Genç yaşıma rağmen çok sayıda denetim faaliyeti gerçekleştirme imkânı buldum. Bilgi Güvenliği, İş Sürekliliği, IT servis yönetimi gibi alanlarda gerçekleştirdiğim denetimlerde çok az sayıda işletmenin bu sistemleri ciddiye alarak işlettiğine şahitlik ettim. Ciddiyetten kastım şudur ki; çoğu işletme bir şekilde ilgili yönetim sisteminin sertifikasına ihtiyacı olduğu için çalışma başlatıp belgelendirme denetimi sonrasında da tabir-i caizse postu seriyor.
İyi örnekler yok mu? Elbette ki var. Bilgi güvenliği, iş sürekliliği gibi hassas konuların ciddiyetinin farkında olan sektörlerde (Savunma, İletişim, Bankacılık vb.) bu sistemler hakkıyla yönetiliyor ve işletmelere yüksek katma değer sağlıyor diyebiliriz. Fakat bunun dışındaki sistemler genellikle “Copy + Paste” ya da “Find & Replace” şeklinde ilerlediğini söylemek çok yanlış olmaz.
İşte bu nedenledir ki denetimine gittiğimiz işletmelerde alakasız risk analizleri, alakasız iş sürekliliği planları ile karşı karşıya kalıyoruz. Örneğin hizmet işletmelerinde üretim işletmelerini ilgilendiren alakasız riskler görebilirsiniz. Riskleri ve iş sürekliliği planlarını inceleyerek geliştirilmesi, zenginleştirilmesi gerektiğini söylediğimizde “ne gerek var” ile karşılaştık çoğu zaman. İş sürekliliği planları, İş Etki Analizleri bu bağlamda en bahtsız olanlar arasında şüphesiz. Zira bunlar en çok “Copy & Paste” ile işletilen süreçler.
“Bin nasihatten bir musibet yeğdir”
Yıllardır iş sürekliliği planları, iş etki analizlerini incelerken hep “internet kesintisi”, “Sunucu arızası”, “donanım hatası” gibi yüzeysel ve alışageldik felaket durumlarının ele alındığını gördük. Ne zaman “salgın”, “karantina” ve buna benzer felaket durumlarından örnek verip bunları neden ele almadınız diye sorduysam “hocam ne gerek var!” yanıtlarını aldım. Keşke yaşayarak tecrübe etmemiş olsaydık ama bugün dönüp baktığımızda irili ufaklı tüm işletmeler Corona salgını nedeniyle uzaktan çalışma kararı almaya başladı. Bunun dışında birçok endüstri işlerini sürdürebilmenin yollarına bakıyor.
Çalışanların evden devam etmesi bu işin en basit tarafı. Bir de üretim işletmelerini göz önüne getirin. Corona salgınının yaygın olduğu ülkelerden ham madde, yarı mamul alan işletmelerin neredeyse tamamı üretimini durdurdu veya azaltmak zorunda kaldı. İş sürekliliğini sadece “Bilgi işlem” sorunu olarak görmekten vazgeçmedikçe yaptığımız iş sürekliliği planları, iş etki analizleri etkisiz eleman olmaya devam edecek.
İş sürekliliği dediğimiz olgu işletmelerin iş planından tutun da üretim planlama, maliyet muhasebesi, insan kaynakları yönetimi, satış ve pazarlama, sevkiyat gibi tüm alanlarında ele alınması gerekir. Süreçlerin birbirine bağlı yürütüldüğünü düşünürsek hammadde tedarikinde sürekliliği sağlayamadığınız durumda satış ve pazarlama faaliyetlerinin mükemmel yürütülmesi de bir işe yaramayacaktır.
Aslına bakarsanız ISO 22301 İş Sürekliliği Yönetim Sistemi gibi uluslararası standartlar tam olarak da bu konuları ele almak üzere dokümante edilmiştir. Fakat bizler bu standartları uygularken bazı konuları eksik ya da yanlış yorumladığımız gibi, bazı durumlarda da “işimize gelmediği” için yanlış yorumlayabiliyoruz. Standartların istemiş olduğu risk analizlerini, iş etki analizlerini uygularken yüzeysel davranmak yerine çalışmayı zenginleştirecek kaynaklardan da faydalanmak gerekir. Örneğin iş sürekliliğini etkileyecek tehditler neler olabilir dediğinizde belki ilk anda aklınıza pek bir şey gelmeyecektir. Ancak ulusal veya uluslararası yapılmış araştırmalar, istatistikler, geçmişte yaşanan örnek olayları incelediğinizde içinde bulunduğunuz durumda “olmaz” dediğiniz birçok şeyin aslında “olabilir” olduğunu göreceksiniz.
Bundan bir yıl önce Millî Eğitim Bakanlığında risk değerlendirmesi yaptığınızı düşünün. Salgın hastalık, pandemi riskini değerlendirip aksiyon olarak da Uzaktan Eğitim altyapısının hazırda tutulması gerektiğini söyleseydiniz muhtemelen bu iş için bütçe alamazdınız.
“Lesson Learning”
Sistematik yaklaşımda yaşanan olumsuz olaylardan ders çıkartma öğretisi vardır. Bugün yaşanan Pandemi durumu keşke yaşanmamış olsaydı. Kontrolümüz dışında gelişen bu ve buna benzer durumlar bizler için ders çıkartmak için önemlidir. Bu yaşanan salgın olayından herkesin kendince çıkarabileceği bir ders mutlaka vardır. En basitinden insanların temizlik anlayışını sorgulamasına, temizlik alışkanlıklarının değişmesine sebep oldu diyebiliriz. Fakat sistem yöneten insanlar için de iş sürekliliği planları ve iş etki analizleri açısından çıkartılabilecek dersler olduğunu düşünüyorum.
Toparlayacak olursam, iş sürekliliği planları ve iş etki analizlerini çok daha hassas ele alınması gerektiğini bir kez daha görüyoruz. Daha da önemlisi şu ki İş Sürekliliği Yönetiminin sadece “Bilgi işlem” konusu olmadığını, iş sürekliliğinin herkes için lazım olduğunu yaşayarak gördük. Umarım daha kötü senaryoları yaşayarak öğrenmek yerine önlem alarak yaşamamış oluruz.
Sağlıklı ve iş sürekliliğinin sağlandığı günler dilerim.
İlk Yorumu Siz Yapın