T. C. BURSA ULUDAĞ ÜNĠVERSĠTESĠ SOSYAL BĠLĠMLER ENSTĠTÜSÜ ĠġLETME ANABĠLĠM DALI FĠRMALARDA Ġġ SÜREKLĠLĠĞĠ YÖNETĠMĠNĠN ÖNCÜLLERĠ VE ARDILLARI ÜZERĠNE BĠR ÇALIġMA YÜKSEK LĠSANS TEZĠ Ecem ARSLANKEÇECĠOĞLU KILIÇ BURSA - 2019 T. C. BURSA ULUDAĞ ÜNĠVERSĠTESĠ SOSYAL BĠLĠMLER ENSTĠTÜSÜ ĠġLETME ANABĠLĠM DALI FĠRMALARDA Ġġ SÜREKLĠLĠĞĠ YÖNETĠMĠNĠN ÖNCÜLLERĠ VE ARDILLARI ÜZERĠNE BĠR ÇALIġMA YÜKSEK LĠSANS TEZĠ Ecem ARSLANKEÇECĠOĞLU KILIÇ 701114009 DanıĢman: Prof. Dr. Mehmet ERYILMAZ BURSA - 2019 ÖZET Yazar Adı ve Soyadı : Ecem ARSLANKEÇECĠOĞLU KILIÇ Üniversite : Uludağ Üniversitesi Enstitü : Sosyal Bilimler Enstitüsü Anabilim Dalı : ĠĢletme Bilim Dalı : Yönetim ve Organizasyon Tezin Niteliği : Yüksek Lisans Tezi Sayfa Sayısı : xii + 112 Mezuniyet Tarihi : …. / …. / 20…….. Tez DanıĢmanı : Prof. Dr. Mehmet ERYILMAZ FĠRMALARDA Ġġ SÜREKLĠLĠĞĠ YÖNETĠMĠNĠN ÖNCÜLLERĠ VE ARDILLARI ÜZERĠNE BĠR ÇALIġMA ĠĢ sürekliliği yönetimi göreli olarak genç bir çalıĢma sahasıdır. Bu bağlamda firmalarda iĢ sürekliliği yönetiminin öncül ve ardıllarına dair pek az Ģey bilinmektedir. Bu nedenle çalıĢmanın amacı Türkiye’de iĢ sürekliliği yönetimi uygulayan firmalarda bu pratiğin uygulanmasına vesile olan faktörleri ve uygulama neticesinde ortaya çıkan sonuçları idrak etmektir. Bu doğrultuda iĢ sürekliliği yönetimi uygulaması bulunan 23 firmanın konuyla ilgili yetkilileriyle yarı yapılandırılmıĢ görüĢmeler yürütülmüĢtür. Bulgular bu firmalarda iĢ sürekliliği yönetiminin örgütsel, sektörel, çevresel, müĢteri temelli ve paydaĢ beklentisi bazlı öncüllerinin olduğunu ortaya koymaktadır. Benzer Ģekilde araĢtırmanın bulguları iĢ sürekliliği yönetimi uygulamasının firmalarda iç ve dıĢ müĢteri memnuniyetinin artıĢı, proaktif olma becerisinin kuvvetlenmesi, kurumsal kimliğin korunması ve güçlenmesi, firmalara duyulan güvenin artması ve en nihayetinde örgütsel performansın yükselmesi gibi muhtelif sonuçlar doğurduğunu ortaya koymaktadır. Anahtar Sözcükler: ĠĢ Sürekliliği, Yönetim Yenilikleri, Nitel AraĢtırma, Türkiye. iv ABSTRACT Name and Surname : Ecem ARSLANKEÇECĠOĞLU KILIÇ University : Uludag University Institution : Social Science Institution Field : Business Administration Branch : Management and Organization Degree Awarded : Master Page Number : xii + 112 Degree Date : …. / …. / 20…….. Supervisor (s) : Prof. Dr. Mehmet ERYILMAZ A STUDY ON ANTECEDENTS AND CONSEQUENCES OF BUSINESS CONTINUITY MANAGEMENT “Business Continuity Management (BCM)” is relatively nascent field of study. In this regard, scholars and pratitioners know few things regarding antecedents and consequences of BCM. Therefore, this study aims to understand consequences arising out of exercising the management practice as well as factors making it possible. Accordingly, semi-structured interviews have been conducted with officials of 23 companies, which have aforementioned business continuity. The findings reveal that BCM has organizational, industrial, environmental, customer-based and finally, stakeholder expectation-based antecedents. In similar veins, results of the study also indicate several consequences such as increased internal and external customer satisfaction in companies, strengthening proactive skills, protection and consolidating of corporate identity, tightening trust in companies and increasing organizational performance. Keywords: Business Continuity Management, Management Innovations, Qualitative Research, Turkey. v ÖNSÖZ ÇalıĢmamın her safhasında engin bilgilerini, tecrübelerini benimle paylaĢan ve yardımını esirgemeyen, tezimin tamamlanmasına kadar olan bu süreçte beni yönlendiren ve onurlandıran, bugüne kadar tanıdığımın en kıymetli ve saygıdeğer hocalardan Sayın Prof. Dr. MEHMET ERYILMAZ hocama; çalıĢma süresince tüm zorlukları benimle göğüsleyen ve hayatımın her evresinde bana destek olan sevgili aileme, bu kategoriye giren çalıĢmalar içerisinde öncü olan, sahip olduğu bilgi ve deneyimlerini paylaĢmaktan çekinmeyen Özgüven Saymaz’a ve ihtiyaç duyduğumda destek ve yardımlarını esirgemeyen Nurcan öğretmenim’e, Burak EkĢi’ye, Tamer Demir’e ve iĢ arkadaĢlarıma verdikleri emeklerden dolayı sonsuz teĢekkürlerimi sunuyorum. Bursa, 2019 Ecem ARSLANKEÇECĠOĞLU KILIÇ ĠÇĠNDEKĠLER Sayfa No ÖZET .......................................................................................................................... iv ABSTRACT ................................................................................................................ v ÖNSÖZ ....................................................................................................................... vi TABLOLAR .............................................................................................................. ix ġEKĠLLER ................................................................................................................. x GRAFĠKLER ............................................................................................................ xi KISALTMALAR ..................................................................................................... xii GĠRĠġ .......................................................................................................................... 1 BÖLÜM I .................................................................................................................... 3 Ġġ SÜREKLĠLĠĞĠ YÖNETĠMĠ VE KURUMSAL RĠSK ...................................... 3 1. Ġġ SÜREKLĠLĠĞĠ ............................................................................................ 3 1.1. ĠĢ Sürekliliği Kavramı ............................................................................... 3 1.2. ĠĢ Sürekliliğinin Amacı ............................................................................. 6 1.3. ĠĢ Sürekliliğinin Faydaları ......................................................................... 6 1.4. ĠĢ Sürekliliği Standartları .......................................................................... 8 1.4.1. TS ISO 22301 Standardı ......................................................................... 9 1.4.2. TS ISO 22313 Standardı ....................................................................... 18 1.5. ĠĢ Sürekliliği Yönetim Sistemi ve Önemi ............................................... 18 2. Ġġ SÜREKLĠLĠĞĠ PLANI .............................................................................. 21 2.1. ĠĢ Sürekliliği Planı Kavramı .................................................................... 21 2.2. ĠĢ Sürekliliği Planının Önemi .................................................................. 24 2.3. ĠĢ Sürekliliği Planı OluĢturmada Adımlar ............................................... 26 2.3.1. Proje Yöneticisinin Atanması, Ön Analiz, Proje Ekibinin ve Proje Kapsamının Belirlenmesi .................................................................................... 27 2.3.2. Üst Yönetim Onayı ve Proje Ekibinin OluĢturulması .......................... 27 2.3.3. Yönlendirme Komitesinin Belirlenmesi ve Bilgilendirme Sunumu Yapılması ............................................................................................................ 28 2.3.4. AçılıĢ Toplantısı ve Proje Duyurusunun Yapılması ............................. 28 2.3.5. Proje Ekibinin Eğitim Alması ............................................................... 29 2.3.6. Saha ÇalıĢması ile Bilgi Toplanması .................................................... 29 2.3.7. Saha ÇalıĢması Bulgularının Yönlendirme Komitesi ile PaylaĢılması ........................................................................................................ 29 2.3.8. Stratejilerin, ĠSY Organizasyon Yapısının Belirlenmesi ve Planların Yazılması ............................................................................................................ 30 2.3.9. Stratejilerin, ĠSY Organizasyonun ve Planların Yönlendirme Komitesiyle PaylaĢılması .................................................................................... 30 2.3.10. Planların Duyurulması ve Eğitimlerin Verilmesi ................................. 31 2.3.11. Örnek Tatbikatların GerçekleĢtirilmesi ................................................ 31 2.3.12. Örnek Ġç Tetkiklerin Yapılması ve Gerekli Düzeltici ve Önleyici Faaliyetlerin BaĢlatılması .................................................................................... 31 2.3.13. Projenin Üst Yönetime Anlatılarak Yönetim Gözden Geçirme Yapılması ............................................................................................................ 32 3. RĠSK VE KURUMSAL RĠSK KAVRAMLARI ........................................... 32 3.1. Risk Kavramı ve Tanımı ......................................................................... 32 3.2. Risk Yönetimi Kavramı .......................................................................... 35 3.3. Risk Analizi ve ĠĢ Etki Analizi ................................................................ 40 3.4. Kurumsal Risk Yönetimi ......................................................................... 44 vii 3.5. Risk ve ĠĢ Sürekliliği Arasındaki ĠliĢki ................................................... 47 BÖLÜM II ................................................................................................................ 49 YÖNETĠM YENĠLĠKLERĠNĠN ÖNCÜLLERĠ VE ARDILLARI ..................... 49 2.1. Yönetim Yeniliklerinin Benimsenme Nedenleri ......................................... 49 2.2. Yönetim Yeniliklerini Belirleyen Faktörler ................................................. 54 2.2.1. Vizyon ....................................................................................................... 54 2.2.2. Liderlik ...................................................................................................... 55 2.2.3. Örgütsel Yapı ............................................................................................ 56 2.2.4. ĠletiĢim ...................................................................................................... 57 2.2.5. Personel Güçlendirme ............................................................................... 58 2.2.6. MüĢteri Odaklılık ...................................................................................... 58 2.3. Yönetim Yeniliklerinin Benimsenmesinin Sonuçları .................................. 58 2.3.1. Arzu Edilen ve Edilmeyen Sonuçlar ......................................................... 62 2.3.2. Doğrudan ve Dolaylı Sonuçlar .................................................................. 63 2.3.3. Öngörülen ve Öngörülmeyen Sonuçlar..................................................... 64 BÖLÜM III ............................................................................................................... 66 FĠRMALARDA Ġġ SÜREKLĠLĠĞĠ YÖNETĠMĠNĠN ÖNCÜLLERĠ VE ARDILLARI ÜZERĠNE BĠR ARAġTIRMA ........................................................ 66 3. YÖNTEM ....................................................................................................... 66 3.1. AraĢtırmanın Amacı ................................................................................ 66 3.2. AraĢtırmanın Örneklemi .......................................................................... 66 3.3. Veri Toplama Yöntemi............................................................................ 67 3.4. Veri Analiz Yöntemi ............................................................................... 69 3.5. Bulgular .................................................................................................. 70 TARTIġMA .............................................................................................................. 96 SONUÇ ...................................................................................................................... 99 KAYNAKLAR ....................................................................................................... 100 EKLER .................................................................................................................... 109 viii TABLOLAR Sayfa No Tablo 1. ĠĢ Sürekliliğinin PaydaĢlara Fayda Tablosu .................................................. 7 Tablo 2. Yönetim Sistemi Ġçin PUKÖ Modeli ........................................................... 11 Tablo 3. Risk Yönetimine Geleneksel Ve ÇağdaĢ BakıĢ ........................................... 38 Tablo 4. Tehdit BaĢlıkları Listesi ............................................................................... 42 Tablo 5. Geleneksel/Finansal ve Kurumsal Risk Yönetimleri Arasındaki Farklar .... 47 Tablo 6. Ġyi Bir ĠĢ Sürekliliği Planı Hazırlarken Ġzlenecek Yola ĠliĢkin Tematik Analiz ......................................................................................................................... 73 Tablo 7. ĠĢ Sürekliliği Planının En Önemli Parçasına ĠliĢkin Tematik Analiz .......... 77 Tablo 8. Firmaların ĠĢ Sürekliliği Planını Uygulamaya Ġten Faktörlere / GeliĢmelere ĠliĢkin Tematik Analiz................................................................................................ 80 Tablo 9. Firmaların ĠĢ Sürekliliği Planının Kurumlara Olan Sonuçlarına ĠliĢkin Tematik Analiz ........................................................................................................... 85 ix ġEKĠLLER Sayfa No ġekil 1. ĠĢ Sürekliliği .................................................................................................... 4 ġekil 2. ISO 22301’in Yapısı ....................................................................................... 9 ġekil 3. ĠSYS Süreçlerine Uygulanan PUKÖ Modeli ................................................ 11 ġekil 4. ĠĢ Sürekliliği Yönetimi YaĢam Döngüsü ...................................................... 19 ġekil 5. Risk Tanımının Temel BileĢenleri ................................................................ 34 ġekil 6. Risk Yönetimi Süreçleri ................................................................................ 39 ġekil 7. Risk Analizi AkıĢ Diyagramı ........................................................................ 41 ġekil 8. Yenilik Yönetim Çerçevesi ........................................................................... 50 ġekil 9. Yenilik Yönetim Süreci Modeli .................................................................... 52 ġekil 10. Yeniliğin Gücü ............................................................................................ 61 x GRAFĠKLER Sayfa No Grafik 1. ĠĢ Sürekliliğini Engelleyen Faktörler ............................................................ 5 Grafik 2. Kurumsal Ölçekte Risk Dağılımı................................................................ 35 xi KISALTMALAR ABD : Amerika BirleĢik Devletleri Ar-Ge : AraĢtırma ve GeliĢtirme BDDK : Bankacılık Düzenleme ve Denetleme Kurumu COSO : Sponsor Organizasyonlar Komitesi (Committee of Sponsoring Organizations) GSMH : Gayri Safi Milli Hasıla ISO : Uluslararası Standartlar KuruluĢu (International Organization for Standardization) ĠEA : ĠĢ Etki Analizi ĠS : ĠĢ Sürekliliği ĠSP : ĠĢ Sürekliliği Planı ĠSY : ĠĢ Sürekliliği Yönetimi ĠSYS : ĠĢ Sürekliliği Yönetim Sistemi PUKÖ : Planla – Uygula – Kontrol Et – Önlem Al TS : Türk Standardı TÜBĠTAK : Türkiye Bilimsel ve Teknolojik AraĢtırma Kurumu UEKAE : Ulusal Elektronik ve Kriptoloji AraĢtırma Enstitüsü USD : Amerikan Doları YGG : Yönetimin Gözden Geçirmesi xii GĠRĠġ ĠĢ dünyasının sürekli bir geliĢim ve değiĢim içerisinde olduğu bilinmektedir. KüreselleĢme ile birlikte iletiĢim teknolojilerinin geliĢmesi neticesinde hız kazanan Ģirketler arası rekabete bağlı olarak bazı Ģirketlerin, hem değiĢen ve zorlaĢan Ģartlardan dolayı hem de iyi yönetilemediği için ayakta durma Ģansı olmamaktadır. Aslında Ģirketlerde iĢleri kesintiye uğratan ya da baĢarısız kılan olaylar planlı değildirler. Kesinti sebebi olan olaylar daha çok bazı baĢarısızlıklar gibi istenmeyen olaylardır. ĠĢ sürekliliğinin tam olarak sağlanabilmesi için planlanmamıĢ istenmeyen olayların yönetilebilmesi gerekmektedir. Bu durumda risk kavramı ortaya çıkmaktadır. Risk, istenmeyen bir olaya yönelik ve bu olayın sonuçlarının Ģiddetini ve meydana gelme olasılığını da içermektedir. Ġstenmeyen olayların olma olasılığının veya olumsuz sonuçlarından kaynaklanan Ģiddetinin azaltılması ile iĢlerdeki kesintiler ve baĢarısızlık durumları da azalmaktadır. Ancak kesintiler ve baĢarısızlıklar kabul edilebilir seviyenin altına çekildiğinde iĢ sürekliliği sağlanmıĢ olmaktadır. ĠĢleri kesintiye uğratan olayların belirlenmesi, tanımlanması, olasılığının tespiti, Ģiddetinin belirlenmesi, değerlendirilmesi, önlem alınması, olasılığının azaltılması, Ģiddetinin azaltılması ve izlenmesi risk yönetiminin aĢamalarıdır. Dolayısı ile iĢ sürekliliği ancak baĢarılı bir risk yönetimi ile mümkündür. Risk yönetiminde olmazsa olmaz unsur ise baĢarılı bir risk analizidir. ÇeĢitli tehlike belirleme ve risk analizi teknikleri mevcuttur. Ancak risk yönetimini yapabilmek için tek baĢına yeterli ve kapsayıcı ne bir analiz tipi ne de analiz tekniği mevcuttur. Bu planların ana hedefi; çeĢidi ve nedeni ne olursa olsun Ģirketin paydaĢlarına sunulan ürün ve hizmetlerin aksama yaĢadığı durumlarda; • ĠĢlerin kesintisiz, asgari düzeyde ve kabul görür bir ölçüde sürdürülüyor olması, • Kesinti oluĢması halinde ise en kısa zamanda iĢlerin yeniden yürütülmesi konusunda kağıt üzerinde de belirlenerek bir hareket tarzı oluĢturmak ve bunun sürekliliğini sağlamaktır. Yenilik yönetimi yeni düĢüncelerin ticari kazançlara dönüĢtürülmesini kapsamakla beraber iĢletmelerin hayatlarını devam ettirebilmelerini sağlayan ve karlı büyüme yaratan bir süreçtir. Bu süreçte sadece belirli alanlar değil iĢletmelerin tümünü kapsayan bir iĢleyiĢ yer almaktadır. Bu iĢleyiĢte ürün ve hizmetin yanı sıra pazara iliĢkin, sürece iliĢkin ve örgüte iliĢkin boyutlar birbiriyle iliĢkilidir. Söz konusu iĢleyiĢ ile yeniliklerin, toplumun yaĢam kalitesini yükseltmek üzere uzun vadeli planlamalarda yardımcı niteliğinde olacağını, rekabet ederken iĢletme amaçlarını gerçekleĢtirebilecekleri bir araç olacağını söylemek mümkündür. Bu bilgiler ıĢığında çalıĢma üç bölümden oluĢmaktadır. Birinci bölümde iĢ sürekliliği kavramı, amacı, faydaları, iĢ sürekliliği standartları ve iĢ sürekliliği yönetim sistemi açıklanmıĢtır. Yine aynı bölümde iĢ sürekliliği planı kavramı, önemi, iĢ sürekliliği planı oluĢturulurken yapılması gerekenler ayrıntılı bir Ģekilde belirtilmiĢtir. Ayrıca risk ve kurumsal risk kavramları üzerinde durulmuĢ, risk yönetimi kavramı, risk analizi ve iĢ etki analizi, kurumsal risk yönetimi, ve riskin iĢ sürekliliği arasındaki iliĢkiye değinilmiĢtir. ÇalıĢmanın ikinci bölümünde ise, yönetim yeniliklerinin benimsenme nedenleri, yönetim yeniliklerini belirleyen faktörler ve yönetim yeniliklerinin benimsenmesinin sonuçları ayrıntılarıyla açıklanmıĢtır. Üçüncü bölümünde Türkiye’de iĢ sürekliliği yönetimi uygulaması olan firmalarda gerçekleĢtirilen araĢtırmanın ayrıntıları paylaĢılmaktadır. Bu bölümde öncelikle araĢtırmanın yöntemi; araĢtırmanın amacı, örneklemi, veri toplama ve analiz yöntemi anlatılmaktadır. Ardından toplanan verilerin analizi neticesinde ulaĢılan bulgular paylaĢılmaktadır. Bölüm araĢtırma bulgularının mevcut yazınla kıyaslandığı tartıĢma bölümüyle sonlandırılmaktadır. 2 BÖLÜM I Ġġ SÜREKLĠLĠĞĠ YÖNETĠMĠ VE KURUMSAL RĠSK 1. Ġġ SÜREKLĠLĠĞĠ 1.1. ĠĢ Sürekliliği Kavramı Kurumların en önemli varlığı olan verilerin korunması önceleri sadece yedekleme çözümleriyle sağlanırken günümüzde verilerin sürekli ulaĢılabilir olması önem kazanmıĢtır. Kurumların e-posta, veritabanı, e-ticaret gibi kritik sunucularına ulaĢamaması sadece para değil aynı zamanda itibar kaybına da neden olmaktadır. Kurumlardaki kritik öneme sahip bir sunucunun hizmet verememe durumu sadece Ģirketin bir bölümünü değil tamamını etkilemektedir. Dolayısıyla bu sunucuların yedeklenmesinin ötesinde sürekliliğinin sağlanması çok daha fazla önem arz etmektedir. ĠĢ sürekliliği, Ģirket bilgi sistemleri bileĢenlerinin herhangi birinde arıza, kesinti, eriĢilememe, performans ve kapasite sorunları gibi durumlarla karĢılaĢıldığında Ģirket faaliyetlerinin sürekliliğini sağlayacak standartlarda tasarlanması, kurulması ve 1 yönetilmesi olarak tanımlanmaktadır . ISO 22301 standardında ise iĢ sürekliliği için; “bir organizasyonu ürün ve servislerini kesinti olayı sonrasında kabul edilebilir seviyede sürdürebilme 2 kapasitesidir” denmektedir . Yine bir diğer tanımda iĢ sürekliliği, “türü ve sebebi ne olursa olsun herhangi bir kesinti veya felaket durumunda bir organizasyonun kritik iĢ fonksiyonlarının sürekliliğini sağlayan bir yöntem” olarak tanımlanmaktadır. 1 Ġzzet Gökhan Özbilgin, “Yeni Bir Standart – “ISO 22301: ĠĢ Sürekliliği Yönetimi Sistemi””, Bilişim Kültürü Dergisi, Yıl.40, Sayı.144,2012, s.100. 2 ISO 22301:2012, “Business Continuity Management”, 2012, Madde 3. 3 Ġçerik olarak çok fazla değiĢmese de Bajgoric ve Moon iĢ sürekliliği terimini, “bir iĢin bir tür baĢarısızlık veya felaket meydana gelse bile, faaliyetlerini sürdürme 3 yeteneği” olarak tanımlamaktadırlar . ġekil 1. ĠĢ Sürekliliği Kaynak: Özgüven Saymaz, “ĠĢ Sürekliliği”, ISACA Hizmete Özel Sunum, 27.02.2016, Ġstanbul. 4 ĠĢ Sürekliliği, paydaĢlara sunulan ürün ve hizmetlerin gerçekleĢtirilmesinde ;  5Kesintiye ve iĢ kaybına sebebiyet verebilecek olağanüstü durumların (risklerin) belirlenerek tedbir alınmasına,  GerçekleĢmesi durumunda firmanın öncelikle kritik iĢ fonksiyonlarının, akabinde diğer iĢ fonksiyonlarının,  Asgari kesinti süresi ve iĢ kaybıyla,  Olay öncesi kapasiteye en yakın düzeyde devamlılığının sağlamasına yönelik yürütülen çalıĢmaların tümüdür. 3 Nijaz Bajgoric, Moon Young, “Enhancing Systems Integration By Incorporating Business Continuity Drivers”, Industrial Management & Data Systems, Volume. 109(1), 2009, pp.74-97. 4 Özgüven Saymaz, “ĠĢ Sürekliliği”, ISACA Hizmete Özel Sunum, 27.02.2016, Ġstanbul. 5 Ürün, hizmet ve süreçlerdeki kesinti kısmen (bir veya birkaç ürün, hizmet ve kanal) olabileceği gibi tamamen tüm ürün, hizmet, süreç ve kanal da olabilir. 4 Grafik 1’de görüldüğü üzere; deprem, yangın vb. gibi iĢ sürekliliğini engelleyen olaylar %1 paya sahip iken, iĢ sürekliliği planı olmayan hususlar %13’e 6 tekabül etmiĢtir. Geriye kalan tüm durumlarda da planlamanın olduğu görülmektedir . Grafik 1. ĠĢ Sürekliliğini Engelleyen Faktörler 1% 13% Felaketler Planlanmayan Durumlar Planlanan Durumlar 86% Olağanüstü durumlar ve felaketler Ģirketlere ciddi mali kayıplarla beraber, itibarlarını da zedelemeye sebep olmakta, müĢteri ya da pazar kaybı sorunlarıyla karĢılaĢılabilmektedir. Bu gibi sebeplere karĢı hem hazırlıklı olmak hem de organize Ģekilde bir plan, program yaparak Ģirketin tamamına yayılmıĢ bir kültürle hareket etmek gerekmektedir. ġirketlerin ancak bu Ģekilde hayata geri dönüĢü mümkün olabilmektedir. 7 Bu nedenle iĢ sürekliliği organizasyonları kurmaları gerekmektedir . 6 Atik Kulaklı, Serpil Aslan, “ĠĢletmelerde Bilgi Teknolojilerindeki GeliĢmelerin ĠĢletme ve Yönetim Fonksiyonları Üzerine Etkileri”, Beykent Üniversitesi Sosyal Bilimler Dergisi, 4(1), 2010, s.3. 7 Rıdvan Akçiçek, “Tag Archives: İş Sürekliliği Nedir? İş Sürekliliği Yönetim Sistemi‖, http://ridvanakcicek.wordpress.com/tag/issurekliliginedir/ 2011, (10.01.2019). 5 1.2. ĠĢ Sürekliliğinin Amacı ĠĢ süreklilik yönetimi, bir iĢletmeye yönelik potansiyel tehlikeleri tanımlayan ve bu tehlikelerin etkilerini açıklayan, iĢletmenin paydaĢlarının çıkarlarını, iĢletmenin ününü, marka kalitesini ve değerlerini koruyan etkili karĢılıklar geliĢtirebilecek örgütsel 8 esnekliği inĢa etmek için bir çerçeve sunan, bütüncül bir yönetim sürecidir . ĠĢletmeler, acil bir durum, bir doğal afet, kaza, resmi iĢlemler veya krizlerle ilgili farklı Ģiddetlerde farklı sorunlarla karĢılaĢabilmekte ve sorunlar iyi Ģekilde yönetilmediği takdirde iĢletmenin sonunu getirebilmektedir. PlanlanmamıĢ bir kriz yönetimi Ģirketin imajını sarsacağı gibi, aĢırı durumlarda iĢletmenin ciddi hasarlar almasına yol açabilmektedir. Bu nedenle iĢletmelerin bu tip sorunlara önceden hazırlıklı olması gerekmektedir. Bu sırada devreye giren iĢ sürekliliği; olağanüstü durumlara karĢı hazırlıklı olmayı, olaylara hızlı ve etkili tepki vermeyi, insan hayatının, varlıkların ve Ģirket itibarının korunmasını güvence altına almayı amaçlamaktadır. BaĢka bir ifadeyle iĢ sürekliliği amaçlarını aĢağıdaki gibi maddelemek mümkündür;  ÇalıĢanların ve diğer varlıkların güvende olmasını sağlamak,  ĠĢ kesintisine sebebiyet verecek hususları belirleyip tedbirler almak,  Olası bir kesinti sonrası önceden belirlenmiĢ kabul edilebilir süreler içerisinde ön görülen mal ve hizmetleri tekrar sunabilir hale gelmektir. 1.3. ĠĢ Sürekliliğinin Faydaları ĠĢ sürekliliği, Tablo 1’de görüldüğü gibi, iĢletme veya kuruluĢ ile alakalı müĢteriler, tedarikçiler, çalıĢanlar, üst yönetim ve hissedarlar olmak üzere iĢletmenin ürün ve hizmetlerini hazırlayan ve kullanan tüm paydaĢlara farklı alanlarda katkı sağlamaktadır. 8 ISO 22301:2012, a.g.e. 6 Tablo 1. ĠĢ Sürekliliğinin PaydaĢlara Fayda Tablosu Kime Ne Kazandırır? MüĢterilere ĠĢletmeden Her Durumda Ürün/Hizmet Alacağına Dair Güvence Hissedarlara ġirket Değerinin Korunması Rekabet Avantajı ġirket Ġtibarının Korunması Üst Yönetime Hissedarlara KarĢı Yükümlülüklerin Yerine Getirilmesi Nakit AkıĢının Korunması ÇalıĢanların Güveninin Kazanılması ve Pozitif Mesaj Verilmesi Güvenli Bir ÇalıĢma Ortamı ÇalıĢanlara Olası Bir Afet Sonrası ġirketin Varlığına Devam Etmesi Kriz Anında Sorumlulukların Doğru Bir ġekilde PaylaĢılması Tedarikçilere Güvenilir Bir ĠĢ Ortaklığı Kaynak: Marsh DanıĢmanlık, ĠĢ Sürekliliği Eğitim Notları, 2010, s.7. 9 Ayrıca iĢ sürekliliği ile ilgili faydaları aĢağıdaki gibi sıralamakta mümkündür ;  Marka değeri, saygınlık ve itibarı korumada yardımcı olur.  PaydaĢlarına ve iliĢkide olduğu kurum ve kuruluĢlara güvence sağlar.  MüĢteri güveni oluĢturmaya yardımcı olur.  Yasa ve yönetmeliklere uyum kolaylığı sağlar.  Maruz kalınan risklerin yönetilmesini sağlar.  Kritik ürün ve hizmetlerin tespit edilmesini sağlar.  Kesintileri, hasarları ve kayıpları önlemeye yönelik kabiliyeti arttırır.  Beklenmeyen kesintilere yönelik stratejilerin geliĢtirilmesi ile hızlı ve etkili müdahale gücünü arttırır. 9 Özgüven Saymaz, “ĠĢ Sürekliliği Yönetim Sistemi”, Üst Yönetim Farkındalık Semineri, Özgüven Atölyesi, 2018. 7  Sistematik yönetim yaklaĢımı ile kiĢilere olan bağımlılığı azaltırken, sisteme dayalı çalıĢmayı destekler.  Bilgi teknolojilerinin alt yapısının iyileĢtirilmesine ve bilgi teknoloji süreçlerinin geliĢtirilmesine destek olur.  Üretim için gerekli makine ve teçhizatın verimli ve etkin yönetilmesini sağlar.  ĠĢ süreçlerinde otomasyonun geliĢtirilmesine destek olur.  Ürün ve hizmetlerin devamlılığı sayesinde rekabet avantajı sağlar.  Tedarikçi yönetiminde etkin rol alarak, tedarikçi kaynaklı risklerin yönetimini sağlar.  Personeli olağanüstü durumlara karĢı hazırlıklı hale getirir.  Personele finansal (gelir) ve fiziksel (can) güvence sağlar. 1.4. ĠĢ Sürekliliği Standartları ĠĢ sürekliliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO 22313:2012 ĠĢ Sürekliliği Yönetimi Ġçin Uygulama Prensipleri” standardıdır. Bu standart, iĢletmeler içerisinde iĢ sürekliliği yönetimini baĢlatmak, gerçekleĢtirmek, sürdürmek ve iyileĢtirmek için genel prensipleri ve yönlendirici bilgileri ortaya koymaktadır. ISO 22301 ve ISO 22313 standartları ĠSYS konusunda en temel baĢvuru kaynaklarıdır. Bu iki standart da doğrudan ĠĢ Sürekliliği konusunu ele almaktadırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmemektedirler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte 10 serbesttirler . 10 Ali Dinçkan, “ISO 22301 ĠĢ Sürekliliği Yönetim Sistemi Standardı”, Beyazşapka, Ağustos, https://www.slideshare.net/btyon/iso-22301-sreklilii-ynetim-sistemi-standard, (17.01.2019), 2013, s.5. 8 1.4.1. TS ISO 22301 Standardı 2006 yılında çalıĢmaları baĢlatılan ISO 22301 numaralı standarda en çok katkıyı Avustralya, Fransa, Almanya, Japonya, Kore Cumhuriyeti, Singapur, Ġsveç, Tayland, Ġngiltere ve Amerika BirleĢik Devletleri sunmuĢtur. “ISO 22301 İş Sürekliliği Yönetim Sistemi‖ standardı 2012 yılında ISO (223 numaralı komite) tarafından 11 yayımlanmıĢtır . Bu standart iĢ sürekliliği için Ģartları belirlemektedir. Aynı standart 2013 Eylül ayında TSE tarafından Türkçeye çevrilerek TS ISO 22301:2013 numarasıyla 12 Türk standardı olarak kabul edilmiĢtir . ISO 22301 standardını aĢağıdaki ġekil 2’de ayrıntılarıyla görmek mümkündür. ġekil 2. ISO 22301’in Yapısı Kaynak: BTYÖN DanıĢmanlık, “ISO 22301 ĠĢ Sürekliliği ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi”, ss.1-12, 2015, https://www.slideshare.net/btyon/iso-22301-sreklilii-ynetim-sistemi-ve-iso- 27001-bilgi-gvenlii-ynetim-sistemi, (25.03.2019). 11 ISO 22301:2012, a.g.e. 12 Türk Standartlar Enstitüsü, “ĠĢ Sürekliliği Yönetim Sistemi-Gereksinimler”, Ankara: TSE, 2013, ss.1- 19. 9 ISO 22301 standart kapsamında yer alan bazı kavram ve ĠSYS unsurları 13 aĢağıdaki gibidir ;  ĠSYS bileĢenleri: ISO 22301 numaralı standarda göre iĢ sürekliliği yönetim sisteminin bileĢenleri beĢ kısımdır. Bunlar; politika, sorumlulukları tanımlanmıĢ personel, yönetim süreçleri, dokümantasyon ve kuruluĢla ilgili iĢ sürekliliği yönetim süreci Ģeklindedir.  Ġlgili tarafların belirlenmesi: ĠSYS kurulum aĢamasında ilgili taraflar ve ilgili tarafların gereksinimleri belirlenmelidir.  Kaynaklar: ĠSYS’nin kurulması, gerçekleĢtirilmesi, sürdürülmesi ve sürekli iyileĢtirilmesi için gerekli olan kaynakları kurum sağlamalıdır.  Planla - uygula - kontrol et - önlem al (PUKÖ) modeli: ISO tarafından çıkarılan diğer standartlar gibi bu standart da bir kuruluĢun ĠSYS’nin planlanmasına, kurulmasına, gerçekleĢtirilmesine, iĢletilmesine, izlenmesine, gözden geçirilmesine, sürdürülmesine ve etkinliğinin sürekli olarak geliĢtirilmesine Planla-Uygula-Kontrol et-Önlem al (PUKÖ) modelini uygulamaktadır. Böylece, yönetim sistemi standartları arasında belli bir seviyede tutarlılık temin edilmektedir. ġekil 3’de, ĠSYS’nin, girdileri nasıl aldığını ve gerekli iĢlem ve süreçlerden geçirerek sonuçlarının nasıl ortaya çıktığı gösterilmektedir. Yönetilen iĢ süreçleri bu yapının çıktılarıdır. 13 TSE-2013, a.g.e. 10 ġekil 3. ĠSYS Süreçlerine Uygulanan PUKÖ Modeli Kaynak: Türk Standartlar Enstitüsü, “ĠĢ Sürekliliği Yönetim Sistemi-Gereksinimler’’, Ankara: TSE, 2013, ss.1-19. Tablo 2’de ise PUKÖ modelindeki terimlerin açıklaması gösterilmektedir. Tablo 2. Yönetim Sistemi Ġçin PUKÖ Modeli KuruluĢun genel politikaları ve amaçlarına uygun sonuçlara ulaĢılması amacıyla Planla iĢ sürekliliğinin iyileĢtirilmesi ile ilgili iĢ sürekliliği politikasının, amaçlarının, (Tesis et) hedeflerinin, kontrollerini, süreçlerinin ve prosedürlerinin belirlenmesi. Uygula ĠĢ sürekliliği politikasının, kontrollerinin, süreçlerinin ve prosedürlerinin (GerçekleĢtir) gerçekleĢtirilmesi ve yürütülmesi. ĠĢ sürekliliği politikası ve amaçlarına karĢılık performansın izlenmesi ve gözden Kontrol et geçirilmesi; sonuçların gözden geçirilmek üzere yönetime rapor edilmesi; (Gözden geçir) düzeltme ve iyileĢtirme için yapılacak iĢlemlerin belirlenmesi ve yetki verilmesi. Yönetimin yapacağı gözden geçirmenin sonuçlarına dayanarak ve ĠSYS’nin Önlem al kapsamının, iĢ sürekliliği politikasının ve amaçlarının yeniden değerlendirilmesi (Sürdür ve iyileĢtir) suretiyle düzeltici faaliyetler yapılarak ĠSYS’nin sürdürülmesi ve iyileĢtirilmesi. Kaynak: Ġsmail Ġlter, “BiliĢim Hizmetlerinin Sürekliliğine Yönelik Risk Analizi: Bir Kamu Kurumu Uygulama Örneği”, (Yüksek Lisans Tezi), Ankara: Gazi Üniversitesi BiliĢim Enstitüsü, Aralık 2015, s.25. 11  Yasal ve düzenleme amaçlı gereksinimler: KuruluĢ, yürürlükteki kanunlar ve düzenleyici mevzuat gereksinimlerini tespit edip bu gereksinimlere ulaĢmak ve değerlendirmek için kuruluĢ bir prosedür oluĢturmalı ve bu prosedüre göre yasal zorunlulukları takip etmelidir. Kurum, tabi olduğu yasal düzenlemeleri belirledikten sonra ĠSYS’nin kurulmasında, gerçekleĢtirilmesinde ve sürdürülmesinde kanun ve düzenleyici mevzuata uygunluğu sağlamalıdır ve bu uygunluğu sürdürmelidir. Ġlgili prosedür yazılı olmalı ve güncelliğini kuruluĢ sağlamalıdır. Yeni yasal zorunluluklar ve gereksinimler veya bunların değiĢiklikleri, ilgili taraflara duyurulmalıdır. Duyurudan daha etkin ve doğru bir yöntem ise yasal zorunluluk ya da gereksinimleri ilgili prosedürlere dönüĢtürüp kurumun faaliyetleri içine entegre etmektir.  ĠSYS’nin kapsamının belirlenmesi: KuruluĢ,  ĠSYS’nde yer alacak kuruluĢ bölümlerini belirlemeli,  ĠSYS’nin kapsamı içerisinde yer alan ürünleri, hizmetleri ve ilgili tüm faaliyetleri tespit etmeli,  MüĢteriler, yatırımcılar, hissedarlar, tedarik zinciri ve/veya toplumun girdileri ve ihtiyaçları, beklentileri ve menfaatleri (uygun olduğu Ģekilde) gibi ilgili tarafların ihtiyaçlarını ve menfaatlerini dikkate almalı,  KuruluĢun büyüklüğüne, doğasına ve karmaĢıklığına uygun biçimde ĠSYS’nin kapsamını tanımlamalı,  KuruluĢun kapsam tanımlaması yapılırken yürürlükteki yasa ve düzenleyici gereksinimler dâhilinde, iĢ etkisi analizi veya risk analizi çerçevesinde kapsam dıĢı tutulanlarda yazılmalıdır. Bahsi geçen kapsam dıĢı olarak belirlenen unsurlar yazılırken, ĠSYS’nin gereksinimlerini karĢılayarak, iĢ ve iĢlemlerin sürekliliğini sağlamak adına kuruluĢun yeteneğini ve sorumluluğunu etkileyen hususlardan uzak durulmasına özen gösterilmelidir. 12  Yönetimin desteği: Üst yönetim, aĢağıdakileri gerçekleĢtirerek ĠSYS desteğini ortaya 14 koymaktadır .  ĠĢ sürekliliği politikası oluĢturarak,  Risklerin kabul edilmesi ve kabul edilebilir risk seviyeleri için kriteri tanımlayarak,  AlıĢtırma ve test iĢlemlerinin yapılmasında etkin biçimde yer alarak,  ĠSYS amaçlarının ve planlarının hazırlanmasını sağlayarak,  ĠSYS’nin iç denetimlerinin yapılmasını sağlayarak,  ĠSYS’nin gerçekleĢtirilmesi ve sürdürülmesi için gerekli beceri ve uygun yetkiye sahip bir veya birkaç kiĢiyi ĠSYS’den sorumlu olacak Ģekilde belirleyip ĠSYS’nin kurulmasına, gerçekleĢtirilmesine, iĢletilmesine, izlenmesine, gözden geçirilmesine, sürdürülmesine ve iyileĢtirilmesine destek verdiğinin delilini ortaya koymalıdır.  Politika: KuruluĢ amacına uygun, iĢ sürekliliği amaçlarının belirlenmesi için bir altyapı sunan, yerine getirilecek gereksinimleri karĢılamaya ve ĠSYS’nin sürekli iyileĢtirilmesine destek verildiğini gösteren bir iĢ sürekliliği politikası üst yönetim tarafından oluĢturulmalıdır. ĠSYS politikası; yazılı olmalı, duyurulmalı, ilgili tarafların kullanımına da sunulmalı, uygunluğu sürdürmek için gerektiğinde gözden geçirilmelidir.  Görev – sorumluluk ve yetkiler: Yönetim sisteminin iĢ sürekliliği gereksinimlerine uymasını sağlamak üst yönetimin sorumluluğundadır. Ayrıca ilgili görevler için sorumlulukların ve yetkilerin belirlenmesi ve kuruluĢ içerisinde duyurulması üst yönetimin sorumluluğundadır. Üst 14 TSE-2013, a.g.e. 13 yönetim, ĠSYS’nin performansının üst yönetime raporlanması için sorumlulukları ve yetkileri belirlemelidir.  ĠĢ sürekliliği amaçları ve planlar: ĠĢ sürekliliği amaçlarının belirlenmesi ve kuruluĢ içerisindeki fonksiyonlar için ilgili kademelere duyurulması üst yönetim tarafından sağlamalıdır. Kurum, iĢ sürekliliği amaçları konusundaki prosedür ve ilgili belgeleri muhafaza etmelidir. Kimin sorumlu olacağı, neyin yapılacağı, hangi kaynakların gerekli olacağı, amaçlara ulaĢma iĢleminin ne zaman tamamlanacağı, sonuçların nasıl değerlendirileceği kurum tarafından iĢ sürekliliği amaçlarına ulaĢmak için belirlenmelidir.  Yetkinlik: Kurumda görevlendirilecek personelin verilen görevleri yerine getirebilmesi için sahip olması istenen gerekli yetkinlik belirlenmelidir. Kurum iĢe aldığı personelin, eğitim, öğretim ve deneyim temelinde gerekli yetkinliğe sahip olduğundan emin olmalıdır. Gerektiğinde personelin yeterli düzeyde yetkinliğe sahip olması için eğitim, danıĢmanlık ve rotasyon yapılmalıdır. Verilen eğitimlerin, alınan danıĢmanlığın ve rotasyonların etkinliği de değerlendirilmelidir. Ġstenen yetkinliğe sahip olunduğunu gösteren delili uygun biçimde yazılmıĢ bir bilgi Ģeklinde elinde bulundurmalıdır.  Farkındalık: Bu amaçla personele farkındalık eğitimi verilmelidir. Farkındalık eğitimi sonucunda personel; iĢ sürekliliği politikasının, ĠSYS’nin etkinliğine yaptığı katkının, iĢ sürekliliği uygunsuzluklarının olumsuz sonuçlarının, kesintiye neden olan ihlal olayları sırasında yapılması gereken görevlerinin farkında olmalıdır.  ĠĢ etki analizi (ĠEA): Kurum, iĢ sürekliliği için resmi ve yazılı bir değerlendirme süreci oluĢturmalı, gerçekleĢtirmeli ve sürdürmelidir. Bu süreç, hizmetleri ve hizmet bileĢeni durumundaki faaliyetleri kesintiye uğratan olayların etkilerinin belirlenmesini içermektedir. Bu amaçla iĢ etki analizi formları kullanılmaktadır. 14 ĠĢ etki analizi Ģunlardan oluĢmaktadır; faaliyetlerin tespit edilmesi, bu faaliyetlerin yerine getirilmemesinin zaman içerisindeki etkilerinin belirlenmesi, kabul edilebilir en düĢük seviyedeki faaliyetlerin yeniden baĢlatılması için önceliklendirilmiĢ zaman cetvellerinin düzenlenmesi, söz konusu faaliyetlerin yeniden baĢlatılmasının etkilerinin kabul edilemez hale geldiği sürenin dikkate alınması, söz konusu faaliyetlerdeki bağımlılıkların tespit edilmesi ve kaynakların desteklenmesidir.  Risk belirlemesi: ĠĢleri kesintiye uğratan ihlal olaylarının riski hesaplanmalıdır. Bu amaçla kurum yazılı bir risk metodolojisi oluĢturmalı, gerçekleĢtirmeli ve sürdürmelidir. Bu süreç, ISO 31000’e göre yapılabilmektedir. Kurum, kritik faaliyetlerde, süreçlerde, sistemlerde, bilgide, insanlarda, varlıklarda, kurum dıĢındaki paydaĢlarda ve sayılanları destekleyen diğer kaynaklarda kesinti yaĢanması risklerini belirlemelidir. Riskler sistematik olarak analiz edilmelidir. Kesinti ile ilgili hangi risklerin iĢlenmesi gerektiğinin değerlendirilmesi yapılmalıdır. ĠĢ sürekliliği amacıyla ve kuruluĢun risk iĢtahıyla orantılı risk iĢleme usullerini tespit etmelidir.  Riske karĢı önlem: Kurum, belirlenmiĢ riskler için kesinti olasılığını azaltan, kesinti süresini kısaltan, kesintinin etkisini sınırlayan ön tedbirlerin alınmasını sağlamalıdır. Risk iĢtahına göre uygun risk iĢlemleri belirlenmeli ve gerçekleĢtirilmelidir.  ĠĢ sürekliliği planı: ĠĢ sürekliliği ihlal olaylarına karĢılık vermede kullanılacak prosedürler kurum tarafından oluĢturulmalıdır. Kurum, önceden belirlenen zaman dilimlerinde faaliyetlerini nasıl sürdüreceğini veya eski haline getireceğini yazılı hale getirmelidir. Söz konusu prosedürler, anılan prosedürleri kullanacak personele yönelik olmalıdır. ISO 22301 standardı iĢ sürekliliği planlarının aĢağıda yazılı olanları bir 15 arada içinde bulundurmasını istemektedir ; 15 TSE-2013, a.g.e. 15  Bir ihlal olayı sırasında veya sonrasında yetkili Ģahıslar veya ekiplerin görev ve sorumluluklarının tanımı,  KarĢılığın verilmesi iĢleminin baĢlatılmasına yönelik prosedür,  AĢağıdaki hususlar dikkate alınarak kesintiye neden olan ihlal olayının ilk sonuçlarının yönetilmesi konusundaki ayrıntılar, o Bireylerin refahı, o Kesintiye karĢılık verilmesinde kullanılacak stratejik, taktik ve operasyonel seçenekler, o Öncelikli faaliyetlerde daha fazla kayıpların yaĢanmasının veya öncelikli faaliyetlerin yerine getirilememesinin önlenmesi,  KuruluĢun çalıĢanlarıyla, kendi bağlantılarıyla, önemli ilgili taraflarla ve acil durumda temas kurulacaklarla nasıl ve hangi koĢullar altında iletiĢim kuracağının ayrıntıları,  KuruluĢun, önceden belirlenen zaman dilimlerindeki öncelikli faaliyetlerini nasıl sürdüreceği veya kurtaracağı,  Bir ihlal olayının ardından kuruluĢun basına vereceği cevabın ayrıntıları aĢağıdakileri içermelidir: o ĠletiĢim stratejisi, o Basın ile arada bulunması tercih edilen ara yüz, o Bir basın ifadesinin ana hatları veya Ģablonu, o Uygun sözcüler.  Ġhlal olayı bittiğinde normal duruma geçiĢ süreci. 16  Tatbikat ve test: ĠĢ sürekliliği prosedürlerinin iĢ sürekliliği amaçlarıyla tutarlı olmasını sağlamak amacıyla iĢ sürekliliği prosedürleri denenmeli ve 16 test edilmelidir. Bu kapsamda ;  Testler, ĠSYS’nin kapsamı ve hedefleriyle tutarlı olmalı,  Net bir biçimde tanımlanmıĢ amaç ve hedeflerle iyi Ģekilde planlanan uygun senaryolara dayanan tatbikatlar planlanmalı,  Tatbikatlarda, tarafları da içeren kendi iĢ sürekliliği anlaĢmalarının tümünün geçen zaman zarfında geçerliğini yönetim üstlenmeli,  ĠĢlemlerin kesintiye uğrama riskini en aza indiren testler yapılmalı,  ĠyileĢtirmeleri gerçekleĢtirmek için sonuçları, tavsiyeleri ve faaliyetleri içeren tatbikat sonrası içeriği tanımlanmıĢ raporlar hazırlanmalı,  Testler, sürekli iyileĢtirmenin teĢvik edilmesi kapsamında gözden geçirilmeli,  Planlı aralıklarla ve kuruluĢ içerisinde veya kuruluĢun çalıĢtığı ortamda önemli değiĢiklikler olduğunda testler yapılmalıdır.  Ġç denetim: Organizasyonlar, kurdukları ĠSYS’nin çalıĢıp çalıĢmadığını ve bu standardın gereksinimlerini karĢılayıp karĢılamadığını kontrol etmek amacıyla planlanan aralıklarla iç denetim yapmalıdırlar. Denetimler için sorumluluklar ve gereksinimler tanımlanmalıdır. Denetim programları yapılmalı ve gerçekleĢtirilmelidir. Denetim sonucunda tespit edilen uygunsuzlukları düzeltmek için etkisine uygun Ģekilde düzeltici faaliyetler dizisi gerçekleĢtirilmelidir.  Yönetimin gözden geçirmesi (YGG): ĠSYS üst yönetim tarafından planlanan aralıklarda ya da önemli değiĢikliklerde gözden geçirilmelidir. YGG toplantıları yapılmalı ve ĠSYS’nin yeterliliği, etkinliği ve uygunluğu 16 TSE-2013, a.g.e. 17 konusunda emin olunmalıdır. Yönetimin gözden geçirmesi, önceki gözden geçirme iĢlemlerinin durumunu, iĢ sürekliliği yönetim sistemiyle ilgili iç ve dıĢ konulardaki değiĢiklikleri, iĢ sürekliliği performansı konusundaki bilgiyi, uygunsuzlukları, düzeltici faaliyetleri, değerlendirme sonuçlarının izlenmesini, denetim sonuçlarını ve sürekli iyileĢtirme hususlarını göz önüne almalıdır. 1.4.2. TS ISO 22313 Standardı ĠĢ sürekliliği yönetim sistemlerini konu alan bu standart “Toplumsal güvenlik – ĠĢ sürekliliği yönetim sistemleri” adıyla anılmaktadır. KuruluĢların iĢlerinde, yarıda kalan ve sonuca ulaĢamayan olaylara hazırlıklı olmasını, müdahale edebilmesini ve normal faaliyet akıĢına dönebilmesini sağlayan dokümante edilmiĢ bir yönetim sisteminin planlanması, tesis edilmesi, uygulanması, iĢletilmesi, izlenmesi, gözden geçirilmesi, idame ettirilerek ve sürekli olarak iyileĢtirilmesi açısından uluslararası iyi 17 uygulamalara dayalı olarak rehber bilgileri kapsamaktadır . 1.5. ĠĢ Sürekliliği Yönetim Sistemi ve Önemi ĠĢ sürekliliğini yönetme amacına yönelik etkileĢimli süreçler bütününe iĢ sürekliliği yönetim sistemi (ĠSYS) denmektedir. Bazı kurumlar adı ĠSYS olmasa da kendilerine ait farklı yönetim sistemleri ile iĢ sürekliliğini sağlamıĢlardır. Birçok kurum direkt iĢ sürekliliğini amaçlamadan da iĢ sürekliliğinin birçok gereksinimini yerine getirebilmektedir. ĠĢ sürekliliğini amaçlayan yönetim sistemleri, bir standarda dayanmak zorunda olmasa da bazı komiteler tarafından iĢ sürekliliği yönetim sistemi standartları geliĢtirilmiĢtir. Ancak kurumlar iĢ sürekliliklerini bu standartlardan birine göre kurduklarında hem kendilerini daha fazla güvende hissetmekte hem de kabul 17 ISO 22313:2012, “Societal Security – Business Continuity Management Systems – Guidance”, https://www.iso.org/standard/50050.html, (25.03.2019). 18 görmektedirler. Böylelikle dünya çapında kabul gören “ISO 22301 İş Sürekliliği 18 Yönetim Sistemi‖ standardı devreye girmektedir . AĢağıdaki ġekil 4’de iĢ sürekliliği yönetiminin yaĢam döngüsü içerisinde nasıl ilerlediği net bir Ģekilde görülmektedir. ġekil 4. ĠĢ Sürekliliği Yönetimi YaĢam Döngüsü Kaynak: Özgüven Saymaz, “ĠĢ Sürekliliği Yönetim Sistemi”, Üst Yönetim Farkındalık Semineri, Özgüven Atölyesi, 2018. 18 Ġsmail Ġlter, “BiliĢim Hizmetlerinin Sürekliliğine Yönelik Risk Analizi: Bir Kamu Kurumu Uygulama Örneği”, (Yüksek Lisans Tezi), Ankara: Gazi Üniversitesi BiliĢim Enstitüsü, Aralık 2015, s.21. 19 Günümüzde iĢ dünyasının küreselleĢmiĢ doğası, teknoloji kullanımının yaygınlığı, her iki kuruluĢun ve devletin karĢı karĢıya kaldığı tehdit ve risklerin çeĢitliliği ve küresel finansal konular, 21. yüzyıla doğru ilerledikçe karĢılaĢılan kriz olaylarının çeĢitliliği ve türleri anlamına gelmektedir. Bu sebeple rekabetçi ve baĢarılı olmak isteyen kuruluĢlar, herhangi bir ciddi iĢ kesintisi durumunda karlılığa devam etmek için daha fazla esneklikle korunmalıdır. Mevcut yönetim düĢüncesi, son tüketici gereksinimlerini karĢılamak, ürün kullanılabilirliği ve zamanında teslimat gibi temel hedeflere odaklanmaktadır. Hâlbuki hayatta kalabilmek için firmaların tüketiciye doğru ürünü, doğru zamanda ve kesintisiz olarak temin etmesi gerekmektedir. Bu sebeple kuruluĢların, tüm potansiyel tehditlere karĢı, daha planlı ve daha hazır olması gerekmektedir. ĠĢ sürekliliği yönetimi incelenirken aĢağıda belirtilen kavramlarında 19 incelenmesi gerekmektedir ; RTO; kesintiye uğrayan iĢ veya hizmet sürecinin ne kadar zaman sonra tekrar faal duruma gelebileceğine dair belirlenen hedef süredir. RTO değerinin 30 dakika olması uygulamanın veya sürecin herhangi bir sebepten dolayı çalıĢamaz duruma gelmesi sonucunda 30 dakika içerisinde tekrar çalıĢır duruma getirilmesini ifade etmektedir. RPO; bir iĢ veya hizmet süreci için iĢletmenin kabul edebileceği en yüksek düzeyde veri kaybını süre olarak belirtmektedir. Bir süreç için RPO değerinin 4 saat olması sürecin en fazla 4 saatlik veri kaybına tahammülü olduğunu ifade etmektedir. Herhangi bir sebepten dolayı veri kaybı yaĢandığında 4 saat önceki veri geri yüklenmektedir. ĠĢ sürekliliği yönetimi, bütünsel yaklaĢımıyla aksaklık / kriz / afetin sebebi ne olursa olsun önemli iĢ süreçlerinin devamını sağlayabilmektedir. Etkin iĢ sürekliliği yönetimi, kuruluĢların dinamik, küresel ve müĢteri odaklı olan günümüzün çağdaĢ pazarında rakiplerine göre avantaj kazanmalarını sağlamaktadır. 19 Vedat Aydemir, “ĠĢ Sürekliliği Yönetim Sistemi ve Bankacılık Sektörüne Yönelik Model”, (Yüksek Lisans Tezi), Ġstanbul: Ġstanbul Sabahattin Zaim Üniversitesi Sosyal Bilimler Enstitüsü, 2016, s.24. 20 2. Ġġ SÜREKLĠLĠĞĠ PLANI 2.1. ĠĢ Sürekliliği Planı Kavramı ĠĢ sürekliliği planlaması, iĢletmelerin herhangi bir felaket veya iĢ kesintisi anında sahip olduğu varlıkları korumasını amaçlayan ve kabul edilebilir bir seviyede 20 hizmet vermeye devam etmesini sağlayan süreçlerin yönetimidir . ĠSP, olay sonrası kesintiye uğrayan süreçleri iĢ etki analizi çalıĢmasında belirtilen süreler içerisinde tekrar ayağa kaldırarak kesintinin etkisini asgariye indirmek için uygulamaya konulan plan olarak da ifade edilmektedir. Her iĢ birimi ve destek birimi (insan kaynakları, kurumsal iletiĢim, kalite, bakım-onarım, bina ve inĢaat vb.) için ayrı ayrı hazırlanmalıdır. ĠĢ kurtarma planında yer alan bilgiler iĢ etki analizi çalıĢmasında elde edilen bilgiler olup, iĢ sürekliliği planlarının etkinliği bu analizde elde 21 edilen bilgilerin tamlığı ve doğruluğu ile doğru orantılıdır . Kulkarni ve arkadaĢları çalıĢmalarında, kriz sonrası ĠSP için genel bir çerçeve önermektedir. ĠSP çerçevesi, ĠSP için birden fazla planlama yönü, çok aĢamalı ve çok sayıda ayrıntılı öğeden oluĢmaktadır. Çerçeve temel alınarak, örgütler kriz sonrası iĢ sürekliliği (ĠS) planlarını tasarlayabilir, bunları uyarlayabilir ve/veya değerlendirebilirler. Geleneksel risk yönetimi literatürü, bir krizin bir kuruluĢun iĢ sürekliliği üzerindeki etkisini önleme ve azaltmaya yöneliktir. Bu, genellikle, beklenen risklerin organizasyon üzerindeki etkisini belirleyerek, analiz ederek ve değerlendirerek yapılmaktadır. Buna karĢın, krizler oluĢtuğunda örgütlerin ne yapmaları gerektiğine iliĢkin literatürde nispeten eksiklikler bulunduğunu öne süren yazarlar gelecekteki 20 Melek Nar, Oya Hacire Yüregir, “ĠĢ Sürekliliği Yönetiminde Kritik BaĢarı Faktörlerinin AHP Yöntemi ile Önceliklendirilmesi”, Çukurova Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 33(4), Aralık 2018, s.1. 21 Saymaz, İş Sürekliliği Yönetim Sistemi, s.137. 21 çalıĢmalarında, ĠSP çerçevesinin endüstriye özgü uzantılarını ele alacaklarını 22 belirtmiĢlerdir . Cerullo ve Cerullo iç ve dıĢ bilgi güvenliği tehditleri hakkındaki algılamalar da dâhil olmak üzere, iĢ süreklilik planlarının mevcut durumu hakkında yeni bilgiler veren iç ve dıĢ anketleri analiz etmektedirler. ġirketler, bilgi teknolojisi altyapısına daha fazla bağımlı hale geldikçe iĢ kesintileri riskleri artmaktadır. ĠĢ sürekliliği planlamasına yönelik kapsamlı bir yaklaĢım, iĢ sistemlerinin tüm önemli iĢ kesintilerine karĢı 23 hafifletmeyi amaçlamaktadır . GerçekleĢen olaylar karĢısında baĢarı büyük oranda olay öncesi belirlenen stratejilerin ve bu doğrultuda hazırlanan plan, prosedür ve talimatların içselleĢtirilerek davranıĢa dönüĢtürülmesi ile mümkün olmaktadır. Bu açıdan bakıldığında iĢ sürekliliği planları sadece olay anı ve sonrası kullanılmak için değil olay öncesi hazırlık ve istenen 24 davranıĢların refleks haline getirilmesi için etkin bir Ģekilde kullanılmalıdır . KuruluĢların iĢ sürekliliği yönetim planı oluĢtururken, stratejik, operasyonel ve taktik ihtiyaçları doğrultusunda açıkça belirlenmiĢ hedefleri olmalıdır. Eksik Ģekilde planlanmıĢ, yapılandırılmıĢ ve uygulamaya konulmuĢ bir plan, ciddi biçimde zaman, para ve kaynak israfına yol açabilmektedir. ĠĢ sürekliliği planlaması üç temel ayak 25 üzerine oturtulabilir :  Acil Durum Planlaması: Risk azaltma yöntemleri ile krizi önleyebilme arayıĢı ve planlar, politikalar ve prosedürler sayesinde krize karĢı hazırlıklı olmak.  Kriz Yönetimi: Önceden hazırlanmıĢ süreklilik planları vasıtasıyla, bir kriz durumunun en etkin Ģekilde yönetilmesi. 22 Sharvari Kulkarni, Gezinus J. Hidding, Serhat Cicekoglu, “A Framework for Post-Crisis Business Continuity Plans. In System Sciences (HICSS)”, 48th Hawaii International Conference on, IEEE, 2015, ss.143-152. 23 Virginia Cerullo, Michael J. Cerullo, “Business Continuity Planning: a Comprehensive Approach”, Information Systems Management, 21(3), 2004, ss.70-78. 24 Saymaz, İş Sürekliliği Yönetim Sistemi, s.124. 25 Michael Blyth, Business Continuity Management: Building an Effective Incident Management Plan, New Jersey: John Wiley & Sons, 2009, s.9. 22  Toparlanma - ĠyileĢtirme: Önceden hazırlanmıĢ süreklilik planları vasıtasıyla, bir kriz durumundan en çabuk ve etkin biçimde kurtularak faaliyetlerin devamlılığının sağlanmasıdır. ĠĢ sürekliliği planı, bir acil durum sonrasında kuruluĢun normal faaliyetlerini en kısa sürede ve operasyonların en az etkileneceği biçimde yerine getirebilmesi için yapması gereken faaliyetleri içeren bir planlama çalıĢmasıdır. Kapsamlı bir planın 26 aĢağıdaki bileĢenlere sahip olması gerekmektedir ;  PlanlanmıĢ Prosedürler: Planlı prosedürler, herhangi bir acil durumda, en kısa sürede harekete geçebilmek için harcanacak gereksiz karar verme zamanını azaltmayı hedefler. Bu sayede, önceden belirlenmiĢ prosedürler yardımıyla, anında tepki verilmesi kolaylaĢacaktır.  Üst Yönetimin Desteği ve Bağlılığı: Bir iĢ sürekliliği yönetimi planının baĢarısı, bu planın üst yönetim tarafından benimsenmesine ve desteklenmesine bağlıdır. Bunun gerçekleĢebilmesi için öncelikle üst yönetimin kuruluĢun maruz kalacağı risklerden ve üstlenecekleri sorumluluklardan haberdar olması gerekmektedir. ĠĢ sürekliliğinin bir kurumsal politika olarak belirlenmesi ve kuruluĢ stratejileri içinde yer alması, iĢ sürekliliği planlamasını zorunlu hale getirecektir.  Maliyetler: Maliyetler iĢ sürekliliği planlarının önemli unsurlarından biridir. Maliyetler arasında, sigorta maliyetleri, stok malzeme maliyetleri, iletiĢim maliyetleri, plan oluĢturma maliyetleri, destek, danıĢmanlık, eğitim ve tatbikat maliyetleri gibi çok çeĢitli maliyet kalemleri bulunabilmektedir. ĠĢ sürekliliği planının maliyetleri ölçülebilir maliyetlerdir, bu nedenle bütçelenmeleri de kolaydır. Dolayısıyla planlama projesi içerisinde atamalar yapılırken, maliyetler de belirlenebilir. 26 Denise Johnson Mcmanus, Houston H. Carr, “Risk and the Need for Business Continuity Planning”, içinde: Ken Doughty (Ed.), Business Continuity Planning: Protecting Your Organization’s Life, Boca Raton: Auerbach, 2001, s.6. 23  Planlama: ĠĢ sürekliliği planını oluĢturma süreci, yönetimin ve birçok çalıĢanın katılımı ile gerçekleĢtirilecek kapsamlı bir süreçtir. KuruluĢun, planın kapsamını belirleme, veri toplama, analiz yapma, varsayımları oluĢturma, kurtarma görevlerini belirleme ve dönüm noktalarının belirlenmesi konusunda yapılandırılmıĢ bir yaklaĢım sergilemesi gerekmektedir. Bu iĢlerin gerçekleĢmesi için kuruluĢun tüm birimlerinden sürekli veri akıĢının sağlanması gerekmektedir. 2.2. ĠĢ Sürekliliği Planının Önemi Felaketlere yönelik deneyimler sonucunda, çalıĢma ortamında ve toplumda felaket ihtimalini dikkate alarak potansiyel zararlarını azaltmaya yönelik pek çok tedbir alınmaktadır. Potansiyel felaketlerin istenmeyen olaylar doğurabilecek sonuçlarının tanımlanması gerekmektedir. Toplumda ya da bireysel yaĢamda felaket ihtimali düĢünülürken, acil durum planına sahip kuruluĢ sayısının az olduğu görülmektedir. Maliyetli, zaman kaybına neden olan ve yorucu bir süreç olmasına yönelik algılar veya kültürel algılar ve kaderci yaklaĢımlar nedeniyle felaket planlaması çoğu zaman yapılmamaktadır. “Felaket planlaması”, gerçekleĢme ihtimali düĢük olan olaylara yönelik bir planlama olarak ele alınmaktadır. Maliyet odaklı yöneticiler, felaket planlamasını ikincil sıradaki bir olay olarak ya da yatırım getirisi düĢük bir çaba olarak 27 görmekte ve dolayısıyla kaynak dağılımını bu yönde gerçekleĢtirmektedirler . Felaketler için planlama yapmak, iĢ süreçlerini destekleyen ve beklenmeyen olaylardan olumsuz etkilenmiĢ bilgi sistemlerini ayağa kaldırmak demek değildir. Her kuruluĢta birincil amaç, kesintiye uğramaksızın ürün ve hizmet akıĢının devamlılığını sağlamaktır. Felakete yönelik planlama kavramı, bu kapsamda kısa vadeli kalmaktadır. Ġstenen, kesintisiz ürün ve hizmet ulaĢtırmada süreçleri koruyacak bir organizasyonun gerçekleĢtiği geniĢ bir bakıĢ açısının oluĢturulmasıdır. Bu durumda, temel amacı sadece 27 Selim Yazıcı, İş Sürekliliği Yönetimi Stratejik Bir Değerlendirme, Ġstanbul: Türkmen Kitabevi, 2013, s.58. 24 bilgisayar sistemlerini değil, tüm iĢ süreçlerini kurtarmaya yönelik olan bir iĢ sürekliliği planlamasının yapılması önem kazanmaktadır. Etkin bir iĢ sürekliliği planı oluĢturulmasının kuruluĢlar açısından önemi 28 aĢağıdaki Ģekilde belirtilebilir :  Risklerin haritalanması ve yönetimin bunlara karĢı müdahale planının oluĢturulması,  KuruluĢun faaliyetlerinin ve kurumsal iliĢkilerinin korunması,  KuruluĢun bir krizle karĢı karĢıya olması durumunda, olabileceklerin gerçek bir yansımasının ortaya konulması,  Yöneticilere, çalıĢanlara, müĢterilere ve yatırımcılara karĢı güven oluĢturulması,  Birbirinden farklı ve dağınık yapılarda, kurtarma ölçütlerinin belirlenmesi,  Krize tepki verme ve kriz yönetimi durumunda, içsel ve dıĢsal kaynaklar arasında denge kurulması,  Karlılık ve verimliliğin artırılması; maliyetlerin ve sorumlulukların azaltılması,  Tesisin, kaynakların ve insan hayatının korunması,  Zorunlu ve endüstriyel standartlara uyumun sağlanmasıdır. Türkiye’de ise TÜBĠTAK UEKAE tarafından 2005 yılında yapılan bir 29 araĢtırmanın sonucuna göre kurumların sadece %11’i iĢ sürekliliği planı iĢletmektedir . 28 Blyth, a.g.e., s.7. 29 Saymaz, İş Sürekliliği Yönetim Sistemi, s.51. 25 Fibre Channel Endüstri Birliği’nin yaptığı bir araĢtırmaya göre, felaket durumunda bir Ģirketin sadece 1 saatte uğrayacağı kayıp, bir kargo Ģirketinde 28.000 30 USD, bir menkul değerler Ģirketinde ise 6 milyon USD’ye yakındır . Yukarıdaki çalıĢmalardan da anlaĢıldığı üzere iĢ sürekliliğinin önemi yadsınamaz bir gerçektir. 2.3. ĠĢ Sürekliliği Planı OluĢturmada Adımlar ĠĢ sürekliliği planının oluĢturulması, genellikle bir ihtiyaçtan ortaya çıkmaktadır. Bu ihtiyaç kanuni bir zorunluluk olabileceği gibi, yaĢanmıĢ kötü bir olayın sonucu da olabilmektedir. Burada önemli olan, ihtiyacın ortaya çıkmasını beklemeden, 31 bir farkındalık sonucu böyle bir projenin üst yönetim tarafından baĢlatılmasıdır . ĠĢ sürekliliği planının oluĢturulma süreci, diğer iĢ projelerinin oluĢturulmasına benzemektedir. Formel olarak kullanılan proje yönetimi süreci, farklı kesimlerin koordinasyonunu sağlaması ve kuruluĢlarda bir disiplin sağlaması açısından oldukça önemlidir. Burada önemli olan, iĢ sürekliliği planlarının farklı bir kuruluĢtan kopyalanarak uygulanmaya çalıĢılmamasıdır. Her iĢ sürekliliği planı, kuruluĢa özgü olarak ve kuruluĢun amaçlarına, içinde bulunduğu Ģartlara göre hazırlanmalıdır. ĠĢ sürekliliği planının oluĢturulmasında kullanılan pek çok yöntem mevcuttur. Kullanılan yöntem her ne olursa olsun, iĢ sürekliliği planı öncelikle risk önleme ve risk yönetimi konularını, ardından iyileĢtirme ve sürdürme konularını içermelidir. Etkili bir iĢ sürekliliği yönetim sistemi kurma veya geliĢtirme projesi, tüm analizlerin yapılarak planların geliĢtirilmesi, eğitimlerin verilmesi, tatbikatların yapılması, denetimlerin gerçekleĢtirilmesi, gerekli görülen düzeltici ve önleyici faaliyetlerin baĢlatılması ve yönetim gözden geçirme toplantısı ile sistemin bütüncül olarak gözden geçirilmesi süreçlerini içermelidir. Bu süreçleri içeren bir iĢ sürekliliği 30 Altay Onur, “Risklere Hazırlıklı Olmak Ġçin ĠĢ Sürekliliği Yönetimi”, Mart 2011, https://ahsetr.blogspot.com/2011/03/risklere-hazirlikli-olmak-icin-is.html, (12.01.2019). 31 Yazıcı, a.g.e., s.69. 26 yönetim sistemi projesi aynı zamanda firmayı belgelendirme denetimine hazır hale getirmiĢ olmaktadır. Bu çerçevede düĢünüldüğünde projenin yürütülmesi sürecindeki 32 adımlar aĢağıda ayrıntılarıyla anlatılmaktadır . 2.3.1. Proje Yöneticisinin Atanması, Ön Analiz, Proje Ekibinin ve Proje Kapsamının Belirlenmesi Yönetim tarafından yukarıda özellikleri belirtilen bir proje yöneticisi atanmalıdır. Atanan proje yöneticisi, iĢ sürekliliği yönetim sistemine yönelik; “yasal gereklilikler”, “ulusal ve uluslararası standartlar” ile “iyi uygulama örnekleri” hakkında ön bir araĢtırma yaparak gereksinimleri ve ihtiyaçları tespit etmelidir. Belirlenen gereksinimler ve beklentiler doğrultusunda, projenin baĢlangıç ve bitiĢ görevleri ile çalıĢmanın ana aĢamaları ve bu aĢamaların sonunda üretilecek çıktıları içeren proje kapsamı belirlenmelidir. Bununla birlikte, yukarıda belirtilen özellikler dikkate alınarak projede görev alması uygun olacak kiĢiler tespit edilerek, bütün bu bilgileri içeren bir proje beyanı oluĢturulmalıdır. 2.3.2. Üst Yönetim Onayı ve Proje Ekibinin OluĢturulması Hazırlanan proje beyanı üst yönetimin onayına sunulmalı ve üst yönetimin beklentileri ve ana amaçlar dikkate alınarak projenin kapsamı, hedefleri, görevler, çıktılar, proje ekip üyeleri ile ilgili taraflar ve takvim netleĢtirilmelidir. Projenin beklentiler doğrultusunda tamamlanabilmesi birbirine bağlı ve bağımlı birçok ana ve alt görevlerin uyumlu bir Ģekilde yürütülmesine bağlıdır. Çok küçük projelerde proje 33 yöneticisi ve projede iĢleri fiilen yapan ekip üyesi tek kiĢi olabilmektedir . Ancak genellikle ve özellikle iĢ sürekliliği projesi geniĢ katılımı gerektiren özelliğe sahip olması sebebiyle, yukarıda belirtilen asgari özelliklere sahip, projede iĢleri fiilen gerçekleĢtirebilecek birçok ekip üyesine ihtiyaç duyulmaktadır. Bunun için proje 32 Saymaz, İş Sürekliliği Yönetim Sistemi, s.57-62. 33 Richard Newton, Adım Adım Proje Yönetimi – Başarılı Bir Proje Nasıl Planlanır ve Yönetilir?, Ġlker Gülfidan (Çev.), Ġstanbul: Optimist Yayınları, 2010, s.19. 27 yöneticisi tarafından çalıĢmaya katma değer sağlayabilecek ve istekli kiĢilerden oluĢan iyi bir proje takımı/ekibi kurulmalıdır. 2.3.3. Yönlendirme Komitesinin Belirlenmesi ve Bilgilendirme Sunumu Yapılması Bu aĢamada proje ilerlerken kritik konularda (örneğin yatırım kararı, ürün hizmet kritikliği ve strateji belirleme vb.) karar alma, yönlendirme ve danıĢma görevlerini üstlenecek yönetici ve üstü (üst yönetim) seviyesinde bir ekibin oluĢturulması projenin etkinliği için son derece önemlidir. Bununla birlikte bu ekibin yapısı sektörden sektöre, firmanın büyüklüğüne, organizasyon yapısına ve lokasyonlarına göre farklılık göstermektedir. Örneğin, bir banka için düĢünüldüğünde bu ekipte yer alacak kiĢiler; genel müdür yardımcısı seviyesinde ve asgari olarak insan kaynakları, hazine ve fon yönetimi, operasyon, risk yönetimi, krediler, alternatif dağıtım kanalları, bilgi teknolojileri, kurumsal iletiĢim, satın alma, inĢaat emlak, bütçe- raporlama ve muhasebe birimlerinden sorumlu genel müdür yardımcılarından oluĢması faydalı olmaktadır. Örneğin, orta büyüklükte bir üretim firması için düĢünüldüğünde bu ekipte yer alacak kiĢiler; genel müdür, üretim ve ar-ge müdürü, muhasebe ve finans müdürü, insan kaynakları müdürü, satın alma müdürü, bakım müdürü pozisyonlarından oluĢması faydalı olmaktadır. 2.3.4. AçılıĢ Toplantısı ve Proje Duyurusunun Yapılması Proje beyanı oluĢturulup üst yönetimden onay alındıktan sonra proje ekibine iç yazı, mail veya baĢka bir yöntemle projenin önemi, amacı ve kapsamı hakkında ön bir bilgi verilmelidir. Daha sonra, özellikle proje sponsorunun ve üst yönetimin olduğu ve projede yer alan tüm tarafların katıldığı bir açılıĢ toplantısı yapılarak, projenin önemi, amacı, kapsamı, aĢamaları, proje organizasyonu, ekip üyeleri ve sorumluluklar, çıktılar, öngörülen riskler ve proje takvimi anlatılarak tarafların soruları cevaplandırılmalıdır. Proje açılıĢ toplantısının ana amacı katılımcıları bilgilendirmek, beklentileri ortaya koymak ve katılımcıların desteğini almaktır. Daha sonra proje tüm organizasyona (tüm personele) duyurulmaktadır. Proje duyurusunda özetle; projenin önemi, amaçları, 28 kapsamı, ana adımlar, çalıĢma yöntemi, proje ekibi ve projenin takvimi hakkında bilgilere yer verilmelidir. 2.3.5. Proje Ekibinin Eğitim Alması Proje baĢlangıcında proje üyeleri ve ilgili tüm tarafların, iĢ sürekliliği yönetimi, temel kavramlar, iĢ sürekliliği yönetim sistemi ve ilgili dokümantasyon hakkında farkındalık düzeylerinin arttırılması, bilgi seviyesinin belirli oranda eĢitlenmesi, ekip üyeleri arasında ortak bakıĢ ve algının oluĢturulması amacıyla farkındalık ve uygulama eğitimleri düzenlenmelidir. Bu eğitim, iç kaynakların yeterlilik düzeyi dikkate alınarak içerden veya dıĢarıdan bir eğitimci ile organize edilebilmektedir. Alınan bu eğitim ya da eğitimler sayesinde, hem proje uygulama sürecinin etkin ve verimli geçmesi, hem de üretilen çıktıların firma ihtiyaçlarına hizmet eder nitelikte olması için zemin hazırlanmıĢ olmaktadır. 2.3.6. Saha ÇalıĢması ile Bilgi Toplanması Saha çalıĢmasında, risk analizi ve iĢ etki analizi çalıĢmaları yapılarak organizasyona iliĢkin iĢ sürekliliğine yönelik detaylı bilgiler toplanmaktadır. Bu aĢamada önemli olan, saha çalıĢmasına ilgili tarafların katılımını sağlayarak tam ve doğru bilgiyi zamanında almaktır. Saha çalıĢmasında elde edilen yanlıĢ ve/veya eksik bilgiler ile oluĢturulacak iĢ sürekliliği planları gerçek bir olayda bizi yanlıĢ yöne sevk edeceğinden ve olay karĢısında yetersiz kalacağından dolayı firmayı telafisi çok güç, hatta imkânsız durumlara düĢürebilmektedir. 2.3.7. Saha ÇalıĢması Bulgularının Yönlendirme Komitesi ile PaylaĢılması Risk analizi ve iĢ etki analizi ile elde edilen bilgiler ve bulgular proje yönlendirme komitesine/ekibine sunularak çalıĢmanın gidiĢatı hakkında bilgi verilmelidir. Ayrıca bu aĢamada karar alma, yönlendirme ve danıĢma gerektiren 29 konularda komiteden destek alınmalıdır. Buradan çıkacak kararlar doğrultusunda proje, değiĢim yönetimi kuralları çerçevesinde proje kapsamında ve uygulama sürecinde gerekli değiĢiklikler yapılmalıdır. 2.3.8. Stratejilerin, ĠSY Organizasyon Yapısının Belirlenmesi ve Planların Yazılması Saha çalıĢmasında elde edilen bilgiler ıĢığında yasal gereklilikler, ulusal veya/veya uluslararası standartlar ve firma ihtiyaçlarını karĢılayan en optimum stratejiler, iĢ sürekliliği yönetimi organizasyonu ve iĢ sürekliliği planları geliĢtirilmektedir. Bu aĢamada özellikle stratejilerin belirlenmesi ve uygulama çözümlerinin geliĢtirilmesinde fayda maliyet ve maliyet etkinlik analizi yapılarak stratejiler oluĢturulmalıdır. Aksi halde fazla kaynak tüketimi sebebiyle kaynak israfı veya yetersiz kaynak kullanımı ile etkin olmayan çözümler üretilmiĢ olmaktadır. Bu durum tatbikat ve denetimlerde özellikle değerlendirilmeli, gerekli tedbirler alınmalıdır. 2.3.9. Stratejilerin, ĠSY Organizasyonun ve Planların Yönlendirme Komitesiyle PaylaĢılması Saha çalıĢmasında elde edilen bilgiler ıĢığında yasal gereklilikler, ulusal veya/veya uluslararası standartlar ve firma ihtiyaçlarını karĢılamaya yönelik oluĢturulan stratejiler, iĢ sürekliliği yönetimi organizasyonu ve iĢ sürekliliği planları yönlendirme komitesi ile paylaĢılarak uygunluk alınmalıdır. Bu aĢama geleceğe yönelik bilgi sistemleri, çalıĢma lokasyonu, insan kaynağı, makine araç-gereç ve donanım hakkında kararların alınacağı, sürdürülebilir bir iĢ sürekliliği yönetim sisteminin oluĢturulduğuna dair kararların verildiği çok önemli bir aĢamadır. Bu aĢamada ortaya konan bilgilerin ve planların tam, doğru ve rasyonel olması iĢ sürekliliğinin uygulamadaki performansı için oldukça önemlidir. 30 2.3.10. Planların Duyurulması ve Eğitimlerin Verilmesi ĠĢ sürekliliği yönlendirme komitesi/takımı tarafından uygunluğu teyit edilen iĢ sürekliliği planları üst yönetimin de onayıyla yürürlüğe konulmalıdır. Planların onaylanacağı seviye sektörden sektöre fark göstermekle birlikte, örneğin finans sektöründe bankalara yönelik BDDK tarafından yayınlanan “Bankaların Ġç Sistemleri Hakkında Yönetmelik” Madde 13-1’de iĢ sürekliliğinin yapısını yansıtan planlarda “Yönetim Kurulu” onayı zorunlu tutulmaktadır. Diğer sektörlerde, örneğin sağlık ve üretim sektörlerinde üst yönetim olarak tarif edilen pozisyonların planları yönetim kurullarına anlattıktan sonra kendilerinin onaylaması etkin bir yaklaĢım olabilmektedir. Ancak burada bankalardaki gibi yasal bir zorunluluk yoksa planları kimin onaylayacağı kararını firmanın genel müdürü vermelidir. Onaylanan planlar tüm organizasyona duyurulmakta ve kullanım noktalarında güncel halleri bulunacak Ģekilde dağıtılmaktadır. Tüm personele duyurularak dağıtımı yapılan planların nasıl kullanılacağına iliĢkin bir eğitim programı yapılarak, tüm personele iĢ sürekliliği yönetim sisteminde üstlendikleri roller ve sorumlulukları doğrultusunda eğitimler planlanıp verilmelidir. 2.3.11. Örnek Tatbikatların GerçekleĢtirilmesi Hazırlanan planların iĢlerliğini ve geçerliliğin sınamak, organizasyonun (firmanın) olağanüstü bir durum karĢısındaki reflekslerini ölçmek, çalıĢanların bilgi ve beceri seviyelerini arttırarak davranıĢlarını görmek ve iĢ sürekliliği planlarında belirtilen görevlerin ilgili personel tarafından içselleĢtirilmesini sağlamak amaçlarıyla tatbikatlar düzenlenmelidir. 2.3.12. Örnek Ġç Tetkiklerin Yapılması ve Gerekli Düzeltici ve Önleyici Faaliyetlerin BaĢlatılması Uygulamaya koyulan iĢ sürekliliği yönetim sisteminin planlanan aralıklarla “yeterlilik”, “uygunluk” ve “etkinlik” yönünden tetkik edilerek değerlendirilmesi, varsa 31 aksayan ve geliĢtirilmesi gereken yönlerin tespit edilerek gerekli düzeltici ve önleyici faaliyetlerin baĢlatılması sağlanmalıdır. 2.3.13. Projenin Üst Yönetime Anlatılarak Yönetim Gözden Geçirme Yapılması Projenin son aĢaması olarak, iĢ sürekliliği yönetim sistemine iliĢkin tüm çıktıların ve bulguların değerlendirildiği bir yönetim gözden geçirme toplantısı yapılarak proje kapatılmalıdır. Bundan sonraki süreçte iĢ sürekliliğine iliĢkin geliĢtirmeler bu yönetim sistemini yürütecek ekip tarafından yapılmalıdır. ĠĢ sürekliliğine iliĢkin oluĢturulan tüm belgeler, “ĠĢ Sürekliliği Yönetim Sistemi El Kitabı” adı altında üst bir dokümanda toplanarak, ilgili herkesin yetkileri dâhilinde ihtiyaç anında ulaĢabileceği bir yerde tutulmalıdır. Tüm plan, prosedür, talimat, form vb. dokümanlar bu el kitabında toplanmalı ancak her bir alt dokümana eriĢim ise görev, yetki ve sorumluluk çerçevesinde yetkiye tabi olmalıdır. Bilgi güvenliği göz önünde bulundurularak herkes her dokümana değil, herkes ihtiyacı olan dokümana eriĢebilmelidir. Ayrıca herkesin her dokümana eriĢebiliyor olması bilgi kirliliğine ve karıĢıklığa sebebiyet verebilmektedir. 3. RĠSK VE KURUMSAL RĠSK KAVRAMLARI 3.1. Risk Kavramı ve Tanımı Risk; Fransızca “risque” kelimesinden dilimize geçmiĢ ve sözlük anlamı olarak “zarara uğrama tehlikesi ve öngörülebilir tehlikeleri” ifade etmektedir. Risk, “gelecekte oluĢabilecek potansiyel problemlere, tehdit ve tehlikelere iĢaret eden, belirli bir zaman aralığında, hedeflenen bir sonuca ulaĢamama, kayba ya da zarara uğrama olasılığı” 34 olarak da tanımlanabilmektedir . 34 Erhan KumaĢ, “Bilgi Güvenliğinin Sağlanmasında Risk Yönetimi: E-Devlet Kapısı Uygulaması”, (YayımlanmamıĢ Yüksek Lisans Tezi), Kırıkkale: Kırıkkale Üniversitesi, 2009, s.33. 32 Risk, günlük hayatta sıklıkla kullanılan bir kelimedir. Riskin günlük hayatta kullanımı kadar mühendislik, finans ve bilim alanında da yer edindiği görülmektedir. Risk kelimesi Ġngilizce karĢılığı “Risk” olup ilk defa 1600’lü yıllarda kullanılmıĢtır. 35 Kelimenin kökeni Latince “riziko” ya da Arapça “rızık” köklerinden türetilmiĢtir . Rızık tesadüfi ve istenen olumlu bir durum iken riziko istenmeyen olumsuz bir olaydır. ISO 31000 / ISO Rehber 73’te ise risk; “belirsizliğin bir nesne üzerindeki etkisi” olarak tanımlanmıĢtır. Risk, kullanım alanına göre farklı anlamlar içerse de en genel anlamıyla bir 36 olayın etkisi (Ģiddeti) ile olasılığının fonksiyonudur . Bazı kaynaklarda risk, “Risk= Olasılık x ġiddet” Ģeklinde basit fonksiyon olarak da tanımlanmaktadır. Risk ile belirsizlik yakın anlama sahip olsalar da arada belirgin bir fark vardır. Risk hassas bir Ģekilde ölçülebilmekte ve nicel değer 37 alabilmektedir. Belirsizlik ise, kesin olarak ölçülemeyen durumların ifadesidir . Riskin rol oynamadığı herhangi bir durum düĢünmek zordur. Risk; hava 38 durumu, sağlık, fiyatlar, deprem ve yangın ile ilgili olabilmektedir . Kısacası, risk bir Ģirketin mevcut varlıklarını korumayı ya da değerini artırmayı engelleyen tüm etkenler olarak tanımlanabilir. Belirsizlik anlamında risklerin pozitif veya negatif sonuçları olabilmektedir. Pozitif sonuçlar doğuran riskler fırsatları, negatif sonuçlar doğuran riskler, tehditler üzerinden zararı netice vermektedir. AĢağıda ġekil 5’de risk tanımının temel bileĢenleri gösterilmiĢtir. 35 Jake Ansell, Frank Wharton, Risk: Analysis, Assessment and Management, John Wiley and Sons,1992, s.4-5. 36 Sinda Rebello, Neeraj Kumar Goyal, “Software System Reliability And Safety Assessment: An Extended FMEA Approach”, International Journal of Reliability and Safety, 4 (4), 2010, ss.366-380. 37 Frank H. Knight, Risk, Uncertainty And Profit, Beard Books, 1921, s.19. 38 Ġlter, a.g.e., s.34. 33 Fırsat Belirsizlik Tehlike Avantaja dönüĢtürülen ve DeğiĢimden değer artıĢına dolayı ortaya neden olan risk çıkan risk Kayıp odaklı ġekil 5. Risk Tanımının Temel BileĢenleri Kaynak: Selahattin Koç, “Basel II Kapsamında Kurumsal Risk Yönetimi: Türkiye’de Bankacılık Sektöründe Bir Uygulama”, (YayımlanmamıĢ Doktora Tezi), Kayseri: Erciyes Üniversitesi Sosyal Bilimler Enstitüsü, 2012. Tüm bu tanımlardan anlaĢılacağı üzere risk her kurum için farklıdır, çünkü her kurumun sahip olduğu personel, donanım, yönetim anlayıĢı farklı olduğundan risk analizi çok önemlidir. Her kurum için en iyi risk analizinin yapılması gerekmektedir. Çünkü sahip olunan riskten fazla önlem almak, kontroller yapmak katlanılan maliyetleri arttırmakta ve buda hem kaynak israfına hem de personel bıkkınlığına sebep olabilmektedir. Riski eksik hesaplamakta tehditlere karĢı savunmasız ve önlemsiz olmamız anlamına gelmektedir. 34 Grafik 2. Kurumsal Ölçekte Risk Dağılımı Farkındalık/Ġç Tesis kaybı; 5% tehditler; 9% Terörizm; 3% ĠĢ süreklili ĠĢtirak/DıĢ kaynak ği ve riskleri; 10% Kriz yönetim Ürün/Tedarikçi i; 13% riskleri; 2% Fraud; 8% Uyum ve mevzuat; 11% Personel kaybı; 11% Operasyonel Bilgi güvenliği; büyüme; 6% 16% Bilgi/Fikri mülkiyet; 6% Kaynak: Mustafa Komut, “İş Sürekliliği Organizasyonu‖, Ġstanbul Üniversitesi Siyasal Bilgiler Fakültesi Dergisi, N.49, 2013, s.110. ĠĢ sürekliliği; likidite riski, kur riski veya kredi riski gibi risklere yönelik direkt bir çözüm sağlamamaktadır. Yukarıdaki grafikte kurumsal ölçekte risk dağılımlarının hangi baĢlıklarda olduğu yer almaktadır. Bilgi sistemleri güvenliği %16 ile iĢ sürekliliği ve krizi yönetimi %13 ile en yüksek riskin oluĢtuğu alanlar olduğu görülmektedir. Sonuç olarak, baĢarılı olacak herhangi bir iĢ sürekliliği yönetim programı 39 sağlam ve kesin iĢ risklerinin analizine dayanmalıdır . 3.2. Risk Yönetimi Kavramı Son yıllarda finansal krizlere maruz kalmıĢ ülkelerde yaĢanan krizlerin maliyetinin, GSMH içindeki payının yapılan çalıĢmalarda %55’lere ulaĢtığı tespit 39 Julie Nosworthy, “A Practical Risk Analysis Approach: Managing BCM Risk”, Computers & Security, 19 (7), 2000, ss.596-614. 35 40 edilmiĢtir . Bu itibarla, tüm finansal krizler, risk yönetiminin öneminin giderek artmasına sebep olmaktadır. Riskleri ortaya koyan, yorumlayan, alınacak önlemleri senaryo olarak belirleyip ortaya koyan olguya Risk Yönetimi denmektedir. Risk yönetiminin süreçleri vardır. Bunlar planlama, uygulama, kontrol etme ve önlem alma olarak belirlenebilmektedir. Bu kavramlar çevrimsel olarak birbirini takip etmektedir. Risk yönetimi bir kere yapıldıktan sonra devamlı olarak aynı bileĢenlerin uygulanacağı bir sistem değildir. Dinamiktir ve kurum ile birlikte yaĢamakta, büyümekte ve geliĢmeye 41 devam eden bir süreç olarak ilerlemektedir . Risk yönetim süreci; kapsamın belirlenmesi, risklerin tespit edilmesi, risklerin analiz edilmesi, risklerin önceliklendirilmesi, strateji ve aksiyon belirlenmesi, aksiyonların uygulanması ve izlenmesi, güncelleme yapılması faaliyetlerini içeren bütüncül bir süreçtir. Risk yönetimi, esasında, birçok açıdan ele alınabilecek çok kapsamlı ve karmaĢık bir konu olup, amaçlara ve beklentilere göre farklı yöntemleri ve araçları içermektedir. Ancak bu çalıĢmada risk kavramına ve risk yönetimine iĢ sürekliliği açısından yaklaĢılarak, literatüre bakıldığında risk kavramına yönelik birçok tanım görmek mümkündür. Bu tanımların hiçbiri eksik veya yanlıĢ olmayıp, özünde aynı Ģeyi 42 ifade etmekle birlikte bakıĢ açılarına göre farklılaĢmaktadır . AĢağıdaki gibi örnek birçok risk tanımı verilebilmektedir;  “Bir tehlikeli olayın meydana gelme olasılığı ile bu olayın sonuçlarının 43 ortaya çıkardığı zarar veya hasarın Ģiddetinin bileĢkesidir .” 40 Philippe Jorion, Value at Risk, Mc-Graw Hill, 2007, s.36. 41 Fatih Akyol, “Cobit (Bilgi ve Ġlgili Teknolojiler Ġçin Kontrol Hedefleri) Uygulayan ġirketlerdeki Bilgi Güvenliği Politikalarının ġirket, Personel ve Süreçlere Etkileri”, (Yüksek Lisans Tezi), Ġstanbul: Beykent Üniversitesi Sosyal Bilimler Enstitüsü, 2013, s.12. 42 TÜSĠAD Risk ve Değer Yönetimi ÇalıĢma Grubu, “Kurumsal Risk Yönetimi”, Türk Sanayici ve İş Adamları Derneği Yayını, Aralık 2006, s.11. 43 T.C. ÇalıĢma Ve Sosyal Güvenlik Bakanlığı ĠĢ Sağlığı Ve ĠĢ Güvenliği Genel Müdürlüğü, “BeĢ Adımda Risk Değerlendirmesi”, Yayın No:140, 2007, s.4. 36  “Arzu edilmeyen bir olay veya etkinin çıkma olasılığı, istenmeyen 44 sonuçlarla karĢılaĢma olasılığıdır .”  “Risk, gelecekte oluĢabilecek potansiyel problemlere, tehdit ve tehlikelere iĢaret etmekte olup, belirli bir zaman aralığında hedeflenen bir sonuca 45 ulaĢamama, kayba ya da zarara uğrama olasılığıdır .” Tüm bu tanımlardan yola çıkarak genel hatlarıyla risk, aĢağıda belirtilen 46 gerçeklerle karakterize edilebilmektedir :  “Genellik tam ve net olarak bilinemez ya da öngörülemez (belirsizlik içerir),  Zamanla değiĢebilir,  Yönetilebilir bir olgudur,  Sonuç üzerine olumsuz etkileri vardır.” Bir firmanın iĢ sürekliliği yönetim sistemi kurmaya baĢlarken üzerinde durması ve netleĢtirmesi gereken önemli konulardan biri de riskin tanımıdır. Riskin, firma için ne ifade ettiği belirlenmelidir. Bu çalıĢmada ―Riski, firmanın süreçlerinde kesintiye sebebiyet vererek ürün ve hizmet gerçekleştirmesini olumsuz etkileyecek (engelleyecek), kayba (finansal ve finansal olmayan-itibar, imaj vb.) yol açma ihtimali olan her türlü durum ve olay‖ olarak tarif edilmektedir. Buradan hareketle risk yönetimini, uygulamada genel olarak aĢağıda 47 belirtildiği gibi üç aĢamada gerçekleĢtirildiği görülmektedir :  Risk yönetiminin birinci adımı, her düzeyde ölçülebilir risklerin tanımlanmasıdır. Bazen risklerin hangi kategoriye girdiğini tanımlamak zordur. 44 Yalçın Balıkçı, İşletmelerde Risk Yönetimi, Ġstanbul: Cinius Yayınları, 2009, s.33. 45 Meryem Fıkırcıoğlu, Bütünsel Risk Yönetimi, Ġstanbul: KalDer Yayınları, 2003, s.24. 46 A.g.e., s.25. 47 Benton A. Brown, “Step-by-Step: Enterprise Risk Management”, Magazine Article Risk Management, 48, September 2001, ss.41-50. 37  Ġkinci adım ise, risklerin değerlendirilmesi ve ölçülmesidir. Bunun için de, çeĢitli yöntemler kullanılabilmektedir; istatistiki yaklaĢımlar, riske maruz değer yöntemleri, senaryo analizleri, stres testleri, simülasyon teknikleri ve duyarlılık analizleri yoluyla riskin oluĢma olasılığı hesaplanabilmektedir.  Son adım ise, risklerin yönetilmesidir. Risk yönetimi, zararın kontrolünü (riskten kaçınma, azaltma, önleme) ve zararın finansmanını (riski taĢıma, türev enstrümanlarla riskten korunma, transfer etme, sigortalama) gerektirmektedir. Risk yönetimine geleneksel ve çağdaĢ bakıĢ aĢağıda Tablo 3’teki gibi özetlenebilir. Tablo 3. Risk Yönetimine Geleneksel Ve ÇağdaĢ BakıĢ Geleneksel BakıĢ ÇağdaĢ BakıĢ Risk kontrol edilmesi gereken unsurdur. Risk bir fırsattır. Risk organizasyonel silolarda yönetilir. Risk bir bütün olarak kurum çapında yönetilir. Risk yönetimi sorumluluğu alt seviyelerde ifa Risk yönetiminin sorumluluğu üst yönetim ve edilir. kısım yönetimleri tarafından kabul edilir. Risk yönetimi sübjektiftir. Risk ölçülebilir. YapılanmamıĢ ve tutarsız risk fonksiyonları Risk yönetimi bütün kurum yönetim bulunur. sistemlerinde kurulur. Yönetim kurulunun iç kontrolünü sağlayan iç Yönetim kurulunun, etkili risk yönetimi denetim unsurları vardır. yapısını sağlayan bir risk komitesi vardır. Riske sadece korunma aracı olarak Yöneticiler artık riske rekabet avantajı bakılmaktadır. sağlayan bir araç gözüyle bakmalıdır. Kaynak: Selahattin Koç, “Basel II Kapsamında Kurumsal Risk Yönetimi: Türkiye’de Bankacılık Sektöründe Bir Uygulama”, (YayımlanmamıĢ Doktora Tezi), Kayseri: Erciyes Üniversitesi Sosyal Bilimler Enstitüsü, 2012. Daha öncede belirtildiği gibi risk yönetimi, belirsizlikle ve risklerin kayıplarıyla ilgilenmektedir. Bilgi teknolojileri sistemlerinin güvenliği açısından risk yönetimi, sistemlerin iĢletimsel gereklilikler ve ekonomik maliyetler dengesinin sağlanmasına yardımcı olan bir yöntemdir ve organizasyonda bilginin uygun bir Ģekilde kontrol edilmesine imkân sağlamaktadır. Bir organizasyonun risk yönetimindeki temel 38 hedefi, sadece bilgiyi korumak değil, organizasyonu ve tüm amaçlarını gerçekleĢtirme yeteneğini de korumaktır. Bu nedenle, risk yönetim iĢlemleri sadece teknik fonksiyonu yürüten bilgi güvenliği uzmanları tarafından değil, organizasyonun genelinde yönetim 48 fonksiyonu olan kiĢilerle beraber düĢünülmelidir . RĠS K DEĞERLENDĠRME RĠSK AZALTIMI Tanım Veri toplama Risk hesabı Sınır Analiz Sonuçlar Karar Uygulama Konu Sentez Önlemler Kontrol Yön tem Raporlama seçimi YENĠDEN DEĞERLENDĠRME ġekil 6. Risk Yönetimi Süreçleri Kaynak: Fatma Özden AktaĢ, “Bilgi Güvenliği Risk Yönetiminde En Uygun Ve Objektif Yöntemin Belirlenmesi”, (YayınlanmamıĢ Yüksek Lisans Tezi), Ġstanbul: Gebze Yüksek Teknoloji Enstitüsü, 2009. Risk yönetimi felsefesinin temelinde tüm çalıĢan ve sorumluların bir risk yöneticisi olması yatmaktadır. Risk yönetiminin tesis edilmesinde tüm teknikler, araçlar, yaklaĢım ve yapının, üst yönetim ve Yönetim Kurulu liderliği, iç denetim desteği, takım çalıĢması, eğitim, iletiĢim performansı, rehberlik, ortak dil oluĢturulması, 49 bilgi akıĢı gibi faktörlerle sağlanması amaçlanmaktadır . 48 Fatma Özden AktaĢ, “Bilgi Güvenliği Risk Yönetiminde En Uygun Ve Objektif Yöntemin Belirlenmesi”, (YayınlanmamıĢ Yüksek Lisans Tezi), Ġstanbul: Gebze Yüksek Teknoloji Enstitüsü, 2009, s.6 49 Treasury Board Secretariat, “Best Practices in Risk Management: Private and Public Sectors Internationally”, Final Report, Ottawa, Ontario: KPMG, 1999, s.3. 39 3.3. Risk Analizi ve ĠĢ Etki Analizi Risk analizi, riskin anlaĢılmasını amaçlayan yöntemler bütünüdür 50 denilebilmektedir. Burada risk stratejik kararda ele alınan bir parametre ile ilgilidir . Risk analizi, riskin anlaĢılabilirliğini geliĢtirmeyi sağlamaktadır. Risk değerlendirmesine ve risklerin iĢlenmesi gerekip gerekmediği konularında kararlar alabilmek için ve en uygun risk iĢleme stratejileri ve yöntemlerini belirleyebilmek için girdi sağlamaktadır. Risk analizi ayrıca farklı tip ve seviyelerdeki riskler içeren ve bunlar arasında tercih yapılması gereken kararlara da bir girdi sağlayabilmektedir. Risk analizi; risklerin nedenleri ve kaynaklarını, onların olumlu ve olumsuz sonuçlarını ve bu sonuçların meydana gelme olasılığı gibi konuları içermektedir. Sonuçları ve olasılığını etkileyen faktörler belirlenmelidir. Bir olay birden fazla sonuç doğurabilmekte ve birden fazla hedefi etkileyebilmektedir. Mevcut kontroller ve 51 bunların etkinlik ve verimliliği de dikkate alınmalıdır . Ġdeal bir bilgi güvenliği risk analizi sürecinin özellikleri aĢağıdaki gibi 52 maddelenebilir ;  “KarmaĢık olmaması,  Maliyet etkin olması,  Hızlı sonuçlar vermesi,  Objektif sonuçlar vermesi,  ĠĢ süreçleri odaklı olması,  Bilgi odaklı olması, 50 Tevfik Arman, Risk Analizine Giriş, Ġstanbul: Alfa Basım Yayım, III, 1997. 51 International Organization for Standardization, Risk Management — Risk Assesment Techniques, ISO, 2009, s.18. 52 Bilge Karabacak ve Sevgi Özkan, “ISO 270001:2005 Bilgi Güvenliği Yönetimi Sistemi Ġçin Süreç Tabanlı Risk Analizi”, Araştırma, Ankara: Orta Doğu Teknik Üniversitesi Enformatik Enstitüsü, 2010, s.7. 40  Kurum personelinin katılımına imkân vermesi.” Ayrıca aĢağıdaki ġekil 7’de risk analizi süreci görülmektedir. ġekil 7. Risk Analizi AkıĢ Diyagramı Kaynak: Bilge Karabacak ve Sevgi Özkan, “ISO 270001:2005 Bilgi Güvenliği Yönetimi Sistemi Ġçin Süreç Tabanlı Risk Analizi”, Araştırma, Ankara: Orta Doğu Teknik Üniversitesi Enformatik Enstitüsü, 2010. Risklerin tespit edilmesi aĢaması ile birlikte doğru bir Ģekilde analiz edilmesi de önemlidir. Değerlendirmede nicel yöntemler kullanılabileceği gibi nitel yöntemler de kullanılabilmektedir. Risklerin analiz edilmesi sürecinde ağırlık oranları hesaplanarak derecelendirme yapılmakta ve risklerin önlem alınmasının gerekli olup olmadığına karar verilmektedir. Öncelikle hangi konularda analiz yapılacağı belirlenmektedir. AĢağıdaki tabloda yer alan tehdit baĢlıklarına göre risk analizi yapılabilmektedir. Ayrıca her tehdit tipine maruz kalma olasılığı ve etkisi iĢletme bazında değiĢmektedir. 41 Tablo 4. Tehdit BaĢlıkları Listesi Deprem Medikal Acil Durum Rehin Alma Volkanik Aktivite Radyoaktif Kirlenme HVAC Arızası Toprak Kayması Yangın: Ġç-Katastrofik Güç Kesintisi: Ġç Mevsimsel/Lokal Seller Yangın: Ġç-Büyük Yedek Ekipman Arızası Gelgitlerle Ġlgili Seller Yangın: Ġç-Küçük ĠletiĢim Arızası (Veri) Tsunami Uçak kazası Ses ĠletiĢim Ekipmanı Arızası Hortum Toksik Kirlenme Medya Arızası Kasırga/Tayfun Su Tesisat Arızası Satın AlınmıĢ Yazılım Sorunu Tropikal Fırtına Su Sızıntısı Regülasyonlar Kar/Buz Fırtınası Yangın: DıĢ Ġnsan Hatası: Kullanıcılar Kuvvetli Rüzgarlar Patlama: Kurum DıĢı Ġnsan Hatası: Bakım Kum Fırtınası Patlama: Kurum Ġçi Kaynakların Kaybı Meteor Etkisi Güç Kesintisi: DıĢ Hırsızlık: Veri Merkezi Bilgisayar Ekipmanı SavaĢ Durumu: Geleneksel Hırsızlık: Fiziksel Varlıklar Arızası SavaĢ Durumu: Nükleer Güç Dalgalanmaları Yolsuzluk Sabotaj: Ġç Fiziksel Vandalizm Ġnsan Güvenlik Ölçümleri Salgın Hastalık Grev Bio-Terörizm Sabotaj: DıĢ Fiziksel Ġsyan/Sivil KargaĢa Kapasite Planlaması Market Kundakçılık Operasyonel Ġnsan Hatası: Operasyonlar & Sabotaj: Ġç & DıĢ Veri Yazılımı Bomba Tehdidi & Bombalama Programcılar Kaynak: Sibel Akdağ, Risk Yönetiminde BaĢarı Faktörü “ĠĢ Sürekliliği Yönetimi” Sunumu, 2009, s.20. ĠĢ etki analizi aĢaması ise, iĢ sürekliliğinin temelini oluĢturan aĢamadır. ĠĢ etki analizi, iĢletmenin iĢ ve organizasyon yapısının tanınması ve tanımlanması için gerekli olan temel bilgilerin sağlanması, kritik ürün/hizmetlerin ve bunların sürekliliğini sağlamak için gerekli olan süreçlerin ve bu süreçlerin kurtarma önceliklerinin belirlenmesi, kritik süreçleri destekleyen, iç ve dıĢ kaynakların belirlenmesine yönelik 53 detaylı ve kapsamlı bilgilerin toplanması çalıĢmalarını içeren bir analiz çalıĢmasıdır . 53 Saymaz, İş Sürekliliği Yönetim Sistemi, s.84. 42 ĠĢ etki analizi, iĢletmelerin mevcut durumdaki iĢ süreçlerinin incelenerek olası kesintilerin ve bu süreçlerin yasal, finansal, itibari vb. her türlü etkilerinin analiz edilmesi olarak tanımlanmaktadır. “Kritik iĢ süreçlerinin belirlenmesi sonrasında bu süreçleri etkileyebilecek tehditler ile süreçlerde oluĢacak ürün ve hizmet kesintilerinin 54 yol açacağı zararların belirlenmesini hedeflemektedir .” ĠĢ etki analiz süreci aĢağıdaki baĢlıklardan oluĢmaktadır.  Süreçlerin belirlenmesi,  ĠĢ etki analizi çalıĢmalarının oluĢturulması,  Süreçlerin önceliklendirilmesi,  Bağımlılık ve kaynakların belirlenmesi,  Alternatif çalıĢma stratejilerinin oluĢturulması ve olağanüstü durum merkezi tasarımı,  ĠĢ sürekliliği planlarının hazırlanması. ĠĢ etki analizinde dikkat edilmesi gereken noktaları aĢağıdaki gibi sıralamak 55 mümkündür ;  Üst yönetimden destek alınmalıdır. ĠĢ etki analizinin doğası göz önüne alındığında araĢtırma yapmak için zaman gerekli olup hedeflerin gerçekleĢmesi için üst yönetimin desteği önemlidir.  İş etki analizi süreci ciddiye alınmalıdır. ĠĢ etki analizinde veri toplama ve analiz için çok zaman geçebilir. Ancak plan geliĢtirmede değeri çok önemlidir. ĠEA için onlarca sayfa doldurmak gerekmektedir. Sadece doğru ve güncel bilgi olmalıdır. 54 Türkiye BiliĢim Derneği, a.g.e., s.43. 55 Efil, a.g.e., s.47. 43  Resmi olarak belirlenmiş iş etki analizi standartları bulunmamaktadır. Birçok iĢ sürekliliği standardı kullanılabilmesine rağmen resmi anlamda standart yoktur.  Basit tutulmalıdır. Kritik olan doğru bilgiyi toplayabilmektir. Ġyi hazırlanmıĢ bir sayfalık bir iĢ etki analizi özeti sayfalarca hazırlanmıĢ iĢ etki analizinden daha mükemmel kabul edilebilir.  İş birimleri ile sonuçlar gözden geçirilmelidir. Planınızı tamamladıktan sonra varsayımlarınızın doğruluğundan emin olmak için iĢ birimleri liderleri ile bulgular gözden geçirilmelidir.  Esnek olunmalıdır. Organizasyon hedeflerinizi gerçekleĢtirmek için uygun gördüğünüz Ģekilde herhangi bir iĢ etki analizi Ģablonuna tamamen bağımlı kalmadan oluĢturulmalıdır. 3.4. Kurumsal Risk Yönetimi Kurumsal risk yönetimi, son yıllarda iĢletmelerin rekabet avantajı elde etmesinde önemli yararları olan ve büyük iĢletmelerde uygulama alanı bulan bir yaklaĢım olarak dikkat çekmektedir. Toplumun iĢletmelerden daha doğru ve güvenilir bilgi talep etmesi doğrultusunda yeni bir fikir olarak gündeme gelen “kurumsal risk yönetimi”, iĢletmelerin karĢılaĢtığı tüm risklerin yönetim kurulunun denetimi olmadan 56 yönetilemeyeceğini savunan bir yönetim yaklaĢımı olarak ortaya çıkmıĢtır . Bu bağlamda kurumsal risk yönetiminin, yönetim kurullarının sorumluluğu altında iĢletmeyi etkileyebilecek tüm risklerin tüm çıkar gruplarının beklentileri doğrultusunda yönetilmesine odaklanan bir yaklaĢım olduğu söylenebilmektedir. Bir organizasyon risklerini yönetirken temel olarak birbirinden farklı iki yol izleyebilmektedir. Birinci yolda organizasyon karĢı karĢıya bulunduğu riskleri tek tek 56 Patrick J. Stoch, “Enterprise Risk Management At United Health Group”, Strategic Finance, 87, 2005, s.28. 44 ele alarak yönetebilmektedir. Bu yaklaĢım içerisinde riskler birbirinden bağımsız olarak ele alınmakta ve değerlendirilmektedir. Ġkinci yolda ise organizasyon karĢı karĢıya bulunduğu riskleri bir bütünün parçası olarak değerlendirmekte ve tüm risklerini bir risk yönetim programı dâhilinde ele almakta ve bütüncül bir yaklaĢım içerisinde tüm risklerini yönetmektedir. Organizasyonlar açısından ikinci yolda izlenen yöntem Kurumsal Risk Yönetimi olarak isimlendirilmektedir. Kurumsal risk yönetiminin en önemli özelliği riskleri tek tek ele alması değil tüm riskleri bütünün bir parçası olarak 57 görerek bütüncül bir çözüm için sistem geliĢtirmesidir . Kurumsal risk yönetiminin en kapsamlı tanımı “Committee of Sponsoring Organizations (COSO)” tarafından yapılmıĢtır. Bu tanıma göre; kurumsal risk yönetimi, bir kurumun hedeflerine ulaĢmasını etkileyebilecek potansiyel olayları tanımlayan, risk alma istekliliği (risk iĢtahı) sınırları içinde yöneten ve kurum hedeflerinin baĢarılması konusunda makul derecede güvence sağlayan, kurum genelinde yapılandırılmıĢ ve kurum yönetim kurulundan, yönetim ve diğer personelden etkilenen bir süreçtir. COSO’nun Kurumsal Risk Yönetimi tanımında yer alan önemli kavramlar ve 58 özellikler aĢağıdaki gibi sıralanmaktadır :  Kurumsal risk yönetimi dinamik bir süreçtir; süreç çıktısını eniyilemek için, süreç performansının sürekli gözden geçirilmesi ve kontrol parametrelerinin ayarlanmasıdır. Kurumsal risk yönetimi sabit olmayan sürekli yenilenen ve devam eden bir süreçler topluluğudur.  Kurumsal risk yönetimi kurum personelinden etkilenir; kurumsal risk yönetimi iĢletmede yer alan her personelden etkilenmektedir. Herkesin gerek tecrübe ve deneyimleri gerekse bilgileri riski farklı açıdan değerlendirmektedir. Bu da iĢletmenin en tepe noktasından en alt seviyedeki 59 çalıĢanına varıncaya kadar bir etkileĢim doğurmaktadır . 57 Fikrikoca, a.g.e., s.14. 58 Hakan Bakkal, Ġlknur Tunç, Alper Kasımoğlu, İç Kontrol ve Kurumsal Risk Yönetimi, Ġstanbul: Ġdeal Yayınları, 2016, s.49. 59 Onur Derici, İç Kontrol ve Risk Yönetimi, Antalya: Bekad Yayınları, 2015, s.12-13. 45  Kurumsal risk yönetimi kurumun her seviyesinde uygulanır; kurumsal risk yönetimi Ģirket için oluĢacak tüm riskleri tek bir portföy olarak değerlendirmektedir. Bu da kurum içinde çalıĢan tüm personeli risklerden sorumlu yapmakta ve her çalıĢanı kurumun risk perspektifinden değerlendirmektedir.  Kurumsal risk yönetimi strateji belirlemede kullanılır; her kurumun misyon ve vizyonu vardır. Bu noktada kurumsal risk yönetimi Ģirketin misyon ve vizyonu için oluĢturulacak genel stratejileri ve alt stratejilerin belirlenmesinde katkı sağlamaktadır.  Kurumsal risk yönetimi kurumun risk iştahını esas alır; kurumun öngördüğü yüksek, orta, düĢük seviyelerde planladığı risk seviyelerine göre risk getirisini dengeleme amacı gütmektedir.  Kurumsal risk yönetimi makul güvence sağlar; makul güvenceden kasıt geleceğin belirsizliklerine karĢı oluĢacak risklerin önceden öngörülüp çözülmesidir. Farklı risk tepkilerinin ve iç denetim bileĢenlerinin kurumun hedeflerine ulaĢamama riskini azaltmaktadır.  Kurumsal risk yönetimi amaçlara ulaşmak için birer araçtır; kurumsal risk yönetimi amaca hizmet eden Ģirket stratejilerinin makul risk seviyesinde 60 gerçekleĢmesini sağlayan bir araçtır . Kurumsal risk yönetimi, kurum içinde belirli fonksiyonel birimler tarafından üstlenilen geleneksel ve finansal risklerin aksine, kurumu etkileme olasılığı olan tüm risklerin ele alındığı bir yöntemdir. Bununla birlikte, kurumsal değerin yaratılması ve korunmasını etkileyen riskler ve fırsatlarla ilgilenerek risklerin tüm iĢletme çapında 61 stratejik bir Ģekilde analiz edilmesine yardımcı olmaktadır . 60 Hasan Ekici, Kurumsal Risk Yönetimi Kalkınma Ajansı Uygulaması, Konya: Çizgi Kitabevi, 2015, s.58-61. 61 Grant Thorton, An ERM Framework: Developing Effective Risk Management, Corporate Governor Series, 2003, s.34. 46 Kurumsal risk yönetimi ile daha önceleri uygulanan risk yönetimi yaklaĢımları arasındaki farklar Tablo 5’de sunulmuĢtur. Tablo 5. Geleneksel/Finansal ve Kurumsal Risk Yönetimleri Arasındaki Farklar Geleneksel ve Finansal Risk Yönetimi Kurumsal Risk Yönetimi Riskler, ayrı ayrı birimler bazında değerlendirilir. Riskler, iĢletme stratejisi bazında değerlendirilir. Riskler, iĢletme birimleri bazında tanımlanmakta Riskler, tüm iĢletme bazında değerlendirilir. ve değerlendirmektedir. Riskler önem derecesine göre sıralanmaz. Riskler önem derecesine göre değerlendirilir. Risklerin en uygun duruma getirilmesi söz Risk azaltması ve uygulaması yapılmaktadır. konusudur. Risk sınırı vardır. Risk stratejisi bulunmaktadır. Risk yönetimi, yönetim kurulunun sorumluluğunda Yönetim kurulu, risk yönetiminden sorumludur. değildir. Riskler rastlantısal bir Ģekilde ölçülür. Risklerin izlenmesi ve ölçülmesi söz konusudur. Risk yönetiminden yalnızca birim yöneticileri Tüm çalıĢanlar, iĢletmeyi ilgilendiren risklere karĢı sorumludur. sorumludur. Kaynak: John Hall, “Internal Auditing and ERM: Fittingin and Adding Value”, 2007, s.4, https://global.theiia.org/about/about-the-iia/Public%20Documents/Sawyer_Award_2007.pdf, (13.01.2019). Belirtilen hususlar çerçevesinde kurumsal risk yönetimi özetle, firmalara varmak istedikleri yere ulaĢmalarına ve buraya ulaĢırken karĢılaĢacakları beklenmeyen 62 olaylardan ve tehlikelerden kaçınmalarına yardımcı olmaktadır . 3.5. Risk ve ĠĢ Sürekliliği Arasındaki ĠliĢki ĠĢ sürekliliği planlamasının dört bileĢeni bulunmaktadır. Bunları aĢağıdaki gibi 63 maddelendirmek mümkündür ; 62 COSO, “Enterprise Risk Management – Integrated Framework”, Executive Summary, September 2004, s.1. 63 Merida L. Johns, “Building a Culture for Business Continuity Planning”, içinde: Ken Doughty (Ed.), Business Continuity Planning: Protecting Your Organization’s Life, Boca Raton: Auerbach, 2001, s.22. 47  “Potansiyel felaketlerin ve etkilerinin tanımlanması,  Meydana gelebilecek felaket ihtimallerini minimize edecek önleyici tedbirlerin alınması,  Felaketlerin gerçekleĢmesi durumunda organize edilen bir tepki/eylem geliĢtirilmesi,  Felaketten sonra toparlanma döneminde iĢ süreçlerinin devamlılığının sağlanmasıdır.” Görülebileceği gibi, iĢ sürekliliğinin temelinde risk yönetimi yatmaktadır. ĠĢ 64 sürekliliği felsefesine göre :  Örgütün dayanağı iĢlevsel faaliyetler ve fonksiyonlar, tanımlanabilir risklerle karĢı karĢıyadır.  Her bir risk, meydana gelme olasılığına göre ölçülebilir.  Risk seviyesini azaltacak önemli fırsatlar vardır.  Herhangi bir riskin gerçekleĢmesi durumunda kuruluĢ fonksiyonları üzerindeki etkisi gerçekleĢmeden önce tahmin edilebilmelidir.  Her risk ve bu risklerin örgüt fonksiyonları üzerinde etkisi, örgütün ihtiyaçları ile birlikte tutarlı yönetilmelidir. Yukarıda belirtilen basamaklar basit görünüyor olsa da, kuruluĢların bunları uygulamaya geçirmesi oldukça zordur. Bunun en önemli nedenlerinden bazıları; planın maliyeti, iĢ sürekliliği doğasının anlaĢılamaması ve bu süreçteki risk yönetiminin uygulamaya konulmasındaki zorluklardır. 64 A.g.e., s.23. 48 BÖLÜM II YÖNETĠM YENĠLĠKLERĠNĠN ÖNCÜLLERĠ VE ARDILLARI 2.1. Yönetim Yeniliklerinin Benimsenme Nedenleri Yenilikçilik; elde bulunan kaynakları verimli, etkili ve yerinde kullanarak hedeflere ulaĢmak amacıyla baĢlatılan yeni bir uygulama sürecidir. Yenilikçilik uygulaması, birey bazında olabileceği gibi kurum bazında da olabilir. Yenilikçiliğin uygulandığı alanlar ile ilgili olarak genellikle beĢ alandan bahsedilmektedir. Bu alanlar; 65 idari alan, teknik alan, ürün alanı, süreç ve pazarlama alanı Ģeklindedir . Günümüzde rekabet ortamında Ģirketlerin iĢ yapma yöntemlerini değiĢtirme/geliĢtirme becerileri 21. yüzyılda baĢarının anahtarı haline gelmiĢtir. Yeniliğe ihtiyaç duyan piyasa koĢulları ve değiĢen talepler, yenilik giriĢim potansiyelleri yüksek, daha yenilikçi firmaların kurulması gerekliliğini doğurmuĢtur. Firmaların faaliyet gösterdikleri alanlarda pazar paylarını arttırabilmeleri için tüm çalıĢanların yönetim yeniliklerini benimsemeleri gerekmektedir. Yani firmalar yenilikçi 66 bakıĢ açılarını yönetim ile harmanlayarak yönetim yeniliklerini oluĢturmalıdırlar . Yeni rekabet ortamında iĢletmelerin hayatta kalabilmeleri ve sürdürülebilir olabilmeleri için yenilik yönetimine ağırlık vermeleri gerekmektedir. Yenilik yönetimi, modern ekonomide yenilikçiliğin vazgeçilmez unsurudur. Pazar gereksinimleri ve müĢteri taleplerini önceden tespit edebilmek, hedef müĢteri gruplarının bugünkü isteklerinin yanında gelecekte oluĢacak istekleri de karĢılayabilecek stratejileri geliĢtirmek yenilik yönetimini uygulayan firmalara sürdürülebilir rekabet avantajı sağlayacaktır. Yenilikçi firmalar problemi belirlemeyi, 65 Charlie Karlsson, Sam Tavassoli, “Innovation strategies and firm performance”, CESIS Electronic Working Paper Series Centre of Excellence For Science Innovation Studies The Royal Institute of Technology, Centre of Excellence for Science and Innovation Studies (CESIS), 2015, ss.1-32; Sadia Shaukat, Muhammed Saqib Nawaz, Saman Naz, “Effects Of Innovation Types On Firm Performance: An Empirical Study Of Pakistan’s Manufacturing Sector”, Pakistan Journal of Commerce and Social Sciences, 7(2), 2013, ss.243-262. 66 Yağmur Özyer, Ebru Gözükara, “Yenilikçi Kültürün Örgütsel Yaratıcılık Öğrenme Çabaları Üzerindeki Etkisi”, İstanbul Sosyal Bilimler Dergisi, (8), 2014, s.1. 49 yeniliği geliĢtirmeyi, uygulama ve ölçmeyi sağlıklı bir Ģekilde yaparsa piyasada etkin bir güç haline gelebilecektir. Bunların gerçekleĢmesi ise ancak üretim stratejilerinin yanında firmaların finansal durumunun ve yenilik süreçlerinin takip edilip 67 değerlendirildiği yenilik yönetimi stratejisinin varlığı ile mümkün olabilmektedir . Yenilik yönetimi ve stratejileri firmaların verimliliğini arttırabilme açısından büyük 68 öneme sahiptir . ġekil 8. Yenilik Yönetim Çerçevesi Kaynak: Paul Trott, Innovation Management and New Product Development, 2nd ed., Prentice Hall, Pearson Education, 2002, s.21. 67 Keti Ventura, Haluk Soyuer, ĠĢletmelerde Yenilik Yönetimi Ve AraĢtırma GeliĢtirme Pazarlama- Üretim Entegrasyonunda Bilgiye Dayalı Yenilik YaklaĢımı”, Ege Akademik Bakış Dergisi, (16), 2016, s.42. 68 Weiyi Xu Xiangyun, “Obstacles to Innovation Management in SMEs: A Case Study of Libo Airport”, (YayımlanmamıĢ Yüksek Lisans Tezi), Gavle University, Sweden, 2013, s.23. 50 Yönetim yeniliği, iĢletmenin rekabette yeni yönetim (ilkelerinde, süreçlerinde ve tekniklerde) uygulanmalarını ya da iĢ süreçlerini, örgütsel yapılarını veya rekabetçi teknikleri üretilmesini ve uygulamasını nitelemektedir. Böylece iĢletme amaçlarının etkili bir Ģekilde gerçekleĢtirilmesini arzulamaktadır. Diğer bir açıdan yönetim yeniliği, bir iĢletmede yeniliğin ortaya çıkmasını ve örgütsel değiĢim biçimini temsil etmektedir. En geniĢ anlamı ile yönetim yeniliği, bir iĢletmenin yönetim faaliyetlerini zaman içinde biçim, kalite veya durumunu değerleme ve bir farklılık kazandırma çabasıdır. Bu çaba 69 yeni bir değiĢimi gereksemektedir . Yenilik yönetiminin baĢarılı bir Ģekilde uygulanabilmesi için devlet, özel sektör ve üniversite iĢ birliği içerisinde çalıĢmalıdır. Bu kurumlar firmaların yenilik sistemlerinin kurulmasını sağlamakta, belirli dönemlerde bu sistemleri denetlemekte, teknolojinin kullanılması için kaynak ayırmaktadır. Ayrıca eğitim ve destek programları 70 ile yenilik süreçlerine de katkıda bulunmaktadır . Yönetim yeniliği, stratejik rekabet avantajı yaratmaya ve rekabetçi konumda çarpıcı bir değiĢiklik oluĢturmaya iliĢkindir. Böylece iĢletmelerin yeni performans eĢiğinde rekabetçi olmaları hedeflenmektedir. Ayrıca yönetim yeniliği, yöneticilerin gideceği yönü belirleme, karar verme, etkinliklerini eĢgüdümleme ve çalıĢanları motive etme biçiminde bütünsel bir süreci nitelemektedir. Ancak iĢletmenin sürdürülebilir rekabet avantajı yaratması ve rekabet gücünü artırması için kopyalanması ve taklit 71 edilmesi zor yönetim yeniliklerini araĢtırması ve uygulaması gerekmektedir . Bu nedenle iĢletme yenilikçi performansının önemli bir bölümünü açıklayan ve sürdürülebilir rekabet avantajı yaratan yönetim yeniliği, endüstride yeni fikirlerin yayılması ve geliĢmesi yoluyla sürekli yeniden yorumlanmakta ve tanımlanmaktadır. 72 Yönetim yeniliği, aĢağıda belirtilen üç temel amaç ile belirtilebilir ; 69 Julian Birkinshaw, Gary Hamel, Michael Mol, “Management Innovation”, Academy of Management Review, 33 (4), 2008, ss.825-845. 70 Ventura, Soyuer, a.g.e., s.46. 71 Nurhan Papatya, Sürdürülebilir Rekabetçi Üstünlük Sağlamada Stratejik Yönetim ve Pazarlama Odağı: Kaynak Tabanlı Görüş, 2. Basım, Ankara: Asil Yayınları, 2007. 72 Rick M.A. Hollen, Frans A.J. Van Den Bosch, Henk W. Volberda, “The Role of Management Innovation in Enabling Technological Process Innovation: An Inter-Organizational Perspective” European Management Review, 10 (1), 2013, ss.35-50. 51  Yönetim tutuculuğuna meydan okuyan yeni ilkeler,  Bir dizi süreç ve metodu kapsayan sistematik yaklaĢım,  Yeniliğin geliĢtirilmesine yönelik sürekli bir program anlayıĢı. Bir örgüt için baĢarılı bir yenilik yönetim sürecini araĢtırma, değerlendirme ve 73 seçme ile uygulama olmak üzere üç temel aĢamada değerlendirmek mümkündür . AraĢtırma Seçme Uygulama (Elde etme/Yönetime/BaĢlatma/Sürdürme) Öğrenme (Kaynak: Tiddvd„ 2005: 89) ġekil 9. Yenilik Yönetim Süreci Modeli Kaynak: Joe Tidd, John Bessant, Keith Pavitt, “Managing Innovation: Integrating Technological”, Market And Organizational Change, Wiley, 2005, s.89. Değerlendirme ve seçme aĢaması ise iĢletmelerin karĢı karĢıya kaldıkları pazar ve teknoloji fırsatları arasında bir değerlendirme yapıp kendileri için uygun olan fırsatları seçmelerini kapsamaktadır. Yenilik önemli riskleri de beraberinde getirdiği için iĢletmelerin bütün fırsatları seçmeleri mümkün olmayacaktır. Fırsatlar arasından seçim yaparken de bu riskleri en aza indirmek için iĢletme stratejileri ile uyum sağlayabilecek fırsatları değerlendirmeleri daha rasyonel bir davranıĢ olacaktır. Dolayısıyla bu aĢamada iĢletmeler teknolojik ve pazar fırsatlarıyla ilgili çevreden gelen 73 Joe Tidd, John Bessant, Keith Pavitt, “Managing Innovation: Integrating Technological”, Market And Organizational Change, Wiley, 2005, ss.84-89. 52 iĢaretleri iyi değerlendirmek ve mevcut teknolojik yapılarıyla uyumlu bir seçim yapmak 74 zorundadırlar . Yenilik yönetim sürecinin son aĢaması ise uygulama aĢamasıdır. Uygulama aĢamasında, değerlendirme ve seçme aĢamalarında elde edilen potansiyel yenilik fikirlerinin yeni ürün, hizmet, süreç veya yeni iĢ modellerine dönüĢtürülmesi sağlanmaktadır. Ġlk iki aĢamada teknolojinin uygulanabilirliği, pazarın talebi, rakiplerin davranıĢlarına iliĢkin belirsizlik oldukça yüksektir. Uygulama aĢamasında ise bu belirsizlikler bilgi temelli araĢtırmalarla giderek azalmaktadır. Uygulama süreci genel olarak bilgi kaynaklarına ulaĢım, yenilik projesinin uygulamaya konması ve yeniliğin sürekli hale getirilmesi olarak üç aĢamada gerçekleĢmektedir. Bu çerçevede yenilik yönetim sürecini aynı zamanda örgütler için bir problem çözme süreci olarak kabul 75 etmek de mümkündür . Yukarıdaki üç aĢamanın yürütülmesi sonucunda ortaya çıkan yenilik yönetim sürecinin sonuçlarının değerlendirilip sonraki süreçlere tekrar geri besleme yapılması iyileĢtirme açısından oldukça önem taĢımaktadır. Sürecin gözden geçirilerek birtakım 76 çıkarımların yapılması ise öğrenme ve tekrar yenilik kavramlarının etkili bir yenilik sürecinin geliĢtirilebilmesinin altında yatan temel dinamiklerden karĢımıza çıkarmaktadır. Çünkü yenilik süreci sonunda yapılan hataları, nedenlerini ve eksiklikleri gözden geçirip tespit edilmesiyle birlikte bunların bir sonraki yenilik sürecine aktarılması sürekli bir öğrenmeyi ve sürecin geliĢtirilmesini beraberinde getirmektedir. Bu da yenilik yönetim sürecinin etkisini ve baĢarısını arttırmaktadır. Yönetim yeniliği uygulamaları ve süreçleri özellikle hizmet faaliyetlerinde ağırlıklı olarak hissedilmektedir. Bununla birlikte, yönetim yeniliğinin ilgili değiĢken olarak incelenmesi ve son yıllarda belirleyici etkileri hakkında çok az kanıt söz 74 Uzkurt, a.g.e., s.139. 75 Tidd ve diğ., a.g.e., s.91. 76 A.g.e., s.96. 53 konusudur. Bu nedenle yönetim yeniliğinin daha iyi anlaĢılmasına ve daha çok 77 araĢtırmanın yapılmasına ihtiyaç vardır . 2.2. Yönetim Yeniliklerini Belirleyen Faktörler ĠĢletmelerin yönetim yeniliklerinin doğru olarak yapabilmesini yakından etkileyen ve onların yenilik tür ve stratejileri üzerinde önemli rol oynayan faktörleri irdelemek yönetim yeniliğini incelemek açısından oldukça mühimdir. 2.2.1. Vizyon Vizyon, Ģirketin gelecekte gerçekleĢmesini arzu ettiği hedef olarak 78 tanımlanabilir . Dünyada sayılı firmalar arasına girmek, doğru kalite ve fiyat düzeyi ile müĢteri beklentilerini en üst seviyede karĢılamak, yaratılan farklılıklar ile rakip firmalar arasında kalıcı üstünlükler yakalamak gibi Ģirketlerin belirlendiği vizyonlar vardır. Vizyon, firmaların geleceğinin belirlenmesinde önemli bir faktördür. Vizyonun yenilik ile bağlantılı, birbirinden ayrılmaz bir parçası olması gerekmektedir. Her ikisi de birbirini destekleyen, tamamlayıcı bir güç olmalıdır. ġirketlerin belirlediği vizyon doğrultusunda çalıĢanlar yeniliğe teĢvik edilerek dinamik, yeniliğe açık ve daha çok 79 baĢarılı olmaları sağlanmalıdır . ġirketlerin “rekabet ortamında ayakta kalabilmeleri ve rakiplerini geçebilmeleri için paylaĢılan bir vizyon oluĢturmaları Ģirkete ait olma duygusu vermekte, amaçların sürekliliğini ve günlük sorunların ötesine geçmeyi sağlamakta, üst yönetime ve 77 Julia Nieves, Mercedes Segarra-Cipres, “Management Innovation in the Hotel Industry”, Tourism Management, 46, 2015, ss.51-58. 78 Hayri Ülgen, S. Kadir Mirze, İşletmelerde Stratejik Yönetim,2. Baskı, Ġstanbul: Literatür Yayınları, 2004, s.179. 79 Samet Akkıran, İşletmelerde Yenilik Yönetimi, http://www.academia.edu/30296425/%C4%B0%C5%9ELETMELERDE_YEN%C4%B0L%C4%B0K_Y %C3%96NET%C4%B0M%C4%B0, (16.04.2019), s.27. 54 çalıĢanlara harekete geçme gücü vermektedir. ġirket vizyonu yenilik vizyonu ile yakın 80 bir iliĢki içinde olmalı ve birbirini destekleyerek güçlendirmelidir .” 2.2.2. Liderlik Robert Schuller, 1983 tarihli “Zor zamanlar bitmez ama zor insanlar biter” adlı kitabında, “Liderlik, rüyalarınızı seçen ve amaçlarınızı belirleyen güçtür. O çabalarınızı 81 baĢarıya sürükleyen güçtür” demiĢtir . Yeniliği uygulayan liderler, vizyonun gerçekleĢmesi için çalıĢanları yeniliğe teĢvik ederek onlarla beraber koordineli bir Ģekilde hareket ederler. Yaratıcı bir kiĢiliğe sahiptirler. Riskleri ve baĢarısızlıkları kabul eden ve bu baĢarısızlıkları baĢarıyı oluĢturan temel neden olarak görürler. Yeniliği çalıĢanlar ile paylaĢmayı seven kiĢilerdir. Teknolojiyi yakından takip ederler. Yenilik süreçlerine hâkimdirler. Tüm bu özellikler yeniliğin gerçekleĢtirilebilmesi adına liderlerin önemli bir faktör olduğunu 82 göstermektedir . ġirketlerde “takımların misyon ve vizyonunun belirlenmesi takım liderlerinin görev tanımları arasında bulunduğu için yenilik sürecinde takım liderlerinin etkisi büyük olmaktadır. Liderler takım üyelerinin ihtiyaç duyduğu kaynakları sağlamalı ve onları faydalı olabileceklere alanlara yönlendirmelidir. Ayrıca, yenilik çalıĢmalarının riskli bir süreç olması dolayısıyla takım üyeleri liderler tarafından mutlaka 83 desteklenmelidir . ġirket içinde yenilikçi ve yaratıcı bir ortam için, organizasyonel yapı kültürel değerlerden ayrılmayan ve kültürel değerler içinde Ģekillenen bir unsurdur. Liderler, 80 Ali Acaray, “Küçük ve Orta Boy ĠĢletmelerde Yenilik Yönetimi: Yenilik Yönetiminde Etkili Olan Örgütsel Yapı ve Faktörlere ĠliĢkin Bir AraĢtırma”, (Yüksek Lisans Tezi), Kocaeli: Kocaeli Üniversitesi Sosyal Bilimler Enstitüsü, 2007, s.74. 81 Akkıran, a.g.e., s.27. 82 Zeynep Ünlü, “Yenilik Yönetiminin ĠĢ YaĢam Kalitesi Üzerine Etkisi: Ankara’daki Devlet Üniversiteleri Bünyesinde Bulunan Teknokentlerde Bir AraĢtırma”, (YayımlanmamıĢ Yüksek Lisans Tezi), Gazi Üniversitesi, Ankara, 2015, s.28. 83 Mustafa Kılıç, BarıĢ Bilginoğlu, “Ġhracatçı Türk Firmalarında Personel Sağlama ve Seçme Yöntemleri ve Ġnovasyon Performansı ĠliĢkisi: Orta Anadolu Ġhracatçı Birlikler Örneği”, Sosyo Ekonomi, 2, 2010, s.222. 55 vizyona giden bir süreçte Ģirket üyelerinin bireysel fikir geliĢtirmelerini ve açıklamalarını desteklemeli, karĢılıklı iletiĢim kanallarını açık bırakmalı ve üzerinde fikir birliğine varılan konuların da yenilik süreci içinde değiĢebileceğini vurgulamalıdır. Ayrıca, tüm Ģirket üyeleri tarafından benimsenen vizyonun çevre ve konuma göre fikirlendirilmesine önderlik ederek, fikirlerin en uygun duruma getirildikten sonra uygulamaya geçirilmesine yön vermelidir. Burada liderlerin dikkatli olması gereken konu; organizasyonun bireysel baĢarılarla değil, mevcut iĢ süreçleri ve yenilikçi atılımların bir bütünsellikle ve bir sistem bütünü olarak baĢarıya ulaĢılacağını ön plana çıkarmalarıdır. Ancak, bireysel baĢarılar da takdir edilmeli ve kültüre uygun olarak 84 ödüllendirilmelidir .” 2.2.3. Örgütsel Yapı Firmaların yenilik yönetimini baĢarılı bir Ģekilde uygulayabilmeleri için yeniliğe kaynak sağlayan iç ve dıĢ faktörleri iyi analiz ederek, yeniliği uygulayabilecek örgüt yapısını kurması gerekmektedir. Örgüt yapısı, firmalar arası rekabetin yoğun olduğu günümüzde firmaların hangi düzeyde esnek ve hızlı davranabileceğini tespit etmektir. Esnek ve hızlı davranabilen firmalar baĢarıyı elde edebilecektir. Çevrenin iyi analiz edilmesi, yeniliğe açık personeller seçme, yeni teknoloji ürünlerini tedarik etme 85 örgütsel yapıyı belirleyen unsurlardır . Bir “kurumda yeniliği gerçekleĢtiren kiĢilerdir. Yenilik yapacak olan çalıĢanlardan çeĢitli özellikler beklenmektedir. Bunlar arasında; meraklı olma, araĢtırmacı olma, normal ve değiĢmez kabul edilen doğruları sorgulama, memnun olmadığı konuları değiĢtirmek için çaba sarf edici olma, hedefe odaklanma, ne istediğini bilme, isteklerinden ödün vermeme, yaratıcı olma, güçlü bir hayal gücüne sahip olma, hata yapmaktan korkmama, hataları tekrar etmeme ve ders çıkarma, geniĢ bir bakıĢ açısına sahip olma, vizyoner olma, fırsatları fark etme, sorumluluk sahibi olma, öz disiplin sahibi olma, iç motivasyonu yüksek olma, kendine güvenme, olumlu ve yapıcı 84 Necip Özçer, Yönetimde Yaratıcılık ve Yenilikçilik, Ġstanbul: Rota Yayınları, 2005, s.83-84. 85 Akkıran, a.g.e., s.29. 56 düĢünme, iĢbirliğine açık olma, kolay iletiĢim kurabilme gibi özellikler sıralanmaktadır.” 2.2.4. ĠletiĢim ĠletiĢim, firmalar ya da kiĢiler arasında düĢünce ile bilgilerin aktarılması ve bu bilgilerin insanların davranıĢları üzerinde yaptığı etkinin gözlenebildiği bir süreçtir. DeğiĢen piyasa koĢullarına firmaların uyum sağlayabilmesi, ayakta durabilmesi, pazara sunulan yeni nesil teknolojilerden en iyi Ģekilde faydalanabilmesi ve yeni ürün ile hizmetleri müĢterilere sunulabilmesi açısından yeni bilgilere ulaĢmak artık bir gereklilik haline gelmiĢtir. Yeni bilgilere ulaĢmak, geliĢen teknolojileri iyi kullanmak ve bu teknolojiler sayesinde elde edilen bilginin doğru bir Ģekilde algılanması ve firma içerisinde etkin bir Ģekilde kullanılması ile mümkün olacaktır. Yenilik süreçlerinde firma içinde ve dıĢında iletiĢimin sağlıklı, sürekli ve hızlı bir Ģekilde iĢliyor olması gerekmektedir. Yeni teknoloji ürünleri sayesinde bilgilere daha kolay eriĢilebilen, bilgi miktarı ve güvenlik düzeyleri daha iyi bir seviyeye taĢınmıĢtır. Ayrıca teknoloji dıĢında grup halinde yenilen akĢam yemekleri, mesai saatleri içerisinde verilen kahve molaları, anlık toplantılar gibi informel tarzda yapılan iletiĢim ile de bilginin yayılması 86 kolaylaĢmıĢtır . Yeni “iletiĢim teknolojileri ile birlikte artık iletiĢim sürecinin hızı artmıĢ, iĢletmenin içinde ve dıĢında ulaĢabildiği kitle geniĢlemiĢ ve aktarılabilen bilgi miktarı değiĢmiĢtir. Örgütsel iletiĢimin de yeni iletiĢim teknolojilerinin kullanılmasıyla birlikte önemli bazı noktalarda dünden bugüne değiĢim gösterdiği belirtilebilir. ÇalıĢanların, sosyo-kültürel yapılarının farklılıklarının sonucunda çeĢitli değerlerin iletiĢimi daha dinamik tutulabileceği görüsü hâkimdir. ÇalıĢanlardan gizlilik ilkesinden daha çok örgütsel iletiĢimde daha problem çözücü ve doğru kararların alınabileceği bir ortam oluĢturulmuĢtur.” 86 Ünlü, a.g.e., s.29. 57 2.2.5. Personel Güçlendirme Yetki, görev ve sorumlulukların personele ait olmasıdır. ÇalıĢanların inisiyatifini rahatça kullandırabilen çalıĢma biçimidir. Burada amaç çalıĢanları araĢtırmaya, kendilerini geliĢtirmeye, sorumluluk üstlenmeye ve risk almaya teĢvik etmektir. Ayrıca personelleri cesaretlendirerek yaratıcı fikirleri de ortaya çıkarmaktır. Personel güçlendirme bu yeni fikirler ile müĢteri ihtiyaçlarını en iyi Ģekilde 87 karĢılayabilmek adına kaliteli ürün ve hizmet değeri yaratan bir rekabet stratejisidir . 2.2.6. MüĢteri Odaklılık Firma içerisindeki tüm personellerin müĢterilere en iyi Ģekilde hizmet verebilmesi için çaba göstermesi, emek harcamasıdır. Amaç; insanların firma ile ilgili görüĢlerini yansıtan kalite, değer ve güvenilirliğe odaklanılarak en iyi hizmeti sunabilmektir. ÇalıĢanlar sadece müĢteri isteklerine göre değil, ileride ortaya çıkabilecek ihtiyaçları da tahmin ederek faaliyetlerini sürdürürler. Piyasanın iyi analiz edilmesi, farklı insanlarla tanıĢma, kurulan erken iletiĢim, ileride ortaya çıkabilecek yeni ihtiyaçlara göre ürün ve hizmet geliĢtirme firmanın baĢarısını arttıran unsurlar 88 olacaktır . 2.3. Yönetim Yeniliklerinin Benimsenmesinin Sonuçları ĠĢletmeler yenilik uygulamalarını planlarken birtakım amaçlara ulaĢmayı isterler. Söz konusu amaçlar iĢletmelere göre değiĢiklik gösterse de tüm iĢletmelerin temel amacı, daha iyi sonuçlar elde edebilme düĢüncesidir. Yeniliğin benimsenmesi/reddedilmesi ve uygulanmasının bireyler gerekse örgütler açısından bazı değiĢimleri ortaya çıkarması kaçınılmazdır. Yeniliklerin bir 87 Akkıran, a.g.e., s.32. 88 Selin Aygen, “ĠĢletmelerde Yenilik Yönetimi Sürecinde Örgüt Yapılarında ve Hizmet Tasarımlarında YaĢanan DönüĢümler: Antalya Ġli BeĢ Yıldızlı Konaklama ĠĢletmelerinde Ampirik Bir AraĢtırma ve Hizmet Tasarımı Önerisi”, (YayımlanmamıĢ Doktora Tezi), Selçuk Üniversitesi, Konya, 2006, s.79. 58 sonucu olarak meydana gelecek olan bu değiĢimlerin neler olabileceğini, ne Ģekilde ve ne zaman ortaya çıkabileceğini öngörmek oldukça zordur. Bu da meydana gelen değiĢimlerde yeniliklerin etkisinin ne kadar olduğunun ölçülmesini zorlaĢtırmaktadır. Bu nedenledir ki, yeniliğin sonuçlarının neler olduğu konusunda çok fazla çalıĢma yapılmamıĢ ve genel kanı olarak yeniliğin daima olumlu değiĢimlere yol açacağı önyargısı yaygınlaĢmıĢtır. Ancak yeniliklerin benimsenmesi ve uygulanmasıyla her zaman olumlu sonuçların ortaya çıkmadığı, bazen de olumsuz, istenmeyen sonuçların 89 meydana geldiği görülmektedir . Yeniliğin sonuçlarını üç kategoride incelemek mümkündür. Bunlar; arzu edilen 90 ve edilmeyen, doğrudan ve dolaylı, öngörülen ve öngörülmeyen sonuçlardır .Sadece iĢletme bazındaki yeniliklerin sonuçları değil aynı zamanda sektörel ve ulusal bazdaki yeniliklerin sonuçlarını da bu kategoriler altında değerlendirmek olasıdır. Yenilik uygulamaları mevcut yapının sürdürülebilmesi veya daha iyiye dönüĢtürülebilmesini kapsamakta, giriĢimci kiĢinin iĢletmeye koyduğu sermayenin ve karlılığın artırılmasını amaçlamaktadır. Böylece iĢletmelerin yenilik uygulamalarıyla 91 diğer ülke ve iĢletmelere bağımlılığı azalacak ve sürdürülebilirliği sağlanmıĢ olacaktır . ĠĢletmeler için yenilik yapmak; rekabet avantajı elde edebilmek, daha etkili süreçler uygulayabilmek, pazarda daha iyi olabilmek veya iyi bir imaj yaratabilmek açılarından önemlidir. ĠĢletmelerin yenilikçilik eğilimi, yatırım yapılmaya baĢlanması ve iç kaynak kullanılması nedeniyle kısa dönemde birtakım kayıplar meydana getirebilmektedir. Ancak yenilik uzun dönemde iĢletmelerin satıĢlarında ve pazar paylarında artıĢ ve iĢletmelere rekabetçi üstünlük sağlamakta olup; iĢletmelerin finansal performansına olumlu bir etki yapmaktadır. Rekabet avantajı kazanan iĢletmeler edindikleri tecrübe sayesinde pazardaki 92 faaliyetlerini daha da artırabileceklerdir . Ayrıca iĢletme amaçlarına ulaĢabilmek ve 89 Uzkurt, a.g.e., s.374. 90 Everett M. Rogers, Diffusion of Innovations, 4th. Ed., New York: The Free Pres, 1995, ss.412-421. 91 Mahmut Demir, ġirvan ġen Demir, Otel İşletmelerinde Yenilik Yönetimi- İlkeler ve Örnekler-, Ankara: Detay Yayıncılık, 2015, s.9. 92 Ioan Lala Popa, Gheorghe Preda, Monica Boldea, “A Theoretıcal Approach of the Concept of Innovation”, Managerial Challenges of the Contemporary Society, 1, 2010, s.155. 59 performansın iyileĢtirilmesini sağlayarak iĢletme amaçlarına daha kısa sürede ulaĢılması 93 sağlanmaktadır . Buna ek olarak iĢletme amaçlarının da yenilik türlerine ve 94 özelliklerine iliĢkin bilgiler sağlayabileceğini söylemek mümkündür . Yeniliğin iĢletmeler açısından en büyük amaçlarından birisi olan rekabet gücünü elde etmeyi sağladığı söylenebilir. Bu kapsamda rekabet avantajı sağlayan iĢletmelerin pazarda lider olması ve diğer amaçlarına daha kısa sürede ulaĢabilmesi yeniliğin bir diğer etkisidir. Ayrıca yenilik uygulamalarının sadece iĢletmeler bazında değil, ülkesel anlamda da faydalar sağladığı ifade edilebilir. Yenilik uygulamalarının hem zincir iĢletmeler hem de bağımsız ağırlama 95 iĢletmeleri için stratejik önem kazandığı günümüzde, yeniliğin rekabeti sağlama yönünden, insanlara sağladığı yararlar, müĢteriye olan yararları ve iĢletmeye olan yararları bakımından sınıflandırılması ġekil 10’da gösterilmektedir. 93 Erdoğan TaĢkın, “ĠĢletmelerde Yenilik Yönetiminin Önemi”, Politik Ekonomik Durum, (202), 7, 2014, s.7. 94 Demir, Demir, a.g.e., s.10. 95 Monica Ottenbacher, Vivienne Shaw, Andrew Lockwood, “An Investigation of the Factors Affecting Innovation Performance in Chain and Independent Hotels”, Journal of Quality Assurance in Hospitality & Tourism, 2008, s.115. 60 ġekil 10. Yeniliğin Gücü Kaynak: Scott M. Davis, Kristin Moe, “Bringing Innovation to Life”, Journal of Consumer Marketing, 14(5), 1997, s.338. Yeniliğin gücünün gösterildiği ġekil 10’a göre, yenilik sadece iĢletmelere değil, insanlara ve müĢteriye de rekabet avantajı sağlamaktadır. Bu kapsamda insanlara iĢ fırsatı sağlamak, son kullanıcı tatmini yaĢamak, iĢ ortamının iyileĢtirilmesi gibi faktörler sıralanmaktadır. MüĢteriye yararları ise, taleplerin daha iyi karĢılanması, müĢteri sadakati sağlamak ve müĢteriyi daha mutlu edebilmek yer almaktadır. Ayrıca hazırlanan yenilikler cezp edici olsa dahi tüketicilerin dikkatini çekemeyebilir ya da ürüne eklenmiĢ olan özellik için fazladan para vermek istemeyebilirler. Bu nedenle yenilik stratejileri müĢteri merkezli olmalı ve bu stratejilerde baĢarılı olmak için aĢağıda 96 belirtilen faktörler göz önünde tutmalıdır ;  Güçlü önderlik, 96 Ahu Tuğba Karabulut, Stratejik Yenilik Yönetimi- İnovasyon Yenileşim Yenilik, Ġstanbul: Papatya Yayıncılık, 2015, s.34.; Antonio Hidalgo, Jose Albors, Innovation Management Techniques and Tools: A Review from Theory and Practice, 2008, s.125-126. 61  Yenilik vizyonu ve stratejik iĢbirliği,  Yenilik niyeti ve projesi yönetimi,  Örgüt kültürü,  Bilgi yönetimi,  Entelektüel mülkiyet,  Uzman insan kaynakları ekibi,  Uygun Ar-Ge bütçesi,  Yenilik süreci, pazarlanması ve performans değerlemesi,  ĠĢletmede rekabet gücü oluĢturmak istendiği için ve toplumsal refahı artırmak için yenilik uyguladığınızı vatandaĢa benimsetmek ve ortak sertifika sisteminin geliĢtirilmesini sağlamak. 2.3.1. Arzu Edilen ve Edilmeyen Sonuçlar Arzu edilen sonuçlar, yeniliği benimseyenler için yararlı ve iĢlevsel sonuçlardır. Ancak sosyal sistem içerisinde, yeniliklerin onu benimseyenler için yararlı bir takım sonuçlarının yanında benimsemeyenler için de zararlı ve arzu edilmeyen bazı sonuçlar doğurması muhtemeldir. Üretim maliyetlerini düĢüren fireyi en aza indiren bir üretim teknolojisini benimseyen ve bu teknolojiyle üretim yapan iĢletmelerin benimsemeyenlere göre önemli bir üretim avantajı kazanması buna örnek verilebilir. Bazen de yeni bir teknolojinin geliĢmesiyle birlikte yeni sektörlerin ortaya çıktığı ancak bazı sektörlerin de etkisini kaybettiği hatta ortadan kalktığı görülmektedir. Bazen de yenilikler bir taraftan iĢletmelerin üretim süreçlerinde önemli kolaylıklar sağlarken ve yeni ürünler ortaya çıkarırken, diğer taraftan da kaynakların etkin olmayan 62 kullanımını, çevrenin kirletilmesini ve insan sağlığını tehdit edici bir takım olumsuz 97 etkiler yaratabilmektedir . Örgütler arasında yenilikler zannedildiğinin aksine, her zaman örgütlerin bilinçli ve rasyonel seçimleri sonrasında yayılmaz veya reddedilmez. Kimi zaman örgütler grubunun dıĢında kalan daha güçlü örgütlerin baskısı ile kimi zaman ise yönetim modalarını belirleyen grubun coĢkun bir hava yaratıp örgüt yöneticilerini yarattıkları yeniliğin her derde deva bir ilaç olduğuna inandırmaları ile yeniliğin kaderi 98 belirlenmiĢ olur . 2.3.2. Doğrudan ve Dolaylı Sonuçlar Yenilikleri direk benimseyen ve uygulama sonrasında kabullenen birey ve örgütlerin oluĢturduğu sonuçlara “doğrudan sonuçlar” denmektedir. Doğrudan sonuçlar ortaya çıktığında ise bu sonuçlara bağlı olarak meydana gelen değiĢimleri de “dolaylı sonuçlar” olarak adlandırmak mümkündür. Yeni bir üretim teknolojisi uygulayan iĢletmenin öncelikle üretim maliyetlerini, dolayısıyla satıĢ fiyatlarını düĢürmesi ve sonucunda pazar payını geniĢletmesi veya satıĢ hacmini ve kârlılığını artırması bu 99 duruma örnek olarak verilebilmektedir . Yenilik sürecinde iĢletme içi fonksiyonlar arası ve iĢletme dıĢındaki çevresel faktörlerle iliĢkilerin her zaman formel iliĢler olması gerekmemektedir. Bu iliĢkiler bazen formel olabildiği gibi bazen de informel olabilecektir. Çünkü formel iliĢkilerden edinilen bilgiler iĢletme için her zaman yararlı bilgiler olmayabilir. Dolayısıyla fonksiyonlar arası ve dıĢ çevreyle kurulan informel etkileĢim ve iletiĢim özellikle ifade edilmemiĢ (saklı) bilgilerin ortaya çıkarılması için oldukça önem arz etmektedir. Bu çerçevede, görüldüğü gibi yenilik süreci iĢletme içi fonksiyonlar arasında ve iĢletme 97 Uzkurt, a.g.e., s.375. 98 Mehmet Eryılmaz, “Örgütlerde Yönetsel Yenilik Kavramı – Yeniliklerin Örgütler Arasında Yayılımına ĠliĢkin Perspektiflerin Ġncelenmesi ve Konu Ġle Ġlgili Bazı Çıkarımlar”, İş, Güç Endüstri İlişkileri ve İnsan Kaynakları Dergisi, Cilt.5, 2(7), No.159, 2003, https://www.isguc.org/?p=article&id=159&cilt=5&sayi=2&yil=2003, (15.04.2019). 99 Uzkurt, a.g.e., s.376. 63 dıĢındaki makro ve mikro çevresel değiĢkenler arasındaki iletiĢim ortaya çıkan disiplinler arası bir süreç olarak kabul edilebilir. BaĢarılı bir yenilik sürecinin iĢletilebilmesi için iĢletmenin, süreçte etkili olan bütün faktörlerin katkısını maksimum yapacak bir yönetim tarzını benimsemesi gerekmektedir. Örgütsel yenilik, çoğu yenilik fonksiyonu gibi özel araçlar, kurallar ve 100 disiplinler gerektiren bir yönetim sürecidir . Bu nedenle baĢarılı ve etkin bir yenilik yönetimi içinde örgütlerin gerekli araçları, dinamikleri, kural ve düzenlemeleri, örgütsel altyapı ve kültürü ve uygulamadaki disipliner yapıyı hazırlaması gerekmektedir. Günümüz iĢletme yapıları ve çevresel faktörlerin konumu öncekine nazaran oldukça farklılık arz etmektedir. Bu da yenilik yönetim süreci için gerekli mekanizmaların oluĢturulmasında önemli hassasiyetleri beraberinde getirmektedir. 2.3.3. Öngörülen ve Öngörülmeyen Sonuçlar Öngörülen sonuçlar, yeniliği benimseyen tarafın daha önceden tahmin ettiği ve kabullendiği değiĢimleri ifade ederken öngörülmeyen sonuçlar ise hiçbir Ģekilde tahmin edemediği ve öngöremediği değiĢimleri içermektedir. Cep telefonunun birçok faydalarının yanında cep telefonundan yayılan sinyallerin sağlığa zararlı bazı olumsuz etkilerinin olabileceği örnekler arasında sayılabilir. Özellikle yeni ürün ve hizmetlerde, yönetim ve örgütlenme Ģekillerinde öngörülen sonuçların yanında öngörülemeyen birtakım sonuçlarında meydana geldiği görülmektedir. Yeni bir ürünün üretilmesi için belirli üretim süreçlerinden (belirli kimyasalların karĢılaĢtırılması, Ģoklama vs. gibi) geçirilmesi gerekmektedir. Ancak yeni bir ürün için sonradan eklenen bir üretim aĢaması o ürünü diğer ürünlerden çok farklı kılabildiği gibi bazı sağlığa zararlı sonuçları da beraberinde getirebilmektedir. Bu tür 100 Tony Davila, Marc J. Epstein ve Robert Shelton, Making Innovation Work: How to Manage It, Measure It and Profit from It, Upper Saddle River: Wharton School Publishing, 2006, s.xvii. 64 ikili etkiler en çok ilaç endüstrisinde, yeni ilaçların öngörülen sonuçlarıyla birlikte 101 öngörülemeyen bir takım etkilerinin de ortaya çıkmasında görülmektedir . Yeni bir örgütlenme ya da yeni bir yönetim tarzının çalıĢanlar üzerinde öngörülebilen sonuçlarıyla birlikte, daha önceden üzerinde hiç düĢünülmeyen ya da tahmin edilmeyen bir takım olumlu ya da olumsuz etkilere sahip olabildiği de görülmektedir. Arzu edilen ve edilmeyen, doğrudan ve dolaylı, öngörülen ve öngörülmeyen sonuçların birbirlerinden kesin hatlarla ayrılması oldukça zordur. Çünkü birçok yeniliğin arzu edilen sonuçlarının yanında arzu edilmeyen, doğrudan sonuçlarının yanında dolaylı ve öngörülen sonuçlarının yanında öngörülemeyen sonuçlarının da ortaya çıkması kaçınılmazdır. Genel olarak yeniliğin ortaya çıkan sonuçlarının ya arzu edilen, doğrudan ve öngörülebilirlik özelliklerinin üçüne birden sahip olduğu üretim veya etkinlik artıĢı, yüksek gelir ve daha fazla boĢ zaman gibi ya da arzu edilmeyen, dolaylı ve öngörülmeyen özelliklere sahip olduğu (harcamalarda artıĢ, daha fazla sermaye ihtiyacı 102 ve kaynakların dağılımında eĢitsizlik gibi) görülmektedir . AnlaĢılacağı üzere yeniliklerin sonuçlarının neler olduğunu tek tek tanımlamak oldukça zordur. Bu nedenle sonuçların yenilik özelinde, iĢletme ya da toplum üzerindeki etkilerini dikkate alarak belirlemek daha sağlıklı olmaktadır. 101 Uzkurt, a.g.e., s.377. 102 Rogers, a.g.e., s.410. 65 BÖLÜM III FĠRMALARDA Ġġ SÜREKLĠLĠĞĠ YÖNETĠMĠNĠN ÖNCÜLLERĠ VE ARDILLARI ÜZERĠNE BĠR ARAġTIRMA 3. YÖNTEM 3.1. AraĢtırmanın Amacı Bu çalıĢmada Türkiye’de ISO 22301 belgesine sahip olan iĢletmelerin iĢ sürekliliği hakkındaki bilinç düzeyleri ve bu konudaki uygulamalarını anlamaya yönelik nitel bir araĢtırma yapılmıĢtır. Nitel araĢtırmalar, algı ve olayların doğal ortamda gerçekçi ve bütünsel olarak ortaya konmasına yönelik; gözlem, görüĢme ve doküman incelemeleri gibi nitel veri toplama yöntemleriyle yapılan araĢtırmalardır. Nitel araĢtırmalarda amaç; bireylerin tecrübe, duygu, düĢünce ve algılarını anlamak ve yorumlamaktır. Nitel araĢtırmalarda incelenen konuya ait farklı bulgular ve analiz olanakları ortaya çıkmakta, araĢtırmacı ele alınan asıl konu dıĢındaki konular hakkında da bilgi sahibi olmaktadır. Ayrıca, nitel araĢtırmaların güçlü bulunan yanlarından biri ise; araĢtırmacı ve katılımcıların sayıları baz alanın bir etkileĢimindense günlük 103 hayattaki ortak paylaĢımları bir araya getirmesidir . 3.2. AraĢtırmanın Örneklemi Nicel araĢtırmalarda ana kütle büyüklüğü, kabul edilen güven oranı ve hata payına göre sabit örneklem büyüklükleri mevcuttur. Nitel araĢtırmada, örneklem büyüklüğü ise cevapların birbirini tekrarlamaya baĢladığı noktadır. AraĢtırmacı, 103 Ali Yıldırım ve Hasan ġimĢek, Sosyal Bilimlerde Nitel Araştırma Yöntemleri, 11. Baskı, Ankara: Seçkin Yayıncılık, 2018. 66 cevapların kendisini tekrarlamaya baĢladığı noktada “örneklemin doyduğu” (Saturation 104 Point) kanısına vararak araĢtırmayı sonlandırır. ĠĢ sürekliliğini, her sektör için uygulamak mümkündür. Özellikle risk içerikli finans, telekomünikasyon, ulaĢım ve kamu sektörlerinin faaliyet gösterdiği ve faaliyetlerinin sürdürülebilir olmasının kendisi, müĢterileri ve paydaĢları için hayati önem arz eden firmalar için önemli bir gerekliliktir. ĠĢ sürekliliği yönetimi Ģu an için bankacılık/finans, telekomünikasyon ve enerji piyasalarındaki kuruluĢlarda zorunlu hale 105 getirilmiĢtir ve sürekli denetlenmektedir . Bu çalıĢmada da Gelir Ġdare BaĢkanlığı resmi sitesindeki özel entegratörler listesinden yola çıkılarak görüĢmeler hedeflenmiĢtir. Bu listede 86 firma yer almaktadır. Söz konusu bu listeden iĢ sürekliliği uygulamasının daha üst seviyede olacağı beklentisi ile daha büyük ölçekle ve daha üst düzeyde kurumsallaĢmıĢ Ģirketler seçilerek görüĢmeler baĢlatılmıĢtır. Seçilen bu Ģirketlerin sektör dağılımı ise, telekomünikasyon, bankacılık/finans, enerji, biliĢim – bilgi sistemleri ve teknoloji olarak gerçekleĢmiĢtir. Ardından her görüĢme sonrasında katılımcılardan iĢ sürekliliğinin etkin biçimde uygulandığı diğer firmalara iliĢkin yönlendirmeler yapmaları talep edilmiĢ, dolayısıyla “kartopu örneklemesinden (snowball sampling)” yararlanılmıĢtır. Süreç 23 görüĢmeye ulaĢıldığında verilerin kendisini tekrarlaması gerekçesiyle, bir baĢka deyiĢle örneklemin doyması nedeniyle sonlandırılmıĢtır. Dolayısıyla araĢtırmanın veri setini 23 firmada iĢ sürekliliği yönetimi konusunda sorumlu olan bireylerle yapılan yarı yapılandırılmıĢ görüĢmeler oluĢturmaktadır. 3.3. Veri Toplama Yöntemi Tez kapsamında görüĢme tekniği kullanılarak veriler toplanmıĢtır. GörüĢme tekniğinde görüĢmeci ve katılımcılar sözlü olarak etkileĢim kurmaktadırlar. 104 Barney G. Glaser, Anselm I. Strauss, The discovery of Grounded Theory Strategies for Oualitative Research, Chicago: Aldine Publishing Company, 1967, s.2. 105 Özgüven Saymaz, “Neden ĠĢ Sürekliliği?”, http://www.ozguvenatolyesi.com/neden-is-surekliligi/, (25.08.2019). 67 Katılımcılara kendi ifadeleri ile cevaplayabilecekleri sorular sormak, kendi yaĢamlarına 106 ait verilerin sağlanması için en uygun yöntemdir . Ayrıca, görüĢme sürecinin gözlem ve yazılı dokümanlardan elde edilen verilerle desteklenmesi araĢtırmanın güvenilirliğini ve geçerliliğini arttırmaktadır. GörüĢme teknikleri tam yapılandırılmıĢ, yarı 107 yapılandırılmıĢ ve yapılandırılmamıĢ olarak üçe ayrılmıĢtır . Bu çalıĢmada, çalıĢmanın amacı kapsamında hazırlanan görüĢme formlarıyla “yarı yapılandırılmıĢ görüĢme” (semi-structured interview) tekniği kullanılmıĢtır. “Yarı yapılandırılmıĢ görüĢme” (YYG), yapılandırılmıĢ ve yapılandırılmamıĢ görüĢme yöntemleri arasında karma bir karakter göstermektedir. Önceden hazırlanan görüĢme formlarında görüĢmenin ilerleyiĢine göre yan ya da alt sorular sorularak katılımcıların cevapları detaylandırılabilir. Bununla birlikte eğer ilerleyen bölümlerde gelecek olan sorular önceden cevaplanmıĢsa bu sorular 108 atlanabilir . Bu bağlamda yarı yapılandırılmıĢ görüĢme tekniği esnek ve belli standartlara sahip bir teknik olduğu için çalıĢma kapsamında kullanılmaktadır. Ayrıca ziyaret edilen firmalardan ISO 22301 ĠĢ Sürekliliği ve Yönetimi belgeleri talep edilmiĢtir. Bu sayede, tez sahibi kendisine verilen cevapların doğruluğunu değerlendirme imkânı bulmuĢtur. Son olarak tez sahibi firma ziyaretleri esnasında gerçekleĢtirdiği “yapılandırılmamıĢ gözlem” leri (unstructured observation) de yine kendisine sunulan cevapları kontrol etmek amaçlı kullanmıĢtır. Yazında ana veri toplama yöntemine ek olarak verilerin doğruluğunu kanıtlamak amacıyla ikincil veri toplama yöntemlerinden de yararlanılmasına “çeĢitlendirilme” (triangulation) adı 109 verilmektedir . GörüĢme formunun ilk bölümünde katılımcıların bilgilendirilmesine yönelik görüĢme içeriği ve süresi hakkında açıklamalar içermektedir. GörüĢme formunun ikinci bölümünde görüĢmeye katılan kiĢi (örneğin ismi, doğum tarihi, cinsiyeti, vb.) ve 106 Pınar Öktem, “Sosyolojide Nitel AraĢtırma Geleneğinin Tarihçesi”, (YayınlanmamıĢ Doktora Tezi), Ankara: Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü, 2004, s.67. 107 Sharan B. Merriam, Nitel Araştırma: Desen Ve Uygulama İçin Bir Rehber, 3. Baskıdan Çeviri, Ed.: Turan, S., Ankara: Nobel Yayın Dağıtım, 2013. 108 Abbas Türnüklü, “Eğitim Bilim AraĢtırmalarında Etkin Olarak Kullanılabilecek Nitel Bir AraĢtırma Tekniği: GörüĢme”, Kuram ve Uygulamada Eğitim Yönetimi, 6(24), 2000, ss.543-559. 109 Yıldırım ve ġimĢek, a.g.e. 68 mesleki bilgileri (örneğin unvanı, çalıĢma süresi) hakkında ilgili veriye ulaĢma imkânı sağlayacak sorular yer almaktadır. GörüĢme formunun üçüncü bölümü ise firmaların, iĢ sürekliliği uygulaması ile ilgili öncülleri ve ardıllarını anlamaya yönelik 9 açık uçlu sorudan oluĢmaktadır. Kimi sorularda sorunun anlaĢılamaması veya kısa cevaplarla geçiĢtirilmesi riskine karĢı alternatif sorular ve görüĢmenin gidiĢatına göre de ek sorular sorularak görüĢmeciden açıklama yapılması istenmiĢtir. Son olarak katılımcılara görüĢlerini özgürce ifade edebilme imkânı vermek gayesi ile ekleme yapmak istedikleri bir konu olup olmadığına iliĢkin bir soru eklenmiĢtir. Bahsi geçen görüĢme formuna EK 1’den ulaĢmak mümkündür. GörüĢme öncesinde katılımcıların kiĢisel verilerinin gizli kalacağının, görüĢme verilerinin bu araĢtırma kapsamında kullanılacağının ve isimlerinin kodlanacağının garantisi verilmiĢ olup, ardından araĢtırmanın konusu ve amacı ile ilgili genel bilgiler katılımcılarla paylaĢılmıĢtır. GörüĢmeler esnasında veri kaybının olmaması için, katılımcı onayı doğrultusunda veriler ses kayıt cihazı ile kayıt altına alınmıĢ, sonrasında ses kayıt cihazına kaydedilen görüĢmeler transkribe edilmiĢ, bir baĢka deyiĢle bilgisayar ortamında yazıya dökülmüĢtür. 3.4. Veri Analiz Yöntemi GörüĢme verileri içerik analizi yöntemi ile analiz edilmiĢtir. Ġçerik analizinde amaç, elde edilen verileri anlaĢılır biçimde açıklayabilecek kavramlara ve iliĢkilere ulaĢmaktır. Ġçerik analizinin özü, benzer verileri belirli kavram ve temalar etrafında toplayarak okuyucunun anlayabileceği bir Ģekilde düzenleyip yorumlamaktır. Bu çerçevede nitel araĢtırma verileri; verilerin kodlanması, temaların bulunması, kodların 110 ve temaların düzenlenmesi, bulguların tanımlanması ve yorumlanması olmak üzere 110 Yıldırım ve ġimĢek, a.g.e. 69 dört aĢamada analize tabi tutulmaktadır. Verilerin analizi sürecinde öncelikle katılımcıların cevapları yazılı hale getirilmiĢ, bir baĢka ifade ile “transkribe” edilmiĢtir. Ġkinci aĢamada ise her bir görüĢme metni araĢtırmacı tarafından detaylı bir Ģekilde okunmuĢ ve yöneticilerin düĢünceleri ile ilgili bütüncül bir bakıĢ açısı elde edilmeye çalıĢılmıĢtır. Üçüncü olarak metinler üzerinde kodlamalar yapılmıĢ ve temalar 111 oluĢturulmuĢtur . Ġlaveten, temalara iliĢkin anlayıĢı netleĢtirmek adına her tema için katılımcıların ifadelerinden alıntılar yapılmıĢtır. 3.5. Bulgular AraĢtırma kapsamında 23 firmadan 23 kiĢi ile 11 dakika ile 99 dakika arasında, toplam 496dakika süren YYG’ler yürütülmüĢtür. Analiz edilmek üzere transkribe edilmiĢ görüĢme metinlerinin toplam 65 sayfa uzunluğunda olduğu görülmüĢtür. GörüĢmeye katılanların 9’u kadın (%39), 14’ü ise erkektir (%61). AraĢtırmaya katılanların en genci 33, en yaĢlısı ise 58 yaĢında olup, araĢtırmaya katılanların yaĢ ortalaması 41’dir. AraĢtırmaya katılan yönetici, uzman ve/veya müdürün meslekte çalıĢma süresi en az 4, en fazla 24 yıldır ve ortalama çalıĢma süresi ise 16 yıldır. AraĢtırmaya katılanların eğitim durumuna bakıldığında katılımcıların, 13’ünün (%56) lisans, 8’inin (%35) yüksek lisans, 2’sinin (%9) ise doktora eğitimine sahip olduğu görülmüĢtür. AraĢtırmaya katılanların kurumdaki pozisyonlarına bakıldığında ise 15’inin (%65) ilgili departman yöneticisi (müdürü), 5’inin (%22) uzman, 2’sinin (%9) kıdemli uzman ve 1’inin de (%4) danıĢman olarak görev yaptığı görülmektedir. 111 Ġrfan Erdoğan, Pozitivist Metodoloji: Bilimsel Araştırma Tasarımı İstatistiksel Yöntemler Analiz ve Yorum, Ankara: Erk Yayınları, 2003. 70 Soru 1- ĠĢ Sürekliliği Planı hakkında genel olarak ne düĢünüyorsunuz? Ġlk soruya katılımcıların verdikleri cevaplar incelendiğinde katılımcıların 21’inin (%91) iĢ sürekliliği yönetimine pozitif bir bakıĢ açısına sahip olduğu, 2’sinin ise (%9) iĢ sürekliliği yönetimine tarafsız bir bakıĢ açısına sahip olduğu görülmektedir. AĢağıda iĢ sürekliliği yönetimine mutlak anlamda pozitif bir bakıĢ açısına sahip katılımcılardan iki tanesinin ifadelerine iliĢkin alıntılar sunulmaktadır: İş süreçlerini tanımlarken bunları kişilere sorumluluk olarak atarken kişi ise yedeklenmesi veya bu işin herhangi bir noktasında bir kesinti olursa devreye sokulacak sistem ne olacak, bu ne kadar tahammül edilebilir bunları hep yapıyorduk fakat tanımlı değildi. Mümkün olduğunca akıldan bildiğimiz, fiili olarak yönetebildiğimiz işleri bizim kayıt altına alıp, dokümante edip, yani sistemleştirerek, yeni gelen kişileri de bunları aşılamamız gerektiğini ve bunu da belli bir disiplinde yapmamız gerekliliğini gördük. Dolayısıyla iş sürekliliği işin bütünlüğü için son derece önemli, ne kadar sürede sen bu işin kesintiyi uğradığında tahammül edebilirinin tanımlı olması, herkesin aynı fikirde olup bilmesi, o süre aşıldığı zaman yapılacak iş veya devreye girecek yeni bir süreç varsa onun ne kadar sürede devreye alınacağının bilinmesidir. Tabii öngöremediğin şeyler de olabiliyor onu yaşadığın zamanda onu güncelleyebileceğin bir sistemin var, öyle bakıyoruz biz(GörüĢmeci 1,MüĢteri Hizmetleri Müdürü, Kadın, 39). Kurumların devamlılığı için, olağanüstü durumlarla karşılaşmaları halinde nasıl bir strateji izleyeceklerini, hangi aksiyonların kimler tarafından alınacağını biliyor olması gerekmektedir. Çünkü olağanüstü durumlar gerçek kişiler gibi tüzel kişilerin de başına gelebilir ve bunlara hazırlıklı olmaları, o gün geldiğinde ne yapılacağını bilmeleri ve hedeflediği süre içerisinde müşterilerine sunduğu servis ve ürünleri vermeye devam edebilmeleri için bir ön şarttır. İş sürekliliği planları işte bu olağanüstü durumların neler olabileceği, her birinin yaşanması halinde kim, neyi, hangi sırada yapacak bilgilerini içeren, tüm iletişim mekanizmalarına yer 71 veren, planın devreye alma kriterlerini içeren dokümantasyondur. Kurumların, özellikle iş kesintilerinin müşteri-paydaşlar üzerinde etkisinin yüksek olduğu kurumların, iş sürekliliği planlarını hazırlamaları ve gerekli altyapı ve süreçleri tesis etmeleri iş sürekliliği risklerini minimize edebilmeleri için elzem derecede bir gerekliliktir (GörüĢmeci 9, BT Servis Yöneticisi, Kadın, 42). AĢağıda iĢ sürekliliği yönetimine tarafsız bir bakıĢ açısına sahip katılımcılardan bir tanesinin ifadelerine iliĢkin bir alıntı sunulmaktadır: Kuruma özel oluşturulmalı ve düzenli olarak güncellenmelidir (GörüĢmeci 21, ĠĢ Sürekliliği Yönetim Uzmanı, Erkek, YaĢı Bilinmiyor). Soru 2- Ġyi bir “ĠĢ Sürekliliği Planı” hazırlarken nasıl bir yol izlenmeli? Nelere dikkat edilmelidir? Bu soruya iliĢkin alınan yanıtlardan türetilen kod, kategori ve temalar aĢağıdaki Tablo 6’da sunulmaktadır. GörüĢmecilerin “planlama ile ilgili faktörler” teması altındaki “iĢ etki analizi hazırlama” kategorisine iliĢkin verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: İyi bir iş sürekliliği planı oluşturabilmek için öncesinde İş Etki Analizini çok iyi tasarlamak, şirketin ihtiyaçlarını ve kritik süreçlerini doğru belirlemek gerekmektedir. Ana paydaşların çıkarları, operasyonel, finansal, yasal ve itibara yansıyan olumsuz tüm etkilerin mutlaka değerlendirilmesi gerekmektedir. İş sürekliliği planlarında ki asıl amaç iş sürekliliği hedeflerine ulaşmaktır (GörüĢmeci 2, CISO/Bilgi Güvenliği Müdürü, Kadın, 37). 72 GörüĢmecilerin “planlama ile ilgili faktörler” teması altındaki “üst yönetiminin rolü” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Üst yönetimin karar noktalarında mutlaka bizzat yer almalı. Politikanın, hedeflerin belirlenmesini sağlamalı. Düzenli olarak çalışmaların durumunu takip etmeli ve bazı çalışmalara (farkındalık eğitimi, tatbikat vb.) dâhil olmalı (GörüĢmeci 20, Üst Düzey Yönetici, Erkek, 40). Tablo 6. Ġyi Bir ĠĢ Sürekliliği Planı Hazırlarken Ġzlenecek Yola ĠliĢkin Tematik Analiz KOD KATEGORĠ TEMA ĠĢ etki, süreç, varlıklar ĠĢ etki analizi hazırlama Kritik, süreç, etki analizi, RTO, RPO, Kritik süreç belirleme MTPoD, MBCO Risk, değerlendirme, tedbir alma, Risk Analizi çözüm Bireysel, kurumsal Eksiklerin tespiti Hedef, amaç, SWOT analizi Hedef belirleme PaydaĢ, beklenti, mutabık kalmak, PaydaĢ beklentilerinin analiz belirlenmesi Üst yönetim, destek, kritik kiĢiler, Planlama ile ilgili faktörler yönetim onayı, öncü olmak, ilk adım, Üst yönetimin rolü temel, politika, strateji, yayma, karar noktası, politika, hedef Olası, kesinti, minimum Senaryo oluĢturmak Kurtarma, plan, olay, zaman, Süreklilik planının müdahale, bilgi, dokümanter, mevcut, hazırlanması varlık envanteri ĠĢ sürekliliği politikası Politika, varsayımlar, ana kurallar yazılması Test, plan, test formatı ĠĢ sürekliliği planının testi ÇalıĢanlar, süreç, personel, hazırlık, ÇalıĢanların sürece dâhil etme parça içselleĢtirme Farkındalık, bilinç, görev, iç eğitim, ÇalıĢanlarda farkındalık kampanya yaratmak KiĢisel, sorumluluk, atamalar, KiĢisel sorumlulukların sorumluluklar, roller, organizasyon, tanımlanması görev tanımları Örgütlenme ile ilgili faktörler Eğitim, test Eğitimin sürekliliği Kaynak oluĢturmak Kaynak, kaynak atama ĠĢ sürekliliği ekibini Ekip oluĢturmak 73 MüĢteri, acil MüĢteri bilgilendirme Yasal gerekliliklerin Yasal çıkarılması EĢgüdümleme ile ilgili faktörler ĠletiĢim, Kurum ĠletiĢim verimliliği Tedarikçi Tedarikçilerle iletiĢim Gereksinim, belirtme, analiz, katılma, test çalıĢması, aksiyon, güncel, PaydaĢların rolü koordinasyon Tatbikat, iyileĢtirme, katkı, plan, PaydaĢ Yönetimi ÇalıĢanların rolü öğrenme, tatbikat Acil iletiĢim, ek tedarik, uyum Tedarikçilerin rolü Katılımcıların “örgütlenme ile ilgili faktörler” teması altındaki “çalıĢanları sürece dâhil etme” kategorisine iliĢkin verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: Personelin iş sürekliliği yönetim sisteminin bir parçası olması ve konuyu içselleştirerek kurum kültürünün bir parçası olarak dikkate alması önemlidir. Bunu sağlayabilmenin en temel şartı ise personeli iş sürekliliği yönetim sisteminin hem personele hem de kuruma olan katkıları hakkında ikna edebilmektir. Bunun da sürekli ve etkin bir iletişimle yapılması önemlidir (GörüĢmeci 13, ĠĢ Sürekliliği & Kriz Yöneticisi, Erkek, 49). Cevaplayıcıların “örgütlenme ile ilgili faktörler” teması altındaki “çalıĢanlarda farkındalık yaratmak” kategorisine istinaden verdikleri yanıtlara iliĢkin bir örnek aĢağıda sunulmaktadır: Çalışanlar tarafında iş sürekliliği planı farkındalığı çok önemlidir. Her ne kadar testlerle bu sağlansa da sınıf içi eğitimlerle ve kampanyalarla farkındalığın arttırılması hedeflenmelidir (GörüĢmeci 12, ĠĢ Sürekliliği Yöneticisi, Erkek, 44). 74 Katılımcıların “eĢgüdümleme ile ilgili faktörler” teması altındaki “iletiĢim verimliliği” kategorisine iliĢkin verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: Kurumun iş sürekliliği konusunda etkileşimli olduğu tüm dış paydaşları yani, tedarikçiler, regülatörler, komşular, içeren bir analiz yapılması (İlgili Parti Analizi) ve iş sürekliliği konusunda bu kurumlar ile iletişim verimliliği, kesintilerinin bu kurumları etkileme düzeyi, bu kurumlardan iş sürekliliği bağlamında etkilenme ve servislerinin kesintiye uğrama düzeyinin tespit edilmesi ve bu konulardaki risklerin iş sürekliliği riski olarak tanımlanması(GörüĢmeci 9, BT Servis Yöneticisi, Kadın,42). Cevaplayıcıların “paydaĢ yönetimi” teması altındaki “paydaĢların rolü” kategorisine istinaden verdikleri yanıtlara iliĢkin bir örnek aĢağıda sunulmaktadır: Paydaşlar, BCP kapsamındaki kendi sorumluluk alanlarındaki aksiyonların güncel olmasından sorumludur. Ayrıca sorumluluk alanlarında gerekli koordinasyon sağlanmalıdır (GörüĢmeci 11, Kıdemli Proje Yöneticisi, Erkek, 44). Cevaplayıcıların “paydaĢ yönetimi” teması altındaki “tedarikçilerin rolü” kategorisine iliĢkin verdikleri yanıtlara bir örnek aĢağıda sunulmaktadır: Tedarikçiler acil iletişim planına katkı vermeli, organizasyonun BCP içinde tanımlanmış ek tedarik planlarına uyum sağlayabilecek altyapıları hazır tutması sorumluluğuna sahiptir (GörüĢmeci 11, Kıdemli Proje Yöneticisi, Erkek, 44). 75 Soru 3- ĠĢ Sürekliliği Planının en önemli parçası sizce hangisidir ve neden? Katılımcıların bu soruya verdikleri cevap incelendiğinde katılımcıların 9’unun (%39.2) sadece iĢ etki analizi, 5’inin (%22) iĢ etki analizi-risk analizi, 2’sinin (%8.7) yönetim desteği, 1’inin (%4.3) iĢ etki analizi-risk analiz ve eğitim & test, 1’inin (%4.3) iç-dıĢ kaynak analizi eğitim & test, 1’inin (%4.3) risk değerlemesi & acil durum belirlenmesi, 1’inin (%4.3) risk değerlendirmesi, 1’inin (%4.3) sorumluluk matrisi, 1’inin (%4.3) eğitim & test ve 1’inin (%4.3) de planın en mühim parça olduğuna yönelik cevap verdikleri görülmüĢtür. Cevaplayıcıların sadece “iĢ etki analizi” kategorisine iliĢkin verdikleri yanıtlara bir örnek aĢağıda sunulmaktadır: İş Süreklilik Planlamasının en önemli parçası, sürecin diğer adımlarının da önemli ölçüde şekillendirilmesini sağlayan iş-etki analizleridir. İSY stratejisi kurulması ve olası felaketlere yönelik gerçekçi planlar yapılabilmesi için süreç sahipleri ile yapılan toplantılarla birlikte kritik süreç adımlarının ve kaynakların belirlenmesi büyük önem taşımaktadır. Değişimin oldukça hızlı yaşandığı günümüzde, iş-etki analizlerinin her yıl yenilenmesi gerektiği de unutulmamalıdır (GörüĢmeci 14, Teknik & Risk Yöneticisi, Erkek, 41). 76 Tablo 7. ĠĢ Sürekliliği Planının En Önemli Parçasına ĠliĢkin Tematik Analiz GÖRÜġMECĠ-1 X X GÖRÜġMECĠ-2 X GÖRÜġMECĠ-3 X X GÖRÜġMECĠ-4 X X GÖRÜġMECĠ-5 X GÖRÜġMECĠ-6 X GÖRÜġMECĠ-7 X GÖRÜġMECĠ-8 X GÖRÜġMECĠ-9 X GÖRÜġMECĠ-10 X GÖRÜġMECĠ-11 X GÖRÜġMECĠ-12 X GÖRÜġMECĠ-13 X GÖRÜġMECĠ-14 X GÖRÜġMECĠ-15 X GÖRÜġMECĠ-16 X X GÖRÜġMECĠ-17 X X X GÖRÜġMECĠ-18 X X GÖRÜġMECĠ-19 X GÖRÜġMECĠ-20 X X GÖRÜġMECĠ-21 X X GÖRÜġMECĠ-22 X GÖRÜġMECĠ-23 X X X X X X X X 77 ĠĢ Etki Analizi Risk Değerleme Ġç&DıĢ Kaynak Analizi Kesinti Maliyet Analizi Acil Durum Belirlenmesi Eğitim & Test Sorumluluk Matrisi Yönetim Desteği Cevaplayıcıların “iĢ etki analizi-risk analizi” kategorisine istinaden verdikleri yanıtlara iliĢkin bir örnek aĢağıda sunulmaktadır: İkinci soruda da belirttiğim gibi İEA ve Risk Değerlendirme iş sürekliliği planının en önemli bileşenleridir. İEA’yı düzgün bir şekilde yapmazsanız kritik hizmetlerinizi düzgün belirleyemezsiniz. Sonrasında belirlediğiniz kritik hizmetleriniz için de risk değerlendirmesini iyi yapmazsanız planınıza neleri dâhil etmeniz gerektiğini sağlıklı belirleyemezsiniz. Tüm bunların sonucunda oluşacak olan iş sürekliliği planının en öneli yönü ise kuruluşunuza uygun ve kuruluşunuzda uygulanabilir olmasıdır. Gerçekleştiremeyeceğiniz bir plan aslında bir planınız yok demektir (GörüĢmeci 18, Kurumsal Risk Yönetim Kıdemli Uzmanı, Erkek, 32). Cevaplayıcıların “yönetim desteği” kategorisine iliĢkin verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: İş Sürekliliği planlamasının en temel ve önemli parçası yönetim desteğidir. Yönetim desteği; süreçte ihtiyaç duyulan kaynakların tahsis edilmesine, karşılaşılan sorunların aşılmasına ve iş sürekliliği yönetimimin kurum kültürüne entegre edilmesine katkı sağlayacaktır (GörüĢmeci 13, ĠĢ Sürekliliği & Kriz Yöneticisi, Erkek, 49). Cevaplayıcının “planın bir bütün” olduğuna yönelik verdiği yanıta iliĢkin bir örnek aĢağıda sunulmaktadır: Bu plan bir bütündür, iş sürekliliği planının hazırlanması aşamasında ön bilgilerin doldurulması, envanterlerin oluşturulması, bağımlılıkların belirlenmesi, kriz yönetimi ile ilişkisinin oluşturulması, risk değerlendirilmesinin yapılması, Bilgi Teknolojileri stratejisinin ve yatırımlarının belirlenmesi, bütçelendirme yapılması, test stratejileri, 78 farkındalık. Hepsi bir bütündür, baştan sona titiz bir çalışma yapılmalıdır (GörüĢmeci 23, Bilgi Güvenliği-ĠĢ Sürekliliği BaĢkanı, Kadın, 48). Cevaplayıcının “eğitim & test” olduğuna yönelik verdiği yanıta iliĢkin alıntı aĢağıda sunulmaktadır: En önemli parçası bence Eğitim ve Test süreçleri, çünkü ne kadar senaryoları kapsamı ve aksiyonları belirlenirse belirlensin, bunların eğitimleri ve test süreçleri tamamlanmazsa yapılan çalışmalar uygulamada başarılı olmayacaktır (GörüĢmeci 6, Ürün/Hizmet Yöneticisi, Erkek, 37). Soru 4- Kurumunuzu ĠĢ sürekliliği Planını uygulamaya iten faktörler / geliĢmeler nelerdir? Bu soruya iliĢkin alınan yanıtlardan türetilen kod, kategori ve temalar aĢağıda Tablo 8’de sunulmaktadır. 79 Tablo 8. Firmaların ĠĢ Sürekliliği Planını Uygulamaya Ġten Faktörlere / GeliĢmelere ĠliĢkin Tematik Analiz KOD KATEGORĠ TEMA Strateji, Kurumsal Stratejisi Firma Stratejisi Kurallar Örgüt kültürü Örgütsel faktörler Bilinç seviyesi Örgütsel liderlik YaĢanmıĢlıklar Örgütsel hafıza Yeni, müĢteri Yeni müĢteri elde etme Mevcut, müĢteri Mevcut müĢteri devamlılığı MüĢteri, güven MüĢteri güveni sağlama MüĢterilere iliĢkin faktörler Beklentiler MüĢteri beklentileri Servis, kesintisiz çalıĢma, iĢ kesintileri, kayıplar Servis sürekliliği gerekliliği Fiziksel, finansal, güvence ÇalıĢanların beklentileri PaydaĢ beklentileri Gelir kaynakları sürekliliği Tedarikçi beklentileri IT firması, Kritik, altyapı, sektör, doğalgaz, MüĢteri, GIB, kritik, ĠĢ ihtiyaçları,7/24 çalıĢma, Sektörel gerekler Sektörel faktörler enerji, elektrik üretim, elektrik dağıtım, telekomünikasyon, sağlık Teknoloji Teknolojinin hızlı geliĢmesi Rekabet koĢullarının Çevresel Rekabet sertleĢmesi faktörlerde değiĢim Yasal, zorunluluklar, gereklilik, BDDK Yasal mevzuata uyum “Örgütsel Faktörler” temasına iliĢkin alt kategorilerden bir tanesi olan “firma stratejisi” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Yasal gereklilikler, kurum stratejileri, kurumun piyasalar nezdindeki kritik yeri diye sıralayabiliriz (GörüĢmeci 9, BT Servis Yöneticisi, Kadın, 42). 80 “Örgütsel faktörler” temasına iliĢkin alt kategorilerden bir tanesi olan “örgütsel liderlik” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Birçok global şirket için geçerli olduğu gibi kurumumuzu İSY uygulamalarına iten en önemli faktörlerin başında grup içerisinde uyulması gereken kurallar ve bu konuda bilinç seviyesi yüksek yöneticilerin şirket içinde söz sahibi olması gelmektedir (GörüĢmeci 14, Teknik & Risk Yöneticisi, Erkek, 41). Katılımcıların “müĢterilere iliĢkin faktörler” teması altındaki “müĢteri güveni sağlama” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Müşterilere verilmekte olan servislerin sürekliliğini sağlamak, hem müşteri güveni hem de yasal zorunluluklar nedeniyle önceliklidir (GörüĢmeci 11, Kıdemli Proje Yöneticisi, Erkek, 44). Katılımcıların “müĢterilere iliĢkin faktörler” teması altındaki “servis sürekliliği gerekliliği” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Kesintisiz çalışma gerekliliği, beklenmedik bir olağanüstü durum anında yapılması gerekenlerin önceden bir plan kapsamında belirlenmiş olması, iş sürekliliğinin bir döngü içerisinde sürekli yaşayan bir sistem olarak ele alınması gerekliliği (GörüĢmeci 8, BT Kıdemli Uzman, Kadın, YaĢı Bilinmiyor). GörüĢmecilerin “paydaĢ beklentileri” teması altındaki “çalıĢanların beklentileri” kategorisine iliĢkin verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: 81 Çalışanlar, fiziksel (çalışma ortamının fiziksel olarak güvenli olması) ve finansal (gelir kaynağının sürekliliği konusunda) güvence beklemektedir (GörüĢmeci 1, MüĢteri Hizmetleri Müdürü, Kadın, 39). GörüĢmecilerin “paydaĢ beklentileri” teması altındaki “tedarikçi beklentileri” kategorisine iliĢkin verdikleri cevaplardan bir alıntı aĢağıda sunulmaktadır: Tedarikçiler ise, Gelir kaynaklarının sürekliliğini beklemektedir (GörüĢmeci 1, MüĢteri Hizmetleri Müdürü, Kadın, 39). Katılımcıların “sektörel faktörler” teması altındaki “sektörel gerekler” kategorisine iliĢkin iki alıntı aĢağıda sunulmaktadır: Sektör olarak iş ihtiyaçlarının 7/24 çalışmayı gerektirmesi (GörüĢmeci 10, ĠĢ Sürekliliği Yöneticisi, Erkek, 41). Firmalar genellikle büyük iş kesintisi olayları yaşayıp, ciddi kayıplar verdikten sonra bu planları oluşturmaya karar verirler. Ancak böyle olayların yaşanması beklenmeden, özellikle de faaliyet alanı kritikse (enerji, telekomünikasyon, sağlık vb.), firmaların bu planları oluşturması çok önemli (GörüĢmeci 17, Risk Yöneticisi, Kadın, 37). GörüĢmecilerin “çevresel faktörlerde değiĢim” teması altındaki “rekabet koĢullarının sertleĢmesi” kategorisine iliĢkin verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: Teknolojinin hızlı gelişimi, rekabet koşullarının oldukça sertleşmesi sonucunda hem yeni müşteriler elde etmek, hem de mevcut müşterilerinin devamlılığını sağlamak kritik bir öneme sahip olmaya başladı (GörüĢmeci 1, MüĢteri Hizmetleri Müdürü, Kadın, 39). 82 GörüĢmecilerin “çevresel faktörlerde değiĢim” teması altındaki “yasal mevzuata uyum” kategorisine iliĢkin verdikleri cevaplardan bir alıntı aĢağıda sunulmaktadır: Kurumumuz Gelir İdaresi Başkanlığı tarafından ruhsat verilmiş bir aracı kurum hüviyeti taşıdığı ve GİB tarafından zorunlu olarak iş sürekliliği konusunda bazı yönerge ve regülasyonlarla yönetildiği için zorunluluk içerisinde hareket etmekte, ona göre plan ve programlar geliştirmektedir (GörüĢmeci 16, Genel Müdür, Erkek, 50). Soru 5- ĠĢ Sürekliliği Planının kurumunuza olan sonuçları nelerdir? Bu soruya iliĢkin alınan yanıtlardan türetilen kod, kategori ve temalar aĢağıdaki Tablo 9’da sunulmaktadır. “DıĢ müĢteri memnuniyeti artıĢı” temasına iliĢkin alt kategorilerden bir tanesi olan “müĢteri memnuniyeti” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Şöyle iş sürekliliği yaparken tanımladığımız belli hedefler var, Bu hedeflerin en başında firmaların müşteri memnuniyeti hatta bu müşteri deneyimine gidiyor. Ne kadar mükemmel müşteri deneyimi yaratıyorsan o kadar başarılısın. Her şeye kolay erişebilme ve teknolojinin sana getirdiği kolaylıklar ve avantajları ile beraber aslında müşteri profili de değişti. Her şeyin daha fazlasını bekliyorlar, rekabet koşulu çok zorlaştı, teknoloji ile birlikte fark yaratmak kolay ama fayda‖ yaratacak fark yaratmak zordur. Her koşulda müşteri süreklilik istiyor, bütün bir sene kesintisiz bir sene geçirmiş olabilirsin ama bir sene de 15 dk. yarattığın bir kesinti, iyi bir planın yoksa ve iş sürekliliğini sağlayamıyorsan o çok ciddi bir sıkıntı yaratıyor. Bizim açımızdan en büyük sonucu müşteri memnuniyeti (GörüĢmeci 1, MüĢteri Hizmetleri Müdürü, Kadın, 39). 83 “DıĢ müĢteri memnuniyeti artıĢı” temasına iliĢkin alt kategorilerden bir tanesi olan “hizmet sürdürülebilirliği” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: İşletmemizin sunmuş olduğu ürün ve hizmetlerin sürdürülebilirliğini arttırmada ve dolayısıyla da müşterilerimizin memnuniyetinin artmasına sebep olmuştur (GörüĢmeci 6, Ürün/Hizmet Yöneticisi, Erkek, 37). Katılımcıların “Ġç MüĢteri memnuniyet artıĢı” teması altındaki “fiziksel çalıĢma ortamına iliĢkin memnuniyet” kategorisine verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır. İç müşteriler olarak çalışanlara döndüğümüzde ise hem çalışma ortamı hem mali güvence anlamında daha rahat çalışmalarına imkân verdi (GörüĢmeci 1, MüĢteri Hizmetleri Müdürü, Kadın, 39). 84 Tablo 9. Firmaların ĠĢ Sürekliliği Planının Kurumlara Olan Sonuçlarına ĠliĢkin Tematik Analiz KOD KATEGORĠ TEMA MüĢteri, memnuniyet, dıĢ, müĢteri MüĢteri memnuniyeti deneyimi, kesintisiz, süreklilik Kazanma, sertifikasyon MüĢteri kazanma DıĢ müĢteri memnuniyeti artıĢı Sürdürülebilirlik, tekrar çalıĢabilir Hizmet sürdürülebilirliği Fiziksel çalıĢma ortamına ÇalıĢma ortamı, iliĢkin memnuniyet Ġç müĢteri memnuniyeti artıĢı Finansal olanaklara iliĢkin Mali güvence memnuniyet Kesinti, önceden belirlenmiĢ, dökümante edilmiĢ, olağanüstü durumlar, kesintileri minimum Hazır olmak tutma, potansiyel tehditlerin belirlenmesi Proaktif olmak Ġç paydaĢ, dıĢ paydaĢ Farkındalık Raporlama Raporlama performans artıĢı ArtıĢ, iyileĢtirme Performans artıĢı DönüĢ maliyetleri Maliyetlerin düĢürülmesi Verimlilik, olgunluk, operasyonel Verimlilik artıĢı Uyum Yasal uyum artıĢ Örgütsel performansın artıĢı Odaklanma ĠĢe odaklanmak Kriz Krizin olmaması Karlılık Finansal performans artıĢ SatıĢ öncesi faaliyet, MüĢteri güveni Örgüte duyulan güvenin artması Hissedar Hissedar güveni Repütasyonel kayıp Ġtibar kaybının önlenmesi Ġmaj kaybı Ġmaj kaybının önlenmesi Kurumsal kimliğin korunması Marka değeri Marka değerinin korunması 85 Katılımcıların “iç müĢteri memnuniyet artıĢı” teması altındaki “finansal olanaklara iliĢkin memnuniyet” kategorisine verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: İç müşteriler olarak çalışanlara döndüğümüzde ise hem çalışma ortamı hem mali güvence anlamında daha rahat çalışmalarına imkân verdi (GörüĢmeci 1, MüĢteri Hizmetleri Müdürü, Kadın, 39). “Proaktif olmak” temasına iliĢkin alt kategorilerden bir tanesi olan “hazır olmak” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Yaşanabilecek olası durumlara önceden hazırlıklı olmak, alınacak aksiyon adımlarının, kişilerin rol ve sorumluluklarının, kurtarma zaman hedeflerinin önceden belirlenmiş dokümante edilmiş olması (GörüĢmeci 7, ĠĢ Sürekliliği & Süreç Yönetim Uzmanı, Kadın, 33). “Proaktif olmak” temasına iliĢkin alt kategorilerden bir tanesi olan “farkındalık” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Farkındalık hem iç hem de dış paydaları kapsayacak şekilde test senaryolarına katılım, sözleşme yönetiminde olağanüstü durumları kapsayacak şekilde SLA maddeleri içerecek şekilde sağlanmaktadır. Yani Her şeyden önce rutinin dışına çıkılması gereken olağanüstü durumlar ile ilgili kurum içerisinde farkındalık sağlamaktadır (GörüĢmeci 3, Kalite & Süreç Yönetim Uzmanı, Erkek, 39). GörüĢmecilerin “örgütsel performansın artıĢı” teması altındaki “raporlama performans artıĢı” kategorisine iliĢkin verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: 86 Kurum bu sistemi bünyesine entegre etmiş olmakla varlık ve süreçlerinin iş etki analizi sürekli değerlendirme imkanı bulmuştur. Bu analizler iş yapış şekilleri, iyileştirme ve raporlama başlıklarında performans artışlarına sebebiyet vermiştir. Örnek verecek olursak, web sitesinin durması bir kesintidir. Bu kesinti karşısında devreye girecek sistemin belirlenmiş olması, ona göre önlemlerin alınması veya yedekleme sisteminde bir kapasite artırımı da bunlar olumlu tarafları olarak karşımıza çıkıyor iş sürekliliğinde (GörüĢmeci 5, IT Uzmanı, Erkek, 40). GörüĢmecilerin “örgütsel performansın artıĢı” teması altındaki “maliyetlerin düĢürülmesi” kategorisine iliĢkin verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: Tabii, varlıkların, bilginin korunması gibi, ayrıca yaşanabilecek aksaklıklarda normale dönüş maliyetlerinin en aza indirilmesi, şirketin imaj kaybının yaşanmaması olarak avantajları muhakkak oldu (GörüĢmeci 6, Ürün/Hizmet Yöneticisi, Erkek, 37). Katılımcıların “örgüte duyulan güvenin artması” teması altındaki “müĢteri güveni” kategorisine verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: Satış öncesi faaliyette kullanıyoruz ve müşterinin güveninin arttırıyor belki bizden daha ucuz ve hizmet alacağı firmalar olabiliyor fakat bu süreklilik bu kurumsal bakış açısı işin o kritik süreçlerinin kesintiye uğramayacağını bilmesi tercih sebebi oluyor (GörüĢmeci 1, MüĢteri Hizmetleri Müdürü, Kadın, 39). Katılımcıların “örgüte duyulan güvenin artması” teması altındaki “hissedar güveni” kategorisine verdikleri cevaplardan bir örnek aĢağıda sunulmaktadır: 87 Şirketin müşteriler nezdindeki itibarının ve de marka değerinin korunmasını ve hissedarların güven duyacakları bir ortam yaratılmasını sağlar (GörüĢmeci 14, Teknik & Risk Yöneticisi, Erkek, 41). “Kurumsal Kimliğin Korunması” temasına iliĢkin alt kategorilerden bir tanesi olan “imaj kaybının önlenmesi” ve “itibar kaybının önlenmesi” kategorilerine iliĢkin ortak bir alıntı aĢağıda sunulmaktadır: Tabii, varlıkların, bilginin korunması gibi, ayrıca yaşanabilecek aksaklıklarda normale dönüş maliyetlerinin en aza indirilmesi, şirketin imaj kaybının yaşanmaması olarak avantajları muhakkak oldu (GörüĢmeci 6, Ürün/Hizmet Yöneticisi, Erkek, 37). “Kurumsal kimliğin korunması” temasına iliĢkin alt kategorilerden bir tanesi olan “marka değerinin korunması” kategorisine iliĢkin bir alıntı aĢağıda sunulmaktadır: Şirketin müşteriler nezdindeki itibarının ve de marka değerinin korunmasını ve hissedarların güven duyacakları bir ortam yaratılmasını sağlar (GörüĢmeci 14, Teknik & Risk Yöneticisi, Erkek, 41). Soru 6- ĠĢ Sürekliliği Planı’nın etkili olup/olmadığını anlamak için ölçümler yapılmakta mıdır? Ne tür ve ne sıklıkla yapılmaktadır? Katılımcıların “ölçüm türüne iliĢkin” verdikleri cevap incelendiğinde katılımcıların 13’ünün (%57) test tatbikat, 3’ünün (%13) masa üstü test, 4’ünün (%17) etkinlik ölçümü ve 3’ünün (%13) iç-dıĢ tetkik cevabı verdiği görülmüĢtür. AĢağıda “ölçüm türüne iliĢkin” temasına göre “test – tatbikat” bakıĢ açısına sahip katılımcılardan bir tanesinin ifadelerine iliĢkin alıntı sunulmaktadır: 88 İş Süreklilik Planının etkili olup olmadığının anlaşılması adına izlenebilecek en önemli adım, mümkün olduğunda gerçeğe yakın iş süreklilik yönetimi tatbikatları yapılmasıdır. Bunun sonucunda tespit edilecek bulguların hazırlanacak aksiyon planları ile birlikte giderilmesi, en az planların test edilmesi kadar önem taşımaktadır (GörüĢmeci 14, Teknik & Risk Yöneticisi, Erkek, 41). AĢağıda “ölçüm türüne iliĢkin” temasına göre “masa üstü test” bakıĢ açısına sahip katılımcılardan bir tanesinin ifadelerine iliĢkin alıntı sunulmaktadır: Mevcut senaryolar iç paydaşları (yönetim dâhil) ve tedarikçileri kapsayacak şekilde yılda en az bir kez aktif şekilde yıl da en az bir kez de masaüstü testleri ile işletilmektedir. Test sonuçları SLA taahhütleri, replikasyon süreleri ve sistemlerin ayağa kaldırılması için planlanan operasyon süreleri ile karşılaştırılarak IEA planları ile uyumuna göre ölçülmektedir (GörüĢmeci 3, Kalite & Süreç Yönetim Uzmanı, Erkek, 39). AĢağıda “ölçüm türüne iliĢkin” temasına göre “etkinlik ölçümü” bakıĢ açısına sahip katılımcılardan bir tanesinin ifadelerine iliĢkin alıntı sunulmaktadır: İş sürekliliği planının aktif uygulanması sürecini Etkinlik Ölçüm listeleri kullanılarak takip edilmektedir. 3-6-9 ve12 aylık periyotlarda farklı konu başlıkları takip edilmektedir (GörüĢmeci 5, IT Uzmanı, Erkek, 40). AĢağıda “ölçüm türüne iliĢkin” temasına göre “iç-dıĢ tetkik” bakıĢ açısına sahip katılımcılardan bir tanesinin ifadelerine iliĢkin alıntı sunulmaktadır: İç tetkik ve üçüncü taraf denetimleri ile sağlanmaktadır. Her ikisi de yılda birer kere yapılmaktadır (GörüĢmeci 4, Kalite Güvence Uzmanı, Kadın, 35). 89 Katılımcıların “ölçüm sıklığına iliĢkin” verdikleri yanıtlara bakıldığında12’si (%52) her yıl birer kez, 2’si (%9) her yıl iki kez, 4’ü (%17) periyotlar halinde, 1’i (%4) günlük, 4 cevaplayıcının ise (%17) ölçüm sıklığına iliĢkin herhangi bir beyanda bulunmadığı görülmektedir. Katılımcıların “ölçüm sıklığına iliĢkin” temasına göre “her yıl birer kez” ifadelerine iliĢkin alıntı aĢağıda sunulmaktadır: Tatbikatlar ve denetimler ile etkinlikleri ölçülmektedir. Bunun için kritik süreç bazlı bir planlama yapılmaktadır ve o plan doğrultusunda gerçekleştirilmektedir. Tüm kritik süreçlerin en az yılda 1 defa tatbikatı gerçekleştirilmelidir. Kritiklik seviyesi ve işin doğası gereği bazı kritik süreçler için bu sayı artırılmaktadır. İş sağlığı ve güvenliği planlamaları ve tatbikatları da iş sürekliliğin önemli bir parçasını oluşturmaktadır. Burada ise habersiz tatbikatlar düzenlenmektedir (GörüĢmeci 2, CISO/Bilgi Güvenliği Müdürü, Kadın, 37). Katılımcıların “ölçüm sıklığına iliĢkin” temasına göre “her yıl iki kez” ifadelerine iliĢkin alıntı aĢağıda sunulmaktadır: İş sürekliliği tatbikat planımız var ve senede 2 kere uyguluyoruz. Raporlama ile de sonuçları değerlendirmekteyiz (GörüĢmeci 19, BT Proje Yöneticisi, Kadın, 40). Katılımcıların “ölçüm sıklığına iliĢkin” temasına göre “periyotlar halinde” ifadelerine iliĢkin alıntı aĢağıda sunulmaktadır: İş sürekliliği planının aktif uygulanması sürecini Etkinlik Ölçüm listeleri kullanılarak takip edilmektedir. 3-6-9 ve12 aylık periyotlarda farklı konu başlıkları takip edilmektedir (GörüĢmeci 5, IT Uzmanı, Erkek, 40). 90 Katılımcının “ölçüm sıklığına iliĢkin” temasına göre “günlük” ifadesine iliĢkin alıntı aĢağıda sunulmaktadır: Mevcut teknik altyapımız gereği, müşterimizin ürün ve hizmetlere ulaşılabilirliğinin sonuçları müşterilerimizden şirketimiz veritabanına akmaktadır ve bu sayede günlük ölçüm yapılabilmektedir (GörüĢmeci 6, Ürün/Hizmet Yöneticisi, Erkek, 37). Katılımcıların “ölçüm sıklığına iliĢkin” temasına göre herhangi bir beyanda bulunmadığına iliĢkin alıntı aĢağıda sunulmaktadır: Ölçümler, analizler, testler mutlaka yapılmalıdır, bunların danışman firmalar yönetiminde yapılması gerçek sonucu verir, diğer türlü içerden gelebilecek tepki, isteksizlik, öncelik atayamama vb. nedenler sonucu ve gerçek felaketin etkilerini olumsuz yönde değiştirir (GörüĢmeci 21, ĠĢ Sürekliliği Yönetim Uzmanı, Erkek, YaĢı Bilinmiyor). Soru 7- Türkiye’de Ģuan, ĠĢ Sürekliliği Planına ne kadar önem veriliyor? Katılımcıların cevapları incelendiğinde katılımcıların 10’unun (%43) Türkiye’de ĠĢ Sürekliliği Planının çok önemsenmediği ve gelmesi gereken noktada olmadığı yönünde fikir beyan ettikleri tespit edilmiĢtir. AĢağıda Türkiye’de ĠĢ Sürekliliği Planının önemsenmediği bakıĢ açısına sahip katılımcılardan iki tanesinin ifadelerine iliĢkin alıntılar sunulmaktadır: Çok önemsenmemektedir. Üst yöneticiler ekstra mail külfet getirebileceğini düşünebilmektedirler. Esasında tam tersi iş sürekliliği sekteye uğrarsa daha çok kayıplar olabilir (GörüĢmeci 4, Kalite Güvence Uzmanı, Kadın, 35). 91 Türkiye gibi birçok farklı riskleri yüksek seviyede barındıran bir ülke için olması gerekenin çok çok altında olduğunu söyleyebilirim. Gelişmiş ülkeler ile karşılaştırıldığında gene son derece düşük seviyededir. Mutlaka üst yönetimde iş sürekliliği algısının bulunuyor olması gerekiyor. Çünkü bu çalışmalar üst yönetime rağmen gerçekleştirilemez. Tam tersine üst yönetim bu gerekliliğin farkında ise ve her türlü desteği veriyor ise sürdürülebilir olmaktadır. Ancak dünyanın globalleşmesi ile etrafımızdaki risklerin çeşitlenmesi ve ulusal/uluslararası yaşanan olayların sonuçlarının gözlemlenmesi ile bu konudaki yasal gereksinimlerin artması ile üst yönetimin bakış açısının olumlu yönde değişmekte olduğunu düşünüyorum. Kendi kurumum için belirtmem gerekirse iş sürekliliğine bakış üst yönetimde tam destek ve tam katılım seviyesindedir (GörüĢmeci 9, BT Servis Yöneticisi, Kadın, 42). GörüĢmecilerin cevapları incelendiğinde katılımcıların 5’inin (%22) Türkiye’de ĠĢ Sürekliliği Planının önemsenmeye baĢladığı ve öneminin giderek arttığı yönünde fikir beyan ettiği tespit edilmiĢtir. AĢağıda Türkiye’de ĠĢ Sürekliliği Planının önemsendiği bakıĢ açısına sahip katılımcılardan iki tanesinin ifadelerine iliĢkin alıntılar sunulmaktadır: Finans sektöründe BDDK’nın ilgili yönetmelikleri kapsamında iş sürekliliği planı oluşturulması ve uygulanması şart olmakla birlikte diğer sektörlerde de İş Sürekliliğine verilen önem gün geçtikçe artmaktadır. Kurumda İş Sürekliliği Yönetimini uygulayan birim, güncel gelişmeler ve planın işleyişi hakkında Üst Yönetimi düzenli aralıklarla bilgilendirdiği sürece, üst yönetimin konuya verdiği önem artacağını düşünüyorum (GörüĢmeci 8, BT Kıdemli Uzman, Kadın, YaĢı Bilinmiyor). İSP’ye verilen önem giderek artmakta. Özellikle risk yönetimi fonksiyonuyla birlikte önem verilen konulardan biri oldu. Ancak bu konuları bir ihtiyaç olarak görmeyen büyük organizasyonlar da halen mevcut. İSP doğrudan para kazandırabilecek bir çalışma olmadığı için üst yönetimin 92 gündemine girmesi oldukça zor. Bu nedenle çok nokta atış tespitlerle üst yönetimi bu konuda ikna etmek gerekiyor öncelikle (GörüĢmeci 17, Risk Yöneticisi, Kadın, 37). Son olarak, katılımcıların cevapları incelendiğinde cevaplayıcıların 6’sının (%26) Türkiye’de ĠĢ Sürekliliği Planının Sektöre-Regülatif Zorunluluklara göre değiĢtiği yönünde fikir beyan ettiği tespit edilmiĢtir. Türkiye’de ĠĢ Sürekliliği Planının Sektöre-Regülatif Zorunluluklara göre değiĢtiğine iliĢkin bakıĢ açısına sahip katılımcılardan iki tanesinin ifadeleri aĢağıda sunulmaktadır: Faaliyet gösterilen sektöre göre değişiklik göstermektedir. Yeni bakış açısıyla ve işin kritiklik seviyesinde göre artık daha fazla önem kazanmaya başladığını ve regülasyon düzenleyicilerine atıfta bulunarak şirketleri yönlendirmesiyle daha da önem kazanacaktır. Üst yönetim iş sürekliliği planlama ihtiyacı net ve doğru ifade edildiğinde iş sürekliliği çalışmaların aslında işin bir parçası olduğunu biliyor. Planlamanın can güvenliği, paydaş çıkarları, operasyonel, finansal, yasal ve itibar etkileri göz önünde bulundurulduğunda önem derecesi artıyor. Bir üst yönetici sürecini / Kurum faaliyetlerini sürekli iyileştirmek daha iyisine taşımak ister. Bu doğrultuda iş sürekliliği gereği yeni uygulamalar / iyileştirmelere karşı her daim açık davranılmaktadır. Burada ihtiyacı doğru belirlemek ve gerekliliğini kanıtlar ile sunabilmek üst yönetimi yeni uygulamalar için karar verebilmesini sağlamaktadır (GörüĢmeci 2, CISO/Bilgi Güvenliği Müdürü, Kadın, 37). Regülasyon etkilerinin olduğu piyasalarda (Bankacılık, Sermaye Piyasaları, Telekomünikasyon ve Enerji) yasal zorunlulukların etkileri ile belli bir düzeyin üzerine çıktığı söylenebilir. Ulaştırma Bakanlığının koordine ettiği Ulusal Siber Güvenlik Stratejisi kapsamındaki Eylem Planı’nda yine İş sürekliliği tarafında bir farkındalık yarattığı söylenebilir. Ama yasal zorunluluk ya da kamunun dikte ettiği diğer faaliyetler dışında 93 hem özel hem de kamu sektörünün iş sürekliliği ile ilgili çalışmalara isteksiz oldukları rahatlıkla gözlenmektedir (GörüĢmeci 3, Kalite & Süreç Yönetim Uzmanı, Erkek, 39). Katılımcıların 2’si (%9) ise “Türkiye’de ĠĢ Sürekliliği Planına ne kadar önem veriliyor?” sualine herhangi bir yorum yapmamıĢtır. 8- ĠĢ Sürekliliği Planının Türkiye ve dünyada gelecekte yeri ne olur sizce? Katılımcıların cevapları incelendiğinde 18 (%78) cevaplayıcının iĢ sürekliliği planının gelecekte Türkiye’de ve dünyada öneminin artacağına iliĢkin fikir beyan ettikleri tespit edilmiĢtir. AĢağıda bu gruptaki katılımcılara iliĢkin bir alıntı sunulmaktadır: Hem Türkiye’de, hem de dünyada bu konunun daha da önem kazanacağını düşünüyorum. Yerel ve küresel bazda ki hem finansal hem de finans dışı krizler firmaların önceden hazırlıklı olmasını gerektirecek (GörüĢmeci 17, Risk Yöneticisi, Kadın, 37). 5 (%22) katılımcının ise iĢ sürekliliği planının gelecekteki önemine dair fikirlerinin muğlak olduğu tespit edilmiĢtir. AĢağıda bu gruptaki katılımcılara iliĢkin bir alıntı sunulmaktadır: Regülasyonel zorunluluk olmadığı sürece başına felaket gelen firmalar haricinde pek ciddiye alınacağını düşünmüyorum maalesef (GörüĢmeci 23, Bilgi Güvenliği-ĠĢ Sürekliliği BaĢkanı, Kadın, 48). 94 Soru 9- Eklemek istediğiniz herhangi bir Ģey var mı? Bu noktada bazı katılımcıların verdikleri yanıtlara ek olarak bazı ilaveler yaptıkları görülmektedir. AĢağıda bu ilavelerden iki örnek paylaĢılmaktadır: ISYS projeleri sürekli bir iyileştirme ve gelişme içermediği zaman atıl bir dokümantasyon yığını olarak kalmaktadır. Yapılacak planlar projenin ilk yılında olmasa bile takip eden dönemlerde dış paydaşların SLA seviyelerinin yukarı çekilmesi, asgari çalışma kaynaklarının azamiye çekilmesi (disaster ortamına da production ortamı ile aynı kaynaklarla hizmet vermesi), mevcut aktif disaster kaynakları üzerine test sistemlerinin taşınarak verimlilik yaratılması gibi sürekli bir iyileştirme süreci işletecek şekilde geliştirilmelidir (GörüĢmeci 3, Kalite & Süreç Yönetim Uzmanı, Erkek, 39). Umarım bu ve benzeri konular ülkemizde kültür haline gelir, üst yöneticiler tarafından benimsenir ve yasal zorunluluklar ile yapılan çalışmalar olmaktan çıkar (GörüĢmeci 18, Kurumsal Risk Yönetim Kıdemli Uzmanı, Erkek, 32). 95 TARTIġMA Bu araĢtırmada, firmaları iĢ sürekliliği yönetimi uygulamasına iten faktörler incelenmiĢ ve bu faktörlerin “örgütsel faktörler” (örgüt kültürü, firma stratejisi gibi), “müĢterilere iliĢkin faktörler” (müĢteri güveni sağlama, müĢteri beklentisi gibi), “paydaĢ beklentileri” (çalıĢan beklentisi, tedarikçi beklentisi gibi), “sektörel faktörler” ve “çevresel faktörler” (yasal mevzuata uyum, rekabet koĢullarının sertleĢmesi gibi) baĢlıkları altında toplandığı görülmüĢtür. UlaĢılan bu bulguların, iĢ sürekliliği yönetimi 112 ile ilgili kısıtlı yazının bulgularıyla paralellik gösterdiği tespit edilmiĢtir . AraĢtırma kapsamında firmalarda iĢ sürekliliği yönetimi uygulama amaçları kapsamında “rekabete” önem verildiği görülmektedir. Rekabet gücü boyutu ile ilgili olarak ulaĢılan bulgularda, firmaların birçok alanda (verimlilik, karlılık ve vb.) rekabet gücü elde ettiğine iliĢkin çıkarımlar tespit edilmektedir. Bunun yanında, iĢ sürekliliği yönetiminin büyüme ve pazarlama aracı olarak kullanılması da önemli bir bulgudur. Herbane ve arkadaĢlarına göre, iĢ sürekliliği yönetimi, firmalara rekabetçi ortamlara karĢı entegre bir savunma ve saldırı yeteneği sağlama açısından stratejik yaklaĢımlara katkı sağlamaktadır. Öte yandan araĢtırmada, iĢ sürekliliği yönetimi uygulamasının firmalarda; iç ve dıĢ müĢteri memnuniyetinin artıĢına, proaktif olma becerisinin kuvvetlenmesine, kurumsal kimliğin korunmasına ve güçlenmesine, firmalara duyulan güvenin artmasına ve en nihayetinde örgütsel performansın yükselmesine katkı sağladığı görülmüĢtür. Bu 113 bulguların yine yazındaki kimi çalıĢmalarla tutarlı olduğu görülmektedir. AraĢtırma kapsamında, iĢ sürekliliği yönetimini uygulayan firmaların dıĢ müĢteri memnuniyeti boyutu ile ilgili olarak ulaĢılan bulgularında; yöneticilerin, ürün 112 Brahim Herbane, Dominic Elliott, Ethne M. Swartz, “Business Continuity Management: Time For a Strategic Role?, Long Range Planning, 37, 2004, ss.435-457; Katerina Venclova, Hana Urbancova, Hana Vostra Vydrova, “Advantages and Disadvantages of Business Continuity Management”, World Academy of Science, Engineering and Technology International Journal of Industrial and Systems Engineering, 7(4), 2013. 113 Venclova vd., a.g.e.; Abu Bakar Zahari, Azbiya Yaacob Noorulsadıqın, Mohamed Udin Zulkıflı, “The Effect of Business Continuity Management Factors on Organizational Performance: A Conceptual Framework”, International Journal of Economics and Financial Issues, 5 (Special Issue), 2015, ss.128- 134. 96 ve hizmet gibi çalıĢmaları gerçekleĢtirirken müĢteri istek ve beklentilerini göz önünde bulundurdukları ortaya çıkmıĢtır. Ġlgili bu çalıĢma ve literatür de yapılmıĢ benzer çalıĢmaların sonuçları da değerlendirildiğinde, iĢ sürekliliği yönetimi ile dıĢ müĢteri memnuniyeti boyutu arasında olumlu bir iliĢkiden bahsetmek mümkündür. Örneğin, Sawalha yapmıĢ olduğu çalıĢmada iĢ sürekliliği yönetiminin müĢteri memnuniyeti üzerinde pozitif yönde bir etkisinin olduğunu ortaya koymuĢtur. Böylece iĢ sürekliliği yöntemini uygulayan firmaların hem müĢteri memnuniyeti ve sadakati üzerinde, hem de hizmet sürdürülebilirliğine yönelik önemli katkı sağladığı görülmektedir. Ayrıca iĢ sürekliliği yönetimi uygulayan firmalarla yapılan görüĢmeler neticesinde örgütsel performans ile ilgili bulgular incelenmiĢ ve bu örgütlerin tamamında iĢ sürekliliği yönetimi pratiğinin örgüt performansına olumlu yansıdığı sonucuna varılmıĢtır. UlaĢılan bu bulgular Zahari ve arkadaĢlarının çalıĢma sonuçlarıyla da örtüĢmektedir. Zahari ve arkadaĢları çalıĢmalarında; iĢ sürekliliği yönetiminin operasyonel risk ve kritik iĢ süreçlerine olan etkisini en aza indirgemek için kuruluĢlar tarafından kullanılması gereken stratejik bir yönetim aracı olduğunu vurgulamıĢ ve iĢ sürekliliği yönetiminin örgütsel performans üzerinde ciddi bir etkiye sahip olduğunu ortaya koymuĢlardır. Benzer biçimde, Sawalha yaptığı araĢtırmada olgunlaĢmıĢ iĢ sürekliliği yönetimi süreçlerinin, bunlara sahip organizasyonların örgütsel 114 performansına ve verimliliğine müspet katkı sağladığını bulgulamıĢtır . Son olarak, iĢ sürekliliği yönetimi ile ilgili araĢtırmanın önemli bir boyutunu oluĢturan kriz, iĢ kesintileri, beklenmedik olaylarla ilgili bulguların, yönetim becerisi ile iliĢkili olduğu tespit edilmiĢtir. Bu çalıĢmayı onaylar nitelikte olan Zahari ve arkadaĢları çalıĢmalarında; iĢ sürekliliği yönetimi uygulayan firmaların, kriz ve iĢ kesintilerine karĢı direnç kazanmalarında örgütsel performansın olumlu etkisi olduğundan bahsetmektedirler. Ayrıca yine baĢka bir çalıĢma olan Kulkarni ve arkadaĢlarının çalıĢmasında kriz sonrası iĢ sürekliliği planlaması için genel bir çerçeve 115 önerilmektedir . Bu çerçeve kapsamında örgütlerin kriz sonrası iĢ sürekliliği planlarını 114 Ilhab H.Sawalha, “Organisational Perormance and Business Continuity Management: A Theoretical Perspective And A Case Study”, Journal of Business Continuity & Emergency Planning, 6(4), 2013, ss.360-373. 115 Kulkarni, a.g.e. 97 tasarlayabilmekte ve iĢ süreçlerine daha hızlı uyarlayabilmekte oldukları savunulmaktadır. 98 SONUÇ Bu çalıĢmanın amacı Türkiye’de ulaĢılabilen firmalarda iĢ sürekliliği yönetimi pratiğinin uygulanma öncül ve ardıllarını idrak etmektir. Bu doğrultuda bu pratiği hayata geçirmiĢ 23 firmanın konu ile ilgili yetkilileriyle yarı yapılandırılmıĢ görüĢmeler yürütülmüĢtür. Bu çalıĢmanın bazı özgün tarafları bulunmaktadır. ĠĢ sürekliliği yönetimi göreli olarak hem dünyada hem de Türkiye’de oldukça yeni bir yönetim pratiğidir. Dolayısıyla bu alanda gerçekleĢtirilmiĢ görgül çalıĢmaların sayısı oldukça sınırlıdır. Bu nedenle çalıĢmanın ilk olarak, sınırlı görgül yazına katkıda bulunduğu düĢünülmektedir. Ġkinci olarak, var olan görgül çalıĢmalar da iĢ sürekliliği yönetimi uygulamasının öncül ve ardıllarına fazlaca değinmemektedir. Bu bağlamda çalıĢma iĢ sürekliliği yönetiminin öncül ve ardıllarını idrak etmeye çalıĢarak yazına mütevazı bir katkı sağlamıĢtır. Elbette bu çalıĢmanın da her çalıĢma gibi üstesinden gelinebilseydi çalıĢmanın kalitesini yükseltebilecek kısıtları mevcuttur. Bu kısıtlardan bir tanesi çalıĢmanın örneklemidir. Her ne kadar 23 görüĢmeden elde edilen bulguların kendini tekrarladığı, dolayısıyla örneklemin doymuĢ olduğu düĢünülmekteyse de, hiç Ģüphesiz ki daha fazla katılımcının çalıĢmanın kalitesini yükselteceği aĢikârdır. Ancak daha önce ifade edildiği gibi iĢ sürekliliği yönetimi uygulamasının Türkiye bağlamında genç bir yönetim pratiği olması ve kimi firmaların çalıĢmaya katılmakta çekingen davranmaları örneklemin daha büyük olmasına engel teĢkil etmiĢtir. ÇalıĢmanın alanda gelecekte yapılacak çalıĢmalar için de bir zemin oluĢturabileceği düĢünülmektedir. Örneğin bu çalıĢmada nitel analiz sonrasında tespit edilen iĢ sürekliliği yönetiminin öncül ve ardılları gelecek çalıĢmalarda büyük örneklemlerden toplanmıĢ geniĢ veri setleriyle istatiksel olarak test edilebilir. Sahada görülen bir diğer boĢluk da uluslararası mahiyette mukayeseli araĢtırmaların eksikliğidir. Bu nedenle gelecekte muhtelif geliĢmiĢ ülkelerde yürütülen araĢtırmaların sonuçlarını mukayese edecek çalıĢmalar saha açısından değer arz edecektir. Benzer biçimde geliĢmekte olan ve geliĢmiĢ ülkelerdeki firmaların iĢ sürekliliği yönetimi uygulamalarını kıyaslayacak çalıĢmalar da okuyucular açısından ilgi çekici olabilecektir. 99 KAYNAKLAR ACARAY, Ali, “Küçük ve Orta Boy ĠĢletmelerde Yenilik Yönetimi: Yenilik Yönetiminde Etkili Olan Örgütsel Yapı ve Faktörlere ĠliĢkin Bir AraĢtırma”, (Yüksek Lisans Tezi), Kocaeli: Kocaeli Üniversitesi Sosyal Bilimler Enstitüsü, 2007. AKÇĠÇEK Rıdvan, “Tag Archives: İş Sürekliliği Nedir? İş Sürekliliği Yönetim Sistemi‖, 2011, http://ridvanakcicek.wordpress.com/tag/issurekliliginedir/, (10.01.2019). AKDAĞ Sibel, Risk Yönetiminde BaĢarı Faktörü “ĠĢ Sürekliliği Yönetimi” Sunumu, 2009. AKKIRAN, Samet, İşletmelerde Yenilik Yönetimi, http://www.academia.edu/30296425/%C4%B0%C5%9ELETMELERDE_YEN%C4%B 0L%C4%B0K_Y%C3%96NET%C4%B0M%C4%B0, (16.04.2019). AKTAġ Fatma Özden, “Bilgi Güvenliği Risk Yönetiminde En Uygun Ve Objektif Yöntemin Belirlenmesi”, (YayınlanmamıĢ Yüksek Lisans Tezi), Ġstanbul: Gebze Yüksek Teknoloji Enstitüsü, 2009. AKYOL Fatih, “Cobit (Bilgi ve Ġlgili Teknolojiler Ġçin Kontrol Hedefleri) Uygulayan ġirketlerdeki Bilgi Güvenliği Politikalarının ġirket, Personel ve Süreçlere Etkileri”, (Yüksek Lisans Tezi), Ġstanbul: Beykent Üniversitesi Sosyal Bilimler Enstitüsü, 2013. ANSELL Jake, Frank WHARTON, Risk: Analysis, Assessment and Management, John Wiley and Sons,1992. ARMAN Tevfik, Risk Analizine Giriş, Ġstanbul: Alfa Basım Yayım, III, 1997. AYDEMĠR Vedat, “ĠĢ Sürekliliği Yönetim Sistemi ve Bankacılık Sektörüne Yönelik Model”, (Yüksek Lisans Tezi), Ġstanbul: Ġstanbul Sabahattin Zaim Üniversitesi Sosyal Bilimler Enstitüsü, 2016. AYGEN, Selin, “ĠĢletmelerde Yenilik Yönetimi Sürecinde Örgüt Yapılarında Ve Hizmet Tasarımlarında YaĢanan DönüĢümler: Antalya Ġli BeĢ Yıldızlı Konaklama 100 ĠĢletmelerinde Ampirik Bir AraĢtırma Ve Hizmet Tasarımı Önerisi”, (YayımlanmamıĢ Doktora Tezi), Selçuk Üniversitesi, Konya, 2006. BAJGORC Nijaz, Moon YOUNG, “Enhancing Systems Integration By Incorporating Business Continuity Drivers”, Industrial Management & Data Systems, Volume. 109(1), 2009, pp.74-97. BAKKAL Hakan, Ġlknur TUNÇ, Alper KASIMOĞLU, İç Kontrol ve Kurumsal Risk Yönetimi, Ġstanbul: Ġdeal Yayınları, 2016. BALIKÇI Yalçın, İşletmelerde Risk Yönetimi, Ġstanbul: Cinius Yayınları, 2009. BIRKINSHAW, Julian, Gary HAMEL, Michael MOL, “Management Innovation”, Academy of Management Review, 33 (4), 2008, ss.825-845. BLYTH Michael, Business Continuity Management: Building an Effective Incident Management Plan, New Jersey: John Wiley & Sons, 2009. BROWN Benton A., “Step-by-Step: Enterprise Risk Management”, Magazine Article Risk Management, 48, September 2001, ss.41-50. BTYÖN DanıĢmanlık, “ISO 22301 ĠĢ Sürekliliği ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi”, ss.1-12, 2015,https://www.slideshare.net/btyon/iso-22301-sreklilii- ynetim-sistemi-ve-iso-27001-bilgi-gvenlii-ynetim-sistemi, (25.03.2019). CERULLO Virginia, Michael J. CERULLO, “Business Continuity Planning: a Comprehensive Approach”, Information Systems Management, 21(3), 2004, ss.70-78. COSO, “Enterprise Risk Management – Integrated Framework”, Executive Summary, September 2004. DAVILA, Tony, Marc J. EPSTEIN ve Robert SHELTON, Making Innovation Work: How to Manage It, Measure It and Profit from It, Upper Saddle River: Wharton School Publishing, 2006. DAVIS, Scott M., Kristin MOE, “Bringing Innovation to Life”, Journal of Consumer Marketing, 14(5), 1997, ss.338-361. 101 DEMĠR, Mahmut, ġirvan ġen DEMĠR, Otel İşletmelerinde Yenilik Yönetimi- İlkeler ve Örnekler-, Ankara: Detay Yayıncılık, 2015. DERĠCĠ Onur, İç Kontrol ve Risk Yönetimi, Antalya: Bekad Yayınları, 2015. DĠNÇKAN Ali, “ISO 22301 ĠĢ Sürekliliği Yönetim Sistemi Standardı”, Beyazşapka, Ağustos, https://www.slideshare.net/btyon/iso-22301-sreklilii-ynetim-sistemi-standard, (17.01.2019), 2013. EKĠCĠ Hasan, Kurumsal Risk Yönetimi Kalkınma Ajansı Uygulaması, Konya: Çizgi Kitabevi, 2015, s.58-61. ERDOĞAN, Ġrfan, Pozitivist Metodoloji: Bilimsel Araştırma Tasarımı İstatistiksel Yöntemler Analiz Ve Yorum, Ankara: Erk Yayınları, 2003. ERYILMAZ, Mehmet, “Örgütlerde Yönetsel Yenilik Kavramı – Yeniliklerin Örgütler Arasında Yayılımına ĠliĢkin Perspektiflerin Ġncelenmesi ve Konu Ġle Ġlgili Bazı Çıkarımlar”, İş, Güç Endüstri İlişkileri ve İnsan Kaynakları Dergisi, Cilt.5, 2(7), No.159, 2003, https://www.isguc.org/?p=article&id=159&cilt=5&sayi=2&yil=2003, (15.04.2019). FIKIRCIOĞLU Meryem, Bütünsel Risk Yönetimi, Ġstanbul: KalDer Yayınları, 2003. Gelir Ġdaresi BaĢkanlığı (GĠB), “BaĢvuru”, http://www.efatura.gov.tr/efaturaozelentegratorlukbasvurusu.html, (25.08.2019). GLASER, Barney G., Anselm I. STRAUSS, The discovery of Grounded Theory Strategies for Oualitative Research, Chicago: Aldine Publishing Company, 1967. HALL John, “Internal Auditing and ERM: Fitting in and Adding Value”, 2007, https://global.theiia.org/about/about-the- iia/Public%20Documents/Sawyer_Award_2007.pdf, (13.01.2019). HERBANE, Brahim, Dominic ELLIOTT, Ethne M. SWARTZ, “Business Continuity Management: Time For a Strategic Role?”, Long Range Planning, 37, 2004, ss.435-457. 102 HIDALGO, Antonio, Jose ALBORS, Innovation Management Techniques and Tools: A Review from Theory and Practice, 2008. HOLLEN, Rick M.A.,Frans A.J. VAN DEN BOSCH, Henk W. VOLBERDA, “The Role of Management Innovation in Enabling Technological Process Innovation: An Inter-Organizational Perspective” European Management Review, 10 (1), 2013, ss.35- 50. International Organization for Standardization, Risk Management — Risk Assesment Techniques, ISO, 2009. ISO 22301:2012, “Business Continuity Management”, 2012. ISO 22313:2012, “Societal Security – Business Continuity Management Systems – Guidance”, https://www.iso.org/standard/50050.html, (25.03.2019). ĠLTER Ġsmail, “BiliĢim Hizmetlerinin Sürekliliğine Yönelik Risk Analizi: Bir Kamu Kurumu Uygulama Örneği”, (Yüksek Lisans Tezi), Ankara: Gazi Üniversitesi BiliĢim Enstitüsü, 2015. JOHNS Merida L., “Building a Culture for Business Continuity Planning”, içinde: Ken Doughty (Ed.), Business Continuity Planning: Protecting Your Organization’s Life, Boca Raton: Auerbach, 2001. JORION Philippe, Value at Risk, Mc-Graw Hill, 2007. KAHRAMAN Ömer, “Bir Otomobil Fabrikasında ĠSG Alanında FMEA Yöntemi Ġle Risk Analizi”, (Yüksek Lisans Tezi), Sakarya: Sakarya Üniversitesi Fen Bilimleri Enstitüsü, 2009. KARABACAK Bilge ve Sevgi ÖZKAN, “ISO 270001:2005 Bilgi Güvenliği Yönetimi Sistemi Ġçin Süreç Tabanlı Risk Analizi”, Araştırma, Ankara: Orta Doğu teknik Üniversitesi Enformatik Enstitüsü, 2010. KARABULUT, Ahu Tuğba, Stratejik Yenilik Yönetimi- İnovasyon Yenileşim Yenilik, Ġstanbul: Papatya Yayıncılık, 2015. 103 KARLSSON, Charlie, Sam TAVASSOLI, “Innovation Strategies And Firm Performance”, CESIS Electronic Working Paper Series Centre of Excellence For Science Innovation Studies The Royal Institute of Technology, Centre of Excellence for Science and Innovation Studies (CESIS), 2015, ss.1-32. KILIÇ, Mustafa, BarıĢ BĠLGĠNOĞLU, “Ġhracatçı Türk Firmalarında Personel Sağlama ve Seçme Yöntemleri ve Ġnovasyon Performansı ĠliĢkisi: Orta Anadolu Ġhracatçı Birlikler Örneği”, Sosyo Ekonomi, 2, 2010, ss.216-241. KNIGHT Frank H.,Risk, Uncertainty And Profit, Beard Books, 1921. KOÇ Selahattin, “Basel II Kapsamında Kurumsal Risk Yönetimi: Türkiye’de Bankacılık Sektöründe Bir Uygulama”, (YayımlanmamıĢ Doktora Tezi), Kayseri: Erciyes Üniversitesi Sosyal Bilimler Enstitüsü, 2012. KOMUT Mustafa, “İş Sürekliliği Organizasyonu‖, Ġstanbul Üniversitesi Siyasal Bilgiler Fakültesi Dergisi, N.49, 2013, ss.101-116. KULAKLI Atik, Serpil ASLAN, “ĠĢletmelerde Bilgi Teknolojilerindeki GeliĢmelerin ĠĢletme ve Yönetim Fonksiyonları Üzerine Etkileri”, Beykent Üniversitesi Sosyal Bilimler Dergisi, 4(1), 2010, ss.1-16. KULKARNI Sharvari, Gezinus J. HIDDING, Serhat ÇĠÇEKOĞLU, “A Framework for Post-Crisis Business Continuity Plans. In System Sciences (HICSS)”, 48th Hawaii International Conference on, IEEE, 2015, ss.143-152. KUMAġ Erhan, “Bilgi Güvenliğinin Sağlanmasında Risk Yönetimi: E-Devlet Kapısı Uygulaması”, (YayımlanmamıĢ Yüksek Lisans Tezi), Kırıkkale: Kırıkkale Üniversitesi, 2009. Marsh DanıĢmanlık, ĠĢ Sürekliliği Eğitim Notları, 2010. MCMANUS Denise Johnson, Houston H. CARR, “Risk and the Need for Business Continuity Planning”, içinde: Ken Doughty (Ed.), Business Continuity Planning: Protecting Your Organization’s Life, Boca Raton: Auerbach, 2001. 104 MERRIAM, Sharan B., Nitel Araştırma: Desen Ve Uygulama İçin Bir Rehber, 3. Baskıdan Çeviri, Ed.: Turan, S., Ankara: Nobel Yayın Dağıtım, 2013. NAR Melek, Oya Hacire YÜREGĠR, “ĠĢ Sürekliliği Yönetiminde Kritik BaĢarı Faktörlerinin AHP Yöntemi ile Önceliklendirilmesi”, Çukurova Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, 33(4), Aralık 2018, ss.241-254. NEWTON Richard, Adım Adım Proje Yönetimi – Başarılı Bir Proje Nasıl Planlanır ve Yönetilir?, Ġlker Gülfidan (Çev.), Ġstanbul: Optimist Yayınları, 2010. NIEVES, Julia, Mercedes SEGARRA-CIPRES, “Management Innovation in the Hotel Industry”, Tourism Management, 46, 2015, ss.51-58. NOSWORTHY Julie, “A Practical Risk Analysis Approach: Managing BCM Risk”, Computers & Security, 19 (7), 2000, ss.596-614. ONUR Altay, “Risklere Hazırlıklı Olmak Ġçin ĠĢ Sürekliliği Yönetimi”, Mart 2011, https://ahsetr.blogspot.com/2011/03/risklere-hazirlikli-olmak-icin-is.html, (12.01.2019). OTTENBACHER, Monica, Vivienne SHAW, Andrew LOCKWOOD, “An Investigation of the Factors Affecting Innovation Performance in Chain and Independent Hotels”, Journal of Quality Assurance in Hospitality & Tourism, 2008, ss.113-128. ÖKTEM, Pınar, “Sosyolojide Nitel AraĢtırma Geleneğinin Tarihçesi”, (YayınlanmamıĢ Doktora Tezi), Ankara: Hacettepe Üniversitesi Sosyal Bilimler Enstitüsü, 2004. ÖZBĠLGĠN Ġzzet Gökhan, “Yeni Bir Standart – “ISO 22301: ĠĢ Sürekliliği Yönetimi Sistemi”, Bilişim Kültürü Dergisi, Yıl.40, Sayı.144,2012. ÖZÇER, Necip, Yönetimde Yaratıcılık ve Yenilikçilik, Ġstanbul: Rota Yayınları, 2005. ÖZYER, Yağmur, Ebru GÖZÜKARA, “Yenilikçi Kültürün Örgütsel Yaratıcılık Öğrenme Çabaları Üzerindeki Etkisi”, İstanbul Sosyal Bilimler Dergisi, (8), 2014, ss.1- 33. 105 PAPATYA, Nurhan, Sürdürülebilir Rekabetçi Üstünlük Sağlamada Stratejik Yönetim ve Pazarlama Odağı: Kaynak Tabanlı Görüş, 2. Basım, Ankara: Asil Yayınları, 2007. POPA, Ioan Lala, Gheorghe PREDA, Monica BOLDEA, “A Theoretıcal Approach of the Concept of Innovation”, Managerial Challenges of the Contemporary Society, 1, 2010, ss.151-156. REBELLO Sinda, Neeraj Kumar GOYAL, “Software System Reliability And Safety Assessment: An Extended FMEA Approach”, International Journal of Reliability and Safety, 4 (4), 2010, ss.366-380. ROGERS, Everett M.,Diffusion of Innovations, 4th. Ed., New York: The Free Pres, 1995, ss.412-421. SAWALHA, Ilhab H., “Organisational Perormance and Business Continuity Management: A Theoretical Perspective And A Case Study”, Journal of Business Continuity & Emergency Planning, 6(4), 2013, ss.360-373. SAYMAZ Özgüven, “ĠĢ Sürekliliği Yönetim Sistemi”, Üst Yönetim Farkındalık Semineri, Özgüven Atölyesi, 2018. SAYMAZ Özgüven, “ĠĢ Sürekliliği”, ISACA Hizmete Özel Sunum, 27.02.2016, Ġstanbul. SAYMAZ Özgüven, İş Sürekliliği Yönetim Sistemi, 1. Baskı, Ġstanbul: Cinius Yayınları, 2012. SAYMAZ, Özgüven, “Neden ĠĢ Sürekliliği?”, http://www.ozguvenatolyesi.com/neden- is-surekliligi/, (25.08.2019). SHAUKAT, Sadia, Muhammed Saqib NAWAZ, Saman NAZ, “Effects Of Innovation Types On Firm Performance: An Empirical Study Of Pakistan’s Manufacturing Sector”, Pakistan Journal of Commerce and Social Sciences, 7(2), 2013, ss.243-262. STOCH Patrick J., “Enterprise Risk Management At United Health Group”, Strategic Finance, 87, 2005. 106 ġAHĠN Serhat, “Bankacılıkta Risk Yönetimi ve Türk Bankacılık Sisteminin Risk Yönetimi Açısından Değerlendirilmesi”, (Yüksek Lisans Tezi), Ġstanbul: Marmara Üniversitesi, Sosyal Bilimler Enstitüsü, 2008. T.C. ÇalıĢma Ve Sosyal Güvenlik Bakanlığı ĠĢ Sağlığı Ve ĠĢ Güvenliği Genel Müdürlüğü, “BeĢ Adımda Risk Değerlendirmesi”, Yayın No:140, 2007. TAġKIN, Erdoğan, “ĠĢletmelerde Yenilik Yönetiminin Önemi”, Politik Ekonomik Durum, (202), 7, 2014. THORTON Grant, An ERM Framework: Developing Effective Risk Management, Corporate Governor Series, 2003. TIDD, Joe, John BESSANT, Keith PAVITT, “Managing Innovation: Integrating Technological”, Market And Organizational Change, Wiley, 2005, ss.84-89. Treasury Board Secretariat, “Best Practices in Risk Management: Private and Public Sectors Internationally”, Final Report, Ottawa, Ontario: KPMG, 1999. TROTT, Paul, Innovation Management and New Product Development, 2nd ed., Prentice Hall, Pearson Education, 2002. TUNÇ Ġlknur, “Kurumsal Risk Yönetim Sisteminin Stratejik Planlamanın BaĢarısı Üzerine Etkisi”, Mali Hizmetler Uzmanlığı AraĢtırma Raporu, Yalova Üniversitesi Strateji Daire GeliĢtirme BaĢkanlığı, 2014. Türk Standartlar Enstitüsü, “ĠĢ Sürekliliği Yönetim Sistemi-Gereksinimler”,Ankara: TSE, 2013, ss.1-19. Türkiye BiliĢim Derneği, “ĠĢ Sürekliliği Yönetimi ÇalıĢma Grubu Raporu”, Nihai Rapor, Nisan 2012, https://eski.tbd.org.tr/usr_img/kamu_bib/RP2-2012.pdf, (15.01.2019). TÜRNÜKLÜ, Abbas, “Eğitim Bilim AraĢtırmalarında Etkin Olarak Kullanılabilecek Nitel Bir AraĢtırma Tekniği: GörüĢme”, Kuram ve Uygulamada Eğitim Yönetimi, 6(24), 2000, ss.543-559. 107 TÜSĠAD Risk ve Değer Yönetimi ÇalıĢma Grubu, “Kurumsal Risk Yönetimi”, Türk Sanayici ve İş Adamları Derneği Yayını, Aralık 2006. UZKURT, Cevahir, Yenilik (İnovasyon) Yönetimi ve Yenilikçi Örgüt Kültürü, 2. Baskı, Ġstanbul: Beta Yayıncılık, 2017. ÜLGEN, Hayri, S. Kadir MĠRZE, İşletmelerde Stratejik Yönetim,2. Baskı, Ġstanbul: Literatür Yayınları, 2004. ÜNLÜ, Zeynep, “Yenilik Yönetiminin ĠĢ YaĢam Kalitesi Üzerine Etkisi: Ankara’daki Devlet Üniversiteleri Bünyesinde Bulunan Teknokentlerde Bir AraĢtırma”, (YayımlanmamıĢ Yüksek Lisans Tezi), Gazi Üniversitesi, Ankara, 2015. VENCLOVA, Katerina, Hana URBANCOVA, Hana Vostra VYDROVA, “Advantages and Disadvantages of Business Continuity Management”, World Academy of Science, Engineering and Technology International Journal of Industrial and Systems Engineering, 7(4), 2013. VENTURA, Keti, Haluk SOYUER, ĠĢletmelerde Yenilik Yönetimi Ve AraĢtırma GeliĢtirme Pazarlama-Üretim Entegrasyonunda Bilgiye Dayalı Yenilik YaklaĢımı”, Ege Akademik Bakış Dergisi, (16), 2016,ss.41-50. XIANGYUN, Weiyi Xu, “Obstacles to Innovation Management in SMEs: A Case Study of Libo Airport”, (YayımlanmamıĢ Yüksek Lisans Tezi), Gavle University, Sweden, 2013. YAZICI Selim, İş Sürekliliği Yönetimi Stratejik Bir Değerlendirme, Ġstanbul: Türkmen Kitabevi, 2013. YILDIRIM, Ali ve Hasan ġĠMġEK, Sosyal Bilimlerde Nitel Araştırma Yöntemleri, 11. Baskı, Ankara: Seçkin Yayıncılık, 2018. ZAHARĠ, Abu Bakar, Azbiya Yaacob NOORULSADIQIN, Mohamed Udin ZULKIFLI, “The Effect of Business Continuity Management Factors on Organizational Performance: A Conceptual Framework”, International Journal of Economics and Financial Issues, 5 (Special Issue), 2015, ss.128-134. 108 EKLER 109 EK-1 FĠRMALARDA Ġġ SÜREKLĠLĠĞĠ YÖNETĠMĠNĠN ÖNCÜLLERĠ VE ARDILLARI ÜZERĠNE BĠR ARAġTIRMA Merhabalar, ben Ecem Arslankeçecioğlu Kılıç. Bandırma’da özel bir firmada satıĢ pazarlama uzmanıyım. Aynı zamanda Uludağ Üniversitesi ĠĢletme Anabilim Dalında Lisansüstü eğitimimi sürdürmekteyim. ĠĢ sürekliliği yönetimi hakkında genel bir görüĢme yapmak istiyorum. Sizin bu konuyla ilgili görüĢlerinizi belirlemek üzere bir görüĢme formu hazırladım. GörüĢmelerden elde edilen bulguların paylaĢılması esnasında kimlik ve kurum bilgileriniz gizli tutulacak ve açıklamalarınız sadece bu araĢtırma kapsamında kullanılacaktır. Ayrıca izin verirseniz, değerli paylaĢımlarınızı eksiksiz biçimde araĢtırma bulgularına yansıtabilmek için cevaplarınızı bir ses-kayıt cihazıyla kaydetmek istiyorum. Bu görüĢmenin yaklaĢık 30 ile 45 dk. arasında süreceğini tahmin ediyorum ve izin verirseniz sorularıma baĢlamak istiyorum. GörüĢmeye katılan kiĢinin; Ġsmi: Doğum tarihi: Cinsiyeti: Eğitimi: Departman/Unvanı: Meslekte çalıĢma süresi: 110 GörüĢme Soruları 1. ĠĢ Sürekliliği Planı hakkında genel olarak ne düĢünüyorsunuz? 2. Ġyi bir ĠĢ Sürekliliği Planı hazırlarken nasıl bir yol izlenmeli? Nelere dikkat edilmelidir? Ek soru: -Üst yönetimin -Personelin -PaydaĢların -Tedarikçilerin rolü nedir? 3. ĠĢ Sürekliliği Planının en önemli parçası sizce hangisidir ve neden? Ek soru: -ĠĢ Etki analizi -Risk değerlendirmesi BCP'nin bir parçası olarak önemi nedir? 4. Kurumunuzu ĠĢ sürekliliği Planını uygulamaya iten faktörler/geliĢmeler nelerdir? 5. ĠĢ Sürekliliği Planının kurumunuza olan sonuçları nelerdir? (Avantajları/Dezavantajları) Alternatif soru: ĠĢ Sürekliliği Planı kurumunuzun performansını hangi boyutlarda ve nasıl etkilemektedir? 6. ĠĢ Sürekliliği Planı’nın etkili olup/olmadığını anlamak için ölçümler yapılmakta mıdır? Ne tür ve ne sıklıkla yapılmaktadır? 7. Türkiye’de Ģuan, ĠĢ Sürekliliği Planına ne kadar önem veriliyor? 111 Ek soru: Üst yöneticiler, ĠĢ sürekliliği Planını ne derecede önemsiyor? Ve yeni uygulamalara karĢı bakıĢ açıları nasıl? 8. ĠĢ Sürekliliği Planının Türkiye ve dünyada gelecekte yeri ne olur sizce? 9. Eklemek istediğiniz herhangi bir Ģey var mı? Değerli zamanınızı bana ayırdığınız ve çalıĢmalarıma yapmıĢ olduğunuz katkılarınızdan dolayı çok teĢekkür ediyorum. Sizinle tanıĢtığıma çok memnun oldum. GörüĢmek üzere. 112