İş Sürekliliği için Risk Değerlendirme
Etkili bir iş sürekliliği yönetim sistemi kurabilmenin temel adımlarından biri firmanın maruz kaldığı risk ortamının iyi analiz edilmesidir. Firmayı tehdit eden iç ve dış faktörler ile firmanın zayıflıkları iş sürekliliği için bilinmesi ve önlem alınması gereken unsurların başında gelmektedir. Bunun için firmalara iki aşamalı bir çalışma yapmalarını öneririm.Birinci Aşamada; SWOT analizi olarak bilinen yöntemle, firmanın bütününe bakılarak fırsatlar ve tehditler ile güçlü ve zayıf yönler belirlenerek değerlendirilmelidir. İş sürekliliği açısından bakıldığında, fırsatlar, tehditler, zayıf ve güçlü yönler şu konulara yönelik tespit edilebilir;
- Bina ve çalışma ortamı,
- Bilgi Teknolojileri ve bileşenleri,
- Makine ve teçhizatlar,
- İnsan kaynakları (nitelik; bilgi ve beceri, nicelik; sayı),
- Tedarikçi ve bunlardan sağlanan girdiler,
- Çevresel faktörler;
- Sosyolojik (insan ve toplum davranışları ve toplumsal olaylar)
- Teknoloji (trendler ve güncel teknolojiler)
- Ekolojik (doğa olayları ve afetler)
- Ekonomik,
- Politik ( yasal düzenlemeler)
İkinci Aşamada; Birinci aşamada yürütülen analiz çalışmasında tespit edilen tehditler ve zayıflıklar, bu aşamada öncelikli olarak ele alınarak, risk değerlendirme çalışması ile detaylı analiz edilmeli ve gerekli tedbirler belirlenerek uygulanmalıdır. Risk değerlendirme, birçok açıdan ele alınabilecek kapsamlı ve karmaşık bir konu olup, amaçlara ve beklentilere göre farklı yöntemleri ve araçları içermektedir. Ancak burada risk kavramına iş sürekliliği bakış açısı ile bakılmaktadır. İş sürekliliği bakış açısına gör; “Risk, iç ve dış tehditlerin bir olaya dönüşerek, firmanın ürün ve hizmet gerçekleştirme kaynaklarının birini veya bir kaçını olumsuz etkilemesi (kabiliyet – işlev kaybı) sonucu, iş kesintisine ve/veya iş kaybına sebep olan her türlü durum ve olay” şeklinde tanımlanmaktadır.
Firmaların ürün ve hizmet sunabilmeleri için gerekli ana kaynakları aşağıdaki gibi olup, bu kaynaklar işlev / kabiliyet kaybına uğramadıkları sürece ürün ve hizmet gerçekleştirmede kesinti ve/veya iş kaybı yaşanmayacak, dolayısıyla iş sürekliliği sağlanmış olacaktır. Bundan dolayıdır ki iş sürekliliği açısından risk değerlendirme yaşanabilecek bir olayın bu kaynaklara olan etkisi yönünden değerlendirilmelidir.
• Bina ve çalışma ortamı
• Bilgi ve iletişim teknolojileri
• Makine ve teçhizat
• İnsan kaynakları
• Bilgi varlıkları (basılı ve dijital)
• Tedarikçi ve sağlanan girdiler
Birinci aşamada SWOT analizi ile bu kaynaklara yönelik belirlenen zayıf yönler ve tehditler, ikinci aşamada risk değerlendirme ile detaylı bir şekilde analiz edilmeli ve önleyici tedbirler alınmalıdır. Risk değerlendirme aşağıda yer alan adımları uygulayarak gerçekleştirilebilir.
1. Risklerin belirlenmesi ve tanımlanması,
2. Olasılık, etki ve mevcut durum etkinliğinin analiz edilmesi,
3. Risklerin önceliklendirilmesi,
4. Risk yönetim (müdahale) planının yapılması,
5. Risk yönetim planının uygulanması, gelişmelerin izlenmesi ve risklerin tekrar gözden geçirilmesi,
1. Risklerin Belirlenmesi ve Tanımlanması: Risklerin belirlenmesinde, proaktif bir yaklaşım sergilenerek işleri (süreçleri) kesintiye uğratabilecek her türlü olayın ve durumun olabileceği varsayılmalıdır. Bu olay (durum) bizde olmaz veya bu olay olsa bile iş kesintisi etkisi olmaz gibi bir yaklaşım asla benimsenmemelidir.
2. Olasılık, Etki ve Mevcut Durum Etkinliğinin Analiz Edilmesi: Tespit edilen risklerin gerçekleşme olasılığı, gerçekleşmesi durumunda etkisi ve mevcut durumda var olan tedbirlerin tespit edilen riskin olasılığını ve/veya etkisini azaltmadaki etkinlik düzeyi analiz edilerek değerlendirilmelidir. Olasılık, etki ve mevcut durumun etkinliği faktörleri için belirlenen seviye tabloları kullanılarak her bir risk için puanlama yapılmalı ve her bir risk için bu üç faktör (parametre) birbiriyle çarpılarak risk puanı hesaplanmalıdır.
3. Risklerin Önceliklendirilmesi: Olasılık, etki ve mevcut kontrollerin (tedbirlerin) etkinliği faktörleri göz önüne alınarak gerçekleştirilen analiz çalışmasından sonra riskler “risk puanına” bakılarak büyükten küçüğe doğru öncelik sırasına sokulmalıdır.
4. Risk Yönetim (Müdahale) Planının Yapılması: Risk değerlendirme sonrasında yüksek puandan düşük puana doğru sıralanan riskler, belirlenen risk kriter tablosu doğrultusunda önceliklendirilmelidir. Bundan sonra; riskin etkisini azaltmak, riski kabul etmek ve riski transfer etmek şeklinde alınan kararları gerçekleştirmek için stratejiler ve bunları destekleyen aksiyonlar planlanmalıdır. Planlama aşamasında yeterince hızlı ve esnek olunmasına dikkat edilmelidir. Çünkü tespit edilen risk her an gerçekleşebilir olup, planlama aşamasındaki uzamadan dolayı firmamıza büyük zararlar verebilir.
Risk yönetim planının yapılmasında risk karşılama için seçenekler aşağıdaki gibi belirlenebilir;
• Riski Kabullenme
• Riskten Kaçınma
• Risk Sınırlama
• Risk Aktarımı
5. Risk Yönetim Planının Uygulanması, Gelişmelerin İzlenmesi ve Risklerin Tekrar Gözden Geçirilmesi: Yapılan risk müdahale planı uygulamaya geçirilecek strateji ve aksiyonları içermelidir. Bu plan doğrultusunda hayata geçirilen aksiyonlar belirli dönemlerde gözden geçirilerek zaman, maliyet ve kalite (nitelik) yönünden değerlendirilmeli, gerek görülen yerlerde düzeltici faaliyetler gerçekleştirilmeli ve her bir önlemin planlanan zamanda ve planlanan nitelikte tamamlanması sağlanmalıdır.
Tehdit ve risklere karşı hazır bir iş yönetim sistemi kurmanız dileğiyle…
Kaynak: • Özgüven Saymaz, “iş Sürekliliği Yönetim Sistemi”, Cinius Yayınları.
Özgüven Saymaz
İş Sürekliliği Yöneticisi-Albaraka Katılım Bankası A.Ş.
(İş Sürekliliği Yönetimi Yazı Dizisi - 2)
ozguven.saymaz@ozguvenatolyesi.com
