İş davamlılığının idarə edilməsinə daxili audit baxışı

Fuad Kələşli

Yaşadığımız bu fövqəladə dövrdə bir çox təşkilatlar iş davamlılığının və fəlakətdən sonra bərpa planlamasının vacibliyi haqqında ağır dərslər öyrənirlər. Təəssüf ki, bunlar çoxlarının təkrarlaya biləcəyi dərslərdir. Son hadisələr fəlakətdən bərpa və iş davamlılığının planlaşdırılmasının lüks deyil, müasir dünyada iş aparmaq xərclərinin bir hissəsi olmasını göstərdi. Bu günkü biznes mühitində heç bir təşkilat iş fəaliyyətinin pozulmasına səbəb olan hadisələrdən təcrid olunmayıb. Bu baxımdan işlərin davamlılığı uğurlu biznes idarə edilməsinin vacib bir hissəsidir. İşlərin davamlılığı – bir təşkilatın fövqəladə hadisələr zamanı kritik iş funksiyalarını yerinə yetirə bilməsini təmin etmək üçün əvvəlcədən etdiyi planlaşdırma və hazırlıqdır. Hadisələrə təbii fəlakətlər, iş böhranı, pandemiya və ya iş fəaliyyətinizin pozulmasına səbəb olan hər hansı bir hadisə daxil ola bilər. İş davamlılığının idarəolunması “İSO 22301 İş Davamlılığı İdarəetmə Sistemi” standartına görə aşağıdakı kimi  tərif edilir:

“Təşkilata potensial təhdidləri və bu təhdidlərin həyata keçdiyi təqdirdə səbəb ola biləcəyi biznes əməliyyatlarına təsirlərini müəyyən edən və həmçinin əsas maraqlı tərəflərin maraqlarını, nüfuzunu, brendini və dəyər yaratma fəaliyyətlərini qoruyaraq səmərəli cavab vermək qabiliyyəti ilə təşkilati dayanıqlığın qurulması üçün zəmini təmin edən vahid idarəetmə prosesidir. ”

Sadə dildə desək iş davamlılığının idarə edilməsi və ya planlaşdırılması təşkilatın işinin pozulmasının idarə edilməsinə kömək etmək üçün siyasət, çərçivə və proqramların işlənməsi, tətbiqi və saxlanması, həmçinin də işlərin dayanıqlılığının qurulmasıdır. Dayanıqlılıq isə həm ehtimalların, həmçinin də dağıdıcı hadisələrin nəticələrinin aradan qaldırılması zamanı yaranır. İş davamlılığının planlaşdırılması bir insidentin və ya dağıdıcı hadisənin təsirinin qarşısını almağa, hazırlaşmağa, cavab verməyə, idarə etməyə və bərpa etməyə kömək edir. Hər şeydən əlavə iş davamlılığının planlaşdırılması ilk növbədə işlərin kəsilməsi hadisələrinin qarşısını almağa çalışan tədbirlərin həyata keçirilməsindən ibarətdir. Bu planlama həmçinin belə bir hadisə baş verərsə müvafiq cavabların verilməsini də əhatə edir. Hərtərəfli planın yaradılması isə ilk növbədə potensial fəlakətin təsirlərinin və nəticələrinin qiymətləndirməsi və risklərin başa düşülməsi ilə başlayır. Bu plan mütləq surətdə saxlanmalı, sınaqdan keçirilməli və audit olunmalıdır ki, təşkilatın ehtiyaclarına uyğun formada qalsın. O da qeyd olunmalıdır ki, fövqəladə hadisələrin ortaya çıxma səbəblərin (triggerlərinin)  artması təşkilatları iş davamlılığı strategiyalarını daha tez-tez qiymətləndirməyə sövq edir. İş Davamlılığının İdarəetməsi prosesi üç əsas komponentdən ibarətdir:

Böhranın İdarə Olunması – hadisəyə təsirli bir cavab verməyə imkan verən bir prosesdir. Böhran idarəetmə prosesləri vəziyyəti sabitləşdirməyə və səmərəli planlaşdırma, liderlik və ünsiyyət protokolları vasitəsilə biznesi bərpa əməliyyatlarına hazırlamağa yönəlmişdir.

Biznesin Bərpasının Planlaşdırılması – əsas məhsul və ya xidmətlərin qarşı tərəfə çatdırılması ilə əlaqəli və ya onu dəstəkləyən kritik iş funksiyalarının və proseslərin bərpasını əhatə edir. Bu plan biznes bölməsinin kritik prosesləri bərpa etdikdən sonra normal əməliyyatları necə davam etdirə biləcəyi barədə məlumat verir.

İT Fəlakətinin Bərpası – sistemlər, tətbiqlər, verilənlər bazası, saxlanma və şəbəkə aktivləri də daxil olmaqla kritik İT aktivlərinin bərpasına yönəlmişdir. Bu proses hər bir təşkilata məlumat itkisini aradan qaldırmaq və minimum səviyyədə işləsə belə hadisədən sonra sistemin öz funksionallığını  həyata keçirə bilməsi üçün kömək etmək məqsədi daşıyır.

Qeyd olunmalıdır ki, iş davamlılığının idarəolunması daha geniş olan əməliyyat risklərinin idarə edilməsi funksiyasının bir hissəsi kimi görülür. Bu anlamda iş davamlılığının idarəolunması biznesin dəyərinə əsaslanaraq ehtimal olunan riskləri qarşılamaq üçün iş davamlılığı imkanlarını yaratmaqdan ötrü hazırlanmış sadə bir risklərin idarə edilməsi məsələsidir. Əməliyyat nəzarəti mühitinin nə dərəcədə etibarlı olmasından asılı olmayaraq hər bir təşkilat bu nəzarətlərin müvəffəqiyyətsizliyə uğrayacağı təqdirdə nə edəcəyini bilməlidir. Təşkilatlar əməliyyat risklərini əməliyyatlar üçün vacib olan funksiyaları müəyyənləşdirməklə və bu sahədə ortaya çıxan səhvlərlə mübarizə yollarını inkişaf etdirməklə idarə edir. Hansı əməliyyat risklərə diqqət yetirilməsi ilə bağlı məqam  iş davamlılığının idarə edilməsi proqramının Biznes Təsirinin Təhlili mərhələsində təsdiqlənir. Əməliyyat risklərini bu şəkildə idarə etmək iş davamlılığının planlaşdırılmasının əsas hissəsidir. Yaxşı idarə olunan iş davamlılığı proqramları isə əməliyyat riski üçün yayğın bir yüngülləşdirici nəzarət növüdür. Daxili audit isə öz növbəsində rəhbərliyin (menecmentin) təşkilatın davamlılıq və dözümlülük riskinə nəzarətetmə qabiliyyətinin müstəqil qiymətləndirməsini təmin etməlidir. Daxili auditorlar biznesin bütün aspektlərinə bələd olduqlarına görə təşkilat haqqında unikal bir nəzər nöqtəsinə sahibdirlər. Belə ki, dəyərli strateji bir perspektivə sahib olmaqla onlar eyni zamanda hər hansı bir işin hərəkətli hissələrinə daha da dərinə dalmağı bacarırlar. Daxili auditorun nöqteyi-nəzərindən onların rolu təşkilatın ümumi risk idarəetmə planına uyğun planların və strukturların mövcud olduğunu və lazımi səviyyədə qorunduğunu təsdiqləməkdən ibarətdir.

Daxili Auditorlar İnstitutunun iş davamlılığının idarə edilməsi ilə bağlı iki Praktiki Təlimatı mövcuddur. Bunlardan biri daxili auditin iş davamlılığının idarə olunmasında necə kömək göstərə biləcəyini əks etdirən təlimatdır.  Bu Praktiki Təlimata görə yaxşı bir böhran idarəetmə planı bir növü təşkilatın sığorta siyasətinə bənzəyir – bu, təşkilatın etibarlı qalmasını və maraqlı tərəflərin gözləntilərinə cavab verməsini təmin edir. Bu Praktiki Təlimat daxili auditin bu prosesdə özünün iştirakının əsas qaydalarını müəyyənləşdirməyə, planının əsas elementlərinə töhfə  verməyə və onları qiymətləndirməyə, planın taktikasının həyata keçirilməsində iştirak etməyə və nəticələrini qiymətləndirməyə necə kömək edə biləcəyi barədə məlumat verir. Bundan əlavə, təlimata iş davamlılığı idarəetməsinin təminatverici və ya məsləhətverici tapşırıqları üçün nümunəvi iş proqramı olan bir əlavə də daxil edilib. Qeyd olunan Praktiki Təlimatda da iş davamlılığı idarəetməsinin iş dəyərinə əsaslanan bir risk idarəetmə yanaşması olduğu qeyd olunmuşdur. Bu Praktiki Təlimatda İş Davamlılığı İdarəetməsi və Böhran İdarəetməsi anlayışları, böhrandan əvvəl, böhran vaxtı və böhrandan sonra daxili audit tərəfindən həyata keçirilə biləcək fəaliyyətlər və daxili auditin əsas İş Davamlılığı İdarəetməsi elementlərini qiymətləndirməsi müzakirə olunur. GTAG (Global Technology Audit Guide) silsiləsindən olan GTAG 10 nömrəli digər təlimat isə dağıdıcı təbii və ya texnogen hadisələrə hazırlıq barədə auditorlar və rəhbərlik üçün nəzərdə tutulan bir təlimatdır. Bu təlimat İT infrastrukturu və biznes tətbiqetmə sistemləri üçün davamlılıq proqramlarının planlaşdırılması və qiymətləndirilməsini əhatə edir. Bu təlimat iş davamlılığı idarəetməsinin rəhbərliyin təşkilatın işgörmə qabiliyyyətinin təbii və ya süni pozulma hadisəsi vəziyyətində qarşılaşa biləcəyi risk səviyyəsini idarə etmək üçün necə qurulduğuna həsr olunmuşdur. Sözügedən Praktiki Təlimatda idarəetmə orqanlarının üzvlərinə, icraçılara və daxili auditorlara biznesin bərpası imkanlarının effektivliyini və biznesə təsirlərini həll etmək üçün lazım olan biliklər, həmçinin iş davamlılığının idarə edilməsi imkanlarının qiymətləndirilməsi ilə bağlı məlumatlar verilir və hərtərəfli bir proqramın müxtəlif hissələri və bir təşkilat üçün düzgün planın necə qurulacağı təsvir olunur.

İş davamlılığının idarə edilməsi bu gün təşkilatlar üçün və xüsusilə bank, sığorta və telekommunikasiya kimi müəyyən sahələr üçün vacib bir sahədir. Bir çox təşkilat keçmişdə iş davamlılığına verilən məhdud diqqətin səbəbindən hal-hazırda üzləşdiyimiz çətinliklərin öhdəsindən gəlmək üçün mübarizə aparır. Daxili audit fəaliyyətinin iş davamlılığının idarəetməsinin planlaşdırma və ya təkmilləşdirmə prosesinə daxil edilməsi proqramın uğurunun açarı ola bilər.

Müəllif: Fuad Kələşli