Rola Audytu Wewnętrznego w tworzeniu BCP

Spis treści

1. Wprowadzenie
   
   
   
   1. Pojęcie BCP
      
   2. Zalety BCP
   
   
2. Metodyka EXE Group podczas tworzenia BCP (zarys)
   
   
   
   1. Planowanie działań, szacowanie ryzyka (RA)
      
   2. Business Impact Analysis (BIA)
      
   3. Tworzenie dokumentów BCP
      
   4. Testowanie, szkolenie, wdrożenie, utrzymanie BCP 5

1. Wprowadzenie

1.1. Pojęcie BCP

Plan Ciągłości Działania jest określeniem działań będących odpowiedzią przedsiębiorstwa na ewentualnie występujące awarie i katastrofy, które maja wpływ na działalność statutową organizacji. Plan Ciągłości Działania ma na celu zapewnienie przetrwania organizacji, podtrzymanie głównych działań przedsiębiorstwa, utrzymanie płynności finansowej, kontaktów handlowych (dostawcy/odbiorcy), zasadniczych zasobów technologicznych itp.

Nieodłącznym elementem BCP są działania mające na celu odbudowę utraconych w wyniku awarii zasobów przedsiębiorstwa do stanu początkowego (Disaster Recovery Plan DRP, Plany Przywracania Działania).

1.2. Zalety BCP

Dla organizacji zwracających się do EXE Group posiadanie BCP niesie za sobą oczywiste zalety:

• Utrzymanie działalności przedsiębiorstwa,
  
• Obniżenie wpływu potencjalnych awarii na działalność organizacji,
  
• Zapewnienie spełnienia określonych wymagań (np. BASEL II),
  
• Utrzymanie kursu akcji (utrzymanie stałej wartości rynkowej organizacji),
  
• Zarządzanie przepływem informacji (np. do środków masowego przekazu),
  
• Obniżenie ryzyka utraty reputacji (wobec dostawców, odbiorców, rynków finansowych i kapitałowych),
  
• Obniżenie strat finansowych łączących się z wystąpieniem awarii (wypłaty odszkodowań, utrata przyszłych korzyści, straty rozpoczętych inwestycji,
  
• Utrzymanie dotychczasowych upustów i rabatów.

W ciągu ostatnich 3 lat Plany Ciągłości Działania uległy kilku dramatycznym zmianom. Jeszcze nie tak dawno zabezpieczeniom w postaci BCP poddawano zasoby fizyczne organizacji. Wkrótce obszarem tworzenia BCP objęto również kanały komunikacyjne, niejednokrotnie ściśle związane z wieloma zasobami fizycznymi (serwery pocztowe, scentralizowane bazy danych, a nawet telefony oraz linie telefoniczne). W ostatnim czasie obserwować można zabezpieczanie zasobów ludzkich (HR) – identyfikowanie pracowników kluczowych w przedsiębiorstwie, określanie systemu zastępstw, przenoszenia odpowiedzialności oraz obowiązków służbowych.

Podobnie scenariusze awarii oraz określanie wszystkich możliwych do wyniknięcia katastrof ulegają ciągłemu rozwojowi i modyfikacjom. Wszystko w kierunku zapewnienia ciągłości działania organizacji nawet w przypadku najdotkliwszych i niespodziewanych awarii. Pojęcie „nam nie może się to przytrafić” przestało funkcjonować.

Plany Ciągłości Działania EXE Group w znacznej mierze chronią i zabezpieczają firmy nie tylko przed typowymi katastrofami, lecz również przed utratą ciągłości działania wynikającą z typowo polskiego prawa oraz mentalności pracowników.

2. Metodyka EXE Group podczas tworzenia BCP (zarys)

2.1. Planowanie działań, szacowanie ryzyka (RA)

Podczas fazy planowania najważniejsze jest, aby prawidłowo zidentyfikować procesy gospodarcze w organizacji. Późniejsza analiza procesów wraz z szacowaniem ryzyk (RA) jest materiałem źródłowym do przeprowadzania oceny wpływu awarii na organizację (BIA).

Niejednokrotnie na tym etapie korzysta się z wyników wcześniejszych prac Zespołu Audytu Wewnętrznego lub Zespołu ds. Oceny Ryzyka. Proces szacowania ryzyka (RA) jest również zbieżny. Polega na analizie procedur i zjawisk w organizacji oraz na przeprowadzaniu szczegółowych wywiadów z przedstawicielami organizacji. Główne elementy macierzy ryzyk podczas szacowania ryzyka przedstawia schemat poniżej.

Najważniejsze ryzyka są stałe. Macierz rozbudowana jest dodatkowo o ryzyka związane z typową dla organizacji działalnością oraz unikalnymi dla niej uwarunkowaniami wewnętrznymi oraz zewnętrznymi. Typowymi obszarami ryzyk są:

• Całkowita / częściowa utrata zasobów ludzkich (HR),
  
• Utrata zasobów technologicznych,
  
• Zakłócenia w dostawach surowców / usług,
  
• Fizyczna utrata nieruchomości (biura, magazyny, inne),
  
• Utrata dostępu do rynków zbytu,
  
• Utrata płynności finansowej,
  
• Ryzyka związane z utratą / zakłóceniem stosunków z kluczowymi partnerami biznesowymi.

2.2. Business Impact Analysis (BIA)

Na tym etapie istotna jest ścisła współpraca z Kierownictwem organizacji, osobami kluczowymi oraz przedstawicielami Audytu Wewnętrznego (AW). Na drodze wywiadów oraz informacji rynkowych określany zostaje wpływ awarii poszczególnych zasobów przedsiębiorstwa. Głównymi czynnikami branymi pod uwagę są:

• Podstawowe procesy biznesowe,
  
• „Punkty styku” przedsiębiorstwa z klientem,
  
• Łańcuch dystrybucji,
  
• Platformy technologiczne zapewniające produkcję,
  
• Powiązania zewnętrzne (umowy, kontrakty) z partnerami,
  
• Nadzór (np. bankowy, budowlany) oraz wszelkie ograniczenia z nim związane,
  
• Środowisko w jakim działa organizacja (warunki energetyczne i telekomunikacyjne),
  
• Personel pracowniczy (podstawowy oraz zastępczy),
  
• Fizyczne ograniczenia związane z lokalizacją organizacji.

Efektem pierwszej części opisywanego etapu jest „mapa procesów” w organizacji, której zadaniem jest przedstawienie:

• Wzajemne oddziaływanie i powiązania pomiędzy procesami,
  
• Powiązania wszystkich lokalizacji przedsiębiorstwa oraz ich zależności,
  
• Powiązania makroekonomiczne istniejące na danym rynku,
  
• Powiązania mikroekonomiczne: pomiędzy dostawcami a organizacją oraz pomiędzy klientami a organizacją,
  
• Powiązania pomiędzy organizacją a jej fizycznym i ekonomicznym otoczeniem (z uwzględnieniem wszelkich ruchów i migracji zasobów),
  
• Zasady i wymogi rekrutacji oraz informacje nt. wymagań na stanowiska kluczowe.

Dla każdego z zasadniczych procesów w organizacji, na podstawie ich wzajemnych zależności, tworzona jest analiza wpływu awarii poszczególnych procesów na działalność całej organizacji (BIA), czyli:

• Ocena ryzyka związanego z przerwą w działaniu każdego z procesu,
  
• Ocena strat finansowych związanych z przerwami w funkcjonowaniu danego procesu, części procesów, wszystkich procesów (celem etapu jest kwantyfikacja skutków awarii oraz wyrażenie ich w formie wymiernych wartości finansowych będących kosztem / stratą dla przedsiębiorstwa). Kwantyfikacja nie przedstawia wartości stałych, gdyż wpływ awarii danego zasobu może być różny w zależności od zmieniających się warunków w organizacji oraz czasu awarii, · Identyfikacja i szacowanie czynników prowadzących do usunięcia skutków awarii w czasie natychmiastowym,
  
• Szacowanie czynników mogących doprowadzić do obniżenia ryzyka awarii w początkowym stadium,
  
• Szacowanie czasu niezbędnego do usunięcia skutków awarii oraz przywrócenia ciągłości działania,
  
• Określanie alternatyw – czynników, przy udziale których można utrzymać ciągłość działania (zwykle określa się zespoły zasobów alternatywnych),
  
• Określenie zasobów alternatywnych będących w dyspozycji organizacji,
  
• Określenie kosztów utrzymania ciągłości działania w zakresie potencjalnego wdrożenia każdego alternatywnego zasobu.

Schemat analizy kosztów / wpływu utrzymania ciągłości działania

WPŁYW (wektor X), KOSZT UTRZYMANIA CIĄGŁOŚCI (wektor Y)

2.3. Tworzenie dokumentów BCP

W oparciu o dotychczasowe analizy, oraz przy udziale przedstawicieli organizacji, określane są zasoby, które zostaną uruchomione w przypadku potencjalnej awarii. Procedury wykonawcze BCP określają czas i warunki przy zaistnieniu których rozpoczyna działanie Sztab Kryzysowy, czas przestoju po którym uruchomione zostają zasoby alternatywne, określenie tych zasobów oraz sposób ich uruchomienia.

2.4. Testowanie, szkolenie, wdrożenie, utrzymanie BCP

Zgodnie z najlepszą praktyką EXE Group – w przypadku wystąpienia awarii wdrożone Plany Ciągłości Działania (BCP) z pominięciem ich utrzymywania, testowania oraz szkolenia mogą wywołać więcej niebezpiecznych implikacji dla działalności organizacji niż ich całkowity brak.

W opisywanej fazie rozwoju BCP nieodzowną rolę odgrywa zaangażowanie Zespołu Audytu Wewnętrznego (AW). Jedynie przy udziale AW możliwe są do wykonania:

• Testy „walk-through”,
  
• Szkolenia w wybranych zakresach BCP,
  
• Proces zarządzania zmianą (change management) związany z wprowadzeniem nowych procedur,
  
• Przekazanie i odbiór całości Projektu oraz jego weryfikacja.

Paweł Zagajewski

Zapraszamy na szkolenie EXE Group z zagadnienia „Audyt Wewnętrzny w przedsiębiorstwie komercyjnym”, na którym przedstawione zostaną m.in. funkcje audytu wewnętrznego, rola audytora, analiza ryzyka, macierze ryzyk oraz ich praktyczne zastosowanie. Dodatkowo specjaliści z EXE Group odpowiedzą na wszystkie Państwa pytania dotyczące BCP.

Zaintersowane osoby tą tematyką mogą przesyłać swoje pytania do nas (paw@audyt.net), które przekażemy autorowi. Wszystkie odpowiedzi będą publikowane w serwisie. ZAPRASZAMY !!!

Więcej informacji na temat możliwości skorzystania z wykładów prowadzonych przez p. Pawła Zagajewskiego : >>Szkolenie EXE Group<<