İş Sürekliliği Nedir
İş sürekliliği, Kuruluşun olaylara karşılık verme ve bunun planlamasını yapma konusunda stratejik ve taktiksel becerisi ve iş kesintileri için önceden tanımlanmış kabul edilebilir seviyede iş uygulamalarına devam etme becerisi olarak tanımlanır.
İş sürekliliği işler yolunda giderken, genelde organizasyonların üzerinde çok fazla durmadıkları bir konudur. Ancak geriye dönülüp bakıldığında, bir değer elde etmek adına verilen emeklerin, uğraşların, çabaların, önceden öngöremediğimiz nedenlerden ötürü çoğu zaman bir çırpıda son bulduğu, geriye keşkelerin sıkça söylendiği anları bize yaşattığı görülmektedir.
İş sürekliliği kavramının, esasında iş kesintisi kavramından yola çıkarak daha kolay anlaşılabilir hale getirebiliriz. İş kesintisi, “Bir Kuruluşun hedeflerine göre beklenen ürün ya da hizmet gerçekleştirme uygulamalarında planlanmayan ve olumsuz yönde sapmaya neden olan tahmin edilen veya edilemeyen deprem, sel, yangın, iş krizleri, kasırga her türlü olay” olarak tanımlanır. Bu tür iş kesintileri çoğu zaman kuruluşların altından kalkamayacağı ticari kayıplarla, saygınlık kaybıyla veya imaj kaybıyla sonuçlanmaktadır. Türkiye Bankalar Birliği risk çalışma grubunun, 2002 yılında Bankacılar Dergisinde yayınladığı, A.B.D de yapılan bir araştırmaya göre; olağanüstü bir olay yaşamış kurumların her beş tanesinden ikisinin(%40) faaliyetlerini sürdüremediği, sürdürebilenlerden her üç tanesinden birinin(%33) iki yıl sonra faaliyetlerini durdurduğu belirtilmiştir.
Görüldüğü gibi olağanüstü bir durum ve felaketle karşılaşan kurumlar ciddi mali kayıplar yanında, itibar, müşteri pazar kaybı, sorunları ile yüz yüze kalabilmektedirler. O nedenle beklenmeyen bir duruma karşı hazırlıklı olmak ve organize şekilde bir plan ,program dahilinde kurumun bütününe yayılmış bir kültürle hareket etmek, kuruluşların bu tür durumlarda esneklik ve hayata geri dönüşü için son derece önem taşımaktadır.
İş Sürekliliği Yaklaşımının Ortaya Çıkışı
Dünyada iş sürekliliğinin önemi ve uygulamaları, 2000’li yıllara yaklaşıldığında görülmeye başlanmıştır. Dünya bu dönemde bilgisayar yazılım ve donanımlarda kullanılan iki rakamlı yıl bilgisinin tüm bilgisayar yazılım ve donanımlarında yaratacağı etkiyi konuşmaya başlamıştır.
Bu dönemde üreteciler bir önlem olarak, sorun yaratabileceği düşünülen tüm yazılım ve donanımları gözden geçirerek sorun yaratabileceği düşünülen yazılım ve donanımları değiştirilmişlerdir. Ancak bu gözden geçirmeler yeterlimiydi, acaba daha başka ne gibi sorunlar ortaya çıkabilirdi veya ortaya çıksa bile ne yapılabilirdi, işte bu gibi düşünceler ışığında kuruluşlar Acil Durum Planlarınıgeliştirmeye başlamışlardır.
Ve ilk defa İş sürekliliği kavramları bu dokümanlarda sıklıkla geçmeye başlamıştır. Bu konuda yazılan ilk resmi planın ABD Genel Muhasebe Ofisinin yayınladığı Year 2000 Computing Crisis: Business Continuity and Contingency Planning adlı plan olduğu görülmektedir. Ve bu uygulama bu özelliği ile tüm dünyada örnek alınan ve kuruluşlara yol gösteren rehber doküman olma özelliğini kazanmıştır.
Daha sonra başta Dünya Bankası olmak üzere tüm ulusal ve uluslararası örgütler bu konuda uyarılar yapmışlardır. Bu konuda çözüm yolları önermişlerdir. Türkiye’de Devlet kurumlarındaki çalışmalarda Devlet Planlama Teşkilatı bu konuda öncü rol üstlenmiş ve bu planların oluşturulmasını sağlamışlardır. Tüm bu nedenlerdendir ki dünya bu kriz durumunun üstesinden gelebilmiştir.
Yakın tarihte dünyada yaşanan deprem, sel, t-sunami, terorist saldırılar, radyo aktif sızıntılar, d-dos saldırıları , wiki leaks belgeleri vb. bir çok olay İş sürekliliği gerçeğini herkesin gündemine taşımıştır. Kurumlar bu gibi senaryolara hazırlıklı olabilmesi için, sahip oldukları öz varlıkların farkında ve bilincinde olmaları gerekli önlemleri almalarının ne derece önemli olduğu açıktır.
Genelde kurumlar bilançolarında varlık kalemlerini yalnızca fiziki olanlardan göstermekte ve her nasılsa fiziki olmayanların mali değerlerini çok fazla dikkate almamaktadırlar. Oysaki kurumların birçoğu fiziki varlıklarının yanında çok ciddi bir şekilde entellektüel sermayeye de sahiptir. Bu entelektüel sermaye, kurumların iş yapma şekillerini yansıtan tasarımları, süreçleri, metodolojileri, müşteri bilgileri ve bilişim teknolojileri ortamlarında var olan ve saklanan verileri olarak çok farklı değerler olarak karşımıza çıkabilir.
Ve bu gün görüyoruz ki günümüz dünyasında iş yapma şekillerinin büyük bir bölümünü bilgi teknolojilerine bağımlı halde yürütülmektedir ve bilgiye hızlı ulaşım ve veri işleme olanakları önemli bir değer olarak karşımızdadır. O nedenle gerek bilgi sistemlerinin sürekliliği gerekse öz varlık kalemlerine ait değerlerin sürekliliğinin sağlanması kurumlar açısından üzerinde kurumun en üst yönetimi nazarında dikkate alınması gerekli bir husus olarak değerini korumalıdır.
İş Sürekliliği Yönetimi
İş süreklilik yönetimi (BCM), “Bir kuruluşun üzerindeki potansiyel iş kesintilerinin etkilerini önceden fark edilirse olabilecek etkileri tespit eden ve ilgili tarafların çıkarlarını, saygınlığını, markasını ve değer yaratma faaliyetlerini koruyan, etkin yanıt verme becerisiyle kuruluşa tehditlere karşı esneklik kazandırmak için bir alt yapı sağlayan bütünsel bir yönetim ve idare prosesi” olarak tanımlanır.
Bu anlamda İş süreklilik yönetimi (BCM), kuruluşların ana amaçlarını ve hedeflerini gerçekleştirmek için, iş kesintilerine karşı esneklik kabiliyetini artırıcı bir yönetim aracı olarak değerlendirilir. İş süreklilik yönetimi (BCM), kuruluşlara bir kesintinin ardından belirlenmiş süre içinde anahtar ürün ve hizmetlerini belirlenmiş seviyelerde destekleyebilme kabiliyetinin oluşturulması için uygulamalı metotlar geliştirmenin gerekliliğini zorunlu kılar.
Gerek bu uygulamalı metotlar, gerek kuruluşun uygulamaları neticesinde ortaya çıkardığı esnek erken müdahale sistemleri İş kesintilerinin yönetiminde ispatlanabilir bir yeterlilik gerçekleştirir ve kuruluşun saygınlığını ve markasını korumada önemli bir görev üstlenir.
İş sürekliliğinin yönetimine ait yapı, prosesler, metotlar, kuruluşun çapı, yapısı ve sorumluluklarının yapısına göre değişebilir. Kuruluşlar kendi ölçeklerine, kapsamlarına ve karmaşıklıklarına bakılmaksızın gönüllülük esaslı olarak İş sürekliliğinin yönetimini uygulayabilir. Burada dikkat edilecek temel husus, temel prensiplerin aynı kalması şartıyla, kuruluşların tüm öz varlıklarının korunması ve anahtar ürün hizmet gerçekleştirme süreçlerine uygun bir strateji ile desteklenmesidir.
İş Sürekliliği Yönetimi Ve Uygulama Stratejisi
İş sürekliliği stratejisi, Kuruluşun, bir felaket ya da diğer bir önemli olay ya da iş kesintisi ile karşılaşıldığında süreklilik ve kurtarmayı sağlayan yaklaşım olarak tanımlanır. Bu tanımdan anlaşılacağı üzere strateji, olası kesintinin etkilerini azaltmayı, minimize etmeyi ve ortadan kaldıracak bir yaklaşım olarak değerlendirilmektedir. Basit bir örnekle, elektrik kesintisine tahammülü olmayan bir bankanın bünyesinde bir jeneratör ve onunda bir yedeğini bulundurması onun süreklilik ve kurtarmayı sağlayan yaklaşımı olarak değerlendirilir.
Küçük ya da büyük ölçekli olsun bütün kuruluşların büyüme, hizmet sağlama ve diğer işlere geçme gibi amaç ve hedefleri olabilir. Bu amaç ve hedefler, genellikle kuruluşun kısa, orta ve uzun vadeli hedeflerinin başarılması için stratejik planlama ile gerçekleşir. Kuruluşun en üst seviyesindeki İş süreklilik yönetimi (BCM) anlayışı, bu amaç ve hedeflerin beklenmeyen kesintilerle tehlikeye atılmasının önüne geçecek bir yaklaşımdır.
Bir olayın sonuçları çeşitli ve çok geniş kapsamlı olabilir. Örneğin 17 Ağustos depreminin yurt genelinde yaşattığı bunalım, Japonyanın T-sunami fekaleti sonrasında yaşadığı panik ortamı gibi örnekleri çoğaltılabilir, küresel çapta bir etki yaratmıştır. Bu sonuçlar yaşamsal kayıpları, değer ya da gelir kayıpları ya da kuruluşun stratejilerinin, saygınlığının ve hatta ayakta kalmasının bağlı olduğu ürün ve servislerin gerçekleştirilmesinde yetersizlik gibi konuları içerebilir.
BCM de olay ve fekaletin sonuçlarından etkilenen tarafların stratejik öneminin farkında olunması gereklidir. Zira yaşanan bir kesintinin sonuçlarına göre yeni etki grupları ortaya çıkar ve hasarın nihai kapsamına direk etki edebilir. Örneğin, Türk Telekom alt yapısına yaşanan bir kesinti, her çevreden yurttaşlara etki eder ve olayın etkileri karşısında bir tepki geliştirirler. Dünya genelinde (Şekil 1 Kritik sistemler) Seviye 1, Seviye 2 ve Seviye 3 olmak üzere üç seviyede kendisini gösterir:
1. Seviye telekomünikasyon, enerji ve su kaynakları,
1. Seviyede, bankacılık, finans, ulaşım ve kimya endüstrisi,
2. Seviyede ise, savunma sanayi, posta nakliye, tarım, gıda, sağlık ve acil durum hizmetleri gelmektedir.
Tüm bu konular kuruluşun olay ve felaket durumuna yaklaşımı ile ilgilidir. Kuruluşlar stratejik öneme sahip kritik sistemler üzerinde herhangi bir kesintinin etkileri ile ilgili riskleri hesaba katmak ve bu risklerin etkilerini azaltacak önlemleri almak durumundadırlar.
İş Sürekliliği ve Risk Yönetimi İlişkisi
İş Sürekliliği Yönetimi (BCM) uygulanmaları, işe yönelik risklerin ve bu risklerin sonuçlarını anlamak ve risklere karşı alınacak önlemlerin, tedbirlerin uygulanması yoluyla ancak bir değer ifade eder. Her olayın kuruluşun hedef ürün hizmetleri veya anahtar servisleri üzerinde ayrı ayrı etkileri olabilir. Kuruluşlar bu etkileri ancak kapsamlı bir iş etki analizi ve sonrasında yapılan risk yaklaşımı metodolojisiyle anlamlı hale getirebilir.
Risk, herhangi bir zarar, felaket, kötülük veya istenmeyen durumun ortaya çıkma olasılığı olarak tanımlanır. Risk varsa sürekliliği tehdit edecek durum söz konusudur. Tehdit istenmeyen bir olaya yol açacak potansiyel durumlar olarak tanımlanır. Tehdit ancak fiziksel veya entelektüel öz varlıkları üzerinde bir açıklık bulunduğu durumlarda işlevseldir. Diğer bir değişle bir risk varlıklar üzerindeki açıklıkların tehditler tarafından kullanıldığı durumlarda ortaya çıkar.
Risk yönetimi ise, kuruluşun gerçekleştirdiği anahtar ürün ve hizmetler etrafındaki risklerin yönetilmesini amaçlar. Ürün ve hizmet gerçekleştirme, çoğu tahmin edilmesi ya da analiz edilmesi zor, çok çeşitli olaylar tarafından kesintiye uğrayabilir.
O halde riskin yol açacağı kesintilerin önüne geçmek için mutlak suretle açıklıklar üzerinde yoğunlaşma gereğidir. Kuruluşlar işte bu açıklar vasıtasıyla ortaya gelebilecek olası durumun etkilerini, riskin transferi (paylaşma), riskin kabulü (katlanma), riskin azaltılması (iyileştirme) ve riskin bertarafı (kaçınma) seçeneklerinden birini veya bunların bir bileşimi ile istenen seviye getirebilir.
İş Sürekliliği Yönetimi (BCM) kuruluşun ayakta kalmasının bağlı olduğu bu ürün ve hizmetleri ve yükümlülüklerini yerine getirmeye devam etmek için nelerin gerekli olduğunu kesintinin etkisine odaklanarak tespit eder. Kuruluş çatısı altındaki kişileri, sahip olduğu arazileri, teknolojiyi, bilgiyi, tedarik zincirini, ilgili tarafları ve kuruluşun saygınlığını korumak için bir olay gerçekleşmeden önce neler yapılması gerektiğinin BCM yoluyla farkına varabilir.
Bu bilinçle, kuruluş bir kesinti olduğunda gerekli olabilecek yanıtlara dair gerçekçi bir bakış açısı yakalayabilir, böylece ürün veya hizmetlerini gerçekleştirmede beklenmeyen bir gecikme olmaksızın, herhangi bir sonucun yönetileceği konusunda güvenilir olabilir.
BS 25999 İş Sürekliliği Yönetim Sisteminin Faydaları Yararları
İş Sürekliliği Yönetimi (BCM) genel anlamda ürün ve hizmet üretiminin planlandığı şekilde sunulmasında, devamlılık ve sürekliliğinde, işletmesel ihtiyatlılık açısından önemli bir bakış açısı kazandırmaktır. Bilindiği gibi, İşletmesel ihtiyatlılık , “İşletmenin karşılaşabileceği riskler göz önüne alınarak temkinli davranılmasını ön gören yönetim anlayışı olarak tanımlanır” . Örneğin, ileri bir sözleşme gereği yerine getirilmesi taahhüt edilen ürün, hizmet üretiminin yerine getirmeye kesin gözüyle bakmama, olası riskler göz önünde bulundurarak ve işletmeye belirli bir alanda hareket kabiliyeti sağlayacak şekilde hareket edilmelidir. Ve sürekliliği önleyecek duruma karşı, karşı strateji ile hareket etmek işletmesel ihtiyatlılığın bir gereğidir.
Yöneticiler, kurum sahipleri kuruluşun kesintisiz faaliyet gösterme kabiliyetinin sürekliliğini sağlamakla sorumludurlar. Yöneticiler bu sorumlulukları çerçevesinde, kurumları adına daimi taahhütlerde bulunurlar ve hizmet gerçekleştirirler. Şüphesiz bu sorumluluk kendilerine, bir kamu hizmet veren devlet hastanesi veya merkez bankasında olduğu gibi devlet tarafından, veya müşteri istek ve beklentileri doğrultusunda özel olarak gönüllü olarak girişimde bulunulmuş özel teşebbüsler tarafından verilmiş olabilir. Her durumda yöneticilerden beklenen sürekliliğin sağlanması konusunda kendilerine verilen sorumlulukla hareket etmeleridir. Kimi durumlarda, kuruluşların BCM taahhüdünde bulunması, yasal ya da yönetmeliksel bir görev olarak kuruluşlara, Bankacılık Denetleme Ve Düzenleme Kurumu 14 Eylül 2007 Tarihli, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğinde olduğu gibi yüklenebilir.
Bilindiği üzere, ölçeğine ve büyüklüğüne bakılmaksızın tüm kuruluşların (özellikle acil durum ya da gönüllülük hizmeti sağlayan) ahlaki ve sosyal bir takım sorumlulukları vardır. Kimi durumlarda, tüm iş faaliyetleri teknolojik hatalar, sel baskını, tedarikçi hizmetlerindeki kesinti ya da terörizm kaynaklı bir takım kesintilere konu olabilir. Bu gibi durumlarda BCM bir yandan sağlık ve güvenliği korurken, diğer yandan uygulama kesintilerine erken müdahale gibi yeterli şekilde yanıt verme kabiliyetine yanıt vermeyi sağlar.
O nedenle BCM maliyetli bir planlama prosesi olarak algılanmamalı, kuruluşlara değer katan tüm ilgili tarafların kazanacağı bir kazan kazan prosesi olarak düşünülmelidir. İyi bir BCM uygulaması ile işletme sahipleri, müşteriler, vatandaşlar, kamu düzeni, dünya düzeni kazanacaktır.
Etkin bir İş Sürekliliği programının sağladığı faydaları aşağıdaki gibi özetleyebiliriz;
· BCM ile herhangi bir uygulama kesintisinin etkileri proaktif olarak tespit edebilir ve erken müdahale edilebilir.
· Olası kesintilerde kuruluşa olan etkiyi minimize edecek etkin stratejik karşılıklar hazır bulundurulur , ne yapılacağını sistematize eden planlar organizasyonları akılcı bir şekilde yönlendirir.
· Sigorta edilemez risklerin yönetilme kabiliyetini sürekli hale getirir.
· İş sürekliliğinin bir takım çalışması ile mümkün olabileceği konusunda tüm çalışanları iş birliğine sevk eder;
· Tatbikat prosesi aracılığıyla güvenilir tepkileri kanıtlanır.
· Kuruluşların saygınlıklarını, markalarını, itibarlarını korur.
· Ürün ve hizmet gerçekleştirmenin sürekliliğinin sağlanması kabiliyetinin kanıtlanması ile rekabette avantaj sağlar.
· Anahtar ürün ve hizmetler tespit edilir ve bu anahtar ürün ve hizmetlerin süreklilikleri sağlanarak korunur;
· Etkin tepkiler sağlamak için olay yönetim kabiliyeti olanaklı hale getirilir;
· Kuruluşun kendisini ve ilişkide olduğu diğer kuruluşları, kamu kurumlarını, yerel yetkililerin tanınması ve uygun şekilde geliştirilmiş, dokümante edilmiş ve anlaşılmış bir acil durum hizmeti sağlanır;
· Tedarikçilerin, müşterilerin, pay sahiplerinin, çalışanların gereksinimleri İş Etki analizleri ile anlaşılır ve gereksinimler risk değerlendirmesi yoluyla yerine getirilir;
· Herhangi bir olay durumunda personelin aldığı yeterli destek ve iletişim sağlanır;
· Kuruluşun tedarik zinciri güvenli hale getirilir;
· Kuruluşun saygınlığı korunur;
· Kuruluş yasal ve yönetmelik gereği yükümlülükleri ile uygunluğu korunur.
BS 25999 İş Sürekliliği Yönetim Sisteminde Hatalı Yaklaşımlar
İş sürekliliği konusundaki yanlış anlaşılan konuları 4 başlık altında toplamak mümkündür.
i. İş sürekliliğinin bir ürün, teknoloji veya servis olarak görülmesi: İş sürekliliği, sadece verilerin başka bir çalışma alanına çevrim içi aktarılması veya kritik sunucuların devamlı olarak çalışmasını sağlamak üzere kümeleme, RAID, yedekli güç kaynağı, yedekli ağ hatları kullanmaktan ibaret bir teknolojik yaklaşım olarak düşünülmemelidir. İş sürekliliği kurum süreçlerinden hareketle süreçlerin devamlılık ihtiyaçlarının ortaya koyulması ve bunun sağlanması için gereken çalışmaların yapılması olarak değerlendirilmelidir. İş sürekliliğinin yalnızca bir ürün, teknoloji veya servis olarak görülmemelidir. Zira bu çalışmalar esnasında gerek teknoloji gerek insan gücü gerekse de mali kaynaklar entegre bir şekilde kullanılacaktır. Bu çalışmayı sadece bir ürün veya servis olarak görmek olağan üstü bir durumda iş süreçlerinin tekrar çalışır hale getirilmesi için tek başına yeterli değildir.
ii. Başlangıcı ve sonu belirli olan bir proje olarak düşünülmesi: İş sürekliliğine bir proje olarak yaklaşmak başlangıcı ve sonu belirli olan bir iş olarak ele almak anlamına gelmektedir. Oysaki İş sürekliliği yönetimi çalışır hale geldikten sonra bu yaklaşımın devam edebilmesi için yapılması gereken tatbikatlar, gözden geçirmeler, uyarlamalar, iç denetimler vb. gereklilikler vardır. O nedenle İş Sürekliliği uygulamaları, sürekli kendini yenileyen iyileştirmelerle günün şartlarına uygun bir vaziyette kalmasını sağlayacak yaklaşımla ele alınmalıdır.
iii. Sadece dokümantasyondan oluştuğu varsayımı : Bir diğer yanlış yaklaşım iş sürekliliği uygulamalarına, sadece dokümantasyondan ibaret uygulamalar olarak yaklaşılmasıdır. Elbette iyi bir BCM dokümantasyonu iş sürekliliğinin vazgeçilemez bir parçasıdır ancak olmasına rağmen yapılması gereken tüm işleri dokümantasyon olarak ele almak, çalışmanın teknolojik ve organizasyon boyutlarını gözden kaçırmaya, dolayısıyla iş sürekliliğinden beklenen faydanın sağlanamamasına neden olacaktır. Teknolojik altyapının ihtiyaçların üzerinde olması durumunda dahi tatbikatların yapılması, eğitimlerin verilmesi ve periyodik gözden geçirmeler gibi yapılması gereken çalışmalar vardır.
iv. İş sürekliliği sorumluluğunun BT bölümü olduğunun düşünülmesi: İş sürekliliğinin sağlanmasında bilgi teknolojilerinin rolünün yüksek olmasından dolayı çalışmaların BT bölümü tarafından yapılması ve sorumluluğunun da BT bölümünde olması gerektiği inanışı yaygındır. İstatistikler iş sürekliliği çalışmalarına BT bölümünün katılımının diğer birimlerden fazla olduğunu göstermektedir. Ancak bu demek değildir ki İş Sürekliliği uygulamalar ı BT bölümünden ibarettir. İş sürekliliği uygulamaları, kuruluşun tüm kademelerini, tüm servis ve hizmetlerini kapsayan holistik bir prosestir. İş süreçlerinin devam ettirilebilmesi veya olağan üstü bir durumda tekrar çalışır hale getirilmesi, personelin alternatif çalışma ortamına naklinden, sunucuların hazırlanmasına, yeni cihaz satın alımına kadar bir çok faaliyeti içermektedir. İş sürekliliğinin sorumluluğunun çok yüksek oranda organizasyonun en üst kademelerinde(tepe yönetim, üst yönetim, yönetim kurulunda) olduğu ve üst yönetimin üst düzeyde katılımı iş sürekliliğinin bir gerekliliğidir . Bu sebeple iş sürekliliği kurum içinde mümkün olduğu kadar üst seviye yönetim tarafından temsil edilmelidir.
BS 25999 İş Sürekliliği Yönetim Sistemi Prensibleri
BS 25999 İş Sürekliliği Yönetim sistemi kurulurken altı prensib göz önünde bulunudrulur .ir. Bu prensipler, tüm ölçek ve sektörlerdeki kuruluşlar için benzer şekilde uygulanabilir (kamu, özel, kar amacı gütmeyen, eğitim, üretim vb.). İş Sürekliliği programının yapısı ve kapsamı her sektör ve uygulama için çeşitlilik gösterebilir ve her kuruluşun ihtiyacına göre ayrı ayrı şekillendirilebilir.
i. BCM program yönetimi: Oluşturulan ve yürürlüğe konulan sistematik bir şekilde ortaya konulan iş süreklilik uygulamalarının tümüdür.
Program yönetimi yaşam döngüsünün merkezinde bulunmaktadır ve iş sürekliliği politikası ile belirlenmiş amaçların gerçekleştirilmesi sağlamak için yapılması gereken çalışmaları tanımlamaktadır. Üst yönetimin program yönetimine katılımı iş sürekliliği çalışmalarının etkinliği için çok önemlidir. Program yönetimi sorumlulukların atanması, BCM in kurulması ve iş sürekliliği ile ilgili devamlı olarak yapılması gereken işler olmak üzere üç parçadan oluşmaktadır.
ii. Kuruluşun anlaşılması :“Kuruluşun anlaşılması” ile ilgili faaliyetler, kuruluşun ürün ve hizmetlerinin önceliklerine göre sıralanabilmesine ve bunları gerçekleştirmek için gerekli faaliyetlerin aciliyetine ilişkin bilgi sağlar. Bu uygulama, uygun BCM stratejilerinin seçilmesi için gereklilikleri belirler. Kuruluş uygulamada İş etki analizleri ile tanınır hale gelir. Kuruluşların yapısı, süreçleri, faaliyetleri anahtar hizmet ve servisler, kritik süreçlerini içeren tüm yapı bu aşamada ortaya çıkar.
iii. İş süreklilik stratejisinin belirlenmesi: Bu aşama kuruluşun bütün olarak tanınmasının ardından kritik iş süreçlerine ilişkin risk değerlendirmelerinin yapılması ve değerlendirmeler sonucunda ortaya konan risk işleme diğer bir değişle İş süreklilik stratejisinin belirlenmesi gibi işlem adımlarını içerir.
Bu uygulama, her bir ürün ya da hizmet için uygun bir tepkinin seçilmesini sağlar. Böylece, kuruluş bir kesinti boyunca ya da bu kesintiyi takiben bu ürün ve hizmetlerin gerçekleştirilmesinde kuruluşun esneklik ve ölçüm seçenekleri hesaba katılarak, kabul edilebilir bir operasyon düzeyinde ve kabul edilebilir bir zaman çerçevesinde faaliyetlerini değerlendirilir.
iv. BCM tepkisinin geliştirilmesi ve uygulanması: Bu aşama belirlenen strateji çerçevesinde, atılacak adımların belirlendiği aşamadır. BCM tepkilerinin geliştirilmesi ve uygulanması, bir olay sırasında ya da sonrasında, yönetimin atması gereken adımları ,olay yönetiminin uygulamalarını, operasyonların devamlılığını iş süreklilik ve iş kurtarma planlarının yapısını içerir.
v. BCM tatbikatı, uygulanması ve BCM anlaşmalarının gözden geçirilmesi: Bu aşama,kuruluşun, strateji ve planların yeterli, güncel ve uygun olduğunun kanıtlanması ve iyileştirme fırsatların tespit için BCM tatbikatlarının, uygulamalarının, gözden geçirilme faaliyetlerinin ve denetimlerinin yapısını içerir.
vi. Kuruluş kültürüne BCM nin sokulması: Kuruluş kültürüne BCM nin sokulması BCM nin kuruluşun temel değerlerinin bir parçası haline gelmesine ve kuruluşun kesintilerle baş etme kabiliyeti konusunda tüm personelin takım halinde çalışmasına olanak tanır.
BS 25999 İş Süreklilik Yönetimde Dikkat Edilmesi Gerekli Hususlar
BS 25999 İş sürekliliği yönetimi en üst kademede yöneticilerden en alt seviyede personele ve bilişim teknolojisi destek hizmetlerine varıncaya kadar her seviyede iş birliği gerektiren bir yapıdır. Bu yapı içerisindeki bileşenler bir birleriyle koordineli bir şekilde yönetildiği takdirde tek ses halinde iş süreklilik uygulamaları istenen amaca yönelik başarı sağlayacaktır.
En Üst Düzeyde Katılım: İş sürekliliği çalışmaları için en yüksek seviyede yönetimin katılımı ve desteği . Yapılan işler ile ilgili yönetim onayı alınması çalışmaların kurum çapında kolay kabul edilmesini ve kolay yaygınlaşmasını sağlamaktadır. İş Sürekliliği yönetiminde, üst yönetimin iş sürekliliği sürecine katılımının doğru olarak anlaşılması, desteklenmesi ve organizasyon kültürüne adaptasyonu için anahtar bir bileşendir.
Stratejik İş Planın Parçası Olma: İş süreklilik yönetimi, kurumun stratejik hedeflerine ulaşmada göz önünde tutulan önemli bir bileşendir. Kuruluşların stratejik planlarında yer alan hedeflere ulaşmada, olası hedeften sapmalara yol açabilecek kesintiler üst yönetim tarafından göz önünde bulundurulduğu takdirde daha gerçekçi hedefler belirlenebilmektedir. Stratejik plan veya hedefler, kurumun işlevini devam ettirmesi veya yasal yükümlülüklerini yerine getirebilmesi için her zaman güncel ve ihtiyaca yanıt verebilir durumda olmalıdır. İş sürekliliğinin stratejik iş hedeflerine uygun olarak geliştirilmediği veya stratejik hedeflerde gerçekleştirilen değişikliklere uygun olarak gerekli çalışmaların yapılmadığı durumda iş süreçlerinde kesintiler yaşanması söz konusudur. Stratejik İş Planın Parçası Olarak kurumlar, hedeflerinden sapmalara yol açacak iş kesintileri, iş kesintileri hallerinde gerekli güncellemeleri yapmalıdırlar.
ix. Takım çalışması: İş sürekliliği çalışmaları bir grubun veya bir kişinin tek başına yerine getirebileceği bir faaliyet değildir. Kurumun birçok bölümünün içinde bulunduğu ve kişilerin farklı görevler aldığı bir çalışmadır. Son kullanıcının dahi bilmesi ve yapması gereken işler vardır. Bazı kurumlarda iş sürekliliğinin yönetimi için ayrı gruplar kurulmuştur. İş sürekliliği yönetim sisteminin kurum içinde yaşayabilmesi için gerekli personel gücünün ve koordinasyonun sağlanması iş sürekliliğinin olağan üstü durumlarda beklenen faydayı sağlaması için anahtar bileşenlerden birisidir.
x. İş Etki Analizi ve Risk değerlendirme: İş etki analiz, İş fonksiyonlarının ve iş kesintisinin, bu iş fonksiyonları üzerinde yaratacağı etkinin analiz edilmesi prosesi olarak tanımlanır. İş sürekliliği, bu iş etki analizi ismi verilen değerlendirmelerin üzerine inşa edilen bir idare prosesidir. İş etki analizinde, kurumun tüm süreç,servis ve faaliyetlerinin analiz edilmesi ve değerlendirilmesi gereklidir. Bu çalışma sonunda kurum süreçlerinin kritikliği, süreçler için kabul edilebilir kesinti süreleri (Recovery Time Objective ,Recovery Point Objective) ve maksimum kabul edilebilir kesinti süreleri (Maksimum Tolerable Periot Time) belirlenmektedir. Bu çalışma sırasında ayrıca bir risk değerlendirme metodolojisi uygulanarak, süreçlerde kesintiye neden olabilecek riskler ortaya çıkarılmaktadır. İş süreçlerinin öneminin ve süreçlerde kesintiye neden olabilecek olayların belirlenmesi uygulanacak karşı önlemlerin seçilmesi için son derece kritiktir. Bu sebeple iş etki analizi, iş sürekliliğinin başarıya ulaşmasında üst yönetim desteği kadar önemli bir başarı faktörüdür.
xi. Finansal Yeterlikler: İş etki analizi çalışması sonucunda uygulanacak kontrollere karar verilmektedir. Bu kararlar genellikle iş sürekliliği stratejileri olarak adlandırılmaktadır. Kontrollerin yerine getirilmesi için yapılacak çalışmaların bazılarının maliyeti çok düşük olabileceği gibi gerektiğinde felaketten kurtarma merkezi kurulumu gibi yüksek maliyetli çalışmaların yapılması da gerekebilir. Bu sebeple iş etki analizinde belirlenen kabul edilebilir kesinti sürelerinin sağlanması için gerekli bütçenin ayrılması veya planlanması oldukça önemlidir.
xii. Kaynak ihtiyacı ve Altyapı Gereklilikleri: Birçok iş sürecinin BT bağımlılığı yüksektir. Bilgi teknolojileri altyapısının süreklilik ihtiyaçlarına uygun olması süreklilik ihtiyaçlarının karşılanması için büyük öneme sahiptir. Sunucuların, haberleşme hatlarının, enerji altyapısının yedekli yapıda çalışması BT‟nin sürekli hizmet verebilmesi için gereklidir. Bunlara ek olarak ana merkezde bulunan verinin felaketten kurtarma merkezine gönderilmesi gereklidir. Bu işlemleri gerçekleştirecek altyapıya sahip olmadan olağan üstü bir durumda kabul edilebilir kesinti sürelerini sağlamak oldukça güçtür.
xiii. Dokümantasyon: Organizasyon durumunun, görev tanımlarının, İş süreklilik yönetim kapsamının, İş sürekliliği planlarının, olağan üstü durum yönetim planının ve bu planlarla ilgili diğer talimat ve prosedürlerin hazır ve güncel olması gereklidir. Dokümanların hazır olması yanında kullanımı beklenen ilgili kişilere dağıtımı da yapılmalıdır. Dokümantasyon belirli periyotlarda ,değişiklik ihtiyaçları doğrultusunda güncellenmelidir.
xiv. Periyodik tatbikatlar: Olağan üstü durumlara her an hazır olabilmek için senaryolar üretilmeli ve tatbikatı yapılmalıdır. Tatbikatlar sonucunda kurulmuş olan yönetim sisteminin eksikliklerini tespit etmek mümkündür. İş sürekliliği planının ve ilgili diğer dokümanların, çalışma kapsamında görev alan personelin bilgi seviyesinin, teknolojik altyapının varsa eksiklikleri bu şekilde tespit edilebilir. Tatbikatlar, dokümantasyonun gözden geçirilmesi, planın bir parçasının test edilmesi veya planın tamamının test edilmesi gibi farklı türlere sahiptir. Her bir tatbikat türü için senelik olarak tatbikat planlarının hazırlanması ve tatbikatların yapılması kurumun olası bir acil durum senaryosu için hazır olmasını sağlamaktadır.
xv. Eğitim ve bilinçlendirme: İş sürekliliği çalışmalarının benimsenmesi için kurum çalışanlarına ve iş sürekliliği organizasyonunda bulunan takımlara yaygınlaştırma eğitimleri verilmelidir. Kurum çapında benimsenmemiş ve gerekli eğitim çalışmaları yapılmamış iş sürekliliği planlarının başarıya ulaşma olasılığı düşüktür. İş sürekliliği planı içerisinde eğitim konusunda izlenecek yöntemler belirlenmeli ve plan içerisinde yer almalıdır. Eğitim faaliyetlerini yürütmek üzere bir takım kurulması ve gereken zamanlarda eğitim işlerini organize etmesi faydalı olacaktır. Kurum çapında yapılacak iş sürekliliği bilgilendirmesi senede bir defadan az olmamalıdır.
xvi. Plan bakım ve güncelleme: İş Sürekliliği , kurumun kritik süreçlerinin devamlılığını sağlamak üzere vardır. Bu nedenle kurumun süreçlerinde meydana gelen değişiklikler iş sürekliliği planını doğrudan etkilemektedir. Süreç değişikliklerinin plan güncellemesi gerektirdiği hiçbir zaman göz ardı edilmemelidir. Zaman içerisinde meydana gelen değişikliklerin iş sürekliliği planına aktarılması için periyodik gözden geçirmeler yapılmalı ve güncelleme ihtiyacı tespit edilmelidir. Tatbikat sonuçları genellikle plan güncellemesi gerektirmektedir. İş sürekliliği kapsamında yapılması gereken değişiklikler her zaman doküman değişiklikleri olmak zorunda değildir. Kurumun süreçlerinin kritiklik seviyesinin değişmesi nedeni ile hizmet veren sunucuların öncelikleri dolayısıyla da alınması gereken önlemler değişebilir. Bu nedenle bazı durumlarda yeni yatırım gereksinimi ortaya çıkabilir. Değişikliğin sistem değişikliği olması durumunda bütçe ve zaman planının hazırlanması gereklidir.
Rıdvan Akçiçek, PMP, PSM I 