bilgiz.org

Bankalar İçin “Acil Durum ve İş Sürekliliği Planlaması”

  • II. Acil Durum ve İş Sürekliliği Planlaması
  • II.A. Risk Değerlendirmesi ve Kontrolü
  • II.B. İş Etki Analizi



  • Tarih29.06.2017
    Büyüklüğü130.37 Kb.

    Indir 130.37 Kb.

    Bankacılar Dergisi, Sayı 42, 2002


    Bankalar İçin

    Acil Durum ve İş Sürekliliği Planlaması”



    Bu çalışma Türkiye Bankalar Birliği koordinasyonunda çalışmalarını sürdürmekte olan Risk Yönetim Sistemleri Uygulama Esasları Değerlendirme Çalışma Gurubu-Operasyonel Risk Alt Çalışma Grubu tarafından hazırlanmıştır. Çalışma Grubu üyeleri; Semra Örgüner Kuran (T. Garanti Bankas A.Ş.), Umur Apaydın (Türk Ekonomi Bankası A.Ş.), Ulviye Coşkuner (T. Vakıflar Bankası T.A.O.) ve Münir Tireli (T. İş Bankası A.Ş.).

    I. Giriş
    Olağanüstü bir durum yaşamış firmaların her beş tanesinden ikisinin faaliyetlerini sürdüremediği, sürdürebilenlerden üç tanesinden birinin iki yıl sonunda faaliyetini durdurduğu A.B.D araştırma kurumlarınca belirtilmiştir. (Yüzde 43’nün bir daha açılamadığı, yüzde 29’unun ise iki yıl içinde faaliyetlerini noktalamak zorunda kaldıkları açıklanmıştır.)
    Gerçekten de olağanüstü bir durum ve felaketle karşılaşan kurumlar ciddi mali kayıplar yanında, itibar, müşteri, pazar kaybı sorunları ile yüz yüze kalabilirler. Bu nedenle olağanüstü bir duruma karşı hazırlıklı olmak ve organize hareket etmeyi planlamak büyük önem taşımaktadır.
    Uluslararası literatürde de acil durum planlaması risk yönetiminin önemli bir parçası olarak karşımıza çıkmaktadır.
    Türkiye Bankalar Birliği bünyesinde yapılan bu çalışma ile 08.02.2001 tarihli “Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelik”te acil durum eylem planı olarak yer alan yasal düzenleme ile uluslararası uygulamalar ve literatür dikkate alınarak, bu kapsamda yapılabilecek çalışmalar konusunda genel bilgi paylaşımı amaçlanmıştır.
    Her kurumun kendi özelliklerine göre farklı bir plana sahip olması kaçınılmazdır. Burada önemli olan kurumda bir risk kültürü oluşturulması ve acil durumlara karşı hazırlıklı olunması gereğinin banka üst yönetimlerince benimsenmesi, planlı ve organize hareket etme bilincinin çalışanlara aktarılabilmesidir.
    Deprem, yangın, fırtına, sel, bombalama, sabotaj, donanım veya yazılım hatası, elektrik ve telekominikasyon kesintisi gibi önceden tahmin edilebilen veya edilemeyen iç veya dış faktörler sonucu hasara uğrama ve ciddi bir felaketle karşılaşma ihtimali, tüm kurumlar ve bankalar için dikkate alınması gereken bir risktir.
    Meydana gelme olasılığı düşük olmakla birlikte gerek maddi boyutu, gerekse bankaların imaj ve itibarı göz önüne alındığında, olası kayıp ve etkisi yıkıcı boyutlarda olabilecek, acil ve beklenmedik bir duruma karşı hazırlıklı olmak gereklidir.
    Bankaların iş süreçlerinde beklenmedik olumsuz olaylar söz konusu olduğunda ;


    • Müşteri hizmetlerimizde devamlılığı sağlamak,

    • Yasal ve üçüncü kişilere karşı olan sorumluluklarımızı zamanında yerine getirmek,

    • İş akışlarımızda karmaşıklığa / kesintiye sebebiyet vermeyerek, felaketlerin finansal durumumuza olan etkilerini azaltmak,

    • Felaket anında mensup ve müşterilerimizin can kayıplarını asgariye indirmek,

    • Beklenmedik durumlarda varlıklarımızı en iyi şekilde korumaya almak

    amacıyla kritik iş süreçlerine odaklı, risk bazlı, işlevsel bir iş devamlılığı planına sahip olmak bankaların varlık ve itibarını korumak açısından hayati öneme sahiptir.


    Olası felaketlere karşı hazırlıklı ve organize olmak, felaketlere karşı gerektiğinden fazla veya yanlış yatırım yapmamak için önceliklerin ve kritik süreçlerin belirlendiği, değişimlerin takip edildiği, detaylı ve organize bir iş devamlılığı planına sahip olmayı gerektirmektedir.
    Bilgisayar ve bilgi işlem teknolojilerindeki gelişmeler sonucunda bankacılık sektöründe veri tabanları, bir başka deyişle bilgi, binalar, ekipmanlar ve insan kaynağı kadar önemli bir varlık haline gelmiştir. Veri kaybı en ciddi kayıplara yol açabilecek bir risk faktörü olarak görülmektedir. Verilerin korunması ve bilgi sistemlerinin en kısa sürede ayağa kaldırılması yoğun rekabet ortamında ayakta kalmanın, hizmetleri sürdürebilmenin birinci koşulu olarak karşımıza çıkmaktadır. Bilgi varlıklarının korunması sadece bilgi işlem departmanlarının değil, uzun dönemli stratejik bir planın parçası olarak üst yönetimlerin sorumluluğunda olmalıdır.
    Ciddi bir felakete uğrama durumunda sigorta önemli bir seçenek olmakla birlikte genel olarak bina ve ekipman gibi fiziki varlıklara yönelik olması, ödemede yaşanabilecek aksaklıklar ve iş kesintisinin gerçek anlamdaki maliyetinin bilinememesi gibi nedenlerle felaketlerin telafisinde tam bir alternatif olmaktan uzaktır.
    İş devamlılığı planı, Bankacılık Düzenleme ve Denetleme Kurumu tarafından
    08-02-01 tarihinde yayımlanan “Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelik”te “Acil Durum Eylem Planı” olarak yer almaktadır.



    II. Acil Durum ve İş Sürekliliği Planlaması

    Acil bir durumda kurumlarımız beş temel tehlike ile karşı karşıyadırlar;




    • İletişim ve telekomünikasyon imkanlarının yitirilmesi

    • Bilgi işleme kapasitesi ve olanaklarının yitirilmesi

    • Altyapıya erişim olanağının yitirilmesi

    • Eğitimli insan kaynağının yitirilmesi

    • Varlıkların yitirilmesi

    Acil durum planlamasından amaç;




    • Felaketlerin engellenmesi: risklerin tespit edilerek, risklerin oluşmasını engelleyici önlem alınması,

    • Organize cevap verme: hazırlıklı ve eğitimli olarak felakete hızlı ve doğru karşılık verme,

    • Varlıkların ve nakit akışının korunması: seçenekler ve alternatif prosedürlerin belirlenmesi,

    • Altyapının düzeltilmesi : normal operasyonlara dönüş

    olarak belirlenmelidir.


    Acil durum planı üç ana konuda toplanabilir;


    1. Sürekli bir Risk Yönetimi Programı kapsamında risk analizi ve olasılık planlaması yapılması;

    Acil durum planlamasında risk yönetimi, binalarda ve altyapıda oluşabilecek hasar olasılığını en aza indirmeyi amaçlayan devam eden bir süreç olarak varolmalıdır. Risk yönetiminin birinci amacı risk analizi ile tespit edilen felaketin oluşma olasılığını, fiziksel güvenlik önlemleri ile en aza indirmek olmalıdır. Felaketin işe olan etkisinin en aza indirilmesi için telekomünikasyon, iletişim ve bilgi işlem altyapısının tekrar ayağa kaldırılmasını da içeren önlemler planlanmalıdır.




    1. Acil durum eylem planı hazırlanması;

    Acil durum eylem planı felaketin meydana geldiği andan itibaren genellikle 2-48 saat içerisinde yapılması gerekenleri kapsamalıdır.

    Acil durum eylem planının hazırlanmasında,


    • Personel ve müşterilere bilgi verilmesi

    • Varlıklara gelen hasarın tespiti

    • Telekomünikasyon ve iletişim kanallarının tespiti

    • Bilgi işleme olanaklarının yeniden yapılandırılması

    • Fiziksel güvenlik

    • Personelin yeniden yerleştirilmesi

    usulleri ana unsurlar olarak belirlenmelidir.


    Plan kontrol listesi (checklist) şeklinde olmalı, gereksiz detaylardan kaçınılmalı, pratik ve uygulama odaklı olmalıdır.


    1. İş devamlılığı stratejisinin belirlenmesi ve planın hazırlanması;

    İş devamlılığı planında, operasyonlar normale dönene kadar alınması gereken aksiyonların, iş kolu ve departman yöneticileri ile birlikte kararlaştırılarak oluşturulması gerekir.


    Bu kapsamda değerlendirilmesi gereken başlıca konular arasında; telefon, veri iletişimi, bilgi işlem sistemleri, hayati kaynaklar, kritik personel ve kritik operasyonlar sayılabilir.
    Karşılaşılan bazı örnekler dikkate alınarak, iş devamlılığı planlarının başarısız olmasındaki nedenlerden bazıları aşağıda belirtilmiş olup, planlama yapılırken bu hususlardan kaçınılmasında fayda görülmektedir.

    • Teknoloji ve veri yedeklemesine odaklanıp iş akışının unutulması,

    • Bu konudaki bilinç eksikliği,

    • Manuel veya alternatif prosedür ve süreçlerin düşünülmemesi,

    • Gerektiğinden uzun, yararsız dokümantasyon,

    • Planda güncellemenin yapılmaması,

    • Yetersiz veya eksik test / tatbikat/eğitim yapılması.


    II.A. Risk Değerlendirmesi ve Kontrolü

    Risk değerlendirmesi bankaların iş akışında kesinti veya felakete uğratacak, organizasyonu ve binaları olumsuz etkileyecek olayların ve çevresel faktörlerin belirlenmesi çalışmasıdır. Potansiyel zararı önlemek için gerekli fiziksel kontrollerin kurulması veya kaybın etkilerini minimize etmek için gerekli tedbirlerin alınmasını sağlamaya yöneliktir.


    Riskleri azaltmak için önerilen kontrollere ilişkin fayda maliyet analizi yapılarak yatırımın doğru ve verimli bir yatırım olmasının sağlanması gereklidir. Risk Değerlendirmesinin belli başlı aşamaları şu şekilde belirlenebilir:


    • Bankanın karşı karşıya olduğu potansiyel risklerin tespit edilmesi,

    • Banka içinde Risk Azaltma/Önleme,

    • Olasılıkların değerlendirilmesi.

    Yapılan tespit ve değerlendirmeler raporlanmalı, maliyet unsurları ile birlikte, kabul edilebilir risk seviyesinin tanımlanması için üst yönetimin onayı alınmalıdır.


    Risk değerlendirmesi raporunda ele alınması gereken başlıca konular aşağıda belirtilmiştir:


    1. Kayıp ihtimalinin araştırılması:

    İç ve dış kaynaklardan gelebilecek tehditlerin tespit edilmesi: Aşağıdaki maddelerle sınırlanmamakla birlikte başlıca tehdit kaynakları şu şekilde belirlenebilir.




    1. Doğal, insan kaynaklı, teknolojik veya politik felaketler

    • Kazara olanlar / kötü niyetli yapılanlar

    • İç kaynaklı / dış kaynaklı

    • Kontrol edilebilir riskler / organizasyonun kontrolü dışındaki riskler

    • Önceden uyarı veren olaylar / hiç uyarı vermeyen olaylar

    1. Olayların olma olasılıklarının belirlenmesi

    2. Olasılıkla, etki derecesinin karşılaştırılacağı bir metot geliştirilmesi

    3. Değerleme sürecine sürekli olarak destek verilmesinin tesis edilmesi

    4. Amaca yönelik, önemli güvenlik ve kanuni konuların tespit edilmesi

    5. Tanımlanan kayıp ihtimali ile örtüşen bir fayda –maliyet analizi ile kayıp önleme maliyeti ile olası kaybın mali boyutlarının karşılaştırılması

    Yukarıda belirtilen hususlar yanı sıra, tespit edilen birincil tehlikelerin sebep olacağı ikincil olayların tespit edilmesi (Örnek: şiddetli rüzgar, sel, yangın, sonucu bina ve çatıların yıkılması) ve en olması beklenen ve en yüksek etki yaratacak zedelenebilirliliklerin seçilmesi gereklidir.



    b) Kayıp olasılığı ve etki derecesinin azaltılması için tedbirlerin tespiti: Bu aşamada ele alınabilecek konular aşağıda belirtilmiştir:


    1. Yerleşim ve fiziksel güvenlik

    2. Binaların durumu, komşular, altyapı, coğrafi yerleşim

    3. Koruma, ortaya çıkarma, bildirme ve önleme prosedürleri

    4. Güvenlik ve erişim kontrolü

    5. Personel prosedürleri ve süreç kontrolü

    6. Bilgi güvenliğinin sağlanması

    7. Hasar önleyici bakım onarım

    8. Servis ve altyapının gözden geçirilmesi

    9. Risklerle ilgili felaket senaryolarının aşağıda belirtilen kritere dayandırılarak tesis edilmesi:

    • Büyüklük olarak ağır /şiddetli olması

    • Olabilecek en kötü zamanda olması

    • Organizasyonun işini yürütme yeteneğinde ağır yada onarılmaz sonuçlara yol açması

    Risklerin değerlendirilmesi ve ilgili kriterlere göre sınıflandırılmasında organizasyonun kontrolündeki riskler, organizasyonun kontrolünde olmayan riskler, uyarı veren tehditler (fırtına) ve uyarı vermeyen tehditler (deprem) dikkatle değerlendirilmelidir.

    Risk değerlendirilmesinde Bankanın olası güvenlik açıklarının tespit edilmesi ve aşağıda belirtilen güvenlik risk kategorileri dahil edilerek, risk ve tehlikeleri önleyecek/azaltacak, uygun maliyetli, etkin güvenlik önlemleri tasarlanmalı ve üst düzey yönetime önerilmelidir.


    1. Fiziksel/Bina güvenlik

    2. Bilgi güvenliği: sistem odası ve veri güvenliği

    3. İletişim/haberleşme güvenliği: ses ve veri iletişimi güvenliği

    4. Network güvenliği: intranet ve internet güvenliği



    II.B. İş Etki Analizi

    İş etki analizi gerçekleştirilirken, kurumun amacı açıkça ortaya konulmalıdır. Önemli olan büyük bir felakette kurum olarak hayatta kalmaktır. Gelişen teknolojik çözümlerin felaket sonrası hiç bir şey olmamış gibi işe devam etmede çeşitli kolaylıklar sağladıkları da göz önünde bulundurulmalıdır.


    İş etki analizinin temel aşamalarında aşağıdaki adımlar izlenmelidir.


    1. Banka fonksiyonlarının değerlendirilmesi,

    2. İş kollarındaki konuya vakıf, güvenilir temsilcilerin tespit edilmesi,

    3. Analiz kriterlerin tespit edilmesi ve tanımlanması,

    4. Tespit edilen ve tanımlanan kriterlerin onaya sunulması,

    5. Eşgüdümlü olarak analiz çalışmalarının yönetilmesi ve koordine edilmesi,

    6. Bağımlılıkların tespit edilmesi (İş yapabilmek için birbirinden bilgi, karar akışı gerektiren iş akış bağlılıklarının belirlenmesi ve birlikte değerlendirilmesi),

    7. Kurtarma hedeflerinin ve zaman çerçevesinin ortaya koyulması (Kurtarma zamanları, beklenen kayıplar, önceliklerin belirlenmesi aşamasıdır. Kurtarma zaman hedefi; kritik fonksiyonların, bu fonksiyonların kurtarma önceliklerinin ve birbirine bağımlılıklarının tespit edilmesiyle oluşturulabilir.),

    8. Bilgi ihtiyacının tespit edilmesi,

    9. Kaynak gereksinimlerinin tespit edilmesi,

    10. Rapor formatının tanımlanması,

    11. Raporun hazırlanması ve sunulması.

    İş etki analizine ilişkin proje tesisi aşamasında; seçilecek proje liderinin organizasyonun amaçlarına vakıf olduğuna emin olunması, projenin hedef ve kapsamının tanımlanması ve organizasyon yapısına uygun olan planlama metodolojisi seçilmesinin, projenin başarısı açısından önem verilmesi gereken hususlar olarak değerlendirilmelidir.


    Acil durumlarda; varlıkların kaybı, kilit mevkideki personel kaybı, bilgi kayıpları ve maddi olmayan kayıpların, iş devamlılığında kesinti yaşanması ve kanuni/düzenleyici yaptırım ihlalleri gibi sonuçlar doğuracağı ve kamuoyunda algılanmasında sorunlar yaşanabileceği göz önüne alınmalıdır.
    Zararın belirlenmesinde ölçülebilen kayıplar ile ölçülemeyen kayıplar dikkate alınmalıdır. Bu çalışmada aşağıdaki örnekleme grupları dikkate alınabilir.
    Ölçülebilir Kayıplar;

    • Mal kaybı

    • Gelir kaybı

    • Cezalar

    • Nakit Akışı

    • Yasal yaptırımlar

    • İnsan kaynakları

    • Ek harcamalar, artan çalışma maliyeti


    Ölçülemeyen Kayıplar;

    • İnsan kaynakları

    • Moral kaybı

    • Güven, imaj/itibar kaybı, finans dünyasında kuruma olan güvenilirlilik

    • Yasal yaptırımlar

    İş etki analizi çalışmaları ve raporunda standart bir format bulunmamaktadır. Burada dikkat edilmesi gereken husus her aşamaya iş kolu sorumlularının aktif ve istekli katılımının sağlanmasıdır.


    Aşamalar kısaca şu şekilde belirlenebilir;


    • Uygun veri toplama yönteminin kesinleştirilmesi (Örnek: Anketler, bire bir görüşmeler, çalışma grubu toplantıları),

    • Potansiyel finansal ve finansal olmayan etkilerin nasıl ölçüleceği ve değerlendirileceğine ilişkin tavsiye ve mutabakata varılması,

    • Ölçülemeyen etkilere ilişkin bilgi gereksiniminin belirlenmesi, tanımlanması ve mutabakat sağlanması,

    • Veri toplamaya yönelik anket ve bilgi verici kılavuzunun geliştirilmesi,

    • Veri analizi metotlarının belirlenmesi (manuel veya bilgisayar programları kullanarak),

    • Tamamlanmış anketlerin gözden geçirilerek, gerekli görülenler için devamında görüşmelerin tespit edilmesi,

    • Ek bilgi gereksinimi veya açıklığa kavuşturulması gereken hususlar için müzakerelerin yönetilmesi,

    • Çalışma sonucunda önemli konuların tanımlandığından ve konulara ait karar sorumluluğunun sağlanması,

    • Başlangıç etki bulguları ve konuları içeren taslak “İş Etki Analizi” raporunun hazırlanması,

    • Taslak raporun katılımcı yönetime sunularak, geri bildirim talebinde bulunulması,

    • Geribildirimlerin gözden geçirilerek uygun yerler için bulguların revize edilmesi veya önemli hususların eklenmesi,

    • Gerekli olması halinde başlangıç bulguların tartışılması için seminer veya toplantı planlanması,

    • Toplantılar sonucu oluşan değişikliklerin yapıldığına dair orijinal bulguların güncellendiğinden emin olunması,

    • Organizasyona uygun iş etki analizi raporunun son halinin hazırlanması.

    İş etki analizi yapılırken, iş fonksiyonları ve kayıt/belgelerin kritikliği tanımlanmalı, önem sırasına göre düzenlenmeli ve aşağıda belirtilen temel hususları içermelidir.




    • Kritik fonksiyonların tanımlanması: İş fonksiyonları, destek fonksiyonları, bağımlılıklar

    • Kritik İş fonksiyonlarının önem sırasına göre düzenlenmesi

    • Kritik kayıt / belgelerin tanımlanması ve önem sırasının belirlenmesi

    Kurtarma zaman aralığı ve minimum kaynakların tanımlanması aşamasında;




    • Kritiklik seviyesine bağlı olarak kritik iş fonksiyonları için kurtarma zaman aralığının belirlenmesi,

    • Kritik iş fonksiyonları, destek fonksiyonları ve sistemler için (Birbirine paralel ve birbirine bağımlı olan aktiviteler) kurtarma sırasının/düzeninin tanımlanması,

    • Kritik fonksiyonlar ve destekleyici sistemleri kurtarma ve yeniden hayata geçirmek için gerekli minimum kaynakların belirlenmesi ve tanımlanması (İç ve dış kaynaklar; sahibi olduğumuz / olmadığımız kaynaklar, mevcut kaynaklar ve gereken ek kaynaklar)

    Kaynakların belirlenmesi: Kritik / öncelikli olarak belirlenen süreç ve faaliyetlerin devamlılığını sağlamak üzere gerekli kaynakların tespiti, devamlılık planlamasının kritik unsurlarındandır. Gerekli kaynaklar tespit edildikten sonra yapılması gereken, acil durumun meydana gelmesi halinde bu kaynakların ne şekilde temin edileceğine yönelik planlama ve gerekli yedekleme çalışmalarının yapılmasıdır.


    İlgili faaliyete göre değişiklik gösterebilmekle birlikte, iş süreçleriyle bağımlılık gösteren temel kaynaklar şu şekilde sıralanabilir:
    İç Kaynaklar:


    1. Personel (Kritik hizmetleri yürüten personel sayısı),

    2. Araçlar,

    3. Ofis ekipmanları,

    4. Kritik süreçlerin yürütüleceği mekanlar,

    5. Örgütsel yeterlilikler (eğitim, çalışanları destekleme sistemleri),

    6. Yedekleme sistemleri,

    İletişim, bankacılık ürün ve hizmetleri ve bilgi sistemleri desteği gibi hizmetlerin sürdürülebilmesine yönelik olarak yedekleme çalışmaları büyük önem taşımaktadır.


    Dış Kaynaklar :
    Banka dışından sağlanacak kaynakların belirlenmesi aşamasında, hangi kaynakların hangi kurum ve kuruluşlardan ne şekilde temin edileceği belirlenir. Bu tür kurum ve kuruluşlardan bazıları aşağıda belirtilmiştir.


    1. TCMB,

    2. Bankalar arası ödeme ve takas sistemindeki kuruluşlar,

    3. Hizmet sağlayıcılar,

    4. Kamu hizmeti veren kurum ve kuruluşlar,

    5. Sözleşme yaptığımız kuruluşlar (maaş anlaşmaları, vergi tahsilatları).

    İş süreçlerinin tespiti aşamasında; iş süreçleri arasındaki ilişki ve süreç bağımlılıkları (bölümlerarası, bölümiçi, teknoloji, süreçler) dikkate alınmalıdır. Acil durum sırasında görev yapacak personel ve kullanacakları ekipman için gerekli temel ihtiyaç maddeleri ve diğer kaynakların yenilenme, değiştirilme zamanlarının da değerlendirilmesi gereklidir.


    II.C. Banka Faaliyetlerinin (Bankacılık İşlemleri, Destek Hizmetler ve Bilgi

    Sistemleri İçin) İş-Etki Analiz Sonuçları Doğrultusunda Değerlendirilmesi



    1. Banka Faaliyetlerinin değerlendirilerek kritik / öncelikli süreç ve faaliyetlerin tespitine ilişkin raporun Yönetim kurulu ve üst yönetimce onaylanması.

    Acil durumlarda öncelikli olarak hangi süreçlerin devamlılığının sağlanacağı kararı, banka organizasyonu içerisinde en üst düzeyde alınması gereken bir karardır. İş-etki analizinden elde edilen sonuçlar bu kararın alınması sırasında göz önüne alınması gereken bir unsurdur.

    Bu nedenle İş-etki analizi sonucunda belirlenen hususların, kritik / öncelikli süreç ve faaliyetlerin tespitinde yapılacak değerlendirmelerde kullanılmak üzere, Yönetim Kurulu ve Üst Düzey Yönetime sunulması gerekir.
    Bu konuda Yönetim Kurulu ve Üst Düzey Yönetime sunulacak olan raporda aşağıdaki unsurlara yer verilebilir;


    • Planın amacı,

    • Acil durum yönetimi politikası,

    • Yönetimin yetki ve sorumlulukları,

    • Risk değerlendirmesi sonuçları,

    • Meydana gelebilecek olağanüstü durumlar

    • Felaket olma olasılığını azaltıcı önlemler

    • Risk kabulü

    • Kritik / öncelikli olarak belirlenen süreç ve faaliyetler,

    • Acil durum karşısındaki işlemlerin nasıl yönetileceği,

    • Yapılması planlanan çalışmaların tahmini maliyet hesaplamaları.

    1. Kritik / öncelikli olarak belirlenen süreç ve faaliyetlerin acil durumlarda devamlılığının sağlanması üzerine planlamaların yapılması

    Acil durumlarda öncelikli olarak hangi süreçlerin devamlılığının sağlanacağı kararının onaylanmasından sonraki aşamada, ilgili süreç ve faaliyetlerin devamlılığının sağlanmasına ilişkin faaliyetleri içeren planlamalar yapılır.


    II.D. Acil Durumlarda Varlıkların Korunma ve Acil Durum Sonrası

    Değerlendirme Usullerinin Belirlenmesi
    Bu aşama, herhangi bir acil durum meydana geldiği sırada varlıkların korunma ve acil durum sonrası değerlendirme usullerinin belirlenmesine ilişkin olarak yürütülecek faaliyetlerin belirlenmesine yöneliktir.
    a) Varlıkların korunma usullerinin hazırlanması : Varlıkların korunmasına yönelik olarak yürütülebilecek faaliyetlerden bazıları aşağıda belirtilmiştir.



    • Kıymetli varlıkların tespiti,

    • Kıymetli varlıkların kurtarma önceliklerinin ve prosedürlerinin belirlenmesi,

    • Acil durum sonrası hizmetler için kayıtların korunması, araç-gereçlerin bakımı, buldozer ve diğer inşaat ve enkaz makinalarını sağlayan satıcılarla gerekli sözleşmelerin yapılması,

    • Sigorta yaptırılabilecek kıymetler için, sigorta şirketiyle sigorta şartlarının belirlenmesi,

    • Kurtarılan kıymetli varlıkların güvenli bir bölgeye aktarılması,

    • Bankanın varlıklarını fotoğraf veya video ile belgelendirmesi ve bu kayıtların düzenli olarak güncellenmesi.


    b) Hasar durumunda değerlendirme usullerinin hazırlanması: Bu aşamada yerine getirilmesi önerilen temel faaliyetler aşağıda belirtilmiştir.



    1. Hasar halinde söz konusu hasarın mahiyeti hakkında üst düzey yönetime ve ilgili müdürlüklere bildirimin ne şekilde gerçekleştirilebileceğine ilişkin prosedürlerin ve kontrol listelerinin hazırlanması




    1. Hasar Görmemiş veya Az Hasarlı Varlıkların Korunması: Bu aşamada yerine getirilmesi önerilen temel faaliyetlerden bazıları aşağıda belirtilmiştir;




    • Bina girişlerinin kapatılması,

    • Duman, su ve enkazın tahliyesi,

    • Araçların nemden korunması,

    • Mülkiyetin fiziksel olarak güvenceye alınması,

    • Güç kaynaklarının yenilenmesi,

    • Soruşturma yürütülmesi,

    • İlgili kamu kuruluşlarıyla iletişim kurulması ve ortak hareket edilmesi,

    • Kurtarma operasyonlarının yönetilmesi,

    • Zarar görmüş mülkiyetin, zarar görmemiş olandan ayrılması,

    • Zarar görmüş araçların ilgili sigorta şirketi görevlisi gelene kadar muhafaza edilmesi,

    • Zarar görmüş mülkiyet ve demirbaşın envanterinin çıkartılması,

    • Araç ve mülkün yenilenmesi,

    • Büyük tamir işleri için restorasyon planlarının sigorta ayarlayıcısı ve uygun kamu kuruluşu temsilcisiyle ile birlikte incelenmesi,




    1. Hasar maliyet çalışmalarının yapılması; Bu aşamada yürütülecek temel faaliyetlerden bazıları aşağıda belirtilmiş olup, yapılan çalışmalar konusunda üst düzey yönetime brifing verilmesinde fayda görülmektedir.




    • Detaylı kayıtların tutulması; Tüm kararların sesli kayıtlarının tutulmasının sağlanması Hasarın fotoğraf veya video ile kayıt altına alınması,

    • Tüm hasar ile bağlantılı maliyetlerin gözönünde bulundurulması; özel iş sıralama numaralarının ihdas edilmesi ve bu kodların satın alma ve bakım kalemleri itibariyle maliyetlendirilmesi


    II.E. Acil Durumlarda Personel/Müşteriler İçin Korunma ve Acil Durum Sonrası

    Değerlendirme Usullerinin Belirlenmesi

    Bu aşamada, herhangi bir acil durumun meydana gelmesi halinde personelin ve müşterilerin can kayıplarının ve yaralanmalarının asgariye indirilmesi amacıyla, gerekli korunma usulleri belirlenir. Bu aşamada yerine getirilmesi önerilen temel faaliyetler şunlardır:



    a) Personel ve müşteri güvenliğinin sağlanmasına ilişkin uygulanacak prosedürlerin hazırlanması


    1. Acil kaçış prosedürleri ve rutini,

    2. Tahliye öncesi kritik işlevleri yapan veya sona erdiren personele ilişkin prosedürler,

    3. Tahliye sonrası çalışanlar, ziyaretçiler ve müşterileri kapsayan prosedürler,

    4. Plan doğrultusunda bağlantı kurulacak personel veya birimlerin listesi,

    5. Tatbikat ve eğitimlerle personelin acil durumlarda organize ve hazırlıklı olması.


    b) Kayıp ve yaralanma durumlarında uygulanacak prosedürlerin hazırlanması


    1. Kurtarma ve ilk yardım faaliyetlerinin planlanması,

    2. Kayıp ve yaralanma durumlarında bildirim prosedürleri ve kontrol listelerinin hazırlanması,

    3. Bu işle görevlendirilmiş ekip oluşturulması halinde personelin kurtarma ve tıbbi görevlerinin belirlenmesi.


    II.F. Acil Durum Organizasyonu

    Herhangi bir acil duruma karşı en iyi şekilde cevap verilebilmesi için yapılacak organizasyonda bulunması önerilen temel unsurlar ve bu unsurlara ilişkin gerekli görülen açıklamalar aşağıda belirtilmiştir.


    Acil Durum Yönetim Komitesinin Kurulması:
    Herhangi bir acil durumun ortaya çıkması halinde, acil durum kararını verecek ve acil durumun meydana gelmesinden, normal hayata dönülmesine kadar geçen süre boyunca yürütülecek faaliyetleri yönetecek, personel ve üst yönetim arasında koordinasyonu sağlayacak bir Acil Durum Yönetim Komitesi ve buna bağlı gerekli sayıda Acil Durum Ekibi (Telekomünikasyon, Bilgiişlem, Lojistik, Tahliye, Halkla İlişkiler, Finansman, Satınalma, Arama-Kurtarma, Sosyal Yardım gibi) kurulmalıdır.
    Acil durumda planın hangi derecede harekete geçirileceğine karar verilmesinde kullanılmak üzere (bölüm iyileştirme, tüm işlem merkezinin iyileştirilmesi, şube iyileştirme, çoklu alan iyileştirme gibi), acil durumun tipine ve şiddetine uygun “Acil Durum” tanımlamalarının yapılması (Örn: 1. derecede, 2. derecede, kırmızı, sarı alarm gibi) ve hangi safhada ne şekilde hareket edileceğine ilişkin temel stratejilerin belirlenmesi gerekir.
    Bu komitede ve ekiplerde görev alacak asıl ve yedek üyeler tespit edilmeli, komitelerin ve görevli tüm personelin görev ve yetki tanımlamaları yapılmalıdır.
    Bu komitenin, kendisine bağlı ekiplerle birlikte yerine getireceği temel görev ve sorumlulukları arasında yer verilebilecek hususlardan bazıları şunlardır:


    • Planın hangi derecede harekete geçirileceğine karar verilmesi,

    • Tüm yönetici personelin/acil durum ekiplerinin bilgilendirilmesinin ve belirlenen acil durum komuta merkezinde buluşulmasının sağlanması,

    • Acil harekete geçirilmesi ve sonlandırılmasındaki tüm evrelerin izlenmesi, planın yürütülmesi, gerektiğinde acil durumlar için yetki devrinin yapılması ve denetlenmesi,

    • Acil durum ekipleri ile birlikte hasarın değerlendirilmesi.

    Acil ve beklenmeyen durumlarda, hızlı kararlar alınması hayati önem taşıdığından, Acil Durum Yönetim Komitesi’nin üst düzeyde yetkili bir kişi tarafından yönetilmesi ve bu komiteye bağlı ekip liderlerinin belirlenmesinde, görev ve yetki tanımlamalarının yapılmasında fayda görülmektedir.


    Acil Durum Organizasyonu oluşturulurken yapılması gerekli tanımlamalar ve planlamalar aşağıdaki gibi düzenlenebilir;


    1. Acil durumda görev alacak personelin görev ve yetki tanımlamalarının yapılması,




    1. Personel kayıpları halinde görevi devralacak personelin tespiti ve iş paylaşımı,




    1. Acil durumda tüm personelin üzerine düşen görevlerin belirlenmesi ve banka geneline duyurulması,




    1. Gerek görülmesi halinde acil durumda görev yapacak müdahale ekipleri kurulması: (Arama-kurtarma, tahliye, ilk yardım, yangın söndürme, güvenlik gibi konularda)




    • Bu ekiplerin görev ve yetki tanımlamalarının yapılması

    • Gerekli konularda eğitim almalarının sağlanması

    • Gerekli araç-gereç ihtiyaçlarının tespit edilmesi ve yedeklenmesi. (Yangın önleme ve kontrol altına alma araçları, iletişim araçları, ilkyardım malzemeleri, uyarı sistemleri, güç kaynağı, vb)




    1. Acil Durum Merkezi’nin;

    • Lokasyonunun belirlenmesi (Asıl lokasyonun kullanılamaz duruma gelmesi halinde kullanılmak üzere ikincil bir yer belirlenmesinde fayda görülmektedir.)

    • Çalışma prosedürlerinin oluşturulması,

    • Gerekli araç-gereç ihtiyaçlarının tespiti, yedeklenmesi ve bakım yapılarak hazır bulundurulması.




    1. Acil durumlarda “ulaşım” planlamasının yapılması,




    1. Acil durumlarda “haberleşme” planlamasının yapılması:




    • Acil durumda görev alacak personelin haberleşme imkanlarının planlaması

    • Resmi kurumlarla yürütülen haberleşmenin planlanması

    • Ödeme sistemlerine ilişkin acil ve beklenmedik durumda, TCMB yetkilileri, bankalararası ödeme ve takas sistemleri sorumlulukları ve BDDK ile muhtemel haberleşme düzeninin belirlenmesi

    • Halkla ve müşterilerle ilişkileri sağlamak için kamuya açık bir haberleşme kanalının/ağının tesis edilmesi




    1. Basın ve halkla ilişkilerin yürütülmesi ile ilgili planlamaların yapılması.


    II.G. Bilgi Sistemlerinin Acil Durum ve İş Sürekliliği Planlaması
    Günümüzde bilgi teknolojisi bankacılık sisteminin vazgeçilmez bir parçası haline gelmiştir. Finans sektörüne daha fazla oranda teknolojik yeniliklerin girmesi ile birlikte bankacılık organizasyonları için kayıplara neden olabilecek yeni riskler ortaya çıkmakta ve bu risklerin kontrol altına alınması giderek daha fazla önem kazanmaktadır.
    Genel olarak Acil Durum Planlaması ile ilgili olarak belirtilen tüm hususlar “Bilgi Sistemleri” için de geçerli olmakla beraber, bilgi sistemleri ile ilgili olarak bazı konuların ayrıca ele alınması gerekmektedir.
    Bilgisayar donanım ve yazılımlarındaki hızlı ve önemli değişiklikler sonucunda mevcut sistemlerin güncelliğini çok kısa bir sürede kaybetmesi nedeniyle, devamlılık planlaması Bilgi sistemlerinin alımı aşamasında başlamalı ve sisteme yapılan her yeni donanım ve yazılım eklemelerinde gözden geçirilerek yenilenmesi gerekmektedir.
    Bilgi sistemlerine ilişkin devamlılık planlamasında, fiziki felaketlere ve faaliyetleri kesintiye uğratacak diğer nedenlere karşı geliştirilen fiziki nitelikteki korumalar yanısıra, donanım, yazılım, uygulama, belgeleme, süreçler, veri dosyaları ve haberleşme ile ilgili yedekleme politikaları da oldukça önem kazanmaktadır.
    Ayrıca, organizasyon içindeki bilgi sistemlerinin büyüklüğüne ve mevcut bilgisayar donanım ve yazılımlarına uygun olarak belirlenecek sigorta politikalarının da oluşturulması gerekmektedir.
    Elektronik bankacılığın önemli bir özelliği, donanım satıcıları, yazılım sağlayıcılar, internet hizmet sağlayıcıları ve telekomünikasyon şirketleri dahil, harici kuruluşlara dayanmasıdır. Banka yönetimi bu tür hizmet sağlayıcıların yedekleme yeteneklerine sahip olmasında ısrar edebilir. İlaveten, yönetim, hizmet sağlayıcıların görevlerini yerine getirememesi durumunda uygulayabileceği telafi edici eylemleri düşünebilir. Bu planlar, diğer sağlayıcılar ile kısa vadeli sözleşmeler, ve hizmet kesilmesiyle ilgili müşteri kaybını nasıl çözeceğine ilişkin politikayı içerebilir.

    Bilgi sistemlerinde özel önem arzeden yedeklemenin temel unsurları ve dikkat edilmesi gereken hususlar aşağıda belirtilmiştir.


    Bilgisayar ortamları için genel olarak yedekleme standartları aşağıdaki hususları içermelidir:


    • Yazılı yedekleme süreçleri,

    • Veri dosyalarının listelenmesi, içerikleri ve konumlarının belirlenmesi,

    • Donanım, yazılım ve ağ süreçlerine ait tanımlayıcı belgeler,

    • Yedekleme için belirlenen bilgilerin transferleri ile ilgili riskleri minimize etmek.

    • Yedekleme faaliyetleri ile uğraşan elemanlar için eğitim programları hazırlamak ve sorumluluk seviyelerini belirlemek,

    • Veri bütünlüğü, müşteri gizliliği ve çıktıların, saklama araçlarının ve donanımın fiziki güvenliğini sağlamak.

    Genel kural olarak verilerin yedeklenmesi için ayrılan zaman, aynı bilgilerin onarılması için gereken süre ile karşılaştırıldığında çok daha az olmalıdır. Etkin bir yedekleme planında yerine getirilmesi gereken faaliyetler net ve açık ifadelerle belirtilmelidir. Bu anlamda yedekleme planları şu hususları içermelidir;




    • Farklı veri işleme yöntemlerinin tanımlanması, (ihtiyaç fazlası olarak başka yerlerde konumlandırılmış donanım sistemleri, karşılıklı anlaşmalar ile uyumlu donanımların aynı banka içerisinde diğer birimlerle veya başka bir banka ile paylaşımı ve merkezi işlem birimlerinin kendi bünyesinde yedekleme yapması gibi tüm istisnai durumlar da belirlenmelidir)

    • Yazılım ve veri yedeklerinin fiziki olarak ayrı bir alanda konumlandırılması,

    • Yenilemenin sıklığı ve yedeklerin ne kadar süre için saklanacağı. (Dosyaların ne sıklıkla yedekleneceği uygulamaların ve dosyaların önem derecesine bağlıdır. Gün sonu yedekleme, Anlık yedekleme, Anlık sistem yedekleme gibi yöntemler kullanılabilir.)

    • Kullanılan yazılım ve donanımların, yedek sistemler ile uygunluğunun periyodik olarak gözden geçirilmesi.

    • Yapılacak testler ile yedekleme hizmetinin etkinliğinin düzenli olarak kontrol edilmesi.

    • Bilgi saklama araçları ile ilgili etiketleme, listeleme, iletim ve saklama faaliyetlerinin etkin ve verimli bir şekilde yürütülmesine yardımcı olacak rehberlerin hazırlanması.

    Uygulamaların ve dosyaların yedeklenmesi ile ilgili stratejik kararlar, söz konusu uygulama ve dosyaların bankanın faaliyetlerinin sürdürülmesi için sahip olduğu öneme göre verilmelidir. Yedekleme öncelikleri belirlenirken tüm bilgi türleri ve söz konusu bilgilerin kaybedilmesinin yaratacağı potansiyel etkiler dikkatli bir şekilde analiz edilmelidir. Bu süreç tüm finansal, hukuki ve yönetsel bilgileri ve yazılımları içermelidir.



    Yedeklemenin disketlerle yapılması durumunda: işletim sistem yazılımları ve uygulama programları yakın zaman içerisinde yenilenmiş olsalar dahi mutlaka yedekleri alınmalıdır. Yedekleme disketleri dikkatli bir şekilde etiketlenmeli ve gerekli tüm bilgiler (kullanıcı bölümler, tarih ve kullanıcılar) etiketlere yazılmalıdır. Yedekleme disketleri koruma altına alınmış özel alanlarda muhafaza edilmelidir. Bu gibi saklama merkezleri olası her türlü tehlikeden maksimum korunacak şekilde yapılandırılmalıdır.
    Fiziki felaketlere ve diğer olumsuzluklara karşı en iyi korunma yolu; donanımları, verileri, işletim sistemlerini, uygulama yazılımlarını ve belgeleme sistemlerini kapsayacak etkin bir yedekleme sürecinin geliştirilmesidir. Donanım, Program ve Yazılım ile Veri Dosyalarının yedeklenmesine ilişkin olarak dikkat edilmesi gereken noktalar aşağıda belirtilmiştir.
    Donanım Yedeklenmesi:


    • Merkezi işlemcilerin fiziki olarak ayrı bir bölgede konumlandırılması ve sistem unsurları ile tamamen uyumlu olması durumunda, banka faaliyetleri, belirli kritik uygulamalar için banka içerisinde yedekleme yapılmasına imkan tanıyan birden fazla CPU ile veya yerel bilgisayar ağları yardımı ile sürdürülebilir.

    • İşlemciler aynı bina içinde konumlandırılmış ise, bankanın bilgi işlem sistemlerinin bulunduğu merkez dışında ve coğrafi olarak da başka bir bölgede bir dış yedekleme ünitesi kurması gereklidir.

    • Donanım yedeklemesi konusundaki en önemli sorun maliyettir. Ancak banka, faaliyetlerinin kesintiye uğrayabilme tehlikesini göz önünde tutarak kabul edilebilir maliyetler ölçüsünde kendisi için en uygun yedekleme politikasını belirlemelidir.


    Program ve Yazılım Yedeklemesi:


    • Tüm donanım platformları için program yedeklemesi aşağıdaki üç temel alandan oluşmaktadır.




    • İşletim Sistemi Yazılımları,

    • Uygulama Yazılımları,

    • Yazılı Belgeler.




    • Tüm yazılımlar ve bunlarla ilgili belgeler için fiziki olarak banka dışında uygun bir yedekleme ünitesi oluşturulmalıdır.




    • İşletim sistemi yazılımlarının yedeklenmesinde dikkat edilecek noktalar:




    • En son kullanılan biçimlerinin en az iki kopyası yedeklenmelidir.

    • Alınacak bu iki kopyadan bir tanesi işletim sisteminde meydana gelebilecek problemlerin anında giderilebilmesi için teyp ve disk kütüphanesinde tutulmalıdır. Diğer kopya ise banka dışında güvenli bir yerde saklanmalıdır.

    • Alınan kopyalar belli aralıklarla test edilmeli ve çalışan orijinal yazılım üzerinde değişiklik yapıldığı anda bu kopyalarda da gerekli düzeltmeler gerçekleştirilmelidir.




    • Uygulama yazılımlarının yedeklenmesi’nde dikkat edilecek noktalar:




    • Uygulama yazılımları üzerinde yapılan önemsiz değişiklikler yedek kopyalara belli dönemler itibari ile grup olarak taşınabilir. Ancak önemli değişiklikler yedek kopyalar üzerinde aynı anda gerçekleştirilmelidir.

    • Yedek olarak tutulan yazılımların saklanması, test edilmesi ve güncelleştirilmesi ile ilgili yöntemler ve süreçler sistem ile ilgili devamlılık planlamasında açık olarak belirtilmelidir.



    • İşletim sistemleri ve uygulama yazılımları ile ilgili belgelerin de yedeklemesinde dikkat edilecek noktalar:

    i) Alınan yedekler aşağıdaki belgelerin en son hallerini içermelidir;


    • İşletim sistemi seçenekleri ve düzenlemeler,

    • Uygulama akış diyagramları,

    • Tüm sistem ve programlar için tanımlayıcı dokümanlar,

    • Kütük yerleştirme planı ve işlem kodları,

    • Operatör kullanım talimatnamesi,

    • Kullanıcı el kitabı

    • .... gibi.

    ii) BT ile ilgili tüm süreçlerin yazılı belgelerinin kopyaları banka dışarısında saklanmalıdır. Bunlara örnek olarak sistem ve programlama standartları, belgeleme, dosya kütüphaneleri, bilgisayar faaliyet süreçleri ve veri kontrol süreçleri el kitapları gösterilebilir.


    iii) İşlem süreçlerine ait el kitaplarının yedeklenmesi de son derece önemlidir. Bir tehlike anında başvurulacak BT faaliyetleri ile ilgili el kitaplarının kesinlikle banka dışında saklanıp korunmasına özen gösterilmelidir.
    Veri Dosyalarının Yedeklenmesi:


    • Banka her an ana kütük dosyalarını yaratabilecek esnekliğe sahip olmak zorundadır.

    • Kurtarma işleminin zamanında etkili bir şekilde yerine getirilebilmesi için veri dosyaları hem banka içinde, hem de banka dışında yedeklenmelidir.

    • Dosyaların en son biçimleri mutlaka günlük olarak, hatta hayati öneme sahip olanlar için saatlik veya devamlı olarak yedeklenmelidir.


    II.H. Geri Dönüş Prosedürünün Hazırlanması
    a) Tanım: “Geri Dönüş”; Acil Durum Ekibi tarafından acil durumun sona erdiğine karar verilmesinin ardından, acil durum öncesi düzene dönülmesi halidir.
    b) Geri Dönüş Prosedürünün hazırlanması: Geri Dönüş sürecine ilişkin prosedürlerin hazırlanması aşamasında, geri dönüş senaryolarına uygun olarak yerine getirilmesi önerilen faaliyetler aşağıda belirtilmiştir.


    1. Geri Dönüş Prosedürünü yerine getirecek / koordine edecek ekibin;

    • Üyelerinin,

    • Görev ve sorumluluklarının,

    • Görev sırasında ihtiyaç duyacakları ekipmanların

    belirlenmesi.


    1. Fiziki dönüşüm planlamasının yapılması ve bu kapsamda;

    • Onarım/düzenleme/yapım çalışmaları için gerekli anlaşmaların yapılması

    • Taşınma sırasında kullanılacak ekipman ve araç ihtiyacının belirlenmesi.




    1. İşe dönüş prosedürlerinin oluşturulması.




    1. Kontrol listelerinin hazırlanması:

    • Fiziki aktarım,

    • Banka süreçlerin eski haline getirilmesi,

    • Sistem ve veri aktarımı

    sırasında kullanılacak kontrol listeleri oluşturulmalıdır.




    1. Sistem ve veri aktarım (IT dönüş) prosedürlerinin oluşturulması ve aktarım sonrası test çalışmasının yapılması,




    1. Zaman planının oluşturulması,

    Tamamlanan Acil Durum Planının, Üst Düzey Risk Komitesince değerlendirilerek, Yönetim Kurulu tarafından onaylanması gerekmektedir.


    Acil Durum Planının, kitapçık haline getirilerek tüm Banka personeline dağıtılması ve personelin, plan ve üstlenmiş olduğu sorumluluk hakkında bilgi sahibi olması sağlanmalıdır.
    II.I. Eğitim-Test-Tatbikat
    Acil Durum Planlarının test edilmesi ve tatbikatların yapılması, uygulanabilirlik performansını arttırır.
    Plan geliştirildikten sonra, kapsamlı, geçerli ve çalışabilir olduğunu garanti etmek ve güncellemek için, mutlaka test edilmelidir. Bu kapsamda öncelikle test senaryoları geliştirilir, yöntemler belirlenir ve uygulanır. Daha sonra, elde edilen sonuçlar aracılığıyla planda gerekli görülen değişiklikler yapılır. Planın tamamen test edilmesinden sonraki aşamada ise banka çalışanları planın kullanımı konusunda eğitilmelidir. Bu aşamada ihtiyaç duyulan eğitim toplantı ve programları geliştirilir, uygulanır ve uygulamalar sırasındaki tespitlere dayanılarak ihtiyaç duyulan plan değişiklikleri yapılır.
    Acil durum ve iş sürekliliği planlamasında Eğitim-Test-Tatbikat başlığı altında aşağıdaki konular belirlenmelidir:


    • Eğitim-Test-Tatbikat amacı: Acil durum ve iş sürekliliği planlamasını kurum kültürünün bir parçası haline getirilmesi, bu planlama içinde yapılması gerekenlerin kavranması, ilgili ekipler ve bireyler olarak görev ve sorumlulukların bilgilendirilmesi ve elde edilen sonuçların planın geliştirilmesinde kullanılması amaçlanmalıdır.




    • Eğitim konuları: Organizasyonun ihtiyaçları doğrultusunda ve planın içeriğine göre değişiklik gösterebilir. Genel olarak eğitimler bilgilendirme yada acil durum ekiplerinin bilgi donanımlarındaki eksiklikleri gidermek amaçlı olarak planlanabilir. Ana olarak Yönetim kadrosu, acil durum ekibi ve diğer personelin olası bir acil durumda yerine getirmeleri gereken görev ve sorumluluklar için ihtiyaç duyulan konular belirlenmelidir. Personelin eğitiminde örneğin aşağıdaki konulara yer verilebilir:




    • Görev ve sorumluluklar,

    • Olası tehditler hakkında genel bilgi,

    • Duyuru, uyarı ve iletişim prosedürleri,

    • Tahliye, korunma ve mesuliyet prosedürleri,

    • Acil durum ekipmanlarının kullanımı,

    • Acil durumda çalışmayı durdurma prosedürleri,

    • ………..

    Daha detaylı ve göreve odaklı eğitimler de planlanabilir. Örneğin, gerek görülmesi halinde Acil Durum Ekip üyesi olan ve sözcü seçilen üyenin, basın ve halkla ilişkiler konularında yada Bilgi Sistemleri ile ilgili ekip üyelerinin teknik konularda eğitim alması sağlanabilir.
    Test ve Tatbikat yapılması gerekli görülen konular-işlemler planın içeriğine uygun olarak önceden ilgilerle görüşülerek belirlenmeli ve yapılacak test-tatbikatın detayları belirlenerek, katılımcılara önceden bilgi verilmelidir. “Haberleşme”, “Veri yedekleme”, “Tahliye” gibi durumlar için test ve tatbikatlar yapılabilir.


    • Kimlerin eğitime yada test ve tatbikata katılımının gerekli olduğu: Organizasyonun ihtiyaçları doğrultusunda ve Planın içeriğine göre değişiklik gösterebilir. Ana olarak Yönetim kadrosu, acil durum ekibi ve diğer personelin olası bir acil durumda yerine getirmeleri gereken görev ve sorumluluklar düşünülerek belirlenmelidir.




    • Eğitimin kimler tarafından verileceği: Eğitim ihtiyacı doğan konularda banka içi yada banka dışı uzman kaynaklardan yararlanılabilir.




    • Eğitim zaman planı ve yeri: Kağıt üstündeki talimatlar unutulabileceği için bilgilendirmeleri ve ilgili talimatları eğitim yoluyla vermek daha yararlı olabilir. 1 yıllık eğitim planlaması yapılması uygundur. Acil durum sonrası alınan dersler; personel değişimleri ve acil durum planında yapılan değişiklikler, yeni eğitimler yada yeni dokümantasyonlar yoluyla banka geneline duyurulmalıdır. Bu durumlarda eğitim planında revizyon yapılması gerekli olabilmektedir. Zaman planı ve yer bilgileri detaylı ve kolay ulaşılabilir bir şekilde önceden banka geneline duyurulmalıdır.

    Test ve tatbikatın zaman planlaması da önceden ilgililerle görüşülerek belirlenmeli ve katılımcılara önceden bilgi verilmelidir.




    • Eğitim dokümanları: Eğitim konuları açık ve net bir şekilde dokümante olmalıdır. Gereksiz detaylardan kaçınılmalı ve akılda kalıcı bir anlatım tercih edilmelidir. Eğitim dokümanı kolay ulaşılabilir ve güncel olarak tutulmalıdır.




    • Acil Durum Planı test edilirken, göz önünde bulundurulması gereken önemli noktalardan bazıları şunlardır:

    • Test için en iyi zaman planlaması,

    • Felaket tipleri,

    • Gerçekleşebilecek hasarlar,

    • İyileşme yeteneği,

    • Personel ve ekipman temin edilebilirliği,

    • Sorumlu kişiler,

    • Yedek kaynak elde edilebilirliği,

    • Her faaliyetin yapılması için tahmini gerekli zaman,

    • …….

    • Eğitim-Test-Tatbikat sonuçlarının değerlendirilmesi:

    Banka için hazırlanan planın uygulamadaki zorluklarının ve eksikliklerinin önceden tespit edilmesi ve planın revize edilerek etkinliğinin arttırılması için yapılan eğitim test ve tatbikat çalışmalarının sonuçları dikkatle değerlendirilmeli, gerekli aksiyonlar alınmalı ve sonuçlar bir rapor halinde üst Yönetime sunulmalıdır. Yeni iş riskleri ve yeni öncelikler doğrultusunda iş devamlılığı stratejilerinin yeterliliği de test edilebilir. Organizasyonlar sürekli değişim içinde bulunmasından dolayı iş süreçlerinin parçaları ve zafiyetleri de sürekli değişmektedir.


    Uygulanabilecek Bazı Eğitim-Test-Tatbikat Tipleri:
    Organizasyonel Eğitim: Yönetim kadrosu, çalışanlar ve sorumlu ekiplerce hazırlanan plan üzerinde görüşmeler yaparak, bilgilendirme yada itiraz ve ihtiyaçları belirlemek amacıyla yapılan planlı eğitimlerdir.
    Masabaşı Eğitim: Yönetim kadrosu ve Acil Durum Ekibi tarafından yapılması gereken, acil durum senaryoları doğrultusunda nasıl hareket edilebileceğinin görüşüldüğü ve fikir ayrılıkları yada çakışan noktaların ortaya çıkartıldığı toplantılardır.
    Prova Tatbikat: Acil Durum Ekibi ve bu ekibe bağlı diğer ekipler tarafından acil durum sırasında ne yapılacağının konu edildiği tatbikatlardır.
    Fonksiyonel Tatbikat: İletişim prosedürleri, Uyarı Prosedürleri, Tıbbi müdahale gibi konuların birlikte yada ayrı zamanlarda denenerek olası sorunların tespit edilerek planın geliştirilmesi hedefiyle yürütülen tatbikatlardır.
    Tahliye Tatbikatı: Tüm personelin tahliyesinin yapıldığı tatbikatlardır. Tatbikat sonrasında katılımcılara tahliye sırasında yaşanan sıkıntılar sorularak tahliye planında iyileştirmeler yapılır.
    Detaylı Tatbikat: Olabildiğince gerçeğe yakın bir acil durum simule edilerek, acil durum planında yer alan tüm aktörlerin katıldığı bir tatbikattır.
    Kontrol Listesi Testi: Planda yer alan tüm unsurların güncel olduğundan emin olmak için planın yeniden gözden geçirdiği, yapılan değişiklikleri eklemek ve bilgileri uygulamak suretiyle planın doğrulandığı ve plandaki değişikliklerin kaydedildiği, planın güncelliğini garantiye alan bir uyum testidir. Planda gözden geçirilmesi gereken temel unsurlar, şu şekilde sıralanabilir:


    • Personel

    • Telefon numaraları

    • Prosedürler

    • Alternatif yerler

    • Yazılım ve donanım, ekipman

    • Erzaklar ve basılı kağıtlar, formlar

    • Yardımcı/ Kamu hizmeti yapan kuruluşlara ait bilgiler

    • Satıcılar / Sağlayıcılar


    II.J. Acil Durum ve İş Sürekliliği Planının Güncellenmesi ve Bakımı


    • Acil Durum Planının güncellenmesi ve bakımı için yürütülen Eğitim-Test-Tatbikat çalışmalarının sonuçları değerlendirilmeli; bu çalışmalar için gerekli olan bütçe çalışması yapılmalı,

    • Yürütülecek bakım çalışmalarının zaman planlaması hazırlanmalı,

    • Güncelleme, denetim ve raporlama kriterleri ve süreçleri belirlenmeli,

    • İhtiyaç duyulan kaynaklar belirlenmeli,

    • Planın dağıtımı ve güvenliği planlanmalıdır.


    II.K. Acil Durum ve İş Sürekliliği Planının Banka İçindeki Sorumlularının

    Belirlenmesi

    Yönetim Kurulu ve üst düzey yönetimin diğer organları organizasyon genelinde devamlılık planlaması ile ilgili politikaların, süreçlerin ve yetkilerin belirlenmesinden ve bunların uygulanmasından sorumludur. BDDK tarafından yapılan düzenlemede, Acil ve Beklenmedik Durum Planı ile ilgili sorumluluklar şu şekilde belirlenmiştir:




    • Üst düzey yönetim, beklenmeyen riskli olaylara karşılık oluşabilecek riskleri ve sorunları mümkün olduğunca yönetebilmek için üst düzey risk komitesinin de değerlendirdiği, Yönetim Kurulunca onaylanan bir acil ve beklenmedik durum planı hazırlar.




    • Bu plan; bir rehber kitapçık haline getirilerek tüm banka personeline dağıtılır ve personelin plan ve üstlenmiş olduğu sorumluluk hakkında bilgi sahibi olması sağlanır.




    • Planda belirtilen hususların eşgüdümü için yetkili bir birim tesis edilir.




    • Uygun sürelerde acil ve beklenmedik durum planlarını gözden geçirecek bir sistem oluşturulur ve bu planla ilgili olarak otomasyon ve diğer sistemlerde olası aksaklık ya da çöküş dikkate alınarak genel müdürlük ve şubelerde düzenli olarak tatbikat yapılır. Yerinde tatbikatın sonuçları uygun bir değerlendirmeyi müteakip üst düzey yönetime raporlanır ve planın yeniden gözden geçirilmesinde kullanılır.

    Belirtilen yasal düzenlemeler ve planlamanın temel unsurları dikkate alındığında, banka organizasyonu içerisinde;




    1. Planın düzenli olarak gözden geçirilmesini ve güncel tutulmasını, planda belirtilen hususların eşgüdümünü sağlayacak,

    2. Gerekli eğitimleri planlayacak,

    3. Test çalışmalarını yürütecek,

    4. Tatbikatları koordine edecek,

    sorumluların belirlenmesi bir gereklilik olarak ortaya çıkmaktadır.


    II.L. Acil Durum ve İş Sürekliliği Planının Bankaların Yetkili Organlarınca

    Denetlenmesinin Sağlanması
    Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkındaki Yönetmeliğin Temel kontrol alanlarını düzenleyen 20. Maddede; Acil ve Beklenmedik Durum Planlaması, başlıca temel kontrol alanları arasında sayılmış olup, acil ve beklenmedik durum planının bankaların yetkili organlarınca denetlenmesinin sağlanması örgütsel olduğu kadar, yasal bir zorunluluktur.
    Kaynakça


    • FEMA (Federal Emergency Management Agency), “Emergency Management Guide For Business and Industry” www.fema.gov




    • Bland, Michael; “Communicating out of a crisis” www.globalcontinuity.com




    • Davies, David; “Looking back for the future” www.globalcontinuity.com




    • …………What is business continuity? What are the ten key disciplines of business continuity? What is business continuity planning and why have a plan? www.globalcontinuity.com




    • Early, Annemarie - Richard De Lotto; “Business Continuity Planning for FSPs” www.gartner.com




    • Belle, Michael; “The Five Principles of Organizational Resilience” www.gartner.com




    • Saka, Tamer (2001); Türk Bankacılık Sektöründe Bilgi Teknolojileri Denetimi, Türkiye Bankalar Birliği Yayını.




    • Myrick, David E. (1998); “Year 2000 Contingency Planning White Paper”,www.myrickconsulting.com




    • FFIEC (Federal Financial Institutions Examination Council), (Mart 2000); “Lessons Learned from the Year 2000 Project”, FFIEC, www.ffiec.gov




    • Contingency Planning Exchange ,Inc.; “Components of a Business Continuity Planning Program” www.cpeworld.org




    • Moore, Pat; “How to Plan for Enterprise-wide Business and Service Continuity” www.disaster-resource.com




    • Myers, Kenneth N.; “Managers guide to contingency planning for disasters”.




    • DRI International, (1997); “Professional Practices for Business Continuity Planners”, www.drii.org




    • Barnes, Jones C. ; “A Guide to Business Continuity Planning”.




    • Konu ile ilgili genel bilgi edinilebilecek diğer internet siteleri:

    http://www.bcmanagement.net/index.htm

    http://www.thebci.org/

    http://www.contingencyplanning.com/








        Ana sayfa


    Bankalar İçin “Acil Durum ve İş Sürekliliği Planlaması”

    Indir 130.37 Kb.