Her bir faaliyet için PUKO döngüsünün kabul edilen geniş kapsamlı yaklaşımı BS 25999-1 standardı ile açıklanmıştır. Bu adımsal proses iş sürekliliğinin kurulmasını ve devamlı olarak yönetilmesini sağlar (iş süreklilik yönetim döngüsünün her bir öğesi ile ilgili açıklama için)
BS 25999 İş Sürekliliği Yönetim Sistemi Standardı ile paralellik sağlanması adına, bundan sonraki numaralandırmalarda BS 25999-2 standart maddeleri paralelinde numaralandırma yapılmıştır.
BS 25999 STANDARDININ KAPSAMI
BS 25999 İş Sürekliliği Yönetim Sistemi Standardı , organizasyonun tüm iş risklerinin yönetimini kapsayan dokümante edilmiş bir BCMS nin planlanması, kurulması, uygulanması, operasyonu, izlenmesi, gözden geçirilmesi, denenmesi, sürekliliğinin sağlanması ve iyileştirilmesi için gereklilikleri tanımlar.
BS 25999 İş Sürekliliği Yönetim Sistemi Standardında tanımlanan gereklilikler geneldir ve işin doğasına, büyüklüğüne ve tipine bakılmaksızın her organizasyona (ya da organizasyonun bölümlerine) uygulanmaya yöneliktir. Bu gerekliliklerin uygulanma kapsamı, organizasyonun operasyon alanına ve karmaşıklığına bağlıdır.
BS 25999 İş Sürekliliği Yönetim Sistemi Standardı tek tipli bir BCMS yapılandırmasına değil organizasyonun BCMS yi kendi ihtiyaçlarına ve kar ortaklarının gereksinimlerine göre dizaynına yöneliktir. Bu ihtiyaçlar yönetmelik, müşteri ve iş gereklilikleri, ürün ve servisler, işletilen prosesler, organizasyonun büyüklüğü ve yapısı ve kar ortaklarının gereksinimleri ile şekillenir.
BS 25999 İş Sürekliliği Yönetim Sistemi Standardı , organizasyonun iş süreklilik gereklerini, müşteri, yasa ya a yönetmelik gereklerini karşılamadaki yeterliliğini değerlendirmek amacıyla dahili ya da harici taraflarca da kullanılabilir.
BS 25999 STANDARDINDA GEÇEN TERİMLER VE TARİFLER
BS 25999 Standardının bu bölümü için aşağıdaki tanımlar uygulanır.
Aktivite : Organizasyon tarafından (ya da adına) gerçekleştirilen, bir ya da daha çok sayıda ürün ya da hizmetin üreten ya da desteleyen proses ya da proses dizisi.
Not: Bu proseslere örnekler hesaplar, çağrı merkezi, IT, üretim ve dağıtımı içerir.
Denetim : Faaliyetlerin ve ilgili sonuçların planlanan düzenlemeleri karşılayıp karşılamadığını ve bu düzenlemelerin etkin olarak uygulanıp uygulanmadığı ve organizasyonun politika ve hedeflerini başarmaya uygun olup olmadığının belirlendiği sistematik değerlendirmeler.
İş sürekliliği : Önceden belirlenmiş kabul edilebilir seviyelerde iş operasyonlarının devam edebilmesine yönelik olarak, olay ve iş kesintilerine tepki gösterebilme ve planlama için organizasyonun stratejik ve taktiksel becerisi.
İş sürekliliği yönetimi (BCM) : Organizasyona yönelik potansiyel tehditler ve bunların iş operasyonlarına etkilerini tanımlayan, organizasyonun ortaklarını, saygınlığını, markasını ve değer yaratan faaliyetlerini koruyan etkin tepki kabiliyeti ile organizasyon esnekliğinin sağlanması için bir çerçeve sağlayan bütün yönetim prosesidir.
Not: İş süreklilik yönetimi bir iş kesintisi durumunda iş faaliyetlerinin sürekliliğini ya da kaldığı yerden devamını sağlama uygulamalarının yönetimini ve iş süreklilik planlarının geçerli ve güncel olmasını sağlamak için eğitim, deneme ve gözden geçirmeler yoluyla tüm programın yönetimini kapsar.
İş süreklilik yönetimi döngüsü : İş süreklilik yönetim programının tüm öğelerini ve aşamalarını kapsayan iş süreklilik faaliyet dizisi.
İş süreklilik yönetim personeli : BCMS de sorumlulukları tanımlanan, BCM politikası ve uygulanmasından sorumlu, BCMS yi uygulayan ve sürekliliğini sağlayan, iş sürekliliğini ve olay yönetimini geliştiren ya da uygulayan, bir olay sürecinde yetki sahibi olan kişi ya da kişiler.
İş süreklilik yönetim programı : Üst yönetim tarafından desteklenen ve potansiyel kayıpların etkisinin tanımlanmasında, kurtarma strateji ve planlarının hazır bulunmasında gerekli adımların atılmasını ve eğitim, deneme, süreklilik ve gözden geçirme yoluyla ürün ve servislerin sürekliliğinin sağlanmasında işletilen devam eden yönetim ve idari proses.
İş süreklilik yönetim tepkisi : Kritik faaliyetlerin ve olay yönetiminin sürekliliğini sağlayan uygun planlama ve düzenlemelerin uygulanması ve geliştirilmesi ile ilgili BCM öğeleri.
İş süreklilik yönetim sistemi (BCMS) : Genel yönetim sisteminin, iş sürekliliği ile ilgili bölümünü yayınlayan, uygulayan, işleten, izleyen, gözden geçiren, sürekliliğini sağlayan ve iyileştiren bölümü.
Not: Yönetim sistemi organizasyon yapısını, politikaları, planlama faaliyetlerini, sorumlulukları, prosedürleri, prosesleri ve kaynakları da içerir.
İş süreklilik planı (BCP) : Organizasyonun önceden belirlenmiş kabul edilebilir bir seviyede kritik faaliyetlerini sürdürebilmesini sağlamak için kullanıma hazır bulundurulan geliştirilmiş, uygunluğu sağlanmış ve sürekliliği sağlanmış bilgi ve prosedürlerin dokümantasyonu
İş süreklilik stratejisi : Bir afet ya da diğer önemli olay ya da iş kesintileri durumunda devamlılığı ve kurtarmayı sağlayan organizasyon yaklaşımı.
İş etki analizi (BIA) : İş fonksiyonlarının analizi ve iş kesintilerinin bunlar üzerinde yaratabileceği etki.
Sonuç : Organizasyonun hedeflerini etkileyecek olay çıktısı.
Not 1: Bir olaydan kaynaklanan bir dizi sonuç olabilir.
Not 2: Bir sonuç kesin ya da kesin olmayan şekilde ortaya çıkabilir ve organizasyon hedeflerine pozitif ya da negatif yönde etkili olabilir.
Maliyet-fayda analizi : Bir çözümü uygulamanın maliyetini ölçen ve bu çözümden elde edilen fayda ile karşılaştıran finansal teknik.
Not: Fayda finansal, saygınlık, servis sağlama, yönetmelik ya da organizasyona uygun diğer terimlerle ifade edilebilir.
Kritik faaliyetler : Organizasyonun en önemli ve zaman-kısıtlı hedeflerine ulaşmasını sağlayan anahtar ürün ve servislerin gerçekleştirilmesi için yürütülmesi gereken faaliyetler.
Kesinti : Organizasyonun hedefleri ile ilgili ürün ya da servislerin gerçekleştirilmesinde beklenenden plansız ve negatif yönde sapmaya neden olan, beklenilen(örn, finansal kriz ya da fırtına) ya da beklenilmeyen (örn; deprem) olaylar.
Deneme (tatbikat) : Uygulamaya koyulduğunda istenilen sonuçları vermesini sağlamak için iş süreklilik planlarının kısmen ya da bütün olarak prova edildiği faaliyetler.
Not: Bir deneme iş süreklilik prosedürlerine başvurulmasını içerebilir ancak gerçek bir olaya öncelik olması açısından ve ne gibi konuların ortaya çıkabileceğinin değerlendirilmesi için, kişilerin rol aldığı, haberli ya da habersiz bir iş süreklilik olayının simülasyonunu içermesi daha çok tercih edilir.
Kazanım : Pozitif sonuç
Etki : Bir çıktının hesaplanan sonucu
Olay : Bir iş kesintisine, kaybına, acil duruma ya da krize neden olabilecek ya da sevk edebilecek durum
Olay yönetim planı (IMP) : Tipik olarak anahtar personel, kaynaklar, servisler ve olay yönetim prosesinin uygulanması için gerekli faaliyetleri kapsayan, olay anında kullanıma hazır halde bulunan, açıkça tanımlanmış ve dokümante edilmiş eylem planı
İç tetkik : Organizasyonun yönetiminin gözden geçirilmesi ya da diğer dahili amaçlar için ya da organizasyonun kendi uygunluk beyanına temel oluşturabilecek, organizasyonun kendisinin ya da adına bir tarafca düzenlenen tetkik
Not: Çoğu zaman, özellikle küçük organizasyonlarda, bağımsızlık tetkiki yapılan faaliyetten bağımsızlık ile gösterilebilir.
Başvuru : Organizasyonun anahtar ürün ya da servislerinin sürekliliği için iş süreklilik planlarının uygulamaya koyulmasının gerekliliğinin beyan edildiği eylem.
Olabilirlik : Tanımlanmış, ölçülmüş ya da nesnel ya da öznel olarak tahmin edilmiş ya da genel tabirlerle (örn; az, hemen hemen hiç, çoğunlukla, genelde, kesinlikle), sıklıklarla (frekans) ya da matematiksel olasılık değerleriyle ifade edilmiş bir şeyin olma şansı.
Not 1: Olabilirlik niteliksel ya da niceliksel ifade edilebilir.
Not 2: ‘Olasılık’ kelimesi İngilizce dışındaki bazı dillerde eşit karşılığı olmadığından ‘Olabilirlik’ kelimesi yerine kullanılabilir. Çünkü ‘olasılık’ İngilizcede genellikle daha resmi olarak matematiksel bir terimi ifade eder; ‘Olabilirlik’ bu standartta ‘olasılık’ anlamını ifade edecek şekilde kullanılmıştır.
Kayıp : Negatif sonuç
Yönetim sistemi : Politika ve hedefler kuran ve bu hedefleri yakalayan sistem.
Kabul edilebilir maksimum kesinti periyodu : Ürün ve servis gerçekleştirmenin devam ettirilemezse organizasyonun finansal kapasitesinde geri dönüşü olmayan tehdit süreci.
Uygunsuzluk : Bir gerekliliğin yerine getirilmemesi.
Organizasyon : Sorumluluk, yetki ve ilişki düzenlemelerine sahip bir grup kişi ve olanaklar.
Örnek: Şirket, ortaklık, firma, kurum, enstitü, dernek, şahıs firması
Not 1: Düzenlemeler genel olarak yasaldır.
Not 2: Organizasyon özel ya da kamusal olabilir.
Proses : Girdileri çıktılara dönüştüren ilişkili ya da etkileşimli faaliyetler dizisi.
Ürün ve servisler : Organizasyon tarafından müşterilerine, alıcılarına ya da kar ortaklarına sağlanan fayda sağlayıcı çıktılar. Örn; fabrika ürünleri, araba sigortası, yasal uygunluk ve kamusal yardım.
Kurtarma süre hedefi : Bir olay sonrasında ürün, servis ya da faaliyet gerçekleştirmenin kaldığı yerden devamı için ayarlanmış süre hedefi
Not: Kurtarma süre hedefi, kabul edilebilir maksimum kesinti periyodundan daha kısa olmalıdır.
Esneklik : Organizasyonun bir olaydan etkilenmeye karşı direnme kabiliyeti.
Kaynaklar : Organizasyonun çalışması ve hedeflerine ulaşması için kullanması gereken tüm değer, kişi, bilgi, teknoloji (yerleşke ve ekipman dahil)
Risk : Gerçekleşebilecek bir durum ve bunun hedeflerin başarılması üzerindeki etkisi(leri).
Not 1: “risk” kelimesi çeşitli şekilde kullanılmaktadır; isim olarak (bir risk ya da riskler), fiil olarak (bir şeyi riske etmek ya da bir şeyi riske sokmak) ya da sıfat olarak (riskli) kullanılabilir. İsim olarak kullanılan “risk” kelimesi potansiyel bir olay, bunun sonuçları, bir şeyin olma şansı (ihtimali) ya da bunun gibi olayların etkileri ile ilgilidir. Risk yönetiminde (bknz. 6.5), “risk” kelimesinin bu çeşitli kullanımlarının açık şekilde ayrılabilmesi önemlidir.
Not 2: Risk özel bir hedefle ilişkin tanımlanır; bu durumda herhangi bir risk kaynağına ilişkin risk olası birden fazla ölçümleri bir dizi hedef için uygulanır.
Not 3: Risk çoğunlukla, “beklenen değer” elde etmek için her bir sonucun ihtimaline ilişkin, her bir olası sonucun ağırlıklandırılmasına ait birleşik etkilerin özetlenmesi ile elde edilen ortalama bir etki olarak niceliksel bir değerdir. Ancak olası sonuçların sınıflandırılması ile ilgili niceliksel bir algılama için olasılık dağılımları gereklidir. Alternatif olarak, standart sapma gibi özet istatistikler de “beklenen değere” ek olarak kullanılabilir.
*Çevirmenin Notu: Not 1 de yapılan açıklama İngilizcede “risk” kelimesinin isim ve fiil hallerinin kullanımının aynı olmasından kaynaklanmaktadır (isim-risk; fiil- to risk; sıfat-risky). Türkçenin sondan eklemeli bir dil olması sebebiyle böyle bir karmaşa yaşanmayacaktır.
Risk değerlendirme : Risklerin belirlenmesi, analizi ve değerlendirilmesi ile ilgili tüm proses.
Risk yönetimi : Risklere yönelik tanımlama, analiz, değerlendirme ve kontrol görevlerine yönelik olarak yönetim kültürü, politikası, prosedür ve uygulamaların yapılandırılmış gelişimi ve uygulanması.
Kar ortakları : Organizasyon başarılarına tasarruf hakkını veren kişiler.
Not: Bu, dış kaynaklı çalışanlar, müşteriler, tedarikçiler, partnerler, personel, dağıtımcılar, yatırımcılar, garantörler, kar ortakları, şirket sahipleri, yönetim ve yönetmelik yapıcılar.
Sistem : Birbiri ile ilişkili ya da sıralı öğelerden oluşan bir faaliyet seti.
Üst yönetim : Organizasyonu en üst seviyede yöneten ve kontrol eden kişi ya da grup.
