İş Etki Analizi Nedir?
İş Sürekliliği Yönetiminin ne olduğu ve süreklilik ile sık karıştırılan bir
terim olan “sürdürülebilirlik” kavramı ile ilişkilerini önceki yazılarımızda açıklamıştık. Bu
yazımızda ise, iş sürekliliği yönetiminin temelini oluşturan İş Etki Analizi’ni
ele almak istedik.
İş Etki Analizi’nde temel amacımız; olası bir felaket sonrasında yaşanan
hizmet kesintisinin zaman içerisindeki etki dağılımını tespit
ederek; hangi kurumsal süreçlerimizi, hangi kapsamda, hangi kritik kaynaklarla
ve ne kadar süre içerisinde hayata geçirmemiz gerektiğini, dolayısıyla da hangi
ürün ve hizmetlerimizi yeniden sunulabilir hale getirmemiz gerektiğini tespit
etmektir.
Genellikle iş etki analizi ile ilgili; nereden başlanacağı, ne kadar detaya
inileceği veya kapsamının nasıl belirleneceği konuları soru işaretleri
oluşturmaktadır. Takip ettiğimiz kaynaklar ve tecrübelerimize dayanarak nasıl bir
yol izlenebileceği ve nelere dikkat edilmesi gerektiğine dair yorumlarımızı
ilerleyen satırlarda inceleyebilirsiniz.
İş Etki Analizi’ni aşamalara bölerek incelemek daha düzenli ilerlememizi
sağlayacaktır.
İş Etki Analizi Nedir?
İş Sürekliliği Yönetiminin ne olduğu ve süreklilik ile sık karıştırılan bir
terim olan “sürdürülebilirlik” kavramı ile ilişkilerini önceki yazılarımızda açıklamıştık. Bu
yazımızda ise, iş sürekliliği yönetiminin temelini oluşturan İş Etki Analizi’ni
ele almak istedik.
İş Etki Analizi’nde temel amacımız; olası bir felaket sonrasında yaşanan
hizmet kesintisinin zaman içerisindeki etki dağılımını tespit
ederek; hangi kurumsal süreçlerimizi, hangi kapsamda, hangi kritik kaynaklarla
ve ne kadar süre içerisinde hayata geçirmemiz gerektiğini, dolayısıyla da hangi
ürün ve hizmetlerimizi yeniden sunulabilir hale getirmemiz gerektiğini tespit
etmektir.
Genellikle iş etki analizi ile ilgili; nereden başlanacağı, ne kadar detaya
inileceği veya kapsamının nasıl belirleneceği konuları soru işaretleri
oluşturmaktadır. Takip ettiğimiz kaynaklar ve tecrübelerimize dayanarak nasıl bir
yol izlenebileceği ve nelere dikkat edilmesi gerektiğine dair yorumlarımızı
ilerleyen satırlarda inceleyebilirsiniz.
İş Etki Analizi’ni aşamalara bölerek incelemek daha düzenli ilerlememizi
sağlayacaktır.
Öncelikle bir ön analiz ile, çalışmanın kapsamı netleştirilmelidir;
İş sürekliliği yönetimi çalışmalarının kapsamının belirlenmesi, iş etki
analizinin de kapsamı için belirleyici olacaktır. Bir kurumun kaç tip
müşterisinin olduğu ve kaç çeşit hizmet alanı olduğu tanımlandıktan sonra;
hangi tip müşterilere sunulan hangi tür hizmetler için bu yapının kurulacağı
kararlaştırılmalıdır. Burada dikkat edilmesi gereken bir nokta
ise, kurumun varlığını sürdürmesi için sunması gereken ana iş alanlarının
ve yasal olarak sorumlu olduğu hizmetlerin mutlaka kapsam dahilinde olduğundan
emin olunması gerektiğidir.
Ayrıca, gerçekleştirilecek iş etki analizi, tanımlanan iş sürekliliği
yönetimi kapsamının tümünü içermelidir.
Stratejik iş etki analizi ise, tahminlerin yapıldığı ve kurumsal kararların alındığı kritik bir aşamadır;
Kapsam kararı alındıktan sonra, öncelikle söz konusu ürün ve hizmetlerin
önceliklendirilmesi yapılabilir. Özellikle karmaşık yapıya sahip ve ürün/hizmet
portföyü geniş kurumlar için bu önceliklendirmenin yapılması önerilmektedir.
Aksi durumda ilerleyen aşamalarda analiz, kontrol edilemeyecek kadar geniş bir
kapsama ulaşabilir. Daha somut olarak açıklamak gerekirse; kurum ön analiz
aşamasında belirlediği müşteri grubuna sunduğu tüm ürün ve hizmetleri tek tek
değerlendirmelidir. Bu değerlendirme aşamasında; olası bir kesinti sonrasında
zaman içinde artarak devam edecek finansal kayıplar, müşteri kayıpları, itibari
etkileri ve yasal gereksinimler gibi tahminler göz önünde bulundurularak; belirlenen
ürün/hizmetler ön değerlendirmeye alınır ve kesintinin zaman içindeki
dağılımı ortaya konularak zaman kritik hizmetler belirlenir.
Bu noktada bir de “zaman kritik” kavramını açıklamak faydalı
olacaktır.
İş Sürekliliği Yönetimi’nde en önemli kavramlarımızdan biri “zaman”dır ve
olası bir felaket sonucu; öncelikli olarak (aciliyetle) sunulması gereken ürün
ve hizmetlere yönelik çalışmalar bir sistem kapsamında ele alınır. Bu “zaman
kritik” ürün ve hizmetler her zaman kurumun en çok gelir getiren veya en çok
müşterisine sahip hizmetlerine tekabül etmeyebilir.
Bu aşamada beklenen çıktılar;
- Hangi ürün ve hizmetlerin “zaman kritik” olduğu,
- Bu ürün ve hizmetler için bir kesinti sonucunda “maksimum kabul edilebilir kesinti süresi”nin (maximum acceptable outage-MAO veya maximum tolerable period of disruption-MTPD) ne olduğu,
- Zaman kritik ürün ve hizmetler için bir kesinti sonucunda “hedeflenen kurtarma süresi”nin (recovery time objective-RTO) ne olduğu,
- Bir felaket sonrasında bu ürün ve hizmetlerin en azından hangi seviyede (yaşanan bir TV yayını kesintisi sonucu, içeriği HD yerine SD de olsa sunabilmek; bir şebekede ses hizmetinin LTE yerine 2G şebekesinden sunulması vb..) sunulması gerektiği (minimum business continuity objective-MBCO).
Stratejik analiz ardından gerçekleştirilecek haritalama ve zaman kritik aktivite belirleme çalışması, operasyonel analiz aşaması;
Belirlenen zaman kritik ürün ve hizmetlerden hangilerinin operasyonel
analiz aşamasına taşınacağı da yine kurumsal bir karar olacaktır. Tümü için
teknik analiz aşaması başlatılabileceği gibi; yalnızca kurumsal risk iştahına
bağlı olarak belirlenebilecek “kritiklik eşiği”ni aşan ürün ve hizmetler için
de bu aşamaya geçilebilir. Bu nokta, kurum yapısının karmaşıklığına göre
kararlaştırılabilmektedir. Teknik analizde öncelikli amaç; hangi ürün ve
hizmetlerin, hangi kurumsal süreçlerin desteği ile sunulduğunun tespiti ve
dolayısıyla, kurumun zaman kritik aktivitelerinin ne olacağının tespit
edilmesidir. Kritik aktivitelerin tespitinde ise, kurumsal süreçler ile ürün/hizmetlerin
haritalandırılması ve ürün/hizmetlerin zamana bağlı kritiklik seviyelerinin
doğru orantılı olarak ilgili aktivitelere aktarılması gerekmektedir. Dikkat edilmesi
gereken önemli bir husus; bu kurumsal süreçlerin birbirlerine
veya dış taraflarca gerçekleştirilen süreçlere olan bağımlılıklarını da göz
önünde bulundurmaktır.
Göz önüne alınması gereken bir konu da; ürün ve hizmetleri
sunmak için yürütülen kurumsal süreçlerin yalnızca departmanlarca, kişiler
tarafından değil; altyapılar üzerinden otomatize bir şekilde de sürdürülüyor
olabileceğidir.
Bu aşamada beklenen çıktılar; ürün ve hizmetlerin RTO, MAO, MBCO
gibi değerlerinin; uygun bir şekilde kurumsal süreçlere de yansıtılabilmesi ve
bu kurumsal süreçleri sürdürebilmek ve felaket sonrası kurtarabilmek için
ihtiyaç duyulacak minimum kaynak gereksinimi ile dış taraflar veya diğer
süreçlerce yürütülen bağımlı faaliyetlerin tespitidir.
Risk değerlendirmelerin yapılması, planların hazırlanması, tatbikatların
gerçekleştirilmesi, olay yönetimi yapılarının kurulması ve diğer tüm iş
sürekliliği faaliyetleri, İş Etki Sonuçları'na uygun olarak
sürdürülmelidir.
İş Etki Analizi'nde Dikkat Edilmesi Gereken Noktalar!
- İş etki analizi kurumsal bir çalışma olmalıdır ve bu süreçte üst yönetimin katkısı ve kurum adına kapsayıcı kararlara varılması önemlidir.
- Analiz metodunun tekrar edilebilir ve tutarlı olması en önemli noktadır.
- Analize konu olacak verilerin objektif ve geçerli olması, varılacak sonuçların doğruluğunu ciddi derecede etkileyebilecektir. Bu nedenle mutlaka danışılan kişilerin “işinin uzmanı” olması önemlidir.
- “Bu analiz sonucunda belirlenecek “zaman kritik” aktiviteler, aynı zamanda kurumun en önemli aktiviteleridir” şeklinde bir yargı oluşmaması için, analizi koordine edecek tarafların her an açıklayıcı ve yönlendirici olması önemlidir.
- İlk çalışma sonucunda tam ve eksiksiz sonuçlara varılması çoğu zaman mümkün olmamaktadır. Bu sürecin sürekli gözden geçirilmesi ve tecrübeler sonucu yapılacak müdahalelerle zaman içinde olgunlaşması beklenmektedir.
- Bir felaket sonucunda ortaya çıkacak ve zaman içinde artarak sürecek etkiler tahmin edilen etkilerdir. Tecrübeler ile desteklenmelidir ancak özellikle katastrofik seviyelerdeki etkilere daha önce ulaşılmamış olması muhtemel olacağı için, bu etkilerin tahminlerden ibaret olduğu unutulmamalıdır.
Yazımızı oluştururken ve çalışmalarımızı yürütürken her daim başvurduğumuz
kaynaklarımızı da aşağıda paylaşmaktayız. Soru, görüş ve katkılarınızı yorum
olarak iletmeniz bizi memnun eder.
Faydalı kaynaklar;
A Practical Approach to Business Impact Analysis – Ian Charters
Good Practice Guidelines – BCI
ISO 22301
ISO 22313