Türkiye Sigorta Birliği, İş Süreklilik Yönetimi (İSYS) Uygulama Kılavuzu’nu tanıtmak için kapsamlı bir webinar düzenledi. Kritik süreç yönetimi, BT sürekliliği ve kriz planlamasının ele alındığı etkinlikte, sektörün ilk geniş kapsamlı ortak tatbikatının iki yıl içinde yapılması hedefi öne çıktı.
Türkiye Sigorta Birliği (TSB), sigorta ve emeklilik sektöründe iş sürekliliği yönetimi alanında ortak bir standart ve rehberlik oluşturmak amacıyla hazırlanan “İş Süreklilik Yönetim Sistemi (İSYS) Uygulama Kılavuzu”nu tanıtmak üzere kapsamlı bir webinar gerçekleştirdi.
TSB Genel Sekreteri Özgür Obalı’nın moderatörlüğünü yaptığı etkinlik, Birlik İş Sürekliliği Yönetimi İnceleme ve Araştırma Komitesi üyelerinin sunumlarıyla ilerledi. Program, kılavuzun mimarlarından Dr. Ceyhun Eren’in genel çerçeve sunumuyla başladı; ardından sırasıyla Murat Uytun, Meltem Akalın, Zeynep Tunca, M. Rıfat Yıldırım, Selçuk Okutan ve Barış Vardar söz aldı.
Sunumlar boyunca hem kılavuzun içeriği hem de sektörün ihtiyaçlarına göre şekillenen tatbikat, teknoloji, insan kaynağı ve kültürel dönüşüm boyutları detaylı olarak ele alındı.
Dr. Ceyhun Eren: “Amaç tüm süreçleri değil, kritik süreçleri hedef sürelerde ayağa kaldırmak”
Webinarın ilk bölümünde söz alan Allianz Sigorta AŞ Risk Mühendisliği ve Allianz Teknik Direktörü Dr. Ceyhun Eren, iş sürekliliği yönetim sisteminin temel amacını, “büyük bir felaketten sonra hiçbir şey olmamış gibi tüm süreçleri aynı anda yürütmek değil, kritik iş süreçlerini hedeflenen sürelerde ve hedeflenen seviyede ayağa kaldırmak” olarak özetledi.
Dr. Eren, iş etki analizinin bu noktadaki önemine vurgu yaparak, kritik süreçlerin ve bu süreçlere ilişkin hedef sürelerin doğru belirlenmesinin sistemin temel taşı olduğunu ifade etti. Olası bir sel, yangın ya da deprem sonrası “hizmet veremiyoruz” noktasına düşmemenin ancak gerçekçi planlama ile mümkün olacağını söyledi ve “Her kriz, mutlaka iş sürekliliği planını devreye sokmayı gerektirmez; ama kritik kaynaklardan biri devre dışı kalıyorsa plan devreye alınmalıdır” dedi.
Kahramanmaraş depremlerinden çıkarılan dersler
İki yıl önce yaşanan Kahramanmaraş depremlerinin, iş sürekliliği çalışmalarına önemli dersler bıraktığını belirten Eren, özellikle kritik personelin felaket beklenen bir bölgede konuşlandırılması ve “deprem sonrası işleri başka ilden yürütürüz” gibi teorik kurguların pratikte işlemediğini vurguladı. Barınma, psikolojik durum ve temel ihtiyaçlar hesaba katılmadan yapılan planların sürdürülebilir olamayacağını ifade etti.
Tatbikatsız plan gerçekçi değil
Dr. Ceyhun Eren, sektör genelinde gördüğü en önemli eksiklerden birinin, iş sürekliliği planlarının gerçeğe yakın tatbikatlarla test edilmemesi olduğunu söyledi. Tatbikatların, sadece teorik dokümanları değil, iletişimden kriz yönetimine kadar tüm zinciri test eden bir araç olarak görülmesi gerektiğini belirtti:
“Yapılmayan bir tatbikat, aslında var olmayan bir plan anlamına geliyor.”
Komitenin hedefi: İki yıl içinde sektörel tatbikat
Eren, yeni kurulan İş Sürekliliği Yönetimi Komitesi’nin önceliklerini de paylaştı. Komite;
- Sektörde çalışan profesyonellere ISO 22301-2019 İş Süreklilik Yönetimi eğitimleri sağlıyor,
- AFAD, Ulaştırma ve Altyapı Bakanlığı, Enerji ve Tabii Kaynaklar Bakanlığı gibi kritik kamu kurumlarıyla temaslar kuruyor,
- Eğitici doküman ve webinarlarla farkındalık çalışmalarına devam ediyor.
Komitenin en iddialı hedefi ise, iki yıl içinde, kamu kurumlarının da dahil olacağı, tüm sektörün katıldığı ortak bir iş sürekliliği tatbikatı düzenlemek.
“Bu bir standart değil, ekosistem için kılavuz”
CMU Kurumsal Risk Yönetimi Kurucusu Murat Uytun, hazırlanan dokümanın bir “standart” değil, sektöre yol gösterecek bir kılavuz olduğunu vurguladı.
Kılavuzun sadece sigorta ve emeklilik şirketlerini değil, acenteleri, brokerleri, eksperleri, tedarikçileri ve sektörel çatı kurumları da kapsayan bir “sigortacılık ekosistemi” yaklaşımıyla hazırlandığını ifade etti.
Uytun, katastrofik bir deprem sonrası sistemin sürdürülebilir olabilmesi için, tüm paydaşların rollerini, sorumluluklarını ve senaryolarını önceden çalışmış olmasının kritik olduğunu belirtti.
İş etki analizi, risk değerlendirme ve strateji boyutu
İkinci bölümde söz alan Anadolu Hayat Emeklilik AŞ Kurumsal Mimari Müdürlüğü Birim Müdürü Meltem Akalın, kılavuzda önemli yer tutan iş etki analizi ve risk değerlendirme başlıklarını iletti.
Akalın, iş etki analizini, “kriz anında hangi süreçlerin önce kurtarılacağına ve kaynakların nasıl önceliklendirilmesi gerektiğine karar veren stratejik araç” olarak tanımladı.
Kritiklik seviyesini belirleyen RTO (kurtarma süresi hedefi), RPO (kayıp veri eşiği) ve maksimum tolera edilebilir kesinti süresi gibi kavramların, kurumun risk iştahı ve finansal dayanıklılığıyla birlikte ele alınması gerektiğini anlattı.
ÜST YÖNETİMİNDE SAHİPLENMESİ GEREKİYOR
Akalın’ın ardından konuşan QNB Sigorta AŞ Risk Yönetimi Müdürü Zeynep Tunca ise, iş sürekliliği stratejisi ve planlama boyutuna değindi. Stratejinin şirket hedefleri, kültürü ve kaynaklarıyla uyumlu olmadıkça çalışmayacağını vurgulayan Tunca:
“Üst yönetimin sahiplenmediği bir iş sürekliliği stratejisini şirket içinde yaygınlaştırmak neredeyse imkânsız.” dedi.
Tunca; kapsam ve kritik süreçlerin belirlenmesi, insan ve sistem bağımlılıklarının haritalanması, kriz yönetimi ekibinin ve acil durum iletişim zincirlerinin tanımlanması, alternatif lokasyon ve iletişim kanallarının planlanması gibi adımların önemini anlattı.
BT felaket kurtarma ve tedarikçi yönetimi
Webinarın bir diğer bölümünde, SBM Bilgi Güvenliği Direktörlüğü BT Servis Güvence Müdürlüğü Kıdemli Müdürü M. Rıfat Yıldırım, bilgi teknolojileri sürekliliği ve tedarikçi yönetimi başlıklarını aktardı.
Yıldırım, BT sürekliliğini, iş sürekliliği yönetiminin alt bileşeni olarak tanımlayarak; veri merkezi kesintileri, siber saldırılar, enerji kesintileri gibi senaryolar için felaket kurtarma planlarının kurgulanmasının zorunlu olduğunu söyledi.
RTO ve RPO hedefleriyle uyumlu yedek veri merkezi, yedekleme stratejileri, geçiş ve geri dönüş planları olmadan, “yedek merkezimiz var” demenin yeterli olmadığını belirtti.
Yıldırım ayrıca, sadece BT değil, çağrı merkezi, dış hizmet sağlayıcılar ve kritik hizmet tedarikçilerinin de iş sürekliliği perspektifinden değerlendirildiği, alternatif tedarikçi ve yedekleme senaryolarının oluşturulduğu bir yapının gerekliliğini vurguladı.
Tatbikatlarla planın gerçekliği test edilmeli
Türkiye Motorlu Taşıt Bürosu İç Kontrol ve Risk Yönetimi Bölüm Müdürü Selçuk Okutan, denetim, tatbikat ve iyileştirme uygulamalarını anlattı.
Okutan, kriz anında ilk 15 dakikanın, olayın tanımı, etki analizi ve iletişim zincirinin devreye alınması açısından kritik olduğunu söyledi:
“Elimizde bir iş sürekliliği planı olabilir, ama bu planın kurumumuza uygun olup olmadığını ancak tatbikatlarla anlayabiliriz.”
Masa başı, fonksiyonel ve tam ölçekli tatbikatlar ile uyarı, karar ve işbirliği tatbikatı gibi farklı türlerin kılavuzda örnekleriyle ele alındığını belirten Okutan, tatbikatların bir “geçti/kaldı sınavı” değil, öğrenme ve iyileştirme aracı olarak görülmesi gerektiğini ifade etti.
Tatbikat sonrası bulguların sahipsiz bırakılmaması, sorumlu ataması ve takvimlendirilmiş aksiyonlarla kapatılmasının, iş sürekliliği planının da “sürekli gelişen bir yapı” haline gelmesini sağlayacağını vurguladı.
“Tekniği yazdık, şimdi insan tarafını ikna etme zamanı”
Son içerik bölümünde söz alan Eureko Sigorta AŞ Hasar & Operasyon Hukuk & Rücu & Fraud Koordinatörü Barış Vardar, iş sürekliliğinin şirket kültürüne entegrasyonu ve insan boyutuna odaklandı.
Vardar, kılavuzun bu bölümünü Yelda Hanım ile birlikte hazırladıklarını belirterek; yönetim ve lider desteği, çalışan katılımı ve farkındalık, günlük işlere entegrasyon, iletişim ve sürekli iyileştirme başlıklarının öne çıktığını söyledi.
Sektörün hizmet sektörü olduğunu, özellikle büyük afetlerde insan kaynağının en kritik unsur haline geldiğini hatırlatan Vardar, iş sürekliliği konusunun geçmişte IT eksenli algılandığını, bu nedenle hasar ve operasyon gibi birimlerin sürece mesafeli kaldığını ifade etti.
Bu çerçevede, iş sürekliliği yönetiminin CRO seviyesinde sahiplenilmesini, C-level desteğinin açık ve görünür kılınmasını, periyodik eğitimler, farkındalık haftaları ve şirket içi iletişimle konunun gündemde tutulmasını önerdi.
Komite olarak telekom operatörleri, AFAD, belediyeler ve diğer kamu kurumlarıyla iletişim kanalları üzerinde çalıştıklarını, iki yıl içinde tüm sektörün katılacağı büyük ölçekli bir tatbikat hedefinin de masada olduğunu hatırlattı.
