İŞ süreklİlİĞİnde katma ... - isaca- · pdf file50’yi aşkın...
Post on 18-Feb-2018
219 Views
Preview:
TRANSCRIPT
ÖZGÜVEN SAYMAZ
İŞ SÜREKLİLİĞİNDE
KATMA DEĞERLİ DENETİM YAKLAŞIMI UYGULAMA ÇALIŞMASI
İstanbul, 24.05.2017
HİZMETE ÖZEL
Özgüven SAYMAZ
Albaraka Türk, İş Sürekliliği Yöneticisi
Süreç Geliştirme, İş Sürekliliği ve Risk
Yönetimi, Kalite Yönetim Sistemi,
Organizasyon geliştirme
12 yılı aşkın iş deneyimi
ISO 22301 ISY Eğitmen ve Denetçi
ISO 9001 Eğitmen ve Denetçi
ISO 27001 İç denetçi / Denetçi
Yönetim Sistemleri Risk Yönetimi
Eğitmen
İş Sürekliği Yönetim Sistemi ve ISO 22301 İSYS
Denetim Kılavuzu Kitaplarının yazarı
Özgüven Atölyesi Platformunda; İş Sürekliliği, Süreç
geliştirme ve Kişisel Gelişim Atölyelerinde yazar ve
eğitmen
İlk İSYS belgelendirme – BS2599
5’in üzerinden firmada İSY Sistem kurulum deneyimi
10’un üzerinden firmada ISO 9001 KYS Kurulumu ve
belgelendirme
50’yi aşkın süreç iyileştirme proje gerçekleştirme
deneyimi
1000 saati aşkın eğitim deneyimi
HİZMETE ÖZEL
Uygulama Çalışmasının Amaçları
1. Genelde ISO Yönetim sistemleri , özelde ISO 22301 İSYS denetim yaklaşımı
hakkında temel bilgiler vermek
2. Denetlenen ve denetleyen bakış açısı ile katma değerli bir denetimi yaklaşımı
oluşturmak için gerekli temel bilgileri vermek
3. COBİT DS4 İş Sürekliliği Yönetimi Kontrol yaklaşımını, katma değerli denetim
yaklaşıma ile birleştirecek temel bilgileri vermek
4. İş sürekliliği “Test Yönetim Süreci” ve “İş Etki Analizi Yönetimi Süreci” üzerinde
denetim uygulaması gerçekleştirerek temel becerileri kazandırmak.
5. Eğlenceli bir öğrenme deneyimi yaşatmak
HİZMETE ÖZEL
Gündem
ISO 22301 İSYS Yapısı
COBIT 5 DSS4 İş Sürekliliği Yapısı
İş Sürekliliği Nedir?
İş Sürekliliğinin Amacı Nedir?
Denetim Nedir?
Denetim Amacı Nedir?
Katma Değerli Denetimin Temel Unsuları Nelerdir?
o Süreç Yaklaşım
o PUKÖ Yaklaşım
o Soru Sorma
Test Süreci Gereksinimler ve Kontroller
İş Etki Analiz Süreci Gereksinimler ve Kontroller
HİZMETE ÖZEL
İş Sürekliliği Nedir ?
İş Sürekliliği, olağanüstü durumlara karşı hazırlıklı olmayı, olaylara hızlı ve etkili tepki
vermeyi, insan hayatının, varlıkların ve şirket itibarının korunmasını GÜVENCE altına
almayı amaçlayan bir yönetim yaklaşımıdır.
Sistem Kesintisi
Yangın Şirket itibarına
yönelik saldırı
Enerji Kesintisi
Doğal Afet
İletişim Kesintisi
Salgın Hastalık
Tedarik Zinciri
Kesintisi
Terör Saldırısı
Kesintiye neden olan bir ihlal olayının ardından ürün ve hizmetlerin önceden tanımlanmış
kabul edilebilir seviyelerdeki sunumuna devam etme konusunda firmaların sahip olduğu
yetenek [ISO 22300].
HİZMETE ÖZEL
İş Sürekliliğinin Amacı Nedir ?
1. Çalışanların ve diğer varlıkların güvende olmasını sağlamak
2. İş kesintisine sebebiyet verecek hususları belirleyip tedbirler almak
3. Olası bir kesinti sonrası önceden belirlenmiş kabul edilebilir süreler içerisinde ön görülen
mal ve hizmetleri tekrar sunabilir hale gelmek
HİZMETE ÖZEL
Denetim Nedir?
Denetim,
Bir sistemin ya da sürecin;
– yeterlilik, uygunluk ve etkinlik yönünden
– sistematik ve objektif bir şekilde değerlendirilmesi faaliyetidir.
HİZMETE ÖZEL
Denetim Nedir?
Yeterlilik Uygunluk Etkinlik
Yeterlilik
Oluşturulmuş dokümantasyonun referans
alınan standart ve mevzuat şartlarını
karşılayıp karşılamadığının incelenmesidir.
Uygunluk
Sahadaki uygulamaların (fili uygulamaların)
oluşturulan dokümantasyona göre işletilip
işletilmediğinin incelenmesidir.
Etkinlik
Oluşturulan dokümanların ve yapılan
uygulamaların belirlenen amaç veya
hedeflere ne kadar ulaştırabildiğinin
incelenmesidir.
HİZMETE ÖZEL
Denetim Nedir?
Sistematik Objektif
Sistematik
Belirli bir program ve plan
çerçevesinde düzenli yapılmalıdır.
Objektif
Belirlenen kriterlere göre tarafsız
kişilerce yapılmalıdır.
HİZMETE ÖZEL
Denetim Amacı Nedir?
Denetlenene Değer Katmak
Sürekli İyileştirme
Bir sistemin ve/veya sürecin sürekli
iyileştirilmesini ve geliştirilmesini
sağlamak
Makul Güvence
Referans alınan standart ve/veya
mevzuata uyumun sağlandığına yönelik makul
güvence vermek
Yetkinlik ve Yeterlilik
Organizasyonel yetkinlik ve
yeterliliği artırmak
Teyit
Yeterlilik, Uygunluk ve Etkinliği teyit
etmek
HİZMETE ÖZEL
Katma Değerli Denetimin Temel Unsuları Nelerdir?
Katma Değer Odaklı
Denetimin Temel Unsurları
Süreç Yaklaşımı PUKÖ Yaklaşımı Soru Sorma
Süreç Yaklaşımı
Denetlenen sürecin
unsurlarının ve süreç
bağımlılıklarının bilinmesi
PUKÖ Yaklaşımı
Denetlenen sürecin PUKÖ
yaklaşımı çerçevesinde ele
alınması
Soru Sorma
Yeterlilik, Uygunluk ve
Etkinlik alanlarına yönelik
% 80’den fazla açık uçlu,
%20’den az kapalı uçlu
sorular sorulması
HİZMETE ÖZEL
Katma Değerli Denetimin Temel Unsuları Nelerdir? - Süreç Yaklaşım
Resource Processes
Product Design
Process Design
Project Planning
Production
Management Processes
Mea
su
rem
en
t, Ana
lysis
, and
Impro
vem
en
t
OI
IO
I O
I O
I O
I O
I O
I O
Resource Processes
Product Design
Process Design
Project Planning
Production
Management Processes
Mea
su
rem
en
t, Ana
lysis
, and
Impro
vem
en
t
OI
IO
IO
I OI O
I OI O
I OI O
I OI O
I OI O
I OI O
HİZMETE ÖZEL
Katma Değerli Denetimin Temel Unsuları Nelerdir? - Süreç Yaklaşım
PROCESS A
PROCESS C
PROCESS B PROCESS D
Inputs to A
Inputs to B Outputs from A
Inputs to C Outputs from C
Outputs from B Inputs to D
Outputs from D
Outputs from other processes
Outputs from other processes
HİZMETE ÖZEL
Katma Değerli Denetimin Temel Unsuları Nelerdir? - Süreç Yaklaşım
• İş Etki Analizi
• Risk Analizi
* Kritik süreçler, bağımlılıklar
* Risk belirleme, işleme
• İS Stratejileri
* Öncelikler , Kaynaklar
* Koruma ve azaltma
• İş Sürekliliği Planı
* Olay cevap verme yapısı
* Uyarı ve iletişim
* IS Planları
* Kurtarma
• Tatbikat ve Test
* Amaç ve hedefler
* Risk minimizasyonu
* Raporlama ve faaliyetler
Çıktı
SÜREÇ KPI ve HEDEF ? SÜREÇ KONTROLLERİ ? RİSK - FIRSAT ?
FAALİYET
FAALİYET
FAALİYET
FAALİYET
Girdi
Çıktı
Girdi
Girdi
Çıktı
HİZMETE ÖZEL
Katma Değerli Denetimin Temel Unsuları Nelerdir? - PUKÖ Yaklaşım
• Kayıt
• Kanıt
• Ölçme
• Analiz
• Değerlendirme
• Amaç-Hedef
• Metot /5N1K
• Etkileşim
• KPI
• Aksiyon
Önlem Al
Planla
Uygula Kontrol
Et
HİZMETE ÖZEL
Katma Değerli Denetimin Temel Unsuları Nelerdir? - Soru Sorma
1. Soru Hazırlama
• Denetlenen sürece/konuya yönelik gereksinimler belirlenmeli
Denetim için referans alınan standart, iç ve dış mevzuat incelenmeli
• Gereksinimlere yönelik sorular hazırlanmalı
Her sorunun bir amacı olmalı. Soruya karşılık alınacak bilgi ne işe
yarayacak?
• Sorular Yeterlilik, Uygunluk ve Etkinlik alanlarına yönelik;
İyileştirme fırsatı yakalama,
Güvence verme,
Yetkinlik ve yeterlilik artırma ve
Teyit amaçlı olmalıdır.
HİZMETE ÖZEL
Katma Değerli Denetimin Temel Unsuları Nelerdir? - Soru Sorma
2. Açık & Kapalı Uçlu Soru
• Cevabı EVET ya da HAYIR olan sorular kapalı uçlu soru olup, bir bilgiyi teyit
ettirmek ya da bir şeyin varlığını ve yokluğunu öğrenmek için kullanılır.
• Cevabı EVET ya da HAYIR olmayan sorular açık uçlu soru olup, bir konuda
neden, nasıl (5N1K) gibi açıklayıcı bilgiler almak için kullanılır.
• Soru sorarken, süreç unsurları, süreç etkileşimleri ve sürecin PUKÖ döngüsü
mutlaka göz önüne alınmalıdır.
HİZMETE ÖZEL
Test Süreci Gereksinimler ve Kontroller
- ISYS : 8.5
Gereksinimler;
İş sürekliliği yönetim sistemi, kapsamı ve hedefleri ile tutarlı olmalı,
Amaç ve hedefler tanımlanmalı,
Uygun senaryolara dayanmalı,
İlgili tarafların gereksinimlerini (yasa-sözleşme) içermeli,
İşlemlerin kesintiye uğrama riskini en aza indirmeli,
Gerçekleştirilen faaliyetleri, sonuçları ve tavsiyeleri içeren rapor hazırlanmalı,
Sürekli iyileştirmeyi teşvik etmek için gözden geçirilmeli,
Planlı aralıklarla yapılmalı,
Kuruluşta veya kuruluşun çalıştığı ortamda önemli değişiklik olduğunda
yapılmalı.
HİZMETE ÖZEL
Test Süreci Gereksinimler ve Kontroller
- COBİT : 04 DSS04.04 İş süreklilik planını (BCP) uygula, test et ve gözden geçir:
Önceden belirlenmiş sonuçlara göre geri kazanım planlarını düzenli aralıklarla uygulamak,
yenilikçi çözümlerin geliştirilmesine imkan tanımak ve planın zaman içinde öngörüldüğü üzere
çalıştığının doğrulanmasına yardımcı olmak amacıyla süreklilik düzenlemelerini test et.
İş riskinin karşılanmasında, iş süreklilik planının (BCP) bütünlüğünü doğrulamak amacıyla,
plana ait iş, teknik, lojistik, idari, prosedür ve operasyon sistemlerini test etme amaçlarını
tanımla.
Gerçekçi olan paydaş uygulamalarını tanımla ve üzerinde anlaş, süreklilik prosedürlerini
doğrula ve iş süreçlerinde minimum kesintiye yol açan görevler, sorumluluklar ve veri
saklama düzenlemelerine yer ver.
Süreklilik planı uygulama ve testlerini gerçekleştirmek için görevler ve sorumluluklar ata.
Uygulamalar ve test faaliyetlerini süreklilik planında tanımlandığı üzere programla.
Başarıyı incelemek amacıyla uygulama sonrası bilgi al ve analiz et
Gözden geçirmenin sonuçları bazında güncel süreklilik planını iyileştirmek amacıyla
öneriler oluştur.
Arşivlenmiş ve yedeklenmiş verileri düzenli aralıklarla test et ve yenile
HİZMETE ÖZEL
Test Süreci Gereksinimler ve Kontroller
Yeterlilik
• Test yönetim metodu, test yönetim süreciniz nasıldır?
• Testlerin amacı ve hedefi tanımlımıdır?
• Testler senaryo bazlı mı yapılmaktadır? Ve örnek senaryolar nelerdir?
• Testler sürekli iyileştirme için gözden geçirilmekte midir?
• Testler ne sıklıkla yapılmaktadır?
• Hangi durumlarda testler yapılmaktadır?
Uygunluk
• Test programına uyum oranı nedir?
• Örnek test baz alınarak, testin amaçları ve hedefleri nelerdir?
• Örnek test baz alınarak, test raporunu kimler değerlendirmektedir?
Etkinlik
• Test Sürecinin başarı göstergeleri nelerdir?
• Testlerin başarısı hangi kriterlere göre ve nasıl değerlendirilmektedir?
• Testler sonrası planlarda, stratejide ve iş sürekliliği yönetim sisteminde yaptığınız iyileştirmeler neler nelerdir ?
• Testlerin kesinti yaşanma riskini azaltmadaki etkileri nelerdir ?
HİZMETE ÖZEL
İş Etki Analiz Süreci Gereksinimler ve Kontroller
- ISYS : 8.2
İş Etki Analizi ve Risk Değerlendirme
• İş Etki Analizi ile kuruluş şunları belirlemeli;
Resmi ve yazılı bir değerlendirme süreci,
Süreklilik ve kurtarma öncelikleri,
Ürün ve hizmet sunumunda yaşanan kesintinin etkisi,
HİZMETE ÖZEL
İş Etki Analiz Süreci Gereksinimler ve Kontroller
- ISYS : 8.2
İş Etki Analizi ve Risk Değerlendirme – Devam
• İş Etki Analizi, aşağıda belirtilenleri içermeli;
Ürün ve hizmetlerin sunumunu destekleyen faaliyetlerin (süreçlerin)
tespiti,
Bu faaliyetlerde yaşanan bir kesintinin zaman içerisindeki etkileri,
Belirlenen kabul edilebilir en düşük seviyedeki ürün - hizmet seviyesi ve
yeniden başlatılması için faaliyetlerin önceliklendirilmiş zaman cetveli,
Belirlenen faaliyetlerin (ürün –hizmet) yeniden başlatılması için kesinti
etkilerinin kabul edilemez hale geldiği süre (MAO-MTPOD),
Belirlenen faaliyetlerin işletilmesi için gerekli iç ve dış bağımlılıklar
HİZMETE ÖZEL
İş Etki Analiz Süreci Gereksinimler ve Kontroller
DSS04.01 İş süreklilik politikası, amaçları ve kapsamını tanımla:
DSS04.02 Süreklilik stratejisini sürdür:
Temel destekleyici iş süreçleri ve Bağlantılı BT hizmetlerini belirle.
Kesintinin zaman içinde kritik iş fonksiyonu üzerindeki etkisi ve kesintinin
üzerlerinde bırakacağı etkiyi değerlendirmek amacıyla, iş etki analizi gerçekleştir.
Kabul edilebilir iş kesintisi uzunluğu ve maksimum tolere edilebilen hizmet
aksama süresi bazında, iş süreci ve destekleyici BT’nin toparlanması için gereken
minimum süreyi belirle.
Olası stratejik iş ve teknik seçenekleri belirlemek amacıyla süreklilik
gereksinimlerini analiz et.
- COBİT : 04
top related