MBA’de Hazırlamış Olduğum Çalışmamdan Alıntılar.. BPR (Business Process Reengineering) – BPI (Business Process Improvement)

Giriş

Süreç iyileştirme-yenileme (BPI-BPR) kavramı, günümüz rekabet koşullarında işletmelerin karlılıklarını arttırmak ve müşteri portföyünü genişletmek anlamında yürürlükte olan tüm iş süreçlerinin optimum hale getirilmesi, canlı bir organizma olarak düşünülen süreç kavramının sürekli değişen yapısına ayak uydurulması için son derece kritik bir çalışmadır. Süreç iyileştirme-yenileme çalışmaları işletmelere faaliyet alanlarına göre büyük katma değer sağlayan stratejik yaklaşımlardır. Bilgi ve iletişim alanındaki ilerlemeler, küreselleşmeyi de etkisi altına alarak yenilikler yaratmış ve bu yeniliklere de işletmelerin adapte olmasını zorunlu hale getirmiştir. Bu yenilikler karşısında faaliyetlerinden  çok hızlı netice almak isteyen batılı işletmeler, 1990’lı yıllarda iş görme metodlarında oldukça radikal değişimlere gitmişlerdir. Bu şekilde yaygınlaşan yöntemlerin belki de en meşhuru ve dikkate değer olanı; dilimize “Değişim Mühendisliği” olarak yerleşen “İşletme Süreçlerinin Yeniden Tasarlanması (Business Process Reengineering)” metodudur. “Batılı yönetim anlayışınca kabul görecek şekilde hızlı sonuçlar vermesi beklenen bu yöntem, 1990 sonrasında neredeyse tüm ABD ve Avrupa ülkelerinde kendine önemli bir uygulama alanı bulmuştur.” (1)

1 Süreç Kavramı

Süreç, “… bir veya daha fazla girdinin bir araya gelerek sonuçta müşteri için değer yaratacak çıktının[bu bir ürün ya da hizmet olabilir] oluşturulduğu faaliyetler dizisidir.” (2)

Giderek küreselleşen ve rekabetin her alanda çok yoğun olduğu dünyamızda müşteri memnuniyetini sağlamanın ve sadık müşteriler yaratmanın önemi herkesçe bilinmektedir. Müşteriye sunulan her mal veya hizmet bir sürecin çıktısı olduğuna göre, bu ürün veya hizmeti, hem müşteri istek ve beklentilerine uygun hem de firma için az maliyetli şekilde oluşturmak için süreci incelemek gerekmektedir.

Bir kuruluşun temel süreçleri dikey organizasyon şeması üzerinde birden fazla bölüm boyunca yatay olarak akan işlemler dizisidir. Yetki ve sorumlulukların iyi tarif edilmediği, kimsenin denetiminde olmayan bölümler arasındaki “beyaz alanlar”da büyük iyileştirme fırsatları mevcuttur. En fazla zaman kayıplarının olduğu, sürtüşmelerin yaşandığı yerler bu beyaz alanlardır.

İkinci Dünya Savaşı sonrasında Japonya’da başlayan ‘kaizen’ (sürekli iyileştirme) kavramıyla ortaya çıkan ve giderek dünyada ve Türkiye’de yaygınlaşmaya başlayan ‘kalite’ çalışmalarının özünde süreç mantığı vardır. Toplam Kalite EFQM Mükemmellik modeline göre bir sistem kurmak veya son yıllarda popülerlik kazanan CRM – Müşteri İlişkileri Yönetimi’ne geçmek isteyen veya ISO 9001 belgesi almak isteyen firmalar için Süreç Yönetimi hayatidir. ISO 9001 standardının 1994 versiyonunda yer almayan ‘süreç yönetimi, süreç göstergelerinin izlenmesi ve sürekli iyileştirme’ kavramları ISO 9001 :2000 revizyonunda artık yer almaktadır.

2 Süreç İyileştirme-Yineleme (BPI-BPR)

“BPR ile işletme süreçlerinin yeniden tasarlanması ve daha sonra yeni süreçlerin uygulanmaya konması kasdedilmektedir.” (3)

“BPR; maliyet, kalite, hizmet ve yenilik yapmak gibi çağımızın en önemli başarı ölçülerinde gelişme sağlamak amacıyla, örgütün mevcut yapısı ve kullanılan süreçlerin terk edilerek, mal ve hizmet üretmek için gerekli faaliyetleri en başından itibaren gözden geçirme çabasıdır.” (4)

“BPR; kalite, maliyet, esneklik, hız ve doğruluğu içeren çok yönlü iyileştirme hedeflerini belirli bir uyum içinde değerlendirir.” (5)

Süreçlerin belirlenmesi, tanımlanması, izlenmesi, iyileştirilmesi stratejik yaklaşımına, “Süreç Yönetimi” (BPM) veya “Süreç İyileşleştirme” (BPI) adı verilebilir.

Bu bakımdan, BPM ve BPI aynı şeyi ifade eder. BPI ve BPR’ın farkları hakkında listeler yapılması, bunların çok farklı şeyler gibi makale ve kitaplarda ele alınmasını yanlış bir yaklaşımdır. Bir kuruluş, süreç konusuna belki de ilk girişinde en baştan BPI veya BPR yapacağım diye karar vermek; birinden birini seçmek durumunda değildir. Süreçte, kademeli veya sıçramalı iyileştirmeler yapılacağı, sürecin durumuna, müşteri beklentisine, bilgi teknolojisi olanaklarına ve herşeyden evvel strateji ve hedeflere bağlıdır.

Süreçlerini belirlemiş ve yönetmeye başlamış bir kuruluşta, sürekli iyileştirme döngüsü içinde ele alınan süreçle ilgili olarak ilk yapılacak şey, sürecin mevcut durumunun incelenmesidir. Sürecin baştan mı tasarlanacağı, yoksa mevcut süreç içinde küçük değişiklikler mi yapılacağına daha sonra karar verilir. Ayrıca, küçük ya da büyük değişiklik kavramı da herkese göre değişebilir. Dolayısıyla, iyileştirmek üzere ele alınacak süreç, bir “Süreç İyileştirme Ekibi” oluşturulup, mevcut süreç incelenmeden ve sonra iyileştirme seçenekleri tartışılmadan, yapılacak değişikliğin (iyileşmenin) küçük mü büyük mü olacağını söylemek pek mümkün ve gerçekçi olamaz.

BPI yani İş Süreçlerinin İyileştirilmesi, sürecin mevcut durumunun incelenmesinden sonra üç değişik yaklaşıma yol açabilir:

• Süreç adımlarında veya adımlar içindeki işlemlerde değişiklikler yaparak, katma değeri olmayan adımları ve bürokrasiyi atarak veya azaltarak, veya salt süreç katılımcılarının eğitim ve çalışma koşullarında iyileştirmeler yaparak süreçte iyileşmeler yapmak
• Sürecin sil baştan yapılarak baştan tasarlanması (BPR – yeniden tasarım)
• Kıyaslama (“benchmark”) sonucu seçilen bir sürecin aynen uygulanması

Kıyaslama sonucu alınan süreç, eski sürece ufak değişiklikler getiriyor veya sil baştan yapıyor olabilir ve bu yüzden onu birinci veya ikinci seçenek içinde değerlendirebiliriz.

Bir süreç, üst yönetim veya üst yönetimden kişilerin oluşturduğu “Süreç İzleme Komitesi” adını verebileceğimiz bir grup tarafından iyileştirilmek üzere seçilirken sürecin durumu az çok bilinmektedir.

Oluşturulan Süreç İyileştirme Ekibi, sürecin mevcut durumunu incelerken (haritanın çıkarılması, müşterilerle ve süreçte çalışanlarla görüşmeler yapılarak istek, beklenti, aksaklıkların öğrenilmesi, önerilerin alınması, engelleyicilerin öğrenilmesi, mevcut ölçümlerin kaydedilmesi, ölçüm yapılmıyorsa yapılması) durum daha netlikle ortaya çıkar. Küçük veya radikal değişiklikler yapılma ihtiyacı görünür hale gelir. Küçük değişiklikler yapılacak ise

• Sorunların kökeninin incelenmesi
• İyileştirme çözüm seçeneklerinin tartışılması
• Seçeneklerden birine karar verilmesi
• Pilot uygulama ve pilottaki sonuçların incelenmesinden sonra uygulamanın yaygınlaştırılması

izlenecek adımlardır.

Mevcut durum incelemesi süreçte büyük değişiklikler yapılacağını gösteriyor ise; ayrıntılı biçimde sorunların kökenini tespit etmeye gerek yoktur; bunlar zaten aşikar biçimde görünmekte ve biline gelmektedir. Bu durumda;

• Yaratıcılık ve yenilikçilik kullanılarak
• Kıyaslama yoluyla en iyi uygulama araştırılarak
• Çoğunlukla da yeni ve son bilgi teknolojisi olanakları kullanılarak

süreç yeni baştan tasarlanır. (Örneğin: Otomatik para çekme makineleri icat edilmemiş olsa ‘para çekme’ süreçleri değişmemiş olacaktı.) Ancak teknoloji kullanmadan da süreç baştan tasarlanabilir.

2.1          BPI-BPR Stratejisi ve Hedefleri

Günümüzün kurumlarının, organizasyonlarının ana hedefi müşteriler için değer yaratmak olmalıdır. Bugünün dünyasında başarının arkasında, değişim rüzgarları karşısında direnen değil, sadece devrimsel yaklaşımlar ile değişimi seven, kabullenen ve yöneten kültürler yatmaktadır. Değişimi reddeden, karşı çıkanların sonu ise hüsran olmaktadır. Amaçlanan değişim marjinal olmamalıdır. Cesur, radikal, derin etki ve sonuç yaratan insiyatifler hedeflenmelidir. Bugün her şey son derece büyük bir hızla değişmekte olduğuna göre; hiçbir şey sabit, öngörülebilir olmadığına göre; bütün tüketicilerin çok geniş bir seçme hakkı olduğuna göre; herkesin pazarı, rekabetin eskisi gibi basit olmamasından dolayı tehdit altında olduğuna göre günümüz dünyasında geleneksel yaklaşımların terk edilmesi, alışılagelmiş operasyonel ve organizasyonel prensiplerin tamamen yenilenmesi gerekmektedir.(6)

BPI-BPR yapacak birim her zaman kaynakları rahatlıkla kullanacak geniş imkânlara sahip olmayabilir ve bu kaynaklar BPI-BPR ile ilgili olmayan projelere atanmış olabilir. Böyle bir durumda BPI-BPR yapmak için bir veya birkaç uygulamanın sisteme entegrasyonu mümkündür. Bu sebeple elindeki kıt kaynakları etkin kullanması gereken BPI-BPR birimi elinde var olan bir kaç uygulamayı işletmenin genelinde birçok birime yaygınlaştırmayı kendine stratejik bir hedef olarak seçebilir. Bununla birlikte BPI-BPR stratejisinin oluşturulması sadece bir uygulamanın süreçlere uyumlaştırılmasına mecbur olunmasından kaynaklanmayabilir. Eğer işletmenin stratejisi elektronik ticarette pazar payını arttırmak ise süreçlerin elektronik ticarete aktarılması bir BPI-BPR stratejisi olabilir. BPI-BPR stratejisi, genel anlamda işletmenin stratejisine ve süreçlerinin ihtiyaçlarına göre değişir. BPI-BPR stratejilerinden kastedilen, bütün süreçlere “sistematik olarak yaygınlaştırılabilir bir teknoloji” veya “iş yapma yöntemlerindeki bir yenilik” tir. Aşağıda örnek BPI-BPR stratejileri verilmiştir;

2.1.1        Elektronik Arşivleme:

İşletmede elektronik arşivleme programı bulunuyor ise tüm süreçlere bunu yaygınlaştırmak bir BPI-BPR stratejisi olarak belirlenebilir. Çünkü elektronik arşivleme programının bir tek satın alma ile birçok süreçte fayda kazanılmış olur. Şirketin kâğıt ortamından kurtulması sağlanarak fiziksel arşivleme maliyetleri azaltılır.

2.1.2        Kaynak Birleştirme:

Ardışık işlemleri yapan farklı kaynakların işlerinin aynı kaynakta birleştirilmesi sonucu FTE tasarrufu sağlanır.

2.1.3        Elektronik Ticaret:

Ticaret işlemlerinin hızlanması, İşlem hacimlerinin ve pazar paylarının artması, operasyonel işlemlerin elektronik ticarete taşınması bir BPI-BPR stratejisi olabilir.

2.1.4        Müşterinin Self Servis Yapması:

Müşterinin elektronik bazı yöntemlerle kendi işini kendisinin görmesi sonucu işletme personelinin rutin işlemlerinin azaltılması ve böylece FTE kazancı, müşterinin çalışma saatlerinin dışında da işletmenin hizmetlerinden yararlanabilmesi sonucu müşteri memnuniyeti sağlanır.

2.1.5        Risk Yaratan Süreçlerin İyileştirilmesi:

Risklerin gerçekleşmesi sonucu oluşabilecek kayıpların ortadan kaldırılmasıdır. İşletmenin riskler sebebiyle kayıpları çok büyükse süreçlerin yarattığı risklerin giderilmesi üzerine bir BPI-BPR stratejisi geliştirilerek risklerin önüne geçilebilir.

2.2          BPR-BPI Genel Kabul Görmüş Kurallar

BPR-BPI konusunda kesin kurallar ve ilkeler belirlemek oldukça güçtür. Çünkü her işletmenin kendine özgü süreçleri bulunmakta ve bir diğer işletme için farklılık gösterebilmektedir. Ancak genelleştirilmiş ve bu şekilde kabul görmüş temel ilkeler aşağıdaki gibidir.

1. Strateji belirle: Firma amaçlarını açık ve net bir biçimde belirlemelidir.
2. Yönetimin Katılımı: Firmalarda ürün ya da hizmet çeşitli birimlerin ayrı ayrı ancak koordineli olarak çalışmaları sonucunda oluştuğuna göre, Değişim Mühendisliği projelerinin de mutlaka firmanın bütün bölümlerini kapsaması gerekir. Bütün bölümlerin katılımının sağlanması ise ancak üst düzey yöneticilerin liderliği ile gerçekleşebilecektir.
3. Acil Durum İlanı: Değişim Mühendisliği projelerinin herhangi bir baskı ya da talihsiz ve başarısız dönem sonucu dağılma tehlikesine karşı proje oluşturma sırasında zaman kaybedilmemeli; projeler günün ve firmanın durumuna göre yenilenmelidir.
4. Dışarıda İçeriye Tasarla: Projenin nereden başlayacağına karar verirken  çeşitli metodlar uygulanabileceği gibi, uzmanlar tarafından uygulanan yöntem, ürün ya da hizmetin ulaştığı hedef noktası olan müşterilerin fikirleri projeyi başarıya götüren en önemli etken olacağından, bu noktadan başlanması uygun bulunmaktadır.
5. Danışmanla Çalışılmalı: Değişim Mühendisliği planları hazırlarken ve uygulama sırasında konusunda deneyimli ve firma dışından bir birimin çalışmaya katılması, objektif bakış açısının oluşması ve zaman zaman bölümler arası çıkabilecek fikir çatışmalarında hakemlik yapılması açısından, danışmanların takım elemanı olarak kabul edilip, ortaklaşa çalışmak firmanın daha erken ve kolay başarıya ulaşmasını sağlayacaktır. (7)

2.3          BPR-BPI İhtiyacının Ortaya Çıkışı

Yapılan incelemelere göre üç nedenden dolayı şirketler Değişim Mühendisliği çalışmalarına ihtiyaç duymaktadır: (8)

1. Ciddi boyutta tehlike içinde olan şirketlerin giderleri, rakiplerinden veya içinde oldukları iş alanında olması gerekenden çok fazladır, müşteriye verdiği hizmet kötüdür, ürün başarısızlık oranları rakiplerinin iki üç katıdır. Bu nedenle Değişim Mühendisliğine ihtiyaç duyarlar.
2. Henüz tehlikeye girmemiş ancak tehlikenin yakın gelecekte olacağı düşünülen şirketlerde mali sonuçlar o an için tatmin edicidir ancak yeni rakiplerin varlığı, müşteri istek veya özelliklerinin değişmesi, ekonomik ortam ve mevzuat gibi başarıyı temelden etkileyecek bir  durumun söz konusu olmasından dolayı ihtiyaç duyulur.
3. Ne bulundukları an ne de yakın gelecekte sorunlar yaşamayacak olan şirketler Değişim Mühendisliğini rakiplere karşı üstünlük sağlamak, performansı arttırarak rekabet çıtasını yükseltmek ve diğerlerinin durumunu zorlaştırmak için uygularlar.

2.4          BPR Grubu Aksiyonerleri

Değişim Mühendisliğini uygulamak kadar bunu uygulayacak kişilerin seçilmesi ve organize edilmesi yöntemleri de başarıya ulaşmada önemlidir.

2.4.1        Lider

Tüm Değişim Mühendisliği çalışmasını onaylayan, motive eden, yürütme için gerekli tüm yetki ve güce sahip üst düzey yöneticidir. Sonu belli olmayan Değişim Mühendisliği çalışmalarına daha bu yola girmeden karar verecek olan kişi üst düzey yöneticinim olması şarttır. Kaynak kullanımı yetkisinin üst yönetimde olmasından dolayı üst düzey yönetimin kesin desteği sağlanmadan ekip ne kadar verimli çalışırsa çalışsın olumlu sonuçlara ulaşılamaz. Genel müdürün desteğiyle birlikte liderliği en iyi üstlenecek kişi genel müdür yardımcısıdır. Satış veya üretim müdürünün kendileri ile ilgili alanlarda bilgi ve yetki sahibi olmaları liderlik için bu kişilerin seçilmesini olanaksız kılmaktadır. BAI, AT&T ve Siemens Nixdorf deneyimlerinin gösterdiği gibi geniş bir alana yayılmış olan Değişim Mühendisliği çalışmaları organizasyondaki her kademenin olağanüstü çabasını gerektirir(9). Üst yönetimin liderliği olmayınca da radikal değişimle ortaya çıkan politik ve psikolojik bozulmalar projeyi sabote edebilir. Yeni dizayna olan karşı tavırlar, eğer üst düzey yöneticiler değişime sancılı fakat statükoların bozulması için zorunlu bir şey gibi yaklaşırsa önlenebilir.

Liderliği üstlenecek kişi şu tip özelliklere sahip olmalıdır :

• Büyük süreçler üzerinde yetki sahibi olmalı
• Güçlü bir yapıya sahip olmalı, çünkü Değişim Mühendisliği çalışmalarına karşı oluşacak direnci kırması gerekmekte
• Olumsuzluklara rağmen teşvik edici olmalı
• Şirketini çok iyi tanımalı
• Elemanların destek ve güvenini kazanabilmeli
• Atama ile değil kendi rızasıyla  iş başına gelmeli
• Vizyonu yaratmalı ve bireyleri motive etmeli
• Başarıya ulaştıracak ortamı yaratmalı
• Bakış açısı hem müşteriye hem de iş operasyonlarına yönelmelidir
• Hırs, hareketlilik ve entelektüel merak, cesaret sahibi olmalıdır
• Tüm risklere karşı öne çıkabilmeli
• Liderliğini sinyal, sembol ve sistemlerle gösterebilmelidir. Sinyal Değişim Mühendisliği hakkında organizasyona gönderdiği açık mesajlardır. İletişim sürekli, mesajlar basit, açık ve çarpıcı olmalıdır. Değişim Mühendisliği nedir, biz bu işi neden yapıyoruz, nasıl yapacağız gibi. Semboller sinyallerin içeriğini vurgulamak için kullanılır. Örneğin şirketin en iyilerini Değişim Mühendisliği ekibine atamak, Değişim Mühendisliğini engelleyen yöneticileri ne olursa olsun saf dışı bırakmak. Sistem ise bireylerin performansını, değişime ayak uydurmalarını teşvik edici şekilde ölçülmesi ve ödüllendirilmesidir.
• Uygulama kararını başkasının söylemesini beklemeden kendi sezgi ve bilgisiyle kendisi vermeli
• Zamanını proje incelemeleri ve Değişim Mühendisliğini destekleyen konuşmalar yaparak geçirmeli

Sonuçta lider Değişim Mühendisliğini kışkırtan , uygulamasına karar veren ve sorumluluğunu üstlenen kişidir. Süreç sahiplerini atar, hedeflerini belirler ve kaynakları, yetki ve teşvikleri sağlar. Eğer kişiler geçmişle bağlarını koparamıyor ve büyük bir sorumluluk altına girmek istemiyorsa Değişim Mühendisliğini uygulamak için ısrarcı olunmaması gerekir çünkü lider Değişim Mühendisliğinin en önemli parçasıdır.

2.4.2        Süreç Sahibi

Değişim Mühendisliği çalışmalarının uygulanacağı sürece bunları uygulamak üzere liderce görevlendirilmiş, sorumluluk verilmiş orta kademe yöneticidir. Liderin görevi büyük çapta uygulanmasıysa süreç sahibininki de küçük çapta yani her bir süreç seviyesinde uygulanmasının sağlanmasıdır. Özellikleri :

• Değişim Mühendisliğini UYGULAMAZ uygulanmasını sağlar.
• Ekibi eleştirir, ekibin sözcülüğünü yapar ve gözcüsüdür, ekibe ilham verir.
• Bürokratik engelleri aşarak çalışmaların kesintiye uğramasını engeller.

2.4.3        BPR Ekibi

Belli bir sürece teşhis koyma, yeniden tasarlama ve uygulanmasını yönetme işi ile görevlendirilmiş, gerçek işi yapan gruptur. İki ayrı bölümden oluşur, içerdekiler ve dışarıdakiler. İçerdekiler sürecin içinde çalışan, süreç hakkında bilgi ve deneyimleri olan kişilerdir. Dışarıdakiler ise süreç ile ilgili hiçbir bilgisi olmayan, başka bölümlerden veya daha önce Değişim Mühendisliği uygulamayanlarda dışarıdan  gelen objektif bakış açılarıyla yaratıcılıklarını kullanan kişilerdir. Neyin değişeceğini anlamak için içerdekilere ihtiyaç duyulurken , değiştirmek için yıkıcı bir etken olan dışarıdakilere de gereksinim duyulur. Sahip olmaları gereken özellikler :

• İyi birer dinleyici olmalı ( dışarıdakiler )
• Büyük boyutta düşünebilmeli ve hızlı çalışabilmeli ( dışarıdakiler )
• Tüm bireyler bir arada çalışmalı ( zamanlarının % 100’ü )
• Belirsizlik karşısında huzursuz olmamalı
• Süreç odaklı olup bütünü kavrama yeteneklerinin olması gerekir
• Değişime eğilimli, özgürlükçü, esnek, coşkulu, iyimser, ısrarlı, sabırlı olmalı, ekip çalışmasına uyum göstermeli, ekibe katkıda bulunmalı
• Hissetmeli, cesur olmalı ve paylaşmalı

Ekibin resmi bir başı yoktur. Çoğu süreç sahibi tarafından atanan ama genellikle ekip üyelerinin aday göstermesiyle seçilen bir başkana sahip olmayı yararlı bulurlar. Başkanın görevi ekip üyelerinin işlerini yapmalarını sağlamak, ekip toplantı gündemini belirlemek ve ekibin bu gündemin içinde kalmasını sağlamaktır. Ekibin çalışma süresi ilk pilot uygulamaya kadar ortalama bir yıldır. Üyeler çalışmalar sonuçlanana kadar ekipte kalmalıdır, bunun için içerdekilerin mevcut iş ve organizasyonlarını bırakmaları gerekmektedir (10).

2.4.4        İdare Komitesi

BPR stratejisini geliştiren, stratejinin gerçekleşmesini sağlayacak ilkeleri üreten üst düzey yönetici grubudur. BPR yönetim yapısında isteğe bağlı yer alabilirler. Bu grubun başkanlığını lider yapar. Ayrı BPR projeleri arasındaki önceliğe ve kaynakların nereye tahsis edileceğine karar verir. Süreç sahipleri ve ekipler çözemedikleri sorunlarda bu gruba başvurur. Süreç sahipleri arasında uzlaşma sağlarlar. (11)

2.4.5        BRP Çarı

Değişim Mühendisliği teknik ve araçlarını geliştirecek, ayrı Değişim Mühendisliği projelerinin birbirini güçlendirmelerini sağlayacak, çalışmaları koordine edecek, kolaylaştıracak ve süreç sahiplerine rehberlik edecek, çalışmaları bir bütün olarak aktif biçimde yürütmekten sorumlu kişidir. Lidere bağlı çalışmalara başkanlık eder, doğrudan lidere rapor verir. Çar ekibin içindekileri seçmeye yardımcı olabilir ve uygun dışarıdakileri sağlayabilir. İhtiyaç duyulan bilgi teknolojilerini, bunun için gereken yazılım ve donanımları gibi altyapı gereksinimlerini önceden tahmin eder ve karşılar. Kariyer (ekip çalışanlarına çalışma sonunda sunulacak yeni kariyer olanakları), ücret (Değişim Mühendisliğinin başarılı olması durumunda verilecek prim programı), kutlama (yoğun ve yorucu çalışmalar arasında  motivasyonu arttırıcı, gerilimi azaltıcı aktiviteler düzenlemek), iletişim (doğum, ölüm vs. çalışanlara izin verme) gibi sorunlarla ilgilenir (12).

2.4.6        Dış Kaynak

İşletmelerde yeniden süreçleme çalışmaları boyunca, bu konuda tecrübeli bir danışman firma ile çalışmanın büyük faydaları olacaktır. (13) İşletmeler danışman bir firma ile çalışmaya karar verdikten sonra şu hususlara dikkat etmelidir :

• Yeniden süreçleme konusunda danışmanlık hizmeti veren firmaların projeye katkılarının ne olacağı
• Danışman firma ile çalışmanın avantaj ve dezavantajlarının neler olabileceği
• Danışman firma seçilirken hangi kriterlerin göz önüne alınacağı
• Seçilecek danışman firmanın nasıl yönetileceği

Danışman firma ile çalışmanın avantajları :

• Seçilen firmanın başka işletmelerle olan çalışmalarındaki ve onların yaptıkları hatalar konusundaki tecrübelerinden faydalanma şansı
• Değişimin planlanması ve yönetilmesinde sağlanan kolaylık
• İşletme dışından olan birisinin süreçlerin yeniden tasarlanmasında objektif bakış açısından faydalanma

Danışman firma ile çalışmanın dezavantajları :

• Yüksek maliyet
• Önemli bir kabiliyetin işletme dışına çıkarılma riski
• Proje boyunca sorumluluğun gereğinden fazla yayılma riski

Değişim Mühendisliği yaklaşımını uygulamak isteyen işletmeler, çalışmaları boyunca bu avantaj ve dezavantajları bir arada değerlendirerek danışman bir firma ile çalışıp çalışılmayacağına karar vermelidir. Örneğin, soğutma sistemleri üreten Carrier Transicold firması, BPR programının gerçekleşmesinde Tennessee Üniversitesi ile birlikte yürüttüğü çalışmalarda üniversitenin yaptığı araştırmalar, eğitim ve öğrenci staj programı sayesinde rekabette avantaj sağlamıştır. CTD / Üniversite araştırma projelerinde fakülte CTD yöneticileri ve mühendisleri ile çalışarak eski problemleri çözecek yeni kavramlar, çözümleri gerçekleştirecek metodolojiler ve uygulamayı destekleyecek yazılımı geliştirdiler. Üniversite ile işbirliği yaklaşımından sağlanan tüm kültürel fayda şirketi kendini sorgulamaya ve yaptıklarının ardından bakmaya zorlamıştır ve her iki taraf için de yenilikçi bir çalışma yöntemi olmuştur (14).  Tecrübeler göstermiştir ki, danışman firma ile yapılan çalışmaların başarıya ulaşma şansı daha yüksektir.

Proje boyunca bir danışman firma ile çalışmaya karar verdikten sonra hangi danışman firma ile çalışılacağı belirlenmelidir. Aşağıdaki özelliklere en çok sahip olan firmanın seçilmesi gerekir :

• Firmanın daha önceki referansları ve ilgili sektördeki tecrübesi
• Personelinin yeniden süreçleme konusundaki tecrübesi
• Çok disiplinli takım çalışmasının varlığı
•  Düşük maliyet
• Projeyi karmaşık halden daha basite indirgeme becerisi
• Sahip olduğu yeteneklerini kullanabilme kabiliyeti
• Faaliyet gösterilen sektörü tanıması
• Organizasyon şemasını değil süreçleri yeniden tasarlama becerisi
• İşletmenin süreç haritasını çıkarabilmesi
• Planlı bir örgütsel değişimi uygulaması
• İşletmede yaşanacak değişimi planlama ve yönetme becerisi
• Global boyutta hizmet vermesi

Burada dikkat edilecek bir nokta da proje boyunca tüm inisiyatifin danışman firmaya bırakılmamasıdır. Tecrübeler, danışman firmanın tecrübesine gereğinden fazla güvenmenin projeyi başarısızlığa  götürebileceğini göstermektir (15).

2.5          BPR-BPI Çalışmalarındaki Kritik Başarı Faktörleri

100’den fazla işletmedeki Değişim Mühendisliği projeleri  üzerinde yapılan araştırmada (20 tanesinin detaylı analizi yapılmıştır) gerçekte yeniden dizaynların planlanmasının ve uygulanmasının ne kadar zor olduğu ortaya çıkmıştır(16). Bu çalışmadan elde edilen sonuçlara göre başarılı işletmelerin başarı sebepleri beş maddede özetlenmiştir :

1. Saldırgan ( aggressive ) bir Değişim Mühendisliği performans hedefinin konulması. Örneğin % 15 maliyet düşüşü ve % 5 gelir artışı sonucu $250 milyon vergi öncesi kar artışı gibi.
2. Liderin zamanının % 20 si ile % 50 si arasında projeye katılımı. % 20 ile başlamalı ve uygulama sırasında  % 50 olmalı.
3. Müşteri ihtiyaçları, ekonomik kaldıraç noktaları ve Pazar trendlerinin kapsamlı olarak gözden geçirilmesi.
4. Uygulamadan sorumlu ilave bir üst düzey yöneticinin görevlendirilmesi (uygulamada zamanının en az % 50 sini harcamalı )
5. Yeni dizaynın kapsamlı bir pilot uygulamasının yapılması. Pilot uygulama yeniden dizaynın tüm uygulamadaki etkisini test edebilmelidir.

2.6          BPR Çalışmalarında Başarısızlık Nedenleri

Başarılı bir BPR’e üç temel engel vardır(17):

1. Gerekli liderliği geliştirmede başarısızlık
2. İnsanlara iş süreçleri cinsinden düşünmelerinde yardımcı olmak
   1. Ölçütleri ve ödülleri yeni iş süreçleri düşüncesine uyarlamayı ihmal etmek

Diğer nedenler ise:

• Ortak bir vizyon ve strateji olmadan yeniden yapılandırma
• ^·          İletişimi boş vermek; işletmeler her zaman uygulama aşamasında gerek duyulan iletişim düzeyini küçümserler. İletişimin sadece bir metodunu  (memolar), sözlü iletişim veya PR videolarını- kullanma eğilimindedirler. İletişimin çok çeşitli metotlarını kullanan kapsamlı bir iletişim programı yaratmak gerekir (22).

• Müşteri ihtiyaçlarının ve pazar trendlerinin iyi anlaşılmadan yapılandırmaya çalışmak
• Temel sürecin dinamikleri anlaşılmadan alt süreçlerin yapılandırılmaya çalışılması
• Çok fazla şeyi çok kısa sürede yapmaya çalışmak
• Bir süreci yenilemek yerine iyileştirmeye ( geliştirmeye ) çalışmak
• İşletmenin süreç yapısını değil, sadece organizasyon yapısını ( şemasını ) değiştirmek
• Yeniden tasarım aşamasında işleri değil insanları elimine etmek
• Teknolojinin bir otomasyon aracı olarak görülmesi
• Sadece statüko için yeniden düzenlemeye gitmek isteği
• Yeni tasarımda önemi az olan faaliyetler üzerinde zaman harcamak Yöneticiler öncelikle yeniden dizayn edilecek süreçteki tüm iş birimi için değer yaratacak önemde olan faaliyetleri teşhis etmelidir. Bir süreç tek bir fonksiyondaki bir faaliyet kadar dar, iş biriminin tüm iş sistemini kapsayacak kadar da geniş bir alanda tanımlanmalıdır. Yeniden dizayn için “dar” yaklaşım pek çok şirkete (sınırlı problemleri olanlar dışında) istediği geniş alanı kapsayan sonuçlar üretemez. Bir çok Değişim Mühendisliği çalışmasının başarısız olmasında etken olan faktör  yeterince iyi belirlenmemiş süreç genişliğidir. Önemli olan neyin işletmenin rekabet avantajını tanımladığı kadar müşteriye değer katan faktörlerin belirlenmesi ve rakiplerin performansının düşük olduğu süreçlere odaklanılmasıdır. (18)
• Yeniden yapılanmanın insan yönü ile ilgilenmek için değişimin yapılmasını
• beklemek; Değişim Mühendisliği katılımcı, güçlendirilmiş kişiler ister. İnsanın
• bilgisinde, yeteneklerinde ve işindeki davranışlarında değişim olmadıkça teknoloji, süreç ve yapıdaki değişimin uzun vadeli faydalar sağlaması imkansızdır. Organizasyonun diğer yönleri kadar çalışanların değişimi üzerinde de odaklanmak gerekir. Çünkü organizasyonel performanstaki farkı çalışanlar yaratır ve yaratıcı değişim için fikirleri olanlar onlardır(19)
• Amaçta kararlılık ve aciliyet hissi uyandırmada başarısızlık
• Sıradan yöneticilerin görevlendirilmesi; sıradan yöneticilerin tercih edilmesinin nedeni en iyi yöneticiler tüm zamanlarını projeye ayıracak olursa sorumlu oldukları iş birimlerindeki performans duraklayacak veya düşecektir. Örneğin, bir işletme projeyi yönetmesi için sıradan bir satış yöneticisini görevlendirmiş çünkü yokluğu fark edilmeyecektir. Ancak bu yöneticinin itimatsızlığı ve rehberlik yeteneğinin olmaması nedeniyle proje başarısızlığa uğramıştır(20).
• Sadece planın ölçülmesi; pek çok işletme yeniden dizaynın maliyetini, kalitesini ve süresini uygulamadan önce ölçmek için kaynaklarını bu konuya ayırıyor olmasına rağmen, çok azı yeni süreç gerçekte uygulanınca performansını takip edecek kapsamlı bir ölçme sistemini kullanır. Takip sistemi olmadan uygulamanın başarı veya başarısızlığının nedenlerinin söylenmesi imkansızdır(21).

• Yapılan hatalardan biri de çalışanların işlerine ve onların yapılış biçimine duydukları duygusal bağlılığı fark edememek ve duyguları yönetememektir.(23) Çalışanlar prosedürdeki değişiklikten ürkebilir, öneminin farkına varmayabilir ve projeyi yıkmaya çalışabilir (24).
• Üst yönetimin desteği sağlanamazsa proje için gerekli kaynaklar da sağlanamaz.
• Değişim Mühendisliğinden sonuç elde etmek için değişim tepeden başlamalıdır. Ters yönde de olsa (çalışanların güçlendirilmesi bakımından) tam görüş sadece tepe yönetimde elde edilir. Tabandaki kişilerin kendi durumlarını veya etrafındakileri nasıl geliştirecekleri konusunda fikirleri olabilir ancak bu fikirlerin bütün şirket resminde nasıl göründüğünü bilmezler. İşte bunusağlayacak olan tepe   yönetimdir (25)
• Düşük orandaki başarı oranlarından biri de performans değerlemenin ardındaki     analizlerin   çoğu zaman akış şemaları kullanılarak hazırlanmasıdır. Akış şemaları “ne” sorularına  cevap bulmada yardımcı olurken  “nasıl”, “nerede” veya “ne zaman” sorularına yetersiz  kalır. İş süreçlerinin anlaşılması ve analizi akış şemalarından yapmak için çok kompleks  ve dinamiktir. Simülasyon, hem açık ve kesin analizi sağlamada hem de alternatiflerin görselleştirilmesinde yeniden yapılandırmada kullanılacak tek araçtır. (26)

Yeniden Süreçleme yaklaşımının uygulandığı her işletmeye başarıyı garanti edecek bir reçetesi yoktur. Başarının nedeni “bilgi ve kabiliyettir” (27).

2.7          BPR Çalışmalarında Kullanılan Yöntemler

Değişim Mühendisliği Projesi kadar uygulanacak metodolojinin belirlenmesi süreci de önemlidir. Kullanılacak yöntemin temel özelliği aynen takip edilecek bir dizi kurala sahip olması değil proje boyunca bir rehber görevi görmesidir. Bir başka özelliği de insan kaynaklarının güçlendirilmesini (empowered) ve bilgi teknolojisinin yaratıcı biçimde kullanılmasını değişimin temel  unsuru olarak göstermesidir. Yöntemin sahip olması gereken özellikler :

• Amaç ve stratejilerin tüm personel tarafından açık olarak anlaşılmasını sağlamalı
•  Bu amaç ve stratejilerin ardında müşteri tatminini itici güç olarak görmeli
• İşletme fonksiyonlarından çok iş süreçlerini ele almalı ve bu süreçleri işletme amaçlarına ulaşmada temel olarak kabul etmeli
• Müşteri için katma değer yaratan süreçleri belirlemeli
• Proje sırasında diğer yönetim tekniklerinden ve işletme analizlerinden de yararlanmalı
• Mevcut faaliyetleri ve değer katmayan süreçleri tespit etmeli
• Küçükten ziyade radikal değişimleri hedefleyen, yaratıcılık ve tümevarım yöntemiyle düşünmeyi gerektiren bir anlayışı olmalı
• Planlanan değişimi uygulamada çalışanları güçlendiren ve teknolojiyi doğru zaman ve yerde, doğru biçimde kullanan çözümleri esas almalı
• Tüm yeni görevleri, kullanılacak kaynakları, gerekli tahmini zamanı belirleyen bir uygulama planına sahip olmalı
• Sadece hizmet veya üretim sektöründe uygulamaya imkan vermemeli
• Kolay öğrenilebilir olmalı
• Projede yer alacak herkesin rol ve sorumluluklarını açıkça belirlemeli
• Tüm iş süreçlerini ve onları oluşturan faaliyetleri tüm yönleriyle analiz etmeye fırsat yaratmalı ve rehber olmalı
• Süreç karakteristiklerini, işletme amaçlarından türetilmiş süreç amaçlarını ve hedeflenen sonuçlara ulaşmada geçerli performans değerlerini belirtmeli

Mevcut yöntemlerin istenen amaca ulaştırma garantisi yoktur. Bu nedenle işletmeler, yeniden süreçleme çalışmalarındaki temel ilke ve adımlara bağlı kalarak kendi sorunlarına özel bir yöntem geliştirebilir (28)

Schumacher “Managing Barriers to Business Reengineering Success” isimli yazısında belli başlı  çalışmaların arasından ana hatlarıyla 4 metodolojiyi aşağıdaki tabloda görüldüğü şekilde seçmiştir. (29)

 

Tablo 3: Başlıca Değişim Mühendisliği Yöntemleri

KAYNAK	YÖNTEM
Akademik Kökenli Danışmanlar	Hammer/Champy
Akademisyenler	Davenport
Danışmanlar	Manganelli/Klein
Kullanıcılar	Kodak

2.7.1        Hammer/Champy Yöntemi

Hammer ve Champy’ye göre, Değişim Mühendisliği 6 basamaklı bir süreçtir:

1-Değişim Mühendisliğine Giriş: Üst yönetim projeyi başlatır. Halihazırdaki durum açıkça şekilde ortaya konur. Bir vizyon belirlenerek tüm çalışanlara duyurulur.

2-İşletme Süreçlerinin Belirlenmesi: İşletme içi ve dışıyla ilgili tüm süreçler, birbirleriyle ilişkileri de göz önüne alınarak geniş bir perspektifle incelenir. Tüm süreçlerin grafik yardımıyla gösterilmesi faydalıdır.

3-İşletme Süreçlerinin Seçilmesi: En kolay şekilde yeniden tasarlanacak süreç seçilmeye çalışılır. Buradaki kriter, müşterilere yönelik iyileştirmenin en fazla olacağı sürecin seçilmesidir.

4-Seçilen Süreçlerin Anlaşılması: Süreçlerin şimdiki durumları ve gelecekte olması beklenen durumları üzerinde yoğunlaşılır.

5-Seçilen Süreçlerin Tekrar Tasarlanması: Hammer ve Champy’ye göre, beşinci aşama, en önemlisidir. Hayal gücünün kimi zaman çılgınca bile sayılabilecek şekilde kullanılması ve yaratıcılık gerektirir.

6-Yeniden Tasarlanan Süreçlerin Uygulanması: Son aşama, tüm bu aşamalar sonunda ortaya çıkan yeni süreçlerin uygulanmasıdır. Hammer ve Champy’ye göre, önceki 5 aşama başarılı olursa, uygulamada bir sorun çıkmayacaktır.

Hammer ve Champy’ye göre, Değişim Mühendisliği çalışmalarındaki başarısızlığın önemli sebepleri zayıf yönetim ve açık olmayan hedeflerdir. Kişilerin değişime direncini de önemli bir engel olarak görmektedirler.

2.7.2        Davenport Yöntemi

Davenport, Değişim Mühendisliğinin kalbi olarak bilişim teknolojisini göstermektedir. Ona göre işletme süreçlerinin yenilenmesinde en önemli rolü bilişim teknolojisi oynamaktadır. Teknoloji ve yenilik üzerinde durmasına karşın, Davenport örgütsel ve beşeri konuların işletme süreçlerindeki önemlerini de vurgulamaktadır. Yine, değişimin yönetilmesiyle ilgili olarak, Davenport planlama, örgütleme, yürütme, uyumlaştırma gibi klasik yönetim fonksiyonlarını öne çıkaran bir yaklaşım sergilemektedir. Davenport’un yöntemi 6 basamaktan oluşmaktadır:

1-Vizyon ve Hedef Belirleme: İlk adım, işletmenin vizyonu ve hedefleriyle ilgili detaylı bir çalışmayı içerir. Maliyetlerin düşürülmesi Davenport’a göre en önemli hedeflerdendir.

2-İşletme Süreçlerinin Tanımlanması:Yeniden tasarlanacak işletme süreçleri belirlenmelidir. Davenport’a göre, Değişim Mühendisliği ekipleri sadece çok önemli az sayıdaki süreç üzerinde yoğunlaşmalıdırlar.

3-Süreçlerin Anlaşılması ve Ölçülmesi: Üçüncü aşamada, seçilen süreçlerin gerçek işlev ve performansları tesbit edilmeye çalışılır.

4-Bilişim Teknolojisi:Yeni tasarlanan işletme süreçleri için uygun bilişim teknolojisinin adapte edilmesi gerekir.

5-Süreç Prototipi: Bu aşamada, yeni işletme sürecinin işlevli bir prototipi tasarlanarak geliştirme ve uygunluk çalışmaları yapılır.

6-Uygulama:Test edilen prototipin işletme genelinde uygulamaya konması.

2.7.3        Kodak Yöntemi

Kodak firmasının tüm dünya genelindeki işletmelerinde uyguladığı bir yöntemdir. Bir çok uygulama örneğinde olduğu gibi, Kodak yöntemi de Hammer ve Champy’nin yönteminden etkilenmiştir. Kodak yöntemine göre Değişim Mühendisliği 5 basamaktan oluşmaktadır:

1-Proje Başlangıcı: Projenin planlanması, projeyle ilgili kural ve prosedürlerin belirlenmesi aşamasıdır.

2-Sürecin Anlaşılması: Bu aşamada proje ekibi oluşturulur, süreç modelleri ve süreç yöneticileri belirlenir.

3-Yeni Süreç Tasarımı:Bilişim Teknolojisi imkanları göz önüne alınarak, seçilen işletme süreçleri tekrar tasarlanır.

4-İşletme Dönüşümü: Yeni tasarlanan süreçler uygulamaya konur. Bu süreçler için gereken örgütsel altyapı adaptasyonu sağlanır.

5-Değişim Yönetimi: Son basamak ilk dört aşamaya paralel olarak gerçekleştirilir. Değişim Mühendisliği çalışmalarında ortaya çıkan ekip faaliyetine devam eder.

2.7.4        Manganelli / Klein Yöntemi

Manganelli ve Klein sadece işletmenin stratejik hedefleri ve müşteri ihtiyaçları ile ilgili süreçlerin yeniden tasarlanması üzerinde durulması gerektiğini savunurlar. Onlara göre Ürün Geliştirme ideal bir işletme sürecidir. Onlara göre, Değişim Mühendisliği zaman içinde ilerleyen kademeli değişim çabalarından çok daha başarılı bir uygulamadır.

Manganelli ve Klein, Windows için geliştirdikleri bir yazılım desteğiyle uygulanan Rapid-Re adını verdikleri 5 basamaklı bir yöntem izlemektedirler:

1-Hazırlık: Tüm ilgili kişilerin Değişim Mühendisliği projesine hazırlanmaları ve hedef belirlemeleri aşamasıdır.

2-Tanımlama:Organizasyonda, yeniden tasarlanacak işletme süreçleri yanında müşteri odaklı bir süreç de tanımlanır.

3-Vizyon: Süreçlerin şimdiki performansı ve gelecekte olması gereken düzeyi belirlenir.

4-Yeniden Tasarım: Bu aşama, kendi içinde teknik ve sosyal tasarım olarak ikiye ayrılmaktadır. Yeni süreçlerle ilgili bilişim teknolojisinin kurulması teknik tasarım, örgütsel ve kişisel gelişmeyi içeren iş çevresinin tasarımı ise sosyal tasarımı oluşturur.

5-Dönüşüm: Beşinci aşamada, yeniden tasarlanan süreçler ve iş çevresi örgüte adapte edilir.

2.7.5        Hızlı Yeniden Süreçleme Yöntemi (Manganelli/Klein Yöntemi)

Uygulamada en çok başvurulan Değişim Mühendisliği yöntemi yukarıda kısaca anlatılan Raymond M. Manganelli ve Mark M. Klein tarafından geliştirilen ve “Hızlı Yeniden Süreçleme Yöntemi” denilen yöntemdir. Bundan dolayı biz burada bu yöntemi daha ayrıntılarıyla ele alacağız.

Yöntem beş aşama ve elli dört adımdan oluşmaktadır. Bu metodolojide, temel süreçleri yeniden tasarlama ve fırsatları tanımlama için gerekli bilgiyi analiz etme ve geliştirmede kullanılan entegre yönetim teknikleri mevcuttur. Bu yöntem işletme dışı danışmanlara fazla gerek duymadan Değişim Mühendisliği ekip elemanları tarafından kullanılacak şekilde tasarlanmıştır. Bir aşamanın çıktısı diğerinin girdisi olarak kullanılmakta ve tüm proje altı ay ile bir yıl arasında tamamlanmaktadır.

Aşamaları sırasıyla Hazırlık, Tanımlama, Vizyon, Çözümleme (teknik tasarım ve sosyal tasarım), Dönüşüm.

2.7.5.1       Hazırlık

  Bu aşamadaki temel amaç Değişim Mühendisliği projesinde yer alacak personelin belirlenmesi, organize edilmesi, eğitimi ve yetkilendirilmesi, uygulama planının hazırlanması, üst yönetimin Değişim Mühendisliği sürecini belirlemesi ve iş gücünün katılımının sağlanmasıdır. Şu sorulara cevap aranır :

• Üst yönetimin amaç ve beklentileri, projeye katılım dereceleri nedir ?
• Projenin amaçları nedir ?
• Değişim Mühendisliği ekibinden kimin olacağı, hangi yetenek ve tecrübeler aynı takımda bir araya getirilecek ?
• Ekip elemanlarının hangi Değişim Mühendisliği ilke ve yeteneklerini öğrenmesi gerekir ?
• Destek ve güven için nasıl bir iletişim kurulmalı ?

Yapılacak işler; ihtiyacın tanınması, yönetimde fikir birliği sağlama, takım oluşturma ve eğitim, değişimi planlama.

1. İhtiyaçların Tanınması : Pazar değişimi, teknolojik değişim veya çevresel değişimler sonucu duyulan ihtiyaç üst yönetimce belirlenir ve üst yönetim bu aşamada “sponsor”  ( destekleyici ) olarak davranır.

2. Yönetimde Fikir Birliği Sağlama : Projeye başlamak için geçerli nedenler ortaya konur ve başlamak için fikir birliği sağlanır. Kullanılacak metodoloji ve terminoloji için gereken eğitim, liderlik tarzı, projeyi destekleme, amaçların oluşturulması, önceliklerin  belirlenmesi ve Değişim Mühendisliği ekibinin organize edilmesi bu adımdadır. “Amaç Arama” tekniği, yönetimde uygulama için görüş birliği sağlama, işletme amaçları doğrultusunda temel işletme süreçlerinin belirlenmesinde kullanılır. “Kolaylaştırma” tekniği ise proje süresince işletme amaçlarının açıkça anlatılması ve pazar payı, kar oranları vb. sayısal hedeflerin daha anlaşılır olarak anlatılmasında yönetime destek olmak için kullanılır.

3. Takım Oluşturma ve Eğitim : Değişim Mühendisliği ekibinde kimlerin yer alacağı belirlenir, görev dağılımı yapılır, takım çalışmasında Değişim Mühendisliği felsefesi öğrenilir, projede kullanılacak araçlar seçilir, ortak bir terminoloji oluşturulur, farklı Değişim Mühendisliği proje örneklerinden yararlanılır. “Takım Oluşturma” tekniği, takım üyelerinin organizasyonu ve metodoloji kapsamında eğitilmelerinde kullanılır. Projeye katılan diğer kişilerin ( müşteri, danışman firma, sponsor vs. ) sorumlulukları ve rolleri de belirlenir.

4. Değişimi Planlama :  “Değişim Yönetimi” Değişim Mühendisliği çalışmaları sırasında oluşabilecek direnci azaltmak ve başarılı sonuç almak için şarttır. Değişim yönetimi değişim planının hazırlanmasıyla başlar. Planda her aşama için tahmini zaman dilimleri oluşturulur, proje ilerledikçe detay ve kapsam olarak geliştirilir. “Proje Yönetimi” de kullanılan bir başka tekniktir.

Hazırlık aşamasında, işletmenin kendi güçlü ve zayıf yönlerini belirlemek için kullandığı “kendini değerleme” (self assessment) yöntemi ve dış tehdit ve fırsatları analiz için kullanılan “dış çevreyi değerlendirme” (environmental assessment) kullanılan diğer yardımcı teknikler arasındadır.

2.7.5.2       Tanımlama

Temel amaç müşteri odaklı bir işletme süreç modelinin anlaşılması ve geliştirilmesidir. Şu sorulara cevap aranır :

• İşletmenin temel iş süreçleri nedir ?
• Bu temel iş süreçlerinin müşteri ve tedarikçilerle ilişkisi nedir ?
• Stratejik önemi olan süreçler hangileridir ?
• Proje planındaki zaman dilimlerine göre hangi süreçler ne kadar zamanda yeniden tasarlanacak ?

Yapılacak işler; müşterileri belirleme, performans tanımlama ve ölçme,varoluşları tanımlama, süreçleri modelleme, faaliyetleri belirleme, süreç modelini genişletme, tüm organizasyonun süreç haritasının çıkarılması, kaynak haritası çıkarma, süreçleri önceliklerine göre sıralama.

1. Müşterileri Belirleme : Temel amaç müşteriler hakkında tüm bilgilerin toplanması, müşterilerin tanınması, organizasyonla olan tüm ilişkilerinin belirlenmesi ve beklentilerinin anlaşılmasıdır. İşletmeye katma değer yaratan temel süreçler bu şekilde belirlenebilir. “Müşteri Modelleme” tekniği kullanılır.

2. Performansı Tanımlama ve Ölçme : Önceden kullanılan ölçüleri yeni müşteri odaklı modele göre yeniden tanımlanır, performans seviyelerinin ortalamaları ve varyans değerleri belirlenir. “Performans Ölçümü” ve “Çevrim Zamanı Analizi” teknikleri müşterilerin performans beklentilerini belirleme de ve işin o anda nasıl yapıldığını sayısal değerlerle (müşteri, süreç zamanı vb.) ifade etmede yardımcı olur.

3. Varoluşları (entities) Tanımlama : Temel amaç Değişim Mühendisliği ekibini işletmeyi süreç odaklı düşünmeye zorlamak, işletme süreçlerini belirlemek, yeniden tasarlanacak süreçlerde gereken  bilgiyi tanımlamaya çalışmaktır. Organizasyon içinde var olan hususlar ( çalışan, iş, makine vb. ) detaylı olarak analiz edilir. Her bir varoluşun ismi, tipi, iş görme ve mevcut durumu belirlenir. “Süreç Modelleme” tekniği ile temel süreçler ve alt süreçler, girdi ve çıktılarıyla beraber içinde yer alan faaliyetler grafik olarak gösterilir.

4. Süreçleri Modelleme : Amaç işletmeyi fonksiyonel odaklı değil süreç odaklı düşünmektir. İşletmedeki süreçler, her sürecin amacı, kritik başarı faktörleri ve süreç girdi/çıktıları belirlenir. “Süreç Modelleme” tekniği kullanılır.

5. Faaliyetleri Belirleme : Süreçlerde durum değişikliği yaratan faaliyetler (girdiyi fiziksel olarak değiştiren, müşteri için değer yaratan ve ilk defasında doğru yapılmaları önemli olan ), her faaliyetin katma değer yaratma derecesi ve müşteri isteği veya ihtiyacını karşılamaya olan katkısı belirlenir. “Süreç Değer Analizi” tekniği kullanılır.

6. Süreç Modelini Genişletme : İşletme içi ve dışı tedarikçiler ile onların süreçle olan etkileşimleri belirlenir. iç müşteri tatmininin dış müşteriye yansıyacağı kabul edilir. “Süreç Modelleme”, “Tedarikçi Entegrasyon” ve “Ortaklık Programları” teknikleri kullanılır.

7. Organizasyonun Süreç Haritasının Çıkarılması : İşletmedeki süreçler, içlerindeki faaliyetler ve bu faaliyetlerin  süreç içindeki ilgi türleri (sorumlu, bilgilendiren, girdi sağlayan) matris üzerinde gösterilir. “Süreç Modelleme” ve “İş Akış Analizi” teknikleri kullanılır.

8. Kaynak Haritası Çıkarma : Faaliyetlerin maliyetleri, tekrar sıklıkları, miktarları belirlenir. “Faaliyet Esaslı Muhasebe” tekniği kullanılır.

9. Süreçleri Önceliklerine Göre Sıralama : Her süreç işletme amaç ve önceliklerine göre değerlendirilir. Bu değerlendirmede etki ( işletme amaçlarını gerçekleştirmedeki payı ), büyüklük ( kullandığı kaynaklar ), kapsam ( zaman, maliyet, risk vs.) gibi faktörler göz önünde tutulur. “Süreç Değer Analizi” tekniği kullanılır.

2.7.5.3       Vizyon Oluşturma

Amaç yeniden tasarlanacak süreçler için çok büyük performans artışını sağlayacak süreç vizyonunun geliştirilmesidir. Şu sorulara cevap aranır :

• Alt süreç, faaliyet ve adımlar neler ve sıraları nedir ?
• Her sürecin kaynak, bilgi ve iş akışı nasıl ?
• İşler neden öyle yapılıyor ve hangi varsayımlar kullanılıyor ?
• Temel iş süreçlerinin güçlü ve zayıf yönleri nelerdir ?
• Diğer işletmelerde benzer süreçler nasıl ?
• İşletme performansının sektördeki en başarılılarla kıyaslarken hangi ölçü kullanılacak ?
• Performans farklılıklarının nedenleri ve başarılı uygulamadan neler öğrenilebilir ?
• Kıyaslama sonucu ve yeni vizyon yeni süreçleri tasarlarken nasıl kullanılacak?
• Değişim için işletme vizyon ve stratejisinin ne olması gerekir ? Bu tüm çalışanlara nasıl iletilir ?

Yapılacak işler; süreç yapısını anlama, süreç akışını anlama, süreçlerde değer

katan faaliyetleri belirleme, performansı kıyaslama, performans yönlendiricileri belirleme, fırsatları belirleme, dış ideali oluşturma, iç ideali oluşturma, vizyon entegrasyonu, alt vizyonları tanımlama.

1. Süreç Yapısını Anlama : Önceki adımlarda belirlenen süreç yapıları daha da detaylandırılarak bir matris üzerinde gösterilir. “İş Akış Analizleri” kullanılır.

2. Süreç Akışını Anlama : Mevcut süreçlerin dinamik yapıları belirlenir. Faaliyetler, girdi ve çıktılar, adım sıraları ve her faaliyetin zamanı bir matris üzerinde gösterilir. “İş Akış Analizi” tekniği kullanılır.

3. Süreçlerde Değer Katan Faaliyetleri Belirleme : Her süreçteki faaliyetlerin süreçteki etkileri ve türleri belirlenir. Değişim Mühendisliği ekibinin işletmede yapılan işlerin neden o andaki gibi yapıldığını ve herhangi bir adımın yapılmasının gerekli olup olmadığını çok iyi analiz etmesi gerekir. “Süreç Değer Analizi” ve “Çevrim Zamanı Analizi” teknikleri kullanılır.

4. Performans Kıyaslama : Hem işletme süreçlerinin performansı hem de işletme süreçlerinin işleyiş şekilleri emsal işletmelerle karşılaştırılır. Önce kıyaslama yapılacak işletme belirlenir, süreç performansları tespit edilerek aradaki farklılıklar, bunların sebepleri ve farklılıkların işletmeye adapte edilip edilemeyeceği incelenir. “Benchmarking” tekniği kullanılır.

5. Performans Yönlendiricilerini Belirleme : Mevcut süreçlerdeki sorunlar, performans değerlerini belirlemede kolaylaştırıcı ve engelleyici faaliyetler, uyuşmazlık yaratan adımlar, bilgi akışının aksadığı veya kaybolduğu yerler ve gecikmeler tespit edilir. “İş Akış Analizi” tekniği kullanılır.

6.Fırsatları Belirleme : Düşünülen değişiklikler, değişimin derecesi, maliyeti, sağlayacağı faydalar, tahmini riskleri bir tabloda gösterilir. “Çevrim Zamanı Analizi” tekniği kullanılır.

7.Dış İdeali Oluşturma : Müşteri ve tedarikçilerle işletme arasındaki ilişkileri sağlayan faaliyetler incelenir ve o süreçle ilgili vizyon oluşturulur. “Visioning”, “Tedarikçi Entegrasyonu” ve “Ortaklık Programları” kullanılır.

8. İç İdeali Oluşturma : İşletmenin iç müşterileri düşünülerek süreç vizyonu oluşturulur. “Visioning” kullanılır.

9. Vizyon Entegrasyonu : İç ve dış ideal görüşler birleştirilerek en ideal süreç vizyonu oluşturulur. Çelişkiler varsa çeşitli alternatifler arasından en etkin olanı seçilir. “Visioning” kullanılır.

10. Alt Vizyonları Tanımlama : Süreç vizyonunun gerçekleşmesi için gereken zaman belirlenir ve her süreçte yapılacak işler tanımlanır. “Visioning” kullanılır.

2.7.5.4       Çözüm

Oluşturulan süreç vizyonunun gerçekleşmesini sağlayacak yeni süreç tasarımlarının yapılması temel amaçtır. Eğer yeniden tasarım planları yeterince geniş alana yayılmış olursa, önceden kullanılan IT (bilgi teknolojisi) sistemlerinden çalışan yeteneklerine kadar tüm destek sistemlerinin modası geçecek ve kullanılmaz hale gelecektir. Şirketler yeni dizaynı realize edecek yeni alt yapıyı planlamalı ve kurmalıdır. Bu yeni alt yapı, başarı için yıllar gerektiren kapsamlı eğitim ve yetenek geliştirme planları, organizasyonun amaçlarına ne kadar ulaştığını ve çalışanların bu amaçlara bağlı nasıl ödüllendirildiklerini takip eden performans ölçme sistemleri, çalışanlara davranışlarının neden ve nasıl değişmesi gerektiğini anlamada yardımcı olacak iletişim programları, uzun vadeli yapısal değişim yapılırken aynı zamanda küçük yatırımlarla yeni teknolojinin avantajlarını ele geçirecek IT geliştirme planları, son olarak da yeniden dizaynı test edecek pilot uygulamaları kapsamalıdır. (30)   Teknoloji, bilgi ve beşeri potansiyel faktörleri yeniden süreçlemede önemlidir. İki temel kısma ayrılır : teknik tasarım, beşeri tasarım.

1. Teknik tasarım : Temel amaç yeni süreçlerin teknik boyutunu belirlemektir. Şu sorulara cevap aranır:

• Hangi teknik kaynaklar ve teknolojiler kullanılacak ?
• Nasıl tedarik edilecek ?
• Hangi tür bilgi akışına ihtiyaç var ?
• Teknik ve beşeri unsurlar nasıl uyumlaştırılacak ?

Yapılacak işler; ilişkileri modelleme, süreçler arası bağlantıların yeniden incelenmesi, bilgi ihtiyacının belirlenmesi, bilgi akışının optimize edilmesi, alternatifleri tanımlama, kontrollerin optimizasyonu, süreçlerin modüler hale getirilmesi, alternatifleri değerleme, teknolojinin uygulanması, uygulamayı planlama.

a.İlişkileri Modelleme : Önceki adımlarda belirlenen varoluşlar arası ilişkiler tanımlanır. “Enformasyon Mühendisliği” tekniği kullanılır.

b. Süreçler Arası Bağlantıların Yeniden İncelenmesi : Adımların, faaliyetlerin performansı etkileyip etkilemediği ve performans arttırmak için bu faaliyetlerin nasıl koordine edileceği incelenir. “İş Akış Analizi” kullanılır.

c.Bilgi İhtiyacının Belirlenmesi : Performansı belirlemek ve yönetmek için ihtiyaç duyulan bilginin nerelerde depolanacağı ve nasıl elde edileceği belirlenir. “Enformasyon Mühendisliği” ve “Performans Ölçümü” teknikleri kullanılır.

d.Bilgi Akışının Optimize Edilmesi : İşletme içi ve dışı süreç ara kesitlerini azaltmak veya basitleştirmek için değişiklikler belirlenir, gereksiz bilgi akış yerleri, gereksiz mutabakat faaliyetleri tespit edilir ve elimine edilir. “Enformasyon Mühendisliği” tekniği kullanılır.

e.Alternatifleri Tanımlama : Süreçler içindeki özel haller için alternatifler belirlenir. “Enformasyon Mühendisliği” tekniği kullanılır.

f.Kontrollerin Optimizasyonu : Kontrol faaliyetleri en aza indirgenir. Süreç akış hızını arttırmak için birbirini takip eden faaliyetlerin paralel yapılmaları sağlanır. “Enformasyon Mühendisliği” tekniği kullanılır.

g.Süreçlerin Modüler Hale Getirilmesi : Süreçler bağımsız olarak icra edilebilen kısımlarına ayrılır. “Enformasyon Mühendisliği” tekniği kullanılır.

h.Alternatifleri Değerleme : Modüler yapı kullanılarak süreç yapı ve icra alternatifleri değerlendirilir. “Enformasyon Mühendisliği” tekniği kullanılır.

I.Teknolojinin Uygulanması : Katalizör görevi gören teknoloji en çok analiz, bilgi sağlama ve saklama, iletişim, kontrol, tanımlama, bilgilendirme, yönetim fonksiyonlarını desteklemek, üretim, mobil hale getirme, bilgiyi paylaşma vb. faaliyetlerde kullanılır. “Stratejik Otomasyon” ve “Enformasyon Mühendisliği” teknikleri kullanılır.

j. Uygulamayı Planlama : Yeni süreçlerin teknik yönlerini uygulamak için planlar hazırlanır. “Stratejik Otomasyon” ve “Proje Yönetimi” teknikleri kullanılır.

Teknik tasarım aşamasında Değişim Mühendisliği ekibi üst yönetime yeni

tasarlanan süreçleri, maliyet ve zaman tahminlerini ve uygulama planlarını sunar. Projenin başarısı büyük ölçüde üst yönetimin ilgisi, katılımı, bağlılığı ve tüm çalışanların güven ve desteğiyle sağlanır.

2.Beşeri Tasarım : Temel amaç tasarlanan süreçlerin beşeri boyutunu belirlemektir. Yeni örgüt yapısı, işler, kariyer yolları, ödül ve teşvik sistemleri belirlenmiş olur. Teknik ve beşeri tasarım eş zamanlı yürütülür. Şu sorular cevaplandırılır :

• Mevcut imkanlar neler ?
• İhtiyaç duyulacak insan kaynaklarının özellikleri neler olacak ?
• Sorumluluklar nasıl değişecek ?
• Hangi eğitim planlarına gerek var ?
•  Kimler değişime direnç gösterebilir ve bunlar nasıl motive edilir ?
•  Yeni örgütsel yapı nasıl olabilir ?

Yapılacak işler; müşteri ile ilişkide olan personeli yetkilendirme, görev karakteristiklerini belirleme, görevleri ve takımları belirleme, gerekli beceri ve personel ihtiyacını belirleme, yönetim yapısını belirleme, örgütsel sınırları yeniden belirleme, görev değişikliklerini belirleme, kariyer yollarını tasarlama, yeni örgütsel yapıyı belirleme, değişim yönetimi programının tasarımı, teşvik sistemini tasarlama, uygulamayı planlama.

a.Müşteri ile İlişkide Olan Personeli Yetkilendirme : Müşteri ile ilişkide olan personelin güçlendirilmesi ( empowerment ) müşteriye verilen hizmetin kalitesini arttır ve süreç içi gecikmeleri önler. Bu tip personelin sahip olması gereken beceri, yetki ve sorumlulukları, kullanacakları araçlardaki değişiklikler, kullanmaları gereken bilgi yeniden tanımlanır. “Çalışanları Yetkilendirme” ve “Beceri Matrisleri” teknikleri kullanılır.

b.Görev Karakteristiklerini Belirleme : Yeni ve mevcut süreçlerdeki yetki ve sorumluluklar, gereken tecrübeler, kullanılan araçlar ve bilgi ihtiyacı matris üzerinde incelenir ve görev karakteristik grupları oluşturulur. “Beceri Matrisleri” kullanılır.

c.Görevleri ve Takımları Belirleme : Süreçlerin icrasından sorumlu olacak tek bir görev veya karmaşık süreçlerde takım belirlenir. süreçlerden sorumlu kişiler belirlenmiş olur. “Takım Oluşturma” ve “Kendini Yöneten İş Takımları” teknikleri kullanılır.

d.Gerekli Beceri ve Personel İhtiyacını Belirleme : Yeni görevler için gereken beceri derecesi tanımlanır. Personel ihtiyacı ve kadrolamanın ( yeni görev için ) nasıl yapılacağı tespit edilir. “Beceri Matrisleri” kullanılır.

e.Yönetim Yapısını Belirleme : Süreç sahipleri, görevler, iş yönetim şekli, personel geliştirme, takım liderliği ve raporlama ilişkileri belirlenir. genelde Değişim Mühendisliği sonrası organizasyon yapısı daha basık bir hal alır, kademe sayısı azalır. “Yeniden Yapılandırma” ( restructring ) ve “Kendini Yöneten İş Takımları” teknikleri kullanılır.

f.Örgütsel Sınırları Yeniden Belirleme : Süreçlerin organizasyonel sınırlar arasındaki çapraz akışını önlemek için tüm işletmenin organizasyon yapısı gözden geçirilir. “Yeniden Yapılandırma” kullanılır.

g.Görev Değişikliklerini Belirleme : Eski ve yeni görevlere ait tecrübe, bilgi ve oryantasyon ihtiyaçlarını gösteren matrisler hazırlanır. Böylece baştan tasarlanan süreçlerdeki yeni görev tanımları yapılır. “Beceri Matrisleri” kullanılır.

h.Kariyer Yollarını Tasarlama : Görev farklılıkları, hiyerarşik pozisyon ve raporlama ilişkileri temeline dayalı değil, bilgi ve yetenek temeline dayalı olacaktır. “Beceri Matrisleri” kullanılır.

I.Yeni Örgütsel Yapıyı Belirleme : Teknik ve beşeri unsurlar uyumlaştırılır, görev tanımları, yönetim metotları, süreç sorumluları, organizasyonel yapı detaylıca belirlenir. “Örgütsel Yapılandırma” tekniği kullanılır.

j.Değişim Yönetimi Programının Tasarımı : Önceden hazırlanmış planın detayları belirlenir. değişime karşı koyması muhtemel güçler ve direncin derecesi belirlenir, detaylı değişim yönetimi planı hazırlanır. “Değişim Yönetimi” tekniği kullanılır.

k.Teşvik Sistemi Tasarlama : Personeli motive edici teşvik sistemleri tasarlanır. “Ödül ve Teşvik Sistemleri” teknikleri kullanılır.

l.Uygulamayı Planlama : Beşeri tasarım aşamasında belirlenen yapının uygulanması için ilk planlar yapılır. Teknik tasarım planlarıyla aynı anda uygulamaya konulacaktır. “Proje Yönetimi” tekniği kullanılır.

2.7.5.5       Dönüşüm

Teknik ve beşeri tasarım aşamasında oluşturulan yeni süreçler vizyon aşamasındaki süreç vizyonlarına ulaşmak için uygulamaya konur. Şu sorular cevaplandırılır :

• Uygulama sırasında oluşacak problemleri çözmek için nasıl bir mekanizma gerekir ?
• Performans gelişmeleri ne zamandan itibaren izlenebilir ?
• Değişim planı nasıl başarıyla uygulanır ?
• Fiili durumla planlanan arasındaki fark nasıl minimize edilir ?

Yapılan işler; sistem tasarımını tamamlama, teknik tasarımı tamamlama, uygulama planlarını hazırlama, personeli değerlendirme, yeni sistemi kurma, personeli eğitme, yeni süreçleri uygulama, geçiş dönem, sürekli gelişmedir.

1.Sistem Tasarımını Tamamlama : Yeni tasarlanan süreçlerde kullanılacak tüm teknolojik sistemler ve nasıl kullanılacakları detaylıca tanımlanır. “Süreç Modelleme” tekniği kullanılır.

2.Teknik Tasarımı Tamamlama: Teknik tasarımda kullanılacak donanım ve yazılım belirlenir. Pilot uygulama için gerekli tanım ve planlar bu adımda tanımlanır. “Enformasyon Mühendisliği” kullanılır.

3.Uygulama Planlarını Hazırlama: Teknik tasarım aşamasında belirlenen yeni teknolojik sistemlerde oluşabilecek beklenmedik durumlarda neler yapılacağı ile ilgili planlar hazırlanır.

4.Personeli Değerlendirme: Personel bilgi, yetenek ve beceri gibi konularda değerlendirilir. Böylece tespit edilen görevlerdeki personel ihtiyacı, fazlalığı ve eğitim ihtiyacı belirlenir. “Beceri Matrisleri” kullanılır.

5.Yeni Sistemi Kurma: Önceki adımlarda planlananlar icra edilir. “Enformasyon Mühendisliği” teknikleri kullanılır.

6. Personeli Eğitme: Her görev ve personel için tespit edilmiş eğitimler verilir. Öncelikle yeniden dizayn edilecek alanlardaki üst düzey yöneticiler eğitilir, bundan sonra yöneticiler BPR görevlerine başlarlar ve eğitim çağlayan etkisiyle sürerek diğer yöneticilere, sonra da süpervizörlere ve en sonunda alt seviyedeki işçilere verilir. (31) “Takım Oluşturma” teknikleri kullanılır.

7. Yeni Süreçleri Uygulama: Yeni süreçler uygulanır. Değişim Mühendisliğinin en zor yanı mevcut süreçlerden hedeflenen süreçlere geçiş aşamasıdır. (32)

8.Geçiş Dönemi: Süreç vizyonu göz önünde tutularak uygulamadaki sapmalar en aza indirmek için gerekli iyileştirme ve düzeltme yapılır, örgütsel değişim süreci daha önce planlandığı gibi yürütülür.

9.Sürekli Gelişme: Proje tamamlandıktan sonra zaman içindeki değişim ihtiyaçlarını karşılamak için “Sürekli Gelişme” çalışmaları ile desteklenmelidir. Bunun için personel mevcut olan ve önceki performans ölçülerini çok iyi bilmeli, gerekli araç ve teçhizatla donatılmış olmalı, performansı arttırmaya yönelik yetki, sorumluluk ve teşvikler verilmelidir. “Sürekli Gelişme”, “Performans Değerleme” ve “Proje Yönetimi” teknikleri kullanılır.

Yeniden süreçleme projesinin başarısı büyük ölçüde üst yönetimin ilgi ve desteğine, güçlendirilmiş ve motive edilmiş personele ve teknolojiyi doğru yer ve zamanda, doğru biçimde kullanmasına bağlıdır. (33)

3 Kaynaklar

1. Gadd, Ken W, Oakland, John S., (1995), ”Reengineering a Total Quality Organization”, Business Process Reengineering&Management Journal, Vol.1, No.2, s:38
2. Klein, Mark M., (1993), “IEs Fill Facilitator Role In Benchmarking Operations To Improve Performance”, Industrial Engineering ,Vol.25, No:9, s.40
3.  Morris, Daniel ve Brandon, Joel, (1994), Reengineering Your Business, New York: McGraw Hill Inc
4. Akat, Ömer, (1998), Uygulamaya Yönelik İşletme Politikası ve Stratejik Pazarlama, Bursa: Ekin Kitabevi
5. Klein, Mark M. ,(1996),”Yeniden Mühendislik ve Endüstri Mühendislği” , çev. Nevda Atalay, MPM Verimlilik Dergisi, No: 1996/2, s: 47
6. Hammer, Michael ve Champy, James (1994), Değişim Mühendisliği : İş idaresinde Devrim İçin Bir Manifesto, İstanbul: Sabah Kitapları
7. Daim, Tuğrul (1995), “Neden Reengineering Yeniden Yapılanma”, Önce Kalite Dergisi, sayı:Temmuz,  s: 29
8. Çakçak, Çağatay, (1997), Değişim Mühendisliği , Yüksek Lisans Tezi, İ.Ü. İşletme Fakültesi Üretim Yönetimi Ana Bilim Dalı
9. Hall, Gene ve diğerleri, (1993), “ How To Make Reengineering Really Work”, Harvard Business Review, Vol :71, No :6, s : 119-131
10. Çakçak, Çağatay, (1997), Değişim Mühendisliği , Yüksek Lisans Tezi, İ.Ü. İşletme Fakültesi Üretim Yönetimi Ana Bilim Dalı
11. Çakçak, Çağatay, (1997), Değişim Mühendisliği , Yüksek Lisans Tezi, İ.Ü. İşletme Fakültesi Üretim Yönetimi Ana Bilim Dalı
12. Çakçak, Çağatay, (1997), Değişim Mühendisliği , Yüksek Lisans Tezi, İ.Ü. İşletme Fakültesi Üretim Yönetimi Ana Bilim Dalı
13. Hammer, Michael ve Champy, James (1994), Değişim Mühendisliği : İş idaresinde Devrim İçin Bir Manifesto, İstanbul: Sabah Kitapları
14. Bambarger, Brad, (1994), “Carrier Transicold Teams Up With University Tennessee to Implement  CLPS”, Industrial Engineering, Vol: 26 No: 3, s : 36-40
15. Baran, Muhteşem, ( 1995 ), Yeniden Süreçleme-BPR- Yaklaşımının Genel Değerlendirmesi ve Bir Vak’a İncelemesi, Yüksek Lisans Tezi, İ.Ü. Sosyal Bilimler Enstitüsü
16. Hall, Gene ve diğerleri, (1993), “ How To Make Reengineering Really Work”, Harvard Business Review, Vol :71, No :6, s : 119-131
17. Şahin, Halide (1996), Yeniden Yapılanma, Yüksek Lisans Tezi, İTÜ Fen Bilimleri Enstitüsü
18. Hall, Gene ve diğerleri, (1993), “ How To Make Reengineering Really Work”, Harvard Business Review, Vol :71, No :6, s : 119-131
19. Cooper, Robin ve Markus, M.Lynne, (1995 ), “Human Reengineering”, Sloan Management Review, Vol : 36, No : 4, s : 39-50
20. Hall, Gene ve diğerleri, (1993), “ How To Make Reengineering Really Work”, Harvard Business Review, Vol :71, No :6, s : 119-131
21. Hall, Gene ve diğerleri, (1993), “ How To Make Reengineering Really Work”, Harvard Business Review, Vol :71, No :6, s : 119-131
22. Hall, Gene ve diğerleri, (1993), “ How To Make Reengineering Really Work”, Harvard Business Review, Vol :71, No :6, s : 119-131
23. Taylor, Susan (1994), “Patent & Trademark Office Sets The Standard For Reengineering Government”, Industrial Engineering,  Vol:26, No: 4, s : 36-38
24. Hall, Gene ve diğerleri, (1993), “ How To Make Reengineering Really Work”, Harvard Business Review, Vol :71, No :6, s : 119-131
25. McCloud, John, (1994), “Changing Customer Demands Serve As Impetus For BPR At Schlage Lock Co.”,  Industrial Engineering, Vol :26, No : 6, s : 30-34
26. Tumay, Kerim,(2000),“Business Process Simulation Matching Processes With Modeling Characteristics”, http://www.reengineering.com
27. Baran, Muhteşem, ( 1995 ), Yeniden Süreçleme-BPR- Yaklaşımının Genel Değerlendirmesi ve Bir Vak’a İncelemesi, Yüksek Lisans Tezi, İ.Ü. Sosyal Bilimler Enstitüsü
28. Baran, Muhteşem, ( 1995 ), Yeniden Süreçleme-BPR- Yaklaşımının Genel Değerlendirmesi ve Bir Vak’a İncelemesi, Yüksek Lisans Tezi, İ.Ü. Sosyal Bilimler Enstitüsü
29. Schumacher, Wolf D.,(2000)”Managing Barriers to Business Reengineering Success”, http://www.prosci.com
30. Hall, Gene ve diğerleri, (1993), “ How To Make Reengineering Really Work”, Harvard Business Review, Vol :71, No :6, s : 119-131
31. Taylor, Susan (1994), “Patent & Trademark Office Sets The Standard For Reengineering Government”, Industrial Engineering,  Vol:26, No: 4, s : 36-38
32. Taylor, Susan (1994), “Patent & Trademark Office Sets The Standard For Reengineering Government”, Industrial Engineering,  Vol:26, No: 4, s : 36-38
33. Baran, Muhteşem, ( 1995 ), Yeniden Süreçleme-BPR- Yaklaşımının Genel Değerlendirmesi ve Bir Vak’a İncelemesi, Yüksek Lisans Tezi, İ.Ü. Sosyal Bilimler Enstitüsü

ITIL Nedir? Süreç Haritaları, Versiyon Farklılıkları ve Standardizasyon

ITIL Versiyon2 ile bilinirliği ülkemizdede ciddi oranda artan Bilişim standardizasyonu malesef güncelleme konusunda sıkıntılar yaşamıştır. Bu yazımızda ITIL Versiyon3 üzerinde duruyor ve süreçlerini ana hatları ile inceleyerek devam ediyor olacağız. Veriyon 2 içeriğine yazımızın içerisinde zaman zaman atıfta bulunurken, Versiyon 3 ile arasındaki farkları ve neden versiyon 3 ihtiyacının olduğu konusunu, Ana hatları ile bahsedeceğimiz süreçlerin herbirini, V-Model, ARCI Model yapısını ve uygulama yapısını, ISO 20000 ile arasındaki ilişkiyi ve risk analizleri ile birlikte bizler için çok önem taşıyacak olan bir takım checklister gibi ITIL spesifik tüm konuları makale dizisinde sizlere aktarıyor ve paylaşıyor olacağım.

İlk yazımızda isterseniz ITIL hakkında genel bir giriş yaparak süreç haritasına ve tasarımlara göz atıyor olalım.

ITIL – Bölüm(1)

ITIL kısaltmasını “Bilişim teknolojileri altyapı kütüphanesi” olarak açıklayabiliriz. Peki nedir bu altyapı kütüphanesi. ITIL aslında tam olarak BT Servis Yönetimi framework’ünün(Çatı-iskelet) uygulanmasını sağlamak ve kolaylaştırmak için kullanılan belgeler dizisidir. Bu özelleştirilebilir iskelet, bir Organizasyon içerisine servis yönetiminin nasıl uygulanacağını tanımlar.

İngiliz hükümetinin bir birimi olan CCTA (Central Computer and Telecomunications Agency) tarafından geliştirilmiştir ancak bu çalışma dünya üzerinde birçok özel ve yerel kurum ile birlikte akademisyenlerin de katıldığı bir çalışma ile meydana gelmiştir .

Uygulamaya dayalı bir yaklaşımı yansıtmak için Hizmet Yönetimi uygulamaları olarak bilinen ITIL v3 temel olarak birbiri ile bağlantılı 5 faz’dan oluşmaktadır; (İlerleyen makalelerimizde her bir fazı detaylı olarak açıklıyor olacağız..)

§ Service Strategy

§ Service Design

§ Service Transition

§ Service Operation

§ Continual Service Improvement

Şekil-1: ITIL V3 Mimarisi

Birazdan bu 5 kısımdan bahsediyor olucaz ancak isterseniz biraz daha yukardan bakarak durumu yorumlamaya çalışalım.

ITIL oluşumunu sağlayan 5 başlık aslında Sevis yaşam döngümüzün oluşmasını sağlayan süreçler ile bunların dışında bu süreçleri etkileyen ve BT organizasyonumuzun dışında bulunan iç müşteri ve dış tedarikçi süreçleri servis yaşam döngümüzü etkileyen süreçlerden meydana geliyor. İsterseniz bir örnek vererek açıklamaya çalışalım; Bir Telekomunikasyon firmasının içerisindeki IT Organizasyonu olduğumuzu düşünelim ve vermiş olduğumuz hizmet çerçevesi içerisinde servis yaşam döngüsünü oluşturmuş durumdayız. Hatta bu durumu biraz daha ilerletip iç müşterimiz ile SLA(Service Level Aggrement) imzalamış olalım ve bu anlaşma içerisinde müşterimize oluşan herhangi bir problemi çözme zamanı taahhüt etmiş olalım. Diyelimki sorumlu olduğumuz yapı içerisindeki bileşenlerden biri olan mail sunucumuz herhangi bir sebepten dolayı çalışmıyor ve iç müşterimize destek veremiyoruz. Bu noktada problemi gidermek için dış kaynak kullanıyor yada herhangi bir donanım problemi ise tedarikçi üzerinden parça sağlıyoruz. Tedarikçi üzerinden gerekli olan hizmeti almak için izlemiş olduğumuz prosedürler, geçen zaman ve bu süre içerisinde mail hizmetini veremiyor olmamız yada taahhüt etmiş olduğumuz zaman diliminde problemi çözemiyor olmak nedeni ile oluşan diğer zincir reaksiyonlar aslında çerçevesi çizilmesi gereken ve yaşam döngümüzü etkileyen süreçler haline geliyor.

Yani aslında Sadece kendi IT organizasyonumuz içerisinde yer alan süreçler bizim Servis yaşam döngümüzü tamamlamamıza yeterli olmuyor. Bunların dışında kalan diğer süreçler ile entegrasyon sağlıyor olmakla ancak döngüyü tamamlayabiliyor olduğumuz sonucu oluşuyor.

Yazımızın başındada tanımını vermiş olduğumuz gibi Bir Organizasyon içerisinde Servis Yönetiminin nasıl uygulanacağını, belirlenmiş olan 5 faz ve bunların altında yeralan akış süreçleri ile az önce bahsetmiş olduğumuz dış süreçleri teker teker tanımlayarak Servis yaşam döngümüzü tamamlayabiliriz.

Şekil-1′de görmüş olduğunuz gibi mimari birbiri ile grift bir ilişiki içerisinde yer alıyor. Bir BT Organizasyonu içerisindeki BT stratejilerinin belirlenerek tasarımının yapılması sonrasında servis geçiş süreçlerinin tanımlanması ve operayon süreçlerinin tanımlanması ile servis yaşam döngüsünün büyük bir kısmını tamamlamış oluyoruz. En son fazda ise Servis kalitesinin artırılabilmesi için gereken raporlama, ölçümleme ve iyileştirme işlemlerinin yapılacağı süreçlerin diğer süreçler ile entegre edilmesi ile süreç haritamızı tamamlamış oluyoruz.

Süreçlerin tasarlanabilmesi, uygulanabilmesi,entegre edilebilmesi ve yönetilebilmesi noktasında birtakım ana roller’e ihtiyaç duyulmuş ve ilgili roller tanımlanmıştır. Bu roller organizasyon süreçlerinin analiz edilmesinden sonra deploy edilmelidir. Kısaca bu görevlere bakacak olursak;

§ Service Owner : Bir servisin tasarımı, entegrasyonu, performansı, iyileştirilmesi ve yönetilmesini kapsar.

§ Process Owner : Bir servisin tasarımı, entegrasyonu, performansı, iyileştirilmesi ve yönetilmesini kapsar.

§ Product Manager : İlgili servis gruplarının performansı, iyileştirilmesi ve yönetilmesini kapsar.

§ Service Manager : Oluşum içerisinde yeralan tüm servislerin performansı, iyileştirilmesi ve yönetilmesini kapsar.

Buna paralel olarak iş Modellemesi üzerinden sorumluluk ve rol tanımlarına yukardan baktığımızda Şekil-2 de görünün sorumluluk yapısı hiyerarşik olarak görülüyor.

 

Resim-2

 

Süreçlerin tasarımı, iyileştirilmesi, geliştirilmesi ve yönetilmesi için kullanılmakta olan rollerimizin dışında özellikle servis geçişi ve operasyon süreçleri esnasında tanımlanması gereken bir takım rollerimiz olucak. ARCI Model diye adlandırılan bir matrix yardımı ile görev tanımları yerleştiriliyor olucağız ki bu modelleme yapısı üzerinde ayrı bir yazımızda duracağız.

Resim-3

§ Service Strategy (Hizmet Strateji)

Servis Yönetiminin uygulanması,geliştirilmesi ve tasarlanması konusunda rehber niteliğindedir. Bu konuda BT Organizasyonlarının müşterilerine farklı hizmetler sunmasını ve operasyonel etkinliğini artırmasını amaçlar.

Süreçler;

§ Service Portfolio Management : Hizmet Portföy Yönetimi süreci, Hizmet Portföyü hizmetlerine ilişkin bilgi yönetimi ile ilgilenir

§ Demand Mamagement : Talep süreçleri Yönetimi, müşteri taleplerini anlama ve etkileme ile ilgilenir.

§ IT Financial Management : BT Finans yönetimi, “Maliyetleri yönetmeyi ve anlamayı ” ve Mali anlamda hizmetler ile ilgili fırsatlarla ilgilenir.

Roller ve Sorumluluklar;

§ Business Relationship Manager (BRM): Müşterisinin iş gerekliliklerini ve onların müşterisinin ihtiyaçlarının belirlenmesi noktasında güçlü ilişkiler kurar. Müşterisi adına verimli sonuçlar çıkarabilme noktasında PM ile yakın çalışır.

§ Product Manager (PM) : Servis Yaşam Döngüsündeki servislerin yönetilmesi ve geliştirilmesinden sorumludur.

§ Chief Sourcing Officier (CSO) : CIO(Chief Information Officier) ile yakın işbirliği içerisinde kaynak stratejisinin geliştirilmesi ve kaynakların yönlendirilmesi ve yönetilmesinden sorumludur.

§ Service Design (Hizmet Tasarım)

Servis Tasarımı, iş gereksinimleri değişimi sürecinde önemli bir eleman ve Genel servis yaşam döngüsü içerisinde önemli bir katmandır.

Özelleştirilebilir ve Yenilikçi BT Hizmetleri tasarımı, süreçler, politikalar ve belgeler de dahil olmak üzere mevcutta kabul edilmiş ve gelecekteki iş gereksinimlerini karşılamak için oluşturulan mimarilerdir.

Başarılı bir tasarımın yapılabilmesi için 4P (People,Product,Processes, Partners) tasarımının doğru yapılmasına bağlıdır.

Service Design Package (SDP); Servis Yaşam döngüsünün her bir aşamasındaki gereklilikleri ve bir BT Servisinin bütün yönlerini tanımlar. Bir SDP, her yeni servis, major değişiklik yada bir servisin kaldırılması durumunda yeniden üretilir.

Süreçler;

§ Service Catalogue Management (SCM): Hizmet kataloğu,
Servis Destek sağlayıcısı tarafından BT servisleri hakkındaki bilgilerin merkezi bilgi kaynağı üzerinden iletiminden sorumludur.

§ Service Level Management (SLM): Spesifik hizmetler ile ilişikilendirilmiş garanti seviyeleri, Hizmet sağlayıcı ile ilgili performans seviyeleri, müşteri ile yapılan anlaşmanın yönetilmesi ve güvenliği, fiyatlandırılması konularından sorumludur.

SLM süreçleri içerisinde SLA(Service Level Aggrement), OLA(Operational Level Aggrement) bulunur ve SIP (Service Improvement Plan) ile Service Quality Plan’ın üretilmesini sağlar.

§ Capacity Management : Kapasite Yönetimi servis ömrü boyunca iş, hizmet ve bileşen kapasite yönetimi içerir. Kapasite yönetiminin temel başarı faktörü, tasarım aşamasında göz önünde bulundurulmasıdır.

Tüm Kapasite ve performans tabanlı sorunların yönetimine ve hizmet ve kaynaklara ilişkin iş taleplerinin uyuşmasına odaklanır.

3 Ana faaliyet sözkonusudur;

§ Business Capacity Management

§ Service Capacity Management

§ Component Capacity Management

§ Availability Management : Kullanılabilirlik Yönetimi, kurgulanan SLA(Servis seviyesi Anlaşması) içerisindeki kullanılabilirlik gereksinimlerinin ve yönetiminin başarısı ile ilgilidir.

Kullanılabilirlik, Gerektiğinde sistem, hizmet yada Configuration-Item fonksiyonu gerçekleştirme yeteneği olarak tanımlanır.

§ IT Service Continuity Management (ITSCM) : Herhangi bir felaket olayı esnasında BT hizmet ve servisleri için planlama ve risk yönetimi ile ilgilenir.

BIA (Business Impact Analysis) ve MOR(Management of Risk) tekniklerini kullanarak iş sürekliliği yönetiminde büyük çaba harcar.

§ Information Security Management (ISM) : Servisler de dahil olmak üzere tüm BT envanterlerini gelebilecek tehditlere karşı korumak ile ilgilenen süreçtir.

5 temel niteliğin korunması üzerinde duruluyor;

§ Confidentiality

§ Integrity

§ Availability

§ Authenticity

§ Non-Repudiation

§ Supplier Management : Tedarikçi Yönetimi aslında Service Level Management((SLM)- Hizmet seviyesi yönetimi))’ne çok benzer bir rol oynar ve Hizmet tasarımı içerisinde kritik bir rol alır. İç tedarikçi ve müşterilerden daha çok dış tedarikçiler ile ilgilenir.

Özellikle son yıllarda oranı artan dış tedarikçi ile yapılan anlaşmalardan da anlaşılabileceği üzere kendi müşterilerine daha iyi hizmet verebilme noktasında dış tedarikçilere olan bağımlılık artmıştır.

Roller ve Sorumluluklar;

§ Service Design Manager : Hizmetler ve süreçler noktasında oluşturulan tasarım ve genel koordinasyon dan sorumludur.

§ IT Designer /Mimar : Planlama, tasarım, strateji, mimari, tasarım için gereken teknolojiler ve genel koordinasyondan sorumludur.

§ Service Catalogue Manager : Doğru bir Hizmet kataloğunun oluşması noktasındaki üretim, geliştirme ve bakımdan sorumludur.

§ Service Level Manager : Hizmet Seviyesi kalitesinin karşılanabilmesi ve kabul edilebilir olmasından sorumludur.

§ Availability Manager : Tüm Servislerin kabul edilebilir hedeflerine ulaşmasından sorumludur.

§ IT Service Continuity Manager : İş ihtiyaçları, gereklilikleri ve zaman çizelgelerine uygun olarak tüm servislerin iyileştirilmesinden sorumludur.

§ Capacity Manager : BT Kapasitesinin bügünkü ve gelecekteki iş talepleri ile uyumlu olmasından sorumludur.

§ Security Manager : Belirlenmiş iş güvenliği politika riskleri, etkileri ve gereksinimleri ile BT güvenliğinin uyumlu olmasından sorumludur.

§ Supplier Manager : BT Tedarikçileri,sözleşmeleri ve anlaşmaların iş ihtiyaçlarına uyumlu olması ve değerinden sorumludur.

§ Service Transition (Hizmet Geçiş)

Hizmet geçiş rolü, Operasyonel süreçte kullanılmak üzere iş gerekliliklerini iletir.

Hizmet geçişi, Servis tasarım aşamasından Hizmet tasarım paketini alması ile başlar ve Operasyonel aşamaya devam eden operasyon ve hizmet desteği için gerekli tüm bilgileri ve elemanaları teslim eder.

İş Koşulları, gereksinimleri yada varsayımlar tasarım sürecinden sonra değişime uğradıysa, Hizmet geçiş aşamasında gerekli hizmeti sunmak için bir takım değişiklikler gerekebilir. Unutulmaması gereken en önemli nokta Hizmet Geçişi sadece uygulamalarla ve/veya normal şartlar altında nasıl kullanıldığı ile değil hizmetlerin tüm yönleri ile uygulanmasından sorumludur.

Süreç içerisinde bilinmesi gereken V-Model yapısını ve RFC,CI,CMS,CAB,ECAB gibi tanımları ve içeriği hakkındaki detayları, süreci daha derin incelediğimiz makalenin içinde bulabilirsiniz..

Süreçler;

§ Change Management : Değişiklik Yönetimi, ilgili değişikliklerin değerlendirilmesi, kayıt edilmesi, önceliklendirilmesi, planlanması, test edilmesi, uygulanması, dökümante edilmesi ve düzenli şekilde gözden geçirilmesini sağlar.

Bir Hizmet değişikliği, ek, yetki , planlama yada desteklenen hizmet yada hizmet bileşeni gibi üzerinde olabilecek değişiklik ve ilgili dökümanlarla ilişkilendirilmesidir.

§ Service Asset and Configuration Management (SACM) : Bir Organizasyonun altyapısını oluşturan ilişkileri, tüm varlıkların kontrolünü ve bilgilerin doğruluğunu sağlar. Yapılandırma öğeleri (Configuration Item(CI)) ve hizmet varlıkları’nın belirlenmesi, kontrol edilmesi ve hesaplanması ile birlikte Servis yaşam döngüsü boyunca kendi bütünlüğünü sağlamayı ve korumayı amaç edinir.

§ Knowledge Management : Bilgi Yönetimi, işin gerektirdiği hizmet desteğini, doğru kişiye doğru bilgi ile doğru zamanda iletmekten sorumludur.

Roller ve Sorumluluklar;

Bir Organizasyon içerisinde hizmete geçiş sunan personel; etkin, verimli ve va olan çeşitli seçenekleri sunmak için organize edilmelidir.

Tipik bir organizasyon içerisinde bu roller tahmin ile değil ayrı bir grup olarak düşünülür. Bu Daha fazla beceriye ve deneyime sahip Aynı insanlar Birden fazla yaşam döngüsü aşamalarına dahil olabilir anlamına gelir.

§ Service Operation (Hizmet Operasyon)

Hizmet Operasyonu, Kullanıcılarına ve Müşterilerine belirlenmiş hizmet seviyesini sağlayacak olan uygulama yönetimi, teknoloji ve altyapı hizmet desteği sunar.

Bu hizmetler sadece servis yaşam döngüsünün bu aşamasında işe gerçek değerini verir. Hizmet yaşam döngüsü, Hizmet operasyonu aşamasında, kabul edilen parametreler dahilinde faaliyet sağlamakla ilgilenir. Herhangi bir hizmet kesintisi meydana geldiğinde, Servis operasyonu olabildiğince çabuk şekilde servisleri geri yüklüyerek iş etkisini en aza indirgiyor.

Bu sürecin fokus olduğu birtakım parametreler olan “Reactive-Proactive”, “Internal-External”, “Cost-Quality”, “Stability- Flexibility” arasında denge sağlamak durumundadır. Eğer bu dengeyi kuramazsa Hizmet Operasyonu kötü olarak görünüyor olucaktır.

En önemli kısımlardan biri ise operasyon esnasında olan iletişim dir ver her ne olursa olsun iletişimin doğru algılanması kurulması gerekir. Bu ilişkiler;

§ BT Hizmet sağlayıcı ile kullanıcı arasındaki iletişim..

§ BT Hizmet sağlayıcı ile Müşteri arasındaki iletişim..

§ BT Hizmet sağlayıcı içerisinde yer alan farklı süreçler, fonksiyonlar ve takımlar arasındaki iletişim..

§ BT Hizmet sağlayıcı ile tedarikçileri arasındaki iletişim..

Süreçler;

§ Incident Management : Sorun Yönetimi, olası herhangi bir sorunun bildirilmesi ile gelen isteğin işe etkisinin en aza indirgenmesi noktasında Çoğunlukla servislerin hızlı şekilde restorasyonu sağlar. Fakat bazı vakalardan durum sorun yönetiminden çıkarak yardım masası tarafından sahiplenilir ve uygulanır.

Temel aktiviteler;

§ Detection

§ Logging

§ Classification

§ Prioritization

§ Investigation and Initial Diagnosis

§ Escalation

§ Resolution and Recovery

§ Closure

§ Problem Management : Problem yönetimi,Vaka’ya sebep olan oluşumun içerisindeki hata yada kusuru düzeltmek ve tanımlamak ile ilgilenir. Sorunların azalmasına ve engellenmesini yardımcı olur ve iki alt süreçten oluşur;

§ Reactive Problem Management : Genellikle Sorun yönetimi süreci tarafından yönlendirilen problemlerin aşılması sürecidir.

§ Proactive Problem Management : Hata-Sorun isteği gelmeden önce servisler ve altyapı üzerinde Proaktif olarak iyileştirme aramaları yapan süreçtir.

§ Event Management : Olay Yönetimi, Altyapı üzerinde oluşan olayların tespiti ve uygun müdahale eylemlerinin seçimi ile ilgilenir. Olayların erken tespit ediliyor olması, etkilenen kullanıcılar tarafından gelecek hata sayılarının düşmesine neden olacağı gibi, Sorun yönetimi sürecinin performansını artırarak olayların azalıtması sağlanmış olur. 3 Tip olay vardır;

§ Informational

§ Warning

§ Exception

§ Access Management : Erişim Yönetimi kimlik ve haklar ile ilgilenir. Bu süreç kimlik ve yetki doğrulama, hizmetlere erişim verme, işlem günlüğü, erişim izleme-kaldırma yada durum veya rollerin haklarını değiştirmeyi içerir.

Erişim Yönetimi, gizlilik, kullanılabilirlik ve veri bütünlüğünü yönetmenize yardımcı olur. Yetkili olmayan kullanıcıların erişimlerini engellerken, erişim yetkisi olan kullanıcıların bir servise yada servis grubuna erişimini sağlar.

§ Service Request Fulfillment : Hata yönetimine ddahil edilemiyecek ortak kullanıcı istekleri olarak adlandırılmaktadır. Yeni bir ekipman yada bir eğitim isteği bu başlığın altında değerlendirilir. Özellikle belirli periyotlarda kullanıcılar tarafından yapılmakta olan bir isteğin cevaplandırılması için idealdir.

Bütün istekler kayıt edilmeli ve izlenilmelidir. Bu süreç içerisinde aynı zamanda dikkat edilmesi gereken en önemli konu ise isteğin cevaplanmadan önce onay sürecine sokulmasıdır.

§ Continual Service Improvement (Hizmet İyileştirme Sürekliliği)

Değişen iş ihtiyaçlarına göre fonksiyonların, süreçlerin ve hizmetlerin yeniden uyumlu hale getirilmesi sürecidir. Aynı zamanda Genel Hizmet yönetimi içerisindeki kalite yönetim yöntemleri uygulama tutarlığı ile ilgilenir.

ITIL içerisinde “Ölçü (Measurement)” kritik bir rol almaktadır. Hizmet iyileştirme sürekliliğinin bi parçası, aynı zamanda Hizmet seviyesi Yönetiminin ve tüm süreçlerin önemli bir parçasıdır. Ölçümleri burada 4 temel amaç için kullanılabilir;

§ Doğrulamak (Justify)

§ Direkt (Direct)

§ Müdahale (Intervenne)

§ Onaylamak (Validate)

(Bir sonraki makalemiz içerisinde metodlarından bahesediyor ve ölçümlemedeki kritik noktalardan bahsediyor olacağız.)

7 adımda iyileştirme süreci ölçümleme ile Hizmet performansının düzeltilmesi ve iyileştirilmesini sağlıyor. İsterseniz kısaca bu adımların ne olduğuna bakıyor olalım;

§ Karar à Ne Ölçülmelidir

§ Karar à Ne Ölçülebilir

§ Veri Toplama

§ Veri İşleme

§ Veri Analizi

§ Veri Kullanma ve sunma

§ Düzeltici Eylem (Aksiyon) uygulama

Hizmet Seviyesi Yönetimi (SLM) aynı zamanda Servis Tasarım yaşam döngüsü aşamasının içerisindeki süreçlerden birisidir. Bir çok aktivite ve nesne Hizmet iyileştirme sürekliliği ile ortaktır. Özellikle her iki Hizmet seviyesi yönetimi ve iyileştirme sürekliliği düzenli ölçüm, servislerin gözden geçirilmesini ve servis yönetim başarımının diğer yönlerini vurgulamaktadır.

Service Improvement Program (SIP); Hizmet İyileştirme Planı yada Hizmet İyileştirme Programı, Hizmet iyileştirme sürekliliğinin bir parçası olarak yada Hizmet seviyesi yönetimi sürecinin bir parçası olarak yürütülen periyodik hizmet değerlendirmesinin birincil çıktısıdır.

ITIL yapısını oluşturan herbir parça birbiri ile grift ilişki halindedir ve süreçlerin iç içe geçtiği birçok noktada genel yorum kullanmamız gerekir. Bu yazımızda olabildiğince detaylara girmeden Ana hatları ile bir resim çizmeye çalıştım. Bundan sonraki yazılarımız içerisinde spesifik bir konu ve detayları üzerinde durarak ilerliyor olacağız. Bilgilerin yararlı olduğunu umut ediyorum.

Kaynak: http://www.mshowto.org/author/okanogras

 

COBIT ve ITIL İlişkisini Merak Edenlere İlker Tutu’dan Güzel Bir Yazı..

COBIT ve ITIL

CobiT nedir?

Türkiye’de son yıllarda özellikle finans sektöründe bir CobiT rüzgârı almış başını gidiyor. Geçen birkaç yıl içerisinde bu rüzgâr finans sektörüyle de sınırlı kalmayıp üretimden eğlenceye, büyük holding şirketlerinden kobilere pek çok farklı alanda görülmeye başladı. Peki, nedir bu CobiT? Yazımda sizlere CobiT’i tanıtmaya ve nasıl kullanabileceğinizi göstermeye çalışacağım.

CobiT’in tanımı

Tanım olarak CobiT, “Control Objectives for Information and Related Technology” nin kısaltılmış halidir. Türkçe ifade etmek gerekirse “Bilgi ve ilgili teknoloji için kontrol hedefleri”.  Bu tanım, CobiT’in amacını ifade etmesi açısından önemlidir. CobiT, Bilgi Teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koymaktadır.

 

Benzer standartlardan farkı nedir?

CobiT’i, ITIL, CMMI ve ISO standartlarından ayıran en büyük özelliği tüm BT fonksiyonlarını kapsayan bir çerçeve sunmasıdır.  Farklı şekilde ifade etmek gerekirse CobiT içerisinde yer alan 34 süreci bir arada değerlendirdiğinizde BT yönetiminin her alanını kapsama almış olursunuz. Bu nedenle diğer standartlardan farklı şekilde, CobiT’in tek veya grup halinde BT süreçlerine değil BT’nin yönetilmesine odaklandığını söylemek doğru olur.

CobiT’in diğer bir özelliği de, içerisindeki süreçlerin nasıl uygulanması gerektiğine dair detaylı çözüm yöntemleri içermemesidir.  Esas olarak kontrol hedeflerinden oluşmaktadır ve bu hedefler o süreç içerisinde sağlanması gereken en iyi uygulamaları açıklamaktadır. Fakat birkaç istisna dışında bu süreçlerin hiçbiri için kontrol hedeflerine ulaşılmasını sağlayacak bir yöntem, şablon veya tasarım önermemektedir.  Örnek vermek gerekirse, DS5 Sistem Güvenliğinin Sağlanması sürecinde sistemlere ve bilgiye erişen kişilerin kimliklerinden emin olunması gerektiği belirtilir. Ancak bunun yapılması için kullanılabilecek yöntemlerden (kullanıcı adı/şifre, biyometrik kimlik doğrulama, token, fiziksel sınırlama vb) bahsedilmez. Uygulama sırasında bu tür kontrol örneklerine ihtiyaç duyulabileceği göz önünde bulundurularak ISACA tarafından “CobiT Control Practices” adında CobiT’e ek bir kılavuz dokümanı yayınlanmıştır.

Öne çıkan özellikleri

CobiT aşağıdaki genel özellikleri gösterir:

·         Bilgi Teknolojileri’nin şirketin iş (ticari) amaçlarına hizmet etmesi gerektiğini benimser,

·         BT stratejisi ile iş stratejisinin uyumunu sağlamaya çalışır,

·         Bu özellikleriyle modern BT Yönetiminin kabul görmüş kurallarını içerir,

·         İçerisindeki 34 süreç ile neredeyse tüm BT fonksiyonlarını kapsar,

·         Diğer BT yönetimi standartları ile (ISO, ITIL, CMMI, MOF, vb) uyumludur,

·         Her sektörden ve her boyuttaki şirket tarafından kullanılabilir,

·         Denetim, süreç iyileştirme, süreç yönetimi, ölçüm, karşılaştırma vb farklı kullanım amaçları vardır.

 

CobiT süreçleri

CobiT içerisinde 4 ana başlık altında toplam 34 süreç bulunmaktadır. Yukarıda da belirttiğimiz gibi bu 34 süreç, pek çok şirket için BT fonksiyonlarının hemen hepsini kapsar. CobiT içerisinde aşağıdaki süreçler bulunmaktadır:

Planlama ve Organizasyon

 

PO 1 Stratejik BT planının tanımlanması

PO 2 Bilgi mimarisinin tanımlanması

PO 3 Teknolojik yönün belirlenmesi

PO 4 BT süreçlerinin organizasyonunun ve ilişkilerinin tanımlanması

PO 5 BT yatırımlarının yönetimi

PO 6 Yönetimin amaçlarının iletilmesi

PO 7 BT İnsan kaynakları yönetimi

PO 8 BT Kalite yönetimi

PO 9 BT riskinin değerlendirilmesi ve yönetimi

PO 10 Proje yönetimi

Edinim ve Kurulum

AI 1 Çözümlerin belirlenmesi

AI 2 Uygulama yazılımının geliştirilmesi ve bakımı

AI 3 Teknoloji alt yapısının oluşturulması ve bakımı

AI 4 Operasyon ve kullanımın sağlanması

AI 5 BT kaynaklarının satın alınması

AI 6 Değişiklik yönetimi

AI 7 Çözümlerin ve değişikliklerin uygulanması ve akredite edilmesi

Hizmet ve Destek

DS 1 Hizmet seviyelerinin tanımlanması ve yönetimi

DS 2 Üçüncü kişilerden alınan hizmetlerin yönetimi

DS 3 Performans ve kapasite yönetimi

DS 4 Hizmet sürekliliğinin sağlanması

DS 5 Sistem güvenliğinin sağlanması

DS 6 Maliyetlerin belirlenmesi ve dağıtılması

DS 7 Kullanıcıların eğitimi

DS 8 Hizmet sunumu yönetimi ve olay yönetimi

DS 9 Konfigürasyon yönetimi

DS 10 Problem yönetimi

DS 11 Veri yönetimi

DS 12 Fiziksel çevre yönetimi

DS 13 Operasyon yönetimi

İzleme ve Değerlendirme

 

ME 1 Bilgi sistemleri performansının izlenmesi ve değerlendirilmesi

ME 2 İç kontrolün izlenmesi ve değerlendirilmesi

ME 3 Mevzuata uyumun sağlanması

ME 4 Bilgi sistemlerine ilişkin kurumsal yönetişimin temini

İçeriği

CobiT içerisinde, yukarıdaki her bir süreç için aşağıdakiler bulunmaktadır:

1.       Sürecin tanımı

 

Süreç tanımı, her CobiT sürecinin ilk sayfasında bulunur ve sürecin genel hatlarını belirler. İçerisinde şu bilgiler bulunur:

·         İlgili süreç hedefleri

o   Etkinlik

o   Verimlilik

o   Gizlilik

o   Bütünlük

o   Erişilebilirlik

o   Uyum

o   Güvenilirlik

·         Sürecin amacı

·         Sürecin, iş süreçleri açısından önemi

·         Odaklanılan konular

·         İçerisindeki temel faaliyetler

·         Başarı göstergeleri

·         İlgili BT yönetişimi alanları

o   Stratejik uyum

o   Değer üretimi

o   Risk yönetimi

o   Performans ölçümü

o   Kaynak yönetimi

·         İlgili BT unsurları

o   Uygulama

o   Bilgi

o   Altyapı

o   İnsan

Süreç tanımı, CobiT’in en çok kullanılan ve en faydalı alanlarından birisidir. Kullanımına örnek olarak her iş yerinde bulunan bir süreci ele alalım: “Performans ve kapasite yönetimi”. Elbette sistemlerimizin performans ve kapasitesini yönetiyoruz, peki şu soruların yanıtlarını verebiliyor muyuz?

·         Kapasite ve performans yönetimi ne demektir?

·         Biz bu süreci daha iyi işletince şirketin ticari faaliyetleri bundan nasıl yarar sağlamaktadır?

·         Sürecin ana adımları nelerdir?

·         Süreçte nelere odaklanılmalıdır?

·         Performans ve kapasite yönetimini ne kadar iyi yaptığımızı nasıl ölçebiliriz?

2.       Detaylı kontrol hedefleri

 

Detaylı kontrol hedeflerinde sürecin işletilmesi ile ulaşılması gerekli hedefler yani iyi uygulamalar bulunmaktadır. Detaylı kontrol hedefleri, her süreç için farklı şekilde kategorilere göre ayrılmıştır. Bu bölüm ayrıca, CobiT esaslı denetimlerde uyulması gerekli bir kriter listesi olarak kullanılır. Benzer şekilde CobiT uyumluluğunun sağlanması amacıyla gerçekleştirilen süreç iyileştirme çalışmalarının da dayanak noktası detaylı kontrol hedefleridir.

Örnek olarak “DS3 Performans ve Kapasite Yönetimi” süreci üzerinden ilerlemek istersek, içerisinde şu kategoriler altında, ulaşılması gerekli hedefler bulunmaktadır:

·         DS3.1 Performans ve kapasite planlaması

·         DS3.2 Mevcut kapasite ve performans

·         DS3.3 Gelecekteki kapasite ve performans

·         DS3.4 BT kaynaklarının erişilebilirliği

·         DS3.5 İzleme ve raporlama

 

 

3.       Yönetim kılavuzları

 

Bu sayfada, sürecin yönetilmesi için gerekli bilgilere yer verilmektedir. İçerisinde şu konularda bilgiler bulunur:

·         Süreç girdileri ve çıktıları: Sürece girdi olabilecek bilgiler, dokümanlar veya diğer faaliyet sonuçları ile bu sürecin sonunda diğer süreçlere girdi olacak unsurlar.

·         Süreçteki roller ve sorumluluklar (RACI tablosu): Her bir süreçle ilgili öne çıkan faaliyetler ve bu faaliyetlerin gerçekleştirilmesi sırasında işletimden sorumlu, hesap vermekten sorumlu, danışılan ve bilgi verilen organizasyonel roller.

·         Süreç hedefleri ve ölçüm kriterleri: Sürecin hangi şartlar gerçekleştiğinde başarılı sayılacağı ve sürecin ne kadar iyi işletildiğinin nasıl ölçülebileceği.

4.       Olgunluk modeli (Toplam bir sayfa)

 

CobiT, ayrıca her bir sürecin ne kadar olgun şekilde yönetildiğinin belirlenebilmesi ve benzer şirketlerle karşılaştırılabilmesi için bir olgunluk modeli sunmaktadır. Olgunluk modeli 0 ile 5 arasında 6 lı bir skala içermektedir ve her bir seviyeye ulaşılması için sağlanması gerekli kriterler, her bir sürece özel olarak detaylı şekilde belirtilmiştir. Olgunluk modelinde şu seviyeler bulunmaktadır:

Olgunluk seviyesi	Açıklama
0. Tanımlanmamış	Süreç konusunda şirket bünyesinde herhangi bir bilinç bulunmamaktadır. Yönetim sürecin varlığından/gerekliliğinden haberdar değildir.
1. Düzensiz	Sürecin gerekliliği bilinmektedir ancak düzenli şekilde uygulanmamaktadır
2. Tekrarlanabilir	Süreç tekrarlanabilir şekilde uygulanmaktadır ancak sürecin kriterleri ve uygulama esasları tanımlanmamıştır
3. Tanımlı	Süreç tanımlanmıştır ve tanımlandığı şekilde işletilmektedir
4. Ölçülebilir	Sürecin ne kadar iyi işletildiği ölçülmektedir
5. Optimize edilmiş	Süreç, sürekli olarak iyileştirilmektedir

Bilgi Teknolojileri süreç eşleştirme tabloları

 

CobiT içerisinde ayrıca, iş hedeflerinin bilgi teknolojileri hedefleri ile bağlantılarının kurulabilmesi amacıyla kılavuz olabilecek üç farklı tablo sunulmaktadır.

i)                    İlk tabloda iş hedefleri, bilgi teknolojileri hedefleri ve CobiT bilgi kriterleri ile eşleştirilmiştir. Bu tablo kullanılarak, örnek iş hedefleri için, bu hedefleri destekleyen bilgi teknolojiler hedefleri ve ilgili CobiT bilgi kriterleri görülebilir.

ii)                   İkinci tablo, CobiT içerisindeki BT süreçleri ile genel BT hedefleri ve bilgi kriterlerinin eşleştirilmesini içerir.

iii)                 Üçüncü tabloda ise her bir BT süreci için desteklenen BT hedefleri tersten gösterilmiştir.

Kullanım alanları

CobiT pek çok farklı amaçlar için kullanılabilir. Günümüzde en yaygın görünen kullanım amaçları şunlardır:

Denetim: CobiT, içerisinde karşılaştırma yapılabilecek iyi uygulamaları barındırması nedeniyle bir denetim aracı olarak kullanılabilir. Ayrıca, BT süreçlerinin listelenmesi sayesinde denetim kapsamının belirlenmesinde kolaylık sağlamaktadır. Bu özellikleriyle, birden fazla denetçi tarafından farklı şirketlerde yapılan denetimlerin kapsamlarının ve uyum kriterlerinin aynı şekilde değerlendirilebilmesini sağlar.

BT Süreç yönetimi: CobiT’in hemen hemen tüm BT fonksiyonlarını içeren bir çerçeve sunduğundan bahsetmiştik. Bu çerçeve sayesinde BT yöneticileri aşağıdaki soruların yanıtlarını CobiT’te bulabilir:

–          Hangi süreçleri oluşturmalıyım?

–          Bu süreçlerde hangi adımlara yer vermeliyim?

–          Rol ve sorumlulukları nasıl dağıtmalıyım?

–          Bu süreçleri ne kadar iyi uyguladığımı nasıl ölçebilirim?

 

İyi uygulamalar: CobiT, detaylı kontrol hedefleri sayesinde, her bir BT süreci için dünyada kabul görmüş en iyi uygulamaları da içermektedir. İyi uygulamalar, süreçte bulunması gerekli faaliyetleri, sorumlulukları, oluşturulması gereken rolleri, süreçlerin işlem sıralarını, süreçlerde kullanılması gereken girdileri ve oluşturulması gereken çıktıları ve buna benzer bilgileri içerir. Ek olarak, “CobiT control practices” dokümanında daha detaylı örnek alınabilecek kontrol tanımları bulunmaktadır.

Karşılaştırma aracı: İçerisindeki olgunluk modeli ile her bir BT sürecinin ne kadar olgun işletildiğinin belirlenmesi ve benzer şirketler ile karşılaştırılmasına da imkân vermektedir.

Türkiye’de CobiT

Türkiye’de CobiT’in kamuoyuna ilk yansıması BDDK’nın, bazı bankaları CobiT esaslı bir özel denetime tabi tutmasıyla gerçekleşti. Benzer bir çalışmanın 2006 yılında tüm bankalara genişletilerek zorunlu tutulması ve her iki yılda bir kez tekrar edilmesi sonucunda tüm bankalar CobiT ile tanışmış oldu. Başlangıçta yaşanan zorlukların ardından, bugün bakıldığında bankalar BT süreçlerini bir standarda uygun olarak yürütmenin meyvelerini daha kontrollü, verimli ve etkin bir BT şeklinde toplamaktalar.

Aslına bakarsanız, BDDK’nın denetim şartının çok öncesinde BT süreçlerini CobiT’e uygun şekilde yöneten bankalar bulunmaktaydı.

Fakat bankacılık CobiT’in görülebildiği tek yer değil elbette. Bankalara ek olarak, finans ve üretim sektörlerinde “olgun” sayılabilecek pek çok şirkette CobiT’i süreç yönetimi için kullanmakta. Bu konuda hem şirketlerdeki bilinç hem de bankacılık dışındaki sektörlere yönelik düzenlemeler de hızla gelişiyor.

CobiT sertifikasyonu

Gün itibariyle şirketler için bir CobiT’e uyum sertifikası yoktur. Ancak ISACA’nın CobiT 5.0 versiyonu ile birlikte bir uyum sertifikası oluşturma ve düzenleme planı bulunduğu gelen duyumlar arasında.

CobiT kaynakları

CobiT, kâr amacı gütmeyen bir kuruluş olan ISACA (“Information Systems Audit and Control Association”) ve ISACA tarafından kurulmuş olan ITGI (“IT Governance Institute”) tarafından yayınlanmaktadır.

CobiT’in en önemli kaynağı, ISACA tarafından yayınlanan CobiT 4.1 kitapçığıdır. Bu kitapçığın pdf versiyonu isaca.org/cobit adresinden ücretsiz olarak indirilebilir.

Ayrıca ISACA tarafından yayınlanan aşağıdaki kaynaklar bulunmaktadır:

CobiT Online: Isaca.org üzerinden üye olunarak ulaşılabilen ve CobiT ile ilgili tüm bilgilere ulaşılabilecek bir web sitesi

CobiT Control practices: Süreçlerin oluşturulması sırasında, CobiT Kontrol hedeflerinin sağlanabilmesi için oluşturulabilecek örnek kontroller

CobiT Assurance Guide: CobiT denetimlerinde sorgulanabilecek alanlar ve soru örnekleri

CobiT Quickstart: CobiT’in bütününün yerine deha kısıtlı bir versiyonunun uygulanması gereken durumlarda (kaynak sıkıntısı, süreç olgunluklarının çok düşük olması vb.) kullanılabilecek bir hızlı başlangıç versiyonu

CobiT eşleştirmeleri (mapping): CobiT’in farklı pek çok standart ile karşılaştırılması ve hangi alanların örtüştüğünün belirlenebilmesi için oluşturulmuş çeşitli dokümanlar

CobiT’in geleceği

CobiT’in şu andaki en son versiyonu CobiT 4.1’dir. Ancak, yaklaşık iki yıl önce başlayan çalışmalar sonucunda 5.0 versiyonunun yayınlanmasına çok yaklaşılmıştır. 2011 yılında yayınlanması beklenen yeni versiyon ile ISACA tarafından yayınlanan Risk IT ve Val IT’nin CobiT içerisinde birleştirilmesi, CobiT sertifikasyonunun mümkün hale getirilmesi gibi pek çok yenilik bekleniyor.

Türkiye’de ise her geçen gün farklı sektörlerdeki pek çok şirkette CobiT’in kullanıldığına şahit oluyoruz. Yasal düzenlemeler tarafında ise BDDK’nın yanı sıra  Hazine Müsteşarlığı ve SPK’nın da gelişmeleri izlediği ve BT’ye yönelik düzenlemelerinde CobiT’i göz önünde bulundurduğu bilinen konular.

Sonuç olarak, CobiT tüm dünyada olduğu gibi Türkiye’de de her geçen gün daha fazla şirket tarafından tanınıyor ve uygulanıyor. CobiT’in diğer standartlar ile uyumu, gözle görülebilen faydaları ve kendine özgü yaklaşımı ile bu gelişme hız kesmeyecek gibi.

COBIT ve ITIL Arasındaki Fark

CobiT ve ITIL’ın amaçları birbirinden farklı. Sınıflandırma yapılırken CobiT; Risk IT, Val IT, BMIS ve ISO38500 gibi standartlarla birlikte stratejik seviyede sınıflandırılıyor. ITIL ise MoF, ISO20000 vb ile birlikte operasyonel seviyede değerlendiriliyor. Farklı alanlarda ve seviyelerde oldukları için bu standartların hepsi birlikte kullanılmalı.

Kaynak: İlker Tutu, PwC, http://www.cozumpark.com/blogs/cobit-itil/archive/2010/11/21/cobit-nedir.aspx

COBIT Nedir?

Organizasyonların iş hedeflerini ve gereksinimlerini karşılayacak bilgilerin üretimi ve aktarımının hızlı, sürekli ve güvenli olarak sağlanabilmesi için teknoloji kullanımından kaynaklanan risklerin belirlenmesi, yönetimi ve kontrolünün etkin ve verimli olarak yapılması gerekmektedir. Kısaca “Teknoloji risklerini nasıl yöneteceğiz ve bağlı oldukları yapıyı daha
güvenli hale nasıl getireceğiz?” sorularının yanıtları, sadece bilgi işlem yöneticileri değil, teknoloji yoğun çalışan ve iş süreçlerine teknolojiyi entegre etmiş olan tüm kurumların yöneticileri için önem taşımaktadır.

CobiT, bu sorulara sistematik bir yaklaşım sergileyerek ve yönetsel ihtiyaçlara da yanıt verecek şekilde oluşturulmuş bir yöntemdir. İş Hedefleri’nin Bilgi İşlem Hedefleri’ne dönüşümü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getiren CobiT, Bilgi İşlem Teknolojileri için Kontrol Hedefleri anlamına (Control Objectives for IT and related Technologies) gelmektedir.

ITIL Nedir?

BT işletimine yönelik olarak en iyi uygulamaları kapsayan bir dizi kitaptır. 1980’lerin sonunda İngiliz hükümetinin bir kuruluşu tarafından geliştirilmiştir. ITIL’e ihtiyaç duyulmasının nedeni, genel olarak iş dünyasının BT’ye bağımlılığının giderek artması ve BT hizmetlerinin giderek karmaşık bir hal almasıydı. ITIL 1990’ların ortasında BT hizmet yönetimi konusunda de-facto standart haline gelmiştir. Yakın zamanlarda da ISO kapsamına alınmıştır. (ISO/ IEC 20000)

ITIL’in BT işletimindeki süreçlerini tanımlayan Hizmet Destek Süreçlerinin yanında BT işletimi ile ilgili olmak üzere müşteri ilişkilerini taktik seviyede yöneten Hizmet Teslim olmak üzere iki ana grupta topladığı disiplinleri vardır.

ISO 20000 HAKKINDA HERŞEY

ISO 20000 NEDİR BİLGİ TEKNOLOJİLERİ HİZMET YÖNETİM SİSTEMİ BELGESİ

ISO 20000-1 BELGESİ BİLGİ TEKNOLOJİLERİ HİZMET YÖNETİM SİSTEMİ STANDARDI

ISO 20000 Bilgi teknolojileri hizmet yönetimi sistemi en iyi uygulamalarının ve yönetim süreçlerinin tanımlandığı ve açıklandığı ITIL(Information Technology Infrastructure Library – Bilgi Teknolojisi Altyapı Kütüphanesi ) çalışmalarına dayanan bir standarttır. İş dünyasının giderek Bilgi Teknolojilerine bağımlı hale gelmesi ve BT hizmetlerinin giderek karmaşık bir hal alması nedeniyle ITIL’e ve dolayısıyla ISO 20000 Belgesi Bilgi teknolojileri hizmet yönetimi sistemine ihtiyaç duyulmaktadır.

ISO/IEC 20000 standartları iş ve müşteri yükümlülüklerini karşılamak için gereken yönetim hizmetlerini etkili olarak aktarabilmek amacıyla bütünleşik süreç yaklaşımını destekler. Bir kurumun etkili olarak islerliliği için birbiriyle bağlantılı birçok süreci belirlemesi ve yönetmesi gerekir. Kaynakların kullanıldığı ve girdilerin çıktıya dönüştürülebilmesi için yönetilen faaliyetler bir süreç olarak nitelendirilir. Çoğunlukla bir süreçteki çıktı diğer süreçte girdiyi oluşturur.

Hizmet yönetimi süreçlerinin bütünleşmesi ve uygulanması sürekli gelişim için gereken devamlı kontrol, büyük ölçüde verimlilik ve fırsatlar sağlar. Faaliyetleri ve süreçleri yerine getirmek için hizmet masasında, hizmet desteğinde, hizmet teslimindeki insanların ve hizmet takımlarının güçlü oluşturulmuş ve birbiriyle uyumlu olmaları gereklidir. Ayrıca süreçlerin etkili ve verimli olduğunu takip etmek için uygun araçlar gereklidir.ISO 20000 belgesi standartlarında belirtilen hükümlerin yerine getirilmesi için kalifiye ve ehliyetli insanların görevlendirilmesi istenen çıktının elde edilmesi için şarttır. ISO 20000 belgesi standartları herhangi bir anlaşmanın bütün hükümlerini tümüyle içeren bir doküman değildir. Bu standardı kullananlar, standartların doğru uygulanmasıyla yükümlüdürler. O nedenle standartlarda belirtilen yasal şartları kendi güncel mevzuatlarından takip etmek ve bu hükümleri bizzat kendileri yerine getirmek durumundadırlar. Bu standartlara göre her nasılsa belgelendirilmiş bir kuruluş, yasal şartları yerine getirmediyse hukuki yükümlülüklerden muaf sayılamaz.

ISO 20000 belgesi , ITIL’de detaylı olarak tariflenen aşağıdaki konuları ele almaktadır:
• Hizmet Seviye Yönetimi (Service e Level Management )
• Hizmet Raporlama (Service Reporting)
• Hizmet Süreklilik ve Kullanılabilirlik Yönetimi (Service Continuity And Availability Management)
• Hizmet Yönetimi için Bütçe ve Finans Yönetimi (Budgeting and accounting for IT services)
• Kapasite Yönetimi (Capacity Management )
• Bilgi Güvenliği Yönetimi (Information Security Management)
• İş ilişkileri Yönetimi (Business Relationship Management)
• Tedarikçi Yönetimi (Supplier Management)
• Olay Yönetimi (Incident Management)
• Problem Yönetimi (Problem Management)
• Konfigürasyon Yönetimi (Configuration Management)
• Değişim Yönetimi (Change Management)
• Sürüm Yönetimi (Release Management)

ISO 20000 Belgesi Standart Ailesi ve Gelişimi

ITIL tabanlı standartlaştırma çalışmaları ilk önce BS 15000 adı altında taslak bir standart olarak yayınlamıştır.

Aralık 2005’te ISO tarafından 2(iki) parçadan oluşan uluslar arası bir standart olarak ISO 20000 adı altında yayınlanmıştır:

ISO/IEC 20000-1:2005 Bilgi Teknolojileri  Hizmet Yönetimi Bölüm 1: Şartlar standardı, standart şartlarının yerine getirmek isteyen kullanıcılar için belgelendirme dahil genel şartları içerir. .

ISO/IEC 20000-2:2005 Bilgi Teknolojileri  Hizmet Yönetimi Bölüm 2: İyi uygulamalar standardı standardın maddelerine yönelik yalnızca iyi uygulamaları görmek isteyen kullanıcılara yol gösterici bilgileri içerir.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi Standardının Yararları

ISO 20000 Belgesi Bilgi Teknolojileri Hizmet Yönetim Sistemi de bilgi teknolojileri alanında faaliyet gösteren organizasyonların ve bilgi teknolojisi yararlanıcılarının istenilen çıktıyı elde etme başarısını gözleyen ve şartlarını iyileştirme amaçlı kullanılan bir standarttır. ISO 20000 standardı tüm yönetim sistemlerinde olduğu gibi , üst yönetimin kurum içerisinde oluşturduğu, uygulanan yöntemlere standart bir bakış açısı kazandırarak aynı işin her zaman aynı çıktıyı verecek şekilde planlandığı bir sistem olarak tanımlanır. Üst yönetimin isteği ve desteği olmadan bir yönetim sisteminin başarısı olanaksızdır.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi iyi kurulduğunda kullanıcılarına şu yararları sağlar:
• Artan hizmet kalitesi ve daha güvenir kurumsal destek,
• IT yeteneklerinin net olarak görülebilmesi,
• Var olan hizmetler hakkında daha net bir bilgi,
• Yeteneklerin doğru analizi ve iş tatmini ile daha motive çalışanlar,
• Müşteri ihtiyaçlarını doğru anlama ve doğru hizmet ve destek ile müşteri tatminin sağlanması,
• Hizmet süreçlerinde güvenlik, sürat ve erişilebilirlikte artış,
• BT yönetim ve işletim maliyetlerinin düşürülmesi,
• Etkin kaynak yönetimi ve kaynakların verimli kullanımı,
• İşlerin/problemlerin tekrar tekrar ele alınmasını engellenmesi,
• Gereksiz işlerin elimine edilmesi,
• BT hizmetlerinin erişilebilirliğinin artırılması,
• Müşteri, son kullanıcı ve iş ihtiyaçlarını karşılayan hizmetlerin sunulmasının garanti altına alınması,
• Hizmetlerin sunumunda yer alan kişilerin rol ve sorumlulukların belirlenmesi,
• BT ekiplerinin memnuniyetinin artması,
• Geçmiş deneyimlerden öğrenme sürecinin sağlanması,

ISO 20000 belgesi standardına uyumda ve beklenen başarının elde edilememe faktörleri şunlardır : 
• Çalışan uyum ve anlayış eksikliği,
• Eğitim eksikliği,
• Sorumluluk verilen çalışana karar verme ve uygulama için gerekli yetkinin verilmemesi,
• Başlangıçtaki heyecanın ve motivasyonun şiddetinin azalması,
• Başlangıç ve sürdürme için gerekli kaynakların ayrılmaması,
• Kurum stratejisine uymayan hazır çözümlerin kullanılması,
• Hemen sonuç alma beklentisi,
• Gerçekçi olmayan uygulama takvimi ve proje süresi,
• Sorumlu bir kişinin bulunmaması,
• Organizasyon kültürünü değiştirmenin zorluğu,
• Süreçlerle uyumlu olmayan araçların kullanımı,
• Uygun olmayan uygulama yaklaşımı (Proje yönetimi metodu bulunmaması),
• Süreç kapsamlarının uygunsuzluğu,
• Hizmet yönetimini uygulamanın zor ve yorucu görevlerinin takdir edilmemesi

Kaynak: http://www.isobelgesi.gen.tr/iso_20000-1_bilgi-teknolojileri-hizmet-yonetim-sistemi-belgesi-danismanlik-egitimi.htm

ISO 27001 HAKKINDA HERŞEY

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ NEDİR?

Büyüklüğü ne olursa olsun, ihtiyaç duyan tüm kurumların, kuruluşların bilgilerinin gizlilik, bütünlük ve erişebilirliklerini sağlamak amacı ile kurdukları bilgi güvenliği yönetim sistemini belgelendirmek, üçüncü taraflara kanıtlamak amacı ile aldıkları;
Bağımsız belgelendirme kuruluşlarının yaptıkları denetim sonucu düzenledikleri ve kurumdaki bilgilerin güvenliklerinin sağlanmasına yönelik sistematik bir uygulamanın olduğunun kanıtını sağlamak üzere “kurum” adına düzenlenen sertifikaya veya belgeye ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi veya ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası denir.

ISO 27001 belgesi için kurum ve kuruluların öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kurmaları uygulamaları gerekmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kuran firmaların uluslar arası boyutta tanınan ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi hususunda akredite olmuş kuruluşlardan denetim yaptırması ve bu denetimlerden başarı ile geçmesi gerekmektedir.

Bilgi güvenliğine önem veren kurum ve kuruluşların illa belgelendirilmeleri gerekmez ISO 27001 standardına göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmaları da yeterlidir. Fakat hiçbir sistem ve uygulama üçüncü taraf bir gözle kontrol edilmedikten ve denetlenmedikten sonra o sistemin etkinliğinden bahsedilemez.

ISO 27001 Bilgi Güvenliği Yönetim Sistemlerini belgelendirme isteyen kuruluşlar özellikle uluslar arası akreditasyon kuruluşlarından akredite olmuş belgelendirme kuruluşlarından ISO 27001 belgesini almalıdırlar. Akreditasyonsuz olarak verilen ISO 27001 belgesininhiçbir geçerliliği yoktur.

Piyasada ISO 27001 Belgesi bazen ISO 27000 belgesi şeklinde de adlandırılmaktadır. Bu durum aynen ISO 9000 belgesi veya ISO 9001 belgesi şeklinde adlandırıldığı gibidir. Gerçek ismi ISO 27001 belgesi veya ISO 27001 sertifikası olan bu belgenin ISO 27000 sertifikasıveya ISO 27000 belgesi şeklinde adlandırılması Bilgi güvenliği yönetim sistemi standartlar bölümünde de göreceğiniz üzere Bilgi Güvenliği Yönetim Sistemi standart ailesinin isminin ISO 27000 standartları geçmesi nedeni iledir. Bu söylemlerin doğrusu hangistandarda göre belgelendirme yapılıyorsa o standart adı ile belgenin söylenmesidir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak ve belgelendirmek bir firmaya şirkete veya kuruluşa Bilgi Güvenliği kavramının temel ilkelerini sağlamaktadır.

Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz:

• Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması),
• Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)
• Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ NASIL ALINIR?

Bir firmanın veya kurumun ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması ile ilgili detaylar aşağıdaki konularda geniş olarak anlatılacaktır.

ISO 27001 belgesini almak isteyen kuruluşlar nereden başlayacaklarını bilmiyorlarsa ISO 27001 belgesi nasıl alınır sorusunun cevabı özetle

• Bir ISO 27001 danışmanlık ve Eğitim Şirketinden ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık ve Eğitim Hizmetialarak Danışmanlık firmasından eğitimleri alırlar ve bire bir uygulamalı olarak ISO 27001 Standardının maddelerine göre sistem kurma çalışması yapabilirler.
• ISO 27001 Danışmanlık Eğitim şirketinden böyle bir hizmet almak istemeyen firmalar sistem kurma çalışmasında bulunacak personellerine Bilgi Güvenliği Yönetim Sitemlerine ait Eğitimleri aldırarak kendileri sistem kurmayı tercih edebilirler.
• Birinci veya ikinci maddeye göre hareket eden kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardına göre sistemi kurup dokümante ettikten sonra uygulamaları gerekmektedir.
• Sistem kurulup uygulanmalar ile ilgili kayıtlar oluştuktan sonra akredite olmuş ISO 27001 belgelendirme kuruluşlarına müracaat ederler.
• Kurum veya kuruluşlar ISO 27001:2005 standardına uygun olarak kurdukları Bilgi Güvenliği Yönetim Sisteminin uygulandığını bağımsızbelgelendirme kuruluşlarına kanıtladıkları taktirde; Bağımsız belgelendirme kuruluşları adına denetim yapan denetçiler, kurulan sisteminstandart ve şartlara göre yeterli olgunlukta olduğunu ve tüm kurum bileşenleri tarafından uygulandığını tespit ettikleri taktirde; Belgelendirme kuruluşuna ISO 27001 belgenin verilmesini tavsiye ederler.
Not: Belgelendirme kuruluşu ISO 27006 standardına göre hazırlanan denetim raporu üzerinden uygun bulması halinde ISO 27001 belgesinidüzenleyerek kuruma verir. Belgenin üzerinde “Uygulanabilirlik Bildirgesi” yayın tarihi ve revizyon durumu özellikle belirtilir.

ISO 27000 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARTLARI NELERDİR?

ISO 27000 standartları her geçen gün büyüyen ISO/IEC ISMS standart ailesinin bir parçasıdır. ISO 27000 standart serisi; ISO 27001,ISO 27002 ISO 27003 …vb Bilgi teknolojisi- Güvenlik teknikleri- Bilgi güvenliği yönetimi sistemleri-genel bakış ve tanımlarbaşlıklarını kapsayan uluslararası standartları içeren bir standart ailedir.

ISO 27000 Bilgi güvenliği standartları, diğer pek çok teknik konuda olduğu gibi karmaşık bir terminoloji ağı geliştirmektedir. Nispeten az sayıda yazar bu terimlerin tam olarak ne anlama geldiğini belirleme zahmetine katlanmakta ve bu da standartlar konusunda kabul edilemez, karışıklığa yol açabilecek değerlendirme ve belgelendirme sürecinin değerini azaltıcı bir yaklaşım olmaktadır. ISO 9000 ISO 14000 de olduğu gibi, ‘000’ temelli standartlar bu durumun önemini ortaya koymayı amaçlamaktadırlar.

ISO 27000 standartları, Uluslararası Standardizasyon Örgütü’nün ve Uluslararası Elektroteknik Komisyonu’nun ortaklığında kurulan Birleşik Teknik Komite’ye bağlı bir alt komite tarafından geliştirilmektedir. Şimdi bu standartları tanıyalım.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİNİ ALMAK ZORUNLU MU?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin alınması zorunluluğu kamu ve özel sektör olarak incelenebilir.

Özel Sektör de ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?

Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ıso 27001 bilgi güvenliği yönetim sistemi belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso 27001 belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir.

Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin kurumların 20.07.2010 tarihine kadar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
Elektronik Haberleşme Yönetmeliğinin ilgili maddesi; 11. maddesi ÜÇÜNCÜ BÖLÜM

İşletmecilerin Yükümlülükleri
Elektronik haberleşme güvenliğini sağlama yükümlülüğü

MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.

Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmalarını ve belgelendirme denetimine girerek ISO 27001 belgesini almaları gerekmektedir.

 Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?

Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.

Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar

10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi. Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir.

2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e-Dönüşüm Türkiye Projesinin 4.1.1.’ inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir.

05/08/2005 tarihli ve 25897 sayılı Resmi Gazete’de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik Esasları Rehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir.

2006 / 38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da vurgulanmaktadır.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ DANIŞMANLIK VE EĞİTİM HİZMETLERİ NEDİR NASIL ALINIR DANIŞMANLIK VE EĞİTİM FİRMASINDA ARANACAK ÖZELLİKLER

 iso 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi almak İsteyen kuruluşlar için Danışmanlık Hizmeti gerekli mi?

ISO 27001 danışmanlık firmasından danışmanlık almak zorunlu değildir Ancak ıso 27001 standardın şartlarını uygun bir çerçevede yerine getirmek, sistemi hızlı kurmak ve ıso 27001 standart gereklerini uyarlamak için danışmanlık alınması tavsiye edilir.

Hiçbir standart kendisinin kurulması için danışmanlık alınması gerekliliğini bir zorunluluk olarak ortaya koymaz. Fakat ISO 27001 Bilgi Güvenliği Standardına göre sistem kurmak kolay bir iş değildir Bu konuda profesyonel olan danışmanlık şirketlerinden hizmet almak çok akıllıca bir harekettir. Çünkü Bilgi güvenliği hususunda iyi bir danışman firma ise kuruluşunuzuISO 27001 standardının zorunlu olmadığız halde uygulamaya maruz bırakılacağınız bir çok maddesi ile ilgili maliyetten kurtarabilir veya sisteminizin daha kısa sürede ve etkin bir biçimde işlemesini sağlayabilir. Danışmanlık firmasında ISO 27001 bilgi güvenliği sistemini kurma için ödeyeceğiniz ücret sizin zorunlu olmadığınız halde veya riski üstlenebileceğiniz durumlar için harcayacağız ücret ve zamanın yanında çok küçük meblağlara tekabül etmektedir.

Örnek : 
Örneğin sistem kurarken yangın da bilgilerinizin bütünlülüğü ve ulaşılabilirliği ile ilgili risklerinizin olduğunu varsayalım mevcutta da bir manuel şekilde işleyen bir yangın söndürme sisteminizin olduğunun düşünelim size ISO 27001 bilgi güvenliği yönetim sisteminin bir şartı olarak otomatik yangın sistemi oluşturmanız gerektiği söylenebilir. Halbuki bazı riskler vardır ki üst yönetim bu konuda riski üstlenebilir ve riskin getirdiği tehlikelere katlanabilir. Riski üstlenme ve katlanma maliyetleri otomatik yangın sistemini kurmaktan daha az maliyet içerebilir.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi kurulumunda Şirketiniz Sürecin neresinden Başlamalı?

ISO 27001 Bilgi Güvenliği Yönetim Sistemine neden ihtiyaç duyuyorum, sorusuna yanıt aranmalıdır.
Bu soruya “ihtiyaç duyuyorum, çünkü … “ deniyorsa kurumun bilgi varlıklarının durumu değerlendirilmelidir.
Üst yönetim “bu yönetim sistemi benim için …” gereklidir diyorsa standardı karşılama yeteneklerine bakmalıdır.
Standardı karşılama yeteneklerini etkin / verimli / hızlı biçimde yerine getirme imkanlarını araştırmalıdır. Danışmanlık hizmeti bu aşamada gündeme gelebilir.
Konunun uzmanlarından veya bu alanda yazılmış rehberlerden, dokümanlardan, bu alanda verilen eğitimlerden yararlanılmadan yönetim sisteminin kurulumuna gidilmesi halinde süreçlerin istenildiğinden daha uzun zaman içinde ortaya çıkacağı kabul edilmelidir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Hizmetlerinde ne tür hizmetler alınır?

ISO 27001 danışmanlık firmasından ne tür hizmetler alınır sorusunun cevabı ISO 27001 danışmanlık firması asgari olarak aşağıdaki hizmetleri verir.

Bu hizmetlerin neler olduğuna geçmeden önce kuruluşun Üst yönetimin veya yönetim kurulunun ISO 27001 bilgi güvenliği sistemininkurulması için karar alması gerekmektedir.

Bu karar bağlamında eğer ihtiyaç duyuluyorsa sistemin kurulumu konusunda danışmanlık alınabilecek kişi / firmalarla bağlantıya geçecek, teklifleri toplayarak bu aşamayı kurumun kendi iç süreçleri ve prosedürleri içinde sonuçlandırmalıdır.

Danışmanlık firması seçiminde dikkat edilmesi gereken en önemli husus en ucuz fiyatı veren değil size daha az maliyette sistem kurmanızı sağlayacak referansları güçlü bir danışman firma ile çalışmanız tavsiyesinde bulunuyoruz. Danışman Firmanın bünyesinde en 1 adet ISO 27001 Baş Denetçi Sertifikasına sahip danışman bulunmalıdır.

ISO 27001 Danışmanlık firmasına karar verildikten sonra kurumunuz danışmanlık firması ile ISO 27001 Bilgi Güvenliği Danışmanlık hizmeti alımı anlaşması yapmalıdır. Danışmanlık hizmeti sözleşmesinde ISO 27001 bilgi güvenliği sistemi kurulum sürecin genel takvimi karşılıklı mutabakatla çıkartılmalı ve karara bağlanmalıdır.

Danışmanlık Firması ISO 27001 Bilgi güvenliği Yönetim Sistemi için aşağıdaki akış genel olarak yürütmektedir:

1. Bilgi Güvenlik Yönetim Sistemi Forumunun kurulması:
Danışman ve kurum içinde bir “ Bilgi Güvenliği Koordinasyon Grubu (BGKG)- Forumu”nun oluşturacaktır. Bu forum kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır.

2. Kurumun Mevcut Sistem ve Dokümantasyon Analizi:
Kurumda ISO 9001 KYS kurulu değil ise öncelikle temel ISO 9001 ve ISO 27001 standardının zorunlu tuttuğu ve ancak ISO 9001 tarafından sağlanması gereken prosedür ve süreçler yapılandırılacaktır. Bu süreç ISO 27001 bilgi güvenliği için temel yönetim omurgasını yapılandırmış olacaktır.
Eğer kurumda ISO 9001 kalite yönetim sistemi kurulu ise ISO 27001 bilgi güvenliği standardının istediği kimi prosedürler, proses ve talimatlar bu standart dokümantasyonun etkinliği kontrol edilecek ve eksiklikler belirlenecektir.

3. Bilgi Güvenliği Yönetim Sistemi kapsam ve sınırlarının belirlenmesi :
Temel ISO 9001 Kalite Yönetim sistemi yapılanmasının ardından kuruma dair ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirlenmesi aşaması gelmektedir. Özellikle belgelendirme aşamasında kapsam ve sınırlar denetimin en önemli unsurları olarak karşımıza çıkmaktadır.

4. BGYS Temel politikası ve diğer politikaların oluşturulması:
Yine ilk oturum içinde belirlenen kapsama bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanacaktır.ISO 27001 Temel Bilgi Güvenliği Yönetim Sistemi Politikası Forumun bir oturumunda karar bağlanacaktır ve Üst yönetim bu politikayı onaylayarak tüm kuruma duyuracaktır. Diğer politikalar sistem kurulumu aşamasında yapılandırılacaktır.

5. Varlıkların Belirlenmesi ve Sınıflandırılması :
Kurumdaki tüm varlık envanterinin çıkartılması gerekmektedir. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanacaktır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanacaktır.

6. Risk Analizi ve Değerlendirmesi Çalışmasının Yapılması:
Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılacaktır. Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılacaktır. Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenecektir. Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılmalıdır. Dahili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılmalıdır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil etmelidir.

7. Hazırlanan risk raporu üst yönetime sunulması:
Risk analiz raporu üst yönetime sunularak risklerle ilgili kararı verilecektir. Üst yönetimin risk üstlenme dokümanından sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulum çalışmalarına geçilecektir.

8. Risk işleme süreci sonuçlarına uygun TS ISO IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardının ekinde yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi:
Bu aşamada sistemin kurulması çalışmaları başlamaktadır. Kapsam, sınırlar, politikalar ve risk analizine bağlı olarak seçilen kontrol kriterleri yapılandırılacaktır.

9. Uygulanabilirlik Bildirgesinin hazırlanması:
Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği Uygulanabilirlik bildirgesihazırlanacaktır.

10. Sistem iç tetkiki ve Yönetimin gözden geçirilmesi yapılması:
Bu aşamada uygulamaya alınır. en az 30 günlük bir uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır.

11. Belgelendirme Kuruluşuna Müracaatın Yapılması :
Sistemin istenilen düzeyde çalışıyorsa Belgelendirme amaçlı Aşama-1 (Stage-1) sürecine gelinmiş olur ve bu aşamada kurumunuzu akredite olmuş belgelendirme kuruluşlarına müracaat etmesi fiyat teklifi alması gerekir.

12. Birinci Aşama Belgelendirme Denetiminin Yapılması :
Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu belgelendirmeci kuruluşun saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmetdanışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda2. Aşama Belgelendirme Denetimine geçilir.

13. İkinci Aşama Belgelendirme Denetiminin Yapılması :
İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. Danışmanlık firması 1. Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.

14. ISO 27001 Belgesinin Sertifikasının Basılması:
Denetimlerden başarı ile geçmesi durumunda Belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini firmanıza gönderir.

15. ISO 27001 Danışmanlık Firması Teknik Destek Danışmanlık Hizmeti:
Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir. Bu hizmeti almak tamamen kuruluşunuza bağlıdır.

Kaynak: http://www.isobelgesi.gen.tr/iso_27000_27001_belgesi_nedir.htm

BS 25999 İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ STANDARDININ İÇERİĞİ

1   Kapsam

2   Terimler ve Tarifler

3 İş Süreklilik Yönetim Sisteminin Planlanması

3.1 Genel

3.2 BCMS Kurulması ve Yönetilmesi

3.2.1 BCM Kapsamı ve Hedefleri

3.2.2 BCM Politikası

3.2.3 Kaynakların Sağlanması

3.2.4 BCM Personelinin Yeterliliği

3.3 BCM nin Organizasyon Kültürüne Sokulması

3.4 BCMS Dokümantasyonu ve Kayıtları

3.4.1 Genel

3.4.2 BCMS Kayıtlarının Kontrolü

3.4.3 BCMS Dokümantasyonunun Kontrolü

4 BCMS nin Uygulanması ve Operasyonu

4.1 Organizasyonu Anlamak

4.1.1 İş etki analizi

4.1.2 Risk Değerlendirme

4.1.3 Tercihlerin Belirlenmesi

4.2 İş Süreklilik Stratejisinin Belirlenmesi

4.3 BCM Tepkisi Geliştirilmesi ve Uygulanması

4.3.1 Genel

4.3.2 Olay tepki yapısı

4.3.3 İş süreklilik planları ve olay yönetim planları

4.4 BCM düzenlemelerinin denenmesi, sürekliliğinin sağlanması ve gözden geçirilmesi

4.4.1 Genel

4.4.2 BCM denemesi(tatbikatı)

4.4.3 BCM düzenlemelerinin sürekliliğinin sağlanması ve gözden geçirilmesi

5 BCMS nin İzlenmesi ve Gözden Geçirilmesi

5.1 İç tetkik

5.2 BCMS nin yönetim gözden geçirmesi

5.2.1 Genel

5.2.2 Gözden geçirme girdisi

5.2.3 Gözden geçirme çıktısı

6 BCMS nin iyileştirilmesi ve sürekliliğinin sağlanması

6.1 Düzeltici ve önleyici faaliyetler

6.1.1 Genel

6.1.2 Önleyici faaliyet

6.1.3 Düzeltici faaliyet

6.2 Sürekli iyileştirme

Kaynak: http://www.isobelgesi.gen.tr/BS-25999-is-surekliligi-yonetim-sistemi-belgesi-nedir-nasil-alinir.htm

BS 25999 STANDARDINDA GEÇEN TERİMLER VE TARİFLER

BS 25999 Standardının bu bölümü için aşağıdaki tanımlar uygulanır.

Aktivite :  Organizasyon tarafından (ya da adına) gerçekleştirilen, bir ya da daha çok sayıda ürün ya da hizmetin üreten ya da desteleyen proses ya da proses dizisi.

Not: Bu proseslere örnekler hesaplar, çağrı merkezi, IT, üretim ve dağıtımı içerir.

 

Denetim :  Faaliyetlerin ve ilgili sonuçların planlanan düzenlemeleri karşılayıp karşılamadığını ve bu düzenlemelerin etkin olarak uygulanıp uygulanmadığı ve organizasyonun politika ve hedeflerini başarmaya uygun olup olmadığının belirlendiği sistematik değerlendirmeler.

İş sürekliliği : Önceden belirlenmiş kabul edilebilir seviyelerde iş operasyonlarının devam edebilmesine yönelik olarak, olay ve iş kesintilerine tepki gösterebilme ve planlama için organizasyonun stratejik ve taktiksel becerisi.

İş sürekliliği yönetimi (BCM) :  Organizasyona yönelik potansiyel tehditler ve bunların iş operasyonlarına etkilerini tanımlayan, organizasyonun ortaklarını, saygınlığını, markasını ve değer yaratan faaliyetlerini koruyan etkin tepki kabiliyeti ile organizasyon esnekliğinin sağlanması için bir çerçeve sağlayan bütün yönetim prosesidir.

Not: İş süreklilik yönetimi bir iş kesintisi durumunda iş faaliyetlerinin sürekliliğini ya da kaldığı yerden devamını sağlama uygulamalarının yönetimini ve iş süreklilik planlarının geçerli ve güncel olmasını sağlamak için eğitim, deneme ve gözden geçirmeler yoluyla tüm programın yönetimini kapsar.

İş süreklilik yönetimi döngüsü :  İş süreklilik yönetim programının tüm öğelerini ve aşamalarını kapsayan iş süreklilik faaliyet dizisi.

İş süreklilik yönetim personeli : BCMS de sorumlulukları tanımlanan, BCM politikası ve uygulanmasından sorumlu, BCMS yi uygulayan ve sürekliliğini sağlayan, iş sürekliliğini ve olay yönetimini geliştiren ya da uygulayan, bir olay sürecinde yetki sahibi olan kişi ya da kişiler.

İş süreklilik yönetim programı : Üst yönetim tarafından desteklenen ve potansiyel kayıpların etkisinin tanımlanmasında, kurtarma strateji ve planlarının hazır bulunmasında gerekli adımların atılmasını ve eğitim, deneme, süreklilik ve gözden geçirme yoluyla ürün ve servislerin sürekliliğinin sağlanmasında işletilen devam eden yönetim ve idari proses.

 

İş süreklilik yönetim tepkisi : Kritik faaliyetlerin ve olay yönetiminin sürekliliğini sağlayan uygun planlama ve düzenlemelerin uygulanması ve geliştirilmesi ile ilgili BCM öğeleri.

İş süreklilik yönetim sistemi (BCMS) : Genel yönetim sisteminin, iş sürekliliği ile ilgili bölümünü yayınlayan, uygulayan, işleten, izleyen, gözden geçiren, sürekliliğini sağlayan ve iyileştiren bölümü.

Not: Yönetim sistemi organizasyon yapısını, politikaları, planlama faaliyetlerini, sorumlulukları, prosedürleri, prosesleri ve kaynakları da içerir.

İş süreklilik planı (BCP) : Organizasyonun önceden belirlenmiş kabul edilebilir bir seviyede kritik faaliyetlerini sürdürebilmesini sağlamak için kullanıma hazır bulundurulan geliştirilmiş, uygunluğu sağlanmış ve sürekliliği sağlanmış bilgi ve prosedürlerin dokümantasyonu

İş süreklilik stratejisi : Bir afet ya da diğer önemli olay ya da iş kesintileri durumunda devamlılığı ve kurtarmayı sağlayan organizasyon yaklaşımı.

İş etki analizi (BIA) : İş fonksiyonlarının analizi ve iş kesintilerinin bunlar üzerinde yaratabileceği etki.

Sonuç :  Organizasyonun hedeflerini etkileyecek olay çıktısı.

Not 1: Bir olaydan kaynaklanan bir dizi sonuç olabilir.

Not 2: Bir sonuç kesin ya da kesin olmayan şekilde ortaya çıkabilir ve organizasyon hedeflerine pozitif ya da negatif yönde etkili olabilir.

Maliyet-fayda analizi : Bir çözümü uygulamanın maliyetini ölçen ve bu çözümden elde edilen fayda ile karşılaştıran finansal teknik.

Not: Fayda finansal, saygınlık, servis sağlama, yönetmelik ya da organizasyona uygun diğer terimlerle ifade edilebilir.

Kritik faaliyetler : Organizasyonun en önemli ve zaman-kısıtlı hedeflerine ulaşmasını sağlayan anahtar ürün ve servislerin gerçekleştirilmesi için yürütülmesi gereken faaliyetler.

Kesinti : Organizasyonun hedefleri ile ilgili ürün ya da servislerin gerçekleştirilmesinde beklenenden plansız ve negatif yönde sapmaya neden olan, beklenilen(örn, finansal kriz ya da fırtına) ya da beklenilmeyen (örn; deprem) olaylar.

Deneme (tatbikat) : Uygulamaya koyulduğunda istenilen sonuçları vermesini sağlamak için iş süreklilik planlarının kısmen ya da bütün olarak prova edildiği faaliyetler.

Not: Bir deneme iş süreklilik prosedürlerine başvurulmasını içerebilir ancak gerçek bir olaya öncelik olması açısından ve ne gibi konuların ortaya çıkabileceğinin değerlendirilmesi için, kişilerin rol aldığı, haberli ya da habersiz bir iş süreklilik olayının simülasyonunu içermesi daha çok tercih edilir.

Kazanım : Pozitif sonuç

Etki : Bir çıktının hesaplanan sonucu

Olay : Bir iş kesintisine, kaybına, acil duruma ya da krize neden olabilecek ya da sevk edebilecek durum

Olay yönetim planı (IMP) : Tipik olarak anahtar personel, kaynaklar, servisler ve olay yönetim prosesinin uygulanması için gerekli faaliyetleri kapsayan, olay anında kullanıma hazır halde bulunan, açıkça tanımlanmış ve dokümante edilmiş eylem planı

İç tetkik : Organizasyonun yönetiminin gözden geçirilmesi ya da diğer dahili amaçlar için ya da organizasyonun kendi uygunluk beyanına temel oluşturabilecek, organizasyonun kendisinin ya da adına bir tarafca düzenlenen tetkik

Not: Çoğu zaman, özellikle küçük organizasyonlarda, bağımsızlık tetkiki yapılan faaliyetten bağımsızlık ile gösterilebilir.

Başvuru : Organizasyonun anahtar ürün ya da servislerinin sürekliliği için iş süreklilik planlarının uygulamaya koyulmasının gerekliliğinin beyan edildiği eylem.

Olabilirlik : Tanımlanmış, ölçülmüş ya da nesnel ya da öznel olarak tahmin edilmiş ya da genel tabirlerle (örn; az, hemen hemen hiç, çoğunlukla, genelde, kesinlikle), sıklıklarla (frekans) ya da matematiksel olasılık değerleriyle ifade edilmiş bir şeyin olma şansı.

Not 1: Olabilirlik niteliksel ya da niceliksel ifade edilebilir.

Not 2: ‘Olasılık’ kelimesi İngilizce dışındaki bazı dillerde eşit karşılığı olmadığından ‘Olabilirlik’ kelimesi yerine kullanılabilir. Çünkü ‘olasılık’ İngilizcede genellikle daha resmi olarak matematiksel bir terimi ifade eder; ‘Olabilirlik’ bu standartta ‘olasılık’ anlamını ifade edecek şekilde kullanılmıştır.

Kayıp : Negatif sonuç

Yönetim sistemi : Politika ve hedefler kuran ve bu hedefleri yakalayan sistem.

Kabul edilebilir maksimum kesinti periyodu : Ürün ve servis gerçekleştirmenin devam ettirilemezse organizasyonun finansal kapasitesinde geri dönüşü olmayan tehdit süreci.

Uygunsuzluk : Bir gerekliliğin yerine getirilmemesi.

Organizasyon : Sorumluluk, yetki ve ilişki düzenlemelerine sahip bir grup kişi ve olanaklar.

Örnek: Şirket, ortaklık, firma, kurum, enstitü, dernek, şahıs firması

Not 1: Düzenlemeler genel olarak yasaldır.

Not 2: Organizasyon özel ya da kamusal olabilir.

Proses : Girdileri çıktılara dönüştüren ilişkili ya da etkileşimli faaliyetler dizisi.

Ürün ve servisler : Organizasyon tarafından müşterilerine, alıcılarına ya da kar ortaklarına sağlanan fayda sağlayıcı çıktılar. Örn; fabrika ürünleri, araba sigortası, yasal uygunluk ve kamusal yardım.

Kurtarma süre hedefi : Bir olay sonrasında ürün, servis ya da faaliyet gerçekleştirmenin kaldığı yerden devamı için ayarlanmış süre hedefi

Not: Kurtarma süre hedefi, kabul edilebilir maksimum kesinti periyodundan daha kısa olmalıdır.

Esneklik : Organizasyonun bir olaydan etkilenmeye karşı direnme kabiliyeti.

Kaynaklar : Organizasyonun çalışması ve hedeflerine ulaşması için kullanması gereken tüm değer, kişi, bilgi, teknoloji (yerleşke ve ekipman dahil)

Risk :  Gerçekleşebilecek bir durum ve bunun hedeflerin başarılması üzerindeki etkisi(leri).

Not 1: “risk” kelimesi çeşitli şekilde kullanılmaktadır; isim olarak (bir risk ya da riskler), fiil olarak (bir şeyi riske etmek ya da bir şeyi riske sokmak) ya da sıfat olarak (riskli) kullanılabilir. İsim olarak kullanılan “risk” kelimesi potansiyel bir olay, bunun sonuçları, bir şeyin olma şansı (ihtimali) ya da bunun gibi olayların etkileri ile ilgilidir. Risk yönetiminde (bknz. 6.5), “risk” kelimesinin bu çeşitli kullanımlarının açık şekilde ayrılabilmesi önemlidir.

Not 2: Risk özel bir hedefle ilişkin tanımlanır; bu durumda herhangi bir risk kaynağına ilişkin risk olası birden fazla ölçümleri bir dizi hedef için uygulanır.

Not 3: Risk çoğunlukla, “beklenen değer” elde etmek için her bir sonucun ihtimaline ilişkin, her bir olası sonucun ağırlıklandırılmasına ait birleşik etkilerin özetlenmesi ile elde edilen ortalama bir etki olarak niceliksel bir değerdir. Ancak olası sonuçların sınıflandırılması ile ilgili niceliksel bir algılama için olasılık dağılımları gereklidir. Alternatif olarak, standart sapma gibi özet istatistikler de “beklenen değere” ek olarak kullanılabilir.

*Çevirmenin Notu: Not 1 de yapılan açıklama İngilizcede “risk” kelimesinin isim ve fiil hallerinin kullanımının aynı olmasından kaynaklanmaktadır (isim-risk; fiil- to risk; sıfat-risky). Türkçenin sondan eklemeli bir dil olması sebebiyle böyle bir karmaşa yaşanmayacaktır.

Risk değerlendirme : Risklerin belirlenmesi, analizi ve değerlendirilmesi ile ilgili tüm proses.

Risk yönetimi :  Risklere yönelik tanımlama, analiz, değerlendirme ve kontrol görevlerine yönelik olarak yönetim kültürü, politikası, prosedür ve uygulamaların yapılandırılmış gelişimi ve uygulanması.

Kar ortakları : Organizasyon başarılarına tasarruf hakkını veren kişiler.

Not: Bu, dış kaynaklı çalışanlar, müşteriler, tedarikçiler, partnerler, personel, dağıtımcılar, yatırımcılar, garantörler, kar ortakları, şirket sahipleri, yönetim ve yönetmelik yapıcılar.

Sistem :  Birbiri ile ilişkili ya da sıralı öğelerden oluşan bir faaliyet seti.

Üst yönetim :  Organizasyonu en üst seviyede yöneten ve kontrol eden kişi ya da grup.

Kaynak: http://www.isobelgesi.gen.tr/BS-25999-is-surekliligi-yonetim-sistemi-belgesi-nedir-nasil-alinir.htm

BS 25999 STANDARDININ KAPSAMI

BS 25999 STANDARD SERİSİ

BS 25999 STANDARD AİLESİ

BS 25999 İş Sürekliliği Yönetim Sistemi Standardı ,tüm dünyadaki iyi iş sürekliliği uygulamalarının British Standard Institu (BSI) tarafından yayınlanmış bir standart serisidir.  Bu İngiliz Standardı BSI tarafından Kasım 2007 de uygulamaya koyulmuştur. Standart BCM/1 Teknik Komitesi yetkisi altında bulunan Panel BCM/1/-/2 tarafından hazırlanmıştır.

BS 25999 İş Sürekliliği Yönetim Sistemi Standardı , endüstriyel, ticari, kamu ya da gönüllülük esasına dayalı alanlarda çalışan küçük, orta ve büyük ölçekli organizasyonların kullanımı için, iş sürekliliğine en iyi uygulamaların temel alındığı bir yönetim sistemi yaklaşımına yönelik gerekliliklerin tanımlanması için oluşturulmuştur.

BS 25999 standardı, İş Sürekliliği Yönetim Sistemi standart serisi, BS 25999-1 standardı ve BS 25999-2 standardı olmak üzere iki bölüm halinde yayınlanmıştır:

BS 25999-1 Standardı Bölüm 1: Uygulama Şartlarını açıklayan rehber niteliğinde kullanılan bir standarttır.

BS 25999-2 standardı Bölüm 2 ise belgelendirme kuruluşlarını da kapsayan dahili ve harici taraflarca organizasyonun yönetmelik, müşteri ve kendi kurumsal gerekliliklerini karşılama becerisini değerlendirmek amacıyla kullanılmak üzere şartları belirten standarttır.

Organizasyonlar tarafından BS 25999 Standartlarının başarılı şekilde uygulandığı kanıtlanmak istendiği durumlarda bu standartların uygulamaları referans olarak gösterilebilir tüm diğer yönetim sistemi standartlarında olduğu gibi bu, bu standart da proses yaklaşımı benimsenmiş ve ilkeleri Planla-Yap-Kontrol et-Uygula (PUKO) döngüsü paralelinde geliştirilmiştir.

BS 25999 BÖLÜM 2 ŞARTLAR STANDARDI GENEL İLKELERİ

BS 25999 İş Sürekliliği Yönetim Sistemi Standardı etkin bir iş süreklilik yönetim sisteminin (BCMS) oluşturulması ve yönetilmesi için gereklilikleri tanımlar.

Bu, aşağıda sıralananların önemini vurgular:

a)   İş süreklilik ihtiyaçlarının ve iş sürekliliği için politika ve hedefler oluşturulmasının gerekliliğinin anlaşılması;

b)   Organizasyonun tüm iş süreklilik risklerinin yönetilmesi için kontrol ve ölçümlerin uygulanması ve çalıştırılması;

c)   BCMS nin performansının ve etkinliğinin izlenmesi ve gözden geçirilmesi;

d) Objektif ölçümleri temel alan sürekli iyileşme.

Bir BCMS, diğer yönetim sistemleri gibi, sıralanan anahtar öğelere sahiptir:

a)   Politika;

b)   Tanımlanmış sorumluluklar ile personel;

c)   Aşağıdakilere ilişkin yönetim prosesleri:

1)   Politika;

2)   Planlama;

3)   Uygulama ve operasyon;

4)   Performans değerlendirme;

5)   Yönetimin gözden geçirmesi;

6)   İyileştirme;

d) Denetlenebilir kanıt sağlayan bir dizi dokümantasyon;

e)   Konuyla ilişkili, bu durumda iş sürekliliği ile ilişkili, özel prosesler. Örneğin; iş etki analizi (BIA) ve iş süreklilik planı geliştirme.

Planla-Yap-Kontrol et-Uygula Döngüsü (PUKO)

BS 25999 İş Sürekliliği Yönetim Sistemi Standardı , organizasyonun BCMS inin kurulması, uygulanması, işletilmesi, izlenmesi, denenmesi, sürekliliğinin sağlanması ve etkinliğinin iyileştirilmesi için PUKO döngüsünü kullanır. Bu uygulama, diğer yönetim sistemleri ile (BS EN ISO 9001:2000, BS EN ISO 14001:2004, BS ISO/IEC 27001:2005, BS ISO/IEC 20000:2005) uygunluğu sağlar; böylece ilgili yönetim sistemleriyle entegre bir uygulama bu uygunluk ile desteklenmiş olur.

Planla	Organizasyonun tüm politika ve hedefleri ile uyumlu sonuçlar alabilmek için risk yönetimi ve iş sürekliliğini iyileştirici politika, amaç, hedef, kontrol, proses ve prosedürler oluştur.
Yap	İş süreklilik politika, kontrol, proses ve prosedürlerini uygula
Kontrol et	İş süreklilik hedef ve politika performansını izle, gözden geçirme için yönetime raporla, iyileştirme ya da değişiklik eylemlerini belirle.
Uygula	Gözden geçirme sonuçlarını temel alan düzeltici ve önleyici faaliyetler ile BCMS sürekliliğini ve iyileşmesini sağla.

Her bir faaliyet için PUKO döngüsünün kabul edilen geniş kapsamlı yaklaşımı BS 25999-1 standardı ile açıklanmıştır.  Bu adımsal proses iş sürekliliğinin kurulmasını ve devamlı olarak yönetilmesini sağlar (iş süreklilik yönetim döngüsünün her bir öğesi ile ilgili açıklama için)

BS 25999 İş Sürekliliği Yönetim Sistemi Standardı ile paralellik sağlanması adına, bundan sonraki numaralandırmalarda BS 25999-2 standart maddeleri paralelinde numaralandırma yapılmıştır.

BS 25999 İş Sürekliliği Yönetim Sistemi Standardı , organizasyonun tüm iş risklerinin yönetimini kapsayan dokümante edilmiş bir BCMS nin planlanması, kurulması, uygulanması, operasyonu, izlenmesi, gözden geçirilmesi, denenmesi, sürekliliğinin sağlanması ve iyileştirilmesi için gereklilikleri tanımlar.

BS 25999 İş Sürekliliği Yönetim Sistemi Standardında tanımlanan gereklilikler geneldir ve işin doğasına, büyüklüğüne ve tipine bakılmaksızın her organizasyona (ya da organizasyonun bölümlerine) uygulanmaya yöneliktir. Bu gerekliliklerin uygulanma kapsamı, organizasyonun operasyon alanına ve karmaşıklığına bağlıdır.

BS 25999 İş Sürekliliği Yönetim Sistemi Standardı tek tipli bir BCMS yapılandırmasına değil organizasyonun BCMS yi kendi ihtiyaçlarına ve kar ortaklarının gereksinimlerine göre dizaynına yöneliktir. Bu ihtiyaçlar yönetmelik, müşteri ve iş gereklilikleri, ürün ve servisler, işletilen prosesler, organizasyonun büyüklüğü ve yapısı ve kar ortaklarının gereksinimleri ile şekillenir.

BS 25999 İş Sürekliliği Yönetim Sistemi Standardı , organizasyonun iş süreklilik gereklerini, müşteri, yasa ya a yönetmelik gereklerini karşılamadaki yeterliliğini değerlendirmek amacıyla dahili ya da harici taraflarca da kullanılabilir.

Kaynak: http://www.isobelgesi.gen.tr/BS-25999-is-surekliligi-yonetim-sistemi-belgesi-nedir-nasil-alinir.htm