Yönetim sistemi denetimlerinde sıkça karşılaşılan bir durum olan hedef yönetimi ile performans yönetimi süreçlerinin birbiriyle karıştırılması neredeyse her organizasyonda görülmektedir. Performans yönetimi her ne kadar yönetim sistemlerinin sürdürülebilirliği için kritik bir süreç olsa da bir o kadar da etkin yönetilememektedir.
ISO/IEC 27001:2013 Bilgi güvenliği yönetim sistemi standardından örnek vermek gerekirse, standardın 6.2 maddesi kapsamında kuruluşun bilgi güvenliği hedeflerini görmek istenildiğinde hedefler tablosu açılıyor. Yine aynı standardın 9.1 maddesi kapsamında performans değerlendirme sürecine ilişkin kayıtlar görülmek istendiğinde yine hedefler tablosu açılıyor.
6.2 maddesinde ele alınan bilgi güvenliği hedefleri hususuna bakacak olursak, burada belirlenecek hedefler kuruluşun Bilgi Güvenliği yönetim sistemi amaçlarını destekler nitelikte olması sağlanmalıdır. Örneğin; kuruluşun BGYS kurulum amaçlarından birinin kurumun bilgi varlıklarını korumak için gerekli bilgi güvenliğinin saklanması olduğunu düşünelim. Bu amacı ne ile destekleyebilirsiniz? Çalışanların/kullanıcıların farkındalığıyla. Çalışanlarının bilgi güvenliği farkındalığının yüksek olması kuruluşun hedefine ulaşmasını destekleyici bir unsurdur. Çalışan farkındalığını artırmaya yönelik bir hedef belirleyip, buna yönelik faaliyetler planlayabilirsiniz.
Fakat konu performans yönetimine gelince, orada yönetim sisteminin işletim süreçlerinin performansını ölçümleyebilecek bir sistematiğe ihtiyaç vardır. Şöyle açıklayalım; bilgi güvenliği yönetim sisteminin kendi içerisinde süreçleri vardır. Nedir bunlar? Dokümantasyon yönetimi, Risk yönetimi, Farkındalık eğitim yönetimi, İç Tetkik yönetimi gibi süreçlerle uzar gider bu liste. Yukarıda hedeflerle ilgili olarak farkındalığın artırılmasına yönelik faaliyetlere örnek vermiştik. Burada ise farkındalığın artırılmasına yönelik gerçekleştirilen faaliyetler kapsamındaki “Farkındalık Eğitimi” sürecinin performansını değerlendirebilirsiniz. Ya da “Hedeflerin yönetimi” için performans kriteri belirleyebilirsiniz. Özetle, hedefler bir performans kriteri değildir ancak hedeflerin yönetimi bir performans kriteridir diyebiliriz.
Performans yönetimi, Kontrol Et adımında yer alan sürekli iyileştirmenin en önemli unsurlarından biridir. Performansın değerlendirilmemesi hem majör uygunsuzlukları tetkikler hem de yönetim sistemin etkinliğine zarar verir.
Performans yönetiminin etkin bir şekilde işletilmemesinin altında yatan temel sebepleri şu şekilde sıralayabiliriz;
- Personelin performans yönetimi konusunda yetkinliğinin zayıf olması,
- Performans yönetim kriterlerinin ölçümlenmesi için gerekli veriye ulaşmanın zorluğu,
- Performans yönetimi için verilerin sistematik bir yöntemle işlenmemesi veya bir araç kullanılmaması.
Puki® ile yönetim sistemlerinizin performansını izlemek için veri hazırlamanıza bile gerek kalmadan tek tuşla performans yönetimini sağlayabilirsiniz.