Zarządzanie ciągłością działania (BCM) Renata Davidson
Agenda Podejście procesowe do MiFID – założenia Opis metodyki analizy i modelowania procesów MiFID a Business Continuity Management Etapy budowy programu BCM Wartość dodana płynąca podejścia procesowego i programu BCM
Wpływ MiFIDu Organizacja Procesy
Podejście procesowe do MiFID – założenia Wszystkie kwestie związane z MiFID dotyczą przede wszystkim procesów i organizacji Nie można zmienić czegoś, czego nie możemy zobaczyć – stąd przydatność map rzeczywistych procesów Należy jednak pamiętać o własnych ograniczeniach: Czas Zasoby Budżet
Mapy procesów – diagram kontekstowy
Mapy procesów – diagram realizacji procesu
Mapy procesów – diagram realizacji procedury
Mapy procesów - przydatność doskonalenie procesów biznesowych Corporate Governance wdrażanie „najlepszych praktyk” zarządzanie ryzykiem operacyjnym zarządzanie zmianami zarządzanie ciągłością działania zarządzanie jakością planowanie i mapowanie IT integracja po fuzjach i przejęciach wdrażanie systemów (ERP, CRM, etc.) symulacje IT City Planning Planowanie Service Oriented Architecture Budowanie strategii IT wdrażanie nowych technologii
Ogólne wymogi organizacyjne - Business Continuity DYREKTYWA 2006/73/WE Artykuł 5 (Artykuł 13 ust. 2–8 dyrektywy 2004/39/WE) ust. 2. Państwa członkowskie wymagają, by przedsiębiorstwa inwestycyjne ustanowiły, wprowadziły i utrzymywały systemy i procedury, które zapewniają właściwy stopień bezpieczeństwa, integralności i poufności informacji, uwzględniając przy tym charakter takich informacji. ust. 3. Państwa członkowskie wymagają, by przedsiębiorstwa inwestycyjne ustanowiły, wprowadziły i utrzymywały odpowiednią politykę utrzymywania ciągłości działalności gospodarczej, której celem jest zachowanie najważniejszych danych i funkcji oraz utrzymanie usług i działalności inwestycyjnej w razie przerwy w funkcjonowaniu systemów i procedur – a jeśli nie jest to możliwe – możliwie szybkie przywrócenie takich danych i funkcji oraz możliwie szybkie wznowienie usług i działalności inwestycyjnej.
Zakres BCM Identyfikacja kluczowych procesów i ich zasobów Analiza ryzyka Analiza wpływu zdarzenia na przedsiębiorstwo (Business Impact Analysis - BIA) Lista procesów krytycznych Budowa Strategii Przetrwania Budowa Minimalnej Akceptowalnej Konfiguracji Analiza dostępnych i brakujących rozwiązań Opracowanie Strategii Przetrwania (wybrane rozwiązania, harmonogram, budżet) Budowa procedur awaryjnych i odtworzeniowych Testowanie i aktualizacja Planu Wdrożenie Planu (budowa świadomości pracowników, audyt, program szkoleń, etc.)
Identyfikacja kluczowych procesów biznesowych W oparciu o: Aktualny Regulamin Organizacyjny DM Wiedzę i doświadczenie kierowników jednostek organizacyjnych Metody: Ankietowanie (szybsza, ale dająca mniej precyzyjne wyniki) Pogłębione wywiady (bardziej pracochłonna, ale dająca więcej informacji)
Identyfikacja kluczowych procesów biznesowych c.d. W oparciu o wstępnie uzgodnioną skalę krytyczności (poniższe wartości są przykładowe): Brak wpływu na funkcjonowanie jednostki. Proces może zostać zawieszony do odwołania. Zauważalny wpływ na funkcjonowanie jednostki. Proces może zostać wstrzymany do 48h. Istotny wpływ na funkcjonowanie jednostki. Proces może zostać wstrzymany do 24h. Proces krytyczny. Konieczność utrzymania ciągłości lub wznowienie procesu przed upływem 4h.
Analiza BIA Business Impact Analysis – analiza wpływu zdarzenia na przedsiębiorstwo Straty policzalne Straty niepoliczalne
Straty niepoliczalne: Analiza BIA c.d. Straty policzalne: bezpośrednie straty finansowe (np. utrata przychodów, prowizji, etc.) + ewentualne kary (np. umowne, administracyjne, karne odsetki, etc.) + koszty dodatkowe (np. usługi zakupione na zewnątrz, praca w nadgodzinach, etc.) = maksymalna potencjalna strata. Straty niepoliczalne: wpływ na wizerunek instytucji utrata zaufania klientów lub partnerów biznesowych
Analiza BIA c.d. Straty finansowe Proces 4h 24h 48h 72h Straty finansowe Proces 4h 24h 48h 72h Przyjmowanie i realizacja zleceń k/s jednostek funduszy inwestycyjnych ?zł Obsługa zleceń na rynku pierwotnym Obsługa zleceń na rynku wtórnym Rozliczanie transakcji Rachunkowość i sprawozdawczość Razem
Lista procesów krytycznych Lista procesów krytycznych, zbudowana w oparciu o wyniki analizy BIA. Wymagane jest formalne zatwierdzenie przez Zarząd listy procesów objętych planami ciągłości działania. Lista procesów krytycznych definiuje zakres Planu, a tym samym zakres prac na dalszych etapach projektu.
Identyfikacja kluczowych procesów biznesowych c.d. Wejście Funkcja 2 1 3 4 5 Wyjście Proces XYZ
Identyfikacja kluczowych zasobów Kluczowe zasoby: Ludzie Infrastruktura/lokalizacje Systemy IT Sprzęt biurowy Krytyczni dostawcy i usługi zewnętrzne Dokumentacja Krytyczne dane kontaktowe inne
Identyfikacja kluczowych zasobów c.d. Wejście Funkcja 2 1 3 4 5 Wyjście Zespół Awaryjny Krytyczne zasoby IT Krytyczne zasoby biurowe
Identyfikacja kluczowych zasobów c.d. W wyniku tego etapu powstają: Baza krytycznych pracowników Baza krytycznych zasobów IT Baza krytycznych dostawców i usług (w tym przegląd obowiązujących umów serwisowych i SLA) Lista zasobów biurowych Lista krytycznych dokumentów Listy kontaktowe Na tym etapie warto wdrożyć mechanizmy kontroli zmiany dla zidentyfikowanych procesów i zasobów.
Zagrożenia wewnętrzne: Analiza Zagrożeń Zagrożenia wewnętrzne: Infrastruktura Ludzie Systemy IT Zagrożenia zewnętrzne: Otoczenie Dostawcy i usługodawcy Partnerzy
Analiza Zagrożeń c.d. Wejście Funkcja 2 1 3 4 5 Wyjście Proces XYZ Analiza istniejących środków kontroli (zabezpieczeń) i badanie potencjalnego wpływu zidentyfikowanych zagrożeń na poszczególne funkcje krytyczne.
Budowa Strategii Przetrwania W oparciu o: Formalną Listę procesów krytycznych Zidentyfikowany akceptowalny poziom ryzyka Najgorszy, prawdopodobny scenariusz Czasy odtworzenia dla krytycznych procesów biznesowych (wynik analizy BIA) Powstają: Strategia Przetrwania Minimalna Akceptowalna Konfiguracja (we współpracy z pracownikami Departamentu IT i kluczowymi dostawcami) Szkic struktury zarządzania kryzysowego (Sztab Kryzysowy)
Najgorszy, prawdopodobny scenariusz Utrata lub niedostępność głównej siedziby organizacji wraz z całą znajdującą się w niej infrastrukturą; Niedostępność pracowników DM na poziomie 50%; Zakłócenia w funkcjonowaniu transportu publicznego; Dostępność rozwiązań zapasowych, w tym lokalizacji i zasobów zdefiniowanych w Minimalnej Akceptowalnej Konfiguracji
Analiza dostępnych rozwiązań Analiza rozwiązań dostępnych w ramach organizacji Analiza rozwiązań dostępnych na rynku (pod kątem spełnienia wymogów Strategii Przetrwania) Analiza ekonomiczna dostępnych rozwiązań Opracowanie budżetu dla propozycji rozwiązań awaryjnych Wybór docelowych rozwiązań awaryjnych
Opracowanie rekomendacji Projekty techniczne (w tym projekt zabezpieczenia infrastruktury IT) Lista rekomendacji dotyczących: Zmian organizacyjnych Zmian prawnych (w zakresie umów z dostawcami i usługodawcami) Wdrożenia niezbędnych środków kontroli (zabezpieczeń) Harmonogram wdrożenia rekomendacji i zatwierdzenie budżetu Propozycja struktury zarządzania kryzysowego
Weryfikacja procedur Incident Management Analiza istniejących procedur powiadamiania o incydentach Uzupełnienie procedur o wyniki projektu (zgodnie z projektem struktury Sztabu Kryzysowego) Uzupełnienie procedur w zakresie współpracy ze służbami publicznymi Uzupełnienie procedur w zakresie PR i kontaktów z instytucjami/osobami o znaczeniu strategicznym
Budowa procedur awaryjnych i odtworzeniowych zespołowo, często w zespołach interdyscyplinarnych, we współpracy z krytycznymi dostawcami Procedury odpowiadają na pytania: Kto ma wykonać dane zadanie? Co należy zrobić? Kiedy? W jaki sposób?
Produkty projektu Lista procesów krytycznych Raporty z Analizy Ryzyka i BIA Minimalna Akceptowalna Konfiguracja (w tym baza krytycznych zasobów informatycznych) Struktury Zarządzania Kryzysowego Procedury powiadamiania, awaryjne i odtworzeniowe Pełna dokumentacja projektu (jako baza wiedzy na temat metodologii BCP)
Dodatkowe korzyści Opisanie procesowe krytycznych obszarów działalności instytucji (możliwość wykorzystania w wielu innych projektach) Przygotowanie organizacji do wdrożenia Business Services Management Wdrożenie systemu kontroli zmiany Ułatwienie wyliczenia ROI dla inwestycji IT Precyzyjne wymagania do umów SLA z dostawcami Poprawa zarządzania personelem (zidentyfikowani kluczowi pracownicy) Poprawa komunikacji między departamentami merytorycznymi a służbami IT
Czynniki sukcesu Wsparcie Zarządu Formalny Zespół Projektowy Osoby kontaktowe w poszczególnych jednostkach organizacyjnych Ścisła współpraca kluczowych dostawców z Zespołem Projektowym
Wymagania organizacyjne Szacowana wielkość stałego Zespołu Projektowego – ok. 2-3 osób Szacowana liczba osób zaangażowana w prace projektowe po stronie DM – po 1-2 osoby z każdej kluczowej jednostki organizacyjnej
Szacowany czas trwania projektu