Transcript (BCM) Zarządzanie ciągłością działania Renata Davidson

Zarządzanie ciągłością
działania (BCM)
Renata Davidson
2
Agenda
•
•
•
•
•
Podejście procesowe do MiFID – założenia
Opis metodyki analizy i modelowania procesów
MiFID a Business Continuity Management
Etapy budowy programu BCM
Wartość dodana płynąca podejścia procesowego i
programu BCM
3
Wpływ MiFIDu
MiFID
Dyrektywa 2006/73/WE
•Corporate Governance
(np. Compliance, RM, Outsourcing) (Art. 5.)
•Przeciwdziałanie konfliktom interesów (Art. 21)
•Warunki operacyjne, np.
•Zachęty (Art. 26)
•Odpowiedniość/Adekwatność (Art. 35)
•Best Execution (Art. 44)
•Obsługa zleceń klienta (Art. 47)
•Uprawnieni kontrahenci (Art. 50)
Organizacja
Rozporządzenie Komisji Nr 1287/2006
•Przechowywanie zleceń klientów i transakcji
•Raportowanie transakcji
•Przejrzystość przedtransakcyjna (Art. 17)
•Przejrzystość potransakcyjna (Art. 27)
•Systematyczna internalizacja:
•Rejestr kwotowań (Art. 24)
• Ujawnianie zamówień limitowanych klienta,
niepodlegających natychmiastowej realizacji
(Art. 31)
•Współpraca z instytucjami nadzorczymi
Procesy
4
Podejście procesowe do MiFID – założenia
• Wszystkie kwestie związane z MiFID dotyczą przede
wszystkim procesów i organizacji
• Nie można zmienić czegoś, czego nie możemy zobaczyć
– stąd przydatność map rzeczywistych procesów
• Należy jednak pamiętać o własnych ograniczeniach:
‣ Czas
‣ Zasoby
‣ Budżet
Mapy procesów – diagram kontekstowy
6
Mapy procesów – diagram realizacji procesu
7
Mapy procesów – diagram realizacji procedury
8
Mapy procesów - przydatność
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
doskonalenie procesów biznesowych
Corporate Governance
wdrażanie „najlepszych praktyk”
zarządzanie ryzykiem operacyjnym
zarządzanie zmianami
zarządzanie ciągłością działania
zarządzanie jakością
planowanie i mapowanie IT
integracja po fuzjach i przejęciach
wdrażanie systemów (ERP, CRM, etc.)
symulacje
IT City Planning
Planowanie Service Oriented Architecture
Budowanie strategii IT
wdrażanie nowych technologii
9
Ogólne wymogi organizacyjne - Business Continuity
•
•
•
DYREKTYWA 2006/73/WE
Artykuł 5 (Artykuł 13 ust. 2–8 dyrektywy 2004/39/WE)
ust. 2. Państwa członkowskie wymagają, by przedsiębiorstwa inwestycyjne
ustanowiły, wprowadziły i utrzymywały systemy i procedury, które
zapewniają właściwy stopień bezpieczeństwa, integralności i poufności
informacji, uwzględniając przy tym charakter takich informacji.
•
ust. 3. Państwa członkowskie wymagają, by przedsiębiorstwa inwestycyjne
ustanowiły, wprowadziły i utrzymywały odpowiednią politykę utrzymywania
ciągłości działalności gospodarczej, której celem jest zachowanie
najważniejszych danych i funkcji oraz utrzymanie usług i działalności
inwestycyjnej w razie przerwy w funkcjonowaniu systemów i procedur – a
jeśli nie jest to możliwe – możliwie szybkie przywrócenie takich danych i
funkcji oraz możliwie szybkie wznowienie usług i działalności inwestycyjnej.
10
Zakres BCM
•
•
•
Identyfikacja kluczowych procesów i ich zasobów
Analiza ryzyka
Analiza wpływu zdarzenia na przedsiębiorstwo (Business Impact Analysis BIA)
‣ Lista procesów krytycznych
•
Budowa Strategii Przetrwania
 Budowa Minimalnej Akceptowalnej Konfiguracji
 Analiza dostępnych i brakujących rozwiązań
 Opracowanie Strategii Przetrwania (wybrane rozwiązania, harmonogram,
budżet)
•
•
•
Budowa procedur awaryjnych i odtworzeniowych
Testowanie i aktualizacja Planu
Wdrożenie Planu (budowa świadomości pracowników, audyt, program
szkoleń, etc.)
11
Identyfikacja kluczowych procesów biznesowych
• W oparciu o:
 Aktualny Regulamin Organizacyjny DM
 Wiedzę i doświadczenie kierowników jednostek
organizacyjnych
• Metody:
 Ankietowanie (szybsza, ale dająca mniej precyzyjne wyniki)
 Pogłębione wywiady (bardziej pracochłonna, ale dająca
więcej informacji)
12
Identyfikacja kluczowych procesów biznesowych c.d.
• W oparciu o wstępnie uzgodnioną skalę krytyczności
(poniższe wartości są przykładowe):
1. Brak wpływu na funkcjonowanie jednostki.
Proces może zostać zawieszony do odwołania.
2. Zauważalny wpływ na funkcjonowanie jednostki.
Proces może zostać wstrzymany do 48h.
3. Istotny wpływ na funkcjonowanie jednostki.
Proces może zostać wstrzymany do 24h.
4. Proces krytyczny.
Konieczność utrzymania ciągłości lub wznowienie procesu przed
upływem 4h.
13
Analiza BIA
• Business Impact Analysis – analiza wpływu zdarzenia
na przedsiębiorstwo
 Straty policzalne
 Straty niepoliczalne
14
Analiza BIA c.d.
• Straty policzalne:
 bezpośrednie straty finansowe (np. utrata przychodów,
prowizji, etc.) + ewentualne kary (np. umowne,
administracyjne, karne odsetki, etc.) + koszty dodatkowe
(np. usługi zakupione na zewnątrz, praca w nadgodzinach,
etc.) = maksymalna potencjalna strata.
• Straty niepoliczalne:
 wpływ na wizerunek instytucji
 utrata zaufania klientów lub partnerów biznesowych
15
Analiza BIA c.d.
Straty finansowe
Proces
4h
24h
48h
72h
Przyjmowanie i
realizacja zleceń
k/s jednostek
funduszy
inwestycyjnych
?zł
?zł
?zł
?zł
Obsługa zleceń na
rynku pierwotnym
?zł
?zł
?zł
?zł
Obsługa zleceń na
rynku wtórnym
?zł
?zł
?zł
?zł
Rozliczanie
transakcji
?zł
?zł
?zł
?zł
Rachunkowość i
sprawozdawczość
?zł
?zł
?zł
?zł
Razem
?zł
?zł
?zł
?zł
16
Lista procesów krytycznych
• Lista procesów krytycznych, zbudowana w oparciu o
wyniki analizy BIA.
• Wymagane jest formalne zatwierdzenie przez Zarząd listy
procesów objętych planami ciągłości działania.
• Lista procesów krytycznych definiuje zakres Planu, a tym
samym zakres prac na dalszych etapach projektu.
17
Identyfikacja kluczowych procesów biznesowych c.d.
Wejście
Funkcja
1
Funkcja
2
Funkcja
Funkcja
Funkcja
3
4
5
Proces XYZ
Wyjście
18
Identyfikacja kluczowych zasobów
• Kluczowe zasoby:
 Ludzie
 Infrastruktura/lokalizacje
 Systemy IT
 Sprzęt biurowy
 Krytyczni dostawcy i usługi zewnętrzne
 Dokumentacja
 Krytyczne dane kontaktowe
 inne
19
Identyfikacja kluczowych zasobów c.d.
Wejście
Funkcja
1
Funkcja
2
Funkcja
Funkcja
Funkcja
3
4
5
Zespół Awaryjny
Krytyczne zasoby IT
Krytyczne zasoby biurowe
Wyjście
20
Identyfikacja kluczowych zasobów c.d.
• W wyniku tego etapu powstają:
 Baza krytycznych pracowników
 Baza krytycznych zasobów IT
 Baza krytycznych dostawców i usług (w tym przegląd
obowiązujących umów serwisowych i SLA)
 Lista zasobów biurowych
 Lista krytycznych dokumentów
 Listy kontaktowe
• Na tym etapie warto wdrożyć mechanizmy kontroli zmiany
dla zidentyfikowanych procesów
i zasobów.
21
Analiza Zagrożeń
• Zagrożenia wewnętrzne:
 Infrastruktura
 Ludzie
 Systemy IT
• Zagrożenia zewnętrzne:
 Otoczenie
 Dostawcy i usługodawcy
 Partnerzy
22
Analiza Zagrożeń c.d.
Wejście
Funkcja
1
Funkcja
2
Funkcja
Funkcja
Funkcja
3
4
5
Wyjście
Proces XYZ
Analiza istniejących środków kontroli (zabezpieczeń) i badanie
potencjalnego wpływu zidentyfikowanych zagrożeń na
poszczególne funkcje krytyczne.
23
Budowa Strategii Przetrwania
• W oparciu o:
 Formalną Listę procesów krytycznych
 Zidentyfikowany akceptowalny poziom ryzyka
 Najgorszy, prawdopodobny scenariusz
 Czasy odtworzenia dla krytycznych procesów biznesowych (wynik
analizy BIA)
• Powstają:
 Strategia Przetrwania
 Minimalna Akceptowalna Konfiguracja (we współpracy
z pracownikami Departamentu IT i kluczowymi dostawcami)
 Szkic struktury zarządzania kryzysowego (Sztab Kryzysowy)
24
Najgorszy, prawdopodobny scenariusz
• Utrata lub niedostępność głównej siedziby organizacji
wraz z całą znajdującą się w niej infrastrukturą;
• Niedostępność pracowników DM na poziomie 50%;
• Zakłócenia w funkcjonowaniu transportu publicznego;
• Dostępność rozwiązań zapasowych, w tym lokalizacji
i zasobów zdefiniowanych w Minimalnej Akceptowalnej
Konfiguracji
25
Analiza dostępnych rozwiązań
• Analiza rozwiązań dostępnych w ramach organizacji
• Analiza rozwiązań dostępnych na rynku (pod kątem
spełnienia wymogów Strategii Przetrwania)
• Analiza ekonomiczna dostępnych rozwiązań
• Opracowanie budżetu dla propozycji rozwiązań
awaryjnych
• Wybór docelowych rozwiązań awaryjnych
26
Opracowanie rekomendacji
• Projekty techniczne (w tym projekt zabezpieczenia
infrastruktury IT)
• Lista rekomendacji dotyczących:
 Zmian organizacyjnych
 Zmian prawnych (w zakresie umów z dostawcami
i usługodawcami)
 Wdrożenia niezbędnych środków kontroli (zabezpieczeń)
• Harmonogram wdrożenia rekomendacji i zatwierdzenie
budżetu
• Propozycja struktury zarządzania kryzysowego
27
28
Weryfikacja procedur Incident Management
• Analiza istniejących procedur powiadamiania
o incydentach
• Uzupełnienie procedur o wyniki projektu (zgodnie
z projektem struktury Sztabu Kryzysowego)
• Uzupełnienie procedur w zakresie współpracy
ze służbami publicznymi
• Uzupełnienie procedur w zakresie PR i kontaktów
z instytucjami/osobami o znaczeniu strategicznym
29
Budowa procedur awaryjnych i odtworzeniowych
• Budowa procedur:
 zespołowo, często w zespołach interdyscyplinarnych,
 we współpracy z krytycznymi dostawcami
• Procedury odpowiadają na pytania:
 Kto ma wykonać dane zadanie?
 Co należy zrobić?
 Kiedy?
 W jaki sposób?
30
Produkty projektu
• Lista procesów krytycznych
• Raporty z Analizy Ryzyka i BIA
• Minimalna Akceptowalna Konfiguracja (w tym baza
krytycznych zasobów informatycznych)
• Struktury Zarządzania Kryzysowego
• Procedury powiadamiania, awaryjne i odtworzeniowe
• Pełna dokumentacja projektu (jako baza wiedzy na temat
metodologii BCP)
31
Dodatkowe korzyści
• Opisanie procesowe krytycznych obszarów działalności
instytucji (możliwość wykorzystania w wielu innych projektach)
• Przygotowanie organizacji do wdrożenia Business Services
Management
• Wdrożenie systemu kontroli zmiany
• Ułatwienie wyliczenia ROI dla inwestycji IT
• Precyzyjne wymagania do umów SLA z dostawcami
• Poprawa zarządzania personelem (zidentyfikowani kluczowi
pracownicy)
• Poprawa komunikacji między departamentami merytorycznymi
a służbami IT
32
Czynniki sukcesu
• Wsparcie Zarządu
• Formalny Zespół Projektowy
• Osoby kontaktowe w poszczególnych jednostkach
organizacyjnych
• Ścisła współpraca kluczowych dostawców z Zespołem
Projektowym
33
Wymagania organizacyjne
• Szacowana wielkość stałego Zespołu Projektowego
– ok. 2-3 osób
• Szacowana liczba osób zaangażowana w prace
projektowe po stronie DM – po 1-2 osoby z każdej
kluczowej jednostki organizacyjnej
34
Szacowany czas trwania projektu
35