Halkbank BT Süreklilik Yönetimi Direktörü Hakan Kantaş: “Kurumlar, İş Etki Analizleri yaparak en kritik değer ve varlıklarını belirlemeli. Olağanüstü Durum Planları hazırlanmalı ve planın bir tatbikatını yapmalı. Bu şekilde gerçekleştirilen testler, tüm kurumun böyle felaketlerde alması gereken hareketlerin bir refleks olarak yerleşmesini sağlıyor.”
Hakan Bey, kendinizden ve sorumluluk alanınızdan kısaca bahseder misiniz?
Çalışma hayatıma 1985’li yıllarda başta MAC World, PC World ve PC Magazine olmak üzere çeşitli bilgisayar dergilerinde yazarlık ve editörlük ile giriş yapıp, 10 yıldan uzun bir süre bu çalışmalarımı sürdürürken profesyonel iş hayatıma 1993 yılında Pamukbank’ın bilgi işlem bölümünde başladım. Geçen zaman içinde çeşitli görevlerde çalıştım, halen Halkbank’ın BT Süreklilik Yönetimi biriminde direktör olarak çalışıyorum. Operasyonel dayanıklılık, BT süreklilik yönetimi, acil durum yönetimi, kriz yönetimi, süreklilikle ilgili siber güvenlik ve IT risk yönetimi, BT kapasite ve performans yönetimi, veri yönetimi ve KVKK uzmanlık alanlarım arasında yer alıyor. Son dönemde zamanımın büyük kısmını dünyada yeni, ülkemizde çok daha yeni olan operasyonel dayanıklılık metodolojisinin uygulanması için harcıyorum. Çünkü bu metodoloji iş sürekliliği gibi, bir felaketin sonrasını değil öncesini ele alarak ondan etkilenmeden durumu atlatmayı amaçlıyor. Ülkemizde henüz regülasyon olarak bu konuda yayınlanmış bir kural ya da kanun yok, ancak başta İngiltere olmak üzere çok sayıda Avrupa ülkesi bu konuda uyuma zorunlu regülasyonlar ilan ettiler ve bu bankalarla çalışan ülkemizdeki bankaların da buna uyumunu talep ediyorlar. İşte bu yüzden kısa zamanda diğer ülkelerde de bu metodolojinin yaygınlaşacağını düşünüyorum.
6 Şubat depremlerini iş sürekliliği açısından nasıl değerlendirirsiniz?
Öncelikle depremde hayatını kaybetmiş olanlara Allah’tan rahmet ve yakınlarına başsağlığı diliyorum. Bu felaketten yaralı veya sağ olarak kurtulmuş herkese de çok geçmiş olsun diyerek acil şifalar diliyorum. Depremi birçok kişiden daha yakın olarak tecrübe etmemin yanında, orada yaşananlara da yine en yakından şahit olanlardan biriyim. Zira hemen hemen tüm aile ve akrabalarım bu deprem bölgesinde yaşaması sebebiyle hangi bölgede neler yaşandığını çok yakında izledim. Depremin nereleri ne kadar etkilediği, deprem sonrasında başta kurtarma ve yardımlar olmak üzere neler yaşandığını çok yakından izleme imkanım oldu. Yardım amacıyla deprem bölgesine giderek ilaç ve acil ihtiyaçları götürdüm, bu sebeple bölgede gözlem yapma ve ihtiyaç sahiplerine destek verme şansım oldu. Bu yüzden süreci birçok yardımsever gibi detaylı olarak biliyor, halen de takip ediyorum.
İnsani yönlerin dışında, iş sürekliliği açısından da ele aldığımızda o bölgenin ne yazık ki depremden çok ciddi olarak etkilendiğini görüyoruz. Yine üzülerek belirtmek isterim ki kurumların hazırlık ve farkındalıklarının düşük olması sebebiyle çok ciddi ölçüde sürekliliklerini sağlayamadıklarını gördüm. Bırakın KOBİ’leri, ülkemizin en büyük kuruluşları bile ilk şoku atlattıktan sonra ancak plan ve hazırlıklarını tamamlayıp bir süre geçmesinin ardından destek sağlayabildiler. Orta ölçekteki kurumlarda ise bir süreklilik sağlanabildiğini gözlemlemek mümkün değildi. Uzaktan ne kadar farkındayız bilemiyorum ama bölgede yaşananlar gerçekten inanılmaz ölçüde bir yıkıma, can ve mal kaybına sebep oldu ve bundan sağ kurtulanlar da mümkün olan en kısa zamanda bölgeyi terk ettiler. Depremden hemen sonraki hafta o bölgedeydim ve yardım ekipleriyle birlikte sadece bölgeden ayrılamayanlar dışında hiç kimse yoktu. Kısacası, sürekliliği sağlamak teknolojik olarak mümkün olsa bile insani açıdan pek mümkün görünmüyordu.
İş sürekliliği kapsamında depreme özel bir tümüyle bir hazırlık gerekir mi yoksa iş sürekliliği planları her şeyi kapsar ve yeterli midir?
Gerek özel gerek kamu sektöründe faaliyet gösteren kuruluşlar deprem, sel, fırtına gibi doğal afetler sonucu güç ve iş kesintilerine uğruyorlar. Yani çok ciddi deprem riski taşıyan bir bölgedeki bir kurumun tümüyle depreme özel bir iş sürekliliği planı hazırlaması gayet anlamlıdır. Yine benzer şekilde dere yatakları ve fay hatları yakınlarında kurulu yerleşim merkezlerindeki kurumların da benzeri şekilde sel ve deprem için planlar yapması çok doğru ve uygun bir yöntemdir. Ancak iş sürekliliği ve acil durum yönetiminin ciddiye alındığı ancak yeterince hazırlık yapılmadığı kurumlarda ne yazık ki bu tür planları görmek pek olası değil. Böyle planları olanlar da genellikle tüm acil durum süreçlerini kapsayan genel planlar ile bu süreci takip etme tercihindeler.
Geçtiğimiz ay Amerika Birleşik Devletleri’nde dünyanın en büyük iş sürekliliği etkinliklerinden birine katılım sağladım. Bu etkinlikte iş sürekliliği ve acil durum yönetiminin geldiği son noktayı detaylarıyla görme, izleme ve katılımcı uzmanlarla tartışma şansım oldu. Şunu söyleyebilirim en azından katılımcı olan tüm kurumlar bu konuyu yani iş sürekliliği, acil durum ve kriz yönetimini çok ciddiye alıyorlar ve inanılmaz hazırlıkları ve planları var. Hemen aynı konudan bir örnek vermek isterim; Amerika’daki orta büyüklükte bir banka seviyesindeki kurumların ortalama 500 ile 1000 adet iş sürekliliği planı mevcut. Bu konuda uzman olmama rağmen bugüne kadar ülkemizde hiçbir kurumda böyle bir rakam duymadım. Ülkemizin bu konuda daha epeyce yol alması gerekmekte ve ancak daha da önemlisi bu konudaki farkındalığın her türlü seviyedeki çalışanda ciddi şekilde artırılması en kritik ihtiyaç olarak görünüyor.
Kahramanmaraş depremi ve sonrasında yaşananlardan sonra kurumların bu konudaki plan ve hazırlıkları yeterli miydi?
Yukarıda da değindiğim gibi deprem sonrasında yaşananları sadece uzaktan değil yerinde de izleme ve gözlemleme imkanım oldu. Hatta buna özellikle zaman ayırma şansım da oldu. Küçük ve orta ölçekli şirketlerde bu tür risk durumlarında önceden hazırlıklı olmadıkları sürece varlıklarını sürdürmelerinin neredeyse imkansız olduğunu söyleyebilirim. Bankalar gibi o bölgelerde şubeleri olan kıyasla büyük kurumların genel anlamda daha hazırlıklı olduklarını ve daha hızlı aksiyon aldıklarını gördüm. Tabii bunda bankaların maddi açıdan çok güçlü olmaları çok büyük bir etmen. Zira deprem gibi bu kadar büyük bir felakette alınacak aksiyonların büyük kısmı ne yazık ki maddiyatla paralellik gösteriyor. Yani o bölgede hızlıca konteyner şubeler kurmak maddi bir güç meselesi.
Tabii konu sadece maddiyatla bitmiyor, merkezi yönetimlerin hızlı planlama ve aksiyon ve değerlendirmeleri sonucu çok sayıda bankamız, o bölgede ilk anda konteyner şubeler kurarak ya da ATM’leri çalışır hale getirerek depremzedelerin acil maddi ihtiyaçlarını karşılamaya çalıştılar. Bu aksiyonun hemen ardından daha kalıcı ve daha sağlıklı bir çözüm üretmek adına prefabrik şubeler kurulmasına da başlandı. Tüm bu gelişmeler o bölgedeki bankacılık ihtiyaçlarının çözülmesi adına ciddi ve çok faydalı bir adım olmuştur. Hatay bölgesinde çevreyi gözlemlerken, en kalabalık olan yerlere baktığımda tahmin edeceğiniz gibi barınma alanları, yemek ve ilaç dağıtım alanları ve bunlardan sonra da ATM’ler olduğunu gördüm. Evet, ATM’lerin önünde hemen her zaman uzun kuyruklar vardı. Hemen deprem sonrasında paranın geçmediği bir gerçek. Paranız olsa da ne yemek ne de ilaç satacak bir yer olmadığı için anlamını yitirmiş görünüyordu. Ancak böyle olsa bile ATM’lerde para çekmek için bekleyen bu kadar insanın varlığı, parasal ihtiyaçlarının da olduğunu gösteriyordu. İşin en iyi tarafı da bu bölgede en hızlı aktif hale getirilen yapılar arasında ATM’ler oldu. Bankaları bu konuda tebrik etmek gerekiyor.
Deprem sonrasında planlanmış konuların dışında kalan sorunlar mevcut muydu? Bu konudaki gözlemleriniz neler oldu? Yaşanan sorunlara ne kadar hızlı ve nasıl çözümler bulundu ve bunlar sizce yeterli miydi?
Hazırlıklarınız ne kadar iyi olursa olsun, bu konuda ne kadar hazır ve planlı olursanız olun, ufak ya da büyük muhakkak bir eksiğiniz olduğunu ancak o felaketi yaşadığınızda anlıyorsunuz. Deprem bölgesindeki tüm bankalar da aynı konuda benzer sıkıntıları ve sorunları yaşadılar. Bunlardan en kritik olanı, genellikle apartmanların altında olan şubelere, binaların yıkılması ya da hasar alan binalardaki çökme riski sebebiyle hiçbir şekilde girilememesi oldu. Yukarıda da söylediğim gibi şubeye girilemeyince bankalar çok hızlıca konteyner şubeleri kurdular ancak tahmin edersiniz ki 2 kişinin ancak girebildiği konteyner şubelerde verilen hizmetler normal bir şubedeki ile kıyaslanamayacak seviyede, ek kritik ve temel ihtiyaçları karşılamaya yönelik olabildi. Burada kredi verilmesi gibi bir konudan bahsetmiyorum ancak kimliği olmayıp en temel seviyede maddi ihtiyaçlarını karşılamak amacıyla para çekmek isteyen kişiler bunu karşılama konusunda ilk anda sorunlar yaşadılar. Deprem sırasında canını kurtarmak için kimlik ve kartlarını almadan kendini evden dışarı atan kişiler, evlerin yıkılması ya da yıkılma tehlikesi sebebiyle tekrar evlerine giremedikleri için ne ATM kartlarına ne de kimliklerine ulaşabildiler. Cebinde de tek kuruşu olmayan ancak bir sebeple paraya ihtiyacı olan bu kişilerin yardımına da yine bankalarımız koştu. Neyse ki hızlıca alınan kararlar ile bankada hesabı ve parası olan bu kişilere temel ihtiyacını karşılayacak kadar nakit verilerek sorunun hızlıca aşılması sağlandı. Özellikle bankaların bu ve benzeri çözümleri bu kadar hızlı üretmeleri sonucunda depremzedelerin temel taleplerini karşılayabilmeleri gerçekten alkışlanacak bir başarıdır.
Bu güzel örneğin yanında, mevcut şartlarla gerçekten çözüm bulunması çok zor olan konular da mevcut. Bunlardan biri TV’lerde de izlediğiniz bankalardaki kasalara erişim idi. Yıkılma tehlikesi içindeki banka şubelerine girilememesi sebebiyle kasalara da ulaşılamadı. Kasada varlıkları olup da bunları almak isteyen müşteriler beklemek zorunda kaldılar. Mevcut şartlarda bu sorunu aşmak gerçekten kolay değil. Bunun en pratik çözümlerinden biri tek katlı, tümüyle müstakil banka şubeleri diye düşünülebilir. Ancak aynı durum yani yıkılma tehlikesi oralarda da yaşanabilir. Kısacası istediğiniz kadar her türlü alternatifi düşünün, kasalarda olduğu gibi bazen öyle bir noktaya gelebiliyorsunuz ki mevcut şartlar ve imkanlar o konuya çözüm oluşturulabilmesine izin vermeyebiliyor.
Yaşanan büyük Kahramanmaraş depreminden sonra beklenen İstanbul depremi konusundaki hazırlıklar neler olmalı? Sizce kurumlar bu konuda yeteri kadar hazırlık yapıyorlar mı?
İstanbul tek başına deprem olan bölgenin neredeyse 1,5 katı nüfusa ve o bölgeden çok daha dar bir alanda genellikle dikey yapılaşmaya sahip bir şehir. Böyle bir şehirde olabilecek güçlü bir depremin, Kahramanmaraş’ta ve Hatay’da olan depremlerden çok daha büyük bir etkiye sebep olacağı muhakkak. İşte bu noktada amaç, etkiyi yok edemiyorsak bile azaltmak olmalı. Yani madem bir deprem olması bekleniyor, onu en az hasarla atlatabilmek temel hedef olmalı. Bu noktada amacımız, depremden, yıkımdan sonra ne yapabiliriz değil, yıkım olmamasını nasıl sağlayabilmeliyiz olmalı. Bunu sağlamanın en doğru yolu elbette gerekli hazırlıkları planlamak ve aksiyonlarını hızlıca tamamlamaktan geçer. Büyük kurumların ciddi hazırlıkları olduğuna şüphe yok. Olağanüstü durum planlarının güncelliği, felaket kurtarma merkezlerinin durumu, cep telefonu dışında iletişim alternatiflerinin neler olabileceği, binaların depreme dayanıklılığı gibi bir sürü kriter şu an herkes tarafından hızla elden geçiriliyor, aksiyonlar planlanıyor ve umarım ki birçoğu için aksiyon da alınıyor. Bu işe önem veren, arkasında yönetim desteği olan her yerde, bu işin gerçekten hakkıyla yapılmaya çalışıldığına kuşku yok. Ancak ülkemizde başta bu tür felaketler olmak üzere her şey çok çabuk unutuluyor. İşte burada en önemli şey, unutulmaya yüz tutmadan planlanan bu aksiyonları almak ve tamamlamak. Bunun için çok sayıda kurumun çalıştığını, aksiyon planları geliştirdiğini ve bunları hızla uygulamaya aldığını biliyorum. Aslında “resilience” denilen kavram da tam olarak bu. Yani bir felaket olduktan sonra çözümlerine bakmak değil, tam tersine ondan kaçınmak mümkün olamıyorsa, onu en hafif zararla hatta hiçbir zarara uğramadan atlatmak. Kısacası, İstanbul için herkes elinden geldiği kadar tüm tedbirleri almaya çalışıyor ancak paralelde zaman da işliyor, umarım ki beklenen depremden önce herkes hazırlık planlarını hakkıyla gerçekleştirmiş olur.
Yatırım ve teknolojinin ötesinde, insan bu konudaki en kritik değer. Bu konuya özel olarak hangi aksiyonlar alınıyor ve alınmalı?
İnsan, her şeyin başı ve her konuda en kritik değer. Eşya, para, bina, her şey geri geliyor, yapılıyor, kazanılıyor ancak insan için ne yazık ki geri dönüş yok. İşte bu yüzden en büyük değeri ona vermek ve gerekli tüm tedbirleri insan için almak gerekiyor. Hayatta her şeyin bir zamanı ve sebebi oluyor. Pandemi de böyle oldu aslında. Teknolojik olarak ilerlemeler ile birlikte yıllardır gündeme getirdiğimiz uzaktan çalışma, farklı şehirlerden çalışma konularını yönetim kadroları bir türlü kabul etmiyor, edemiyordu. Ancak pandemiyle birlikte, yıllardır gerçekleştirilemeyen işler, aldırılamayan kararlar birkaç gün içinde alınıverdi ve hemen tüm şirketler tam kadro evden çalışmaya başladılar. Elbette bazı kurumlar pandemi için değilse bile kısmen evde çalışmaya geçtiği için diğerlerine göre daha hazırlıklıydı ve süreci çok daha kolay atlattılar. Bazıları ise bu konuda hiçbir esneklik tanımadıkları için kararları hızlıca alıyor olsalar da donanım ve teknik hazırlıkları olmadığı için bu süreci oturtmaları zaman aldı ve çalışanlar da bu durumdan etkilendi. Bu konuya neden bu kadar değindiğimi şöyle açıklamak isterim: Deprem sonrasında bu konu tekrar gündeme geldi. Yani evet, uzaktan çalışmaya geçtik ama uzaktan çalışanların hepsi İstanbul’da. Demek ki ikinci bir adım daha atarak evden çalışmayı belirli şehirlere, hatta çok daha iyisi tüm Türkiye’ye yaymak hedeflenmeli. İşte bu aksiyonlarla insanı, çalışanı korumayı hedefliyor olmalıyız. İsteyenler elbette İstanbul’da kalabilir ancak olacakları önceden bilemeyeceğimiz için kurumların sürekliliğini sağlamak adına yeterli sayıda çalışanı muhakkak ama muhakkak ülkemizin diğer illerine yerleştirerek gerek uzaktan çalışma gerekse o bölgelerde ofisler kurarak yerinde çalışma şeklindeki çözümler alınacak ilk aksiyonlardan olmalı. Umarım ki bu aksiyonu almak için pandemide olduğu gibi birtakım felaketlerin yaşanması beklenmez!
Kurumlara deprem ve felaket hazırlıkları konusunda neler önerirsiniz?
Bu konuda önerilecek çok fazla başlık, alınması gereken önlem planları ve aksiyonlar var. Tümünü burada sıralamak mümkün olmayacağı için en önemli ve kritik birkaç tanesine değinmek isterim. Aslında yapılması gereken tek şey ISO 22301 İş Sürekliliği Yönetim Sistemi standardında önerilenleri gerçekten ve hakkıyla yapmak. Ancak çeşitli sebeplerle oradaki tüm aksiyonlar alınamıyorsa, kaynaklar, imkanlar yeterli değilse o zaman öncelikler devreye giriyor. Bankalar ve sigorta şirketleri gibi finans kuruluşlarının, bu standardı her yönüyle ve hakkıyla uygulayacak imkanlara sahip olunduğunu düşünüyorum, yeter ki öncelik verilsin ve gerçekten istensin. Yine de hangi başlıklara daha fazla dikkat edileceğine kısaca değinmek isterim. Öncelikle İş Sürekliliği ve Acil Durum Yönetimi bakış açısıyla İş Etki Analizleri yapılmalı. Yani bu çalışma ile kurumun en kritik değer ve varlıkları belirlenmeli. Paralelinde Olağanüstü Durum Planları hazırlanmalı ve imkan varsa bu planlardan biri tümüyle ve sadece depreme özel olarak hazırlanmalı. Böylece bu konuya özel her türlü detay ve aksiyon genelleştirilmeden incelikleriyle plana aktarılabilir. Bu adımın hemen ardından aslında en kritik, en önemli ancak çok hayata geçirilmeyen tatbikatlar geliyor. Bu kadar çalışma yapıldıktan sonra planın bir tatbikatı gerçekleştirilmeli ki gerçek bir felakette aksayacak yerler olup olmayacağı öngörülebilsin. Hatta bu tatbikatlar yılda 1 sefer değil en az 6, daha iyisi 3 aylık dönemlerde periyodik olarak yürütülmeli. Tecrübeyle sabittir ki bu şekilde gerçekleştirilen testler tüm kurumun, böyle felaketlerde alması gereken hareketlerin bir refleks olarak yerleşmesini sağlıyor. Testlerden sonra eksik, sorun ve problemler risk kayıtları açılarak takip edilmeli ve bu sorunlar aşıldıktan sonra da testler tekrarlanmalı. Ta ki tümüyle sorunsuz, problemsiz olarak tüm sistemler açılıp her şey sorunsuz olana dek…
Söyleşimizi Atatürk’ün bir sözü ile bitirmek isterim: “Felaket başa gelmeden evvel, onu önleyecek ve ona karşı savunulacak gerekleri düşünmek lazımdır. Geldikten sonra dövünmenin faydası yoktur.” (1920)