İş Sürekliliği Yönetimi (BCM), bir organizasyonun kritik işlevlerinin operasyonel kalmasını sağlayarak, paydaşlar üzerindeki kesintilerin etkisini en aza indirir. Stratejik planlama bağlamında İş Sürekliliği Yönetiminin uygulanması için pratik adımları inceleyelim.
Business Continuity Management. ISO 22301’e göre iş sürekliliği yönetimine yaklaşım şunları içerir:
- Kritik iş unsurlarını belirlemek
- Tehditlerin ve risklerin analizini yapmak
- Eğitim ve simülasyonlar dahil olmak üzere önleme ve müdahale planları oluşturmak
- Olayları izlemek ve onlardan öğrenmek
Bu unsurları stratejik planlamaya entegre etmek için:
- Değere dayalı ayrıştırma yöntemini kullanacağız
- Stratejileri ve planları performans ölçümleri ile nicelleştirin
- Girişimler, riskler ve yorumlar şeklinde uygulanabilir kayıtlar tutun
Kritik İş Unsurlarının Tanımlanması
Amacımız, iş sürekliliği için kritik olan anahtar iş unsurlarını belirlemektir. Başlangıç noktası olarak aşağıdaki perspektifleri kullanıyoruz:
- Bilgi Sistemleri
- Tesisler ve Konumlar
- Ortaklar ve Paydaşlar
- İnsan Kaynakları
- Fiziksel Varlıklar
- Finansal Kaynaklar
Business Continuity Management. Elemanlar ve alt elemanlar tanımlandığında, Kurtarma Süresi Hedeflerini (RTO) belirleyerek risk olaylarına karşı duyarlılıklarını ölçebiliriz.
Kurtarma Süresi Hedefi için şunları tanımlarız:
- Ölçüm birimleri (örneğin saat veya gün)
- “Temel Çizgi” olarak felaket kurtarma süresi
- “Hedef” olarak istenen kurtarma süresi
- Mevcut değer, mevcut teknolojiler ve politikalar temelinde tahmin edilen kurtarma süresi
Business Continuity Management. Bu verilerle, her iş unsurunun performansını acil bir durumda duyarlılık veya hazırlık açısından hesaplayabiliriz.
Bu bağlamda:
- Daha düşük bir değer (örneğin, daha hızlı kurtarma süresi) daha yüksek bir performansla sonuçlanacaktır
- Performans fonksiyonu doğrusal olmamalıdır; “felaket” temel çizgisine yakın geniş alan kırmızı bölge olmalıdır
Business Continuity Management. BSC Designer’da:
- Veri sekmesinde gerekli kurtarma temel çizgisi, hedef ve mevcut değeri tanımlayın.
- “Üstel azalma” fonksiyonunu kullanarak hedefe yakın kurtarma zamanları için nispeten küçük bir yeşil alan ve daha uzun kurtarma zamanları için önemli bir kırmızı alan ile bir performans fonksiyonu oluşturun.
Yazılım, her iş unsuru için zamanla RTO’ların izlenmesini sağlar.
Tehditler ve Risk Analizi
Bu perspektifleri başlangıç noktası olarak kullanarak potansiyel tehditleri analiz et:
- Operasyonel
- Teknolojik
- Ekonomik
- İş gücü
- Güvenlik ve emniyet
- Çevresel
- İtibar
- Hukuki
Her ilgili tehdit için, belirli risklere ayrıştırma yap ve İş Etki Analizi (BIA) gerçekleştir.
İş Sürekliliği Yönetimi. Örneğin, Teknolojik tehditleri ‘Siber güvenlik tehditleri’ne ve daha da ileriye ‘Fidye yazılımı saldırısı’na ayırabilirsiniz.
Bu durumda risk, olasılık çarpı etki gibi basit bir risk tahmin formülü ile ölçülebilir. Riskleri tanımlamanın çeşitli yolları ayrı bir makalede tartışılmıştır.
Yanıt Senaryoları
En yüksek risk etkisi tahmin puanlarına sahip tehditler için yanıt senaryoları geliştirin.
Tipik bir senaryo şunları içerecektir:
- İşletme sürekliliği planları (önleme, yanıt, iyileşme)
- İletişim planı
- Eğitim ve test planları
Bu planlar şu şekilde ölçülebilir:
Düzenli güncelleme metriği
Eğitim kapsamı
Simülasyonlar / Egzersizlerin başarısı
Business Continuity Management. ‘Senaryo 1 – Fidye Yazılımı Saldırısı’ adlı senaryoyu düşünün, bu senaryo şu şekilde ayrılmıştır:
- İşletme Sürekliliği Planları
- Eğitim ve Test
‘İşletme Sürekliliği Planları’ bölümü birkaç girişim içerir:
- Önleme Stratejisi
- Yanıt Stratejisi
- İyileşme Stratejisi
- İletişim Planları
‘İletişim Planları’ içinde, ‘Plan düzenli olarak gözden geçirildi’ metriği güncellemelerin sıklığını ölçer. Metriğin sahibi, iletişim planlarını gözden geçirmesi için düzenli hatırlatıcılar alır, bu sayede iletişim kişileri ve detayları güncel kalır.
Business Continuity Management. ‘Yanıt Stratejisi’ girişiminin etkinliğini doğrulamak için, bunu ‘Simülasyonlar / Egzersizler’ göstergesi ile ölçüyoruz.
‘Eğitim ve Test’ bölümü, ‘Phishing saldırısı eğitim ve simülasyon’ girişimini ve iki metriği içerir:
- Eğitim kapsamı
- Simülasyonlar / Egzersizler
Bu süreklilik planları girişimler olarak sunulsa da, daha fazla ayrıştırma mümkündür. Bunları daha spesifik alt hedefler ve metriklere ayırabiliriz.
Olayları veya Kesintileri Haritalama
Aktif olayları haritalamak için kesinti detaylarını ve kök neden analizini ekleyin.
Etkisini ölçmek için, aşağıdaki bileşenlerden oluşan ağırlıklı etki değerlendirme indeksini kullanabiliriz:
Finansal etki
Müşteri ilişkilerine etkisi (etkilenen müşterilerin yüzdesi olarak ölçülür)
Operasyonlara etkisi (etkilenen kritik operasyonların yüzdesi olarak ölçülür)
Hukuki ve uyumluluk etkisi (cezalar ve diğer hukuki sonuçlarla ölçülür)
Uzun vadeli itibar etkisi (krize atfedilen 1 yıllık süre zarfında kaybedilen müşterilerin yüzdesi olarak ölçülür)
İş Sürekliliği Yönetimi. Bu indeksi BSC Designer platformunda otomatikleştirmek için, belirlenen şablonla senkronize etki ölçüm kriterlerini korumaya olanak tanıyan şablondan senkronizasyon işlevini kullanmayı düşünün.
Bir olay çözüldükten sonra:
- ‘Kesinti detayları ve analizi’ öğesinde bitiş tarihini güncelleyin
- Durumunu ‘Tamamlandı’ olarak değiştirin
- Öğrenilen dersleri ve iyileştirme girişimlerini haritalayın
- ‘Olay 1’ grubunu ‘Geçmiş Olaylar’ bölümüne taşıyın.
Göstergeler için Miras ve Güncelleme Aralıkları
Miktar belirlemenin doğasına bağlı olarak, işletme sürekliliği skor kartındaki göstergelerin çeşitli şekillerde yapılandırılması gerekmektedir.
Ölçümler Önceki Değerleri Yeniden Kullanıyor (Miras Alınan)
Geri Kurtarma Süresi Hedefini (RTO) nicelleştiren göstergeler miras alınan değerleri kullanacak şekilde ayarlanmıştır. Pratikte bu, mevcut yıl için tanımlanan RTO’nun, yeniden tanımlanmadıkça, bir sonraki yıl için otomatik olarak uygulanacağı anlamına gelir. Bu göstergelerin güncelleme aralığı yıllık veya altı aylık güncellemeler olarak ayarlanmıştır.
İş Etki Analizi’ni (BIA) nicelleştirmek için kullanılan göstergeler de miras alınan değerleri kullanacak şekilde yapılandırılmıştır. Bu durumda güncelleme aralıkları, tehditin beklenen dinamiğine göre ayarlanabilir; daha dinamik tehditler için aylık ve durağan tehditler için üç aylık/yıllık aralıklar kullanılabilir.
İş Sürekliliği Yönetimi. Ölçütler Önceki Değerleri (Girilen Değerler) Yeniden Kullanmıyor
‘Planların düzenli olarak gözden geçirilmesi,’ ‘eğitim kapsamı’ ve ‘simülasyon egzersizleri’ gibi iş sürekliliği planlarını ölçmek için kullanılan ölçütler, üç aylık veya yıllık güncelleme aralıkları için yapılandırılmıştır. Bu durumda kalıtım seçeneği ‘Girilen değerleri kullan,‘ olarak yapılandırılmıştır, yani bir sonraki dönem için önceki değeri yeniden kullanmıyoruz.
Örneğin, planlar mevcut yıl için gözden geçirilmiş olarak işaretlenirse, bir sonraki yıl için planları yeniden gözden geçirmemiz ve ilgili ölçütün durumunu güncellememiz gerekecektir.
Programlanmış Güncellemesi Olmayan Metrikler
Son olarak, olayların etki değerlendirmesi için kullanılan metriklerin güncelleme aralığı ‘Asla‘ olarak yapılandırılmıştır; bu, göstergenin yalnızca mevcut durumunu yakalamakla ilgilendiğimizi ve zaman içindeki gelişimini izleme niyetimizin olmadığını belirtir.
Bağlam ve Veriye Göre Bağlantı Kurma
İş sürekliliği yönetiminin temel konsepti, aşağıdakiler arasında bağlantılar kurmayı içerir:
- Kritik işletme unsurları
- Tehditler ve riskler
- Senaryolar
- Gerçek olaylar
Bu bağlantıları oluşturarak, ekibimizi tehditlere etkili bir şekilde yanıt vermek ve olaylardan ders almak için gerekli tüm detaylarla donatırız.
Bu konsepti stratejik planlamada uygulamak için, bahsedilen tüm unsurları bağlam yoluyla bağlarız. Bu şekilde, gerçek olaylardan ilgili senaryolara ve gerekirse tehditler ve risk analizi keşfine geçiş yapabiliriz.
İş Sürekliliği Yönetimi. BSC Designer’da bağlam kurmak için:
- Kaynak öğeyi (örneğin, ilgili senaryoyu) panoya kopyalayın.
- Hedef öğeyi seçin (örneğin, senaryo tarafından kapsanan olay).
- Panodan yapıştırın ve ‘Bağlama Göre Bağlantı’ veya ‘Veriye Göre Bağlantı’ arasında seçim yapın.
Bağlamsal bağlantılar her iki öğe için de ‘Bağlam’ sekmesinde mevcut olacaktır.
Öğeler arasında gezinmek için, ilgili bağlantıya çift tıklayın.
Aynı mantığı uygulayarak, özel strateji skor kartları ile yanıt stratejileri olaylar, risk değerlendirmeleri ve kritik işletme unsurları ile uyumlu hale getirilebilir.
Krize Yanıt İçin Bir Strateji Skor Kartı: COVID-19 Örneği Kullanılarak
İş sürekliliği stratejisi, bir organizasyonun kriz olayına karşı genel hazırlığını sağlar. Krizin ölçeğine bağlı olarak, belirli bir yanıt stratejisi tasarlanabilir. COVID-19 pandemisi, bu tür bir stratejinin çabaları odaklamaya ve stratejik uyumu sağlamaya yardımcı olduğu bir örnekti.
COVID-19 stratejisini bir kriz yanıt stratejisi örneği olarak inceleyelim. Strateji skor kartı, klasik Kurumsal Karne yaklaşımını takip etti:
Covid-19 Strateji Skor Kartı. Öğrenme ve Gelişim perspektifinde, iş sürekliliği stratejisini yürütmek için gereken becerilere ve altyapıya odaklanıyoruz:
- Çalışanları COVID-19 hakkında eğitmek (öncü gösterge “Farkındalık programı yayılımı, %” ve gecikmeli gösterge “Gerçekleştirilen uygulamaların %’si” ile ölçülür)
- Küresel senaryo planlaması yapmak (belirli girişimlerle uyumlu)
- IT sistemlerini uzaktan çalışma zorluklarına uyarlamak
- Çalışanları uzaktan çalışma ilkeleriyle tanıştırmak
İç Süreçler perspektifinde, iş sürekliliği stratejisini etkili bir şekilde yürütmeye yardımcı olacak dahili iş sistemleriyle ilgili hedefleri formüle ediyoruz:
- İş gücü koruması
- Tedarik zinciri stabilizasyonu
- Paydaşları bilgilendirmek
- Uzaktan çalışmayı uygulamak (dağıtılmış bir ekip için strateji toplantıları dahil)
Paydaşlar perspektifinde, paydaşlarımızın ihtiyaçlarına (çalışanlar, müşteriler, ortaklar) odaklanıyoruz. Burada şu hedefleri haritalıyoruz:
- Sağlık ihtiyaçları üzerindeki etkileri öngörmek
- Eğitim ihtiyaçları üzerindeki etkileri öngörmek
- Günlük ihtiyaçlar üzerindeki etkileri öngörmek
Diğer önemli bir paydaş, toplum ve onun ihtiyaçlarıdır. Eğer özel bir kar amacı gütmeyen skor kartınız varsa, benzer bir hedefi orada bulacaksınız.
İş sürekliliği strateji haritası şablonu, “Toplum ihtiyaçları” hedefiyle uyumlu birkaç girişim içerir. Bu girişimler, bir organizasyonun nasıl katkıda bulunabileceğine dair olası yolları tanımlar:
- Üretim hatlarını yeniden yapılandırmak. Örneğin, Zara’nın sahibi Inditex, hastane önlükleri üretmeye başlar.
- Ürün ve hizmetleri yeniden yapılandırmak. Örneğin, Decathlon, hastanelere şnorkel maskeleri bağışlıyor. MSC Group’un Splendid’i bir hastane gemisine dönüştürüldü.
- Sosyal mesafeye katkıda bulunmak. Örneğin, Çek Postası, ilan edilen acil durum süresince “Datová schránka” aracılığıyla ücretsiz kayıtlı posta gönderimine izin veriyor.
Seyahat kısıtlamaları nedeniyle, birçok şirket yüz yüze etkinlik formatlarından çevrimiçi etkinliklere geçiş yaptı. Streaming platformlarının maliyetleri daha düşükken, organizasyonlar katılımcıların dikkatini çekmek için mücadele etmek zorundadır. Bu makalede, müşteri katılımı ve uzun vadeli iş etkisi açısından istikrarlı sonuçlar elde etmeyi kanıtlayan çevrimiçi etkinliklere yaklaşımımızı paylaşıyoruz.
Son olarak, finansal perspektifte, ilgili finansal hedefleri ve beklenen sonuçları haritalıyoruz. Bu durumda konuştuğumuz konular:
- Gelir üzerindeki etkisi
- Uygulanabilir sigorta politikaları
İş Sürekliliği Yönetimi Şablonunu kullan
BSC Designer, organizasyonların karmaşık stratejilerini uygulamalarına yardımcı olur:
- Platformda ücretsiz bir plan için kaydolun.
- Başlangıç noktası olarak
İş Sürekliliği Yönetimi şablonunu kullanın. Bunu Yeni > Yeni Skor kartı > Daha Fazla Şablonlar altında bulabilirsiniz. - Paydaşları ve stratejik hedefleri kapsamlı bir stratejiye uyumlu hale getirmek için Strateji Uygulama Sistemimizi takip edin.
Bugün başlayın ve BSC Designer'ın strateji uygulamanızı nasıl basitleştirebileceğini görün!
Alexis Savkin, strateji yürütme ve Kurumsal Karne yazılım platformu BSC Designer’ın kurucusu ve Strateji Uygulama Mimarıdır. Kuruluşların performans yönetimini otomatikleştirmesine ve stratejiyi ölçülebilir sonuçlara dönüştürmesine yardımcı olur. Alexis, “Strategy Execution Canvas”’ın yaratıcısı, strateji ve performans ölçümü üzerine 100’den fazla makalenin yazarı ve sektör etkinliklerinde düzenli konuşmacıdır.