A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS

Átírás

1 Erasmus Multilateral Projekts Virtual campuses A projekt referenciaszáma: LLP HU-ERASMUS-EVC A projekt címe: Virtual campus for SMEs in a multicultural milieu ( SMEdigcamp ) Ez a kiadvány (közlemény) a szerzı nézeteit tükrözi, és az Európai Bizottság nem tehetı felelıssé az abban foglaltak bárminemő felhasználásért. A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS Modulvezetı: Bernard QUINIO (FR-UPX) További modultagok: András JÁNOSA (HU) János IVANYOS (HU) Imre JUHÁSZ (HU) Gyula KADERJÁK (HU) Manuela NOCKER (UK) Gunnar PRAUSE (DE) Daniel BRETONES (FR-ESCEM) 1

2 TARTALOMJEGYZEK A) A MODUL MEGHATÁROZÁSA...5 B) INDIKATÍV TARTALOM...11 I. VEZETİI INFORMÁCIÓS RENDSZEREK FEJEZET: AZ INFORMÁCIÓS RENDSZER MEGSZERVEZÉSE ÉS VEZETÉSE KKV- K SZÁMÁRA Bevezetés Az információs rendszerek fı kérdéseinek meghatározása a kkv-k számára Információ és információs rendszer Kulcsfontosságú témák, melyeket az információs rendszer vet fel a vállalkozás számára Az IR funkció megszervezése a vállalkozásoknál Az IR osztály költségvetése és költségei Hogyan kezeljük az IR kiszervezését Az IR szolgáltató leírása Az IR tevékenységei és azok kiszervezése Hogy kezeljük a szolgáltatót A szolgáltatók kezelésének ciklusa Irányítás a kkv-kban: szabályok és eszközök Ellenırzı feladatok FEJEZET: AZ IR ALKALMAZÁSA A KKV-KBAN Bevezetés Az információs rendszer mőszaki infrastruktúrája a kkv-kban Az infrastruktúra mőszaki aspektusa A szoftver alkalmazás térképe Hogyan válasszunk nyílt rendszerek és az egyedi fejlesztésőek között? Az IR döntéstámogatási alkalmazása Felsıvezetıi információs rendszer (EIS) Szakértıi rendszer Tudásmenedzsment Üzleti intelligencia Adatelemzés és adatbányászat IR alkalmazások két fı célra Ügyfélkapcsolat kezelés (CRM) Az e-business és a web site Beszállítói láncolatkezelés (SCM) Az IR alkalmazás integrációs célra A vállalaton belül: Vállalati Erıforrástervezés (ERP) A vállalaton kívül: Elektronikus adatcsere (EDI Electronic Data Interchange) A vállalaton kívül: az e-business piac Ellenırzı feladatok FEJEZET: PROJEKTVEZETÉS Bevezetés A projektvezetés fı fogalmainak meghatározása Hogy készítsünk elı egy projektet?

3 A projekt célja és résztvevıi Projektjavaslat Az emberi és mőszaki erıforrások meghatározása Hogy építjük fel a projektet? WBS PBS OBS Hogy kell egy projektet irányítani? Projektirányítás Projektvezetés Hogy telepítsük és használjuk a projekt eredményét Ellenırzı feladatok FEJEZET: AZ IR BIZTONSÁGA ÉS KONTROLLJA Bevezetés Biztonsági szabályok: szigorú szabály, irányelv és szervezéssel elért biztonság A biztonság emberi tényezıje Külsı és belsı támadások A számítástechnikai tanúsítás törvénye és szabványai Az adatok és a szoftver biztonsági másolata A tevékenység újrakezdése és fenntartása A COBIT vagy az ITIL használata a kkv-k számára Ellenırzı feladatok...92 II. KOCKÁZATKEZELÉS FEJEZET: A KOCKÁZATKEZELÉSI ISMERETEK ELSAJÁTÍTÁSÁNAK CÉLJAI Bevezetés Globális célok A fı kérdések leírása Miért fontos a kockázatkezelés a kkv-k számára? FEJEZET: A KOCKÁZATKEZELÉS ALAPELVEI A vállalati kockázatkezelés meghatározása A kockázatok típusai Gyakorlatok FEJEZET: A SZERVEZET ÖSSZEKAPCSOLÓDÓ CÉLKITŐZÉSEINEK ELÉRÉSE A célkitőzés-kategóriák Célkitőzés állítása Eseményazonosítás Kockázatértékelés Kockázati válaszok Gyakorlatok FEJEZET: A KOCKÁZATKEZELÉS KOMPONENSEI A célkitőzések és az alkotóelemek összefüggése A kockázatkezelés eredményessége és korlátai Kapcsolat a belsı kontrollrendszerrel Gyakorlatok FEJEZET: KOCKÁZATKEZELÉSI TECHNIKÁK Kvalitatív és kvantitatív technikák

4 5.2. Kockázati válaszok értékelése Költség-haszon elemzés Gyakorlatok FEJEZET: A KOCKÁZATKEZELÉS KÉPESSÉGI SZINTJÉNEK FELMÉRÉSE A COSO keretrendszer alkalmazása referenciamodellként A Szervezeti célkitőzések képességi szinteknek való megfeleltetése Bizonyosságot nyújtó és tanácsadói ellenırzési megbízások Gyakorlatok C) NEMZETI SPECIFIKÁCIÓK FRANCIAORSZÁG Vezetıi információs rendszer Fejezet Az információs rendszer (IR) megszervezése és vezetése a kkv-k számára Fejezet IR alkalmazások az kkv-kban Fejezet: Projektvezetés Fejezet az IR biztonsága és kontrolle Kockázatkezelés NÉMETORSZÁG Információs rendszerek Kockázatkezelés MAGYARORSZÁG Vezetıi információs rendszerek Kockázatkezelés EGYESÜLT KIRÁLYSÁG Vezetıi információs rendszerek Kockázatkezelés Egyéb javasolt olvasmányok

5 A) A MODUL MEGHATÁROZÁSA A modul leírása A modul két részbıl áll: egy információs rendszerekrıl és egy kockázatkezelésrıl szóló részbıl. Az információs rendszerrıl szóló rész célja, hogy a kis- és középvállalkozások információs rendszereinek kezeléséhez szükséges készségeket megadja. A kockázatkezelésrıl szóló rész a kkv-k kockázatkezelési elveinek és eszközeinek elsajátításához szükséges készségek biztosítását célozza. A modul céljai Vezetıi információs rendszerek Hogyan kezeljük az információs rendszereket a kkv-kban Hogyan vegyünk részt egy információs rendszerrıl szóló projektben Hogyan alkalmazzunk biztonsági szabályokat kkv-k számára Kockázatkezelés Hogy alkalmazzunk kockázatkezelési elveket és eszközöket Hogy tőzzünk ki célokat, és mi a kockázatviselési hajlandóság, illetve a kockázati tolerancia Hogy végezzük a kockázatfelmérést, és hogy határozzuk meg a kockázatra adott választ Hogy ágyazódik be a belsı audit a kockázatkezelésbe Hogy értékeljük a kockázati hatékonyságot és a kontroll rendszereket Elıfeltételek Vezetıi információs rendszer Jól használható a személyi számítógép, az Internet és az irodai alkalmazások szakmai környezetében Táblázatkezelı, adatbázis kezelı és Internet vezetıi célokra A táblázatkezelés koncepciója és gyakorlati használata pénzügyi és kontroll költségvetés készítés céljaira Kockázatkezelés Stratégiai irányítás. Pénzügyi irányítás. Szervezés és vezetés. Folyamatfelmérés. 5

6 Munkamódszer A modul minden fejezetéhez kifejtjük a fıbb elveket számos példa kíséretében, és elektronikus linkeket is adunk, ahol az elvek a valós életbe ágyazva is megtekinthetık. Ezután ellenırzı kérdések és gyakorlatok következnek, hogy az eszközök gyakorlati alkalmazását is elısegítsük. Értékelés Az értékelés két részbıl áll: egy kvíz, melynek célja az elmondott elvek tudásának értékelése és egy esettanulmány. A modul szerkezete Vezetıi információs rendszer (2 kredit) 1. Fejezet: az információs rendszer felépítése és irányítása a kkv számára Pedagógiai célkitőzések: Tökéletes ismeretek az információs rendszer fogalmáról Hogy kell felépíteni egy információs rendszert egy kkv-ban Hogy kell egy információs rendszer funkcióinak kiszervezését kezelni Hogy kezeljük a kkv szolgáltatóját Szerkezet: Bevezetés Az információs rendszer (IR) meghatározásai és fıbb kérdései a kkv számára Információkezelés és információs rendszer Fıbb kérdések a kkv-k szempontjából Az IR funkcióinak megszervezése a cégen belül Az IR funkcióinak költségvetése és költségei Hogy kezelendı az IR kiszervezése Az IR szolgáltató meghatározása IR tevékenységek és kiszervezésük Hogy tartsuk kézben a szolgáltatót Az IR irányítás a kkv-ban: szabályok és eszközök 2. Fejezet: Az IR alkalmazása a kkv-kban Pedagógiai célkitőzések: Megfelelı ismeretek megszerzése a fı IR alkalmazással kapcsolatban Minden alkalmazás esetében a fı sikertényezık megismerése Minden alkalmazás esetében a fı termékek és azok gyártóinak ismerete Az alkalmazás használatának megtanítása nem a jelen fejezet célja Szerkezet: Bevezetés Az IR mőszaki infrastrukúrája a kkv-n belül Az infrastruktúra mőszaki tényezıi 6

7 A szoftver alkalmazás térképe Hogy válasszunk nyílt és tulajdonosi rendszerek között? Hogy válasszunk a kész szoftver és a testreszabott fejlesztés között? Az IR alkalmazása döntéshozatalra Felsıvezetıi információs rendszer (EIS) Szakértıi rendszer Tudás menedzsment Üzleti hírszerzés Adatelemzés és adatbányászat Az IR alkalmazás két fı funkciója Ügyfélkapcsolat kezelés (CRM) E-business és a honlap Beszállítói útvonalkezelés (SCM) Az IR alkalmazás integrációs célra A vállalaton belül: Vállalati Erıforrástervezés (ERP) A vállalaton kívül: Elektronikus adatcsere (EDI) Az E-business piaca 3. Fejezet Projektvezetés Pedagógiai célkitőzések: Hogy irányítsuk egy információs rendszer megvalósítási projektjét Hogy alkalmazzunk projektvezetési eszközöket A kockázatelemzés a Kockázat kezelés c. részben található Szerkezet: Bevezetés A projektvezetés fı fogalmainak meghatározása Hogy készítsünk elı egy projektet A projekt céljainak meghatározása: Miért és hol van tennivaló? A megoldás típusának meghatározása: a tevékenység módjának meghatározása Az emberi és technikai erıerıforrások meghatározása: kivel és mivel dolgozunk? Hogy építjük fel a projektet? Hogy menedzseljük a projektet? A projekt iránya A projektvezetése Tervezés (Pert és Gantt) Költségek kézbentartása Változás-kezelés és az emberi tényezık Hogy üzemeljük be, és hogy használjuk a projekt eredményét 4. Fejezet: az IR biztonsága és kontrolle Pedagógiai célkitőzések: Hogy alkalmazzuk a biztonsági szabályokat és eszközöket a kkv-ban Hol találunk információt és tanácsot a biztonsággal kapcsolatban Szerkezet: Bevezetés 7

8 A biztonság szabályai: vonatkoztatási területek, szigorú szabály, irányelv és szervezés alapú biztonság A biztonság emberi tényezıi Belsı és külsı támadások A számítástechnikai biztonság jogi szabályozása Adatbiztonság és szoftver A tevékenység újraindítása és fenntartása A COBIT használatat a kkv-ban Az ITIL használata a kkv-kban Kockázatkezelés (2 kredit) 1. Fejezet: A kockázatkezelési ismeretek célja A kockázatviselési hajlandóság és a stratégia összhangja a vezetés megfontolja a szervezet kockázatviselési hajlandóságát stratégiai alternatívák értékelése során, kitőzi a vonatkozó célokat és mechanizmusokat alakít ki a kapcsolódó kockázatok kezelésére. A kockázatkezelési döntések javítása A vállalati kockázatkezelés adja a szigort az alternatív kockázatkezelési döntések közötti választáshoz: kockázat elkerülés, csökkentés, megosztás és elfogadás. Mőködési költségekkel kapcsolatos kellemetlen meglepetések és veszteségek csökkentése a szervezetek egyre jobb képességet alakítanak ki a várható események meghatározásához és válaszlépéseik megtervezéséhez, csökkentve ezáltal a meglepetést és az azzal járó költségeket vagy veszteségeket. Többszörös és vállalatközi kockázatok meghatározása minden vállalat rengeteg kockázattal szembesül, melyek a szervezet különféle részeit érintik. A vállalat kockázatkezelési funkciója hathatós válaszlépést tesz lehetıvé egymással összefüggı behatások esetén és integrált válaszokat ad többszörös kockázatokra. A lehetıségek megragadása a lehetséges események egész sorának megfontolása során a vezetıség meghatározza és proaktív módon megvalósítja a lehetıségeket. A tıke mőködtetésének javítása a kockázattal kapcsolatos bıséges információ lehetıvé teszi a vezetıség számára az átfogó tıkeigény hatékony felmérését és a tıke allokáció javítását. 2. Fejezet: A Kockázatkezelés alapelvei Egy folyamat, mely szüntelenül áramlik egy szervezet egységein át A szervezet minden szintjének munkatársai kapcsolatba kerülnek vele A stratégiatervezésben jut szerephez A teljes vállalkozásban megjelenik, minden szinten és szervezeti egységben, és szervezet szintő kockázat-szemléletet jelent Lehetséges események bekövetkeztének megjóslásában segíthet, melyek, ha csakugyan bekövetkeznek, hatással vannak a szervezetre, de a kockázatviselési hajlandóságon belüli kezelésnek is hatékony eszközei Ésszerő mérvő biztonságot nyújthatnak egy szervezet igazgatóságának A célok elérését tőzi ki célul egy vagy több különálló, de egymással átfedı területen 8

9 3. Fejezet: a szervezet egymáshoz kapcsolódó céljai Stratégiai magas szintő célok, melyek céljaival összhangban állnak és azt támogatják Mőködés az erıforrások eredményes és hatékony kihasználása Jelentés a jelentések megbízhatósága Megfelelés a hatályos törvényeknek és szabályoknak való megfelelés 4. Fejezet: a kockázatkezelés alkotóelemei: Belsı környezet Célmeghatározás Esemény meghatározás Kockázatfelmérés Kocekázat Ellenırzı tevékenységek Tájékoztatás és kommunikáció Monitoring 5. Fejezet: A kockázatkezelési képesség felmérése A COSO keret használata referencia célra A szervezet céljainak és képességeinek összehasonlítása Biztosítási feladatok Konzultációs feladatok Ajánlott irodalom Franciául: Encyclopédie des Systèmes d Information, Editions Vuibert coordonné par J. AKOKA et I. Commyn Wattiau, 2007 Marciniak et Rowe (2005) Systèmes d'information, Dynamique et Organisation, Economica, 2005, seconde édition Quinio et lecoeur (2003)«Projet de Système d'information : Une démarche et des outils pour le chef de projet» Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). «Manuel de gestion d entreprise», trois chapitres sur les Systèmes d Information, ouvrage collectif coordonné par l AUPELF (2004). «Contrôle et confiance dans la relation avec les prestataires de services informatiques : les trois niveaux : Prestataire, Personnel, Prestation» ; B. Quinio et A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006 Angolul: Laudon Laudon (2006) Management Information Systems (Vezetıi információs rendszerek) 9/e, Pearson prentice hall Érdekes web site-ok Vezetıi információs rendszerinformációs rendszer «projektvezetési intézet» website 9

10 «nemzetközi projektvezetési szövetség» website A «clusif» honlap «Információs rendszerbiztonsági szövetség» website Kockázatkezelés

11 B) INDIKATÍV TARTALOM I. VEZETİI INFORMÁCIÓS RENDSZEREK 1. FEJEZET: AZ INFORMÁCIÓS RENDSZER MEGSZERVEZÉSE ÉS VEZETÉSE KKV-K SZÁMÁRA 1.1. Bevezetés Az információ a XX. század végére a természeti tényezık, az emberi erıforrások és a tıkejavak mellett önálló erıforrássá vált. Az információ elıállítását, feldolgozását, elosztását és hasznosítását biztosító információs rendszerek használata napjainkban már nem csak a nagy vállalatok számára, hanem a kis és közepes vállalkozások (kkv-k) mőködéséhez is elengedhetetlen. Az információs rendszer (IR) mint minden rendszer egymással kölcsönhatásban lévı elemek halmaza, amely a közös cél elérése érdekében tevékenykedik. Az IR elemei a mőszaki komponensek (IT Information Technology), a szervezet, és a felhasználók (ld ) Az IR célja a mindennapi mőködés, és a szervezetek vezetési funkcióinak támogatása, automatizálása. Az IR az egyéb rendszerekhez hasonlóan: a bemeneteibıl (input) megfelelı eljárások elvégzése után kimenetet (output) állít elı Az információs rendszerek fı kérdéseinek meghatározása a kkv-k számára Információ és információs rendszer Az információ olyan új ismeret, amely azt adott rendszer számára hasznosítható, mőködését befolyásolja. Az adat egy jelsorozat, amely valamilyen formában rögzítésre kerül. Lehet szöveg, hang, kép stb. Az adat tehát rögzített információ, az információ pedig az adat jelentése. Az információ kódolásával kapjuk az adatot, az adat dekódolásával az információt. Az adat objektív, az adat által hordozott információ viszont szubjektív. Az adat információ tartalma függ magától az adattól, a dekódoló személyétıl (pl. az adott nyelv ismerete nélkül az idegen nyelven írt szövegnek nincs információ tartalma), az adat környezetétıl (pl a fog szó mint adat mást jelent nyelvtan órán, és mást a fogászaton). 11

12 A fentiek alapján az információs rendszerekben adatokat rögzítünk, adatokat tárolunk, adatokat dolgozunk fel, és adatokat továbbítunk, de a döntéseket az adatok által hordozott információk alapján hozzuk meg. Az IR összetevıi: A hardver a fizikai eszközök összessége. A hardverhez tartoznak a számítógép részei (központi egység és a perifériák) és a hálózati kommunikációt, az erıforrások megosztását biztosító eszközök. A szoftver a hardver mőködését biztosító programok, illetve tágabban értelmezve a rendszer által kezelt adatok, adatbázisok is. Az emberi erıforrások: az IR elıállításával, fejlesztésével, az IR üzemeltetésével, valamint az IR szolgáltatásainak felhasználásával foglalkozó személyek. Az eljárások, amelyek az IR használatát, szervezését írják le Kulcsfontosságú témák, melyeket az információs rendszer vet fel a vállalkozás számára Az információs rendszereknek a vállalkozásoknál folyó tevékenységeket kell támogatniuk. Ez két fı területen jelenik meg: a termelés kiszolgálásában és a vállalkozás adminisztrációs tevékenységének (pl. könyvelés) támogatásában, a döntéshozatal támogatásában. Ezen területeken belül a tevékenységek a vezetés különbözı szintjeihez köthetık, mint a rövid távú operatív vezetéshez, a középtávú taktikai szinthez, és a jövıre vonatkozó, hosszú távú döntéseket meghozó stratégiai vezetéshez. Ennek megfelelıen az információs rendszerek fıbb szintjei: Üzemeltetési szintő információs rendszerek az operatív, mindennapi tevékenységeket támogatják, a végrehajtáshoz és a vezetés alsó szintjéhez tartozik. A kezelt adatok köre az egyes részterületekre vonatkozik, de az adott terület minden részletére kiterjed. (Például Kovács melyik mőszakban dolgozzon?) A (projekt) menedzsereket kiszolgáló információs rendszer a közép szintő vezetık adminisztrációs, ellenırzı tevékenységét támogatja. Segíti a terv és tény adatok összehasonlításán keresztül a taktikai döntések meghozatalát. Információ igénye tágabb területre vonatkozik, de kevésbé részletezett, mint az operatív szinten. (Például egy mőszakban hány embernek kell dolgoznia?) A stratégiai szinten meghozott döntésekhez a vállalkozás egészét átfogó összevont információkat, valamint a környezetre vonatkozó információkat is szükséges kezelni. A hangsúly az adminisztrációról a döntések helyezıdik át. (Ezen szinten meghozott döntéseknek biztosítania kell a munkaerı megfelelı minıségi és mennyiségi összetételét hosszú távon.) Szakértıi rendszerek egy-egy szakma tudásanyagát foglalja magába, ezzel segítve a szakmát mővelı fejlesztık, felhasználók munkáját. A vezetés több szintjéhez is kapcsolódhat. Emellett napjainkban egyre nagyobb szerepet kap a vállalkozások és a környezetük (partnerek, pénzintézetek, állami szervek, ) közötti elektronikus kapcsolattartás (e- 12

13 kereskedelem, e-bank, e-kormányzat ), amely szintén kapcsolódhat a vezetés összes szintjéhez A szakirodalomban az információs rendszereknek a fentieken kívül számtalan egyéb csoportosítása létezik (pl. korszakok szerint). Hanyecz Lajos: A controlling rendszere, 6. fejezet: Információs rendszerek, oldal Gábor András: Üzleti informatika, 2.3. Az IT rendszerek osztályozása és 2.4. A fıbb IT rendszerek korszakok szerint, oldal 1.3. Az IR funkció megszervezése a vállalkozásoknál Az információs rendszerek menedzselése a vállalkozások számára kiemelt feladatot jelent, hiszen az informatikai infrastruktúrának jelentıs költség igénye van. Ugyanakkor az informatikai szolgáltatások a vállalkozások életében ma már nélkülözhetetlenek. A IR akár rövid idejő leállása is jelentıs veszteségeket okozhat. Nagy vállalkozások esetében az IR fejlesztésével, üzemeltetésével külön szervezeti egység foglalkozik. Ezen szervezet legfontosabb feladatai: Az IR stratégiai tervezése, a tervek kivitelezése, amely kiterjed az információs rendszerek fejezetben leírt összetevıinek tervezésére, fejlesztésére. A kialakított IR mőszaki üzemeltetése, amely a mindennapi tevékenységet foglalja magába. (Rendszer (újra)indítása, rendszerfelügyelet, rendszer karbantartása, hibák feltárása és javítása, informatikai nyilvántartások vezetése, mentések, hozzáférési jogosultságok kezelése, ) A IR költségeinek fedezése, a költségek felosztása az informatikai szolgáltatásokat igénybevevı szervezeti egységek között. Ugyanakkor egy kkv esetében általában egyetlen munkatárs feladata az IR mőködésének biztosítása. Az információs rendszer kialakítása ezen vállalkozásoknál piaci megoldások megvásárlását jelentheti, a saját fejlesztés szinte kizárt. Az üzemeltetés is csak akkor oldható meg saját erıbıl, ha jól képzett rendszergazdánk van. A kkv-k esetében, de sokszor nagyobb vállalkozásoknál is egyre gyakoribb megoldás az informatikai szolgáltatások kiszervezése, amellyel az 1.5. fejezetben foglalkozunk. Külsı szolgáltató igénybevétele esetén vállalkozásunk szakemberé(i)nek a feladata a kapcsolattartás a szolgáltatást nyújtó vállalkozással, illetve a szolgáltatás felügyelete, ellenırzése. Az IR mőködését biztosító szervezet mellett nem szabad megfeledkeznünk az IR szoláltatásait igénybevevı felhasználókról sem. A felhasználói tevékenységet is több csoportba oszthatjuk: Adatrögzítés, ami sok esetben (pl. könyvelés) szakmai ismeretet is igényel, így nem bízható az IR mőködését biztosító szervezetre. Adatfeldolgozás, kimutatások, jelentések készítése (például egy könyvelési rendszerben a fıkönyvi kivonat, a mérleg, az eredménykimutatás, ). Az adatok felhasználása (például bevallások elkészítéséhez, döntések meghozásához). 13

14 1.4. Az IR osztály költségvetése és költségei Az elızı fejezetben megállapítottuk, hogy IR mőködtetését biztosító szervezeti egység, IR osztályról csak nagy vállalatok esetében beszélhetünk. A nagy vállalatok esetében az IR költségét a cég forgalmának 3%-a körül becsüli a szakirodalom. Az IR költségeinek mintegy 20%-a a fejlesztés, és 80% az üzemeltetés költsége. Kkv esetében az IR költsége nehezen meghatározható, hiszen nincs szervezeti egység, amihez köthetnénk. Az informatikai beruházások megtérülésének számítását tovább nehezíti, hogy egy termelési rendszerbe történı beruházással ellentétben az IR esetében nincs, vagy nehezen számszerősíthetı a beruházás hozama. Ráadásul a hozam nem is az informatika területén jelentkezik. Az alábbiakban az IR költség - haszon mérlegelésekor figyelembe veendı fontosabb összetevıket győjtöttük össze. Költség: egyszeri költségek a beruházáshoz kapcsolódóan: o munka környezet kialakítása, o hardver, o szoftver, o személyi jellegő költségek: a beruházásban résztvevı személyek költségei (szervezésben saját erıs megvalósítás esetén a fejlesztık, ), a betanítás költségei, folyamatos költségek - az üzemeltetéshez kapcsolódóan: o az infrastruktúra biztosítása (internet költsége, védelem költségei, ), o az üzemelés fenntartásához szükséges anyagok költségei (karbantartás, adathordozó, papír, ), o személyi jellegő költségek (az üzemeltetık és felhasználók bére és a bér járulékai). Haszon: mérhetı haszon alapvetıen termeléssel, szolgáltatással kapcsolatos informatikai fejlesztéseknél jelentkezik: o bevétel növekedés: új termékek, szolgáltatások megjelenése, jobb minıségő termékek, szolgáltatások, rövidebb teljesítési idı, o költség csökkenés: termelésben jobb kihozatal (kevesebb selejt és hulladék), kevesebb élımunka felhasználása, nem mérhetı haszon: o jobb, gyorsabb kiszolgálás, o új vevı kapcsolatok (pl. e-kerskedelem), o biztonságosabb üzemeltetés. Az informatikai beruházások TCO (Total Cost of Ownership) tervezésekor jelentıs problémát okoz az IR használati idejének meghatározása. Az életciklus hosszának meghatározásakor 14

15 figyelembe vehetjük, hogy a társasági adó törvény számítástechnikai eszközök esetében 3 éves értékcsökkenési leírást határoz meg. Az információs rendszerek költségvetése sokkal egyszerőbbé válik a következı fejezetben vizsgált kiszervezés kapcsán. A kiszervezés mértékének növekedésével az egyszeri költségek csökkennek, a folyamatos költségek pedig fix költséggé alakulnak Hogyan kezeljük az IR kiszervezését A kiszervezés során a vállalkozások bizonyos tevékenységeiket egy külsı szervezetre bízzák, általában azzal az elsıdleges céllal, hogy költség megtakarítást érjenek el Az IR szolgáltató leírása A TCO (Total Cost of Ownership) alacsony szinten tartása minden vállalkozásnak érdeke. Mint azt az 1.4. fejezetben megállapítottuk, az informatikai rendszerek beruházási költségeinek lefaragásában, és az üzemeltetés költségének tervezhetıségében jelenthet megoldást külsı szolgáltató igénybe vétele, az IR kiszervezése. Az informatika területén a legelterjedtebb kiszervezési megoldások: Hosting: a hardver és annak mőködtetéséhez szükséges személyzet bérbe vétele egy külsı szolgáltatótól. Outsourcing (erıforrás kihelyezés): vállalkozások közötti tartós kapcsolat melynek keretében a megbízó vállalkozás az informatikai rendszerének menedzselését egy másik cégre bízza. ASP - Application Service Providing: Komplex, standardizált alkalmazás szolgáltatás igénybevételét jelenti. Az informatikai szolgáltatással kapcsolatos módszertan az ITIL (IT Infrastructure Library IT Infrastruktúra Könyvtár) az angol kormányzat és közigazgatás területérıl elindulva vált irányadóvá világszerte. Erre a módszertanra képzés és nemzetközi vizsgáztatás épül. Magyarországon az MSZ ISO/IEC szabványt kell ebben a témában megemlítenünk. Az ITIL az informatikai szolgáltatásokat két fı csoportba osztja: szolgáltatásbiztosítás: o szolgáltatási szint, amelyet a szolgáltatási megállapodás rögzít, o rendelkezésre állás, o folytonosság, o kapacitásmenedzsment, o pénzügyi elszámolások és szolgáltatástámogatás: o ügyfélszolgálat a kapcsolattartást biztosítja a szolgáltató és az ügyfél között, o incidenskezelés a zavarok elhárításával a normál üzletmenetet állítja helyre, 15

16 o problémakezelés az incidensek okaival, a rendszer hibáinak feltárásával, javításával foglalkozik, o változáskezelés, o konfigurációkezelés oldal Részletesebben kifejtve: Az IR tevékenységei és azok kiszervezése A vállalkozás szinte minden IR tevékenységét kiszervezheti már a fejlesztéstıl elindulva, a rendszer üzembe helyezésén át, a rendszer üzemeltetéséig. Sıt komplex informatikai szolgáltatást vehet igénybe. A kiszervezésnek számos elınye és hátránya van. A kiszervezés néhány elınye: a vállalkozás a fı tevékenységére koncentrálhat, az informatikai feladatokat erre szakosodott szolgáltatóra bízhatja, a szolgáltató a tömeggyártásnak és szakmaiságának köszönhetıen magasabb színvonalon, kisebb fajlagos költséggel képes a szolgáltatást biztosítani, a szolgáltatási megállapodás alapján a szolgáltatás költségei tervezhetıvé válnak, az informatika fejlıdésének követése, a változó igényekhez való alkalmazkodás a szolgáltató feladatává válik, a szolgáltató rendelkezhet megfelelı referenciákkal. A kiszervezés néhány hátránya: kiszolgáltatott helyzetbe kerülhet a szolgáltatást igénybevevı, a szolgáltató a speciális, helyi igényeket kevésbé, vagy csak hosszabb idı alatt képes kielégíteni, mint egy saját informatikai szervezet, informatikai szolgáltatást csak hosszabb távon célszerő igénybe venni, ez viszont a kockázatot növeli, a rövidebb idıtartamra vonatkozó szolgáltatási szerzıdések viszont nem feltétlenül jelentenek költség megtakarítást. a szolgáltató a saját megoldásait preferálhatja. A céljainknak leginkább megfelelı szoftver kiválasztása, a kiszervezendı feladatok körének meghatározása, és a megfelelı szolgáltató melletti döntés nem jelent egyszerő feladatot Hogy kezeljük a szolgáltatót A szolgáltató kezelése folyamatos kapcsolattartással valósul meg. A kapcsolattartás konkrétan azonban nem a két cég között, hanem a vállalkozások alkalmazottai között, a kapcsolattartó személyek közremőködésével valósul meg. A kapcsolattartás szabályait, a kapcsolattartásért felelıs személyeket, a különbözı bejelentések kezelésének módját célszerő a szolgáltatási szerzıdésben, vagy mellékleteiben szabályozni. A kapcsolattartásnak ki kell terjednie a 16

17 szolgáltatás teljesítésének minıségi és mennyiségi ellenırzésére, illetve pénzügyi teljesítés folyamatos egyeztetésére is. Az fejezetben már találkoztunk az ügyfélszolgálattal, mint a szolgáltatásbiztosítás egyik területével. Az ügyfélszolgálatnak egyik fontos fóruma a szolgáltató és a szolgáltatást igénybe vevı vállalkozás közötti kapcsolattartásnak, például egy internet szolgáltató esetében. Ebben az esetben az ügyfélszolgálat mőködtetése teljes egészében a szolgáltató feladata. De az ügyfélszolgálat a szolgáltatást igénybe vevı vállalkozás, és annak ügyfelei közötti kapcsolattartásnak is lehet az eszköze, amennyiben a szolgáltatás keretében errıl állapodunk meg. Ebben az esetben az ügyfélszolgálat technikai hátterét általában a szolgáltató biztosítja, de az ügyfélszolgálatot biztosító munkaerı többnyire a szolgáltatást igénybevevı vállalkozás alkalmazásában áll. Az informatikai szolgáltatót, illetve az általa nyújtott szolgáltatást egyre inkább kezelhetjük úgy is, mint egy közmőszolgáltatót. Ld.: 10.fejezet Közmőszerő IT szolgáltatás, oldal A szolgáltatók kezelésének ciklusa Szolgáltató igénybevétele esetén a tevékenység az alábbi szakaszokra osztható: A megfelelı szolgáltató kiválasztása, sok utánjárást, ellenırzést jelent. A bizalom az egyik legfontosabb tényezı, de emellett jó néhány kérdést feltehetünk a választás elıtt: o milyen a szolgáltató szakmai hozzáértése, szakember gárdája, o milyen a szolgáltató anyagi háttere és ezzel összefüggıen a technikai kapacitása, o a szolgáltató ki tudja-e teljes körően elégíteni az igényeinket a tervezéstıl a mőködtetésig, o a nyújtott szolgáltatás korszerősége megfelelı-e, o a szolgáltatás biztonsága nagyon fontos kérdés, o természetesen a szolgáltatás költsége is jelentıs tényezı, o hol és milyen eredményeket felmutató referenciái vannak a szolgáltatónak. A szolgáltató kiválasztását jelentısen könnyebbé teheti, ha a szolgáltatónak van széles körben elfogadott tanúsítványa, melyet a tanúsítvány kibocsátója folyamatosan kontrollál (pl. MSZ ISO/IEC szabványnak megfelelı). A szolgáltató kiválasztása után mindkét fél elvárásait a lehetı legszélesebb területre vonatkozóan szerzıdésben kell rögzíteni. Szerzıdéskötéskor - többek között - ki kell térni a kockázati elemekre, a felelısségi körök meghatározására. A szabványok és ajánlások itt is nagy segítségünkre lehetnek. A szolgáltatás beindítása sok esetben igényelhet egyedei fejlesztést. De elképzelhetı az is, hogy egy másik ügyfél által már használt szolgáltatás testre szabásával, igényeinkhez igazításával beindítható a szolgáltatás. 17

18 A szolgáltatás mőködtetése, használata során derül ki, hogy a szolgáltató kiválasztásakor, a szerzıdés megkötésekor kellıen körültekintıek voltunk-e. Ha igen, akkor várhatóan hosszú távú, mindkét fél számára megelégedessél szolgáló kapcsolatra számíthatunk Irányítás a kkv-kban: szabályok és eszközök Az informatika és az irányítás kapcsolata kettıs. Egyrészt beszélhetünk az informatika szerepérıl a vállalkozás irányításában, másrészt az informatikai területek irányítását is vizsgálhatjuk. Informatika a vállalkozások irányításában Az IR részvétele a mindennapi munka hatékony irányításában, a stratégiai döntések elıkészítésében, a döntések meghozatalában, a projektek megvalósításában létszükséglet. Az adatok óriási tömege, bonyolultsága és az adatok változásának felgyorsulása miatt IR-t nem használó vállalkozások a gazdasági versenyben biztosan alul maradnak. A vállalat tevékenysége és a tevékenységét kiszolgáló IR stratégiai összhangja elengedhetetlen. Az informatikai területek irányítása a vállalkozásoknál többnyire a gazdasági vezetés alá rendelten történik. Az IR irányítását két szakaszra bonthatjuk: Az IR kialakításának, az IR beruházásoknak az irányítása, amellyel modulunk Projektvezetés fejezete (ld. 3. fejezet) foglalkozik részletesen. Az IR üzemeltetésének, használatának irányítása a mindennapi mőködést, az IR céljának beteljesülését biztosítja. Mivel az informatikai rendszereket a vállalkozások szinte minden szervezeti egysége használja, ezért különösen fontos a megfelelı szabályzatok kialakítása. Az alábbiakban felsorolunk néhány fontosabb szabályzatot, amely az IR hatékony mőködését biztosítja: o a jogosultságok szabályozása, o karbantartás szabályozása, o mentések, archiválások rendje, o hibabejelentések, hibaelhárítás rendje, o bizonylati rend, Külön érdemes megemlíteni az IR biztonságát szabályozó elıírások rendszerét, amellyel az IR biztonsága és kontrollja (ld. 4. fejezet) cím alatt foglakozunk. Az IR irányításának mindkét szakaszában fontos a korábban említett költségvetés elkészítése, és a költségek folyamatos kontrollja. Ez különösen fontos a nagy vállalatoknál, ahol az informatikai szervezet költségeit az IR-t használó szervezetei egységekre osztják fel. 18

19 Ajánlott irodalom az 1. Fejezethez Gábor András és munkatársai: Üzleti informatika (Aula, Budapest, 2007) Homonnay Gábor: Alkalmazási rendszerek (Mőszaki Könyvkiadó, Budapest, 2003) felulvizsgalat_v3.11.pdf fejezet Közmőszerő IT szolgáltatás Ellenırzı feladatok 1. Igaz-hamis Hamis Az adat dekódolt információ. Igaz Az információ szubjektív, az adat objektív. Igaz Az adat rögzített információ. Hamis Az adat információ tartalma csak magától az adattól függ. 2. Igaz-hamis Hamis A leginkább részletekbe menı információs igénye a taktikai vezetésnek van. Igaz A stratégiai vezetés az egész vállalkozásra, sıt a vállalkozás környezetére vonatkozóan is igényel informácikat. Hamis Az operatív vezetés csupán összevont, átfogó információkat igényel. Hamis Az elektronikus kapcsolattartást csak a stratégiai szinten dolgozó vezetık használják. 3. Igaz-hamis Hamis Az IR költségei között az üzemeltetés költsége elhanyagolható a fejlesztési költségei mellett. Hamis Az IR üzemeltetésének csak személyi jellegő költségei vannak. Igaz Az IR hozama nem csak az informatikáért felelıs szervezetnél jelenik meg. Igaz Egy új IR nem mérhetı haszna lehet a biztonságosabb üzemmenet. 4. Mi jelent elınyt egy informatikai szolgáltatás igénybevétele esetén: a szolgáltató magasabb informatikai felkészültsége, magasabb beruházási költség mellett elenyészı üzemeltetési költség, a rendszer fejlesztését a szolgáltatóra bízhatjuk, speciális igényeink kielégítésére azonnal kulcsrakész megoldásokat kapunk. 19

20 5. Egy informatikai szolgáltató kiválasztásánál lényeges szempont: A szolgáltató szerverének földrajzi elhelyezkedése. A szolgáltató rendelkezik informatikai tanúsítvánnyal. A szolgáltató anyagi helyzete stabil. A szolgáltató mióta van jelen a piacon? 6. Igaz-hamis Igaz Az IR üzemeltetésének fontos eleme a mentések szabályozása. Hamis Az IR használatával összefüggı szabályzatok csak az informatikai osztályra tartoznak Hamis Az IR stratégiai jelentısége miatt csak a nagy vállalatok esetében szorul felügyeletre. Hamis Kkv esetén az IR osztály irányítását a gazdasági vezetı látja el. 20

21 2. FEJEZET: AZ IR ALKALMAZÁSA A KKV-KBAN 2.1. Bevezetés Globalizálódó világunkban általános tendencia, hogy a vállalatok igyekeznek üzleti területeik és folyamataik információs rendszerekkel való támogatására. Ennek fı indítéka egyrészt a múltbéli tapasztalatok könnyebb áttekinthetısége és elemezhetısége, másrészt a jövıbeni tervek és döntések biztos megalapozása. Az információs rendszerek bevezetése általában jelentıs pénzügyi terhet ró a vállalkozásokra, különösen a kis- és középvállalkozásokra, ugyanakkor kevésbé bizonyított, hogy az ilyen jellegő beruházás mérhetı elınyökkel jár a hatékonyabb mőködés következtében. Az IR-ek bevezetése a KKV-k számára tehát mindig nagyobb kockázatot jelent, ezért célszerő minden esetben alaposan megvizsgálni, hogy milyen feltételek mellett számíthat egy adott vállalkozás arra, hogy egy adott rendszer bevezetése pozitív változásokat hoz piaci helyzetében. IR-ek kiválasztásakor alapvetıen fontos annak figyelembe vétele, hogy az adott rendszer milyen mértékben illeszkedik az adott szervezethez, ugyanis a szervezeti illeszkedés és a bevezetés sikeressége között szignifikáns a kapcsolat. Érdemes azt az összefüggést is szemmel tartani, hogy ha egy rendszer adaptálási szintje alacsony, akkor a szervezeti illeszkedés fontosabb a sikeresség szempontjából, és fordítva. Ismeretes továbbá, hogy a szervezeti ellenállásnak szignifikánsan negatív hatása van a bevezetés sikerére. Hazai kutatások azt mutatják, hogy a KKV-k menedzsmentje egyformán jelentısnek ítéli a kommunikációs, valamint a magasabb vevıkiszolgálási szint elérésének lehetıségébıl fakadó elınyöket. Fontos szempont továbbá a hatékonyabb munkavégzés, és általában a hatékonyság növekedésébıl fakadó költségcsökkenés. Fentieknél kisebb jelentıséggel bír az e- kereskedelembe való bekapcsolódás lehetısége. Az IR-ek KKV-kban való alkalmazása ugyanakkor általában nem, vagy csak kis mértékben javítja a vállalkozások versenyhelyzetét a nagyobb cégekkel szemben. A KKV-k általában rugalmasabbak, mint nagyobb társaik. A gyors alkalmazkodás számukra a siker egyik legfontosabb záloga. Ugyanakkor ritkán rendelkeznek írott stratégiával, fıképp információs stratégiával. Nyilvánvaló, hogy az IR-ek alkalmazása pozitív hatással bír a vállalati folyamatokra és a versenyhelyzetre, de a stratégiák képlékenysége, vagy hiánya miatt ez a hatás viszonylag nehezen mérhetı, számszerősíthetı. A KKV-k gyors adaptációs képessége azért fontos jellemzı, mert azoké a vállalatoké a jövı, amelyek képesek a változásra, megújulásra, a szervezeti rendszerük és folyamataik újrastrukturálására. E rugalmasságnak a kulcsa pedig épp az informatika. Az operatív és stratégiai tevékenységet integráló információs rendszer képes olyan információt biztosítani, amely erıforrásnak tekinthetı ahhoz, hogy a vállalkozás hatékonyabban vegyen részt a piaci versenyben. Fontos azt is megjegyezni, hogy nem minden KKV-nak van szüksége informatikai beruházásokra a rugalmasság biztosítása érdekében. A munkatársak hozzáállása, a szervezeti felépítés, a vezetıi attitőd sokszor jóval meghatározóbb, mint az IR. A rugalmas információtechnológia általában versenyelıny forrása. Információs technológián értve itt azt a stabil alapot, melyre a vállalat teljes belsı kommunikációja épül. Ez magában 21

22 foglalja a telekommunikációt, a hardver és szoftver parkot, a tárolt adatokat, amelyek egyetlen rendszerbe integrálva biztosítják az információáramlást és feldolgozást. Mindez versenyelınyt akkor jelenthet, ha hozzájárul a vállalat rugalmas mőködéséhez, azaz minden más számítástechnikai normával kompatibilis és támogatja a cég legkülönbözıbb tevékenységeit, hogy a szervezet könnyen kontrollálhassa tevékenységét. Ez a képesség segíti a szervezetet abban, hogy gyorsan és hatékonyan igazodjon a piac változásaihoz és gyorsan reagáljon a konkurencia stratégiai lépéseire is. Magyarországon a KKV-k IR-ekkel való ellátottsága még ma is viszonylag csekély mértékő. A nagy ügyfélkörrel rendelkezı szervezetek hamarabb kényszerülnek IR-ek bevezetésére. A kisebb ügyfélkörrel bíró KKV-k elsısorban a vezetıi információk elérését tekintik az IR-ek bevezetésének elsıdleges céljaként. Minél nagyobb egy cég ügyfélköre, annál jellemzıbb, hogy az IR bevezetésének elsıdleges célja az operatív mőködés támogatása. A menedzsment ilyen esetben elsısorban vevıkiszolgálási elınyöket vár. További fontos aspektusok: - Nagyobb mérető KKV-k számára nagyobb megrázkódtatással jár egy IR bevezetése, ezért több hátrányt érzékelnek a bevezetés során. - Rugalmasabb vállalkozások számára több elınnyel jár az IR bevezetése. - Minél több célja van egy IR bevezetésével egy KKV-nak, általában annál magasabb funkcionalitású rendszert vezet be, ami arányosan növeli piaci helyzetének javulását is. - Említésre méltó az a tendencia is, mely szerint gyakran áll a KKV-k beruházásainak hátterében pusztán a rejtett informatikai versenynek való megfelelési kényszer. Forrás és bıvebb információ: Herdon Miklós, Rózsa Tüne: Az információs rendszerek funkcionális változásai a kis és középvállalkozások szemszögébıl, Fodor Zita: Logisztikai információs rendszerek alkalmazásának hatása a KKV-k versenyképességére, Az információs rendszer mőszaki infrastruktúrája a kkv-kban Az infrastruktúra mőszaki aspektusa Egy információs rendszer mőszaki infrastruktúráját jelenti az alkalmazott harvder és szoftver eszközök összessége, valamint az ezek mőködési és mőködtetési rendjét meghatározó szabályzatok és házirendek. Egy informatikai rendszer mőszaki megvalósítása mindig a vállalkozás céljaihoz igazodik, és alapvetı beruházásnak tekinthetı. Fontos jellemzıi: a rendszer bıvíthetısége, a modularitás, 22

23 az eszközök kompatibilitása a célokhoz mőszaki paramétereiben és költségek tekintetében optimalizált hardver konfigurációk és szoftverek, a célokhoz optimalizált mértékő biztonsági szint megvalósítása hardver és szoftver szinten egyaránt. Az információs rendszer mőszaki infrastruktúráját képezik: Az eszközöket befogadó épületek, irodák, helyiségek. A vállalaton belüli teljes körő kommunikációs hálózat (elektromos hálózat, telefonhálózat és -központ, számítógépes hálózat) Az ezekhez kapcsolódó fı és kisegítı eszközök (serverek, munkaállomások, hálózatvezérlı eszközök, nyomtatók, másolók, faxok, szkenerek, stb.) Fizikai védelmi eszközök (riasztók, beléptetı rendszerek, stb.) Az infrastruktúra egy sematikus modellje KKV esetén: Az IR technológiai követelményei Forrás: Minimalitás: mindent csak egyszer. Az IR terve legyen minimális, azaz minden tényt, döntést, definíciót a terv redundancia-mentesen, csak egyszer tartalmazzon. Mindent a maga helyén: A rendszerterv ne kapcsoljon össze egymástól független szempontok szerinti döntéseket, az egymástól függetlenül mőködı rendszerkomponensek leírásai ne keveredjenek egymással. Automatizálás - a terv és a megvalósítás kényszerkapcsolata. A terv absztrakciós szintjei közötti átmenetek tevékenységeibıl, a papíralapú dokumentáció elıállításából, amit lehet, automatizálni kell. Eszközfüggetlenség: a rendszer különbözı technikai környezetben képes mőködni, ill. az új környezetbe való felkészítése valamely jól körülhatárolható komponensének cseréjére korlátozódik. Hordozhatóság: rendszer változatos környezetben képes mőködni. (többen is); technológiai környezetek közötti hordozhatóság = Eszköz függetlenég Nyitottság: a nyitott rendszer párhuzamosan több szabványt is támogat. 23

24 Az IR hatékonysági és gazdaságossági kritériumai Mivel az IR tartósan valósághő képe az alkalmazási területnek és hasznos információkat szolgáltat, az is fontos, hogy ezt megbízhatóan, megfelelı hatékonysággal és gazdaságosan tegye. Megfelelı teljesítmény és kapacitás: HWnek alkalmasnak kell lennie a ténylegesen elıforduló adatvolumenek kezelésére és meghatározott számú felhasználó egyidejő kiszolgálására elfogadható válaszidıvel. Méretezhetıség: Különbözı mérető szervezethez való illeszthetı, és változatos terhelés mellett is teljesíthetı legyen. Üzembiztonság: A hardvernek alkalmasnak kell lennie meghibásodás nélküli huzamos üzemelésre, rendelkezésre állásra és meghibásodás, adatvesztés esetén az eredeti állapot elfogadható idın belüli helyreállítására. Megbízhatóság: Tartalmi szempontból az adatok alkalmazhatósága. Technikai szempontból: A hardvernek alkalmasnak kell lennie az adatok illetéktelen elérés és felhasználás, véletlen torzulás vagy szándékos rongálás elleni védelmére; csalás vagy más illetéktelen felhasználás megelızésére. Felhasználóbarát környezet: Legyen alkalmas a kommunikáció, az adatbevitel, a riportok felhasználóbarát módon való lebonyolítására. Gazdaságosság: Az eredményes fejlesztés, a színvonalas szolgáltatás, a megfelelı szintő teljesítés, az üzem- és adatbiztonság költséges erıforrásokat feltételeznek. Ára van az aktuális adatok idıben való rendelkezésre állásának, felhasználói igények idın belüli kiszolgálásának is. Fıbb költségek: fejlesztési, üzemeltetési, rezsi, felhasználói (képzés, adatelıkészítés). Ezek optimális szinten tartása szintén fontos kritérium A szoftver alkalmazás térképe Egy vállalat különbözı ügyviteli területeinek, üzleti folyamatainak számítógépes alkalmazásokkal való támogatása ma már a kisvállalkozások esetében is elképzelhetetlen. A különbözı ügyviteli területek ad-hoc jellegő, összehangolatlan szoftverellátása hosszú távon lehetetleníti el a hatékony belsı és külsı információcserét. Amennyiben a lehetıség adott rá, célszerő az egymással logikai és információs kapcsolatban álló üzleti területek és folyamatok támogatására azonos gyártó (vagy fejlesztı), moduláris felépítéső és kapcsolódású, hálózatos rendszerét választani. Ez a megoldás viszonylag kevés modul esetén is gazdaságosabb, hatékonyabb, az adatforgalmazás szempontjából egyértelmően ésszerőbb megoldás. Ebben az esetben egy (vagy több) vállalati kiszolgáló gép tárolja egy jól szervezett adatbázisban, vagy adattárházban a vállalatnál keletkezı, a kapcsolódó modulok által használt és kezelt valamennyi adatot. E tárházból minden ügyviteli terület csak a saját igényeinek megfelelı adatmennyiséget látja és kezeli. Megfelelı házirend és jogosultsági hierarchia kialakítása természetesen mindenképp szükséges. A jól szervezett központi adatbázisra csatlakozik rá tulajdonképpen az összes gazdálkodási folyamat, egy integrált vállalatirányítási rendszerré összeállva. A fenti koncepció nyilvánvalóan a hardver és szoftver eszközök szoros összhangját is jelenti. Megfelelı stratégia, ha az alkalmazni kívánt szoftveres megoldásokhoz választjuk meg az optimális hardver infrastruktúrát, nem pedig fordítva. 24

25 Az alábbi ábra egy tipikus integrált vállalati rendszer sematikus modellje: Forrás: Hogyan válasszunk nyílt rendszerek és az egyedi fejlesztésőek között? Alapvetıen eldöntendı kérdés, hogy dobozos (gyári) szoftvert választunk, vagy egyedi fejlesztéső rendszert alkalmazunk. Noha az egyedi fejlesztéső szoftverek többnyire költségtakarékosabb beruházások, ugyanakkor a fokozatos bevezetés és a tesztelési idıszak általában jóval több idıt és költséget felemészt, mint dobozos társaik esetén. Az egyéni fejlesztéső szoftverek esetén általában az utógondozás és támogatás kockázata is magasabb. A gyári megoldások esetén még mindig több lehetıség mellett dönthetünk általában: - Az önállóan telepíthetı és mőködtethetı szoftverek mellett gyakran találkozunk - A szoftver bérlet / lízing különbözı megoldásaival. Ebben az esetben általában a rendszer folyamatos támogatása is része a bérletnek, csökkentve a mőködési kockázatviselés terhét a felhasználói oldalon. Másik alapkérdés gyári szoftver alkalmazása esetén, hogy zárt vagy nyílt rendszer mellett döntsünk. 25

26 A szoftver kiválasztását befolyásoló fıbb tényezık: - A szoftver elterjedtsége: minél több cég használja az adott rendszert, annál kisebb a választás kockázata. Egy jól ismert rendszer nem csupán a szállító által a rendszerbe integrált tapasztalati tıkéje révén jelent elınyt. Egy jó nevő gyártó szoftverének alkalmazása a cég ügyfélkörében is növelik a cég iránti bizalmat. - A szoftvert szállító cég háttere, múltja referenciái, s hogy milyen rendszertámogatást tud nyújtani a választott szoftverhez. - A rendszer testreszabhatósága, paraméterezhetısége. - A rendszer képességei, kompatibilitása, továbbfejleszthetısége. A jó választás ismérve a várható költségek és a várható kockázatok optimális arányának megválasztása. A szerzıi jogilag védett, zárt forráskódú, kereskedelmi, védjegyoltalom alá esı licencekkel szemben a szabad licenc a szoftver szabad felhasználhatóságát garantáló licencszerzıdési forma. Ennek megfelelıen szabad szoftver az, amit bárki, bárhol jelentıs korlátozások nélkül: - futtathat; - tanulmányozhatja mőködését, - másolhat, és a másolatokat közzéteheti, terjesztheti, - módosíthat, és a módosított változatokat közzéteheti, terjesztheti Mindezen engedélyek gyakorlásának elıfeltétele a szoftver forráskódjának elérhetısége. A szabad nem feltétlenül jelent ingyenest. Ezek árusítása, továbbértékesítése megengedett. Az egyetlen feltétel, hogy a fenti négy alapjogot garantálja vevıi számra. A szabad szoftver engedélyek fı típusai: - Közkincs A közkincsként (public domain) kiadott forráskód a legtágabb értelemben vett szabad szoftver, mivel semmiféle engedélyhez nem kötıdik a felhasználása. - Copyleft Ez tényleges licenc, mely elıírja a licenc megırzését a módosított változatokban is, ez által garantálva, hogy a szoftver módosított változatai is szabad szoftverek maradjanak. Az OSD (Open Source Definition), vagyis a nyílt forráskódú szoftverek definíciója értelmében a nyílt forrású szoftvereknek meg kell felelniük az alábbi követelményeknek: - szabad terjeszthetıség - a forráskód elérhetısége - származtatott mővek létrehozásának engedélyezése - a szerzı forráskódja sértetlenségének biztosítása - személyek vagy csoportok megkülönböztetésének tilalma - különbözı felhasználási területek megkülönböztetésének tilalma - a licenc terjeszthetısége - a licenc nem vonatkozhat kizárólag egy termékre - a licenc nem korlátozhat más szoftvert - a licencnek technológia semlegesnek kell lennie. 26

27 Az értelmezési és szóhasználatbeli eltérések feloldására 2001-tıl használatos a FLOSS (Free/Libre/Open Source Software) kifejezés, mely a szabadságot és a nyílt forráskódot is kellıképpen hangsúlyozza a megnevezésben, rámutatva, hogy lényegi különbség nincs a szabad és a nyílt forráskódú szoftverek között. Noha a FLOSS szoftverek szervize és támogatása általában gyengébb, ugyanakkor a kód betekinthetısége miatt nagyobb bizalommal alkalmazzák ıket. Napjainkban egyre nagyobb az igény, és a kínálat is a FLOSS szoftverek piacán, s nem csak a vállalati, hanem a közigazgatási szférában is egyre nagyobb elıszeretettel alkalmaznak ilyen típusú rendszereket Az IR döntéstámogatási alkalmazása Ha információs rendszert tervezünk, akkor nem mindegy, hogy a vállalati hierarchia mely szintjén található az a vezetı, aki a rendszert használni fogja. A menedzserek információigénye ugyanis különbözik az egyes szinteken. A vezetıi, illetve a hozzájuk kapcsolódó döntési szinteknek az elméletét Robert N. Antony dolgozta ki az 1960-as években. Mint az az ábrán jól látható a menedzserek a vállalati hierarchia három szintjén találhatók: az alsó vezetés, vagyis az operatív, a középvezetés, azaz a taktikai, és a felsı vezetés, azaz a stratégiai döntések szintjén. Az IR célja a hagyományos felfogás szerint az Anthony-piramis kiszolgálása. A három szint feladata: Az adatok fogadása, tárolása, kezelése és tovább-feldolgozásra való elıkészítése az operatív szinten történik. Az itt igényelt információk nagyon részletesek, mivel a napi mőködésre vonatkoznak. Legfontosabb forrásként a tranzakciós adatok (bizonylatok) szolgálnak A következı, ún. taktikai szinten zajlik az adatok tovább-feldolgozása és hasznosítása, valamint az adatok elıkészítése felsıvezetıi döntéshozatalra középvezetıi körben. Ez az ún. taktikai szint. Az itt szükséges információk az erıforrásokra (bérköltség, anyagköltség, stb.) vonatkoznak. Az ellenırzés abból áll, hogy a tényadatokat összevetjük a tervvel. A rendszernek el kell tudnia végezni a tervezést, mérést, összehasonlítást és ellenırizni külön-külön minden szervezeti egységre / profitcenterre. Erre épül a menedzsment által használt stratégia szint, mely a gyakorlatban az IR egy moduljaként valósul meg, s mely a stratégia döntések meghozatalához igyekszik információt szolgáltatni. figyelmének középpontjában azok a döntések állnak, amikkel a szervezet hosszú távon megalapozhatja a környezetébe való megfelelı beilleszkedést (célkitőzések, a mőködés nagyságrendje). Mindehhez a vállalat belsı adottságain túl a környezet alapos és annak jövıbeli tendenciáira, veszélyeire is kiterjedı ismeret szükséges. Az IR feladata: begyőjteni a szükséges adatokat külsı és a belsı forrásokból, azért hogy a stratégiák értékelhetık legyenek; s hogy az elfogadott stratégiák végrehajtása, nyomon követése, módosítása megtörténhessen. 27

28 Stratégiai szint Terv Felsıvezetés Taktikai szint Döntés Döntési adatok Döntés-elıkészítık Funkcionális középvezetık Operatív szint Mőködési adatok Végrehajtók, Operatív vezetık A piramis értelmezhetı a vállalat döntéshozatali sémájaként, de éppúgy az adatfeldolgozás lépcsıfokaiként is (Adat Információ Tudás), amint az alábbi ábra szemlélteti: A különbözı IR-ek egymásra épülését pedig az alábbi struktúra szemlélteti, a piramis-elvnek megfelelıen: 28

29 Forrás: Herdon M.: Információs rendszerek Az egyes IR-ek jelentése: OAS: Irodaautomatizálási Rendszerek (Office Automation System) Az ábrán nincs feltüntetve, mert ezek a rendszerek a piramis minden szintjén használatosak, mintegy a többi rendszer hátterét képezve. Szokásos irodai feladatok, szövegszerkesztés, táblázatkezelés, , telefax, képfeldolgozás, kiadványszerkesztés automatizálása Az ügyviteli folyamatok integrálása és menedzselése TPS: Tranzakció-feldolgozó rendszerek (Transaction Processing System) Informatikai alkalmazások, amelyek a szervezetre ható külsı-belsı eseményeket és a szervezet objektumain végbemenı változásokat nyomon követik és nyilvántartják. Magja egy adatbázis. A magasabb szintő rendszerek adatbázisaként is szolgál. Napi üzletmenettel kapcsolatos adatok győjtése és tárolása, Napi üzleti események felügyelete (számlák, eladások, bérkifizetések, megrendelések, anyagvásárlások, stb.) MIS: Vezetıi információs rendszerek (Management Information System) Alkalmasak a tranzakció-feldolgozó rendszerek által szolgáltatott adatokból szőréssel, rendezéssel szőkíteni az adathalmazt a taktikai irányítás szintjén levı vezetık igénye szerint. Esetleg tovább feldolgozzák azokat (táblázatok, összehasonlítások.) Fıként operatív, esetleg taktikai szinten hatékony eszközök. Elıre definiált jelentéseket készít rendszeres idıközönként, igény szerint, vagy különleges események bekövetkeztekor A vezetık információigényére összpontosít 29

30 Jól meghatározott, strukturált problémák megoldásához nyújt segítséget DSS: Döntéstámogató rendszerek (Decision Support System) Fıleg taktikai szinten hatékony eszközök. A MIS természetes továbbfejlesztése Egy adott problémára koncentrál Interaktivitást, ad hoc lekérdezéseket tesz lehetıvé Félig, vagy egyáltalán nem strukturált problémák megoldásában segít Modellalkotási és problémaanalizáló képességekkel rendelkezik GDSS: Csoportos döntéstámogató rendszerek (Group Decision Support System) A DSS továbbfejlesztése, amely kisebb csoport által közösen meghozott döntéseket támogat Nagy hangsúly van a kommunikáción: , közös hozzáféréső állományok, videokonferencia lehetısége EIS: Felsıvezetıi információs rendszerek (Executive Information System) Legfelsı vezetıi réteg igényeit elégíti ki. Összegzett, grafikus, a legfontosabb tényezıkre koncentráló információt nyújt, de lehetıséget ad a részletek megtekintésére is Döntést nem hoz, csak az annak meghozatalához szükséges információval látja el a vezetıt. Könnyen kezelhetı, felhasználóbarát ES: Szakértıi rendszerek (Expert System) A szakértıi rendszerek kissé kilógnak a sorból, mivel egyrészt egy másik fejlıdési irányvonalat képviselnek, másrészt a piramis minden szintjén igénybe vehetjük segítségüket. Speciális, szők szakterületen hoz döntést, vagy javasol megoldást olyan nem strukturált problémák megoldására, melyeket különben magas szakmai felkészültségő szakértıkre bíznánk A mesterséges intelligenciák egy speciális felhasználási területe Tényeket és szabályokat tárol, és ezek alapján következtetéseket von le ESS: Felsıvezetıi döntéseket támogató rendszerek (Executive Support System) Nem minden felosztásban megjelenı kategória, amely valójában bizonyos funkciókkal kibıvített EIS-t takar. A hagyományos EIS funkciókon kívül tartalmaz analitikus, modellezési képességeket (DSS), esetleg mesterséges intelligenciát és szakértıi képességeket (ES), valamint kommunikációs lehetıségeket (GDSS) is Felsıvezetıi információs rendszer (EIS) Az IR-ek elızıekben ismertetett hierarchikus rendszerén belül az EIS a felsı vezetıi döntéshozatalát támogató rendszerek kategóriája. E rendszerek jellemzése elıtt ezért mindenképp szükséges magának a döntéshozatali folyamatnak az áttekintése. 30

31 A döntéshozatali folyamattal kapcsolatos alapismeretek Forrás és bıvebb információ: A menedzserek munkája nem más, mint döntések sorozata. A döntések információra van szükség. Annak megállapításához, hogy pontosan milyen információ szükséges, tudnunk kell, hogy mi az a döntéshozatal és mik a legfontosabb lépései. A döntéshozatal olyan folyamat, amelynek során különbözı cselekvési alternatívákat dolgozunk ki, majd választunk egyet ezek közül bizonyos cél vagy célok elérése érdekében. Herbert A. Simon Nobel-díjas közgazdász három lépésre osztotta a döntéshozatal folyamatát: 1. feladat meghatározása és adatgyőjtés, 2. tervezés, 3. választás. Az azóta megjelent tanulmányok nagy része ezt annyiban egészítette ki, hogy a döntési folyamathoz kapcsolta a 4. megvalósítás, kivitelezés szakaszát is. Fontos, hogy minden szintnek megvan a maga információigénye, és bármely szintrıl vissza lehet lépni egy korábbira, amennyiben az elızı fázisok eredményeivel elégedetlenek vagyunk. A feladat-meghatározás és adatgyőjtés szakaszában a menedzsernek fel kell ismernie, hogy a probléma egyáltalán létezik, azaz látnia kell a problémás és a problémamentes helyzetek közötti különbségeket. Ebben nagy mértékben segítheti egy olyan információs rendszer, amely folyamatosan figyeli a környezetet, és rendszeres jelentésekkel, a kivételes esetekre való figyelmeztetéssel vagy ad-hoc lekérdezésekkel áll a vezetı rendelkezésére. A tervezés fázisában különbözı cselekvési alternatívák kidolgozása és elemzése történik. A számítógépes rendszernek itt modellezési funkciója van, azaz segít az egyes alternatívák hatékonyságának vizsgálatában, összehasonlításában. A harmadik lépés, azaz a választás magától értetıdınek tőnik, ha az egyes lehetıségeket már minden szempontból elemeztük és összehasonlítottuk. A gyakorlatban a legritkább esetben 31

32 van arra lehetıség, hogy egy problémánál az összes feltételt figyelembe vegyük, és az összes számításba jövı megoldást elemezzük. Erre sem az anyagi eszközök, sem az idıkeret nem elegendı. Ilyenkor a menedzser a meglévı információk alapján hozza meg a döntést, amely szinte mindig tartalmaz valamekkora bizonytalanságot, kiszámíthatatlanságot. A számítógépes rendszernek összegzett információt kell szolgáltatnia az egyes alternatívák fı jellemzıirıl, segítve azok összehasonlítását és egy sorrend felállítását közöttük. Az utolsó feladat a döntés kivitelezése, megvalósítása a gyakorlatban. Az információs rendszer ebben a fázisban fontos segítséget nyújthat a döntés sikerének vagy sikertelenségének megítélésében azzal, hogy visszacsatolást nyújt a menedzsernek. Ha a döntés nem hozza meg a kívánt eredményt, egy korábbi fázisra szükséges visszaugrani, és új döntést kell hozni. A döntéshozatal folyamatában nagyon fontos szerepe van a cél döntés információ hármasságnak és ezek kapcsolatának. A döntéseket mindig az adott célok határozzák meg, a döntések pedig befolyásolják az információszükségletet. Az információ minısége A döntéshozatalhoz információra van szükség. Az információ minıségét leginkább befolyásoló kritériumok: Releváns: vagyis a tárgyhoz tartozó. Hasznos és fontos az adott döntés meghozatala szempontjából és javítja annak minıségét. Idıszerő: A döntéshozatalhoz felhasznált információ ne legyen elavult. Bizonyos problémáknál ez naprakész adatokat jelent, vannak azonban olyan esetek, ahol a régebbi információ is lehet idıszerő. Pontos: A döntéshozatalhoz felhasznált információ legyen pontos, vagyis hibamentes. Ha ez nem lehetséges, egy elfogadható hibahatáron belül kell azokat tartani. Ellenırizhetı: Fontos, hogy az információ pontosságáról meg tudjunk gyızıdni, ellenırizni tudjuk azt. Ezt egyrészt megtehetjük úgy, hogy olyan információval hasonlítjuk össze, melyrıl tudjuk, hogy pontos. A másik módszer a nyomkövetés, amikor az összegzett információt visszavezetjük az eredeti, részletes adatra, vagy a részletes adatot követjük addig, amíg összegzett információ lesz belıle. Teljes: A teljesség azt jelenti, hogy beszerezzünk minden olyan információt, melyre a döntéshez szükségünk van. Ügyelni kell a felesleges dolgok kiszőrésére. A döntéshozó számára a túl sok információ éppen olyan káros, mint a túl kevés. Könnyen érthetı: Manapság egyre fontosabb, hogy az információ ne csak tartalmában, hanem formájában is megfelelı legyen. Úgy kell tálalnunk, hogy világos, jól érthetı, könnyen áttekinthetı és vonzó legyen a felhasználó számára. A táblázatos, grafikus megjelenítés nagyban segítheti ezeknek a szempontoknak az érvényre juttatását. 32

33 Döntési típusok Szintén Herbert A. Simontól származik az a felosztás, amely a döntéseket két csoportba sorolja. Ezek szerint vannak strukturált, vagy más néven programozható, és nem strukturált, azaz nem programozható döntések. Strukturált döntés esetén a probléma pontosan meghatározott, jól definiált, a probléma megoldója érti az összefüggéseket és tudja, hogy mivel áll szemben. Ilyenkor a megoldás elıre lefektetett szabályok közé szorítható, algoritmizálható. Egyértelmően megadhatjuk, hogy bizonyos feltételek teljesülése esetén mik a követendı lépések. Amennyiben rendelkezünk a megfelelı információkkal, a döntés már automatikusan következik. Strukturált döntések meghozatalára akár a számítógép is képes, melynek következtében emberi erıforrások szabadulhatnak fel. Példaként lehet említeni a kimerülıben lévı raktárkészletek utánrendelését, amely a kritikus készletértékek és az ésszerő rendelendı mennyiségek ismeretében automatikusan is történhet. Nem strukturált döntés esetén maga a probléma sem mindig jól definiált, a döntéshozó nem látja azt át teljesen, nincs tisztában minden összefüggéssel. A megoldás lépései ilyenkor nem határozhatók meg elıre, sokszor ötletszerőek, változó feltételektıl függenek. A túl sok ismeretlen tényezı és kölcsönhatás miatt ezek a problémák feltétlenül emberi döntést igényelnek, a számítógép nem képes helyettesíteni a döntéshozót. Nem strukturált döntést igényel például egy adott munkára az önéletrajzok és interjúk alapján egyaránt alkalmasnak tartott jelentkezık közül választani, vagy egy legfelsıbb vezetı számára egy új üzleti tervet elkészíteni. A gyakorlatban elıforduló döntések nagy része az elıbbiekben ismertetett mindkét típus jegyeit magán hordozza, a kettı között helyezkedik el. Az ilyen döntéseket félig strukturált döntéseknek hívjuk. Ezekben az esetekben a probléma bizonyos részletei jól meghatározhatók és algoritmizálhatók, míg más részei bizonytalanok, nem igazán átláthatóak. Egy új termék piaci bevezetésénél például a piaci helyzet, a kereslet és kínálat viszonya, valamint a konkurencia jelenléte elıre jól felmérhetık, a vásárlóközönség reagálása, szimpátiája vagy elutasítása azonban nem számítható ki elıre. Egy felsı vezetı döntéseinek nagy része nem strukturált, míg az alsóbb szinteken a nagyobb strukturáltság jellemzı. Döntési szintek és információigényük A korábbi fejezetben megismert Anthony piramishoz kapcsolódóan elmondhatjuk, hogy a stratégiai szintet a nem strukturált, a taktikai szintet a félig strukturált, míg az operatív szintet a strukturált döntések jellemzik. Valamennyi döntési szint az adatfeldolgozás szintjére támaszkodik, amely maga nem döntési szint, csak a szükséges információt szolgáltatja a rá épülı többi réteg számára. Felsıvezetıi információs rendszer (EIS) alkalmazása KKV körben gyakran túl költséges megoldás. Ezért nem szabad megfeledkezni arról, hogy a gyakorlatban a legegyszerőbb eszközöket is (pl. táblázatkezelı) használhatjuk teljesítmény-indikátorok gyanánt. 33

34 Alkalmazási példák A modern, integrált EIS / BI rendszerek háromrétegő vállalati információs modellt valósítanak meg: A fizikai réteg egy heterogén vállalati infrastruktúra gyakorlatilag tetszıleges adatforrásához képes csatlakozni. Az üzleti modell rétegben a csatlakoztatott fizikai források közötti egyszerősített logikai összefüggéseket és hierarchiákat definiálhatunk, felépítve az üzleti modellt. A prezentációs réteg az, amit a végfelhasználó lát a rendszerbıl. Ide csatlakoztatjuk kategorikus bontásban az üzleti modell azon elemeit, üzleti fogalmait, amelyekkel a felhasználó ténylegesen dolgozni fog és elemzéseket végez. E rendszer fıbb jellemzıi általában: Integrált, magas szintő, beépített elemzı eszközök Szinkronizált pénzügyi és mőködési tervezıfolyamatok Integráció a Microsoft Office alkalmazásokkal Egyszerősített webes felület Méretezhetı architektúra Nagyfokú adatintegráció A piac vezetı szoftvergyártóinak kurrens megoldásai közül két kiragadott példa: Oracle Hyperion pénzügyi irányítási rendszer (Hyperion Planing) Az Oracle Hyperion Planning egy olyan központosított, MS Excel alkalmazással integrált, web alapú megoldás, amely támogatja a tervalku, a terv elemzés és a gördülı tervezés folyamatát. Hatékonyan integrálja a pénzügyi, valamint a mőködéshez kapcsolódó tervezési folyamatokat. A pénzügyi és üzemviteli tervezımodulok szoros integrációja révén részletes betekintést nyújt az üzleti mőveletekbe és azok pénzügyi hatásaiba. Magas szinten kielégíti a közvetlen pénzügyi tervezıi igényeket. (Bıvebben: és an.fs.pdf?mod=ajperes ) SAP Business Objects Az SAP BusinessObjects megoldásai elısegítik az információk és a cselekvés között fennálló kapcsolat erısítését. A szoftver újraértelmezi az információ szerepét, és nagyszerő rálátást enged a vállalat folyamataira, egyetlen, megbízható és intelligens platformon keresztül. (Bıvebben: FCA ) 34

35 Szakértıi rendszer A szakértıi rendszerek (Expert System) számítógépesített tanácsadó programrendszerek, amelyek megkísérlik utánozni vagy helyettesíteni a szakértı következtetési folyamatait és tudását a feladatok speciális típusainál. Ennek megfelelıen a szakértıi rendszerek, vagy más néven tudásalapú rendszerek tartalmaznak egyrészt egy beépített általában feladat-specifikus tudást, ugyanakkor rendelkeznek bizonyos elemzı képességekkel. A szakértıi rendszerek adat- illetve tudásbázisának konkrét megvalósítása esetén a legnehezebb feladat olyan embert találni, akinek szakértelmét beépíthetjük a rendszerbe. A szekértı rendszerek jellemzıi: Hasonlójavaslatokat képes tenni, mint egy emberi szakértı (mivel eleve emberi tudáson alapszik a tudása) Speciális ismeretekkel rendelkezik (mivel erre tanítottuk meg ) Intelligens párbeszédre képes Partnere a felhasználónak, mindkét fél kezdeményezhet beszélgetést Kérdéseit magyarázza, következtetéseit indokolja Szimbolikus információkat tárol, ezen információkat heurisztikus módszerekkel dolgozza fel A szakértı rendszerek alkalmazásának elınyei: Növeli a munka hatékonyságát: o Kevesebb idı o Kevesebb ember o Kevesebb hibás döntés Tudásuk mindig elérhetı Tudásuk egyszerően és olcsón többszörösíthetı Elvárásaink: Adjon javaslatot Egyenrangú fél legyen a társalgásban o Tegyen fel kérdéseket o Magyarázza meg a kérdéseit o Indokolja meg a válaszait Bizonytalan helyzetekben is adjon elfogadható javaslatot Elmondhatjuk, hogy minél általánosabb célú egy szakértı rendszer, annál gyengébb a teljesítménye konkrét feladatok megoldása esetén. Másrészt kimondhatjuk azt is, hogy egy ilyen rendszer erıssége elsısorban a benne tárolt ismeretanyag minıségétıl és mennyiségétıl függ. 35

36 Egy szakértıi rendszer felépítésének sematikus ábrája: Felhasználó Felhasználói felület Magyarázó rendszer Következtetı motor Tudásbázis-szerkesztı Esetspecifikus adatok Tudásbázis Az ábrán a körülhatárolt rész jelenti a rendszer burkát. Az egyes modulok jelentés röviden a következı: Tudásbázis: tények, kapcsolatok, heurisztikák, szabályok, vezérlési ismeretek Következtetı motor: megoldáskeresı stratégia implementált változata Magyarázó alrendszer: megmagyarázza a kérdéseket valamint a javaslatokat Tudásbázis-szerkesztı: az ismeretbázis megépítéséhez, teszteléséhez és módosításához nyújt segítséget Felhasználói felület: felhasználóbarát lehetıséget nyújt az ember-gép párbeszédhez Eset-specifikus adatok: tárgyköri ismeretek ES alkalmazásának elınyei Pótolják a szakértıhiányt elérhetı áron terjesztik a szakértı ismereteit Jól követik a tárgyterület változásait (az ismeretbázist könnyő módosítani) Fokozzák a szakértı produktivitását Megırzik a szakértelmet Mindig következetesek a tanácsadásban (nincsenek emocionális tényezık) Állandóan rendelkezésre áll Részleges és nem-teljes adatokkal is tudnak dolgozni Képesek megindokolni az eredményt ES alkalmazásának hátrányai Ismereteik egy adott szők tárgyterületrıl származnak Válaszaik nem mindig helyesek (mindig egyéni megfontolást igényel a kapott javaslat) Nincs saját gondolkodási képességük ( józanságuk ) Az ismeretszerzés bonyolult folyamat A fejlesztés éveket is igénybe vehet Fıbb alkalmazási területek: Gazdasági döntéshozatal (tender-értékelés) Orvosi diagnosztika (tünetelemzés) Mőszaki diagnosztika (hibaelemzés) 36

37 Erımővi, közlekedésbiztonsági rendszerek Geológia (kızetelemzés) Hadi ipar Matematika Példák önálló ES alkalmazásokra: FASTrakAPT lakásfelújítás tervezı eszköz Crew_NS vasúti dolgozók beosztását ütemezı rendszer Rail Train Scheduler termékcsomagolást tervezı és ütemezı rendszer Forrás: Tudásmenedzsment Az adat információ tudás piramisról már volt szó a 2.3 fejezetben. A tudás a piramis csúcsát képezi. Amivel a tudás több, mint szimpla tájékozottság, az a tapasztalat, szakértelem, az áttekintés és az elemzés képessége, intelligencia, értékrend, döntési és cselekvési minták, intuíció, és sorolhatnánk. A tudás lényegi ismérve, hogy "nehéz explicitté tenni, rögzíteni és továbbadni... A tudás forrása az ember a maga összetettségével és kiszámíthatatlanságával." (Bıgel) Megkülönböztetjük a személyes tudást a kisebb-nagyobb csoportok, illetve szervezetek szellemi kapacitásától. A tudástıke, mint kifejezés azt tükrözi, hogy a vállalati vagyonnak egyik értékes, ha nem a legértékesebb elemérıl van szó. Egy cég tudástıkéje három összetevıbıl áll: a piaci kapcsolatok tıkéje, az ún. strukturális tıke és az emberi tıke. Magyarázatképp: a strukturális tıke mindazt magában foglalja, ami az alkalmazottak távozása után is megmarad, például a szervezeti felépítést, az információs rendszereket, a szabadalmakat. Az emberi tıke a dolgozók ismereteibıl, készségeibıl, tudásából tevıdik össze és a munkatársak távozása után elvész a vállalat számára. A tudásmenedzsment: az intézményi szellemi tıke növelését célzó törekvések összessége. Egész egyszerően: képesség a hatékony cselekvésre. Ami a tudásmenedzsmentet megkülönbözteti az eredményes információkezeléstıl, az az új tudás létrehozásának bátorítása és a meglévı tudás alkalmazásának ösztönzése. Tudásmenedzsment a gyakorlatban A különbözı tudásmenedzsment-projektek szokásos menetrendje a következı: Helyzetfelmérés, a tudásvagyon feltérképezése, hogy feltárjuk, mit is tudunk valójában. Az intézményi tudást könnyen elérhetıvé tenni az érdekeltek és érintettek számára. 37

38 Bátorítsuk a tudás megosztását, a kimondatlan tudás kifejezését. Ösztönözzük az új tudás létrehozását, a szellemi tıke jobb kihasználását. És természetesen egy ilyen projektbe is csak akkor érdemes belekezdeni, ha az jól meghatározott üzleti célhoz kapcsolódik, és élvezi a felsıvezetık támogatását. Egy vállalati tudásbázis, mint rendszer, sokszor mindössze egy Intranet és egy hozzá kapcsolódó adatbázis, a megfelelı jogosultsági hierarchia mellett. Az Intranetek második generációját már maguk a használók építik, így a publikálásban nem szők keresztmetszet a webmester személye. Az intranetek hozzákapcsolódhatnak a többi vállalati rendszerhez, a dokumentumkezelıtıl az ERP-ig. Ugyanakkor nem adat-, hanem "tudásközpontúak" és nem is feltétlenül szigorúan strukturáltak. A lelkük egy hatékony keresıszoftver. Álljon itt néhány példa tudásmenedzsment keretrendszerekre vonatkozóan: Wildom Aztec Portal alapfunkciói a következık: online csoportmunka, dokumentum nyilvántartás, komplex keresés és böngészés. Közepes szervezetek induló intranet portál alkalmazása. Microsoft Sharepoint Portal Server olyan tudásmenedzsment keretrendszer, mely fejlett Microsoft Office integrációt valósít meg, magas szinten támogatva ez által a tudásmenedzsmentet: csoportmunka, dokumentumtár, dokumentumkezelés és keresés funkciók. Plumtree Enterprise Portal olyan tudásmenedzsment keretrendszer, amely magas szintő alkalmazás-integrációs képességgel rendelkezik, miközben kiemelkedı az online csoportmunka, az online kollaboráció és az indexelés, keresés, ügykövetés területeken. Komplex tudásmenedzsment rendszer alapja lehet. Oracle IAS - olyan tudásmenedzsment keretrendszer, amelynek Oracle integrációs képességei egyedülállóan hatékonyak, így a speciálisan hozzáillesztett fórum, csoportmunka, dokumentumtár és keresési indexelési portletek stabil alkalmazást eredményeznek. Forrás és bıvebb információ: Sándori Zsuzsanna: Mi a tudásmenedzsment, Üzleti intelligencia A tudás tıke egyre fontosabb szerepet játszik a vállalatok sikerében, és egyben döntı tényezıje egy vállalat értékrendjének is. Egyes kutatások szerint a világon rendelkezésre álló adatok évrıl évre megduplázódnak. Paradox módon azonban az ezen adathalmazban megjelenı információ mennyisége csökken. Az üzleti döntéshozók összefüggı üzleti információhalmazt keresnek, melyet azonnal használhatnak. Ezzel szemben az egységes, összefüggı információt nyújtó adatok gyakran más-más helyeken találhatók (saját rendszerünkön, az Interneten, közszolgáltató portálokon, stb.), és ráadásul más és más módszerekkel lehet tárolni és elérni ıket. Ezek elérhetıvé tétele pusztán mőszaki kérdés. 38

39 Az üzleti intelligencia számítástechnikai megoldások alkalmazásokat és technológiát tartalmaz azzal a céllal, hogy vezetıknek és döntéshozóknak hozzáférést biztosítson a szükséges adatokhoz és az adattárakban és adatbázisokban tárolt ismeretekhez. Napjaink világát egyre inkább jellemzi a tudás, az ismeret, a szellemi tıke jelentıségének és értékének felismerése. A tudás-tıke növekvı szerepet játszik a vállalatok sikerességében, s a szervezet értékének is meghatározója. Természetes, hogy ebben az értékrendben az információipar a figyelem középpontjába kerül, az információt termelési tényezınek is lehet tekinteni. Egyes kutatások szerint a világ adatmennyisége minden évben megduplázódik. Napi tevékenységünk, mely egyre inkább a számítógépekhez, illetve az elektronikához kapcsolódik, miközben egyre inkább automatizált, egyre inkább dokumentált is. Ma már napjaink része, hogy az élet minden területén otthagyjuk elektronikus lábnyomainkat. A gépek rögzítik vásárlásainkat, internetezési szokásainkat, bankmőveleteinket, a tızsdei mőveleteket. A legtöbb nemzetközi szervezetnél egy hét alatt több információ keletkezik, mint amit sok ember egész életében el tud olvasni. Naponta sok száz megabájtnyi adat kerül fel az internetre. Különösen gyorsan nı a nehezen formalizálható, szövegesen kommunikált adat mennyiség. Az adatmennyiség növekedésének sebessége exponenciális.i Éppen ez a gyors növekedés idézi elı azt a paradox helyzetet, hogy az adattömegben rejlı információ csökken. A tömegességben elvész a lényeg, a kiszőrhetıség, megtalálhatóság felismerhetıség oldaláról egyaránt. Éppen ez a hatalmas mérető, s hihetetlenül gyorsan növekvı adatmennyiség az, amely az itt tárgyalt kérdést a figyelem középpontjába állítja. Nyilvánvaló cél ugyanis, hogy ez a hatalmas mennyiségő adat használható információvá és tudássá váljék, s alkalmazásra kerüljön az üzleti élet legkülönbözıbb területein: a vállalatirányításban, a termékpolitikában, a piackutatásban, a fogyasztói igények kielégítésében. Miközben a hagyományos emberi olvasás és értelmezés képessége, lehetısége csökken, nı annak a jelentısége, hogy találjunk olyan eljárásokat, technológiákat, melyeket megvalósítva a számítógépek segítségével képesek vagyunk az adattömegben foglalt információ felismerésére. Az üzleti döntéshozók összefüggı, direkt-használható, üzleti információkat keresnek. Ehhez képest azok az adatok, melyek egységes összefüggı információt szolgáltathatnak sokszor különbözı helyeken (a saját rendszeren, interneten, közszolgálati portálokon, stb.) hozzáférhetık, s ezen túl is különbözı technikával tároltak, s hozzáférhetık. technikai kérdés a hozzáférés biztosítása. Az információtechnológia üzleti intelligencia (BI: Business Intelligence) megoldásai körébe olyan alkalmazások és technológiák tartoznak, melyek célja, hogy biztosítsák a vezetık, 39

40 döntéshozók számára a szükséges adatokhoz való hozzáférést, azokból sokoldalú elemzési megoldások lehetıségét adják, s technikákat biztosítanak az adathalmazokban, adatbázisokban lévı rejtett tudás: összefüggések, szabályok, minták feltárására. Ennek megfelelıen az üzleti intelligencia, mint információtechnológia speciális megoldásokat kínál: a) alapfeltételként a vállalati belsı információs rendszer különbözı tárolási platformokon mőködı elemeinek, valamint külsı rendszerekbıl származó adatok integrált rendszerét hozza létre, mely egységes adatkezelési elvek alapján mőködik, a döntésekhez szükséges adatok on-line, valós idejő lekérdezését teszi lehetıvé; b) gazdag, szakszerő elemzési, tervezési lehetıségeket biztosít az adatelemzési alkalmazásokkal; c) az adatbányászati módszertanok lehetıvé teszik, hogy a belsı és külsı adatbázisokban rejlı, konfuznak tőnı adathalmaz tudássá, egységes információvá álljon össze, felismerhetı legyen a vizsgált folyamatban lévı rend, szabályosság, felismerhetık legyenek együtt,- és különállások, szabályoktól való eltérések; d) speciális alkalmazásai teljesítmény-követési, on-line megfigyelési, eltérés-elemzési, szimulációs, elırejelzési lehetıségeket biztosítanak a vállalti irányítás különbözı szintjei számára Adatelemzés és adatbányászat Az adatkészlet, melybıl a tudást adatelemzés és adatbányászat segítségével ki akarjuk nyerni, legyen ésszerően felépített, jól strukturált elektronikus rendszer. Nagy cégek esetében ez az adattárház. Az adattárház megtisztított, részletes és/vagy összevont adatokat tartalmaz, melyeket a szervezet belsı rendszerei hoznak létre, illetve melyek külsı forrásból származnak. A kkv-kban általában egyszerő, de átláthatóan felépített adatbázist találunk, nagyrészt belsı adatokkal. Az adatokat információvá alakító alkalmazások (adatbányászat) ezen a következetes adatrendszeren alapulnak. Nagy cégeknél az adattárház alkalmazáson alapuló legelterjedtebb megoldások az OLAP (Online Analytical Processing) alkalmazások. A kkv-kban hagyományos elemzési módszereket (pl. SPSS-t) és klasszikus adatbázis lekérdezést (pl. SQL) is használhatunk. Az adatbányászat tipikus területe a fogyasztói kosár elemzése. Mely termékeket keresnek egy adott idıben a fogyasztók? Van-e olyan összefüggés, mely alapján meghatározható, hogy ha valaki vásárol X terméket, az Z termékbıl is vesz? Az üzleti intelligencia részterületei: az adatelemzés, az adatbányászat és az üzleti megoldások Azt az adatvagyont, melybıl a tudást adatelemzéssel, adatbányászattal ki akarjuk nyerni egy tudatosan szervezett, jól felépített elektronikus rendszerben kell tárolni. Ez az adattárház. Az adattárház a döntéstámogatás számára optimalizált formában rendszerezett, tisztított, 40

41 részletes, illetve aggregált adatokat tartalmaz, s biztosítja ezek sokoldalú lekérdezését. Az adattárházhoz a szervezet belsı rendszereiben keletkezı adatok és külsı forrásból, a külvilágból, környezetbıl származó, győjtött adatok egyaránt alapul szolgálnak. Ez azt is jelenti, hogy különbözı szerkezető, különbözı struktúrákból származó adatok kezelését kell tudni megoldani. Az adattárházak általában rétegzett struktúrák. A legalsó réteget az operatív adatforrások képezik. Ezekbıl a rendszerekbıl kerülnek újra-meg újra letöltésre, ezekbıl frissülnek az alapadatok. Egy közvetítı réteg biztosítja, hogy a kiválasztott adatok tisztítva, rendszerezve kerüljenek az adattárházba. Maga az adattárház valójában a következı réteg, mely a tisztított, konzisztens, tartalmilag ellenırzött, rendszerezett adatokat tartalmazza. Az adattárház jellemzıi: az adatintegráció különbözı forrású és struktúrájú adatok egységes szerkezetben konzisztens kezelése A frissítések folytán az adattárház adatai egyfajta történetiséget tükröznek Az adattárházak adatai állandóak Az adattárházak adatai tematikusan szervezettek Erre a konzisztens adatrendszerre épülnek azok az alkalmazások, melyek az adatokat információvá transzformálják. Ezek a jelentés/beszámoló készítı rendszerek, az elemzı rendszerek, az adatbányászat, s részben ezekre az adatokra támaszkodnak az üzleti alkalmazások is. Az adattárház technológiára épülı legelterjedtebb elemzési megoldások az OLAP (On-line Analytical Processing) rendszerő alkalmazások. Az OLAP megoldások egy multidimenzionális adatmodell megtestesítıi. Egy kockával szemléltethetık, melynek élei egy jelenség dimenzióit testesítik meg. Például egy értékesítési folyamat termékeit, az értékesítési helyeket, régiókat, valamint az idıt (értékelési idıszakok). Vázlatosan: Time March February January Regions Products P3 P2 P1 A példánál maradva nagy kocka minden egyes kis kockája egy eladási árbevétel értéket képvisel: például P1 termék R1-es területen januárban realizált értékesítési bevétele. R1 R2 R3 41

42 A kockát szeletelhetjük az egyes dimenziók mentén nem nehéz elképzelni például egy adott területre, adott idıszakra. Jellegzetes mőveletek még: a felgöngyölítés (roll up): valamelyik dimenzió mentén összevonja az adatokat. Például a termékdimenzióban nem egyes termékeket, hanem termékcsoportokat jelenítünk meg. a fenti ellentéte a lefúrás (drill down): a kevésbé részletezett adatok helyett a nagyobb részletezettség irányába halad. A fentiek csak a legegyszerőbb elemzési lehetıségek az OLAP kockán, számos látványos hatékony elemzési eljárás áll rendelkezésre, melyeket a terjedelem korlátai miatt itt nem áll módunkban részletezni. Az adatelemzés természetesen számos más eljárást is kínál, elsısorban a hagyományos, elemzı (analitikus) módszerekre kell itt gondolni. A legkézenfekvıbb, s a legfontosabb módszerek az adatainkban lévı információ, törvényszerőségek, tendenciák feltárására. Ez a módszertan lehetıséget ad a legegyszerőbb feladatoktól a legösszetettebb problémák megoldásáig Nagy szoftverrendszerek (SPSS, SAS, MiniTab, Statistica) igen kiforrott és kifinomult eszköztárat szolgáltatnak e faladat elvégzéséhez. Az adatbányászat olyan döntéstámogató folyamat, mely nagy adathalmazokból korábban nem ismert, hasznos információt tár fel. Ennek érdekében egyfajta struktúrát, mintát következetességet, szabályokat, összefüggéseket keres az adatbázisban. Ma már nagyon sok adatbányászati eljárás, algoritmus ismert. Valójában azonban ezek visszavezethetık meghatározott alapmegoldásokra. A néhány legjelentısebb technikát ismertetjük a következıkben. Csoportosítás, szegmentálás (klaszterezés): az adathalmaz objektumait úgy osztja fel csoportokra, hogy az egy csoportba tartozó objektumok a lehetı legjobban hasonlítsanak egymáshoz, s ugyanakkor a létrejött csoportok a lehetı legjobban különbözzenek. Az egyik leggyakoribb alkalmazási terület a piacszegmentálás. hasonló tulajdonságú vevık csoportjait keressük. lehetünk arra kíváncsiak, kik tartoznak össze egy-egy csoportba, de lehet, hogy nem ismerjük a hasonlóság, a csoportképzés ismérvét. Asszociációs szabályok feltárása: az adatbázisban lévı objektumok között összefüggéseket keres. Ha van ilyen kapcsolat, erıssége jellemezhetı. jellegzetes alkalmazási területe a fogyasztói kosár elemzése. Melyek azok a termékek, melyeket a fogyasztó együtt keres. Létezik-e olyan összefüggés, hogy aki vásárol X-et, az vásárol Z terméket is. Regressziós következtetés: egy jelenség számszerő értékeibıl egy vele valószínőleg kapcsolatban álló más jelenség bizonyos számszerő értékeire következtethetünk. Milyen 42

43 következtetést tudunk megfogalmazni a GDP alakulás figyelembevételével az 1000 lakosra jutó személygépkocsi állomány alakulására nézve. Az adatbányászat nagyon sokoldalúan használható az üzleti döntéshozatalban. A fent már említett területek mellett szerepelhet az ügyfél elégedettség vizsgálatában, a lemorzsolódások okainak feltárásában, illetve elırejelzésében, szállítói minısítések kidolgozásában és még sok más területen. Az üzleti megoldások komplex, speciális alkalmazások, melyek sokszor az adatbázis on-line megfigyelési eredményeire építve bizonyos mutatók értékét meghatározzák, s jelentıs szerepet játszanak a vállalkozás teljesítmény menedzsmentjében, a folyamatok kívánt állapotoktól való eltérésének figyelésében, elırejelzési, szimulációs lehetıségeket biztosítanak. Jellegzetes ilyen alkalmazás például a Balanced Score Card. A vállalkozás tevékenységének egy többszempontos, rendszer szemlélető közelítése. A vállalkozás tevékenységének több területe tükrözıdik benne: a pénzügyi, a piaci, a termelési-kereskedelmi, a humánerıforrás menedzselési egyaránt. Azokra a területekre szolgáltat mértékrendszert, melyek stratégiai jelentıségőek. Ebben az egyes szempontok a gyakorlati érzékelhetıség és a megvalósulás nyomonkövethetısége végett további szempontokra, al-mutatókra, indikátorokra bomlanak. Az indikátorok alakulásához felelıs személyek rendelhetık, intézkedések foganatosíthatók. Csak említésszerően álljanak itt jellegzetes alkalmazások, illetve alkalmazási területek: kozkázatelemzés- és menedzsment, humántıke menedzsment, szállítói kapcsolatok menedzsmentje. Az üzleti intelligencia legjelesebb képviselıi: SAS, SPSS, SAP, Teradata, Cognos, Oracle, IBM, s még lehetne sorolni IR alkalmazások két fı célra Ügyfélkapcsolat kezelés (CRM) A CRM alapvetıen egy újfajta üzleti szemléletmód, mely a rövid és hosszú távú üzleti célok megvalósítása érdekében a hagyományosan elterjedt termékközpontú megközelítés helyett alapvetıen ügyfélközpontú megközelítést alkalmaz. Valójában az üzleti folyamat átszervezésére irányuló, a hatékonyságot és eredményességet növelı stratégia, aminek eredménye az elégedett és visszatérı vevı. Egy racionálisabb, szervezettebb, informatívabb ügyfélnyilvántartáson, tranzakciószintő ügykezelésen alapuló külsı-belsı kommunikációs, illetve kapcsolati rendszer. CRM-nek nevezzük az e célt támogató technológiákat és a konkrét számítógépes implementációkat is. A CRM rendszerek kialakításának egyik legfontosabb tényezıje a vállalt mérete. Noha minden gazdasági szereplı kimondva vagy kimondatlanul, elkerülhetetlenül képvisel 43

44 valamilyen tudatos, vagy spontán ügyfélkapcsolati stratégiát, a CRM, mint komplex rendszer, a gyakorlatban mégis leginkább a közép- és nagyvállalatok jellemzı eszköze. A CRM rendszerek kialakulását szemlélteti az alábbi ábra: Ügyfélkapcsolat jellemzıi Értékessége Idıbelisége Szorossága Számossága Közvetlensége A fıbb felhasználók köre: Nagyvállalatok amelye további versenyelınyt remélnek általa Bankok amelyeknél eleve magas az ügyfélszám Mobil távközlés ahol a telített piac miatt hozhat versenyelınyt Államigazgatás ahol ugyan profitot ne hoz, de extrém magas lehet az ügyfélszám A CRM rendszerek elterjedtsége hazánkban még az üzleti alkalmazásokat használó felhasználó körében is nagyon alacsony (5 6 %), de a rendkívül expanzív piac hatására ez várhatóan erısen növekedni fog. A kisé és középvállalkozások körében népszerőek lehetnek a bérszoftver megoldások, illetve az egyre elterjedtebb körben alkalmazott open source (nyílt forráskódú, szabad szoftver) megoldások. A felhasználók között, fıleg banki szférában népszerőbbek a testre szabott egyéni megoldások, mint a dobozos szoftverek. 44

45 A CRM által támogatott tipikus tevékenységek, üzleti folyamatok Ügyfélszolgálat (tanácsadás), szerviz, tanácsadás Igények rögzítése, feladatok kiosztása, tevékenység követése, problémamegoldás, garanciakezelés, szerzıdés-nyilvántartás, anyagfelhasználás követése, tanácsadás. Értékesítés Vevık, ajánlatok, megrendelések nyilvántartása és kezelése, (korábbi) ügyfélkapcsolati események rögzítése (naplózása), ajánlatok generálása, követı lépések rögzítése, termékkör-hozzárendelések, kapcsolatfelvételek szervezése, team munka összehangolása, lehetıségek nyilvántartása. Telefonos értékesítés híváslistái, rendelésrögzítései. Értékesítés menedzsment Forgalmi és területi elemzések, hatékonysági és sikerességi jelentések, alkalmazotti (üzletkötıi) aktivitások mérése, forgalmi elırejelzések. Marketing, telemarketing Ügyfélcsoportok képzése, célzott listák, körlevelek (elektronikus, hagyományos), fogyasztási mérések, célzott akciók (kampányok) tervezése, megvalósítása, nyomon követése. Pénzügy Fizetési szokások elemzése Vezetıi információk Vásárlási adatok, értékesítési szokások, vállalati és dolgozói teljesítménymérés és -elemzés. CRM rendszerek bevezetése Számolni kell vele, hogy a bevezetés nem hozza meg a kívánt gazdasági eredményt. Ezért a bevezetés általában fokozatos, idıben akár az egy évet is meghaladhatja. A bevezetés legfıbb akadályai: Egységes vállalatirányítási rendszer és szemléletmód hiánya Azok a fıként kis- és középvállalatok, ahol a különbözı ügyviteli területek elszigetelt, sokszor merıben eltérı szoftver rendszereket alkalmaznak feladataik ellátására, a legnehezebb feladat az egységesítés. Ugyanakkor a CRM rendszer bevezetése kikényszeríti a megfelelı kommunikációt, a kommunikációs folyamatok összehangolását, az üzleti folyamatok racionalizálását. Az alkalmazottak ellenállása, motiválatlansága. A változástól és az azzal járó kellemetlenségektıl való félelem. A teljesítmények jobb mérhetıségének, a szigorúbb munkafegyelemnek a kikerülési szándéka. Hiányzó vezetıi támogatás. Nem megfelelı informatikai háttér. Szőkös anyagi erıforrások CRM rétegek (stratégiák) Szokásos a CRM rendszereket rétegeirıl beszélni. E rétegek együttesen lefedik a vállalat teljes ügyfélkezelését. A három réteg szervesen épül egymásra, valójában egyik réteg sem használható ki igazán jól a többi nélkül. A három réteg: Analitikus (elemzı) réteg Jellemzıen OLAP eszközökkel, statisztikai elemzésekkel és adatbányászati eszközökkel ezen a szinten történik meg az ügyféladatok finomhangolása. 45

46 Megismerhetıvé válik az ügyfélkör, elırejelzés készíthetı az ügyfélszegmensek várható viselkedésérıl. Tényleges ügyfélkapcsolat ezen a szinten nem jön létre. Az analitikus CRM tevékenység leginkább kiforrott feladatai a következık: o Ügyfelek szegmentálása o Válaszadási modellek építése o Lemorzsolódás elemzése o Termékkosár elemzés o Ügyfélérték számítása Operatív (mőködtetı) réteg Ez a réteg jelenti az ügyféllel való tényleges kapcsolatot. Ide tartozik például az ügyfélszolgálati tevékenység. Ám az analitikus réteg információi visszacsatolásokat, javaslatokat, stratégiai támogatást jelentenek az operatív CRM számára. Például az analitikus CRM-mel számolt ügyfélérték alapján rangsorolni lehet a bejövı ügyfélszolgálati hívásokat. Kollaboratív (együttmőködı) réteg A kollaboratív réteg szintjén a CRM az összes értékesítési csatornára kiterjeszti az ügyfelekkel való kapcsolattartást, egy bank esetében például a bankfiókokra, az internetre, a mobilbank-szolgáltatásra is. Ezen a szinten kerül kialakításra a CRMmel foglalkozók közti munkamegosztás az információ kezelése és a kölcsönös kommunikáció vonatkozásában. Noha egy optimális CRM rendszer esetén a három réteg együttes, szerves jelenléte elképzelhetetlen, mégis szokás a rétegeket CRM stratégiákként is említeni. Ennek oka nyilván az, hogy nem optimális esetben az egyes rétegeket függetlennek tekintve, minden réteg hordoz önállóan alkalmazható megoldási lehetıségeket. A dobozos CRM rendszerek vezetı szoftverszállítói a SAS, SPSS, Oracle, SAP Open Source (OS) CRM rendszerek A jelenlegi piaci tendenciákból látszik (2008 végén csaknem 400 open-source CRM rendszert tartottak nyilván), hogy az OS CRM rendszerek népszerősége nagy. OS vállalati szoftverek terén ma a CRM rendszerek részesedése a meghatározó. A CRM piacon az óriáscégek (Oracle, SAP) uralkodó jelenléte mellett, fıként kis- és középvállalkozások számára, a csatlakozás lehetıségét épp az OS CRM rendszerek bevezetése jelentheti, különösen azokban az esetekben, ahol az on-demand üzleti modell is megjelenik a kínálatban. A legnépszerőbbek közül néhány: SugarCRM, vtiger, xtuple, Centric CRM, Compiere. Az OSS rendszert alkalmazók számára nem pusztán a licenc díj megtakarítás jelent vonzó költségcsökkentı tényezıt, hanem az alacsonyabb hardver beruházási költségek, a kisebb implementációs, konfigurációs és upgrade költségek, az automatizált folyamatok alacsonyabb adaptációs illetve módosítási költségei is. On-Demand és SaaS Az On-Demand (igény szerinti bérszolgáltatás) vagy SaaS (Software as a Servie szoftver bérlet) jellegő szolgáltatási változatok elérhetıvé teszik a nagy erıforrás-igényő, piacvezetı szoftver eszközök alkalmazását kis- és középvállalkozások részére is. 46

47 A drága erıforrást a bérbeadó szolgáltatja. A bérlı hálózaton keresztül éri el a bérbeadó rendszerén tárolt adatbázisát és a szoftvereket (vagy azok egy részét). E megoldás elınyei továbbá a Kiszámíthatóság Megbízható üzemeltetés Korszerőség Adatbiztonság Az e-business és a web site Jó honlap nélkül ma már lehetetlen létezni az üzleti világban. Ez minden mérető vállalkozási formára egyaránt érvényes. A jó honlap azt jelenti, hogy nem csak tájékoztató jellegő adattartalmat nyújt, hanem interakciót kell biztosítania az ügyfelekkel. (Letölthetı anyagok, szavazás, vendégkönyv, fórum, és így tovább.) Nevezhetnénk ezt az elsı szintnek. A jól kialakított honlap ismérvei könnyen megnevezhetı, jó domain név gyorsan letöltıdik informatív, jól láthatók az (üzleti) célok interaktív (letölthetı anyagok, fórum, vendégkönyv, online vásárlás, stb.) könnyen navigálható áttekinthetı tartalom-struktúrával rendelkezik a cégre jellemzı egyedi design-al készült. A keresık könnyen ráakadnak és lehetıleg minél elıbb hozzák fel a találati listákon Naprakész a tartalma Az elérhetıségek egyértelmőek (térkép, személyes elérhetıség is) Az e-business (magyarul elektronikus üzleti tevékenység) az üzleti folyamatok elektronikus eszközökkel történı integrálása. A e-business segítségével a külsı és a belsı folyamatokat hatékonyabban össze lehet kapcsolni. Az e-business nem azonos az elektronikus kereskedelemmel (e-commerce). Az elektronikus kereskedelem a javak, szolgáltatások és információk elektronikus úton történı cseréjét jelenti. Az e-business ennél tágabb fogalom. Az e-business az egész vállalati mőködést e-alapra helyezi. Az e-business alkalmazások 3 csoportja: 1. Belsı üzleti rendszerek ügyfélkapcsolat-menedzsment (CRM) vállalati erıforrás tervezés (ERP) tudás menedzsment 2. Vállalati kommunikáció és együttmőködés vállalatok közti kapcsolattartás 47

48 3. E-commerce ellátási lánc menedzsment (SCM) e-marketing Beszállítói láncolatkezelés (SCM) Forrás: Az értéklánc (value chain) a vállalaton belüli tevékenységek (pénzügy, emberi erıforrás menedzsment, információgazdálkodás, logisztika, termelés, innováció, marketing) értékalkotó összekapcsolódása. Több vállalat értékláncának vállalatokon átívelı, összekapcsolódó sorozatát nevezzük ellátási láncnak (supply chain). A szállítóktól kiindulva, a gyártókon és disztribútorokon át a fogyasztókig, az alapanyagtól a végtermékig ível az ellátási lánc. A lánc egyik legfontosabb célja a vevık igényeinek kielégítése, ezért az egyetlen független döntéshozó maga fogyasztó. Az ellátási lánc résztvevıinek kettıs érdekeltsége: egyrészt az ellátási lánc egészének a sikere, másrészt a keletkezı új értékbıl való minél nagyobb részesedés. E két cél közti harmónia megteremtése a lánc egészének fı hatékonysági tényezıje. Az ellátási lánc mőködéséhez szükséges: a szereplık közti rendszeres kommunikáció, átláthatóság (szándékok, teljesítmények, információk), megbízhatóság és kölcsönös bizalom. Az ellátási lánc szereplıi közt termékmozgás, információáramlás és pénzügyi mozgás történik. Az ellátási lánc menedzsment (supply chain management - SCM) ezeket a mozgásokat hangolja össze, teszi átláthatóvá. Az SCM-alkalmazások az értéklánc tagjait kapcsolják össze hálózati technológiák segítségével. Integrálják és automatizálják a termékfejlesztést, a beszerzést, a gyártást, az anyag- és készletgazdálkodást, a logisztikát és az ügyfélkapcsolatokat. A logisztika a vállalaton belüli tevékenységekre korlátozódik. Az SCM kitágítja a logisztika határait és a vállalaton belüli folyamatok mellett, az azon kívüliekre is nagy figyelmet fordít. Az SCM rendszerek kétirányú folyamatot jelentenek: az egyik az ügyféltıl a beszállító felé (az ügyféligények meghatározása céljával), a másik pedig a beszállítótól az ügyfélig a termelés és az elosztás menedzselésének céljával. Az SCM kialakulásának állomásai 1. Decentralizált logisztika (1960-as évekig) 2. Átfogó költséggazdálkodás (total cost management) (1980-ig) 3. Integrált logisztikai tevékenységek (1990-ig) 4. SCM (2000-ig) Az 1990-es években az ellátási lánc menedzsment kiteljesedett, kialakult az SCM stratégiai szemlélete. Megnıtt a vállalatok közti együttmőködés szerepe. Kereskedelmi partner hálózatok kiépítése a jellemzı. Új törekvés a vállalatok üzleti folyamatainak átszervezése (business process reengineering/redesign - BPR). Ennek 48

49 során az üzleti tevékenységeket és azok kölcsönhatásait vizsgálják és megpróbálják a hatékonyságukat javítani. 5. e-scm (2000 után) Az internetes technológiák fejlıdése vezetett ez e-scm, az elektronikus ellátási lánc menedzsment kialakulásához. A lánc szereplıit hálózati technológiák segítségével kapcsolják össze az SCM-alkalmazások. Így könnyebben és hatékonyabban menedzselhetı az ellátási lánc és leegyszerősödik a kommunikáció a lánc szereplıi közt. Az információáramlás jóval gyorsabb és hatékonyabb. Az adatbázisok azonnali megosztása, az adatok szinkronizálása is egyszerőbb és olcsóbb lett. Forrás és bıvebb információ: Az IR alkalmazás integrációs célra A vállalaton belül: Vállalati Erıforrástervezés (ERP) Az integrált vállalatirányítási rendszer egy vállalat valamennyi feldolgozását (komplett üzleti folyamatok) megvalósító, egységes információs rendszer, amelyben minden adat csak egyszer szerepel (mindenki ugyanabból az adatbázisból dolgozik, és az adat a keletkezési helyén kerül rögzítésre. Az integrált vállalatirányítási információs rendszerek egy viszonylag új, de egyre gyakrabban használt elnevezése a szakirodalomban az ERP (Enterprise Resource Planning). Az elnevezés mögött a vállalatok sokoldalú kiszolgálása húzódik meg. Napjainkban is ERP rövidítéssel illetjük ezeket a vállalati rendszereket, az elmúlt évek innovációi miatt azonban inkább tekinthetık integrált vállalatirányítási alkalmazásoknak (IEA: Integrated Enterprise Application). Az ERP-rendszerek kialakulásával mind a controlling, mind a menedzsment óriási információs bázishoz jutott, folyamatosan bıvülı funkcionalitásukkal ezek a rendszerek jelentik ma a vállalatok informatikai támogatásának alapját. Az ERP rendszerek a szervezet adatállományát és folyamatainak nagy részét vagy egészét egy egységes megoldásba integrálják, ezáltal lehetıvé teszik az üzleti folyamatok automatizálását és optimalizálását. Az egyes modulok tipikusan lefedik az egyes konkrét ügyviteli funkciókat: Az alábbi ábra egy tipikus integrált vállalati rendszer sematikus modellje: 49

50 Forrás: Elvárások Széles funkcionalitás Integráció Rugalmasság Nyitottság Felhasználóbarát kezelési mód Modularitás Biztonság Bevezetési módszertan Folyamat-orientáltság Megbízhatóság Egységesség Gazdaságosság Valós idejő tranzakció-feldolgozás Összekapcsolási lehetıségek A vállalati erıforrástervezés legjellemzıbben csomagban vásárolt szoftvert jelent a legtöbb vállalattípusban. 50

51 A nagyvállatok számára készült ERP szoftver rendszereknek (mint pl. az SAP) vannak a kkvk számára készült speciális változataik (mint pl. a Navision a Microsoft esetében). utm_campaign=erp_altalanos Egy szervezet számára az ERP megvalósítása mindig nagy kihívás és egyben nagyon kockázatos vállalkozás is A vállalaton kívül: Elektronikus adatcsere (EDI Electronic Data Interchange) Az EDI strukturált adatok szabványos elektronikus cseréje kettı vagy több, elızetesen egyeztetett üzenettovábbító szabványt használó számítógéprendszer között. A különbözı üzleti vállalkozások hagyományosan papíron kommunikálnak egymással. Az ilyen kommunikáció kétféle formája ismert: a strukturálatlan (pl. üzenetek, emlékeztetık és levelek) és a strukturált (vételi megbízások, megrendelések, feladási értesítık, vámnyilatkozatok és más vámokmányok, engedélyek stb.). A strukturálatlan kommunikációk általában személyek közötti egyszeri, azaz alkalmi információcserét jelentenek, nem tartoznak a "business as usual" folyamatai közé. Ezzel szemben a kommunikáció strukturált formái általában részei a szervezet belsı életét befolyásoló folyamatoknak, ezeket az okmányokat az esetek többségében nem egy bizonyos személynek, hanem egy szervezet egészének továbbítják. Ily módon ezek a kommunikációk folyamatok közötti, vagy személy és folyamat közötti kommunikációként jellemezhetık. (A strukturálatlan dokumentumok átvitelének elterjedt eszköze pl. a fax, illetve az .) Az EDI elsısorban elektronikus ügyviteli és nem technológiai szabvány a számítógépes ügyviteli alkalmazások között. Mivel alkalmazások közötti kommunikációról van szó, az EDI-hez kommunikációs alkalmazások (pl.: üzenettovábbítás) és protokollok kapcsolódnak. Az EDI-t általános értelemben ott érdemes használni az elektronikus dokumentumkezelésben, ahol több résztvevı között nagymennyiségő kritikus adat rendszeres, szabványos és automatikus továbbításáról illetve cseréjérıl van szó. A szabványosság fıleg akkor kap jelentıséget, ha a kritikus adatok cseréjében számos szereplı vesz részt, a rendszer szereplıi alkalomszerően változhatnak és más és más informatikai rendszerrel rendelkezhetnek. A biztonságos (kritikus) adatkezelés akkor jelentıs, ha szükség van az elektronikus dokumentumok továbbításainak, konverzióinak nyomon követésére, a dokumentumok különbözı megjelenési formáinak archiválására, titkosítására. Az EDI rendszer szabványos és biztonságos kialakítása lehetıvé teszi a rendszerben résztvevık számának egyszerő bıvítését. Ezért érdemes EDI-t használni ott, ahol nagyszámú és igény esetén bıvülı közösség akar adatbiztos ügyviteli kapcsolatot teremteni. Eredendıen az EDI használata "off-line" környezetben javasolt, vagyis az alkalmazások a strukturált adatok halmazát továbbítják egymás között, így tárol és továbbít off-line és nem interaktív on-line környezetrıl van szó. A kritikus dokumentumok jelentıs része ilyen környezetben keletkezik, illetve továbbítódik. (pl.: szerzıdések, nyilatkozatok, jelentések, statisztikák, adóbevallások, vámáru nyilatkozatok, cégkivonatok, nyilvántartási lapok stb.) 51

52 Vannak sajátos on-line területek, mint például információ-szolgáltatás, regisztrációs rendszerek, stb., ahol nem érdemes EDI-t alkalmazni. További általános sajátossága az EDI alkalmazást igénylı környezetnek a tömeges és automatikus dokumentumkezelés és feldolgozás. Az EDI automatizmusai, nagy kapacitású adat konverziós és adat be- és kiviteli tulajdonságai az EDI alkalmazásának egyik legfontosabb elınye. A rendszeres adatcsere szintén jellemzı az EDI-t igénylı környezetekre. A rendszeres adatcseréhez általában rendszeres adatfeldolgozás is kapcsolódik legalább az egyik oldalon, ami automatizmusokat igényel az adatbevitelben a hatékony feldolgozás érdekében. Az EDI, mint kommunikációs módszer a logisztikában a nagygépes hálózatok elterjedésével együtt és vállalatirányítási szoftverek elterjedésével vált használatossá. Az EDI-t rendszerint egy nagy ügyfél kényszeríti rá egy kkv-ra (pl. a nagykereskedelem) annak dacára, hogy egy ilyen rendszer alkalmazása meglehetısen költséges. A világ különbözı térségei és a különbözı iparágak helyi EDI szabványokat alkalmaztak, illetve alkalmaznak. A kereskedelem azonban egyre inkább túllép az iparági és nemzeti határokon. Mindez a más szabványok használóit fokozatosan az egységes EDI nyelv az UN/EDIFACT használatára kényszeríti. Az UN/EDIFACT több mint 175 üzleti bizonylat, dokumentum elektronikus leírását tartalmazza. Ezek a dokumentumok a különbözı üzleti tranzakciók széles körét ölelik át, a számláktól a pénzügyi fizetési megbízásokig, a munkavállalói biztosítás múltbeli káreseményeit ismertetı őrlaptól a veszélyes áruk bejelentéséig. Az EDI jövıje, az XML és ebxml Az Internet drámaian megváltoztatta a társaságok közötti kereskedés módját. Az e-business, avagy az Interneten végrehajtott kereskedelmi folyamatok néhány év alatt látványosan növekedtek, de még hosszú utat kell megtenni ahhoz, hogy különösen a kis és közepes üzletek az Internetet használják. Sokféle szabvány van használatban üzletelés elektronikus folytatására, és néhány, mint pl. az EDI már sok éve a helyén van. Ezen szabványok magas implementálási költsége, és az alap struktúráik merevsége költség-hatékonyságukat néhány nagyobb szervezetre korlátozza, melyek megengedhetik maguknak azok integrációját és üzemeltetését. A globális kereskedelem megkönnyítésére, 1999-ben az UN/CEFACT és az OASIS összefogott egy szabvány, az ebxml kifejlesztésére, hogy helyettesítsék a jelenleg használatos EDI elektronikus kereskedelmi szabványt. Céljuk egy olyan szabvány volt, amely miközben biztosítja a nagy szervezetek által igényelt funkcionalitást, a kis és közepes vállalkozások (SME, KKV) számára is könnyő implementációt és üzemeltetést kínál. Egy olyan eljárásra volt szükség az elektronikus üzleti információk létrehozására és cseréjére, amely világméretekben felgyorsítja a szabvány kifejlesztését, valamint csökkenti az implementációs, támogatási és munka költségeket. Forrás és bıvebb információ:

53 A vállalaton kívül: az e-business piac Az e-business a tisztán elektronikus adatátvitelen alapuló üzleti ügyintézés népszerő rövidítése. Elektronikus üzletvitel. Az e-business nem azonos az elektronikus kereskedelemmel, bıvebb annál, magában foglalja a vállalat külsı és belsı folyamatainak elektronizálását és integrációját. Magyar szóhasználatban gyakran keveredik az e-business és az elektronikus kereskedelem (e-commerce) fogalma, és helytelenül mindkettı alatt az e- business fogalomkörébe tartozó tartalmat értik. Része az: e-commerce (e-kereskedelem), az Internet (online) marketing, a vevıtájékoztatás, az értékesítés, a logisztika, a vállalati költségek csökkentése, vagyis minden, ami kapcsolatba hozható a világhálóval és az azon keresztül történı pénzszerzéssel. Az e-business többrıl szól, mint csupán a technológiáról. A vállalat számára hasznot hozó világos stratégiai elıny megalkotását jelenti, olyanokat, amelyek a munkavállalók, a vásárlók, a partnerek és a beszállítók területén jelentkezhetnek. Az e-business arról szól, hogy kifejlesztenek egy új munkastílust, ami magában foglalja az innovatív stratégia, a folyamatok, a szervezet és a rendszer integrációját. Egyszóval: értéket teremt. Az e-business tényleges fellendüléséhez egy szervezetnek integrálnia kell a vállalati és az Internetes stratégiát. Ehhez szükséges a beszállítói, vevıi, partneri kapcsolatok hálózatának fejlesztése. Végsı soron ez a kapcsolatrendszer fogja meghatározni, hogy az e-business sikeres lesz-e. Az elektronikus kereskedelem mind a kis-, a középmérető vállalkozások, mind a multinacionális vállalatok számára lehetıvé teszi, hogy azonos feltételek mellett kelhessenek versenyre. A vállalkozások rugalmasságán múlik, hogy milyen gyorsan reagálnak az új trendekre, használják ki az új lehetıségeket. Sokszor a gyors válaszreakción múlik egy vállalkozás sikere vagy bukása Az e-business alkotórészei, formái E-commerce Az e-commerce (e-kereskedelem) az üzleti tranzakcióknak minden olyan formája, melyek során a felek inkább elektronikus úton érintkeznek. Tágabb értelemben e-kereskedelemnek nevezzük azt, ha a kereskedelmi folyamat legalább egy része elektronikus formában bonyolódik. Az elektronikus kereskedelem definiálható úgy is, mint egy új értékesítési csatorna, amelyben hatalmas lehetıségek rejlenek, és amelyeket hosszabb távon lehet majd kihasználni. B2B A B2B, azaz Business to Business - vállalatközi elektronikus piacterek - két vállalkozás közti üzleti kapcsolatot jelöl, amelynek színtere a világháló. Általában nem csak adás-vétel folyik 53

54 itt, hanem például a vállalati rendszerek összekapcsolásával nyomon követhetı a szállítások teljesítése is. Az információszerzéstıl a megrendelésen át a teljesítésig az üzlet az Interneten bonyolódik. A beszerzés, a raktározás, a logisztika területén az elektronikus út alkalmazása költségcsökkenést eredményez, meggyorsítja az üzletkötést. A B2B forgalom teszi ki az e- kereskedelem legnagyobb hányadát. Elektronikus piactér: Akkor beszélünk elektronikus piactérrıl, amikor a vállalkozás nem építi ki a saját rendszerét, hanem egy szolgáltatóhoz csatlakozik. A B2B szolgáltatók vállalkozásokat képviselnek, a legfrissebb piaci információkkal szolgálnak. A vállalkozásoknak nem kell beszállítókat keresni, vásárlási igényüket jelzik a B2B szolgáltató felé, aki konkrét ajánlatokkal látja el ıket. Így az elektronikus piactérben nem kell minden vállalatnak külön kapcsolatot kiépítenie az egyes üzleti partnerekkel, hanem csak a piactérrel kell kialakítani és karbantartani azt. Az e-piacon csak a vevık és az eladók vannak jelen, a kínálatukkal és a keresletükkel, ezáltal alkalmas arra, hogy az iparágak szereplıit összehozza egymással. Az ehhez szükséges technológiát és biztonságot, a keresıeszközöket, a katalógusokat a piactér biztosítja. Az online üzletkötés hatására a vállalkozásoknál lerövidül és leegyszerősödik a beszerzési ciklus, csökkennek az alapanyag- és az adminisztratív költségek, és javul a raktározási gyakorlat. A B2B szolgáltatóhoz való csatlakozás %-ban csökkentheti a beszerzési költségeket. A vállalatok közötti üzlet alapvetıen kétféle lehet: Vertikális integrációra való törekvés, amikor a vállalatok maguk köré győjtik a beszállítóikat, partnereiket, vásárlókat; Horizontális integráció, amikor egy - egy iparágat képviselve jönnek létre a virtuális piacterek. Mondhatjuk ezek után azt is, hogy az e-business piac olyan rendszer, mely azonos platformra hozza az ügyfelet és a szolgáltatót. B2B szolgáltatások: Üzleti ajánlatok bekérése (purchasing) Információk közvetítése (vállalati katalógusok begyőjtése) Kapcsolatteremtési lehetıség az értéklánc szereplıinek (fórum, chat) Üzleti kapcsolat egészének vagy egyes elemeinek bonyolítása (ajánlatok közvetítése, üzleti dokumentáció, aukciók, pénzforgalom, áruszállítás) B2B elınyei: Gyorsaság Hatékonyság Forgalomnövekedés Vevıkapcsolatok javulása Ellenırizhetıség B2B hátrányai: A kiépítése költséges és bonyolult A fenntartási költség relatíve magas 54

55 B2C Jelentése Business-to-Costumer, azaz elektronikus kiskereskedelem. A végfelhasználók felé történı online eladás (pl. e-bay). A kereskedés online áruházakban folyik, ahol a fogyasztók a termékekkel kapcsolatos információkhoz jutnak hozzá, ami lehetıséget ad a termékek és azok árainak az összehasonlítására. B2C Elınyei: Kényelem: utánjárás nélkül, idımegtakarítással zajlik a vásárlás Földrajzi határok megszőnése: a vevı saját otthonában válogathat bármely földrész kereskedıinek termékeibıl Költségmegtakarítás: az Interneten keresztül olcsóbban vásárolhatunk Kínálat teljessége: nincsenek készletezési korlátok Non-stop nyitva tartás: az Internet a nap 24 órájában mőködik Új vásárlók elérése: elsısorban a fiatalabb generáció a célcsoport, akiket munkájuk egyébként is az Internethez köt Impulzusvásárlások: olyan vásárlásokat válthat ki, amelyek hagyományos értékesítési mód mellett nem következtek volna be B2C hátrányai: A vásárló nem tudja megfogni, közvetlenül szemügyre venni a terméket Biztonsági problémák Meghatározott vásárlói kör B2A + C2A A B2A jelentése Business to Administration, azaz a vállalkozás és a közigazgatás közötti online kapcsolatot jelöli, a C2A pedig nem más, mint a Consumer to Administration, azaz az ügyfél és a közigazgatás közötti kapcsolat. Az online kapcsolat a hatóságokkal lehetıvé tenné a hivatali ügyek intézését. Be lehetne fizetni az adót, illetékeket, társadalombiztosítási járulékot, cégbírósági-, földhivatali bejegyzést intézni, és így tovább. Az állam is megjelenik a világhálón, szerepe megváltozik, funkciója erısödik. Az állampolgárok és az üzleti szféra felé információt nyújt, és szolgáltatást teljesít. Az Internetet felhasználva gyorsabbá és olcsóbbá teszi a közigazgatást, folyamatos hozzáférést biztosít az információkhoz (pályázatok, jogszabályok, ingatlan-nyilvántartás, stb.). Jövıbeni hatása: felgyorsulhat az ügyintézés és csökkenhetnek a hibalehetıségek. Fontos kérdés a logisztikai és fıként a fizetéshez kapcsoló biztonsági kérdések. Forrás és bıvebb információ: Ajánlott irodalom a 2. Fejezethez Biró M., Gábor A., Kı A., Lovrics L., Sántáné-Tóh E. (2007): Döntéstámogató rendszerek, Panem Kiadó Kft. Dobai P. (1997): Vállalati információ-menedzsment. Nemzeti Tankönyvkiadó Rt. Dr. Abonyi János szerk.(2006): Adatbányászat - a hatékonyság eszköze, ComputerBooks. 55

56 Dr. Bencsik Andrea (2008): A tudásmenedzsment emberi oldala, Z-Press. Dr. Jánosa András (2005): Adatelemzés számítógéppel, Perfekt. Dr. Roóz József (2005): Vállalkozásgazdálkodási ismeretek, Perfekt. Dr. Roóz József (2007): A menedzsment alapjai, Perfekt. Edward, C. Ward, J. Bytheway, A. (1999): Az információs rendszerek alapjai. Panem. Gábor A. (1997): Információ-menedzsment. Aula Kiadó. Hetyei József szerk. (2004): ERP rendszerek Magyarországon a 21. században. ComputerBooks. Laudon Laudon (2006): Management Information Systems, (vezetıi információs rendszerek) 9/e, Pearson prentice hall. Little, E. Marandie, E. (2005): Kapcsolati marketing, Akadémiai Kiadó. Pieter Adriaans-Dolf Zantige (1996): Data Mining. Addison Wesley Longman. Piskóti I. (1997): Marketing innovatív kis- és középvállalkozások számára. Innostart. Raffai Mária (2003):Információrendszerek fejlesztése és menedzselése. Novadat. Tapp, A. (1999): Direkt & Adatbázis-marketing. Mőszaki Könyvkiadó. Internetes ajánlatok: Szőcs Imre: Adatbányászati módszerek alkalmazása a pénzügyi szektorban, Borgulya István (1995): Szakértıi rendszerek, ComputerBooks. Mikó Balázs: Mesterséges intelligencia, szakértõi rendszerek, Sándori Zsuzsanna: Mi a tudásmenedzsment, ) Válogatott fejezetek az információmenedzsment témakörébıl: Információ és döntéshozatal: Ellenırzı feladatok 1. Igaz-hamis Igaz Az IR célja a hagyományos felfogás szerint az Anthony piramis kiszolgálása. Hamis Egy IR adatforrásai a döntési piramis taktikai szintjéhez tartoznak. Igaz A szakértıi rendszereket operatív, taktikai és stratégiai szinten egyaránt igénybe vehetjük. Hamis A döntéstámogató rendszerek fıként operatív szinten hatékony eszközök. 2. Az alább felsoroltak közül mi az, ami nem tartozik az IR-ek mőszaki infrastruktúrájához? Eszközöket befogadó épületek, irodák. Hálózati nyomtatók. 56

57 Telefonhálózat. Partnerek. 3. Melyik jellemzı nem igaz a nyílt forráskódú (OSD) szoftverre? Szabadon terjeszthetı. Mőködése szabadon tanulmányozható. A forráskód elérhetı. Ingyenes. 4. Az alábbi felsorolásból válassza ki azokat a szempontokat, amelyek az IR technológiai követelményei közé tartoznak: Redundancia. Automatizálás. Eszközfüggetlenség. Nyitottság. 5. Igaz-hamis Hamis Egy ES rendszer válaszai mindig helyesek. Igaz Egy ES rendszer részleges adatokkal is tud dolgozni. Igaz Egy ES rendszer elérhetı áron terjeszti a szakértı ismereteit. Hamis Egy ES rendszer tudásbázisának kialakítása nem igényel személyes szakértıi tudást. 6. Az alábbi állítások közül melyek igazak az adattárházakra? Az adattárházak adatai állandóak. Adattárházak esetén nem fontos az adatok tematikus szervezése. Adattárházban a különbözı forrásból származó adatokat egységes szerkezetben kezeljük. Az adattárházak adatai egyfajta történetiséget tükröznek. 7. Az alábbiak közül melyek jellemzı adatbányászati alapmegoldások? Szegmentálás (klaszterezés). Asszociációs szabályok feltárása. Regressziós következtetés. Hálótervezés. 8. Igaz hamis Igaz A CRM rendszerek jelenleg fıként a közép-és nagyvállalatok jellemzı eszköze. Igaz A SaaS jellegő szolgáltatások a kkv-k számára is elérhetıvé teszik a piacvezetı alkalmazásokat. Hamis Az SCM rendszerek a vállalaton belüli tevékenységekre korlátozódnak. Igaz ERP rendszerek esetén alapvetı cél a szervezeten belüli önálló adatállományok integrálása. 57

58 3. FEJEZET: PROJEKTVEZETÉS 3.1. Bevezetés Napjaink nagymértékő és egyre gyorsabb változásai a vállalkozásoktól jelentıs alkalmazkodó képességet és szüntelen innovációt követelnek meg. A jelentısebb innovációkat projektek végrehajtásával valósítják meg. A projektek megvalósításával foglalkozó projektmenedzsment a szervezetek vezetésének és így a vezetéstudománynak egyik legújabb, önálló területe, amely projektek menedzselésével biztosítja a stratégiai célok elérését. Mivel a projekt komplex feladat, ezért a projektvezetınek ismernie és alkalmaznia kell a projektmenedzsment tudományának eszköztárát. A projektmenedzsment tudományának összefogásával, fejlesztésével, a projektvezetés szakembereinek képzésével, érdekeik képviseletével számos nemzetközi és hazai szervezet foglalkozik. Nézzünk ezek közül néhányat. PMI - Project Management Institut Newtown Square, PA (Projektvezetési Intézet) ( USA Fı tevékenysége: Szakmai standardok kialakítása, folyamatos fejlesztése. A PMBOK (Project Management Body of Knowledge) a projekt menedzsment területén világszerte elismert standard. Lehetıséget biztosít a projektmenedzsment területén szakmai vizsga letételére. Folyamatos kutatásokat végez a projektmenedzsment elméleti és gyakorlati területein. A projektmenedzsment területén oktatást végez. A szervezet magyar tagozata: PMI Budapest, Hungarian Chapter ( IPMA International Project Management Association (Nemzetközi Projektvezetési Szövetség) ( ben alapított, Svájcban bejegyzett non-profit szervezet, mintegy 50 nemzeti projektmenedzsment szervezet szövetsége. Küldetése: a projektmenedzsment továbbfejlesztése és nemzetközi standardjain alapuló minısítés kialakítása. A projektmenedzsment területén kutatásokat végez. Tréningeket és nemzeti, nemzetközi konferenciákat szervez. A világ mintegy 40 országában folyik IPMA minısítéső vizsgáztatás. Magyarországi tagszövetsége: Project Management Association Hungary (FİVOSZ) Projekt Menedzsment Mesterség Kitőnıségéért Alapítvány ( A kizárólagos magyarországi IPMA vizsgaközpont. Vizsgáin az alábbi nemzetközileg elfogadott képesítések szerezhetı meg: IPMA A szint - Projekt igazgató, IPMA B szint - Senior projektmenedzser, 58

59 IPMA C szint - Projektmenedzser, IPMA D szint Projektszakértı A projektvezetés fı fogalmainak meghatározása Mielıtt a projektvezetéssel foglalkoznánk, nézzük röviden a projekt fogalmát. A projekt olyan egyszeri tevékenység sorozat, amely komplex feladat megoldásával biztosítja a kitőzött cél megvalósítását (eredményt) elıre definiált minıségben, meghatározott idıintervallum és tervezett költség keret határain belül. A vezetés szintjei: Operatív vezetés (üzemeltetés): feladata a mindennapi folyamatos, szabályozott tevékenység biztosítása. Rövidtávon hatnak a döntései, legmeghatározóbb tényezıi az aktuális helyzet és az éppen elérhetı erıforrások. Elsısorban funkcionális szervezetei egységekhez köthetı. Stratégiai vezetés (tervezés): az egyre gyorsabban változó körülményekhez igazodó jövıbeli mőködést biztosító komplex célok folyamatos újra fogalmazása a feladata. Hosszútávon ható komplex tevékenység, amely a szervezet egészére hatással van. (Tervezés) Projektvezetés (megvalósítás): közvetít a stratégiai vezetés és az operatív vezetés között. A stratégiai vezetés által megfogalmazott cél eléréséhez szükséges innováció a projekt(ek) teljesítésével valósul meg, az innováció eredménye pedig beépül az operatív tevékenységbe. Meghatározó tényezıi az elérendı cél valamint a rendelkezésre álló idıkeret és erıforrás. Egyszeri, de hosszabb idıszak alatt lezajló innovatív tevékenység. Középtávon hat a szervezet több funkcionális egységére, esetenként a szervezet egészére. A vezetés dimenzióinak összehasonlítása: Görög Mihály: A Projektvezetés mestersége, 32. oldal) A projektvezetınek rendelkeznie kell technikai (mőszaki, közgazdasági), humán (kommunikációs, problémamegoldó, konfliktuskezelı, csapatépítı, ) speciális projektvezetési (stratégiaorientált projektvezetési szemléletmód, a projektvezetési ismeretek birtoklása és alkalmazása) képességekkel. PPP: Projekt Program Portfólió ( oldal) 3.3. Hogy készítsünk elı egy projektet? Mivel nincs két egyforma projekt, ezért a projekteknek nem lehetnek egységes szabályai sem. Ebbıl következik, hogy a projekt elıkészítésének elsı teendıje a projekt szabályainak meghatározása, amely magának a projektnek a meghatározását jelenti. A projekt definiálása során meg kell adnunk: 59

60 a projekt célját, a cél elérésének módját, projekt terjedelmét. A fenti adatokat Projektalapító okiratba (project charter) foglalhatjuk. Eric Verzuh: Projektmenedzsment, 94. oldal illetve letölthetı projektmenedzsment anyagok linken keresztül A projekt célja és résztvevıi A projekt megvalósításával a stratégiai vezetés által megfogalmazott eredményt kívánjuk elérni. Vagyis a projekt alapvetı célja ennek az eredménynek a biztosítása. A célokat teljes körően definiálni kell, úgy, hogy azok elıre meghatározott indikátorokkal mérhetıek legyenek. A projektcélnak az eredmény idıtartam költség projektháromszögön belül kell elhelyezkednie, (Görög Mihály: A Projektvezetés mestersége, oldal) és természetesen az eredményt megfelelı minıségben kell biztosítania. Az informatikai rendszerekre különösen igaz, hogy az igények szinte napról-napra változnak. Vagyis ezen a téren állandóan új célok kerülnek megfogalmazásra. Egy információs rendszerrel szemben támasztott igény megoldására két alapvetı cél jöhet szóba: új információs rendszer bevezetése, meglévı rendszer tovább fejlesztése. A célokkal együtt a projektben érintett személyek (stakeholder) körét is meg kell határozni. İk azok, akik részt vesznek projektben, illetve akikre a projekt eredménye hatással van. Az érdekeltség lehet anyagi és nem anyagi természető. Az érdekelt felek legfontosabb csoportjai: Ügyfél (megrendelı), aki meghatározza a követelményeket, fizeti a számlát. Projektmenedzser a projekt irányítója, karmestere. Vezetıi feladata idıleges, csak a projekt idıtartamára szól. Projektteam azon személyek csoportja, akik a projektmenedzser irányításával a projektben szereplı feladatokat megoldják, a munkát elvégzik. Tagjai között a megrendelı érdekeltségi körébe tartozó személyek is lehetnek, mint például az IR projekt esetében a fejlesztésben résztvevı felhasználók. A menedzsment a vállalkozások funkcionális szervezeti egységeinek állandó vezetıi, míg a projektmenedzser megbízása csak ideiglenes, a projekt kivitelezésének idıtartamára szól. szponzor a projekt sikeréért felelıs hivatalos jogkörrel rendelkezı személy, támogatja a projektmenedzser és a projektteam munkáját, közvetít a vállalkozás funkcionális menedzsmentje és a projektmenedzser között, segít a projekttel szembeni belsı ellenállások állások leküzdésében. A projekt indításakor fontos feladat a stakeholder kör pontos meghatározása, igényeik felmérése. Csak az érintettek egyetértése esetén biztosított a projekt sikere, a projekt céljának az elérése. 60

61 Projektjavaslat Miután ismert a projekt célja, a megvalósításra készítünk javaslatokat. A javaslat tartalmazza az elérendı eredmény pontos meghatározását és egy lehetséges megoldást a kívánt eredmény elérésére. Összefoglalja a javasolt változat elınyeit, hátrányait. (Eric Verzuh: Projektmenedzsment, o. illetve letölthetı projektmenedzsment anyagok link) Ha egy projekt esetében a célunk egy új információs rendszer kialakítása, akkor a megoldási alternatívák az alábbiak lehetnek: megvalósítás fejlesztéssel, kész rendszer megvásárlásával, kiszervezéssel. Az elınyök és hátrányok számbavételének az alábbi szempontjai lehetnek: a bevezetéshez rendelkezésre álló idı, a projekt költségkerete, szakszerőség, referenciák, kompatibilitás, betanítás, oktatás, speciális igények a rendszerrel szemben, szoftver követés megoldása, dokumentálás, üzemeltetési támogatás Az emberi és mőszaki erıforrások meghatározása A legmegfelelıbb projektjavaslat kiválasztása után következhet a projekt idıtartamának, a rendelkezésre álló erıforrásoknak a projekt költségeinek tervezése. E három összetevı kölcsönösen befolyásolja egymást. Könnyő belátnunk, hogy a gyorsabb munkavégzés további erıforrásokat (túlóra, nagyobb teljesítményő berendezések, ) igényel, a pótlólagos erıforrás bevonása pedig többlet költséggel jár. A projektvezetésnek kell biztosítania, hogy a szükséges technikai és humán erıforrások meg felelı idıben, megfelelı helyen, megfelelı összetételben, minıségben rendelkezésre álljanak. Mindezt úgy kell biztosítani, hogy közben a projekt megvalósításának idıtartama és költségvetése az elıirányzaton belül maradjon. ( oldal) A projekteknek természetes velejárója a bizonytalanság, ami kockázatot jelent a végrehajtás során. A kockázatkezeléssel a modul II. fejezete foglalkozik részletesen. 61

62 3.4. Hogy építjük fel a projektet? A projektek megvalósítása során munkafolyamatok végrehajtásával terméket állítanak elı meghatározott szervezeti keretek között. Ennek megfelelıen a projektet e három terület részletes felosztásával illetve felépítésével mutathatjuk be. A felbontás során TOP-DOWN tervezést végzünk, vagyis a felülrıl lefelé haladva a nagy egészet felbontjuk olyan kisebb egységekre, amelyek átláthatóak, és egyben kezelhetıek. Ez a felbontás a nagy egész bonyolultságától függıen több szinten, több lépésben is történhet. Ezt az eljárást nevezik fokozatos finomítás módszerének is. Miután meghatároztuk az elemi részeket, következhet a BOTTOM UP tervezés, melynek során alulról felfelé haladva a részekbıl összerakjuk az egészet WBS A WBS (Work Breakdown Structure), munkalebontási szerkezet a tevékenység folyamat részletes felbontását jelenti. A projektek munkacsomagokra bontása a tervezés egyik leghatékonyabb eszköze. Eredményeként megkapjuk a projekt feladatlistáját, amely tartalmazza az elvégzendı munkacsomagokat, illetve az ezeket csoportosító összefoglaló feladatokat. A munkacsomagok méretének meghatározásakor az egyik szempont a 8/80-as szabály, mely szerint a munka 8 és 80 munkaóra, azaz 1-10 munkanap alatt legyen elvégezhetı. Az optimális mérető munkacsomag: paraméterei (idı, erıforrás, költség) pontosabban becsülhetıek, ezáltal kisebb a bizonytalanság és a kockázat, könnyebben nyomon követhetı, ellenırizhetı. (Eric Verzuh: Projektmenedzsment, oldal) A WBS ábrázolása a történhet faszerkezet elrendezésben (3.1. ábra) illetve menülistában (3.2. ábra): Projekt 1.1. Összefoglaló feladat 1. Összefoglaló feladat 2. Összefoglaló feladat 4. Összefoglaló feladat munka csomag munka csomag 1.2 munka csomag 2.1 munka csomag 2.2 munka csomag 3. munka csomag 4.1 munka csomag 4.2 munka csomag 3.1. ábra 62

63 Projekt 1. Összefoglaló feladat 1.1. Összefoglaló feladat Munkacsomag Munkacsomag 1.2. Összefoglaló feladat 2. Összefoglaló feladat 2.1. Munkacsomag 2.2. Munkacsomag 3. Munkacsomag 4. Összefoglaló feladat 4.1. Munkacsomag 4.2. Munkacsomag 3.2. ábra PBS PBS (Product Breakdown Structure) terméklebontási szerkezet, amit darabjegyzéknek (BOM Bill of Materials) is nevezhetünk. A termék részletes felosztása során a - munka felosztásához hasonlóan - meghatározzuk a termékbe beépülı alkatrészek és anyagok struktúráját és mennyiségét. Nagy értékő, sok alkotóelembıl felépülı termékek esetén indokolt az elkészítése. Ábrázolása a 3.1. ábrához hasonló gyártmányfa segítségével történhet. Termék B1 anyag A4 alkatrész A1 alkatrész 4 B2 anyag A2 alkatrész A3 alkatrész B3 anyag B2 anyag B4 anyag B5 anyag B2 anyag B4 anyag ábra A 3.3.ábrán szereplı gyártmányfa egyes alkotó elemei alatt a szükséges mennyiségek szerepelnek. Például A1-es alkatrészbıl 3 db szükséges a termékünkbe, és ezek mindegyikébe 4 db épül be a B3 anyagból. Az ábra alapján határozzuk meg a szükséges B2 anyag mennyiségét: 3*4*2 + 2*3 + 5*8 = 70 63

64 3.4.3 OBS Az OBS (Organization Breakdown Structure) a szervezet felosztását jelenti. Az elvégzendı feladatokhoz szervezeti egységeket kell rendelnünk. A szervezetek alaptípusai: lineáris-funkcionális, mátrix, projektre orientált. Görög Mihály: A Projektvezetés mestersége 8. fejezet: A projektszervezet formái, oldal 3.5. Hogy kell egy projektet irányítani? Az irányítás rendszerelméleti fogalom, beavatkozás a rendszer mőködésébe. A beavatkozás célja lehet: a folyamatok elindítása, a kívánt módon történı fenntartása, hibás mőködés esetén a folyamatok megváltoztatása, folyamatok megállítása. Irányításra azért van szükség, mert a rendszert folyamatosan érik várt - nem várt, kívánt nem kívánt hatások, és ezen hatások között és ezen hatások ellenére a rendszerben a folyamatoknak a kívánt cél felé kell tartania Projektirányítás A projektirányításnak biztosítania kell, hogy a projektet beindítsa, megtartsa a cél felé vezetı úton, a menetközben jelentkezı problémákat idıben felismerje, a zavarokat elhárítsa, és a projektet eredményesen lezárja. A projekt végrehajtása során folyamatos ellenırzés szükséges, mérnünk kell a részeredményeket az esetleges beavatkozások érdekében. A projekt résztvevıivel (stakeholder) már a fejezetben foglalkoztunk. Biztosítani kell, hogy minden érdekelt ismerje a projekt célját, és a kitőzött céllal azonosuljon. Különösen igaz ez a megállapítás a projektteamre, hiszen ık végzik a munkafolyamatok jelentıs részét. A projektirányítás legfontosabb aspektusai: a projektteam kialakítása, hatékony kommunikáció a stakeholderekkel, minden érintett fél motiválása, konfliktuskezelés. (Eric Verzuh: Projektmenedzsment, oldal) Projektvezetés A projektvezetés a 3.2. fejezetben említett képességek birtokában a rendelkezésére álló eszközök alkalmazásával, a projektteam hatékony irányításával biztosítja a projekt céljához 64

65 vezetı munkafolyamatokhoz szükséges erıforrásokat meghatározott idıtartam, költségkeret és minıség betartása mellett. A projektvezetés a projekt végrehajtása során részfeladatokat újracsoportosít, mint pl. tervezés, kockázatkezelés, költségszabályozás, becslés, változásmenedzselés. A legfontosabb projektvezetési eszközök: A projektvezetési technikák a projekt egy egy szakaszához kapcsolódó eszközök csoportja, melyek számszerő (mennyiségi) megoldásokat eredményeznek. Ilyen technika például az idıszükséglet tervezésekor használt hálótervezés vagy a kockázatelemzés eszköztára. A projektvezetési módszerek szintén a projekt valamely részterületéhez köthetı kvalitatív eszközök, eredményük nem számszerő. Az elıbbi eszközöktıl eltérıen a projektvezetési módszertan (eljárások) a projekt egészével foglalkozik, annak forgatókönyvét adja. Ilyen eljárás a PRINCE (PRojects IN Controlled Environments) (Görög Mihály: A Projektvezetés mestersége, és oldal) Kurzusunk a továbbiakban csak a tervezés, költségszabályozás és a változás-kezelés néhány eszközével foglakozik Tervezés (Pert és Gantt) E tervezés egyik fontos területe a folyamatok idıszükségletének tervezése. Egy projekt idıszükségletének tervezés az alábbi lépésekbıl áll: A projektet tevékenységekre (munkacsomagokra) bontjuk. Meghatározzuk a tevékenységek logikai sorrendjét, a tevékenységek függését. Minden tevékenységhez megadjuk: o az ıt közvetlenül megelızı, o az ıt közvetlenül követı tevékenységeket, o a tevékenységek közötti várakozási idıket illetve átfedéseket, o a párhuzamosan végezhetı tevékenységeket, A tervezés során a logikai sorrendet sok esetben a technológiai elıírások határozzák meg, bizonyos esetekben a tervezı döntheti el. A tevékenységek idıtartamának meghatározása. A tevékenységek ábrázolása: o sávdiagramon, pl. Gantt-diagram, o hálódiagramon, pl. PERT diagramon. Az elkészült idıterv elemzés, konkrét idıpontok hozzárendelésével. Költségek meghatározása. Sávdiagramaon történı ábrázolás: Gantt-diagram Projektek idıtervének egyik legelterjedtebb ábrázolási módja a Gantt-diagram. Ezt a sáv diagramot használja az MS Project program is alapértelmezett nézetként. A diagram sorfejében a sorszámok és a tevékenységek megnevezése, oszlopfejében pedig az idı (egymást követı azonos hosszúságú idıszakok) szerepel. Az alábbi ábrán Gantt diagramon: 65

66 Sorszám 1. a tevékenység Tevékenység Idı (hét) b tevékenység 3. c tevékenység 4. d tevékenység 5. e tevékenység 6. f tevékenység 3.4. ábra Az ábrán a pirossal jelölt idıszak kötelezı várakozási idıt jelent, vagyis a d tevékenység csak az a tevékenység befejezése után 1 héttel kezdıdhet. A világoszöld nyilak a tevékenységek függıségét szemléltetik. Például az e és az f tevékenység függ a c és a d tevékenységektıl, az e és az f csak a c és a d tevékenységek befejezıdése után kezdıdhet. További példák: Görög Mihály: A projektvezetés mestersége, 6.5. ábra. Egy hétvégi ház építési projektjének idıterve Gantt-digram formában (111.oldal) A Gantt-diagram kiegészíthetı az egyes tevékenységek felelıseivel és a határidıkkel is. Erre láthatunk példát az alábbi oldalon: Hálódiagramon történı ábrázolás Hálóba történı ábrázolásnak két fajtája létezik. Az egyik ábrázolásban a háló csomópontjai jelentik a tevékenységeket, az élek pedig a tevékenységek egymáshoz kapcsolódását mutatják. A 3.5. ábra hálótervében a 3.4. ábra Gantt-diagramjában szereplı folyamat tevékenységeit ábrázoljuk. Ebben az ábrázolásban az átfedések és várakozási idık nem jelentenek gondot. 66

67 a c e b d f 3.5. ábra A másik ábrázolási módban a háló élei jelentik a tevékenységeket, a csomópontok állapotokat mutatnak. A 3.6. ábrán is a 3.4. ábra Gantt-diagramjában szereplı folyamat tevékenységeit szemléltetjük. A 3-as állapot azt jelenti, hogy mind a c, mind a d tevékenység befejezıdött. A szaggatott vonal látszattevékenységet jelöl, azt mutatja, hogy az 5-ös állapot (ami egyben a teljes folyamat vége) csak a 4-es állapot után következhet be, de a két állapot között nincs tényleges munkavégzés. Várakozási idı b 2 2 c 3 e f 5 0 d 4 a 1 Látszat tevékenység 3.6. ábra Hátránya ennek az ábrázolásnak, hogy az átfedéseket nem képes kezelni, a várakozási idıket pedig fiktív tevékenységként kell feltüntetni. A 3.6. ábra hálódiagramja és a 3.4 ábra idıadatai alapján a CPM (Critical Path Method) eljárás segítségével meghatározhatjuk a minta projektünk átfutási idejét, és a kritikus utat. A kritikus út az a tevékenység sorozat, amelyben bármilyen késedelem az egész projekt elhúzódását eredményezi. A 3.8. ábra második oszlopában az egyes tevékenységek kezdeti állapotát, a táblázat elsı sorában pedig az egyes tevékenységek végállapotát tüntetjük fel. A táblázat érték adatait bemásoljuk 3.4. és a 3.6 ábrából. Például a d tevékenység az 1 állapotból indul, és a 3 67

68 állapotban végzıdik, idıtartama 6 hét. Ha a hálótervet jól szerkesztettük, akkor a táblázatnak csak az átló feletti sárga részén lehetnek adatok. Ezután kezdhetjük a számolást. Legkorábbi kezdés 0 2 Befejezés Kezdet a 2 b 2 vár. idı 1 d c 6 3 f 3 e 4 látsz. tev. 0 Legkésıbbi kezdés ábra A táblázat elsı oszlopában meghatározzuk, hogy mikor következhetnek be leghamarabb az egyes állapotok, vagyis az egyes tevékenységek mikor kezdıdhetnek legkorábban. A 0 állapotnál 0 idıpontban indítjuk a stoppert. Az 1 állapot akkor áll elı, ha a 0 állapot után az a tevékenység befejezıdött, vagyis = 2 idıpontban (piros nyilak). A számolási algoritmusunk szerint az n. állapot legkorábbi bekövetkezéséhez az n. állapot oszlopában az i. sorban talált számhoz, hozzáadjuk az i. sor elején (legkorábbi kezdés oszlopban) található számot. Ha az n. oszlopban több szám is van, akkor mindegyikre ki kell számolnunk az összeget, és a legnagyobb értéket kell beírnunk a legkorábbi kezdéshez. (Az adott állapotot megelızı leghosszabb tevékenység sorozatnak is be kell fejezıdnie.) A 3 állapot esetében: = 6 (fekete nyilak) = 8 (zöld nyilak) Mivel a 8 a nagyobb, ez lesz a 3 állapothoz tartozó legkorábbi kezdés. A várakozás idı és a látszattevékenység (0 héttel vesszük figyelembe) számítása a többi tevékenységhez hasonló módon történik. Miután mindegyik állapothoz kiszámoltuk a legkorábbi kezdést, azt kaptuk, hogy a teljes folyamat átfutási ideje 12 hét. Ezt a 12-t átmásoljuk a legkésıbbi kezdés sorának utolsó oszlopába, és elkezdjük a legkésıbbi kezdések kiszámítását. Meghatározzuk, hogy az egyes állapotok mikor következhetnek be legkésıbb úgy, hogy a teljes folyamat átfutási ideje ne növekedjen. A megoldást az áttekinthetıség miatt a 3.8. ábrán folytatjuk. 68

69 Legkorábbi kezdés 0 Befejezés Kezdet a 2 b 2 vár. idı 1 d c 6 3 f 3 e 4 látsz. tev. 0 Legkésıbbi kezdés Tartalék idı ábra A 4 állapotnak legkésıbb az 5 állapot legkésıbbi bekövetkezése (12. hét) elıtt a látszat tevékenység (0) idıtartamával elıbb fenn kell állnia, vagyis 12-0 = 12 idıpontban (piros nyilak). A számolási algoritmusunk szerint most az n. állapot legkésıbbi bekövetkezéséhez az n. állapot sorában az i. oszlopban talált számot, levonjuk az i. oszlop legkésıbbi kezdés sorában található számból. Ha az n. sorban több szám is van, akkor mindegyikre ki kell számolnunk a különbséget, és a legkisebb értéket kell beírnunk a legkésıbbi kezdéshez. (Az adott állapotot követı leghosszabb tevékenység sorozatnak is be kell fejezıdnie.) A 3 állapot esetében: 12-3 = 9 (fekete nyilak) 12-4 = 8 (zöld nyilak) Mivel a 8 a kisebb, ez lesz a 3 állapothoz tartozó legkésıbbi kezdés. Ha kiszámoltuk visszafelé haladva az összes állapothoz tartozó legkésıbbi kezdést, meghatározhatjuk a tartalékidıket és a kritikus utat. A tartalék idıt megkapjuk, ha az egyes állapotokhoz tartozó legkésıbbi kezdésbıl levonjuk az adott állapothoz tartozó legkorábbi kezdést. A 0-nál nagyobb tartalék idı azt jelenti, hogy amennyiben az adott állapotnak a bekövetkezése a tartalékidınél nem nagyobb mértékben csúszik, a teljes projektre kiszámított átfutási idı nem növekszik meg. A állapotoknál tartalék idı 0, vagyis ezeknél az állapotoknál nem történhet csúszás, ezek az állapotok a kritikus úton vannak. A 3.6. ábrán narancssárgával jelölt tevékenységek mutatják a kritikus utat. A hálós ábrázolás típusától függetlenül a projekt folyamatainak bizonytalanságától függıen használjuk: 69

70 a determinisztikus számítást, vagy a szochasztikus becslést. Ha a folyamat összes tevékenységéhez egy-egy meghatározott idıtartamot rendelhetünk, amelynek nincs bizonytalansága, akkor determinisztikus megközelítésrıl beszélhetünk. Ilyen a minta feladatunk is, amelyre fent elvégeztük a kritikus út meghatározását. Ha viszont a tevékenységek idıtartama nem határozható meg egyértelmően, akkor sztochasztikus idıtervezést végzünk. A PERT (Program Evalution and Review Techniqe) technika alkalmazásakor a tevékenységek idıtartamának három értékét adjuk meg. Az optimista idıtartam a legrövidebb idıtartam, ami alatt a tevékenység elvégezhetı. (Minden bizonytalansági tényezı a lehetı legjobban alakul.) A pesszimista idıtartam a leghosszabb idıtartam, ami alatt a tevékenység elvégezhetı. (Minden bizonytalansági tényezı a lehetı legkedvezıtlenebbül alakul.) A reális idıtartam alatt végezhetı el a tevékenység a legnagyobb valószínőséggel. (A bizonytalansági tényezık átlagosan alakulnak) E három idıadatból számolhatjuk a várható idıtartamot és annak bekövetkezési valószínőségét, ezek ismeretében pedig meghatározhatjuk a kritikus út hosszát és bizonytalanságát Költségvetés és költségszabályozás Az idıszükséglet tervezése mellett a tervezés egy nagy területe a költségek tervezése. A projekttel kapcsolatos költségeket két nagy csoportra bonthatjuk: Az egyszeri költségek, amelyek a projekt megvalósítása alatt, a beruházáshoz kapcsolódóan jelentkeznek. A folyamatos költségek, amelyek a kész projekt üzemeltetése közben keletkeznek. Egy informatikai projekttel kapcsolatos beruházási költségek: hardver, szoftver, menver, orgver költségei. A hardver és szoftver költségei egy informatikai projekt esetében triviálisnak tőnnek. De hiába a legjobb technika, ha nincs megfelelı személyzet a mőködtetésére, akkor a projekt nem lehet sikeres. A majdani mőködtetést végzı személyzet felkészítését is a projekt megvalósítása alatt kell elvégezni, ezért ez része az egyszeri költségeknek. Ugyanígy egyszeri költséget jelentenek a projekt sikeréért dolgozó szervezı team munkájával kapcsolatban felmerült anyagi jellegő és személyi jellegő költségek is. Az üzemeltetés költségei a projekt elkészülte, üzembe helyezése után lépnek fel. Általában a régi rendszer gazdaságtalan, magas mőködési költségénél alacsonyabb költséget jelent. Pl. kevesebb ember, és/vagy rövidebb idı alatt végzi el ugyanazt a munkát. Ezt az esetet költség megtakarításként vehetjük figyelembe. Természetesen az is elıfordulhat, hogy a mőködés költségei nem lesznek alacsonyabbak, hanem az új rendszer kibıvült, jobb minıségő szolgáltatásai jelentik az új rendszer elınyeit. Informatikai projekteknél különösen gyakori ez az utóbbi eset. 70

71 Fontos szempont a költségvetéssel kapcsolatban, hogy a projekt elején kell elkészíteni, de egyes tételei a projekt futamideje alatt aktualizálódnak. Vagyis induláskor a költségeket becsüljük. A becslés tipikus módjai: Szakaszos becslés alkalmazásakor a projektet szakaszokra bontjuk, és az egyes szakaszok költségeit tervezzük meg úgy, hogy az idıben közeli szakaszokra részletes becslést készítünk, a távoli szakaszokra csak nagyságrendi becslést. Arányos felosztás során a teljes projekt költségkeretét felosztjuk az egyes részfeladatok között. Paraméteres becslés esetén a fajlagos (egy egységre jutó) mutatók, mint paraméterek, és az egységek darabszáma alapján becslünk. Lentrıl-felfele becslés használatakor minden egyes tevékenység (ld. WBS tervezés) költségét meghatározzuk, és ezen költségeknek általában, többszintő összesítésével kapjuk a projekt költségvetését. Részletesebben és példákkal illusztrálva lásd Eric Verzuh: Projektmenedzsment, oldal Változás-kezelés és az emberi tényezı A projektek végrehajtása közben változhat a megrendelı igénye, új technológiák jelenhetnek meg, és számtalan egyéb, elıre nem prognosztizálható hatással szembesülhetünk. Ezek a nem várt hatások a projekt végrehajtásában változásokat igényelnek. A változás-kezelés lehet proaktív, amely elébe megy a változásoknak, vagy lehet reaktív, amely követi a változásokat. A változások különbözı mértékőek lehetnek, ennek megfelelıen a változásmenedzsment különbözı szintjein történik a változások jóváhagyása: A projektmenedzser vagy a projektteam olyan változásokat hagyhat jóvá, amelyek javítják, vagy nem érintik projekt eredményét, valamint nem növelik a költségeket és az átfutási idıt. Amennyiben az eredményben, költségekben vagy idıkeretben történik változás, a módosítás jóváhagyásáról vagy elutasításáról a projektbizottság dönthet. A projektbizottságban képviselettel rendelkezik a projektteam, a megrendelı, a funkcionális menedzsment, és részt vesznek a bizottság munkájában mindazon területek képviselıi, amelyekre a változás hatással van. Ha a változás meghalad egy értékhatárt, a steakholderek magasabb szintő vezetıinek kell a változtatásokat elbírálnia. Bármelyik szinten történjen is a változásokkal kapcsolatos döntések meghozatala, nagyon fontos a megfelelı dokumentálás. A két jelentıs dokumentum a változtatási kérelem és a változtatási napló. Eric Verzuh: Projektmenedzsment, és oldal, vagy letölthetı projektmenedzsment anyagok link. Egy informatikai rendszer bevezetése a vállalkozások szervezeti felépítésében is változtatásokat igényel. A rendszert használó szakember gárdát is fel kell készíteni az új rendszer használatára. A következı tevékenységek a jó felkészítés kulcsai: 71

72 A projekt minden szintjére kiterjedı kommunikáció. A coaching, amely a sportból származó felfogás szerint speciális gondolkodásmód, szemlélet, amely növeli a probléma megoldó képességet, és ezáltal jobb eredmények elérését teszi lehetıvé. A coach (tréner) nem tanácsokat ad, hanem segíti a rejtett, belsı adottságok felismerését, és ezek kibontakoztatásával az eredményesebb munkavégzés elérését. Az új informatikai rendszer kezelését képzések során sajátíthatják el a leendı felhasználók. Ez történhet külsı és belsı képzéssel, iskolarendszerő és nem iskolarendszerő keretek között 3.6. Hogy telepítsük és használjuk a projekt eredményét Az információs rendszert az éles használat elıtt tesztelni kell. A tesztelés természetesen már a fejlesztés során is követelmény. A tesztelés szintjei: Modul teszt. A top-down tervezés során a programot kis modulokra bontjuk, és ezen modulokat már a kódolás közben teszteljük. Maga a fejlesztı rendszer elvégzi a szintaktikai ellenırzést, ami azt jelenti, hogy az utasításoknak meg kell felelnie a fejlesztı rendszer nyelvtani szabályainak. A szemantikai tesztelés során a fejlesztık, illetve a felkért, független tesztelık a program egyes moduljainak tartalmát ellenırzik. A tesztspecifikációban meghatározott lépések során elıre definiált inputokhoz kapcsolódó elvárt outputokat ellenırzik. Integrációs teszt. A bottom-up tervezésnek megfelelıen a az egyes modulokból egyre nagyobb egységeket állítunk össze, integráljuk a részegységeket. Az ellenırzés során gyakran használt eljárás a V & V. o a verifikációval ellenırizzük, hogy jól tesszük-e a dolgunkat, o a validációval pedig azt ellenırizzük, hogy az elıállított rendszer teljesíti-e a vele szemben támasztott követelményeket. A próbaüzem során a teljes rendszer tesztelése történik üzemi körülmények között. Az elkészült rendszer bevezetése történhet: közvetlen átállással, szakaszos átállással, párhuzamos üzemeltetéssel. A közvetlen átállás azt jelenti, hogy tegnap még a régi rendszerben dolgoztunk, mától az új rendszert használjuk. Kisebb rendszerek esetén használják, alapos elıkészítés után. A bevezetési módszerek közül a leggyorsabb és amennyiben sikerrel jár, a legolcsóbb. Hátránya a kockázatossága. Nagyobb rendszereknél használjuk a szakaszos átállást, vagyis a rendszer bevezetését több lépésben valósítjuk meg. A bevezetés szakaszolása történhet a bevezetés helye szerint (szervezeti egységenként), vagy a rendszer moduljainak egymás utáni használatba vételével. Ez a módszer csökkenti a bevezetés kockázatát, de idıben elhúzódik a bevezetés, és a közvetlen átállásnál költségesebb is. 72

73 A párhuzamos üzemeltetés során a régi és az új rendszert is használjuk egyidejőleg. Ez az eljárás a legköltségesebb megoldás, de mivel a régi rendszerben minden rendelkezésre áll továbbra is, gyakorlatilag nincs kockázata ennek a módszernek, így ezt tekinthetjük a legbiztonságosabbnak. További elınye a párhuzamos üzemeltetésnek, hogy az új rendszer eredményei összehasonlíthatók a régi rendszerével, így egyfajta próbaüzemnek is felfoghatjuk. Ajánlott irodalom a 3. Fejezethez Project Management Institute, PMI Budapest, International Project Management Association, Project Management Association Hungary (FİVOSZ) Letölthetı nyomtatványok Eric Verzuh: Projektmendzsment könyvéhez kapcsolódóan: Eric Verzuh: Projektmendzsment (HVG könyvek, Budapest 2006) Görög Mihály: A projekttervezés mestersége (Aula, Budapest, 2003) 3.7. Ellenırzı feladatok 1. Igaz-hamis Hamis A projekt ismétlıdı feladatok megoldását szolgálja. Igaz A projektet meghatározott idıtartamon és költségkereten belül kell végrehajtani. Igaz A projektteam egy adott projekt megvalósítására szervezett csapat. Hamis A projektvezetınek csak a szükséges mőszaki ismeretekkel kell rendelkeznie. 2. Melyik vezetési szint döntései hatnak középtávon? Stratégiai vezetés. Idegenvezetés. Operatív vezetés. Projektvezetés. 3. A felsoroltak közül ki nem tartozik stakeholder körbe. Ügyfél. Szponzor. Projektmenedzser. Mindhárom felsorolt az érdekelt felek közé tartozik. 4. Az alábbi felsorolásból válassza ki azokat a szempontokat, amelyek a vásárolt szoftver mellett szólnak a saját elıállítású szoftverrel szemben: Sajátos igényeinket jobban kielégíti. Olcsóbb. Gyorsabban bevezethetı. Több referenciával rendelkezik. 73

74 5. Igaz-hamis Hamis A WBS eredménye a darabjegyzék. Igaz A WBS eredménye a projekt feladatlistája. Igaz A WBS esetében alkalmazhatjuk a 8/80 as szabályt. Hamis A WBS csak menülistában ábrázolható. 6. A 3.3 ábrán szereplı termékhez a B4 anyag szükséglete: A 3.6 ábrán bemutatott folyamat teljes idıszükséglete rövidebb lesz-e, ha a 2-2 várakozási idı egy másik technológia alkalmazásával megszüntetjük (0 hétre csökkentjük)? Igen, mert a kritikus úton van. Nem, mert a kritikus úton van. Nem, mert nincs a kritikus úton. Igen, mert nincs a kritikus úton. 8. Igaz hamis Hamis Egy új informatikai rendszer bevezetésének legbiztonságosabb módja a szakaszos átállás Igaz Egy új informatikai rendszer bevezetésének leggyorsabb módja a közvetlen átállás Igaz Egy új informatikai rendszer bevezetése során alkalmazott párhuzamos üzemeltetés a két rendszer használata miatt költséges. Igaz Egy új informatikai rendszer bevezetése során alkalmazott szakaszos átállás több idıt igényel, mint a közvetlen átállás. 74

75 4. FEJEZET: AZ IR BIZTONSÁGA ÉS KONTROLLJA 4.1. Bevezetés Az információs biztonság, számítógépes biztonság és információs biztosítás kifejezések gyakran hallhatók egy vállalat adatvédelmével kapcsolatban. Adatvédelmen a továbbiakban most csak az informatikai rendszerekhez kapcsolódó adatvédelmi aspektusokkal foglalkozunk. Mikor az információ biztonságáról beszélünk, tudnunk kell, hogy manapság szervezetek sikere és túlélése egyre inkább informatikai rendszereik sikeres megvalósításától függ. Az információ áramlását sem az idı, sem a távolság nem korlátozhatja. Sok szervezet számára az információ és a feldolgozásához szükséges technológia a legértékesebb tıke. Az elektronikus információ és a számítástechnikai rendszerek jelentıs szerepet játszanak a legfıbb üzleti folyamatok támogatásában. Eközben a szervezetek sebezhetısége folyamatosan nı. Nem csupán az információhoz való hozzáférésérıl van szó, hanem az Internet miatt globálissá váló fenyegetésrıl is. Az informatikai adatvédelem célja és feladata az adatkárosodás, adatvesztés, illetve az illetéktelen adatelérés lehetıségének minimalizálása. Az adatvédelem fogalomkörébe tartozik minden olyan eszköz és módszer, mely ezt a célt szolgálja. Fentiek szerint az adatvédelem témakörének, egyben az adatvédelem irányainak egy logikus felosztása a következı: Adatkárosodás elleni védelem Illetéktelenség elleni védelem ( V é l e t l e n b e h a t á s o k ) ( S z á n d é k o s b e h a t á s o k ) Természeti behatások, elemi csapások ellen Hardver és szoftver hibák ellen Emberi tévedések ellen Illetéktelen adatelérés ellen (lopás, visszaélés, rongálás) Illetéktelen programhasználat ellen Vírusok ellen (Elektronikus kórokozók) Forrás: Kaderják Gyula: Adatvédelem. Fıiskolai jegyzet. BGF. Az adatvédelemnek három egymásra épülı szintjérıl beszélhetünk minden rendszerben. Az egyes védelmi szinteken alkalmazott adatvédelem azonban mindig egy általános jogi szabályozás keretén belül valósul meg. Minden esetben az érvényes jogszabályokkal (törvényekkel és rendeletekkel) összhangban kell létrejönnie és mőködnie a specifikus védelemnek. A védelem három egymásra épülı, egymást feltételezı szintjei: 1. Fizikai 2. Ügyviteli 3. Algoritmusos (szoftveres) A fizikai védelem körébe tartozik az elhelyezés, üzemeltetési környezet kialakítása, a vagyon- és biztonságvédelem eszközei. Ügyviteli védelmen a jogi szabályozást, az adatkezelésre vonatkozó szabályzatokat, ügyrendeket értjük, az adatkezeléshez kapcsolódó feladatkörök, felelısök és felelısségek pontos meghatározását. 75

76 Az algoritmusos védelem körébe tartozik minden szoftveres adatvédelmi megoldás, melyek védelmi feladatukat a rendszer szolgáltatásaival egyidejőleg, velük szoros együttmőködésben látják el. A nem szándékos behatások elleni védelem fontossága bár jelentıs, mégis, fıleg az elektronikus, Internet-alapú társadalom erısödésével a nagyobb súlyt egyre inkább az illetéktelenség elleni védelmi megoldások jelentik. Az illetéktelenség területének legfontosabb alapelvei a következık. A titkosság, a teljesség és rendelkezésre állás (confidentiality, integrity, availability), angol akronímával CIA, az információs biztonság legfıbb elvei. A felsoroláshoz hozzáadhatjuk a hitelességet és a vissza nem utasítást is. A titkosság azt jelenti, hogy megelızzük az információ közlését jogosulatlan személyek vagy rendszerek felé. A sértetlenség azt jelenti, hogy az adatokat tilos jogosulatlanul módosítani. A magas szintő hozzáférhetıség azt jelenti, hogy minden információnak hozzáférhetınek kell lennie szükség esetén. A magas szintő hitelesség azt jelenti, hogy az adatok létrehozója egyértelmően azonosítható. A vissza nem utasítás azt jelenti, hogy egy mővelet egyik érintett fele nem tagadhatja le az információ megkapását, illetve a másik fél nem tagadhatja le az elküldés tényét Biztonsági szabályok: szigorú szabály, irányelv és szervezéssel elért biztonság Mint minden tevékenység, a számítástechnikai munka is egy konkrét jogszabályi rend keretei között zajlik. Vannak általános érvényő törvények és rendeletek, melyek az informatikai biztonság területét is érintik, és vannak kifejezetten a számítástechnikára és az elektronikus adatkezelésre vonatkozó rendelkezések, melyeknek egy még szőkebb köre a konkrét munkahelyi szabályozásra irányul. A jogi szabályozás szintjei tehát "felülrıl lefelé" haladva a következık: 1. Általános védelmi szabályozás 2. A számítástechnikai adatvédelem specifikus szabályozása 3. Helyi (belsı) adatvédelmi szabályozás, melynek legfontosabb két eleme az informatikai biztonsági szabályzat (IBSZ) és az adatvédelmi felelıs. Általános védelmi jogszabályok: ezek egy része a társadalmi-gazdasági környezet változásával együtt dinamikusan módosul, míg a másik része statikus. Fontosabb statikus elemek például az államtitok és szolgálati titok védelme (TÜK = Titkos Ügyirat Kezelés), a statisztikai adatok védelme, a személyi jogok védelme, a szerzıi jogvédelem, az üzemi és üzleti titok védelme. 76

77 E körbe tartoznak a különbözı mőszaki-technikai normatívák, szabályok, elıírások, például építésügyi szabványok, tőzvédelmi jogszabályok, vagyonvédelmi és rendészeti elıírások, környezetvédelmi elıírások, telepítési és üzemeltetési elıírások. Ide tartozik néhány általános elıírás is, mely elsısorban a társadalmi tulajdon védelmére vonatkozik, pl. az iratkezelés rendje. Számítástechnika-specifikus adatvédelmi jogszabályok hatálya kiterjed a számítógépekre és számítástechnikai berendezésekre, valamint ezek környezetére (biztonságtechnikai berendezésekre), a számítástechnikai munkafolyamatokra, a programokra és dokumentációikra, valamint az elsıdleges, illetve keletkezı adat-, irat-, információhalmazra. Ide tartoznak az alapvetı és a kiemelt biztonsági fokozatra vonatkozó elıírások (pl. katasztrófaterv kötelezettség) is. Belsı (vállalati) szabályozás: A jogi szabályozás e harmadik, vagyis konkrét vállalati ügyrendi szabályozási szintjét szokás egyszerően csak ügyviteli védelemnek nevezni. Az ügyviteli védelem fontos része a teljes védelemnek, mivel az üzemviteli tevékenységek sokaságának (operátori beavatkozások, adattárolók mozgatása, rendszerkarbantartás) szabályozása más eszközökkel nem érhetı el. Az ügyviteli szabályozás legfontosabb elemei az Informatikai Biztonsági Szabályzat, melynek készítését rendelet írja elı. Az IBSZ tartalmazza többek között az adatkezelés helyi rendjét, s a dolgozók hatáskörének, feladatkörének, felelısségi körének pontos leírását. Az IBSZ-nek az adatkezeléshez kapcsolódó legfontosabbak elemei: a számítástechnikai eszközök megközelítésére, elérésére vonatkozó elıírások a hardvervédelmi szabályok, a szoftvervédelmi elıírások, az üzemeltetési elıírások, a be- és kimeneti adatok átvételi rendje, a betekintési és hozzáférési jogosultságok elıírásai, az archiválás és biztonsági mentések rendje, az adathordozók tárolásának és jelölésének rendje, a selejtezés illetve megsemmisítés módjai, a vírusvédelemre vonatkozó elıírások, a titokvédelemre vonatkozó elıírások (TÜK = Titkos Ügyirat Kezelés) a karbantartási rend, a katasztrófaterv Az IBSZ-hez kapcsolódik a helyi adatvédelmi felelıs (AF) személye, akinek feladata az IBSZ következetes és szakszerő végrehajtása, akinek jogait és kötelességeit (részben) az IBSZ rögzíti, s aki jellemzıen ellátja az adatfeldolgozás, a számítástechnikai beruházások és új adatfeldolgozások szervezésének szakmai felügyeletét, gondoskodik az adatvédelmi elıírások betartásának ellenırzésérıl, a szükséges intézkedések kezdeményezésérıl, s ellátja a titokvédelmi munka felügyeletét. Mint láthattuk, a biztonsági szabályokat a biztonság legfontosabb elveinek garantálása érdekében készítik. Szigorúságukat tekintve a szabályokat három csoportba sorolhatjuk: 77

78 szigorú szabály irányelv szervezeti szabály. A szigorú szabályok a munkahely és a számítástechnikai létesítmények környezetét figyelik és szabályozzák Az irányelvek szoftvert és adatokat használnak az információhoz és a számítástechnikai rendszerekhez való hozzáférés céljaira. A szervezeti szabályok (másik nevükön eljárási szabályok) jóváhagyott írott belsı utasítások, eljárások, szabványok és útmutatások. A titkossággal kapcsolatos szabályokat az alábbi példákkal lehet bemutatni: Szigorú szabály: a laptopot billentyőzárral védeni kell Irányelv: használjon jó jelszavas védelmet Szervezeti szabály: nem szabad vonaton titkos cégügyekrıl telefonálni A teljességgel kapcsolatos szabályokat az alábbi példákkal lehet bemutatni: Szigorú szabály: tilos idegeneknek fizikai hozzáférést engedni a számítógéphez Irányelv: használjon jó rendszert hozzáférés korlátozására Szervezeti szabály: minden felhasználónak el kell magyarázni az adatminıség fontosságát A hozzáférést az alábbi példákkal lehet illusztrálni: Szigorú szabály: speciális számítógépet kell használni RAID rendszerrel Irányelv: védekezzen a hálózatszolgáltatás megtagadásával megvalósított támadás ellen Szervezeti szabály: Meg kell tanítani a felhasználót arra, hogy ne indítson nagy erıforrás-igényő alkalmazást, mikor a gépek valamilyen rendszeres funkció lebonyolítása (pl. bérszámfejtés) miatt különösen leterheltek 4.3. A biztonság emberi tényezıje Az emberi tényezıket, a többihez hasonlóan, sorolhatjuk a vétlen és szándékos behatások közé. Vétlen emberi hatások elleni védelem Az emberi tévedések kiszőrése alapvetıen szoftveres feladat. E hibák kivédése egyrészt operációs rendszer szintő feladat, másrészt a felhasználói programok is fel vannak vértezve valamilyen szintő adatbevitel-ellenırzési képességgel Az adminisztratív jellegő emberi hibák ellenei védelmi megoldások zömét maga az operációs rendszer biztosítja. (Pl. Windows esetén a vétlen törölt állomány a lomtárból visszaállítható, a vétlen formázás, és egyéb kockázatos mőveletek esetén több szintő szándék-megerısítés szükséges, de a fájlok attribútumainak /pl. rejtett, csak olvasható/ megfelelı kezelése is jó védelmi megoldás.) 78

79 Az emberi tévedések illetve tévesztések lehetısége az adatok bevitele, karbantartása során a legnagyobb. Ezek a hibák az adatbevitel többszintő ellenırzésével szőrhetık meg. Az ellenırzés szintjei: Bizonylat ellenırzés Még az adatbevitelt megelızıen, célszerő az alapbizonylatok átvizsgálása, egyeztetése. o Adatrögzítés ellenırzése Vizsgálhatjuk a bevitt adat érvényességi körét, illetve értelmezési tartományát. Ennek gyakori módja az ún. CDV kódok (ellenırzı számjegyek) alkalmazása. (Ilyen pl. a személyi szám utolsó jegye, fogyasztó azonosítók utolsó jegye, stb.) Ellenırizhetjük az összetartozó adatok kapcsolatának érvényességét, az adatok között fennálló feltételek, feltételrendszerek kielégítésének teljesülését. (Például egy nyitó dátum nem lehet kisebb, mint egy záró dátum.) Adattisztítás o Adatbevitelt követıen adattisztítást végezhetünk. Különbözı hibaellenırzı/javító funkciók a rögzített adatállományok rejtettebb hibáinak feltárást is megvalósíthatják. Szándékos emberi hatások elleni védelem Semmilyen technikai rendszer sem mőködhet sikeresen, ha a felhasználók nincsenek tudatában a biztonsági problémáknak és azok hatásainak. A biztonság mindenki közös ügye, nem csak a vezetıké. A vállalat minden munkavállalójának, még egy kkv-ban is felelnie kell az információs biztonságért, ezzel kapcsolatos tájékoztatási kötelezettségért, és tanítania kell a szervezet minden tagját. Egyes fenyegetések közvetlenül emberi eredetőek: Hackerek A hacker-ek a számítástechnika fenegyerekei. A feltörık, a mackósok, a virtuskeresık. Az elektronikus világ egy külön kasztját jelentik, saját fórumokkal, szaklapokkal, szakzsargonnal. Céljaik általában nem ártó szándékúak. Javarészt nem anyagi haszon reményében törik fel a legféltettebb titkokat és a legmegbízhatóbbnak gondolt rendszereket is, pusztán szakmai kíváncsiságból, önérzetbıl, virtusból. Ezek a sokszor csak tizenéves suhancok a számítógépeket és a hálózatokat mindenkinél jobban ismerik. Vadásznak a gyártó cégek "szigorúan titkos" dossziéira. Hihetetlen elszántsággal és kitartással kísérleteznek, s végül mindig övék a dicsıség. Mindig elıbbre járnak, mint a titkosítók, a védelmezık, a rejtık. Ha sikerül bejutniuk egy katonai rendszer szupertitkos serverére, jópofa üzeneteket hagynak a személyzet monitorán, s közben atomtitkokat csennek el. De ık azok is, akik a legtöbbet tették azért, hogy az Internet a világ legdemokratikusabb fóruma legyen. Tılük származik a shareware és freeware programok zöme. A szuperformázók is, és a szupervírusok is. S bármit tesznek is, mindig betartják saját íratlan etikai kódexük szabályait. A legnagyobb biztonságtechnikai cégek egymást túllicitálva keresik a sok esetben börtönviselt hacker királyokat, mert tudják, hogy tılük jobb védelmi szakembereket sehol sem találnak. Az ártó szándékkal mőködı felnıtt hackerek-re külön elnevezés is él, ık a cracker-ek. A script kiddies elnevezés pedig azokat a leginkább fiatalkorú hacker-ek illeti, akik legtöbbször 79

80 nincsenek is tudatában cselekedetük súlyával, a tettük által várható veszteségekkel. Általában különösebb cél nélkül keresik a rendszerek gyenge pontjait, s igyekeznek ezeket kihasználni. Sértett munkavállalók A munkavállalók nagyon kiszolgáltatottak. Munkaadóik iránti lojalitásuk néha lecsökken. Ez is szaporíthatja a számítástechnikai rendszerek biztonsági elemei elleni kijátszási kísérleteket. Az IBM cég egy felmérése szerint az adathibák és hibás mőködések több mint felét nem külsı támadások és géphibák, hanem a tisztességtelen, illetve felelıtlen alkalmazottak okozzák Külsı és belsı támadások A mőszaki fenyegetés a számítástechnikai eszközökhöz kötıdik, mely jelenti mind a hardvert, mind a szoftvert. A támadási módszerek egyre inkább automatizáltakká és kifinomultabbá válnak, emiatt egyre nehezebben felismerhetık. Miként az emberi hibák is lehetnek szándékosak és nem szándékoltak, így a különbözı alkalmazásokat is tartalmazhatnak véletlen hibákat, illetve készülhetnek szándékos illetéktelen adatelérési/adatrongálási céllal. Bug-ok nem szándékos programhibák A programok összetettsége fokozatosan nı. Egyes esetekben a programok több tízmillió sorból állnak. Ez természetesen megnöveli a bug-ok megjelenésének esélyét is. Az ezzel kapcsolatos veszély az, hogy a program nem azt teszi, amire kifejlesztették, és így adatvesztés, vagy adatkárosulás következhet be. Sokszor ezeket a bug-okat a biztonsági rendszer elleni támadási pontként lehet használni, különösen akkor, ha azok operációs rendszeren belüli hibák. Számítógépes vírusok A számítógépen levı programok egy részérıl a felhasználó nem is tud, és mőködésükrıl sem szerez tudomást. Ezek két szempontbál veszélyesek: fertıznek, azaz elterjednek, biztosítják saját további terjedésüket; a másik cél egy adott feladat ellátása. A régebbi vírusok gyakran az információt is károsították, így pl. kitöröltek állományokat. A legutóbbi trend azonban az információ megszerzésérıl, uralásáról és illegális használatáról szól. A számítógépes vírusok mindegyike egy program, mely az intelligenciáját a programozótól kapja. A vírusok alkalmazásának célja lehet: o figyelemfelkeltés o programok illetéktelen felhasználásának büntetése o gazdasági vagy politikai célból elkövetett szándékos károkozás A vírusokat a számítástechnikában is káros kórokozóknak tekintjük, éppúgy, mint a biológiai kórokozókat. Jellemzıjük, hogy rejtızködve, a felhasználók tudta nélkül kerülnek a rendszerekbe, s csak hatásaik alapján derül fény jelenlétükre, sokszor már túl késın ahhoz, hogy jóvátehetık legyenek az általuk okozott károk, vagy azok egy része. 80

81 A vírusprogramok szerzıi magasan kvalifikált szakemberek, ám erkölcsi gyengeségük, felelıtlenségük felbecsülhetetlen károkat okozott és okoz szerte a világon. Munkájuk "gyümölcse" akár emberéletet is követelhet. A számítógépes kórokozók az alábbi csoportokba sorolhatók: Vírusok A vírus olyan számítógépes program, amely képes önmagát szaporítani (egy másik programhoz vagy fájlhoz csatolja magát), és számos közülük képes önmaga mutáns változatainak elıállítására is. A fertızött programot elindítva a vírus bekerül a memóriába, ahol vagy tovább szaporodik, vagy aktivizálódik a célfeladatra, vagyis valamilyen károkozásra. Speciális válfajuk az ún. makro vírusok, melyek MS Office dokumentumokba ágyazzák magukat, így a dokumentumok megnyitásával aktiválódnak, s azok másolásával terjednek. Számítógépes férgek Míg a vírusokat emberi beavatkozás aktiválja (program futtatása), ez a férgek esetében nem okvetlenül van így. Hordozóprogram nélkül képesek önmagukat sokszorosítani. Általában rejtızködık, mert céljuk gyakran adatok megszerzése és továbbítása egy külsı célállomás felé. Ugyanakkor, a vírusokhoz hasonlóan, okozhatnak túlterhelést, megakadályozhatják, hogy az információ célba érjen, vagy hogy a jogosult személy használni tudjon egy funkciót. Leköthetik a gép erıforrásait. Példa erre a halálos döfés nevő túlméretes adatcsomag (ping of death). A férgek legnagyobb veszélye az a képességük, hogy nagy számban képesek magukat sokszorozni, képesek például elküldeni magukat az címjegyzékben szereplı összes címre, és a címzettek számítógépein szintén megteszik ugyanezt. Trójai falovak Ezek olyan vírusok vagy férgek, amelyek fı jellemzıje a biztonsági rendszer megkerülése. Leginkább az operációs rendszer biztonsági résein át jutnak a rendszerbe, s onnan adatokat szolgáltatnak készítıik és terjesztıik számára, akik az így létrejött útvonalon keresztül képesek kívülrıl beavatkozni a rendszer mőködésébe. Megtévesztı voltuk, illetve mőködésük miatt kapták a trójai nevet. Brutális támadás (brutal force) Próbálgatással való behatolási kísérlet Célja a rendszervédelmi eszközök és a jelszóvédelem kiiktatása. Az e célra használt szoftver több tízezernyi szót és karakterkombinációt képes elıállítani. Az Internet globális használata megnövelte az információs rendszerekre irányuló külsı támadások lehetıségét. A kkv-k számára a minimális védelem az alábbiakat jelenti: Egy pl. Microsoft által javasolt tőzfal használata Védelmi és riasztási zónák alkalmazása Spyware (kémprogram) elleni védelem Valamilyen vírusírtó/figyelı program használata Rendszeres helyi vírusellenırzés 81

82 Rendszeres biztonsági mentések Csak tiszta forrásból elv betartása böngészéskor, levelezéskor és programok telepítésekor egyaránt. A vírusfigyelı/irtó szoftvereket naponta frissíteni kell a hatékonyság érdekében. A legtöbb kkv-ban a külsı védelmet egy szolgáltató nyújtja, és a vállalatnak katasztrófa esetén ellenıriznie kell a szolgáltató felelısségét. A belsı támadások gyakoriak; ellenük a leghatékonyabb védelem a biztonságtudatosság és a monitorozhatóság A számítástechnikai tanúsítás törvénye és szabványai Az információs rendszerek alkalmazásának egyik fontos aspektusa a különbözı nemzetközi és nemzeti informatikai, biztonságtechnikai, adatvédelmi szabványokhoz való önkéntes, vagy kötelezı jellegő alkalmazkodás. Egy adott termékre, folyamatra, szolgáltatásra vonatkozó meghatározott (jogszabályban elıírt, szabványban megadott) és a vevı által elvárt igények összessége alkotják a minıségkövetelményeket. Az elıírt követelmények teljesülését megfelelıségnek nevezzük. A megfelelıség értékelése annak szisztematikus vizsgálatát jelenti, hogy egy termék, folyamat vagy szolgáltatás milyen mértékben elégíti ki az elıírt követelményeket. A megfelelıség értékelés jellemzı típusai a vizsgálat, az ellenırzés, a megfelelıség igazolása (tanúsítás, szállítói nyilatkozat) az akkreditálás és a jóváhagyás. A megfelelıség értékelését általában megfelelıség-értékelı szervezetek (vizsgálólaboratórium, tanúsító szervezet, akkreditáló szervezet, kijelölt szervezet) végzik meghatározott megfelelıség értékelési rendszerek keretében. A tanúsítás olyan eljárás, amelynek alapján egy harmadik (független) fél írásban igazolja, hogy egy termék, eljárás vagy szolgáltatás megfelel az elıírt követelményeknek (MSZ EN 45020:1999). Minıségirányítási ismeretekkel kapcsolatban komplett tananyag érhetı le az alábbi helyen: Minıségirányítási ismeretek mezıgazdasági és ipari kis- és középvállalkozások számára címen további ismertanyag itt érhetı el: A minıségtanúsításról bıvebb információ itt található: A szoftverek tanúsítása A független fél által történı tanúsítási eljárás biztosítja, hogy egy szoftver megfelel a mőködési területéhez kapcsolódó összes kötelezı érvényő jogszabálynak, rendeletnek, elıírásnak, az elektronikus közigazgatás eljárásainak és követelményeinek. Példa szoftvertanúsításra Az iratkezelési szoftverek (ISZ) tanúsítása Az elmúlt néhány évben kiemelt hangsúlyt helyeztek a közigazgatást támogató szoftverek követelményeire, így az iratkezelési szoftverekre is. Meghatározásra kerültek a beépítendı 82

83 funkciók, valamint az elvárt biztonsági szintek, amelyek kötelezı érvényőek a szoftverekkel kapcsolatosan. A 16/2006. (IV. 6.) BM rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverek megfelelıségét tanúsító szervezetek kijelölésének részletes szabályairól szól. Az egységes követelmények teljesítését egy egységes elvek alapján végrehajtott informatikai terméktanúsítás biztosítja, amelyet mind a leendı alkalmazók (vevık), mind a hatóságok elvárnak. A szervezeteknek lehetıségük van 3 fajta tanúsítvány megszerzésére: Szőkített: az ISZ nem rendelkezik elektronikus aláírással, valamint a szorosan összefüggı elektronikus iratkezeléssel kapcsolatos követelményekkel; Teljes körő: az együttes rendelet valamennyi követelményét maradéktalanul kielégíti az ISZ. Teljes körő tanúsítás esetében az elektronikus aláírás alkalmazáshoz kapcsolódó megoldások beépülnek az ISZ-be, minden esetben az egyszerő és gyors ügyintézést támogatva; Kibıvített: az ISZ teljeskörően kielégíti az együttes rendelet követelményeit, emellett további, speciális szolgáltatásokkal kerül kibıvítésre és vizsgálatra, ilyen például az ügyfélkapuval való kapcsolattartás. A tanúsítvány 3 évig érvényes, ez alatt az idıszak alatt éves felülvizsgálatokra kerül sor, az ezeken való megfelelés követelménye a tanúsítvány fenntarthatóságának. A 3 év elteltével a tanúsítványt meg kell újítani. A követelmények rendszere A kijelölési okirat alapján három kötelezı érvényő normatíva határozza meg a követelményrendszert: A 24/2006. (IV. 29.) BM-IHM-NKÖM együttes rendelet: amely egyértelmően definiálja az ISZ-szel szemben támasztott alapvetı követelményeket. Összefoglalja az elvárt biztonsági, funkcionális, közigazgatási, valamint az elektronikus megoldásokkal kapcsolatos feltételeket. A 335/2005. (XII. 29.) kormányrendelet: amely a közfeladatot ellátó szervekhez beérkezı, valamint az ott keletkezett papíralapú és elektronikus iratok kezelésének, és az iratkezelési szabályzatok rendjéhez kapcsolódó követelményeit írja le. Az évi LXVI. törvény: amely a köziratok, a közlevéltárak, és a magánlevéltári anyag védelmének elıírásait mutatja be. A tanúsítási eljárásokat leginkább a szoftverfejlesztık kezdeményezték, azonban vannak olyan eddig használt szoftverek, amelyek tanúsítását maguk a közfeladatot ellátó szervek kérelmezték és kezdték meg. A tanúsított ISZ biztosítja, hogy az informatikai termék megfelel a mőködési területéhez kapcsolódó összes vonatkozó jogszabálynak, rendeleteknek, elıírásoknak, az elektronikus közigazgatás eljárásainak és követelményeinek, emellett elismertséget jelent a fejlesztı cégeknek, az együttmőködık bizalma megerısödhet, a piaci kapcsolataik javulhatnak és csökkenthetik az érdekelt felek kockázatát. A végfelhasználók, döntéshozók számára lehetıség nyílik az egyszerő, érzékelhetı és összehasonlítható választásokra. Természetesen a tanúsító szervezetnél is lehet információt szerezni a tanúsított termékekrıl, viszont nem adható ki olyan információ, amely a döntéshozókat bármilyen módon is befolyásolhatja, egyik vagy másik szoftverfejlesztı céget elıtérbe helyezhetné. 83

84 Az elektronikus aláírásról szóló évi XXXV. törvény A törvény célja, hogy megteremtse a hiteles elektronikus nyilatkozattétel, illetıleg adattovábbítás jogszabályi feltételeit az üzleti életben, a közigazgatásban és az információs társadalom által érintett más életviszonyokban. A jogszabály elérhetısége: A digitális aláírásról és a titkosítással kapcsolatos alapvetı tudnivalókról itt található bıvebb információ: Az Európai Unió adatvédelmi irányelve (EUDPD) megköveteli, hogy minden EU tagállam fogadjon el nemzeti szabályzatot a polgárok személyi adatvédelmének szabványosítása érdekében a teljes EU-ra kiterjedıen. Franciaországban a CNIL nevő szervezet felel az információs rendszerek biztonságával és titkosságával kapcsolatos legfontosabb törvényért. Az évi Számítógépes visszaélésrıl szóló törvény egy, a brit parlament által megszavazott törvény, mely a számítógépes szabálysértéseket (pl. a hackelést) bőncselekménynek minısíti. A Nemzetközi Szabványügyi Szervezet (ISO) 157 nemzeti szabványügyi intézet konzorciuma, melynek Központi Titkársága a svájci Genfben koordinálja a rendszert. Az ISO a világ legnagyobb szabványalkotója. Az ISO 15443: Információs technológia biztonsági technikák számítástechnikai biztonság ISO-17799: Információs technológia biztonsági technikák információs biztonsági irányítás gyakorlati szabályzata ISO-20000: Információs technológia biztonsági technikák szolgáltatásirányítás és ISO-27001: Információs technológia biztonsági technikák számítástechnikai biztonságirányítási rendszerek az információs technológia szakértıinek különös érdeklıdésére tart számot. A Tanúsított információs rendszerek biztonsági szakértıje (CISSP) egy közép- felsı szintő információs biztonsági tanúsítás. Az Információs rendszer biztonsági architektúra szakértı (ISSAP), Információs rendszer biztonsági tervezı szakember (ISSEP), Információs rendszer biztonsági irányítási szakember (ISSMP), és Tanúsított információs biztonsági vezetı (CISM) tanúsítványok nagy tekintélyt szereztek az információs biztonsági architektúra, a tervezés és irányítás területén. Magyarországon a 194/2005. (IX. 22.) Korm. rendelet szól a közigazgatási hatósági eljárásokban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítés szolgáltatókra vonatkozó követelményekrıl. Bıvebben: További kapcsolódó anyagok: Informatikai biztonsági részstratégia (IHM, 2003): Az UE adatvédelmi oldala: A kis- és középvállalkozások részvétele a szabványosításban az Európai Unióban és Magyarországon: 84

85 4.6. Az adatok és a szoftver biztonsági másolata A hardver eszközök és adathordozók meghibásodása, az információs rendszerek katasztrófája elleni védelem nélkülözhetetlen módja a biztonsági másolatok, mentések készítése. A cél, hogy bármilyen adatkárosodás esetén az adatállományok helyreállíthatók legyenek a mentések alapján. Az adatmentés célja archiválás is lehet, vagyis az információ hosszabbrövidebb távú megırzése, visszakereshetıségének biztosítása. Az adatok ırzésének, archiválási idejének mértékét minısített adatok esetén rendeletek szabályozzák. Biztonsági mentéseket általában a merevlemezen lévı állományokról készítünk valamely másik adathordozóra (külsı winchester, streamer, DVD, stb.) A szoftverek biztonsági másolata A szoftverek licenc szerzıdései megengedik, hogy a szoftverekrıl archiválási szándékkal, biztonsági másolatot készítsünk. Ennek lényege, hogy az eredeti szoftver adathordozójának sérülése esetén is újratelepíthetı legyen a szoftver a biztonsági másolatról. Ilyen jellegő biztonsági másolatot célszerő legalább két példányban készíteni. Az adatok mentésének típusai Teljes másolás A teljes mentés és a teljes másolás között az a különbség, hogy teljes mentés során az állományok archív bitje törlésre kerül, míg teljes másolás esetén nem. Teljes másolást elsısorban hálózati meghajtók, cserélhetı egységek és CD-ROM-ok archiválásához használunk, amikor is az archív attribútumok módosítása nem ajánlott, vagy nem lehetséges (CD). Ezt a módszer alkalmazzuk pl. munkahelyi adatok otthoni gépre másolásához is. Akkor is teljes másolást alkalmazunk, ha az adathordozó sérült, és az archív bitek változása további sérüléseket idézhetne elı. Teljes másolást alkalmazunk a szoftverek biztonsági másolatának elkészítéséhez is. Teljes mentés A kijelölt, v agy a teljes lemeztartalom feltétel nélküli mentése. A rendszeres mentési munka megkezdésének elsı lépése mindig egy teljes mentés készítése. Teljes mentéskor minden kijelölt állomány mentésre kerül, függetlenül archív attribútumának állapotától, s az archív attribútum - sikeres mentés esetén - feltétel nélkül törlıdik. Elınye, hogy kapunk egy teljes másolatot a winchesterrıl, hátránya, hogy a mentés sok tárhelyet igényel (legrosszabb esetben annyit, mint a winchester teljes kapacitása). Ezen a problémán a különbözı tömörítési módszerek segítenek. A teljes mentés gyakorisága az adatok fontosságától és terjedelmétıl függıen lehet napi, heti vagy havi rendszerességő. Egy rendszeres mentési munkafolyamat elsı lépése mindig egy teljes mentés készítése. A további mentések során már általában csak az elızı mentésekhez képesti változásokat mentjük az alább ismertetett módok közül választva. Növekményes mentés Lényege, hogy csak a legutóbbi teljes, vagy növekményes mentés óta megváltozott, illetve új állományok kerülnek mentésre (az archív bit állapotának figyelése alapján.) Elınye, 85

86 hogy csak a módosulásokat menti, így tárhely- és idıtakarékos. Hátránya, hogy a winchester sérülése esetén elıször a teljes mentést kell visszatölteni, majd a növekményes mentéseket sorra egymás után, a mentés sorrendjében. Különbségi mentés Ha különbségi mentéseket alkalmazunk egy teljes mentés után, akkor minden alkalommal mentésre kerül az összes olyan állomány, mely a teljes mentés óta változott vagy keletkezett, függetlenül attól, hogy a legutóbbi különbségi mentés óta történt-e változás a fájl állapotában, vagy sem. Elınye, hogy ugyanazt az adathordozó állományt fel lehet használni az egyes mentésekhez, tehát költségkímélı. Hátránya a növekményes mentéshez képest jelentısebb tárkapacitás. Mentési stratégiák A mentés típusát és gyakoriságát a menteni kívánt adatok fontossága határozza meg. Nagyon fontos adatok esetén célszerő a mentéshez többféle adathordozót is használni. A mentést tartalmazó adathordozót mindenképp el kell különíteni az eredeti anyagtól. Érdemes a mentést fizikailag is más helyen elhelyezni, több másolat esetén pedig a másolatokat külön helyeken tartani (lehetıleg páncélszekrényben). Célszerő, bizonyos adatok esetén kötelezı a mentést legalább két példányban elkészíteni, s azokat lehetıleg elkülönítetten tárolni. Az adathordozó készletek száma és újrafelhasználásuk gyakorisága attól függ, hogy mit ír elı a helyi számítástechnikai védelmi szabályzat a mentések gyakoriságára és a mentési ciklusokra vonatkozóan. Egy mentési ciklus lehet például egy negyedév, félév vagy egy év, melynek letelte után az akkori állapotot tükrözı mentést archiváljuk, vagyis az adathordozót biztonságba helyezzük pl. egy erre a célra rendszeresített páncélszekrényben, s a régi (napi, heti, stb.) mentésekhez használt adathordozókat újra felhasználjuk. A mentések készítésének gyakorisága lehet napi, kétnapi, heti, stb. Ügyviteli területeken szokásos a napi gyakoriságú mentések alkalmazása. A mentést támogató szoftverek lehetıséget biztosítanak a különbözı stratégiák magas szintő kielégítésére és a mentések automatizálására (idızített mentések). A mentések elsısorban a vállalati server gépeket érintik. Speciális esetekben egy-egy felhasználói munkaállomás mentésérıl külön kell gondoskodni. 24 órás üzemmódban mőködı rendszerek esetén az automatikus mentéseket célszerően munkaidın kívüli idıpontokra ütemezik. Sok szolgáltató kínál távoli biztonsági mentı rendszereket. Az elektronikus archiválás és az elektronikus számlázás szabályozása Az információs technológiák és az elektronikus kommunikáció napjainkban tapasztalható tömegessé válásával egyre gyakrabban fordul elı, hogy valamely fontos dokumentum (pl. szerzıdés, számla, igazolás stb.) nem papíron, hanem elektronikus formában keletkezik. Ha jogszabály valamely dokumentum több éven keresztül történı megırzését írja elı (pl. számviteli bizonylatok), az papír dokumentumoknál nem jelent különösebb gondot, elektronikus dokumentumoknál azonban a gyors technikai fejlıdés, a változó szoftverek és hardverek miatt külön figyelmet igényel, hogy a megırzött fájlt évek múltával is meg tudjuk nyitni, bizonyítani tudjuk a hitelességét, sértetlenségét. 86

87 A digitális archiválás szabályairól szóló 114/2007. (XII. 29.) GKM rendelet annak alapvetı szabályait adja meg, hogy milyen követelményeket kell teljesíteni az elektronikus dokumentumok megırzése során. A megırzés egyik fontos és gyakorlati jelentıséggel bíró esete, amikor elektronikus aláírással ellátott dokumentumot kell megırizni. Ez esetben a megırzésre kötelezett személynek két lehetısége van: vagy az elektronikus aláírásról szóló évi XXXV. törvény szerinti archiválási szolgáltatóra bízza e feladatot, vagy maga gondoskodik a megırzésrıl a rendelet szabályai szerint. Az elektronikus archiválásnak az egyik tipikus felhasználási területe az elektronikus számlák megırzése. Néhány éve lehetıség van arra, hogy hiteles számlát nem csak papíron, hanem elektronikus formában is ki lehet bocsátani. Az elektronikus számla kétféle lehet: vagy legalább fokozott biztonságú elektronikus aláírással és minısített szolgáltató által kibocsátott idıbélyegzıvel kell ellátni a számlát, vagy speciális elektronikus adatcsere (EDI) rendszerben kell létrehozni és továbbítani. Az elektronikus számlázásra a következı jogszabályok vonatkoznak: a számvitelrıl szóló évi C. törvény 167. és 169. ; az általános forgalmi adóról szóló évi CXXVII. törvény ; az elektronikus számlával kapcsolatos egyes rendelkezésekrıl szóló 46/2007. (XII. 29.) PM rendelet; a számla, egyszerősített számla és nyugta adóigazgatási azonosításáról, valamint a nyugta adását biztosító pénztárgép és taxaméter alkalmazásáról szóló 24/1995. (XI. 22.) PM rendelet A tevékenység újrakezdése és fenntartása Üzletmenet folytonosság menedzsment Az üzletmenet-folytonosság menedzsment (Business Continuity Management - BCM) az a folyamat, melynek során felkészülünk a kritikus üzleti folyamatok sérülés vagy leállás utáni visszaállítására, lehetıleg a legkisebb kieséssel. A biztonságos, stabil üzletmenet fenntartása kritikus kérdés napjaink szervezetei számára - mérettıl és iparágtól függetlenül. Az egyre szigorúbb törvényi szabályozásokat, az élesedı versenyhelyzetet, valamint az ügyfelek és tulajdonosok növekvı igényeit figyelembe véve az üzletmenet-folytonosság menedzsment már nem egyszerően egy ajánlott tevékenység, hanem a versenyképesség fenntartásának lényeges eleme. A NIST SP szerint egy jó üzletmenet-folytonossági dokumentáció az alábbi terveket és dokumentumokat tartalmazza: o Üzletmenet-folytonossági terv (Business Continuity Plan BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Ez a leírás minden kulcsfunkcióra elkészül, azokat egyesével tárgyalva. o Üzletmenet-folytonossági terv (Business Continuity Plan BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után Szemben a BCP-vel, nem mondja meg, hogy a vészhelyzet alatt hogyan biztosítsuk a folytonosságot. Általában a BCP része. o Mőködés folytatásának terve (Continuity of Operations Plan COOP): feladata annak a definiálása, hogy a szervezeti mőködést hogyan lehet visszaállítani egy nem kívánt esemény után. A BCP-tıl függetlenül készül. Mivel elsısorban a cég menedzsment funkcióinak visszaállítását tartalmazza, nem IT megközelítéső. 87

88 o A támogatás folyamatossági terve (Continuity of Support Plan): az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv. o Krízis kommunikációs terv (Crisis Communication Plan): a katasztrófa esetén szükséges belsı és külsı kommunikációs stratégiát leíró dokumentum. A BCP egyik melléklete. A legfontosabb része, hogy megnevezi azt a kizárólagos személyt, aki ilyenkor megszólalhat a nyilvánosság elıtt. Informatikai incidenskezelési terv (Cyber Incident Response Plan): azokat a lépéseket tartalmazza, melyeket egy informatikai támadás során kell a szervezetnek megtennie. A BCP melléklete. Katasztrófa helyreállítási terv (DRP): akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. Lényegében leírja, hogy hogyan lehet a teljes IT-t egy alternatív helyen újjáépíteni és üzemeltetni. A BCP része. Létesítményekre vonatkozó vészhelyzeti terv (Occupant Emergency Plan OEP): a létesítményeket fenyegetı veszélyek bekövetkezése esetén szükséges lépések leírása. Tartalmazza pl. a tőzeset vagy valamilyen bőncselekmény miatt életbelépı cselekményeket. A BCP-be beleírható, de attól elválasztva hajtják végre A katasztrófa olyan hirtelen, nem tervezett, szerencsétlen esemény, ami nagy károkat vagy veszteséget okoz. Ez az üzlet szempontjából akkor jelentkezik, amikor a szervezet egy elıre meghatározott idın túl nem képes a kritikus üzleti funkciókat mőködtetni. Katasztrófát kimondani igen komoly döntés! A katasztrófa jellemzıi: Nem tervezett szolgáltatásleállás, Hosszan tartó szolgáltatásleállás, Olyan leállás, amit a normális problémamenedzsment eljárásokon belül nem lehet megoldani, Komoly károkat vagy veszteségeket okoz. Néhány cél, amit a BCP megold: Azonnali, megfelelı és felmért válasz a vészhelyzetekre. Megkönnyíti az üzleti mőködés visszaállítását az esemény hatásának csökkentésével, miközben a kritikus üzleti funkciókat egy elıre meghatározott idın belül újra lehet indítani. Csökkenti a kár mértékét. Az üzletmenet-folytonosság eszközei Eljárások és erıforrások listája, amit a visszaállítás során fel kell használni. Világos leírás, amit a felelısök végre tudnak hajtani. Azon partnerek azonosítása, akik bevonása indokolt lehet a visszaállítás során. Segíti a zavar elkerülését vészhelyzet során a világos útmutatók és a tesztelés segítségével. Tartalmazza a visszaállításhoz szükséges információk listáját. Leírja a tartalék helyen történı mőködés szabályait, ha az elsıdleges hely nem elérhetı. Az elsıdleges helyre való visszatérés eljárásait is meghatározza. 88

89 BCP-t készíteni és karbantartani sokáig tart és drága, és talán sosem lesz rá szükség. De amikor baj történik, és nincs BCP, az igazi katasztrófa. A BCP elkészítésének lépései Projektindítás és irányítás, Üzleti hatások elemzése, Visszaállítási stratégiák meghatározása, Tervezés és megvalósítás, Tesztelés, karbantartás, tudatosság és képzés. Üzleti folyamatok BCM szemlélető modellezésének egy lehetséges eszköze az ARIS: Szoftverrel támogatott mőködési kockázat menedzsment példa a CARISMA: Forrás: További információ: A COBIT vagy az ITIL használata a kkv-k számára Az információ technológia egyre jelentékenyebbé válik a vállalatirányításban. A számítástechnika irányítása egy funkció a vállalatirányításban, illetve a kontroll kapcsolatokban és folyamatokban, melyek célja a vállalatok céljainak teljesítése új érték megteremtése által és az informatika által kínált kockázatok és elınyök mérlegelésével. A vezetésnek olyan szabályozási rendszert kell kialakítania, mely támogatja az üzleti folyamatokat. Tisztázni kell, mely tevékenységek és hogyan járulnak hozzá az információval kapcsolatos követelményekhez és ezzel az üzleti célok eléréséhez. Az egységesség megteremtése érdekében nemzetközi szabályokat alakítottak ki (pl. COBIT) azzal a céllal, hogy ezek összefoglalják az információs rendszerekkel szemben támasztott követelményeket és ezek teljesítésének méréséhez használt elveket. Ennek érdekében sikertényezıket, cél indikátorokat és teljesítmény indikátorokat is meghatározunk, melynek értékei azt a célt szolgálják, hogy felmérhessük az információ technológiai munka minıségét, és megtehessük a szükséges javító célú intézkedéseket. Az információs rendszer biztonságának javítása érdekében a kkv-k határozott módszertant alkalmaznak, mint pl. a COBIT vagy az ITIL, melyeket a közelmúltban adaptáltak a kkv-kra. COBIT - Információra és a kapcsolatos technológiára vonatkozó kontroll célkitőzések A COBIT (Control Objectives for Information and related Technology) az informatikai alkalmazások hozzáadott értékének növelését és a velük kapcsolatos kockázatok csökkentését elısegítı, általánosan elfogadott és nemzetközileg is mérvadónak tekintett informatikai szabályozási keretgyőjtemény igazgatók, vállalati vezetık és menedzserek számára. 89

90 A COBIT egy szakterületre, és folyamat keretrendszerre vonatkozóan bevált gyakorlatokat ad, és a tevékenységeket egy kezelhetı és logikus struktúrában jeleníti meg. A COBIT bevált gyakorlatai szakértık közösen elfogadott véleményét tükrözik. A bevált gyakorlatok sokkal inkább összpontosítanak a kontrollra, mint a végrehajtásra. E gyakorlatok segítenek az informatikával támogatott beruházások optimalizálásában, a szolgáltatások biztosításában, és olyan mércéül szolgálnak, amely alapján megítélhetı, hogy mikor vesznek a dolgok rossz irányt. Annak érdekében, hogy az informatika az üzleti követelményeknek megfelelıen szolgáltasson, a vezetıségnek egy belsı irányítási és ellenırzési rendszert, vagy keretrendszert kell üzemeltetnie. A COBIT kontroll keretrendszer ezen igények teljesítéséhez az alábbiakkal járul hozzá: Kapcsolatot teremt az üzleti követelményekkel, Általánosan elfogadott folyamat modellbe szervezi az informatikai tevékenységeket, Beazonosítja a kiaknázandó jelentısebb informatikai erıforrásokat, Meghatározza a figyelembe veendı vezetési kontroll célkitőzéseket. A COBIT üzleti irányultságát az biztosítja, hogy összekapcsolja az üzleti célokat az informatikai célokkal, metrikákat és érettségi modelleket biztosít e célok elérésének méréséhez, és beazonosítja az üzleti és informatikai folyamat felelısök vonatkozó felelısségeit. Magyarul a teljes anyag elérhetı itt: ITIL Információtechnológia Infrastruktúra Könyvtár Az ITIL (Information Technology Infrastructure Library) egy informatikai rendszerek (infrastruktúra) üzemeltetésére és fejlesztésére szolgáló módszertan illetve szabvány- és ajánlás-győjtemény neve. Áttekinti többek között az informatikai vagyontárgyaknak, mint infrastruktúrának a fıbb üzemeltetési kérdéseit, de vannak kifejezetten technikai kérdésekkel foglalkozó kötetei is. Az ajánlás elsıdlegesen olyan középvezetık számára készült, akik informatikai infrastruktúrát üzemeltetnek egy szervezet számára. Haszonnal forgathatják ezen túlmenıen mindazok, akik ilyen infrastruktúra mőködtetésében részt vesznek. Az ITIL öt fı kötetbıl, illetve az ezekhez kapcsolódó kiegészítı anyagokból áll. A kötetek az alábbi folyamatokat ismertetik: Szolgáltatás-stratégia (Service Strategy) A folyamat azonosítja azokat a (piaci) lehetıségeket, amelyeket új szolgáltatások bevezetésével ki lehetne aknázni. Az eredmény egy stratégiai dokumentum, amely felvázolja az új szolgáltatás tervezésének, megvalósításának, üzembe helyezésének és folyamatosan javuló minıségben történı nyújtásának folyamatát. A szolgáltatás bevezetése új képességekkel ruházza fel a szolgáltató céget (szervezetet), ezáltal értéknövelı szerepet tölt be. A kötet legfontosabb fejezetei a Szolgáltatás-portfólió kezelése és Pénzügyi menedzsmentje. Szolgáltatás-tervezés (Service Design) A folyamat eredményeként projekt-terv készül az elızı lépésben keletkezett stratégia által felvázolt szolgáltatás konkrét megvalósítására. A terv részletezi az új szolgáltatás bevezetésének minden 90

91 vonatkozását, a bevezetéshez és üzemeltetéshez szükséges támogató folyamatokkal együtt. A kötet legfontosabb fejezetei az Üzemeltetés és üzemvitel biztosítása, Kapacitástervezés valamint az Informatikai- és üzembiztonság. Szolgáltatás-létesítés és -változtatás (Service Transition) A megtervezett szolgáltatás létesítéséhez és a környezet módosításához szükséges folyamatok leírása. Fontos fejezetek a Változás- és verziókezelés, Konfiguráció-menedzsment és Dokumentációkezelés. Szolgáltatás-üzemeltetés (Service Operation) Az elızıvel szorosan összefüggı kötet tárgyalja a szolgáltatás folyamatos és hibamentes üzemeltetéséhez szükséges folyamatokat és szervezési kérdéseket. A folyamatok garantálják az SLA (Service Level Agreement - megállapodott szolgáltatási szint) szerzıdésekben vállalt szolgáltatás-minıséget. Legfontosabb fejezetek a Hiba- és -igény és incidenskezelés. Folyamatos fejlıdés (Continual Service Improvement) c. kötet tárgyalja a szolgáltatás folyamatosan javuló minıségben nyújtásának feltételeit. Kiemelt fejezetek a Szolgáltatási szint mérése, riportolása (jelentése) és menedzsmentje c. fejezetek. (Forrás: ) Az ITIL keretén belül megtaláljuk az alábbi infrastruktúra menedzsment funkciókat: konfigurációkezelés gyorssegélyszolgálat problémakezelés változáskezelés szoftver felügyelet és terítés szolgáltatási szint menedzsment katasztrófa elhárítás tervezés kapacitás menedzsment költségmenedzsment (informatikai szolgáltatások esetében) rendelkezésre-állás menedzsment Az IT infrastruktúra menedzsment bevezetése az alábbi hatásokat válthatja ki: Lehetıvé teszi a múlt tapasztalataiból való okulást azáltal, hogy történeti adatokkal szolgál a szolgáltatásra gyakorolt hatásokról. Fenntartja az IT részleg szavahihetıségét a felhasználók szemében. Ezt a minıségi szolgáltatások megbízható nyújtásával éri el. Kézben tarthatóvá teszi az IT szolgáltatásokat, a jobb vezetıi információk lehetıvé teszik a szolgáltatási menedzsment és rendelkezésre állási menedzsment funkció részére a szolgáltatási szint megállapodások nyomon követését, illetve a követelmények pontosabb meghatározását tartalmazó szerzıdéskötéseket. Lehetıvé teszi a szervezeti alaptevékenységek megalapozását, elébe megy a rendszerfejlesztéseknek és változtatásoknak. A szervezet gyorsabban tudja a változtatásokat feldolgozni, alkalmazkodni hozzájuk és változtatásokra reagálni. Lehetséges lesz az értékes IT vagyontárgyak felügyelete. Javulás érhetı el a következı területeken: 91

92 A felhasználók termelékenysége: hiba esetén gyorsabban lehet a felhasználók eredeti munkakörülményeit helyreállítani, mert rendelkezésre áll a kellıen kiképzett személyzet és a megfelelı eljárások, ami végsı soron a felhasználók termelékenységének növekedéséhez vezet. Támogató személyzet termelékenysége: sok esetben eredményesebben lehet felhasználni a képzett és gyakorlott személyzetet. Az IT részleg és a felhasználók közötti kapcsolat: a megjavult kommunikáció eredményeképpen javulni fog a kapcsolat az IT részleg és felhasználók között. Az ITIL teljes anyaga elérhetı itt: Bıvebben magyarul: Infrastruktúra menedzsment (ITB ajánlás): Ajánlott irodalom a 4. Fejezethez A Francia Információ Biztonsági Klub (CLUSIF) honlapja: Az Amerikai Nemzeti Kiber-biztonsági Szövetség (National Cyber Security Alliance) honlapja: Információbiztonság (1996): CEDIT Kiadó Németh József (1984): Adatvédelem a számítógépes és hírközlı rendszerekben, Számalk Kaderják Gyula (1999): Adatvédelem. Fıiskolai jegyzet, BGF (FSZ-004) Útmutató az informatikai biztonsági szabályzat (ibsz) elkészítéséhez: Dr. Kohány András Kınig Balázs: Informatikai védelem: További számos kiváló szakcikk és szakmai anyag elérhetı itt: Ellenırzı feladatok 1. Igaz-hamis Igaz A fizikai védelem körébe tartozik az elhelyezés, üzemeltetési környezet kialakítása, a vagyon- és biztonságvédelem eszközei. Hamis Az Informatikai Biztonsági Szabályzat eleme az érintésvédelem. Igaz Az illetéktelenség területének legfontosabb alapelvei a titkosság, a teljesség és rendelkezésre állás. Hamis A szigorú szabályok körébe tartoznak a jóváhagyott írott belsı utasítások. 92

93 2. Az alább felsoroltak közül melyik nem tartozik az emberi tévedésekkel szembeni védekezi módszerek közé: CDV kódok alkalmazása. Bizonylatok ellenırzése. Adattisztítás. Vírusvédelem. 3. Melyik jellemzı nem igaz a vírusokkal szembeni védekezésre? Tőzfal alkalmzása. Vírusirtó program alkalmazása. Rendszeres biztonsági mentés. Archiválás. 4. Az alábbi felsorolásból válassza ki azokat a szempontokat, amelyek a számítógépes tanúsításhoz kapcsolódnak: Digitálsi aláírás. Minıségtanúsítás EUDPD. Nyílt forráskód. 5. Igaz-hamis Hamis A teljes másolás és teljes mentés valójában ugyanaz a mővelet. Igaz Növekményes mentéskor csak egy korábbi állapothoz képesti változások kerülnek mentésre. Igaz Szoftverek biztonsági másolatát a licencek általában engedélyezik. Hamis Teljes mentés csak elsı alkalommal végezhetı. 6. Az alábbi állítások közül melyek igazak? Üzletmenet-folytonossági terv (BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Üzletmenet-folytonossági terv (Business Continuity Plan BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Krízis kommunikációs terv (Crisis Communication Plan): az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv. Katasztrófa helyreállítási terv (DRP): akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. 7. Az alábbiak közül melyek tartoznak az ITIL témakörei közé? Szolgáltatás-stratégia. Szolgáltatás-tervezés. Hálózattervezés. Szolgáltatás üzemeltetés. 93

94 II. KOCKÁZATKEZELÉS 1. FEJEZET: A KOCKÁZATKEZELÉSI ISMERETEK ELSAJÁTÍTÁSÁNAK CÉLJAI Pedagógiai célkitőzések Hiánytalan ismeretek megszerzése a kockázatkezelés céljairól és problémáiról Indikatív tartalom 1.1. Bevezetés A bemutatott kockázatkezelési koncepció a COSO Vállalati Kockázatkezelési és Belsı Kontroll Integrált Keretrendszerén alapszik, és a képzési anyag közvetlenül is a COSO dokumentumok Vezetıi Összefoglalójának és Alkalmazási Technikáinak egyes részeire utal Globális célok A vállalati kockázatkezelés alapjául szolgáló alapfeltevés az, hogy minden szervezet azért létezik, hogy az abban érdekeltek számára értéket teremtsen. Minden szervezet bizonytalansággal találja magát szemben, és a vezetıség számára az jelenti a kihívást, hogy meghatározza, mekkora bizonytalanságot fogadjon el a tulajdonosi érték növelésére való törekvése során. A bizonytalanság kockázatot és lehetıséget jelent, amiben benne van az érték pusztulásának vagy növelésének lehetısége. A vállalati kockázatkezelés lehetıvé teszi a vezetıség számára, hogy hatékonyan kezeljék a bizonytalanságot és a velejáró kockázatot és lehetıséget, így növelve az értékteremtı képességet A fı kérdések leírása Akkor a legnagyobb az érték, ha a vezetıség olyan stratégiát és célokat állapít meg, miszerint a növekedési és megtérülési célok és az azokkal együtt járó kockázatok optimális egyensúlyát kívánja megteremteni, és eredményesen és hatékonyan hasznosítja a forrásokat a szervezet célkitőzéseinek elérése érdekében. A vállalati kockázatkezelés körébe tartozik: A kockázatvállalási hajlandóság és a stratégia párhuzamba állítása: A vezetıség a stratégiai alternatívák értékelése, a vonatkozó célkitőzések meghatározása és a kapcsolódó kockázatkezelı mechanizmusok kidolgozása révén mérlegeli a szervezet kockázatvállalási hajlandóságát. A kockázatra való reagálást érintı döntések hangsúlyozása: A vállalati kockázatkezelés biztosítja, hogy pontosan meghatározzák és kiválasszák a megfelelıt 94

95 a kockázati reakciók alternatívái közül a kockázat elkerülése, csökkentése, megosztása és elfogadása. A mőködéssel kapcsolatos meglepetések és veszteségek csökkentése: A szervezetek képesebbé válnak a potenciális események felismerésére és a reakciók kidolgozására, ily módon csökkentve a meglepetéseket és az azokkal kapcsolatos költségeket ill. veszteségeket. Többszörös és a vállalatot átfogó kockázatok felismerése és kezelése: Minden vállalat számtalan, a szervezet különbözı részeit érintı kockázattal találja magát szemben, és a vállalati kockázatkezelés elısegíti az egymással összefüggı hatásokra való hatékony reagálást, valamint a többszörös kockázatokra való integrált reagálásokat. A lehetıségek kihasználása: A lehetséges események sorát figyelembe véve a vezetıség helyzeténél fogva felismerheti és proaktív módon kihasználhatja a lehetıségeket. A tıkefelhasználás javítása: A vezetıség pontos kockázati információt szerezve hatékonyan felmérheti az átfogó tıkeigényeket, és javíthatja a tıkefelosztást Miért fontos a kockázatkezelés a kkv-k számára? A vállalati kockázatkezeléssel együtt járó képességek segítik a vezetıséget a szervezet teljesítmény- és nyereségességi céljainak elérésében és a forrásveszteség megelızésében. A vállalati kockázatkezelés hozzájárul az eredményes beszámolás és a törvények és jogszabályok betartásának biztosításához, valamint segít elkerülni a szervezet hírnevének csorbulását és az azzal kapcsolatos következményeket. Összegezve a vállalati kockázatkezelés támogatja a szervezetet célja elérésében, és az odavezetı úton segít elkerülni a csapdákat és a meglepetéseket. Az eseményeknek lehetnek negatív vagy pozitív hatásai vagy mindkettı. A negatív hatású események jelentik a kockázatokat, amelyek megakadályozhatják az értékteremtést, ill. rombolhatják a meglévı értéket. A pozitív hatású események kiegyenlíthetik a negatív hatásokat, ill. lehetıségeket jelentenek. A lehetıségek olyan esemény bekövetkeztének eshetıségét jelentik, amelyek pozitív módon hatnak a célok elérésére, támogatják az értékteremtést ill. -megırzést. A vezetıség a lehetıségeket visszaforgatja a stratégiába vagy célkitőzésbe: a lehetıségek megragadását célzó folyamatokat határoz meg és terveket dolgoz ki. Irodalom az 1. Fejezethez

96 2. FEJEZET: A KOCKÁZATKEZELÉS ALAPELVEI Pedagógiai célkitőzések Törekedjünk a kockázatkezelés fogalmának tökéletes megértésére. Indikatív tartalom 2.1. A vállalati kockázatkezelés meghatározása A vállalati kockázatkezelés az értékteremtést vagy -megırzést érintı kockázatokkal és lehetıségekkel foglalkozik, és a következıképpen határozható meg: A vállalati kockázatkezelés egy folyamat, amelyet egy szervezet igazgatósága, vezetıi és többi dolgozója hajt végre, azt a stratégia kialakítása során és az egész vállalaton belül alkalmazza. Célja, hogy meghatározza azokat a lehetséges eseményeket, amelyek hatással lehetnek a szervezetre, és a kockázatvállalási hajlandóság mértékéig kezelje a kockázatot, ésszerő biztosítékot nyújtson a szervezeti célkitőzések megvalósításához. A meghatározás bizonyos alapfogalmakat tükröz. A vállalati kockázatkezelés: Egy szervezeten átívelı, állandó folyamat, A szervezet minden szintjén az emberek hajtják végre, Alkalmazzák a stratégia meghatározásakor, Vállalatszerte, minden szinten és egységnél alkalmazzák, és szervezeti szintő kockázati portfolió kialakítását tartalmazza, Célja, hogy meghatározza azokat a potenciális eseményeket, amelyek bekövetkeztük esetén hatással lesznek a szervezetre, valamint hogy a kockázatvállalási hajlandóság mértékéig kezelje a kockázatot, Képes ésszerő biztosítékot adni egy szervezet vezetıségének és igazgatóságának, Egy vagy több, különálló, de egymást átfedı kategóriába sorolt célkitőzések megvalósítására irányul. Ez a meghatározás szándékosan széles körő. Olyan kulcsfogalmakat tartalmaz, amelyek alapvetık abból a szempontból, hogy a társaságok és más szervezetek hogyan kezelik a kockázatot, a szervezeteket, iparágakat és ágazatokat átfogó alkalmazás alapjaként szolgál. Közvetlenül egy adott szervezet által meghatározott célkitőzések elérése koncentrál, és alapot nyújt a vállalati kockázatkezelés hatékonyságának meghatározásához A kockázatok típusai A kockázatok típusai az iparágtól, a szervezet típusától és méretétıl, a földrajzi elhelyezkedéstıl, a kultúrától, stb. függıen jelentısen eltérhetnek. Az ERM kockázatkezelési koncepciója a szervezeti és mőködési célokat jelentısen, negatív irányban befolyásolni képes, lehetségesen elıforduló külsı és belsı eseményekre értelmezi a kockázatokat. 96

97 Külsı kockázatot jelentı események kategóriái lehetnek: Gazdasági - Tıke rendelkezésre-állás - Hitellehetıségek - Likviditás - Pénzpiaci szereplık - Munkanélküliség - Piaci verseny - Fúziók és felvásárlások Környezeti - Környezetszennyezés - Energia - Környezeti katasztrófa - Fenntartható növekedés Politikai - Kormányzati változás - Törvényhozás - Közérdek - Szabályozás Társadalmi - Népesség - Fogyasztói magatartás - Közösség - Bizalmasság - Terrorizmus Technológiai - Üzletmenet megszakadása - Elektronikus kereskedelem - Külsı adatok - Technológiai fejlıdés Belsı kockázatot jelentı események kategóriái lehetnek: Infrastruktúra Folyamatok - Eszközök rendelkezésre állása - Kapacitás - Eszközök alkalmassága - Tervezés - Hozzáférés - Végrehajtás - Komplexitás - Külsı kapcsolódások, függıségek Személyi állomány - Alkalmazotti kapacitás - Megtévesztı (csalárd) magatartás - Egészségügy és biztonság Technológiák - Adatintegritás - Adat- és rendszerhozzáférés - Rendszer kiválasztás - Fejlesztés - Bevezetés - Karbantartás Megkülönböztetjük még az eredendı (inherent) kockázatot, mely leegyszerősítve kezeletlen kockázatot jelent, illetıleg a maradvány (residual) kockázatot, mely az eredendı kockázat kapcsán tervezett és végrehajtott válaszintézkedés vagyis a kontroll - eredményeképpen marad. Az eredendı és maradvány kockázat egyaránt fontos a vállalati kockázatkezelés szempontjából. A következı ábra az eredendı és maradvány kockázatok szerepét mutatja be a kockázatkezelés általános megközelítésében: 97

98 CÉLOK ESEMÉNYEK EREDENDİ KOCKÁZAT VÁLASZOK MARADVÁNY KOCKÁZAT 1. ábra: Kockázatkezelés általános megközelítése Kiemeljük még a kontrollkockázat fogalmát, mely alatt annak kockázatát értjük, hogy a kontrollrendszer egyes folyamatai, vagy egyes kontroll tevékenységek a tervezett hatást, vagyis a maradvány kockázat kívánt értéken (kockázatviselési szinten) belül tartását, nem érik el. A belsı kontrollrendszer a vállalati kockázatkezelés szerves része. A vállalati kockázatkezelés és a belsı kontrollrendszer egymástól nem elválasztható, pusztán más nézıpontjait jelentik az üzleti folyamatok irányításának. Ahogy az üzleti folyamatok, mőködési egységek, szervezeti szintek egymásba épülnek, úgy a célok és a célokra hatással bíró események is láncolatot alkotnak. Az események láncolatában a magasabb szinten kezelt - maradvány - kockázat, az alsóbb szint számára adott esetben eredendı kockázatként jelenhet meg. Az események bekövetkezésének és hatásának bizonytalansága az élet természetes velejárója. A vállalati kockázatkezelés az üzleti élet bizonytalanságából kíván eredményt produkálni. A kockázatkezelés ebben az értelemben nem különbözik a normális üzletviteltıl, hanem annak egy tudatos (tervezett és ellenırzött) formáját jelenti. A kockázat-tudatosság eredményeképpen az esetleg bekövetkezı eseményekre való megfelelı felkészülés biztosítja a nagyobb üzleti siker elérését, vagy veszteség elkerülését. Ajánlott irodalom a 2. fejezethez

99 2.3. Gyakorlatok 1. kérdés A szervezeti (üzleti) kockázatkezelés a szervezet felügyeleti testülete, vezetése és munkatársai által mőködtetett folyamat, melyet a stratégia meghatározásában és az egész szervezetre alkalmaznak abból a célból, hogy: Válasszon legalább egy válaszlehetıséget. A./ azonosítsa azokat a lehetséges eseményeket, melyek kihatással lehetnek a szervezet mőködésére. B./ a kockázatokat az elfogadható szinten tartsa. C./ biztosítsa a szervezeti célok elérését. D./ a szervezeti célok elérésére vonatkozóan megfelelı szintő bizonyosságot adjon. Helyes válasz: A, B, D 2. kérdés Az ERM hozzájárul az érték-teremtéshez azzal, hogy támogatja a vezetést abban, hogy: Válasszon legalább egy válaszlehetıséget. A./ a bizonytalanságot okozó esetlegesen bekövetkezı jövıbeli eseményeket kezelje B./ minden bekövetkezı jövıbeli eseményt kezeljen C./ olyan módon reagáljon, hogy csökkentse a kedvezıtlen, illetve növelje a kedvezı kimenetel bekövetkezésének esélyét D./ olyan módon reagáljon, hogy megakadályozza a kedvezıtlen kimenetel bekövetkezését Helyes válasz: A, C 3. kérdés Az ERM a tevékenységeket a szervezet alábbi szintjein veszi figyelembe: Válasszon legalább egy válaszlehetıséget. A./ Szervezet egésze B./ Divízió vagy leányvállalat C./ Mőködési egység D./ Üzleti folyamatok Helyes válasz: A, B, C 4. kérdés A szervezet kockázatviselési szintje annak meghatározása, hogy: Válasszon legalább egy válaszlehetıséget. A./ a kockázatok vonatkozásában a vezetés és a felügyeleti testület mekkora eltérést tart elfogadhatónak B./ a stratégia vonatkozásában a vezetés és a felügyeleti testület mekkora kockázatot tart elfogadhatónak C./ a szervezeti céloktól milyen mértékő eltérés engedhetı meg D./ a stratégia vonatkozásában a vezetés mekkora eltérést tart elfogadhatónak 99

100 Helyes válasz: B 5. kérdés Az elfogadható kockázati szint meghatározásakor feltehetı kérdések: Válasszon legalább egy válaszlehetıséget. A./ A szervezeti céloktól milyen mértékő eltérés engedhetı meg? B./ Mely kockázatokat ne fogadjunk el? C./ Mely kockázatokat vállaljunk fel új kezdeményezések esetén? D./ Mely kockázatokat vállaljunk fel a piaci (verseny) célok eléréshez? Helyes válasz: B, C, D 100

101 3. FEJEZET: A SZERVEZET ÖSSZEKAPCSOLÓDÓ CÉLKITŐZÉSEINEK ELÉRÉSE Pedagógiai célkitőzések Tanuljuk meg, hogyan kapcsoljuk össze a kockázatkezelés különbözı céljait. Indikatív tartalom 3.1. A célkitőzés-kategóriák Egy szervezet meghatározott küldetésének vagy jövıképének kontextusában a vezetıség kitőzi a stratégiai célokat, megválasztja a stratégiát, és az összehangolt célkitőzéseket leosztja a vállalat minden szintjére. Ez az átfogó vállalati kockázatkezelési rendszer a szervezet céljainak elérésére irányul, és négy kategóriába sorolható: Stratégia: magas szintő célok, a küldetésével összehangolva és azt támogatva, Mőködés: a forrásainak eredményes és hatékony felhasználása, Beszámolás: a beszámoló megbízhatósága, Szabályszerőség: az alkalmazandó törvények és szabályok betartása A szervezeti célok fenti kategóriákba sorolása lehetıvé teszi a vállalati kockázatkezelés különféle szempontjainak vizsgálatát. A különálló, de egymást átfedı kategóriák egy célkitőzés egynél több kategóriába is tartozhat különbözı szervezeti igényekkel foglalkozik, és különbözı vezetık közvetlen felelısségi körébe tartozhat. A kategorizálás révén elkülöníthetık az egyes célkitőzés kategóriákkal szemben támasztott elvárások. Egy további kategória: a források megóvása amelyet bizonyos szervezetek használnak leírását is megadjuk. Mivel a szervezet hatáskörébe tartoznak a beszámoló megbízhatóságára és a törvények és szabályok betartására vonatkozó célkitőzések, a vállalati kockázatkezelés várhatóan a célkitőzések megvalósításának ésszerő biztosítékát nyújtja. A stratégiai és a mőködési célok elérése azonban olyan külsı eseményektıl függ, amelyek nem tartoznak mindig a szervezet hatáskörébe, ennek következtében e célok esetében a vállalati kockázatkezelés ésszerő biztosítékot adhat arra, hogy a vezetıség és az igazgatóság áttekintı szerepében idıben megtudja, hogy a szervezet milyen mértékben halad a célok elérése felé Célkitőzés állítása A célkitőzés állításakor a vezetés mérlegeli a szervezet stratégiáját és stratégiai céljait. Meghatározásra kerül a szervezet kockázatviselési szintje vagy hajlandósága (risk appetite) - vagyis az, hogy a stratégia vonatkozásában a vezetés és a felügyeleti testület (igazgatóság) mekkora kockázatot tart elfogadhatónak. Továbbá meghatározásra kerül a kockázati 101

102 tolerancia (risk tolerance), vagyis az, hogy a meghatározott kockázatviselési szinten a szervezeti céloktól milyen mértékő eltérés engedhetı meg. A szervezeti szinten, vagy az egyes mőködési egységek és folyamatok vonatkozásában meghatározott célokat és azoktól való megengedett eltérést megfelelı metrikákkal (mutatószámokkal) kell alátámasztani. Ez általában nem szokott problémát okozni, hiszen minden szervezet, vagy mőködési folyamat üzleti célja valamilyen viszonylag könnyen számszerősíthetı - érték létrehozása vagy megırzése. A kockázatkezelés szempontjából alapvetı kockázatviselési szint (vagy hajlandóság) számszerősítése viszont nem nyilvánvaló. A probléma súlyát az adja, hogy a kockázatértékelés során a kockázatviselési szint az, ami alapján a kockázat besorolásra kerül, mely alapján döntés születik arról, hogy a lehetséges kockázati válaszok közül melyik kerüljön alkalmazásra. Ha tehát nincs akár a szervezet, akár a mőködési folyamat kapcsán objektíven alkalmazható kockázatviselési szintre vonatkozó mutatószám, akkor a kockázatkezelés további lépéseit csak eseti, szubjektív döntéseken keresztül lehet végrehajtani. A COSO ERM modell a beépülı kontrollrendszerrel együtt célkitőzés-kategóriákat állít fel. A stratégiai, mőködési, beszámolási és szabályszerőségi célkitőzéseket az ERM esetében a szervezet, az integrált belsı kontrollrendszer vonatkozásában a mőködési egységek és folyamatok üzleti céljainak megvalósulásán keresztül kell vizsgálni. Habár az egyes célkitőzés-kategóriák alapján különbözı (teljesítmény, pénzügyi vagy szabályszerőségi) vizsgálati típusok határozhatók meg, könnyő belátni, hogy a célkitőzés-kategóriák nem önmagukban léteznek, hanem egymással összekapcsolódva. Az egyik lehetséges megközelítés alapján a célkitőzés-kategóriák egymásra épülnek. A mőködési (üzleti) folyamatok szintjén a szabályszerőségi célok teljesülése biztosítja, hogy a kockázatkezelés és belsı kontrollrendszer kiválasztott, vagy elıírt követelményei szerint kerülnek az üzleti tevékenységek végrehajtásra. A megbízható beszámolás céljai feltételezik a szabályszerőségi követelmények teljesülését, vagyis a szervezet kockázatviselési szintje a mőködési (üzleti) folyamatok kapcsán a szabályszerőségi követelmények mutatószámaival határozható meg. A mőködési egységek vonatkozásában a hatékony mőködés céljai feltételezik a megbízható beszámolás és a szabályszerő végrehajtás követelményeinek teljesülését. Ezen a szinten a szervezet kockázatviselési hajlandóságát a megbízható beszámolás és a szabályszerőség követelményeinek mutatószámaival írhatjuk elı. A szervezet egésze vonatkozásában a - mőködési egységek szintjén meghatározott üzleti célokra lebontott - stratégiai célok feltételezik a hatékony mőködés, megbízható beszámolás és szabályszerő végrehajtás követelményeinek teljesülését. A szervezet egésze vonatkozásában a kockázatviselés szintjét a mőködési egységek, mőködési folyamatok és üzleti tevékenységek kapcsán feltételezett mőködési, beszámolási és szabályszerőségi követelmények mutatószámaival jellemezhetjük. 102

103 Vegyük észre a szervezet belsı kontrollrendszerére alkalmazott kockázatkezelés következményét a szervezeti szintő kockázati tolerancia (a szervezet kontroll céljaitól való megengedett eltérés mértéke) és a kockázatviselési szint értelmezésében: a szervezet kockázatkezelési stratégiája vonatkozásában a kockázatviselés szintjét a belsı kontrollrendszer egészére elıírt követelmények mutatószámaival írhatjuk le. A konzisztens vállalati kockázatkezelés tehát feltételezi, hogy a szervezet belsı kontrollrendszerének mőködését megfelelı mutatószámokkal jellemezni lehet. Ezek a mutatószámok a belsı kontrollrendszerre vonatkozó célkitőzés-állításban is szerepet kapnak, hiszen ezekkel lehet az adott szintre jellemzı kockázati toleranciát meghatározni. Az alsóbb szintő célkitőzéskategória kontroll kockázati toleranciájának mutatóival a következı célkitőzés-kategóriára vonatkozó kockázatviselési szintet írhatjuk le. Kevésbé kockázat-tudatos vállalati mőködés esetén a stratégiai és üzleti célokat közvetlenül is lehet az üzleti tevékenységekhez kapcsolni. Ez esetben a belsı kontrollrendszer egészére vonatkozó követelmény-állításról nem beszélhetünk, így nemcsak a kontroll és kockázatkezelési keretrendszerek következetes alkalmazásáról mondunk le, hanem arról a lehetıségrıl is, hogy a szervezet vonatkozásában objektíven alkalmazható kockázatviselési szinteket határozhassunk meg, ezáltal az üzleti tevékenységek kapcsán eseti és szubjektív döntések határozzák meg a kockázatok besorolását Eseményazonosítás Az eseményazonosítás tartalmazza azon véletlenül bekövetkezı külsı vagy belsı eseményeket, melyek kihathatnak a stratégiára és a célok elérésére. Bemutatja, hogy a belsı és külsı tényezık kombinációja és összejátszása hogyan befolyásolja a kockázatmeghatározásokat (risk profile). A vállalati kockázatkezelés szempontjából nemcsak a negatív hatású eseményeket (kockázatokat) kell beazonosítani, hanem a kedvezı kimenetelő eseményeket - a lehetıségeket - is. Bár a COSO modellek nem foglalkoznak részletesen a lehetıségek kihasználását támogató folyamatokkal, ezek az üzleti élet szempontjából ugyanolyan fontosak, mint a hagyományos kontrollok. Általános üzleti modellek, szabványok, keretrendszerek, illetve részletes mőködési (pl. technológiai) elıírások is jól használhatóak a lehetséges események beazonosítására. Tekintettel a lehetséges külsı és belsı események igen kiterjedt körére, a jelentıs kihatású, de ritkábban elıforduló események többségével kapcsolatosan a szervezet vezetésének, illetve munkatársainak nem feltétlenül van gyakorlati tapasztalata. A kontroll keretrendszerek által - a belsı kontrollrendszer egyes elemeire, illetve a célkitőzés-kategóriák egymásra épülésére - elıírt követelményeket vizsgálva nyerhetünk információkat azokról az eseményekrıl, melyeket a kontroll keretrendszerek kidolgozói fontosnak tartottak. 103

104 3.4. Kockázatértékelés Leegyszerősítve a kockázatértékelés annak bemutatása, hogy a lehetséges események milyen mértékben gyakorolnak hatást a szervezeti, mőködési célok elérésére. A kockázatértékelés során a kockázatokat alapvetıen a következı szempontokból vizsgáljuk: Valószínőség (Likelihood) Hatás (Impact) A kihatás vizsgálata a kockázatok felmérése mellett a kapcsolódó célok mérésére is alkalmazható. A kockázatértékelés során kvalitatív és kvantitatív kockázat-felmérési módszereket, illetve ezek kombinációját alkalmazhatjuk. Nagyon fontos, hogy a kockázatértékelésnek nem a vizsgálati, vagy a költségvetési ciklusokhoz, hanem a vonatkozó célok idıhorizontjához kell igazodnia! A szervezeti és mőködési célok akár több vizsgálati cikluson keresztül is átnyúlhatnak, de pl. katasztrófaelhárítás esetén nagyon rövid idıtartamra is vonatkozhatnak. A kockázatértékelés mind az eredendı (inherent), mind a maradvány (residual) kockázatokat figyelembe veszi. Az objektív mérlegelés szempontjából nélkülözhetetlen a kockázatviselési szint mérıszámainak alkalmazása. A kockázati térkép egy vagy több kockázat bekövetkezési valószínőségének és kihatásának grafikus megjelenítésére szolgál. A hagyományos kockázati térképen ábrázolható az eredendı és maradvány kockázat, így a lehetséges kockázati válasz irányultsága is. 2. ábra: Kockázati térkép használata 104