İş sürekliliğini sağlamak demek, bir işletmenin tehlikeli durumlara karşılık verme konusunda stratejik ve taktiksel becerilere sahip olması, bunun planlamasını yapması ve faaliyetlerine, iş kesintileri için önceden tanımlanmış kabul edilebilir seviyede devam edebilme kabiliyetine sahip olması demektir. İşler yolunda giderken pek de iş sürekliliği üzerinde çok fazla durulmaz. Ancak yaşanan olaylara bakılırsa, uğraşların, verilen emeklerin, çabaların, önceden öngörülmeyen nedenlerle bir anda boşa gittiği çok görülmüştür.
İş sürekliliği kavramının temelinde aslında iş kesintisi yatmaktadır. İş kesintisi, işletmelerin faaliyetlerinde, önceden bilinmeyen, planlanmayan ama işletmeyi olumsuz yönde etkileyen tehlikeler yüzünden meydana gelen aksamalar demektir. Bu tehlikeler deprem, sel, fırtına gibi doğal olaylar veya yangın, ekonomik krizler ve benzeri olaylar yüzünden ortaya çıkabilir.
Çoğu zaman bu yaşanan iş kesintileri, işletmelerin altından kalkamayacakları boyutlarda olabilir. Amerika’da yapılan bir araştırmanın sonuçlarına göre, olağanüstü bir tehlike yaşayan kuruluşların yüzde 40’ı, yani her beş kuruluştan biri, faaliyetlerini sürdüremememiştir. Bir şekilde faaliyetlerine devam edebilen kuruluşların yüzde 33’ü ise, yani her üç kuruluştan biri, iki yıl sonra faaliyetlerini durdurmuşlardır. Sadece bu istatistik sonuçları bile iş sürekliliğinin önemini ortaya koymaktadır.
Olağanüstü bir durum veya felaket ile karşı karşıya kalan işletmeler ciddi mali kayıplar yanında, pazar kaybı ve itibar kaybı gibi sorunlar ile de yüz yüze gelmektedir.
Her boydan ve her sektörden kuruluşların beklenmeyen bir duruma karşı hazırlıklı olmaları ve bir plan ve program dahilinde işletmenin faaliyetlerini sürdürebilme esnekliğine sahip olmaları önem taşımaktadır.
İş Sürekliliği Yaklaşımının Geçmişi
İş sürekliliği kavramının önemi ve uygulamaları ancak 2000’li yılların başlaması ile birlikte olmuştur. O dönemde bilgisayar yazılım ve donanımlarda yıl bilgisi iki rakamlı olarak tutuluyordu. 2000 yılına geçişte yıl bilgisi “00” olacağından sistemlerin çökme endişesi yaşanmış ve iş sürekliliğini kesintiye uğratmamak için önlemler alınmaya başlamıştı. Büyüklü küçüklü bütün kuruluşlar, bir önlem olarak, sorun yaratma ihtimai bulunan bütün yazılım ve donanımlarını gözden geçirmeye başlamışlar ve gerekli önlemleri almışlardır. Ancak daha sonra bu yeterli görülmemiş ve öngörülmeyen bir nedenle iş kesintisi yaşanması durumunda neler yapılması gerektiği konusunda acil durum planları geliştirmeye başlamışlardır.
İşte iş sürekliliği kavramları ilk defa bu şekilde ortaya çıkmıştır. Bu konuda yazılı ilk plan Amerika Genel Muhasebe Ofisi tarafından hazırlanan Year 2000 Computing Crisis: Business Continuity and Contingency Planning’dir (2000 Yılı Bilgisayar Krizi: İş Sürekliliği ve Acil Durum Planlaması). Bu plan daha sonra bütün dünyada örnek alınmıştır.
Şirketler genelde bilançolarında varlık kalemleri içinde sadece fiziki olanları göstermektedir. Oysa bu fiziki varlıkların yanında ciddi bir şekilde entellektüel sermayeleri de bulunmaktadır. Bu entellektüel sermaye, şirketlerin iş yapma şekillerini yansıtan süreçleri, tasarımları, kullandıkları yöntemler, müşteri bilgileri ve bilgisayarda saklanan verilerdir. Şirketler gittikçe bilgi teknolojilerine bağımlı olarak faaliyetlerini sürdürmektedir. Bu yüzden hem bilgi sistemlerinin sürekliliğini sağlamak hem de değerlerini devam ettirebilmek açısından iş sürekliliği üst yönetim tarafından ciddiye alınmak zorundadır.
ISO 22301 İş Sürekliliği Yönetim Sistemi Nedir?
Uluslararası Standartlar Organizasyonu tarafından yayınlanan ISO 22301 İş Sürekliliği Yönetim Sistemi standardı, kuruluşu iş sürekliliğini bozacak herhangi bir gelişmeye karşı korumak, bu gelişmelerin gerçekleşme ihtimallerini en aza indirmek ve kuruluşun böyle durumlarda kısa sürede eski durumuna dönmesini sağlamak için gereken bir yönetim sistemi standardıdır.
İş sürekliliği süreçleri, bugün kuruluşların en etkin bir şekilde yönetmeleri gereken süreçlerden bididir. Kuruluşun, ürün ve hizmetlerini kesintiye uğratan bir olaydan sonra, önceden tanımlanmış kabul edilebilir seviyelerde faaliyetlerini sürdürebilmesi için iş sürekliliği süreçlerinin belirlenmiş ve dokümante edilmiş olması gerekmektedir.
ISO 22301 standardı, yaklaşık 160 ülke tarafından onaylanmıştır. Bu standart, daha önce uygulanmakta olan BS 25999 İş Sürekliliği Standardı’nın gelişmiş bir şeklidir.
ISO 22301 standardının uygulanmasında, kuruluşların iş sürekliliğini sağlamaları için, gerekli planları hazırlamaları, bunları uygulamaları, işletmeleri, takip etmeleri ve ihtiyaç durumunda güncellemeleri gerekmektedir.
ISO 22301 İş Sürekliliği Yönetim Sistemi Kuruluşlara Ne Kazandırmaktadır?
ISO 22301 standardı, iş sürekliliğini tehlikeye atacak risklerin gerçekleşmesi durumunda bir korunma imkanı vermektedir. Bu nedenle ISO 22301 standardı, farklı sektörlerdeki kuruluşlar için büyüklüklerine ve faaliyetlerine bakılmaksızın her kuruluşta uygulanabilir. Kuruluşlar bu standardı uygulamakla genel olarak şu faydaları elde ederler:
- Kuruluş açısından, bugün için mevcut ve gelecekte olabilecek tehditler tespit edilir.
- Tehditler gerçekleştiğinde bunları yönetmek kolaylaşır.
- Meydana gelecek tehlikelerin etkisini en aza indirmek için önlemler alınmış olur.
- Kriz dönemlerinde kuruluşun kritik faaliyetlerinin aksamadan yürütülmesi ve her an çalışır durumda olması sağlanır.
- Tehlike durumlarında kesinti süreleri en düşük seviyeye çekilir ve normale dönme süreleri iyileştirilir.
- Müşterilere ve tedarikçi firmalara daha esnek davranma imkanı verir ve kuruluşun tedarik zinciri daha güvenli hale gelir.
- İş sürekliliğinin sağlanması ile, rakiplere karşı üstünlük elde edilir.
- Bu sayede kuruluşun saygınlığı, itibarı ve marka değeri korunmuş olur.
ISO 22301 İş Sürekliliği Yönetim Sistemi ve Uygulama Stratejisi
ISO 22301 standardının uygulanması, işe yönelik riskleri ve bu risklerin sonuçlarını anlayarak ve risklere karşı alınacak önlemleri uygulayarak ancak bir değer ifade eder. Her olay veya gerçekleşen her tehlike kuruluşun hedef ürün ve hizmetleri üzerinde ayrı ayrı etkileri olabilir. Kuruluşlar bu etkileri ancak kapsamlı bir iş etki analizi yaparak ve sonrasında risk yaklaşımı metodolojisi uygulayarak daha net görebilirler. Ortada risk varsa,iş sürekliliğini tehdit eden bir durum var demektir. Risk yönetimi, kuruluşun anahtar ürün ve hizmetler etrafında bulunan risklerin yönetilmesini amaçlar. Ürün ve hizmetlerin gerçekleştirilmesi, çoğu zaman tahmin edilmesi veya analiz edilmesi zor, çeşitli olaylar yüzünden kesintiye uğrayabilir. Kuruluşlar, meydana gelen risklerin etkilerini, riskin transferi, kabulü, azaltılması veya ortadan kaldırılması seçeneklerinden birine göre gidermeye çalışır.
İş sürekliliği yönetimi yapılarak, genel anlamda ürün ve hizmet üretiminin planlandığı şekilde sunulması ve iş süreçlerinde devamlılığın sağlanması hedeflenmektedir. Yöneticiler, kuruluşun kesintisiz faaliyet gösterme kabiliyetinin sürekliliğini sağlamaktan sorumludur.
ISO 22301 Standardının İlkeleri Nelerdir?
ISO 22301 standardı bir işletmede kurulurken aşağıda sayılan beş ilke göz önünde tutulur:
- Üst yönetimin iş sürekliliği yönetim sistemine katılması, iş sürekliliği çalışmalarının etkinliği açısından çok önemlidir.
- İş sürekliliği kriterleri, kuruluşun ürün ve hizmetlerinin önceliklerine göre sıralanabilmelidir.
- Kuruluş kritik iş süreçlerine ilişkin risk değerlendirmelerini yapmalı ve buna göre iş süreklilik stratejisini belirlemelidir.
- Belirlenen iş sürekliliği stratejisi çerçevesinde, atılacak adımlar tespit edilmiş olmalıdır.
- Kuruluşun strateji ve planların yeterli, güncel ve uygun olduklarının anlaşılması için yapılacak tatbikatlar, uygulamalar, gözden geçirme faaliyetleri ve denetimler belirlenmiş olmalıdır.
ISO 22301 standardı, en üst kademe yöneticilerden en alt seviyede çalışanlara kadar seviyede iş birliği gerektiren bir yapıdır. Bu yapı içinde birlikte hareket edildiği ve koordinasyon sağlandığı sürece iş süreklilik uygulamaları istenen hedefe ulaşacaktır.
Kuruluşumuz TÜRCERT Teknik Kontrol ve Belgelendirme A.Ş., ISO 22301 İş Sürekliliği Yönetim Sistemi belgelendirme çalışmalarını, ulusal ve uluslararası akreditasyon kuruluşlarından aldığı yetkiye dayanarak gerçekleştirmektedir.