Sunteți pe pagina 1din 67

MASTER N MANAGEMENTUL RISCULUI N AFACERI INTERNAIONALE

Managementul riscurilor operaionale la compania Jolidon

Ionu BOBLC Tiberiu NANCU Alexandru NIU Rzvan RADU Alin VLAD

Bucureti

2013

I. Prezentarea companiei.1
[Niu Alexandru]

Grupul Jolidon
Fondat n 1993 la Cluj Napoca, Romnia, Jolidon i-a ctigat poziia de lider incontestabil al pieei romneti de lenjerie i costume de baie, devenind i unul din juctorii importani ai pieei internaionale. Povestea succesului Jolidon poate prea desprins din filmele clasice americane: un ntreprinztor, Gabriel Crlig, identific pe piaa romneasc de dup `89 dou tipologii de produse necesare, dar puin prezente i anume lenjeria i costumele de baie. ncepe o mic afacere, alturi de cteva persoane dedicate i ambiioase. Atelierul iniial cu 3-4 maini de cusut minimum necesar pentru a lucra lenjerie, a devenit n 19 ani o fabric ale crei dimensiuni intimideaz orice productor de lenjerie din Europa. n 1994 produsele purtnd marca Jolidon erau vndute n peste 100 de magazine iar n 1996 numrul acestora s-a triplat, ajungndu-se ca n 2009 produsele Jolidon s fie gsite n peste 1400 de magazine, practic n toat ara. Anul 1998 marcheaz pentru firm Jolidon deschiderea primului magazin propriu n Timioara i a reprezentanei din Bucureti. n urmtorii zece ani a urmat construcia i dezvoltarea reelei de magazine proprii n principalele centre comerciale din marile orae ale rii sau n locaii bine alese din centrele civice. n prezent, Grupul Internaional Jolidon numr peste 2500 de angajai i un lan de 87 de magazine proprii, n principalele localiti i centre comerciale din Romnia. De asemenea, produsele sunt disponibile n toate marile lanuri de supermarketuri i hipermarketuri din ar. n fiecare an fabric peste 5.000.000 articole, iar n cei 19 ani de existen au creat peste 6.000 de modele, mai mult de 60 de ri. Designul, calitatea produselor, tehnologia i materialele utilizate, imaginea i modul de promovare a companiei i a brandurilor, au fcut ca Jolidon s fie, de-a lungul timpului, unicul participant din Romnia la cele mai prestigioase saloane i trguri internaionale de profil: SIL Paris, Lyon Mode City, Mode City Paris, Dusseldorf Lingerie, Intimare Bologna, Shanghai Mode Lingerie, Hong-Kong Mode Lingerie, Motexha Dubai, Curvexpo New York, Divat Napok Budapest. Ca urmare a tuturor acestor aciuni s-a dezvoltat un puternic departament de export care valorific produsele companiei doar sub brandurile proprii. Produsele JOLIDON sunt exportate n toat Europa Italia, Frana, Ungaria, Rusia, Germania, Elveia, Belgia, Slovenia, Croaia, Polonia, Letonia, Rusia, Austria, Cipru, Malta, dar i n SUA, Canada, sau Japonia ori Africa de Sud, Liban i Israel. Startul investiiilor n afara rii este marcat de nfiinarea Jolidon Hungary KFT la Budapesta n anul 2000, continu cu Jolidon Italia SRL deschis n 2001 la Milano i cu Jolidon France SARL cu sediul la Paris deschis n 2003. n 2009 se deschide Jolidon Polonia cu sediul la Lodz.
1

Preluare informaii de pe pagina http://www.jolidon.ro/companie/istoric/

oficial

companiei:

http://www.jolidon.ro/companie/cifre-cheie/

n 2004 Jolidon a fcut o investiie important prelund pachetul majoritar de aciuni al principalului concurent de pe piaa romneasc, ARGOS SA, o companie cu peste 60 de ani de tradiie n domeniul lenjeriei i al costumelor de baie i 800 de angajai. n 2006 Jolidon achiziioneaz LCS Conf SA, una dintre cele mai mari fabrici de confecii din Romnia cu un istoric de peste cinci decenii i un brand de renume: Flcra. n 2007 a fost achiziionat societatea Tricotaje Ineu SA, iar n 2008 Lilly Italia Spa n vederea creterii capacitii de producie a grupului. nceputul anului 2006 consacr Jolidon c unul din cele mai prestigioase nume n domeniul lenjeriei pe plan mondial, recunoaterea brandului romnesc venind chiar din patria lenjeriei, Frana. La Salonul Internaional de Lenjerie de la Paris Jolidon a obinut unul dintre cele trei premii de excelent puse n joc n cadrul evenimentului Ultralingerie. Ianuarie 2009 nseamn succes total al mrcii PRELUDE marca de lux din portofoliul grupului Jolidon prin ctigarea Marelui Premiu al Juriului i Premiului Publicului de specialitate la SIL 2009. Portofoliul de mrci pe care Grupul Jolidon le gestioneaz n acest moment nsumeaz: JOLIDON cu sub-brandurile Jolidon Fashion i Jolidon Clandestine, PRELUDE, ARGOS, LILLY, ECLIZIA, KELITHA iar pentru pret a porter FALLA. In ultimii ani, Grupul European Jolidon a devenit un nume de referin n economia romneasc. Remarcm decernarea n 15 noiembrie 2006 a trofeului internaional Superbrands. n septembrie 2008, n cadrul Galei Festive de la Milano, organizat de Network Dessous, cel cel mai mare grup de pres specializat n lenjerie i balnear la nivel mondial, Trofeul Lingerie&Beachwear pentru 2008 i-a fost acordat domnului Gabriel Crlig, fiind primul om de afaceri romn recompensat cu aceast distincie pentru business internaional.

Evenimente importante n evoluia sa:


1993-1994 Ptrunderea pe piaa romneasc, n mod special acoperirea Transilvaniei 1995-1998 Extinderea prezenei pe piaa autohton, obiectivul urmrit fiind statutul de lider Deschiderea reprezentanei din Bucureti 2000 Dobndirea poziiei de lider de pia Deschiderea primei reprezentane n strintate Jolidon KFT la Budapesta 2001 Deschiderea reprezentanei comerciale Jolidon Italia SRL la Milano 2003 Deschiderea reprezentanei comerciale Jolidon France Sarl la Paris 2004-2008 Preluarea Argos SA Dezvoltarea reelei de magazine proprii din ar 2005 Deschiderea reprezentanei secundare de la Lyon 2006 Ctigarea premiului de excelen Ultralingerie la SIL Paris Preluare LCS Conf SA Preluare Interdealer Capital Invest SA 2007 Preluare pachet majoritar Tricotaje Ineu SA 2008 Achiziionare Lilly Italia Spa Rebranding 2009 Deschidere reprezentan comercial Lilly Poland la Lodz Ctigarea premiilor Juriului i cel al Publicului la Ultralingerie SIL Paris 2009-2011 Schimbri model de business Focusare pe piee emergente (Rusia, Ucraina, Orientul Mijlociu, Asia de SE) 2012 Deschidere magazin online 4

II. Planul de gestiune al riscurilor operaionale.


Riscul operaional sau de operare reprezint riscul nregistrrii de pierderi sau nerealizrii profiturilor estimate, determinat de factori interni (derularea neadecvat a unor activiti interne datorat personalului sau unor sisteme necorespunztoare etc.) sau de factori externi (condiii economice, schimbri n mediul afacerilor, progrese tehnologice, etc.). n scopul identificrii i evalurii riscului operaional trebuie s se evalueze operaiunile i activitile n vederea determinrii celor vulnerabile, s se stabileasc anumii indicatori (frecvena i gravitatea erorilor, numrul tranzaciilor ntrziate) i s se realizeze evaluarea permanent a nivelului de expunere la aceste riscuri operaionale (analiza unor scenarii pe baza datelor istorice). Procedurile pentru administrarea riscului operaional sunt cele de evaluare, monitorizare i de reducere a riscului pe plan intern, fie prin transferul ctre alte domenii de activitate. Urmtoarele tipuri de evenimente pot genera riscuri operaionale: practici defectuoase legate de clieni, furnizori, produse i activiti: utilizarea n alt scop a informaiilor confideniale ale clienilor, vnzarea neautorizat a ideii unor produse, nerealizarea serviciului suport pentru magazinul online; ntreruperea activitii i funcionarea defectuoas a sistemelor: defeciuni ale echipamentelor n producia de textile sau a componentelor hardware i software n privina platformei online, virui informatici, ntreruperea alimentrii cu utiliti n special energie; frauda intern: furtul de documente, echipamente, materiale, falsificarea documentelor, ncheierea de ctre angajai de tranzacii n cont propriu; frauda extern: infraciuni de tipul jafurilor, tlhriilor, spargerea unor coduri aferente sistemelor informatice legate de baza de date sau de magazinul online.2 Riscul sistemic se refer la manifestarea unei crize generalizate datorit unei reacii n lan propagat cu rapiditate n ntregul sistem, din cauza interconexiunilor. Acesta afecteaz att productorii, ct i intermediarii. Se poate ca riscurile s fie datorate catastrofelor naturale sau anumitor aciuni criminale. De acest gen sunt cutremurele sau atentatele militare. Unul dintre riscurile operaionale importante l reprezint riscul atribuit sistemului informatic, care poate produce pierderi nsemnate. Datorit faptului c pe ntregul ciclu de producie i distribuie compania folosete tehnica informatic, riscurile acestui domeniu sunt deosebite, iar managementul riscului este deosebit de complex. Riscul informatic este generat de factorii care concep programele informatice, apoi de folosirea echipamentului informatic, de folosirea energiei electrice i a telecomunicaiilor. Personalul angajat este una din cele mai importante resurse ale oricrei companii. Riscul de personal presupune realizarea nclcrilor voite sau din eroare / necunoatere procedurilor, normelor sau legilor. Este, probabil, ceal mai important risc operaional i dificil de controlat. El se msoar empiric doar dup ce evenimentul s-a consumat i pagubele s-au produs. Riscul de fraud reprezint riscul de a suferi pierderi directe (profit) sau indirecte (imagine) ca urmare a unei fraude interne sau externe.
Jorion P. Financial Risk Manager Handbook, ediia a VI-a, cap. XXVI Operational Risk, Editura John Wiley & Sons, New Jersey, 2011
2

Riscul de conformitate reprezint riscul unor pierderi financiare sau al unor sanciuni de natur legal / reglementar ca urmare a neconformrii cu cerinele. Astfel se definesc condiiile de lucru pentru personalul din fabrica de textile sau obligativitatea de a nu folosi mrfuri de contraband, de exemplu. Riscul generat de procesele utilizate i de resursele materiale folosite se refer la anumite erori asupra proceselor care duc la distrugerea unei pri din produse sau la accidentri, iar n privina materiilor prime la producia de slab calitate sau a unor produse la care clienii se pot dovedi alergici. n practic n managementul unei afaceri este oportun combinarea metodelor de gestiune a riscurilor operaionale. Tabel nr. 1. Avantajele metodelor de control al riscului operaional.

Instrumentul de control
Controlul intern i auditul intern Sistemul de rapoarte pentru stabilirea problemelor poteniale Sistemul de limite la riscul operaional Formarea rezervelor Asigurarea

Avantajele utilizrii
Evaluarea independent Gestiunea riscului operaional Limitarea pierderilor posibile Posibilitatea compensrii potenialelor pierderi Trecerea riscurilor asupra unor teri

A. Lista riscurilor
[Boblc Ionu, Radu Rzvan, Niu Alexandru, Nancu Tiberiu, Vlad Alin] Tabel nr. 2. Lista riscurilor operaionale.

Sursa Riscului
Frauda interna

Riscul Specific
Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Nerealizarea sarcinilor de serviciu Furtul de documente 6

Cod atribuit
FI01 FI02 FI03 FI04 FI05 FI06 FI07

Furtul de echipamente Furtul de materii prime Furtul de produse Activitati neautorizate ale personalului

FI08 FI09 F10 F11

Accesarea externa neautorizata a informatiilor si sistemelor Transmiterea de informatii false privind Frauda externa identitatea Santaj Jaf Falsificare Vandalism

FE01 FE02 FE03 FE04 FE05 FE06

Absena personalului adecvat Pierderea personalului cheie Concedierea ilegala Discriminarea Angajatii si Siguranta locului de munca Hartuirea Compensatia angajatilor Siguranta si protectia angajatilor Intrare n grev Lipsa pregtirii corespunzatoare Nerespectarea legislatiei muncii

AS01 AS02 AS03 AS04 AS05 AS06 AS07 AS08 AS09 AS10

Intreruperea activitatii si functionarea neadecvata a sistemelor

Intreruperea utilitatilor Cderea reelelor de comunicatii Caderi de software Caderi de hardware Incompatibilitati cu sistemele existente Pierderea unor date din aplicaiile 7

T01 T02 T03 T04 T05 T06

informatice Erorile legate de transmiterea datelor n format electronic Defectarea echipamentelor tehnologice si a componentelor hardware Razboi Exproprieri T09 T10 T08 T07

Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Achizitii fara acoperire in numerar Clienti, produse si practici comerciale Informare eronata Nenelegerile contractuale Nesatisfacerea cerinelor clientilor Renunarea clienilor Politica antitrust Comert necorespunzator Produse defecte

CP01 CP02 CP03 CP04 CP05 CP06 CP07 CP08 CP09 CP10 CP11

Folosirea necorespunztoare a activelor corporale i stricarea acestora Distrugerea produselor Pagube asupra activele corporale Incendii Inundaii Terorism Dezastre civile Distrugeri de proprietate

PA01 PA02 PA03 PA04 PA05 PA06 PA07

Erori de contabilitate Rapoarte obligatorii eronate Executie, livrare si gestionarea proceselor Pierderi din neglijenta Manipularea de piata Documente completate incorect Clauze contractuale inadecvate Documente lipsa

M01 M02 M03 M04 M05 M06 M07

Modificarea prevederilor legale Aplicarea incorecta a prevederilor legale Juridic Amenzi Penalitati Sanctiuni

J01 J02 J03 J04 J05

B. Matricea riscurilor
[Radu Rzvan] Tabel nr. 3. Impactul riscurilor operaionale definit ca produsul dintre probabilitate i consecine. 12 Impact mare, probabilitate mic Impact mare, probabilitate mare

Impact

Impact mic, probabilitate mic

Impact mic, probabilitate mare

4 0% Probabilitate 100

Tabel nr. 4. Matricea riscurilor operaionale. 12


Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Instrainarea informatiilor interne ale companiei Accesarea externa neautorizata a informatiilor si sistemelor Santaj Jaf Intreruperea utilitatilor Cderea reelelor de comunicatii Caderi de software Caderi de hardware Incompatibilitati cu sistemele existente Pierderea unor date din aplicaiile informatice Defectarea echipamentelor tehnologice si a componentelor hardware Incendii Inundaii Terorism Dezastre civile Distrugeri de proprietate Modificarea prevederilor legale Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Absena personalului adecvat Pierderea personalului cheie Concedierea ilegala Hartuirea Erorile legate de transmiterea datelor n format electronic Exproprieri Erori de contabilitate Rapoarte obligatorii eronate Pierderi din neglijenta Documente completate incorect Clauze contractuale inadecvate Documente lipsa Nesatisfacerea cerinelor clientilor

Aplicarea incorecta a prevederilor legale Amenzi Penalitati Sanctiuni Discriminarea Razboi Intrare n grev Manipularea de piata ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Nerealizarea sarcinilor de serviciu Furtul de documente Furtul de echipamente Furtul de materii prime Furtul de produse Activitati neautorizate ale personalului Transmiterea de informatii false privind identitatea Falsificare Vandalism Folosirea necorespunztoare a activelor corporale i stricarea acestora Distrugerea produselor

Impact

Compensatia angajatilor Siguranta si protectia angajatilor Lipsa pregtirii corespunzatoare Nerespectarea legislatiei muncii Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Nenelegerile contractuale Renunarea clienilor Politica antitrust Comert necorespunzator Produse defecte

4 0% 11 Probabilitate 100

C. Harta de interconectare a riscurilor


[Radu Rzvan, Vlad Alin] Tabel nr. 5. Harta de interconectare a riscurilor operaionale. Riscul specific Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Legtura cu alte riscuri Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Nerealizarea sarcinilor de serviciu Furtul de documente Furtul de echipamente Furtul de materii prime Furtul de produse Santaj Falsificare Absena personalului adecvat Concedierea ilegala Discriminarea Hartuirea Lipsa pregtirii corespunzatoare Nerespectarea legislatiei muncii Pierderea unor date din aplicaiile informatice Erorile legate de transmiterea datelor n format electronic Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor

Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Nenelegerile contractuale Nesatisfacerea cerinelor clientilor Renunarea clienilor Comert necorespunzator Produse defecte Amenzi Penalitati Spalare de bani Sanctiuni Activitati ce pot avea efecte nedorite asupra reputatiei institutiei ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Furtul de documente Activitati neautorizate ale personalului Accesarea externa neautorizata a informatiilor si sistemelor Transmiterea de informatii false privind identitatea Falsificare ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Siguranta si protectia angajatilor Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Spalare de bani Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei 13

Nerealizarea sarcinilor de serviciu Furtul de documente Activitati neautorizate ale personalului Accesarea externa neautorizata a informatiilor si sistemelor Transmiterea de informatii false privind identitatea Falsificare Siguranta si protectia angajatilor Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Comert necorespunzator Erori de contabilitate Rapoarte obligatorii eronate Documente completate incorect Clauze contractuale inadecvate Documente lipsa Modificarea prevederilor legale Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Aplicarea incorecta a prevederilor legale Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Instrainarea informatiilor interne ale companiei Nerealizarea sarcinilor de serviciu Furtul de documente Activitati neautorizate ale personalului Accesarea externa neautorizata a informatiilor si sistemelor

14

Transmiterea de informatii false privind identitatea Jaf Falsificare Siguranta si protectia angajatilor Pierderea unor date din aplicaiile informatice Erorile legate de transmiterea datelor n format electronic Inregistrari gresite in contul clientilor Activitati ce pot avea efecte nedorite asupra reputatiei institutiei ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Furtul de documente Activitati neautorizate ale personalului Accesarea externa neautorizata a informatiilor si sistemelor Transmiterea de informatii false privind identitatea Siguranta si protectia angajatilor Pierderea unor date din aplicaiile informatice Erorile legate de transmiterea datelor n format electronic Pierderi din neglijenta Nerealizarea sarcinilor de serviciu Aplicarea incorecta a prevederilor legale Spalare de bani ntocmirea de situaii i rapoarte false, cu 15

Instrainarea informatiilor interne ale companiei

rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Furtul de documente Furtul de echipamente Furtul de materii prime Furtul de produse Activitati neautorizate ale personalului Accesarea externa neautorizata a informatiilor si sistemelor Transmiterea de informatii false privind identitatea Santaj Falsificare Concedierea ilegala Siguranta si protectia angajatilor Nerespectarea legislatiei muncii Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Nenelegerile contractuale Nesatisfacerea cerinelor clientilor Comert necorespunzator Erori de contabilitate Rapoarte obligatorii eronate Pierderi din neglijenta Documente completate incorect Documente lipsa 16

Furtul de documente

Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Nerealizarea sarcinilor de serviciu Activitati neautorizate ale personalului Accesarea externa neautorizata a informatiilor si sistemelor Santaj Falsificare Nerealizarea sarcinilor de serviciu Activitati neautorizate ale personalului Jaf Nerealizarea sarcinilor de serviciu Activitati neautorizate ale personalului Jaf Nerealizarea sarcinilor de serviciu Activitati neautorizate ale personalului Jaf Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Nerealizarea sarcinilor de serviciu Furtul de documente Furtul de echipamente Furtul de materii prime Furtul de produse Accesarea externa neautorizata a informatiilor si sistemelor Transmiterea de informatii false privind

Furtul de echipamente

Furtul de materii prime

Furtul de produse

Activitati neautorizate ale personalului

17

identitatea Santaj Jaf Falsificare Vandalism Discriminarea Hartuirea Nerespectarea legislatiei muncii Pierderea unor date din aplicaiile informatice Erorile legate de transmiterea datelor n format electronic Defectarea echipamentelor tehnologice si a componentelor hardware Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Nesatisfacerea cerinelor clientilor Renunarea clienilor Comert necorespunzator Folosirea necorespunztoare a activelor corporale i stricarea acestora Distrugerea produselor Incendii Distrugeri de proprietate Pierderi din neglijenta Documente completate incorect Accesarea externa neautorizata a Documente lipsa Instrainarea informatiilor interne ale 18

informatiilor si sistemelor

companiei Furtul de documente Jaf Siguranta si protectia angajatilor Cderea reelelor de comunicatii Caderi de software Caderi de hardware Pierderea unor date din aplicaiile informatice Defectarea echipamentelor tehnologice si a componentelor hardware Activitati ce pot avea efecte nedorite asupra reputatiei institutiei ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Nerealizarea sarcinilor de serviciu Falsificare Erorile legate de transmiterea datelor n format electronic Inregistrari gresite in contul clientilor

Transmiterea de informatii false privind identitatea

Santaj

Informare eronata Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Nerealizarea sarcinilor de serviciu Furtul de documente Activitati neautorizate ale personalului Siguranta si protectia angajatilor Erori de contabilitate

19

Rapoarte obligatorii eronate Manipularea de piata Documente completate incorect Clauze contractuale inadecvate Jaf Documente lipsa Furtul de documente Furtul de echipamente Furtul de materii prime Furtul de produse Activitati neautorizate ale personalului Siguranta si protectia angajatilor Falsificare Terorism Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Instrainarea informatiilor interne ale companiei Nerealizarea sarcinilor de serviciu Furtul de documente Activitati neautorizate ale personalului Accesarea externa neautorizata a informatiilor si sistemelor Transmiterea de informatii false privind identitatea Siguranta si protectia angajatilor Nerespectarea legislatiei muncii Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Erori de contabilitate Rapoarte obligatorii eronate Vandalism Documente completate incorect Activitati neautorizate ale personalului 20

Jaf Siguranta si protectia angajatilor Razboi Distrugerea produselor Incendii Terorism Dezastre civile Absena personalului adecvat Distrugeri de proprietate ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Nerealizarea sarcinilor de serviciu Furtul de documente Furtul de echipamente Furtul de materii prime Furtul de produse Activitati neautorizate ale personalului Transmiterea de informatii false privind identitatea Santaj Jaf Falsificare Vandalism Pierderea personalului cheie Hartuirea Siguranta si protectia angajatilor Lipsa pregtirii corespunzatoare Nerespectarea legislatiei muncii Intreruperea utilitatilor Pierderea unor date din aplicaiile

21

informatice Erorile legate de transmiterea datelor n format electronic Defectarea echipamentelor tehnologice si a componentelor hardware Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Nesatisfacerea cerinelor clientilor Renunarea clienilor Comert necorespunzator Folosirea necorespunztoare a activelor corporale i stricarea acestora Distrugerea produselor Incendii Distrugeri de proprietate Pierderi din neglijenta Documente completate incorect Pierderea personalului cheie Documente lipsa Nerealizarea sarcinilor de serviciu Absena personalului adecvat Lipsa pregtirii corespunzatoare Nerespectarea legislatiei muncii Intreruperea utilitatilor Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor

22

Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Nenelegerile contractuale Nesatisfacerea cerinelor clientilor Renunarea clienilor Rapoarte obligatorii eronate Documente completate incorect Concedierea ilegala Documente lipsa Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Pierderea personalului cheie Discriminarea Hartuirea Discriminarea Nerespectarea legislatiei muncii Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Pierderea personalului cheie Concedierea ilegala Hartuirea Compensatia angajatilor Siguranta si protectia angajatilor Hartuirea Intrare n grev Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Pierderea personalului cheie Concedierea ilegala Discriminarea Compensatia angajatilor Siguranta si protectia angajatilor Compensatia angajatilor Intrare n grev Discriminarea

23

Siguranta si protectia angajatilor Intrare n grev Siguranta si protectia angajatilor Nerespectarea legislatiei muncii Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Compensatia angajatilor Intrare n grev Intrare n grev Nerespectarea legislatiei muncii Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Concedierea ilegala Discriminarea Hartuirea Compensatia angajatilor Siguranta si protectia angajatilor Nerespectarea legislatiei muncii Clauze contractuale inadecvate Lipsa pregtirii corespunzatoare Aplicarea incorecta a prevederilor legale Nerealizarea sarcinilor de serviciu Furtul de documente Furtul de echipamente Furtul de materii prime Furtul de produse Activitati neautorizate ale personalului Santaj Jaf Falsificare Vandalism Absena personalului adecvat Pierderea personalului cheie Compensatia angajatilor Siguranta si protectia angajatilor

24

Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Nesatisfacerea cerinelor clientilor Renunarea clienilor Comert necorespunzator Folosirea necorespunztoare a activelor corporale i stricarea acestora Distrugerea produselor Incendii Distrugeri de proprietate Erori de contabilitate Rapoarte obligatorii eronate Pierderi din neglijenta Documente completate incorect Nerespectarea legislatiei muncii Documente lipsa Activitati ce pot avea efecte nedorite asupra reputatiei institutiei ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Transmiterea de informatii false privind identitatea Concedierea ilegala Discriminarea Hartuirea

25

Compensatia angajatilor Intreruperea utilitatilor Cderea reelelor de comunicatii Intrare n grev Comert necorespunzator Defectarea echipamentelor tehnologice si a componentelor hardware Caderi de software Comert necorespunzator Pierderea unor date din aplicaiile informatice Caderi de hardware Comert necorespunzator Defectarea echipamentelor tehnologice si a componentelor hardware Incompatibilitati cu sistemele existente Comert necorespunzator Nerealizarea sarcinilor de serviciu Pierderea unor date din aplicaiile informatice Erorile legate de transmiterea datelor n Pierderea unor date din aplicaiile informatice format electronic Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Nerealizarea sarcinilor de serviciu Activitati neautorizate ale personalului Accesarea externa neautorizata a informatiilor si sistemelor Absena personalului adecvat Lipsa pregtirii corespunzatoare Caderi de software Incompatibilitati cu sistemele existente Erorile legate de transmiterea datelor n format electronic

26

Defectarea echipamentelor tehnologice si Erorile legate de transmiterea datelor n format electronic a componentelor hardware Nerealizarea sarcinilor de serviciu Absena personalului adecvat Pierderea personalului cheie Lipsa pregtirii corespunzatoare Cderea reelelor de comunicatii Caderi de software Caderi de hardware Incompatibilitati cu sistemele existente Pierderea unor date din aplicaiile informatice Defectarea echipamentelor tehnologice si Defectarea echipamentelor tehnologice si a componentelor hardware a componentelor hardware Vandalism Absena personalului adecvat Pierderea personalului cheie Lipsa pregtirii corespunzatoare Razboi Caderi de hardware Furtul de documente Furtul de echipamente Furtul de materii prime Furtul de produse Jaf Vandalism Incendii Inundaii Terorism Dezastre civile Exproprieri Distrugeri de proprietate Dezastre civile Manipularea de piata

27

Modificarea prevederilor legale Nerealizarea sarcinilor de serviciu Absena personalului adecvat Cderea reelelor de comunicatii Caderi de software Caderi de hardware Incompatibilitati cu sistemele existente Pierderea unor date din aplicaiile informatice Prelucrarea gresita a comenzilor si ordinelor Erorile legate de transmiterea datelor n format electronic Defectarea echipamentelor tehnologice si a componentelor hardware Plati gresite catre distribuitori Informare eronata Nenelegerile contractuale Documente completate incorect Documente lipsa Absena personalului adecvat Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Pierderea personalului cheie Lipsa pregtirii corespunzatoare Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Absena personalului adecvat Pierderea personalului cheie Lipsa pregtirii corespunzatoare Erorile legate de transmiterea datelor n

28

format electronic Prelucrarea gresita a comenzilor si ordinelor Nenelegerile contractuale Documente completate incorect Documente lipsa Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Achizitii fara acoperire in numerar Absena personalului adecvat Pierderea personalului cheie Lipsa pregtirii corespunzatoare Comert necorespunzator Pierderi din neglijenta ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Absena personalului adecvat Pierderea personalului cheie Lipsa pregtirii corespunzatoare Informare eronata Nenelegerile contractuale Nesatisfacerea cerinelor clientilor Renunarea clienilor Erori de contabilitate Rapoarte obligatorii eronate Documente completate incorect Nerespectarea legislatiei muncii Informare eronata Nenelegerile contractuale Comert necorespunzator Documente completate incorect Clauze contractuale inadecvate Aplicarea incorecta a prevederilor legale

29

Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Nerealizarea sarcinilor de serviciu Activitati neautorizate ale personalului Absena personalului adecvat Discriminarea Hartuirea Nesatisfacerea cerinelor clientilor Lipsa pregtirii corespunzatoare Prelucrarea gresita a comenzilor si ordinelor Inregistrari gresite in contul clientilor Informare eronata Renunarea clienilor Comert necorespunzator Produse defecte Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Nerealizarea sarcinilor de serviciu Absena personalului adecvat Renunarea clienilor Discriminarea Hartuirea Informare eronata Nesatisfacerea cerinelor clientilor Produse defecte Absena personalului adecvat Folosirea necorespunztoare a activelor corporale i stricarea acestora Lipsa pregtirii corespunzatoare Distrugerea produselor Distrugeri de proprietate Nerespectarea legislatiei muncii Manipularea de piata Activitati ce pot avea efecte nedorite asupra reputatiei institutiei

Politica antitrust Comert necorespunzator

30

Lipsa pregtirii corespunzatoare Nerespectarea legislatiei muncii Prelucrarea gresita a comenzilor si ordinelor Plati gresite catre distribuitori Informare eronata Politica antitrust Manipularea de piata Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Absena personalului adecvat Lipsa pregtirii corespunzatoare Distrugerea produselor Nesatisfacerea cerinelor clientilor Produse defecte Distrugeri de proprietate Pierderi din neglijenta Distrugerea produselor Incendii Incendii Terorism Dezastre civile Distrugeri de proprietate Distrugerea produselor Inundaii Inundaii Dezastre civile Distrugeri de proprietate Razboi Distrugerea produselor Terorism Incendii Dezastre civile Distrugeri de proprietate Terorism Distrugeri de proprietate Vandalism

Produse defecte

Dezastre civile Distrugeri de proprietate

31

Razboi Distrugerea produselor Incendii Inundaii Terorism Dezastre civile ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Falsificare Absena personalului adecvat Pierderea personalului cheie Erori de contabilitate Inregistrari gresite in contul clientilor Plati gresite catre distribuitori Achizitii fara acoperire in numerar Informare eronata Documente completate incorect Documente lipsa ntocmirea de situaii i rapoarte false, cu Rapoarte obligatorii eronate rea credin, n intenia de a frauda Falsificare Absena personalului adecvat Absena personalului adecvat Lipsa pregtirii corespunzatoare Pierderi din neglijenta Achizitii fara acoperire in numerar Folosirea necorespunztoare a activelor corporale i stricarea acestora Manipularea de piata Documente completate incorect Exproprieri Prelucrarea gresita a comenzilor si ordinelor Plati gresite catre distribuitori Modificarea prevederilor legale

32

Aplicarea incorecta a prevederilor legale Activitati ce pot avea efecte nedorite asupra reputatiei institutiei ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Documente completate incorect Absena personalului adecvat Nenelegerile contractuale Erori de contabilitate Rapoarte obligatorii eronate Clauze contractuale inadecvate Clauze contractuale inadecvate Nenelegerile contractuale ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Absena personalului adecvat Pierderi din neglijenta Exproprieri Modificarea prevederilor legale Manipularea de piata Aplicarea incorecta a prevederilor legale ntocmirea de situaii i rapoarte false, cu Aplicarea incorecta a prevederilor legale rea credin, n intenia de a frauda Manipularea de piata Modificarea prevederilor legale Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Furtul de materii prime Furtul de produse Activitati neautorizate ale personalului Jaf Vandalism Discriminarea Hartuirea Nerespectarea legislatiei muncii Distrugerea produselor

Documente lipsa

Amenzi

33

Distrugeri de proprietate Pierderi din neglijenta Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Spalare de bani ntocmirea de situaii i rapoarte false, cu rea credin, n intenia de a frauda Utilizarea cu rea credinta a informaiilor confideniale ale clienilor Instrainarea informatiilor interne ale companiei Furtul de documente Furtul de echipamente Penalitati Transmiterea de informatii false privind identitatea Santaj Jaf Falsificare Vandalism Concedierea ilegala Discriminarea Hartuirea Erori de contabilitate Rapoarte obligatorii eronate Pierderi din neglijenta Sanctiuni Documente completate incorect Activitati ce pot avea efecte nedorite asupra reputatiei institutiei Manipularea de piata Clauze contractuale inadecvate Documente lipsa Modificarea prevederilor legale

34

Aplicarea incorecta a prevederilor legale

D. Balanced Scorecard
[Niu Alexandru]

Viziune - Strategie3
Jolidon reprezint starul de pe scena lenjeriei intime din Romnia i unul din actorii importani pe cea european. Vor s devin reprezentantul cel mai de seam al lenjeriei europene pe scena mondial. Se declar brand global, dar pstreaz totodat motenirea european a lenjeriei, esena mrcilor Jolidon. Drumul parcurs pentru a deveni simbolul lenjeriei europene pe plan global va implica un design original i recognoscibil, o calitate ireproabil, o execuie impecabil, cele mai profesioniste strategii de marketing i o publicitate creativ. Grafic nr. 1. Harta strategic.

creterea valorii de pia a companiei creterea veniturilor globale optimizarea costurilor factorilor de producie

mbuntirea imaginii brandului

creterea cotei globale de pia

mbuntirea performanelor marketingului

mbuntirea calitii produselor

creterea eficientizarea proceselor din producie economiilor de scal

creterea utilizrii noilor tehnologii n


3

perfecionarea personalului

http://www.jolidon.ro/companie/filosofie/

producie

35

Tabel nr. 6. Balanced Scorecard.

Obiective strategice
Financiar creterea valorii de pia a companiei optimizarea costurilor factorilor de producie creterea veniturilor globale Clieni creterea cotei globale de pia mbuntirea imaginii brandului

Msurarea performanelor
valoarea de pia a companiei valoarea costurilor factorilor de producie veniturilor globale

Iniiative
fuziunea cu o companie concurent, sau de pe o pia emergent achiziia unei companii concurente, sau de pe o pia emergent dezvoltarea unor noi mrci de

cota global de pia indicatorii imaginii de brand

produse consolidarea imediat a poziiei de pe pieele emergente

Procese interne
creterea economiilor de scal mbuntirea calitii produselor eficientizarea proceselor din producie mbuntirea performanelor marketingului

scderea costurilor unitare pentru produse standarde de calitate a produselor nivelul de automatizare din cadrul fabricii scorul auditului departamentului de marketing indicele de productivitate al factorilor de producie analizai pe respectivele categorii de produse indicele individual de productivitate

fabricarea unor noi produse de calitate automatizarea unor procese care implic o utilizare sporit a factorului de producie munc o campanie de marketing de anvergur

Cretere i dezvoltare
creterea utilizrii noilor tehnologii n producie perfecionarea personalului

adoptarea unor noi tehnologii n producie efectuarea unor stagii de pregtire i perfecionare a personalului

36

E. Analiza a 5 scenarii pentru un risc


[Boblc Ionu] Deoarece compania Jolidon si-a propus sa satisfaca si cele mai exigente cerinte ale clientilor sai, ne-am propus sa luam in considerare, pentru analiza scenariilor, riscul de nesatisfacere a cerintelor clientilor. Nesatisfacerea cerintelor clientilor este un risc cu impact puternic pe care compania trebuie sa-l ia in considerare in construirea planului de gestiune a riscurilor operationale. Acest risc prezinta o probabilitate mica de aparitie insa impactul pe care il poate avea asupra afacerii poate fi unul semnificativ. Acest risc se poate produce datorita unor factori (forte) ce tin de: - gestionarea inadecvata a informatiiilor despre clienti; - un serviciu clienti slab; - aprecierea gresita a capabilitatilor de productie; - cresterea pretului nejustificata; - aparitia altor situatii neprevazute ce pot intrerupe si afecta productia sau calitatea produselor de consum; - adoptare unei strategii de marketing gresite si luarea unor decizii strategice neadecvate; - schimbarea neanticipata a preferintelor de consum; - neatentia asupra posibilitatilor si capabilitatilor concurentilor si a potentialului produselor acestora; - avantajul tehnologic. Pentru gestionarea acestui tip de risc ne-am propus sa construim 5 scenarii cu ajutorul carora sa putem prevenii, diminua sau chiar elimina efectele ce pot sa apara datorita ignorarii sau gestionarii incorecte a acestuia. Scenariul 1. Preferintele viitoare ale clientiilor se vor manifesta si vor fi diferite fata de cele din prezent. Cunoasterea preferintelor clientiilor este importanta pentru orice afacere pentru a putea ajusta productia in asa fel incat sa intruneasca si sa satisfaca nevoile clientiilor sai. Abordarile decizionale si strategice sunt cruciale in conditiile in care clientii se vor reorienta din punct de vedere preferential si daca nu se va lua in calcul concurenta si inovatia, riscul de nesatisfacere a cerintelor clientilor poate sa afecteze grav activitatea si veniturile viitoare ale firmei. Un exemplu al acestui scenariu il reprezinta compania Nokia care a fost depasita de rivalii Apple si Samsung, si astfel pierzand mare parte din clienti si colaboratori. Scenariul 2. Sa presupunem ca peste 10 ani compania Jolidon inca va avea un renume puternic insa vanzarile incep sa scada si cumparatorii se arata nemultumiti de calitatea produselor, iar cantitativ compania nu mai poate sa faca fata cererii. Mergand si mai mult in viitor va incepe sa scada si reputatia companiei astfel incat va ramane doar o amintire a numelui acesteia. Acest lucru se datoreaza linei tehnologice invechite ce nu a tinut pasii cu tehnologia moderna de productie si planificarii productiei care a pus accent pe atragerea unor venituri ridicate si mentinerea cheltuielilor cat mai mici posibile. Netinand seama de importanta si benefiiciile aduse de avantajul tehnologic, deciziile strategice pe care s-a axat conducerea companiei vor conduce incet catre colaps.

37

Scenariul 3. Pentru o firma precum Jolidon, care opereaza atat pe piata articolelor de lenjerie intima cat si in mediul online pentru a-si comercializa produsele, este necesara o gestionare optima si o administrare strategica bine detaliata si urmarita in timp. Daca nu se va tine cont de aceste lucruri, compania is va pierde reputatia si clientii datorita unor serii de esecuri consecutive. Nesatisfacerea cerintelor consumatorilor se va materializa prin incapacitatea companiei de a-si multumii toti cumparatorii si de a onora toate comenzile, datorita aprecierii si calculelor gresite ale managementului asupra capabilitatilor de productie. Din acest punct de vederea ar trebui urmarite, retehnologizarea sau imbunatatirea si cresterea tehnologica, precum si incheierea unor contracte cu furnizori seriosi care care sa puna la dispozitie cantitatea necesara de materii prime in timp util. [Vlad Alin] Scenariul 4. Presupunem ca Jolidon ar dori sa intre pe o piata cu produse mai exclusiviste, de o calitate superioara pentru a atrage si clienti cu putere de cumparare mai mare. O alegere neinspirata a furnizorilor ar putea duce la pierderea clientilor. Produsele ar fi mai scumpe insa calitatea lor nu va justifica pretul. Astfel ei nu doar ca ar pierde potentiali clienti, ci ar suferi si la capitolul imagine, de asemenea clientii celorlalte produse ar incepe sa se indoiasca de calitatea lor si ar putea scadea vanzarile. Pentru a evita o astfel de situatie compania ar trebui sa analizeze mai intai piata daca i-ar permite sa realizeze o astfel de miscare si sa ia o decizie avand in vedere intreaga companie, nu doar un segment al pietei. O hotarare de acest gen i-ar fi de ajutor pe termen lung. Scenariul 5. Presupunem ca organizatia primeste zilnic sute de mesaje din partea clientilor, in care i se cere sa deschida o zona pe site unde cumparatorii sa-si poata customiza produsul pe care urmeaza sa-l achizitioneze. Daca ar accepta sa faca asta, compania ar trebui sa aiba in permananta in stoc materii prime pentru fiecare model si sa programeze masina pentru fiecare tip de comanda in parte. Costurile ar fi mult prea mari si s-ar piedre mult prea mult timp. Pentru acest scenariu este posibil ca firma sa nu poata sa-si satisfaca clientii, pentru acest lucru fiind nevoie de o investitie mult prea mare in procesul tehnologic si in dezvoltarea unui program de software pentru customizarea produselor. Fiind o parte redusa din numarul total de client nu ar fi o pierdere prea mare faptul ca nu i-ar putea satisfice din acest punct de vedere, ei putand in continuare sa aleaga dintr-o gama extreme de variata de produse.

F. Business Continuity Plan


[Nancu Tiberiu]

Continuarea activitii i refacerea dup dezastre


1.1. Continuarea activitii. Planificarea refacerii dup dezastre Activitatea oricrei organizaii este expus unei multitudini de riscuri care pot produce afectri ale activitii, pierderi materiale, financiare, umane sau pot afecta imaginea acesteia. n aceste condiii este esenial ca managementul s stabileasc ca

38

obiectiv strategic crearea unei culturi organizaionale menite s permit identificarea i managementul riscurilor care se pot produce. Astfel de riscuri sunt reprezentate de: Imposibilitatea de a asigura servicii critice destinate clienilor; Afectri ale cotei de pia, imaginii, reputaiei sau brandului; Eecul n protejarea activelor, inclusiv activele de natura proprietii intelectuale sau personalul; Eecul controlului afacerii; Imposibilitatea asigurrii conformitii n raport cu legislaia i cadrul de reglementare.

Scopul procesului de continuare a activitii/refacerii dup dezastre (business continuity/desaster recovery) este s permit organizaiei s-i deruleze afacerea oferind serviciile critice n cazul producerii unor evenimente distructive i s poat face fa unei ntreruperi a sistemului su informaional. Pentru astfel de evenimente este necesar s se elaboreze planuri de reluare a activitii i s se asigure resursele necesare. Planificarea continurii activitii (Business Continuity Planing BCP) reprezint procesul proiectat pentru reducerea riscurilor activitii organizaiei aprute ca urmare a ntreruperii neateptate a funciilor/operaiilor critice, manuale sau automate, necesare pentru supravieuirea organizaiei. Sunt cuprinse resursele materiale i umane necesare n vederea asigurrii unui nivel minim pentru operaiile critice. Planul de Continuare a activitii este urmarea contientizrii impactului producerii unor evenimente de tipul dezastre naturale, defeciuni tehnologice, erori umane sau terorism, a nelegerii necesitii de a fi pregtit pentru astfel de evenimente obiectivele urmrite fiind reprezentate de minimizarea pierderilor financiare, continuarea activitii curente pentru asigurarea serviciilor solicitate de clieni, limitarea distrugerilor, a afectrii reputaiei, lichiditii, poziiei n pia i asigurarea conformitii cu legile i regulamentele n domeniu. BCP este un proces complex desfurat n mai multe etape. Prima dintre acestea, i extrem de important prin ieirile pe care le ofer, este reprezentat de evaluarea riscurilor. Aceast etap are rolul de a identifica cele mai importante procese care susin activitatea organizaiei. BCP se va construi plecndu-se de la aceste procese critice asigurnd continuarea operaiilor n cazul producerii evenimentelor distructive. BCP intr n sfera de responsabilitate a senior managementului nsrcinat cu asigurarea proteciei activelor i a viabilitii organizaiei. Senior managementul este rspunztor de managementul riscurilor la nivelul organizaiei i de aceea aprobarea i monitorizarea modului de implementare a BCP reprezint una dintre responsabilitile sale. Implicarea top managementului n elaborarea planului este esenial prin natura soluiilor adoptate, prin resursele disponibilizate n acest sens i nu n ultimul rnd prin mutaiile produse chiar n cultura organizaional.

39

BCP trebuie s priveasc toate funciile i activele organizaiei. Fiecare entitate organizaional trebuie s asigure un nivel minim de funcionalitate imediat ce se produce ntrerupera activitii din cauza unui eveniment distructiv. BCP include proceduri de refacere n urma dezastrelor (disaster recovery procedures DRP) i planul de continuitate al operaiilor. Dac DRP este planul destinat relurii activitilor operaionale la nivelul entitilor organizaionale, n cazul sistemelor informaionale DRP cuprinde procedurile necesare refacerii proceselor IT. Planul de refacere pentru sistemele informaionale trebuie perceput ca parte dar i suport al ntregului plan de continuare a activitii. BCP ia n considerare operaiunile cheie cele mai importante pentru supravieuirea organizaiei precum i resursele materiale i umane care s le susin. BCP cuprinde: - DRP (Disaster Reocovery Plan) necesar n refacrea facilitilor devenite neoperabile, incluznd relocarea operaiilor ntr-o nou locaie; - Planul operaiunilor (Operaions Plan) necesar entitilor organizaionale n efortul de refacere; - Planul de restaurare (Restoration Plan) necesar relurii operaiilor ntr-o locaie refcut sau una nou. Partea de operaiuni a BCP trebuie s priveasc toate funciile i activele necesare. Soluia unor faciliti alternative este o ultim decizie determinat de costurile implicate. Aa cum artam, primul pas n realizarea BCP este reprezentat de analiza riscurilor. Pentru aceasta este necesar identificarea ameninrilor asupra activelor. n cazul DRP activele sunt reprezentate de componentele sistemului informaional. Riscul este direct proporional cu valoarea activului i probabilitatea apariiei ameninrii. Clasificarea aplicaiilor informatice depinde de natura business-ului i importana aplicaiei pentru business. n egal msur, valoarea este dat i de importana aplicaiei n raport cu strategia organizaiei. Componentele sistemului infortaional sunt adecvate aplicaiilor (valoarea calculatoarelor i a reelei sunt determinate de importana aplicaiei care le folosete). Scopul BCP este de a identifica ce trebuie s se ntmple la nivelul afacerii atunci cnd se produce un dezastru. De aceea o component a BCP este planul IT de refacere n urma unui dezastru (IT Disaster Recovery Plan). Acesta detaliaz procedurile ce urmeaz a fi executate de specialitii IT n scopul refacerii sistemului informaional. DRP poate fi inclus n BCP sau poate constitui un document distinct n funcie de nevoile organizaiei. Este necesar s subliniem faptul c nu toate sistemele trebuie s prezinte o strategie de refacere. n baza rezultatelor analizei riscurilor, managementul poate considera c din punct de vedere al eficienei economice (raportul cost-beneficiu) anumite aplicaii nu trebuie refcute n cazul producerii unui dezastru. Concluzionnd, conceptul de planificarea a continuitii activitii nseamn o combinaie ntre planificarea refacerii n caz de dezastre i continuitatea operaiunilor 40

activitii. n funcie de complexitatea activitii, pot fi elaborate unul sau mai multe planuri acoperind diferitele aspecte ale continurii activitii i refacerii, dar fiecare dintre acestea trebuie s fie coroborat cu celelalte planuri pentru a se asigura o strategie BCP viabil. 1.2. Continuitatea sistemelor informaionale. Planificarea refacerii n urma dezastrelor Continuitatea sistemelor informaionale. Planificarea refacerii n urma dezastrelor (IS Business Continuity/Disaster Recovery Planning) reprezint o component important a BCP i strategiei de reafacere n caz de dezastru. Procesarea prin mijloace IT este de importan strategic deoarece aproape toate procesele afacerii utilizeaz resursele IT. n aceste condiii devine necesar existena unei faciliti pentru procesarea informatic pregtit a fi operaional n momentul producerii unui dezastru. Dac este realizat ca plan de sine stttor, planul SI trebuie s fie n conformitate cu BCP. 1.2.1. Dezastre i alte evenimente distructive Dezastrele determin inoperativitatea resurselor informaionale afectate pentru o perioad de timp fiind astfel afectat desfurarea normal a activitii. ntreruperea poate s dureze de la cteva ore la cteva zile n funcie de amploarea distrugerilor care au afectat resursele informaionale. Acest fapt determin eforturi de refacere a statusului operaional. Un dezastru poate fi produs de calamiti naturale cum ar fi cutremure, inundaii, tornade, furtuni puternice, incendii etc. care produc distrugeri extinse facilitii de procesare i localitii n care aceasta se afl. Alte dezastre pot s apar cnd servicii vitale cum ar fi furnizarea de energie electric i/sau gaz, telecomunicaiile sau alte servicii nu mai pot fi asigurate de furnizori. Tot n categoria dezastrelor includem atacurile teroriste, atacurile hacker-ilor, viruii i erorile umane. Este bine s precizm faptul c nu toate ntreruperile n asigurarea serviciilor critice pot fi considerate ca dezastre. Este cazul funcionrii defectuase a sistemelor, deteriorarea accidental a fiierelor, cderea reelei etc. Acestea reprezint evenimente cu risc nalt dar chiar dac necesit refacerea componentelor hardware, a fiierelor sau a software-ului nu se vor regsi n BCP. Un bun BCP va lua n considerare toate tipurile de evenimente avnd impact critic asupra facilitilor de procesare automat i activitatea curent a utilizatorilor finali. n cazul scenariilor celor mai grave vor trebui stabilite strategii pe termen scurt i lung. n cazul strategiilor pe termen scurt se poate opta pentru faciliti de procesare alternativ pentru acoperirea nevoilor operaionale imediate. Pe termen lung se impune o nou facilitate permanent echipat astfel nct s asigure continuitatea proceselor normale ale SI. Zvonurile referitoare la producerea unor incidente serioase pot avea sau nu surse interne, pot avea sau nu corespondent n realitate, dar consecinele lor pot fi devastatoare, putnd s determine chiar pierderea ncrederii clienilor i a partenerilor de afacere n organizaie i scderea valorii de pia a acesteia. De aceea activitile de 41

PR (public relations) pot s joace un rol important n protejarea imaginii organizaiei i asigurarea faptului c nu se va ajunge la acutizarea crizei. Pentru aceasta este necesar respectarea cerinelor de bun practic n cazul incidentelor majore. Declaraiile publice vor trebui s previn/restrng impactul negativ asupra opiniei publice i impactul financiar al zvonurilor. 1.2.2. Procesul BCP Procesul BCP se desfoar n urmtoarele faze ale ciclului de via: 1. 2. 3. 4. 5. 6. 7. Crearea unei politici privind continuitatea activitii i refacerea dup dezastru; Analiza impactului asupra activitii (Business Impact Analysis BIA); Clasificara operaiilor i analiza critic; Elaborarea BCP i a procedurilor de refacere (DRP); Instruirea cu privire la BCP i contientizarea importanei lui; Testarea i implementara planului; Monitorizarea.

Politica de continuitate a activitii i de refacere n caz de dezastru trebuie s fie proactiv i s nglobeze controale preventive, detective i corective. BCP este cel mai critic control corectiv i este dependent de alte controale, n particular managementul incidentelor i backup-ul. De aceea este necesar ca grupul pentru managementul incidentelor s prezinte o componen adecvat, pregtit n managementul de criz iar BCP s fie corect proiectat, documentat, testat, fundamentat i auditat. Managementul incidentelor BCP Literatura de specialitate evideniaz necesitatea ca managementul s neleag caracteristicile asociate unei crize. Aceste caracteristici sunt reprezentate de: elementul surpriz lipsa unor informaii pierderea (n mai mare sau mai mic msur) a controlului escaladarea cursului evenimentelor panic etc.

Spre deosebire de criz, un incident este un eveniment neateptat, care nu cauzeaz pagube importante. Incidentele i crizele au o natur dinamic. Ele evolueaz n timp i datorit circumstaelor noi aprure, sunt adesea rapide i neprevzute. De aceea managementul lor trebuie s fie dinamic, proactiv i bine documentat. n funcie de rezultatul estimrii nivelului consecinelor distrugerii asupra activitii, toate incidentele trebuie clasificate. Clasificarea incidentelor poate include urmtoarele categorii: Neglijabil: incident care nu produce distrugeri semnificative sau distrugerile sunt neperceptibile (cderi ale sistemului de operare urmate de recuperarea

42

complet a informaiilor, cderi ale sursei de energie suplinite de UPSuri). Minor: sunt evenimente care dei nu sunt neglijabile nu produc un impact material sau financiar negativ. Major: incidente care produc impact material negativ asupra proceselor afacerii i pot afecta alte sisteme, departamente sau chiar parteneri de afaceri (clienii). Criz: este un incident major care poate avea un impact material serios asupra continuitii afacerii i poate afecta negativ alte sisteme i teri. Severitatea incidentului este direct proporional cu intervalul scurs ntre nceputul incidentului i momentul refacerii n urma impactului produs.

Incidentele minore, majore i crizele trebuie documentate, clasificate i urmrit soluionarea lor. Acesta este un proces dinamic, deoarece un incident major poate s descreasc n intensitate pentru ca mai trziu s se extind i s produc o criz. Incidentele neglijabile pot fi analizate statistic cu scopul identificrii unor cauze sistemice sau evitabile. Ofierul de securitate sau orice alt persoan desemnat trebuie s notifice toate incidentele de ndat ce un eveniment se produce urmnd un protocol prestabilit. n conformitate cu aceast procedur va fi contactat purttorul de cuvnt, va fi informat managementul sau vor fi anunate organizaiile de reglementare implicate. Analiza impactului asupra activitii (Business Impact Analysis) BIA reprezint un pas important n elaborarea BCP. Aceast etap are ca scop identificarea evenimentelor care pot s apar afectnd continuitatea operaional a organizaiei, genernd un impact negativ asupra situaiei financiare, resurselor umane i reputaiei organizaiei. Desfurarea acestei faze presupune o bun cunoatere a organizaiei, a proceselor cheie i a resurselor IT necesare susinerii acestor procese. De aceea este necesar identificarea aplicaiilor i datelor critice, reelelor, sistemelor software, facilitilor proces realizat cu aprobarea managementului. n desfurarea BIA se pot utiliza mai multe abordri: Utilizarea de chestionare: presupune utilizarea de chestionare detaliate destinate utilizatorilor IT cheie i utilizatorilor finali. Derularea de interviuri la nivelul grupurilor de utilizatori cheie. Discuii cu utilizatorilor finali i responsabili IT cu scopul estimrii impactului posibil ca urmare a producerii unor ntreruperi de amploare diferit.

Realizarea BIA presupune soluionarea a trei probleme majore: 1. Identificarea proceselor critice pentru organizaie. 2. Identificarea resurselor informaionale critice specifice proceselor critice identificate n primul pas.

43

3. Determinarea timpului critic de refacere a resurselor informaionale n care procesele afacerii trebuie reluate nainte s se nregistreze pierderi semnificative sau inacceptabile. Spre exemplu, instituiile financiare sau de brokeraj vor determina timpi critici de refacere mult sub cei determinai de ntreprinderile cu profil de producie, acest lucru fiind determinat de natura serviciilor prestate. La nivelul unei organizaii spre exemplu, este important ca pentru funciile critice s se determine durata maxim admis a ntreruperilor, informaia urmnd a fi sintetizat sub forma matricei funciilor critice (tabelul 7.1) Tabelul nr. 7.1
Activiti A1 A2 A3 A4 A5 A6 < 1 zi x x x x x Timp de ntrerupere admis i nivel minim de activitate necesitat <3 zile <7 zile < 14 zile < 30 zile x

Cost

Operaii ntrerupte Total

Timp

Minimum

Pentru luarea acestei decizii sunt luai n considerare doi factori: costul de refacere de alternative ntreruperii (downtime Strategii cost) provocat dezastru i respectiv costul strategiei corective alternative (figura 7.1). Costul ntreruperii provocate de dezastru trebuie limitat deoarece nregistreaz creteri rapide n timp. n momentul n care el i nceteaz creterea s-a atins punctul n Costul care activitatea (afacerea) nurefacerii mai poate continua. Figura 7.1 ntreruperii vs. costul

Timp de nefuncionare

44

Costul strategiilor corective alternative scad odat cu obiectivele stabilite pentru timpul de refacere. Costul refacerii este format din costul: pregtirii i testrii periodice a BCP; costul locaiilor destinate site-urilor de back-up; costul polielor de asigurare; costul anual al locaiilor alternative.

Figura 7.1 evideniaz costul strategiilor alternative, costul ntreruperilor dar i costul total al ntreruperii i refacerii. Scopul urmrit este reprezentat de identificarea punctului n care costul total este minim. Atingerea acestui punct se va realiza prin gndirea de soluiile alternative. Curba din figura 7.1 numit strategiile de refacere alternative este reprezentarea n fapt a mulimii strategiilor posibile, fiecare strategie posibil avnd un cost fix. Cu ct timpul de refacere cerut va fi mai scurt cu att costul fix va fi mai mare. Dac strategia de continuare a activitii presupune un timp de refacere mai mare, va fi mai puin costisitoare dar mai susceptibil la costuri ale ntreruperii evolund n spiral fr a mai putea fi controlate. Dup identificarea activitilor critice i aplicaiilor care le susin se procedeaz la identificarea ameninrilor n condiiile funcionrii normale a sistemului. Specialitii n domeniu recomand identificarea tipurilor de ameninri care conduc la ntreruperi ale funcionrii sistemului, rezultatul acestei analize urmnd s se materializeze ntr-o gril n care prima coloan va indica tipul de ameninare iar n coloana a doua se va preciza n ce msur acesta a determinat incidente conducnd la ntreruperea funcionrii sistemului (Tabelul 7.2). Tabelul nr. 7.2
Tipul ameninrii Intreruperea alimentrii cu energie electric Factor uman (erori, saboraj) Inundaii Defeciuni hardware Furtuni Incendii Cutremure Altele Procent 35% 12% 10% 15% 8% 10% 6% 4%

Probabilitatea producerii unor dezastre urmeaz a se determina n conjuncie cu analiza riscurilor i innd seama de urmtorii factori: - locaia geografic; topografia locului; apropierea de sursele de energie electric, ape, aeroporturi; apropierea de centrale nucleare; istoricul relaiei cu furnizorii de utiliti i msura n care acetia au asigurat continuitate n furnizarea serviciilor.

45

Probabilitile determinate vor lua una din urmtoarele valori: mare (10), mediu (5), mic (1). Probabilitile vor fi apoi ponderate cu impactul estimat asupra funciilor de business sau facilitilor : Nici un impact sau ntrerupere n operaiuni (0); Impact notabil, ntreruperi de pn la 8 ore (1); Afectarea echipamnetului i/sau facilitillor, ntreruperi n operaii pentru 8 pna la 48 de ore; Distrugeri majore ale echipamentului i/sau facilitilor, ntreruperi ale operaiilor pentru mai mult de 48 de ore. Clasificarea operaiilor i analiza critic Clasificarea riscurilor sistemului presupune determinarea riscurilor plecnd de la impactul dat de timpul de refacere precum i de probabilitatea apariiei ntreruperilor. n acest scop se apreciaz riscul apariiei i se determin costul probabil. Dac riscul producerii incidentului destructiv n urmtorii cinci ani este de 1 la 1000 (0.1%) iar impactul este estimat la 10 milioane RON costul maxim va fi de 10.000 RON anual. Prin acest proces de evaluare bazat pe riscuri se realizeaz prioritizarea sistemelor n efortul de dezvoltare a strategiilor de refacere. Particip la acest proces de evaluare personalul IT i utilizatorii finali. Prioritizarea iniial a activitilor n funcie de importana acestora n realizarea obiectivelor strategice ale organizaiei, realizat n faza de analiz a impactului asupra organizaiei, poate fi modificat pe msur ce procesele afacerii sunt modelate n cadrul scenariilor de simulare a diferitelor ameninri. Pentru fiecare activitate critic i sistem care o deservete se va proceda la identificarea ameninrilor i estimarea probabilitii producerii lor. Sistemele evaluate vor putea fi plasate n una din urmtoarele categorii: Critice: Aceste funcii nu pot fi executate dect dac sunt nlocuite cu capabiliti identice. Nu vor putea fi nlocuite de metode manuale, tolerana la ntrerupere este foarte sczut i n consecin costul ntreruperii este foarte ridicat. Vitale: Aceste funcii pot fi realizate manual dar pentru o scurt perioad de timp. nregistreaz toleran mai mare la ntrerupere dect sistemele critice i de aceea ntr-o oarecare msur costul ntreuperii este mai mic. Timpul de refacere este limitat la cinci zile sau mai puin. Sensibile: Sunt funcii ce pot fi realizate manual, la un cost tolerabil pe o perioad mai mare de timp. Nesensibile: Funcii ce pot fi ntrerupte pe o perioad mare de timp, la un cost sczut (poate chiar s nu implice costuri) i necesit puin (sau chiar de loc) timp pentru refacere.

46

Pasul urmtor n managementul continuitii este reprezentat de identificarea diferitelor strategii de refacere i alternativele disponibile pentru refacere n urma unei ntreruperi sau dezastru. n alegerea strategiilor de refacere vor fi avui n vedere doi indicatori: obiectivul punctului de refacere (recovery point objective RPO) i obiectivul timpului de refacere (recovery time objective- RTO). RPO este determinat n funcie de datele pierdute ca urmare a ntreruperii operaiilor. RPO indic cel mai apropiat punct n timp n care se pot recupera datele. De aceea procedeele de back-up vor fi stabilite n raport de RPO. Alternative de refacere Orice platform IT pe care se execut o aplicaie susinnd o funcie critic a afacerii are nevoie de o strategie de refacere. Alternativa adecvat din punct de vedere al costului de refacere i a costului impactului va trebui aleas n funcie de nivelul relativ de risc stabilit prin BIA. Aceste strategii de risc includ: Hot site-uri Warm site-uri Cold site-uri Faciliti de procesare duplicat a datelor Site-uri mobile Convenii de reciprocitate stabilite cu alte organizaii.

Hot site este reprezentat de site-uri configurate complet care pot fi operaionale n cteva ore. Echipamentul, reeaua i sistemele software sunt compatibile cu site-ul operaional, fiind un back-ul al acestuia. Vor trebui asigurate urmtoarele resurse: personal specializat, programe, fiiere de date i documentaii. Costul realizrii unor asemenea site-uri este ridicat de aceea se poate opta pentru un site oferit de o firm specializat, n acest al doilea caz costul fiind mai sczut. Indiferent de soluia aleas aceste costuri sunt justifiacte pentru aplicaii critice iar polia de asigurare va acoperi costurile utilizrii unei astfel de faciliti. Costul cuprinde: costul de nscriere, cheltuieli lunare, cheltuieli de testare, costuri de activare i costurile aferente orelor/zilelor de utilizare. Aceste site-uri sunt destinate operaiunilor urgente pentru o perioad limitat de timp (n limita a cteva sptmni). Utilizarea pe termen lung ar putea impieta proteia altor organizaii nregistrate. Pentru disponibilizarea site-urilor hot, firme specializate pun la dispoziie site-uri warm sau cold pe care s se poat face migrarea dup finalizarea refacerii operaiilor. Warm site reprezint site-uri parial configurate, de obicei cu conexiuni la reea i echipament periferic dar fr s dispun de un calculator principal, acest fapt fiind datorat costului ridicat al acestuia i posibilitii de a fi achiziionat rapid la nevoie. De multe ori sunt dotate cu sisteme prezentnd putere de calcul inferioar celei sistemului operaional. Aducerea i instalarea CPU precum i a celorlalte echipamente necesare poate dura cteva zile sau sptmni dar, dup dotarea site-ului cu toate componentele necesare, acesta va deveni operaional n cteva ore. Cold site presupune existena doar a mediului de baz (repezentat prin instalaie electric i de aer condiionat etc.) pentru procesarea informaiei. Site-ul este 47

pregtit pentru instalarea echipamentelor, nici un fel de echipament nefiind instalat dinainte. Un astfel de site poate deveni operaional n cteva sptmni. Faciliti de procesare duplicat a datelor reprezint soluii dedicate, fiind site-uri de refacere realizate de ctre organizaie care pot duplica aplicaiile critice. Pot lua forma site-urilor standby hot prin acordul reciproc cu o alt companie de instalare. O astfel de soluie conduce la mai puine probleme de coordonare privind compatibilitatea i disponibilitatea. Pentru ca o astfel de soluie s fie viabil vor trebui respectate unele principii i anume: Site-ul ales nu trebuie s poat fi supus unui aceluiai dezastru care afecteaz site-ul supus duplicrii. Trebuie s existe o coordonare a strategiilor hardware i software pentru a se putea asigura un grad rezonabil de compatibilitate n vederea realizrii backupului. Trebuie asigurat disponibilitatea resurselor. Trebuie s existe o nelegere privind prioritatea adugrii de aplicaii pn cnd toate resursele pentru refacere sunt utilizate. Este necasar testarea periodic indiferent dac site-ulile duplicate sunt sub proprietate comun sau sunt sub acelai management.

Site-uri mobile, o soluie recent, const n utilizarea unui trailer care poate fi rapid transportat la locaia organizaiei sau ntr-un site alternativ pentru a asigura facilitatea de procesare a informaiei. Site-urile mobile pot fi conectate pentru a forma o arie de lucru lrgit i pot fi preconfigurate cu servere, calculatoate desktop, echipament de comunicaie, microwave i satelii pentru legturi de date. Astfel de soluii sunt recomandate cnd n aria geografic a organizaiei nu exist faciliti de refacere sau cnd dezastrul afecteaz arii extinse. Este o soluie pentru duplicarea facilitilor de procesare n cazul organizaiilor caracterizate prin dispersia teritorial a unitilor lor. Convenii de reciprocitate stabilite cu alte organizaii este o metod mai puin folosit. Se aplic atunci cnd n dou sau mai multe organizaii exist echipament i aplicaii asemntoare. Partenerii urmeaz s-i pun reciproc la dispoziie resursele necesare n cazuri de urgen. Astfel de alternative prezint avantajul unor costuri reduse i pot constitui unica alternativ disponibil cnd site-urile hot, oferite de un unic furnizor, nu sunt disponibile. Dezavantajele sunt reprezentate de faptul c nu pot fi ntotdeuna aplicabile, configurarea diferit a echipamentelor impune modificri n programe. n cazul realizrii de modificri n configurarea echipamentelor, organizaiile nenotificate n acest sens vor beneficia n mod limitat de nelegerea ncheiat sau nu vor mai putea beneficia de aceasta. Opiunea pentru aceast alternativ presupune cunoaterea rspunsului la urmtoarele ntrebri: Ct timp disponibil avem pe calculatorul site-ului gazd? Ce faciliti, echipament i software vor fi disponibile? Va fi asigurat personal pentru asisten? 48

Ct de repede poate fi obinut accesul la faciliti? Legturile pentru comunicaiile de date i voce pot fi stabilite pe site-ul gazd? Ct timp poate continua operarea de urgent? Ct de frecvent poate fi testat sistemul pentru compatibilitate? Cum va fi asigurat confidenialitatea datelor? Ce tip de securitate va fi permis pentru sisteme i date? Exist perioade de timp cnd facilitile organizaiei partenere nu sunt disponibile?

1.3. BUSINESS CONTINUTY i DISASTER RECOVERY Acest grup de funcii trebuie s asigure coordonarea urmtoarelor activiti: Stabilirea datelor critice i vitale ce urmeaz a fi stocate offsite. Instalarea i testarea sistemelor software i aplicaiilor n site-ul de recovery indiferent de natura acestuia hot site, cold site etc. Operarea din site-ul de recovery. Reroutarea traficului n reeaua de comunicaii. Restabilirea reelei. Transportul utilizatorilor n locaia facilitii de refacere. Reconstruirea bazei de date. Aprovizionarea cu consumabile. Asigurarea i achitarea cheltuielilor cu relocarea angajailor n locaia de recovery. Coordonarea utilizrii sistemelor i planificarea muncii angajailor.

Desfurarea acestor activiti impune stabilirea unor echipe de lucru specializate, cu atribuii bine stabilite i anume: Echipa de stocare offsite (offsite storage team) echip responsabil cu obinerea, pregtirea i transportul datelor n locaia centrului de recovery. Tot aceast echip este responsabil i cu stabilirea i urmrirea programului de stocare offsite a informaiilor create prin operarea n centrul de recovery. Echipa software (software team) Echip responsabil cu refacerea pachetelor software, ncrcarea i testarea sistemelor de operare, rezolvarea problemelor la nivelul sofware-ului de baz. Echipa soft de aplicaii (applications team) Responsabil cu refacerea aplicaiilor pe sistemele de back-up cerute n site-ul de recovery. Pe msura avansrii procesului de recovery, echipa are responsabilitatea monitorizrii performanei aplicaiilor i integritii bazei de date. Echipa de securitate (security team) are rolul de a monitoriza permanent securitatea sistemului i a legturilor de comunicaii, soluionarea incidentelor de securitate care afecteaz refacerea sistemului, asigur instalarea corespunztoare i funcionarea software-ului de securitate. Rspunde totodat de securitatea activelor n perioada urmtoare producerii dezastrului. Echipa de operare de urgen (emergency operations team) este format din operatori de shift-are i supervizorii acestora care vor lucra n site-ul de 49

recovery i vor conduce operarea de-a lungul ntregii perioade a proiectelor de refacere. n sarcina acestei echipe poate fi i coordonarea instalrii hardwareului, dac nu a fost stabilit drept centru de refacere un hot site sau o facilitate gata echipat. Echipa de refacere reea (network recovery team) este responsabil cu reroutarea pe arii extinse a comunicaiilor de voce i date, restabilirea controlului reelei gazd i accesul la sistemul din centrul de recovery oferind susinerea pentru realizarea comunicaiilor de date i monitoriznd integritatea comunicaiilor. Echipa de comunicaii (communications team) Aceast echip va colabora cu furnizorii de gateway n reroutarea serviciului local i a accesului gateway. Echipa de transport (transportation team) Asigur transportul angajailor la centrul de recovery, contacteaz angajaii pentru a le comunica noile locaii de lucru, planific i aranjeaz cazarea angajailor. Echipa echipamente utilizator (user hardware team) Stabilete locaia i coordoneaz livrarea i instalarea echipamentelor utilizatorilor (terminale, imprimante, copiatoare etc). Ofer sprijin echipei de comunicaii i particip la efortul de salvare a echipamentelor i facilitilor. Echipa de pregtire date i nregistrri (data preparation and records team) asigur actualizarea bazelor de date utilizate de aplicaiile din site-ul de recovery. Supraveghez personalul de introducere date i asist activitatea de salvare a nregistrrilor n obinerea documentelor primare i a altor surse de introducere a datelor. Echipa de suport administrativ (administrative support team) asigur suportul funcionarilor pentru celelalte echipe i asigur centrul de mesaje din site-ul de recovery. Poate asigura funciile de contabilitate i salarii i facilitile necesare managementului. Echipa de aprovizionare (supplies team) ajut echipa de echipamente utilizator s contacteze furnizorii i coordoneaz logistica necesar aprovizionrii cu cele necesare. Echipa de recuperare (savage team) conduce relocarea proiectelor. Realizeaz o evaluare mai detaliat, fa de cea iniial, a pagubelor nregistrate de faciliti i echipament. Furnizeaz echipei de management de criz a informaiilor necesare planificrii privind reconstrucia sau relocarea. Ofer informaiile privind completarea cererilor de despgubiri i coordoneaz efortul de salvare a nregistrrilor (refacerea documentelor i a nregistrrilor pe medii de stocare elecrtronic). Echipa de relocare (relocation team) asigur coordonarea procesului de mutare din site-ul hot n noua locaie sau n locaia iniial dup refacerea acesteia. Aceasta presupune relocarea sistemelor de procesare a operaiilor, a traficului de comunicaii i operaii utilizator. Monitorizeaz tranziia ctre un nivel normal al serviciilor. Echipa de coordonare (coordonation team) rspunde de coordonarea efortului de refacere n diferitele locaii. Echipa juridic (leagal affairs team) asigur soluionarea problemelor datorate incidentelor produse sau nondisponibilitii serviciilor. Echipa de test pentru refacere (recovery test team) rspunde de testarea diferitelor planuri i analizarea rezultatelor testelor. 50

Echipa de instruire (training team) asigur instruirea cu privire la planul de continuare a activitii i a planului de refacere. 1.4. COMPONENTELE BCP

n funcie de cerinele i dimensiunea organizaiei, BCP poate fi format din unul sau mai multe planuri: Planul de refacere ( Business Recovery Plan - BRP) Planul de continuitate a operaiilor ( Continuity of Operations Plan COOP) Planul pentru continuitatea suportului/ Planul evenimentelor IT neprevzute (Continuity of support plan/IT Contingency plan) Planul pentru comunicaii n condiii de criz (Crisis Communication Plan) Planul de rspuns la incidente (Incident response Plan) Planul de refacere dup dezastre (Disaster Recovery Plan -DRP) Planul de protecie persoane i bunuri ( Occupant Emergency Plan OEPP)

Planul de reluare a afacerii ofer proceduri pentru refacerea operaiunilor afacerii imediat dup producerea dezastrului. Fr s se focalizeze pe componenta IT, aceasta este vizat doar ca suport al activitii firmei. Planul continuitii operaiilor ofer procedurile i capabilitile necesare susinerii funciilor strategice ale firmei printr-un site alternativ pentru mai mult de 30 zile. Privete submulimea misiunilor critice pentru firm. Nu se centreaz pe IT. Planul evenimentelor IT neprevzute (IT Contingency Plan/ Continuity of Support Plan) ofer proceduri i capabiliti pentru refacerea unei aplicaii importante sau a sistemului informatic. Vizeaz distrugerile sistemului informatic, procesele afacerii nefiind vizate. Planul comunicaiilor n condiii de criz (Crisis Communications Plan) ofer proceduri pentru diseminarea informaiilor ctre angajaii firmei i beneficiarii externi de informaie. Planul de rspuns la cyber incidents ( Cyber Incidents Response Plan) ofer strategii pentru detectarea i rspunsul la incidente i limitarea efectelor produse de acestea. Planul de refacere n caz de dezastre ( Disaster Recovery Plan) ofer proceduri detaliate pentru a facilita refacerea capabilitilor ntr-un site alternativ.

51

Planul de protecie persoane i bunuri ( Occupant Emergency Plan) asigur proceduri coordonate pentru limitarea victimelor i a distrugerilor ca urmare a ameninrilor fizice.

Planul continuitii operaiunilor Plan protectie pers. si bunuri

Plan cyber incid.

Plan comunicatii condiii de criz

Business Continuity Plan

Plan evenimente IT

Planul de refacere a afacerii

Plan de refacere in caz de dezastre

Figura 7.2 Componente BCP Pentru realizarea fazelor de planificare, implementare i evaluare ale BCP se impune a se soluiona urmtoarele aspecte: 1. 2. 3. 4. 5. 6. 7. Politicile care vor guverna eforturile de continuare a afacerii i de refacere Scopurile/echipamentele/produsele pentru fiecare faz Faciliti alternative pentru executarea task-urilor i operaiilor Resursele de informaii critice ce trebuie asigurate (date i sisteme) Persoanele responsabile pentru completare Resursele necesare pentru realizare Programarea activitilor cu stabilirea prioritilor

Copii ale planului trebuie pstrate n afara centrului operaional (n locaia facilitii de recovery, centru de back-up sau la domiciliul persoanelor de decizie cheie). Componentele acestui plan cuprind: lista persoanelor de decizie cheie, lista furnizorilor, copii ale polielor de asigurare etc. Personalul de decizie cheie Planul trebuie s cuprind o list a persoanelor de decizie SI i utilizatorii desemnai s iniieze i realizeze eforturile de refacere. Cerinele de bun practic impun desemnarea unei persoane care, n baza acestei liste, va avea sarcina notificrii cu privire la producerea unui incident/dezastru sau catastrof. Este necesar de subliniat faptul c n cazul producerii unei catastrofe, incendiu, explozii n timpul orelor de lucru multe persoane cu putere de decizie nu vor putea fi disponibile.

52

Pentru derularea rapid i eficient a acestei sarcini vor trebui specificate n plan urmtoarele aspecte: 1. O prioritizare a contactelor care trebuie realizate (cine va fi anunat cu prioritate) 2. Lista cu telefoanele i adresele persoanelor critice care urmeaz a fi contactate (n principal este vorba de efii echipelor care vor anuna la rndul lor membrii echipelor desemnate n planul de refacere). 3. Numerele de telefon i adresele furnizorilor de hardware i software. 4. Numerele de telefon ale firmelor desemnate s asigure furnizarea de echipamente i servicii. 5. Numerele de telefon ale persoanelor de contact din facilitile de refacere, incluznd reprezentanii hot site-ului i reprezentanii serviciilor de reroutare a reelelor de comunicaii. 6. Numerele de telefon ale persoanelor de contact din facilitile de stocare a copiilor de siguran. 7. Numerele de telefon ale societilor de asigurare. 8. Numerele de telefon ale persoanelor de contact ale serviciilor de personal. 9. Numerele de telefon i persoanele de conatct din agenii guvernamentale, de reglementare i judiciare. 1.5. TESTAREA PLANULUI Scopul testrii este de a verifica funcionalitatea planului i identificarea acelor componente care trebuie mbuntite. Testele se recomand a fi efectuate n weekend deoarece este esenial s nu fie afectat activitatea curent iar membrii echipelor s fie disponibili. Conform CISA testele trebuie s ndeplineasc urmtoarele cerine: Verificarea completitudinii i preciziei planului Evaluarea personalului cu atribuiuni n cadrul planului Evaluarea nivelului de instruire a membrilor echipelor Evaluarea coordonrii ntre membrii echipei BCP i furnizorii externi Msurarea capacitii centrului de back-up de a realiza procesarea. Evaluarea capacitii de regsire a nregistrrilor vitale. Evaluarea strii i calitii echipamentului i furnizorilor relocate n site-ul de refacere. Msurarea performanei de ansamblu a activitilor de procesare i operaionale legate de meninearea activitii organizaiei.

Testarea BCP urmeaz trei faze i anume: Pretest-ul, etap n care se procedeaz de la instalarea mobilierului pn la echipamente destinate comunicaiilor telefonice. Aceast etap testeaz capabilitatea de a pregti locaia de recovery n condiiile n care evenimentul distructiv se produce fr a exista o avertizare prealabil i deci nici posibilitatea de a iniia aciuni pregtitoare.

53

Testul, etap constnd n testarea efectiv a planului urmrindu-se verificarea obiectivelor specifice BCP. Vor fi efectuate procedurile de deplasare a personalului i echipamentelor n noua locaie, operaionalizarea comunicaiilor telefonice, introducere date, procesare, contactarea i mobilizarea furnizorilor. Persoanele abilitate vor proceda la evaluarea modului n care s-a reuit realizarea sarcinilor stabilite prin BCP: Post-testul are ca scop testarea capacitii de delocalizare a echipamentului, personalului i proceselor de preducrare din centru de recovery n locaia operaional iniial. Se procedeaz la deconectarea i transportul echipamentelor, tergerea datelor de pe sistemele furnizorului de faciliti de procesare, delocarea personalului.

n afara etapelor sus menionate se poate opta pentru derularea unor teste suplimentare reprezentate de: Testul de pregtire (preparedness test) are drept scop s evalueze anumite aspecte ale planului i s ofere sugestii de mbuntire a acestuia. Testul operaional complet presupune simularea producerii unui dezastru i nu doar o ntreupere a serviciilor. n acest caz dup verificarea atent a planului n forma sa scris se trece la ntreruperea total a activitii.

Evaluarea rezultatelor testelor Fiecare etap a testelor trebuie documentat pentru a se putea estima gradul de reuit. Se resomand ca fiecare echip s ntocmeasc un jurnal n care s consemneze principalele sarcini efectuate i problemele intervenite, aceste informaii devenind n condiii reale de criz o surs de informaii extrem de util. Evaluarea modului de realizare a sarcinilor se poate face prin determinarea urmtorilor parametrii: - Timpul neecsar realizrii sarcinilor. - Volumul de munc depus n cetrul de back-up de ctre echipa de funcionari i personalul de procesare operaional. - Numrul de echipamente transportat i operaionalizat fa de cel cerut, numrul de documente vitale aduse n locaia de back-up fa de cel prevzut n plan, numrul sistemelor critice refcute. - Acurateea nregistrrilor introduse i procesate n centrul de recovery comparativ cu cea realizat n mod normal (exprimat procentual). Acurateea prelucrrilor este estimat prin compararea rezultatelor procesrii n centrul de recovery cu cele rezultate prin procesarea n condiii normale. 1.6. CONCLUZII Dezvoltarea unui plan de continuare a afacerilor si recuperare in caz de dezastru Factorii de care trebuie sa se tine cont atunci cand se dezvolta un plan :

54

incidentele descoperite inaintea dezastrului raspund conducerii, adresand toate incidentele in procesele afacerii proceduri de evacuare proceduri pentru declararea in caz de dezastru circumstantele in care s-a declansat un dezastru identificarea responsabilitatilor in planul dezvoltat identificarea persoanelor responsabile pentru fiecare functie a planului identificarea informatiilor de contact explicarea pas cu pas a optiunilor de reconstruire identificarea resurselor variate cerute pentru reconstruire si continuare a operatiunilor aplicatiile de reconstruire evidentiate pas cu pas

Planul ar trebui scris intr-un limbaj simplu. Va trebui sa se cunoasca si sa se identifice echipa, personalul, care sunt implicati in acest plan si ce responsabilitate are fiecare.

55

56

[Nancu Tiberiu] Tabelul nr. 8.1. Managementul riscului

Descrierea riscului

Probabilitatea

Prioritatea

Impactul

Actiuni de prevenire

Plan de urgenta

Nesatisfacerea cerintelor clientilor: - gestionarea inadecvata a informatiilor despre clienti; - un serviciu clienti slab; - aprecierea gresita a capabilitatilor de productie; - cresterea pretului nejustificata; - aparitia altor situatii neprevazute ce pot intrerupe si afecta productia sau calitatea produselor de consum; - adoptare unei strategii de marketing

Mare

Mica

Medie

Mare Mica

Mare Mare

Ridicata Medie -

traininguri pentru personal, care duce la o forta de munca mai calificata. alcatuirea unui grup de persoane, insarcinate sa solutioneze proasta functionare a serviciului clienti. asigurarea bunului mers al tuturor factorilor de productie. mentinerea unui pret al produselor asemanator cu cel al pietei.

mobilizarea de resurse si personal. gasirea persoanelor calificate. realizarea unei strategii care sa acopere eventualele aprecieri gresite. insusirea unor politici de pret, care sa aduca pretul la nivelul pietei. verificari periodice la locul productiei, pentru a asigura productia la parametrii maximi si calitatea produselor. adoptarea altor strategii de marketing si decizii strategice, care sa ajute la redresarea firmei.

Mica Mica Mic Mare Redusa Medie -

asigurarea unui climat propice pentru productia bunurilor si pentru bunul mers al procesului de productie. infiintarea unui department de marketing cu persoane calificate sau recurgerea la

Mare

Mare

Ridicata

58

Descrierea riscului

Probabilitatea

Prioritatea

Impactul

Actiuni de prevenire

Plan de urgenta

gresite si luarea unor decizii strategice neadecvate; Mare - schimbarea neanticipata a preferintelor de consum; Mica - neatentia asupra posibilitatilor si capabilitatilor concurentilor si a potentialului produselor acestora; - avantajul tehnologic. Mare

ajutorul unei firme specializata pe probleme de marketing. Mare Ridicata infiintarea unui departament de cercetare a pietei si a preferintelor consumatorilor. infiintarea unui departament de cercetare a pietei si a preferintelor consumatorilor.

adaptarea firmei la cerintele de pe piata. realizarea unor noi produse, cu calitati diferite de cele vechi, care pot rivaliza cu produsele firmelor competitoare. investirea in noile tehnologii aparute.

Mic

Redusa

Mare Ridicata gasirea de resurse pentru investirea in departamentul de dezvoltare si cercetare.

59

[Boblc Ionu] Tabelul 8.2. Analiza impactului asupra afacerii Activitatea critica a afacerilor pe departamente Departamentul de productie Crearea produselor pentru clientii firmei Ridicata - clientii or sa apeleze la competitori; - cererile n-or sa poata fi respectate; Departamentul de vanzari Asigurarea ajungerii produselor la client Ridicata - pierderea de locuri de munca. - pierderea de locuri de munca; - incapacitatea de satisfacere a tuturor nevoilor clientilor; Departamentul de marketing Imbunatateste imaginea firmei Ridicata - personal slab calificat. - pierderea din numarul clientilor prin diminuarea increderii acestora in firma; - competitorii au posibiliatea de a detine cea mai mare parte din 3 saptamani 1 saptamana Descriere Prioritate Impactul pierderilor (descrie pierderile de orice natura) Timpul de recuperare al obiectivului (perioada critica pana cand apar pierderile) 2 saptamani

Departamentul de export

Asigura vanzarea produselor si la clientii din afara granitelor

Medie

piata. - pierderea clientilor din tarile unde sunt exportate produsele firmei si apelarea la firmele de pe piata lor interna. - imposibilitatea de a produce obiecte noi si la acelasi nivel cu cerintele clientilor, ceea ce duce la orientarea clientilor

2 saptamani

Departamentul de cercetare

Aduce inovatii in ceea ce priveste produsele si cerintele clientilor

Medie

1 saptamana

Departamentul de resurse umane

Introduce, in cadrul firmei, personalul necesar pentru funtionarea firmei

Medie

spre competitor. - aducerea de persoane necalificate 1 saptamana sau slab calificate care, in lipsa unui training adecvat, nu ar aduce nici un beneficiu real firmei, ci dimpotriva, ar tine in loc si pe ceilalti.

[Radu Rzvan]

61

Tabelul 8.3. Planul de recuperare


Activitati critice ale afacerii Oprirea productiei - reevaluarea pozitiei financiare a afacerii, inclusive fluxurile de trezorerie, ca urmare a pierderii de venituri, pentru a satisfice cheltuielile minime. - minimizarea costurilor generale dezvoltarea unui plan de actiune pentru a reduce cheltuielile fixe si variabile. - negocierea cu furnizorii pentru a preveni acumularea de materiale si a reduce costurile. - diversificarea gamei de Numarul insuficient produse si servicii. - folosirea de personal, - mentinerea personalului - punerea deoparte de rezerve de numerar pentru a acoperi costurile. - reducerea costurilor in cazurile posibile. - cercetarea de noi produse si servicii. Actiuni preventive/de recuperare Resursele cerintelor/rezultatelor

Timpul de recuperare al obiectivului 2 saptamani

Responsabilitate Completat

Proprietarul afacerii

0/0/0

1 saptamana

Persoana

0/0/0

62

de angajati in centrele de distributie

indiferent de nivelul de calificare. - prevenirea inchiderii unor puncte de distributie.

deja existent. - salvarea unor costuri prin inchiderea unor centre de distributie si relocarea spre alte centre de distrbutie. - crearea unui plan care sa imbunatateasca perceptia clientilor si a eventualilor clienti asupra firmei. - observarea concurentei si incercarea intelegerii metodologiei folosite de catre ei, pentru a putea trage idei si concluzii folositoare pentru propria firma. - intarirea relatiilor cu distribuitorii sau gasirea de noi distribuitori.

responsabila cu resursele umane

Neincrederea manifestata de catre clienti in ceea ce priveste calitatea produselor firmei si imaginea acesteia

- gasirea de noi metode de imbunatatire a imaginii firmei si de atragere a clientilor inapoi spre firme si atragerea de noi client, daca este posibil. - folosirea de tehnici de marketing pentru a crea o imagine de firma puternica, care poate sa satisfaca oricand nevoile clientilor.

3 saptamani

Persoana responsabila cu PR

0/0/0

Produsele exportate sa nu ajunga la client

- asigurarea procesului de distributie al produselor. - prevenirea inchiderii centrelor de distributie de peste

2 saptamani

Seful departamentului de export

0/0/0

63

granite.

- relocarea afacerii dintr-un centru de distributie spre altul. - observarea concurentei, daca aceasta stabileste trendul prin produsele sale si incercarea reproducerii produselor. - pastrarea personalului din cadrul departamentului de cercetare. - selectarea doar persoanelor considerate importante si neselectarea persoanelor considerate slab calificate. - incercarea aducerii unor persoane calificate cu un salariu destul de mic pentru avantajul pe care

Neadaptibilitatea produselor firmei la trendul pietei

- gasirea de noi tehnologii, pentru a aduce produsele la nivelul cerintelor de pe piata. - apelarea la o firma care sa poata sa aduca produsele firmei in trend cu piata.

1 saptamana

Seful departamentului de cercetare

0/0/0

Angajarea de personal necalificat sau slab calificat

- realizarea unui interviu strict, prin care sa se poata selecta candidatii perfecti. - cautarea de personal bine calificat, pentru care cheltuielile ar fi de un nivel mic.

1 saptamana

Persoana responsabila cu resursele umane

0/0/0

64

il aduce.

65

Bibliografie:
Tratate, monografii i cursuri universitare:
Jorion P. Financial Risk Manager Handbook, ediia a VI-a, cap. XXVI Operational Risk, Editura John Wiley & Sons, New Jersey, 2011 Saunders A. - Financial Institutions Management a Risk Management Approach, ediia a VI-a, cap. XVI Technology and Other Operational Risks, Editura McGraw-Hill / Irwin, New York, 2008 Curs Managementul riscurilor operaionale, R.E.I. - Departamentul de Relaii Economice Internaionale, Bucureti, 2013

Articole de specialitate:
http://www.jolidon.ro/companie/cifre-cheie/ http://www.jolidon.ro/companie/filosofie/ http://www.jolidon.ro/companie/istoric/ http://www.marketwatch.ro/articol/3860/Etapele_logice_ale_unui_plan_de_ continuitate_operationala_pentru_o_companie_mica_sau_medie/ http://www.marketwatch.ro/articol/7078/Pasi_necesari_in_elaborarea_unui_ plan_de_continuitate_operationala/ http://www.catedra.ro/personal/BCP_[Compatibility_Mode].pdf

66

Anex:
Tabel nr. 1. Contribuii ale membrilor echipei. I-II. Planul de gestiune al riscurilor - Lista riscurilor - Matricea riscurilor - Harta de interconectare a riscurilor - Balanced Scorecard - Analiza scenariilor - Business Continuity Plan Niu Boblc, Niu, Radu, Nancu, Vlad Radu Radu, Vlad Niu Boblc, Vlad Nancu, Radu, Boblc