1 / 35

Zarządzanie ciągłością działania (BCM) Renata Davidson

Zarządzanie ciągłością działania (BCM) Renata Davidson. Agenda. Podejście procesowe do MiFID – założenia Opis metodyki analizy i modelowania procesów MiFID a Business Continuity Management Etapy budowy programu BCM Wartość dodana płynąca podejścia procesowego i programu BCM. Wpływ MiFIDu.

jacob
Download Presentation

Zarządzanie ciągłością działania (BCM) Renata Davidson

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Zarządzanie ciągłością działania (BCM)Renata Davidson

  2. Agenda • Podejście procesowe do MiFID – założenia • Opis metodyki analizy i modelowania procesów • MiFID a Business Continuity Management • Etapy budowy programu BCM • Wartość dodana płynąca podejścia procesowego i programu BCM

  3. Wpływ MiFIDu Organizacja Procesy

  4. Podejście procesowe do MiFID – założenia • Wszystkie kwestie związane z MiFID dotyczą przede wszystkim procesów i organizacji • Nie można zmienić czegoś, czego nie możemy zobaczyć – stąd przydatność map rzeczywistych procesów • Należy jednak pamiętać o własnych ograniczeniach: • Czas • Zasoby • Budżet

  5. Mapy procesów – diagram kontekstowy

  6. Mapy procesów – diagram realizacji procesu

  7. Mapy procesów – diagram realizacji procedury

  8. Mapy procesów - przydatność • doskonalenie procesów biznesowych • Corporate Governance • wdrażanie „najlepszych praktyk” • zarządzanie ryzykiem operacyjnym • zarządzanie zmianami • zarządzanie ciągłością działania • zarządzanie jakością • planowanie i mapowanie IT • integracja po fuzjach i przejęciach • wdrażanie systemów (ERP, CRM, etc.) • symulacje • IT City Planning • Planowanie Service Oriented Architecture • Budowanie strategii IT • wdrażanie nowych technologii

  9. Ogólne wymogi organizacyjne - Business Continuity • DYREKTYWA 2006/73/WE • Artykuł 5 (Artykuł 13 ust. 2–8 dyrektywy 2004/39/WE) • ust. 2. Państwa członkowskie wymagają, by przedsiębiorstwa inwestycyjne ustanowiły, wprowadziły i utrzymywały systemy i procedury, które zapewniają właściwy stopień bezpieczeństwa, integralności i poufności informacji, uwzględniając przy tym charakter takich informacji. • ust. 3. Państwa członkowskie wymagają, by przedsiębiorstwa inwestycyjne ustanowiły, wprowadziły i utrzymywały odpowiednią politykę utrzymywania ciągłości działalności gospodarczej, której celem jest zachowanie najważniejszych danych i funkcji oraz utrzymanie usług i działalności inwestycyjnej w razie przerwy w funkcjonowaniu systemów i procedur – a jeśli nie jest to możliwe – możliwie szybkie przywrócenie takich danych i funkcji oraz możliwie szybkie wznowienie usług i działalności inwestycyjnej.

  10. Zakres BCM • Identyfikacja kluczowych procesów i ich zasobów • Analiza ryzyka • Analiza wpływu zdarzenia na przedsiębiorstwo (Business Impact Analysis - BIA) • Lista procesów krytycznych • Budowa Strategii Przetrwania • Budowa Minimalnej Akceptowalnej Konfiguracji • Analiza dostępnych i brakujących rozwiązań • Opracowanie Strategii Przetrwania (wybrane rozwiązania, harmonogram, budżet) • Budowa procedur awaryjnych i odtworzeniowych • Testowanie i aktualizacja Planu • Wdrożenie Planu (budowa świadomości pracowników, audyt, program szkoleń, etc.)

  11. Identyfikacja kluczowych procesów biznesowych • W oparciu o: • Aktualny Regulamin Organizacyjny DM • Wiedzę i doświadczenie kierowników jednostek organizacyjnych • Metody: • Ankietowanie (szybsza, ale dająca mniej precyzyjne wyniki) • Pogłębione wywiady (bardziej pracochłonna, ale dająca więcej informacji)

  12. Identyfikacja kluczowych procesów biznesowych c.d. • W oparciu o wstępnie uzgodnioną skalę krytyczności (poniższe wartości są przykładowe): • Brak wpływu na funkcjonowanie jednostki. Proces może zostać zawieszony do odwołania. • Zauważalny wpływ na funkcjonowanie jednostki. Proces może zostać wstrzymany do 48h. • Istotny wpływ na funkcjonowanie jednostki. Proces może zostać wstrzymany do 24h. • Proces krytyczny. Konieczność utrzymania ciągłości lub wznowienie procesu przed upływem 4h.

  13. Analiza BIA • Business Impact Analysis – analiza wpływu zdarzenia na przedsiębiorstwo • Straty policzalne • Straty niepoliczalne

  14. Analiza BIA c.d. • Straty policzalne: • bezpośrednie straty finansowe (np. utrata przychodów, prowizji, etc.) + ewentualne kary (np. umowne, administracyjne, karne odsetki, etc.) + koszty dodatkowe (np. usługi zakupione na zewnątrz, praca w nadgodzinach, etc.) = maksymalna potencjalna strata. • Straty niepoliczalne: • wpływ na wizerunek instytucji • utrata zaufania klientów lub partnerów biznesowych

  15. Analiza BIA c.d.

  16. Lista procesów krytycznych • Lista procesów krytycznych, zbudowana w oparciu o wyniki analizy BIA. • Wymagane jest formalne zatwierdzenie przez Zarząd listy procesów objętych planami ciągłości działania. • Lista procesów krytycznych definiuje zakres Planu, a tym samym zakres prac na dalszych etapach projektu.

  17. Funkcja 2 Funkcja 1 Funkcja 3 Funkcja 4 Funkcja 5 Wejście Wyjście Proces XYZ Identyfikacja kluczowych procesów biznesowych c.d.

  18. Identyfikacja kluczowych zasobów • Kluczowe zasoby: • Ludzie • Infrastruktura/lokalizacje • Systemy IT • Sprzęt biurowy • Krytyczni dostawcy i usługi zewnętrzne • Dokumentacja • Krytyczne dane kontaktowe • inne

  19. Funkcja 2 Funkcja 1 Funkcja 3 Funkcja 4 Funkcja 5 Wejście Wyjście Zespół Awaryjny Krytyczne zasoby IT Krytyczne zasoby biurowe Identyfikacja kluczowych zasobów c.d.

  20. Identyfikacja kluczowych zasobów c.d. • W wyniku tego etapu powstają: • Baza krytycznych pracowników • Baza krytycznych zasobów IT • Baza krytycznych dostawców i usług (w tym przegląd obowiązujących umów serwisowych i SLA) • Lista zasobów biurowych • Lista krytycznych dokumentów • Listy kontaktowe • Na tym etapie warto wdrożyć mechanizmy kontroli zmiany dla zidentyfikowanych procesów i zasobów.

  21. Analiza Zagrożeń • Zagrożenia wewnętrzne: • Infrastruktura • Ludzie • Systemy IT • Zagrożenia zewnętrzne: • Otoczenie • Dostawcy i usługodawcy • Partnerzy

  22. Funkcja 2 Funkcja 1 Funkcja 3 Funkcja 4 Funkcja 5 Wejście Wyjście Proces XYZ Analiza Zagrożeń c.d. Analiza istniejących środków kontroli (zabezpieczeń) i badanie potencjalnego wpływu zidentyfikowanych zagrożeń na poszczególne funkcje krytyczne.

  23. Budowa Strategii Przetrwania • W oparciu o: • Formalną Listę procesów krytycznych • Zidentyfikowany akceptowalny poziom ryzyka • Najgorszy, prawdopodobny scenariusz • Czasy odtworzenia dla krytycznych procesów biznesowych (wynik analizy BIA) • Powstają: • Strategia Przetrwania • Minimalna Akceptowalna Konfiguracja (we współpracy z pracownikami Departamentu IT i kluczowymi dostawcami) • Szkic struktury zarządzania kryzysowego (Sztab Kryzysowy)

  24. Najgorszy, prawdopodobny scenariusz • Utrata lub niedostępność głównej siedziby organizacji wraz z całą znajdującą się w niej infrastrukturą; • Niedostępność pracowników DM na poziomie 50%; • Zakłócenia w funkcjonowaniu transportu publicznego; • Dostępność rozwiązań zapasowych, w tym lokalizacji i zasobów zdefiniowanych w Minimalnej Akceptowalnej Konfiguracji

  25. Analiza dostępnych rozwiązań • Analiza rozwiązań dostępnych w ramach organizacji • Analiza rozwiązań dostępnych na rynku (pod kątem spełnienia wymogów Strategii Przetrwania) • Analiza ekonomiczna dostępnych rozwiązań • Opracowanie budżetu dla propozycji rozwiązań awaryjnych • Wybór docelowych rozwiązań awaryjnych

  26. Opracowanie rekomendacji • Projekty techniczne (w tym projekt zabezpieczenia infrastruktury IT) • Lista rekomendacji dotyczących: • Zmian organizacyjnych • Zmian prawnych (w zakresie umów z dostawcami i usługodawcami) • Wdrożenia niezbędnych środków kontroli (zabezpieczeń) • Harmonogram wdrożenia rekomendacji i zatwierdzenie budżetu • Propozycja struktury zarządzania kryzysowego

  27. Weryfikacja procedur Incident Management • Analiza istniejących procedur powiadamiania o incydentach • Uzupełnienie procedur o wyniki projektu (zgodnie z projektem struktury Sztabu Kryzysowego) • Uzupełnienie procedur w zakresie współpracy ze służbami publicznymi • Uzupełnienie procedur w zakresie PR i kontaktów z instytucjami/osobami o znaczeniu strategicznym

  28. Budowa procedur awaryjnych i odtworzeniowych • Budowa procedur: • zespołowo, często w zespołach interdyscyplinarnych, • we współpracy z krytycznymi dostawcami • Procedury odpowiadają na pytania: • Kto ma wykonać dane zadanie? • Co należy zrobić? • Kiedy? • W jaki sposób?

  29. Produkty projektu • Lista procesów krytycznych • Raporty z Analizy Ryzyka i BIA • Minimalna Akceptowalna Konfiguracja (w tym baza krytycznych zasobów informatycznych) • Struktury Zarządzania Kryzysowego • Procedury powiadamiania, awaryjne i odtworzeniowe • Pełna dokumentacja projektu (jako baza wiedzy na temat metodologii BCP)

  30. Dodatkowe korzyści • Opisanie procesowe krytycznych obszarów działalności instytucji (możliwość wykorzystania w wielu innych projektach) • Przygotowanie organizacji do wdrożenia Business Services Management • Wdrożenie systemu kontroli zmiany • Ułatwienie wyliczenia ROI dla inwestycji IT • Precyzyjne wymagania do umów SLA z dostawcami • Poprawa zarządzania personelem (zidentyfikowani kluczowi pracownicy) • Poprawa komunikacji między departamentami merytorycznymi a służbami IT

  31. Czynniki sukcesu • Wsparcie Zarządu • Formalny Zespół Projektowy • Osoby kontaktowe w poszczególnych jednostkach organizacyjnych • Ścisła współpraca kluczowych dostawców z Zespołem Projektowym

  32. Wymagania organizacyjne • Szacowana wielkość stałego Zespołu Projektowego – ok. 2-3 osób • Szacowana liczba osób zaangażowana w prace projektowe po stronie DM – po 1-2 osoby z każdej kluczowej jednostki organizacyjnej

  33. Szacowany czas trwania projektu

More Related