Bir üretim firmasının BT müdürü geçen ay şu soruyu sordu: ‘Muhasebe ve stok yazılımımızı hizmet olarak sunulan bir platforma taşımayı düşünüyoruz, ancak yönetim kuruluna nasıl anlatacağımı bilmiyorum.’ Sorun teknik değil; stratejik. Türkiye’deki KOBİ yöneticilerinin büyük bölümü bulut bilişim kavramıyla artık tanışık, ancak bir tedarikçinin sunumundaki parlak rakamların ötesine geçip gerçek risk tablosunu görmekte zorlanıyor. Bu kontrol listesi tam o boşluğu doldurmak için tasarlandı: teknik ekiple aynı dili konuşmak isteyen, kararı verecek olan yönetici için.
Bulut bilişim, yazılım ve altyapının internet üzerinden hizmet olarak sunulduğu bir model. Şirket sunucu satın almıyor, lisans bedeli ödemek yerine aylık veya yıllık abonelik ödüyor, bakım ve güncelleme tedarikçinin sorumluluğunda kalıyor. Toplam sahip olma maliyeti (TCO) açısından bakıldığında, özellikle 50 kişinin altındaki KOBİ’ler için başlangıç yatırımı ciddi ölçüde düşüyor. Ancak maliyet avantajı tek başına yeterli bir karar gerekçesi değil; asıl soru, bu modelin beraberinde getirdiği risklerin yönetilebilir olup olmadığı.
Tedarikçi değerlendirmesi, kontrol listesinin ilk ve en kritik başlığı. Hizmet sağlayıcının veri merkezleri hangi ülkede? Türkiye’deki mevzuat, bazı sektörlerde verilerin yurt dışına çıkarılmasını kısıtlıyor; bu kısıtlamanın sektörünüz için geçerli olup olmadığını hukuk danışmanınızla netleştirmeniz gerekiyor. Tedarikçi kaç yıldır bu hizmeti veriyor ve referans müşterileri var mı? Hizmet seviyesi anlaşması (SLA) yüzde kaç erişilebilirlik garantisi sunuyor; bu garantinin ihlali halinde cezai yaptırım maddesi sözleşmede yer alıyor mu? Tedarikçi iflas ettiğinde veya hizmeti sonlandırdığında verilerinize nasıl erişeceksiniz? Bu sorular sizi ‘zor müşteri’ yapmaz; tam tersine, ciddi bir tedarikçiyi sıradan bir satıcıdan ayırt etmenizi sağlar.
Veri güvenliği başlığında sorulacak sorular hem teknik hem hukuki boyut taşıyor. Veriler aktarım sırasında ve depolanırken şifreleniyor mu, hangi şifreleme standardı kullanılıyor? Sisteme kimlerin erişebildiği, erişim kayıtlarının tutulup tutulmadığı ve bu kayıtlara sizin ulaşıp ulaşamayacağınız net olmalı. Çok faktörlü kimlik doğrulama seçeneği var mı? Tedarikçi altyapısında bağımsız güvenlik denetimi yapılıyor mu, varsa bu raporlara müşteri olarak erişebiliyor musunuz? Verilerinizin yedekleme sıklığı ve yedeklerin farklı fiziksel konumlarda tutulup tutulmadığı da bu başlık altında netleştirilmesi gereken konular arasında.
Uyum ve düzenleyici gereklilikler, özellikle finans, sağlık ve kamu tedarik zincirinde faaliyet gösteren firmalar için ayrı bir inceleme gerektiriyor. e-Beyanname süreçlerinizde kullandığınız veriler bu platforma taşınacaksa, Gelir İdaresi Başkanlığı’nın veri saklama gerekliliklerini karşılayıp karşılamadığını teyit etmeniz gerekiyor. Muhasebe kayıtlarının yasal saklama süresi boyunca erişilebilir kalması tedarikçi sözleşmesinde güvence altına alınmış olmalı. Uluslararası müşterilerle çalışan firmalar için IBAN tabanlı ödeme sistemleriyle entegrasyon ve dövizli işlemlerin kayıt altına alınma biçimi de bu başlık altında sorgulanmalı.
İş sürekliliği planlaması, yöneticilerin en sık atladığı başlık. İnternet bağlantısı kesildiğinde veya tedarikçi sistemleri geçici olarak erişilemez hale geldiğinde operasyonunuz ne kadar süre ayakta kalabilir? Kritik süreçler için çevrimdışı çalışma seçeneği var mı? Tedarikçinin geçmiş yıllarda yaşadığı kesintilerin süresi ve sıklığı SLA garantisinin gerçek hayattaki karşılığını gösterir; bu bilgiyi referans müşterilerden doğrulamak mümkün. Felaket kurtarma (disaster recovery) planı tedarikçinin kendi altyapısı için mi geçerli, yoksa müşteri verilerini de kapsıyor mu? Kurtarma süresi hedefi (RTO) ve kurtarma noktası hedefi (RPO) sözleşmede tanımlı mı?
Karar verme sürecinde ROI hesabı tek başına yönlendirici olmak zorunda değil. Tedarikçi bağımlılığı (vendor lock-in) riski, verilerinizi standart bir formatta dışa aktarıp aktaramayacağınız ve başka bir platforma geçiş maliyeti de toplam değerlendirmenin parçası. Küçük bir pilot uygulama, kritik olmayan bir süreci birkaç ay bulut tabanlı çalıştırmak, hem teknik ekibin hem yönetimin gerçekçi bir değerlendirme yapmasını sağlar. Bu kontrol listesindeki soruların tamamına tatmin edici yanıt veren bir tedarikçi bulmak zaman alabilir; ancak bu süreç, ilerleyen dönemde çok daha maliyetli olabilecek operasyonel aksaklıkları baştan engeller.