e-Business Conference Banja Luka 2014

3. Upravljanje kontinuitetom poslovanja po ISO 22301 standardu
Milica Labus
Belox Advisory Services

4. Sadržaj
•Uvod
•Šta je upravljanje kontinuitetom poslovanja?
•ISO 22301 standard
•Osnovna terminologija
•Koraci u procesu implementacije upravljanja kontinuitetom poslovanja
•Najvažnija (obavezna) dokumentacija
•Najveći izazovi prilikom implementacije

5. Uvod
•Predavanje pokriva osnovne korake u implementaciji upravljanja kontinuitetom poslovanja (BCM) u skladu sa ISO 22301 standardom
•Namenjeno je onima koji planiraju da implementiraju proces upravljanja kontinuitetom poslovanja
•Paralelno sa ISO 22301 standardom, sagledani su i zahtevi koji proizilaze iz Odluke o minimalnim standardima upravljanja IS u bankama (Agencija za bankarstvo Republike Srpske)
Koji su to neophodni elementi za uspešnu
implementaciju BCM-a?

6. Zašto kontinuitet poslovanja?
Kontinuitet poslovanja je sposobnost organizacije da nastavi sa isporukom proizvoda i/ili
pružanjem usluga na
prihvatljivim, unapred definisanim, nivoima
nakon incidentnog događaja.

7. Šta je upravljanje kontinuitetom poslovanja?
BCM je holistički proces upravljanja koji:
•identifikuje potencijalne pretnje kojima je izloženo poslovanje i njihove moguće uticaje na poslovne aktivnosti,
•definiše okvir za razvijanje otpornosti organizacije i sposobnost efikasnog oporavka organizacije od posledica incidentnog događaja,
•i na taj način štiti interese ključnih zainteresovanih strana, reputaciju organizacije, njen brend i ključne poslovne aktivnosti.
Cilj je zaštita poslovanja i očuvanje ključnih poslovnih aktivnosti!

8. Odakle krenuti ?
•ISO 22301 se smatra osnovnim standardom za upravljanje kontinuitetom poslovanja, iz sledećih razloga:
•prvi međunarodni standard usmeren isključivo na kontinuitet poslovanja
•može se primeniti na bilo koju organizaciju, bez obzira na njenu veličinu, delatnost i lokaciju
•jasno definiše ciljeve i delokrug BCM-a
•stavlja veliki akcenat na angažovanju rukovodstva organizacije (Plan-Do-Check-Act model)
•podrazumeva kontinuirano unapređenje
ISO 22301 familija standarda
ISO 22301:2012 Specifikacija (Requirements)
ISO 22313:2012 Uputstvo za implementaciju (Guidance)
ISO 22301 standard definiše uspostavljanje i
upravljanje efikasnim Sistemom za upravljanje
kontinuitetom poslovanja (BCMS).

9. Sistem za upravljanje kontinuitetom poslovanja (BCMS)
1.definiše neophodnost i potrebe organizacije za uspostavljanjem kontinuiteta poslovanja
2.sprovodi kontrole i mere za upravljanje sposobnošću organizacije za oporavak od posledica vanredne situacije
3.prati performanse i efikasnost upravljanja kontinuitetom poslovanja
4.stalno poboljšava upravljanje kontinuitetom poslovanja na osnovu objektivnog merenja.
BCMS uspostavlja, sprovodi, upravlja, nadgleda, prati, održava i poboljšava kontinuitet poslovanja.

10. Ključne komponente BCMS-a
–Politika kontinuiteta poslovanja
–Ljudi sa definisanim odgovornostima
–Upravljanje procesima koji se odnose na:
•politiku
•planiranje
•uvođenje i funkcionisanje upravljanja kontinuitetom poslovanja
•ocenjivanje performansi
•preporuke rukovodstva
•poboljšanja upravljanja kontinuitetom poslovanja
–Set dokumenata koji su podložni reviziji i
–Svi ostali procesi vezani za upravljanje kontinuitetom poslovanja koji su relevantni za organizaciju.

11. Kontinuirano unapređenje BCMS-a
Zainter. strane
BCM
Zainter. strane BCM zahtevi
BCMS definicija preko PDCA modela
Izvor: International standard ISO 22301
1. Planiranje (PLAN)
2. Uspostavljanje i funkcionisanje (DO)
3. Praćenje i revizija (CHECK)
4. Održavanje i unapređenje (ACT)

12. BCMS implementacija u 10 koraka
Planiranje (PLAN)
•1. Definisanje delokruga
•2. Podrška rukovodstva
•3. Definisanje ciljeva
•4. Definisanje podrške sprovođenju BCMS-a
Uspostavljanje i funkcionisanje (DO)
•5. Analiza uticaja na poslovanje i procena rizika
•6. Strategija kontinuiteta poslovanja
•7. Plan kontinuiteta poslovanja
•8. Obuke i testiranje
Praćenje i revizija (CHECK)
•9. Ocenjivanje
Održavanje i unapređenje (ACT)
•10. Poboljšanja

13. I deo: Planiranje
1.Definisanje delokruga
–Razumevanje konteksta organizacije (interni i eksterni faktori)
–Razumevanje potreba i očekivanja zainteresovanih strana (osnivači, zaposleni, klijenti, partneri, ABRS,...)
–Usluge koje su poverene trećim licima
Plan
Do
Check
Act
Delokrug BCMS-a: delovi organizacije, BCMS zahtevi,
proizvodi i usluge, potrebe zainteresovanih strana.

14. I deo: Planiranje ...
2.Podrška rukovodstva
–Uključuje:
•usklađivanje BCM-a sa sveobuhvatnom strategijom organizacije
•obezbeđivanje potrebnih resursa za BCMS
•promovisanje kontinuiranog unapređenja
•definisanje uloga i odgovornosti
–Definiše se kroz Politiku upravljanja kontinuitetom poslovanja (eng. BCMS Policy)
BCMS Policy je dokument najvišeg nivoa koji služi rukovodstvu da upravlja razvojem BCMS u organizaciji.
Plan
Do
Check
Act

15. Politika upravljanja kontinuitetom poslovanja
•Definiše delokrug BCMS-a
•Definiše BCMS uloge i odgovornosti
•Definiše ciljeve performansi sistema i načine ocenjivanja
•Promoviše kontinuirano unapređenje
•Na raspolaganju je svim zainteresovanim stranama
Plan
Do
Check
Act

16. I deo: Planiranje ...
3.Definisanje ciljeva
–Definisanje ciljeva BCMS-a koji su konzistentni sa Politikom i koji uzimaju u obzir minimalni nivo raspoloživosti proizvoda i usluga koji je prihvatljiv organizaciji
–„SMART“ ciljevi
4.Definisanje podrške sprovođenju BCMS-a
–Definisanje pristupa (ko je odgovoran, šta će biti urađeno, koji su rokovi, koji su neophodni resursi i kako će se rezultati ocenjivati)
–Definisanje potrebnih kompetencija za sve uloge vezane za BCMS-u
–Promovisanje BCMS-a širom organizacije
–Plan komunikacije
–Upravljanje dokumentacijom
Plan
Do
Check
Act

17. II deo: Uspostavljanje i funkcionisanje
5.Analiza uticaja na poslovanje i procena rizika
–Analiza uticaja na poslovanje (eng. Business Impact Analysis - BIA)
•Identifikovanje ključnih poslovnih procesa i aktivnosti
•Procena uticaja prekida poslovanja tokom vremena
•Identifikovanje potrebnih resursa
•Utvrđivanje ciljnih parametara oporavka
–Procena rizika (eng. Risk Assessment - RA)
•Identifikovanje i analiza potencijalnih rizika
•Procena verovatnoće nastanka prekida u poslovanju
•Preporuka za implementaciju dodatnih kontrola
Plan
Do
Check
Act

18. II deo: Uspostavljanje i funkcionisanje …
6.Strategija upravljanja kontinuitetom poslovanja
–Identifikovanje mogućih strategija kontinuiteta poslovanja koje će umanjiti rizike identifikovane u BIA i RA analizama na nivo koji je rukovodstvu organizacije prihvatljiv
–Proceniti neophodne resurse za svaku od mogućih strategija
–Izbor odgovarajuće strategije od strane rukovodstva organizacije
Strategija obezbeđuje da svi neophodni resursi budu
na raspolaganju u slučaju incidentne situacije.
Plan
Do
Check
Act

19. Strategija upravljanja kontinuitetom poslovanja
•Definiše osnovu za pisanje BCP
•Definiše na koji način se štite ključni proizvodi i usluge
•Definiše odgovor na incident
•Strategija obezbeđenja neophodnih resursa
•Strategije oporavka za pojedinačne poslovne funkcije
•Definiše sve potrebne pripremne aktivnosti za pisanje planova
Plan
Do
Check
Act

20. II deo: Uspostavljanje i funkcionisanje ...
7.Plan kontinuiteta poslovanja
–Detaljni koraci koje će organizacija izvršiti u slučaju da se incident dogodi:
•Odgovor na incident (kako reagovati?)
•Način oporavka aktivnosti (kako se oporaviti?)
•Način funkcionisanja u „fazi oporavka“
–To su dokumenti koji se koriste u slučaju stvarne opasnosti
Cilj je da se na prihvatljivu meru svedu potencijalni
gubici koji mogu nastati kao rezultat vanredne situacije.
Plan
Do
Check
Act

21. Plan kontinuiteta poslovanja nije jedan dokument!
1.Procedura (plan) odgovora na incidente (eng. Incident Response Plan)
2.Plan oporavka informacionog sistema (eng. Disaster Recovery Plan)
3.Plan oporavka aktivnosti (za SVE poslovne aktivnosti, eng. Recovery Plan)
Plan
Do
Check
Act

22. Plan kontinuiteta poslovanja .....
•Definiše uloge i odgovornosti
•Aktivaciju i deaktivaciju plana
•Upravljanje neposrednim posledicama incidenta
•Načine komunikacije sa svim zainteresovanim stranama
•Neophodne resurse
•Alternativne lokacije
•Timove zadužene za oporavak
•Oporavak aktivnosti u okviru RTO
Plan
Do
Check
Act

23. II deo: Uspostavljanje i funkcionisanje …
8.Obuke i testiranje planova kontinuiteta poslovanja
–U skladu sa ciljevima i delokrugom BCMS-a
–Definisanje materijala za obuku i plana obuke
–Definisanje plana testiranja
–Izvođenje testiranja u planiranim intervalima, a specijalno prilikom značajnih promena u organizaciji ili u njenom okruženju
–Na osnovu rezultata testiranja definisanje korektivnih mera i poboljšanja strategije kontinuiteta poslovanja i planova kontinuiteta poslovanja
Osnova uspešnog upravljanja kontinuitetom poslovanja
je fokus na kontinuirano unapređenje
Plan
Do
Check
Act

24. Kontinuirano unapređenje..
Plan
Do
Check
Act
5. Sprovođenje analize uticaja na poslovanje i procena rizika
6. Definisanje strategije upravljanja kontinuitetom poslovanja
7. Definisanje i uspostavljanje planova kontinuiteta poslovanja
8. Obuke i testiranje planova kontinuiteta poslovanja

25. III deo: Praćenje i revizija
9.Ocenjivanje
–Definisanje metrika za ocenjivanje performansi BCMS
–Definisanje procesa Interne revizije
–Usvajanje rezultata ocenjivanja od strane rukovodstva (eng. Management review)
Povratne informacije o performansama sistema omogućavaju rukovodstvu da na najbolji način zaštite poslovanje imajući u vidu ograničene resurse.
Plan
Do
Check
Act

26. IV deo: Održavanje i unapređenje
10. Poboljšanja
–Korektivne akcije
•Definisati proces i ažurno voditi listu korektivnih akcija
–Analiza uzroka
•Za svaku identifikovanu neusaglašenost i/ili loše performanse BCMS-a
–Praćenje progresa i izveštavanje
•Statusi korektivnih akcija
Kontinuirano unapređenje BCMS pomoću korektivnih akcija u skladu sa rezultatima internih revizija, preporuka rukovodstva i ostalih relevantnih informacija.
Plan
Do
Check
Act

27. Najvažnija (obavezna) dokumentacija
1.Politika upravljanja kontinuitetom poslovanja
2.Ciljevi upravljanja kontinuitetom poslovanja (BCMS ciljevi)
3.Procena rizika (RA)
4.Analiza uticaja na poslovanje (BIA)
5.Strategija upravljanja kontinuitetom poslovanja
6.Planovi kontinuiteta poslovanja (BCP)

28. Najvažnija (obavezna) dokumentacija ...
7.Plan obuke i materijali za obuku
8.Plan testiranja i rezultati testiranja
9.Rezultati interne revizije
10.Plan unapređenja (lista korektivnih akcija sa prioritetima)
Oko 50% BCM dokumentacije su planovi ... ostalo je priprema i održavanje!

29. Kako pridobiti podršku menadžmenta?
Najvažnije koristi:
Usklađivanje sa propisima
Povećava poverenje klijenata i ostalih zainteresovanih strana
BCM pozitivno utiče na ostale procese u organizaciji
Sprečavanje gubitaka velikih razmera

30. Najveći izazovi prilikom implementacije
•Nedostatak podrške rukovodstva (opravdanost projekta, budžet/resursi)
•Nerazumevanje procesa implementacije BCM („the quick and dirty“ pristup)
•Nerazumevanje da je BCM poslovna inicijativa, a ne IT projekat
•Baziranje BCM isključivo na vendorskom rešenju
•Konsultantski projekat tipa „crna kutija“
•Baziranje implementacije isključivo na nekom standardu
•BCP neadekvatan korišćenju u vanrednoj situaciji (npr. previše ili premalo detalja)
•...

31. Šta Belox može da ponudi?
•Konsultantske usluge prilagođene Vašim potrebama
•tim stručnjaka sa iskustvima na BCM projektima u regionu
•pomoć u definisanju uloga i odgovornosti, ciljeva i delokruga BCM-a
•template svih dokumenata
•specijalizovane obuke prilagođene Vašim potrebama
•podršku u celokupnom procesu uspostavljanja BCM / BCMS-a
Više detalje o našim uslugama možete
pročitati na www.belox.rs/it

32. Hvala na pažnji!
Milica Labus
Business Development Manager,
Partner
Belox Advisory Services
Jurija Gagarina 14nj, A 1/5 Belville
11070 Beograd, Srbija
milica.labus@belox.rs
www.belox.rs