ISO 22301 İş Sürekliliği Yönetim Sistemleri
ISO 22301 Nedir?
ISO 22301 uluslararası bir standart olup, kuruluşların iş sürekliliği yönetim sistemini (İSYS) kurması, uygulaması, sürdürmesi ve sürekli iyileştirmesi için gereklilikleri belirler. ISO 22301 , işletmelerin beklenmedik olaylar (doğal afetler, siber saldırılar, salgın hastalıklar, tedarik zinciri kesintileri vb.) karşısında kritik faaliyetlerini sürdürmesini veya en kısa sürede eski haline dönmesini sağlamak için bir çerçeve sunar.
ISO 22301 , sadece büyük şirketlere değil, büyüklüğü, sektörü veya yapısı ne olursa olsun tüm kuruluşlara uygulanabilir. Amacı, olası riskleri önceden belirleyerek bir kriz anında en az hasarla durumu yönetebilmektir.
ISO 22301 Standartının Gereklilikleri (Kapsamı)
ISO 22301 , diğer yönetim sistemi standartlarına benzer şekilde, "Planla-Uygula-Kontrol Et-Önlem Al" (PUKÖ) döngüsünü temel alır. Başlıca gereklilikleri şunlardır:
Kuruluşun Bağlamı: İş sürekliliği yönetim sisteminin kapsamını, kuruluşun iç ve dış faktörlerini, ilgili tarafları ve beklentilerini belirlemek.
Liderlik: Üst yönetimin iş sürekliliği politikasına olan bağlılığını göstermesi, rollerin ve sorumlulukların belirlenmesi.
Planlama: İş sürekliliği hedeflerini belirleme, riskleri ve fırsatları ele alma, kaynakları planlama. Bu aşama, standartın en kritik bölümü olan iş etki analizi (BIA) ve risk değerlendirmesini içerir.
- İş Etki Analizi (BIA): Bir kesinti durumunda kritik iş fonksiyonlarının ve süreçlerinin ne kadar etkileneceğini, finansal ve operasyonel kayıpları, yasal ve itibari zararları değerlendirir.
- Risk Değerlendirmesi: Kritik süreçleri tehdit edebilecek riskleri belirler ve bu risklerin gerçekleşme olasılığı ile potansiyel etkilerini değerlendirir.
Destek: İSYS için gerekli kaynakların (insan, altyapı, bilgi vb.) sağlanması, yetkinliklerin oluşturulması, farkındalığın artırılması ve dokümante edilmiş bilginin kontrolü.
Operasyon: İş sürekliliği stratejilerinin, prosedürlerinin ve planlarının uygulanması. Bu aşama, kriz yönetimi, kesinti durumunda iletişim ve kurtarma stratejilerini içerir.
Performans Değerlendirmesi: İSYS'nin etkinliğini izleme, ölçme, analiz etme ve değerlendirme. İç denetimler ve yönetim gözden geçirmeleri bu aşamada yapılır.
İyileştirme: İç denetimlerden ve yönetim gözden geçirmelerinden elde edilen bulgulara göre düzeltici faaliyetlerin yapılması ve sistemin sürekli olarak iyileştirilmesi.
ISO 22301 Hazırlık ve Uygulama Aşaması
Üst Yönetimin Taahhüdü: Üst yönetim, İSYS'yi kurma kararı alır ve bu sürece liderlik eder. Bir iş sürekliliği ekibi oluşturulur.
Kapsamın Belirlenmesi: Belgelendirmenin hangi iş birimlerini, süreçlerini ve lokasyonlarını kapsayacağı netleştirilir.
İş Etki Analizi (BIA) ve Risk Değerlendirmesi: Kuruluşun kritik süreçleri belirlenir, kesinti durumunda oluşacak potansiyel etkiler analiz edilir ve olası tehditler değerlendirilir.
Stratejilerin Geliştirilmesi: BIA ve risk değerlendirme sonuçlarına göre, iş sürekliliği stratejileri (örneğin, alternatif lokasyonlar, yedekleme sistemleri, personel yedeği) belirlenir.
Plan ve Prosedürlerin Oluşturulması: Kriz anı için detaylı iletişim planları, kurtarma prosedürleri ve iş sürekliliği planları hazırlanır.
Eğitim ve Farkındalık: Personelin iş sürekliliği politikası, planları ve rolleri hakkında bilgilendirilmesi sağlanır.
Test ve Tatbikat: Hazırlanan planların ne kadar etkili olduğunu görmek için düzenli tatbikatlar ve senaryo testleri yapılır. Bu testler, planlardaki zayıf noktaları ortaya çıkarır.
İç Denetim: Uygulanan İSYS'nin, standart gerekliliklerine ve kuruluşun kendi belirlediği kriterlere uygunluğunu kontrol etmek için iç denetimler yapılır.
Yönetim Gözden Geçirme: Üst yönetim, İSYS'nin performansını ve etkinliğini değerlendirmek için düzenli toplantılar yapar.
ISO 22301 Belgelendirme Adımları ve Süreçleri
ISO 22301 belgelendirme süreci bazı aşamalardan oluşmaktadır.
ISO 22301 Belgelendirme Denetimi;
Belgelendirme Kuruluşu Seçimi ve Denetim: Yetkili bir belgelendirme kuruluşu (ANKA GLOBAL gibi) ile anlaşılır.
Belgelendirme kuruluşu denetçileri, hazırlanan İSYS dokümanlarını (politika, prosedürler, risk analizi, BIA raporu vb.) inceler. Bu aşama, sistemin olgunluğunu ve gereklilikleri karşılayıp karşılamadığını belirler. Denetim ekibi kuruluşun operasyonel süreçlerini yerinde inceler. Hazırlanan planların uygulanabilirliğini, personelin farkındalığını ve sistemin genel etkinliğini kontrol eder.
Uygunsuzlukların Giderilmesi: Denetim sırasında tespit edilen uygunsuzluklar (varsa), kuruluş tarafından belirlenen bir süre içinde giderilmelidir.
Belgenin Verilmesi: Tüm uygunsuzluklar giderildikten sonra, belgelendirme kuruluşu ISO 22301 sertifikasınıyayınlar.
Gözetim Denetimleri: Sertifika, genellikle üç yıl geçerlidir. Bu süre içinde, belgelendirmenin sürdürülüp sürdürülmediğini kontrol etmek için minimum her yıl gözetim denetimleri yapılır.
Yeniden Belgelendirme: Üç yılın sonunda, belgenin yenilenmesi için yeniden belgelendirme denetimi gerçekleştirilir.
ISO 22301’ in Kuruluşa Faydaları
ISO 22301 belgelendirmesi, kuruluşlara pek çok önemli avantaj sağlar:
Dirençliliği Artırma: Kuruluş, beklenmedik olaylara karşı daha hazırlıklı olur ve bu olayların iş üzerindeki etkisini minimuma indirir. Kritik süreçlerin kesintiye uğramaması veya hızla kurtarılması sağlanır.
İtibar ve Güven Artışı: Müşteriler, tedarikçiler ve diğer paydaşlar nezdinde güvenilir ve proaktif bir imaj sergiler. Bu, iş ilişkilerini güçlendirir ve pazarda rekabet avantajı sağlar.
Yasal ve Yasal Uyum: Bazı sektörlerde veya ülkelerde yasal bir gereklilik olabilir ISO 22301 , kuruluşun bu gerekliliklere uyum sağladığını kanıtlar.
Rekabet Avantajı: Özellikle kamu ihalelerinde veya büyük şirketlerle iş birliği yaparken, belgelendirme, diğer rakiplerden ayrışmayı sağlar ve bir tercih sebebi olabilir.
Mali Kayıpları Azaltma: Kesintilerin önlenmesi veya süresinin kısaltılması, operasyonel ve finansal kayıpları önemli ölçüde azaltır.
Sürekli İyileştirme Kültürü: Standart, kuruluş içinde risk yönetimi ve sürekli iyileştirme kültürü oluşturur. Bu, sadece kriz anları için değil, günlük operasyonlarda da verimliliği artırır.
Tedarik Zinciri Yönetimi: Tedarikçilerin de iş sürekliliği planlarının olmasını talep ederek, kendi tedarik zincirlerinin güvenliğini artırır.
ANKA GLOBAL; başvurulan standart için sadece belgelendirme sürecinde uygunluk değerlendirme hizmeti yürütmektedir. Başvuru kapsamındaki standart için danışmanlık hizmeti sunmamaktadır.