Dış Kaynaklı Operasyonel Risklere Yönelik Stratejiler

eğitilmesi, acil durum planı oluşturulması ve ilişki yönetimi şeklinde görülmektedir.

2.1.7.1. Güvenlik ve Eğitim

uğundan burada daha çok acil durum planlaması ve ilişki yönetimi ele alınacaktır.

2.1.7.2. Acil Durum Planı

irlenen bir plan çerçevesinde saklanmalıdır185.

Bilgilerin yedekleri, yedekleme prosedürlerince tarif edilmiş güvenli ortamlarda saklanmalıdır. Bu çerçevede yedeklerin bulundurulduğu yer mümkün olduğunca; fiziksel güvenliği sağlanmış, çevresi korumalı, erişim kontrolü olan, her türlü afete karşı önlemi alınmış ve kapalı bir alan olmalıdır. Yedeklemesi yapılan verilerin yedeğinin acil durumla karşılaşılması durumunda, kullanılabilir olduğunun tespiti için, belirlenen periyotlarda kontrol ve testi yapılmalıdır. Yedekleme prosedürleri ile birlikte geri yükleme prosedürleri de hazırlanmalı; geri yükleme için gerekli olan işletim adımlarının, belirlenmiş zaman içinde tamam

a

Dış kaynaklı operasyonel risklere yönelik azaltıcı uygulamalar daha çok yeterli güvenlik önlemlerinin alınması, personelin özellikle sahtecilik konusunda

Güvenlik ve eğitim konuları personelden kaynaklanan operasyonel risk yönetim stratejilerinde ayrıntılı olarak değinilmiş old

Teknolojinin dikkate alındığı bilhassa önemli bir mesele de afet sonrası iyileşmedir. Acil durum planlama, bu konuyla ilgili tek güvenli yoldur. Finans kurumları günümüzde ağırlıklı olarak teknolojiye güvenmekte; sistem fiyaskosu durumunda sonuçta ortaya çıkan büyük yükümlülüklerle karşı karşıya kalmaktadırlar. Dış kaynaklı temel işlerin güvenilirliği de kişinin kontrolü dışına çıkabilir. Dolayısıyla bir afet sırasında bir yedek moda geçilirse, yeni aktiviteler

185 _{Babuşçu, a.g.e., s.178.} 186 _{A.g.e., ss.178-179.}

şartlar normale döndüğünde kişinin elektronik ortama tekrar aktarmasını sağlayacak şekilde kaydedilir187.

risklerin tespit edilerek, risklerin oluşmasını verme: hazırlıklı ve eğitimli olarak felakete hızlı ve doğru nakit akışının korunması: seçenekler ve alternatif prosedürlerin Altyapının düzeltilmesi : normal operasyonlara dönüş olarak belirlenmelidir.

personelin temasının düzenini, sırasını ve yöntemini açık olarak belirlemelidir189.

Acil durum planlamasından amaç188; - Felaketlerin engellenmesi:

engelleyici önlem alınması, - Organize cevap

karşılık verme, - Varlıkların ve

belirlenmesi, -

Bankalar operasyonel risklerin etkilerini azaltmak amacıyla acil durum planları hazırlayarak acil ve beklenmedik durumları kontrol altına almayı ve böyle durumlarda zararı en düşük düzeyde tutmayı hedeflemektedirler. Acil durum, önceden öngörülse bile gerçekleşme yeri ve zamanı belli olmayan, gerçekleşmesi halinde kayıplara ve iş kesintisine yol açarak, iletişim ve telekomünikasyon imkânları ile bilgi işleme kapasitesi ve imkânlarının yitirilmesi, altyapı erişim olanağının ortadan kalkması, operasyonel işlemlerin aksaması/kesintiye uğraması, banka personeli ve müşterileri ile bankanın varlıklarının yitirilmesi veya zarara uğraması gibi halleri ifade etmektedir. Bu planlar, banka operasyonları üzerinde muhtemel bir acil ve beklenmedik durumun etki derecesini değerlendirir; her banka operasyonu için bir öncelik sırasını, yetkinin devrini, acil ve beklenmedik bir durumda gerekli personel teminine ilişkin düzenlemeleri, acil ve beklenmedik durumlarda yönetim ile

187 _{Donahoe, a.g.e., s.110.}

188 _{TBB, Risk Yönetim Sistemleri Uygulama Esasları Değerlendirme Çalışma Gurubu-Operasyonel}

Risk Alt Çalışma Grubu, “Bankalar İçin Acil Durum ve İş Sürekliliği Planlaması”, Bankacılar Dergisi, Sayı 42, 2002, s.20.

Acil durum planı üç ana konuda toplanabilir190;

- Sürekli bir Risk Yönetimi Programı kapsamında risk analizi ve olasılık planlaması yapılması; Acil durum planlamasında risk yönetimi, binalarda ve altyapıda oluşabilecek hasar olasılığını en aza indirmeyi amaçlayan devam eden bir süreç olarak varolmalıdır. Risk yönetiminin birinci amacı risk analizi ile tespit edilen felaketin oluşma olasılığını, fiziksel güvenlik önlemleri ile en aza indirmek olmalıdır. Felaketin işe olan etkisinin en aza indirilmesi için telekomünikasyon, iletişim ve bilgi işlem altyapısının tekrar ayağa kaldırılmasını da içeren önlemler

olmalı, gereksiz

iş kolu ve departman yöneticileri ile birlikte kararlaştırılarak oluşturulması gerekir.

fakat sonuçta ortaya çıkan kayıpları ve itibar kaybını say allaştırmak zordur191_.

planlanmalıdır.

- Acil durum eylem planı hazırlanması; Acil durum eylem planı felaketin meydana geldiği andan itibaren genellikle 2-48 saat içerisinde yapılması gerekenleri kapsamalıdır. Acil durum eylem planının hazırlanmasında, Personel ve müşterilere bilgi verilmesi, Varlıklara gelen hasarın tespiti, Telekomünikasyon ve iletişim kanallarının tespiti, Bilgi işleme olanaklarının yeniden yapılandırılması, Fiziksel güvenlik, Personelin yeniden yerleştirilmesi usulleri ana unsurlar olarak belirlenmelidir. Plan kontrol listesi (checklist) şeklinde

detaylardan kaçınılmalı, pratik ve uygulama odaklı olmalıdır.

- İş devamlılığı stratejisinin belirlenmesi ve planın hazırlanması; İş devamlılığı planında, operasyonlar normale dönene kadar alınması gereken aksiyonların,

Milenyum sorunuyla öne çıkan acil durum planlaması sonrasında pek çok düzenleyici kurum, alınan engelleme önlemleri hakkında bankalarda araştırma yapmış ve uygun ve test edilmiş acil durum planlarının önemine işaret etmiştir. Credit Lyonais Bank’ın merkezinde çıkan yangın ve Londra finans bölgesindeki patlama yakın geçmişte yaşanan felaketlerdir. Böyle acil durumlarda bankadaki en önemli sistemler çökebilir;

ıs

190 _{TBB, “Bankalar İçin Acil Durum ve İş Sürekliliği Planlaması”, a.g.e., s.21.} 191 _{Brink, a.g.e., s. 9.}

Bir acil durum planının içinde bazı temel konular bulunmalıdır. Bunlardan ilki acil durumların neler olduğunun belirlenmesi gelmektedir. Banka kendi süreçleri ve kaynaklarını dikkate alarak kritik durumları belirlemeli ve bunlara yönelik acil durum planlarını oluşturmalıdır. İkincisi, acil durumların gelişimleri ve bu sırada ortaya çıkabilecek olumsuzluklar aşama aşama ortaya konulmalı ve acil durumların ortaya çıkmadan önlenebilmesine yönelik uyan mekanizmaları oluşturulmalıdır. Üçüncüsü, acil durum meydana geldiğinde, oluşan krizin yönetileceği bir kriz merkezi oluşturulmasıdır. Kriz merkezi fiziki bir mekân olarak her türlü iletişim olanağını bulundurmalı ve ayrıca burada görevli olacak personel belirlenmelidir. Diğer bir konu acil durumlar ortaya çıktığında olacakların aşama aşama belirlenmesi, bu aşamalarda görev alacak personelin ve sorumluluklarının gösterilmesidir. Plan zaman içinde bankaların değişen iş yapıları dikkate alınarak güncellenmeli ve uygulanabilirliği teste tabi tutulmalıdır192.

eli ve bu doğrultuda acil durumlar için bir karşılık ayrılması sağ nmalıdır193.

ş olup, planlama yapılırken bu ne odaklanıp iş akışının unutulması,

üşünülmemesi, ntasyon,

İş devamlılığını sağlamak açısından bankalar kritik işlemlerini sürdürebilecekleri ayrı bir operasyon merkezi ve yine verilerini koruyabilecekleri farklı bir lokasyonda yedek veri merkezi oluşturulması planda sağlanmalıdır. Son olarak plan acil durumlarda bankanın mali yapısının olumsuz etkilenmesini önlemek üzere bütçelemeye gitm

la

Karşılaşılan bazı örnekler dikkate alınarak, iş devamlılığı planlarının başarısız olmasındaki nedenlerden bazıları aşağıda belirtilmi

hususlardan kaçınılmasında fayda görülmektedir194; - Teknoloji ve veri yedeklemesi

- Bu konudaki bilinç eksikliği,

- Manuel veya alternatif prosedür ve süreçlerin d - Gerektiğinden uzun, yararsız doküma

- Planda güncellemenin yapılmaması,

192 _{Babuşçu, a.g.e., s.181.} 193 _{A.g.e., s.182.}

- Yetersiz veya eksik test / tatbikat/eğitim yapılması.

2.1.7.3. İlişki Yönetimi

urumunda sebep olabilecekleri çözülme potansiyelinin kavranmasıyla baş r195.