MASTER ÎN MANAGEMENTUL RISCULUI ÎN AFACERI INTERNAŢIONALE
Managementul riscurilor operaţionale la compania Jolidon
Ionuţ BOBÎLCĂTiberiu NANCUAlexandru NIŢU
Răzvan RADUAlin VLAD
Bucureşti2013
I. Prezentarea companiei.1
[Niţu Alexandru]
Grupul Jolidon
Fondat în 1993 la Cluj Napoca, România, Jolidon şi-a câştigat poziţia de lider incontestabil al pieţei româneşti de lenjerie şi costume de baie, devenind şi unul din jucătorii importanţi ai pieţei internaţionale.
Povestea succesului Jolidon poate părea desprinsă din filmele clasice americane: un întreprinzător, Gabriel Cîrlig, identifică pe piaţa românească de după `89 două tipologii de produse necesare, dar puţin prezente şi anume lenjeria şi costumele de baie. Începe o mică afacere, alături de câteva persoane dedicate şi ambiţioase. Atelierul iniţial cu 3-4 maşini de cusut – minimum necesar pentru a lucra lenjerie, a devenit în 19 ani o fabrică ale cărei dimensiuni intimidează orice producător de lenjerie din Europa.
În 1994 produsele purtând marca Jolidon erau vândute în peste 100 de magazine iar în 1996 numărul acestora s-a triplat, ajungându-se ca în 2009 produsele Jolidon să fie găsite în peste 1400 de magazine, practic în toată ţara.
Anul 1998 marchează pentru firmă Jolidon deschiderea primului magazin propriu în Timişoara şi a reprezentanţei din Bucureşti. În următorii zece ani a urmat construcţia şi dezvoltarea reţelei de magazine proprii în principalele centre comerciale din marile oraşe ale ţării sau în locaţii bine alese din centrele civice.
În prezent, Grupul Internaţional Jolidon numără peste 2500 de angajaţi şi un lanţ de 87 de magazine proprii, în principalele localităţi şi centre comerciale din România. De asemenea, produsele sunt disponibile în toate marile lanţuri de supermarketuri și hipermarketuri din ţară. În fiecare an fabrică peste 5.000.000 articole, iar în cei 19 ani de existenţă au creat peste 6.000 de modele, mai mult de 60 de ţări.
Designul, calitatea produselor, tehnologia şi materialele utilizate, imaginea și modul de promovare a companiei şi a brandurilor, au făcut ca Jolidon să fie, de-a lungul timpului, unicul participant din România la cele mai prestigioase saloane și târguri internaţionale de profil: SIL Paris, Lyon Mode City, Mode City Paris, Dusseldorf Lingerie, Intimare Bologna, Shanghai Mode Lingerie, Hong-Kong Mode Lingerie, Motexha Dubai, Curvexpo New York, Divat Napok Budapest. Ca urmare a tuturor acestor acţiuni s-a dezvoltat un puternic departament de export care valorifică produsele companiei doar sub brandurile proprii.
Produsele JOLIDON sunt exportate în toată Europa – Italia, Franţa, Ungaria, Rusia, Germania, Elveţia, Belgia, Slovenia, Croaţia, Polonia, Letonia, Rusia, Austria, Cipru, Malta, dar şi în SUA, Canada, sau Japonia ori Africa de Sud, Liban şi Israel.
Startul investiţiilor în afara ţării este marcat de înfiinţarea Jolidon Hungary KFT la Budapesta în anul 2000, continuă cu Jolidon Italia SRL deschisă în 2001 la Milano şi cu Jolidon France SARL cu sediul la Paris deschisă în 2003. În 2009 se deschide Jolidon Polonia cu sediul la Lodz.
În 2004 Jolidon a făcut o investiţie importantă preluând pachetul majoritar de acţiuni al principalului concurent de pe piaţa românească, ARGOS SA, o companie cu
1 Preluare informaţii de pe pagina oficială a companiei: http://www.jolidon.ro/companie/cifre-cheie/ şi
http://www.jolidon.ro/companie/istoric/
1
peste 60 de ani de tradiţie în domeniul lenjeriei şi al costumelor de baie şi 800 de angajaţi.
În 2006 Jolidon achiziţionează LCS Conf SA, una dintre cele mai mari fabrici de confecţii din România cu un istoric de peste cinci decenii şi un brand de renume: Flăcăra.
În 2007 a fost achiziţionată societatea Tricotaje Ineu SA, iar în 2008 Lilly Italia Spa în vederea creşterii capacităţii de producţie a grupului.
Începutul anului 2006 consacră Jolidon că unul din cele mai prestigioase nume în domeniul lenjeriei pe plan mondial, recunoaşterea brandului românesc venind chiar din patria lenjeriei, Franţa. La Salonul Internaţional de Lenjerie de la Paris Jolidon a obţinut unul dintre cele trei premii de excelentă puse în joc în cadrul evenimentului ”Ultralingerie”. Ianuarie 2009 înseamnă succes total al mărcii PRELUDE – marca de lux din portofoliul grupului Jolidon – prin câştigarea Marelui Premiu al Juriului şi Premiului Publicului de specialitate la SIL 2009.
Portofoliul de mărci pe care Grupul Jolidon le gestionează în acest moment însumează: JOLIDON cu sub-brandurile Jolidon Fashion şi Jolidon Clandestine, PRELUDE, ARGOS, LILLY, ECLIZIA, KELITHA iar pentru pret a porter FALLA.
In ultimii ani, Grupul European Jolidon a devenit un nume de referință în economia românească. Remarcăm decernarea în 15 noiembrie 2006 a trofeului internaţional Superbrands. În septembrie 2008, în cadrul Galei Festive de la Milano, organizată de Network Dessous, cel cel mai mare grup de presă specializat în lenjerie şi balnear la nivel mondial, Trofeul Lingerie&Beachwear pentru 2008 i-a fost acordat domnului Gabriel Cîrlig, fiind primul om de afaceri român recompensat cu această distincţie pentru business internaţional.
Evenimente importante în evoluţia sa:
2
1993-1994 Pătrunderea pe piaţa românească, în mod special acoperirea Transilvaniei
1995-1998 Extinderea prezenţei pe piaţa autohtonă, obiectivul urmărit fiind statutul de lider Deschiderea reprezentanţei din Bucureşti
2000 Dobândirea poziţiei de lider de piaţă Deschiderea primei reprezentanţe în străinătate Jolidon KFT la Budapesta
2001 Deschiderea reprezentanţei comerciale Jolidon Italia SRL la Milano
2003 Deschiderea reprezentanţei comerciale Jolidon France Sarl la Paris
2004-2008 Preluarea Argos SA Dezvoltarea reţelei de magazine proprii din ţară
2005 Deschiderea reprezentanţei secundare de la Lyon
2006 Câştigarea premiului de excelenţă Ultralingerie la SIL Paris Preluare LCS Conf SA Preluare Interdealer Capital Invest SA
2007 Preluare pachet majoritar Tricotaje Ineu SA
2008 Achiziţionare Lilly Italia Spa Rebranding
2009 Deschidere reprezentanţă comercială Lilly Poland la Lodz Câştigarea premiilor Juriului şi cel al Publicului la Ultralingerie SIL Paris
2009-2011 Schimbări model de business Focusare pe pieţe emergente (Rusia, Ucraina, Orientul Mijlociu, Asia de SE)
2012 Deschidere magazin online
II. Planul de gestiune al riscurilor operaţionale.
3
Riscul operaţional sau de operare reprezintă riscul înregistrării de pierderi sau nerealizării profiturilor estimate, determinat de factori interni (derularea neadecvată a unor activităţi interne datorată personalului sau unor sisteme necorespunzătoare etc.) sau de factori externi (condiţii economice, schimbări în mediul afacerilor, progrese tehnologice, etc.).
În scopul identificării şi evaluării riscului operaţional trebuie să se evalueze operaţiunile şi activităţile în vederea determinării celor vulnerabile, să se stabilească anumiţi indicatori (frecvenţa şi gravitatea erorilor, numărul tranzacţiilor întârziate) şi să se realizeze evaluarea permanentă a nivelului de expunere la aceste riscuri operaţionale (analiza unor scenarii pe baza datelor istorice).
Procedurile pentru administrarea riscului operaţional sunt cele de evaluare, monitorizare şi de reducere a riscului pe plan intern, fie prin transferul către alte domenii de activitate.
Următoarele tipuri de evenimente pot genera riscuri operaţionale: practici defectuoase legate de clienţi, furnizori, produse şi activităţi: utilizarea în alt scop a informaţiilor confidenţiale ale clienţilor, vânzarea neautorizată a ideii unor produse, nerealizarea serviciului suport pentru magazinul online; întreruperea activităţii şi funcţionarea defectuoasă a sistemelor: defecţiuni ale echipamentelor în producţia de textile sau a componentelor hardware şi software în privinţa platformei online, viruşi informatici, întreruperea alimentării cu utilităţi în special energie; frauda internă: furtul de documente, echipamente, materiale, falsificarea documentelor, încheierea de către angajaţi de tranzacţii în cont propriu; frauda externă: infracţiuni de tipul jafurilor, tâlhăriilor, spargerea unor coduri aferente sistemelor informatice – legate de baza de date sau de magazinul online.2
Riscul sistemic se referă la manifestarea unei crize generalizate datorită unei reacţii în lanţ propagată cu rapiditate în întregul sistem, din cauza interconexiunilor. Acesta afectează atât producătorii, cât şi intermediarii.
Se poate ca riscurile să fie datorate catastrofelor naturale sau anumitor acţiuni criminale. De acest gen sunt cutremurele sau atentatele militare.
Unul dintre riscurile operaţionale importante îl reprezintă riscul atribuit sistemului informatic, care poate produce pierderi însemnate. Datorită faptului că pe întregul ciclu de producţie şi distribuţie compania foloseşte tehnica informatică, riscurile acestui domeniu sunt deosebite, iar managementul riscului este deosebit de complex. Riscul informatic este generat de factorii care concep programele informatice, apoi de folosirea echipamentului informatic, de folosirea energiei electrice şi a telecomunicaţiilor.
Personalul angajat este una din cele mai importante resurse ale oricărei companii. Riscul de personal presupune realizarea încălcărilor voite sau din eroare / necunoaştere procedurilor, normelor sau legilor. Este, probabil, ceal mai important risc operaţional şi dificil de controlat. El se măsoară empiric doar după ce evenimentul s-a consumat şi pagubele s-au produs.
Riscul de fraudă reprezintă riscul de a suferi pierderi directe (profit) sau indirecte (imagine) ca urmare a unei fraude interne sau externe.
Riscul de conformitate reprezintă riscul unor pierderi financiare sau al unor sancţiuni de natură legală / reglementară ca urmare a neconformării cu cerinţele.
2 Jorion P. – Financial Risk Manager Handbook, ediţia a VI-a, cap. XXVI Operational Risk, Editura John Wiley &
Sons, New Jersey, 2011
4
Astfel se definesc condiţiile de lucru pentru personalul din fabrica de textile sau obligativitatea de a nu folosi mărfuri de contrabandă, de exemplu.
Riscul generat de procesele utilizate şi de resursele materiale folosite se referă la anumite erori asupra proceselor care duc la distrugerea unei părţi din produse sau la accidentări, iar în privinţa materiilor prime la producţia de slabă calitate sau a unor produse la care clienţii se pot dovedi alergici.
În practică în managementul unei afaceri este oportună combinarea metodelor de gestiune a riscurilor operaţionale.
Tabel nr. 1. Avantajele metodelor de control al riscului operaţional.
Instrumentul de control Avantajele utilizării
Controlul intern şi auditul intern Evaluarea independentă
Sistemul de rapoarte pentru stabilirea
problemelor potenţiale Gestiunea riscului operaţional
Sistemul de limite la riscul operaţional Limitarea pierderilor posibile
Formarea rezervelor Posibilitatea compensării potenţialelor
pierderi
Asigurarea Trecerea riscurilor asupra unor terţi
A. Lista riscurilor
[Bobîlcă Ionuţ, Radu Răzvan, Niţu Alexandru, Nancu Tiberiu, Vlad Alin]
Tabel nr. 2. Lista riscurilor operaţionale.
Sursa Riscului Riscul Specific Cod atribuit
Frauda interna Activitati ce pot avea efecte nedorite asupra
reputatiei institutiei
Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
FI01
FI02
FI03
FI04
FI05
5
Nerealizarea sarcinilor de serviciu
Furtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
Activitati neautorizate ale personalului
FI06
FI07
FI08
FI09
F10
F11
Frauda externa
Accesarea externa neautorizata a
informatiilor si sistemelor
Transmiterea de informatii false privind
identitatea
Santaj
Jaf
Falsificare
Vandalism
FE01
FE02
FE03
FE04
FE05
FE06
Angajatii si
Siguranta locului
de munca
Absenţa personalului adecvat
Pierderea personalului cheie
Concedierea ilegala
Discriminarea
Hartuirea
Compensatia angajatilor
Siguranta si protectia angajatilor
Intrare în grevă
Lipsa pregătirii corespunzatoare
Nerespectarea legislatiei muncii
AS01
AS02
AS03
AS04
AS05
AS06
AS07
AS08
AS09
AS10
Intreruperea
activitatii si
functionarea
Intreruperea utilitatilor
Căderea reţelelor de comunicatii
Caderi de software
T01
T02
T03
6
neadecvata a
sistemelor
Caderi de hardware
Incompatibilitati cu sistemele existente
Pierderea unor date din aplicaţiile
informatice
Erorile legate de transmiterea datelor în
format electronic
Defectarea echipamentelor tehnologice si a
componentelor hardware
Razboi
Exproprieri
T04
T05
T06
T07
T08
T09
T10
Clienti, produse
si practici
comerciale
Prelucrarea gresita a comenzilor si
ordinelor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Neînţelegerile contractuale
Nesatisfacerea cerinţelor clientilor
Renunţarea clienţilor
Politica antitrust
Comert necorespunzator
Produse defecte
CP01
CP02
CP03
CP04
CP05
CP06
CP07
CP08
CP09
CP10
CP11
Pagube asupra
activele corporale Folosirea necorespunzătoare a activelor
corporale şi stricarea acestora
Distrugerea produselor
Incendii
Inundaţii
PA01
PA02
PA03
PA04
7
Terorism
Dezastre civile
Distrugeri de proprietate
PA05
PA06
PA07
Executie, livrare
si gestionarea
proceselor
Erori de contabilitate
Rapoarte obligatorii eronate
Pierderi din neglijenta
Manipularea de piata
Documente completate incorect
Clauze contractuale inadecvate
Documente lipsa
M01
M02
M03
M04
M05
M06
M07
Juridic
Modificarea prevederilor legale
Aplicarea incorecta a prevederilor legale
Amenzi
Penalitati
Sanctiuni
J01
J02
J03
J04
J05
B. Matricea riscurilor
[Radu Răzvan]
Tabel nr. 3. Impactul riscurilor operaţionale definit ca produsul dintre probabilitate şi consecinţe.
Impact mare, probabilitate mică Impact mare, probabilitate mare
Impact mic, probabilitate mică Impact mic, probabilitate mare
8
Impact
Probabilitate0% 100
4
12
9
Tabel nr. 4. Matricea riscurilor operaţionale.
12
Spalare de baniÎntocmirea de situaţii şi rapoarte false, cu rea credinţă, în intenţia
de a fraudaInstrainarea informatiilor interne ale companiei
Accesarea externa neautorizata a informatiilor si sistemelorSantaj
JafIntreruperea utilitatilor
Căderea reţelelor de comunicatii
Caderi de software
Caderi de hardware
Incompatibilitati cu sistemele existente
Pierderea unor date din aplicaţiile informaticeDefectarea echipamentelor tehnologice si a componentelor
hardwareIncendii
Inundaţii
Terorism
Dezastre civile
Distrugeri de proprietate
Modificarea prevederilor legale
Aplicarea incorecta a prevederilor legale
Amenzi
Penalitati
Sanctiuni
Activitati ce pot avea efecte nedorite asupra reputatiei institutieiAbsenţa personalului adecvat
Pierderea personalului cheieConcedierea ilegala
Hartuirea
Erorile legate de transmiterea datelor în format electronicExproprieri
Erori de contabilitate
Rapoarte obligatorii eronate
Pierderi din neglijenta
Documente completate incorect
Clauze contractuale inadecvate
Documente lipsaNesatisfacerea cerinţelor clientilor
11
Întocmirea de situaţii şi rapoarte false, cu rea credinţă, în intenţia de a frauda
Nerealizarea sarcinilor de serviciuFurtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
Activitati neautorizate ale personaluluiTransmiterea de informatii false privind identitatea
Falsificare
Vandalism
Folosirea necorespunzătoare a activelor corporale şi stricarea
acestora
Distrugerea produselor
Compensatia angajatilor
Siguranta si protectia angajatilor
Lipsa pregătirii corespunzatoare
Nerespectarea legislatiei munciiPrelucrarea gresita a comenzilor si ordinelor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Neînţelegerile contractuale
Renunţarea clienţilor
Politica antitrust
Comert necorespunzator
Produse defecte
12
Impact
Probabilitate0% 100
4
C. Harta de interconectare a riscurilor
[Radu Răzvan, Vlad Alin]
Tabel nr. 5. Harta de interconectare a riscurilor operaţionale.
Riscul specific Legătura cu alte riscuri
Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Nerealizarea sarcinilor de serviciu
Furtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
Santaj
Falsificare
Absenţa personalului adecvat
Concedierea ilegala
Discriminarea
Hartuirea
Lipsa pregătirii corespunzatoare
Nerespectarea legislatiei muncii
Pierderea unor date din aplicaţiile
informatice
Erorile legate de transmiterea datelor în
format electronic
Prelucrarea gresita a comenzilor si
ordinelor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Neînţelegerile contractuale
Nesatisfacerea cerinţelor clientilor
Renunţarea clienţilor
Comert necorespunzator
Produse defecte
Amenzi
Penalitati
Sanctiuni
Spalare de bani Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
Furtul de documente
Activitati neautorizate ale personalului
Accesarea externa neautorizata a
informatiilor si sistemelor
Transmiterea de informatii false privind
identitatea
Falsificare
Siguranta si protectia angajatilor
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Spalare de bani
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
14
companiei
Nerealizarea sarcinilor de serviciu
Furtul de documente
Activitati neautorizate ale personalului
Accesarea externa neautorizata a
informatiilor si sistemelor
Transmiterea de informatii false privind
identitatea
Falsificare
Siguranta si protectia angajatilor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Comert necorespunzator
Erori de contabilitate
Rapoarte obligatorii eronate
Documente completate incorect
Clauze contractuale inadecvate
Documente lipsa
Modificarea prevederilor legale
Aplicarea incorecta a prevederilor legale
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Instrainarea informatiilor interne ale
companiei
Nerealizarea sarcinilor de serviciu
Furtul de documente
Activitati neautorizate ale personalului
Accesarea externa neautorizata a
15
informatiilor si sistemelor
Transmiterea de informatii false privind
identitatea
Jaf
Falsificare
Siguranta si protectia angajatilor
Pierderea unor date din aplicaţiile
informatice
Erorile legate de transmiterea datelor în
format electronic
Inregistrari gresite in contul clientilor
Instrainarea informatiilor interne ale
companiei
Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Furtul de documente
Activitati neautorizate ale personalului
Accesarea externa neautorizata a
informatiilor si sistemelor
Transmiterea de informatii false privind
identitatea
Siguranta si protectia angajatilor
Pierderea unor date din aplicaţiile
informatice
Erorile legate de transmiterea datelor în
format electronic
Pierderi din neglijenta
Aplicarea incorecta a prevederilor legale
16
Nerealizarea sarcinilor de serviciu Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
Furtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
Activitati neautorizate ale personalului
Accesarea externa neautorizata a
informatiilor si sistemelor
Transmiterea de informatii false privind
identitatea
Santaj
Falsificare
Concedierea ilegala
Siguranta si protectia angajatilor
Nerespectarea legislatiei muncii
Prelucrarea gresita a comenzilor si
ordinelor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Neînţelegerile contractuale
Nesatisfacerea cerinţelor clientilor
Comert necorespunzator
Erori de contabilitate
Rapoarte obligatorii eronate
Pierderi din neglijenta
17
Documente completate incorect
Documente lipsa
Furtul de documente Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
Nerealizarea sarcinilor de serviciu
Activitati neautorizate ale personalului
Accesarea externa neautorizata a
informatiilor si sistemelor
Santaj
Falsificare
Furtul de echipamente Nerealizarea sarcinilor de serviciu
Activitati neautorizate ale personalului
Jaf
Furtul de materii prime Nerealizarea sarcinilor de serviciu
Activitati neautorizate ale personalului
Jaf
Furtul de produse Nerealizarea sarcinilor de serviciu
Activitati neautorizate ale personalului
Jaf
Activitati neautorizate ale personalului Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
Nerealizarea sarcinilor de serviciu
Furtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
18
Accesarea externa neautorizata a
informatiilor si sistemelor
Transmiterea de informatii false privind
identitatea
Santaj
Jaf
Falsificare
Vandalism
Discriminarea
Hartuirea
Nerespectarea legislatiei muncii
Pierderea unor date din aplicaţiile
informatice
Erorile legate de transmiterea datelor în
format electronic
Defectarea echipamentelor tehnologice si
a componentelor hardware
Prelucrarea gresita a comenzilor si
ordinelor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Nesatisfacerea cerinţelor clientilor
Renunţarea clienţilor
Comert necorespunzator
Folosirea necorespunzătoare a activelor
corporale şi stricarea acestora
Distrugerea produselor
Incendii
Distrugeri de proprietate
19
Pierderi din neglijenta
Documente completate incorect
Documente lipsa
Accesarea externa neautorizata a
informatiilor si sistemelor
Instrainarea informatiilor interne ale
companiei
Furtul de documente
Jaf
Siguranta si protectia angajatilor
Căderea reţelelor de comunicatii
Caderi de software
Caderi de hardware
Pierderea unor date din aplicaţiile
informatice
Defectarea echipamentelor tehnologice si
a componentelor hardware
Transmiterea de informatii false privind
identitatea
Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Nerealizarea sarcinilor de serviciu
Falsificare
Erorile legate de transmiterea datelor în
format electronic
Inregistrari gresite in contul clientilor
Informare eronata
Santaj Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
20
Nerealizarea sarcinilor de serviciu
Furtul de documente
Activitati neautorizate ale personalului
Siguranta si protectia angajatilor
Erori de contabilitate
Rapoarte obligatorii eronate
Manipularea de piata
Documente completate incorect
Clauze contractuale inadecvate
Documente lipsa
Jaf Furtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
Activitati neautorizate ale personalului
Siguranta si protectia angajatilor
Terorism
Falsificare Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Instrainarea informatiilor interne ale
companiei
Nerealizarea sarcinilor de serviciu
Furtul de documente
Activitati neautorizate ale personalului
Accesarea externa neautorizata a
informatiilor si sistemelor
Transmiterea de informatii false privind
identitatea
Siguranta si protectia angajatilor
Nerespectarea legislatiei muncii
Prelucrarea gresita a comenzilor si
ordinelor
21
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Erori de contabilitate
Rapoarte obligatorii eronate
Documente completate incorect
Vandalism Activitati neautorizate ale personalului
Jaf
Siguranta si protectia angajatilor
Razboi
Distrugerea produselor
Incendii
Terorism
Dezastre civile
Distrugeri de proprietate
Absenţa personalului adecvat Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
Nerealizarea sarcinilor de serviciu
Furtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
Activitati neautorizate ale personalului
Transmiterea de informatii false privind
identitatea
Santaj
Jaf
Falsificare
Vandalism
Pierderea personalului cheie
22
Hartuirea
Siguranta si protectia angajatilor
Lipsa pregătirii corespunzatoare
Nerespectarea legislatiei muncii
Intreruperea utilitatilor
Pierderea unor date din aplicaţiile
informatice
Erorile legate de transmiterea datelor în
format electronic
Defectarea echipamentelor tehnologice si
a componentelor hardware
Prelucrarea gresita a comenzilor si
ordinelor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Nesatisfacerea cerinţelor clientilor
Renunţarea clienţilor
Comert necorespunzator
Folosirea necorespunzătoare a activelor
corporale şi stricarea acestora
Distrugerea produselor
Incendii
Distrugeri de proprietate
Pierderi din neglijenta
Documente completate incorect
Documente lipsa
Pierderea personalului cheie Nerealizarea sarcinilor de serviciu
Absenţa personalului adecvat
Lipsa pregătirii corespunzatoare
23
Nerespectarea legislatiei muncii
Intreruperea utilitatilor
Prelucrarea gresita a comenzilor si
ordinelor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Neînţelegerile contractuale
Nesatisfacerea cerinţelor clientilor
Renunţarea clienţilor
Rapoarte obligatorii eronate
Documente completate incorect
Documente lipsa
Concedierea ilegala Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Pierderea personalului cheie
Discriminarea
Hartuirea
Nerespectarea legislatiei muncii
Discriminarea Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Pierderea personalului cheie
Concedierea ilegala
Hartuirea
Compensatia angajatilor
Siguranta si protectia angajatilor
Intrare în grevă
Hartuirea Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Pierderea personalului cheie
Concedierea ilegala
Discriminarea
24
Compensatia angajatilor
Siguranta si protectia angajatilor
Intrare în grevă
Compensatia angajatilor Discriminarea
Siguranta si protectia angajatilor
Intrare în grevă
Nerespectarea legislatiei muncii
Siguranta si protectia angajatilor Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Compensatia angajatilor
Intrare în grevă
Nerespectarea legislatiei muncii
Intrare în grevă Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Concedierea ilegala
Discriminarea
Hartuirea
Compensatia angajatilor
Siguranta si protectia angajatilor
Nerespectarea legislatiei muncii
Clauze contractuale inadecvate
Aplicarea incorecta a prevederilor legale
Lipsa pregătirii corespunzatoare Nerealizarea sarcinilor de serviciu
Furtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
Activitati neautorizate ale personalului
Santaj
Jaf
Falsificare
Vandalism
Absenţa personalului adecvat
25
Pierderea personalului cheie
Compensatia angajatilor
Siguranta si protectia angajatilor
Prelucrarea gresita a comenzilor si
ordinelor
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Nesatisfacerea cerinţelor clientilor
Renunţarea clienţilor
Comert necorespunzator
Folosirea necorespunzătoare a activelor
corporale şi stricarea acestora
Distrugerea produselor
Incendii
Distrugeri de proprietate
Erori de contabilitate
Rapoarte obligatorii eronate
Pierderi din neglijenta
Documente completate incorect
Documente lipsa
Nerespectarea legislatiei muncii Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
Transmiterea de informatii false privind
identitatea
Concedierea ilegala
26
Discriminarea
Hartuirea
Compensatia angajatilor
Intrare în grevă
Intreruperea utilitatilor Comert necorespunzator
Căderea reţelelor de comunicatii Defectarea echipamentelor tehnologice si
a componentelor hardware
Comert necorespunzator
Caderi de software Pierderea unor date din aplicaţiile
informatice
Comert necorespunzator
Caderi de hardware Defectarea echipamentelor tehnologice si
a componentelor hardware
Comert necorespunzator
Incompatibilitati cu sistemele existente Nerealizarea sarcinilor de serviciu
Pierderea unor date din aplicaţiile
informatice
Erorile legate de transmiterea datelor în
format electronic
Pierderea unor date din aplicaţiile
informatice
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
Nerealizarea sarcinilor de serviciu
Activitati neautorizate ale personalului
Accesarea externa neautorizata a
informatiilor si sistemelor
Absenţa personalului adecvat
Lipsa pregătirii corespunzatoare
Caderi de software
Incompatibilitati cu sistemele existente
Erorile legate de transmiterea datelor în
27
format electronic
Defectarea echipamentelor tehnologice si
a componentelor hardware
Erorile legate de transmiterea datelor în
format electronic
Nerealizarea sarcinilor de serviciu
Absenţa personalului adecvat
Pierderea personalului cheie
Lipsa pregătirii corespunzatoare
Căderea reţelelor de comunicatii
Caderi de software
Caderi de hardware
Incompatibilitati cu sistemele existente
Pierderea unor date din aplicaţiile
informatice
Defectarea echipamentelor tehnologice si
a componentelor hardware
Defectarea echipamentelor tehnologice si
a componentelor hardware
Vandalism
Absenţa personalului adecvat
Pierderea personalului cheie
Lipsa pregătirii corespunzatoare
Caderi de hardware
Razboi Furtul de documente
Furtul de echipamente
Furtul de materii prime
Furtul de produse
Jaf
Vandalism
Incendii
Inundaţii
Terorism
Dezastre civile
Distrugeri de proprietate
Exproprieri Dezastre civile
28
Manipularea de piata
Modificarea prevederilor legale
Prelucrarea gresita a comenzilor si
ordinelor
Nerealizarea sarcinilor de serviciu
Absenţa personalului adecvat
Căderea reţelelor de comunicatii
Caderi de software
Caderi de hardware
Incompatibilitati cu sistemele existente
Pierderea unor date din aplicaţiile
informatice
Erorile legate de transmiterea datelor în
format electronic
Defectarea echipamentelor tehnologice si
a componentelor hardware
Plati gresite catre distribuitori
Informare eronata
Neînţelegerile contractuale
Documente completate incorect
Documente lipsa
Inregistrari gresite in contul clientilor
Absenţa personalului adecvat
Pierderea personalului cheie
Lipsa pregătirii corespunzatoare
Plati gresite catre distribuitori Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Absenţa personalului adecvat
Pierderea personalului cheie
Lipsa pregătirii corespunzatoare
Erorile legate de transmiterea datelor în
29
format electronic
Prelucrarea gresita a comenzilor si
ordinelor
Neînţelegerile contractuale
Documente completate incorect
Documente lipsa
Achizitii fara acoperire in numerar
Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Absenţa personalului adecvat
Pierderea personalului cheie
Lipsa pregătirii corespunzatoare
Comert necorespunzator
Pierderi din neglijenta
Informare eronata
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Absenţa personalului adecvat
Pierderea personalului cheie
Lipsa pregătirii corespunzatoare
Neînţelegerile contractuale
Nesatisfacerea cerinţelor clientilor
Renunţarea clienţilor
Erori de contabilitate
Rapoarte obligatorii eronate
Documente completate incorect
Neînţelegerile contractuale
Nerespectarea legislatiei muncii
Informare eronata
Comert necorespunzator
Documente completate incorect
Clauze contractuale inadecvate
Aplicarea incorecta a prevederilor legale
Nesatisfacerea cerinţelor clientilor Activitati ce pot avea efecte nedorite
30
asupra reputatiei institutiei
Nerealizarea sarcinilor de serviciu
Activitati neautorizate ale personalului
Absenţa personalului adecvat
Discriminarea
Hartuirea
Lipsa pregătirii corespunzatoare
Prelucrarea gresita a comenzilor si
ordinelor
Inregistrari gresite in contul clientilor
Informare eronata
Renunţarea clienţilor
Comert necorespunzator
Produse defecte
Renunţarea clienţilor
Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Nerealizarea sarcinilor de serviciu
Absenţa personalului adecvat
Discriminarea
Hartuirea
Informare eronata
Nesatisfacerea cerinţelor clientilor
Produse defecte
Folosirea necorespunzătoare a activelor
corporale şi stricarea acestora
Absenţa personalului adecvat
Lipsa pregătirii corespunzatoare
Distrugerea produselor
Distrugeri de proprietate
Politica antitrustNerespectarea legislatiei muncii
Manipularea de piata
Comert necorespunzator Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Lipsa pregătirii corespunzatoare
Nerespectarea legislatiei muncii
31
Prelucrarea gresita a comenzilor si
ordinelor
Plati gresite catre distribuitori
Informare eronata
Politica antitrust
Manipularea de piata
Produse defecteActivitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Distrugerea produselor
Absenţa personalului adecvat
Lipsa pregătirii corespunzatoare
Nesatisfacerea cerinţelor clientilor
Produse defecte
Distrugeri de proprietate
Pierderi din neglijenta
Incendii
Distrugerea produselor
Incendii
Terorism
Dezastre civile
Distrugeri de proprietate
Inundaţii
Distrugerea produselor
Inundaţii
Dezastre civile
Distrugeri de proprietate
Terorism
Razboi
Distrugerea produselor
Incendii
Dezastre civile
Distrugeri de proprietate
Dezastre civileTerorism
Distrugeri de proprietate
Distrugeri de proprietate Vandalism
Razboi
Distrugerea produselor
32
Incendii
Inundaţii
Terorism
Dezastre civile
Erori de contabilitate
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Falsificare
Absenţa personalului adecvat
Pierderea personalului cheie
Inregistrari gresite in contul clientilor
Plati gresite catre distribuitori
Achizitii fara acoperire in numerar
Informare eronata
Documente completate incorect
Documente lipsa
Rapoarte obligatorii eronate
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Falsificare
Absenţa personalului adecvat
Pierderi din neglijenta
Absenţa personalului adecvat
Lipsa pregătirii corespunzatoare
Achizitii fara acoperire in numerar
Folosirea necorespunzătoare a activelor
corporale şi stricarea acestora
Documente completate incorect
Manipularea de piata
Exproprieri
Prelucrarea gresita a comenzilor si
ordinelor
Plati gresite catre distribuitori
Modificarea prevederilor legale
Aplicarea incorecta a prevederilor legale
Documente completate incorect Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
33
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Absenţa personalului adecvat
Neînţelegerile contractuale
Erori de contabilitate
Rapoarte obligatorii eronate
Clauze contractuale inadecvate
Clauze contractuale inadecvate Neînţelegerile contractuale
Documente lipsa
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Absenţa personalului adecvat
Pierderi din neglijenta
Modificarea prevederilor legale
Exproprieri
Manipularea de piata
Aplicarea incorecta a prevederilor legale
Aplicarea incorecta a prevederilor legale
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Manipularea de piata
Modificarea prevederilor legale
Amenzi
Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Furtul de materii prime
Furtul de produse
Activitati neautorizate ale personalului
Jaf
Vandalism
Discriminarea
Hartuirea
Nerespectarea legislatiei muncii
Distrugerea produselor
Distrugeri de proprietate
Pierderi din neglijenta
Penalitati Activitati ce pot avea efecte nedorite
34
asupra reputatiei institutiei
Spalare de bani
Întocmirea de situaţii şi rapoarte false, cu
rea credinţă, în intenţia de a frauda
Utilizarea cu rea credinta a informaţiilor
confidenţiale ale clienţilor
Instrainarea informatiilor interne ale
companiei
Furtul de documente
Furtul de echipamente
Transmiterea de informatii false privind
identitatea
Santaj
Jaf
Falsificare
Vandalism
Concedierea ilegala
Discriminarea
Hartuirea
Erori de contabilitate
Rapoarte obligatorii eronate
Pierderi din neglijenta
Documente completate incorect
Sanctiuni
Activitati ce pot avea efecte nedorite
asupra reputatiei institutiei
Manipularea de piata
Clauze contractuale inadecvate
Documente lipsa
Modificarea prevederilor legale
Aplicarea incorecta a prevederilor legale
D. Balanced Scorecard
[Niţu Alexandru]
35
Viziune - Strategie3
Jolidon reprezintă starul de pe scena lenjeriei intime din România şi unul din actorii importanţi pe cea europeană. Vor să devină reprezentantul cel mai de seamă al lenjeriei europene pe scena mondială. Se declară brand global, dar păstrează totodată moştenirea europeană a lenjeriei, esenţa mărcilor Jolidon.
Drumul parcurs pentru a deveni simbolul lenjeriei europene pe plan global va implica un design original şi recognoscibil, o calitate ireproşabilă, o execuţie impecabilă, cele mai profesioniste strategii de marketing şi o publicitate creativă.
Grafic nr. 1. Harta strategică.
Tabel nr. 6. Balanced Scorecard.
3 http://www.jolidon.ro/companie/filosofie/
36
creşterea cotei globale
de piaţă
îmbunătăţirea imaginii brandului
creşterea utilizării
noilor tehnologii în
producţie
optimizarea costurilor
factorilor de producţie
creşterea
economiilor de
scală
îmbunătăţirea performanţelor marketingului eficientizarea
proceselor din
producţie
creşterea veniturilor globale
îmbunătăţirea
calităţii produselor
creşterea valorii de
piaţă a companiei
perfecţionarea personalului
Obiective strategiceMăsurarea
performanţelorIniţiative
Financiar
creşterea valorii de piaţă a
companiei
optimizarea costurilor
factorilor de producţie
creşterea veniturilor globale
valoarea de piaţă a
companiei
valoarea costurilor factorilor
de producţie
veniturilor globale
fuziunea cu o companie
concurentă, sau de pe o piaţă
emergentă
achiziţia unei companii
concurente, sau de pe o piaţă
emergentă
Clienţi
creşterea cotei globale de
piaţă
îmbunătăţirea imaginii
brandului
cota globală de piaţă
indicatorii imaginii de brand
dezvoltarea unor noi mărci
de produse
consolidarea imediată a
poziţiei de pe pieţele emergente
Procese interne
creşterea economiilor de
scală
îmbunătăţirea calităţii
produselor
eficientizarea proceselor
din producţie
îmbunătăţirea
performanţelor
marketingului
scăderea costurilor
unitare pentru produse
standarde de calitate a
produselor
nivelul de automatizare
din cadrul fabricii
scorul auditului
departamentului de
marketing
fabricarea unor noi
produse de calitate
automatizarea unor
procese care implică o
utilizare sporită a
factorului de producţie
muncă
o campanie de
marketing de anvergură
Creştere şi dezvoltare
creşterea utilizării noilor
tehnologii în producţie
perfecţionarea
personalului
indicele de
productivitate al factorilor
de producţie analizaţi pe
respectivele categorii de
produse
indicele individual de
productivitate
adoptarea unor noi
tehnologii în producţie
efectuarea unor stagii de
pregătire şi perfecţionare
a personalului
E. Analiza a 5 scenarii pentru un risc
37
[Bobîlcă Ionuţ]
Deoarece compania Jolidon si-a propus sa satisfaca si cele mai exigente cerinte ale clientilor sai, ne-am propus sa luam in considerare, pentru analiza scenariilor, riscul de nesatisfacere a cerintelor clientilor.
Nesatisfacerea cerintelor clientilor este un risc cu impact puternic pe care compania trebuie sa-l ia in considerare in construirea planului de gestiune a riscurilor operationale. Acest risc prezinta o probabilitate mica de aparitie insa impactul pe care il poate avea asupra afacerii poate fi unul semnificativ.
Acest risc se poate produce datorita unor factori (forte) ce tin de: - gestionarea inadecvata a informatiiilor despre clienti;- un serviciu clienti slab; - aprecierea gresita a capabilitatilor de productie; - cresterea pretului nejustificata; - aparitia altor situatii neprevazute ce pot intrerupe si afecta productia sau
calitatea produselor de consum;- adoptare unei strategii de marketing gresite si luarea unor decizii
strategice neadecvate; - schimbarea neanticipata a preferintelor de consum; - neatentia asupra posibilitatilor si capabilitatilor concurentilor si a
potentialului produselor acestora; - avantajul tehnologic.
Pentru gestionarea acestui tip de risc ne-am propus sa construim 5 scenarii cu ajutorul carora sa putem prevenii, diminua sau chiar elimina efectele ce pot sa apara datorita ignorarii sau gestionarii incorecte a acestuia.
Scenariul 1. Preferintele viitoare ale clientiilor se vor manifesta si vor fi diferite fata de cele din prezent. Cunoasterea preferintelor clientiilor este importanta pentru orice afacere pentru a putea ajusta productia in asa fel incat sa intruneasca si sa satisfaca nevoile clientiilor sai. Abordarile decizionale si strategice sunt cruciale in conditiile in care clientii se vor reorienta din punct de vedere preferential si daca nu se va lua in calcul concurenta si inovatia, riscul de nesatisfacere a cerintelor clientilor poate sa afecteze grav activitatea si veniturile viitoare ale firmei. Un exemplu al acestui scenariu il reprezinta compania Nokia care a fost depasita de rivalii Apple si Samsung, si astfel pierzand mare parte din clienti si colaboratori.
Scenariul 2. Sa presupunem ca peste 10 ani compania Jolidon inca va avea un renume puternic insa vanzarile incep sa scada si cumparatorii se arata nemultumiti de calitatea produselor, iar cantitativ compania nu mai poate sa faca fata cererii. Mergand si mai mult in viitor va incepe sa scada si reputatia companiei astfel incat va ramane doar o amintire a numelui acesteia. Acest lucru se datoreaza linei tehnologice invechite ce nu a tinut pasii cu tehnologia moderna de productie si planificarii productiei care a pus accent pe atragerea unor venituri ridicate si mentinerea cheltuielilor cat mai mici posibile. Netinand seama de importanta si benefiiciile aduse de avantajul tehnologic, deciziile strategice pe care s-a axat conducerea companiei vor conduce incet catre colaps.
Scenariul 3. Pentru o firma precum Jolidon, care opereaza atat pe piata
38
articolelor de lenjerie intima cat si in mediul online pentru a-si comercializa produsele, este necesara o gestionare optima si o administrare strategica bine detaliata si urmarita in timp. Daca nu se va tine cont de aceste lucruri, compania is va pierde reputatia si clientii datorita unor serii de esecuri consecutive. Nesatisfacerea cerintelor consumatorilor se va materializa prin incapacitatea companiei de a-si multumii toti cumparatorii si de a onora toate comenzile, datorita aprecierii si calculelor gresite ale managementului asupra capabilitatilor de productie. Din acest punct de vederea ar trebui urmarite, retehnologizarea sau imbunatatirea si cresterea tehnologica, precum si incheierea unor contracte cu furnizori seriosi care care sa puna la dispozitie cantitatea necesara de materii prime in timp util.
[Vlad Alin]
Scenariul 4. Presupunem ca Jolidon ar dori sa intre pe o piata cu produse mai exclusiviste, de o calitate superioara pentru a atrage si clienti cu putere de cumparare mai mare. O alegere neinspirata a furnizorilor ar putea duce la pierderea clientilor. Produsele ar fi mai scumpe insa calitatea lor nu va justifica pretul. Astfel ei nu doar ca ar pierde potentiali clienti, ci ar suferi si la capitolul imagine, de asemenea clientii celorlalte produse ar incepe sa se indoiasca de calitatea lor si ar putea scadea vanzarile. Pentru a evita o astfel de situatie compania ar trebui sa analizeze mai intai piata daca i-ar permite sa realizeze o astfel de miscare si sa ia o decizie avand in vedere intreaga companie, nu doar un segment al pietei. O hotarare de acest gen i-ar fi de ajutor pe termen lung.
Scenariul 5. Presupunem ca organizatia primeste zilnic sute de mesaje din partea clientilor, in care i se cere sa deschida o zona pe site unde cumparatorii sa-si poata customiza produsul pe care urmeaza sa-l achizitioneze. Daca ar accepta sa faca asta, compania ar trebui sa aiba in permananta in stoc materii prime pentru fiecare model si sa programeze masina pentru fiecare tip de comanda in parte. Costurile ar fi mult prea mari si s-ar piedre mult prea mult timp. Pentru acest scenariu este posibil ca firma sa nu poata sa-si satisfaca clientii, pentru acest lucru fiind nevoie de o investitie mult prea mare in procesul tehnologic si in dezvoltarea unui program de software pentru customizarea produselor. Fiind o parte redusa din numarul total de client nu ar fi o pierdere prea mare faptul ca nu i-ar putea satisfice din acest punct de vedere, ei putand in continuare sa aleaga dintr-o gama extreme de variata de produse.
F. Business Continuity Plan
[Nancu Tiberiu]
Continuarea activităţii şi refacerea după dezastre
1.1. Continuarea activităţii. Planificarea refacerii după dezastre
Activitatea oricărei organizaţii este expusă unei multitudini de riscuri care pot produce afectări ale activităţii, pierderi materiale, financiare, umane sau pot afecta imaginea acesteia. În aceste condiţii este esenţial ca managementul să stabilească ca obiectiv strategic crearea unei culturi organizaţionale menite să permită identificarea şi managementul riscurilor care se pot produce. Astfel de riscuri sunt reprezentate de:
39
- Imposibilitatea de a asigura servicii critice destinate clienţilor;- Afectări ale cotei de piaţă, imaginii, reputaţiei sau brandului;- Eşecul în protejarea activelor, inclusiv activele de natura proprietăţii
intelectuale sau personalul;- Eşecul controlului afacerii;- Imposibilitatea asigurării conformităţii în raport cu legislaţia şi cadrul de
reglementare.
Scopul procesului de continuare a activităţii/refacerii după dezastre (business continuity/desaster recovery) este să permită organizaţiei să-şi deruleze afacerea oferind serviciile critice în cazul producerii unor evenimente distructive şi să poată face faţă unei întreruperi a sistemului său informaţional. Pentru astfel de evenimente este necesar să se elaboreze planuri de reluare a activităţii şi să se asigure resursele necesare.
Planificarea continuării activităţii (Business Continuity Planing – BCP) reprezintă procesul proiectat pentru reducerea riscurilor activităţii organizaţiei apărute ca urmare a întreruperii neaşteptate a funcţiilor/operaţiilor critice, manuale sau automate, necesare pentru supravieţuirea organizaţiei. Sunt cuprinse resursele materiale şi umane necesare în vederea asigurării unui nivel minim pentru operaţiile critice.
Planul de Continuare a activităţii este urmarea conştientizării impactului producerii unor evenimente de tipul dezastre naturale, defecţiuni tehnologice, erori umane sau terorism, a înţelegerii necesităţii de a fi pregătit pentru astfel de evenimente obiectivele urmărite fiind reprezentate de minimizarea pierderilor financiare, continuarea activităţii curente pentru asigurarea serviciilor solicitate de clienţi, limitarea distrugerilor, a afectării reputaţiei, lichidităţii, poziţiei în piaţă şi asigurarea conformităţii cu legile şi regulamentele în domeniu.
BCP este un proces complex desfăşurat în mai multe etape. Prima dintre acestea, şi extrem de importantă prin ieşirile pe care le oferă, este reprezentată de evaluarea riscurilor. Această etapă are rolul de a identifica cele mai importante procese care susţin activitatea organizaţiei. BCP se va construi plecându-se de la aceste procese critice asigurând continuarea operaţiilor în cazul producerii evenimentelor distructive.
BCP intră în sfera de responsabilitate a senior managementului însărcinat cu asigurarea protecţiei activelor şi a viabilităţii organizaţiei. Senior managementul este răspunzător de managementul riscurilor la nivelul organizaţiei şi de aceea aprobarea şi monitorizarea modului de implementare a BCP reprezintă una dintre responsabilităţile sale. Implicarea top managementului în elaborarea planului este esenţială prin natura soluţiilor adoptate, prin resursele disponibilizate în acest sens şi nu în ultimul rând prin mutaţiile produse chiar în cultura organizaţională.
BCP trebuie să privească toate funcţiile şi activele organizaţiei. Fiecare entitate organizaţională trebuie să asigure un nivel minim de funcţionalitate imediat ce se produce întrerupera activităţii din cauza unui eveniment distructiv.
40
BCP include proceduri de refacere în urma dezastrelor (disaster recovery procedures – DRP) şi planul de continuitate al operaţiilor. Dacă DRP este planul destinat reluării activităţilor operaţionale la nivelul entităţilor organizaţionale, în cazul sistemelor informaţionale DRP cuprinde procedurile necesare refacerii proceselor IT. Planul de refacere pentru sistemele informaţionale trebuie perceput ca parte dar şi suport al întregului plan de continuare a activităţii. BCP ia în considerare operaţiunile cheie cele mai importante pentru supravieţuirea organizaţiei precum şi resursele materiale şi umane care să le susţină.
BCP cuprinde:- DRP (Disaster Reocovery Plan) necesar în refacrea facilităţilor devenite
neoperabile, incluzând relocarea operaţiilor într-o nouă locaţie;- Planul operaţiunilor (Operaţions Plan) necesar entităţilor organizaţionale în
efortul de refacere;- Planul de restaurare (Restoration Plan) necesar reluării operaţiilor într-o
locaţie refăcută sau una nouă.
Partea de operaţiuni a BCP trebuie să privească toate funcţiile şi activele necesare. Soluţia unor facilităţi alternative este o ultimă decizie determinată de costurile implicate.
Aşa cum arătam, primul pas în realizarea BCP este reprezentat de analiza riscurilor. Pentru aceasta este necesară identificarea ameninţărilor asupra activelor. În cazul DRP activele sunt reprezentate de componentele sistemului informaţional. Riscul este direct proporţional cu valoarea activului şi probabilitatea apariţiei ameninţării. Clasificarea aplicaţiilor informatice depinde de natura business-ului şi importanţa aplicaţiei pentru business. În egală măsură, valoarea este dată şi de importanţa aplicaţiei în raport cu strategia organizaţiei. Componentele sistemului infortaţional sunt adecvate aplicaţiilor (valoarea calculatoarelor şi a reţelei sunt determinate de importanţa aplicaţiei care le foloseşte).
Scopul BCP este de a identifica ce trebuie să se întâmple la nivelul afacerii atunci când se produce un dezastru. De aceea o componentă a BCP este planul IT de refacere în urma unui dezastru (IT Disaster Recovery Plan). Acesta detaliază procedurile ce urmează a fi executate de specialiştii IT în scopul refacerii sistemului informaţional. DRP poate fi inclus în BCP sau poate constitui un document distinct în funcţie de nevoile organizaţiei.
Este necesar să subliniem faptul că nu toate sistemele trebuie să prezinte o strategie de refacere. În baza rezultatelor analizei riscurilor, managementul poate considera că din punct de vedere al eficienţei economice (raportul cost-beneficiu) anumite aplicaţii nu trebuie refăcute în cazul producerii unui dezastru.
Concluzionând, conceptul de planificarea a continuităţii activităţii înseamnă o combinaţie între planificarea refacerii în caz de dezastre şi continuitatea operaţiunilor activităţii. În funcţie de complexitatea activităţii, pot fi elaborate unul sau mai multe planuri acoperind diferitele aspecte ale continuării activităţii şi refacerii, dar fiecare dintre acestea trebuie să fie coroborat cu celelalte planuri pentru a se asigura o strategie BCP viabilă.
41
1.2. Continuitatea sistemelor informaţionale. Planificarea refacerii în urma dezastrelor
Continuitatea sistemelor informaţionale. Planificarea refacerii în urma dezastrelor (IS Business Continuity/Disaster Recovery Planning) reprezintă o componentă importantă a BCP şi strategiei de reafacere în caz de dezastru. Procesarea prin mijloace IT este de importanţă strategică deoarece aproape toate procesele afacerii utilizează resursele IT. În aceste condiţii devine necesară existenţa unei facilităţi pentru procesarea informatică pregătită a fi operaţională în momentul producerii unui dezastru. Dacă este realizat ca plan de sine stătător, planul SI trebuie să fie în conformitate cu BCP.
1.2.1. Dezastre şi alte evenimente distructive
Dezastrele determină inoperativitatea resurselor informaţionale afectate pentru o perioadă de timp fiind astfel afectată desfăşurarea normală a activităţii. Întreruperea poate să dureze de la câteva ore la câteva zile în funcţie de amploarea distrugerilor care au afectat resursele informaţionale. Acest fapt determină eforturi de refacere a statusului operaţional.
Un dezastru poate fi produs de calamităţi naturale cum ar fi cutremure, inundaţii, tornade, furtuni puternice, incendii etc. care produc distrugeri extinse facilităţii de procesare şi localităţii în care aceasta se află. Alte dezastre pot să apară când servicii vitale cum ar fi furnizarea de energie electrică şi/sau gaz, telecomunicaţiile sau alte servicii nu mai pot fi asigurate de furnizori. Tot în categoria dezastrelor includem atacurile teroriste, atacurile hacker-ilor, viruşii şi erorile umane.
Este bine să precizăm faptul că nu toate întreruperile în asigurarea serviciilor critice pot fi considerate ca dezastre. Este cazul funcţionării defectuase a sistemelor, deteriorarea accidentală a fişierelor, „căderea” reţelei etc. Acestea reprezintă evenimente cu risc înalt dar chiar dacă necesită refacerea componentelor hardware, a fişierelor sau a software-ului nu se vor regăsi în BCP. Un bun BCP va lua în considerare toate tipurile de evenimente având impact critic asupra facilităţilor de procesare automată şi activitatea curentă a utilizatorilor finali. În cazul scenariilor celor mai grave vor trebui stabilite strategii pe termen scurt şi lung. În cazul strategiilor pe termen scurt se poate opta pentru facilităţi de procesare alternativă pentru acoperirea nevoilor operaţionale imediate. Pe termen lung se impune o nouă facilitate permanentă echipată astfel încât să asigure continuitatea proceselor normale ale SI.
Zvonurile referitoare la producerea unor incidente serioase pot avea sau nu surse interne, pot avea sau nu corespondent în realitate, dar consecinţele lor pot fi devastatoare, putând să determine chiar pierderea încrederii clienţilor şi a partenerilor de afacere în organizaţie şi scăderea valorii de piaţă a acesteia. De aceea activităţile de PR (public relations) pot să joace un rol important în protejarea imaginii organizaţiei şi asigurarea faptului că nu se va ajunge la acutizarea crizei. Pentru aceasta este necesară respectarea cerinţelor de bună practică în cazul incidentelor majore.
42
Declaraţiile publice vor trebui să prevină/restrângă impactul negativ asupra opiniei publice şi impactul financiar al zvonurilor.
1.2.2. Procesul BCP
Procesul BCP se desfăşoară în următoarele faze ale ciclului de viaţă:
1. Crearea unei politici privind continuitatea activităţii şi refacerea după dezastru;2. Analiza impactului asupra activităţii (Business Impact Analysis – BIA);3. Clasificara operaţiilor şi analiza critică;4. Elaborarea BCP şi a procedurilor de refacere (DRP);5. Instruirea cu privire la BCP şi conştientizarea importanţei lui;6. Testarea şi implementara planului;7. Monitorizarea.
Politica de continuitate a activităţii şi de refacere în caz de dezastru trebuie să fie proactivă şi să înglobeze controale preventive, detective şi corective. BCP este cel mai critic control corectiv şi este dependent de alte controale, în particular managementul incidentelor şi backup-ul. De aceea este necesar ca grupul pentru managementul incidentelor să prezinte o componenţă adecvată, pregătită în managementul de criză iar BCP să fie corect proiectat, documentat, testat, fundamentat şi auditat.
Managementul incidentelor BCP
Literatura de specialitate evidenţiază necesitatea ca managementul să înţeleagă caracteristicile asociate unei crize. Aceste caracteristici sunt reprezentate de:
- elementul surpriză
- lipsa unor informaţii
- pierderea (în mai mare sau mai mică măsură) a controlului
- escaladarea cursului evenimentelor
- panică etc.
Spre deosebire de criză, un incident este un eveniment neaşteptat, care nu cauzează pagube importante. Incidentele şi crizele au o natură dinamică. Ele evoluează în timp şi datorită circumstaţelor noi apărure, sunt adesea rapide şi neprevăzute. De aceea managementul lor trebuie să fie dinamic, proactiv şi bine documentat. În funcţie de rezultatul estimării nivelului consecinţelor distrugerii asupra activităţii, toate incidentele trebuie clasificate. Clasificarea incidentelor poate include următoarele categorii:
- Neglijabil: incident care nu produce distrugeri semnificative sau distrugerile sunt neperceptibile („căderi” ale sistemului de operare urmate de recuperarea completă a informaţiilor, „căderi” ale sursei de energie suplinite de UPS-uri).
- Minor: sunt evenimente care deşi nu sunt neglijabile nu produc un impact material sau financiar negativ.
43
- Major: incidente care produc impact material negativ asupra proceselor afacerii şi pot afecta alte sisteme, departamente sau chiar parteneri de afaceri (clienţii).
- Criză: este un incident major care poate avea un impact material serios asupra continuităţii afacerii şi poate afecta negativ alte sisteme şi terţi. Severitatea incidentului este direct proporţională cu intervalul scurs între începutul incidentului şi momentul refacerii în urma impactului produs.
Incidentele minore, majore şi crizele trebuie documentate, clasificate şi urmărită soluţionarea lor. Acesta este un proces dinamic, deoarece un incident major poate să descrească în intensitate pentru ca mai târziu să se extindă şi să producă o criză. Incidentele neglijabile pot fi analizate statistic cu scopul identificării unor cauze sistemice sau evitabile.
Ofiţerul de securitate sau orice altă persoană desemnată trebuie să notifice toate incidentele de îndată ce un eveniment se produce urmând un protocol prestabilit. În conformitate cu această procedură va fi contactat purtătorul de cuvânt, va fi informat managementul sau vor fi anunţate organizaţiile de reglementare implicate.
Analiza impactului asupra activităţii (Business Impact Analysis)
BIA reprezintă un pas important în elaborarea BCP. Această etapă are ca scop identificarea evenimentelor care pot să apară afectând continuitatea operaţională a organizaţiei, generând un impact negativ asupra situaţiei financiare, resurselor umane şi reputaţiei organizaţiei.
Desfăşurarea acestei faze presupune o bună cunoaştere a organizaţiei, a proceselor cheie şi a resurselor IT necesare susţinerii acestor procese. De aceea este necesară identificarea aplicaţiilor şi datelor critice, reţelelor, sistemelor software, facilităţilor proces realizat cu aprobarea managementului.
În desfăşurarea BIA se pot utiliza mai multe abordări:
- Utilizarea de chestionare: presupune utilizarea de chestionare detaliate destinate utilizatorilor IT cheie şi utilizatorilor finali.
- Derularea de interviuri la nivelul grupurilor de utilizatori cheie.- Discuţii cu utilizatorilor finali şi responsabili IT cu scopul estimării
impactului posibil ca urmare a producerii unor întreruperi de amploare diferită.
Realizarea BIA presupune soluţionarea a trei probleme majore:1. Identificarea proceselor critice pentru organizaţie. 2. Identificarea resurselor informaţionale critice specifice proceselor critice
identificate în primul pas.3. Determinarea timpului critic de refacere a resurselor informaţionale în care
procesele afacerii trebuie reluate înainte să se înregistreze pierderi semnificative sau inacceptabile. Spre exemplu, instituţiile financiare sau de brokeraj vor determina timpi critici de refacere mult sub cei determinaţi de
44
întreprinderile cu profil de producţie, acest lucru fiind determinat de natura serviciilor prestate.
La nivelul unei organizaţii spre exemplu, este important ca pentru funcţiile critice să se determine durata maximă admisă a întreruperilor, informaţia urmând a fi sintetizată sub forma matricei funcţiilor critice (tabelul 7.1)
Tabelul nr. 7.1Timp de întrerupere admis şi nivel minim de activitate necesitat
Activităţi < 1 zi <3 zile <7 zile < 14 zile < 30 zileA1 xA2 xA3 xA4 xA5 xA6 x
Pentru luarea acestei decizii sunt luaţi în considerare doi factori: costul întreruperii (downtime cost) provocat de dezastru şi respectiv costul strategiei corective alternative (figura 7.1).
Costul întreruperii provocate de dezastru trebuie limitat deoarece înregistrează creşteri rapide în timp. În momentul în care el îşi încetează creşterea s-a atins punctul în care activitatea (afacerea) nu mai poate continua.
Costul strategiilor corective alternative scad odată cu obiectivele stabilite pentru timpul de refacere. Costul refacerii este format din costul:
pregătirii şi testării periodice a BCP; costul locaţiilor destinate site-urilor de back-up;
45
Timp
Cost
Total
Minimum Timp de nefuncţionare
Strategii de refacere alternative
Figura 7.1 Costul întreruperii vs. costul refacerii
Operaţii întrerupte
costul poliţelor de asigurare; costul anual al locaţiilor alternative.
Figura 7.1 evidenţiază costul strategiilor alternative, costul întreruperilor dar şi costul total al întreruperii şi refacerii. Scopul urmărit este reprezentat de identificarea punctului în care costul total este minim. Atingerea acestui punct se va realiza prin gândirea de soluţiile alternative. Curba din figura 7.1 numită strategiile de refacere alternative este reprezentarea în fapt a mulţimii strategiilor posibile, fiecare strategie posibilă având un cost fix. Cu cât timpul de refacere cerut va fi mai scurt cu atât costul fix va fi mai mare. Dacă strategia de continuare a activităţii presupune un timp de refacere mai mare, va fi mai puţin costisitoare dar mai susceptibilă la costuri ale întreruperii evoluând în spirală fără a mai putea fi controlate.
După identificarea activităţilor critice şi aplicaţiilor care le susţin se procedează la identificarea ameninţărilor în condiţiile funcţionării normale a sistemului. Specialiştii în domeniu recomandă identificarea tipurilor de ameninţări care conduc la întreruperi ale funcţionării sistemului, rezultatul acestei analize urmând să se materializeze într-o grilă în care prima coloană va indica tipul de ameninţare iar în coloana a doua se va preciza în ce măsură acesta a determinat incidente conducând la întreruperea funcţionării sistemului (Tabelul 7.2).
Tabelul nr. 7.2Tipul ameninţării Procent
Intreruperea alimentării cu energie electrică
35%
Factor uman (erori, saboraj) 12%Inundaţii 10%Defecţiuni hardware 15%Furtuni 8%Incendii 10%Cutremure 6%Altele 4%
Probabilitatea producerii unor dezastre urmează a se determina în conjuncţie cu analiza riscurilor şi ţinând seama de următorii factori:
- locaţia geografică;
- topografia locului;
- apropierea de sursele de energie electrică, ape, aeroporturi;
- apropierea de centrale nucleare;
- istoricul relaţiei cu furnizorii de utilităţi şi măsura în care aceştia au
asigurat continuitate în furnizarea serviciilor.
Probabilităţile determinate vor lua una din următoarele valori: mare (10), mediu (5), mic (1). Probabilităţile vor fi apoi ponderate cu impactul estimat asupra funcţiilor de business sau facilităţilor :
- Nici un impact sau întrerupere în operaţiuni (0);
- Impact notabil, întreruperi de până la 8 ore (1);
46
- Afectarea echipamnetului şi/sau facilităţillor, întreruperi în operaţii pentru
8 pâna la 48 de ore;
- Distrugeri majore ale echipamentului şi/sau facilităţilor, întreruperi ale
operaţiilor pentru mai mult de 48 de ore.
Clasificarea operaţiilor şi analiza critică
Clasificarea riscurilor sistemului presupune determinarea riscurilor plecând de la impactul dat de timpul de refacere precum şi de probabilitatea apariţiei întreruperilor. În acest scop se apreciază riscul apariţiei şi se determină costul probabil. Dacă riscul producerii incidentului destructiv în următorii cinci ani este de 1 la 1000 (0.1%) iar impactul este estimat la 10 milioane RON costul maxim va fi de 10.000 RON anual. Prin acest proces de evaluare bazat pe riscuri se realizează prioritizarea sistemelor în efortul de dezvoltare a strategiilor de refacere. Participă la acest proces de evaluare personalul IT şi utilizatorii finali.
Prioritizarea iniţială a activităţilor în funcţie de importanţa acestora în realizarea obiectivelor strategice ale organizaţiei, realizată în faza de analiză a impactului asupra organizaţiei, poate fi modificată pe măsură ce procesele afacerii sunt modelate în cadrul scenariilor de simulare a diferitelor ameninţări. Pentru fiecare activitate critică şi sistem care o deserveşte se va proceda la identificarea ameninţărilor şi estimarea probabilităţii producerii lor.
Sistemele evaluate vor putea fi plasate în una din următoarele categorii:
Critice: Aceste funcţii nu pot fi executate decât dacă sunt înlocuite cu capabilităţi identice. Nu vor putea fi înlocuite de metode manuale, toleranţa la întrerupere este foarte scăzută şi în consecinţă costul întreruperii este foarte ridicat.
Vitale: Aceste funcţii pot fi realizate manual dar pentru o scurtă perioadă de timp. Înregistrează toleranţă mai mare la întrerupere decât sistemele critice şi de aceea într-o oarecare măsură costul întreuperii este mai mic. Timpul de refacere este limitat la cinci zile sau mai puţin.
Sensibile: Sunt funcţii ce pot fi realizate manual, la un cost tolerabil pe o perioadă mai mare de timp.
Nesensibile: Funcţii ce pot fi întrerupte pe o perioadă mare de timp, la un cost scăzut (poate chiar să nu implice costuri) şi necesită puţin (sau chiar de loc) timp pentru refacere.
Pasul următor în managementul continuităţii este reprezentat de identificarea diferitelor strategii de refacere şi alternativele disponibile pentru refacere în urma unei întreruperi sau dezastru. În alegerea strategiilor de refacere vor fi avuţi în vedere doi indicatori: obiectivul punctului de refacere (recovery point objective – RPO) şi obiectivul timpului de refacere (recovery time objective- RTO). RPO este determinat în funcţie de datele pierdute ca urmare a întreruperii operaţiilor. RPO indică cel mai apropiat punct în timp în care se pot recupera datele. De aceea procedeele de back-up vor fi stabilite în raport de RPO.
47
Alternative de refacere
Orice platformă IT pe care se execută o aplicaţie susţinând o funcţie critică a afacerii are nevoie de o strategie de refacere. Alternativa adecvată din punct de vedere al costului de refacere şi a costului impactului va trebui aleasă în funcţie de nivelul relativ de risc stabilit prin BIA. Aceste strategii de risc includ:
Hot site-uri Warm site-uri Cold site-uri Facilităţi de procesare duplicată a datelor Site-uri mobile Convenţii de reciprocitate stabilite cu alte organizaţii.
Hot site este reprezentată de site-uri configurate complet care pot fi operaţionale în câteva ore. Echipamentul, reţeaua şi sistemele software sunt compatibile cu site-ul operaţional, fiind un back-ul al acestuia. Vor trebui asigurate următoarele resurse: personal specializat, programe, fişiere de date şi documentaţii. Costul realizării unor asemenea site-uri este ridicat de aceea se poate opta pentru un site oferit de o firmă specializată, în acest al doilea caz costul fiind mai scăzut. Indiferent de soluţia aleasă aceste costuri sunt justifiacte pentru aplicaţii critice iar poliţa de asigurare va acoperi costurile utilizării unei astfel de facilităţi. Costul cuprinde: costul de înscriere, cheltuieli lunare, cheltuieli de testare, costuri de activare şi costurile aferente orelor/zilelor de utilizare. Aceste site-uri sunt destinate operaţiunilor urgente pentru o perioadă limitată de timp (în limita a câteva săptămâni). Utilizarea pe termen lung ar putea impieta proteţia altor organizaţii înregistrate. Pentru disponibilizarea site-urilor hot, firme specializate pun la dispoziţie site-uri warm sau cold pe care să se poată face migrarea după finalizarea refacerii operaţiilor.
Warm site reprezintă site-uri parţial configurate, de obicei cu conexiuni la reţea şi echipament periferic dar fără să dispună de un calculator principal, acest fapt fiind datorat costului ridicat al acestuia şi posibilităţii de a fi achiziţionat rapid la nevoie. De multe ori sunt dotate cu sisteme prezentând putere de calcul inferioară celei sistemului operaţional. Aducerea şi instalarea CPU precum şi a celorlalte echipamente necesare poate dura câteva zile sau săptămâni dar, după dotarea site-ului cu toate componentele necesare, acesta va deveni operaţional în câteva ore.
Cold site presupune existenţa doar a mediului de bază (repezentat prin instalaţie electrică şi de aer condiţionat etc.) pentru procesarea informaţiei. Site-ul este pregătit pentru instalarea echipamentelor, nici un fel de echipament nefiind instalat dinainte. Un astfel de site poate deveni operaţional în câteva săptămâni.
Facilităţi de procesare duplicată a datelor reprezintă soluţii dedicate, fiind site-uri de refacere realizate de către organizaţie care pot duplica aplicaţiile critice. Pot lua forma site-urilor standby hot prin acordul reciproc cu o altă companie de instalare. O astfel de soluţie conduce la mai puţine probleme de coordonare privind compatibilitatea şi disponibilitatea. Pentru ca o astfel de soluţie să fie viabilă vor trebui respectate unele principii şi anume:
48
Site-ul ales nu trebuie să poată fi supus unui aceluiaşi dezastru care afectează site-ul supus duplicării.
Trebuie să existe o coordonare a strategiilor hardware şi software pentru a se putea asigura un grad rezonabil de compatibilitate în vederea realizării back-upului.
Trebuie asigurată disponibilitatea resurselor. Trebuie să existe o înţelegere privind prioritatea adăugării de aplicaţii până
când toate resursele pentru refacere sunt utilizate. Este necasară testarea periodică indiferent dacă site-ulile duplicate sunt sub
proprietate comună sau sunt sub acelaşi management.
Site-uri mobile, o soluţie recentă, constă în utilizarea unui trailer care poate fi rapid transportat la locaţia organizaţiei sau într-un site alternativ pentru a asigura facilitatea de procesare a informaţiei. Site-urile mobile pot fi conectate pentru a forma o arie de lucru lărgită şi pot fi preconfigurate cu servere, calculatoate desktop, echipament de comunicaţie, microwave şi sateliţi pentru legături de date. Astfel de soluţii sunt recomandate când în aria geografică a organizaţiei nu există facilităţi de refacere sau când dezastrul afectează arii extinse. Este o soluţie pentru duplicarea facilităţilor de procesare în cazul organizaţiilor caracterizate prin dispersia teritorială a unităţilor lor.
Convenţii de reciprocitate stabilite cu alte organizaţii este o metodă mai puţin folosită. Se aplică atunci când în două sau mai multe organizaţii există echipament şi aplicaţii asemănătoare. Partenerii urmează să-şi pună reciproc la dispoziţie resursele necesare în cazuri de urgenţă. Astfel de alternative prezintă avantajul unor costuri reduse şi pot constitui unica alternativă disponibilă când site-urile hot, oferite de un unic furnizor, nu sunt disponibile. Dezavantajele sunt reprezentate de faptul că nu pot fi întotdeuna aplicabile, configurarea diferită a echipamentelor impune modificări în programe. În cazul realizării de modificări în configurarea echipamentelor, organizaţiile nenotificate în acest sens vor beneficia în mod limitat de înţelegerea încheiată sau nu vor mai putea beneficia de aceasta.
Opţiunea pentru această alternativă presupune cunoaşterea răspunsului la următoarele întrebări:
Cât timp disponibil avem pe calculatorul site-ului gazdă? Ce facilităţi, echipament şi software vor fi disponibile? Va fi asigurat personal pentru asistenţă? Cât de repede poate fi obţinut accesul la facilităţi? Legăturile pentru comunicaţiile de date şi voce pot fi stabilite pe site-ul
gazdă? Cât timp poate continua operarea de urgentă? Cât de frecvent poate fi testat sistemul pentru compatibilitate? Cum va fi asigurată confidenţialitatea datelor? Ce tip de securitate va fi permisă pentru sisteme şi date? Există perioade de timp când facilităţile organizaţiei partenere nu sunt
disponibile?
49
1.3. BUSINESS CONTINUTY şi DISASTER RECOVERY
Acest grup de funcţii trebuie să asigure coordonarea următoarelor activităţi:
- Stabilirea datelor critice şi vitale ce urmează a fi stocate offsite.- Instalarea şi testarea sistemelor software şi aplicaţiilor în site-ul de
recovery indiferent de natura acestuia – hot site, cold site etc.- Operarea din site-ul de recovery.- Reroutarea traficului în reţeaua de comunicaţii.- Restabilirea reţelei.- Transportul utilizatorilor în locaţia facilităţii de refacere.- Reconstruirea bazei de date.- Aprovizionarea cu consumabile.- Asigurarea şi achitarea cheltuielilor cu relocarea angajaţilor în locaţia de
recovery.- Coordonarea utilizării sistemelor şi planificarea muncii angajaţilor.
Desfăşurarea acestor activităţi impune stabilirea unor echipe de lucru specializate, cu atribuţii bine stabilite şi anume:
Echipa de stocare offsite (offsite storage team) – echipă responsabilă cu obţinerea, pregătirea şi transportul datelor în locaţia centrului de recovery. Tot această echipă este responsabilă şi cu stabilirea şi urmărirea programului de stocare offsite a informaţiilor create prin operarea în centrul de recovery.
Echipa software (software team) – Echipă responsabilă cu refacerea pachetelor software, încărcarea şi testarea sistemelor de operare, rezolvarea problemelor la nivelul sofware-ului de bază.
Echipa soft de aplicaţii (applications team) – Responsabilă cu refacerea aplicaţiilor pe sistemele de back-up cerute în site-ul de recovery. Pe măsura avansării procesului de recovery, echipa are responsabilitatea monitorizării performanţei aplicaţiilor şi integrităţii bazei de date.
Echipa de securitate (security team) – are rolul de a monitoriza permanent securitatea sistemului şi a legăturilor de comunicaţii, soluţionarea incidentelor de securitate care afectează refacerea sistemului, asigură instalarea corespunzătoare şi funcţionarea software-ului de securitate. Răspunde totodată de securitatea activelor în perioada următoare producerii dezastrului.
Echipa de operare de urgenţă (emergency operations team) este formată din operatori de shift-are şi supervizorii acestora care vor lucra în site-ul de recovery şi vor conduce operarea de-a lungul întregii perioade a proiectelor de refacere. În sarcina acestei echipe poate fi şi coordonarea instalării hardware-ului, dacă nu a fost stabilit drept centru de refacere un hot site sau o facilitate gata echipată.
Echipa de refacere reţea (network recovery team) este responsabilă cu reroutarea pe arii extinse a comunicaţiilor de voce şi date, restabilirea controlului reţelei gazdă şi accesul la sistemul din centrul de recovery oferind susţinerea pentru realizarea comunicaţiilor de date şi monitorizând integritatea comunicaţiilor.
Echipa de comunicaţii (communications team) Această echipă va colabora cu furnizorii de gateway în reroutarea serviciului local şi a accesului gateway.
50
Echipa de transport (transportation team) Asigură transportul angajaţilor la centrul de recovery, contactează angajaţii pentru a le comunica noile locaţii de lucru, planifică şi aranjează cazarea angajaţilor.
Echipa echipamente utilizator (user hardware team) – Stabileşte locaţia şi coordonează livrarea şi instalarea echipamentelor utilizatorilor (terminale, imprimante, copiatoare etc). Oferă sprijin echipei de comunicaţii şi participă la efortul de salvare a echipamentelor şi facilităţilor.
Echipa de pregătire date şi înregistrări (data preparation and records team) asigură actualizarea bazelor de date utilizate de aplicaţiile din site-ul de recovery. Supravegheză personalul de introducere date şi asistă activitatea de salvare a înregistrărilor în obţinerea documentelor primare şi a altor surse de introducere a datelor.
Echipa de suport administrativ (administrative support team) asigură suportul funcţionarilor pentru celelalte echipe şi asigură centrul de mesaje din site-ul de recovery. Poate asigura funcţiile de contabilitate şi salarii şi facilităţile necesare managementului.
Echipa de aprovizionare (supplies team) ajută echipa de echipamente utilizator să contacteze furnizorii şi coordonează logistica necesară aprovizionării cu cele necesare.
Echipa de recuperare (savage team) conduce relocarea proiectelor. Realizează o evaluare mai detaliată, faţă de cea iniţială, a pagubelor înregistrate de facilităţi şi echipament. Furnizează echipei de management de criză a informaţiilor necesare planificării privind reconstrucţia sau relocarea. Oferă informaţiile privind completarea cererilor de despăgubiri şi coordonează efortul de salvare a înregistrărilor (refacerea documentelor şi a înregistrărilor pe medii de stocare elecrtronică).
Echipa de relocare (relocation team) asigură coordonarea procesului de mutare din site-ul hot în noua locaţie sau în locaţia iniţială după refacerea acesteia. Aceasta presupune relocarea sistemelor de procesare a operaţiilor, a traficului de comunicaţii şi operaţii utilizator. Monitorizează tranziţia către un nivel normal al serviciilor.
Echipa de coordonare (coordonation team) răspunde de coordonarea efortului de refacere în diferitele locaţii.
Echipa juridică (leagal affairs team) asigură soluţionarea problemelor datorate incidentelor produse sau nondisponibilităţii serviciilor.
Echipa de test pentru refacere (recovery test team) răspunde de testarea diferitelor planuri şi analizarea rezultatelor testelor.
Echipa de instruire (training team) asigură instruirea cu privire la planul de continuare a activităţii şi a planului de refacere.
1.4. COMPONENTELE BCP
În funcţie de cerinţele şi dimensiunea organizaţiei, BCP poate fi format din unul sau mai multe planuri:
- Planul de refacere ( Business Recovery Plan - BRP)- Planul de continuitate a operaţiilor ( Continuity of Operations Plan –
COOP)
51
- Planul pentru continuitatea suportului/ Planul evenimentelor IT neprevăzute (Continuity of support plan/IT Contingency plan)
- Planul pentru comunicaţii în condiţii de criză (Crisis Communication Plan)- Planul de răspuns la incidente (Incident response Plan)- Planul de refacere după dezastre (Disaster Recovery Plan -DRP)- Planul de protecţie persoane şi bunuri (Occupant Emergency Plan –
OEPP)
Planul de reluare a afacerii oferă proceduri pentru refacerea operaţiunilor afacerii imediat după producerea dezastrului. Fără să se focalizeze pe componenta IT, aceasta este vizată doar ca suport al activităţii firmei.
Planul continuităţii operaţiilor oferă procedurile şi capabilităţile necesare susţinerii funcţiilor strategice ale firmei printr-un site alternativ pentru mai mult de 30 zile. Priveşte submulţimea misiunilor critice pentru firmă. Nu se centrează pe IT.
Planul evenimentelor IT neprevăzute (IT Contingency Plan/ Continuity of Support Plan) oferă proceduri şi capabilităţi pentru refacerea unei aplicaţii importante sau a sistemului informatic. Vizează distrugerile sistemului informatic, procesele afacerii nefiind vizate.
Planul comunicaţiilor în condiţii de criză (Crisis Communications Plan) oferă proceduri pentru diseminarea informaţiilor către angajaţii firmei şi beneficiarii externi de informaţie.
Planul de răspuns la cyber incidents ( Cyber Incidents Response Plan) oferă strategii pentru detectarea şi răspunsul la incidente şi limitarea efectelor produse de acestea.
Planul de refacere în caz de dezastre ( Disaster Recovery Plan) oferă proceduri detaliate pentru a facilita refacerea capabilităţilor într-un site alternativ.Planul de protecţie persoane şi bunuri ( Occupant Emergency Plan) asigură proceduri coordonate pentru limitarea victimelor şi a distrugerilor ca urmare a ameninţărilor fizice.
52
Planul continui-tăţii operaţiunilor
Business Continuity
Plan
Plan protectie pers. si bunuri
Plan comunicatii condiţii de criză
Planul de refa-cere a afacerii
Plan cyber incid.
Plan evenime-nte IT
Plan de refacere in caz de dezastre
Figura 7.2 Componente BCP
Pentru realizarea fazelor de planificare, implementare şi evaluare ale BCP se impune a se soluţiona următoarele aspecte:
1. Politicile care vor guverna eforturile de continuare a afacerii şi de refacere2. Scopurile/echipamentele/produsele pentru fiecare fază3. Facilităţi alternative pentru executarea task-urilor şi operaţiilor4. Resursele de informaţii critice ce trebuie asigurate (date şi sisteme)5. Persoanele responsabile pentru completare6. Resursele necesare pentru realizare7. Programarea activităţilor cu stabilirea priorităţilor
Copii ale planului trebuie păstrate în afara centrului operaţional (în locaţia facilităţii de recovery, centru de back-up sau la domiciliul persoanelor de decizie cheie). Componentele acestui plan cuprind: lista persoanelor de decizie cheie, lista furnizorilor, copii ale poliţelor de asigurare etc.
Personalul de decizie cheie
Planul trebuie să cuprindă o listă a persoanelor de decizie SI şi utilizatorii desemnaţi să iniţieze şi realizeze eforturile de refacere. Cerinţele de bună practică impun desemnarea unei persoane care, în baza acestei liste, va avea sarcina notificării cu privire la producerea unui incident/dezastru sau catastrofă. Este necesar de subliniat faptul că în cazul producerii unei catastrofe, incendiu, explozii în timpul orelor de lucru multe persoane cu putere de decizie nu vor putea fi disponibile.
Pentru derularea rapidă şi eficientă a acestei sarcini vor trebui specificate în plan următoarele aspecte:
1. O prioritizare a contactelor care trebuie realizate (cine va fi anunţat cu prioritate)
2. Lista cu telefoanele şi adresele persoanelor critice care urmează a fi contactate (în principal este vorba de şefii echipelor care vor anunţa la rândul lor membrii echipelor desemnate în planul de refacere).
3. Numerele de telefon şi adresele furnizorilor de hardware şi software.4. Numerele de telefon ale firmelor desemnate să asigure furnizarea de
echipamente şi servicii.5. Numerele de telefon ale persoanelor de contact din facilităţile de refacere,
incluzând reprezentanţii hot site-ului şi reprezentanţii serviciilor de reroutare a reţelelor de comunicaţii.
6. Numerele de telefon ale persoanelor de contact din facilităţile de stocare a copiilor de siguranţă.
7. Numerele de telefon ale societăţilor de asigurare.8. Numerele de telefon ale persoanelor de contact ale serviciilor de personal.9. Numerele de telefon şi persoanele de conatct din agenţii guvernamentale,
de reglementare şi judiciare.
1.5. TESTAREA PLANULUI
53
Scopul testării este de a verifica funcţionalitatea planului şi identificarea acelor componente care trebuie îmbunătăţite. Testele se recomandă a fi efectuate în weekend deoarece este esenţial să nu fie afectată activitatea curentă iar membrii echipelor să fie disponibili.
Conform CISA testele trebuie să îndeplinească următoarele cerinţe:
- Verificarea completitudinii şi preciziei planului- Evaluarea personalului cu atribuţiuni în cadrul planului- Evaluarea nivelului de instruire a membrilor echipelor- Evaluarea coordonării între membrii echipei BCP şi furnizorii externi- Măsurarea capacităţii centrului de back-up de a realiza procesarea.- Evaluarea capacităţii de regăsire a înregistrărilor vitale.- Evaluarea stării şi calităţii echipamentului şi furnizorilor relocate în site-ul
de refacere.- Măsurarea performanţei de ansamblu a activităţilor de procesare şi
operaţionale legate de menţinearea activităţii organizaţiei.
Testarea BCP urmează trei faze şi anume:
- Pretest-ul, etapă în care se procedează de la instalarea mobilierului până la echipamente destinate comunicaţiilor telefonice. Această etapă testează capabilitatea de a pregăti locaţia de recovery în condiţiile în care evenimentul distructiv se produce fără a exista o avertizare prealabilă şi deci nici posibilitatea de a iniţia acţiuni pregătitoare.
- Testul, etapă constând în testarea efectivă a planului urmărindu-se verificarea obiectivelor specifice BCP. Vor fi efectuate procedurile de deplasare a personalului şi echipamentelor în noua locaţie, operaţionalizarea comunicaţiilor telefonice, introducere date, procesare, contactarea şi mobilizarea furnizorilor. Persoanele abilitate vor proceda la evaluarea modului în care s-a reuşit realizarea sarcinilor stabilite prin BCP:
- Post-testul are ca scop testarea capacităţii de delocalizare a echipamentului, personalului şi proceselor de preducrare din centru de recovery în locaţia operaţională iniţială. Se procedează la deconectarea şi transportul echipamentelor, ştergerea datelor de pe sistemele furnizorului de facilităţi de procesare, delocarea personalului.
În afara etapelor sus menţionate se poate opta pentru derularea unor teste suplimentare reprezentate de:
- Testul de pregătire (preparedness test) are drept scop să evalueze anumite aspecte ale planului şi să ofere sugestii de îmbunătăţire a acestuia.
- Testul operaţional complet presupune simularea producerii unui dezastru şi nu doar o întreupere a serviciilor. În acest caz după verificarea atentă a planului în forma sa scrisă se trece la întreruperea totală a activităţii.
Evaluarea rezultatelor testelor
54
Fiecare etapă a testelor trebuie documentată pentru a se putea estima gradul de reuşită. Se resomandă ca fiecare echipă să întocmească un jurnal în care să consemneze principalele sarcini efectuate şi problemele intervenite, aceste informaţii devenind în condiţii reale de criză o sursă de informaţii extrem de utilă.
Evaluarea modului de realizare a sarcinilor se poate face prin determinarea următorilor parametrii:
- Timpul neecsar realizării sarcinilor.- Volumul de muncă depus în cetrul de back-up de către echipa de
funcţionari şi personalul de procesare operaţională.- Numărul de echipamente transportat şi operaţionalizat faţă de cel cerut,
numărul de documente vitale aduse în locaţia de back-up faţă de cel prevăzut în plan, numărul sistemelor critice refăcute.
- Acurateţea înregistrărilor introduse şi procesate în centrul de recovery comparativ cu cea realizată în mod normal (exprimată procentual). Acurateţea prelucrărilor este estimată prin compararea rezultatelor procesării în centrul de recovery cu cele rezultate prin procesarea în condiţii normale.
1.6. CONCLUZII
Dezvoltarea unui plan de continuare a afacerilor si recuperare in caz de
dezastru
Factorii de care trebuie sa se tine cont atunci cand se dezvolta un plan : incidentele descoperite inaintea dezastrului raspund conducerii, adresand toate
incidentele in procesele afacerii proceduri de evacuare proceduri pentru declararea in caz de dezastru circumstantele in care s-a declansat un dezastru identificarea responsabilitatilor in planul dezvoltat identificarea persoanelor responsabile pentru fiecare functie a planului identificarea informatiilor de contact explicarea pas cu pas a optiunilor de reconstruire identificarea resurselor variate cerute pentru reconstruire si continuare a
operatiunilor aplicatiile de reconstruire evidentiate pas cu pas
Planul ar trebui scris intr-un limbaj simplu. Va trebui sa se cunoasca si sa se identifice echipa, personalul, care sunt implicati in acest plan si ce responsabilitate are fiecare.
55
56
[Nancu Tiberiu]
Tabelul nr. 8.1. Managementul riscului
Descrierea riscului
Pro
bab
ilita
tea
Imp
actu
l
Pri
ori
tate
a
Actiuni de prevenire Plan de urgenta
Nesatisfacerea cerintelor clientilor:
- gestionarea inadecvata a informatiilor despre clienti;
- un serviciu clienti slab;
- aprecierea gresita a capabilitatilor de productie;
- cresterea pretului nejustificata;
- aparitia altor situatii neprevazute ce pot intrerupe si afecta productia sau calitatea produselor de consum;
Mare
Mare
Mica
Mica
Mica
Mica
Mare
Mare
Mic
Mare
Medie
Ridicata
Medie
Redusa
Medie
- traininguri pentru personal, care duce la o forta de munca mai calificata.
- alcatuirea unui grup de persoane, insarcinate sa solutioneze proasta functionare a serviciului clienti.
- asigurarea bunului mers al tuturor factorilor de productie.
- mentinerea unui pret al produselor asemanator cu cel al pietei.
- asigurarea unui climat propice pentru productia bunurilor si pentru bunul mers al procesului de productie.
- mobilizarea de resurse si personal.
- gasirea persoanelor calificate.
- realizarea unei strategii care sa acopere eventualele aprecieri gresite.
- insusirea unor politici de pret, care sa aduca pretul la nivelul pietei.
- verificari periodice la locul productiei, pentru a asigura productia la parametrii maximi si calitatea produselor.
Descrierea riscului
Pro
bab
ilita
tea
Imp
actu
l
Pri
ori
tate
a
Actiuni de prevenire Plan de urgenta
- adoptare unei strategii de marketing gresite si luarea unor decizii strategice neadecvate;
- schimbarea neanticipata a preferintelor de consum;
- neatentia asupra posibilitatilor si capabilitatilor concurentilor si a potentialului produselor acestora;
- avantajul tehnologic.
Mare
Mare
Mica
Mare
Mare
Mare
Mic
Mare
Ridicata
Ridicata
Redusa
Ridicata
- infiintarea unui department de marketing cu persoane calificate sau recurgerea la ajutorul unei firme specializata pe probleme de marketing.
- infiintarea unui departament de cercetare a pietei si a preferintelor consumatorilor.
- infiintarea unui departament de cercetare a pietei si a preferintelor consumatorilor.
- gasirea de resurse pentru investirea in departamentul de dezvoltare si cercetare.
- adoptarea altor strategii de marketing si decizii strategice, care sa ajute la redresarea firmei.
- adaptarea firmei la cerintele de pe piata.
- realizarea unor noi produse, cu calitati diferite de cele vechi, care pot rivaliza cu produsele firmelor competitoare.
- investirea in noile tehnologii aparute.
58
[Bobîlcă Ionuţ]
Tabelul 8.2. Analiza impactului asupra afacerii
Activitatea critica a
afacerilor pe
departamente
Descriere Prioritate Impactul pierderilor (descrie pierderile
de orice natura)
Timpul de recuperare al
obiectivului (perioada critica
pana cand apar pierderile)
Departamentul de
productie
Crearea produselor pentru
clientii firmei
Ridicata - clientii or sa apeleze la
competitori;
- cererile n-or sa poata fi
respectate;
- pierderea de locuri de munca.
2 saptamani
Departamentul de vanzari Asigurarea ajungerii
produselor la client
Ridicata - pierderea de locuri de munca;
- incapacitatea de satisfacere a
tuturor nevoilor clientilor;
- personal slab calificat.
1 saptamana
Departamentul de
marketing
Imbunatateste imaginea
firmei
Ridicata - pierderea din numarul clientilor
prin diminuarea increderii
acestora in firma;
- competitorii au posibiliatea de a
detine cea mai mare parte din
3 saptamani
piata.
Departamentul de export Asigura vanzarea
produselor si la clientii din
afara granitelor
Medie - pierderea clientilor din tarile
unde sunt exportate produsele
firmei si apelarea la firmele de
pe piata lor interna.
2 saptamani
Departamentul de
cercetare
Aduce inovatii in ceea ce
priveste produsele si
cerintele clientilor
Medie - imposibilitatea de a produce
obiecte noi si la acelasi nivel
cu cerintele clientilor, ceea ce
duce la orientarea clientilor
spre competitor.
1 saptamana
Departamentul de resurse
umane
Introduce, in cadrul
firmei, personalul necesar
pentru funtionarea firmei
Medie - aducerea de persoane necalificate
sau slab calificate care, in lipsa
unui training adecvat, nu ar
aduce nici un beneficiu real
firmei, ci dimpotriva, ar tine in
loc si pe ceilalti.
1 saptamana
60
[Radu Răzvan]
Tabelul 8.3. Planul de recuperare
Activitati critice ale
afacerii
Actiuni preventive/de recuperare Resursele cerintelor/rezultatelor Timpul de
recuperare al
obiectivului
Responsabilitate Completat
Oprirea productiei - reevaluarea pozitiei financiare
a afacerii, inclusive fluxurile
de trezorerie, ca urmare a
pierderii de venituri, pentru
a satisfice cheltuielile
minime.
- minimizarea costurilor
generale – dezvoltarea unui
plan de actiune pentru a
reduce cheltuielile fixe si
variabile.
- negocierea cu furnizorii pentru
a preveni acumularea de
materiale si a reduce
costurile.
- diversificarea gamei de
- punerea deoparte de
rezerve de numerar
pentru a acoperi
costurile.
- reducerea costurilor in
cazurile posibile.
- cercetarea de noi produse
si servicii.
2 saptamani Proprietarul
afacerii
0/0/0
61
produse si servicii.
Numarul insuficient
de angajati in centrele
de distributie
- folosirea de personal,
indiferent de nivelul de
calificare.
- prevenirea inchiderii unor
puncte de distributie.
- mentinerea personalului
deja existent.
- salvarea unor costuri prin
inchiderea unor centre
de distributie si
relocarea spre alte
centre de distrbutie.
1 saptamana Persoana
responsabila cu
resursele umane
0/0/0
Neincrederea
manifestata de catre
clienti in ceea ce
priveste calitatea
produselor firmei si
imaginea acesteia
- gasirea de noi metode de
imbunatatire a imaginii
firmei si de atragere a
clientilor inapoi spre firme
si atragerea de noi client,
daca este posibil.
- folosirea de tehnici de
marketing pentru a crea o
imagine de firma puternica,
care poate sa satisfaca
oricand nevoile clientilor.
- crearea unui plan care sa
imbunatateasca
perceptia clientilor si a
eventualilor clienti
asupra firmei.
- observarea concurentei si
incercarea intelegerii
metodologiei folosite
de catre ei, pentru a
putea trage idei si
concluzii folositoare
pentru propria firma.
3 saptamani Persoana
responsabila cu
PR
0/0/0
Produsele exportate sa
nu ajunga la client
- asigurarea procesului de - intarirea relatiilor cu
distribuitorii sau
2 saptamani Seful 0/0/0
62
distributie al produselor.
- prevenirea inchiderii centrelor
de distributie de peste
granite.
gasirea de noi
distribuitori.
- relocarea afacerii dintr-un
centru de distributie
spre altul.
departamentului
de export
Neadaptibilitatea
produselor firmei la
trendul pietei
- gasirea de noi tehnologii,
pentru a aduce produsele la
nivelul cerintelor de pe
piata.
- apelarea la o firma care sa
poata sa aduca produsele
firmei in trend cu piata.
- observarea concurentei,
daca aceasta stabileste
trendul prin produsele
sale si incercarea
reproducerii
produselor.
- pastrarea personalului din
cadrul departamentului
de cercetare.
1 saptamana Seful
departamentului
de cercetare
0/0/0
Angajarea de personal
necalificat sau slab
calificat
- realizarea unui interviu strict,
prin care sa se poata selecta
candidatii perfecti.
- cautarea de personal bine
calificat, pentru care
cheltuielile ar fi de un nivel
mic.
- selectarea doar
persoanelor considerate
importante si
neselectarea
persoanelor considerate
slab calificate.
- incercarea aducerii unor
persoane calificate cu
1 saptamana Persoana
responsabila cu
resursele umane
0/0/0
63
un salariu destul de mic
pentru avantajul pe care
il aduce.
64
Bibliografie:
Tratate, monografii şi cursuri universitare:
Jorion P. – Financial Risk Manager Handbook, ediţia a VI-a, cap. XXVI
Operational Risk, Editura John Wiley & Sons, New Jersey, 2011
Saunders A. - Financial Institutions Management – a Risk Management
Approach, ediţia a VI-a, cap. XVI Technology and Other Operational Risks, Editura
McGraw-Hill / Irwin, New York, 2008
Curs Managementul riscurilor operaţionale, R.E.I. - Departamentul de
Relaţii Economice Internaţionale, Bucureşti, 2013
Articole de specialitate:
http://www.jolidon.ro/companie/cifre-cheie/
http://www.jolidon.ro/companie/filosofie/
http://www.jolidon.ro/companie/istoric/
http://www.marketwatch.ro/articol/3860/
Etapele_logice_ale_unui_plan_de_continuitate_operationala_pentru_o_companie_mi
ca_sau_medie/
http://www.marketwatch.ro/articol/7078/
Pasi_necesari_in_elaborarea_unui_plan_de_continuitate_operationala/
http://www.catedra.ro/personal/BCP_[Compatibility_Mode].pdf
65
Anexă:
Tabel nr. 1. Contribuţii ale membrilor echipei.
I-II. Planul de gestiune al riscurilor Niţu
- Lista riscurilor Bobîlcă, Niţu, Radu, Nancu, Vlad
- Matricea riscurilor Radu
- Harta de interconectare a riscurilor Radu, Vlad
- Balanced Scorecard Niţu
- Analiza scenariilor Bobîlcă, Vlad
- Business Continuity Plan Nancu, Radu, Bobîlcă
1
Top Related