GTAG 10 - Türkiye İç Denetim Enstitüsü

Transkript

GTAG
GLOBAL TEKNOLOJİ DENETİM REHBERİ
UMUÇ – UYGULAMA REHBERİ
GTAG 10
İŞ SÜREKLİLİĞİ YÖNETİMİ
Global Teknoloji Denetim Rehberi (GTAG)
BT yönetimi, kontrolü ve güvenliğiyle ilgili güncel bir konuyu ele almak üzere basit bir ticari
dille yazılan bu GTAG, iç denetim yöneticileri için teknolojiyle ilintili farklı riskler ve
önerilen uygulamalar hakkında hazır bir kaynak teşkil eder.
Bilgi Teknolojisi Kontrolleri:
Ele alınan konular arasında,bilgi teknolojisi kontrolü kavramları, BT kontrollerinin önemi,
etkin ve etkili BT kontrolleri için kurumsal görev ve sorumluluklar, risk analizi ve izleme
teknikleri yer alır.
Değişiklik ve Yama Yönetimi Kontrolleri:
Değişiklik ve yama yönetimi kontrollerinin BT risklerini ve maliyetlerini ve uygulamada
neyin işe yarayıp neyin yaramadığını açıklamanın yanı sıra değişikliklerin kaynaklarını ve
bunların işletme hedefleri üzerinde ne tür olası etkiler meydana getirdiğini açıklar.
Sürekli Denetim:
Sürekli denetimin günümüz iç denetim ortamındaki rolünü; sürekli denetimin, sürekli izleme
ve sürekli güvenceyle ilişkisini ve sürekli denetim uygulamasını ve bunun uygulamaya
konmasını ele alır.
BT Denetim Yönetimi:
BT denetim sürecinin nasıl uygulanacağının ve yönetileceğinin yanı sıra BT’yle ilişkili
riskleri ele alır ve BT denetim evrenini tanımlar.
Gizlilik Risklerinin Yönetimi ve Denetimi:
Global gizlilik ilkelerini ve çerçevelerini, gizlilik risk modellerini ve kontrollerini, iç
denetçilerin görevlerini ve denetim süreci boyunca sorulması gereken en önemli 10 gizlilik
sorusunu ve daha fazlasını ele alır.
BT Zafiyetlerinin Yönetimi ve Denetimi:
Diğer konuların yanı sıra zafiyet yönetimi yaşam döngüsünü, bir zafiyet yönetimi denetiminin
kapsamını ve zafiyet yönetimi uygulamalarını değerlendirmek için kullanılacak ölçütleri ele
alır.
Bilgi Teknolojisinde Dış Kaynak Kullanımı:
Doğru BT dış kaynak satıcısının seçimi konusunda nasıl karar verileceğini ve müşteri ve
hizmet sağlayıcısının operasyonlarından elde edilen kilit dış kaynak kullanım kontrol
mülahazalarını ele alır.
Uygulama Kontrollerinin Denetimi:
Bir risk esaslı uygulama değerlendirmesinin nasıl inceleneceğinin yanı sıra uygulama
kontrolü kavramını ve bunun genel kontrollerle ilişkisini ele alır.
Kimlik ve Erişim Yönetimi:
Kimlik ve erişim yönetiminin (IAM) kilit kavramlarını, IAM süreciyle ilişkili riskleri, IAM
süreçlerinin denetimiyle ilgili ayrıntılı bir rehberliği ve denetçiler için örnek bir kontrol listesi
içerir.
BT Denetim Planını Geliştirme:
İşin anlaşılmasından, BT denetim evreninin tanımlanmasından ve bir risk değerlendirmesinin
yapılmasından BT denetim planının hazırlanmasına kadar adım adım bir BT planının nasıl
geliştirileceğine dair rehberlik sağlar.
İş Sürekliliği Yönetimi
Yazarlar
David Everest, Key Bank, Roy E. Garber, Safe Auto Insurance
Co., Michael Keating, Navigant Consulting, Brian Peterson,
Chevron Corp.
Temmuz 2008
Telif Hakkı © 2008 247MaitlandAvenue, Altamonte Springs, FL 32701-4201, ABD merkezli Uluslararası İç Denetçiler
Enstitüsü’ne aittir. Tüm hakları mahfuzdur. Amerika Birleşik Devletleri’nde basılmıştır. Bu yayının hiçbir bölümü,
yayıncının ön yazılı izni alınmaksızın hiçbir şekilde ve tarzda – elektronik, mekanik, fotokopi çekme, kaydetme veya başka
şekillerde – çoğaltılamaz, bir yedekleme sisteminde saklanamaz veya her ne surette ve yolla olursa olsun iletilemez.
IIA, işbu dokümanı bilgilendirme ve eğitim amaçları için kullanılmak üzere yayımlamaktadır. Bu doküman bilgilendirme
amacıyla hazırlanmıştır; hukuki veya muhasebeyle ilgili bir tavsiye değildir. Bu dokümanı yayımlayarak, IIA böyle bir
tavsiyede bulunmaz ve herhangi bir hukukî veya muhasebe sonucuna ilişkin bir garanti vermez. Hukukî veya muhasebeyle
ilgili herhangi bir sorunla karşılaşıldığında, profesyonel yardıma aranmalı ve kullanmalıdır.
GTAG – İçindekiler
İçindekiler Tablosu
1.
YÖNETİCİ ÖZETİ… …………………………………………………….
1
2.
GİRİŞ ……………………………………………………………………………. 3
2.1
BCM’nin Tanımı ………………………………………………………... 3
2.2
Kriz Yönetimi Planlaması ………………………………………………. 3
2.3
Bir Felaket Durumunda BT’nin Kurtarılması ……………………........... 3
3.
BİR İŞ VAKASI OLUŞTURMA ………………………………………………. 4
4.
İŞ RİSKLERİ …………………………………………………………………… 5
5.
4.1
Yaygın Felaket Senaryoları …………………………………………….. 5
4.2
Felaketlerin Yaygın Etkileri ……………………………………………. 6
BCM GEREKLİLİKLERİ ……………………………………………………… 7
5.1
Yönetim Desteği ………………………………………………………… 7
5.2
Risk Değerlendirme ve Risk Hafifletme ………………………………… 8
5.3
İş Etki Analizi …………………………………………………………… 10
5.4
İş Kurtarma ve Süreklilik Stratejisi ……………………………………… 11
5.5
BT için Felaket Durumunda Kurtarma …………………………………... 12
5.6
Farkındalık ve Eğitim ……………………………………………………. 14
5.7
BCM Programının Sürdürülmesi ………………………………………… 14
5.8
İş Sürekliliği Tatbikatı …………………………………………………... 15
5.9
Kriz İletişimi ……………………………………………………………... 18
5.10
Dış Kurumlarla Koordinasyon …………………………………………… 18
6.
ACİL DURUM CEVABI ………………………………………………………... 19
7.
8.
9.
KRİZ YÖNETİMİ ……………………………………………………………….. 20
SONUÇ/ÖZET …………………………………………………………………... 21
EKLER …………………………………………………………………………... 22
9.1
Örnek BCP Denetim Rehberi ……………………………………………..22
9.2
BCM Standartları ve Kılavuz İlkeler …………………………………….. 22
9.3
BCM Kapasitesi Olgunluk Modeli ………………………………………. 23
SÖZLÜK ………………………………………………………………………….32
YAZARLAR HAKKINDA ……………………………………………………… 33
10.
11.
GTAG – YÖNETİCİ ÖZETİ
1.
YÖNETİCİ ÖZETİ
İş dünyasındaki çoğu çalışan, başarılı bir işletmeyi yönetme sürecinde kurumsal yöneticilerin
zamanlarının kayda değer bir bölümünü piyasayı inceleme, stratejiler geliştirip uygulama,
performans hedefleri ve finansal hedefler oluşturma, işletme operasyon planları geliştirme ve
uygulama, finansal sonuçları raporlama ve paydaşlara iletme konusunda harcadıklarını kabul
edecektir. Dünya çapında 2000 yılı için hazırlanmadan önce, iş sürekliliği yönetiminin
(Business Continuity Management-BCM) daima her kurumsal yöneticinin öncelik listesinde
üst sıralarında yer almadığını çoğu kabul edecektir. Yakın tarihte yaşanan felaketler, iş
sürekliliği (BC) riskleri ve söz konusu risklerin kurumsal finans faaliyetleri ve operasyonlar
üzerindeki etkisine ilişkin farkındalığı arttırmış olsa da, hâlâ uyarı sinyallerini dikkate
almayan ve olası bir felakete veya iş aksamasına hazır olmayan kurumlar vardır. İnsan eliyle
meydana gelen ve doğal afetler nedeniyle yaşanan iş aksamaları öngörülemeyebilir; ancak
etkin ve etkili bir BCM programı, genel kurumsal yönetişim çerçevesinin bir parçası hâline
gelmişse, bu tür aksaklıkların etkileri kontrol altına alınabilir.
BCM’nin amacı, bir felaket ilan edildikten sonra bir kurumdaki kritik iş süreçlerinin geriye
döndürülmesini sağlamaktır. BCM, iş değeri esas alınarak olası riskleri karşılayacak iş
sürekliliği kapasitelerini yaratmak için tasarlanmış basit bir risk yönetimi meselesidir.
İşletmelerinin tamamını veya bir bölümünü uzun bir süre işlemez hâle getirebilecek olaylara
karşı yeterince hazır olmayan büyük, orta ve küçük şirketler bulunmaktadır. 11 Eylül 2001
terör saldırılarının ardından, ABD hava yollarının; Londra bombalamalarının ardından
TfL’nin (Transport for London) ve 2004’teki tsunami felaketinden sonra Sri Lanka ve
Tayland’daki ticari balıkçılık sektörünün başına gelenler dâhil belgelenmiş vakalar, şirketlerin
veya bütün bir sektörün öngörülemeyen felaketler karşısında hazırlıksız olmalarından dolayı
nasıl büyük ve önemli finansal kayıplara uğradıklarını göstermiştir. Bir kurumun
uğrayabileceği zararlar arasında müşteri, kâr, itibar veya resmi makamlardan alınan
ruhsatlar/onaylar ve benzerinin kaybı da yer alabilir. Hazırlıksız olma, işletmeyi, işletme
türüne göre değişen bir risk derecesine maruz bırakır. Sektördeki ekonomik düşüşlerden,
bilgilendirilmiş yönetimin olmayışından ya da kurumun diğer kararlarından dolayı, iç denetim
yöneticileri (İDY) gibi BCM programını savunanlar daha iyi ve gelişmiş bir BCM
programıyla ilgili icraî yönetime ilettikleri önerilerin genellikle göz ardı edildiğini veya uzak
bir tarihe ertelediğini görmektedirler.Mesela, bir denetim veya başka bir keşif aracı yoluyla
yönetimin ilan edilmiş bir felaket durumunda aksamalara neden olabilecek olayların meydana
gelme olasılıklarına göre işletme operasyonlarını ve sistemlerini, kurumun işletme, finans ve
operasyonel amaçlarına uygun bir şekilde kurtaracağı konusunda yeterince kanıt sunamadığı
tespit edildiği takdirde, İDY,yönetime ve denetim komitesine BCM yetersizliklerini
bildirmekten sorumludur.
Bu Global Teknoloji Rehberi (GTAG), İç Denetim Yöneticilerinin bakış açılarından hareketle
yazılmıştır. İç Denetim Yöneticileri (İDY), kurumsal yöneticilere bir BCM programı edinme
konusundaki riskler, kontroller, maliyetler ve faydalar hakkında eğitim verme zorluğuyla
karşı karşıya kalmışlardır. Son dönemlerde dünya çapında yaşanan felaketler bazı kurumsal
liderleri BCM programlarını dikkate alma konusunda motive etmişse de, diğer kurumsal
liderler böyle bir riski kabul etmemişler ve/veya hiç ele almamışlardır. Buradaki kilit zorluk,
kurumsal yöneticileri bir BCM programını öncelik hâline getirmek konusunda sevk
etmektir.Yüzeysel olarak, hemen her yönetici BCM programının iyi bir fikir olduğunu
söyleyecektir; fakat iş uygulamaya gelince, sadece bir kısmı programı fonlamak için gereken
bütçeyi ve programın başarılı olmasını sağlayacak zamanı olan bir yönetici sponsoru bulmaya
çalışacaktır. Bu rehber, hem İDY’nin işletme süreklilik riski farkındalığını anlatmasını
sağlayacak hem de bir BCM programı geliştirip bakımını yapması konusunda yönetime
destek olacaktır.
Şekil 1’de de gösterildiği gibi, İDY, Acil Durum Yönetim Programının üç unsurundan biri
olan BCM’nin rolünü anlamalıdır. (Not: Acil Durum Yönetimi tüm dünyada farklı yönetim ve
işletme sektörlerinde kullanılıyor olabilir; fakat bu durum onu standart meslekî bir terim
yapmaz.). Acil durum müdahalesi (ER), bir felaketten kaçınmaya, felaketi ertelemeye veya
engellemeye ve kurumu söz konusu felakete cevap verme konusunda hazırlamaya odaklanan
ilk müdahaledir. ER’nin amacı; hayat kurtarmak, güvenliği sağlamak ve varlıkların zarar
gerçekleştirmektir. Kriz Yönetimi (CM), bir felaket durumunda bir kurumun dış – bazı
şirketlerde iç – iletişiminin ve üst yönetimin faaliyetlerinin yönetilmesine odaklanır. ER ve
CM’nin yerleşmiş ve olgunlaşmış olduğu yerlerde bile BCM üzerinde yeterince durulmamış
olabilir. BCM kapasiteleri, bir felaket veya işletme sırasında bir işletmenin maruz kalabileceği
finansal ve diğer etkileri en aza indirmek amacıyla kritik iş süreçlerini kurtarmaya odaklanır.
CM ER ve CM ile entegre edilmeli; fakat ayrı bir program olmalıdır.
Bir kriz olayına etkin
müdahale, kurumun Acil
Durum Yönetim
programının olaydan önce
düzgün çalışmasına
bağlıdır. Bu noktayı
anlamak programda fark
yaratılmasını sağlar.
DAKİKA
K
R
İ
Z
SAAT
GÜN
HAFTA
Acil Müdahale
Kriz Yönetimi
İş Sürekliliği
Şekil1. Acil Durum Yönetim Programı
Asıl önemli olan, İDY’nin iş sürekliliğiyle ilgili aşağıdaki basit ve önemli üç soruya yanıt
verebilmesi gerektiğidir:
1. Kurum yönetimi, şu anki iş sürekliliği riski düzeyini ve olası kayıp düzeylerinin
potansiyel etkilerini anlıyor mu?
2. Kurum, iş sürekliliği risklerinin kabul edilebilir bir seviyeye düşürülerek
hafifletildiğini ve bunun periyodik olarak düzeltilerek yenilendiğini kanıtlayabilir mi?
3. Kabul edilemez bir iş sürekliliği riski varsa ve buna rağmen kurum riski almaya karar
vermişse, kurum sahiplerinin, işletme ortaklarının ve diğer işletme bileşenlerinin
kurumun riski hafifletmediğinden haberleri var mıdır? Ayrıca riski göze alma kararı
uygun bir şekilde belgelenmiş midir?
Eğer bu sorulardan herhangi birisinin cevabı “hayır” ise, bu GTAG faydalı olabilir. Bu
GTAG’ın amacı, özellikle, İDY’lerin BCM programını, risklerini ve kontrollerini
anlamalarını sağlamayı ve onları hem yönetim düzeyindeki hem de kurul düzeyindeki
tartışmalara hazırlamaktır. Bu GTAG’ın değeri, üst-düzey bir özeti, yönetici okurlara basit
bir ticari dille sunmasında ve iç denetçilere denetim değerlendirmeleri konusunda ayrıntılı bir
rehber sağlamasında yatmaktadır. Bu GTAG, kurumun çalışma durumunu uzun süre
etkileyebilecek doğal veya insan kaynaklı aksamalara neden olabilecektir olay meydana
gelmesi durumunda, işletme yöneticilerinin kurumun karşılaşabileceği potansiyel risk
düzeyini yönetmelerini sağlayacak bir program veya çerçeve olarak BCM’nin nasıl
tasarlandığı üzerinde durur. Rehber, ayrıca, kritik bilgi teknolojisi altyapısının sürekliliğini ve
işletme uygulama sistemleri için felaket kurtarma planlamasını (DRP) içerir; çünkü işletme
fonksiyonlarının çoğu büyük ölçüde otomatiktir. Bu özellik, İDY’nin etkin ve etkili bir
değerlendirme uygulaması için bir temel oluşturmasına ve kilit bilgileri paydaşlara
bildirmesine yardım eder.
GTAG – Giriş
2. Giriş
Bu GTAG, yönetim organlarının, yöneticilerin ve iç denetçilerin işletme kurtarma
kapasitelerinin etkinliğini ve söz konusu kapasitelerin işletme üzerindeki etkilerini ele almak
için ihtiyaç duydukları bilgilere yer verir. Diğer mesleklerden kişiler de rehberi faydalı ve
ilgili bulabilirler. Bu rehber, BCM kapasitelerini değerlendirmeyle ilgili bilgiler sunar ve
kapsamlı bir programın farklı bölümlerini ve kurum için doğru programın nasıl
oluşturulacağını açıklar.
2.1 BCM’in Tanımı
İş sürekliliği yönetimi, bir kurumun temel görevlerini ve uzun vadeli geleceğini tehlikeye
atabilecek olaylara karşı hazırlanmak için kullandığı bir süreçtir. Bu tür olaylar arasında bina
yangınları gibi yerel bazlı olaylar, depremler gibi bölgesel bazlı olaylar veya pandemik
hastalıklar bulunur. BCM’nin kilit bileşenleri şunlardır:







2.2
Yönetim Desteği – Yönetim, yeterli kaynak, insan gücü ve bütçelendirilmiş fonlar
ayırarak, bir iş sürekliliği planını (BCP) uygun şekilde hazırlamak, sürdürmek ve
uygulamak için destek vermelidir.
Risk Değerlendirme ve Risk Hafifletme-Yangın, sel vb. tehlikelerden
kaynaklanabilecek potansiyel riskler tespit edilmeli, söz konusu tehlikelerin görülme
olasılığı ve işletme üzerindeki potansiyel etkileri saptanmalıdır.Olası tüm makul
olayların anlaşıldıklarından ve gerektiği gibi yönetilebildiklerinden emin olmak için
bu işlem,hem tesis hem de bölüm düzeyinde yapılmalıdır.
İş Etki Analizi (BIA) – BIA, bir felaket durumunda ilgili işletme biriminin çalışmaya
devam etmesi için hayati önemdeki iş süreçlerini tanımlamak ve bir felaketin ardından
söz konusu süreçlerin ne kadar kısa sürede kurtarılması gerektiğini tespit etmek
amacıyla kullanılır.
İş Kurtarma ve İş Sürekliliği Stratejisi –Bu strateji, bir kritik iş sürecini kurtarmak
için gereken gerçek basamakları, kişileri ve kaynakları ele alır.
Farkındalık ve Eğitim –BCM programı ve PC planları hakkındaki eğitim ve
farkındalık, planın uygulanması için kritik önemi haizdir.
Tatbikatlar – Çalışanlar, BCM programı ve BC planlarına ilişkin düzenli bir şekilde
programlanmış uygulama tatbikatlarına katılmalıdırlar.
Sürdürme– BCM kapasiteleri ve dokümanları, etkin ve etkili olmaya ve işletme
önceliklerine uygun olmaya devam etmelerini sağlamak için korunmalıdır.
Kriz Yönetimi Planlaması
Kriz yönetimi planlaması, kurumun kamuoyunu, çalışanlarını ve çeşitli paydaşlarını
krizden ve işletmeyi tekrar ayağa kaldırmak için atılması gereken adımlardan nasıl
haberdar edeceğini ele alır. Bir CM (Kriz yönetimi) planı, hem gerçek kriz durumuna hem
de kriz algısına cevap vermede kullanılan,belgelendirilen yöntemlerden oluşur. CM, aynı
zamanda, hangi senaryoların bir kriz oluşturduğu tanımlayacak ölçütler oluşturmayı içerir
GTAG – Giriş
ve sonuçta da gerekli cevap mekanizmalarını tetiklemelidir. Acil durum yönetim
senaryolarına cevap verme aşamasında cereyan eden iletişim faaliyetinden oluşur.
2.3 Bir Felaket Durumunda BT’nin Kurtarılması
Bilgi Teknolojileri (BT) bileşenlerini felaket durumunda kurtarma, bir felaketten sonra
verilere (kayıtlar, donanım, yazılım vb.), iletişim araçlarına (e-posta, telefon vb.), çalışma
alanına ve diğer iş süreçlerine yeniden erişim kazanmak da dâhil, işlerin kaldığı yerden devam
etmesi için gereken operasyonları kurtarmayı destekler. Kurumun kritik önemdeki kayıtlarını
başarılı kurtarma olasılığını arttırmak için BCM planıyla uyumlu olarak iyi ve etraflıca bir test
edilmiş bir felaket kurtarma planı hazırlanmalıdır.
GTAG – Bir İş Vakası Oluşturma
3.
İş Vakası Oluşturma
Dünyada deprem veya kasırga yaşanma ihtimali yüksek olan yerlerde acil durumlara hazırlıklı
artık işletmelerin tek kaygısı değildir. Hazırlıklı olma, günümüzde salgın hastalıklar ve doğal
afetlerin yanı sıra terör saldırıları gibi insan kaynaklı felaketlere karşı hazırlıklı olmayı da
kapsamalıdır. Acil bir durumda ne yapacağını bilmek, hazırlıklı olmanın önemli bir parçasıdır
ve saniyelerin bile önemli olduğu durumlarda fark yaratabilir. Hazırlıklı olmanın amacı, iş
süreçlerini müşteri açısından olabildiğince şeffaf bir yolla yeniden başlatmaktır. Hem büyük
ölçekli hem de küçük ölçekli işletmeleri aynı şekilde etkileyen son zamanlarda yaşanan
katastrofik (feci) olaylardan bazıları aşağıda sıralanmıştır:




SARS virüsü salgını (Kasım 2002’den Temmuz 2003’e kadar) dünya çapında 8,096
bilinen enfeksiyon vakasına ve 774 ölüme yol açmıştır. Bir pandemiye dönüşmek
üzere salgın, Kuzey Amerika’daki Çin restoranlarında kayda değer - kimi durumlarda
%90 oranında- bir düşüşe neden olmuştur. Büyük şehirlerde yapılması planlanan
konferans ve toplantıların çoğu iptal edilmiştir. Ayrıca hükümet müdahalesi bilinen
enfeksiyonların görüldüğü ülkelerdeki çoğu şirket açısından (seyahat, arz zinciri gibi)
normal işletme fonksiyonlarını sekteye uğratmıştır.
11 Eylül 2001’de Pentagon ve Dünya Ticaret Merkezi’ne düzenlenen terör saldırıları
Pearl Harbor bombalamasından bu yana ABD topraklarında düzenlenen en yıkıcı
saldırılar olmuşlardır. 11 eylül saldırıları, yalnızca askeri süreçleri etkisiz bırakmakla
kalmamış sivil süreçleri ve ABD işletmelerini de hedef almıştır.
7 Temmuz 2005 Londra bombalamaları, Londra toplu ulaşım sistemini hedef alan
teröristler tarafından planlanmış bir dizi bombalamadır. 50 kişinin ölümüne ve
700’den fazla kişinin yaralanmasına neden olan bu saldırılar hem Londra’nın toplu
ulaşım sistemini hem de ülkenin mobil telekomünikasyon sistemini tahrip etmiştir.
Katrina Kasırgası (23 Ağustos, 2005), belki de ABD tarihinde en fazla maddi zarara
yol açan doğal afettir. Yaşanan felakette ve ardından meydana gelen sel felaketinde en
az 1830 insan yaşamını kaybetmiştir. Katrina Kasırgası, endüstriyel (çoğunlukla
zeytinyağı, rafineri ve kimyasal), ticari (çoğunlukla hastane) tesisler ve tarım tesisleri
de dâhil ABD’de yaklaşık 81,2 milyar dolar zarara yol açmıştır.
Amerikan Bankalar Birliği ve Bankacılık İdaresi Enstitüsü, 1983 yılından bu yana,
destekleyici üyelerinin kamu yararını gözeten operasyonel süreklilik uygulamalarını (daha
sonra daha resmi olan BCP el kitapçıklarıyla desteklenmiştir) edinmelerini şart
koşmaktadır. Daha yeni standartlar, genellikle ISO / IEC 25002 çerçevesinde tanımlanan
resmileşmiş standartları esas almıştır.
Çoğunlukla, bir BCM programının değeri, o programı kullanmak gerekmedikçe
anlaşılamaz. Bir felaket gelip çatana kadar bir BCM programının değerinin
anlaşılamamasının nedeni belki de, bir BCM programına yatırım yapmanın getirisini
hesaplanın zor olmasıdır. Yönetim, böyle bir durum ortaya çıkarsa, işletmenin devam
etmesi, fakat farklı koşularda devam etmesi gerektiğini anlamalı ve kabul etmelidir.
GTAG – Bir İş Vakası Oluşturma
İşletme yöneticileri, bir felakete karşı hazırlıklı olmanın maliyetiyle yaşanan felakete bağlı
olarak işletmenin kapılarını bir hafta, bir ay veya sonsuza kadar kapatmanın maliyetini iyi
tartmalıdırlar. Dünya çapında pek çok devlet belirli birtakım sektörlerin test edilmiş bir
BCP programlarının olmasını şart koşar. Amerika Birleşik Devletleri’nde finans, altyapı
hizmetleri (elektrik, su vb. hizmetler) ve sağlık sektörlerindeki tüm işletmeler
güncellenmiş bir BCP programı bulundurmak zorundadırlar. Etkin ve etkili bir BCM için
genel veya sektöre özel standartlar ve kılavuzlar vardır (Bakınız. Ek: BCM Standartları ve
Kılavuzları, sayfa 22).
Dünya Ticaret Merkezi’ne 1993’te düzenlenen ilk saldırıda Morgan Stanley (MS) önemli
bir ders almıştır. MS çalışanlarından hiçbiri hayatını kaybetmemiş, fakat tüm çalışanların
binayı terk etmesi dört saat almıştır. Bunun sonucunda yönetim BCP planının
güncellenmesi gerektiğine karar verilmiştir. MS, kendi işletme operasyonlarını ve olası bir
felaketin yaşanma riskini dikkatle incelemiş ve yeni bir plan geliştirmeye karar vermiştir.
11 Eylül 2001’de söz konusu planlama sonuç vermiştir. Kaçırılan ilk uçak, saldırı yapılan
Dünya Ticaret Merkezi kulelerinden ilkine çarptıktan sonra MS güvenliği tüm binayı
boşaltmıştır. Binayı boşaltmak yalnızca 45 saniye sürmüş ve bu da günlük operasyon
verilerini kurtarmaları için onlara yeterince zaman sağlamıştır. ER kapasitelerinin
geliştirilmesi ve iyileştirilmesi neyse ki çok sayıda hayat kurtarmıştır. BCM kapasiteleri
de yapılan gözden geçirme işleminin bir parçası olarak geliştirilmiş ve iyileştirilmiştir.
GTAG –İşletme Riski
4. İşletme Riskleri
Dünyanın her yerinde sürekli felaketler yaşanıyor. Kasırgalar, seller, depremler ve yangınlar
hayatları darmadağın ediyor. Yangınlar, elektrik kesintileri ve terörizm gibi insan kaynaklı
felaketlerde en az bunlar kadar tahrip edicidir. Bir araya geldiklerinde tüm bu riskler, işletme
için her zamanki gibi risk teşkil eder. Bazen bu tür felaketlerin ardından yaşanan düşüş yıllar
sürer. Bazı şirketler bir daha eski hâllerine dönemezler; bazılarıysa toparlanamayıp iflas
ederler. Ancak durum ne olursa olsun, söz konusu sonuçlardan kaçınmak mümkündür.
Dünyanın hemen hemen her yeri kasırgalar, hortumlar, kontrol altına alınamayan yangınlar
ve/veya seller gibi felaketlerden biri konusunda hassas bölge kategorisine girmektedir.
Yangınlar, herhangi bir eyalette bulunan herhangi bir şehirdeki herhangi bir binayı yakıp kül
edebilir. Aynı şekilde, bir terör saldırısı dünyanın her yerinde meydana gelebilir.
4.1 Yaygın Afet Senaryoları
Tüm dünyada yaşanan yaygın afet senaryolarından bazıları şunlardır:
Yangınlar, tek bir binada, komplekste veya endüstriyel tesiste ya da ormana veya ormanlık
alana yakın bir yerin tamamında meydana gelebilir. Her yıl, çoğu önlenebilecek olan
yangınlarda 4.000’in üzerinde Amerikan vatandaşı hayatını kaybederken 20.000 vatandaş
yaralanır. Doğrudan yangınlardan kaynaklanan taşınmaz mal zararının ki buna
operasyonlarının tahrip olmasından dolayı şirketlerin yaşadıkları finansal zararlar dâhil
değildir yıllık 10 milyar Amerikan doları (yalnızca Birleşik Devletlerde) olduğu tahmin
edilmektedir.
Pandemi, küresel bir hastalık salgınıdır. Bir genel grip pandemisi, insan nüfusunda çok az
bağışıklığı bulunan veya hiç bağışıklığı bulunmayan bir A grip virüsünün görülmesi üzerine
ortaya çıkar. Söz konusu virüs bu durumda ciddi bir hastalığa neden olur ve insanlar arasında
yayılır. Tüm dünyada pek çok devlet olası bir pandemi yaşanma riskine karşı planlar yapmaya
başlamıştır. Finans, bankacılık, enerji, ulaşım ve kamu vb. gibi kritik altyapı sektörlerini
tanımlamışlardır. Bir pandemi durumunda da kritik iş süreçlerinin işlemeye devam etmesini
sağlamak için, bu sektörlerden BC planları hazırlamaları istenmektedir. Çalışacak personel
bulunmamasından dolayı, bir pandeminin ekonomik etkisi yıkıcı olabilir ve işletme
faaliyetlerinin askıya alınmasına neden olabilir. Bir pandemi oluştuğunda, bu pandeminin
okullar, ofisler, ulaşım ve diğer kamu hizmetlerini sağlayan çoğu kamusal alanda geçici
değişiklikler yapılmasını gerektiren uzun süreli ve yaygın salgınlara dönüşmesi muhtemeldir.
Gerektiği gibi bilgilendirilmiş ve hazırlıklı bir halk bir pandemi ortaya çıktığında, etkilerini
azaltmaya yönelik uygun tedbirler alabilir.
Terörizm; korkutma, cebir veya fidye gibi amaçlarla dünyanın herhangi bir ülkesindeki ceza
kanunlarının ihlal edilerek kişilere veya mülke karşı kuvvet veya şiddet kullanılmasıdır.
Teröristler, sıklıkla, sayılan amaçlarla tehdit yaratırlar:

Halk arasında korku yaymak,
GTAG –İşletme Riski


İnsanları ülkelerinde iktidarın terörü önleme konusunda yetersiz ve güçsüz olduğuna
inandırmak,
Bir amaca yönelik hızlı ve etkili propaganda yapmak.
Terör eylemlerinden bazıları terörizm, suikastlar, adam kaçırma, uçak kaçırma, bombalama
tehditleri ve bombalamalar, siber saldırılar (bilgisayar-tabanlı) ve kimyasal, biyolojik, nükleer
ve radyolojik silahların kullanılmasıdır. Terör saldırıları büyük metropol alanlarını tahrip
etmiştir ve bunun sonucunda da söz konusu genel alanlardaki işletmelere zarar vermiş ve
etkilenen bölgedeki işletmelerin istihdam düzeylerini oldukça etkilemiştir.
Biyolojik Saldırılar, insanları hasta edebilecek mikropların veya biyolojik maddelerin kasıtlı
olarak salıverilmesidir. Çoğu ajanın etkili olabilmesi için teneffüs edilmesi, vücuttaki bir
kesikten içeri girmesi veya yenmesi gerekir. Şarbon (antraks) gibi kimi biyolojik ajanlar
bulaşıcı hastalıklara neden olmazlar. Çiçek hastalığı virüsü gibi diğer biyolojik ajanlar
dokunma, öksürme gibi yollarla insandan insana geçebilen hastalıklara neden olabilirler.
Ortada fiili bir saldırı olmasa da bir biyolojik saldırı tehdidinin bile işletmeler (örneğin,
tesislerin boşaltılması gibi) üzerinde tahrip edici bir etkisi olabilir.
Hortumlar, doğada görülen en şiddetli fırtınalardır. Hiçbir uyarı veya işaret olmadan ortaya
çıkabilir ve toz veya moloz birikintileri toplanıncaya veya bir hortum bulutu oluşuncaya kadar
görünmez olabilirler. Hortumlar, dünyanın belirli yerlerinde daha sık görülmelerine rağmen
her an her yerde meydana gelebilirler ki bu da hortumlara karşı ön hazırlığı bilhassa önemli
kılmaktadır. Hortumlar işletme tesislerine zarar verebilir ve personelin iş görememesine yol
açabilir.
Kasırgalar/Tayfunlar, dünya genelinde tropik ve subtropik sularda meydana gelen çok
şiddetli fırtınalardır. Bilim insanları artık çoğu siklonun ne zaman oluşacağını tahmin
edebilmektedir. Siklonların etkilediği, kıyı toplumlarında veya böyle toplumların yakınlarında
bulunan işletmeler, operasyonlarını önemli ölçüde etkileyebilecek siklonlara karşı tahliye
planı hazırlamalıdır.
Seller, dünyanın bir çok yerinde görülen yaygın bir doğal afettir. Ancak tüm sel felaketleri de
aynı değildir. Bazıları uzun süre devam eden yağışlı bir dönem sonrasında veya yoğun kar
yağışlı bir dönemi izleyen sıcak bir dönem sonrası meydana gelebilir. Ani su baskınları gibi
seller, hiçbir yağış belirtisi göstermeksizin çok çabuk gelişebilirler. Dünyada çoğu yer fakat
bilhassa deniz seviyesinin altındaki, suya yakın veya bir barajın akış yönünde bulunan
bölgeler sel felaketlerine karşı hazırlıklı olmalıdırlar. Küçük bir çay veya kuru bir dere yatağı
bile taşarak sele neden olabilir. Sel felaketi, birincil işletme tesislerini etkilemese bile
çalışanların çalışmalarına engel olabilir.
GTAG – BCM Gereklilikleri
Doğal Afetlerin Artan Maliyetleri
Doğal afetler tarih boyunca büyük kayıplara ve zararlara yol açmış olmalarına rağmen, afetlerin son on yıllarda giderek
daha sık ve şiddetli hâle geldiklerini gösteren güçlü göstergeler bulunuyor ve bu artma eğilimi de devam edeceğe
benziyor. Bu eğilim, kısmen artan kentleşmeyle açıklanabilir ki artan kentleşme doğal afetlere karşı savunmasız
yerlerde giderek artan bir nüfus yoğunluğunu da beraberinde getirmiştir (Freeman, Keen ve Mani, 2003). Kasırga, sel,
kuraklık (Bakınız IPPC (Entegre Kirlilik Önleme ve Kontrolü Yönetmeliği), 2007.) gibi kötü hava koşullarının görülme
sıklığının ve yoğunluğunun artmasının nedeni olarak görülen hava durumu değişikliklerini – özellikle küresel yüzey
sıcaklıklarıyla ilişkili değişiklikleri – de yansıtır. Daha sıklaşan ve yoğun görülen doğal afetlerin nüfus yoğunluğu fazla
olan yerleri giderek daha fazla etkilemesiyle, meydana gelen zararların maliyetleri büyük ölçüde artmıştır (bakınız
aşağıdaki tablo.).
Olay Sayısı
1950-59
1960-69
1970-79
1980-89
1990-99
1996-2005
21
27
47
63
91
57
(milyar dolar; Sabit 2005 fiyatları)
Genel Kayıplar
48,1
87,5
151,7
247,0
728,8
575,2
Ortalama Kayıp
2,3
3,2
3,2
3,9
8,0
10,1
Şekil 2. Doğal Afetlerin artan maliyetleri1
4.2 Yaygın Felaketlerin Etkileri
Sık yaşanan felaketler, şu kayıplarla sonuçlanabilir:





1
İnsan: Önemli oranda can kaybı varsa veya personel yokluğu görülüyorsa, kurum
günlük operasyonlarını yürütecek uygun sayıda personel bulamayabilir.
Tesisler ve Ekipman: Yukarıda anlatılan felaketlerden bir kısmı çalışma tesislerini,
üretim tesislerini, ofisleri ve diğer kritik işletme alanlarını yok etme veya söz konusu
yerlerde ağır hasara neden olma potansiyeli taşır.
İletişim Altyapısı: Kurumlar, çalışanlarıyla, satıcılarla veya müşterilerle iletişim
kuramayabilir.
Kaynaklar: Bunun içinde güç kaynağı, satıcılardan sağlanan hizmetler ve üretim
kaynakları vb. yer alır.
Bilgi ve BT Sistemleri: Kritik iş süreçleri uygun şekilde çalışmayabilir.
David Hoffman, “Sigorta alanında yaşanan gelişmeler ülkelerin doğal afetlerin mali zararlarının üstesinden
gelmelerini sağlamaya yardım edebilir,” Finance & Development dergisi, Mart 2007, Sayı 44, No.1.
5. BCM Gereklilikleri
Şekil 3 BCM gerekliliklerini yerine getirmek için yapılması gerekenleri göstermektedir.
BCM Programına Yönetim Taahhüdü
-
İşletme vakası oluşturmak
Değerini anlamak
Bir BCM Programı oluşturmak
BC Risk Değerlendirmesi ve BC Hafifletme Uygulama
-
Tahrip edici olayların etkilerini değerlendirmek
BC’ye zarar verebilecek (makul) olayları tanımlamak
BC risk hafifletme stratejileri geliştirmek
İş Etki Analizi (BIA) Yapma
-
İş süreçlerini saptamak & kritik süreçleri tanımlamak
Süreçler ve kaynaklar vb. için kurtarma zamanı hedefini ve kurtarma noktası
hedefini tanımlamak
Kurtarma için gereken diğer tarafları ve fiziksel kaynakları tanımlamak
İş Kurtarma ve Süreklilik Stratejileri Tanımlama
Kurtarma için gereken personel alım
alternatiflerini tanımlamak
Kritik fonksiyonlar için alternatif kaynak
sağlamayı tanımlamak
Kurtarma için alternatif görev ve pozisyonlar
tanımlamak
Yeniden normal operasyonlara geri dönmeyi
planlamak
BT için Bir Felaket Kurtarma Planı Oluşturma
- İşletme kurtarma gerekliliklerini anlamak
- Kurtarma çözümlerini ve yerlerini belirlemek
BCM Programı Kapasitelerini Uygulama, Doğrulama ve Sürdürme
-
BCM programı konusunda farkındalık oluşturmak ve eğitim vermek
BCM programının ve BC planlarını sürdürmek
BC kapasitelerini kullanmak
Kriz iletişim olanaklarını oluşturmak ve bunları kriz yönetimiyle uyumlu hâle
getirmek
Acil durum müdahalesiyle ve dış kuruluşlarla koordinasyon sağlanmasıyla BC
programını uyumlu hâle getirmek
Şekil 3. BCM Gereklilikleri Akış Tablosu
5.1
Yönetim Desteği
Yönetimin desteği her kurumda BC başarısı için kritik önemi haizdir. Üst yönetim, kurumdaki
tüm yönetim ekiplerinin kendi işletme birimlerinde bir BCM programını uygulamaya
koymalarını gerektiren politikaların uygulanmasını sağlamalıdır. Gerçek bir felaket
durumunda, CM, ER ve BCM’nin birlikte çalışmalarını sağlamak için tüm acil durum
yönetim politikalarının birbiriyle uyumlu hâle getirilmeleri gerekir.
A. Üst Yönetim Desteği
Üst yönetim, BCM ve acil durum yönetim programını açık ve belirgin bir şekilde
desteklemelidir.Bu destekleme çeşitli yollarla gerçekleştirilebilir:





Kurum içerisinde, BCM’den ve yönetişimin yönetiminden (örn. gerekli
standardizasyonun tanımlanmasından), bilgi paylaşımından, en iyi uygulamaların
koordinasyonundan, danışmanlıktan ve işletme birimleri arasındaki BCM
faaliyetlerinden sorumlu olacak merkezi bir grup tanımlayarak;
Her işletme biriminin (İB) uygulaması gereken bir BCM sistemi kurarak;
Kurumun yıllık işletme planı, test etme ve İB’lerin kendi BCM faaliyetleri için
gereken finansmana sahip olmalarını sağlama yoluyla kurum çapındaki BCM
faaliyetleri için uygun finansman sağlayarak;
BCM’nin önemini ve işletmeye nasıl değer kattığını anlatarak ve bildirerek;
BC uygulamalarına, eğitim seminerlerine ve diğer acil durum yönetimi etkinliklerine
katılarak.
Her İB’nin uygulaması gereken BCM sistemi, sayılanları içermelidir:





BCM’nin ve BCM’nin şirket içindeki değerinin bir tanımını,
Bir İB içerisinde bir BCM programını uygulamak ve sürdürmek için gereken
adımların açıklanmasını,
Her İB’nin BCM’yi sahiplenmesinin (Bakınız aşağıdaki “İşletme Birimi Yönetiminin
Desteği”.) sağlanmasını,
Programın kurum ve işletme birimi düzeyindeki veya bölgesel düzeydeki (örn. Her İB
kendi yerel ölçütlerini oluşturur.) ilerleyişini ve gelişimini değerlendirmek için
kullanılabilecek ölçütlerin tanımını,
BCM’yi uygulamak ve sürdürmek için her İB’nin güncelleyebileceği bir BCM sürekli
kalite programının uygulanmasını.
B. İşletme Birimi Yönetiminin Desteği
İB veya bölgesel yönetim de BCM ve acil durum yönetim programı için açık destek verdiğini
göstermelidir.Çeşitli yollarla bu hayata geçirilebilir:
 Kurumun tanımladığı BCM sistemini uygulayarak,
 Risklerini ve iş değerlerini karşılayacak BC kapasitelerini yaratmak için İB’deki tüm
ekiplerin BCM çalışmasına katılmasını sağlayarak,




Kurum çapında BCM yönetişimine, bilgi paylaşımına, en iyi uygulamaların
koordinasyonuna, danışmanlığa ve işletme birimleri arasındaki BCM faaliyetlerine
katılacak birini belirleyerek,
BCM’nin önemini ve işletmeye nasıl değer kattığını anlatarak.
BC tatbikatlarına, eğitim seminerlerine ve İB için diğer acil durum yönetimi
etkinliklerine katılarak,
İB yıllık işletme planıyla İB’nin BCM faaliyetleri için uygun finansman sağlayarak.
BCM sistemini kullanırken,İB veya bölgesel yönetim,





5.2
İB’ye özel işletme değerini tanımlamak için BCM’nin tanımı bölümünü
güncellemelidir.
BirİB içerisinde bir BCM programını uygulamak ve sürdürmek için gereken adımları
anlamalıdır.
İB BCM sponsoru (finansman ayarlamak ve BCM yöneticiliği yapmak için), İB BCM
müdürü (BCM kapasitelerini yönetmek ve sürdürmek için) ve İB BCM koordinatörü
(BCM faaliyetlerini BCM müdürünün istediği doğrultuda ayarlamak için) gibi kilit
görevlerde görevlendirmek de dâhil kendi İB’lerinde BCM’nin sahiplenilmesini
sağlamalıdır.
Programın ilerleyişini değerlendirmede kullanılabilecek İB BCM ölçütlerini
tanımlamalıdır.
Bir İB BCM sürekli kalite programı uygulamalıdır.
Risk Değerlendirme ve Risk Hafifletme
İB veya bölgesel yönetim, işletme birimlerinin ve ilgili yerlerin (şehir veya bölge) her biri için
bir BC risk değerlendirmesi yapmalıdır.Bu uygulamanın amacı, belirli operasyon yerlerinde
gerçekleştirilen kritik işletme süreçlerine zarar verebilecek veya söz konusu süreçleri
aksaklığa uğratabilecek olası riskleri tanımlamaktır. BC risk değerlendirmesi, olası olayların
ve bir risk hafifletme planında (örn. önleme) ve BCM programında ele alınması gereken
ilişkili sonuçların bir listesini sağlayarak BCM programının genel kapsamını şekillendirmede
kullanılır. Tüm riskleri tahmin etmenin ve kabul edilmesi gereken bilinen tüm riskleri
hafifletmenin yolu yoktur. BC risk değerlendirmesine katılacak kişiler işletme, sağlık,
güvenlik ve çevre grubu personelinden, tesis yönetiminden, hukuk alanından, insan
kaynaklarından kişilerden ve tıbbî personelden oluşmalıdır.
Kasırgalar ve/veya dünyanın kimi bölgelerinde altyapı arızaları ya da diğer düzenli olarak
yaşanan olaylar gibi tahrip edici olayların meydana gelmesi çok olasıdır. Bu tahmin edilebilir
olaylar için özel taktiksel BC planları gerekebilir. Depremler gibi çoğu olayın meydana
gelmesi oldukça olasıdır. Bir deprem felaketi bir bölgede görülmesine rağmen büyük
olasılıkla daha büyük bir başka bölgeyi de etkiler. Bu yüzden, çalışma yeri deprem kuşağında
bulunuyorsa, bu olası tahrip edici bir olay olarak değerlendirilmelidir ki bu durumlar çoğu kez
bir makul olay olarak adlandırılır.
Bir ortamdaki tüm riskleri ortadan kaldırmak imkânsızdır; fakat yine de etkin ve etkili
operasyonlar yürütmek mümkündür. Denge, BC risk yönetiminin kilit öğesidir. Aksaklıklara
neden olabilecek olayları değerlendirirken, makul olanları saptamak ve işletme
operasyonlarını etkileyebilecek tüm potansiyel olayları bulmak önemlidir. Gelecekteki tahrip
edici olayları tahmin etmenin olası yöntemleri arasında şunlar yer alır:



Aynı bölgedeki benzer kurumların geçmiş verilerine bakarak,
Olası risklere ilişkin devletin veya sektörün verilerini kullanarak,
İşletme modeli değiştiğinde veya ayrıntılı bir risk değerlendirmesi yapmak için elde
sınırlı veri bulunuyorsa, konunun uzmanlarından yararlanarak.
A. Tahrip Edici Olaylardan Örnekler
Kritik iş süreçlerini etkileyebilecek bazı tahrip edici olaylardan örnekler arasında:










Depremler, kasırgalar, yağmur/sel ve yıldırım gibi doğal afetler;
Yangınlar, patlamalar, sızıntılar ve kirlilik gibi endüstriyel olaylar;
Bileşen sağlayıcısı aksaklıkları ve elektrik sağlayıcısı hataları
Uçak kazaları gibi diğer facialar;
Pandemi veya diğer tıbbi riskler gibi tıbbi epidemiler;
Grevler, ulaşım aksaklıkları ve toplumsal itaatsizlik gibi işgücü aksaklıkları;
Terörizm, bombalamalar ve savaş gibi ekonomik ve siyasal istikrarsızlık göstergeleri;
Çalışan hataları, suç eylemleri ve suiistimal gibi insan faktörleri;
Siber-terörizm, virüsler, hacker saldırıları ve hizmet-reddi (DOS) saldırıları gibi BT
riskleri;
Sayılan üretim ve imal riskleri:
o Enerji, hammaddeler ve kritik hizmetler dâhil tedarikçi aksaklıkları,
o Boru, kazan ve taşıyıcı bantlarda üretim ekipmanı arızaları,
o İşleme tesisleri ve atık imha ekipmanları gibi yardımcı altyapı hizmetlerinin
yokluğu,
o Ürün depolanması, taşıma ve dağıtım aksamaları,
o Kritik laboratuvar, test ve/veya kalite kontrol süreçlerinin yokluğu,
o Üretimi durduran süreç otomasyon sistemi (SCADA ve DCS gibi BT sistemleri)
arızaları.
o İzinler, gümrük, personel vizesi ve/veya sertifika verme konularında devletin
geciktirmeleri
B. Tahrip Edici Olayların Etkilerini Değerlendirme
Kurumun çalışma yerlerinde ve bölgelerinde makul olay tespit edildikten sonra, olayı
anlamak için ek çalışma gerekir. Olayın kapsamını daha iyi anlayabilmek için etkenlerden
bazıları değerlendirilmelidir; olası bir olayın etkileri arasında:
 Olayın etki alanının coğrafi büyüklüğü: Tek bir bina (yangın vb.), bir tesis
kompleksinin tamamı (kimyasal sızıntı vb.), metropollerde (toplu taşıma grevleri vb.)
büyük bir bölge (deprem)ya da potansiyel olarak tüm dünya (pandemik grip).
 Etki Süresi: Operasyonların yüzde 75 oranında işlerliğe,yani insanların, kaynakların ve
üretimin yüzde 75 oranına kadar işler hâle geleceği tahmin edilen zamana kadar geçmesi
gereken gün sayısı.Etki süresi, yeni bir bina kiralamak ve bir yangından sonra bir binayı
yeniden eski hâline döndürmek gibi, kurumun kaybettiği ve zarar gören kaynaklarını
yenileyinceye kadar geçecek süre de olarak da görülebilir.
 Personelin çalışabilme durumu (gün olarak): Her olası felakete bağlı olarak,
çalışabilecek personelin yüzdesi (gün olarak: 0, 3, 7, 14 veya 30). Personelin deprem gibi
evlerine zarar verebilecek bazı afetlerden sonra uzun bir süreliğine evlerine gitmeleri
gerekebilir.
 Operasyonların ve/veya ofislerin durumu: İşler durumdaki muhtemel operasyon ve/veya
ofis alanının (olayın etkisinin sürdüğü dönemde) yüzdesi.
 BT’nin Kullanılabilirliği (Olayın etkisinin devam ettiği dönemde): Her felaket
durumunda kilit BT bileşenlerinin olası kullanılabilirliği. BT altyapısı (oturum açma
kapasiteleri), BT ağı, BT uygulamaları vb.ni içerir.
BC risk değerlendirmesi, kritik iş süreçleri üzerindeki etkiyi belirlemek için kullanılabilir.
Araştırma ve geliştirme ofisleri gibi bazı operasyon tesislerinin çalışma yerinde
gerçekleştirilen çok az kritik işletme süreçleri olabilir. CM ve ER birimlerinin başarılı
olmaları için ihtiyaç duydukları kaynaklara sahip olmalarını sağlamak için tüm çalışma yerleri
için BC risk değerlendirilmesi, en azından, personelin sağlığına ve emniyetine, güvenliğe ve
olası çevresel etkilere odaklanmalıdır.
C. Risk Hafifletme Stratejileri Geliştirme
BC risk hafifletme stratejilerini geliştirip uygulamak tahrip edici olayların etkisini en aza
indirecek ve müdahale kapasitelerini geliştirecektir. Risk örnekleri ve söz konusu risklere
karşılık risk hafifletme stratejileri olarak şunlar yapılmalıdır:
 Çeşitli Felaketlere karşı güvenlik önlemleri (için): ER ve/veya Sağlık, Güvenlik ve
Çevre ekibi ve/veya operasyonel planlar geliştirilmelidir.
 Operasyonel Aksaklıklar (için): Standart çalışma prosedürleri ve normal bakım
faaliyetleri geliştirilmelidir.
 Genel merkezin zarar görmesi: Personel alternatif bir merkeze götürülmeli veya
evlerinin çalışmaya müsait olması kaydıyla, personelin evlerinde çalışmalarına (bölgesel
bir felaket durumunda, ev yıkılmamışsa; evde ekipmanlar, bilgisayar, ağ bağlantısı vb. gibi
gerekli kaynaklar varsa)izin verilmelidir.
 BT ağ bağlantısının kaybı:Ağ yedeklemesi veya kurtarma oluşturmak için BT sistemi ve
bilgi kurtarma (felaket kurtarma) planları geliştirilmelidir.
 BT veri merkezi kaybı: BT sistemleri geri yükleninceye kadar iş süreçlerini manuel
olarak yapmak üzere bir plan geliştirilmelidir.Ayrıca, BT sistemlerini alternatif bir yerde
geri yüklemek için bir BT felaket kurtarma planı yapılmalıdır.
BCM sponsoru ve uygun bir yöneticiler ekibi, BC risk değerlendirme ve BC risk hafifletme
stratejilerini gözden geçirmeli ve onaylamalıdır. BT risklerini ele alması gerektiğinden dolayı,
yönetimin BC risk değerlendirmesini onaylaması ve BC risk hafifletme planının finanse
edilmesini, uygulanmasını ve periyodik olarak test edilmesini sağlaması gerekir.
5.3
İş Etki Analizi:
BIA, bir felaketten sonra kurtarılması gereken kritik iş süreçlerini tespit etmek için kullanılır.
BIA, kritik iş süreçlerine kalınan yerden devam edilebilmesi için gereken kurtarma
çözümlerine ilişkin bir başlangıç tartışması içerir (Bakınız sayfa 11’deki “ İş Kurtarma ve
Süreklilik Stratejisi”). BIA’e, hem işletme personelinden hem de kilit tedarikçilerden personel
katılımı olmalıdır.
BIA, kuruma zarar verebilecek makul olayları tespit eden ve tanımlayan BC risk
değerlendirmesinden elde edilen bilgiye göre yürütülmelidir. BIA toplantıları, tipik olarak, her
ekip için ayrı düzenlenir.Ardından, her BIA toplantısından sonra kritik tedarikçi olarak
belirlenen diğer ekiplerle tartışmalar yapılır.
A. İş Süreçlerini Tanımlama
BIA’deki ilk adım, görev ekibi (fonksiyonel ekip) tarafından uygulanan iş süreçlerini, söz
konusu görevi (fonksiyonu) yerine getirmek için gereken kaynakları, işi yapan kritik personeli
belirlemek ve tanımlamaktır. İş süreçleri başlangıçta çok sayıda münferit alt-sürece
bölünmemelidir. Personel alımları (örn. Personel görev ve rolleri), hizmet sağlayıcıları
(üçüncü taraflar, dışarıdan hizmet alanlar vb.) veya kaynakları (örn. BT sistemleri) farklıysa,
iş süreçleri ayrı ayrı tanımlanmalıdır.
B. İş Etkisine Bağlı Olarak RTO (Kurtarma Zamanı Hedefi) ve RPO (Kurtarma
Noktası Hedefi) Belirleme
Bir BIA’in ikinci adımı ise, iş süreci yapılamıyorsa, iş etkisi türünü tespit etmektir. Aşağıda
bazı iş etkisi türleri verilmiştir:






Sağlık ve güvenlik (örn. yaralanma)
Çevresel (örn. sızıntı)
Müşteri hizmetleri (örn. müşteri kaybı)
Finansal (örn. cezalar)
Düzenlemeyle ilgili/hukukî (örn. devlet kararları)
İtibar (örn. İtibar kaybı)
Daha sonra, iş etki türlerine dayalı olarak bir kurtarma zamanı hedefi (RTO) belirleyiniz.
RTO, iş sürekliliğinde meydana gelebilecek olası bir aksaklığın neden olabileceği kabul
edilemez sonuçlardan kaçınmak için, bir iş sürecinin kurtarılacağı (bir felaketten sonra)
zaman ve hizmet düzeyi süresidir. Bir RTO, genel olarak, 0, 3, 7, 14 veya 30 gibi belirleyici
standart zaman noktalarına bağlı olarak tanımlanır. İşletme yönetimi, sonunda,her bir iş süreci
için doğru RTO’yu belirler. Genellikle, RTO azaldıkça (örn. iş sürecini hemen kurtarmak
gerekiyorsa, maliyeti yüksek olabilir.) kurtarma çözümünün maliyeti artacaktır.
Bir sonraki adımda, bilgi sistemleri için bir kurtarma noktası (RPO) hedefi belirleyiniz. RPO,
bir felaketin bilgi sistemlerini yok etmesi sonucu kaybolabilecek veri miktarıdır. İşletme
personeli kaç günlük verilerin makul olarak kaybolabileceğini ve ne kadarının yeniden
manuel olarak oluşturulabileceğini belirlemelidir. Veriler, kurum sistemiyle (örn. bankacılık
sistemleri) veri alışverişinde bulunan dış sistemler gibi diğer kaynaklar sayesinde çoğu zaman
yeniden oluşturulabilir. İşletme yönetimi, sonunda, her bir iş süreci için doğru RPO’yu
belirler. Genellikle, RPO azaldıkça, kurtarma çözümünün maliyeti artar (yani,iş sürecinin
hiçbir verinin kaybolmasına tahammülü yoksa, veri kopyalamak oldukça pahalıya mal
olabilir.).
Şekil 4.RTO ve RPO’yu Anlamak
C. Diğer Tarafları ve Fiziksel Kaynakları Tespit Etme
BIA’in üçüncü adımı ise, diğer departmanların, satıcıların, diğer üçüncü tarafların, kritik
ekipmanların ve fiziksel kayıtların da dâhil edilebileceği iş süreci için kritik olan diğer
tarafları ve fiziksel kaynakları belirlemektir. Bir BIA’i da, işletme kurtarma süreçlerini
desteklemeye hazır hâle gelmeleri için kritik iş süreçlerini destekleyen diğer taraflarla birlikte
uygulamak gerekebilir.
D. BIA için Sponsorun ve Müdürün Onayını Almak
Her ekibin BCM sponsorunun ve müdürünün kapsam bakımından BIA’i gözden geçirip
onaylaması gerekir. Yöneticiler kurum çapında iş sürekliliği ve kurtarma çözümlerinin
uygulanmasından sorumlu oldukları için, çalıştıkları ekip için bir BIA’e edinirler.
5.4 İş Kurtarma ve Süreklilik Stratejisi
BIA süreci esnasında saptanan kritik iş süreçleri için işletme kurtarma ve süreklilik
stratejilerinin geliştirilmesi gerekir. BIA, kritik iş süreçlerinin yeniden başlayabilmesi için
gereken kurtarma çözümlerine ilişkin bir başlangıç tartışmasını içerir (Bakınız sayfa 10’daki
“İş Etki Analizi”). İş kurtarma ve süreklilik oturumunda yer alacak katılımcılar arasında
işletmenin, kilit tedarikçilerin ve bilgi sistemleri kurumlarının çalışanları bulunabilir.
İş kurtarma ve süreklilik stratejileri aşağıda sayılan çözüm türlerini içine alabilir:





Manuel İş Süreçleri: BT sistemleri arızalıyken işler manuel olarak yapılabilir.
Dışarıdan Hizmet Almak: İşlerin bir kısmını dış şirketler, rakipler (karşılıklı
anlaşmalar yoluyla) veya ikincil satıcılar yapabilir.
BT için Felaket Kurtarma: Kritik sistemler için bir BT kurtarma çözümü gerekir;
ancak bunlar pahalıya mal olabilecekleri için bir felaketin ardından başlangıçta manuel
iş süreçleri kullanılabilir.
Alternatif personel görevlendirme: Personel içerisinde söz konusu işi yapabilecek
başka kişiler belirleyiniz.
Alternatif Tesisler: Birincil personelin çalışabileceği alternatif tesisler belirleyiniz.
İşletme kurtarma ve süreklilik stratejileri geliştirilirken, BC risk değerlendirmesi esnasında
belirlenen makul olayların yanı sıra bu olayların kaynaklar üzerindeki olası etkileri de dikkate
alınmalıdır. Kasırga gibi aynı anda hem kurum tesislerini hem de çalışanların evlerini
etkileyen bölgesel çapta etkili felaketler için alternatif tesis seçenekleri son derece sınırlı
olabilir.
A. Personel Görevlendirmeye İlişkin Kurtarma Faaliyetleri
Çoğu makul olayın olası sonuçlarından birisi de sınırlı sayıda şirket-içi personel
görevlendirme olduğundan dolayı, alternatif personel alımı BC için daima gereklidir. Bunun
için en iyi seçenek, söz konusu makul olaya bağlı olarak felaketten etkilenen bölgenin
dışından kişiler belirlemektir. Bölge dışından kimse yoksa birincil bölgedeki personel alım
düzeyini arttırmayı düşününüz. Bir felaket yaşanması durumunda personelin %80’inin
çalışacak durumda olmayacağını tahmin ediliyorsanız, belirli bir işi yapmak için kaç kişiye
ihtiyaç duyulduğunu düşününüz ve bu sayıyı beşle çarpınız:


Bir işi yapmak için bir kişi gerekiyorsa, bu işi yapabilecek beş kişi belirleyiniz.
Eğer işi yapmak için iki kişiye ihtiyaç varsa, o halde bu işi yapabilecek 10 kişi
belirleyiniz vesaire.
Normalde işletmede çalışan personel kritik iş süreçlerini yapmanın başka yollarını biliyor
olabilir. Bu seçenekler arasında, sistem bozuk olduğunda zaten uygulanmakta olan işlerin
manuel olarak yapılması da bulunabilir. Diğer bir seçenek de, birincil personelin çalışamaz
durumda olduğu zamanlar mevcut personeli başka bir yerde kullanmak olabilir. Gerekirse,
bazı işleri için üçüncü bir taraftan dış kaynak hizmeti de sağlanabilir.
B. Kritik Fonksiyonlar için Alternatif Kaynak Sağlama
Bir işi bir dış sağlayıcıya yaptırmak için çeşitli seçenekleri göz önüne alınız. Her bir kritik iş
için gereken tutarlılık ve kalite derecesini değerlendiriniz. Bir kurum,bir felaket durumunda
kurumun tam spesifikasyonlarını karşılamayan endüstriyel standart ürün ve hizmetlerle
çalışmaya devam edebilir. Bir diğer seçenek ise, diğer tedarikçilerden iç gereksinimi
karşılamak için hizmet satın almaktır. İşletmenin sağladığı hizmetlerin çoğu dış kaynak
kullanma yoluyla standart hizmetler sunan çeşitli şirketlere yaptırılabilir. Birden fazla şirketin
aynı anda yürüttüğü, özel kanunlarla düzenlenmiş fonksiyonlar söz konusu ise ya da yatırım
maliyetleri yüksekse, rakiplerle, mütekabiliyet esasına dayanan anlaşmalar yapma yoluna
gidilebilir.
BIA sırasında saptanan risklerin çoğu, kurumun genel tedarik zinciri için kritik öneme sahip
ürün ve hizmet tedarikçilerini de içerebilir. Bu satıcılar, ürünleri imal etmek ya da ürünlerin
ambalajlanması, saklanması veya dağıtımı için kullanılan kritik önemdeki hammaddeleri veya
bileşenleri sağlayabilir. Sözleşme hükümleri kilit tedarikçilerin – çalışmaya devam ettikleri
varsayılarak - yükümlülüklerini yerine getirmelerini sağlamak konusunda kullanılabilir.
Birincil tedarikçiler konusunda bir aksaklık çıkması durumunda alternatif tedarikçilere
(tedarikçi çeşitliliği)ihtiyaç duyulabilir.
Bir başka seçenek ise, üretimde tam bir aksama yaşanması durumunda ürünlerin nasıl arz
edileceğini belirlemektir. Bir felaket süresince rakip kurumlardan ürün almak bir seçenek
olarak değerlendirilebilir; ancak önceden imzalanmış bir ikili anlaşma böyle bir durumda
maliyeti kontrol etmeye yardım edebilir. Başka bir seçenek de, anlaşmada ortaya konan
taahhütlere dayalı olarak müşteri memnuniyetini ve daha sonra da gelecek iş fırsatları vb.ni
önceliklendirmektir. Çeşitli felaketleri göz önüne alarak önceden üretim alternatifleri
belirlemek şirketin genel üretimini en üst düzeye çıkarmaya yardımcı olabilir. Böyle bir
durumda, kaynak kullanımını, yan ürün üretimini ve mevcut kaynaklara ve (satıcı ve altyapı)
hizmetlere dayanarak üretimi en üst düzeyde etkin ve verimli kılabilecek diğer faktörler de
veriler arasında yer alır.
C. Kurtarma Faaliyetleri için Gereken Alternatif Ofisler
BCP’nin etkinleştirilmesini gerektiren hemen hemen tüm felaketlerde alternatif çalışma ofisi
sağlamak gerekebilir. Personel için alternatif ofis sağlama konusunda çok sayıda seçenek
vardır; fakat bunların maliyetleri de birbirinden son derece farklıdır. Aşağıda alternatif ofis
alanları için bazı alternatifler verilmiştir:



Felaket bölgesinin dışında olup genel merkeze yakın olan bir başka kurum tesisi genellikle
düşük maliyetli bir seçenektir. Bu da alternatif kurum ofisindeki işletme biriminin kritik
olmayan personeli eve göndermek için BCP’sini etkinleştirmesini gerektirir.
Bugün ofis işlerini evden veya bir otelden yapmak için çok sayıda insan uzaktan erişimi
kullanmaktadır. Burada kilit gereklilik, çalışanların uzaktan çalışabilmeleri için uygun
güvenlik araçlarının (örn. uzaktan erişim şifresi) ve uygun donanımların(örn. dizüstü
bilgisayar veya PC) bulunmasıdır.Uzaktan erişim çözümleri değerlendirilirken, özellikle
işbirliği ve iletişim eksikliğiyle ilgili olduğu için bir ekip çok sayıda birbirinden farklı
alana dağılmışsa, bunun üretime etkisi de hesaba katılmalıdır.
Ticari kurtarma tesisleri de ofis alanları sunar; ancak bunu genellikle yüksek bir maliyet
karşılığında ve kurumun BT sistemlerine genellikle sınırlı ağ bağlantısı sağlayarak yapar.
Kullanıcılar, sisteme sorunsuz giriş yapabildiklerinden emin olabilmek amacıyla her türlü
alternatif ofis alanını test etmelidir. Çözümden istenilen sayıda kullanıcının yararlanıp
yararlanamayacağını öğrenip teyit edebilmek için bir hacim (performans) testi yapılmalıdır.
Kritik olmayan işleri yürüten personele, bir felaket durumunda sisteme giriş yapmaması
söylenmeli ve böylece kaynakların kritik olduğu düşünülen iş süreçlerini yapan personel için
kullanılabilir olması sağlanmalıdır.
D. Normal Çalışmalara Geçişi Planlama
Kurtarma çözümlerine ihtiyaç sona erdiğinde, kurumun tekrar normal çalışmalarına
(operasyonlarına) geçişini sağlamak üzere bir plan yapılmalıdır. Kurum bir felaket durumunda
olağanüstü koşullarda çalışmak durumunda kaldığı için geçiş zor olabilir. Sistemler kurtarılır
kurtarılmaz manuel olarak toplanan veriler sistemlere girilmelidir. Felaket sırasında meydana
gelen finansal ve düzenleme istisnaları uygun evraklar gönderilip onaylanarak
çözümlenmelidir. Felaket durumundayken yapılan ürün alışverişleri (ödünç alınan) ikmal
edilmeli veya ödünç alınan ürünler için karşı tarafa ödeme yapılmalıdır.
BCM sponsoru ve uygun bir yöneticiler ekibi, çalışma alanlarının kapsamında yer aldığı için
süreklilik stratejilerini onaylamalıdır. Yöneticiler kurum çapında iş sürekliliği ve kurtarma
çözümlerinin uygulanmasını sağlamaktan sorumlu oldukları için, çalışma ekipleri için
süreklilik stratejileri edinmelidirler.
5.5 BT için Felaket Durumunda Kurtarma
Yapılan işe ve BT’ye bağımlılık düzeylerine bağlı olarak, bazı kritik iş süreçlerinin bir kısmı
BT veya bilgiler olmaksızın kurtarılabilir. Diğer durumlarda, kritik bazı iş süreçlerinin
kurtarılması için BT ve bilgi gerekir. Saatler, günler, haftalar veya daha fazla olsun, her
kurum BT sistemlerinin maksimum atalet süresini, bu durum bütün kurumu tehlikeye
atabilecek düzeye ulaşmadan önce belirlemelidir.
Felaket kurtarma planı, BT sistemlerini kurtarmayı açıklamak için kullanılan bir terimdir.
Bazı şirketler, BT sistemlerinin, verilerin, bilgi yönetimi sistemlerinin, süreçlerin ve diğer
ilgili sistemlerin kurtarılmasını da dâhil etmek için farklı terimler kullanmaktadırlar. Felaket
kurtarma dokümanı, BT ve bilgi sistemleri yönetimini kurtarma stratejilerini açıklamalıdır.
Felaket kurtarma planı, prosedürleri, satıcı referanslarını, sistem diyagramını ve diğer ilgili
materyalleri de içeren ayrıntılı kurtarma talimatlarını da kapsamalıdır. Ayrıntılı kurtarma
prosedürleri, sistem ve iş süreçleri değiştiğinde güncellenmelidir.
Aşağıda DRP’nin bir parçası olarak kurtarılabilecek bileşenlerden bazı örnekler verilmiştir:


Aşağıda sayılanlar dâhil olmak üzere BT sistemleri:
o BT veri merkezi,
o Kurumun ihtiyacı olan uygulamalar ve veriler,
o Sunucular ve diğer donanımlar,
o Telefon, radyo vb. gibi iletişim araçları,
o Dış (üçüncü taraf) bağlantılar da dahil ağlar,
o BT altyapısı (örn. sisteme giriş hizmetleri ve yazılım dağılımı)
o Uzaktan erişim hizmetleri,
o Süreç kontrol sistemleri (örn. SCADA/DCS)
Aşağıda sayılanlar dahil olmak üzere bilgi yönetimi sistemleri:
o Dosya arşiv odaları,
o Doküman yönetim sistemleri (elektrikli ve manuel)
A. DRP Stratejilerini Belirlerken Dikkate Alınması Gerekenler
BT kurtarma stratejilerini belirlerken dikkate alınması gereken çok sayıda husus vardır:






DRP dokümanı, personel bir BIA uyguladıktan sonra personelden gelecek talimatlara göre
sistem ve bilgileri kurtarma stratejilerini açıklamalıdır.
Kritik BT ve bilgi hizmeti sağlayıcılarının kurtarma kapasiteleri işletmenin gerekliliklerini
karşılayıp karşılamadıklarını anlamak amacıyla değerlendirilmelidir.
BT’nin ve bilgi bileşenlerinin kurtarılması, çoğunlukla kritik iş süreçlerini desteklemek
için gereken tam bir sistem yaratmak için birleştirilmelidir. Örneğin, bir sistemin
kurtarılması, masaüstü uygulamasının, sunucu uygulamasının, sunucu donanımının,
sunucu işletim sisteminin, altyapı sunucularının, veri merkezlerinin ve üçüncü taraf ağları
vb.nin kurtarılmasını gerektirebilir.
BT ve bilgiye ilişkin iç ve dış hizmet sağlayıcıları, aşağıda sözü edilen konularla ilgili
bilgiler de dâhil kurtarma hizmetlerini açıklamalıdırlar:
o Hizmet sağlayıcısının sorumluluğundaki kurtarma faaliyetleri ve olabilecek her türlü
kurtarma faaliyeti.
o Kurumun sorumluluğundaki kurtarma faaliyetleri (Kaybolan verileri yeniden
oluşturma gibi)
o Bir felaket sırasında kurum ile hizmet sağlayıcısının iletişim kuracakları yolları.
o Üçüncü taraflar için sözleşmeler (örn. uygulama hizmeti sağlayıcıları) veya iç hizmet
sağlayıcıları için hizmet düzeyi sözleşmeleri
o Kurtarma çabalarının (örn. Sistemler, veriler ve ağ vb.) kapsamı
o Kurtarma stratejileri
o RTO ve RPO’ları
o Kurtarma çözümlerinin, hizmetlerinin ve testlerinin maliyeti ve felaket duyurusu
o Kurtarmayı test etme sıklıkları.
Çevre unsurları normalde bir üretim veri merkezinde kullanılmayan çözümler kullanılarak
kurtarılabilir. Örneğin, bazı veriler başlangıçta kurtarılamayabilir (büyük resim
kütüphaneleri) - ki bu da söz konusu verilerin kullanılabilir olmadığı anlamına gelir (örn.
hata mesajları üretebilirler).
Diğer BT sistemleriyle tutarlılık ihtiyacı duymadan her bir BT sistemi veya bileşeni için
birbirinden bağımsız kurtarma stratejileri geliştirilmelidir. Fakat bir sistemi oluşturan
bileşenlerin aynı yerde tutulmaları veya yeterince ağ bant-genişliği olan yerlerde
tutulmaları önemlidir. Örneğin, büyük merkezi bir veri merkezinde e-postalar
kurtarılabilir; yerel bölgedeki sunucu üzerindeki bir başka yerde dosya kopyalanabilir; bir
felaket sırasında bazı uygulamalar ve hizmetler geçici olarak dışarıdan satın alınabilir ve
yerel uygulamalar sunucu vb. yerine bir PC kullanılarak yapılabilir. Çözümler dünya
çapında yayılmış olsalar da, amaç en iyi ve en maliyet verimli çözümü bulmaktır. Tek
gereklilik nerede kurtarıldıklarına/geri yüklendiklerine bakılmaksızın, sistemlerin tüm
kullanıcıların erişimine açık olmaları ve bir sistemin tüm bileşenlerinin birlikte
çalışmasıdır.

Kurtarma çözümleri geliştirilirken bilgi güvenliği ve uyum standartlarının düşünülmesi
gerekir. Kurtarma çözümleri makul olamayan güvenlik düzeyleri veya uyum riskleri
getirmemelidir. Gerçek bir felaket meydana gelirse, bazı güvenlik ve uyum kontrolleri
gevşetilebilir; ancak kurtarma ortamında bulunan riskleri anlamak için bilinçli bir karar
gerekir. Kurtarma çözümleri kullanılabilirliğin kaybıyla ilişkilendirilen riskleri azaltmayı
amaçlar; ancak bütünlük ve gizlilik ihtiyacıyla dengelenmelidir.
B. Kurtarma Çözümleri ve Kurtarma Yerleri
Aşağıda, yaygın kullanılan kurtarma çözümleri ve uygulanma yerlerinin bir listesi verilmiştir:




Sıcak kurtarma planı/kapasiteleri
o Bir kurtarma planı vardır.
o Kurtarma yerlerinde kurtarma kaynakları vardır ve sistemin hemen o anda veya
birkaç saat içinde kurtarılmasını sağlamak için veriler gerçek zamanda senkronize
edilir.
o Genel kurtarma zamanı birkaç dakika ilâ bir gündür.
Ilık kurtarma planı/kapasiteleri
o Kurtarma yer(ler)inde kurtarma kaynaklarına (üretim-dışı sistemler, yedek
donanımlar vb.) ulaşılabilir; fakat bir felaket durumunda söz konusu kaynakların
üretim sistemini desteklemeleri için yapılandırılmaları gerekir.
o Bazı verilerin (muhtemelen kasetlerden veya diğer yedeklemeler cihazlarından)
yedeklenmesi gerekir.
o Yedekleme süresi genellikle 2 ilâ 13 gündür.
Soğuk kurtarma planı/kapasiteleri
o Kurtarma yer(ler)i, kurtarma süreci için gereken alan ve temel altyapıyla
özdeşleştirilmiştir.
o Kurtarma kaynakları (örn. sunucular) kurtarma yerlerinde bulunmaz ve muhtemelen
dışarıdan satın alınmaları gerekir.
o Verilerin büyük ihtimalle yeniden yüklenmesi gerekir (muhtemelen kaset
yedeklemelerinden).
o Kurtarma zamanı genel olarak 14 ilâ 30 gündür.
Kurtarma planı/kapasiteleri yoktur.
o Kurtarma planı bulunmaz.
o Kurtarma kaynakları ve veri geri yükleme süreçleri tanımlanmamıştır.
o Kritik verilerin ileride bir gün geri yüklenmesini sağlamak üzere veri yedekleme
planları bulunur.
o Sistemlerin ve bunların destekledikleri iş süreçlerinin bir daha geri
getirilemeyebileceği veya geciktirilmiş uzun bir kurtarma sürecinin yaşanma riski
vardır.
BCM sponsoru ve yöneticilerden oluşan uygun bir ekibin operasyonlarının kapsamı
bakımından BT kurtarma çözümlerini onaylamaları gerekir. Kurumdaki tüm yöneticiler BC
ve kurtarma çözümlerinin uygulanmasını sağlamaktan sorumlu oldukları için, çalışma ekipleri
için BT kurtarma çözümlerine sahip olmalıdırlar.
5.6 Farkındalık ve Eğitim
Personeli kurtarma durumlarına hazırlama sürecinde eğitim ve farkındalık yaratmak etkilidir.
Personelin faaliyet gösterdikleri yerlerde ve bölgelerinde kendi BC rollerini ve acil durumlara
müdahale faaliyetlerini anlamalarını sağlamak için yılda en az bir kez farkındalık eğitimi
verilmelidir. Liderlik ekibinin karar alma ve iletişim araçlarını yönetme görevlerini de içeren
süreklilik yönetimi (CM) eğitimi de son derece önemlidir.
BCM programı, katılan kişilerin rollerine ve kaynak bulma stratejilerine dayalı olarak değişen
düzeylerde bilgi gerektirir.Aşağıda bazı görevler ve her bir görev için gereken bilgi düzeyi
verilmiştir:





BCM sponsoru,
o BCM kavramlarını ve BCM’ye yönelik değer önermesini anlamalıdır.
BCM müdürü,
o Acil durum yönetimini anlamalıdır (CM, ER ve BCM).
o Uluslararası Felaket Kurtarma Enstitüsü (DRII), İş Sürekliliği Enstitüsü (BCI) veya
dengi bir kurumdan Sertifikalı İş Sürekliliği Uzmanı (CBCP) sertifikası almalıdır (Bu
kalifikasyon işletme birim yöneticileri için isteğe bağlıyken kurum çapındaki BCM
yöneticileri için zorunludur.).
o Bir BCM programı ve/veya süreç uygulaması yaratmalıdır (operasyonel verimlilik,
güvenlik ve diğer ilgili süreçler gibi kurumsal metodoloji doğrultusunda olması tercih
edilir.).
BCM koordinatörleri,
o Kurumun BCM süreci metodolojisiyle(genellikle ya kurum tarafından ya da dışarıdan
eğitim yoluyla sağlanır.) ilgili sağlam bir bilgiye sahip olmalıdır.
BCM Danışmanı (iç veya dış),
o DRII, BCI veya dengi bir kurumdan bir CBCP veya Master İş Sürekliliği
Uzmanı(MBCP) sertifikası almalıdır.
o BCM risk değerlendirmesi, BIA, kurtarma planlaması ve tatbikatlar vb. konusunda
kapsamlı bir bilgi ve deneyim sahibi olmalıdır.
BCM personeli,
o BCM kavramlarını ve BCM için değer önermesi anlamalıdır.
o Acil durum iletişim prosedürlerini anlamalıdır.
o Çalışma yeri ve bölgeleri için ER’yi bilmelidir.
Tatbikatlar, açıkları ve zayıflıkları tespit etmenin yanı sıra gerçek bir felaket durumunda
kurtarma planları ve personelin alacakları görevler konusunda personelin eğitimi için en
önemli eğitim yöntemlerindendir. Farklı tatbikat türlerinin anlatımı için bakınız “İş Sürekliliği
Tatbikatı” (sayfa 15).
5.7 BCM Programının Sürdürülmesi
Kurumların bir BCM konusunda hazır olmalarının önündeki en yaygın engel ihmaldir.
Kurumlar, daha sonra sürdüremeyecekleri planlar geliştirmek için çoğu zaman büyük zaman
ve para yatırımı yaparlar. Diğer tüm operasyonel planlarda olduğu gibi BC ve CM planları da
zamanla körelir ve işletme önceliklerindeki, işgücündeki (çalışanlardaki), süreçlerdeki,
teknolojideki ve çalışma ortamındaki değişiklikler planlara yansıtılmadığı için gittikçe
etkinliklerini kaybederler. Bazı durumlarda “sürdürme” içeriğe dokunmadan sadece belge
üzerindeki tarihlerin değiştirilmesiyle sınırlıdır. Durum her ne olursa olsun, bir iç denetim
ekibinin odağı her zaman bir belgenin güncellenmesi değil, BC/CM kapasitesinin
sürdürülmesi olmalıdır.
BC’nin sürdürülmesini değerlendirmeye yönelik bazı teknikler şunlardır:









Belgede yapılan değişikliklerin kaydedilip kaydedilmediğini görmek için belge
değişiklikleri geçmişini inceleyip değerlendirmek,
Bileşenlerin bakımı için özellikle bu iş için seçilmiş kişilerin görevlendirilmelerini ve söz
konusu kişilerin BC kapasitelerinin bakımı sırasında etkin ve etkili olabilmeleri için
yönetimin bu kişilere kılavuzluk etmesini sağlamak amacıyla sürdürme gerekliliklerini
gözden geçirmek,
Güncel çalışma gereklilikleriyle uyumlu olmalarını sağlamak için, BC tahminlerini
gözden geçirme. Ek yerler, yeni risk yoğunlaşmaları (örn. Yeni bir felaket senaryosu
makul hâle gelebilir.), yeni/farklı üçüncü taraflara bağımlılık veya yeni ülkelerde
operasyonlar gibi yeni sorunlara çözüm olabilmesi için BC tahminlerinin değişmesi
gerekir.
Yapılan her değişikliğin bir temele dayandığından emin olmak için BC tahmin
değişikliklerini gözden geçirmek,
BC planlarının temelinin yeterli yönlendirme sağlayabilecek kadar güncel olmasını
sağlamak için BIA’in gerçekleştirilme tarihini gözden geçirmek,
Görevlerini anlayıp anlamadıklarını ve görevlendirildikleri işleri layıkıyla yapıp
yapamayacaklarını belirlemek için planlardaki görevleri yapacak kişilerle iletişime
geçmek. Çoğu durumda, planlarda adları geçen kişiler sadece isim olarak halef olurlar;
çünkü BCM programı ve/veya BC planı başlatılmadan önce selefleriyle aynı eğitime tâbi
tutulmamışlardır.
Güncel kurumsal model ve yapıyı ne kadar doğru yansıttığını belirlemek için BC
dokümanının yapısını/planını gözden geçirmek,
Özellikle bir doküman elektronik ortamda mevcutsa, dokümanın kurumdaki
güncellemeleri gerçekten izleyip izlemediğini değerlendirmek için “güncel” ve “bugünkü”
sözcüklerini tarayıp ilgili içeriği bu bakımdan değerlendirmek.
İyileştirmeyi gerektiren istisnalar (örn. açıklar) için tatbikat/test sonuçlarını ve ilgili
faaliyet raporlarını gözden geçirmek.

Gerekli açıkları düzeltmek için doğru uygulanmalarını ve etkin bir şekilde uygulamaya
konmalarını sağlamak için BCM programını ve BC kurtarma kapasitelerini
değerlendirmek.
5.8 İş Sürekliliği Tatbikatı
Tatbikatlar veya testler, genel olarak, bir BCM programını ve BC planlarını güncel ve
uygulanabilir tutabilmenin en etkili yolu olarak düşünülürler. Bazı kurumlar tatbikat ve test
kelimelerine özel tanımlar getirirler; ancak bu terimleri özel bağlamlarda kullanmaya gerek
yoktur. Bilinen anlamı dikkate alınmaksızın, planın test edilmesi üzerindeki vurgunun gerçek
bir olayda kurumun performansını geliştirmek olmalıdır. Uygun kullanıldıkları zaman
güvence veren ve değer katan çok sayıda tatbikat türü bulunduğunu belirtmek önemlidir. Tüm
ana BC standartları, bir BCM programının vazgeçilmez bir parçası olabilmek için birtakım
tatbikat/test biçimlerine ihtiyaç duyarlar. Genel olarak, BCM programlarının ve planlarının
büyük ölçekli bir tatbikatı en azından yılda bir kez uygulanmalıdır. Daha karmaşık ortamlar
ve kurum üzerindeki etkisi büyük (örn. kayıt) olan ortamlar için daha sık test etmek
gerekebilir.Birkaç bileşen testi yıl boyunca düzenli aralıklarla planlanmalıdır.
Tatbikat/test gereklilikleri, ya bir planın kendisinde ya da kurumsal düzeyde bir BCM
politikasında belgelenmelidir. BCM programlarını düzenlemek için kullanılan standartların
çoğu, test rejiminin üç temel unsurunu gerektirir:



Testler periyodik aralıklarla yapılmalı. Olaylar arasında geçmesi gereken gerçek süre
BCM Yürütme Komitesi tarafından belirlenir ve programın amaç ve hedeflerine
dayanır.
Testler, BCM programındaki çeşitli tehditleri/senaryoları konu edinmelidir. Bir dizi
geniş tabanlı yıllık tatbikat ya da daha özel amaçlı çalışma yeri düzeyinde veya bileşen
düzeyinde testlerle bu konuları ele ele almak mümkündür.
Testte ortaya çıkarılan bu konuları ve açıkları ve çözüm yollarını izlemek amacıyla bir
yol belirlenmiş olmalıdır.
BCM Programının hangi bileşenlerini geçen yıl en az bir kere uyguladınız?
(Size uygun olanların hepsini işaretleyiniz.)
Bölüm bazında iş kurtarma tatbikatı
Tesise özel kurtarma tatbikatı
Alternatif tesis (çalışma alanı kurtarma) tatbikatı
Kriz simülasyonu/acil durum yönetimi tatbikatı
Hiçbiri
Kaynak: 2008 Süreklilik Görüşleri / KPMG Danışmanlık Hizmetleri İş
Sürekliliği Karşılaştırma Raporu
Şekil 5. BCM Programının bileşenlerini uygulamak
A. Tatbikat Türleri
Tanım ve Hedefler
Tatbikat Türü
Masa-başı Denetim
veya Plan Denetimi
Yönlendirme veya
Kapsamlı İnceleme
Bu tatbikat/test, hâlâ bir test olarak düşünülen en az yayılmacı tatbikat/test türüdür. Bir masabaşı denetimi, normalde test sahibinin yanında muhtemelen bir de yansız bir üçüncü taraftan
oluşur. Bu tür bir çabanın amacı, sadece plan içeriğinin tarihinin hâlâ güncel olduğundan
(örn. iletişim bilgileri) ve planın genel gidişatının hâlâ ilgili ve olumlu olduğundan emin
olmaktır. Bu denetim normalde sadece sayfa sayfa okuma ve planının kendisini güncellemeyi
içerir.
Hedefler:
 Ekip üyelerinin doğru kişiler olmasını sağlamak,
 Dâhili ve dış iletişim numaralarının güncel olmasını sağlamak.
Özellikle Bir BC veya CM planı yakın zamanda edinildikten veya önemli ve anlamlı
düzeyde geliştirildikten sonra, dokümanı onu uygulaması beklenen kişilerle gayr-i resmi
olarak incelemek faydalı olur. Çalışma, bu iş için seçilen bir ekip liderinin olanak sağladığı
bir ekip toplantısını da içerir. Normalde, bu tür düşük yoğunluklu bir olay, kurumun BCM
politikasının gerekliliği bakımından bir “test” oluşturmaz.
Hedefler


Masaüstü Tatbikatı
(Kurul Odası Türü
Tatbikat)
Ekip üyelerinin yeni/güncellenmiş görevlerini anlamalarını sağlamak.
Ekip üyelerinin planın temel içeriğini ve formatını anlamalarını sağlamak.
Çoğu durumda, gerçekçi bir senaryo üzerinde çalışarak zorlukları tespit etmek ve söz konusu
sorunları çözmek için uyum oluşturmak için işbirliği içinde çalışma oturumu için tüm
BC/CM ekibini bir araya getirmek faydalıdır. Genel olarak, tatbikatlar iki ilâ dört saat sürer
ve bir BC/CM yöneticisinin veya bağımsız bir üçüncü tarafın katılımıyla etkinliği artar.
Çalışma, önceden belirlenen hedeflerin karşılanıp karşılanmadığını ayrıntısıyla sunan ve olay
sırasında ortaya çıkarılan açıkların yanı sıra buna dönük iyileştirme zaman çizelgesini ve
bundan sonra atılacak adımları özetleyen tatbikatın resmi eleştirisiyle sonlandırılır.
Hedefler:



İletişim Testi
Ekip üyelerinin görev ve sorumluluklarının önemini anlamalarını sağlamak.
Süreklilik/kriz sorunlarını bir ekip olarak çözmenin faydalarını görmek.
Fonksiyonel alanlardaki özel planlama/eğitim açıklarını tespit etmek.
İletişim, bir BCM sürecinin kilit bileşenlerinden birisidir. Aslında, herhangi bir konuda
paydaşlara doğru bildirimde bulunamama kriz müdahalesinin başarısız olmasının en sık
karşılaşılan nedenlerindendir. Bu testler, iletişim planlamasının kapsamına göre ve kriz
bildirim sürecinde kullanılan otomasyon düzeyine göre değişir. Bir kitle bildirim aracı
kullanılan şirketler bu uygulamalarından iki kat daha fazla fayda görürler: Bu aracın
performansını değerlendirmek ve bildirimin nasıl alınacağını katılımcılara ifşa etmek.
Normalde, bu olay sadece rehber bilgilerinin gözden geçirilmesini değil, aksine işletme
ortaklarının ve çalışanların işe alınmasını içerir.
Hedefler:




Kilit paydaşların iletişim bilgilerini doğrulamak.
Katılımcılara kitle bildirimi kullanma ve tepki kısmındaki her tülü görevleri
konusunda eğitim vermek.
Kitle bildirim araçlarını uygun şekilde yapılandırmak.
Bir olayda İletişimin zamanında gerçekleşmesini engelleyebilecek iletişim
açıklarını/darboğazlarını tespit etmek.
Tanım ve Hedefler
Uygulama Türü
Bu test bildirilmiş veya bildirilmemiş bir felaket simülasyonu yapmayı ve belgelenmiş sistem
kurtarma prosedürlerini uygulamayı kapsar. Çoğu BT ortamı son derece karmaşıktır ve tüm veri
merkezi kaybından ziyade,özel uygulamaların veya sistemlerin kurtarılmasına göre planlar
oluşturulabilir. Bu koşullar altında, veri tabanı kaybının test edilmesi son derece zarar verici ve
maliyetli olabilir. İyi planlanmış bir kapsamlı inceleme, birbirinden farklı ve ayrık olan tarafları
pratik olarak mümkün olan tek yolla bir araya getirmek için etkin bir uygulama olabilir.
Hedefler:
 Büyük ölçekli bir olayda kritik sistemlerin ve verilerin kurtarılabileceğini doğrulamak.
 Çok sayıda sistemin/uygulamanın kaybolması durumunda, her bir münferit sistem veya
uygulama planındaki iç kaynakların sorumluluklarını yerine getirip getiremeyeceklerini
belirlemek.
 Müdahale/kurtarma kaynaklarının birden fazla yerde/iş kolunda kullanımını koordine
etmek.
 Destekleyici/Ek kaynakların (insan, kaynaklar, satın alma gibi) BT tepkisi/cevabı
bakımından yeterli olduğundan emin olmak.
BT Ortamının
(Sistemler ve
Uygulama)
Kapsamlı
İncelenmesi
Tüm kurtarma bileşenlerinin alternatif bir yerde test edilmesi, kurumun personelini alternatif bir
tesise kaydırma yeteneğinin test edilmesini ve kurtarma süreçlerinin ve BT varlıklarının
alternatif bir tesiste planlandığı gibi çalıştıklarına yönelik bir doğrulamayı da içermelidir.
Alternatif Tesisin
Testi
Hedefler:





Alternatif bir tesiste kilit süreçlere devam edebilme konusunda gerçek kapasiteyi
belirlemek.
Alternatif bir çalışma ortamında gizlilik, güvenlik ve finansal kontrollerin muhafaza
edilip edilemediğini tespit etmek.
Kilit süreçleri alternatif bir tesiste tamamlamak için katılımcıları gözden
geçirilmiş/revize edilmiş prosedürler konusunda eğitmek.
Alternatif bir tesiste BT varlıklarının yeterliliğini ve etkinliğini değerlendirmek.
BCM risk değerlendirmesinde tanımlanan felaket senaryolarına dayalı olarak çalışanları
bir yerden bir yere götürmenin makul olduğundan emin olmak.
Alternatif bir tesisteki olanaklarının testi,söz konusu tesis olanaklarının hem iş hem de BT
bakımından test edilmesini içermelidir. Kritik tedarikçiler/işletme ortakları ve müşterilerin –
hem iç hem dış – kapsama alındıkları için, uçtan uca test bir alternatif tesis testinden
farklıdır. Bu test, genel olarak, kurumun üretim tesisiyle bağlantısını doğrular.
Uçtan Uca Test
Etme
Hedefler:

Kilit süreçleri, kayda değer sorunlar yaşamadan önceden belirli bir düzeyde gerçekleştirme
yeteneğini göstermek. Uçtan uca testte, yüzde 100 operasyon kapasitesini göstermek
gerekmez; ancak en iyi uygulama süreklilik stratejisinin etkinliğini, süreklilik planında
öngörülen veya belgelenen performans beklentileriyle uzlaştırmaktır.
B. Tatbikat Sıklığı
İç denetim yöneticileri, BCM programı için “doğru” bir tatbikat/test sıklığının olup
olmadığını sık sık merak etmişlerdir. Uygulamanın sıklığı tek başına cevap olamaz; çünkü
aynı testi yılda iki kere yapmak çok geçmeden durgun sonuçlara ve katılımcıların
sıkılmalarına neden olacaktır. Pek çok alanda olduğu gibi, genel olarak kabul görmüş en iyi
standart, uygulama sıklığının programın giderek daha fazla olgunlaşmasını sağlayacak ölçüde
olmasıdır. Kurumsal olgunluğa ulaşmış kurumların çoğu, iş sürekliliği süreçlerini yılda bir
veya iki kere test ederler; bu sıklık aşağıda verilen faktörler nedeniyle arttırılabilir:




İş süreçlerinde yapılan değişiklikler,
Teknolojide yapılacak değişiklikler,
BCP ekip üyeliğinde yapılan bir değişiklik,
Olası iş kesintilerine neden olabilecek öngörülen olaylar (örneğin, kasırga mevsiminin
başlaması veya bir pandemi tehlikesi algısı).
Tatbikatların ve yapılan testlerin sıklığına bakılmaksızın, iç denetim yöneticilerinin (İDY)
odağı, gerçekleştirilen tatbikatların/testlerin programın sürekli gelişmesine katkıda
bulunmasını sağlamak olmalıdır.
5.9 Kriz İletişimi
Kriz durumunda iletişimi planlama, bütüncül bir BCM programının vazgeçilmez bir
parçasıdır ev çoğunlukla da kurumsal iletişim, halkla ilişkiler veya iletişim uzmanlarının
istihdam edildiği başka bir birim tarafından koordine edilir. Kriz iletişim planlarının
bulunduğu yerlerde, bir krizin ardından iletişimin ve iletişim araçlarının nasıl yönetileceği
sıklıkla ele alınır. Her halükarda, kriz iletişimin tek başına ve bağımsız bir çaba olmak yerine
genel CM sürecinin bir parçası olmalıdır.
Maalesef iletişim araçlarını ele almak gerçek bir durumda yaşanan kriz iletişiminin sadece
küçük bir kısmını oluşturur. Kitle iletişim araçları önemli ve oldukça kamusal olmasına
rağmen, “daha az önemli” görülen kriz iletişimi unsurlarında yaşanan aksaklık veya sorunlar
da iyi yönetilemediklerinde veya uygulanamadıklarında aynı derecede yıkıcı ve tahrip edici
olabilirler.
Etkin kriz iletişimi planları, entegre bir mesajın çok sayıda ve çeşitli paydaşlara uğraşları ve
ilgi alanlarına göre proaktif olarak iletilmesi amacıyla tasarlanmıştır. Finansla ilgilenen kesimi
ilgilendirebilecek konular, çalışanlar ve komşular için aynı derecede ilgi çekici olmayabilir;
ancak temel mesaj tutarlı olmalıdır. Bir kriz durumunda uygulanacak kriz iletişimini her
yönüyle öngörmek imkânsız olsa da, planlarda ve hazırlık çalışmalarında muhatap alınacak
hedef kitle içerisinde:


Kurumun kriz müdahale ekibinin üyeleri.
Operasyonlara devam etmekten ve çalışanlarla ilgilenmekten sorumlu yöneticiler.








Daha geniş kapsamlı konuları anlama konusunda yönetime göre daha az bilgisi olan hat
çalışanları,
Çalışanların aileleri, özellikle felaketten veya kurumun söz konusu felakete
müdahalesinden etkilenen çalışanların aile bireyleri,
Kuruma olan ilgisinin odağında güncel kriz yönetimi bulunan finans medyası da dâhil
ulusal medya,
Geniş bir konu yelpazesinde kurumu konu alan - matbu veya yayın yapan – yerel medya
organları,
Yatırımcılar, özellikle bir olayın kısa ve uzun vadeli bölümlere ayrılmasında şeffaflık
isteyen kurumsal yatırımcılar,
Vergi matrahının uzun vadede devamlılığıyla ve kurumun kendi birimlerine sağladığı
diğer faydalarla ilgilenen yerel yönetimler ve eyalet/il yönetimleri,
Kurtarma (felaket sonrası toparlanma)koşullarında çalışırken bile sürekli uyumu
sağlamaktan sorumlu düzenleyici otoriteler,
Olaydan, kurumun müdahalesinden veya yerel makamların (otoritelerin) toplumun genel
etkisini en aza indirme çabalarından olumsuz etkilenen komşular.
5.10
Dış Kurumlarla Koordinasyon
BCM planının hiçbir safhası her şeyden yalıtılmış bir boşlukta var olamaz. Kurumun kendi
birimleri arasında çeşitli alanları koordine etmesinin yanı sıra dış kurumlarla da koordinasyon
noktalarını planlama sürecinde yansıtılması gerekir. Devlet kurumları, her türlü acil durum
karşısında gerektiği gibi hazırlıklı olan özel sektör kurumlarıyla ilgilenirler. Örneğin,
Amerika Birleşik Devletleri 2007 yılında, özel sektör kurumlarının bir kriz durumuna hazırlık
durumlarını değerlendirmek için baz alabilecekleri bir gönüllü acil durum hazırlığı
standardının hazırlanmasını öngören Kamu Kanunu (Public Law) 110-53’ü kabul etmiştir.
Birleşik Krallık Sivil Beklenmeyen Durumlar Kanunu (Civil Contingencies Act), bir acil
durum anında devletin özel sektör kurumlarıyla nasıl farklı yöntemle ilgileneceğini ele alır.
Dış kurumlarla söz konusu temas noktalarının her birini belgelemenin bir standart “doğru”
yolu yoktur; ancak en azından planlama aşağıda verilenleri içermelidir:






Bir felaket olayının ardından hangi devlet kurumlarıyla temasa geçmek gerekir?
Zorunlu bildirimin eşikleri nelerdir ve hangi durumlarda kurumlar gönüllü bildirimde
bulunurlar?
Her bir devlet dairesinin iştigal konuları nelerdir; bunlar ne kadar farklı veya benzer
olabilir?
Kendi kurumsal bağımsızlığından ödün vermeksizin,kurum deneyimlerinden yararlanmak
üzere devlet kurumlarını planlama veya uygulama süreçlerinde nasıl işe koşabilir?
Düzenleyici otoriteler açısından ne gibi BCM programı gereklilikleri vardır ve kurum bu
gerekliliklere uyum durumunu nasıl bildirir?
Ürünleri geçici olarak sertifikasız bir tesiste üretmek, düzenlemelere tâbi fonksiyonlarını
farklı coğrafi alanlardan gerçekleştirmek, hammaddelerin veya bitmiş ürünlerin (mamul
ürünlerin) ülkeye girişini değiştirmek gibi süreklilik stratejilerini gözden geçirmesi ve
onaylaması gereken dış otoriteler var mıdır?

Kurum içerisinde, her bir devlet kurumuyla ilişkileri kim, nasıl yürütecektir?
Genellikle, bu ve diğer kaygılara cevap vermenin en iyi yolu yönetimin BCM programından
sorumlu olmasını ve konuyla ilgili dış otoritelerle görüşmeler yapmasını sağlamaktır. Dış
otoritelerin BCM performansı konusundaki beklentilerini yönetime bildirmemiş olmaları, bu
yönde bir beklentilerinin olmadığı anlamına gelmez. Söz konusu kurumlarla önceden
koordinasyon ve işbirliğine girmek, bir felaket durumunda ortak çalışmayı güvence altına
almak için hayati önemi haizdir.
6.
Acil Durum Müdahalesi
Acil durum müdahalesi, genel olarak, herhangi bir felaketin hemen ardından can ve mal
kaybını önlemek üzere tasarlanmış taktik planlama ve pratik faaliyetler olarak tanımlanır.
Sanayileşmiş ülkelerin çoğunda, büyük kurumlara acil durum (ER) planları geliştirmeleri şartı
getirilmiştir ve sektöre özel çok sayıda gereklilik bulunmaktadır. Çoğu durumda, devlet
kurumları özel gereklilikler tanımlamaktadır; fakat hem ulusal hem de uluslararası sanayi
gruplarının yayımladığı ve acil durum konularını ele alan çok sayıda kılavuz bulunmaktadır.
Bir Acil durum programının en önemli bileşenlerinden bazıları arasında aşağıda sayılanlar yer
alır:







Tahliye planı ve toplanma
Üst makama havale protokolleri
Hasar değerlendirme ve raporlama
Tehlikeli maddelere müdahale ve sızıntı kontrolü
Tıbbi müdahale
Kurtarma ve ıslah etme
İtfaiye, ilk yardım, yüksek açı kurtarma veya dar alanda kurtarma gibi uzmanlık
gerektiren konular.
İç denetim yöneticilerinden (İDY), genellikle, hazırlıklı olmanın bu yönünü tek başına bir
bileşen olarak gözden geçirmeleri istenmez. Bu yüzden her türlü BCM gözden geçirme veya
danışma sürecinde ele alınması gereken kilit nokta, acil durum (ER) planından sorumlu iç
kaynaklarla uygun entegrasyon ve koordinasyon düzeyidir. Her BC olayı acil durum
çalışmalarıyla başladığı için plan ve faaliyetleri koordine edememe, sadece olayın acil
etkilerine cevap vermeyi engellemez; aynı zamanda aksaklığa neden olan olayın kaynağı ve
özgün özellikleri hakkındaki bir bilgiyi gereksiz yere atlayarak uzun vadeli karar-verme
sürecini de zorlaştırır.
Çoğu acil durum (ER) planı can güvenliğine odaklandığı için –neredeyse diğer tüm
meselelerin göz ardı edilmesi pahasına da olsa- sürekliliği ve acil durum planlamasını
koordine etmenin en sık karşılaşılan zorluklarından birisi, sorumluların ana odağı
zayıflatmadan birbirlerinin önceliklerini nasıl dâhil edeceklerini belirlemektir. Tarafsızlığı ve
danışma yaklaşımı sayesinde iç denetimin değer katabileceği bir alandır bu. Çoğu durumda,
BC ekipleri BC planlarını geliştirmek için zaten acil durum (ER) ekipleri tarafından
toplanmakta olan bilgileri kullanabilirler ve ER ekipleri de eylemlerinin, operasyonel, finansal
toparlanmayı ve kurumun itibarını nasıl etkilediği hakkında daha iyi bilgi alabilirler.
Çalışmalarının doğası itibariyle, önemli ve büyük acil durum (ER) ihtiyaçları olan kurumlar,
müdahale çabasını yönetmek için hemen hemen her zaman yapılandırılmış bir yaklaşım
kullanır. Lojistik, planlama, durum raporu verme ve operasyonel müdahale gibi acil durumun
(ER) tüm yönlerini denetlemesi için seçilen bir Olay Komuta Ekibi modeli bu konuda yaygın
olarak kullanılan oldukça tercih edilen bir mekanizmadır. Olay Komuta Ekibi mekanizmasını
kullanan kurumların çoğu, kurumlarına yönelik yaklaşımlarını buna göre değiştirirler; ancak
komuta birliği ve açıkça tanımlanmış görev ve sorumluluklar gibi kilit ilkeleri muhafaza
ederler.
Olay
Komuta
Ekibiyle
ilgili
daha
fazla
bilgiye
http://www.fema.gov/txt/nims/nims_ics_position_paper.txt adresinden ulaşılabilir.
Eğer denetim planına BC ve Er programlarının koordinasyonu dâhil edilecekse, bazı kilit
soruların dikkate alınması gerekir:






Program sahipleri program sorunlarını ve bu konudaki endişeleri görüşmek için ne kadar
sık bir araya gelirler?
Program sahipleri çeşitli ve farklı büyüklüklerdeki felaketlerin hem acil hem de uzun
süreli etkileri bakımından en iyi nasıl yönetilebilecekleri üzerine bir görüş birliğine
varmak için yerel ER otoriteleriyle bir araya geldiler mi?
ER koordinatörü,gerektiğinde, BC stratejilerini değiştirmek konusunda veya tam tersi bir
durum için yeterli nüfuza sahip mi?
Üst yönetim ER ve BC’nin bir kurumdaki sorumluluklarının çerçevesini onayladı mı?
ER sürecinin önceliği azalıp BC’nin önceliği artarken bilgi ve dış ilişkiler konusunda
somut aktarım protokolleri var mı?
Eğer Olay Yönetimi Ekibi modeli kullanıldıysa, ekip liderinin BC programı üzerinde bir
etkisi var mı?
GTAG – Kriz Yönetimi
7.
Kriz Yönetimi
Kriz Yönetiminin bütün BCM alanı içerisinde en çok yanlış anlaşılmaya müsait kelimelerden
biri olduğunu söyleyebiliriz. Bizim az önce acil durum müdahalesi olarak tanımladığımız şeyi
bazı kurumlar son derece taktik bir planlama olarak tanımlamaktadırlar. Bazı kurumlar ise,
bunun fiziksel güvenlik olaylarını kapsayacak biçimde kullanırlar. Bazı kurumlar ise, kurum
düzeyindeki büyük olaylara cevap vermeyi amaçlayan yönetim düzeyindeki planlar olarak
tanımlarlar; fakat aslında planları sadece kriz durumunda iletişim sorunlarını çözmeye
yöneliktir. Bu GTAG’ın amaçları için, bir kurumun karşı karşıya kaldığı acil ve yüksekdüzeydeki etkilere cevap vermek amacıyla tasarlanmış kurum-düzeyindeki planlamayı
tanımlamak için kullanacağız.
Çoğu kriz yönetimi planı, etkileri ne olursa olsun her türlü acil durum için harekete geçirilmek
üzere hazırlanmıştır. Sıklıkla bir olayı bir üst makama havale etmekle ilişkilendirilen öznelliği
ortadan kaldırmak amacıyla çoğu durumda çeşitli etki türleri için özel eşikler belirlenmiştir.
Bu üst makama havale etme kriterleri insani, finansal ve operasyonel etkilerini içermeli ve
kurumun faaliyet gösterdiği hemen hemen her yerde çalışanların olay yönetiminin kriz
yönetimine havale edilmesinin gerekip gerekmediğini anlamasını sağlayacak kadar anlaşılır
olmalıdır. Benzer şekilde, eşiklerin kurum çapında tutarlı bir biçimde kullanılması, kriz
yönetiminin acil durumla ilgili kendisine henüz ulaşılmadığı ve olayın önceden belirlenmiş
sınırları aşmadığı konusunda emin olmasını sağlar.
Bu kilit eşiklerin bir diğer avantajı ise, bir BC olayını kurum düzeyinde bir krizden ayırt etme
konusunda sağladıkları eşik değerleridir. Küçük çaplı bir yangın veya kilit bir tedarikçinin
kaybedilmesi bir iş kolu için veya bir çalışma bölgesi için önemli bir etkiye sahip olabilir;
ancak kriz yönetimi ekibinin etkin hale getirilmesini gerektirecek, kurum çapında bir kriz
oluşturmaz. Uygun şekilde belirlenmiş eşik değerleri, üst yönetimin onları eleştirip
eleştirmeyeceğini düşünmeksizin işleri yeniden başlatmak üzere harekete geçme konusunda
işletme birimi yöneticilerini cesaretlendirir. Olgun kriz yönetimi programları kullanan
şirketlerin çoğunda, birbiriyle uyumlu ve ortak olan konu, iyi tanımlanmış ve sınanmış
komuta kontrol kapasitelerinin olmasıdır. Gerçek bir olay, özellikle de karmaşık bir olay
meydana geldiğinde, her yerde bir kaos yaşanır. Böyle bir durumda her zaman doğru kararlar
almak için kısa sürede yönetimin elinde yeterince güvenilir bilgi bulunmaz. Kriz yönetiminde
mükemmeliyet arayan kurumlar, mevcut bilgileri toplayabilen, “gürültüyü” filtreleyebilen,
bilginin çabuk ve güvenli yayılmasını sağlayarak karar verme kapasitesini en üst düzeye
çıkarabilen sistemler geliştirip önceden test etmektedirler.
GTAG – Kriz Yönetimi
Bir acil duruma müdahale protokollerine, insanların, süreçlerin ve bilginin komuta ve
kontrolüne ek olarak, etkin kriz yönetimi programlarının diğer yönleri de şunlardır:






Ürün gaspı/ürün geri çağırma, güvenlik olayları (özellikle uluslararası olaylar) genel kriz
yönetimi programına yapılacak sektöre özel (örneğin, havacılık) acil durum müdahalesi
gibi uzmanlık alanlarını şirket bünyesine katmak. Genellikle bu alanlarda olaylara maruz
kalmış şirketler söz konusu sorunları çözmek amacıyla bazı planlar geliştireceklerdir;
fakat bu planlar kurumsal kriz yönetimi programıyla ilgili olmayabilir.
Bir felaketten etkilenen çalışanlara yardım etmek ki bu yardım içerisinde psikolojik destek
sağlamak, çalışanın ailesine yardım etmek veya bölgesel bir olayda maddi yardımda
bulunmak sayılabilir. Yapılan yardımlar, seyahat teşviklerini veya bir acil durumda geçici
olarak yerini değiştirmek gibi yardımları da içerebilir.
Bir acil durum müdahale sürecine yönetim kurulunun beklentilerini katmak ve müdahale
esnasında kurula rapor vermek.
Bir acil durum olayından sonra, hata ve ihmaller, müdürlerin ve üst düzey yöneticilerin
sorumluluğunu doğuran sorunlar da dâhil hissedar sorunları ve sorumlulukları konularını
yönetmek.
Her iki programın da birbirinin güçlü yanlarından faydalanabilmesi ve çalışmanın
tamamının birlikte olgunlaşması ve gelişmesi için hem CM hem de BC programını birlikte
test etmek.
Bazı operasyonlar ortak bir girişim olarak yönetildiklerinde ve/veya çok sayıda ülkeye
yayıldıklarında, ilgili yasal otoriteleri ve bu otoritelerin nerede bulunduklarını ayrıntılı
olarak tanımlamak. Eğer kararlar başka bir yasal kurum tarafından veya başka bir ülkede
veriliyorsa, yasal sorumluluk bir ortak girişimden veya bir başka ülkeden devralınabilir.
Özellikle CM ekibi ABD’deyse, ülkenin çekişmeli yasal ortamından dolayı bu konuya
özellikle önem verilmelidir.
GTAG – Sonuç / Özet
8. Sonuç/Özet
BCM, şirketleri kritik iş süreçlerine zarar verebilecek olaylarla bağlantılı olarak ortaya çıkan
önemli ve anlamlı potansiyel sonuçlardan korunmak amacıyla hazırlanmış önemli bir risk
yönetimi programıdır. İç Denetim Yöneticisi (İDY), kurumun etkin ve etkili bir BCM
programı oluşturulurken, karşılaşabileceği risk ve seçenekleri anlamasına yardım edebilir.
Kurumdaki tüm yöneticiler, kurumdaki iş süreçlerine ve ilgili işletme fonksiyonlarına zarar
verebilecek risklerin uygun şekilde yönetilmelerinden sorumlu tutulmalıdır.
Bir BCM programı, uygun risk hafifletme kararları vermek ve kurum direnci oluşturmak için
bir çerçeve sunar. Kritik işletme operasyonlarının kurtarılmasını sağlamak için kritik iş
süreçleri kurtarılmalıdır. BCM programı, kurumsal kapasiteler, bilgilerin, sistemlerin ve
enformasyonun kurtarılması, kaynakların yeniden yüklenmesi ve satın alınması, tedarikçi
yönetimi ve acil durum yönetim süreçleriyle uyum da dâhil olmak üzere bir kurumun
kurtarma kapasitelerini sürdürmesini sağlar.
BCM programı, iş sürekliliği kapasitelerinin sürdürülmesi ve sürekli geliştirilmesini
sağlayacak biçimde tasarlanmalıdır. BCM kapasitelerinin etkin şekilde sürdürülmesi ve
yönetilmesi; personelin düzenli olarak eğitimini, periyodik uygulamaları (tespit edilen her
türlü açığın çözümü ve yönetimin program taahhüdü de dâhil), BCM programının ve işletme
birim kapasitelerinin denetim değerlendirmelerini ve BCM programının sürekli iyileştirilmesi
ve geliştirilmesini de kapsamalıdır.
GTAG – EK
9.0 Ekler
9.1 Örnek BCP Denetim Rehberi
Federal Finansal Kurumları Denetleme Kurulu’nun mükemmel bir İş Sürekliliği Planlama
Kitapçığı bulunmaktadır (Mart 2008). Söz konusu rehbere kurulun web sitesinden,
www.ffiec.gov, ulaşabilirsiniz. Söz konusu kitapçıkta üzerinde durulan başlıca hedefler
aşağıda verilmiştir:













BC planlama programını gözden geçirmek amacıyla kapsamını inceleme ve denetlemenin
kapsamını ve hedeflerini belirlemek.
Kurum çapında uygun bir BC planının bulunup bulunmadığını belirlemek.
Yönetim kurulunun ve üst yönetimin sağladığı BC planı gözetimi ve desteğinin kalitesini
belirlemek.
Yeterli düzeyde BIA ve risk değerlendirmesinin yapılıp yapılmadığını belirlemek.
BC süreciyle ilgili uygun risk yönetiminin uygulanmakta olup olmadığını belirlemek.
İş süreçlerine planlandığı gibi bakım yapılması, bu süreçlerin kaldıkları yerden devam
etmesini ve/veya kurtarılmasını sağlamak için BC planının/planlarının uygun test etmeyi
içerip içermediklerini belirlemek.
BT ortamında uygun şekilde belgelenmiş, kurum çapındaki ve departmanlara ait BC
planlarını tamamlayan bir BC planı olup olmadığını belirlemek.
BC planının/planlarının uygun donanım yedekleme ve kurtarmayı kapsayıp kapsamadığını
belirlemek.
BC sürecinin uygun veri ve uygulamalarına yönelik yedekleme ve kurtarmayı içerip
içermediğini belirlemek.
Veri kurtarma merkezinin istendiği gibi çalışmasını sağlamak için BC planının/planlarının
uygun hazırlığa yer verip vermediğini belirlemek.
BC planında/planlarında uygun güvenlik prosedürlerinin bulunup bulunmadığını
belirlemek.
BC planının/planlarının kritik dışarıdan satın alınan faaliyetleri ele alıp almadıklarını
belirlemek.
Düzeltici müdahaleyi tartışmak ve bulguları açıklamak.
GTAG – EK
9.2 BCM Standartları ve Kılavuz İlkeler
Kurum / Yönetim Organı
Standart
Uluslararası Standartlar Örgütü (ISO)
ISO9000
Kalite Yönetimi
ISO14001
Çevre Yönetim Sistemi
ISO25002
Bilgi Güvenliği Yönetimi için Uygulama Prensipleri— İş
Sürekliliği Yönetimi bölümü
AS/NZ4360
İngiliz Standartlar Enstitüsü
(BSI)kapsar:



Birleşik Krallık
Avustralya
Yeni Zelanda
Standartların Tanımı
İş Sürekliliği Enstitüsü’nün tanımladığı 10 Yetkinlik alanı
İş Sürekliliği Enstitüsü (BCI)
HB221
Risk Yönetimi— (AS/NZ:Avustralya / Yeni Zelanda
Standartları)
İş Sürekliliği Yönetimi Rehberi—4360’a ek el kitabı
AS/NZ4390
Kayıt Yönetimi
AS/NZ4444
İş Sürekliliği Yönetimiyle Bilgi Güvenliği
Genel Kullanıma Açık Standartlar (PAS)
PAS56
BCM Rehberi — (PAS— UK)
Birleşik Krallık ve Commonwealth Ülkeleri
Kurum / Yönetim Organı
ABD Ulusal Para Denetim
Bürosu(OCC)Bültenleri finansal
hizmetler birimleri —özellikle, BT
konuları için geçerlidir.
Standart
Standartların Tanımı
Bülten 97-23
Kurumsal İşe Yeniden Başlama ve Acil Durum Planlaması
Bülten2001-14
Çabuk Toparlanma
Bülten2003-18
İş Sürekliliği Planlaması ve Teknoloji Sağlayıcılarının
Gözetimi
ABD Menkul Kıymetler ve Borsa Komisyonu, ABD Ulusal
Para Denetimi Bürosu ve ABD Merkez Bankası Sistemi
Guvernörler Kurulu’nun yayımladığı Geçerli ve Güvenilir BCP
Uygulamaları Hakkında Ortak Kurumlar arası Beyaz Kâğıt
http://www.sec.gov/news/press/studies/2006/soundpractices.pdf
New York
Borsası(NYSE)/Finansal
Sektör Düzenleme Otoritesi
(FINRA)
ANSI/ ARMA5
Hayati Kayıtlar Programı (İşletme için kritik öneme sahip
kayıtların tanımlanması, yönetimi ve kurtarılması)
Amerikan Endüstriyel Güvenlik
Derneği (ASIS)
ASISGDL BC 10
ARMA: Amerikan Kayıt Yönetimi Derneği (American Records
Management Association)
İş Sürekliliği Kılavuzu: Acil durum hazırlığına pratik bir
yaklaşım, kriz yönetimi ve felaket durumunda kurtarma
(2004 taslağı)
ABD Ulusal Standartlar ve Teknoloji
Enstitüsü (NIST)
NISTSP 800-34,45
BT Sistemleri için Acil Durum Planlama Rehberi (2002)
ABD Ulusal Yangın Koruma
Derneği(NFPA)
NFPA1600
Felaket / Acil Durum Yönetimi ve İş Sürekliliği
Programlarına ilişkin Standart (BCP için bir standart
olarak kaynak gösterilmiştir.)
Amerikan Ulusal Standartlar Enstitüsü
(ANSI)
GTAG – EK
9.3 BCM Kapasite Olgunluğu Modeli
Aşağıda verilen BCM Kapasite Olgunluğu Modeli bu GTAG rehberine birebir aynı olmasa da
hem GTAG hem de BC endüstri uygulamalarına ve standartlara uygundur. Sadece bir BC
programını değerlendirme yollarından biri olarak verilmiştir.
Kaynak: Protiviti Inc. (www.protiviti.com). “Kapasite Olgunluğu Modeli: Yazılım Sürecini
Geliştirmeye Yönelik Kılavuz İlkeler” (Capability Maturity Model: Guidelines for Improving
the Software Process), Carnegie Mellon University Software Engineering Institute, 1994.)
Değerlendirme Hedefi: İcraî Yönetimin Desteği ve Sponsorluğu
Olgunluk Değerlendirmesi
Kapasite Özellikleri
Gerçekleştirme Yöntemi
Optimize Edici
BCM kapasiteleri sürekli ve sistematik
olarak geliştirilir. Üst yönetim, diğer
alanlarda içte diğer verimlilikleri teşvik
etmek; dışarıda ise stratejik ilişkiler
kurmak amacıyla BCM kapasitelerini
kullanır.
BCM stratejileri stratejik hedeflerle ve
müşteri beklentileriyle uyumlu hâle
getirilir. Üst yönetim, BCM planlamasının,
çerçevesi açık hesapverebilirlik ve
sorumlulukla
çizilmiş
ana
işletme
birimlerinden biri olarak çalışmasını
sağlar.
Yönetilen
Üst yönetim, kilit ölçütleri mevzuat
gereklilikleri ve sektör kılavuz ilkelerine
uygun olarak tanımlamıştır. Bu ölçütler
BCM kapasitelerinin etkinliğini ve
kalitesini tayin etmek için kullanılır.
Yönetim, testlere ve eğitim faaliyetlerine
katılır ve iç politika ve test
sonuçlarındaki istisnaları gözden geçirir.
Üst yönetim,kendisini BCM programının
yönetiminin kalitesine adamıştır. Ölçüm
sonuçları alınır ve BCM stratejilerinin ve
planlarının kalitesini garanti altına almak
üzere düzenlenir. BC’ye ilişkin hedefler
performans hedeflerinde belirtilmiştir.
Tanımlanan
Bir BCM yürütme komitesi kurulmuştur
ve bilgi teknolojileri departmanından
olmayan bir üst yönetim ekibi tarafından
yönetilmektedir.Söz konusu yürütme
komitesi,
BCM
stratejileri
ve
çözümleri konusunda karar verme
yetkisine sahip en üst organdır. BCM
kapasitelerinin etkinliğini arttırmak
için özel bir BCM bütçesi tahsis
edilmiş ve kurum için genel bir BCM
çözümü sunmak için BCM disiplinleri
entegre edilmiştir.
Üst yönetim, bir yürütme komitesi
fonksiyonuyla BCM karar verme sürecinin
tamamına katılmaktadır. Kurum; işe
yeniden başlama, CM ve BT felaket
kurtarma kapasitelerine ek olarak uygun
sürdürme, test etme ve eğitim süreçlerinin
entegrasyonunu sağlamak için BCM
politikasının yanı sıra özel çerçeveler de
tanımlamıştır.
Tekrarlanabilir
Üst
yönetim
BCM
programını
desteklemektedir; fakat sürecin icrasına
katılım hâlâ sınırlı düzeydedir. CM, BC
ve BT felaket kurtarma faaliyetlerinin
koordinasyonunu sağlama görevi, orta
yönetime verilmesine rağmen, BCM’nin
genel koordinasyonu ya ihtiyaca
cevaben
gelişmektedir
ya
da
yoktur.Arızalar ve hatalar ancak
meydana geldikten sonra tanınıp
düzeltilmektedir.
Üst yönetim, BCM kapasitelerine duyulan
ihtiyacın farkındadır. Bir BCM politikası
oluşturulmuştur ve BCM çalışmaları bir
BIA’in (remi veya gayri resmi) sonuçları
esas alınarak yürütülmektedir.
Başlangıç
Üst yönetimin, BCM çabalarına yönelik
desteği ya gayri resmidir ya da yoktur.
Bu aşamada, BCM kapasiteleri bireysel
çabalara ve “kahramanlıklara” dayanır
ve
çoğunlukla
BT
sistemlerinin
yedeklenmesi ve geri yüklenmesi, bina
tahliye prosedürleri gibi acil durum
müdahalelerine odaklanır.
Bu
çabalar
orta
yönetimin
sorumluluğundadır ve uygun finansman ve
yeterli kaynaklar olmadan yürütülür.
Sonuçta, mevcut her türlü süreklilik
kapasitesi taktik ölçüt olarak tanımlanır.
Değerlendirme Hedefi: Risk Değerlendirmesi ve İş Etki Analizi (BIA)
Optimize Edici
Risk değerlendirmesi ve BIA sonuçları, kurtarma
stratejilerini
sürekli
geliştirir.
Risk
değerlendirmelerinin ve BIA’ların uygulanması
ve gözden geçirilmesi, kurumsal ve teknoloji
değişiklik
yönetimi/itinalı
değerlendirme
süreçleriyle koordine edilmiştir.
Üst yönetim, risk ve etki sonuçlarını tanımlamak ve
onaylamak amacıyla bir yürütme komitesi olarak çalışır.
Yürütme komitesi işletmenin ihtiyaçları ve gereklilikleri
doğrultusunda risk değerlendirmesi ve BIA sürecine
yönelik değişiklik önerilerinde bulunur.
Yönetilen
Üst yönetim, risk değerlendirmesi ve BIA’e
yönelik resmi yaklaşımları destekler. Hedefler ve
etkinliğin oluşturulması ölçülebilirdir. Hem
kurtarma zamanı hedefleri (Recovery Time
Objective-RTO) hem de kurtarma noktası (veri
kaybetme toleransı) hedefleri (Recovery Point
Objective-RPO) belirlenmiştir ve aynı şekilde
RTO’daki kapasite/kabiliyet oluşturulmuştur.
Risk değerlendirmesi süreci, kontrollerin
değerlendirilmesini hesaba katar. Bu süreçler
tekrarlanabilir niteliktedir ve planlanmış düzenli
aralıklarla uygulanır.
Risk değerlendirmelerinin ve BIA’ların sonuçları,
kurtarma stratejilerinin ve çözümlerinin tanımlarına ve
geliştirilmesine yön vermektedir. Çekirdek iş süreçleri ve
BT uygulamaları/sistemleri ele alınmıştır ve düzenli
aralıklarla programlanmış risk değerlendirmesi ve BIA
güncellemeleri sırasında gözden geçirilmektedir. Üst
yönetim, bu sonuçları tüm kurumdaki riskleri
değerlendirmek ve yönetmek için kullanır.
Tanımlanan
Risk ve iş etkisinin değerlendirilmesiyle ilgili
daha resmi bir yaklaşım uygulanmıştır. Yönetim,
iş etkisi verilerini toplamak/tahmini olarak
hesaplamak için bir metodolojiyi destekleyerek,
kritiklik seviyelerini tanımlamak için bir
yaklaşım tanımlamıştır. Kurtarma zamanı
hedefleri tanımlanmış ve bu gereklilikleri
karşılamak için
stratejiler
belirlenmiştir.
Yönetim, risk değerlendirmesini ve BIA
sonuçlarını gözden geçirir ve onaylar.
Resmi bir BC stratejisi seçme ve uygulama sürecinin
bir parçası olarak, tanımlanmış bir risk değerlendirmesi
veya BIA yaklaşımı oluşturulmuştur. Strateji belirleme
süreci, kritiklik düzeylerine ve kuruma etkilerine
doğrudan bağlı olan kurtarma hedeflerini de içerir. İcraî
yönetim bu analizleri resmi olarak yürütür ve onaylar.
Tekrarlanabilir Yönetim,
risk değerlendirme sonuçlarını ve
kurtarma önceliklerini, resmi analizler yerine
genellikle tartışmalar ve interaktif atölyeler
sonucunda gayri resmi yolla geliştirmiştir.
Öncelikler normalde bileşen düzeyine odaklanır.
İş etki analizi bilgileri (ister finansal ister
finans-dışı) yarım kaldığından dolayı, yönetim
kurtarma
stratejisi
fonunu
tamamen
gerekçelendiremeyebilir.
İşletme ve/veya BT yönetimi, iş kesintileriyle ilgili
süreklilik/kullanılabilirlik risklerini veya algılanmış
etkileri tartışmış ve özetlemiştir. Ön/yüksek düzeyde
kurtarma hedefleri üzerinde uzlaşmaya varılmıştır; fakat
söz konusu hedeflerin etkinliklerini ve makul olup
olmadıklarını ölçecek bir süreç bulunmamaktadır.
Başlangıç
Henüz ne resmi ne de gayri resmi bir risk
değerlendirmesi
ve
BIA
gerçekleştirilmemiştir. İşletme ve BT
yönetimi kurtarma öncelikleri geliştirmiş
olabilirler; ancak bu sonuçlar, potansiyel
olarak algılanmış önem düzeyleriyle
(onların işle ilgili münferit bilgilerine
odaklıdır)
sınırlıdır.
Kurum
iş
kesintileriyle ilintili etkileri (finansal
ya da finans-dışı) hesaba katmamıştır.
İşletme ve/veya BT yönetimi algılanmış önem
düzeylerini esas alarak “ihtiyaca cevaben” kurtarma
öncelikleri geliştirmiştir. Hata senaryoları ve
kontrol değerlendirmeleri yarım kalmıştır. Ölçüm
kriterleri belirlenmemiştir.
Değerlendirme Hedefi: İş Sürekliliği Stratejisi ve Tasarımı
Optimize Edici
BC stratejileri, stratejik karar verme ve
kurumsal/teknoloji değişiklik yönetiminin
bir parçası olarak gözden geçirilir.
Stratejiler,
ihtiyaçlar
esas
alınarak
güncellenir.
Üst yönetim strateji oturumları ve/veya değişiklik
yönetimi komiteleri, BC stratejilerinin tasarımına,
seçimine, fonuna ve uygulanmasına yön verir.
Yönetilen
Risk değerlendirmesi ve BIA sonuçları BC
stratejilerinin seçimini yönlendirir. Çok
çeşitli ve farklı alanlardan sorumlu bir
yürütme komitesi, CM’yi, işe yeniden
başlama
ve
BT
felaket kurtarma
seçeneklerini bir maliyet-fayda analizi
doğrultusunda değerlendirir. BC stratejileri,
periyodik aralıklarla, genellikle 12 ayda bir
(Risk değerlendirmesi ve/veya BIA
yenilenmesinden sonra) gözden geçirilir.
Bir BC yürütme kurulu, bir maliyet-fayda analizi
temelinde BC stratejilerinin seçimine yön verir. Bu
çok-fonksiyonel ekip tamamlayıcı iş ve BT
çözümlerini değerlendirir ve seçer.
Tanımlanan
Nokta çözümler veya uzmanlık alanlarına
özel stratejiler yönetimin talimatları
doğrultusunda tasarlanır ve uygulanır.
Kurum, CM’yi, işi sürdürme ve BT felaket
kurtarma süreçlerini entegre eden kurum
çapında strateji belirlemeye bağlı olarak
ortaya çıkabilecek avantajlardan henüz
yararlanmamıştır. Kurum, yerleşik kurtarma
hedeflerini
karşılayan
stratejiler
uygulamaya
giderek
daha
fazla
yaklaşmaktadır.
Bilgi teknolojisi kurumu (ITO) BT felaket kurtarma
stratejileriyle ilgili karar verme yetkisini elinde
tutar. CM ve işe yeniden başlama stratejisi tasarımı
ve seçimi; risk yönetimi, güvenlik, iç denetim veya
hatta ITO tarafından yürütülerek ayrı ele alınır.
İşletme ve ITO arasındaki koordinasyon çoğu
zaman göz ardı edilir.
Tekrarlanabilir Maliyet kontrolü, BC strateji seçimine yön
veren en önemli etkenlerdendir. Stratejiler,
normalde temel altyapısı bulunan; fakat ofis
eşyaları
konulmamış
olan
işyeri
düzenlemelerine (dâhili veya üçüncü
taraflar) ve üreticiden tüketiciye kaynaklara
dayanır. BC stratejileri daha rekabetçi
(agresif)
işletme
hedeflerini
karşılayamayabileceği için, kurum risk
altında olmaya devam eder.
Kurum BC stratejisinin uygulanması ve
sürdürülmesine yönelik bir bütçe ayırmaz. Bunun
yerine öngörülen minimum bütçe uygulanır ve ek
fonlama gerektiği takdirde, bu durumlar bütçe
istisnaları olarak ele alınır.
Başlangıç
Yönetim, ihtiyaca cevaben gelişen eylemlere veya
test edilmemiş müdahalelere ve kurtarma
stratejilerine dayanır. Müdahale ve kurtarma
stratejilerinin tasarımı önceden planlanmamıştır;
aksine, yönetim, bir kriz durumunda deneyimlerin,
yaratıcılığın ve pratik zekânın duruma hâkim
olmasını bekler.
Yetersiz ve kötü BC programı
sahipliği veya hesap verebilirliğinden
dolayı, BC planları kurtarma stratejisi
ve kaynak tanımlarından yoksundur.
Kriz veya iş kesintisinden sonra,
kurum satıcı desteğine oldukça bel
bağlar.
Değerlendirme Hedefi: İş Uyumu
BCM, mevcut müdahale ve kurtarma
stratejileri üzerinde etkisi olabilecek tüm
değişikliklerden kurumu haberdar etmek için
değişiklik yönetimi gözden geçirme stratejileri
toplantısına ve iş stratejisi toplantısına katılır.
BCM yürütme kurulu, mevcut ve önerilen
stratejilerin
makul
olup
olmadıklarını
değerlendirmek amacıyla üç ayda bir toplanır.
BCM bütün kurumda kullanılan daha ileri iş
stratejilerinden
ve
değişiklik
yönetimi
süreçlerinden yararlanır.
Yönetilen
Bir BCM yürütme kurulu, BIA sonuçlarını ve
BC strateji yatırımlarını değerlendirirken
müşteri gereksinimlerini ve/veya resmi hizmet
düzeyi sözleşmelerini dikkate alır. İç denetim,
BCM çalışmasında bir danışman olarak yer
alabilir ve programı iç politika ve düzenleme
gereklilikleri (ilgiliyse) doğrultusunda gözden
geçirir. Kurum, BC stratejilerini test ettiğinde,
iş/BT stratejileri de birlikte test edilir.
BCM kilit bir kontrol olarak değerlendirilir ve iç
denetim de mevcut belgelenmiş politikaya uyuma
yön verir. BCM yaşam döngüsünün tüm yönleri
ortak bir iş/BT tarzıyla uygulanır. BCM, diğer iş
girişimleri arasında rekabetçi bir avantaj olarak
kullanılır.
Tanımlanan
Kurum, BCM uzmanlık alanlarını entegre
etmiştir; stratejiler ve çözümler konusunda tek
bir BCM yürütme kurulu karar vermektedir.
Bir BCM bütçesi geliştirilmiştir. Bir BIA ve
resmi bir maliyet-fayda analizi karar verme
sürecine yön vermektedir. İç denetim ve
üçüncü taraf müdahaleleri ve kurtarma
stratejileri resmi olarak değerlendirilir ve
yapılan seçimler risk değerlendirmesinden
alınan sonuçlara dayanır.
BCM programının sorumluluğu, veri merkezinin
dışına taşınmıştır. Bütün kurumu etkileyebilecek
bir yönetici, çalışmayı desteklemektedir. BCM
hedefleri, işletme biriminin yıllık performans
hedefleri arasında yer alır.
Tekrarlanabilir Kurum, BC’yi planlamak, uygulamak ve
yönetmek amacıyla resmi bir BCM politikası
geliştirmiştir. CM, işe yeniden başlama ve
BT felaket kurtarma süreçleri arasında
olgunlaşmış bir koordinasyon olmasa veya
böyle koordinasyon hiç olmasa da, bu süreçler
vardır
ve
müdahale
ve
kurtarma
operasyonlarına yardımcı olacak şekilde
konumlandırılmışlardır.
Bir
BIABCM
stratejilerinin tasarımına yön verir.
Planlama çalışmasının kapsamı iş sahibi olmayı
içerecek şekilde genişlemiş olsa da, sahiplik ve
hesapverebilirlik hâlâ BT kapsamında yer alır ya
da iç denetim BCM çalışmasına yön veren olarak
karşımıza çıkar. BIA, BCM stratejilerini
tasarlamak için kullanılan ana araçtır.
Başlangıç
Taktik ER ve sistem geri yüklemelerine
sınırlandırılmış olabilecek BC çözümleri, orta
yönetim düzeyinde yönetilmekte ve mevcut ek
fonla (veya kullanılabilen iç kaynaklarla) icra
edilmektedir.
Optimize Edici
Kurumun BC programı, ER’yi ve/veya
BT felaket kurtarma süreçlerini ele
almaktadır; fakat stratejik CM ve/veya
iş süreci kurtarmayı ele almamaktadır.
Değerlendirme Hedefi: Plan Geliştirme ve Strateji Uygulama
Optimize Edici Kriz, felaket kurtarma ve işi sürdürme planları planlama ve
Üst yönetim stratejisi oturumları, planlama
önceliklerini ve uyumu yönlendirir. BCM
içeriklerini kapsayan standartlaştırılmış eğitim ve
farkındalık
programları
tüm
planlama
katılımcılarına
verilir.
Plan
geliştirme
sorumlulukları konularla en yakından ilgili
olanlardadır; konular içerik ve uyum bakımından
değerlendirilir. Bağımsız uzman değerlendirmesi
programlanır ve hem taktiksel hem stratejik
değişikliğe yön verir.
Yönetilen
CM, işi sürdürme ve BT felaket kurtarma planları ve
ekipleri arasındaki koordinasyon iyi tanımlanmıştır.
Planlar minimum bir standardı (örneğin, yılda en az bir)
yerine, ihtiyaçlara göre sürdürülmektedir. Planların
dokümantasyonu merkezi otorite/karar organı tarafından
gözden geçirilir ve üst yönetim tarafından imzalanır. Test
sonuçları ve günlük deneyimler, plan iyileştirme ve
geliştirmeye katkıda bulunur. Belgeleme uygun şekilde
güvenceye alınmış ve ihtiyaçlara göre dağıtılmıştır.
Tüm personelin plan belgeleme konusundaki görev
ve sorumluluklarıyla ilgili eğitim gördükleri
merkezileştirilmiş ve kısmi merkezileştirilmiş
planlama çalışmalarının bir kombinasyonu bulunur.
Kurumsal ve teknoloji değişiklikleri ve test/tatbikat
sonuçları plan güncellemelerine yön verir.
Tanımlanan
CM (ER ve kriz iletişimi dâhil) işe yeniden başlama ve
BT felaket kurtarma planları belgelenir ve kurumsal
detaylar içerir. Tüm planlar yıllık bazda güncellenir.
Görev ve sorumluluklar açık olmasına rağmen, planlar
arasındaki koordinasyon yeterince tanımlanmamıştır.
Her plan için planı geliştirmeden ve sürdürmeden
(bir kurumun şablon standardını başlangıç noktası
olarak kullanmak suretiyle) sorumlu plan sahibi
atanır. Uygun taraflar planların içeriklerine yön
verir ve kalite kontrolü plan sahibine kalır.
Planlanmış
bir
sürdürme
süreci,
plan
güncelleştirmelerine yön verir. İç denetim, bir BC
planlama ortağı olarak görülür ve sürekli gelişme
sürecinin bir parçasıdır.
Tekrarlanabilir Planlama çalışmasının odağı, BT felaket durumunda
İç veya üçüncü taraf denetim bulguları, plan
dokümantasyonuna yön verir. Teknoloji liderliği
ekibi, plan dokümantasyonu çalışmasını yönetir ve
bu yüzden de, BT dışında az vardır.
Başlangıç
BCM yeterince anlaşılmadan ve odağa alınmadan
üretilmiştir. Planlar, sıklıkla, genel kullanıma açık
veya yazılım-tabanlı şablonlarla başlar ve içeriği
özelleştirip kuruma uygun hale getirmek için ise
çok az çaba vardır. Planlar, çoğunlukla, ER’ye ve
kurtarma planlama teorisine odaklanır.
icraya entegre edilmiştir. Ekip üyeliği çapraz fonksiyonel
ve bölgeler arasıdır. Beklentiler tüm paydaşlarca açıkça
anlaşılır. Plan sürdürülmesi kurumsal değişiklik yönetimi
süreçleriyle yakından bağlantılıdır.
kurtarma sürecinin dokümantasyonu ve ER planlamasıdır
(bina tahliye etme, ilk yardım vb.). Bir dereceye kadar
CM dokümantasyonu bulunur; fakat işi odağında BT olay
müdahalesi vardır. Plan dokümantasyonunun en önemli
nedenlerinden birisi, denetim yorumlarından kaçınmaktır.
Planlar, çoğunlukla, ihtiyaca cevaben güncellenir.
Planlar vardır; ancak söz konusu planlar kurumun diğer
birimlerinden bağımsız geliştirilmiştir ve bu nedenle de iş
ve teknoloji prosedür detaylarından yoksundur. BCM
paydaşları görev ve sorumluluklarını, hatta bazı
durumlarda olaya müdahale ve kurtarma süreçleri
uygulamasındaki rollerini tam olarak bilmezler. Planlar
çoğunlukla güncel değildir. Olaya müdahale ve kurtarma
süreçleri hafızaya dayanır ve sıklıkla ihtiyaca cevaben
gelişir ve birkaç kilit çalışan tarafından yürütülür.
Değerlendirme Hedefi: Eğitim ve Farkındalık
Optimize Edici Kurumun tüm katmanları, BCM programı ve bunun
günlük operasyonlar üzerindeki etkisi konusunda
daha derin bir kavrayış ve anlayışa sahiptir. BCM
görevlerini gerçekleştirmekten sorumlu olanlar
diğerlerinin eğitiminde daha etkindirler. BCM
stratejileri, kurum değerine etkileri bakımından
değerlendirilir.
BCM
eğitimi,
performans
değerlendirmelerine (örn. dengeli puantaj cetveli)
dahil edilmiştir.
Ekip üyeleri, nasıl bir BCM savunucusu
olunacağı konusunda özel eğitim alırlar. BCM
liderleri, BCM hedeflerini tanınmış üst düzey
işletmelerin hedefleriyle koordine eder ve bu
yolla da söz konusu işletmelerin itibarlarından
yararlanmış olurlar. Çapraz eğitim verilen
ekip üyelerine, normal sorumluluklarının
dışında kullanmaları için olanaklar sağlanır.
Yönetilen
Yönetim, BCM bileşenlerinin nasıl birlikte
çalıştığıyla ilgili geniş ve kapsamlı bir bilgiye
sahiptir. Üyeler, gerçek bir felaket durumunda
sorumluluklarını bilirler ve pek çoğu da uzun vadeli
faaliyetlerini bilirler. Ekip üyeleri, kendi BCM
bileşenlerinin diğer BCM bileşenleriyle ve bir bütün
olarak şirket hedefleriyle nasıl bağlantılı olduğunun
yanı sıra kendi münferit sorumluluklarını dile da
getirebilirler.
Tüm ekip üyeleri hem görevleri hem de daha
geniş bir program hakkında eğitim alırlar.
BCM yönetimi, program güncellemelerini
düzenli olarak üst yönetime bildirir. Eğitim ve
farkındalık programları ayrı bütçelendirilir ve
gerekirse dış kaynaklar da dâhil edilir. Ekip
üyeleri üçüncü taraf veya vaka çalışması
eğitimlerine katılırlar. Etkileri şirketin dışına
uzanan bir olayın ortasında, planın nasıl
uygulanacağıyla ilgili konular eğitimin
kapsamındadır.
Tanımlanan
Tüm bileşenlerin katılımıyla, BCM programının
amaç ve hedeflerini anlatacak yapılandırılmış bir
program geliştirilmiştir. Planlama ve uygulama
ekipleri dışındaki çalışanlar programın amaç ve
hedeflerini anlarlar. Yönetim içerisinde BCM
programına çok yönlü bir yaklaşım konusunda
genel bir farkındalık mevcuttur.
Yönetimin her iş kolunda programı anladığı,
BCM eğitimine ilişkin yapılandırılmış
yaklaşım bulunur. Tüm kurumda birincil
veya yedek ekip üyeleri olarak listelenen
kişiler için görevlerle ilgili eğitim zorunludur.
Şirket iç ağı veya yeni işe alınanların
oryantasyonu gibi mevcut kaynaklar program
hakkında genel bir farkındalık oluşturmak için
kullanılır.
Tekrarlanabilir Bir program bileşeninde sınırlı eğitim veya
farkındalık vardır; fakat kriz, işe yeniden başlama
ve felaket kurtarma eğitimleri arasında çapraz
eğitim yoktur. Özel program bileşenlerinin tayin
edilmiş yedekleri olabilir ve ekip üyeleri programla
ilgili resmi olmayan iletişime dâhil edilirler.
Program bileşenleri konusunda taktik
sorumluluğu olan orta yönetim, kritik bir
BCM görevi için tek bir kişiye güvenme
konusundaki tehlikenin farkındadır. BCM
testleri ve/veya güncellemeleri departman
personeli
toplantılarında
dönemsel
konulardır. BCM testleri/güncellemelerini
yapacak kişilere özel görevler konusunda
resmi eğitim verilir; ancak bunun dışında bir
şey yapılmaz. Eğitim, tatbikatlara katılımla
sınırlıdır.
Planlama silolarının bir kombinasyonu
tarafından
üretilir.
BCM’nin
temelini
olağanüstü bireysel çabaların oluşturduğu
kurumlarda bulunur. Eğitim, olduğunda, ER
faaliyetleriyle sınırlıdır.
Başlangıç
Resmi bir eğitim veya farkındalık programı yoktur.
Sadece acil sorumluluğu olanlar programın amaç ve
hedeflerini bilir. Kriz, işe yeniden başlama ve
felaket kurtarma arasında çapraz eğitim yoktur.
Mevzuatla ilgili konular, eğitim ve farkındalık
çalışmalarına yön verir.
Değerlendirme Hedefi: Test Etme ve Planı Sürdürme
Optimize Edici BC testleri önceden duyurulmaz. Simülasyonlar, bir risk
Ekip üyeleri, kapsamlı bir eğitim görürler ve
müdahaleleri sadece bir tepki şeklindedir. Testlere
hazırlık olarak minimum plan yapılır ve yapılan
planlama da birkaç kişi tarafından gizlice yapılır.
Müdahale ve kurtarma ekibi üyeleri, güncel bazı
teknik prosedürler veya irtibat listesi dışında plan
dokümantasyonuna minimum düzeyde bağlıdırlar.
Planları sürdürmek ve cari ve işletme
operasyonlarını yansıtır hâle getirmek için otomatik
araçlar kullanılır.
Yönetilen
İşletme ve BT için düzenli olarak tam ve eksiksiz bir BC
testi yapılmaktadır. Simülasyonlar, bir risk değerlendirme
sırasında tespit edilen olası riskler kullanılarak geliştirilir.
Testler, kritik bileşenleri veya bağlantı, uygulama
kullanımı veya hareket işleme gibi fonksiyonları kurtarma
oranıyla ölçülür. Planlar çalışma yeri dışında (off-site)
yapılır ve güncellemeler test sonunda yapılır. İç denetim,
tatbikatı gözlemler ve planların güncellenmesini sağlar.
Test planlama; CM, işe yeniden başlama ve BT
felaket kurtarmayı kapsar. Ekip üyeleri, tüm ilgili
ve önemli prosedürler konusunda çapraz eğitim
alırlar. Plan dokümantasyonuna fazla bel
bağlanmaz; ancak süreçle ilgili ve irtibat
listesindeki yanlışlıklar zamanında düzeltilmelidir.
İç denetim, test planlamayı, uygulamayı ve testten
kaynaklanan eylemleri izler. Plan güncellemeleri,
iç denetimim gözetiminde süreç sahiplerinin
sorumluluğunda olmalıdır.
Tanımlanan
BC ve BT felaket kurtarma testleri bazen birlikte yapılır;
fakat odak noktası, genelde, bileşen kurtarmadır.
Süreklilik prosedürleri, planlama açıklarını tanımlamak
için interaktif atölye çalışmalarıyla tartışılır. Testler,
büyük ölçüde, kurtarma ve genel etkinlik için beklenen
bir zaman çerçevesi kullanılarak değerlendirilir. Tüm
departmanlar, yedek sistemleri kullanarak belirli bir süre
boyunca alternatif bir yerde çalışırlar. Çıkarılan dersler
belgelenir ve plan güncellemeleri bir program
çerçevesinde yapılır.
İşletme ve BT personeli, iş sürecini ve BT varlık
kurtarmaya
yönelik
tasarlanmış
düzenli
programlanmış
BC
testlerini
uygularlar.
Kullanıcılar, bağlantıyı ve uygulamalara erişimi
test ederler. Bu testlerin planlama süreci geniş
kapsamlıdır ve kolaylaştırıcılar ve/veya izleyenler
olarak kurum içinden dışarıdan personeli içerir. İç
denetim test uygulamalarına katılır ve test
sonuçlarına göre planları güncelleme sürecini izler.
Plan güncellemeleri merkezi koordinasyonla süreç
sahibinin sorumluluğundadır.
Tekrarlanabilir Test süreci, BT felaket kurtarma sürecine odaklanır ve
BT personeli, düzenli programlanmış BT felaket
kurtarma ve bileşen kurtarma testlerini uygular.
Söz konusu testler için planlama süreci
kapsamlıdır ve kolaylaştırıcılar ve/veya izleyenler
olarak kurum içinden dışarıdan personeli
içermelidir. İç denetim test uygulamalarına katılır
ve test sonuçlarına dayalı olarak plan
güncellemeleri
sürecini
izler.
Plan
güncellemelerinden tek bir kişi sorumludur.
Başlangıç
BC planlama başarıları, normalde BT’yle sınırlı
olmak üzere, olağanüstü bireysel çabalarının temel
oldukları yerlerde olur. Eğitim, olduğu yerlerde de ,
ER (ilk yardım, tesisleri tahliye etme vb.) ve BT
bileşenlerini kurtarma faaliyetleriyle sınırlıdır. Plan
güncellemeleri
süreç
sahiplerinin
sorumluluğundadır ve standart, izlenen belirli bir
süreci takip etmez.
değerlendirmesinde belirlenen olası riskler kullanılarak
geliştirilir. Testler, ağırlıklı olarak, beklenen kurtarmayla
ölçülür. Tüm departmanlar, yedek sistemleri ve kaynakları
kullanarak belirli bir süre boyunca alternatif bir yerde
çalışırlar. Üçüncü taraf iş ortakları ve satıcılar teste
katılırlar. Plan güncellemeleri, bir sürdürme süreciyle
otomatik olarak entegre edilir.
kurtarılan ortamın veya test sonuçlarının son kullanıcılar
tarafından doğrulanmasını da içerebilir. Bazı kurumlarda,
yönetim, CM kapasitelerinin bir senaryoya bağlı,
masaüstü uygulanmasına katılır. BT felaket kurtarma
testleri, bileşen kurtarmaya odaklıdır. İç denetim,
süreklilik prosedürlerini – böyle bir fonksiyon varsa –
gözden geçirir. Plan güncellemeleri bir program dâhilinde
yapılır.
BT bileşen testi, yönetimin sınırlı bilgisi dâhilinde ve
kullanıcıların katılımı olmadan, BT birimi içerisinde
gerçekleşir. Resmi bir test programı oluşturulmamıştır ve
test
sonuçları
nadiren
belgelenir.
Testler,
müdahale/kurtarma süreçlerinde düzeltme ve değişiklikler
yapılmasıyla sonuçlanmaz. BCM süreci yeni olduğu için,
planlar iyi sürdürülmemiş veya güncel olmayabilir.
GTAG - Sözlük
Değerlendirme Hedefi: Mevzuata Uyumun İzlenmesi ve Denetimi
Olgunluk Değerlendirme
İç denetim, risk yönetimi ve baş hukuk müşaviri, plan
dokümantasyonunu düzenli aralıklarla gözden geçirirler ve
aynı zamanda test faaliyetleri de dâhil BCM kapasitelerinin
üçünü şahıs denetimlerine de destek verir. Kurum
mevzuata uyumla ilgili sektör tartışmalarına katılır ve
performans karşılaştırma analizlerini düzenli olarak gözden
geçirir. Bir risk değerlendirmesi ve BIA yapılır ve planların
işletme gerçeklerini ve mevzuat ortamını yansıtmasını
sağlamak için düzenli olarak yenilenir.
Düzenleyici kurumlarla proaktif bir temas
sürdürülür. İşe özel olarak tahsis edilmiş bir ekip,
uzmanlık gerektiren hizmetler için iç denetim ve
dış kaynak sağlayıcılarını içeren çapraz fonksiyonel
iş ve teknoloji ekibinin desteklediği BCM
faaliyetlerini yönetir. Bir risk değerlendirmesi (yer
bakımından) ve BIA (süreç bakımından)
uygulanmalı ve plan yapımı için temel olarak
kullanılmalıdır. Bu planlar, aynı zamanda,
periyodik olarak yenilenmelidir.
Yönetilen
Aralarında baş hukuk müşaviri ve iç denetimin de
bulunduğu çapraz fonksiyonel ekipler, iş koşulları ve
mevzuat gereklilikleriyle ilgili düzenli değerlendirmeler
yaparlar. İç denetim, risk yönetimi ve baş hukuk müşaviri
de plan dokümantasyonunu yıllık bazda bir dereceye
kadar gözden geçirirler. Planların işletme gerçeklerini
yansıtmasını ve en olası ve ciddi risklere ve etkilere
odaklanmalarını sağlamak için bir risk değerlendirme ve
BIA kullanılır.
Özel hizmetler için aralarında iç denetim ve dış
kaynak sağlayıcıların da bulunduğu çapraz
fonksiyonel bir işletme ve teknoloji ekibinin
desteklediği işe özel olarak tahsis edilmiş bir ekip
BCM
faaliyetlerini
yönetir.
Bir
risk
değerlendirmesi (yer bakımından) ve BIA (süreç
bakımından) uygulanmalı ve plan yapmak için
temel olarak kullanılmalıdır. Bunlar, aynı zamanda,
periyodik olarak yenilenmelidir. İç denetim, planın
içeriğinden
ziyade
BCM
programının
uygulanmasına odaklanır.
Tanımlanan
BCM’yle ilgili mevzuat değerlendirilir ve BCM
planlarına dâhil edilir. Mevzuat ortamını izleme
sorumluluğu BCM yürütme kuruluyla iletişim içinde olan
baş hukuk müşavirindedir. İç denetim, planı sürdürme
sürecini
izler
ve
mevzuat
değişikliklerinin
dokümantasyona ne zaman değişiklik yapılmasını
gerektireceğini etkiler. Son iki yıl içinde, mevzuat
ortamını dikkate alan bir risk değerlendirmesi ve BIA
gerçekleştirilmiştir.
Küçük, çapraz fonksiyonel bir ekip uygulamada yer
almaktadır ve iç denetim birimi de bu ekibin
çalışmalarına aktif bir şekilde katılmaktadır. Bir
risk değerlendirmesi (yer bakımından) ve BIA
(süreç bakımından) uygulanmakta ve plan yapmak
ve mevzuatın plan geliştirme üzerindeki etkisini
belirlemek için bir temel olarak kullanılır.
Tekrarlanabilir
Finansal açıdan mümkün olduğunda, BCM’yle ilgili
mevzuat değerlendirilir ve BCM planlarına dâhil edilir. İç
denetim birimi, bir uzun-vadeli denetim planına uygun
olarak dokümantasyonun anlamını ve önemini gözden
geçirir ve plan testi kanıtları talep edebilir.
İç denetim, risk yönetimi veya baş hukuk müşaviri;
mevzuat hakkında güncel bilgileri, BCM ekibiyle
veya BCM’den sorumlu olanlarla paylaşırlar.
Başlangıç
BCM’yle ilgili mevzuat gereklilikleri veya sektör
standartları çok ender dikkate alınır ve BCM planlarına
dâhil edilir veya uygulanamayacak kadar maliyetli olarak
görülür. İç denetim, geleneksel BT felaket kurtarma
planlarının belgelenmesini sağlamanın dışında başka
şeylerle ilgilenmez.
Bir BT felaket kurtarma planlaması süreci vardır.
Bir iç denetim fonksiyonu vardır ve felaket
kurtarma ise yıllık veya iki yıllık planda yer alır.
Optimize Edici
GTAG - Sözlük
BC – İş Sürekliliği
BCM – İş Sürekliliği Yönetimi
BCP – İş Sürekliliği Planı
BIA – İş Etki Analizi
BU – İşletme Birimi
İDY–İç Denetim Yöneticisi (İDY)
CBCP – Sertifikalı İş Sürekliliği Uzmanı
CM – Kriz Yönetimi
DRII – Uluslararası Felaket Kurtarma Enstitüsü
DRP – Felaket Kurtarma Planlaması
ER – Acil Durum Müdahalesi
GTAG – Global Teknoloji Denetim Rehberi
BT – Bilgi Teknolojileri
MBCP – Master İş Sürekliliği Uzmanı
RPO – Kurtarma Noktası Hedefi
RTO – Kurtarma Zamanı Hedefi
11. Yazarlar Hakkında
David Everest, CISA
David Everest, Cleveland, Ohio’da bulunan KeyBank’in Kilit Risk Değerlendirme
bölümünün başkan yardımcısıdır. Everest, Key Bank içerisinde teknoloji bölümüne uzman
danışmanlık sunmaya odaklanır. Uzmanlık alanları arasında altyapı ve ağ (networking)
projeleri yer alır. Key’de çalışmaya başlamadan önce Detroit, MI’da bulunan General Motors
şirketinde teknoloji denetçiliği yapmıştır. Everest’in – hem teknolojik olarak hem de stratejik
anlamda - muazzam bir BT arka plan bilgisi vardır; ayrıca veri merkezlerinde çalışmış ve BT
departmanlarını yönetmiştir.
Everest’in Ohio, Berea’daki Baldwin Wallace College’da Bilgisayar Bilgi Sistemleri’nden
Bilim Lisansı (Bachelor of Science) derecesi ve Cleaveland’daki Case Western Reserve
University’de Weatherhead School of Management bölümünde MBA yapmıştır.
Roy E. Garber, CIA, CISA
RoyGarber, Safe Auto InsuranceCo.’da Uygulama Geliştirme direktörü ve proje yönetim
bürosundan (PMO) sorumludur ve kurumsal BT uygulama çözümlerinin üretimi ve temin
edilmesinden sorumludur. Şu anki sorumlulukları arasında BT yönetişim ilkeleri ve en iyi
uygulamalar bulunur.
Garber’ın 20 yıldan fazla BT, finansal ve operasyonel risk yönetimi deneyimi var. Daha
önceki iç denetim görevi için, bir uluslararası sigorta şirketinde kurumsal BT denetim
hizmetlerini yönetmekten sorumlu kurumsal üst düzey yöneticilik yapmıştır. Önceki dış
denetim görevinde büyük, orta ve küçük ölçekli şirketlerde BT güvence hizmetlerini
görevlerini yürütmüştür ve BT risk yönetimi ihtiyaçlarını karşılamalarına yardım etmek
amacıyla müşteri yöneticileriyle ortaklıklar kurmuştur.
Michael Keating
Mike Keating, Navigant Consulting şirketinde iş sürekliliği yönetimi uygulamasına başkanlık
etmektedir. Navigant Consulting şirketinde çalışmaya başlamadan önce, kriz yönetimi ve iş
sürekliliği danışma alanlarında çeşitli yöneticilik pozisyonlarında çalışmıştır; bunlar arasında
dünyanın en büyük sigorta aracısı için yaklaşık dört yıl Midwest Practice yöneticiliği yapmak
ve seçkin bir iç denetim ve danışma şirketinde Southeast BCM Practice yöneticisi olarak
görev yapmak bulunmaktadır. Keating, ayrıca, kurumları risklere hazırlamaya yardım eden bu
türdeki programların ilki olan Amerikan Kızılhaç BICEPP programını geliştirmiştir.
Uzmanlık alanı kurum çapında iş sürekliliği programlarıdır ve hemen hemen her büyüklükteki
ve sektördeki müşterilerinin iş duraksamalarının etkisini en aza indirmek üzere hazırlanmaları
konusunda yardım etmiştir.
Brian Peterson
Brian Peterson, Chevron Corp.’daki Global Bilgi Risk Yönetimi Danışma Ekibi’nde ekip
başkanıdır ve dünya çapındaki Chevron şirketlerine danışmanlık hizmetlerini ulaştırmaktan
sorumludur. Şu anki sorumluluklarından birisi dört ülkede risk yönetimi danışmanlığı yapan
danışmanları yönetmektir. Peterson’un BT, proje yönetimi ve risk yönetimi alanlarında 25
yıldan fazla deneyimi vardır. 55 ülkede Chevron işletme birimlerine çeşitli ve farklı risk
yönetimi girişimlerine yardım ederek çalışmıştır. Peterson, tüm Chevron şirketinde bilgi
risklerini yönetmek için kullanılan çeşitli araçlar ve süreçler geliştirmiştir.
Peterson, aynı zamanda, federal devletle sektör arasındaki bir ortaklık olan LOGIIC (Siber
Teknolojiyi Geliştirmek için Petrol ve Doğal Gaz Sektörlerini Birbirine Bağlamak)
konsorsiyumunun kurulmasına yardım etmiştir ve şimdilerde de proje yöneticisi olarak görev
yapmaktadır.
Gözden Geçirenler:
IIA, bu rehber hakkında değerli yorum ve görüşlerini sunan ve büyük değer katan aşağıda
isimleri sayılan kişilere teşekkürlerini sunar:
 Mesleki Uygulamalar Komitesi:
o Yüksek Teknoloji Komitesi
o Mütevelli Heyeti
o Kalite Komitesi
o İç Denetim Standartları Kurulu
o Mesleki Konular Komitesi
o Etik Komitesi
 Lily Bi, IIA
 Larry Brown, The Options Clearing Corp., ABD
 Faisal R. Danka, Londra, Birleşik Krallık
 Christopher Fox ASA, Delta, New York, ABD
 Nelson Gibbs, Deloitte & Touche, LLP, ABD
 Markus Künzel, Medizinische Universität Wien, Avustruya
 Lemuel Longwe, Ernst &Young Chartered Accountants Zimbabve
 Steve Mar, Resources Global, ABD
 Tom Margosian, Ford Motor Co., ABD
 James Reinhard, Simon Property Group Inc., ABD
PROTIVITI
BAĞIMSIZ
RİSK
DANIŞMANLIĞI’NDA
LİDER
Protiviti, risk ve danışmanlık hizmetleri alanında faaliyet gösteren uzmanlardan kişilerden oluşan
bir danışmanlık ve iç denetim şirketidir. Şirket, müşterilerine finans, operasyonlar, teknoloji,
hukuki ihtilâflar ve GRC (Yönetişim, Risk Yönetimi ve Mevzuata Uyum) konularında yardım
eder. Protiviti’nin son derece eğitimli ve sonuç odaklı kadrosu Kuzey ve Güney Amerika’da,
Asya-Pasifik’te, Avrupa’da ve Orta Doğu’da hizmet vermekte ve çok geniş bir yelpazeye yayılan
kritik iş konularında özgün bir bakış açısı sunmaktadır. Protiviti dünya çapında 60’tan fazla
yerde faaliyet göstermektedir ve Robert Half International Inc.’in (NYSE2 sembolü: RHI)
tamamına sahip olduğu bir iştirakidir.1948’de kurulan Robert Half International Inc. S&P 500
endeksine üyedir.
Hizmetlerimiz hakkında daha fazla bilgiye ulaşmak ve yayınlarımızın kopyalarını ücretsiz
indirmek için, lütfen web sitemizi ziyaret edin: protiviti.com
©
2008 Protiviti Inc. Hiçbir konuda ayrımcılık yapmayan bir işverendir. Protiviti bir muhasebe ve denetim firması olarak ruhsatlı
veya kayıtlı değildir ve mali tablolar hakkında görüş yayınlamaz ya da onay hizmeti vermez.
2
New York Borsası
RİSK
VE RİSKİN İŞ SÜRECİNİZİN NERESİNDE OLDUĞUNU BİLMEK
NEDEN
İYİ BİR GECE UYKUSUNUN
ANAHTARIDIR
Çoğu yönetici, kritik sistemlerinin ve iş süreçlerinin ne zaman aksayacağını ve aksayıp
aksamayacağını düşünerek uykusuz geceler geçirir. Günümüzdeki şirketlerin müşterilerin
istediği kesintisiz hizmeti sağlayabilmek için uyum içerisinde çalışan veya işleyen çok sayıda
tedarikçi, teknoloji, süreçler ve kişiler gerektirdiği göz önüne alındığında bu durum şaşırtıcı
değildir. Bu sorunla başa çıkabilmek için dünya çapında ve çeşitli sektörlerden kurumlar
Protivitiye yönelmektedirler. Protiviti’de iş sürekliliği planlamasına pragmatik bir bakış açısıyla
yaklaşıyoruz ve işletme operasyonlarınızda birbirine bağımlı tüm süreç ve aktörlerin
yapılarından kaynaklanan riskleri değerlendiriyoruz. Daha sonra ise, finansal performansınıza ve
itibarınıza zarar verebilecek olayları/acil durumları yönetmek amacıyla pratik çözümler ve
süreçler geliştirmek konusunda sizlerle birlikte çalışıyoruz. Bu sizlere, insan hatalarını, hatalı
yazılımları ve güvenilir olmayan tedarikçilerden kaynaklanan aksamaları nokta çözümler ve
süreç kılavuzlarıyla yönetmeye çalışan rakipleriz karşısında avantaj sağlar. Bu, onlar diken
üzerinde bütün geceyi uyanık geçirirken sizin bir bebek gibi uyuyacağınız anlamına da gelir.
Protiviti’nin kapasiteleri hakkında daha fazla bilgi edinmek ve İş Sürekliliği Yönetimi
Rehberimizin 2. Basımının ücretsiz bir kopyasını indirmek için, protiviti.com/bcm web sitesini
ziyaret ediniz.
©
2008 Protiviti Inc. Hiçbir konuda ayrımcılık yapmayan bir işverendir. Protiviti bir muhasebe ev denetim firması olarak ruhsatlı
veya kayıtlı değildir ve mali tablolar hakkında görüş yayınlamaz ya da onay hizmeti vermez.
İş Sürekliliği Yönetimi
Bu GTAG, kurumun işlerliğini etkileyerek kurumun uzun süre atıl kalmasına neden olan,
kurumun potansiyel olarak karşılaşma ihtimali bulunan doğal veya insan kaynaklı tahrip edici bir
olayın meydana gelmesi durumunda, iş sürekliliği yönetiminin (BCM) işletme yöneticilerinin
kurumun karşılaştığı risk düzeyini yönetebilmelerini sağlamak amacıyla nasıl hazırlandığına
odaklanır. Rehber, ilaveten, kritik bilgi teknolojisi altyapısının ve işletme uygulama sistemlerinin
sürekliliği için felaket kurtarma planlamasını da içerir.
İç denetim yöneticileri (İDY’ler) kurum yöneticilerine riskler, kontroller, maliyetler ve bir BCM
programı edinmenin faydaları hakkında eğitim vermek zorluğuyla karşı karşıyadırlar. Son
zamanlarda yaşanan felaketler, bazı kurum yöneticilerini BCM programlarına dikkat etmeleri
konusunda motive etmişse de, söz konusu programları uygulama henüz yaygın olmaktan çok
uzaktır. Kilit zorluk, BCM programını bir öncelik haline getirmeleri için kurum yöneticilerini
teşvik etmektir. Çoğu yönetici BCM programını edinmenin iyi bir fikir olduğuna katılmasına
rağmen, çoğu hem program için gereken finansman hem de programın başarısını garanti altına
alacak bir yönetici sponsoru bulmaya çalışacaktır. İş Sürekliliği Yönetimi, İDY’nin iş sürekliliği
riski farkındalığını iletmesini ve bir BCM programı geliştirmesinde ve sürdürmesinde yönetime
destek olmasını sağlayacaktır.
Bu
rehberi
oylamak
veya
görüş
ve
yorumlarınızı
iletmek
www.thiia.org/guidance/technology/gtag/gtag10 web sitesini ziyaret ediniz.
için,
lütfen

GTAG 10 - Türkiye İç Denetim Enstitüsü

Transkript

Benzer belgeler

VMware Veri Kaybı En İyi Uygulamaları

MLKS10‐S LCD Ekran Kullanımı ve Kurtarma İşlemi Adımları

PSG Consumer 1C12 HP Notebook Datasheet

Acil ve Beklenmedik Durum Planı - Merrill Lynch Menkul Değerler A.Ş.

PSG Consumer CQ Notebook Datasheet

Uluslararası Enerji Kongresi 2013

Can Kurtarma Prosedürleri - Su-Sail