BUSINESS CONTINUITY PLANNING KRÁNITZ PÉTER ÜGYVEZETŐ IGAZGATÓ CEQUA VEZETÉSI TANÁCSADÓ KFT. 2016.05.13 XXV. MAGYAR MINŐSÉGHÉT KONFERENCIA
PROGRAM 1. Bemutatkozás 2. Célkitűzés 3. BCP gyakorlati útmutató 4. Gondolatok az ISO 9001-hez CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13 2
1. BEMUTATKOZÁS CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13 3
1. Bemutatkozás Kránitz Péter, szaktanácsadó, tréner, o okleveles közgazda o ISO 9001 auditor o ISO 22301 auditor o felsőfokú lean manager CEQUA Vezetési Tanácsadó Kft. ügyvezető igazgató CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13 4
1. Bemutatkozás szervezeteket fejlesztünk 1998 óta 400 sikeres felkészítés ISO 9001:1994 9001:2000 és 9001:2008 szabvány szerinti tanúsításra 200 hallgató a minőségirányítási vezetők szakmai továbbképzésén 40 iparág tapasztalata CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13 5
1.1 Bemutatkozás TANÁCSADÁS KÉPZÉS OD tanácsadás stratégia fejlesztés változásmenedzsment Működésfejlesztés stratégiaközpontú gazdálkodási rendszer döntéstámogató vezetői információs rendszer kockázatmenedzsment Szabványos irányítási rendszerek ISO 9001:2015 minőségirányítási rendszer ISO 14001:2015 környezetközpontú irányítási rendszer ISO 27001:2013 információbiztonsági irányítási rendszer ISO 22301:2012 üzletmenet-folytonossági ir. rendszer CEQUA Kft. Minden jog fenntartva! publikus Tréningek vezetésfejlesztés problémamegoldás csapatépítés konfliktuskezelés Szakmai ismereteket bővítő képzések MIR, KIR, IBIR vezetők szakmai továbbképzése üzletmenet-folytonossági irányítási rendszerben dolgozók továbbképzés kockázatkezelés, kockázattudatosság projektmenedzsment stratégiai menedzsment 2016.05.13 6
2. CÉLKITŰZÉS CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13 7
CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13
2. Célkitűzés párhuzamok keresése az ISO 9001:2015 ISO 22 301:2012 között használható módszertanok átültetése az ISO 22 301:2012-ből az ISO 9001:2015-be CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 9
3. BCP GYAKORLATI ÚTMUTATÓ CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13 10
CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13
Mi történt a közelmúltban? A A CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 12
Zavaró incidensek forrásai természeti katasztrófa rendszer meghibásodás közmű problémák munkaerő problémák csalás / lopás terrorizmus emberi hiba bármi, nem előre látható, nem irányított, nem specifikus esemény CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 13
Mi az a business continuity (BC)? Üzletmenet-folytonosság A szervezet képessége arra, hogy előre meghatározott szinten folytassa a termékek vagy szolgáltatások szállítását egy zavaró incidenst követően; CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 14
Mi az a BCM? Üzletmenet-folytonossági menedzsment (BCM) Holisztikus menedzsment folyamat, amely azonosítja a potenciális fenyegetéseket és ha ezek bekövetkeznének, azonosítja az üzleti tevékenységre gyakorolt hatásaikat, amelyeket okozhatnak, és amely folyamat keretet biztosít a szervezet rugalmasságának kialakításához, így a hatékony válasz képessége megvédi a szervezet kulcs érdekelt feleinek érdekeit, hírnevét, brand- és értékalkotó tevékenységeit., CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 15
Üzletmenet-folytonossági tervezés Az üzletmenet-folytonossági tervezés (BCP) célja, hogy megtervezzen, létrehozzon, végrehajtson, működtessen, ellenőrizzen, felülvizsgáljon, fenntartson és folyamatosan fejlesszen egy üzletmenet-folytonossági programot, amely azonosítja az üzlet szempontjából lehetséges veszélyeket, és a kiesés potenciális hatásai alapján megállapítja a kritikus üzleti folyamatokat (BIA), CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 16
Üzletmenet-folytonossági tervezés azonosítja az üzletre ható speciális kockázatokat, megbecsli a bekövetkezés valószínűségét és hatását (RIA) fontossági sorrendbe rendezi a szükséges válaszokat a BIA-ban felmért potenciális hatások alapján: kontroll tevékenységet épít be, ahol a krízist el lehet kerülni és üzleti helyreállítási terveket hoz létre ott, ahol a krízist nem lehet elkerülni (ha a zavaró esemény bekövetkezik); teszteli és rendszeresen felülvizsgálja a kontrollokat és terveket CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 17
A BC tervezés elemei BIA és RIA Gyakorlatok és tesztek Operatív tervezés és ellenőrzés BC stratégia BC eljárások CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 18
A BIA és RIA kialakításának menete Egy dokumentált folyamat keretében az értékelés összefüggéseinek felállítása, kritériumok meghatározása és egy zavaró incidens lehetséges hatásának megbecslése, jogi és egyéb követelmények meghatározása, a BIA-tól / RIA-tól elvárt outputok meghatározása ezen információk naprakészen tartása és bizalmassága követelményeinek meghatározása; CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 19
Az üzleti hatáselemzés (BIA) célja A BIA célja azonosítani azokat a vállalati területeket, amelyek a legnagyobb költség kitettségűek, ha valamelyik üzleti funkció nem működik (bármilyen okból) Példa: berepül a repülő, és fontos iratok vesznek oda Kérdés: A BIA-nak tartalmaznia kell-e a repülő berepülésének a valószínűségét? CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 20
Az üzleti hatáselemzés (BIA) célja Válasz: NEM! mert nem a repülő berepülése a HATÁS, hanem a hatás OKA! a BIA az odaveszett dokumentumok költségét tartalmazza, tekintet nélkül a veszteség okára! CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 21
A BIA tartalmazza a termékek és szolgáltatások ellátását támogató tevékenységek azonosítását, a tevékenységek nem teljesülése hatásainak értékelését egy időskálán, ezen tevékenységek folytatásához priorizált időkeretek felállítását egy meghatározott minimum elfogadható szinten, figyelembe véve azt az időt, amelyen belül a megszakadás hatásai elfogadhatatlanná válnának; a függőségek és e tevékenységeket támogató erőforrások meghatározását, bele értve a szállítókat, outsource - partnereket és egyéb releváns érdekelt feleket; CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 22
Rendszer helyreállítási célok CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 23
Rendszer helyreállítási célok RPO Recovery Point Objective helyreállítási pontérték, adatvesztési tolerancia Az a pont, amihez az egy tevékenység által használt információt vissza kell állítani ahhoz, hogy a tevékenységet folytatni lehessen. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 24
Rendszer helyreállítási célok RTO Recovery Time Objective helyreállítási idő célérték Egy incidens bekövetkezésétől számított az az időpont, ameddig - az adott folyamatot vagy szolgáltatást helyre kell állítani, - a tevékenységet vissza kell nyerni, - az erőforrásokat vissza kell szerezni; CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 25
Rendszer helyreállítási célok MTPOD Maximum Tolerable Period of Disruption megszakadás maximálisan tolerálható időtartama Azon legnagyobb időintervallum, ameddig a szervezet tolerálni képes a terméke előállításának szünetelését, vagy szolgáltatása kiesését. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 26
Rendszer helyreállítási célok MBCO Minimum Business Continuity Objective minimális üzletmenet-folytonossági célkitűzés A szolgáltatások és/vagy termékek azon minimális szintje, amely a megszakadás alatt elégséges a szervezet számára az üzleti célkitűzéseinek megvalósításához. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 27
A hatások elemzése A potenciális hatások meghatározása, ha a szervezet valamely területe bármely okból nem tud működni Kártípus Meghatározása Jogi kár az üzleti folyamat leállása jogszabályban, belső szabályzatban előírt kötelezettségek teljesítését akadályozza Anyagi Kár az üzleti folyamat leállása többletköltséget vagy elmaradt hasznot eredményez Hírnevet érintő kár az üzleti folyamat leállása szervezet számára hírnévromlást CEQUA Kft. eredményez Minden jog fenntartva! publikus 2016.05.13. 28
A hatások elemzése A tevékenységek összes potenciális hatásai kiadják a cég összes potenciális hatását. A BIA határozza meg a kritikusság szintjét a teljes vállalatot tekintve, minden üzleti funkcióra. Kritikus az az üzleti funkció, aminek mindig működőképesnek kell lennie! Kritikus hatás: minden forint vagy hírnév veszteség, ami a cég túlélését veszélyezteti. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 29
A hatások elemzése CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 30
Kockázatértékelés (RIA) Kockázat A bizonytalanság hatása a célokra. ISO 22301:2012 Kockázatértékelés A kockázat azonosításának, elemzésének és becslésének átfogó tevékenysége. ISO 22301:2012 CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 31
Kockázatértékelés folyamata A szervezet azonosítja a szervezet kritikus tevékenységeinek és folyamatainak, rendszereinek, információinak, emberi erőforrásának, vagyontárgyainak, kiszervezett tevékenységeket végző partnereinek és egyéb erőforrásainak megszakadására ható kockázatokat, szisztematikusan elemzi a kockázatokat, felméri, mely megszakadással összefüggő kockázat igényel beavatkozást, azonosítja a BC célokkal arányos kezeléseket, a szervezet kockázati étvágyával összhangban. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 32
Kockázatértékelés eredménye CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 33
Kockázatkezelési eljárások Kockázatcsökkentés (Risk reduction) Egy kockázattal kapcsolatos valószínűség vagy a negatív következmények (vagy mindkettő) enyhítésére hozott intézkedések Kockázatelkerülés (Risk avoidance) Döntés bizonyos kockázati helyzetbe jutás megakadályozásáról, ill. intézkedés az ilyen helyzetből való kijutás érdekében Kockázat áthárítás (Risk transfer) Egy adott kockázatból származókár terhének vagy hasznának másik féllel történő megosztása. Kockázatvállalás (Risk retention) Egy adott kockázatból származó kár terhének vagy hasznának tudomásul vétele. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 34
A BCM-re vonatkozó szabványok ISO 22 301:2012 / MSZ EN ISO 22 301:2014 Societal security Business continuity management systems - Requirements Társadalmi biztonság Üzletmenet-folytonossági irányítási rendszerek Követelmények ISO 22 313:2012 / MSZ EN ISO 22 313:2015 Societal security Business continuity management systems - Guidance Társadalmi biztonság Üzletmenet-folytonossági irányítási rendszerek - Irányelv CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 35
BCM-hez kapcsolódó szabályozók MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények MSZ ISO 31000:2015 Nemzetközi Kockázatfelmérés és kezelés. Alap- és irányelvek BCI Good Practice Guidelines PSZAF Módszertani útmutató 7/2001, 1/2007, 1/2013) MNB Felvigyázói ajánlás 2010 CEQUA Kft. Minden jog fenntartva! publikus Nemzeti 2013. évi CCXXXVII. Törvény (Hpt.) 67. 2003. évi LX. tv (Bit.) 65/A. 2016.05.13. 36
4. GONDOLATOK AZ ISO 9001-HEZ CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13 37
ISO 22 301:2012 vs. ISO 9001:2015 ISO 22 301:2012 és az 9001:2015 az ANNEX SL hatálya alatt jelentek meg. közös struktúra definíciók megszövegezés követelmények több területen eltérő ISO 22301 kiterjedése sokkal szélesebb ISO 22301 módszertani ajánlásokban gazdagabb CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 38
ISO 9001:2008 alkalmazási területe 1. Alkalmazási terület 1.1. Általános rész Ez a nemzetközi szabvány arra az esetre határozza meg a minőségirányítási rendszerre vonatkozó követelményeket, amikor egy szervezetnek bizonyítania kell, hogy képes folyamatosan olyan terméket szolgáltatni, amely megfelel a vevői, valamint az alkalmazható jogszabályi és egyéb szabályozó követelményeknek, valamint a vevői elégedettség növelése a célja a rendszer eredményes alkalmazásával, beleértve azokat a folyamatokat, amelyek a rendszer folyamatos fejlesztését és a vevői, valamint az alkalmazható jogszabályi és egyéb szabályozó követelményeknek való megfelelőséget szavatolják. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 39
ISO 9001:2015 alkalmazási területe 4.3 A minőségirányítási rendszer alkalmazási területének meghatározása A szervezetnek az alkalmazási terület kialakításához meg kell határoznia a minőségirányítási rendszer határait és alkalmazhatóságát. Ezen alkalmazási terület meghatározásakor a szervezetnek át kell gondolnia a 4.1 szakaszban hivatkozott külső és belső tényezőket; a 4.2 szakaszban hivatkozott lényeges érdekelt felek követelményeit; a szervezet termékeit és szolgáltatásait. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 40
JAVASLAT Mely módszertan teremti meg a kapcsolatot a korábbinál sokkalta szélesebb, (lényeges) érdekelt felek által kifejezett szükségletek és elvárások, valamint a minőségirányítási rendszer hatókörébe tartozó termékek és szolgáltatások között? JAVASLAT: stratégiai szintű üzleti hatáselemzés CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 41
JAVASLAT 42 Külső stakeholderek (pl.) vevők versenytársak szállítók kormányzat, jogalkotás bankok tulajdonosok szakszervezet Belső stakeholderek (pl.) management alkalmazottak Elvárások (pl.) minőség ár határidő megfelelés likviditás nyereség munkafeltételek Folyamatok (pl.) Marketing Műszaki tervezés Gyártástervezés Ajánlatadás Gyártás/ szolgáltatás nyújtás Mérés karrier Controlling jövedelem Számlázás CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 42
JAVASLAT 1. hívókérdés: Mekkora hatása van a szervezetre, ha valamely folyamat (bármilyen okból) nem teljesíti azt az elvárást, amelyet ki kellene elégítenie? 2. hívókérdések: Egy adott terület melyik más terület munkájának minőségétől függ a legjobban? Az adott terület munkájának minőségétől melyik más terület munkája függ a legjobban? CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 43
Szervezeteket fejlesztünk - 1998 óta További információ: Kránitz Péter ügyvezető igazgató +36 1 250 0268, +36 1 920 3598 kranitz@cequa.hu www.cequa.hu 1056 Budapest, Papnövelde utca 1. CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13 44
KÖSZÖNÖM A FIGYELMET! CEQUA Kft. Minden jog fenntartva! publikus 2016.05.13. 45