Chytře na rizika  
BCM

Řízení kontinuity činností organizace

Cílem řízení kontinuity podnikání je zajistit rychlé obnovení klíčových procesů na předem stanovené minimální úrovni za předem stanou dobu, pokud dojde k jejich narušení nebo ztrátě funkčnosti. V rámci BCM se největší pozornost věnuje následujícím oblastem:

  • procesu analýzy dopadů (Business Impact Analysis, BIA), ve kterém dochází k hodnocení:
    • významnosti procesů/činností ve společnosti a
    • dopadů, které mohou vzniknout v případě narušení těchto procesů/činností;
  • strategii minimalizující dopady krizových situací:
    • tvorbě plánů kontinuity činností (Business Continuity Plans, BCP), jejich následnému testování a provádění školení;
    • zvyšování odolnosti společnosti vůči potenciálním hrozbám (preventivní opatření);
  • v případě havárie obnově procesů/činností ve společnosti dle BCP.

Nabízené služby:

Návrh/revize rámcové metodiky pro oblast BCM

ARM vám může pomoci s:

  • Popisem základních principů BCM.
  • Popisem procesu BIA.
  • Návrhem způsobu řízení a pravidelného monitoringu procesů BCM.
  • Popisem BCP.
  • Návrhem informačních a školících mechanismů.
  • Definicí rolí a odpovědností a popis kontrolního rámce.

Pomoc při identifikaci potenciálních hrozeb a odhadu dopadů na procesy/činnosti společnosti (BIA)

ARM vám může pomoci s:

  • Identifikací krizových situací na základě výsledků z interního hodnocení rizik, událostí, k nimž došlo v nedávné době, a situací, které nastaly v institucích obdobného zaměření a velikosti v relevantní historii.
  • Vytvořením metodiky BIA, která slouží jako manuál pro analýzu dopadů.
  • Ohodnocením procesů/činností ve společnosti s ohledem na jejich významnost pro chod společnosti a odhad dopadů, které mohou vzniknout v případě narušení těchto procesů/činností;
  • Identifikací klíčových procesů/činností a zdrojů, které jsou nutné pro fungování těchto procesů/činností.
  • Nastavením systému pro hodnocení rizik (jeden z podkladů pro BIA):
    • návrh pravidel pro identifikaci rizik (volba vhodné metody a popis jejích principů),
    • návrh pravidel a principů pro hodnocení rizik (hodnocení dopadu a frekvence identifikovaných rizik, princip stanovení celkové závažnosti rizik),
    • tvorba katalogu rizik.
  • Nastavením systému pro sběr událostí, které nastaly ve společnostech obdobného zaměření, zejména zpracování tiskových zpráv.
  • Stanovením maximálních tolerovaných dob (pro jednotlivé procesy/činnosti):
    • narušení procesů nebo činností (Maximum Tolerable Period of Disruption, MTPD),
    • cílové doby obnovy (Recovery Time Objectives, RTO) a
    • minimální požadované úrovně funkčnosti služeb (Level of Business Continuity, LBC).
  • Návrhem strategie minimalizující dopady krizových situací na klíčové procesy/činnosti společnosti.
  • Návrhem vzorových dokumentů nezbytných pro:
    • vypracování a záznam BIA (kvantitativní a kvalitativní identifikace dopadů přerušení podnikání nebo ztráty jednotlivých zdrojů/procesů)
    • vypracování katalogu aktiv.

Nahoru

Návrh/revize/testování BCP

ARM vám může pomoci s:

  • Návrhem prováděcí metodiky BCP včetně metodiky pro zajištění obnovy IT systémů a zajištění kontinuity IT služeb (Disaster Recovery Plans, DRP).
  • Vytvořením scénářů nežádoucích událostí pro účely nastavení jednotlivých BCP.
  • Vytvořením vzorových dokumentů nezbytných pro:
    • záznam jednotlivých plánů kontinuity podnikání,
    • provedení a zaznamenání výsledku testování BCP,
    • záznam požadavků pro záložní lokalitu,
    • vyhodnocení BCP včetně souvisejícího reportingu o nedostatcích a návrhu opravných opatření.
  • Výběrem vhodných typů testů pro ověřování BCP.
  • Revizí a testování vytvořených scénářů a vytvořených metodik.
  • Popisem reakcí na krizové situace a způsobů zvládání incidentů.
  • Návrhem postupů pro řízení rizik dodavatelů (outsourcingu) a třetích stran.

Nahoru

Posouzení souladu BCM metodik s regulatorními požadavky

ARM vám může pomoci s:

  • Revizí stávajících metodik a návrh doporučení plynoucích z posouzení souladu s regulatorními předpisy a normami.
  • Ověřením provázanosti procesů BCM se systémem řízení rizik a systémem řízení instituce.
  • Ověřením vzájemné konzistentnosti vnitřních předpisů a logické správnosti.

Legislativa upravující BCM:

  • High-level principles for business continuity, BCBS, 2006
  • ISO 22301: Societal Security — Business continuity management systems — Requirements – účinnost od 1.12.2013
  • CRD IV (Směrnice Evropského Parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a 2006/49/ES),
  • Guidelines on common procedures and methodologies for the supervisory review and evaluation process (SREP), EBA, 2014,
  • Guidelines on Internal Governance (GL 44), EBA, září 2011 a Consultation Paper Draft Guidelines on internal governance, EBA, říjen 2016,
  • Final Guidelines on ICT Risk Assessment under SREP, EBA, 2017,
  • ISO/DIS 22313 Security and resilience -- Business continuity management systems – Guidance (under development).

Nahoru