Çarşamba, Kasım 03, 2010

RİSKLERE HAZIRLIKLI OLMAK İÇİN “İŞ SÜREKLİLİĞİ YÖNETİMİ”

Altay ONUR
ISO 9001 LA, BS 25999 LA
Eğitmen & Kurumsal Danışman
altay.onur@gmail.com

Günümüzün ekonomik koşulları ve kriz ortamındaki belirsizlikler, beklenmedik olaylar ve afetler, büyüklüğü ve sektörü fark etmeksizin tüm kuruluşları etkiliyor. Kuruluşların, imajının zedelenmesi, ürün ya da hizmetlerine yönelik çıktılarını durdurabilecek herhangi bir olumsuz durumda en kısa sürede tekrar ayağa kalkarak hayata geçmesi Risk Yönetimi ve bununla ilişkili olarak “İş Sürekliliği Yönetimi” (Business Continuity Management) konusuna ne derece sistemsel olarak benimsediklerine bağlı oluyor.
Son yıllarda finans, telekomünikasyon, bilişim, ulaşım ve kamu sektörü ile savunma sanayi gibi yüksek risk içeren ortamlarda faaliyet gösteren kurum ve kuruluşların kendisi, müşterileri ve iş ortakları için ürün, hizmet ve çözümlerin sunumunda işin sürekliliğine hazırlıklı olmak, bununla ilgili temel gereklilikleri bir sistematik içinde ele almak gittikçe önem kazanıyor.
Kuruluşların, bu tür bir sistem yaklaşımında mevcut durumlarını analiz ederek,
• Beklenmedik olaylara karşı hazırlıklı olmak
• Felaketlere hızlı ve doğru karşılık vermek
• Varlıklarını ve nakit akışını korumak
• Kesinti süresini en aza indirerek normal operasyonlara dönüşü sağlamak
yönünde bir dizi iş sürekliliği planları (BCP) yapmaları ve senoryalar düzenlemeleri gerekiyor.
Artan rekabet ile müşteriyi kazanmanın ve elde tutmanın gittikçe zorlaşması, organizasyonları kalite, zaman ve maliyet boyutlarında rekabet fırsatları yaratmaya ve bu yöndeki arayışlara/yeniliklere yönlendirirken, kritik iş süreçlerini destekleyen alt yapı (bilgi sistemleri, telekomünikasyon, elektrik, su, gaz vb) hizmetlerinin 24 saat 7 gün kesintisiz sürdürülmesi olmazsa olmazlar arasına giriyor. Bu sistemlerde meydana gelecek 1-2 saatlik bir aksama bile şirketin büyüklüğüne bağlı olarak ciddi kayıplara yol açabiliyor.
Bilgisayar sistemlerinde ve iletişimdeki ciddi aksamalar organizasyonlardaki işleyişi önemli ölçüde etkileyebiliyor. Fibre Channel Endüstri Birliği’nin yaptığı bir araştırmaya göre, felaket durumunda bir şirketin sadece 1 saatte uğrayacağı kayıp, bir kargo şirketinde 28.000 USD, bir menkul değerler şirketinde ise 6 milyon USD’ye yakın. Info Security dergisinde yayımlanan bir makalede etkin iş sürekliliği planlarının, kayıpları %90 oranında azalttığını belirtiliyor.
Bilişim teknolojilerindeki güvenlik riskleri ve ağ yapılarındaki aksamalar bir yana, deprem, sel, fırtına gibi doğal afetler, sabotaj, donanım veya yazılım hatası, bir makine veya ekipman duruşu, nakliye aracının kaza görmesi, insani hatalar, sistemlerde meydana gelebilecek performans sorunları gibi önceden tahmin edilebilen ya da edilemeyen iç veya dış faktörler sonucu hasara uğrama ve ciddi bir felaketle karşılaşma olasılığı, tüm kurumlar için dikkate alınması gereken riskler arasında bulunuyor.
Nisan 2004 tarihinde US/Canada Power System Outage Task Force tarafından yayınlanan bir raporda, Ağustos 2003 tarihindeki ABD/Kanada Kuzey-Doğu Elektrik Güç Sisteminde yaşanan büyük kesintinin yaklaşık 8 ile 12 milyar USD tutarında bir kayba neden olduğu belirtilmektedir. Madrid’de 2004 yılında teröristlerce gerçekleştirilen tren bombalama eylemlerinden sonra FTSE (Financial Times Stock Exchange) borsasında yaşanan ani düşüş, 55 milyar USD kayıp ile sonuçlanmıştır.
Bu nedenle olağanüstü bir duruma ya da beklenmedik bir olumsuz duruma karşı hazırlıklı olmak ve organize hareket etmeyi planlamak büyük önem taşıyor. Ortaya çıkma olasılığı düşük olmakla birlikte gerek maddi boyutu, gerekse kuruluşların imaj ve itibarı göz önüne alındığında, olası kayıp ve etkisi yıkıcı boyutlarda olabilecek, acil ve beklenmedik bir duruma karşı iş sürekliliği planlamasının önemli bir gereklilik olduğu görülüyor.
Deloitte Türkiye Küresel Finansal Sektör Güvenlik Araştırması’na göre kurumların ilk 5 Güvenlik İnsiyatifi (2008) önem derecesine göre aşağıdaki şekilde sıralanıyor;
1. İş Sürekliliği (50%)
2. Kimlik Yönetimi (43,75%)
3. Güvenlik Altyapısı İyileştirme (43,75%)
4. Felaket Kurtarma (37,5%)
5. Uygulama Güvenliği (31,25%)
İşte bu yönde geliştirilmiş BS 25999 İş Sürekliliği Yönetimi (Business Continuity Management) standardı; kuruluşların faaliyetlerini tehdit eden durumları ve bunların olası iş etkilerini tespit eden, olumsuz bir durumda en kısa sürede faaliyetlerin tekrar hayata geçmesi ile ilgili bir dizi faaliyeti içerdiği gibi; dolaylı olarak müşterilerin, tedarikçilerini, tedarik zincirindeki paydaşlarını ve iş ortaklarını belirlemede ve işbirliklerini sürdürmesinde başlıca gereklilikleri tanımlıyor.
Her kurumun kendi özelliklerine göre farklı bir plana sahip olması gerekir. Sistemin devamlılığı açısından, kurumda bir risk kültürü oluşturma ve acil durumlara karşı hazırlıklı olunması gereğinin üst yönetimce benimsenmesi, planlı ve organize hareket etme bilincinin çalışanlara aktarılabilmesi amacıyla bilinçlendirme çalışmaları yürütülmelidir. Burada önemli olan kuruma uygun İş Sürekliliği Planlamasının yine kurum çalışanlarının katılımıyla ve üst yönetimin desteğiyle yapılması ve İş Sürekliliği Yönetim Sisteminin oluşturulmasıdır.
Günümüzde, iş dünyasında yaşanacak bir kriz durumu ve olası etkileri sınırlar ötesine kadar ulaşarak kolayca kuruluşların yurt içi ve yurt dışı müşterilerini etkilemekte, aynı şekilde tedarik zinicirindeki iş ortaklarına yönelik tehditler dolaylı olarak kurumlara yönelik tehditler oluşturmaktadır. Artık verilerin yedeklenemesi ve bir felaket durumunda verilere erişilmesi, sistemi tekrar ayağa kaldırılması yeterli olmamaktadır. Şirketlerin, birçok tesisin çalışamaz duruma düşmesi, insanların salgın hastalık veya bir afet nedeniyle uzun süre işe gelememesi, işlerin kesintiye uğraması vb durumlarda faaliyetlerini nasıl sürdüreceklerini önceden düşünmeleri ve ona göre hazırlıklı olmaları gerekmektedir.
Kuruluşlara, paydaşlarının çıkarlarını, itibar, marka ve değer yaratma faaliyetlerini korumak üzere etkili yanıt yeteneği ve esneklik kazandıran yapısal bir çerçeve sunan, bütünsel bir yönetim sistemi olan “İş Sürekliliği Yönetimi” yakın bir zamanda uluslararası düzeyde önemli bir rekabet unsuru olarak yer alacağa benziyor.

Hiç yorum yok: