XXV. MAGYAR MINŐSÉGHÉT KONFERENCIA

Átírás

1 BUSINESS CONTINUITY PLANNING KRÁNITZ PÉTER ÜGYVEZETŐ IGAZGATÓ CEQUA VEZETÉSI TANÁCSADÓ KFT XXV. MAGYAR MINŐSÉGHÉT KONFERENCIA

2 PROGRAM 1. Bemutatkozás 2. Célkitűzés 3. BCP gyakorlati útmutató 4. Gondolatok az ISO 9001-hez CEQUA Kft. Minden jog fenntartva! publikus

3 1. BEMUTATKOZÁS CEQUA Kft. Minden jog fenntartva! publikus

4 1. Bemutatkozás Kránitz Péter, szaktanácsadó, tréner, o okleveles közgazda o ISO 9001 auditor o ISO auditor o felsőfokú lean manager CEQUA Vezetési Tanácsadó Kft. ügyvezető igazgató CEQUA Kft. Minden jog fenntartva! publikus

5 1. Bemutatkozás szervezeteket fejlesztünk 1998 óta 400 sikeres felkészítés ISO 9001: :2000 és 9001:2008 szabvány szerinti tanúsításra 200 hallgató a minőségirányítási vezetők szakmai továbbképzésén 40 iparág tapasztalata CEQUA Kft. Minden jog fenntartva! publikus

6 1.1 Bemutatkozás TANÁCSADÁS KÉPZÉS OD tanácsadás stratégia fejlesztés változásmenedzsment Működésfejlesztés stratégiaközpontú gazdálkodási rendszer döntéstámogató vezetői információs rendszer kockázatmenedzsment Szabványos irányítási rendszerek ISO 9001:2015 minőségirányítási rendszer ISO 14001:2015 környezetközpontú irányítási rendszer ISO 27001:2013 információbiztonsági irányítási rendszer ISO 22301:2012 üzletmenet-folytonossági ir. rendszer CEQUA Kft. Minden jog fenntartva! publikus Tréningek vezetésfejlesztés problémamegoldás csapatépítés konfliktuskezelés Szakmai ismereteket bővítő képzések MIR, KIR, IBIR vezetők szakmai továbbképzése üzletmenet-folytonossági irányítási rendszerben dolgozók továbbképzés kockázatkezelés, kockázattudatosság projektmenedzsment stratégiai menedzsment

7 2. CÉLKITŰZÉS CEQUA Kft. Minden jog fenntartva! publikus

8 CEQUA Kft. Minden jog fenntartva! publikus

9 2. Célkitűzés párhuzamok keresése az ISO 9001:2015 ISO :2012 között használható módszertanok átültetése az ISO :2012-ből az ISO 9001:2015-be CEQUA Kft. Minden jog fenntartva! publikus

10 3. BCP GYAKORLATI ÚTMUTATÓ CEQUA Kft. Minden jog fenntartva! publikus

11 CEQUA Kft. Minden jog fenntartva! publikus

12 Mi történt a közelmúltban? A A CEQUA Kft. Minden jog fenntartva! publikus

13 Zavaró incidensek forrásai természeti katasztrófa rendszer meghibásodás közmű problémák munkaerő problémák csalás / lopás terrorizmus emberi hiba bármi, nem előre látható, nem irányított, nem specifikus esemény CEQUA Kft. Minden jog fenntartva! publikus

14 Mi az a business continuity (BC)? Üzletmenet-folytonosság A szervezet képessége arra, hogy előre meghatározott szinten folytassa a termékek vagy szolgáltatások szállítását egy zavaró incidenst követően; CEQUA Kft. Minden jog fenntartva! publikus

15 Mi az a BCM? Üzletmenet-folytonossági menedzsment (BCM) Holisztikus menedzsment folyamat, amely azonosítja a potenciális fenyegetéseket és ha ezek bekövetkeznének, azonosítja az üzleti tevékenységre gyakorolt hatásaikat, amelyeket okozhatnak, és amely folyamat keretet biztosít a szervezet rugalmasságának kialakításához, így a hatékony válasz képessége megvédi a szervezet kulcs érdekelt feleinek érdekeit, hírnevét, brand- és értékalkotó tevékenységeit., CEQUA Kft. Minden jog fenntartva! publikus

16 Üzletmenet-folytonossági tervezés Az üzletmenet-folytonossági tervezés (BCP) célja, hogy megtervezzen, létrehozzon, végrehajtson, működtessen, ellenőrizzen, felülvizsgáljon, fenntartson és folyamatosan fejlesszen egy üzletmenet-folytonossági programot, amely azonosítja az üzlet szempontjából lehetséges veszélyeket, és a kiesés potenciális hatásai alapján megállapítja a kritikus üzleti folyamatokat (BIA), CEQUA Kft. Minden jog fenntartva! publikus

17 Üzletmenet-folytonossági tervezés azonosítja az üzletre ható speciális kockázatokat, megbecsli a bekövetkezés valószínűségét és hatását (RIA) fontossági sorrendbe rendezi a szükséges válaszokat a BIA-ban felmért potenciális hatások alapján: kontroll tevékenységet épít be, ahol a krízist el lehet kerülni és üzleti helyreállítási terveket hoz létre ott, ahol a krízist nem lehet elkerülni (ha a zavaró esemény bekövetkezik); teszteli és rendszeresen felülvizsgálja a kontrollokat és terveket CEQUA Kft. Minden jog fenntartva! publikus

18 A BC tervezés elemei BIA és RIA Gyakorlatok és tesztek Operatív tervezés és ellenőrzés BC stratégia BC eljárások CEQUA Kft. Minden jog fenntartva! publikus

19 A BIA és RIA kialakításának menete Egy dokumentált folyamat keretében az értékelés összefüggéseinek felállítása, kritériumok meghatározása és egy zavaró incidens lehetséges hatásának megbecslése, jogi és egyéb követelmények meghatározása, a BIA-tól / RIA-tól elvárt outputok meghatározása ezen információk naprakészen tartása és bizalmassága követelményeinek meghatározása; CEQUA Kft. Minden jog fenntartva! publikus

20 Az üzleti hatáselemzés (BIA) célja A BIA célja azonosítani azokat a vállalati területeket, amelyek a legnagyobb költség kitettségűek, ha valamelyik üzleti funkció nem működik (bármilyen okból) Példa: berepül a repülő, és fontos iratok vesznek oda Kérdés: A BIA-nak tartalmaznia kell-e a repülő berepülésének a valószínűségét? CEQUA Kft. Minden jog fenntartva! publikus

21 Az üzleti hatáselemzés (BIA) célja Válasz: NEM! mert nem a repülő berepülése a HATÁS, hanem a hatás OKA! a BIA az odaveszett dokumentumok költségét tartalmazza, tekintet nélkül a veszteség okára! CEQUA Kft. Minden jog fenntartva! publikus

22 A BIA tartalmazza a termékek és szolgáltatások ellátását támogató tevékenységek azonosítását, a tevékenységek nem teljesülése hatásainak értékelését egy időskálán, ezen tevékenységek folytatásához priorizált időkeretek felállítását egy meghatározott minimum elfogadható szinten, figyelembe véve azt az időt, amelyen belül a megszakadás hatásai elfogadhatatlanná válnának; a függőségek és e tevékenységeket támogató erőforrások meghatározását, bele értve a szállítókat, outsource - partnereket és egyéb releváns érdekelt feleket; CEQUA Kft. Minden jog fenntartva! publikus

23 Rendszer helyreállítási célok CEQUA Kft. Minden jog fenntartva! publikus

24 Rendszer helyreállítási célok RPO Recovery Point Objective helyreállítási pontérték, adatvesztési tolerancia Az a pont, amihez az egy tevékenység által használt információt vissza kell állítani ahhoz, hogy a tevékenységet folytatni lehessen. CEQUA Kft. Minden jog fenntartva! publikus

25 Rendszer helyreállítási célok RTO Recovery Time Objective helyreállítási idő célérték Egy incidens bekövetkezésétől számított az az időpont, ameddig - az adott folyamatot vagy szolgáltatást helyre kell állítani, - a tevékenységet vissza kell nyerni, - az erőforrásokat vissza kell szerezni; CEQUA Kft. Minden jog fenntartva! publikus

26 Rendszer helyreállítási célok MTPOD Maximum Tolerable Period of Disruption megszakadás maximálisan tolerálható időtartama Azon legnagyobb időintervallum, ameddig a szervezet tolerálni képes a terméke előállításának szünetelését, vagy szolgáltatása kiesését. CEQUA Kft. Minden jog fenntartva! publikus

27 Rendszer helyreállítási célok MBCO Minimum Business Continuity Objective minimális üzletmenet-folytonossági célkitűzés A szolgáltatások és/vagy termékek azon minimális szintje, amely a megszakadás alatt elégséges a szervezet számára az üzleti célkitűzéseinek megvalósításához. CEQUA Kft. Minden jog fenntartva! publikus

28 A hatások elemzése A potenciális hatások meghatározása, ha a szervezet valamely területe bármely okból nem tud működni Kártípus Meghatározása Jogi kár az üzleti folyamat leállása jogszabályban, belső szabályzatban előírt kötelezettségek teljesítését akadályozza Anyagi Kár az üzleti folyamat leállása többletköltséget vagy elmaradt hasznot eredményez Hírnevet érintő kár az üzleti folyamat leállása szervezet számára hírnévromlást CEQUA Kft. eredményez Minden jog fenntartva! publikus

29 A hatások elemzése A tevékenységek összes potenciális hatásai kiadják a cég összes potenciális hatását. A BIA határozza meg a kritikusság szintjét a teljes vállalatot tekintve, minden üzleti funkcióra. Kritikus az az üzleti funkció, aminek mindig működőképesnek kell lennie! Kritikus hatás: minden forint vagy hírnév veszteség, ami a cég túlélését veszélyezteti. CEQUA Kft. Minden jog fenntartva! publikus

30 A hatások elemzése CEQUA Kft. Minden jog fenntartva! publikus

31 Kockázatértékelés (RIA) Kockázat A bizonytalanság hatása a célokra. ISO 22301:2012 Kockázatértékelés A kockázat azonosításának, elemzésének és becslésének átfogó tevékenysége. ISO 22301:2012 CEQUA Kft. Minden jog fenntartva! publikus

32 Kockázatértékelés folyamata A szervezet azonosítja a szervezet kritikus tevékenységeinek és folyamatainak, rendszereinek, információinak, emberi erőforrásának, vagyontárgyainak, kiszervezett tevékenységeket végző partnereinek és egyéb erőforrásainak megszakadására ható kockázatokat, szisztematikusan elemzi a kockázatokat, felméri, mely megszakadással összefüggő kockázat igényel beavatkozást, azonosítja a BC célokkal arányos kezeléseket, a szervezet kockázati étvágyával összhangban. CEQUA Kft. Minden jog fenntartva! publikus

33 Kockázatértékelés eredménye CEQUA Kft. Minden jog fenntartva! publikus

34 Kockázatkezelési eljárások Kockázatcsökkentés (Risk reduction) Egy kockázattal kapcsolatos valószínűség vagy a negatív következmények (vagy mindkettő) enyhítésére hozott intézkedések Kockázatelkerülés (Risk avoidance) Döntés bizonyos kockázati helyzetbe jutás megakadályozásáról, ill. intézkedés az ilyen helyzetből való kijutás érdekében Kockázat áthárítás (Risk transfer) Egy adott kockázatból származókár terhének vagy hasznának másik féllel történő megosztása. Kockázatvállalás (Risk retention) Egy adott kockázatból származó kár terhének vagy hasznának tudomásul vétele. CEQUA Kft. Minden jog fenntartva! publikus

35 A BCM-re vonatkozó szabványok ISO :2012 / MSZ EN ISO :2014 Societal security Business continuity management systems - Requirements Társadalmi biztonság Üzletmenet-folytonossági irányítási rendszerek Követelmények ISO :2012 / MSZ EN ISO :2015 Societal security Business continuity management systems - Guidance Társadalmi biztonság Üzletmenet-folytonossági irányítási rendszerek - Irányelv CEQUA Kft. Minden jog fenntartva! publikus

36 BCM-hez kapcsolódó szabályozók MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények MSZ ISO 31000:2015 Nemzetközi Kockázatfelmérés és kezelés. Alap- és irányelvek BCI Good Practice Guidelines PSZAF Módszertani útmutató 7/2001, 1/2007, 1/2013) MNB Felvigyázói ajánlás 2010 CEQUA Kft. Minden jog fenntartva! publikus Nemzeti évi CCXXXVII. Törvény (Hpt.) évi LX. tv (Bit.) 65/A

37 4. GONDOLATOK AZ ISO 9001-HEZ CEQUA Kft. Minden jog fenntartva! publikus

38 ISO :2012 vs. ISO 9001:2015 ISO :2012 és az 9001:2015 az ANNEX SL hatálya alatt jelentek meg. közös struktúra definíciók megszövegezés követelmények több területen eltérő ISO kiterjedése sokkal szélesebb ISO módszertani ajánlásokban gazdagabb CEQUA Kft. Minden jog fenntartva! publikus

39 ISO 9001:2008 alkalmazási területe 1. Alkalmazási terület 1.1. Általános rész Ez a nemzetközi szabvány arra az esetre határozza meg a minőségirányítási rendszerre vonatkozó követelményeket, amikor egy szervezetnek bizonyítania kell, hogy képes folyamatosan olyan terméket szolgáltatni, amely megfelel a vevői, valamint az alkalmazható jogszabályi és egyéb szabályozó követelményeknek, valamint a vevői elégedettség növelése a célja a rendszer eredményes alkalmazásával, beleértve azokat a folyamatokat, amelyek a rendszer folyamatos fejlesztését és a vevői, valamint az alkalmazható jogszabályi és egyéb szabályozó követelményeknek való megfelelőséget szavatolják. CEQUA Kft. Minden jog fenntartva! publikus

40 ISO 9001:2015 alkalmazási területe 4.3 A minőségirányítási rendszer alkalmazási területének meghatározása A szervezetnek az alkalmazási terület kialakításához meg kell határoznia a minőségirányítási rendszer határait és alkalmazhatóságát. Ezen alkalmazási terület meghatározásakor a szervezetnek át kell gondolnia a 4.1 szakaszban hivatkozott külső és belső tényezőket; a 4.2 szakaszban hivatkozott lényeges érdekelt felek követelményeit; a szervezet termékeit és szolgáltatásait. CEQUA Kft. Minden jog fenntartva! publikus

41 JAVASLAT Mely módszertan teremti meg a kapcsolatot a korábbinál sokkalta szélesebb, (lényeges) érdekelt felek által kifejezett szükségletek és elvárások, valamint a minőségirányítási rendszer hatókörébe tartozó termékek és szolgáltatások között? JAVASLAT: stratégiai szintű üzleti hatáselemzés CEQUA Kft. Minden jog fenntartva! publikus

42 JAVASLAT 42 Külső stakeholderek (pl.) vevők versenytársak szállítók kormányzat, jogalkotás bankok tulajdonosok szakszervezet Belső stakeholderek (pl.) management alkalmazottak Elvárások (pl.) minőség ár határidő megfelelés likviditás nyereség munkafeltételek Folyamatok (pl.) Marketing Műszaki tervezés Gyártástervezés Ajánlatadás Gyártás/ szolgáltatás nyújtás Mérés karrier Controlling jövedelem Számlázás CEQUA Kft. Minden jog fenntartva! publikus

43 JAVASLAT 1. hívókérdés: Mekkora hatása van a szervezetre, ha valamely folyamat (bármilyen okból) nem teljesíti azt az elvárást, amelyet ki kellene elégítenie? 2. hívókérdések: Egy adott terület melyik más terület munkájának minőségétől függ a legjobban? Az adott terület munkájának minőségétől melyik más terület munkája függ a legjobban? CEQUA Kft. Minden jog fenntartva! publikus

44 Szervezeteket fejlesztünk óta További információ: Kránitz Péter ügyvezető igazgató , kranitz@cequa.hu Budapest, Papnövelde utca 1. CEQUA Kft. Minden jog fenntartva! publikus

45 KÖSZÖNÖM A FIGYELMET! CEQUA Kft. Minden jog fenntartva! publikus