A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS

Erasmus Multilateral Projekts Virtual campuses A projekt referenciaszáma: 134350-LLP-1-2007-1-HU-ERASMUS-EVC A projekt címe: Virtual campus for SMEs in a multicultural milieu ( SMEdigcamp ) Ez a kiadvány (közlemény) a szerzı nézeteit tükrözi, és az Európai Bizottság nem tehetı felelıssé az abban foglaltak bárminemő felhasználásért. A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS Modulvezetı: Bernard QUINIO (FR-UPX) További modultagok: András JÁNOSA (HU) János IVANYOS (HU) Imre JUHÁSZ (HU) Gyula KADERJÁK (HU) Manuela NOCKER (UK) Gunnar PRAUSE (DE) Daniel BRETONES (FR-ESCEM) 1

TARTALOMJEGYZEK A) A MODUL MEGHATÁROZÁSA...5 B) INDIKATÍV TARTALOM...11 I. VEZETİI INFORMÁCIÓS RENDSZEREK...11 1. FEJEZET: AZ INFORMÁCIÓS RENDSZER MEGSZERVEZÉSE ÉS VEZETÉSE KKV- K SZÁMÁRA...11 1.1. Bevezetés...11 1.2. Az információs rendszerek fı kérdéseinek meghatározása a kkv-k számára...11 1.2.1 Információ és információs rendszer...11 1.2.2. Kulcsfontosságú témák, melyeket az információs rendszer vet fel a vállalkozás számára...11 1.3. Az IR funkció megszervezése a vállalatnál...11 1.4. Az IR osztály költségvetése és költségei...12 1.5. Hogyan kezeljük az IR kiszervezését...12 1.5.1. Az IR szolgáltató leírása...12 1.5.2. Az IR tevékenységei és azok kiszervezése...12 1.5.3. Hogy kezeljük a szolgáltatót...12 1.5.4. A szolgáltatók kezelésének ciklusa...12 1.6. Irányítás a kkv-kban: szabályok és eszközök...12 1.7. Gyakorlatok...13 2. FEJEZET: AZ IR ALKALMAZÁSA A KKV-KBAN...14 2.1. Bevezetés...14 2.2. Az információs rendszer mőszaki infrastruktúrája a kkv-kban...14 2.2.1. Az infrastruktúra mőszaki aspektusa...14 2.2.2. A szoftver alkalmazás térképe...14 2.2.3. Hogyan válasszunk nyílt rendszerek és az egyedi fejlesztésőek között?...14 2.3. Az IR döntéstámogatási alkalmazása...15 2.3.1. Felsıvezetıi információs rendszer (EIS)...15 2.3.2. Szakértıi rendszer...15 2.3.3. Tudás menedzsment...15 2.3.4. Üzleti intelligencia...15 2.3.5. Adatelemzés és adatbányászat...16 2.4. IR alkalmazások két fı célra...16 2.4.1. Ügyfélkapcsolat kezelés (CRM)...16 2.4.2. Az e-business és a web site...17 2.4.3. Beszállítói láncolatkezelés (SCM)...17 2.5. Az IR alkalmazás integrációs célra...17 2.5.1. A vállalaton belül: Vállalati Erıforrástervezés (ERP)...17 2.5.2. A vállalaton kívül: Elektronikus adatcsere (EDI)...17 2.5.3. A vállalaton kívül: az e-business piac...18 2.6. Gyakorlatok...18 3. FEJEZET: PROJEKTVEZETÉS...19 3.1. Bevezetés...19 3.2. A projektvezetés fı fogalmainak meghatározása...19 3.3. Hogy készítsünk elı egy projektet?...19 2

3.3.1. Pontosítsuk a projekt céljait: miért és hol kell cselekedni?...19 3.3.2. Határozzuk meg a megoldás típusát: Hogyan járunk el?...19 3.3.3. Az emberi és mőszaki erıforrások meghatározása. Kivel és mivel dolgozunk?...19 3.4. Hogy építjük fel a projektet?...20 3.5. Hogy kell egy projektet irányítani?...20 3.5.1. Projektirányítás...20 3.5.2. Projektvezetés...20 3.6. Hogy telepítsük és használjuk a projekt eredményét...21 3.7. Gyakorlatok...21 4. FEJEZET: AZ IR BIZTONSÁGA ÉS KONTROLLJA...22 4.1. Bevezetés...22 4.2. Biztonsági szabályok: szigorú szabály, irányelv és szervezéssel elért biztonság...22 4.3. A biztonság emberi tényezıje...23 4.4. Külsı és belsı támadások...24 4.5. A számítástechnikai tanúsítás törvénye és szabványai...25 4.6. Az adatok és a szoftver biztonsági másolata...26 4.7. A tevékenység újrakezdése és fenntartása...26 4.8. A COBIT vagy az ITIL használata a kkv-k számára...26 4.9. Gyakorlatok...27 II. KOCKÁZATKEZELÉS...28 1. FEJEZET: A KOCKÁZATKEZELÉSI ISMERETEK MEGSZERZÉSÉNEK CÉLJAI...28 1.1. Bevezetés...28 1.2. Globális célok...28 1.3. A fı kérdések leírása...28 1.4. Miért fontos a kockázatkezelés a kkv-k számára?...29 1.5. Gyakorlatok...30 2. FEJEZET: A KOCKÁZATKEZELÉS ALAPELVEI...31 2.1. A vállalati kockázatkezelés meghatározása...31 2.2. A kockázat típusai...31 2.3. Gyakorlatok...32 3. FEJEZET: A SZERVEZET ÖSSZEKAPCSOLÓDÓ CÉLKITŐZÉSEINEK ELÉRÉSE..33 3.1. A célkitőzés-kategóriák...33 3.2. Célkitőzés állítása...33 3.3. Eseményazonosítás...33 3.4. Kockázatértékelés...33 3.5. Kockázati válaszok...34 3.6. Gyakorlatok...34 4. FEJEZET: A KOCKÁZATKEZELÉS KOMPONENSEI...35 4.1. A célkitőzések és az alkotóelemek összefüggése...35 4.2. A kockázatkezelés eredményessége és korlátai...35 4.3. Kapcsolat a belsı kontrollrendszerrel...35 4.4. Gyakorlatok...36 5. FEJEZET: A KOCKÁZATKEZELÉS KÉPESSÉGI SZINTJÉNEK FELMÉRÉSE...37 5.1. A COSO keretrendszer alkalmazása referenciamodellként...37 5.2. A szervezet céljainak feltérképezése képesség szintek szerint...37 5.3. Bizonyosságot nyújtó és tanácsadói ellenırzési megbízások...38 3

5.4. Gyakorlatok...38 C) NEMZETI SPECIFIKÁCIÓK...39 1. FRANCIAORSZÁG...39 1.1. Vezetıi információs rendszer...39 1.1.1. 1. Fejezet Az információs rendszer (IR) megszervezése és vezetése a kkv-k számára...39 1.1.2. 2. Fejezet IR alkalmazások az kkv-kban...39 1.1.3. 3. Fejezet: Projektvezetés...39 1.1.4. 4. Fejezet az IR biztonsága és kontrolle...40 1.2. Kockázatkezelés...40 2. NÉMETORSZÁG...41 2.1. Információs rendszerek...41 2.2. Kockázatkezelés...41 3. MAGYARORSZÁG...42 3.1. Vezetıi információs rendszerek...42 3.2. Kockázatkezelés... Hiba! A könyvjelzı nem létezik. 4. EGYESÜLT KIRÁLYSÁG...42 4.1. Vezetıi információs rendszerek...48 4.2. Kockázatkezelés...48 4.3. Egyéb javasolt olvasmányok...49 4

A) A MODUL MEGHATÁROZÁSA A modul leírása A modul két részbıl áll: egy információs rendszerekrıl és egy kockázatkezelésrıl szóló részbıl. Az információs rendszerrıl szóló rész célja, hogy a kis- és középvállalkozások információs rendszereinek kezeléséhez szükséges készségeket megadja. A kockázatkezelésrıl szóló rész a kkv-k kockázatkezelési elveinek és eszközeinek elsajátításához szükséges készségek biztosítását célozza. A modul céljai Vezetıi információs rendszerek Hogyan kezeljük az információs rendszereket a kkv-kban Hogyan vegyünk részt egy információs rendszerrıl szóló projektben Hogyan alkalmazzunk biztonsági szabályokat kkv-k számára Kockázatkezelés Hogy alkalmazzunk kockázatkezelési elveket és eszközöket Hogy tőzzünk ki célokat, és mi a kockázatviselési hajlandóság, illetve a kockázati tolerancia Hogy végezzük a kockázatfelmérést, és hogy határozzuk meg a kockázatra adott választ Hogy ágyazódik be a belsı audit a kockázatkezelésbe Hogy értékeljük a kockázati hatékonyságot és a kontroll rendszereket Elıfeltételek Vezetıi információs rendszer Jól használható a személyi számítógép, az Internet és az irodai alkalmazások szakmai környezetében Táblázatkezelı, adatbázis kezelı és Internet vezetıi célokra A táblázatkezelés koncepciója és gyakorlati használata pénzügyi és kontroll költségvetés készítés céljaira Kockázatkezelés Stratégiai irányítás. Pénzügyi irányítás. Szervezés és vezetés. Folyamatfelmérés. 5

Munkamódszer A modul minden fejezetéhez kifejtjük a fıbb elveket számos példa kíséretében, és elektronikus linkeket is adunk, ahol az elvek a valós életbe ágyazva is megtekinthetık. Ezután ellenırzı kérdések és gyakorlatok következnek, hogy az eszközök gyakorlati alkalmazását is elısegítsük. Értékelés Az értékelés két részbıl áll: egy kvíz, melynek célja az elmondott elvek tudásának értékelése és egy esettanulmány. A modul szerkezete Vezetıi információs rendszer (2 kredit) 1. Fejezet: az információs rendszer felépítése és irányítása a kkv számára Pedagógiai célkitőzések: Tökéletes ismeretek az információs rendszer fogalmáról Hogy kell felépíteni egy információs rendszert egy kkv-ban Hogy kell egy információs rendszer funkcióinak kiszervezését kezelni Hogy kezeljük a kkv szolgáltatóját Szerkezet: Bevezetés Az információs rendszer (IR) meghatározásai és fıbb kérdései a kkv számára Információkezelés és információs rendszer Fıbb kérdések a kkv-k szempontjából Az IR funkcióinak megszervezése a cégen belül Az IR funkcióinak költségvetése és költségei Hogy kezelendı az IR kiszervezése Az IR szolgáltató meghatározása IR tevékenységek és kiszervezésük Hogy tartsuk kézben a szolgáltatót Az IR irányítás a kkv-ban: szabályok és eszközök 2. Fejezet: Az IR alkalmazása a kkv-kban Pedagógiai célkitőzések: Megfelelı ismeretek megszerzése a fı IR alkalmazással kapcsolatban Minden alkalmazás esetében a fı sikertényezık megismerése Minden alkalmazás esetében a fı termékek és azok gyártóinak ismerete Az alkalmazás használatának megtanítása nem a jelen fejezet célja Szerkezet: Bevezetés Az IR mőszaki infrastrukúrája a kkv-n belül Az infrastruktúra mőszaki tényezıi 6

A szoftver alkalmazás térképe Hogy válasszunk nyílt és tulajdonosi rendszerek között? Hogy válasszunk a kész szoftver és a testreszabott fejlesztés között? Az IR alkalmazása döntéshozatalra Felsıvezetıi információs rendszer (EIS) Szakértıi rendszer Tudás menedzsment Üzleti hírszerzés Adatelemzés és adatbányászat Az IR alkalmazás két fı funkciója Ügyfélkapcsolat kezelés (CRM) E-business és a honlap Beszállítói útvonalkezelés (SCM) Az IR alkalmazás integrációs célra A vállalaton belül: Vállalati Erıforrástervezés (ERP) A vállalaton kívül: Elektronikus adatcsere (EDI) Az E-business piaca 3. Fejezet Projektvezetés Pedagógiai célkitőzések: Hogy irányítsuk egy információs rendszer megvalósítási projektjét Hogy alkalmazzunk projektvezetési eszközöket A kockázatelemzés a Kockázat kezelés c. részben található Szerkezet: Bevezetés A projektvezetés fı fogalmainak meghatározása Hogy készítsünk elı egy projektet A projekt céljainak meghatározása: Miért és hol van tennivaló? A megoldás típusának meghatározása: a tevékenység módjának meghatározása Az emberi és technikai erıerıforrások meghatározása: kivel és mivel dolgozunk? Hogy építjük fel a projektet? Hogy menedzseljük a projektet? A projekt iránya A projektvezetése Tervezés (Pert és Gantt) Költségek kézbentartása Változás-kezelés és az emberi tényezık Hogy üzemeljük be, és hogy használjuk a projekt eredményét 4. Fejezet: az IR biztonsága és kontrolle Pedagógiai célkitőzések: Hogy alkalmazzuk a biztonsági szabályokat és eszközöket a kkv-ban Hol találunk információt és tanácsot a biztonsággal kapcsolatban Szerkezet: Bevezetés 7

A biztonság szabályai: vonatkoztatási területek, szigorú szabály, irányelv és szervezés alapú biztonság A biztonság emberi tényezıi Belsı és külsı támadások A számítástechnikai biztonság jogi szabályozása Adatbiztonság és szoftver A tevékenység újraindítása és fenntartása A COBIT használatat a kkv-ban Az ITIL használata a kkv-kban Kockázatkezelés (2 kredit) 1. Fejezet: A kockázatkezelési ismeretek célja A kockázatviselési hajlandóság és a stratégia összhangja a vezetés megfontolja a szervezet kockázatviselési hajlandóságát stratégiai alternatívák értékelése során, kitőzi a vonatkozó célokat és mechanizmusokat alakít ki a kapcsolódó kockázatok kezelésére. A kockázatkezelési döntések javítása A vállalati kockázatkezelés adja a szigort az alternatív kockázatkezelési döntések közötti választáshoz: kockázat elkerülés, csökkentés, megosztás és elfogadás. Mőködési költségekkel kapcsolatos kellemetlen meglepetések és veszteségek csökkentése a szervezetek egyre jobb képességet alakítanak ki a várható események meghatározásához és válaszlépéseik megtervezéséhez, csökkentve ezáltal a meglepetést és az azzal járó költségeket vagy veszteségeket. Többszörös és vállalatközi kockázatok meghatározása minden vállalat rengeteg kockázattal szembesül, melyek a szervezet különféle részeit érintik. A vállalat kockázatkezelési funkciója hathatós válaszlépést tesz lehetıvé egymással összefüggı behatások esetén és integrált válaszokat ad többszörös kockázatokra. A lehetıségek megragadása a lehetséges események egész sorának megfontolása során a vezetıség meghatározza és proaktív módon megvalósítja a lehetıségeket. A tıke mőködtetésének javítása a kockázattal kapcsolatos bıséges információ lehetıvé teszi a vezetıség számára az átfogó tıkeigény hatékony felmérését és a tıke allokáció javítását. 2. Fejezet: A Kockázatkezelés alapelvei Egy folyamat, mely szüntelenül áramlik egy szervezet egységein át A szervezet minden szintjének munkatársai kapcsolatba kerülnek vele A stratégiatervezésben jut szerephez A teljes vállalkozásban megjelenik, minden szinten és szervezeti egységben, és szervezet szintő kockázat-szemléletet jelent Lehetséges események bekövetkeztének megjóslásában segíthet, melyek, ha csakugyan bekövetkeznek, hatással vannak a szervezetre, de a kockázatviselési hajlandóságon belüli kezelésnek is hatékony eszközei Ésszerő mérvő biztonságot nyújthatnak egy szervezet igazgatóságának A célok elérését tőzi ki célul egy vagy több különálló, de egymással átfedı területen 8

3. Fejezet: a szervezet egymáshoz kapcsolódó céljai Stratégiai magas szintő célok, melyek céljaival összhangban állnak és azt támogatják Mőködés az erıforrások eredményes és hatékony kihasználása Jelentés a jelentések megbízhatósága Megfelelés a hatályos törvényeknek és szabályoknak való megfelelés 4. Fejezet: a kockázatkezelés alkotóelemei: Belsı környezet Célmeghatározás Esemény meghatározás Kockázatfelmérés Kocekázat Ellenırzı tevékenységek Tájékoztatás és kommunikáció Monitoring 5. Fejezet: A kockázatkezelési képesség felmérése A COSO keret használata referencia célra A szervezet céljainak és képességeinek összehasonlítása Biztosítási feladatok Konzultációs feladatok Ajánlott irodalom Franciául: Encyclopédie des Systèmes d Information, Editions Vuibert coordonné par J. AKOKA et I. Commyn Wattiau, 2007 Marciniak et Rowe (2005) Systèmes d'information, Dynamique et Organisation, Economica, 2005, seconde édition Quinio et lecoeur (2003)«Projet de Système d'information : Une démarche et des outils pour le chef de projet» Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). «Manuel de gestion d entreprise», trois chapitres sur les Systèmes d Information, ouvrage collectif coordonné par l AUPELF (2004). «Contrôle et confiance dans la relation avec les prestataires de services informatiques : les trois niveaux : Prestataire, Personnel, Prestation» ; B. Quinio et A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006 Angolul: Laudon Laudon (2006) Management Information Systems (Vezetıi információs rendszerek) 9/e, Pearson prentice hall Érdekes web site-ok Vezetıi információs rendszerinformációs rendszer «projektvezetési intézet» website 9

«nemzetközi projektvezetési szövetség» website A «clusif» honlap «Információs rendszerbiztonsági szövetség» website Kockázatkezelés http://www.coso.org/documents/coso_erm_executivesummary.pdf http://www.coso.org/documents/coso_erm_executivesummary_french.pdf http://www.coso.org/documents/coso_erm_executivesummary_german.pdf http://www.coso.org/documents/coso_erm.ppt 10

B) INDIKATÍV TARTALOM I. VEZETİI INFORMÁCIÓS RENDSZEREK 1. FEJEZET: AZ INFORMÁCIÓS RENDSZER MEGSZERVEZÉSE ÉS VEZETÉSE KKV-K SZÁMÁRA Pedagógiai célkitőzések Tökéletes ismeretek az információs rendszer fogalmáról Hogy kell felépíteni egy információs rendszert egy kkv-ban Hogy kell egy információs rendszer funkcióinak kiszervezését kezelni Hogy kezeljük a kkv szolgáltatóját Indikatív tartalom 1.1. Bevezetés Vezessük be a Fejezetet és pontosítsuk, mit értünk információs rendszer alatt, mivel ezen a területen sok a félreértés 1.2. Az információs rendszerek fı kérdéseinek meghatározása a kkv-k számára 1.2.1 Információ és információs rendszer Az információ: az adatok, a célok és a jelentés hármasa Információs rendszer: mőszaki komponensek (IT), a szervezet, és felhasználók (e három elem) feldolgozza a vállalat információit. Kulcsfontosságú, hogy megkülönböztessük az adatrendszereket és az információs rendszereket Célszerő sok példát idézni a valós életbıl. 1.2.2. Kulcsfontosságú témák, melyeket az információs rendszer vet fel a vállalkozás számára Az információs rendszernek két szerepe van: termelési rendszer és döntéshozatali rendszer 1.3. Az IR funkció megszervezése a vállalatnál Az IR egységet nagy vállalatokban találjuk meg (üzemeltési szolgáltatás és fejlesztési szolgáltatás). 11

A kkv-kben egyetlen munkatárs gyakran egyedül oldja meg az IR mőszaki és szervezeti kérdéseit. Feladata fıként a szolgáltató munkájának kézbentartása. Ezután meg kell határoznunk az IR-ren belüli szereplıket és feladataikat a kkv-ken belül. 1.4. Az IR osztály költségvetése és költségei A kkv-kon belül igen nehéz meghatározni az IR költségeit. Egy nagyvállalatokról szóló tanulmány alapján az IR becsült költsége a cég forgalmának 3%- a. Az IR költségvetése két részre bontható: 80% üzemeltetés és 20% a fejlesztési projektek. 1.5. Hogyan kezeljük az IR kiszervezését 1.5.1. Az IR szolgáltató leírása Igen nehéz pontosan meghatározni minden szolgáltatót. Használhatunk nemzeti osztályozást és támaszkodhatunk az OECD osztályozására. Ez arra jó, hogy rajta keresztül bemutathassuk a szolgáltatók sokszínőségét és a kkv-k számára legfontosabb szempontokat. 1.5.2. Az IR tevékenységei és azok kiszervezése Szinte minden IR tevékenység kiszervezhetı (fejlesztés, kihasználás, karbantartás). Sok cég számára a fı probléma a jó szoftver csomag megtalálása és alkalmazása. 1.5.3. Hogy kezeljük a szolgáltatót A szolgáltató kezelése során három elemet kell megkülönböztetni: a szolgáltatót (cég), a szolgáltató alkalmazottait, akik az ügyfél érdekében tevékenykednek, illetve a szolgáltatást magát. Ezzel a hiányosságtétellel leírhatjuk és kézben tarthatjuk a kapcsolatot az ügyfél és a szolgáltató között. 1.5.4. A szolgáltatók kezelésének ciklusa Az ügyfélcég és szolgáltatói közötti kapcsolatban több szakaszt különböztetünk meg. Ezeket négy fı lépésre osztjuk: kiválasztás, szerzıdéskötés, megvalósítás és mőködtetés. 1.6. Irányítás a kkv-kban: szabályok és eszközök Egy IR irányítását helyes gyakorlatok sorozatának mőködtetéseként is felfoghatjuk: Stratégiai összhang Költség kontroll Projektirányítás (ld. következı Fejezet) Biztonság (ld. következı Fejezet) 12

Ajánlott irodalom az 1. Fejezethez Systèmes d'information, Dynamique et Organisation, Economica, 2005, seconde édition, 112 pages, (avec F. Rowe) «Projet de Système d'information : Une démarche et des outils pour le chef de projet» Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). «Contrôle et confiance dans la relation avec les prestataires de services informatiques : les trois niveaux : Prestataire, Personnel, Prestation» ; B. Quinio et A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006 1.7. Gyakorlatok 13

2. FEJEZET: AZ IR ALKALMAZÁSA A KKV-KBAN Pedagógiai célkitőzések A kkv-k fı IR alkalmazásainak alapos ismerete Minden alkalmazás esetében ismerni kell a sikertényezıket Minden alkalmazás esetében ismerni kell a termékeket és tudni kell, ki fejlesztette Az alkalmazás használatának részletezése nem célja a jelen fejezetnek Indikatív tartalom 2.1. Bevezetés Vezesse be a Fejezetet és hangsúlyozza, hogy nem lehet minden szofvert manipulálni, ezért vagy demó változatot használunk, vagy honlapokat látogatunk. 2.2. Az információs rendszer mőszaki infrastruktúrája a kkv-kban 2.2.1. Az infrastruktúra mőszaki aspektusa Fı célunk egy mőszaki infrastruktúra meghatározása (hardver, szoftver és telekommunikáció) és ennek néhány megvalósulását bemutatni (diagram, séma) Diagramot és sémát a weben találhatunk. Mivel nem mőszaki kurzusról van szó (ld. elıfeltételek), nem a mőszaki jellemzıkhöz, hanem az eszközök hasznosságához ragaszkodunk. 2.2.2. A szoftver alkalmazás térképe Itt a vállalat alkalmazástérképét egyetlen ábrában adjuk meg. Bemutatjuk a rendszerszerőség alapelvét és a hardver és szoftver szoros összefüggésének szükségszerőségét. 2.2.3. Hogyan válasszunk nyílt rendszerek és az egyedi fejlesztésőek között? Elıbb be kell mutatnunk a nyílt rendszert, hogy utána valós alternatívaként beszélhessünk a tulajdonosiról. A nyílt rendszer közössége jó példa a társadalmi hálózat mőködésére. Mutassuk be a fı engedélyezési rendszereket. A döntést az alábbi kritériumok alapján végezzük el: Kompatibilitás Fejlıdés Költség Kockázat 14

2.3. Az IR döntéstámogatási alkalmazása Elsıként bevezetjük az Anthony piramist (stratégiai szint, taktikai szint és mőködési szint), és vele párhuzamosan elmagyarázzuk az egyes szinteken a döntés információ igényét. Az információ jellemzıi a vezetés minden szintjén eltérıek. A döntéshozatal támogatására készült IR segítheti a vezetıt (EIS) vagy felkínálhat konkrét döntést (szakértı rendszer). Bemutatjuk a tudás menedzsment új szintjét. Végül bemutatjuk az üzleti hírszerzést és az adatelemzı eszközöket. 2.3.1. Felsıvezetıi információs rendszer (EIS) Az EIS azért készül, és azért használják, hogy segítsen a vezetınek a döntéshozatalban. H Simon jól ismert modelljének elmagyarázásával adjuk meg a döntéshozatali folyamattal kapcsolatos alapismereteket. Az EIS információt ad a vezetıknek (a cégen belülrıl és kívülrıl). Az EIS két módon valósítható meg: fentrıl lefele vagy lentrıl felfele. Az EIS gyakran igen költséges, így a legegyszerőbb eszközöket is (pl. a táblázatkezelı) használhatjuk teljesítmény indikátorok gyanánt. Komoly kérdés a késés az operatív tények és a vezetıknek készített jelentés ideje között. Igen hasznos lenne a Business Objective vagy az Iperion rendszerek bemutatása. 2.3.2. Szakértıi rendszer A szakértıi rendszer olyan szoftver, mely speciális és szőkített összefüggésben képes a döntéshozatalra. Célszerő bemutatni a szakértıi rendszert általános szemszögbıl, kerülve a túlzottan szakirányú nyelvezetet. A legfıbb nehézség olyan embert találni, akinek szakértelmét aztán beépítjük a szoftverbe. 2.3.3. Tudás menedzsment A tudás egyszerő meghatározását követıen a tudásmenedzsmentet úgy mutatjuk be mint a cég munkavállalóinak fejében meglevı tudás tıkeként való felhalmozását. Az e célra alkalmazott eszköz gyakran nem több mint az Intranet egy adatbázissal. 2.3.4. Üzleti intelligencia A tudás tıke egyre fontosabb szerepet játszik a vállalatok sikerében, és egyben döntı tényezıje egy vállalat értékrendjének is. Egyes kutatások szerint a világon rendelkezésre álló adatok évrıl évre megduplázódnak. Paradox módon azonban az ezen adathalmazban megjelenı információ mennyisége csökken. Az üzleti döntéshozók összefüggı üzleti információhalmazt keresnek, melyet azonnal használhatnak. Ezzel szemben az egységes, összefüggı információt nyújtó adatok gyakran más-más helyeken találhatók (saját rendszerünkön, az Interneten, közszolgáltató portálokon, 15

stb.), és ráadásul más és más módszerekkel lehet tárolni és elérni ıket. Ezek elérhetıvé tétele pusztán mőszaki kérdés. Az üzleti intelligencia számítástechnikai megoldások alkalmazásokat és technológiát tartalmaz azzal a céllal, hogy vezetıknek és döntéshozóknak hozzáférést biztosítson a szükséges adatokhoz és az adattárakban és adatbázisokban tárolt ismeretekhez. 2.3.5. Adatelemzés és adatbányászat Az adatkészlet, melybıl a tudást adatelemzés és adatbányászat segítségével ki akarjuk nyerni legyen ésszerően felépített, jól strukturált elektronikus rendszer. Nagy cégek esetében ez az adattárház. Az adattárház megtisztított, részletes és/vagy összevont adatokat tartalmaz, melyeket a szervezet belsı rendszerei hoznak létre, illetve melyek külsı forrásból származnak. A kkv-kban általában egyszerő, de átláthatóan felépített adatbázist találunk, nagyrészt belsı adatokkal. Az adatokat információvá alakító alkalmazások (adatbányászat) ezen a következetes adatrendszeren alapulnak. Nagy cégeknél az adattárház alkalmazáson alapuló legelterjedtebb megoldások az OLAP (Online Analytical Processing) alkalmazások. A kkv-kban hagyományos elemzési módszereket (pl. SPSS-t) és klasszikus adatbázis lekérdezést (pl. SQL) is használhatunk. Az adatbányászat tipikus területe a fogyasztói kosár elemzése. Mely termékeket keresnek egy adott idıben a fogyasztók? Van-e olyan összefüggés, mely alapján meghatározható, hogy ha valaki vásárol X terméket, az Z termékbıl is vesz? 2.4. IR alkalmazások két fı célra 2.4.1. Ügyfélkapcsolat kezelés (CRM) Az ügyfélkapcsolat kezelı olyan információs rendszer, mely ügyfelekkel kapcsolatos információt dolgoz fel. A CRM természetes eszköz olyan nagyvállalatok számára, mint bankok vagy kiskereskedelmi szervezetek, egyes kkv-k, (pl. a Sage is használ ilyet). Az ügyfélkapcsolat kezelınek 3 része van: a front office, mely az ügyfelekkel való kapcsolatteremtést és kommunikációt kezeli (pl. a call centre), egy adatbázis, mely információgyőjtésre alkalmas és a back office, információfeldolgozás céljára (pl. kereskedıi munka automatizálására). A puha mint egy szolgáltatás mostanában népszerősödı elve ( soft as a service - SaaS) lehetıség lehet a kkv-k számára a CRM használatára. A SaaS-ra példaként bemutathatjuk a Salesforce honlapját. 16

2.4.2. Az e-business és a web site A honlapok valóban elterjedtek az üzleti világban (kkv vagy nagyvállalat), két dologhoz azonban ragaszkodjunk. Elsıként is egy egyszerő, tájékoztató célú honlap már nem elegendı egy cég számára: egy honlapnak interakciót kell lehetıvé tennie az ügyfelekkel. Másodikként a cél az legyen, hogy tényleges eladási láncolatot hozunk létre az Internet technológiák használatával. Néhány kkv honlapjának összehasonlítása hasznos lehet a kkv-k számára a jó honlap tulajdonságainak illusztrálására. 2.4.3. Beszállítói láncolatkezelés (SCM) A beszállítói láncolatkezelés magába foglalja a beszerzés, vásárlás, feldolgozás és logisztika tevékenységeit. Magában foglalja továbbá az érékesítési láncolatban résztvevı partnerekkel folytatott koordinációt és együttmőködést, amely lehet beszállítók, közvetítık, harmadik fél szolgáltatók és ügyfelek. Meg kell különböztetnünk a beszállítói láncolatkezelést és a logisztikát. Az SCM rendszerek kétirányú folyamatot jelentenek: az egyik az ügyféltıl a beszállító felé (az ügyféligények meghatározása céljával), a másik pedig a beszállítótól az ügyfélig a termelés és az elosztás menedzselésének céljával. 2.5. Az IR alkalmazás integrációs célra 2.5.1. A vállalaton belül: Vállalati Erıforrástervezés (ERP) A vállalati erıforrástervezés legjellemzıbben csomagban vásárolt szoftvert jelent a legtöbb vállalattípusban. Az ERP meghatározása után írjuk le annak szerkezetét (adatbázis és a különféle modulok). A nagyvállatok számára készült ERP szoftver rendszereknek (mint az SAP) vannak a kkv-k számára készült speciális változataik (mint pl. a Navision a Microsoft esetében). Egy szervezet számára az ERP megvalósítása mindig nagy kihívás és egyben nagyon kockázatos vállalkozás is. 2.5.2. A vállalaton kívül: Elektronikus adatcsere (EDI) Az elektronikus adatcsere valójában egy sor szabvány a vállalatok, szervezetek és kormányzati szervek és más csoportok között elektronikusan továbbítandó/fogadandó információ strukturálására. A szabványok leírják a dokumentumok szerkezetét, pl. megrendelıket, a vásárlás automatizálása érdekében. Valójában sokféle EDI létezik, ami komoly nehézséget jelent egy cégnek. Az EDI-t rendszerint egy nagy ügyfél kényszeríti rá egy kkv-ra (pl. a nagykereskedelem) annak dacára, hogy egy ilyen rendszer igen költséges. Újfajta EDI áll kifejlesztés alatt az Interne nevő eszközzel és a XML: ebxml. 17

2.5.3. A vállalaton kívül: az e-business piac Az e-business piac olyan rendszer, mely azonos platformra hozza az ügyfelet és a szolgáltatót. Vannak B2B és B2C piacterek (pl. az ebay). Egy elektronikus piactéren az ügyfél megtalálhat egy terméket vagy szolgáltatást, kiválaszthat egy szolgáltatót, ajánlatot tehet és fizethet is a termékért. Megkülönböztetünk függıleges (pl. autóipar) és vízszintes (pl. e-beszerzés) piactereket. Magyarázzuk el ezen piacterek üzleti modelljét. Így lesz érthetı, miért sikeres az egyik, és miért üzleti kudarc a másik. Ajánlott irodalom a 2. Fejezethez Laudon Laudon (2006) Management Information Systems, (vezetıi információs rendszerek) 9/e, Pearson prentice hall 2.6. Gyakorlatok 18

3. FEJEZET: PROJEKTVEZETÉS Pedagógiai célkitőzések Hogy vezessünk információs rendszer projektet Hogy alkalmazzunk vezetıi projektirányítási eszközöket A kockázatelemzéssel foglalkozó részt a Kockázatkezelés c. részben taglaljuk Indikatív tartalom 3.1. Bevezetés Vezessük be a fejezetet és mondjuk el, hogy a projektvezetés komoly részt képvisel a vezetésen belül. Vezessük be a két fı szakmai szervezetet: a Projektvezetési Intézetet (PMI) és a Nemzetközi Projektvezetési Szövetséget (IPMA) Mondjuk el, milyen folyamat eredményeként lehet valaki projektvezetı 3.2. A projektvezetés fı fogalmainak meghatározása A projektvezetés és a projektirányítás, a projekt céljai, a projekt csapat szerkezete Használhatjuk a nemzetközi szövetségek által alkalmazott szókincset. Ezen fogalmak alkalmazása az IR projektekre 3.3. Hogy készítsünk elı egy projektet? 3.3.1. Pontosítsuk a projekt céljait: miért és hol kell cselekedni? Egy IR projektnek legyenek nyilvánvaló céljai, és minden cél legyen indikátorokkal mérhetı. A projekt sokakat érinthet a cégen kívül és belül egyaránt. E személyek az érintettek. A projekt elején pontosan meg kell határozni az érintettek számát és igényeit. 3.3.2. Határozzuk meg a megoldás típusát: Hogyan járunk el? A projekt elıkészítése érdekében gyorsan kell megoldást találni, méghozzá nem részletest, hanem átfogót (szoftver csomag, fejlesztés, kiszervezés). 3.3.3. Az emberi és mőszaki erıforrások meghatározása. Kivel és mivel dolgozunk? Ezután meghatározzuk a projekt fı erıforrásigényét A projektvezetı felelıs a költségvetésért és az erıforrások felhasználásáért. Az erıforrásoknak a megfelelı idıben és helyen rendelkezésre kell állniuk. 19

3.4. Hogy építjük fel a projektet? Az alábbiakban bemutatjuk a projekt felépítésének fı módját: A munka részletes felosztása (WBS) A termék részletes felosztása (PBS) A szervezet részletes felosztása (OBS) 3.5. Hogy kell egy projektet irányítani? 3.5.1. Projektirányítás A projektirányítás egy projekt vezetési feladatait csoportosítja újra: A csoport tagjainak felvétele Tárgyalás a szolgáltatókkal Konfliktuskezelés Minden érintett fél motiválása E feladatok nehezen taníthatók, hacsak nem használunk esettanulmányokat. 3.5.2. Projektvezetés A projektvezetés sok feladatot újracsoportosít, mint pl. tervezés, kockázatkezelés, költségszabályozás, becslés, változásmenedzselés A jelen kurzus csak a tervezésrıl, a költségszabályozásról és a változás-kezelésrıl szól. 3.5.2.1. Tervezés (Pert és Gantt) A tervezéshez szükséges fı elveket mutatjuk be (Pert vagy Gantt) Javasoljuk ezen a ponton a Nyílt Forráskód közösség eszközeit, pl. a Gantt projektet. Ezt a részt gyakorlatok segítségével oktassuk. Használjuk egy tevékenység kritikus útjának és hozzá tartozó tartalékidı elvét. 3.5.2.2. Költségvetés és költségszabályozás A projekt költségvetése a beruházás és az üzemeltetés költségébıl áll. A beruházás a hardverbıl, a szoftverbıl és a csoport napi munkájából áll. Ez a költségvetés a projekt elején készül, és a projekt futamideje során aktualizálandó. Költségszabályozási elveket mutatunk be a projektvezetés számára: elırejelzés, becslés és megvalósítás. Végeztessünk gyakorlatokat errıl a témáról. 3.5.2.3. Változás-kezelés és az emberi tényezı Egy információs rendszert azért készítenek, hogy a vállalat munkatársai hosszabb idın át használják. A rendszer elindítása azonban változást igényel a szervezet, illetve az alkalmazottak részérıl. 20

Ezek a változások tényleges változás-kezelés segítségével idézhetık elı. A következıkre van szükség: Képzés Coaching A projekt minden szintjére kiterjedı kommunikáció 3.6. Hogy telepítsük és használjuk a projekt eredményét Egy új információs rendszer indítása lehet sokkszerő ( nagy durranás ) és történhet úgy, hogy a régi és az új rendszer egy ideig párhuzamosan mőködik. Az indítás a végsı teszttel indul. El kell azonban magyarázni a tesztelés egyes szintjeit. Ajánlott irodalom a 3. Fejezethez «Projet de Système d'information : Une démarche et des outils pour le chef de projet» Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). «Project management Institute» (Projekvezetési Intézet) website «International Project Management Association» (Nemzetközi Projektvezetési Szövetség) website 3.7. Gyakorlatok 21

4. FEJEZET: AZ IR BIZTONSÁGA ÉS KONTROLLJA Pedagógiai célkitőzések Hogy alkalmazzuk a biztonsági szabályokat és eszközöket a kkv-kban Hogy találjunk tájékoztatást és tanácsot a biztonságról Indikatív tartalom 4.1. Bevezetés Az információs biztonság, számítógépes biztonság és információs biztosítás kifejezések gyakran hallhatók egy vállalat adatvédelmével kapcsolatban. Mikor az információ biztonságáról beszélünk, tudnunk kell, hogy manapság szervezetek sikere és túlélése egyre inkább informatikai rendszereik sikeres megvalósításától függ. Az információ áramlását sem az idı, sem a távolság nem korlátozhatja. Sok szervezet számára az információ és a feldolgozásához szükséges technológia a legértékesebb tıke. Az elektronikus információ és a számítástechnikai rendszerek jelentıs szerepet játszanak a legfıbb üzleti folyamatok támogatásában. Eközben a szervezetek sebezhetısége folyamatosan nı. Nem csupán az információhoz való hozzáférésérıl van szó, hanem az Internet miatt globálissá váló fenyegetésrıl is. A titkosság, a teljesség és rendelkezésre állás (confidentiality, integrity, availability), angol akronímával CIA, az információs biztonság legfıbb elvei. A felsoroláshoz hozzáadhatjuk a hitelességet és a vissza nem utasítást is. A titkosság azt jelenti, hogy megelızzük az információ közlését jogosulatlan személyek vagy rendszerek felé. A sértetlenség azt jelenti, hogy az adatokat tilos jogosulatlanul módosítani. A magas szintő hozzáférhetıség azt jelenti, hogy minden információnak hozzáférhetınek kell lennie szükség esetén. A magas szintő hitelesség azt jelenti, hogy az adatok létrehozója egyértelmően azonosítható. A vissza nem utasítás azt jelenti, hogy egy mővelet egyik érintett fele nem tagadhatja le az információ megkapását, illetve a másik fél nem tagadhatja le az elküldés tényét. 4.2. Biztonsági szabályok: szigorú szabály, irányelv és szervezéssel elért biztonság A biztonsági szabályokat a biztonság legfontosabb elveinek garantálása érdekében készítik. Mindig háromféle szabály létezik: szigorú szabály, irányelv és szervezeti szabály. 22

A szigorú szabályok a munkahely és a számítástechnikai létesítmények környezetét figyelik és szabályozzák Az irányelvek szoftvert és adatokat használnak az információhoz és a számítástechnikai rendszerekhez való hozzáférés céljaira. A szervezeti szabályok (másik nevükön eljárási szabályok) jóváhagyott írott belsı utasítások, eljárások, szabványok és útmutatások. A titkossággal kapcsolatos szabályokat az alábbi példákkal lehet bemutatni: Szigorú szabály: a laptopot billentyőzárral védeni kell Irányelv: használjon jó jelszavas védelmet Szervezeti szabály: nem szabad vonaton titkos cégügyekrıl telefonálni A teljességgel kapcsolatos szabályokat az alábbi példákkal lehet bemutatni: Szigorú szabály: tilos idegeneknek fizikai hozzáférést engedni a számítógéphez Irányelv: használjon jó rendszert hozzáférés korlátozására Szervezeti szabály: minden felhasználónak el kell magyarázni az adatminıség fontosságát A hozzáférést az alábbi példákkal lehet illusztrálni: Szigorú szabály: speciális számítógépet kell használni RAID rendszerrel Irányelv: védekezzen a hálózatszolgáltatás megtagadásával megvalósított támadás ellen Szervezeti szabály: Meg kell tanítani a felhasználót arra, hogy ne indítson nagy erıforrásigényő alkalmazást, mikor a gépek valamilyen rendszeres funkció lebonyolítása (pl. bérszámfejtés) miatt különösen leterheltek 4.3. A biztonság emberi tényezıje Semmilyen technikai rendszer sem mőködhet sikeresen, ha a felhasználók nincsenek tudatában a biztonsági problémáknak és azok hatásainak. A biztonság mindenki közös ügye, nem csak a vezetıké. A vállalat minden munkavállalójának, még egy kkv-ban is felelnie kell az információs biztonságért, ezzel kapcsolatos tájékoztatási kötelezettségért, és tanítania kell a szervezet minden tagját. Egyes fenyegetések közvetlenül emberi eredetőek: Hackerek A hacker olyan személy, aki számítástechnikai rendszerek biztonsági gyengeségeit keresi. Szakértelmükkel nem mindig párosul rosszándék. Gyakran ık figyelmeztetik a rendszer tulajdonosát a megtalált hibára, és így elısegítik annak kijavítását. Másrészt viszont a hacker kárt is okozhat: adatot lophat, zsarolhat, stb. 23

Script kiddies A hackerek nagy szakértelemmel készítik eszközeiket. A script kiddy megkeresi ezeket az eszközöket, melyeket rendszerek feltörésére készítettek, és megpróbálja ı is sikerrel alkalmazni. Tervük gyakran megvalósul, és a rendszer használhatatlanná válik. Sértett munkavállaló A munkavállalók nagyon kiszolgáltatottak. Munkaadóik iránti lojalitásuk néha lecsökken. Ez is szaporíthatja a számítástechnikai rendszerek biztonsági elemei elleni kijátszási kísérleteket. 4.4. Külsı és belsı támadások A mőszaki fenyegetés a számítástechnikai eszközökhöz kötıdik, mely jelenti mind a hardvert, mind a szoftvert. A támadási módszerek egyre inkább automatizáltakká és kifinomultabbá válnak, emiatt egyre nehezebben felismerhetık. Bug-ok A programok összetettsége fokozatosan nı. Egyes esetekben a programok több tízmilló sorból állnak. Ez természetesen megnöveli a bug-ok megjelenésének esélyét is. Az ezzel kapcsolatos veszély az, hogy a program nem azt teszi, amire kifejlesztették, és így adatvesztés következhet be és/vagy egyes bug-okat a biztonsági rendszer elleni támadási pontként lehet használni. Számítógépes vírusok A számítógépen levı programok egy részérıl a felhasználó nem is tud, és mőködésükrıl sem szerez tudomást. Ezek két szempontbál veszélyesek: fertıznek, azaz elterjednek, biztosítják saját további terjedésüket; a másik cél egy adott feladat ellátása. A régebbi vírusok gyakran az információt is károsították, így pl. kitöröltek állományokat. A legutóbbi trend azonban az információ megszerzésérıl, uralásáról és illegális használatáról szól. Számítógépes férgek Ezek a vírusok rokonai. Míg a vírusokat emberi közbeavatkozás aktiválja, ez a férgek esetében nem okvetlenül van így. Egyéb tekintetben hasonlítanak a vírusokhoz. Gyakran okoznak túlterhelést, használhatatlanná téve ezzel a rendszert (leállás, szolgálat megtagadás). Megakadályozzák, hogy az információ célba érjen, vagy a jogosult személy használni tudjon egy funkciót. A férgek lekötik a gép erıforrásait. Példa erre a halálos döfés nevő túlméretes adatcsomag (ping of death)]. A globális hálózatok kiváló lehetıséget kínálnak mindkét fenti veszélyre. Trójai faló Ezek gyakran egy fajta vírust és férget jelentenek. Fı tulajdonságuk azonban nem más mint a biztonsági rendszer megkerülése készítıjük és terjesztıik számára, akik az így létrejött útvonalon kívülrıl beavatkoznak a rendszer mőködésébe. Brutális támadás Célja a rendszervédelmi eszközök és a jelszóvédelem kiiktatása. Az e célra használt szoftver többb tízezernyi szót és karakterkombinációt képes elıállítani. 24

Az Internet globális használata valóban megnövelte az információs rendszerekre irányuló külsı támádások lehetıségét. A kkv-k számára a minimális védelem az alábbiakat jelenti: Egy pl. Microsoft által javasolt tőzfal vagy védelmi és riasztási zónák Bármely spyware elleni védelem Bármely vírusvédelem Ezeket a szoftvereket naponta frissíteni kell a hatékonység érdekében. A legtöbb kkv-ban a külsı védelmet egy szolgáltató nyújtja, és a vállalatnak katasztrófa esetén ellenıriznie kell a szolgáltató felelısségét. A belsı támadások gyakoriak; ellenük a leghatékonyabb védelem a biztonságtudatosság és a monitorozhetıség. 4.5. A számítástechnikai tanúsítás törvénye és szabványai Az Európai Unió adatvédelmi irányelve (EUDPD) megköveteli, hogy minden EU tagállam fogadjon el nemzeti szabályzatot a polgárok személyi adatvédelmének szabványosítása érdekében a teljes EU-ra kiterjedıen. Franciaországban a CNIL nevő szervezet felel az információs rendszerek biztonságával és titkosságával kapcsolatos legfontosabb törvényért. Az 1990. évi Számítógépes visszaélésrıl szóló törvény egy, a brit parlament által megszavazott törvény, mely a számítógépes szabálysértéseket (pl. a hackelést) bőncselekménynek minısíti. A Nemzetközi Szabványügyi Szervezet (ISO) 157 nemzeti szabványügyi intézet konzorciuma, melynek Központi Titkársága a svájci Genfben koordinálja a rendszert. Az ISO a világ legnagyobb szabványalkotója. Az ISO 15443: Információs technológia biztonsági technikák számítástechnikai biztonság ISO-17799: Információs technológia biztonsági technikák információs biztonsági irányítás gyakorlati szabályzata ISO-20000: Információs technológia biztonsági technikák szolgáltatás irányítás és ISO-27001: Információs technológia biztonsági technikák számítástechnikai biztonság irányítási rendszerek az információs technológia szakértıinek különös érdeklıdésére tart számot. A Tanúsított információs rendszerek biztonsági szakértıje (CISSP) egy közép- felsı szintő információs biztonsági tanúsítás. Az Információs rendszer biztonsági architektúra szakértı (ISSAP), Információs rendszer biztonsági tervezı szakember (ISSEP), Információs rendszer biztonsági irányítási szakember (ISSMP), és Tanúsított információs biztonsági vezetı (CISM) tanúsítványok nagy tekintélyt szereztek az információs biztonsági architektúra, a tervezés és irányítás területén. 25

4.6. Az adatok és a szoftver biztonsági másolata A cégek legfontosabb védekezése az információs rendszerek katasztrófája ellen egy jól felépített biztonsági mentési rendszer. Egy ilyen biztonsági mentési rendszernek az alábbi tulajdonságai legyenek meg: Automata Gyakori mentések Duplikáció Gyakran tesztelt Sok szolgáltató kínál távoli biztonsági mentı rendszereket. 4.7. A tevékenység újrakezdése és fenntartása Az üzleti folyamatosság az a mechanizmus, melynek segítségével egy szervezet folytatja kulcstevékenységét tervezett és tervezetlen leállások alkalmával, melyek kihatnak a szokványos üzleti mőveletekre tervezett és szabályozott eljárások segítségével. Az Üzlet folytonosság tervezés (BCP) azér készül, hogy az üzletmenet újraindításának költségeit csökkentse. A BCP az alábbi kérdésekre ad választ: Ha katasztrófa következne be, melyek az elsı teendık? Üzleti tevékenységem mely részét állítsam elıször helyre? 4.8. A COBIT vagy az ITIL használata a kkv-k számára Az információ technológia egyre jelentékenyebbé válik a vállalatirányításban. A számítástechnika irányítása egy funkció a vállalatirányításban, illetve a kontroll kapcsolatokban és folyamatokban, melyek célja a vállalatok céljainak teljesítése új érték megteremtése által és az informatika által kínált kockázatok és elınyök mérlegelésével. A vezetésnek olyan szabályozási rendszert kell kialakítania, mely támogatja az üzleti folyamatokat. Tisztázni kell, mely tevékenységek és hogyan járulnak hozzá az információval kapcsolatos követelményekhez és ezzel az üzleti célok eléréséhez. Az egységesség megteremtése érdekében nemzetközi szabályokat alakítottak ki (pl. COBIT) azzal a céllal, hogy ezek összefoglalják az információs rendszerekkel szemben támasztott követelményeket és ezek teljesítésének méréséhez használt elveket. Ennek érdekében sikertényezıket, cél indikátorokat és teljesítmény indikátorokat is meghatározunk, melynek értékei azt a célt szolgálják, hogy felmérhessük az információ technológiai munka minıségét, és megtehessük a szükséges javító célú intézkedéseket. Az információs rendszer biztonságának javítása érdekében a kkv-k határozott módszertant alkalmaznak mint pl. a COBIT vagy az ITIL, melyeket a közelmúltban adaptáltak a kkv-kra. 26

Ajánlott irodalom a 4. Fejezethez A «clusif» website Az «Információs Rendszer Biztonsági Szövetség» website 4.9. Gyakorlatok 27

II. KOCKÁZATKEZELÉS 1. FEJEZET: A KOCKÁZATKEZELÉSI ISMERETEK MEGSZERZÉSÉNEK CÉLJAI Pedagógiai célkitőzések Hiánytalan ismeretek megszerzése a kockázatkezelés céljairól és problémáiról Indikatív tartalom 1.1. Bevezetés A bemutatott kockázatkezelési koncepció a COSO Vállalati Kockázatkezelési és Belsı Kontroll Integrált Keretrendszerén alapszik, és a képzési anyag közvetlenül is a COSO dokumentumok Vezetıi Összefoglalójának és Alkalmazási Technikáinak egyes részeire utal. 1.2. Globális célok A vállalati kockázatkezelés alapjául szolgáló alapfeltevés az, hogy minden szervezet azért létezik, hogy az abban érdekeltek számára értéket teremtsen. Minden szervezet bizonytalansággal találja magát szemben, és a vezetıség számára az jelenti a kihívást, hogy meghatározza, mekkora bizonytalanságot fogadjon el a tulajdonosi érték növelésére való törekvése során. A bizonytalanság kockázatot és lehetıséget jelent, amiben benne van az érték pusztulásának vagy növelésének lehetısége. A vállalati kockázatkezelés lehetıvé teszi a vezetıség számára, hogy hatékonyan kezeljék a bizonytalanságot és a velejáró kockázatot és lehetıséget, így növelve az értékteremtı képességet. 1.3. A fı kérdések leírása Akkor a legnagyobb az érték, ha a vezetıség olyan stratégiát és célokat állapít meg, miszerint a növekedési és megtérülési célok és az azokkal együtt járó kockázatok optimális egyensúlyát kívánja megteremteni, és eredményesen és hatékonyan hasznosítja a forrásokat a szervezet célkitőzéseinek elérése érdekében. A vállalati kockázatkezelés körébe tartozik: A kockázatvállalási hajlandóság és a stratégia párhuzamba állítása: A vezetıség a stratégiai alternatívák értékelése, a vonatkozó célkitőzések meghatározása és a kapcsolódó kockázatkezelı mechanizmusok kidolgozása révén mérlegeli a szervezet kockázatvállalási hajlandóságát. A kockázatra való reagálást érintı döntések hangsúlyozása: A vállalati kockázatkezelés biztosítja, hogy pontosan meghatározzák és kiválasszák a megfelelıt 28

a kockázati reakciók alternatívái közül a kockázat elkerülése, csökkentése, megosztása és elfogadása. A mőködéssel kapcsolatos meglepetések és veszteségek csökkentése: A szervezetek képesebbé válnak a potenciális események felismerésére és a reakciók kidolgozására, ily módon csökkentve a meglepetéseket és az azokkal kapcsolatos költségeket ill. veszteségeket. Többszörös és a vállalatot átfogó kockázatok felismerése és kezelése: Minden vállalat számtalan, a szervezet különbözı részeit érintı kockázattal találja magát szemben, és a vállalati kockázatkezelés elısegíti az egymással összefüggı hatásokra való hatékony reagálást, valamint a többszörös kockázatokra való integrált reagálásokat. A lehetıségek kihasználása: A lehetséges események sorát figyelembe véve a vezetıség helyzeténél fogva felismerheti és proaktív módon kihasználhatja a lehetıségeket. A tıkefelhasználás javítása: A vezetıség pontos kockázati információt szerezve hatékonyan felmérheti az átfogó tıkeigényeket, és javíthatja a tıkefelosztást. 1.4. Miért fontos a kockázatkezelés a kkv-k számára? A vállalati kockázatkezeléssel együtt járó képességek segítik a vezetıséget a szervezet teljesítmény- és nyereségességi céljainak elérésében és a forrásveszteség megelızésében. A vállalati kockázatkezelés hozzájárul az eredményes beszámolás és a törvények és jogszabályok betartásának biztosításához, valamint segít elkerülni a szervezet hírnevének csorbulását és az azzal kapcsolatos következményeket. Összegezve a vállalati kockázatkezelés támogatja a szervezetet célja elérésében, és az odavezetı úton segít elkerülni a csapdákat és a meglepetéseket. Az eseményeknek lehetnek negatív vagy pozitív hatásai vagy mindkettı. A negatív hatású események jelentik a kockázatokat, amelyek megakadályozhatják az értékteremtést, ill. rombolhatják a meglévı értéket. A pozitív hatású események kiegyenlíthetik a negatív hatásokat, ill. lehetıségeket jelentenek. A lehetıségek olyan esemény bekövetkeztének eshetıségét jelentik, amelyek pozitív módon hatnak a célok elérésére, támogatják az értékteremtést ill. -megırzést. A vezetıség a lehetıségeket visszaforgatja a stratégiába vagy célkitőzésbe: a lehetıségek megragadását célzó folyamatokat határoz meg és terveket dolgoz ki. Irodalom az 1. Fejezethez http://www.coso.org/documents/coso_erm_executivesummary.pdf http://www.coso.org/documents/coso_erm_executivesummary_french.pdf http://www.coso.org/documents/coso_erm_executivesummary_german.pdf http://www.coso.org/documents/coso_erm.ppt 29

Hivatkozás: The Enterprose Risk Management A vállalati kockázatkezelés (ERM) 3. oldal 1.5. Gyakorlatok 30

2. FEJEZET: A KOCKÁZATKEZELÉS ALAPELVEI Pedagógiai célkitőzések Törekedjünk a kockázatkezelés fogalmának tökéletes megértésére. Indikatív tartalom 2.1. A vállalati kockázatkezelés meghatározása A vállalati kockázatkezelés egy folyamat, amelyet egy szervezet igazgatósága, vezetıi és többi dolgozója hajt végre, azt a stratégia kialakítása során és az egész vállalaton belül alkalmazza. Célja, hogy meghatározza azokat a lehetséges eseményeket, amelyek hatással lehetnek a szervezetre, és a kockázatvállalási hajlandóság mértékéig kezelje a kockázatot, ésszerő biztosítékot nyújtson a szervezeti célkitőzések megvalósításához. A meghatározás bizonyos alapfogalmakat tükröz. A vállalati kockázatkezelés: - Egy szervezeten átívelı, állandó folyamat; - A szervezet minden szintjén az emberek hajtják végre; - Alkalmazzák a stratégia meghatározásakor; - Vállalatszerte, minden szinten és egységnél alkalmazzák, és szervezeti szintő kockázati portfolió kialakítását tartalmazza; 2.2. A kockázat típusai A kockázatok típusai az iparágtól, a szervezet típusától és méretétıl, a földrajzi elhelyezkedéstıl, a kultúrától, stb. függıen jelentısen eltérhetnek. Az ERM kockázatkezelési koncepciója a szervezeti és mőködési célokat jelentısen, negatív irányban befolyásolni képes, lehetségesen elıforduló külsı és belsı eseményekre értelmezi a kockázatokat. Megkülönböztetjük még az eredendı (inherent) kockázatot, mely leegyszerősítve kezeletlen kockázatot jelent, illetıleg a maradvány (residual) kockázatot, mely az eredendı kockázat kapcsán tervezett és végrehajtott válaszintézkedés vagyis a kontroll - eredményeképpen marad. Az eredendı és maradvány kockázat egyaránt fontos a vállalati kockázatkezelés szempontjából. Kiemeljük még a kontrollkockázat fogalmát, mely alatt annak kockázatát értjük, hogy a kontrollrendszer egyes folyamatai, vagy egyes kontroll tevékenységek a tervezett hatást, vagyis a maradvány kockázat kívánt értéken (kockázatviselési szinten) belül tartását, nem érik el. 31

Ajánlott irodalom a 2. fejezethez http://www.coso.org/documents/coso_erm_executivesummary.pdf http://www.coso.org/documents/coso_erm_executivesummary_french.pdf http://www.coso.org/documents/coso_erm_executivesummary_german.pdf http://www.coso.org/documents/coso_erm.ppt Hivatkozás: The Enterprose Risk Management A vállalati kockázatkezelés (ERM) 4-6. oldal 2.3. Gyakorlatok 32