İlkay Aydoğdu

İş sürekliliği planı

ŞİRKETLERDE iş sürekliliği planlaması çoğunlukla acil durum planı ya da bilgi sistemleri felaket kurtarma planları ile karıştırılmaktadır. Yerel sigorta mevzuatında çok geniş yer almasa da, iş sürekliliği planlaması, AB’nin Solvency II mevzuatında şirketin operasyonel risklerinin önlenmesi için önemli bir adım olarak not edilmiştir. Buna göre; iş sürekliliği türü ve sebebi ne olursa olsun, herhangi bir kesinti ve yıkım durumunda önceden belirlenmiş, kabul edilebilir seviyelerde işlerin devam edebilmesine yönelik olarak kurumun karşılaştığı kesintilere cevap verebilme becerisidir. İş sürekliliği gerçek anlamda kuruluşun devamının güvencesidir.
İş sürekliliği planlamasını acil durum planından ayıran en temel fark, iş kesintisine yol açan acil durumlarda iş güvenliği ve çalışan güvenliğini sağlamakla sınırlı kalmayışıdır. Bilgi sistemleri felaket kurtarma planı ise, iş sürekliliği planlamasının ancak bir bölümü olabilir, bu plan herhangi bir iş kesintisi olayı yaşanması durumunda bilgi sistemlerinin yeniden çalıştırılmasını içermekte olup iş süreçlerinin hangi adımlarla yeniden işlemeye başlayacağını tanımlamaz.
İş sürekliliği planlaması şirketin tüm birimleri ile beraber oluşturulmalı ve yönetilmeli, sadece bilgi sistemleri ya da idari işler süreci olarak görülmemelidir. Söz konusu planın oluşumu, iş ve bilgi sistemleri süreçlerinin olası iş kesintilerine karşı ne kadar duyarlı olduğunu ölçmekle başlar. Bu amaçla tüm iş ve bilgi sistemleri birimleri ile risk–etki ve iş-etki analizi çalışmaları yapılmalıdır. İş kesintilerinde tek kayıp operasyonların durmasından ve yeniden ayağa kaldırılmasından kaynaklanan maliyetler olmayabilir. Bu gibi olaylar, yasal sürelere uyulmaması sebebiyle para cezaları, yasal masraflar, itibar zedelenmesi ve/veya tazminat ödemeleri gibi zararlara da yol açabilir. Söz konusu çalışma sırasında; personel, mülkler, bilgi ve iletişim teknolojileri ile dış hizmet sağlayacılar gibi kaynaklara erişimin durmasına/gecikmesine yol açabilecek riskler tanımlanmalıdır.
Risklerin tanımlanmasının ardından olası etkilerin ölçümlenmesi amacıyla bir etki değerlendirme çalışması yapmak gerekecektir. Bu çalışmanın temelini, etkileri finansal, kredibilite, yasalara uyum, müşteri memnuniyeti gibi kategorilere ayırmak ve etki derecelerini (rakamsal ya da kalitatif olarak; düşük, orta, yüksek gibi) belirlemek oluşturur.
Planlamanın diğer bir aşaması ise, iş kesintisi süresinin (1-4 saat, 4-24 saat, 1-3 gün arası gibi belirlenen periyotlar için) süreçlere rakamsal ya da kalitatif olarak; düşük, orta, yüksek gibi) etkisinin ölçülmesidir. Ek olarak, tüm bu süreçler için maksimum kabul edilebilir kesinti süresi ve hedeflenen işe geri dönme zamanı da belirlenmelidir.
Tüm bu analiz ve değerlendirmeler sonucunda, şirket kritik iş süreçlerini belirleyerek, her bir belirli periyot için bu süreçlerde hangi kaynaklara (lokasyon, bilgi sistemleri, teknik ekipman, veri ve kayıtlar/dosyalar ile kritik personel vb.) ihtiyaç duyulacağını tanımlayabilir ve dokümante edebilir.
Söz konusu dokümantasyon, herhangi bir iş kesintisi durumunda; şirketin hangi süreçleri hangi periyotlar boyunca hangi kaynaklarla ve hangi kalite seviyesinde devam ettirebileceğini gösterecek ve iş sürekliliği planının temelini oluşturacaktır.
En son aşama ise; çeşitli iş kesintisi senaryoları ve bu senaryoların nasıl test edilebileceğini anlatan adımları belirlemek ve plana eklemek olacaktır.

23 Kasım 2018

İlgili Haberler

Yazarlar