riscuri operationale "Jolidon"

MASTER ÎN MANAGEMENTUL RISCULUI ÎN AFACERI INTERNAŢIONALE

Managementul riscurilor operaţionale la compania Jolidon

Ionuţ BOBÎLCĂTiberiu NANCUAlexandru NIŢU

Răzvan RADUAlin VLAD

Bucureşti2013

I. Prezentarea companiei.1

[Niţu Alexandru]

Grupul Jolidon

Fondat în 1993 la Cluj Napoca, România, Jolidon şi-a câştigat poziţia de lider incontestabil al pieţei româneşti de lenjerie şi costume de baie, devenind şi unul din jucătorii importanţi ai pieţei internaţionale.

Povestea succesului Jolidon poate părea desprinsă din filmele clasice americane: un întreprinzător, Gabriel Cîrlig, identifică pe piaţa românească de după `89 două tipologii de produse necesare, dar puţin prezente şi anume lenjeria şi costumele de baie. Începe o mică afacere, alături de câteva persoane dedicate şi ambiţioase. Atelierul iniţial cu 3-4 maşini de cusut – minimum necesar pentru a lucra lenjerie, a devenit în 19 ani o fabrică ale cărei dimensiuni intimidează orice producător de lenjerie din Europa.

În 1994 produsele purtând marca Jolidon erau vândute în peste 100 de magazine iar în 1996 numărul acestora s-a triplat, ajungându-se ca în 2009 produsele Jolidon să fie găsite în peste 1400 de magazine, practic în toată ţara.

Anul 1998 marchează pentru firmă Jolidon deschiderea primului magazin propriu în Timişoara şi a reprezentanţei din Bucureşti. În următorii zece ani a urmat construcţia şi dezvoltarea reţelei de magazine proprii în principalele centre comerciale din marile oraşe ale ţării sau în locaţii bine alese din centrele civice.

În prezent, Grupul Internaţional Jolidon numără peste 2500 de angajaţi şi un lanţ de 87 de magazine proprii, în principalele localităţi şi centre comerciale din România. De asemenea, produsele sunt disponibile în toate marile lanţuri de supermarketuri și hipermarketuri din ţară. În fiecare an fabrică peste 5.000.000 articole, iar în cei 19 ani de existenţă au creat peste 6.000 de modele, mai mult de 60 de ţări.

Designul, calitatea produselor, tehnologia şi materialele utilizate, imaginea și modul de promovare a companiei şi a brandurilor, au făcut ca Jolidon să fie, de-a lungul timpului, unicul participant din România la cele mai prestigioase saloane și târguri internaţionale de profil: SIL Paris, Lyon Mode City, Mode City Paris, Dusseldorf Lingerie, Intimare Bologna, Shanghai Mode Lingerie, Hong-Kong Mode Lingerie, Motexha Dubai, Curvexpo New York, Divat Napok Budapest. Ca urmare a tuturor acestor acţiuni s-a dezvoltat un puternic departament de export care valorifică produsele companiei doar sub brandurile proprii.

Produsele JOLIDON sunt exportate în toată Europa – Italia, Franţa, Ungaria, Rusia, Germania, Elveţia, Belgia, Slovenia, Croaţia, Polonia, Letonia, Rusia, Austria, Cipru, Malta, dar şi în SUA, Canada, sau Japonia ori Africa de Sud, Liban şi Israel.

Startul investiţiilor în afara ţării este marcat de înfiinţarea Jolidon Hungary KFT la Budapesta în anul 2000, continuă cu Jolidon Italia SRL deschisă în 2001 la Milano şi cu Jolidon France SARL cu sediul la Paris deschisă în 2003. În 2009 se deschide Jolidon Polonia cu sediul la Lodz.

În 2004 Jolidon a făcut o investiţie importantă preluând pachetul majoritar de acţiuni al principalului concurent de pe piaţa românească, ARGOS SA, o companie cu

1 Preluare informaţii de pe pagina oficială a companiei: http://www.jolidon.ro/companie/cifre-cheie/ şi

http://www.jolidon.ro/companie/istoric/

1


http://www.jolidon.ro/companie/cifre-cheie/

peste 60 de ani de tradiţie în domeniul lenjeriei şi al costumelor de baie şi 800 de angajaţi.

În 2006 Jolidon achiziţionează LCS Conf SA, una dintre cele mai mari fabrici de confecţii din România cu un istoric de peste cinci decenii şi un brand de renume: Flăcăra.

În 2007 a fost achiziţionată societatea Tricotaje Ineu SA, iar în 2008 Lilly Italia Spa în vederea creşterii capacităţii de producţie a grupului.

Începutul anului 2006 consacră Jolidon că unul din cele mai prestigioase nume în domeniul lenjeriei pe plan mondial, recunoaşterea brandului românesc venind chiar din patria lenjeriei, Franţa. La Salonul Internaţional de Lenjerie de la Paris Jolidon a obţinut unul dintre cele trei premii de excelentă puse în joc în cadrul evenimentului ”Ultralingerie”. Ianuarie 2009 înseamnă succes total al mărcii PRELUDE – marca de lux din portofoliul grupului Jolidon – prin câştigarea Marelui Premiu al Juriului şi Premiului Publicului de specialitate la SIL 2009.

Portofoliul de mărci pe care Grupul Jolidon le gestionează în acest moment însumează: JOLIDON cu sub-brandurile Jolidon Fashion şi Jolidon Clandestine, PRELUDE, ARGOS, LILLY, ECLIZIA, KELITHA iar pentru pret a porter FALLA.

In ultimii ani, Grupul European Jolidon a devenit un nume de referință în economia românească. Remarcăm decernarea în 15 noiembrie 2006 a trofeului internaţional Superbrands. În septembrie 2008, în cadrul Galei Festive de la Milano, organizată de Network Dessous, cel cel mai mare grup de presă specializat în lenjerie şi balnear la nivel mondial, Trofeul Lingerie&Beachwear pentru 2008 i-a fost acordat domnului Gabriel Cîrlig, fiind primul om de afaceri român recompensat cu această distincţie pentru business internaţional.

Evenimente importante în evoluţia sa:

2

1993-1994 Pătrunderea pe piaţa românească, în mod special acoperirea Transilvaniei

1995-1998 Extinderea prezenţei pe piaţa autohtonă, obiectivul urmărit fiind statutul de lider Deschiderea reprezentanţei din Bucureşti

2000 Dobândirea poziţiei de lider de piaţă Deschiderea primei reprezentanţe în străinătate Jolidon KFT la Budapesta

2001 Deschiderea reprezentanţei comerciale Jolidon Italia SRL la Milano

2003 Deschiderea reprezentanţei comerciale Jolidon France Sarl la Paris

2004-2008 Preluarea Argos SA Dezvoltarea reţelei de magazine proprii din ţară

2005 Deschiderea reprezentanţei secundare de la Lyon

2006 Câştigarea premiului de excelenţă Ultralingerie la SIL Paris Preluare LCS Conf SA Preluare Interdealer Capital Invest SA

2007 Preluare pachet majoritar Tricotaje Ineu SA

2008 Achiziţionare Lilly Italia Spa Rebranding

2009 Deschidere reprezentanţă comercială Lilly Poland la Lodz Câştigarea premiilor Juriului şi cel al Publicului la Ultralingerie SIL Paris

2009-2011 Schimbări model de business Focusare pe pieţe emergente (Rusia, Ucraina, Orientul Mijlociu, Asia de SE)

2012 Deschidere magazin online

II. Planul de gestiune al riscurilor operaţionale.

3

http://shop.jolidon.ro/

Riscul operaţional sau de operare reprezintă riscul înregistrării de pierderi sau nerealizării profiturilor estimate, determinat de factori interni (derularea neadecvată a unor activităţi interne datorată personalului sau unor sisteme necorespunzătoare etc.) sau de factori externi (condiţii economice, schimbări în mediul afacerilor, progrese tehnologice, etc.).

În scopul identificării şi evaluării riscului operaţional trebuie să se evalueze operaţiunile şi activităţile în vederea determinării celor vulnerabile, să se stabilească anumiţi indicatori (frecvenţa şi gravitatea erorilor, numărul tranzacţiilor întârziate) şi să se realizeze evaluarea permanentă a nivelului de expunere la aceste riscuri operaţionale (analiza unor scenarii pe baza datelor istorice).

Procedurile pentru administrarea riscului operaţional sunt cele de evaluare, monitorizare şi de reducere a riscului pe plan intern, fie prin transferul către alte domenii de activitate.

Următoarele tipuri de evenimente pot genera riscuri operaţionale: practici defectuoase legate de clienţi, furnizori, produse şi activităţi: utilizarea în alt scop a informaţiilor confidenţiale ale clienţilor, vânzarea neautorizată a ideii unor produse, nerealizarea serviciului suport pentru magazinul online; întreruperea activităţii şi funcţionarea defectuoasă a sistemelor: defecţiuni ale echipamentelor în producţia de textile sau a componentelor hardware şi software în privinţa platformei online, viruşi informatici, întreruperea alimentării cu utilităţi în special energie; frauda internă: furtul de documente, echipamente, materiale, falsificarea documentelor, încheierea de către angajaţi de tranzacţii în cont propriu; frauda externă: infracţiuni de tipul jafurilor, tâlhăriilor, spargerea unor coduri aferente sistemelor informatice – legate de baza de date sau de magazinul online.2

Riscul sistemic se referă la manifestarea unei crize generalizate datorită unei reacţii în lanţ propagată cu rapiditate în întregul sistem, din cauza interconexiunilor. Acesta afectează atât producătorii, cât şi intermediarii.

Se poate ca riscurile să fie datorate catastrofelor naturale sau anumitor acţiuni criminale. De acest gen sunt cutremurele sau atentatele militare.

Unul dintre riscurile operaţionale importante îl reprezintă riscul atribuit sistemului informatic, care poate produce pierderi însemnate. Datorită faptului că pe întregul ciclu de producţie şi distribuţie compania foloseşte tehnica informatică, riscurile acestui domeniu sunt deosebite, iar managementul riscului este deosebit de complex. Riscul informatic este generat de factorii care concep programele informatice, apoi de folosirea echipamentului informatic, de folosirea energiei electrice şi a telecomunicaţiilor.

Personalul angajat este una din cele mai importante resurse ale oricărei companii. Riscul de personal presupune realizarea încălcărilor voite sau din eroare / necunoaştere procedurilor, normelor sau legilor. Este, probabil, ceal mai important risc operaţional şi dificil de controlat. El se măsoară empiric doar după ce evenimentul s-a consumat şi pagubele s-au produs.

Riscul de fraudă reprezintă riscul de a suferi pierderi directe (profit) sau indirecte (imagine) ca urmare a unei fraude interne sau externe.

Riscul de conformitate reprezintă riscul unor pierderi financiare sau al unor sancţiuni de natură legală / reglementară ca urmare a neconformării cu cerinţele.

2 Jorion P. – Financial Risk Manager Handbook, ediţia a VI-a, cap. XXVI Operational Risk, Editura John Wiley &

Sons, New Jersey, 2011

4

Astfel se definesc condiţiile de lucru pentru personalul din fabrica de textile sau obligativitatea de a nu folosi mărfuri de contrabandă, de exemplu.

Riscul generat de procesele utilizate şi de resursele materiale folosite se referă la anumite erori asupra proceselor care duc la distrugerea unei părţi din produse sau la accidentări, iar în privinţa materiilor prime la producţia de slabă calitate sau a unor produse la care clienţii se pot dovedi alergici.

În practică în managementul unei afaceri este oportună combinarea metodelor de gestiune a riscurilor operaţionale.

Tabel nr. 1. Avantajele metodelor de control al riscului operaţional.

Instrumentul de control Avantajele utilizării

Controlul intern şi auditul intern Evaluarea independentă

Sistemul de rapoarte pentru stabilirea

problemelor potenţiale Gestiunea riscului operaţional

Sistemul de limite la riscul operaţional Limitarea pierderilor posibile

Formarea rezervelor Posibilitatea compensării potenţialelor

pierderi

Asigurarea Trecerea riscurilor asupra unor terţi

A. Lista riscurilor

[Bobîlcă Ionuţ, Radu Răzvan, Niţu Alexandru, Nancu Tiberiu, Vlad Alin]

Tabel nr. 2. Lista riscurilor operaţionale.

Sursa Riscului Riscul Specific Cod atribuit

Frauda interna Activitati ce pot avea efecte nedorite asupra

reputatiei institutiei

Spalare de bani

Întocmirea de situaţii şi rapoarte false, cu

rea credinţă, în intenţia de a frauda

Utilizarea cu rea credinta a informaţiilor

confidenţiale ale clienţilor

Instrainarea informatiilor interne ale

companiei

FI01

FI02

FI03

FI04

FI05

5

Nerealizarea sarcinilor de serviciu

Furtul de documente

Furtul de echipamente

Furtul de materii prime

Furtul de produse

Activitati neautorizate ale personalului

FI06

FI07

FI08

FI09

F10

F11

Frauda externa

Accesarea externa neautorizata a

informatiilor si sistemelor

Transmiterea de informatii false privind

identitatea

Santaj

Jaf

Falsificare

Vandalism

FE01

FE02

FE03

FE04

FE05

FE06

Angajatii si

Siguranta locului

de munca

Absenţa personalului adecvat

Pierderea personalului cheie

Concedierea ilegala

Discriminarea

Hartuirea

Compensatia angajatilor

Siguranta si protectia angajatilor

Intrare în grevă

Lipsa pregătirii corespunzatoare

Nerespectarea legislatiei muncii

AS01

AS02

AS03

AS04

AS05

AS06

AS07

AS08

AS09

AS10

Intreruperea

activitatii si

functionarea

Intreruperea utilitatilor

Căderea reţelelor de comunicatii

Caderi de software

T01

T02

T03

6

neadecvata a

sistemelor

Caderi de hardware

Incompatibilitati cu sistemele existente

Pierderea unor date din aplicaţiile

informatice

Erorile legate de transmiterea datelor în

format electronic

Defectarea echipamentelor tehnologice si a

componentelor hardware

Razboi

Exproprieri

T04

T05

T06

T07

T08

T09

T10

Clienti, produse

si practici

comerciale

Prelucrarea gresita a comenzilor si

ordinelor

Inregistrari gresite in contul clientilor

Plati gresite catre distribuitori

Achizitii fara acoperire in numerar

Informare eronata

Neînţelegerile contractuale

Nesatisfacerea cerinţelor clientilor

Renunţarea clienţilor

Politica antitrust

Comert necorespunzator

Produse defecte

CP01

CP02

CP03

CP04

CP05

CP06

CP07

CP08

CP09

CP10

CP11

Pagube asupra

activele corporale Folosirea necorespunzătoare a activelor

corporale şi stricarea acestora

Distrugerea produselor

Incendii

Inundaţii

PA01

PA02

PA03

PA04

7

Terorism

Dezastre civile

Distrugeri de proprietate

PA05

PA06

PA07

Executie, livrare

si gestionarea

proceselor

Erori de contabilitate

Rapoarte obligatorii eronate

Pierderi din neglijenta

Manipularea de piata

Documente completate incorect

Clauze contractuale inadecvate

Documente lipsa

M01

M02

M03

M04

M05

M06

M07

Juridic

Modificarea prevederilor legale

Aplicarea incorecta a prevederilor legale

Amenzi

Penalitati

Sanctiuni

J01

J02

J03

J04

J05

B. Matricea riscurilor

[Radu Răzvan]

Tabel nr. 3. Impactul riscurilor operaţionale definit ca produsul dintre probabilitate şi consecinţe.

Impact mare, probabilitate mică Impact mare, probabilitate mare

Impact mic, probabilitate mică Impact mic, probabilitate mare

8

Impact

Probabilitate0% 100

4

12

9

Tabel nr. 4. Matricea riscurilor operaţionale.

12

Spalare de baniÎntocmirea de situaţii şi rapoarte false, cu rea credinţă, în intenţia

de a fraudaInstrainarea informatiilor interne ale companiei

Accesarea externa neautorizata a informatiilor si sistemelorSantaj

JafIntreruperea utilitatilor


Caderi de software

Caderi de hardware


Pierderea unor date din aplicaţiile informaticeDefectarea echipamentelor tehnologice si a componentelor

hardwareIncendii

Inundaţii

Terorism

Dezastre civile




Amenzi

Penalitati

Sanctiuni

Activitati ce pot avea efecte nedorite asupra reputatiei institutieiAbsenţa personalului adecvat

Pierderea personalului cheieConcedierea ilegala

Hartuirea

Erorile legate de transmiterea datelor în format electronicExproprieri






Documente lipsaNesatisfacerea cerinţelor clientilor

11

Întocmirea de situaţii şi rapoarte false, cu rea credinţă, în intenţia de a frauda

Nerealizarea sarcinilor de serviciuFurtul de documente



Furtul de produse

Activitati neautorizate ale personaluluiTransmiterea de informatii false privind identitatea

Falsificare

Vandalism

Folosirea necorespunzătoare a activelor corporale şi stricarea

acestora





Nerespectarea legislatiei munciiPrelucrarea gresita a comenzilor si ordinelor




Informare eronata



Politica antitrust


Produse defecte

12

Impact

Probabilitate0% 100

4

C. Harta de interconectare a riscurilor

[Radu Răzvan, Vlad Alin]

Tabel nr. 5. Harta de interconectare a riscurilor operaţionale.

Riscul specific Legătura cu alte riscuri

Activitati ce pot avea efecte nedorite

asupra reputatiei institutiei

Spalare de bani






Furtul de documente



Furtul de produse

Santaj

Falsificare


Concedierea ilegala

Discriminarea

Hartuirea




informatice


format electronic


ordinelor




Informare eronata





Produse defecte

Amenzi

Penalitati

Sanctiuni

Spalare de bani Activitati ce pot avea efecte nedorite







companiei

Furtul de documente





identitatea

Falsificare






Spalare de bani




14

companiei


Furtul de documente





identitatea

Falsificare





Informare eronata






Documente lipsa







Spalare de bani




companiei


Furtul de documente



15



identitatea

Jaf

Falsificare



informatice


format electronic



companiei







Furtul de documente





identitatea



informatice


format electronic



16

Nerealizarea sarcinilor de serviciu Spalare de bani






companiei

Furtul de documente



Furtul de produse





identitatea

Santaj

Falsificare

Concedierea ilegala




ordinelor




Informare eronata







17


Documente lipsa

Furtul de documente Utilizarea cu rea credinta a informaţiilor



companiei





Santaj

Falsificare

Furtul de echipamente Nerealizarea sarcinilor de serviciu


Jaf

Furtul de materii prime Nerealizarea sarcinilor de serviciu


Jaf

Furtul de produse Nerealizarea sarcinilor de serviciu


Jaf

Activitati neautorizate ale personalului Spalare de bani






companiei


Furtul de documente



Furtul de produse

18




identitatea

Santaj

Jaf

Falsificare

Vandalism

Discriminarea

Hartuirea



informatice


format electronic

Defectarea echipamentelor tehnologice si

a componentelor hardware


ordinelor




Informare eronata




Folosirea necorespunzătoare a activelor



Incendii


19



Documente lipsa




companiei

Furtul de documente

Jaf



Caderi de software

Caderi de hardware


informatice




identitatea








Falsificare


format electronic


Informare eronata

Santaj Utilizarea cu rea credinta a informaţiilor



companiei

20


Furtul de documente








Documente lipsa

Jaf Furtul de documente



Furtul de produse



Terorism

Falsificare Spalare de bani




companiei


Furtul de documente





identitatea




ordinelor

21






Vandalism Activitati neautorizate ale personalului

Jaf


Razboi


Incendii

Terorism

Dezastre civile


Absenţa personalului adecvat Întocmirea de situaţii şi rapoarte false, cu





companiei


Furtul de documente



Furtul de produse



identitatea

Santaj

Jaf

Falsificare

Vandalism


22

Hartuirea






informatice


format electronic




ordinelor




Informare eronata







Incendii




Documente lipsa

Pierderea personalului cheie Nerealizarea sarcinilor de serviciu



23




ordinelor




Informare eronata






Documente lipsa

Concedierea ilegala Activitati ce pot avea efecte nedorite



Discriminarea

Hartuirea


Discriminarea Activitati ce pot avea efecte nedorite



Concedierea ilegala

Hartuirea



Intrare în grevă

Hartuirea Activitati ce pot avea efecte nedorite



Concedierea ilegala

Discriminarea

24



Intrare în grevă

Compensatia angajatilor Discriminarea


Intrare în grevă


Siguranta si protectia angajatilor Activitati ce pot avea efecte nedorite



Intrare în grevă


Intrare în grevă Activitati ce pot avea efecte nedorite


Concedierea ilegala

Discriminarea

Hartuirea






Lipsa pregătirii corespunzatoare Nerealizarea sarcinilor de serviciu

Furtul de documente



Furtul de produse


Santaj

Jaf

Falsificare

Vandalism


25





ordinelor




Informare eronata







Incendii






Documente lipsa

Nerespectarea legislatiei muncii Activitati ce pot avea efecte nedorite







companiei


identitatea

Concedierea ilegala

26

Discriminarea

Hartuirea


Intrare în grevă

Intreruperea utilitatilor Comert necorespunzator

Căderea reţelelor de comunicatii Defectarea echipamentelor tehnologice si



Caderi de software Pierderea unor date din aplicaţiile

informatice


Caderi de hardware Defectarea echipamentelor tehnologice si



Incompatibilitati cu sistemele existente Nerealizarea sarcinilor de serviciu


informatice


format electronic


informatice




companiei







Caderi de software



27

format electronic




format electronic






Caderi de software

Caderi de hardware



informatice





Vandalism




Caderi de hardware

Razboi Furtul de documente



Furtul de produse

Jaf

Vandalism

Incendii

Inundaţii

Terorism

Dezastre civile


Exproprieri Dezastre civile

28




ordinelor




Caderi de software

Caderi de hardware



informatice


format electronic




Informare eronata



Documente lipsa





Plati gresite catre distribuitori Activitati ce pot avea efecte nedorite


Spalare de bani







29

format electronic


ordinelor



Documente lipsa


Spalare de bani








Informare eronata














Informare eronata





Nesatisfacerea cerinţelor clientilor Activitati ce pot avea efecte nedorite

30





Discriminarea

Hartuirea



ordinelor


Informare eronata



Produse defecte






Discriminarea

Hartuirea

Informare eronata


Produse defecte







Politica antitrustNerespectarea legislatiei muncii


Comert necorespunzator Activitati ce pot avea efecte nedorite




31


ordinelor


Informare eronata

Politica antitrust


Produse defecteActivitati ce pot avea efecte nedorite






Produse defecte



Incendii


Incendii

Terorism

Dezastre civile


Inundaţii


Inundaţii

Dezastre civile


Terorism

Razboi


Incendii

Dezastre civile


Dezastre civileTerorism


Distrugeri de proprietate Vandalism

Razboi


32

Incendii

Inundaţii

Terorism

Dezastre civile




Falsificare






Informare eronata


Documente lipsa




Falsificare










Exproprieri


ordinelor




Documente completate incorect Activitati ce pot avea efecte nedorite


33








Clauze contractuale inadecvate Neînţelegerile contractuale

Documente lipsa






Exproprieri








Amenzi




Furtul de produse


Jaf

Vandalism

Discriminarea

Hartuirea





Penalitati Activitati ce pot avea efecte nedorite

34


Spalare de bani






companiei

Furtul de documente



identitatea

Santaj

Jaf

Falsificare

Vandalism

Concedierea ilegala

Discriminarea

Hartuirea





Sanctiuni





Documente lipsa



D. Balanced Scorecard

[Niţu Alexandru]

35

Viziune - Strategie3

Jolidon reprezintă starul de pe scena lenjeriei intime din România şi unul din actorii importanţi pe cea europeană. Vor să devină reprezentantul cel mai de seamă al lenjeriei europene pe scena mondială. Se declară brand global, dar păstrează totodată moştenirea europeană a lenjeriei, esenţa mărcilor Jolidon.

Drumul parcurs pentru a deveni simbolul lenjeriei europene pe plan global va implica un design original şi recognoscibil, o calitate ireproşabilă, o execuţie impecabilă, cele mai profesioniste strategii de marketing şi o publicitate creativă.

Grafic nr. 1. Harta strategică.

Tabel nr. 6. Balanced Scorecard.

3 http://www.jolidon.ro/companie/filosofie/

36

creşterea cotei globale

de piaţă

îmbunătăţirea imaginii brandului

creşterea utilizării

noilor tehnologii în

producţie

optimizarea costurilor

factorilor de producţie

creşterea

economiilor de

scală

îmbunătăţirea performanţelor marketingului eficientizarea

proceselor din

producţie

creşterea veniturilor globale

îmbunătăţirea

calităţii produselor

creşterea valorii de

piaţă a companiei

perfecţionarea personalului

Obiective strategiceMăsurarea

performanţelorIniţiative

Financiar

creşterea valorii de piaţă a

companiei

optimizarea costurilor

factorilor de producţie

creşterea veniturilor globale

valoarea de piaţă a

companiei

valoarea costurilor factorilor

de producţie

veniturilor globale

fuziunea cu o companie

concurentă, sau de pe o piaţă

emergentă

achiziţia unei companii

concurente, sau de pe o piaţă

emergentă

Clienţi

creşterea cotei globale de

piaţă

îmbunătăţirea imaginii

brandului

cota globală de piaţă

indicatorii imaginii de brand

dezvoltarea unor noi mărci

de produse

consolidarea imediată a

poziţiei de pe pieţele emergente

Procese interne

creşterea economiilor de

scală

îmbunătăţirea calităţii

produselor

eficientizarea proceselor

din producţie

îmbunătăţirea

performanţelor

marketingului

scăderea costurilor

unitare pentru produse

standarde de calitate a

produselor

nivelul de automatizare

din cadrul fabricii

scorul auditului

departamentului de

marketing

fabricarea unor noi

produse de calitate

automatizarea unor

procese care implică o

utilizare sporită a

factorului de producţie

muncă

o campanie de

marketing de anvergură

Creştere şi dezvoltare

creşterea utilizării noilor

tehnologii în producţie

perfecţionarea

personalului

indicele de

productivitate al factorilor

de producţie analizaţi pe

respectivele categorii de

produse

indicele individual de

productivitate

adoptarea unor noi

tehnologii în producţie

efectuarea unor stagii de

pregătire şi perfecţionare

a personalului

E. Analiza a 5 scenarii pentru un risc

37

[Bobîlcă Ionuţ]

Deoarece compania Jolidon si-a propus sa satisfaca si cele mai exigente cerinte ale clientilor sai, ne-am propus sa luam in considerare, pentru analiza scenariilor, riscul de nesatisfacere a cerintelor clientilor.

Nesatisfacerea cerintelor clientilor este un risc cu impact puternic pe care compania trebuie sa-l ia in considerare in construirea planului de gestiune a riscurilor operationale. Acest risc prezinta o probabilitate mica de aparitie insa impactul pe care il poate avea asupra afacerii poate fi unul semnificativ.

Acest risc se poate produce datorita unor factori (forte) ce tin de: - gestionarea inadecvata a informatiiilor despre clienti;- un serviciu clienti slab; - aprecierea gresita a capabilitatilor de productie; - cresterea pretului nejustificata; - aparitia altor situatii neprevazute ce pot intrerupe si afecta productia sau

calitatea produselor de consum;- adoptare unei strategii de marketing gresite si luarea unor decizii

strategice neadecvate; - schimbarea neanticipata a preferintelor de consum; - neatentia asupra posibilitatilor si capabilitatilor concurentilor si a

potentialului produselor acestora; - avantajul tehnologic.

Pentru gestionarea acestui tip de risc ne-am propus sa construim 5 scenarii cu ajutorul carora sa putem prevenii, diminua sau chiar elimina efectele ce pot sa apara datorita ignorarii sau gestionarii incorecte a acestuia.

Scenariul 1. Preferintele viitoare ale clientiilor se vor manifesta si vor fi diferite fata de cele din prezent. Cunoasterea preferintelor clientiilor este importanta pentru orice afacere pentru a putea ajusta productia in asa fel incat sa intruneasca si sa satisfaca nevoile clientiilor sai. Abordarile decizionale si strategice sunt cruciale in conditiile in care clientii se vor reorienta din punct de vedere preferential si daca nu se va lua in calcul concurenta si inovatia, riscul de nesatisfacere a cerintelor clientilor poate sa afecteze grav activitatea si veniturile viitoare ale firmei. Un exemplu al acestui scenariu il reprezinta compania Nokia care a fost depasita de rivalii Apple si Samsung, si astfel pierzand mare parte din clienti si colaboratori.

Scenariul 2. Sa presupunem ca peste 10 ani compania Jolidon inca va avea un renume puternic insa vanzarile incep sa scada si cumparatorii se arata nemultumiti de calitatea produselor, iar cantitativ compania nu mai poate sa faca fata cererii. Mergand si mai mult in viitor va incepe sa scada si reputatia companiei astfel incat va ramane doar o amintire a numelui acesteia. Acest lucru se datoreaza linei tehnologice invechite ce nu a tinut pasii cu tehnologia moderna de productie si planificarii productiei care a pus accent pe atragerea unor venituri ridicate si mentinerea cheltuielilor cat mai mici posibile. Netinand seama de importanta si benefiiciile aduse de avantajul tehnologic, deciziile strategice pe care s-a axat conducerea companiei vor conduce incet catre colaps.

Scenariul 3. Pentru o firma precum Jolidon, care opereaza atat pe piata

38

articolelor de lenjerie intima cat si in mediul online pentru a-si comercializa produsele, este necesara o gestionare optima si o administrare strategica bine detaliata si urmarita in timp. Daca nu se va tine cont de aceste lucruri, compania is va pierde reputatia si clientii datorita unor serii de esecuri consecutive. Nesatisfacerea cerintelor consumatorilor se va materializa prin incapacitatea companiei de a-si multumii toti cumparatorii si de a onora toate comenzile, datorita aprecierii si calculelor gresite ale managementului asupra capabilitatilor de productie. Din acest punct de vederea ar trebui urmarite, retehnologizarea sau imbunatatirea si cresterea tehnologica, precum si incheierea unor contracte cu furnizori seriosi care care sa puna la dispozitie cantitatea necesara de materii prime in timp util.

[Vlad Alin]

Scenariul 4. Presupunem ca Jolidon ar dori sa intre pe o piata cu produse mai exclusiviste, de o calitate superioara pentru a atrage si clienti cu putere de cumparare mai mare. O alegere neinspirata a furnizorilor ar putea duce la pierderea clientilor. Produsele ar fi mai scumpe insa calitatea lor nu va justifica pretul. Astfel ei nu doar ca ar pierde potentiali clienti, ci ar suferi si la capitolul imagine, de asemenea clientii celorlalte produse ar incepe sa se indoiasca de calitatea lor si ar putea scadea vanzarile. Pentru a evita o astfel de situatie compania ar trebui sa analizeze mai intai piata daca i-ar permite sa realizeze o astfel de miscare si sa ia o decizie avand in vedere intreaga companie, nu doar un segment al pietei. O hotarare de acest gen i-ar fi de ajutor pe termen lung.

Scenariul 5. Presupunem ca organizatia primeste zilnic sute de mesaje din partea clientilor, in care i se cere sa deschida o zona pe site unde cumparatorii sa-si poata customiza produsul pe care urmeaza sa-l achizitioneze. Daca ar accepta sa faca asta, compania ar trebui sa aiba in permananta in stoc materii prime pentru fiecare model si sa programeze masina pentru fiecare tip de comanda in parte. Costurile ar fi mult prea mari si s-ar piedre mult prea mult timp. Pentru acest scenariu este posibil ca firma sa nu poata sa-si satisfaca clientii, pentru acest lucru fiind nevoie de o investitie mult prea mare in procesul tehnologic si in dezvoltarea unui program de software pentru customizarea produselor. Fiind o parte redusa din numarul total de client nu ar fi o pierdere prea mare faptul ca nu i-ar putea satisfice din acest punct de vedere, ei putand in continuare sa aleaga dintr-o gama extreme de variata de produse.

F. Business Continuity Plan

[Nancu Tiberiu]

Continuarea activităţii şi refacerea după dezastre

1.1. Continuarea activităţii. Planificarea refacerii după dezastre

Activitatea oricărei organizaţii este expusă unei multitudini de riscuri care pot produce afectări ale activităţii, pierderi materiale, financiare, umane sau pot afecta imaginea acesteia. În aceste condiţii este esenţial ca managementul să stabilească ca obiectiv strategic crearea unei culturi organizaţionale menite să permită identificarea şi managementul riscurilor care se pot produce. Astfel de riscuri sunt reprezentate de:

39

- Imposibilitatea de a asigura servicii critice destinate clienţilor;- Afectări ale cotei de piaţă, imaginii, reputaţiei sau brandului;- Eşecul în protejarea activelor, inclusiv activele de natura proprietăţii

intelectuale sau personalul;- Eşecul controlului afacerii;- Imposibilitatea asigurării conformităţii în raport cu legislaţia şi cadrul de

reglementare.

Scopul procesului de continuare a activităţii/refacerii după dezastre (business continuity/desaster recovery) este să permită organizaţiei să-şi deruleze afacerea oferind serviciile critice în cazul producerii unor evenimente distructive şi să poată face faţă unei întreruperi a sistemului său informaţional. Pentru astfel de evenimente este necesar să se elaboreze planuri de reluare a activităţii şi să se asigure resursele necesare.

Planificarea continuării activităţii (Business Continuity Planing – BCP) reprezintă procesul proiectat pentru reducerea riscurilor activităţii organizaţiei apărute ca urmare a întreruperii neaşteptate a funcţiilor/operaţiilor critice, manuale sau automate, necesare pentru supravieţuirea organizaţiei. Sunt cuprinse resursele materiale şi umane necesare în vederea asigurării unui nivel minim pentru operaţiile critice.

Planul de Continuare a activităţii este urmarea conştientizării impactului producerii unor evenimente de tipul dezastre naturale, defecţiuni tehnologice, erori umane sau terorism, a înţelegerii necesităţii de a fi pregătit pentru astfel de evenimente obiectivele urmărite fiind reprezentate de minimizarea pierderilor financiare, continuarea activităţii curente pentru asigurarea serviciilor solicitate de clienţi, limitarea distrugerilor, a afectării reputaţiei, lichidităţii, poziţiei în piaţă şi asigurarea conformităţii cu legile şi regulamentele în domeniu.

BCP este un proces complex desfăşurat în mai multe etape. Prima dintre acestea, şi extrem de importantă prin ieşirile pe care le oferă, este reprezentată de evaluarea riscurilor. Această etapă are rolul de a identifica cele mai importante procese care susţin activitatea organizaţiei. BCP se va construi plecându-se de la aceste procese critice asigurând continuarea operaţiilor în cazul producerii evenimentelor distructive.

BCP intră în sfera de responsabilitate a senior managementului însărcinat cu asigurarea protecţiei activelor şi a viabilităţii organizaţiei. Senior managementul este răspunzător de managementul riscurilor la nivelul organizaţiei şi de aceea aprobarea şi monitorizarea modului de implementare a BCP reprezintă una dintre responsabilităţile sale. Implicarea top managementului în elaborarea planului este esenţială prin natura soluţiilor adoptate, prin resursele disponibilizate în acest sens şi nu în ultimul rând prin mutaţiile produse chiar în cultura organizaţională.

BCP trebuie să privească toate funcţiile şi activele organizaţiei. Fiecare entitate organizaţională trebuie să asigure un nivel minim de funcţionalitate imediat ce se produce întrerupera activităţii din cauza unui eveniment distructiv.

40

BCP include proceduri de refacere în urma dezastrelor (disaster recovery procedures – DRP) şi planul de continuitate al operaţiilor. Dacă DRP este planul destinat reluării activităţilor operaţionale la nivelul entităţilor organizaţionale, în cazul sistemelor informaţionale DRP cuprinde procedurile necesare refacerii proceselor IT. Planul de refacere pentru sistemele informaţionale trebuie perceput ca parte dar şi suport al întregului plan de continuare a activităţii. BCP ia în considerare operaţiunile cheie cele mai importante pentru supravieţuirea organizaţiei precum şi resursele materiale şi umane care să le susţină.

BCP cuprinde:- DRP (Disaster Reocovery Plan) necesar în refacrea facilităţilor devenite

neoperabile, incluzând relocarea operaţiilor într-o nouă locaţie;- Planul operaţiunilor (Operaţions Plan) necesar entităţilor organizaţionale în

efortul de refacere;- Planul de restaurare (Restoration Plan) necesar reluării operaţiilor într-o

locaţie refăcută sau una nouă.

Partea de operaţiuni a BCP trebuie să privească toate funcţiile şi activele necesare. Soluţia unor facilităţi alternative este o ultimă decizie determinată de costurile implicate.

Aşa cum arătam, primul pas în realizarea BCP este reprezentat de analiza riscurilor. Pentru aceasta este necesară identificarea ameninţărilor asupra activelor. În cazul DRP activele sunt reprezentate de componentele sistemului informaţional. Riscul este direct proporţional cu valoarea activului şi probabilitatea apariţiei ameninţării. Clasificarea aplicaţiilor informatice depinde de natura business-ului şi importanţa aplicaţiei pentru business. În egală măsură, valoarea este dată şi de importanţa aplicaţiei în raport cu strategia organizaţiei. Componentele sistemului infortaţional sunt adecvate aplicaţiilor (valoarea calculatoarelor şi a reţelei sunt determinate de importanţa aplicaţiei care le foloseşte).

Scopul BCP este de a identifica ce trebuie să se întâmple la nivelul afacerii atunci când se produce un dezastru. De aceea o componentă a BCP este planul IT de refacere în urma unui dezastru (IT Disaster Recovery Plan). Acesta detaliază procedurile ce urmează a fi executate de specialiştii IT în scopul refacerii sistemului informaţional. DRP poate fi inclus în BCP sau poate constitui un document distinct în funcţie de nevoile organizaţiei.

Este necesar să subliniem faptul că nu toate sistemele trebuie să prezinte o strategie de refacere. În baza rezultatelor analizei riscurilor, managementul poate considera că din punct de vedere al eficienţei economice (raportul cost-beneficiu) anumite aplicaţii nu trebuie refăcute în cazul producerii unui dezastru.

Concluzionând, conceptul de planificarea a continuităţii activităţii înseamnă o combinaţie între planificarea refacerii în caz de dezastre şi continuitatea operaţiunilor activităţii. În funcţie de complexitatea activităţii, pot fi elaborate unul sau mai multe planuri acoperind diferitele aspecte ale continuării activităţii şi refacerii, dar fiecare dintre acestea trebuie să fie coroborat cu celelalte planuri pentru a se asigura o strategie BCP viabilă.

41

1.2. Continuitatea sistemelor informaţionale. Planificarea refacerii în urma dezastrelor

Continuitatea sistemelor informaţionale. Planificarea refacerii în urma dezastrelor (IS Business Continuity/Disaster Recovery Planning) reprezintă o componentă importantă a BCP şi strategiei de reafacere în caz de dezastru. Procesarea prin mijloace IT este de importanţă strategică deoarece aproape toate procesele afacerii utilizează resursele IT. În aceste condiţii devine necesară existenţa unei facilităţi pentru procesarea informatică pregătită a fi operaţională în momentul producerii unui dezastru. Dacă este realizat ca plan de sine stătător, planul SI trebuie să fie în conformitate cu BCP.

1.2.1. Dezastre şi alte evenimente distructive

Dezastrele determină inoperativitatea resurselor informaţionale afectate pentru o perioadă de timp fiind astfel afectată desfăşurarea normală a activităţii. Întreruperea poate să dureze de la câteva ore la câteva zile în funcţie de amploarea distrugerilor care au afectat resursele informaţionale. Acest fapt determină eforturi de refacere a statusului operaţional.

Un dezastru poate fi produs de calamităţi naturale cum ar fi cutremure, inundaţii, tornade, furtuni puternice, incendii etc. care produc distrugeri extinse facilităţii de procesare şi localităţii în care aceasta se află. Alte dezastre pot să apară când servicii vitale cum ar fi furnizarea de energie electrică şi/sau gaz, telecomunicaţiile sau alte servicii nu mai pot fi asigurate de furnizori. Tot în categoria dezastrelor includem atacurile teroriste, atacurile hacker-ilor, viruşii şi erorile umane.

Este bine să precizăm faptul că nu toate întreruperile în asigurarea serviciilor critice pot fi considerate ca dezastre. Este cazul funcţionării defectuase a sistemelor, deteriorarea accidentală a fişierelor, „căderea” reţelei etc. Acestea reprezintă evenimente cu risc înalt dar chiar dacă necesită refacerea componentelor hardware, a fişierelor sau a software-ului nu se vor regăsi în BCP. Un bun BCP va lua în considerare toate tipurile de evenimente având impact critic asupra facilităţilor de procesare automată şi activitatea curentă a utilizatorilor finali. În cazul scenariilor celor mai grave vor trebui stabilite strategii pe termen scurt şi lung. În cazul strategiilor pe termen scurt se poate opta pentru facilităţi de procesare alternativă pentru acoperirea nevoilor operaţionale imediate. Pe termen lung se impune o nouă facilitate permanentă echipată astfel încât să asigure continuitatea proceselor normale ale SI.

Zvonurile referitoare la producerea unor incidente serioase pot avea sau nu surse interne, pot avea sau nu corespondent în realitate, dar consecinţele lor pot fi devastatoare, putând să determine chiar pierderea încrederii clienţilor şi a partenerilor de afacere în organizaţie şi scăderea valorii de piaţă a acesteia. De aceea activităţile de PR (public relations) pot să joace un rol important în protejarea imaginii organizaţiei şi asigurarea faptului că nu se va ajunge la acutizarea crizei. Pentru aceasta este necesară respectarea cerinţelor de bună practică în cazul incidentelor majore.

42

Declaraţiile publice vor trebui să prevină/restrângă impactul negativ asupra opiniei publice şi impactul financiar al zvonurilor.

1.2.2. Procesul BCP

Procesul BCP se desfăşoară în următoarele faze ale ciclului de viaţă:

1. Crearea unei politici privind continuitatea activităţii şi refacerea după dezastru;2. Analiza impactului asupra activităţii (Business Impact Analysis – BIA);3. Clasificara operaţiilor şi analiza critică;4. Elaborarea BCP şi a procedurilor de refacere (DRP);5. Instruirea cu privire la BCP şi conştientizarea importanţei lui;6. Testarea şi implementara planului;7. Monitorizarea.

Politica de continuitate a activităţii şi de refacere în caz de dezastru trebuie să fie proactivă şi să înglobeze controale preventive, detective şi corective. BCP este cel mai critic control corectiv şi este dependent de alte controale, în particular managementul incidentelor şi backup-ul. De aceea este necesar ca grupul pentru managementul incidentelor să prezinte o componenţă adecvată, pregătită în managementul de criză iar BCP să fie corect proiectat, documentat, testat, fundamentat şi auditat.

Managementul incidentelor BCP

Literatura de specialitate evidenţiază necesitatea ca managementul să înţeleagă caracteristicile asociate unei crize. Aceste caracteristici sunt reprezentate de:

- elementul surpriză

- lipsa unor informaţii

- pierderea (în mai mare sau mai mică măsură) a controlului

- escaladarea cursului evenimentelor

- panică etc.

Spre deosebire de criză, un incident este un eveniment neaşteptat, care nu cauzează pagube importante. Incidentele şi crizele au o natură dinamică. Ele evoluează în timp şi datorită circumstaţelor noi apărure, sunt adesea rapide şi neprevăzute. De aceea managementul lor trebuie să fie dinamic, proactiv şi bine documentat. În funcţie de rezultatul estimării nivelului consecinţelor distrugerii asupra activităţii, toate incidentele trebuie clasificate. Clasificarea incidentelor poate include următoarele categorii:

- Neglijabil: incident care nu produce distrugeri semnificative sau distrugerile sunt neperceptibile („căderi” ale sistemului de operare urmate de recuperarea completă a informaţiilor, „căderi” ale sursei de energie suplinite de UPS-uri).

- Minor: sunt evenimente care deşi nu sunt neglijabile nu produc un impact material sau financiar negativ.

43

- Major: incidente care produc impact material negativ asupra proceselor afacerii şi pot afecta alte sisteme, departamente sau chiar parteneri de afaceri (clienţii).

- Criză: este un incident major care poate avea un impact material serios asupra continuităţii afacerii şi poate afecta negativ alte sisteme şi terţi. Severitatea incidentului este direct proporţională cu intervalul scurs între începutul incidentului şi momentul refacerii în urma impactului produs.

Incidentele minore, majore şi crizele trebuie documentate, clasificate şi urmărită soluţionarea lor. Acesta este un proces dinamic, deoarece un incident major poate să descrească în intensitate pentru ca mai târziu să se extindă şi să producă o criză. Incidentele neglijabile pot fi analizate statistic cu scopul identificării unor cauze sistemice sau evitabile.

Ofiţerul de securitate sau orice altă persoană desemnată trebuie să notifice toate incidentele de îndată ce un eveniment se produce urmând un protocol prestabilit. În conformitate cu această procedură va fi contactat purtătorul de cuvânt, va fi informat managementul sau vor fi anunţate organizaţiile de reglementare implicate.

Analiza impactului asupra activităţii (Business Impact Analysis)

BIA reprezintă un pas important în elaborarea BCP. Această etapă are ca scop identificarea evenimentelor care pot să apară afectând continuitatea operaţională a organizaţiei, generând un impact negativ asupra situaţiei financiare, resurselor umane şi reputaţiei organizaţiei.

Desfăşurarea acestei faze presupune o bună cunoaştere a organizaţiei, a proceselor cheie şi a resurselor IT necesare susţinerii acestor procese. De aceea este necesară identificarea aplicaţiilor şi datelor critice, reţelelor, sistemelor software, facilităţilor proces realizat cu aprobarea managementului.

În desfăşurarea BIA se pot utiliza mai multe abordări:

- Utilizarea de chestionare: presupune utilizarea de chestionare detaliate destinate utilizatorilor IT cheie şi utilizatorilor finali.

- Derularea de interviuri la nivelul grupurilor de utilizatori cheie.- Discuţii cu utilizatorilor finali şi responsabili IT cu scopul estimării

impactului posibil ca urmare a producerii unor întreruperi de amploare diferită.

Realizarea BIA presupune soluţionarea a trei probleme majore:1. Identificarea proceselor critice pentru organizaţie. 2. Identificarea resurselor informaţionale critice specifice proceselor critice

identificate în primul pas.3. Determinarea timpului critic de refacere a resurselor informaţionale în care

procesele afacerii trebuie reluate înainte să se înregistreze pierderi semnificative sau inacceptabile. Spre exemplu, instituţiile financiare sau de brokeraj vor determina timpi critici de refacere mult sub cei determinaţi de

44

întreprinderile cu profil de producţie, acest lucru fiind determinat de natura serviciilor prestate.

La nivelul unei organizaţii spre exemplu, este important ca pentru funcţiile critice să se determine durata maximă admisă a întreruperilor, informaţia urmând a fi sintetizată sub forma matricei funcţiilor critice (tabelul 7.1)

Tabelul nr. 7.1Timp de întrerupere admis şi nivel minim de activitate necesitat

Activităţi < 1 zi <3 zile <7 zile < 14 zile < 30 zileA1 xA2 xA3 xA4 xA5 xA6 x

Pentru luarea acestei decizii sunt luaţi în considerare doi factori: costul întreruperii (downtime cost) provocat de dezastru şi respectiv costul strategiei corective alternative (figura 7.1).

Costul întreruperii provocate de dezastru trebuie limitat deoarece înregistrează creşteri rapide în timp. În momentul în care el îşi încetează creşterea s-a atins punctul în care activitatea (afacerea) nu mai poate continua.

Costul strategiilor corective alternative scad odată cu obiectivele stabilite pentru timpul de refacere. Costul refacerii este format din costul:

pregătirii şi testării periodice a BCP; costul locaţiilor destinate site-urilor de back-up;

45

Timp

Cost

Total

Minimum Timp de nefuncţionare

Strategii de refacere alternative

Figura 7.1 Costul întreruperii vs. costul refacerii

Operaţii întrerupte

costul poliţelor de asigurare; costul anual al locaţiilor alternative.

Figura 7.1 evidenţiază costul strategiilor alternative, costul întreruperilor dar şi costul total al întreruperii şi refacerii. Scopul urmărit este reprezentat de identificarea punctului în care costul total este minim. Atingerea acestui punct se va realiza prin gândirea de soluţiile alternative. Curba din figura 7.1 numită strategiile de refacere alternative este reprezentarea în fapt a mulţimii strategiilor posibile, fiecare strategie posibilă având un cost fix. Cu cât timpul de refacere cerut va fi mai scurt cu atât costul fix va fi mai mare. Dacă strategia de continuare a activităţii presupune un timp de refacere mai mare, va fi mai puţin costisitoare dar mai susceptibilă la costuri ale întreruperii evoluând în spirală fără a mai putea fi controlate.

După identificarea activităţilor critice şi aplicaţiilor care le susţin se procedează la identificarea ameninţărilor în condiţiile funcţionării normale a sistemului. Specialiştii în domeniu recomandă identificarea tipurilor de ameninţări care conduc la întreruperi ale funcţionării sistemului, rezultatul acestei analize urmând să se materializeze într-o grilă în care prima coloană va indica tipul de ameninţare iar în coloana a doua se va preciza în ce măsură acesta a determinat incidente conducând la întreruperea funcţionării sistemului (Tabelul 7.2).

Tabelul nr. 7.2Tipul ameninţării Procent

Intreruperea alimentării cu energie electrică

35%

Factor uman (erori, saboraj) 12%Inundaţii 10%Defecţiuni hardware 15%Furtuni 8%Incendii 10%Cutremure 6%Altele 4%

Probabilitatea producerii unor dezastre urmează a se determina în conjuncţie cu analiza riscurilor şi ţinând seama de următorii factori:

- locaţia geografică;

- topografia locului;

- apropierea de sursele de energie electrică, ape, aeroporturi;

- apropierea de centrale nucleare;

- istoricul relaţiei cu furnizorii de utilităţi şi măsura în care aceştia au

asigurat continuitate în furnizarea serviciilor.

Probabilităţile determinate vor lua una din următoarele valori: mare (10), mediu (5), mic (1). Probabilităţile vor fi apoi ponderate cu impactul estimat asupra funcţiilor de business sau facilităţilor :

- Nici un impact sau întrerupere în operaţiuni (0);

- Impact notabil, întreruperi de până la 8 ore (1);

46

- Afectarea echipamnetului şi/sau facilităţillor, întreruperi în operaţii pentru

8 pâna la 48 de ore;

- Distrugeri majore ale echipamentului şi/sau facilităţilor, întreruperi ale

operaţiilor pentru mai mult de 48 de ore.

Clasificarea operaţiilor şi analiza critică

Clasificarea riscurilor sistemului presupune determinarea riscurilor plecând de la impactul dat de timpul de refacere precum şi de probabilitatea apariţiei întreruperilor. În acest scop se apreciază riscul apariţiei şi se determină costul probabil. Dacă riscul producerii incidentului destructiv în următorii cinci ani este de 1 la 1000 (0.1%) iar impactul este estimat la 10 milioane RON costul maxim va fi de 10.000 RON anual. Prin acest proces de evaluare bazat pe riscuri se realizează prioritizarea sistemelor în efortul de dezvoltare a strategiilor de refacere. Participă la acest proces de evaluare personalul IT şi utilizatorii finali.

Prioritizarea iniţială a activităţilor în funcţie de importanţa acestora în realizarea obiectivelor strategice ale organizaţiei, realizată în faza de analiză a impactului asupra organizaţiei, poate fi modificată pe măsură ce procesele afacerii sunt modelate în cadrul scenariilor de simulare a diferitelor ameninţări. Pentru fiecare activitate critică şi sistem care o deserveşte se va proceda la identificarea ameninţărilor şi estimarea probabilităţii producerii lor.

Sistemele evaluate vor putea fi plasate în una din următoarele categorii:

Critice: Aceste funcţii nu pot fi executate decât dacă sunt înlocuite cu capabilităţi identice. Nu vor putea fi înlocuite de metode manuale, toleranţa la întrerupere este foarte scăzută şi în consecinţă costul întreruperii este foarte ridicat.

Vitale: Aceste funcţii pot fi realizate manual dar pentru o scurtă perioadă de timp. Înregistrează toleranţă mai mare la întrerupere decât sistemele critice şi de aceea într-o oarecare măsură costul întreuperii este mai mic. Timpul de refacere este limitat la cinci zile sau mai puţin.

Sensibile: Sunt funcţii ce pot fi realizate manual, la un cost tolerabil pe o perioadă mai mare de timp.

Nesensibile: Funcţii ce pot fi întrerupte pe o perioadă mare de timp, la un cost scăzut (poate chiar să nu implice costuri) şi necesită puţin (sau chiar de loc) timp pentru refacere.

Pasul următor în managementul continuităţii este reprezentat de identificarea diferitelor strategii de refacere şi alternativele disponibile pentru refacere în urma unei întreruperi sau dezastru. În alegerea strategiilor de refacere vor fi avuţi în vedere doi indicatori: obiectivul punctului de refacere (recovery point objective – RPO) şi obiectivul timpului de refacere (recovery time objective- RTO). RPO este determinat în funcţie de datele pierdute ca urmare a întreruperii operaţiilor. RPO indică cel mai apropiat punct în timp în care se pot recupera datele. De aceea procedeele de back-up vor fi stabilite în raport de RPO.

47

Alternative de refacere

Orice platformă IT pe care se execută o aplicaţie susţinând o funcţie critică a afacerii are nevoie de o strategie de refacere. Alternativa adecvată din punct de vedere al costului de refacere şi a costului impactului va trebui aleasă în funcţie de nivelul relativ de risc stabilit prin BIA. Aceste strategii de risc includ:

Hot site-uri Warm site-uri Cold site-uri Facilităţi de procesare duplicată a datelor Site-uri mobile Convenţii de reciprocitate stabilite cu alte organizaţii.

Hot site este reprezentată de site-uri configurate complet care pot fi operaţionale în câteva ore. Echipamentul, reţeaua şi sistemele software sunt compatibile cu site-ul operaţional, fiind un back-ul al acestuia. Vor trebui asigurate următoarele resurse: personal specializat, programe, fişiere de date şi documentaţii. Costul realizării unor asemenea site-uri este ridicat de aceea se poate opta pentru un site oferit de o firmă specializată, în acest al doilea caz costul fiind mai scăzut. Indiferent de soluţia aleasă aceste costuri sunt justifiacte pentru aplicaţii critice iar poliţa de asigurare va acoperi costurile utilizării unei astfel de facilităţi. Costul cuprinde: costul de înscriere, cheltuieli lunare, cheltuieli de testare, costuri de activare şi costurile aferente orelor/zilelor de utilizare. Aceste site-uri sunt destinate operaţiunilor urgente pentru o perioadă limitată de timp (în limita a câteva săptămâni). Utilizarea pe termen lung ar putea impieta proteţia altor organizaţii înregistrate. Pentru disponibilizarea site-urilor hot, firme specializate pun la dispoziţie site-uri warm sau cold pe care să se poată face migrarea după finalizarea refacerii operaţiilor.

Warm site reprezintă site-uri parţial configurate, de obicei cu conexiuni la reţea şi echipament periferic dar fără să dispună de un calculator principal, acest fapt fiind datorat costului ridicat al acestuia şi posibilităţii de a fi achiziţionat rapid la nevoie. De multe ori sunt dotate cu sisteme prezentând putere de calcul inferioară celei sistemului operaţional. Aducerea şi instalarea CPU precum şi a celorlalte echipamente necesare poate dura câteva zile sau săptămâni dar, după dotarea site-ului cu toate componentele necesare, acesta va deveni operaţional în câteva ore.

Cold site presupune existenţa doar a mediului de bază (repezentat prin instalaţie electrică şi de aer condiţionat etc.) pentru procesarea informaţiei. Site-ul este pregătit pentru instalarea echipamentelor, nici un fel de echipament nefiind instalat dinainte. Un astfel de site poate deveni operaţional în câteva săptămâni.

Facilităţi de procesare duplicată a datelor reprezintă soluţii dedicate, fiind site-uri de refacere realizate de către organizaţie care pot duplica aplicaţiile critice. Pot lua forma site-urilor standby hot prin acordul reciproc cu o altă companie de instalare. O astfel de soluţie conduce la mai puţine probleme de coordonare privind compatibilitatea şi disponibilitatea. Pentru ca o astfel de soluţie să fie viabilă vor trebui respectate unele principii şi anume:

48

Site-ul ales nu trebuie să poată fi supus unui aceluiaşi dezastru care afectează site-ul supus duplicării.

Trebuie să existe o coordonare a strategiilor hardware şi software pentru a se putea asigura un grad rezonabil de compatibilitate în vederea realizării back-upului.

Trebuie asigurată disponibilitatea resurselor. Trebuie să existe o înţelegere privind prioritatea adăugării de aplicaţii până

când toate resursele pentru refacere sunt utilizate. Este necasară testarea periodică indiferent dacă site-ulile duplicate sunt sub

proprietate comună sau sunt sub acelaşi management.

Site-uri mobile, o soluţie recentă, constă în utilizarea unui trailer care poate fi rapid transportat la locaţia organizaţiei sau într-un site alternativ pentru a asigura facilitatea de procesare a informaţiei. Site-urile mobile pot fi conectate pentru a forma o arie de lucru lărgită şi pot fi preconfigurate cu servere, calculatoate desktop, echipament de comunicaţie, microwave şi sateliţi pentru legături de date. Astfel de soluţii sunt recomandate când în aria geografică a organizaţiei nu există facilităţi de refacere sau când dezastrul afectează arii extinse. Este o soluţie pentru duplicarea facilităţilor de procesare în cazul organizaţiilor caracterizate prin dispersia teritorială a unităţilor lor.

Convenţii de reciprocitate stabilite cu alte organizaţii este o metodă mai puţin folosită. Se aplică atunci când în două sau mai multe organizaţii există echipament şi aplicaţii asemănătoare. Partenerii urmează să-şi pună reciproc la dispoziţie resursele necesare în cazuri de urgenţă. Astfel de alternative prezintă avantajul unor costuri reduse şi pot constitui unica alternativă disponibilă când site-urile hot, oferite de un unic furnizor, nu sunt disponibile. Dezavantajele sunt reprezentate de faptul că nu pot fi întotdeuna aplicabile, configurarea diferită a echipamentelor impune modificări în programe. În cazul realizării de modificări în configurarea echipamentelor, organizaţiile nenotificate în acest sens vor beneficia în mod limitat de înţelegerea încheiată sau nu vor mai putea beneficia de aceasta.

Opţiunea pentru această alternativă presupune cunoaşterea răspunsului la următoarele întrebări:

Cât timp disponibil avem pe calculatorul site-ului gazdă? Ce facilităţi, echipament şi software vor fi disponibile? Va fi asigurat personal pentru asistenţă? Cât de repede poate fi obţinut accesul la facilităţi? Legăturile pentru comunicaţiile de date şi voce pot fi stabilite pe site-ul

gazdă? Cât timp poate continua operarea de urgentă? Cât de frecvent poate fi testat sistemul pentru compatibilitate? Cum va fi asigurată confidenţialitatea datelor? Ce tip de securitate va fi permisă pentru sisteme şi date? Există perioade de timp când facilităţile organizaţiei partenere nu sunt

disponibile?

49

1.3. BUSINESS CONTINUTY şi DISASTER RECOVERY

Acest grup de funcţii trebuie să asigure coordonarea următoarelor activităţi:

- Stabilirea datelor critice şi vitale ce urmează a fi stocate offsite.- Instalarea şi testarea sistemelor software şi aplicaţiilor în site-ul de

recovery indiferent de natura acestuia – hot site, cold site etc.- Operarea din site-ul de recovery.- Reroutarea traficului în reţeaua de comunicaţii.- Restabilirea reţelei.- Transportul utilizatorilor în locaţia facilităţii de refacere.- Reconstruirea bazei de date.- Aprovizionarea cu consumabile.- Asigurarea şi achitarea cheltuielilor cu relocarea angajaţilor în locaţia de

recovery.- Coordonarea utilizării sistemelor şi planificarea muncii angajaţilor.

Desfăşurarea acestor activităţi impune stabilirea unor echipe de lucru specializate, cu atribuţii bine stabilite şi anume:

Echipa de stocare offsite (offsite storage team) – echipă responsabilă cu obţinerea, pregătirea şi transportul datelor în locaţia centrului de recovery. Tot această echipă este responsabilă şi cu stabilirea şi urmărirea programului de stocare offsite a informaţiilor create prin operarea în centrul de recovery.

Echipa software (software team) – Echipă responsabilă cu refacerea pachetelor software, încărcarea şi testarea sistemelor de operare, rezolvarea problemelor la nivelul sofware-ului de bază.

Echipa soft de aplicaţii (applications team) – Responsabilă cu refacerea aplicaţiilor pe sistemele de back-up cerute în site-ul de recovery. Pe măsura avansării procesului de recovery, echipa are responsabilitatea monitorizării performanţei aplicaţiilor şi integrităţii bazei de date.

Echipa de securitate (security team) – are rolul de a monitoriza permanent securitatea sistemului şi a legăturilor de comunicaţii, soluţionarea incidentelor de securitate care afectează refacerea sistemului, asigură instalarea corespunzătoare şi funcţionarea software-ului de securitate. Răspunde totodată de securitatea activelor în perioada următoare producerii dezastrului.

Echipa de operare de urgenţă (emergency operations team) este formată din operatori de shift-are şi supervizorii acestora care vor lucra în site-ul de recovery şi vor conduce operarea de-a lungul întregii perioade a proiectelor de refacere. În sarcina acestei echipe poate fi şi coordonarea instalării hardware-ului, dacă nu a fost stabilit drept centru de refacere un hot site sau o facilitate gata echipată.

Echipa de refacere reţea (network recovery team) este responsabilă cu reroutarea pe arii extinse a comunicaţiilor de voce şi date, restabilirea controlului reţelei gazdă şi accesul la sistemul din centrul de recovery oferind susţinerea pentru realizarea comunicaţiilor de date şi monitorizând integritatea comunicaţiilor.

Echipa de comunicaţii (communications team) Această echipă va colabora cu furnizorii de gateway în reroutarea serviciului local şi a accesului gateway.

50

Echipa de transport (transportation team) Asigură transportul angajaţilor la centrul de recovery, contactează angajaţii pentru a le comunica noile locaţii de lucru, planifică şi aranjează cazarea angajaţilor.

Echipa echipamente utilizator (user hardware team) – Stabileşte locaţia şi coordonează livrarea şi instalarea echipamentelor utilizatorilor (terminale, imprimante, copiatoare etc). Oferă sprijin echipei de comunicaţii şi participă la efortul de salvare a echipamentelor şi facilităţilor.

Echipa de pregătire date şi înregistrări (data preparation and records team) asigură actualizarea bazelor de date utilizate de aplicaţiile din site-ul de recovery. Supravegheză personalul de introducere date şi asistă activitatea de salvare a înregistrărilor în obţinerea documentelor primare şi a altor surse de introducere a datelor.

Echipa de suport administrativ (administrative support team) asigură suportul funcţionarilor pentru celelalte echipe şi asigură centrul de mesaje din site-ul de recovery. Poate asigura funcţiile de contabilitate şi salarii şi facilităţile necesare managementului.

Echipa de aprovizionare (supplies team) ajută echipa de echipamente utilizator să contacteze furnizorii şi coordonează logistica necesară aprovizionării cu cele necesare.

Echipa de recuperare (savage team) conduce relocarea proiectelor. Realizează o evaluare mai detaliată, faţă de cea iniţială, a pagubelor înregistrate de facilităţi şi echipament. Furnizează echipei de management de criză a informaţiilor necesare planificării privind reconstrucţia sau relocarea. Oferă informaţiile privind completarea cererilor de despăgubiri şi coordonează efortul de salvare a înregistrărilor (refacerea documentelor şi a înregistrărilor pe medii de stocare elecrtronică).

Echipa de relocare (relocation team) asigură coordonarea procesului de mutare din site-ul hot în noua locaţie sau în locaţia iniţială după refacerea acesteia. Aceasta presupune relocarea sistemelor de procesare a operaţiilor, a traficului de comunicaţii şi operaţii utilizator. Monitorizează tranziţia către un nivel normal al serviciilor.

Echipa de coordonare (coordonation team) răspunde de coordonarea efortului de refacere în diferitele locaţii.

Echipa juridică (leagal affairs team) asigură soluţionarea problemelor datorate incidentelor produse sau nondisponibilităţii serviciilor.

Echipa de test pentru refacere (recovery test team) răspunde de testarea diferitelor planuri şi analizarea rezultatelor testelor.

Echipa de instruire (training team) asigură instruirea cu privire la planul de continuare a activităţii şi a planului de refacere.

1.4. COMPONENTELE BCP

În funcţie de cerinţele şi dimensiunea organizaţiei, BCP poate fi format din unul sau mai multe planuri:

- Planul de refacere ( Business Recovery Plan - BRP)- Planul de continuitate a operaţiilor ( Continuity of Operations Plan –

COOP)

51

- Planul pentru continuitatea suportului/ Planul evenimentelor IT neprevăzute (Continuity of support plan/IT Contingency plan)

- Planul pentru comunicaţii în condiţii de criză (Crisis Communication Plan)- Planul de răspuns la incidente (Incident response Plan)- Planul de refacere după dezastre (Disaster Recovery Plan -DRP)- Planul de protecţie persoane şi bunuri (Occupant Emergency Plan –

OEPP)

Planul de reluare a afacerii oferă proceduri pentru refacerea operaţiunilor afacerii imediat după producerea dezastrului. Fără să se focalizeze pe componenta IT, aceasta este vizată doar ca suport al activităţii firmei.

Planul continuităţii operaţiilor oferă procedurile şi capabilităţile necesare susţinerii funcţiilor strategice ale firmei printr-un site alternativ pentru mai mult de 30 zile. Priveşte submulţimea misiunilor critice pentru firmă. Nu se centrează pe IT.

Planul evenimentelor IT neprevăzute (IT Contingency Plan/ Continuity of Support Plan) oferă proceduri şi capabilităţi pentru refacerea unei aplicaţii importante sau a sistemului informatic. Vizează distrugerile sistemului informatic, procesele afacerii nefiind vizate.

Planul comunicaţiilor în condiţii de criză (Crisis Communications Plan) oferă proceduri pentru diseminarea informaţiilor către angajaţii firmei şi beneficiarii externi de informaţie.

Planul de răspuns la cyber incidents ( Cyber Incidents Response Plan) oferă strategii pentru detectarea şi răspunsul la incidente şi limitarea efectelor produse de acestea.

Planul de refacere în caz de dezastre ( Disaster Recovery Plan) oferă proceduri detaliate pentru a facilita refacerea capabilităţilor într-un site alternativ.Planul de protecţie persoane şi bunuri ( Occupant Emergency Plan) asigură proceduri coordonate pentru limitarea victimelor şi a distrugerilor ca urmare a ameninţărilor fizice.

52

Planul continui-tăţii operaţiunilor

Business Continuity

Plan

Plan protectie pers. si bunuri

Plan comunicatii condiţii de criză

Planul de refa-cere a afacerii

Plan cyber incid.

Plan evenime-nte IT

Plan de refacere in caz de dezastre

Figura 7.2 Componente BCP

Pentru realizarea fazelor de planificare, implementare şi evaluare ale BCP se impune a se soluţiona următoarele aspecte:

1. Politicile care vor guverna eforturile de continuare a afacerii şi de refacere2. Scopurile/echipamentele/produsele pentru fiecare fază3. Facilităţi alternative pentru executarea task-urilor şi operaţiilor4. Resursele de informaţii critice ce trebuie asigurate (date şi sisteme)5. Persoanele responsabile pentru completare6. Resursele necesare pentru realizare7. Programarea activităţilor cu stabilirea priorităţilor

Copii ale planului trebuie păstrate în afara centrului operaţional (în locaţia facilităţii de recovery, centru de back-up sau la domiciliul persoanelor de decizie cheie). Componentele acestui plan cuprind: lista persoanelor de decizie cheie, lista furnizorilor, copii ale poliţelor de asigurare etc.

Personalul de decizie cheie

Planul trebuie să cuprindă o listă a persoanelor de decizie SI şi utilizatorii desemnaţi să iniţieze şi realizeze eforturile de refacere. Cerinţele de bună practică impun desemnarea unei persoane care, în baza acestei liste, va avea sarcina notificării cu privire la producerea unui incident/dezastru sau catastrofă. Este necesar de subliniat faptul că în cazul producerii unei catastrofe, incendiu, explozii în timpul orelor de lucru multe persoane cu putere de decizie nu vor putea fi disponibile.

Pentru derularea rapidă şi eficientă a acestei sarcini vor trebui specificate în plan următoarele aspecte:

1. O prioritizare a contactelor care trebuie realizate (cine va fi anunţat cu prioritate)

2. Lista cu telefoanele şi adresele persoanelor critice care urmează a fi contactate (în principal este vorba de şefii echipelor care vor anunţa la rândul lor membrii echipelor desemnate în planul de refacere).

3. Numerele de telefon şi adresele furnizorilor de hardware şi software.4. Numerele de telefon ale firmelor desemnate să asigure furnizarea de

echipamente şi servicii.5. Numerele de telefon ale persoanelor de contact din facilităţile de refacere,

incluzând reprezentanţii hot site-ului şi reprezentanţii serviciilor de reroutare a reţelelor de comunicaţii.

6. Numerele de telefon ale persoanelor de contact din facilităţile de stocare a copiilor de siguranţă.

7. Numerele de telefon ale societăţilor de asigurare.8. Numerele de telefon ale persoanelor de contact ale serviciilor de personal.9. Numerele de telefon şi persoanele de conatct din agenţii guvernamentale,

de reglementare şi judiciare.

1.5. TESTAREA PLANULUI

53

Scopul testării este de a verifica funcţionalitatea planului şi identificarea acelor componente care trebuie îmbunătăţite. Testele se recomandă a fi efectuate în weekend deoarece este esenţial să nu fie afectată activitatea curentă iar membrii echipelor să fie disponibili.

Conform CISA testele trebuie să îndeplinească următoarele cerinţe:

- Verificarea completitudinii şi preciziei planului- Evaluarea personalului cu atribuţiuni în cadrul planului- Evaluarea nivelului de instruire a membrilor echipelor- Evaluarea coordonării între membrii echipei BCP şi furnizorii externi- Măsurarea capacităţii centrului de back-up de a realiza procesarea.- Evaluarea capacităţii de regăsire a înregistrărilor vitale.- Evaluarea stării şi calităţii echipamentului şi furnizorilor relocate în site-ul

de refacere.- Măsurarea performanţei de ansamblu a activităţilor de procesare şi

operaţionale legate de menţinearea activităţii organizaţiei.

Testarea BCP urmează trei faze şi anume:

- Pretest-ul, etapă în care se procedează de la instalarea mobilierului până la echipamente destinate comunicaţiilor telefonice. Această etapă testează capabilitatea de a pregăti locaţia de recovery în condiţiile în care evenimentul distructiv se produce fără a exista o avertizare prealabilă şi deci nici posibilitatea de a iniţia acţiuni pregătitoare.

- Testul, etapă constând în testarea efectivă a planului urmărindu-se verificarea obiectivelor specifice BCP. Vor fi efectuate procedurile de deplasare a personalului şi echipamentelor în noua locaţie, operaţionalizarea comunicaţiilor telefonice, introducere date, procesare, contactarea şi mobilizarea furnizorilor. Persoanele abilitate vor proceda la evaluarea modului în care s-a reuşit realizarea sarcinilor stabilite prin BCP:

- Post-testul are ca scop testarea capacităţii de delocalizare a echipamentului, personalului şi proceselor de preducrare din centru de recovery în locaţia operaţională iniţială. Se procedează la deconectarea şi transportul echipamentelor, ştergerea datelor de pe sistemele furnizorului de facilităţi de procesare, delocarea personalului.

În afara etapelor sus menţionate se poate opta pentru derularea unor teste suplimentare reprezentate de:

- Testul de pregătire (preparedness test) are drept scop să evalueze anumite aspecte ale planului şi să ofere sugestii de îmbunătăţire a acestuia.

- Testul operaţional complet presupune simularea producerii unui dezastru şi nu doar o întreupere a serviciilor. În acest caz după verificarea atentă a planului în forma sa scrisă se trece la întreruperea totală a activităţii.

Evaluarea rezultatelor testelor

54

Fiecare etapă a testelor trebuie documentată pentru a se putea estima gradul de reuşită. Se resomandă ca fiecare echipă să întocmească un jurnal în care să consemneze principalele sarcini efectuate şi problemele intervenite, aceste informaţii devenind în condiţii reale de criză o sursă de informaţii extrem de utilă.

Evaluarea modului de realizare a sarcinilor se poate face prin determinarea următorilor parametrii:

- Timpul neecsar realizării sarcinilor.- Volumul de muncă depus în cetrul de back-up de către echipa de

funcţionari şi personalul de procesare operaţională.- Numărul de echipamente transportat şi operaţionalizat faţă de cel cerut,

numărul de documente vitale aduse în locaţia de back-up faţă de cel prevăzut în plan, numărul sistemelor critice refăcute.

- Acurateţea înregistrărilor introduse şi procesate în centrul de recovery comparativ cu cea realizată în mod normal (exprimată procentual). Acurateţea prelucrărilor este estimată prin compararea rezultatelor procesării în centrul de recovery cu cele rezultate prin procesarea în condiţii normale.

1.6. CONCLUZII

Dezvoltarea unui plan de continuare a afacerilor si recuperare in caz de

dezastru

Factorii de care trebuie sa se tine cont atunci cand se dezvolta un plan : incidentele descoperite inaintea dezastrului raspund conducerii, adresand toate

incidentele in procesele afacerii proceduri de evacuare proceduri pentru declararea in caz de dezastru circumstantele in care s-a declansat un dezastru identificarea responsabilitatilor in planul dezvoltat identificarea persoanelor responsabile pentru fiecare functie a planului identificarea informatiilor de contact explicarea pas cu pas a optiunilor de reconstruire identificarea resurselor variate cerute pentru reconstruire si continuare a

operatiunilor aplicatiile de reconstruire evidentiate pas cu pas

Planul ar trebui scris intr-un limbaj simplu. Va trebui sa se cunoasca si sa se identifice echipa, personalul, care sunt implicati in acest plan si ce responsabilitate are fiecare.

55

56

[Nancu Tiberiu]

Tabelul nr. 8.1. Managementul riscului

Descrierea riscului

Pro

bab

ilita

tea

Imp

actu

l

Pri

ori

tate

a

Actiuni de prevenire Plan de urgenta

Nesatisfacerea cerintelor clientilor:

- gestionarea inadecvata a informatiilor despre clienti;

- un serviciu clienti slab;

- aprecierea gresita a capabilitatilor de productie;

- cresterea pretului nejustificata;

- aparitia altor situatii neprevazute ce pot intrerupe si afecta productia sau calitatea produselor de consum;

Mare

Mare

Mica

Mica

Mica

Mica

Mare

Mare

Mic

Mare

Medie

Ridicata

Medie

Redusa

Medie

- traininguri pentru personal, care duce la o forta de munca mai calificata.

- alcatuirea unui grup de persoane, insarcinate sa solutioneze proasta functionare a serviciului clienti.

- asigurarea bunului mers al tuturor factorilor de productie.

- mentinerea unui pret al produselor asemanator cu cel al pietei.

- asigurarea unui climat propice pentru productia bunurilor si pentru bunul mers al procesului de productie.

- mobilizarea de resurse si personal.

- gasirea persoanelor calificate.

- realizarea unei strategii care sa acopere eventualele aprecieri gresite.

- insusirea unor politici de pret, care sa aduca pretul la nivelul pietei.

- verificari periodice la locul productiei, pentru a asigura productia la parametrii maximi si calitatea produselor.

Descrierea riscului

Pro

bab

ilita

tea

Imp

actu

l

Pri

ori

tate

a

Actiuni de prevenire Plan de urgenta

- adoptare unei strategii de marketing gresite si luarea unor decizii strategice neadecvate;

- schimbarea neanticipata a preferintelor de consum;

- neatentia asupra posibilitatilor si capabilitatilor concurentilor si a potentialului produselor acestora;

- avantajul tehnologic.

Mare

Mare

Mica

Mare

Mare

Mare

Mic

Mare

Ridicata

Ridicata

Redusa

Ridicata

- infiintarea unui department de marketing cu persoane calificate sau recurgerea la ajutorul unei firme specializata pe probleme de marketing.

- infiintarea unui departament de cercetare a pietei si a preferintelor consumatorilor.

- infiintarea unui departament de cercetare a pietei si a preferintelor consumatorilor.

- gasirea de resurse pentru investirea in departamentul de dezvoltare si cercetare.

- adoptarea altor strategii de marketing si decizii strategice, care sa ajute la redresarea firmei.

- adaptarea firmei la cerintele de pe piata.

- realizarea unor noi produse, cu calitati diferite de cele vechi, care pot rivaliza cu produsele firmelor competitoare.

- investirea in noile tehnologii aparute.

58

[Bobîlcă Ionuţ]

Tabelul 8.2. Analiza impactului asupra afacerii

Activitatea critica a

afacerilor pe

departamente

Descriere Prioritate Impactul pierderilor (descrie pierderile

de orice natura)

Timpul de recuperare al

obiectivului (perioada critica

pana cand apar pierderile)

Departamentul de

productie

Crearea produselor pentru

clientii firmei

Ridicata - clientii or sa apeleze la

competitori;

- cererile n-or sa poata fi

respectate;

- pierderea de locuri de munca.

2 saptamani

Departamentul de vanzari Asigurarea ajungerii

produselor la client

Ridicata - pierderea de locuri de munca;

- incapacitatea de satisfacere a

tuturor nevoilor clientilor;

- personal slab calificat.

1 saptamana

Departamentul de

marketing

Imbunatateste imaginea

firmei

Ridicata - pierderea din numarul clientilor

prin diminuarea increderii

acestora in firma;

- competitorii au posibiliatea de a

detine cea mai mare parte din

3 saptamani

piata.

Departamentul de export Asigura vanzarea

produselor si la clientii din

afara granitelor

Medie - pierderea clientilor din tarile

unde sunt exportate produsele

firmei si apelarea la firmele de

pe piata lor interna.

2 saptamani

Departamentul de

cercetare

Aduce inovatii in ceea ce

priveste produsele si

cerintele clientilor

Medie - imposibilitatea de a produce

obiecte noi si la acelasi nivel

cu cerintele clientilor, ceea ce

duce la orientarea clientilor

spre competitor.

1 saptamana

Departamentul de resurse

umane

Introduce, in cadrul

firmei, personalul necesar

pentru funtionarea firmei

Medie - aducerea de persoane necalificate

sau slab calificate care, in lipsa

unui training adecvat, nu ar

aduce nici un beneficiu real

firmei, ci dimpotriva, ar tine in

loc si pe ceilalti.

1 saptamana

60

[Radu Răzvan]

Tabelul 8.3. Planul de recuperare

Activitati critice ale

afacerii

Actiuni preventive/de recuperare Resursele cerintelor/rezultatelor Timpul de

recuperare al

obiectivului

Responsabilitate Completat

Oprirea productiei - reevaluarea pozitiei financiare

a afacerii, inclusive fluxurile

de trezorerie, ca urmare a

pierderii de venituri, pentru

a satisfice cheltuielile

minime.

- minimizarea costurilor

generale – dezvoltarea unui

plan de actiune pentru a

reduce cheltuielile fixe si

variabile.

- negocierea cu furnizorii pentru

a preveni acumularea de

materiale si a reduce

costurile.

- diversificarea gamei de

- punerea deoparte de

rezerve de numerar

pentru a acoperi

costurile.

- reducerea costurilor in

cazurile posibile.

- cercetarea de noi produse

si servicii.

2 saptamani Proprietarul

afacerii

0/0/0

61

produse si servicii.

Numarul insuficient

de angajati in centrele

de distributie

- folosirea de personal,

indiferent de nivelul de

calificare.

- prevenirea inchiderii unor

puncte de distributie.

- mentinerea personalului

deja existent.

- salvarea unor costuri prin

inchiderea unor centre

de distributie si

relocarea spre alte

centre de distrbutie.

1 saptamana Persoana

responsabila cu

resursele umane

0/0/0

Neincrederea

manifestata de catre

clienti in ceea ce

priveste calitatea

produselor firmei si

imaginea acesteia

- gasirea de noi metode de

imbunatatire a imaginii

firmei si de atragere a

clientilor inapoi spre firme

si atragerea de noi client,

daca este posibil.

- folosirea de tehnici de

marketing pentru a crea o

imagine de firma puternica,

care poate sa satisfaca

oricand nevoile clientilor.

- crearea unui plan care sa

imbunatateasca

perceptia clientilor si a

eventualilor clienti

asupra firmei.

- observarea concurentei si

incercarea intelegerii

metodologiei folosite

de catre ei, pentru a

putea trage idei si

concluzii folositoare

pentru propria firma.

3 saptamani Persoana

responsabila cu

PR

0/0/0

Produsele exportate sa

nu ajunga la client

- asigurarea procesului de - intarirea relatiilor cu

distribuitorii sau

2 saptamani Seful 0/0/0

62

distributie al produselor.

- prevenirea inchiderii centrelor

de distributie de peste

granite.

gasirea de noi

distribuitori.

- relocarea afacerii dintr-un

centru de distributie

spre altul.

departamentului

de export

Neadaptibilitatea

produselor firmei la

trendul pietei

- gasirea de noi tehnologii,

pentru a aduce produsele la

nivelul cerintelor de pe

piata.

- apelarea la o firma care sa

poata sa aduca produsele

firmei in trend cu piata.

- observarea concurentei,

daca aceasta stabileste

trendul prin produsele

sale si incercarea

reproducerii

produselor.

- pastrarea personalului din

cadrul departamentului

de cercetare.

1 saptamana Seful

departamentului

de cercetare

0/0/0

Angajarea de personal

necalificat sau slab

calificat

- realizarea unui interviu strict,

prin care sa se poata selecta

candidatii perfecti.

- cautarea de personal bine

calificat, pentru care

cheltuielile ar fi de un nivel

mic.

- selectarea doar

persoanelor considerate

importante si

neselectarea

persoanelor considerate

slab calificate.

- incercarea aducerii unor

persoane calificate cu

1 saptamana Persoana

responsabila cu

resursele umane

0/0/0

63

un salariu destul de mic

pentru avantajul pe care

il aduce.

64

Bibliografie:

Tratate, monografii şi cursuri universitare:

Jorion P. – Financial Risk Manager Handbook, ediţia a VI-a, cap. XXVI

Operational Risk, Editura John Wiley & Sons, New Jersey, 2011

Saunders A. - Financial Institutions Management – a Risk Management

Approach, ediţia a VI-a, cap. XVI Technology and Other Operational Risks, Editura

McGraw-Hill / Irwin, New York, 2008

Curs Managementul riscurilor operaţionale, R.E.I. - Departamentul de

Relaţii Economice Internaţionale, Bucureşti, 2013

Articole de specialitate:


http://www.jolidon.ro/companie/filosofie/


http://www.marketwatch.ro/articol/3860/

Etapele_logice_ale_unui_plan_de_continuitate_operationala_pentru_o_companie_mi

ca_sau_medie/

http://www.marketwatch.ro/articol/7078/

Pasi_necesari_in_elaborarea_unui_plan_de_continuitate_operationala/

http://www.catedra.ro/personal/BCP_[Compatibility_Mode].pdf

65



http://catedrarei.ase.ro/

http://catedrarei.ase.ro/

Anexă:

Tabel nr. 1. Contribuţii ale membrilor echipei.

I-II. Planul de gestiune al riscurilor Niţu

- Lista riscurilor Bobîlcă, Niţu, Radu, Nancu, Vlad

- Matricea riscurilor Radu

- Harta de interconectare a riscurilor Radu, Vlad

- Balanced Scorecard Niţu

- Analiza scenariilor Bobîlcă, Vlad

- Business Continuity Plan Nancu, Radu, Bobîlcă

1

Date post:	05-Dec-2014
Category:	Documents
Upload:	razvan-stefan-radu
View:	271 times
Download:	5 times

riscuri operationale "Jolidon"

Documents