Netwerk Organisatiebeheersing

1
Netwerk Organisatiebeheersing

• Risicomanagement, procesmanagement en
  bedrijfscontinuïteit

2
Inhoud

• Doelstellingen
• Risicomanagement
• Procesmanagement
• Bedrijfscontinuïteitsmanagement
• Vragen?

3
Core business

• Core business van een organisatie
• Voor agentschappen oprichtings-besluit of
  -decreet
• Voor departementen Kaderdecreet.
• Dit vindt zijn doorvertaling in lange
• termijnvisie beheersovereenkomst /
• Managementovereenkomst.

4
Doelstellingen

• Gelet op taken / business bepaalt de
• organisatie
• de visie en missie
• de doelstellingen
• strategische doelstellingen
• operationele doelstellingen
• Rekening houdend hiermee wordt bepaald
• welke processen ontwikkeld moeten
• worden

5
Doelstellingen en processen
Wie zijn we en waarom bestaan we?
Welke zijn de belangrijkste doelstellingen die de
organisatie moet halen om haar visie waar te
maken?
Welke is onze ambitie voor de komende jaren?
Welke zijn de kritische elementen die de SDs
beïnvloeden en waarvoor meetbare doelstellingen
moeten behaald worden?
Welk resultaat (product) moet het project
opleveren? Is het in lijn met de SDs van de
organisatie?
6
(No Transcript)
7
Risicomanagement

• Nadat de organisatie haar doelstellingen
• heeft goedgekeurd en gecommuniceerd, zal
• zij beslissen hoe en op welke wijze ze
• uitvoering zal geven aan de doelstellingen.
• De obstakels ( risicos) die de organisatie
• kan tegen komen bij het uitvoeren van deze
• doelstellingen worden in kaart gebracht. Dit
• veronderstelt een duidelijk inzicht in de
• werking en de processen ( procesanalyse).

8
Risicomanagement

• Risicomanagement is dus onlosmakelijk
• verbonden met het doelstellingenproces.
• Vanuit de identificatie van de organisatie-
• doelstellingen worden de risicos ingeschat.
• De risicoanalyses moeten worden
• geïntegreerd in de strategiebepaling (plan)

9
Risicomanagement

• De risicoanalyse omvat het proces van de
• identificatie van risicos (organisatorische
• procesgebonden), de beoordeling ervan en
• de beoordeling van de risicobeheersing (zijn
• er beheersmaatregelen, zijn deze afdoende,
• ).

10
Impact / probabiliteit

• Als de risicos geïdentificeerd zijn, dient er
• een ranking (prioritering) te gebeuren
• (hoog/middelmatig/laag).
• Deze ranking wordt uitgevoerd door een
• inschatting te geven over
• impact
• en
• probabiliteit.

11
Impact / probabiliteit

• Een inschatting over de probabiliteit is een
  inschatting over de kans dat het risico zich
  effectief zal voordoen
• (de waarschijnlijkheid)
• Bij de inschatting van de impact wordt een
  oordeel gegeven hoe erg het dan voor de
  organisatie is als het risico zich effectief
  manifesteert.

12
Risicostrategie

• Als de risicos gedetecteerd zijn, dient de
• organisatie te beslissen welke strategie ze
• zal hanteren (risico-appetijt). Hierbij zijn er
• 4 mogelijkheden
• Niets doen risicos aanvaarden (accept)
• Vermijden (avoid)
• Beheersen / beperken gt beheersmaatregelen (reduce
  to acceptable level)
• Transfereren (transfer)

13
Risicostrategie bepalen
14
Risicomanagement
15
Risicomanagement

• Risicomanagement is een continu proces. Elke
• organisatie is immers actief in een dynamische
• omgeving, waarin voortdurend nieuwe risicos
• ontstaan die het bereiken van de organisatie-
• doelstellingen in het gedrang kunnen brengen,
• terwijl bestaande risicos toenemen, afnemen of
• verdwijnen. Dit heeft gevolgen voor de
  effectiviteit
• van de door de organisatie gekozen beheers-
• maatregelen. Een organisatie moet dan ook steeds
• alert blijven om zijn beheersmaatregelen tijdig
  te
• kunnen bijsturen (check / act).

16
Processen

• Elke organisatie heeft als missie één of meer
• kernopdrachten te realiseren. Om deze
• kernopdrachten vorm te geven, worden een
• aantal (hoofd)processen opgezet. Die
• (hoofd)processen kunnen op hun beurt
• samengesteld zijn uit verschillende deel-
• processen, enz. Verder zijn er ook onder-
• steunende en managementprocessen.

17
Procesmanagement

• Onder procesmanagement verstaan we de
• gecoördineerde activiteiten die gericht zijn op
  het
• effectief inrichten, uitvoeren, beheren en
• verbeteren van de bedrijfsprocessen.
• Elk van deze activiteiten is verbonden aan één
  van
• de stappen van de PDCA-cyclus.
• Plan definiëren/inventariseren,
  documenteren/modelleren, analyseren/simuleren,
  valideren, communiceren, implementeren/ontplooien.
  
• Do uitvoeren, monitoren/opvolgen
• Check evalueren
• Act bijsturen

18
Procesmanagement

• Sleutelprocessen zijn geïnventariseerd en
  gedocumenteerd (input gt output)
• Processen zijn conform strategie, doelstellingen
  en verwachtingen
• Per (sub)sleutelproces is er een proceseigenaar
• In overeenstemming met reglementering
• IC/OB kritieke punten, functiescheiding, etc

19
Procesmanagement

• Efficiëntie van de processen
• Verbetering van de processen
• Toewijzing van middelen aan processen
  (financieel, personeel, andere)

20
Procesmanagementhttp//www2.vlaanderen.be/interne
controle/procesmgt.htm
21
Proceselementen

• de naam van het proces
• de doelstelling van het proces
• de proceseigenaar
• de identificatie van beginpunt en eindpunt
• wat is de input
• wat is de output
• wie is de klant
• wat zijn de toepasbare normen en het regelgevend
  kader
• wat bedreigt het behalen van de
  procesdoelstelling ( procesrisicos), . ?
• wat zijn de locaties waar een proces wordt
  uitgevoerd?

22
Bedrijfscontinuïteit en de link met OB

• BCM is niet iets nieuws
• BCM is onderdeel van interne controle /
  organisatiebeheersing (beheersproces)
• Behalen van maturiteitsniveau 3 tegen 2010
• In leidraad IC/OB zit BCM (continuïteitsplanning)
• reeds in aantal themas verwerkt
• BCM is meer dan ICT

23
Wat is Bedrijfscontinuïteitsmgt?

• Bedrijfscontinuïteitsmanagement (BCM)
• beheersproces dat risicos identificeert en
• beperkt, de mogelijke impact van een
• onderbreking van (tijds)kritische bedrijfs-
• processen en ondersteunende systemen
• minimaliseert met als ultieme doel het tijdig
• herstellen van de kritieke bedrijfsprocessen.

24
Wat is Bedrijfscontinuïteitsmgt?

• BCM bereidt de organisatie voor op
• incidenten (bv.een brand, een stroompanne,
• een onderbreking van mail of telefonie,
• stakingen, een ongeval, ) die de goede
• werking van de dienstverlening in gevaar
• kunnen brengen met de bedoeling
• maatregelen te nemen op kritieke processen
• te garanderen of te kunnen heropstarten als
• het incident zich zou voordoen.

25
BCM en Risicomanagement

• Binnen het globale risicomanagement verdienen de
  continuïteitsrisicos bijzondere aandacht. Zij
  vormen de basis voor het ontwikkelen van een
  bedrijfscontinuïteitsproces.
• Continuïteitsplannen kunnen zich richten op
  crisisbeheer en communicatie, facility, ICT
  (Disaster Recovery Plan) en de processen (cf. de
  respectievelijke themas in deze leidraad).

26
Bedrijfscontinuïteitsmanagement

• Welke processen, applicaties, middelen
• nodig om de doelstellingen te realiseren?
• Rekening houdend met
• wettelijke verplichtingen
• contractuele verplichtingen
• Bepalen welke processen / applicaties eerst
• terug opgestart moeten worden (hoe lang
• kunnen ze uitliggen) welk dataverlies is
• acceptabel

27
Business Impact Analyse (BIA)

• Technieken en methodes om bedrijfsimpact te
  identificeren, kwantificeren en kwalificeren,
  samen met het effect op de organisatie, in geval
  van verlies, onderbreking of verstoring van de
  kritieke processen en hun afhankelijkheden
• End-to-End !
• Identificeren van de minimale bedrijfsmiddelen
  door middel van Business Impact Resource Recovery
  Analysis (BIRRA)
• Recovery Time Objective (RTO)
  hersteltijddoelstelling
• Recovery Point Objective (RPO) aanvaardbaar
  verlies

28
Fases van BCMBCI Good Practice Guidelines
De bedrijfsprocessen en onderliggende IT-infrastru
ctuur doorgronden
1
Bedrijfs- continuïteits- strategieën
Periodieke testen, onderhoud en audit
2
5
Bedrijfs-
continuïteits- management
3
4
Ontwikkeling implementatie van herstelplannen
Creëren uitbouwen van BCM-cultuur
29
Business Continuity Management Process - BS
25999-1
Embedding BCM in the Organization's Cultute
Understanding the Organisation
BCM Programme Management
Determining BCM Options
Exercising, Maintaining Auditing
Developing and Implementing a BCM Response
30
Thema-audit BCM (2007)

• De entiteiten binnen de VO hebben een
• zelfinschatting (vragenlijst) uitgevoerd
• waarbij er een score bekomen werd.
• Daarnaast werd door IAVA de maturiteit
• ingeschat voor tien entiteiten.
• Beide resultaten vormt de nulmeting
• inzake conformiteit met de ICT-veiligheids-
• beleidslijn BCM.

31
Maturiteitsmodel BCM

• Er wordt telkens voor elk van de volgende
• aspecten een score bepaald
• (a) onderkenning van en communicatie over het
  probleem
• (b) het beleid
• (c) bijbehorende processen en opleiding voor de
  uitvoering van het beleid
• (d) de effectiviteit van het beleid en van de
  bijbehorende processen meten en op basis daarvan
  verbeteringen aanbrengen
• (watervalmodel a gt b gt c gt d)

32
KOMPAS
Elk kernobject is een onderdeel van een groter
geheel waarin ze allen op elkaar aansluiten. Ze
staan niet los van elkaar. De processen zijn de
kapstok van een organisatie ? ze staan centraal
33
(No Transcript)
34

• Vragen?

35
Bijkomende info

• http//www2.vlaanderen.be/internecontrole/risicomg
  t.htm
• http//www2.vlaanderen.be/internecontrole/procesmg
  t.htm
• COP Procesbeheer http//bz.vonet.be/nlapps/docs/d
  efault.asp?fid1052
• PIBhttp//bz.vonet.be/nlapps/docs/default.asp?id
  2792
• IAVA ronde tafelconferentie BCM
• http//dar.vonet.be/nlapps/docs/default.asp?fid54
  9