme kontrol listesi, örnek denetim programları, bir sözlük ve referanslar bulunur.
4
İşin Önemi ve İlgili Riskler
Tüm kurumlar önünde sonunda iş kesintileriyle yüzleşeceklerdir. Sınırları iyi çizilmiş ve
etraflıca detaylandırılmış bir BCM/CM planı kurum için adeta bir sigorta poliçesi niteliği
taşır; kurumun varlığını sürdürmesine ve paydaş beklentilerini karşılamaya devam etmesine
yardımcı olur. BCM/CM planları, iç denetim birimi için, etkin ve etkili risk yönetim ve
kontrol prosedürlerini kurum genelinde sürekli güncellemesine ve kurum içi ilgili noktalara
iletmesine olanak sağlayan bir ortam da sağlayabilir.
Kriz yönetimi planları (CMP), ani ve ciddi kriz durumlarına yönelik önleyici ve tepkisel risk
yönetimi tedbirlerini bir araya getirirler. Yeterli düzeyde teste veya eğitime konu olmamış ve
yeterli düzeyde yapılandırılmamış veya kurum içerisindeki ilgili noktalara yeterli düzeyde
iletilmemiş olan CMP'ler, bir krizden doğan organizasyonel risklerin kabul edilemez
seviyelere yükselmesine sebep olabilirler. Kriz sonrası geliştirilen CMP'lerin içerik geliştirme
süreci temelde en son meydana gelen krize dayanır ve dolayısıyla bu CMP'ler etkin olmak
için gereken kapsayıcılığa sahip olmayabilirler. Devlet kurumlarının da aralarında bulunduğu
kamu sektörü kurum ve kuruluşlarının bir kriz veya olay karşısında maruz kaldıkları etkilerin
yerel ve uluslararası seviyedeki sonuçları daha geniş çaplı olabilir.
Kurum içerisindeki ilgili noktalara uygun şekilde iletişimi yapılmış olan kapsamlı bir CMP,
kurumun bir kriz durumu ve onunla bağlantılı risklerden en az zararla kurtulmasına yardımcı
olabilir. Dahası, bir CMP, bir kurumun kriz karşısındaki direncini geliştirebilir. Özenle
oluşturulan, periyodik aralıklarla doğrulanan ve üst yönetim ve/veya yönetim kurulu
tarafından desteklenmiş ve onaylanmış CM araçları ve programları, kurumları olayları
gerektiği gibi idare edebilecek ve bağlantılı riskleri hafifletebilecek bir yetkinliğe
kavuşturacak ve böylelikle kilit öneme sahip iç ve dış paydaşların maruz kalacakları
operasyonel, finansal, itibari, düzenleyici ve yasal etkilerin en aza indirilmesini
sağlayacaklardır.
İlgili IIA Standartları ve Rehber
BCM ve CM ile ilgili Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar)
arasında şunlar bulunur:
Standart 2100: İşin Niteliği
İç denetim faaliyeti; sistematik ve disiplinli bir yaklaşımla, yönetişim, risk yönetimi ve
kontrol süreçlerini değerlendirmek ve bu süreçlerin iyileştirilmesine katkıda bulunmak
zorundadır.
Standart 2110: Yönetim
İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecini
değerlendirmek ve iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır:
• Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,
• Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin sağlanması,
• Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi,
5
• Yönetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri arasında eşgüdüm
sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak.
Standart 2120: Risk Yönetimi
İç denetim faaliyeti; risk yönetimi süreçlerinin etkinliğini değerlendirmek ve iyileştirilmesine
katkıda bulunmak zorundadır.
Standart 2400: Sonuçların Raporlanması
İç denetçiler, görev sonuçlarını raporlamak zorundadır.
Anahtar Kavramların Tanımları
BCM, bir kurumu, kurumun temel misyonunu yerine getirmesini engelleyebilecek ve
kurumun faaliyetlerini sürdürme ve paydaş beklentilerini karşılamaya yönelik kısa ve uzun
vadeli kabiliyetlerini tehlikeye atabilecek olaylara veya krizlere karşı hazır hale getiren bir
yönetim sürecidir. BCM'nin temel bileşenlerinden biri olarak değerlendirilen CM ise, bir
felaket veya kriz durumu meydana geldiğinde kurumun kamuoyunu, çalışanlarını, iş
ortaklarını ve çeşitli paydaşlarını bu felaket veya kriz durumunun kendisi hakkında ve ticari
faaliyetlere kalınan yerden devam etmek ve ilgili kriz veya felaketin iç ve dış paydaşlar
üzerindeki etkisinin mümkün olan en düşük seviyede tutulmasını sağlamak için bu felaket
veya kriz durumu karşısında atılması gereken adımlar hakkında bilgilendirirken nasıl hareket
etmesi gerektiğini düzenleyen bir yönetim sürecidir. Bir CMP, bir kriz veya olay karşısında
oluşan riskleri etkili düzeyde hafifletmek ve yönetmek için herhangi bir kurum tipi içerisinde
uygulamaya konabilecek olan önleyici ve tepkisel tedbirlerden oluşan bir konsolide faaliyet
portföyüdür.
İş Sürekliliği Yönetimi
BCM, işletme değerine dayanan bir risk yönetimi yaklaşımıdır. Ticari faaliyetleri sürdürme
kabiliyetlerini mevcut veya olası risklerle aynı düzeye getirir. BCM'nin amacı, uygulandığı
kurumu, bir felaket vuku bulması halinde, ticari faaliyetlerin kesilmesi halinde ya da başka tip
bir büyük olay meydana gelmesi halinde kritik öneme sahip operasyonel faaliyetlerini
kurtarmasını, iletişimin yönetilmesini ve söz konusu felaket veya olay karşısında oluşan
finansal etkileri ve başka tip etkileri en aza indirgemesini sağlayacak bir yetkinliğe
ulaştırmaktır. BCM, olası riskleri karşılayacak ticari faaliyetleri sürdürme kabiliyetleri ve
kapasiteleri yaratmak amacıyla tasarlanan ve işletme değerine dayanan temel bir risk yönetimi
konusudur. Mesleki literatürde geçerli olan terminoloji daha farklı olabilir, fakat bu uygulama
rehberinde kullanıldığı anlamıyla BCM terimi, kurumun içinde veya dışında gelişen
olaylardan dolayı tetiklenebilecek türlü çeşit hizmet kesintisini yönetmeye ve idare etmeye
yönelik genel bir politika / model / çerçeveyle ilgilidir. Bu tanım, devlet kurumları gibi kamu
sektörü kurum ve kuruluşları için de geçerli olabilir. İlgili terim, bu gibi kurum ve kuruluşlar
açısından, resmi dairelere, kritik kamusal faaliyetlere, kamu güvenliğine ve kamu
bileşenlerinin emniyetine atıf yapar.
BCM'nin anahtar bileşenleri şunlardır:
6
• Yönetim Desteği – Yönetim, bir iş sürekliliği planının (BCP) hazırlanma, idame ve
uygulanma safhalarında, bu işler için yeterli düzeyde kaynak, insan gücü ve
bütçelenmiş fon ayırmak suretiyle desteğini gösterir.
• Risk Değerlendirme ve Risk Hafifletme – Yangın, sel ve benzeri tehlikelere ilişkin
olası riskler tespit edilir ve söz konusu tehlikelerin görülme olasılığı ve kurum
üzerindeki olası etkileri saptanır. Bu işlemler hem genel tesis düzeyinde hem de ayrı
ayrı her bir ilgili bölüm düzeyinde gerçekleştirilerek, meydana gelme olasılığı bulunan
tüm olaylara ilişkin risklerin kurum genelinde iyice anlaşılmaları ve gerektiği gibi
yönetilmeleri sağlanır.
• İş Etki Analizi (BIA) – BIA, ilgili işletme biriminin bir felaket durumunda çalışmaya
devam etmesi açısından hayati önem taşıyan ticari faaliyetleri ve iş süreçlerini
belirlemeye ve söz konusu faaliyet ve süreçlerin bir felaket meydana geldikten sonra
ne kadar kısa sürede kurtarılmalarının gerektiğini tespit etmeye yarar.
• İş Kurtarma ve İş Sürekliliği Stratejisi – Bu strateji, kritik iş süreçlerini kurtarmak
için gereken gerçek basamaklar, kişiler ve kaynaklara odaklanan bir stratejidir. Bu
strateji, temel iletişim mekanizmaları ve protokollerinin tespit edilmesini de
sağlamalıdır. Bu stratejide, şirket veya sektör ölçütleri ve standartları dikkate
alınabilir.
• Plan Farkındalığı ve Eğitimi – BCP'ye yönelik eğitim ve farkındalık, BCM'nin
hayata geçirilmesi açısından kritik önem taşır. Eğitim kapsamında, BCP'nin belirli
kısımlarına yönelik egzersizler ve/veya uygulama alıştırmaları gerçekleştirilebilir.
• Devamlılık – Güncel kalmalarını ve iş ve işletme önceliklerini her daim karşılar
nitelikte olmalarını sağlamak amacıyla BCM kapasite ve kabiliyetleri daima geliştirilir
ve BCM dokümantasyonuna sürekli devam edilir.
Kriz Yönetimi
CM, ticari hizmetlerde meydana gelen kesintilerin bir kriz veya felaket düzeyine ulaşması
durumunda ortaya çıkan temel bir BCM bileşenidir. CM, hem gerçek bir kriz durumuna hem
de kriz algısına cevap vermek için kullanılan yöntemleri belgelendirir. CM, aynı zamanda,
hangi senaryoların bir kriz oluşturduğu tanımlayacak ölçütler oluşturmayı içerir ve sonuçta da
gerekli cevap mekanizmalarını tetiklemelidir. Acil durum yönetim senaryolarına cevap verme
aşamasında cereyan eden iletişim faaliyetinden oluşur.
Kesinti Türleri
BCM kurum-içi veya kurum-dışı sebeplere bağlı olarak ortaya çıkan tehditleri yönetmeye
çalışır. Her bir tehdidin kurumun iş süreçleri üzerindeki etkisi çeşitli düzeylerde olabilir – ki
bu durum da kanunlara ve mevzuata uyumu, personel güvenliğini, çevrenin korunmasını,
işletme standartlarının korunması ve sürdürülmesini, sözleşmeden doğan gerekliliklerin yerine
getirilmesini ve kurumun markasını/itibarını olumsuz yönde etkileyebilir. Aşağıda verilenler
kesinti türleri arasında yer alır:
• Siber saldırı.
• Hastalık / salgın hastalık.
7
• Deprem /tsunami.
• Yangın.
• Sel.
• Kasırga / hortum.
• İş kesintisi.
• Üretimde kesinti / hizmet dışı kalma.
• Ürünlerin kirlenmesi.
• Sabotaj.
• Anahtar iş ortakları/satıcıları için hizmet veya ürün kesintisi.
• Sistem arızası.
• Terörizm.
• Hizmet kesintisi (elektrik, su vb.).
İç Denetim Rolleri ve Görevleri
Tanımlanan İç Denetimin Rolleri
İç denetçiler, kurumlara operasyonlar ve faaliyetlerle ilgili pratik bilgiler sunarak kriz
yönetimine katkıda bulunacak bir konumdadırlar. İç denetim yöneticisi (İDY) iç denetimin bir
kriz öncesinde, sırasında ve sonrasında üstleneceği rolü tanımlamalı ve bunu yaparken krizle
ilgili risklere ilişkin sahiplik ve yönetim sorumluluklarını üstlenmemeye özen göstermelidir.
Genellikle, iç denetim birimi, kriz yönetimi planlama sürecinde karar alma faaliyetine dâhil
olabilir. İDY’nin ilk eylemi, anahtar iç denetim yönetimiyle birlikte, kurum-dışı referanslar ve
standartlar yoluyla başlıca BCM uygulamalarına aşina olmak olmalıdır. Kaynaklar, bu
rehberde yer alan Uygulama Destek Notu III bölümünde sunulmaktadır. Roller geliştirildikten
sonra belgelendirilmeli ve birime ve bu rollerden doğrudan etkilenecek olan anahtar kurum-
dışı paydaşlara bildirilmelidir.
Eğer iç denetim veya İDY’nin kriz yönetimi sürecinde herhangi bir rolü yoksa, beklentilerde
boşluklar ve eksiklikler olmasını önlemek adına bu durum denetim komitesine bildirilmelidir.
İç denetim, BCP/CMP geliştirme faaliyeti bağlamında yönetime danışmanlık ediyorsa, iç
denetimin bağımsızlığı ve objektifliği üzerindeki muhtemel etki ve nüfuz açıkça ele
alınmalıdır. Roller tanımlandıkça, İDY’nin idari ve fonksiyonel raporlama hatlarınca
onaylanmalı ve potansiyel olarak iç denetim yönetmeliğinde kayıtlara geçirilmelidir.
BCM ile İlgili Danışmanlık veya Güvence Görevleri
İç denetçinin bir kurumun faaliyetlerine ve risk yönetimi çalışmalarına değer katma ve bunları
iyileştirme sorumluluğunun kapsamı, kurumun BCM programının olgunluğuna bağlı olarak
BCM güvence veya danışmanlık görevlerini de içerecek şekilde genişlemelidir. İç denetim
biriminin BCM ve CM planlama veya geliştirme sürecine katılması, programın başarısının
anahtarı olabilir. Bu durum, özellikle bu alanda olgunluk düzeyi düşük olan kurumlar için
böyledir. Kurumun yönetim kurulunun ve icracı yönetiminin ihtiyaçlarıyla etkileşimi ve bu
8
ihtiyaçlara yönelik anlayışı göz önünde bulundurulduğunda, iç denetim, bir perspektif
sunabilir ve odak planlama faaliyetlerine yardımcı olabilir. Anahtar BCM odak alanlarının,
yönetim kurulu ve icracı yönetim düzeyindeki ihtiyaçlara uygun olmasını sağlamak başarı
açısından kritik öneme sahiptir.
Güvence Görevleri
İç denetim, BCP ve CMP faaliyetlerinin, kapsamlı ve mevcut ticari faaliyet ortamına uygun
olduğunu ve uygun iç ve dış paydaşlara bildirildiğini teyit etmek amacıyla periyodik güvence
görevleri yürütebilir. Yürütülecek çalışmanın sıklığını, niteliğini ve kapsamını riskler veya
paydaşların planlanmış çalışmaların etkinliğini ve uygunluğunu doğrulamak için yaptıkları
talepler yönlendirecektir.
Güvence görevlerinin kapsamı, kapsamlı bir BCM programı veya spesifik unsurlar (örneğin
BCP faaliyetinin vuku bulma ve güncellenme sıklığını ve CMP’nin olgunluğunu test etmek)
içerebilir. İç denetimin, BCP veya CMP faaliyetlerinin hafiflettiği riskler hakkındaki bilgi
birikimi ve daha önce plan geliştirme faaliyeti sırasında bir danışmanlık görevine katılmış
olması, görev planlama sürecinin daha verimli olmasını destekleyebilir.
Güvence görevleri:
• Denetim komitesi veya icracı yönetimin, satıcı veya iş ortağına ilişkin gözden
geçirme raporları da dâhil, BCM programı veya onun bölümlerine yönelik gözden
geçirme taleplerini,
• Kurumsal riskler, büyüme veya elden çıkarmaları esas alarak planın tam, olgun ve
uygun olup olmadığını değerlendirecek BCM gözden geçirme faaliyetlerini,
• Program risk değerlendirmelerini,
• Bir kurumun veya bir ticari ortağın BCP/CMP’ye yönelik mevcut ve geçerli
hükümlerini sözleşmelerde ele alındığı hâliyle gözden geçirmeyi (yani sözleşme
hükümlerini veya tanımlanmış hizmet seviyesi sözleşmeleri) içerebilir.
Güvence görev programları hakkında ilave rehber için Uygulama Destek Notu I’e bakınız.
Danışmanlık Görevleri
BCM faaliyetinin odağı, hızla BT altyapısının gözden geçirilmesi ve analiz edilmesine doğru
yönelebilir, çünkü veri erişimi ve transferi temel iş fonksiyonları olarak kabul edilmektedir.
Bununla birlikte, iç denetim, BCM/CM danışmanlık hizmetleri sağlarken kapsamlı kurumsal
hedefleri göz önünde bulundurmalı ve görevin üzerinde durduğu meseleleri BT ile
sınırlamamalıdır. BCM danışmanlık görevleri iç denetimin objektifliğine gölge
düşürmemelidir. İş sürekliliği risklerinin sahipliği konusunda veya yönetimine yönelik
herhangi bir sorumluluk almamaya özen gösterilmelidir.
İç Denetimin Anahtar BCM Unsurlarını Değerlendirmesi
BCM programları program yönetimi, risk yönetimi, iş etki analizi (BIA) ve iş sürekliliği ve iş
kurtarma planları (BCRP) gibi olağan unsurları içerir. Kapsamlı, donanımlı ve işleme
9
koyulabilir bir plan geliştirilmesini sağlamaya yardımcı olmak için, her bir unsurun doğru
sponsorları, paydaşları ve iş ortaklarını içermesi kritik düzeyde önemlidir. Planlar
bünyesindeki tüm iletişim unsurları ve bu planlar hakkındaki tüm bilgiler anahtar paydaşlarla
paylaşılmalıdır. İç denetim faaliyeti BCM ve CMP faaliyetlerinin etkin olup olmadığının
değerlendirilmesini içerebilir.
Program Yönetimi
BCM başarısının anahtarı, icracı yönetimin desteği ve sponsorluğudur. İç denetim, anahtar
kurum-içi BCM paydaşları arasındaki ilişkileri tanımlamaya ve şekillendirmeye yardım
edebilir. İç denetim, BCM’ye yönelik bir değerlendirmenin ilk aşamalarında aşağıda verilen
faaliyetleri ifa edebilir:
• Kurumun programları için sahiplik ve hesap verebilirlik sağlamaya yardımcı olmak
adına anahtar liderlik pozisyonlarının belgelendirilip belgelendirilmediğini ve
onaylanıp onaylanmadığını tespit etmek. Liderlik, planların birbirine bağımlı olup
olmadığını belirlemek, kesintisiz iyileştirme ve gelişmeyi desteklemek ve kriz sonrası
faaliyetlerden ders almak açısından kritik düzeyde önemlidir.
• Bir BCM yönetmeliği oluşturulmasını tavsiye etmek. Bu yönetmelik, kurumun en üst
kademesinde program sponsorluğu ve desteği edinmeye yardımcı olur. İyi
tanımlanmış bir yönetmelik, BCM programının mevcut olduğunu teyit etmenin yanı
sıra, bir BCM yönetim yapısı (yani BCM komitesi) ve yönetmeliğin periyodik olarak
tekrar değerlendirilmesiyle ilgili bir rehber ortaya koyar. Bir yönetim yapısı, BCM
veya CM kararlarını onaylar ve BCP veya CMP gelişimini, revizyonlarını ve bağlantılı
iç ve dış iletişim ve bildirimlerini kurum çapında görünür kılacak bir forum sağlar.
• Kurulan bir BCM ve CM yönetim yapısının; yönetim kurulunun, denetim
komitesinin veya icracı yönetimin ihtiyaçlarına hizmet etmesi için yeterince finanse
edilip edilmediğini, uygun ve etkin olup olmadığını değerlendirmek. İç denetim görev,
yönetmelik ve bu tür bir organın çalışmaları hakkında geribildirim sunmak için
çekimser bir üye rolünü oynayabilir ya da toplantılara katılabilir.
• BCM yönetiminin yönetim kurulunun, denetim komitesinin ve icracı yönetimin
ihtiyaçlarına uygun ve etkili bir şekilde hizmet edip etmediği üzerine bildirimde
bulunmak ve danışmanlık etmek.
• İş sürekliliği ve CMP’lerle bağlantılı riskler ve bunlar için mevcut olan en iyi
uygulamalar konusunda yönetim kurulunu (denetim komitesi) bilgilendirmek.
Risk Yönetimi
Etkin ve etkili olabilmek için, BCM, bir kriz olayında bir kurumun karşı karşıya kalacağı,
öncelik verilen ilgili riskleri hesaba katmalıdır. İç denetim, genelde, temel iş risklerini
detaylarıyla birlikte anlayıp kavrar. Bir kurumun karşı karşıya kaldığı olayların niteliği ve
kapsamı esas alınarak, bir kriz sırasında riskler abartılıp önem sıralarına göre yeniden
sıralanabilir. İç denetim, BCM oluşturma ve değerlendirme faaliyetleri sırasında anahtar
kurumsal riskler hakkındaki bilgileri paylaşabilir.
10
Anahtar BCM risklerini kavramak, teklif edilen iç denetim planının gelişimini
kuvvetlendirmeye yardımcı olabilir. Kurumun BCM faaliyetleriyle haşır neşir olmak,
kurumun duruşu/desteği, operasyonel kontrol faaliyetleri ve temel süreçler ve
sistemlere/verilere/satıcılara bağlı olunan potansiyel durumlar da dâhil, iç denetçinin riske
maruz kalan anahtar alanları tespit etmesine yardımcı olur. Bu alanlardaki zafiyet veya
yetersizlikler, iç denetim biriminin, kaynakları değer katma ve kurumsal gelişime yönelen
güvence veya danışmanlık görevleri üzerine odaklamasına sebep olabilir. Riskle ilgili veriler
toplamak, iç denetimin planlarına rehberlik etmeye yardımcı olur ve iç denetimin risk
olasılıklarını, etkileri, kapsayıcılığı ve güvenilirliği değerlendirecek analizler yapmasına
olanak tanır. Uygulama Desteği I, bir risk değerlendirmesi kontrol listesi örneği sunar.
İş Etki Analizi (BIA)
İç denetim, BCM’nin anahtar bir bileşeni olan BIA’yı nasıl yürüteceği konusunda yönetime
kılavuzluk edebilir. Bir BIA; anahtar iş varlıklarının, fonksiyonların, uygulamaların,
ortakların, satıcıların, kaynakların belirlenmesini ve bir kriz durumunda kurumun maruz
kalacağı potansiyel kayba yönelik nihai değerlendirmeyi destekleyecektir. GTAG 10: İş
Sürekliliği Yönetimi bir BIA’nın nasıl yürütüleceği hakkında faydalı talimatlar sunar. BIA
sonuçlarının, kurumun alacağı önleyici tedbirlerin, benimseyeceği kapsam ve risk iştahının ne
düzeyde olacağını yönlendirmesi muhtemeldir. Bir BIA, eğer etkin bir şekilde yürütülmüşse,
kritik operasyonları, kritik kaynakları ve süreçleri – tesis, personel ve (mantıksal ve fiziksel
güvenlik de dâhil) teknoloji – ana hatlarıyla belirleyecektir ve en nihayetinde, bir BCP ve
ilgili CMP için yatırım önceliklerini yönlendirebilir.
İş Sürekliliği ve İş Kurtarma Planlaması (BCRP)
BCRP, kurumların, bir krizin tetiklediği anahtar kurumsal riskleri idare edecek ve hafifletecek
iş sürekliliği ve iş kurtarma önlemlerini tespit edebileceği proaktif bir yöntem sunar. İç
denetim BCRP’yle ilgili danışmanlık veya güvence hizmetleri sağlayabilir.
Bir Kriz Öncesinde İç Denetim Faaliyetleri
İç denetimin BCM’ye ve özellikle de CMP’ye yönelik değerlendirmesi, CMP’nin bir kriz
durumunda kurumsal önceliklerle ilgili ve bağlantılı kalmasını sağlamaya yardımcı olabilir.
Aşağıda verilenler, iç denetimin bir kriz öncesinde yürütebileceği tipik faaliyetler arasındadır:
• BCM için başlıca iyileştirmeler hakkındaki bilgi birikimini icracı yönetim ve
denetim komitesiyle paylaşmak.
•BCM’yi, spesifik olarak, kurumun karşı karşıya kaldığı bir risk olarak kabul etmek ve
yıllık denetim planı geliştirme sürecindeki artık riskleri göz önünde bulundurmak.
• Hizmet seviyesi sözleşmeleri, sözleşme hükümlerini denetleme hakkı ve ticari
ortağın kontrol ortamı hakkında yönetime rapor verme zorunluluğu da dâhil olmak
üzere uygun sözleşme hükümleri için anahtar ticari ortaklarla yapılan uzlaşma ve
düzenlemeleri değerlendirmek.
• BCM risk değerlendirmeleri performansına ilişkin olarak yönetime tavsiyeler vermek
ya da yönetimin yürüttüğü BCM risk öz-değerlendirmelerinin doğru olup olmadığını
değerlendirmek.
11
• Yıllık denetim planının bir parçası olarak, BCP ve/veya CMP ile ilgili güvence
görevleri yürütmek. Güvence görevleri plan bileşenlerinin değerlendirilmesini, plan
bünyesindeki bildirim ve iletişim protokollerini ve planın operasyonel yönlerini
içerebilir.
• Yönetim kurulunun iç denetim yönetmeliği veya talimatının hükümleriyle
oluşturulmaması durumunda, iç denetim ve İDY’nin BCM rollerini açıklamak ve
kurumda yerleşik hâle getirmek.
Bir Kriz Sırasında ve Sonrasında İç Denetim Faaliyetleri
Aşağıda verilen başlıklar iç denetimin bir kriz sırasında ve sonrasında yürütebileceği olağan
faaliyetleri tanımlar ve açıklar.
Kriz Sırasında:
• Kurumun bir olaya verdiği cevabı izlemek ve değerlendirmek ve kriz yönetimi
ekibinin etkin bir katılımcısı olmak.
• Daha sonraki denetim görevleri için kesintiyle ilgili detayları takip etmek.
• Bir krizle ilgili ve bağlantılı risklerin anlaşılmasını sağlamak için bir kriz yönetimi
komitesine üye olmak ve uygun görüldüğü şekilde, yönetime alternatif eylem planları
hakkında tavsiyeler vermek.
• Kararlaştırıldığı ve yetki verildiği üzere, kurum kapsamı daha geniş olan kriz
yönetimi ve iş kurtarma sürecine katılmak.
İç denetimin bağımsızlığına gölge düşüren herhangi bir olaya ilişkin detayların uygun
şahıslara (örneğin denetim komitesi ve BCM liderleri) ifşa edilmesi koşuluyla, Standartlar, iç
denetimin bu tür süreçlere katılmasına izin verir. Kurumun sınırlı mevcut kaynaklarının
desteklenmesine yönelik talebin yüksek olduğu, bir krizin ilk aşamalarında iç denetim bu
süreçlere daha fazla katılır.
Kriz Sonrasında:
• Kurumun iş kurtarma çalışmalarının etkinliğini değerlendirmek ve bu konuda rapor
vermek.
• Riski değerlendirmeye, danışmanlık yapmaya ve iş iyileştirme çalışmaları
geliştirilmesine yardım etmeye devam etmek.
• Spesifik olarak CMP’nin gelişimi olmak üzere BCM faaliyetlerine yönelik fırsatları
belirlemek için kriz sonrası gözden geçirmeler yapmak.
• Gerektiğinde, yönetimin, BCP ve CMP’yi güncellemek için bir sebep-sonuç analizi
yapıp yapmadığını ve bu analizin sonuçları üzerine uygun bir şekilde düşünüp
düşünmediğini değerlendirmek için güvence görevleri yapmak. Her bir BCP ve CMP
için üzerinde anlaşıldığı ve yetki verildiği üzere, kurum çapında iş kurtarma sürecine
katılmak.
Bu faaliyetler takip eden sayfalarda daha detaylı olarak ele alınmaktadır.
İş Kurtarma Süreçleri ve Plan Etkinliğine Yönelik Denetimler Yapmak
12
Felaket durumunda iş kurtarma planı, bir BCM bileşeni olarak, iç denetimin iş kurtarma
sürecine yönelik bir denetim yapmasını gerektirebilir. Bu tür bir denetim yapılmasına karar
verildiğinde, bu ek çalışmanın ilk taslak plana eklenmesi gerekir ve bu plandaki önceliklerin
değişmesine neden olabilir.
Buna ek olarak, bu tür bir görevin spesifik olarak atanmadığı yer ve durumlarda, İDY, bir
risk-temelli değerlendirmeyi takiben, veri kurtarma sürecinin ve/veya CMP’nin belirli
yönlerinin denetlenmesini BCP liderlik ekibine tavsiye etmesi gerekip gerekmediğini
düşünmelidir.
Aşağıda verilenler, üstlenilebilecek denetim çalışması türleri arasındadır:
• İş kurtarma sürecinin (yani planlanmış sürece uygun olup olmadığı ve planın ortaya
çıkan sorunları ele almaya yeterli düzeyde detaylı olup olmadığı) uçtan uça gözden
geçirilmesi.
• İç ve dış paydaşlarla / iş ortaklarıyla etkin ve güncel iletişimin yanı sıra, tanımlanmış
ölçütler veya plan bileşenlerine karşı performans da dâhil olmak üzere, iş kurtarma
sürecinin etkin olup olmadığına yönelik bir denetim.
• Normal kontrol çerçevesi dışında sunulan kontrollerin ve özel süreçlerin ve bunların,
kuruma yönelik operasyonel veya finansal riskler üzerindeki muhtemel etkisinin
gözden geçirilmesi.
• Yönetimin veri kurtarma süreçlerinin denetlenmesi -- ki bu denetim yönetimin,
verilerin tam ve doğru olmasını sağlamaya yönelik anahtar veri mutabakatlarının
incelenmesini de içerebilir.
• Planın etkili bir şekilde gelişmesine olanak sağlayan tavsiyeler de dâhil olmak üzere,
planların uygulamaya konmasını takiben fiili BCP ve CMP varyasyonlarının gözden
geçirilmesi. Bu, iç denetim biriminin kendi planlarına da uygun olmalıdır.
Daha Kapsamlı Bir İş Kurtarma Sürecine Katılmak
Kurumsal liderler iç denetçilerden, aşağıdaki işleri ifa eden operasyonel personele ilave
destek vermesini talep edebilirler:
• İş kurtarma süreçlerinde çalışan personel,
• BT sistemlerinin mevcut olmamasının veya kullanılamamasının bir sonucu olarak
normal iş süreçlerindeki revizyonlar üzerinde çalışan personel,
• Normal süreçlerin aksadığı faaliyetleri yürütmek için tanımlanmış alternatif
prosedürler kullanan personel.
İDY’nin, iç denetimin BCP/CMP rolünü tayin etmeden önce, denetim komitesinin yetki
verdiği talepleri göz önünde bulundurması önemli olacaktır. Buna ek olarak, iç denetim
personeli CM veya iş kurtarma çalışmalarına yardımcı olmak üzere işe koyulduğunda, atanan
görevler operasyonel yönetimin talimatı doğrultusunda yürütülmelidir. Objektifliği korumak
adına, İDY, iç denetçilerin ifa ettiği operasyonel görevleri göz önünde bulundurmalı ve bu
denetçileri gelecekte aynı alanda yürütülecek iç denetim güvence faaliyetlerinde
görevlendirmekten kaçınmalıdır.
13
Ek
Uygulama Destek Notu I: BCM Güvence veya Danışmanlık Görevleri İçin
Örnek Çalışma Programları
İç denetim birimi, genel BCM faaliyetinin yeterli olup olmadığının bağımsız bir şekilde
gözden geçirilmesinde önemli bir rol oynar. Denetim faaliyetleri ve raporlarının derinliği ve
sıklığı faaliyetin önem düzeyiyle orantılı olmalıdır. Her ne kadar kapsamları çeşitlilik gösterse
de, tüm durum ve koşullarda, denetim faaliyetleri ve teslim edilen belgeler test programının
etkinliğine yönelik bağımsız bir objektif değerlendirme içermelidirler. İç denetim birimi, test
programı geliştirme sürecinde yapılan temel varsayımların makul olup olmadığını tespit
etmelidir. Test planının, senaryoların, programların ve raporların yeterli olup olmadığının yanı
sıra, temel varsayımların makul olup olmadığı da, kurumun karmaşıklığına, iş kolunun
kritikliğine ve muhtemel iş kesintileri riski ve etkisine göre değerlendirilmelidir. Ayrıca iç
denetim alternatif yerlerin kontrol ortamlarını değerlendirmek adına test alıştırmalarını
gözlemlemeli, uygun raporlama ve eskalasyon mekanizmalarının oluşturulup
oluşturulmadığını ve kullanılıp kullanılmadığını incelemeli ve test planlarının önceki test
sonuçlarını yansıtacak şekilde güncellenip güncellenmediğini değerlendirmelidir.
Bir denetim yaygın beş BCM özelliğini göz önünde bulundurur:
1. İş ortamı ve stratejisi.
2. BCP metodolojisi ve stratejisi.
3. İş etki analizi (risk değerlendirmesi ve kontrolleri).
4. İş kurtarma planı.
5. Farkındalık, test etme ve eğitim.
14
Örnek 1:
ÖRNEK BCM ÇALIŞMA PROGRAMI
TALİ ALAN UNSURLAR MUHTEMEL DİKKAT EDİLECEKLER
1. İş Ortamı ve Strateji Endüstri 1. BCM için anahtar endüstri standartları.
2. Şirketin faaliyet gösterdiği endüstriye yönelik
hukuki gereklilikler.
3. Endüstriye özgü hassas noktaların geçmişi.
4. Tanımlanmış organlar ve otoritelerin (dış
kurumlar) listesi.
Dış Bağımlılıklar 1. Kritik iş ortağı ilişkileri ve paydaş bağımlılıkları
tanımlanır ve göz önünde bulundurulur (anahtar
tedarikçileri, satıcıları ve dış kaynak kullanılan
görevleri içerir).
2. Anahtar iş ortağı sözleşmeleri ve hizmet seviyesi
sözleşmeleri tanımlanır ve anahtar hükümler
kayıtlara geçirilir.
3. Sözleşme hükümlerini denetleme hakkı
periyodik olarak tetiklenir ve Denetim Standartları
Açıklamaları (SAS) No. 70 / Doğrulama
Görevlerine İlişkin Standartların Açıklamaları
(SSAE) No. 16 ya da bunlara eşdeğer ticari ortak
raporları (yani yedek kurtarma kabiliyetleri ve
periyodik güvenlik gözden geçirmeleri de dâhil,
sistem doğrulama tatbikatı) teslim alınır.
15
ÖRNEK BCM ÇALIŞMA PROGRAMI
TALİ ALAN UNSURLAR MUHTEMEL DİKKAT
EDİLECEKLER
2. BCP Metodolojisinin Ticari,
Operasyonel ve Finansal
Stratejiyle Bağlantısı
İş Stratejisi 1. BCP, şirketin iş stratejisini esas
alır.
2. İlgili tüm kuruluşlar ve kritik
görev ve fonksiyonların bu BCP
içerisinde olduğu kabul edilir.
Operasyonel/Teknik Strateji 1. Hem operasyonel teknoloji hem
de BT entegredir.
2. Konuyla ilgili ticari kararlar
alırken BCM planı göz önünde
bulundurulur.
3. Bakım da dâhil, BCP/CMP
sorumlulukları yürürlükteki
personel iş tanımlarına ve personel
değerlendirmelerine dâhil edilir.
4. BCP iş fonksiyonlarının
risklerine, hassasiyetlerine ve
değerine uygun bir sıklıkta
güncellenir, gözden geçirilir ve
test edilir.
Finansal Strateji 1. Bir BCP’nin hazırlanması ve
bakımı için yeterli finansal kaynak
sunulur.
3. Etki Analizi (İş Etki Analizini
[BIA], Risk Değerlendirmesini
ve Kontrolleri İçerir)
Kurumun Duruşu 1. Yönetim kurulu ve üst yönetim
BCM girişimini desteklemektedir.
2. BCM’yi destekleyen planların
başarılı bir şekilde uygulanmasını,
muhafaza edilmesini ve
güncellenmesini sağlamaktan üst
düzey yönetici sorumludur.
3. BCM politikası/yönetmeliği
mevcuttur ve periyodik olarak
güncellenir.
4. Yönetim kurulu ve uygun
yönetim kademelerinden her biri,
BCP ve CMP de dâhil BCM ile
ilgili planları onaylamaktadır.
16
ÖRNEK BCM ÇALIŞMA PROGRAMI
TALİ ALAN UNSURLAR MUHTEMEL DİKKAT EDİLECEKLER
Risk Değerlendirme 1. Kapsamlı bir etki analizi/BIA mevcuttur ve bu
analizler, iş alanındaki girdi ve bilgilerle hazırlanır.
2. Resmi bir kriz veya felaket beyanı hazırlanmasına
neden olabilecek çeşitli olay türleri ve BCP ve
CMP’yi faaliyete sokma süreci açıkça tanımlanır.
3. İş akış analizi yapılır ve eğer kurumun liderleri
gerekli görürse, sonuçlar belgelendirilir.
4. İş fonksiyonları yeterli düzeyde
önceliklendirilmiştir.
5. Risk değerlendirme tüm ticari, operasyonel ve BT
alanlarında mevcut olan kesinti olasılığını ve etkisini
içerir ve kabul edilebilir aksama ve arıza süresini göz
önünde bulundurur.
6. Planın, kritik olmayanlara karşı kritik olan
fonksiyonlar, hizmetler ve süreçlere yönelik
önceliklerini icra ederken esas alınacak prosedürler
mevcuttur.
7. Acil durumda söz konusu olan finansal etki, acil
durumda söz konusu olacak maliyeti doğru yansıtır.
8. BIA’da itibar riskleri ve ilgili tüm paydaşlar göz
önünde bulundurulur.
Risk Hafifletme 1. Hazırlık ve önleme stratejileri de dâhil olmak üzere
yeterli risk hafifletme faaliyetleri düşünülür, örneğin:
a) Alternatif yerler ve kapasite (coğrafi çeşitlilik
sağlama).
b) Verilerin, uygulamaların,
telekomünikasyonların ve ilgili diğer verilerin
yedeklenmesi sağlanır ve buna yönelik
prosedürler mevcuttur.
c) Acil durum iletişim kanalları açıkça
tanımlanmıştır (iletişim ağacı).
2. Tüm kritik personel belirlenir ve kişi listesi
güncellenir.
3. Çalışanlar acil durumdaki rollerini bilir ve anlarlar.
4. Yedek satıcı desteği oluşturulur.
4. İş Kurtarma Planı Kurtarma Noktası Hedefi
(RPO)
1. RPO’lar açıkça tanımlanır ve bildirilir.
2. RPO’lar kurumun kurtarması gerekenleri ele alır.
Kurtarma Süresi Hedefi
(RTO)
1. RTO’lar açıkça tanımlanır ve bildirilir.
2. Kurtarma süresi, kurumun tolere etmeye hazır
olduğu arıza ve aksama süresinin ne kadar olduğunu
yeterli düzeyde gösterir.
3. RPO ve RTO tayin edilirken BIA sonuçları göz
önünde bulundurulur.
17
ÖRNEK BCM ÇALIŞMA PROGRAMI
TALİ ALAN UNSURLAR MUHTEMEL DİKKAT EDİLECEKLER
5. Farkındalık, Test
Etme ve Eğitim
Test Politikası 1. BCP bünyesinde, kurum, kurum çapında
süreklilik fonksiyonları, iş hatları, destek
fonksiyonları ve CM için test gerekliliklerini
belirler.
2. Anahtar roller ve sorumluluklar test politikasında
tanımlanır.
3. Test kapsamı ve karmaşıklığı düzeylerinin arttığı
test döngüleri tanımlanır.
Test Stratejisi 1. Test stratejisi belgelendirilmiş test planlarını ve
konuyla ilgili test senaryolarını, yöntemleri ve
programları içerir.
2. İç ve dış bağımlılıkları test etmeye yönelik
beklentiler tanımlanır.
3. Test stratejisi yönetimin varsayımları ve
beklentileriyle aynı çizgidedir.
4. Yıllık ve daha sık gerçekleştirilen test
döngüleriyle BCP teyit edilir.
Testle İlgili Gözlemler 1. Testler, çalışanlara ön ihbar yapılmaksızın
gerçekleştirilir. İç denetim birimi, yönetimin, test
alıştırmalarını aşağıda verilenlere odaklanarak icra
ettiğini gözlemleyebilir:
a) İlgili tüm çalışanlar mevcuttur ve bu
çalışanlara güncel bildirimler yapılmıştır.
b) Yedek tesisler ve kaynaklar iş ünitelerinin
ihtiyaçlarını karşılamaktadır.
c) İlgili yedek prosedürler amaca uygun olarak
faaliyet göstermiştir.
d) Anahtar iş ortakları test sürecine dahil
edilmiştir.
e) Beklenen zaman diliminde iş süreçleri tekrar
oluşturulmuştur.
2. İç denetim, denetimle ilgili bulguları
belgelendirir.
Test Sonrası 1. BCM liderlerinden oluşan ekip boşluk (fark)
analizi yapar.
2. İç denetim, eğer varsa, denetimle ilgili bulguları
belgelendirir ve bildirir.
3. BCM bulguları veya iyileştirme alanları ele alınır
ve düzeltilir; BCM liderlerinden oluşan ekip
düzeltici tedbirleri tartışır ve bulguları uygun
paydaşlara iletir. Bu tür veriler, BCM gelişimine
veya plan güncellemelerine yönelik ihtiyacı
destekleyebilir.
4. Test programı ve programın kurumun
büyüklüğü, karmaşıklığı ve risk profiliyle uygun
olup olmadığıyla ilgili varılan sonuçlar planın
içeriğine uygun olarak belgelendirilir.
5. Yönetim kurulu ve/veya icracı yönetim test
sonuçlarıyla ilgili bilgilendirilir.
Eğitim 1. Tüm personel eğitilir ve sorumluluklarının
farkındadır.
2. Eğitimle ilgili, örneğin içerik, katılımcılar ve
süre gibi detaylar belgelendirilir.
18
Örnek 2:
Potansiyel içerikle ilgili örnekler sunmak adına, değerlendirme işleminden seçilen ve aşağıda
gösterilen kısımlar tamamlanmıştır.
BCM RİSKİ VEYA ÖZ-DEĞERLEDİRME
UNSURLARI DURUM DEĞERLENDİRME NOTLARI
AMAÇ, KAPSAM VE HEDEFLER
Programın tanımlanması BCM programı:
• BCM amacını, kapsamını ve
hedeflerini;
• BCM prosedürlerini;
• BCM kaynaklarını, rollerini
ve sorumluluklarını;
• BCM önlem ve teyitlerini ve
• BCM sürekli
iyileştirmelerini tanımlamak
için mi belgelendirilmiştir?
Evet Evet –Programın kapsamı genel
olarak oluşturuldu ve
belgelendirildi.
BCM kapsamı; kurumun
sorumluluğundaki ilgili
tesisler ve işgücünün yanı sıra,
tüm iş süreçleri ve faaliyetleri
de dâhil olmak üzere,
operasyonun tamamını ele
alıyor mu?
Hayır Tüm tesisler ele alınmamıştır.
PROSEDÜRLER
Risk değerlendirme
İşi sekteye uğratabilecek
tehdit senaryolarını (makul
olaylar) tespit etmek için
tasarlanır. Bu BCM risk
değerlendirmesini başarılı
şekilde tamamlamak için,
kuruma, ortama ve bölgeye
karşı tehditler hakkında bilgi
sahibi olan kişiler bu sürece
katılmalıdır. Bu katılım
güvenlik personeli, tesis
personeli gibi kişileri
içerebilir.
Kurum için bir BCM risk
değerlendirmesi yapıldı mı?
NI
(Geliştirilmeli)
Değerlendirmenin daha fazla
biçimselleştirilmesi ve
belgelendirilmesi gerekmektedir.
Risk değerlendirmesi, aşağıda
verilen risk kategorilerini ele
aldı mı?
• Doğal tehlikeler,
• Militan/insan,
• İnsan faktörleri/BT,
• Operasyonel.
NI Bölgesel olaylar hesaba
katılmalıdır.
19
BCM RİSKİ VEYA ÖZ-DEĞERLEDİRME
UNSURLARI DURUM DEĞERLENDİRME NOTLARI
Tesis-bazlı bir BCM risk
değerlendirmesi yapılmalı ve
uygun tesis/yer kiracılarıyla
paylaşılmalıdır.
Risk hafifletme stratejileri
tanımlandı mı?
Riskler hafifletildi mi?
BCM risk değerlendirmenizi
(örneğin felaket senaryoları)
tesisinizdeki diğer kurumlara
uygun hâle getirdiniz mi?
İş etki analizi (BIA)
Bir felaket olayını takiben
kurtarılması gereken kritik iş
süreçlerini tanımlar. BIA
tamamlandıktan sonra, kritik
iş süreçlerine devam etmek
için gerekli iş kurtarma
çözümleri tanımlanır.
(Tüm iş ekipleri dâhil) kurum
için bir BIA yapıldı mı?
Kritik iş süreçleri tanımlandı
mı?
Liderlerden oluşan ekibiniz,
BIA sırasında tanımlanan kritik
iş süreçleri listesini ve konuyla
ilgili olarak önerilen iş kurtarma
çözümlerini onayladı mı?
İş kurtarma süreçleri
İş kurtarma çözümleri
geliştirilir ve kurumun ve/veya
ekibin CM (iş kurtarma)
çalışmalarını desteklemek için
gerekli kaynakların bir listesi
hazırlanır.
Kritik süreçlerin her biri için iş
kurtarma çözümleri ve kaynak
gereklilikleri tanımlandı mı?
Tüm ekipler kritik iş süreçlerini
kurtarmak için gereken
kaynakları belgelendirdi mi?
BT gereklilikleri değerlendirildi
mi?
Yazılı planlar Tüm iş ekiplerini, kritik iş
süreçlerini ve kurumsal CMP’yi
içeren yazılı bir BCP hazırlandı
mı?
20
BCM RİSKİ VEYA ÖZ-DEĞERLEDİRME
UNSURLARI DURUM DEĞERLENDİRME NOTLARI
Hizmet seviyesi
sözleşmeleri (SLA),
mutabakat zaptı (MOU) ve
sözleşmeler
• (Tesis yönetimiyle) ofis alanı,
• (BT sağlayıcısıyla)
BT/bildirimler,
• (BT sağlayıcısıyla) veri onarma
ve
• Üçüncü şahıslarla yapılan diğer
sözleşmeler için SLA’ler ve/veya
bir MOU oluşturuldu mu?
Üçüncü şahıslarla yapılan
sözleşmeler “mücbir sebep” ile
ilgili bir hüküm içerdiğinde,
şirketin çıkarlarını koruyacak
tedbirler alındı mı?
Uyum Çok kiracılı, çok tesisli koordine
planlama sürecine katıldınız mı?
Kurumunuz, tüm personele
tekabül edenler de dâhil olmak
üzere, bir acil durum iletişim
planı oluşturdu mu?
BCP’yi CM ve acil durum
cevabına uygun hâle getirdiniz
mi?
21
BCM RİSKİ VEYA ÖZ-DEĞERLEDİRME
UNSURLARI DURUM DEĞERLENDİRME NOTLARI
Eğitim ve uygulama BCM yöneticisi ve BCM
müdürüne eğitim verildi
mi?
BC koordinatörüne
eğitim verildi mi?
BCM ekibinin tüm
üyelerine rolleri ve
sorumluluklarıyla ilgili
eğitim verildi mi?
Anahtar BCM
faaliyetleri yıllık bazda
veya daha sık
uygulanıyor mu?
İhbar tatbikatı.
Masaüstü tatbikatı.
İşlevsel tatbikat.
Tam ölçekli tatbikat.
KAYNAKLAR, ROLLER VE SORUMLULUKLAR
BCM’yi destekleyen kadro Kritik işleri ifa edecek
alternatif personelin bu
görevleri yerine
getirecek yetkinliklere
(bilgi birikimi, erişim ve
benzeri) sahip olduğunu
teyit ettiniz mi?
BCM yöneticisi
Etkin bir fon, personel ve
kurumun iş planları ve
risklerine yönelik mülahazalar
koordinasyonuyla, BCM
planları oluşturulması ve
benimsenmesini destekleyen,
(liderlik ekibine uyum da dâhil
olmak üzere) BCM’nin
kurumsal savunucusu görevini
görür.
Kurumun liderlik ekibi
bir BCM yöneticisi tayin
etti mi?
BCM yöneticisinin
liderlik ekibine erişimi
var mı?
Fonlama, personel ve
kaynaklar yeterli mi?
BCM, diğer kurumsal
süreçlerle koordine ve
kurumun iş planıyla
bağlantılı mı?
22
BCM RİSKİ VEYA ÖZ-DEĞERLEDİRME
UNSURLARI DURUM DEĞERLENDİRME NOTLARI
BCM müdürü Kurum çapında bir BCM
müdürü tayin edildi mi?
BCM müdürü, BCM
uygulamasını koordine ediyor
mu, bu uygulamaya liderlik
ediyor mu?
BCM müdürü çapraz-
fonksiyonel kaynakların
mevcut olmasını ve
gerektiğinde uygun şekilde
kullanılmasını sağlıyor mu?
BCM müdürü CM etkinliği ve
verimliliğinin ölçülmesini,
doğrulanmasını ve periyodik
olarak gözden geçirilmesini
sağlıyor mu?
BCM koordinatörü Kurum çapında bir BCM
koordinatörü tayin edildi mi?
BCM koordinatörü, iş
sürekliliği planlamasını
kurum, iş ünitesi (BU),
bölgesel BU kademelerinde ve
diğer alt-kademelerde idare
ediyor mu?
BCM koordinatörü, uygun
görüldüğü takdirde çok
kiracılı, çok tesisli
koordinasyon faaliyetlerine
katılır mı?
ÖNLEM VE TEYİTLER
BCM gerekliliklerinin, mevcut
ticari ihtiyaçlarla aynı
doğrultuda olacak şekilde ele
alındığını yıllık olarak
doğrulayacak önlem ve teyit
süreçleri yürürlükte midir?
23
BCM RİSKİ VEYA ÖZ-DEĞERLEDİRME
UNSURLARI DURUM DEĞERLENDİRME NOTLARI
SÜREKLİ İYİLEŞME
Yeniden yerleştirme
planlamasını, ağ erişimi
veya uzaktan erişimi, yerel
veya merkezi verileri ve
benzerini desteklemek için
gerekenler de dâhil olmak
üzere BT gereklilikleri
teyit edildi mi?
Önlem ve teyit süreçleri
sürekli iyileştirme
süreçleriyle bağlantılı mı?
Faaliyetin zamanında
tamamlanmasını sağlamak
için, BCM uygulaması
sırasında tanımlanan BCM
boşluklarını çözüme
kavuşturmak adına
gereken tedbirleri takip
ediyor musunuz?
BCM programınızın
etkinliğini yeniden
değerlendirmek için
kullanabileceğiniz bir
süreç var mı?
24
Uygulama Desteği II: Anahtar Terimler Terminolojisi
İş Sürekliliği Planı (BCP) – kritik iş süreçlerinin sürekliliğine yönelik plan yapma; kritik
varlıkları koruma ve bir kriz, felaket, olay veya acil durum söz konusu olduğunda müşterilere
hizmet ve destek sunma becerisidir. Bu tür bir plan, bir kurumun bir krizi etkili bir şekilde
atlatmasını ve bu krizle bağlantılı riskleri idare etmesini sağlar. Bu, genellikle, bir kriz
yönetimi programına dâhil edilir.
İş Sürekliliği ve İş Kurtarma Planlaması (BCRP) – Kurumların, bir krizin tetiklediği
anahtar kurumsal riskleri idare etmek ve hafifletmek için iş sürekliliği ve iş kurtarma
önlemlerini tanımlayabildiği proaktif bir yöntemdir.
Kriz – Uygun şekilde ele alınmadığı taktirde, bir kurumun faaliyet gösterme, varlığına kârlı
bir şekilde devam etme ve itibar riskini idare etme yeteneğini önemli ve anlamlı düzeyde
etkileyebilen bir olaydır. Bu olaylar, genellikle, doğal veya fiziksel felaketler, kritik
faaliyetlerde ve/veya bağlantıda hata, anahtar ticari ortaklarla kurulan ilişkilerde aksamalar ve
teknoloji maruziyetleridir.
Kriz Yönetimi Programı (CMP) – Bir kurumun, bir kriz veya olay sonucu meydana gelen
riskleri etkili bir şekilde hafifletmek ve idare etmek için icra edebileceği önleyici ve tepkisel
önlemleri içeren birleştirilmiş bir faaliyetler portföyü. Bir CMP, genellikle, bir iş sürekliliği
planı ve bir felaket durumunda iş kurtarma planı içerecektir.
Felaket – Kabul edilemez düzeyde zarara veya kayba neden olan ani, planlanmamış yıkımsal
bir olaydır. Bu, bir kurumun kritik görevler, süreçler veya hizmetler sunma yeteneğine gölge
düşürecek olayları içerebilir. Bu da, iş sürekliliği ve/veya felaket durumunda iş kurtarma
planlarının, genellikle, genel CMP’nin bir parçası olarak etkin hâle geldiği bir olaya örnektir.
Acil Durum – Yaralanmalara, can kayıplarına, mülkün yıkılmasına veya olağan ticari
faaliyetlere müdahale edilmesine, bu faaliyetlerde kayba veya kesintiye neden olabilecek,
planlanmamış ve yaklaşan bir olay veya durumdur. Bu tür olaylar kontrol veya idare
edilmezse, bir krize dönüşebilir.
Olay – Bir işi geçici olarak etkileyebilecek ve bazı durumlarda acil bir durum veya felakete
neden olabilecek, operasyonel standartların parçası olmayan bir olaydır.
Etki Analizi – Potansiyel kaybın/kesintinin kurum-içi veya kurum-dışındaki potansiyel
etkisini anlamak amacıyla anahtar operasyonel fonksiyonları veya kritik verileri analiz etme
sürecidir. Etki analizi İş Etki Analizi’ni (BIA) içerir; İş Etki Analiziyse, ticari ortamda veya
faaliyet gösterilen ortamda meydana gelecek bir kesinti veya değişikliğe bağlı olarak kurumda
meydana gelen potansiyel zarar veya kaybın değerlendirilmesinin yanı sıra, kritik ticari
varlıkların, fonksiyonların ve kaynakların tanımlanmasını içerir. Bir BIA, a) zararını
kesintinin veya kaybın kaynağını; b) geçen zamanın potansiyel zararı, kesintiyi veya kaybı ne
ölçüde arttıracağını; c) temel ticari faaliyetleri sürdürmek için gerekli hizmetlerin veya
kaynakların seviyesini ve d) kurumun önemli ve anlamlı kalıcı bir kayba maruz kalmasını
önlemek için, tüm kritik ticari varlıkların, fonksiyonların ve kaynakların eski durumuna
getirilmesi gereken zaman çizelgesini tayin etmelidir.
25
Kurtarma Noktası Hedefi (RPO) – Bir kesinti sonrasında sistemlerin ve verilerin
kurtarılması gereken zaman noktası (örneğin önceki güne ait işlemlerin bitiş tarihi). RPO’lar,
genellikle, yedek stratejiler geliştirme temeli olarak ve sistemleri veya fonksiyonları
kurtardıktan sonra yeniden oluşturulması gerekebilecek verilerin miktarını tespit etmek için
kullanılır.
Kurtarma Süresi Hedefi (RTO) – Bir kesintiden sonra sistemlerin, uygulamaların veya
fonksiyonların kurtarılması gereken zaman periyodu (genellikle bir iş günü). RTO’lar,
genellikle, iş kurtarma stratejileri geliştirme faaliyetinin temeli olarak ve bir felaket söz
konusu olduğunda, bu stratejileri uygulayıp uygulamamaya yönelik kararlar alırken kullanılır.
Kabul edilebilir azami kesinti ve arıza süresi, konuyla ilgili yaygın olarak kullanılan bir
terimdir.
Risk Değerlendirmesi / Analizi – Bir kurumun karşı karşıya kalabileceği riskleri tespit etme,
bir kurumun ticari faaliyetlerinde devam etmesi için gerekli kritik fonksiyonlarını
değerlendirme, kurumsal maruziyeti azaltmak için yürürlükteki kontrolleri tanımlama ve bu
tür kontrollerin maliyetini değerlendirme sürecidir. Risk analizi, genellikle, belirli bir olayın
meydana gelme olasılığı ve ihtimaline yönelik bir değerlendirmeyi içerir. Bir kriz, bu tür bir
olaya örnektir.
Uygulama Desteği III: BCM Standart ve Rehberlerinin Kaynakları
Birçok kaynak BCM ile ilgili standartlar ve rehberler sunmaktadır. Bu kaynaklar iç denetçinin
iş sürekliliği planı (BCP) ve kriz yönetimi planı (CMP) geliştirme yaşam döngülerini
destekleme faaliyetindeki rolünü kıyaslamak amacıyla ortaya atılan çerçeveleri ve olgunluk
modellerini içerir. Birçok kaynak iç denetim personelinin eğitilmesine hizmet edebilir ve
BCM çalışma ve çabalarını inşa etmeye, ayarlamaya veya doğrulamaya çalışan kurum
yönetimiyle bilgi paylaşılmasına fırsat tanıyabilir. Nisan 2013 tarihinden beri yayınlanan
kaynaklar şunları içerir:
• İç Denetçiler Enstitüsü’nün Uluslararası İç Denetim Meslekî Uygulama Standartları
(Standartlar) ve ilgili rehber (www.theiia.org), şunları içerir:
o Global Teknoloji Denetim Rehberi 10: İş Sürekliliği Yönetimi. Bu rehber; 1)
olağan felaket senaryolarını, 2) iş kesintisi sırasında yönetimin üstleneceği rolleri,
3) felaket durumunda iş kurtarma çözümlerini, 4) risk değerlendirme ve
hafifletmeyi, 5) iş kurtarma ve süreklilik stratejisini ve 6) CM plan testini içerir.
o 2010 GAIN Anket Çalışması ve Sonuçları – Kriz Yönetimi.
o Denetim Yöneticisi Merkezi’nin 2011 Tarihli Bilgi Notu – İDY’ler için Üç Kriz
Yönetimi Şartı.
• ANSI/ASIS/BSI CM.01:2010, İş Sürekliliği Yönetim Sistemleri – Uygulama Rehberi
Gereklilikleri (2010). Kurumların dünya çapında gösterdikleri faaliyetleri boyunca
ihtiyaçlarını karşılamaya uygun hâle getirilebilecek bir rehberle birlikte, denetlenebilir
kriterlere yönelik bir çerçeve sunmak amacıyla Amerikan Ulusal Standartlar Enstitüsü
(ANSI), ASIS Uluslararası ve İngiliz Standartlar Enstitüsü’nün (BSI), yaptığı işbirliği.
26
• Felaket Kurtarma Enstitüsü (www.drii.org), İş Sürekliliği Planlamacıları için
Mesleki Uygulamalar (2008). 1) Programın başlatılması ve yönetimi, 2) risk
değerlendirmesi ve kontrolü, 3) iş etki analizi, 4) iş sürekliliği stratejileri, 5) acil
durum cevapları ve faaliyetleri, 6) iş sürekliliği planları, 7) farkındalık ve eğitim
programları, 8) denetim ve bakım, 9) iletişim ve bildirimler ve 10) dış kurumlarla
koordinasyon üzerine bilgileri içeren, sıkça kullanılan bir çerçevedir.
• Federal Finansal Kurumları Denetleme Kurulu (www.ffi ec.gov), İş Sürekliliği
Planlaması, BT İnceleme El Kitapçığı (2008). Bu el kitapçığı yedi adet unsuru içerir:
1) yönetim kurulu ve üst yönetimin sorumlulukları, 2) iş sürekliliği planlama süreci, 3)
iş etki analizi, 4) risk değerlendirmesi, 5) risk yönetimi, 6) riski izleme ve test etme ve
7) diğer politikalar, standartlar ve süreçler.
• İş Sürekliliği Enstitüsü’nün (www.thebci. org) İyi Uygulama Rehberleri (2010). Bu
rehberler altı adet unsuru içerir: 1) politika ve program yönetimi, 2) CM’nin kurum
kültürüne yerleştirilmesi, 3) kurumu anlama, 4) CM stratejisi belirleme, 5) bir CM
cevabı ve tepkisi geliştirme ve uygulama ve 6) tatbikat yapma, içinde bulunulan
durumu koruma ve gözden geçirme.
• Uluslararası Standartlaştırma Kurumu (ISO) (www.iso.org) rehberleri :
o ISO / Kamu Erişimine Açık Spesifikasyon (PAS) 22399, Toplumsal Güvenlik –
Olaya Hazır Olma ve Operasyonel Süreklilik Yönetimine İlişkin Rehber (2007).
“(Özel, idari ve idari olmayan) bir kuruma, olaya hazır olma ve operasyonel
sürekliliğe yönelik kendine özgü performans kriterleri geliştirme ve uygun bir
yönetim sistemi tasarlama konusunda genel rehberler sunar.”
o ISO/IEC 24762, Bilgi ve İletişim Teknolojisi Felaket Kurtarma Hizmetlerine
İlişkin Rehberler (2008). “BCM’nin bir parçası olarak bilgi ve iletişim teknolojisi
felaket kurtarma (ICT DR) hizmetlerine yönelik hükümler üzerine, fiziksel tesisler
ve hizmetler için hem “kurum-içi” hem de “dış kaynak kullanılan” ICT DR hizmet
sağlayıcılarına uygulanabilen rehberler sunar.”
o ISO 27001, Bilgi Güvenliği Yönetimi (2002). Bütünleşik, kapsamlı ve dünyaca
kabul edilen en iyi uygulamaları içeren bir bilgi güvenliği yönetim sistemi
geliştirmede kurumlara yardımcı olur.
o ISO 22301, Toplumsal Güvenlik – İş Sürekliliği Yönetim Sistemleri –
Gereklilikler, BS 25999’un yerine geçmiştir. Bütün kurumlara veya bu kurumların
bölümlerine uygun olan jenerik BCM sistem gerekliliklerini belirtir.
• İngiliz Standartlar Enstitüsü (www.bsigroup.com).
o PAS 200 (2011), etkili bir kriz tespiti, hazırlığı ve cevabına olanak sağlamak için
geliştirmeleri ve korumaları gereken faaliyet ve kaynak türleriyle ilgili kurumlara
tavsiyeler verir. Bu spesifikasyona B.K. Kabine İşleri sponsorluk yapmıştır ve önde
gelen birkaç B.K. ticari kuruluşu ve kamu kurumuna danışmak suretiyle kriz
yönetimi spesifikasyonu geliştirilmiştir. Bu spesifikasyon, BS 25999: İş Sürekliliği
Yönetimi ve ISO 27001 rehberlerinin sunduklarına ek olarak, CM’ye yönelik
gereklilikleri ele alır.
27
o BS 25777: Bilgi ve İletişim Teknolojisi Süreklilik Yönetimi – Uygulama Kuralları
(2008). “BS 25999-1’in sunduğu iş sürekliliği yönetimi çerçevesi içerisinde bilgi ve
iletişim teknolojisi süreklilik yönetimi için tavsiyeler verir.”
Yukarıda bahsi geçen bazı kurumlar, BCP eğitimi ve sertifikaları da vermektedir. Bu tür bir
eğitim ve sertifika veren diğer kurumlar aşağıda verilenleri içerir:
• İş Sürekliliği Yönetimi Enstitüsü — www.CM-institute.org.
• İş Sürekliliği Planlamacıları Birliği — www.bcpa.org.
• İş Esnekliği Sertifikasyonu Uluslararası Konsorsiyumu (Business Resilience
Certification Consortium International) — www.brcci.org/index.htm.
28
Yazarlar:
David Bentley, CIA
Brian Foster, CIA
Brian Peterson Brian Reed, CIA
Erich Schumann, CIA, CRMA
Rita Thakkar, CIA
Benito Ybarra, CIA
Gözden Geçiren:
Steven E. Jameson, CIA, CCSA, CFSA, CRMA
29
Enstitü Hakkında
1941 yılında kurulan The Institute of Internal Auditors (IIA) (Uluslararası İç Denetçiler
Enstitüsü), dünya genel merkezi Altamonte Springs, Fla., ABD’de bulunan bir uluslararası
meslek örgütüdür. IIA; iç denetim mesleğinin global sesi, tanınmış ve kabul edilmiş otoritesi,
genel kabul gören lideri, baş savunucusu ve baş eğitmenidir.
Uygulama Rehberleri Hakkında
Uygulama rehberleri, iç denetim faaliyetlerinin nasıl gerçekleştirilmeleri gerektiği konusunda
ayrıntılı bir kılavuz bilgisi sağlar. Bu rehberler; proses ve prosedürler hakkında ve daha
spesifik olarak, araçlar ve teknikler, programlar ve basamak-basamak yaklaşımlar ve ayrıca
proje çıktısı örnekleri hakkında ayrıntılı bilgi ve veriler sunan belgelerdir. Uygulama
Rehberleri, IIA’nın UMUÇ Çerçevesinin bir parçasıdırlar. Kuvvetle Tavsiye Edilen rehberler
kategorisinin bir parçası olarak, bunlara uyum zorunlu değildir, fakat kuvvetle tavsiye edilirler
ve bu rehberler, IIA’nın resmi inceleme ve onay sürecinden geçirilmek suretiyle
onaylanmışlardır. IIA’nın yayımladığı ve sunduğu başka yol gösterici rehber materyalleri ve
belgeleri için, lütfen https://globaliia.org/standards-guidance adresindeki web sitemizi ziyaret
ediniz.
Sorumluluğun Reddi Beyanı
IIA, bu dokümanı sadece bilgi vermek ve eğitim amacıyla yayımlamıştır. Bu rehber
materyalinin belirli somut münferit durum ve koşullara kesin cevaplar vermek gibi bir işlevi
veya amacı yoktur ve dolayısıyla, bu rehber sadece bir rehber ve kılavuz olarak görülmeli ve
böyle kullanılmalıdır. IIA, herhangi bir özel durumla karşılaştığınızda daima bağımsız uzman
görüşü ve tavsiyesi almanızı tavsiye eder. IIA, sadece bu rehbere dayanarak hareket eden
kişiler için herhangi bir sorumluluk kabul etmez.
Telif Hakkı Uyarısı
Telif hakları © 2012 The Institute of Internal Auditors. Bu rehberi çoğaltma izni almak için,
lütfen [email protected] adresinden IIA ile temas kurunuz.
Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue,
Altamonte Springs, Florida 32701-4201, USA. All Rights reserved.
Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue,
Altamonte Springs, Florida 32701-4201, USA, bütün önemli açılardan orjinali ile aynı olan
çevirinin – değiştirilmesi onaylanmış durumlar hariç - yayınlanması konusunda izin
alınmıştır. Bu dokümanın hiçbir parçası, IIA Inc. ‘ dan yazılı izin alınmadan, tekrar
çoğaltılamaz, herhangi bir sistemde saklanamaz veya herhangi bir formatta paylaşılamaz,
herhangi bir elektronik, mekanik, fotokopi, kayıt veya farklı bir yöntemle çoğaltılamaz.
30
IIA
THE INSTITUTE OF INTERNAL AUDITORS
(ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ)
GLOBAL GENEL MERKEZ 247 Maitland Ave.
Altamonte Springs, FL 32701 USA
Telefon : +1-407-937-1111
Faks : +1-407-937-1101
Web sitesi : www.globaliia.org