business continuity planningmmh2016.quality-minoseg.hu/wp-content/...business_contiunity_plan… ·...
TRANSCRIPT
XXV. MAGYAR MINŐSÉGHÉT KONFERENCIA2016.05.13
BUSINESS CONTINUITY PLANNING
KRÁNITZ PÉTER ÜGYVEZETŐ IGAZGATÓ
CEQUA VEZETÉSI TANÁCSADÓ KFT.
PROGRAM
© CEQUA Kft. Minden jog fenntartva! – publikus –
1. Bemutatkozás
2. Célkitűzés
3. BCP gyakorlati útmutató
4. Gondolatok az ISO 9001-hez
2016.05.13 – 2
1. BEMUTATKOZÁS
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13 – 3
1. Bemutatkozás
2016.05.13 – 4© CEQUA Kft. Minden jog fenntartva! – publikus –
CEQUA Vezetési Tanácsadó Kft.
ügyvezető igazgató
Kránitz Péter, szaktanácsadó, tréner,
o okleveles közgazda
o ISO 9001 auditor
o ISO 22301 auditor
o felsőfokú lean manager
1. Bemutatkozás
2016.05.13 – 5© CEQUA Kft. Minden jog fenntartva! – publikus –
szervezeteket fejlesztünk 1998 óta
400 sikeres felkészítés ISO 9001:1994
9001:2000 és 9001:2008 szabvány
szerinti tanúsításra
200 hallgató a minőségirányítási
vezetők szakmai továbbképzésén
40 iparág tapasztalata
1.1 Bemutatkozás
OD tanácsadás
stratégia fejlesztés
változásmenedzsment
Működésfejlesztés
stratégiaközpontú gazdálkodási rendszer
döntéstámogató vezetői információs rendszer
kockázatmenedzsment
Szabványos irányítási rendszerek
ISO 9001:2015 minőségirányítási rendszer
ISO 14001:2015 környezetközpontú irányítási rendszer
ISO 27001:2013 információbiztonsági irányítási rendszer
ISO 22301:2012 üzletmenet-folytonossági ir. rendszer
Tréningek
vezetésfejlesztés
problémamegoldás
csapatépítés
konfliktuskezelés
Szakmai ismereteket bővítő képzések
MIR, KIR, IBIR vezetők szakmai továbbképzése
üzletmenet-folytonossági irányítási rendszerben dolgozók továbbképzés
kockázatkezelés, kockázattudatosság
projektmenedzsment
stratégiai menedzsment
2016.05.13 – 6© CEQUA Kft. Minden jog fenntartva! – publikus –
TANÁCSADÁS KÉPZÉS
2. CÉLKITŰZÉS
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13 – 7
2016.05.13 –© CEQUA Kft. Minden jog fenntartva! – publikus –
2. Célkitűzés
© CEQUA Kft. Minden jog fenntartva! – publikus –
párhuzamok keresése az
ISO 9001:2015 – ISO 22 301:2012 között
használható módszertanok átültetése az
ISO 22 301:2012-ből az ISO 9001:2015-be
2016.05.13. – 9
3. BCP GYAKORLATI ÚTMUTATÓ
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13 – 10
2016.05.13 –© CEQUA Kft. Minden jog fenntartva! – publikus –
Mi történt a közelmúltban?
© CEQUA Kft. Minden jog fenntartva! – publikus –
A
A
2016.05.13. – 12
Zavaró incidensek forrásai
© CEQUA Kft. Minden jog fenntartva! – publikus –
természeti katasztrófa
rendszer meghibásodás
közmű problémák
munkaerő problémák
csalás / lopás
terrorizmus
emberi hiba
bármi, nem előre látható, nem irányított, nem specifikus esemény
2016.05.13. – 13
Mi az a „business continuity” (BC)?
© CEQUA Kft. Minden jog fenntartva! – publikus –
Üzletmenet-folytonosság
A szervezet képessége arra, hogy előre
meghatározott szinten folytassa a termékek vagy
szolgáltatások szállítását egy zavaró incidenst
követően;
2016.05.13. – 14
Mi az a BCM?
© CEQUA Kft. Minden jog fenntartva! – publikus –
Üzletmenet-folytonossági menedzsment (BCM)
Holisztikus menedzsment folyamat, amely
azonosítja a potenciális fenyegetéseket és ha ezek
bekövetkeznének,
azonosítja az üzleti tevékenységre gyakorolt hatásaikat,
amelyeket okozhatnak, és
amely folyamat keretet biztosít a szervezet
rugalmasságának kialakításához , így a hatékony válasz
képessége megvédi a szervezet
kulcs érdekelt feleinek érdekeit,
hírnevét,
brand- és értékalkotó tevékenységeit., 2016.05.13. – 15
Üzletmenet-folytonossági tervezés
© CEQUA Kft. Minden jog fenntartva! – publikus –
Az üzletmenet-folytonossági tervezés (BCP)
célja, hogy
megtervezzen, létrehozzon, végrehajtson, működtessen,
ellenőrizzen, felülvizsgáljon, fenntartson és folyamatosan
fejlesszen egy
üzletmenet-folytonossági programot, amely
azonosítja az üzlet szempontjából lehetséges
veszélyeket, és a kiesés potenciális hatásai alapján
megállapítja a kritikus üzleti folyamatokat (BIA),
2016.05.13. – 16
Üzletmenet-folytonossági tervezés
© CEQUA Kft. Minden jog fenntartva! – publikus –
azonosítja az üzletre ható speciális kockázatokat, meg-
becsli a bekövetkezés valószínűségét és hatását (RIA)
fontossági sorrendbe rendezi a szükséges válaszokat a
BIA-ban felmért potenciális hatások alapján:
kontroll tevékenységet épít be, ahol a krízist el lehet
kerülni és
üzleti helyreállítási terveket hoz létre ott, ahol a krízist
nem lehet elkerülni (ha a zavaró esemény
bekövetkezik);
teszteli és rendszeresen felülvizsgálja a kontrollokat és
terveket 2016.05.13. – 17
A BC tervezés elemei
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 18
Operatív tervezés
és ellenőrzés
BIA és RIA
BC stratégia
BC eljárások
Gyakor-latok és tesztek
A BIA és RIA kialakításának menete
© CEQUA Kft. Minden jog fenntartva! – publikus –
Egy dokumentált folyamat keretében
az értékelés összefüggéseinek felállítása,
kritériumok meghatározása és egy zavaró
incidens lehetséges hatásának megbecslése,
jogi és egyéb követelmények meghatározása,
a BIA-tól / RIA-tól elvárt outputok meghatározása
ezen információk naprakészen tartása és
bizalmassága követelményeinek
meghatározása;2016.05.13. – 19
Az üzleti hatáselemzés (BIA) célja
© CEQUA Kft. Minden jog fenntartva! – publikus –
A BIA célja azonosítani azokat a vállalati
területeket, amelyek a legnagyobb költség
kitettségűek, ha valamelyik üzleti funkció
nem működik (bármilyen okból)
Példa:
„berepül a repülő, és fontos iratok vesznek oda”
Kérdés:
A BIA-nak tartalmaznia kell-e a repülő
berepülésének a valószínűségét?
2016.05.13. – 20
Az üzleti hatáselemzés (BIA) célja
© CEQUA Kft. Minden jog fenntartva! – publikus –
Válasz:
NEM!
mert nem a repülő berepülése a HATÁS, hanem a
hatás OKA!
a BIA az odaveszett dokumentumok költségét
tartalmazza, tekintet nélkül a veszteség okára!
2016.05.13. – 21
A BIA tartalmazza
© CEQUA Kft. Minden jog fenntartva! – publikus –
a termékek és szolgáltatások ellátását támogató tevékenységek azonosítását,
a tevékenységek nem teljesülése hatásainak értékelését egy időskálán,
ezen tevékenységek folytatásához priorizált időkeretek felállítását egy meghatározott minimum elfogadható szinten, figyelembe véve azt az időt, amelyen belül a megszakadás hatásai elfogadhatatlanná válnának;
a függőségek és e tevékenységeket támogató erő-források meghatározását, bele értve a szállítókat, outsource - partnereket és egyéb releváns érdekelt feleket;
2016.05.13. – 22
Rendszer helyreállítási célok
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 23
Rendszer helyreállítási célok
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 24
RPO
Recovery Point Objective
helyreállítási pontérték,
adatvesztési tolerancia Az a pont, amihez az egy
tevékenység által használt
információt vissza kell állítani
ahhoz, hogy a tevékenységet
folytatni lehessen.
Rendszer helyreállítási célok
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 25
RTORecovery Time Objective
helyreállítási idő célértékEgy incidens bekövetkezésétől
számított az az időpont, ameddig
- az adott folyamatot vagy
szolgáltatást helyre kell állítani,
- a tevékenységet vissza kell nyerni,
- az erőforrásokat vissza kell szerezni;
Rendszer helyreállítási célok
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 26
MTPODMaximum Tolerable Period of
Disruption
megszakadás maximálisan
tolerálható időtartamaAzon legnagyobb
időintervallum, ameddig a
szervezet tolerálni képes a
terméke előállításának
szünetelését, vagy szolgáltatása
kiesését.
Rendszer helyreállítási célok
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 27
MBCOMinimum Business Continuity Objective
minimális üzletmenet-folytonossági
célkitűzésA szolgáltatások és/vagy termékek azon
minimális szintje, amely a megszakadás alatt
elégséges a szervezet számára az üzleti
célkitűzéseinek megvalósításához.
A hatások elemzése
© CEQUA Kft. Minden jog fenntartva! – publikus –
A potenciális hatások meghatározása, ha a
szervezet valamely területe bármely okból nem
tud működni
2016.05.13. – 28
Kártípus Meghatározása
Jogi kár az üzleti folyamat leállása jogszabályban, belső
szabályzatban előírt kötelezettségek teljesítését
akadályozza
Anyagi Kár az üzleti folyamat leállása többletköltséget vagy
elmaradt hasznot eredményez
Hírnevet érintő kár az üzleti folyamat leállása szervezet számára
hírnévromlást eredményez
A hatások elemzése
© CEQUA Kft. Minden jog fenntartva! – publikus –
A tevékenységek összes potenciális hatásai kiadják a cég összes potenciális hatását.
A BIA határozza meg a kritikusság szintjét a teljes vállalatot tekintve, minden üzleti funkcióra.
Kritikus az az üzleti funkció, aminek mindig működőképesnek kell lennie!
Kritikus hatás: minden forint vagy hírnév veszteség, ami a cég túlélését veszélyezteti.
2016.05.13. – 29
A hatások elemzése
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 30
Kockázatértékelés (RIA)
© CEQUA Kft. Minden jog fenntartva! – publikus –
Kockázat
„A bizonytalanság hatása a célokra.” ISO 22301:2012
Kockázatértékelés
„A kockázat azonosításának, elemzésének és
becslésének átfogó tevékenysége.” ISO 22301:2012
2016.05.13. – 31
Kockázatértékelés folyamata
© CEQUA Kft. Minden jog fenntartva! – publikus –
A szervezet azonosítja a szervezet kritikus tevékenységeinek és
folyamatainak, rendszereinek, információinak, emberi erőforrásának, vagyontárgyainak, kiszervezett tevékenységeket végző partnereinek és egyéb erőforrásainak megszakadására ható kockázatokat,
szisztematikusan elemzi a kockázatokat,
felméri, mely megszakadással összefüggő kockázat igényel beavatkozást,
azonosítja a BC célokkal arányos kezeléseket, a szervezet kockázati étvágyával összhangban.
2016.05.13. – 32
Kockázatértékelés eredménye
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 33
Kockázatkezelési eljárások
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 34
Kockázatcsökkentés (Risk reduction)
Egy kockázattal kapcsolatos valószínűség vagy a negatív
következmények (vagy mindkettő) enyhítésére hozott intézkedések
Kockázatelkerülés (Risk avoidance)
Döntés bizonyos kockázati helyzetbe jutás megakadályozásáról, ill.
intézkedés az ilyen helyzetből való kijutás érdekében
Kockázat áthárítás (Risk transfer) Egy adott kockázatból származókár terhének vagy hasznának másik
féllel történő megosztása.
Kockázatvállalás (Risk retention) Egy adott kockázatból származó kár terhének vagy hasznának
tudomásul vétele.
A BCM-re vonatkozó szabványok
© CEQUA Kft. Minden jog fenntartva! – publikus –
ISO 22 301:2012 / MSZ EN ISO 22 301:2014
Societal security – Business continuity management systems - Requirements Társadalmi biztonság – Üzletmenet-folytonossági
irányítási rendszerek – Követelmények
ISO 22 313:2012 / MSZ EN ISO 22 313:2015
Societal security – Business continuity management systems - Guidance Társadalmi biztonság – Üzletmenet-folytonossági
irányítási rendszerek - Irányelv
2016.05.13. – 35
MSZ ISO/IEC 27001:2014
Informatika.
Biztonságtechnika.
Információbiztonság-irányítási
rendszerek. Követelmények
MSZ ISO 31000:2015
Kockázatfelmérés és –
kezelés. Alap- és irányelvek
BCI Good Practice
Guidelines
PSZAF Módszertani
útmutató
7/2001, 1/2007, 1/2013)
MNB Felvigyázói ajánlás
2010
2013. évi CCXXXVII.
Törvény (Hpt.) 67. §
2003. évi LX. tv (Bit.) 65/A.§
2016.05.13. – 36© CEQUA Kft. Minden jog fenntartva! – publikus –
Nemzetközi Nemzeti
BCM-hez kapcsolódó szabályozók
4. GONDOLATOK AZ ISO 9001-HEZ
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13 – 37
ISO 22 301:2012 vs. ISO 9001:2015
közös
struktúra
definíciók
megszövegezés
követelmények
több területen
eltérő
ISO 22301
kiterjedése sokkal
szélesebb
ISO 22301
módszertani
ajánlásokban
gazdagabb© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 38
ISO 22 301:2012 és az 9001:2015 az
ANNEX SL hatálya alatt jelentek meg.
ISO 9001:2008 alkalmazási területe
© CEQUA Kft. Minden jog fenntartva! – publikus –
1. „Alkalmazási terület
1.1. Általános rész
Ez a nemzetközi szabvány arra az esetre határozza meg a minőségirányítási rendszerre vonatkozó követelményeket, amikor egy szervezetnek bizonyítania kell, hogy képes folyamatosan olyan terméket szolgáltatni, amely megfelel a vevői, valamint az alkalmazható jogszabályi és egyéb szabályozó követelményeknek, valamint a vevői elégedettség növelése a célja a rendszer eredményes alkalmazásával, beleértve azokat a folyamatokat, amelyek a rendszer fo-lyamatos fejlesztését és a vevői, valamint az alkalmazható jogszabályi és egyéb szabályozó követelményeknek való megfelelőséget szavatolják.” 2016.05.13. – 39
ISO 9001:2015 alkalmazási területe
© CEQUA Kft. Minden jog fenntartva! – publikus –
4.3 „A minőségirányítási rendszer alkalmazási területének meghatározása
A szervezetnek az alkalmazási terület kialakításához meg kell határoznia a minőségirányítási rendszer határait és alkalmazhatóságát.
Ezen alkalmazási terület meghatározásakor a szervezetnek át kell gondolnia a 4.1 szakaszban hivatkozott külső és belső tényezőket;
a 4.2 szakaszban hivatkozott lényeges érdekelt felek követelményeit;
a szervezet termékeit és szolgáltatásait.”2016.05.13. – 40
JAVASLAT
© CEQUA Kft. Minden jog fenntartva! – publikus –
Mely módszertan teremti meg a kapcsolatot
a korábbinál sokkalta szélesebb, (lényeges)
érdekelt felek által kifejezett szükségletek és
elvárások, valamint
a minőségirányítási rendszer hatókörébe tartozó
termékek és szolgáltatások között?
JAVASLAT: stratégiai szintű
üzleti hatáselemzés
2016.05.13. – 41
JAVASLAT
Külső stakeholderek (pl.)
vevők
versenytársak
szállítók
kormányzat, jogalkotás
bankok
tulajdonosok
szakszervezet
Belső stakeholderek (pl.)
management
alkalmazottak
Folyamatok (pl.)
Marketing
Műszaki tervezés
Gyártástervezés
Ajánlatadás
Gyártás/
szolgáltatás
nyújtás
Mérés
Controlling
Számlázás
42
© CEQUA Kft. Minden jog fenntartva! – publikus – 2016.05.13. – 42
Elvárások (pl.)
minőség
ár
határidő
megfelelés
likviditás
nyereség
munkafeltételek
karrier
jövedelem
JAVASLAT
© CEQUA Kft. Minden jog fenntartva! – publikus –
1. hívókérdés:
Mekkora hatása van a szervezetre, ha valamely
folyamat (bármilyen okból) nem teljesíti azt az
elvárást, amelyet ki kellene elégítenie?
2. hívókérdések:
Egy adott terület melyik más terület munkájának
minőségétől függ a legjobban?
Az adott terület munkájának minőségétől melyik
más terület munkája függ a legjobban ?2016.05.13. – 43
2016.05.13 – 44© CEQUA Kft. Minden jog fenntartva! – publikus –
További információ:
Kránitz Péter ügyvezető igazgató
+36 1 250 0268, +36 1 920 3598
www.cequa.hu
1056 Budapest, Papnövelde utca 1.
Szervezeteket fejlesztünk - 1998 óta
© CEQUA Kft. Minden jog fenntartva! – publikus –
KÖSZÖNÖM A
FIGYELMET!
2016.05.13. – 45