Řízení kontinuity činností organizace
Řízení kontinuity podnikání zajišťuje, aby se organizace dostatečně rychle zvládla vyrovnat s potenciální krizí (způsobenou nefunkčností procesů, výpadkem systémů apod.). Cílem je, aby v případě, že dojde k narušení jejích klíčových procesů, byla organizace schopna během (stanovené) krátké doby tyto procesy alespoň na (definované) minimální úrovni obnovit.
V rámci BCM (Business Continuity Management) se největší pozornost věnuje následujícím oblastem:
- analýze dopadů (Business Impact Analysis, BIA), ve kterém dochází k hodnocení:
- významnosti procesů/činností ve společnosti a
- dopadů, které mohou vzniknout v případě narušení těchto procesů/činností;
- strategii minimalizující dopady krizových situací:
- tvorbě plánů kontinuity činností (Business Continuity Plans, BCP), jejich následnému testování a zaškolení;
- zvyšování odolnosti společnosti vůči potenciálním hrozbám (preventivní opatření);
- v případě havárie obnově procesů/činností ve společnosti dle BCP.
V souvislosti s BCM vám můžeme nabídnout poradenství a služby v těchto oblastech:
Návrh/revize rámcové metodiky pro oblast BCM
- Popis základních principů BCM
- Popis procesu BIA
- Návrhem způsobu řízení a pravidelného monitoringu procesů BCM
- Popis plánů BCP
- Návrh informačních a školících mechanismů
- Definice rolí a odpovědností a popis kontrolního rámce
Pomoc při identifikaci potenciálních hrozeb a odhadu dopadů na procesy/činnosti společnosti (BIA)
- Identifikace krizových situací založená na:
- interním hodnocení rizik a událostí, k nimž došlo v nedávné době
- situacích, které nastaly v institucích obdobného zaměření a velikosti v relevantní historii
- Vytvoření metodiky BIA (slouží jako manuál pro analýzu dopadů)
- Ohodnocení významnosti procesů/činností při fungování společnosti
- Odhad dopadů narušení konkrétních procesů/činností
- Identifikace klíčových procesů/činností
- Identifikace zdrojů nutných pro fungování klíčových procesů/činností
- Nastavení systému pro hodnocení rizik
- návrh pravidel pro identifikaci rizik (volba vhodné metody, popis jejích principů)
- návrh pravidel a principů pro hodnocení rizik (hodnocení dopadu a frekvence identifikovaných rizik, stanovení celkové závažnosti rizik)
- tvorba katalogu rizik
- Nastavení systému pro sběr relevantních externích událostí (např. zpracování tiskových zpráv)
- Stanovení
- maximální doby tolerovaného narušení procesů nebo činností – MTPD (Maximum Tolerable Period of Disruption),
- cílové doby obnovy – RTO (Recovery Time Objectives)
- a minimální požadované úrovně funkčnosti/služeb – LBC (Level of Business Continuity)
- Návrh strategie minimalizující dopady krizových situací na klíčové procesy/činnosti společnosti
- Návrh vzorových dokumentů nezbytných pro:
- vypracování a záznam BIA (kvantitativní a kvalitativní identifikace dopadů přerušení podnikání nebo ztráty jednotlivých zdrojů/procesů)
- vypracování katalogu aktiv
Návrh/revize/testování BCP
ARM vám může pomoci s vytvořením/návrhem:
- prováděcí metodiky BCP, včetně metodiky pro zajištění obnovy IT systémů a zajištění kontinuity IT služeb – DRP (Disaster Recovery Plans),
- scénářů nežádoucích událostí pro účely nastavení jednotlivých BCP,
- vzorových dokumentů nezbytných pro:
- záznam jednotlivých plánů BCP,
- provedení a záznam výsledku testování BCP,
- záznam požadavků na záložní zdroj/lokalitu,
- vyhodnocení BCP,
- související reporting o nedostatcích (včetně vzoru pro návrhy opravných opatření);
a dále s:
- výběrem vhodných typů testů pro ověřování BCP,
- revizí a testováním vytvořených scénářů a metodik,
- popisem reakcí na krizové situace a způsobů zvládání incidentů,
- návrhem postupů pro řízení rizik dodavatelů, outsourcingu a třetích stran.
Posouzení souladu BCM metodik s regulatorními požadavky
- Revize metodik, posouzení jejich souladu s regulatorními předpisy a normami
- Doporučení případných opravných opatření
- Ověření provázanosti procesů BCM se systémem řízení rizik a systémem řízení instituce
- Ověřením vzájemné konzistence vnitřních předpisů a logické správnosti