A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS

Erasmus Multilateral Projects – Virtual campuses

134350-LLP-1-2007-1-HU-ERASMUS-EVC Virtual campus for SMEs in a multicultural milieu

Erasmus Multilateral Projekts – Virtual campuses

A projekt referenciaszáma: 134350-LLP-12007-1-HU-ERASMUS-EVC A projekt címe: Virtual campus for SMEs in a multicultural milieu (‘SMEdigcamp’) Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez. Ez a kiadvány (közlemény) a szerzı nézeteit tükrözi, és az Európai Bizottság nem tehetı felelıssé az abban foglaltak bárminemő felhasználásért.

A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS Modulvezetı: Bernard QUINIO (FR-UPX) További modultagok: András JÁNOSA (HU) János IVANYOS (HU) Imre JUHÁSZ (HU) Gyula KADERJÁK (HU) Manuela NOCKER (UK) Gunnar PRAUSE (DE) Daniel BRETONES (FR-ESCEM)

1 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



TARTALOMJEGYZEK A) A MODUL MEGHATÁROZÁSA ....................................................................................5 B) INDIKATÍV TARTALOM..............................................................................................11 I. VEZETİI INFORMÁCIÓS RENDSZEREK....................................................................11 1. FEJEZET: AZ INFORMÁCIÓS RENDSZER MEGSZERVEZÉSE ÉS VEZETÉSE KKVK SZÁMÁRA ......................................................................................................................11 1.1. Bevezetés...................................................................................................................11 1.2. Az információs rendszerek fı kérdéseinek meghatározása a kkv-k számára ...............11 1.2.1 Információ és információs rendszer......................................................................11 1.2.2. Kulcsfontosságú témák, melyeket az információs rendszer vet fel a vállalkozás számára ........................................................................................................................11 1.3. Az IR funkció megszervezése a vállalatnál.................................................................11 1.4. Az IR osztály költségvetése és költségei ....................................................................12 1.5. Hogyan kezeljük az IR kiszervezését .........................................................................12 1.5.1. Az IR szolgáltató leírása......................................................................................12 1.5.2. Az IR tevékenységei és azok kiszervezése...........................................................12 1.5.3. Hogy kezeljük a szolgáltatót................................................................................12 1.5.4. A szolgáltatók kezelésének ciklusa......................................................................12 1.6. Irányítás a kkv-kban: szabályok és eszközök..............................................................12 1.7. Gyakorlatok ...............................................................................................................13 2. FEJEZET: AZ IR ALKALMAZÁSA A KKV-KBAN ......................................................14 2.1. Bevezetés...................................................................................................................14 2.2. Az információs rendszer mőszaki infrastruktúrája a kkv-kban....................................14 2.2.1. Az infrastruktúra mőszaki aspektusa ...................................................................14 2.2.2. A szoftver alkalmazás térképe .............................................................................14 2.2.3. Hogyan válasszunk nyílt rendszerek és az egyedi fejlesztésőek között? ...............14 2.3. Az IR döntéstámogatási alkalmazása..........................................................................15 2.3.1. Felsıvezetıi információs rendszer (EIS) .............................................................15 2.3.2. Szakértıi rendszer ...............................................................................................15 2.3.3. Tudás menedzsment ............................................................................................15 2.3.4. Üzleti intelligencia ..............................................................................................15 2.3.5. Adatelemzés és adatbányászat .............................................................................16 2.4. IR alkalmazások két fı célra ......................................................................................16 2.4.1. Ügyfélkapcsolat kezelés (CRM) ..........................................................................16 2.4.2. Az e-business és a web site..................................................................................17 2.4.3. Beszállítói láncolatkezelés (SCM) .......................................................................17 2.5. Az IR alkalmazás integrációs célra.............................................................................17 2.5.1. A vállalaton belül: Vállalati Erıforrástervezés (ERP) ..........................................17 2.5.2. A vállalaton kívül: Elektronikus adatcsere (EDI).................................................17 2.5.3. A vállalaton kívül: az e-business piac ..................................................................18 2.6. Gyakorlatok ...............................................................................................................18 3. FEJEZET: PROJEKTVEZETÉS ......................................................................................19 3.1. Bevezetés...................................................................................................................19 3.2. A projektvezetés fı fogalmainak meghatározása ........................................................19 3.3. Hogy készítsünk elı egy projektet? ............................................................................19 2 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



3.3.1. Pontosítsuk a projekt céljait: miért és hol kell cselekedni?...................................19 3.3.2. Határozzuk meg a megoldás típusát: Hogyan járunk el? ......................................19 3.3.3. Az emberi és mőszaki erıforrások meghatározása. Kivel és mivel dolgozunk?....19 3.4. Hogy építjük fel a projektet? ......................................................................................20 3.5. Hogy kell egy projektet irányítani? ............................................................................20 3.5.1. Projektirányítás ...................................................................................................20 3.5.2. Projektvezetés .....................................................................................................20 3.6. Hogy telepítsük és használjuk a projekt eredményét...................................................21 3.7. Gyakorlatok ...............................................................................................................21 4. FEJEZET: AZ IR BIZTONSÁGA ÉS KONTROLLJA.....................................................22 4.1. Bevezetés...................................................................................................................22 4.2. Biztonsági szabályok: szigorú szabály, irányelv és szervezéssel elért biztonság .........22 4.3. A biztonság emberi tényezıje ....................................................................................23 4.4. Külsı és belsı támadások ..........................................................................................24 4.5. A számítástechnikai tanúsítás törvénye és szabványai ................................................25 4.6. Az adatok és a szoftver biztonsági másolata ...............................................................26 4.7. A tevékenység újrakezdése és fenntartása ..................................................................26 4.8. A COBIT vagy az ITIL használata a kkv-k számára...................................................26 4.9. Gyakorlatok ...............................................................................................................27 II. KOCKÁZATKEZELÉS ..................................................................................................28 1. FEJEZET: A KOCKÁZATKEZELÉSI ISMERETEK MEGSZERZÉSÉNEK CÉLJAI ....28 1.1. Bevezetés...................................................................................................................28 1.2. Globális célok............................................................................................................28 1.3. A fı kérdések leírása..................................................................................................28 1.4. Miért fontos a kockázatkezelés a kkv-k számára?.......................................................29 1.5. Gyakorlatok ...............................................................................................................30 2. FEJEZET: A KOCKÁZATKEZELÉS ALAPELVEI........................................................31 2.1. A vállalati kockázatkezelés meghatározása ................................................................31 2.2. A kockázat típusai......................................................................................................31 2.3. Gyakorlatok ...............................................................................................................32 3. FEJEZET: A SZERVEZET ÖSSZEKAPCSOLÓDÓ CÉLKITŐZÉSEINEK ELÉRÉSE ..33 3.1. A célkitőzés-kategóriák..............................................................................................33 3.2. Célkitőzés állítása ......................................................................................................33 3.3. Eseményazonosítás ....................................................................................................33 3.4. Kockázatértékelés ......................................................................................................33 3.5. Kockázati válaszok ....................................................................................................34 3.6. Gyakorlatok ...............................................................................................................34 4. FEJEZET: A KOCKÁZATKEZELÉS KOMPONENSEI .................................................35 4.1. A célkitőzések és az alkotóelemek összefüggése ........................................................35 4.2. A kockázatkezelés eredményessége és korlátai ..........................................................35 4.3. Kapcsolat a belsı kontrollrendszerrel.........................................................................35 4.4. Gyakorlatok ...............................................................................................................36 5. FEJEZET: A KOCKÁZATKEZELÉS KÉPESSÉGI SZINTJÉNEK FELMÉRÉSE ..........37 5.1. A COSO keretrendszer alkalmazása referenciamodellként .........................................37 5.2. A szervezet céljainak feltérképezése képesség szintek szerint ....................................37 5.3. Bizonyosságot nyújtó és tanácsadói ellenırzési megbízások ......................................38 3 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



5.4. Gyakorlatok ...............................................................................................................38 C) NEMZETI SPECIFIKÁCIÓK .........................................................................................39 1. FRANCIAORSZÁG.........................................................................................................39 1.1. Vezetıi információs rendszer .....................................................................................39 1.1.1. 1. Fejezet Az információs rendszer (IR) megszervezése és vezetése a kkv-k számára ........................................................................................................................39 1.1.2. 2. Fejezet IR alkalmazások az kkv-kban ..............................................................39 1.1.3. 3. Fejezet: Projektvezetés ....................................................................................39 1.1.4. 4. Fejezet az IR biztonsága és kontrolle...............................................................40 1.2. Kockázatkezelés ........................................................................................................40 2. NÉMETORSZÁG ............................................................................................................41 2.1. Információs rendszerek ..............................................................................................41 2.2. Kockázatkezelés ........................................................................................................41 3. MAGYARORSZÁG ........................................................................................................42 3.1. Vezetıi információs rendszerek .................................................................................42 3.2. Kockázatkezelés ....................................................... Hiba! A könyvjelzı nem létezik. 4. EGYESÜLT KIRÁLYSÁG..............................................................................................42 4.1. Vezetıi információs rendszerek .................................................................................48 4.2. Kockázatkezelés ........................................................................................................48 4.3. Egyéb javasolt olvasmányok ......................................................................................49




A) A MODUL MEGHATÁROZÁSA A modul leírása A modul két részbıl áll: egy információs rendszerekrıl és egy kockázatkezelésrıl szóló részbıl. Az információs rendszerrıl szóló rész célja, hogy a kis- és középvállalkozások információs rendszereinek kezeléséhez szükséges készségeket megadja. A kockázatkezelésrıl szóló rész a kkv-k kockázatkezelési elveinek és eszközeinek elsajátításához szükséges készségek biztosítását célozza.

A modul céljai Vezetıi információs rendszerek Hogyan kezeljük az információs rendszereket a kkv-kban Hogyan vegyünk részt egy információs rendszerrıl szóló projektben Hogyan alkalmazzunk biztonsági szabályokat kkv-k számára Kockázatkezelés Hogy alkalmazzunk kockázatkezelési elveket és eszközöket Hogy tőzzünk ki célokat, és mi a kockázatviselési hajlandóság, illetve a kockázati tolerancia Hogy végezzük a kockázatfelmérést, és hogy határozzuk meg a kockázatra adott választ Hogy ágyazódik be a belsı audit a kockázatkezelésbe Hogy értékeljük a kockázati hatékonyságot és a kontroll rendszereket

Elıfeltételek Vezetıi információs rendszer Jól használható a személyi számítógép, az Internet és az irodai alkalmazások szakmai környezetében Táblázatkezelı, adatbázis kezelı és Internet vezetıi célokra A táblázatkezelés koncepciója és gyakorlati használata pénzügyi és kontroll költségvetés készítés céljaira Kockázatkezelés Stratégiai irányítás. Pénzügyi irányítás. Szervezés és vezetés. Folyamatfelmérés.




Munkamódszer A modul minden fejezetéhez kifejtjük a fıbb elveket számos példa kíséretében, és elektronikus linkeket is adunk, ahol az elvek a valós életbe ágyazva is megtekinthetık. Ezután ellenırzı kérdések és gyakorlatok következnek, hogy az eszközök gyakorlati alkalmazását is elısegítsük.

Értékelés Az értékelés két részbıl áll: egy kvíz, melynek célja az elmondott elvek tudásának értékelése és egy esettanulmány.

A modul szerkezete Vezetıi információs rendszer (2 kredit) 1. Fejezet: az információs rendszer felépítése és irányítása a kkv számára Pedagógiai célkitőzések: Tökéletes ismeretek az információs rendszer fogalmáról Hogy kell felépíteni egy információs rendszert egy kkv-ban Hogy kell egy információs rendszer funkcióinak kiszervezését kezelni Hogy kezeljük a kkv szolgáltatóját Szerkezet: Bevezetés Az információs rendszer (IR) meghatározásai és fıbb kérdései a kkv számára Információkezelés és információs rendszer Fıbb kérdések a kkv-k szempontjából Az IR funkcióinak megszervezése a cégen belül Az IR funkcióinak költségvetése és költségei Hogy kezelendı az IR kiszervezése Az IR szolgáltató meghatározása IR tevékenységek és kiszervezésük Hogy tartsuk kézben a szolgáltatót Az IR irányítás a kkv-ban: szabályok és eszközök 2. Fejezet: Az IR alkalmazása a kkv-kban Pedagógiai célkitőzések: Megfelelı ismeretek megszerzése a fı IR alkalmazással kapcsolatban Minden alkalmazás esetében a fı sikertényezık megismerése Minden alkalmazás esetében a fı termékek és azok gyártóinak ismerete Az alkalmazás használatának megtanítása nem a jelen fejezet célja Szerkezet: Bevezetés Az IR mőszaki infrastrukúrája a kkv-n belül Az infrastruktúra mőszaki tényezıi 6 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A szoftver alkalmazás térképe Hogy válasszunk nyílt és tulajdonosi rendszerek között? Hogy válasszunk a kész szoftver és a testreszabott fejlesztés között? Az IR alkalmazása döntéshozatalra Felsıvezetıi információs rendszer (EIS) Szakértıi rendszer Tudás menedzsment Üzleti hírszerzés Adatelemzés és adatbányászat Az IR alkalmazás két fı funkciója Ügyfélkapcsolat kezelés (CRM) E-business és a honlap Beszállítói útvonalkezelés (SCM) Az IR alkalmazás integrációs célra A vállalaton belül: Vállalati Erıforrástervezés (ERP) A vállalaton kívül: Elektronikus adatcsere (EDI) Az E-business piaca 3. Fejezet Projektvezetés Pedagógiai célkitőzések: Hogy irányítsuk egy információs rendszer megvalósítási projektjét Hogy alkalmazzunk projektvezetési eszközöket A kockázatelemzés a Kockázat kezelés c. részben található Szerkezet: Bevezetés A projektvezetés fı fogalmainak meghatározása Hogy készítsünk elı egy projektet A projekt céljainak meghatározása: Miért és hol van tennivaló? A megoldás típusának meghatározása: a tevékenység módjának meghatározása Az emberi és technikai erıerıforrások meghatározása: kivel és mivel dolgozunk? Hogy építjük fel a projektet? Hogy menedzseljük a projektet? A projekt iránya A projektvezetése Tervezés (Pert és Gantt) Költségek kézbentartása Változás-kezelés és az emberi tényezık Hogy üzemeljük be, és hogy használjuk a projekt eredményét 4. Fejezet: az IR biztonsága és kontrolle Pedagógiai célkitőzések: Hogy alkalmazzuk a biztonsági szabályokat és eszközöket a kkv-ban Hol találunk információt és tanácsot a biztonsággal kapcsolatban Szerkezet: Bevezetés 7 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A biztonság szabályai: vonatkoztatási területek, szigorú szabály, irányelv és szervezés alapú biztonság A biztonság emberi tényezıi Belsı és külsı támadások A számítástechnikai biztonság jogi szabályozása Adatbiztonság és szoftver A tevékenység újraindítása és fenntartása A COBIT használatat a kkv-ban Az ITIL használata a kkv-kban

Kockázatkezelés (2 kredit) 1. Fejezet: A kockázatkezelési ismeretek célja A kockázatviselési hajlandóság és a stratégia összhangja – a vezetés megfontolja a szervezet kockázatviselési hajlandóságát stratégiai alternatívák értékelése során, kitőzi a vonatkozó célokat és mechanizmusokat alakít ki a kapcsolódó kockázatok kezelésére. A kockázatkezelési döntések javítása – A vállalati kockázatkezelés adja a szigort az alternatív kockázatkezelési döntések közötti választáshoz: kockázat elkerülés, csökkentés, megosztás és elfogadás. Mőködési költségekkel kapcsolatos kellemetlen meglepetések és veszteségek csökkentése – a szervezetek egyre jobb képességet alakítanak ki a várható események meghatározásához és válaszlépéseik megtervezéséhez, csökkentve ezáltal a meglepetést és az azzal járó költségeket vagy veszteségeket. Többszörös és vállalatközi kockázatok meghatározása – minden vállalat rengeteg kockázattal szembesül, melyek a szervezet különféle részeit érintik. A vállalat kockázatkezelési funkciója hathatós válaszlépést tesz lehetıvé egymással összefüggı behatások esetén és integrált válaszokat ad többszörös kockázatokra. A lehetıségek megragadása – a lehetséges események egész sorának megfontolása során a vezetıség meghatározza és proaktív módon megvalósítja a lehetıségeket. A tıke mőködtetésének javítása –a kockázattal kapcsolatos bıséges információ lehetıvé teszi a vezetıség számára az átfogó tıkeigény hatékony felmérését és a tıke allokáció javítását. 2. Fejezet: A Kockázatkezelés alapelvei Egy folyamat, mely szüntelenül áramlik egy szervezet egységein át A szervezet minden szintjének munkatársai kapcsolatba kerülnek vele A stratégiatervezésben jut szerephez A teljes vállalkozásban megjelenik, minden szinten és szervezeti egységben, és szervezet szintő kockázat-szemléletet jelent Lehetséges események bekövetkeztének megjóslásában segíthet, melyek, ha csakugyan bekövetkeznek, hatással vannak a szervezetre, de a „kockázatviselési hajlandóságon” belüli kezelésnek is hatékony eszközei Ésszerő mérvő biztonságot nyújthatnak egy szervezet igazgatóságának A célok elérését tőzi ki célul egy vagy több különálló, de egymással átfedı területen




3. Fejezet: a szervezet egymáshoz kapcsolódó céljai Stratégiai – magas szintő célok, melyek céljaival összhangban állnak és azt támogatják Mőködés – az erıforrások eredményes és hatékony kihasználása Jelentés – a jelentések megbízhatósága Megfelelés – a hatályos törvényeknek és szabályoknak való megfelelés 4. Fejezet: a kockázatkezelés alkotóelemei: Belsı környezet Célmeghatározás Esemény meghatározás Kockázatfelmérés Kocekázat Ellenırzı tevékenységek Tájékoztatás és kommunikáció Monitoring 5. Fejezet: A kockázatkezelési képesség felmérése A COSO keret használata referencia célra A szervezet céljainak és képességeinek összehasonlítása Biztosítási feladatok Konzultációs feladatok Ajánlott irodalom Franciául: Encyclopédie des Systèmes d’Information, Editions Vuibert coordonné par J. AKOKA et I. Commyn Wattiau, 2007 Marciniak et Rowe (2005) Systèmes d'Information, Dynamique et Organisation, Economica, 2005, seconde édition Quinio et lecoeur (2003)« Projet de Système d'information : Une démarche et des outils pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). « Manuel de gestion d’entreprise », trois chapitres sur les Systèmes d’Information, ouvrage collectif coordonné par l’AUPELF (2004). « Contrôle et confiance dans la relation avec les prestataires de services informatiques : les trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006 Angolul: Laudon • Laudon (2006) Management Information Systems (Vezetıi információs rendszerek) 9/e, Pearson prentice hall Érdekes web site-ok Vezetıi információs rendszerinformációs rendszer • «projektvezetési intézet» website 9 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• • •

«nemzetközi projektvezetési szövetség» website A «clusif » honlap «Információs rendszerbiztonsági szövetség» website

Kockázatkezelés • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_french.pdf • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf • http://www.coso.org/documents/COSO_ERM.ppt




B) INDIKATÍV TARTALOM I. VEZETİI INFORMÁCIÓS RENDSZEREK 1. FEJEZET: AZ INFORMÁCIÓS RENDSZER MEGSZERVEZÉSE ÉS VEZETÉSE KKV-K SZÁMÁRA Pedagógiai célkitőzések Tökéletes ismeretek az információs rendszer fogalmáról Hogy kell felépíteni egy információs rendszert egy kkv-ban Hogy kell egy információs rendszer funkcióinak kiszervezését kezelni Hogy kezeljük a kkv szolgáltatóját Indikatív tartalom

1.1. Bevezetés Vezessük be a Fejezetet és pontosítsuk, mit értünk információs rendszer alatt, mivel ezen a területen sok a félreértés

1.2. Az információs rendszerek fı kérdéseinek meghatározása a kkv-k számára 1.2.1 Információ és információs rendszer Az információ: az adatok, a célok és a jelentés hármasa Információs rendszer: mőszaki komponensek (IT), a szervezet, és felhasználók (e három elem) feldolgozza a vállalat információit. Kulcsfontosságú, hogy megkülönböztessük az adatrendszereket és az információs rendszereket Célszerő sok példát idézni a valós életbıl. 1.2.2. Kulcsfontosságú témák, melyeket az információs rendszer vet fel a vállalkozás számára Az információs rendszernek két szerepe van: termelési rendszer és döntéshozatali rendszer

1.3. Az IR funkció megszervezése a vállalatnál Az IR egységet nagy vállalatokban találjuk meg (üzemeltési szolgáltatás és fejlesztési szolgáltatás).




A kkv-kben egyetlen munkatárs gyakran egyedül oldja meg az IR mőszaki és szervezeti kérdéseit. Feladata fıként a szolgáltató munkájának kézbentartása. Ezután meg kell határoznunk az IR-ren belüli szereplıket és feladataikat a kkv-ken belül.

1.4. Az IR osztály költségvetése és költségei A kkv-kon belül igen nehéz meghatározni az IR költségeit. Egy nagyvállalatokról szóló tanulmány alapján az IR becsült költsége a cég forgalmának 3%a. Az IR költségvetése két részre bontható: 80% üzemeltetés és 20% a fejlesztési projektek.

1.5. Hogyan kezeljük az IR kiszervezését 1.5.1. Az IR szolgáltató leírása Igen nehéz pontosan meghatározni minden szolgáltatót. Használhatunk nemzeti osztályozást és támaszkodhatunk az OECD osztályozására. Ez arra jó, hogy rajta keresztül bemutathassuk a szolgáltatók sokszínőségét és a kkv-k számára legfontosabb szempontokat. 1.5.2. Az IR tevékenységei és azok kiszervezése Szinte minden IR tevékenység kiszervezhetı (fejlesztés, kihasználás, karbantartás). Sok cég számára a fı probléma a jó szoftver csomag megtalálása és alkalmazása. 1.5.3. Hogy kezeljük a szolgáltatót A szolgáltató kezelése során három elemet kell megkülönböztetni: a szolgáltatót (cég), a szolgáltató alkalmazottait, akik az ügyfél érdekében tevékenykednek, illetve a szolgáltatást magát. Ezzel a hiányosságtétellel leírhatjuk és kézben tarthatjuk a kapcsolatot az ügyfél és a szolgáltató között. 1.5.4. A szolgáltatók kezelésének ciklusa Az ügyfélcég és szolgáltatói közötti kapcsolatban több szakaszt különböztetünk meg. Ezeket négy fı lépésre osztjuk: kiválasztás, szerzıdéskötés, megvalósítás és mőködtetés.

1.6. Irányítás a kkv-kban: szabályok és eszközök Egy IR irányítását helyes gyakorlatok sorozatának mőködtetéseként is felfoghatjuk: Stratégiai összhang Költség kontroll Projektirányítás (ld. következı Fejezet) Biztonság (ld. következı Fejezet) 12 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Ajánlott irodalom az 1. Fejezethez • • •

Systèmes d'Information, Dynamique et Organisation, Economica, 2005, seconde édition, 112 pages, (avec F. Rowe) « Projet de Système d'information : Une démarche et des outils pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). « Contrôle et confiance dans la relation avec les prestataires de services informatiques : les trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006

1.7. Gyakorlatok




2. FEJEZET: AZ IR ALKALMAZÁSA A KKV-KBAN Pedagógiai célkitőzések A kkv-k fı IR alkalmazásainak alapos ismerete Minden alkalmazás esetében ismerni kell a sikertényezıket Minden alkalmazás esetében ismerni kell a termékeket és tudni kell, ki fejlesztette Az alkalmazás használatának részletezése nem célja a jelen fejezetnek Indikatív tartalom

2.1. Bevezetés Vezesse be a Fejezetet és hangsúlyozza, hogy nem lehet minden szofvert manipulálni, ezért vagy demó változatot használunk, vagy honlapokat látogatunk.

2.2. Az információs rendszer mőszaki infrastruktúrája a kkv-kban 2.2.1. Az infrastruktúra mőszaki aspektusa Fı célunk egy mőszaki infrastruktúra meghatározása (hardver, szoftver és telekommunikáció) és ennek néhány megvalósulását bemutatni (diagram, séma) Diagramot és sémát a weben találhatunk. Mivel nem mőszaki kurzusról van szó (ld. elıfeltételek), nem a mőszaki jellemzıkhöz, hanem az eszközök hasznosságához ragaszkodunk. 2.2.2. A szoftver alkalmazás térképe Itt a vállalat alkalmazástérképét egyetlen ábrában adjuk meg. Bemutatjuk a rendszerszerőség alapelvét és a hardver és szoftver szoros összefüggésének szükségszerőségét. 2.2.3. Hogyan válasszunk nyílt rendszerek és az egyedi fejlesztésőek között? Elıbb be kell mutatnunk a nyílt rendszert, hogy utána valós alternatívaként beszélhessünk a tulajdonosiról. A nyílt rendszer közössége jó példa a társadalmi hálózat mőködésére. Mutassuk be a fı engedélyezési rendszereket. A döntést az alábbi kritériumok alapján végezzük el: • Kompatibilitás • Fejlıdés • Költség • Kockázat




2.3. Az IR döntéstámogatási alkalmazása Elsıként bevezetjük az Anthony piramist (stratégiai szint, taktikai szint és mőködési szint), és vele párhuzamosan elmagyarázzuk az egyes szinteken a döntés információ igényét. Az információ jellemzıi a vezetés minden szintjén eltérıek. A döntéshozatal támogatására készült IR segítheti a vezetıt (EIS) vagy felkínálhat konkrét döntést (szakértı rendszer). Bemutatjuk a tudás menedzsment új szintjét. Végül bemutatjuk az üzleti hírszerzést és az adatelemzı eszközöket. 2.3.1. Felsıvezetıi információs rendszer (EIS) Az EIS azért készül, és azért használják, hogy segítsen a vezetınek a döntéshozatalban. H Simon jól ismert modelljének elmagyarázásával adjuk meg a döntéshozatali folyamattal kapcsolatos alapismereteket. Az EIS információt ad a vezetıknek (a cégen belülrıl és kívülrıl). Az EIS két módon valósítható meg: fentrıl lefele vagy lentrıl felfele. Az EIS gyakran igen költséges, így a legegyszerőbb eszközöket is (pl. a táblázatkezelı) használhatjuk teljesítmény indikátorok gyanánt. Komoly kérdés a késés az operatív tények és a vezetıknek készített jelentés ideje között. Igen hasznos lenne a Business Objective vagy az Iperion rendszerek bemutatása. 2.3.2. Szakértıi rendszer A szakértıi rendszer olyan szoftver, mely speciális és szőkített összefüggésben képes a döntéshozatalra. Célszerő bemutatni a szakértıi rendszert általános szemszögbıl, kerülve a túlzottan szakirányú nyelvezetet. A legfıbb nehézség olyan embert találni, akinek szakértelmét aztán beépítjük a szoftverbe. 2.3.3. Tudás menedzsment A tudás egyszerő meghatározását követıen a tudásmenedzsmentet úgy mutatjuk be mint a cég munkavállalóinak fejében meglevı tudás tıkeként való felhalmozását. Az e célra alkalmazott eszköz gyakran nem több mint az Intranet egy adatbázissal. 2.3.4. Üzleti intelligencia A tudás tıke egyre fontosabb szerepet játszik a vállalatok sikerében, és egyben döntı tényezıje egy vállalat értékrendjének is. Egyes kutatások szerint a világon rendelkezésre álló adatok évrıl évre megduplázódnak. Paradox módon azonban az ezen adathalmazban megjelenı információ mennyisége csökken. Az üzleti döntéshozók összefüggı üzleti információhalmazt keresnek, melyet azonnal használhatnak. Ezzel szemben az egységes, összefüggı információt nyújtó adatok gyakran más-más helyeken találhatók (saját rendszerünkön, az Interneten, közszolgáltató portálokon,




stb.), és ráadásul más és más módszerekkel lehet tárolni és elérni ıket. Ezek elérhetıvé tétele pusztán mőszaki kérdés. Az üzleti intelligencia számítástechnikai megoldások alkalmazásokat és technológiát tartalmaz azzal a céllal, hogy vezetıknek és döntéshozóknak hozzáférést biztosítson a szükséges adatokhoz és az adattárakban és adatbázisokban tárolt ismeretekhez. 2.3.5. Adatelemzés és adatbányászat Az adatkészlet, melybıl a tudást adatelemzés és adatbányászat segítségével ki akarjuk nyerni legyen ésszerően felépített, jól strukturált elektronikus rendszer. Nagy cégek esetében ez az adattárház. Az adattárház megtisztított, részletes és/vagy összevont adatokat tartalmaz, melyeket a szervezet belsı rendszerei hoznak létre, illetve melyek külsı forrásból származnak. A kkv-kban általában egyszerő, de átláthatóan felépített adatbázist találunk, nagyrészt belsı adatokkal. Az adatokat információvá alakító alkalmazások (adatbányászat) ezen a következetes adatrendszeren alapulnak. Nagy cégeknél az adattárház alkalmazáson alapuló legelterjedtebb megoldások az OLAP (Online Analytical Processing) alkalmazások. A kkv-kban hagyományos elemzési módszereket (pl. SPSS-t) és klasszikus adatbázis lekérdezést (pl. SQL) is használhatunk. Az adatbányászat tipikus területe a fogyasztói kosár elemzése. Mely termékeket keresnek egy adott idıben a fogyasztók? Van-e olyan összefüggés, mely alapján meghatározható, hogy ha valaki vásárol X terméket, az Z termékbıl is vesz?

2.4. IR alkalmazások két fı célra 2.4.1. Ügyfélkapcsolat kezelés (CRM) Az ügyfélkapcsolat kezelı olyan információs rendszer, mely ügyfelekkel kapcsolatos információt dolgoz fel. A CRM természetes eszköz olyan nagyvállalatok számára, mint bankok vagy kiskereskedelmi szervezetek, egyes kkv-k, (pl. a Sage is használ ilyet). Az ügyfélkapcsolat kezelınek 3 része van: a front office, mely az ügyfelekkel való kapcsolatteremtést és kommunikációt kezeli (pl. a call centre), egy adatbázis, mely információgyőjtésre alkalmas és a back office, információfeldolgozás céljára (pl. kereskedıi munka automatizálására). A „puha mint egy szolgáltatás” mostanában népszerősödı elve (“soft as a service’ - SaaS) lehetıség lehet a kkv-k számára a CRM használatára. A SaaS-ra példaként bemutathatjuk a Salesforce honlapját.




2.4.2. Az e-business és a web site A honlapok valóban elterjedtek az üzleti világban (kkv vagy nagyvállalat), két dologhoz azonban ragaszkodjunk. Elsıként is egy egyszerő, tájékoztató célú honlap már nem elegendı egy cég számára: egy honlapnak interakciót kell lehetıvé tennie az ügyfelekkel. Másodikként a cél az legyen, hogy tényleges ’eladási láncolatot’ hozunk létre az Internet technológiák használatával. Néhány kkv honlapjának összehasonlítása hasznos lehet a kkv-k számára a ’jó’ honlap tulajdonságainak illusztrálására. 2.4.3. Beszállítói láncolatkezelés (SCM) A beszállítói láncolatkezelés magába foglalja a beszerzés, vásárlás, feldolgozás és logisztika tevékenységeit. Magában foglalja továbbá az érékesítési láncolatban résztvevı partnerekkel folytatott koordinációt és együttmőködést, amely lehet beszállítók, közvetítık, harmadik fél szolgáltatók és ügyfelek. Meg kell különböztetnünk a beszállítói láncolatkezelést és a logisztikát. Az SCM rendszerek kétirányú folyamatot jelentenek: az egyik az ügyféltıl a beszállító felé (az ügyféligények meghatározása céljával), a másik pedig a beszállítótól az ügyfélig a termelés és az elosztás menedzselésének céljával.

2.5. Az IR alkalmazás integrációs célra 2.5.1. A vállalaton belül: Vállalati Erıforrástervezés (ERP) A vállalati erıforrástervezés legjellemzıbben csomagban vásárolt szoftvert jelent a legtöbb vállalattípusban. Az ERP meghatározása után írjuk le annak szerkezetét (adatbázis és a különféle modulok). A nagyvállatok számára készült ERP szoftver rendszereknek (mint az SAP) vannak a kkv-k számára készült speciális változataik (mint pl. a Navision a Microsoft esetében). Egy szervezet számára az ERP megvalósítása mindig nagy kihívás és egyben nagyon kockázatos vállalkozás is.

2.5.2. A vállalaton kívül: Elektronikus adatcsere (EDI) Az elektronikus adatcsere valójában egy sor szabvány a vállalatok, szervezetek és kormányzati szervek és más csoportok között elektronikusan továbbítandó/fogadandó információ strukturálására. A szabványok leírják a dokumentumok szerkezetét, pl. megrendelıket, a vásárlás automatizálása érdekében. Valójában sokféle EDI létezik, ami komoly nehézséget jelent egy cégnek. Az EDI-t rendszerint egy nagy ügyfél kényszeríti rá egy kkv-ra (pl. a nagykereskedelem) annak dacára, hogy egy ilyen rendszer igen költséges. Újfajta EDI áll kifejlesztés alatt az Interne nevő eszközzel és a XML: ebXML.




2.5.3. A vállalaton kívül: az e-business piac Az e-business piac olyan rendszer, mely azonos platformra hozza az ügyfelet és a szolgáltatót. Vannak B2B és B2C piacterek (pl. az eBay). Egy elektronikus piactéren az ügyfél megtalálhat egy terméket vagy szolgáltatást, kiválaszthat egy szolgáltatót, ajánlatot tehet és fizethet is a termékért. Megkülönböztetünk függıleges (pl. autóipar) és vízszintes (pl. e-beszerzés) piactereket. Magyarázzuk el ezen piacterek üzleti modelljét. Így lesz érthetı, miért sikeres az egyik, és miért üzleti kudarc a másik. Ajánlott irodalom a 2. Fejezethez Laudon • Laudon (2006) Management Information Systems, (vezetıi információs rendszerek) 9/e, Pearson prentice hall

2.6. Gyakorlatok




3. FEJEZET: PROJEKTVEZETÉS Pedagógiai célkitőzések Hogy vezessünk információs rendszer projektet Hogy alkalmazzunk vezetıi projektirányítási eszközöket A kockázatelemzéssel foglalkozó részt a Kockázatkezelés c. részben taglaljuk Indikatív tartalom

3.1. Bevezetés Vezessük be a fejezetet és mondjuk el, hogy a projektvezetés komoly részt képvisel a vezetésen belül. Vezessük be a két fı szakmai szervezetet: a Projektvezetési Intézetet (PMI) és a Nemzetközi Projektvezetési Szövetséget (IPMA) Mondjuk el, milyen folyamat eredményeként lehet valaki projektvezetı

3.2. A projektvezetés fı fogalmainak meghatározása A projektvezetés és a projektirányítás, a projekt céljai, a projekt csapat szerkezete Használhatjuk a nemzetközi szövetségek által alkalmazott szókincset. Ezen fogalmak alkalmazása az IR projektekre

3.3. Hogy készítsünk elı egy projektet? 3.3.1. Pontosítsuk a projekt céljait: miért és hol kell cselekedni? Egy IR projektnek legyenek nyilvánvaló céljai, és minden cél legyen indikátorokkal mérhetı. A projekt sokakat érinthet a cégen kívül és belül egyaránt. E személyek az érintettek. A projekt elején pontosan meg kell határozni az érintettek számát és igényeit. 3.3.2. Határozzuk meg a megoldás típusát: Hogyan járunk el? A projekt elıkészítése érdekében gyorsan kell megoldást találni, méghozzá nem részletest, hanem átfogót (szoftver csomag, fejlesztés, kiszervezés). 3.3.3. Az emberi és mőszaki erıforrások meghatározása. Kivel és mivel dolgozunk? Ezután meghatározzuk a projekt fı erıforrásigényét A projektvezetı felelıs a költségvetésért és az erıforrások felhasználásáért. Az erıforrásoknak a megfelelı idıben és helyen rendelkezésre kell állniuk.




3.4. Hogy építjük fel a projektet? Az alábbiakban bemutatjuk a projekt felépítésének fı módját: A munka részletes felosztása (WBS) A termék részletes felosztása (PBS) A szervezet részletes felosztása (OBS)

3.5. Hogy kell egy projektet irányítani? 3.5.1. Projektirányítás A “projektirányítás“ egy projekt vezetési feladatait csoportosítja újra: • A csoport tagjainak felvétele • Tárgyalás a szolgáltatókkal • Konfliktuskezelés • Minden érintett fél motiválása E feladatok nehezen taníthatók, hacsak nem használunk esettanulmányokat. 3.5.2. Projektvezetés A projektvezetés sok feladatot újracsoportosít, mint pl. tervezés, kockázatkezelés, költségszabályozás, becslés, változásmenedzselés A jelen kurzus csak a tervezésrıl, a költségszabályozásról és a változás-kezelésrıl szól. 3.5.2.1. Tervezés (Pert és Gantt) A tervezéshez szükséges fı elveket mutatjuk be (Pert vagy Gantt) Javasoljuk ezen a ponton a Nyílt Forráskód közösség eszközeit, pl. a Gantt projektet. Ezt a részt gyakorlatok segítségével oktassuk. Használjuk egy tevékenység kritikus útjának és hozzá tartozó tartalékidı elvét. 3.5.2.2. Költségvetés és költségszabályozás A projekt költségvetése a beruházás és az üzemeltetés költségébıl áll. A beruházás a hardverbıl, a szoftverbıl és a csoport napi munkájából áll. Ez a költségvetés a projekt elején készül, és a projekt futamideje során aktualizálandó. Költségszabályozási elveket mutatunk be a projektvezetés számára: elırejelzés, becslés és megvalósítás. Végeztessünk gyakorlatokat errıl a témáról. 3.5.2.3. Változás-kezelés és az emberi tényezı Egy információs rendszert azért készítenek, hogy a vállalat munkatársai hosszabb idın át használják. A rendszer elindítása azonban változást igényel a szervezet, illetve az alkalmazottak részérıl. 20 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Ezek a változások tényleges változás-kezelés segítségével idézhetık elı. A következıkre van szükség: • Képzés • Coaching • A projekt minden szintjére kiterjedı kommunikáció

3.6. Hogy telepítsük és használjuk a projekt eredményét Egy új információs rendszer indítása lehet sokkszerő (”nagy durranás”) és történhet úgy, hogy a régi és az új rendszer egy ideig párhuzamosan mőködik. Az indítás a végsı teszttel indul. El kell azonban magyarázni a tesztelés egyes szintjeit. Ajánlott irodalom a 3. Fejezethez • • •

« Projet de Système d'information : Une démarche et des outils pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). « Project management Institute » (Projekvezetési Intézet) website « International Project Management Association » (Nemzetközi Projektvezetési Szövetség) website

3.7. Gyakorlatok




4. FEJEZET: AZ IR BIZTONSÁGA ÉS KONTROLLJA Pedagógiai célkitőzések Hogy alkalmazzuk a biztonsági szabályokat és eszközöket a kkv-kban Hogy találjunk tájékoztatást és tanácsot a biztonságról Indikatív tartalom

4.1. Bevezetés Az ’információs biztonság’, ’számítógépes biztonság’ és ’információs biztosítás’ kifejezések gyakran hallhatók egy vállalat adatvédelmével kapcsolatban. Mikor az információ biztonságáról beszélünk, tudnunk kell, hogy manapság szervezetek sikere és túlélése egyre inkább informatikai rendszereik sikeres megvalósításától függ. Az információ áramlását sem az idı, sem a távolság nem korlátozhatja. Sok szervezet számára az információ és a feldolgozásához szükséges technológia a legértékesebb tıke. Az elektronikus információ és a számítástechnikai rendszerek jelentıs szerepet játszanak a legfıbb üzleti folyamatok támogatásában. Eközben a szervezetek sebezhetısége folyamatosan nı. Nem csupán az információhoz való hozzáférésérıl van szó, hanem az Internet miatt globálissá váló fenyegetésrıl is. A titkosság, a teljesség és rendelkezésre állás (confidentiality, integrity, availability), angol akronímával ’CIA’, az információs biztonság legfıbb elvei. A felsoroláshoz hozzáadhatjuk a hitelességet és a vissza nem utasítást is. • • • • •

A titkosság azt jelenti, hogy megelızzük az információ közlését jogosulatlan személyek vagy rendszerek felé. A sértetlenség azt jelenti, hogy az adatokat tilos jogosulatlanul módosítani. A magas szintő hozzáférhetıség azt jelenti, hogy minden információnak hozzáférhetınek kell lennie szükség esetén. A magas szintő hitelesség azt jelenti, hogy az adatok létrehozója egyértelmően azonosítható. A vissza nem utasítás azt jelenti, hogy egy mővelet egyik érintett fele nem tagadhatja le az információ megkapását, illetve a másik fél nem tagadhatja le az elküldés tényét.

4.2. Biztonsági szabályok: szigorú szabály, irányelv és szervezéssel elért biztonság A biztonsági szabályokat a biztonság legfontosabb elveinek garantálása érdekében készítik. Mindig háromféle szabály létezik: szigorú szabály, irányelv és szervezeti szabály.




• • •

A szigorú szabályok a munkahely és a számítástechnikai létesítmények környezetét figyelik és szabályozzák Az irányelvek szoftvert és adatokat használnak az információhoz és a számítástechnikai rendszerekhez való hozzáférés céljaira. A szervezeti szabályok (másik nevükön eljárási szabályok) jóváhagyott írott belsı utasítások, eljárások, szabványok és útmutatások.

A titkossággal kapcsolatos szabályokat az alábbi példákkal lehet bemutatni: • Szigorú szabály: a laptopot billentyőzárral védeni kell • Irányelv: használjon jó jelszavas védelmet • Szervezeti szabály: nem szabad vonaton titkos cégügyekrıl telefonálni A teljességgel kapcsolatos szabályokat az alábbi példákkal lehet bemutatni: • Szigorú szabály: tilos idegeneknek fizikai hozzáférést engedni a számítógéphez • Irányelv: használjon jó rendszert hozzáférés korlátozására • Szervezeti szabály: minden felhasználónak el kell magyarázni az adatminıség fontosságát A hozzáférést az alábbi példákkal lehet illusztrálni: • Szigorú szabály: speciális számítógépet kell használni RAID rendszerrel • Irányelv: védekezzen a hálózatszolgáltatás megtagadásával megvalósított támadás ellen • Szervezeti szabály: Meg kell tanítani a felhasználót arra, hogy ne indítson nagy erıforrásigényő alkalmazást, mikor a gépek valamilyen rendszeres funkció lebonyolítása (pl. bérszámfejtés) miatt különösen leterheltek

4.3. A biztonság emberi tényezıje Semmilyen technikai rendszer sem mőködhet sikeresen, ha a felhasználók nincsenek tudatában a biztonsági problémáknak és azok hatásainak. A biztonság mindenki közös ügye, nem csak a vezetıké. A vállalat minden munkavállalójának, még egy kkv-ban is felelnie kell az információs biztonságért, ezzel kapcsolatos tájékoztatási kötelezettségért, és tanítania kell a szervezet minden tagját. Egyes fenyegetések közvetlenül emberi eredetőek: Hackerek A hacker olyan személy, aki számítástechnikai rendszerek biztonsági gyengeségeit keresi. Szakértelmükkel nem mindig párosul rosszándék. Gyakran ık figyelmeztetik a rendszer tulajdonosát a megtalált hibára, és így elısegítik annak kijavítását. Másrészt viszont a hacker kárt is okozhat: adatot lophat, zsarolhat, stb.




Script kiddies A hackerek nagy szakértelemmel készítik eszközeiket. A script kiddy megkeresi ezeket az eszközöket, melyeket rendszerek feltörésére készítettek, és megpróbálja ı is sikerrel alkalmazni. Tervük gyakran megvalósul, és a rendszer használhatatlanná válik. Sértett munkavállaló A munkavállalók nagyon kiszolgáltatottak. Munkaadóik iránti lojalitásuk néha lecsökken. Ez is szaporíthatja a számítástechnikai rendszerek biztonsági elemei elleni kijátszási kísérleteket.

4.4. Külsı és belsı támadások A mőszaki fenyegetés a számítástechnikai eszközökhöz kötıdik, mely jelenti mind a hardvert, mind a szoftvert. A támadási módszerek egyre inkább automatizáltakká és kifinomultabbá válnak, emiatt egyre nehezebben felismerhetık. Bug-ok A programok összetettsége fokozatosan nı. Egyes esetekben a programok több tízmilló sorból állnak. Ez természetesen megnöveli a bug-ok megjelenésének esélyét is. Az ezzel kapcsolatos veszély az, hogy a program nem azt teszi, amire kifejlesztették, és így adatvesztés következhet be és/vagy egyes bug-okat a biztonsági rendszer elleni támadási pontként lehet használni. Számítógépes vírusok A számítógépen levı programok egy részérıl a felhasználó nem is tud, és mőködésükrıl sem szerez tudomást. Ezek két szempontbál veszélyesek: fertıznek, azaz elterjednek, biztosítják saját további terjedésüket; a másik cél egy adott feladat ellátása. A régebbi vírusok gyakran az információt is károsították, így pl. kitöröltek állományokat. A legutóbbi trend azonban az információ megszerzésérıl, uralásáról és illegális használatáról szól. Számítógépes férgek Ezek a vírusok rokonai. Míg a vírusokat emberi közbeavatkozás aktiválja, ez a férgek esetében nem okvetlenül van így. Egyéb tekintetben hasonlítanak a vírusokhoz. Gyakran okoznak túlterhelést, használhatatlanná téve ezzel a rendszert (leállás, szolgálat megtagadás). Megakadályozzák, hogy az információ célba érjen, vagy a jogosult személy használni tudjon egy funkciót. A férgek lekötik a gép erıforrásait. Példa erre a ’halálos döfés’ nevő túlméretes adatcsomag (ping of death)]. A globális hálózatok kiváló lehetıséget kínálnak mindkét fenti veszélyre. Trójai faló Ezek gyakran egy fajta vírust és férget jelentenek. Fı tulajdonságuk azonban nem más mint a biztonsági rendszer megkerülése készítıjük és terjesztıik számára, akik az így létrejött útvonalon kívülrıl beavatkoznak a rendszer mőködésébe. Brutális támadás Célja a rendszervédelmi eszközök és a jelszóvédelem kiiktatása. Az e célra használt szoftver többb tízezernyi szót és karakterkombinációt képes elıállítani. 24 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Az Internet globális használata valóban megnövelte az információs rendszerekre irányuló külsı támádások lehetıségét. A kkv-k számára a minimális védelem az alábbiakat jelenti: • Egy pl. Microsoft által javasolt tőzfal vagy védelmi és riasztási zónák • Bármely spyware elleni védelem • Bármely vírusvédelem Ezeket a szoftvereket naponta frissíteni kell a hatékonység érdekében. A legtöbb kkv-ban a külsı védelmet egy szolgáltató nyújtja, és a vállalatnak katasztrófa esetén ellenıriznie kell a szolgáltató felelısségét. A belsı támadások gyakoriak; ellenük a leghatékonyabb védelem a biztonságtudatosság és a monitorozhetıség.

4.5. A számítástechnikai tanúsítás törvénye és szabványai Az Európai Unió adatvédelmi irányelve (EUDPD) megköveteli, hogy minden EU tagállam fogadjon el nemzeti szabályzatot a polgárok személyi adatvédelmének szabványosítása érdekében a teljes EU-ra kiterjedıen. Franciaországban a CNIL nevő szervezet felel az információs rendszerek biztonságával és titkosságával kapcsolatos legfontosabb törvényért. Az 1990. évi Számítógépes visszaélésrıl szóló törvény egy, a brit parlament által megszavazott törvény, mely a számítógépes szabálysértéseket (pl. a hackelést) bőncselekménynek minısíti. A Nemzetközi Szabványügyi Szervezet (ISO) 157 nemzeti szabványügyi intézet konzorciuma, melynek Központi Titkársága a svájci Genfben koordinálja a rendszert. Az ISO a világ legnagyobb szabványalkotója. Az ISO 15443: “Információs technológia – biztonsági technikák – számítástechnikai biztonság“ ISO-17799: “ Információs technológia – biztonsági technikák – információs biztonsági irányítás gyakorlati szabályzata“ ISO-20000: ”Információs technológia – biztonsági technikák – szolgáltatás irányítás“ és ISO-27001:” Információs technológia – biztonsági technikák – számítástechnikai biztonság irányítási rendszerek“ az információs technológia szakértıinek különös érdeklıdésére tart számot. A Tanúsított információs rendszerek biztonsági szakértıje (CISSP) egy közép- felsı szintő információs biztonsági tanúsítás. Az Információs rendszer biztonsági architektúra szakértı (ISSAP), Információs rendszer biztonsági tervezı szakember (ISSEP), Információs rendszer biztonsági irányítási szakember (ISSMP), és Tanúsított információs biztonsági vezetı (CISM) tanúsítványok nagy tekintélyt szereztek az információs biztonsági architektúra, a tervezés és irányítás területén.




4.6. Az adatok és a szoftver biztonsági másolata A cégek legfontosabb védekezése az információs rendszerek katasztrófája ellen egy jól felépített biztonsági mentési rendszer. Egy ilyen biztonsági mentési rendszernek az alábbi tulajdonságai legyenek meg: • Automata • Gyakori mentések • Duplikáció • Gyakran tesztelt Sok szolgáltató kínál távoli biztonsági mentı rendszereket.

4.7. A tevékenység újrakezdése és fenntartása Az üzleti folyamatosság az a mechanizmus, melynek segítségével egy szervezet folytatja kulcstevékenységét tervezett és tervezetlen leállások alkalmával, melyek kihatnak a szokványos üzleti mőveletekre tervezett és szabályozott eljárások segítségével. Az Üzlet folytonosság tervezés (BCP) azér készül, hogy az üzletmenet újraindításának költségeit csökkentse. A BCP az alábbi kérdésekre ad választ: • Ha katasztrófa következne be, melyek az elsı teendık? • Üzleti tevékenységem mely részét állítsam elıször helyre?

4.8. A COBIT vagy az ITIL használata a kkv-k számára Az információ technológia egyre jelentékenyebbé válik a vállalatirányításban. A számítástechnika irányítása egy funkció a vállalatirányításban, illetve a kontroll kapcsolatokban és folyamatokban, melyek célja a vállalatok céljainak teljesítése új érték megteremtése által és az informatika által kínált kockázatok és elınyök mérlegelésével. A vezetésnek olyan szabályozási rendszert kell kialakítania, mely támogatja az üzleti folyamatokat. Tisztázni kell, mely tevékenységek és hogyan járulnak hozzá az információval kapcsolatos követelményekhez és ezzel az üzleti célok eléréséhez. Az egységesség megteremtése érdekében nemzetközi szabályokat alakítottak ki (pl. COBIT) azzal a céllal, hogy ezek összefoglalják az információs rendszerekkel szemben támasztott követelményeket és ezek teljesítésének méréséhez használt elveket. Ennek érdekében sikertényezıket, cél indikátorokat és teljesítmény indikátorokat is meghatározunk, melynek értékei azt a célt szolgálják, hogy felmérhessük az információ technológiai munka minıségét, és megtehessük a szükséges javító célú intézkedéseket. Az információs rendszer biztonságának javítása érdekében a kkv-k határozott módszertant alkalmaznak mint pl. a COBIT vagy az ITIL, melyeket a közelmúltban adaptáltak a kkv-kra. 26 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Ajánlott irodalom a 4. Fejezethez • •

A «clusif» website Az «Információs Rendszer Biztonsági Szövetség» website

4.9. Gyakorlatok




II. KOCKÁZATKEZELÉS 1. FEJEZET: A KOCKÁZATKEZELÉSI ISMERETEK MEGSZERZÉSÉNEK CÉLJAI Pedagógiai célkitőzések Hiánytalan ismeretek megszerzése a kockázatkezelés céljairól és problémáiról Indikatív tartalom

1.1. Bevezetés A bemutatott kockázatkezelési koncepció a COSO Vállalati Kockázatkezelési és Belsı Kontroll Integrált Keretrendszerén alapszik, és a képzési anyag közvetlenül is a COSO dokumentumok Vezetıi Összefoglalójának és Alkalmazási Technikáinak egyes részeire utal.

1.2. Globális célok A vállalati kockázatkezelés alapjául szolgáló alapfeltevés az, hogy minden szervezet azért létezik, hogy az abban érdekeltek számára értéket teremtsen. Minden szervezet bizonytalansággal találja magát szemben, és a vezetıség számára az jelenti a kihívást, hogy meghatározza, mekkora bizonytalanságot fogadjon el a tulajdonosi érték növelésére való törekvése során. A bizonytalanság kockázatot és lehetıséget jelent, amiben benne van az érték pusztulásának vagy növelésének lehetısége. A vállalati kockázatkezelés lehetıvé teszi a vezetıség számára, hogy hatékonyan kezeljék a bizonytalanságot és a velejáró kockázatot és lehetıséget, így növelve az értékteremtı képességet.

1.3. A fı kérdések leírása Akkor a legnagyobb az érték, ha a vezetıség olyan stratégiát és célokat állapít meg, miszerint a növekedési és megtérülési célok és az azokkal együtt járó kockázatok optimális egyensúlyát kívánja megteremteni, és eredményesen és hatékonyan hasznosítja a forrásokat a szervezet célkitőzéseinek elérése érdekében. A vállalati kockázatkezelés körébe tartozik: •

A kockázatvállalási hajlandóság és a stratégia párhuzamba állítása: A vezetıség a stratégiai alternatívák értékelése, a vonatkozó célkitőzések meghatározása és a kapcsolódó kockázatkezelı mechanizmusok kidolgozása révén mérlegeli a szervezet kockázatvállalási hajlandóságát.

•

A kockázatra való reagálást érintı döntések hangsúlyozása: A vállalati kockázatkezelés biztosítja, hogy pontosan meghatározzák és kiválasszák a megfelelıt 28

Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



a kockázati reakciók alternatívái közül – a kockázat elkerülése, csökkentése, megosztása és elfogadása. •

A mőködéssel kapcsolatos meglepetések és veszteségek csökkentése: A szervezetek képesebbé válnak a potenciális események felismerésére és a reakciók kidolgozására, ily módon csökkentve a meglepetéseket és az azokkal kapcsolatos költségeket ill. veszteségeket.

•

Többszörös és a vállalatot átfogó kockázatok felismerése és kezelése: Minden vállalat számtalan, a szervezet különbözı részeit érintı kockázattal találja magát szemben, és a vállalati kockázatkezelés elısegíti az egymással összefüggı hatásokra való hatékony reagálást, valamint a többszörös kockázatokra való integrált reagálásokat.

•

A lehetıségek kihasználása: A lehetséges események sorát figyelembe véve a vezetıség helyzeténél fogva felismerheti és proaktív módon kihasználhatja a lehetıségeket.

•

A tıkefelhasználás javítása: A vezetıség pontos kockázati információt szerezve hatékonyan felmérheti az átfogó tıkeigényeket, és javíthatja a tıkefelosztást.

1.4. Miért fontos a kockázatkezelés a kkv-k számára? A vállalati kockázatkezeléssel együtt járó képességek segítik a vezetıséget a szervezet teljesítmény- és nyereségességi céljainak elérésében és a forrásveszteség megelızésében. A vállalati kockázatkezelés hozzájárul az eredményes beszámolás és a törvények és jogszabályok betartásának biztosításához, valamint segít elkerülni a szervezet hírnevének csorbulását és az azzal kapcsolatos következményeket. Összegezve a vállalati kockázatkezelés támogatja a szervezetet célja elérésében, és az odavezetı úton segít elkerülni a csapdákat és a meglepetéseket. Az eseményeknek lehetnek negatív vagy pozitív hatásai vagy mindkettı. A negatív hatású események jelentik a kockázatokat, amelyek megakadályozhatják az értékteremtést, ill. rombolhatják a meglévı értéket. A pozitív hatású események kiegyenlíthetik a negatív hatásokat, ill. lehetıségeket jelentenek. A lehetıségek olyan esemény bekövetkeztének eshetıségét jelentik, amelyek pozitív módon hatnak a célok elérésére, támogatják az értékteremtést ill. -megırzést. A vezetıség a lehetıségeket visszaforgatja a stratégiába vagy célkitőzésbe: a lehetıségek megragadását célzó folyamatokat határoz meg és terveket dolgoz ki. Irodalom az 1. Fejezethez • • • •

http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_French.pdf http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf http://www.coso.org/documents/COSO_ERM.ppt 29

Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Hivatkozás: The Enterprose Risk Management – A vállalati kockázatkezelés (ERM) 3. oldal

1.5. Gyakorlatok




2. FEJEZET: A KOCKÁZATKEZELÉS ALAPELVEI Pedagógiai célkitőzések Törekedjünk a kockázatkezelés fogalmának tökéletes megértésére. Indikatív tartalom

2.1. A vállalati kockázatkezelés meghatározása A vállalati kockázatkezelés egy folyamat, amelyet egy szervezet igazgatósága, vezetıi és többi dolgozója hajt végre, azt a stratégia kialakítása során és az egész vállalaton belül alkalmazza. Célja, hogy meghatározza azokat a lehetséges eseményeket, amelyek hatással lehetnek a szervezetre, és a kockázatvállalási hajlandóság mértékéig kezelje a kockázatot, ésszerő biztosítékot nyújtson a szervezeti célkitőzések megvalósításához. A meghatározás bizonyos alapfogalmakat tükröz. A vállalati kockázatkezelés: -

Egy szervezeten átívelı, állandó folyamat; A szervezet minden szintjén az emberek hajtják végre; Alkalmazzák a stratégia meghatározásakor; Vállalatszerte, minden szinten és egységnél alkalmazzák, és szervezeti szintő kockázati portfolió kialakítását tartalmazza;

2.2. A kockázat típusai A kockázatok típusai az iparágtól, a szervezet típusától és méretétıl, a földrajzi elhelyezkedéstıl, a kultúrától, stb. függıen jelentısen eltérhetnek. Az ERM kockázatkezelési koncepciója a szervezeti és mőködési célokat jelentısen, negatív irányban befolyásolni képes, lehetségesen elıforduló külsı és belsı eseményekre értelmezi a kockázatokat. Megkülönböztetjük még az eredendı (inherent) kockázatot, mely leegyszerősítve kezeletlen kockázatot jelent, illetıleg a maradvány (residual) kockázatot, mely az eredendı kockázat kapcsán tervezett és végrehajtott válaszintézkedés – vagyis a kontroll - eredményeképpen marad. Az eredendı és maradvány kockázat egyaránt fontos a vállalati kockázatkezelés szempontjából. Kiemeljük még a kontrollkockázat fogalmát, mely alatt annak kockázatát értjük, hogy a kontrollrendszer egyes folyamatai, vagy egyes kontroll tevékenységek a tervezett hatást, vagyis a maradvány kockázat kívánt értéken (kockázatviselési szinten) belül tartását, nem érik el.




Ajánlott irodalom a 2. fejezethez • • • •

http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_French.pdf http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf http://www.coso.org/documents/COSO_ERM.ppt

Hivatkozás: The Enterprose Risk Management – A vállalati kockázatkezelés (ERM) 4-6. oldal

2.3. Gyakorlatok




3. FEJEZET: A SZERVEZET ÖSSZEKAPCSOLÓDÓ CÉLKITŐZÉSEINEK ELÉRÉSE Pedagógiai célkitőzések Tanuljuk meg, hogyan kapcsoljuk össze a kockázatkezelés különbözı céljait. Indikatív tartalom

3.1. A célkitőzés-kategóriák Egy szervezet meghatározott küldetésének vagy jövıképének kontextusában a vezetıség kitőzi a stratégiai célokat, megválasztja a stratégiát, és az összehangolt célkitőzéseket leosztja a vállalat minden szintjére. Ez az átfogó vállalati kockázatkezelési rendszer a szervezet céljainak elérésére irányul, és négy kategóriába sorolható: - Stratégia – magas szintő célok, a küldetésével összehangolva és azt támogatva, - Mőködés – a forrásainak eredményes és hatékony felhasználása, - Beszámolás – a beszámoló megbízhatósága, - Szabályszerőség – az alkalmazandó törvények és szabályok betartása

3.2. Célkitőzés állítása A célkitőzés állításakor a vezetés mérlegeli a szervezet stratégiáját és stratégiai céljait. Meghatározásra kerül a szervezet kockázatviselési szintje vagy hajlandósága (risk appetite) vagyis az, hogy a stratégia vonatkozásában a vezetés és a felügyeleti testület (igazgatóság) mekkora kockázatot tart elfogadhatónak. Továbbá meghatározásra kerül a kockázati tolerancia (risk tolerance), vagyis az, hogy a meghatározott kockázatviselési szinten a szervezeti céloktól milyen mértékő eltérés engedhetı meg.

3.3. Eseményazonosítás Az eseményazonosítás tartalmazza azon véletlenül bekövetkezı külsı vagy belsı eseményeket, melyek kihathatnak a stratégiára és a célok elérésére. Bemutatja, hogy a belsı és külsı tényezık kombinációja és összejátszása hogyan befolyásolja a kockázatmeghatározásokat (risk profile).

3.4. Kockázatértékelés Leegyszerősítve a kockázatértékelés annak bemutatása, hogy a lehetséges események milyen mértékben gyakorolnak hatást a szervezeti, mőködési célok elérésére. A kockázatértékelés során a kockázatokat alapvetıen a következı szempontokból vizsgáljuk: 33 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



-

Valószínőség (Likelihood) Hatás (Impact)

3.5. Kockázati válaszok A lehetséges kockázati válaszokat (risk responses) azonosítani és értékelni kell. Az értékelés során figyelembe kell venni a szervezet kockázatviselési szintjét, össze kell hasonlítani a lehetséges kockázati válaszokat költség-haszon (cost/benefit) elemzés segítségével, valamint azt, hogy a lehetséges válaszok milyen mértékben csökkentik a hatást és/vagy a bekövetkezés valószínőségét. Ajánlott irodalom a 3. Fejezethez • • • •


Hivatkozás: The Enterprise Risk Management – A vállalati kockázatkezelés (ERM) 7-12. oldal

3.6. Gyakorlatok




4. FEJEZET: A KOCKÁZATKEZELÉS KOMPONENSEI Pedagógiai célkitőzések Tanuljuk meg, hogyan kapcsoljuk össze a kockázatkezelés komponenseit. Indikatív tartalom

4.1. A célkitőzések és az alkotóelemek összefüggése A vállalati kockázatkezelés nyolc, egymással összefüggı alkotóelembıl áll. Ezek a vállalat mőködtetésének módjából vezethetık le, és a vezetési folyamat részét képezik. Az alkotóelemek: - Belsı környezet - A cél kitőzése - Az esemény meghatározása - Kockázatértékelés - A kockázatra adott válasz - Kontroll tevékenységek - Információ és kommunikáció - Monitoring A célok és az elemek közötti összefüggést egy háromdimenziós mátrix szemlélteti, kocka alakot formálva. A négy célkitőzés kategóriát – stratégia, mőködés, beszámolás és szabályszerőség – a függıleges oszlopokban, a nyolc alkotóelemet a vízszintes sorokban, a szervezeti egységeket pedig a harmadik dimenzióban tüntettük fel.

4.2. A kockázatkezelés eredményessége és korlátai Annak meghatározása, hogy egy szervezet vállalati kockázatkezelése "eredményes"-e, annak értékelésébıl következı megítélés, hogy megvan-e a nyolc alkotóelem, és azok hatékonyan mőködnek-e. Így tehát az alkotóelemek szintén az eredményes vállalati kockázatkezelés kritériumai. Az alkotóelemek megléte és megfelelı mőködése esetén nem lehetnek jelentıs gyengeségek, és a kockázat nem lépheti túl a szervezet kockázatvállalási hajlandóságának mértékét.

4.3. Kapcsolat a belsı kontrollrendszerrel A belsı kontrollrendszer a vállalati kockázatkezelés szerves része. Az átfogó vállalati kockázatkezelési rendszer magában foglalja a belsı kontrollrendszert, erıteljesebb megfogalmazást és a vezetıség számára eszközt jelent. A belsı kontrollrendszer meghatározása és leírása a COSO által 1992-ben publikált Belsı kontroll integrált keretrendszere c. anyagban található. Mivel az átfogó rendszer kiállta az idı próbáját, és a meglévı szabályok, jogszabályok és törvények alapját képezi, az a dokumentum határozza 35 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



meg továbbra is a belsı kontroll meghatározását és átfogó rendszerét. A Belsı kontroll integrált keretrendszere c. anyagból csak részletek találhatók az ERM keretrendszerben, hivatkozás útján a teljes átfogó rendszer beépült ebbe az ERM rendszerbe.

Ajánlott irodalom a 4. Fejezethez • • • •



4.4. Gyakorlatok




5. FEJEZET: A KOCKÁZATKEZELÉS KÉPESSÉGI SZINTJÉNEK FELMÉRÉSE Pedagógiai célkitőzések Hogy mérjük fel a kockázatkezelési képességet? Indikatív tartalom

5.1. A COSO keretrendszer alkalmazása referenciamodellként A COSO útmutatóból származó folyamat-referenciamodell, kiegészítve az ISO/IEC 15504-2 szabvány [2] folyamatképesség mérési keretével, képezheti a belsı kontroll és a kockázatkezelési folyamatképesség felmérésének alapját, biztosítva az eredmények közös besorolási skálán való megjelenítését. A folyamatfelmérési modell egy kétdimenziós folyamatképességi modellt határoz meg. Az egyik dimenzió, a folyamat-dimenzió, meghatározza folyamatokat és besorolja azokat a különbözı folyamat kategóriákba. A másik dimenzió, a képesség-dimenzió, a folyamatattribútumok képességi szintek szerint csoportosított készletét határozza meg. A folyamatattribútumok biztosítják a folyamatképesség mérhetı jellemzıit.

5.2. A szervezet céljainak feltérképezése képesség szintek szerint A COSO modell öt képességi szintet határoz meg. 1. szint – Megfelelés (Végrehajtott folyamat) A belsı kontroll folyamat létezik és minden vonatkozó külsı és belsı szabályozásnak megfelelıen teljesíti az összes meghatározott eredményt. 2. szint – Megbízható beszámolás (Irányított folyamat) A fent ismertetett Végrehajtott folyamat ezen a szinten már irányított (tervezett, monitorozott és korrigált) formában bevezetésre került és munkatermékei megfelelıen vannak kialakítva, kontrollálva és karbantartva. 3. szint – Eredményes mőködés (Kialakított folyamat) A fent ismertetett Irányított folyamat ezen a szinten a folyamateredmények teljesítésére képes meghatározott folyamat alkalmazásával bevezetésre került.




4. Szint – Stratégiai célok (Kiszámítható folyamat) A fent ismertetett Kialakított folyamat ezen a szinten meghatározott keretek között mőködik a folyamateredmények teljesítése céljából. 5. szint – Optimalizáló kockázatkezelés

5.3. Bizonyosságot nyújtó és tanácsadói ellenırzési megbízások A hagyományos értelmezés szerint a rendszer alapú ellenırzést a már meglévı rendszerek és a hozzájuk kapcsolódó kontrollok határozzák meg. Ez a megközelítés feltételezi, hogy a meglévı rendszerek lefedik az összes kockázatot, és a módszer gyakran „belsı kontroll kérdıívekre” támaszkodik: ezek olyan egységes dokumentumok, amelyeket az egyes ellenırzések végrehajtása során alkalmaznak. A kockázat alapú felmérések szakértıi felhívják a figyelmet az ilyen kérdıívek a kockázat alapú módszerrel szemben meglévı veszélyeire:

Ajánlott irodalom az 5. fejezethez • • • •



5.4. Gyakorlatok




C) NEMZETI SPECIFIKÁCIÓK 1. FRANCIAORSZÁG Készítette: B. Quinio

1.1. Vezetıi információs rendszer 1.1.1. 1. Fejezet Az információs rendszer (IR) megszervezése és vezetése a kkv-k számára Pedagógiai célkitőzések Az IR szolgáltató jellemzése

Az információs rendszer szolgáltató meghatározása NAF cod 72, illetve ezen kívül 642Aet 642B. Egyes web ügynökségek a: cod 744B, 921B et 921G alatt találhatók. Láthatjuk azonban a SYNTEC osztályozását is. Ajánlott irodalom az 1. Fejezethez: http://www.syntec.fr/

1.1.2. 2. Fejezet IR alkalmazások az kkv-kban A vállalaton belül: vállalati erıforrástervezés (ERP) Franciaországban az alábbi oldalt érdemes megnézni: Cegid (http://www.cegid.fr/) Elektronikus adatcsere (EDI) Franciaországban az alábbi oldalt érdemes megnézni: GS1 (http://www.gs1.fr/) Ajánlott irodalom a 2. Fejezethez: http://www.edifrance.org/

1.1.3. 3. Fejezet: Projektvezetés A projektvezetés fogalmának meghatározása Franciaországban a “maîtrise d’ouvrage” és a “maîtrise d’oeuvre” kifejezéseket használjuk, melyeket világosan el kell magyarázni. Tervezés (Pert és Gantt) A Gantt projektet használhatjuk, ami nyílt forráskódú rendszer. Ajánlott irodalom a 3. Fejezethez: http://www.managementprojet.com/ 39 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



http://www.afitep.fr/ http://www.clubmoa.asso.fr/ 1.1.4. 4. Fejezet az IR biztonsága és kontrolle A biztonság szabályai: szigorú szabály, irányelve és szervezés alapú szabány A Mehari módszert a CLUSIF alapján magyarázhatjuk meg és fejleszthetjük ki. A honlapon rendkívül világos és jó magyarázatot találunk. A COBIT használatat a kkv-k számára A COBIT használatához hagyatkozhatunk az AFAI által javasolt eszközökre Számítástechnikai biztonsági törvény Franciaországban a számítástechnikai biztonságról szóló törvényeket nagyrészt a CNIL tartalmazza. Ajánlott irodalom a 4. Fejezethez: http://www.clusif.asso.fr/ http://www.afai.asso.fr/ http://www.cnil.fr/

1.2. Kockázatkezelés Ajánlott irodalom az a jelen modulhoz: Management du risque. Approche globale. AFNOR. 2002. ISBN 2-12-169211-8 100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot. AFNOR et CARM Institute (Cercle des Affaires en Risk Management). ISBN 2-12-475087-9 Prévenir les risques. Agir en organisation responsable. Andrée Charles, Farid Baddache. Editions AFNOR. 2006. ISBN 2-1247-5519-6. Guide Pratique des captives d’assurance et de réassurance . 2007 Collection AMRAE www.amrae.fr .ISBN 22523




2. NÉMETORSZÁG Készítette G. Prause

2.1. Információs rendszerek Németországban nagy elıszeretettel alkalmaznak modern technológián alapuló megoldásokat. Az információs rendszerek jól kialakultak a nagyvállalatok és sok kkv között, arra kényszerítve a még lemaradókat, hogy fogadják el a legújabb normákat, ezzel is bizonyítva képességeiket. A vállalatokon belüli információs rendszerek irányítása és monitoringja kulcsfontosságú cél a hatékonyság tekintetében. Csak ezek segítségével lehet hasznos információt lehívni információs rendszerekbıl, és úgy rendezni ezen információt, hogy támogassa a döntéshozatali folyamatot. Egy versenyképes és gyorsan változó üzleti környezetben, a legfrisebb, meggyızı, jól áttekinthetı információ a vállalat aktuális helyzetérıl igen lényeges sikertényezı. Mikor az információs rendszerek irányításával és biztonságával foglalkozunk, azok fokozódó összetettségét és átfogó hálózatosítottságukra irányuló tendenciájukat kell figyelembe venni. Az információval kapcsolatban a hatósági hozzáférést, rendelkezésre állást és tárolást szabályozó törvények és a szabványok a legfıbb feladat.

2.2. Kockázatkezelés A német gazdaság gerincét hagyományosan azok a kkv-k jelentik, melyek viszonylag jól strukturált, kockázatkerülı, védelmezı környezetben fejlıdtek. A fokozódó nemzeti és nemzetközi versenyhelyzet miatt, különösen az elmúlt évtizedben a német kkv-knak új helyzetet kell megszokniuk: ez a helyzet egy összetett, dinamikusan változó nemzetközi üzleti környezet, mely csapdákkal és kockázatokkal fenyeget. A kockázatkezelésnek több, az eltérı üzleti kultúrákból fakadó bizonytalansági tényezıt kell figyelembe vennie. A kockázatviselési hajlandóságat az adott, konkrét üzleti környezethez kell igazítani, egyensúlyban álló külsı és belsı tényezık figyelembe vételével.




3. MAGYARORSZÁG Készítette Jánosa A. és Ivanyos J.

3.1. Vezetıi információs rendszerek A négyszög illetékes magyar tagja felügyelte a modul tartalmának kialakítását és egyetértett azzal, hogy a vezetıi információs rendszer kerete független legyen a tényleges magyar nemzeti karaktertıl. Másrészrıl sokkal nagyobb hangsúlyt kellene helyezni a gyakorlatok célszerő kiválasztására és a téma jobb megértését illusztráló és támogató esettanulmányokra.

3.2. Kockázatkezelés A pénzügyi jelentéstétel kockázatainak felmérése - magyar szakértık által kifejlesztett módszertan A vezetıség a képességgel kapcsolatos kérdésekkel is foglalkozott, mivel a jogszabályi megfeleléshez kapcsolódó készenléti tevékenység hatalmas költségei felhívják a figyelmet ezen erıfeszítések fenntarthatóságára és járulékos üzleti értékére. Ezt a kihívást válaszolja meg az ISO/IEC 15504 Folyamatfelmérési szabvány [1], és annak vezetık, auditorok, sıt még külsı testületek (pl. finanszírozási, hitelezési, beszállítói lánc, stb. felügyelete) számára is készült értékelı model koncepciója, mely a kedvezményezetteknél vagy pályázóknál a vállalati kockázatkezelés és a belsı kontroll eredményességét értékeli.

COSO alapú folyamat-felmérési model A folyamatfelmérési modell egy kétdimenziós folyamatképességi modellt határoz meg. Az egyik dimenzió, a folyamat-dimenzió, meghatározza folyamatokat és besorolja azokat a különbözı folyamat kategóriákba. A másik dimenzió, a képesség-dimenzió, a folyamatattribútumok képességi szintek szerint csoportosított készletét határozza meg. A folyamatattribútumok biztosítják a folyamatképesség mérhetı jellemzıit. A 2006-os COSO útmutató, melynek címe „Internal Control over Financial Reporting — Guidance for Smaller Public Companies”, összhangban van az ISO/IEC 15504-2 PRM elıírásival, amelyek a belsı kontroll Keretrendszer öt komponenséhez kapcsolódó és a közvetlenül azokból kinyert alapvetı koncepcionális folyamatokat képviselik. Az egyes Elveket az Elvhez kapcsolódó jellemzıket képviselı Attribútumok támasztják alá. Az ISO/IEC 15504 folyamatfelmérési modell arra az elvre épül, hogy egy folyamat képessége felmérhetı a folyamat-attribútumok elérésének bemutatásával, a felmérési mutatókhoz kapcsolódó bizonyítékok alapján. A felmérési mutatók két fajtája létezik: az (általános) folyamatképességi mutatók, amelyek a 1-tıl 5-ig terjedı képesség szintekre vonatkoznak, valamint a (specifikus) folyamatvégrehajtási mutatók, amelyek kizárólag az 1. képesség szintre vonatkoznak. 42 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A képesség-dimenzión elhelyezkedı folyamat-attribútumokhoz a folyamatképességi mutatók egy olyan készlete tartozik, amely jelzést ad az adott folyamatban lévı attribútum teljesülésének mértékérıl. Ezek a mutatók az attribútum cél a folyamatbeli teljesüléséhez kapcsolódó jelentıs tevékenységekre, erıforrásokra vagy eredményekre vonatkoznak. Belsı kontrollal kapcsolatos célmeghatározás A COSO ERM kockázatkezelési modelljében a célkitőzés állításakor a vezetés mérlegeli a szervezet stratégiáját és stratégiai céljait és ennek keretében meghatározásra kerül: - a szervezet kockázatviselési szintje vagy hajlandósága (risk appetite) - vagyis az, hogy a stratégia vonatkozásában a vezetés és a felügyeleti testület mekkora kockázatot tart elfogadhatónak, és - a kockázati tolerancia (risk tolerance) - vagyis az, hogy a meghatározott kockázatviselési szinten a szervezeti céloktól milyen mértékő eltérés engedhetı meg. Az ISO/IEC 15504 folyamatfelmérési modellben a cél folyamat-profilok a kitőzött folyamatképesség azon szintjét határozzák meg, melyet a felmérés szponzora a szervezet kockázatviselési szintje és kockázati toleranciája vonatkozásában alkalmasnak talál. A szervezeti szinten, vagy az egyes mőködési egységek és folyamatok vonatkozásában meghatározott célokat és azoktól való megengedett eltérést megfelelı metrikákkal (mutatószámokkal) kell alátámasztani. Ez általában nem szokott problémát okozni, hiszen minden szervezet, vagy mőködési folyamat üzleti célja valamilyen – viszonylag könnyen számszerősíthetı - érték létrehozása vagy megırzése. A kockázatkezelés szempontjából alapvetı kockázatviselési szint (vagy hajlandóság) számszerősítése viszont nem nyilvánvaló. A probléma súlyát az adja, hogy a kockázatértékelés során a kockázatviselési szint az, ami alapján a kockázat besorolásra kerül, mely alapján döntés születik arról, hogy a lehetséges kockázati válaszok közül melyik kerüljön alkalmazásra. Ha tehát nincs akár a szervezet, akár a mőködési folyamat kapcsán objektíven alkalmazható kockázatviselési szintre vonatkozó mutatószám, akkor a kockázatkezelés további lépéseit csak eseti, szubjektív döntéseken keresztül lehet végrehajtani. A COSO ERM modell – a beépülı kontrollrendszerrel együtt – célkitőzés-kategóriákat állít fel. A stratégiai, mőködési, beszámolási és szabályszerőségi célkitőzéseket az ERM esetében a szervezet, az integrált belsı kontrollrendszer vonatkozásában a mőködési egységek és folyamatok üzleti céljainak megvalósulásán keresztül kell vizsgálni. Habár az egyes célkitőzés-kategóriák alapján különbözı (teljesítmény, pénzügyi vagy szabályszerőségi) vizsgálati típusok határozhatók meg, könnyő belátni, hogy a célkitőzés-kategóriák nem önmagukban léteznek, hanem egymással összekapcsolódva. Az egyik lehetséges megközelítés alapján a célkitőzés-kategóriák egymásra épülnek. A mőködési (üzleti) folyamatok szintjén a szabályszerőségi célok teljesülése biztosítja, hogy a kockázatkezelés és belsı kontrollrendszer kiválasztott, vagy elıírt követelményei szerint kerülnek az üzleti tevékenységek végrehajtásra. A megbízható beszámolás céljai feltételezik a szabályszerőségi követelmények teljesülését, vagyis a szervezet kockázatviselési szintje a 43 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



mőködési (üzleti) folyamatok kapcsán a szabályszerőségi követelmények mutatószámaival határozható meg. A mőködési egységek vonatkozásában a hatékony mőködés céljai feltételezik a megbízható beszámolás és a szabályszerő végrehajtás követelményeinek teljesülését. Ezen a szinten a szervezet kockázatviselési hajlandóságát a megbízható beszámolás és a szabályszerőség követelményeinek mutatószámaival írhatjuk elı. A szervezet egésze vonatkozásában a - mőködési egységek szintjén meghatározott üzleti célokra lebontott - stratégiai célok feltételezik a hatékony mőködés, megbízható beszámolás és szabályszerő végrehajtás követelményeinek teljesülését. A szervezet egésze vonatkozásában a kockázatviselés szintjét a mőködési egységek, mőködési folyamatok és üzleti tevékenységek kapcsán feltételezett mőködési, beszámolási és szabályszerőségi követelmények mutatószámaival jellemezhetjük. Vegyük észre a szervezet belsı kontrollrendszerére alkalmazott kockázatkezelés következményét a szervezeti szintő kockázati tolerancia (a szervezet kontroll céljaitól való megengedett eltérés mértéke) és a kockázatviselési szint értelmezésében: a szervezet kockázatkezelési stratégiája vonatkozásában a kockázatviselés szintjét a belsı kontrollrendszer egészére elıírt követelmények mutatószámaival írhatjuk le. A konzisztens vállalati kockázatkezelés tehát feltételezi, hogy a szervezet belsı kontrollrendszerének mőködését megfelelı mutatószámokkal jellemezni lehet. Ezek a mutatószámok a belsı kontrollrendszerre vonatkozó célkitőzés-állításban is szerepet kapnak, hiszen ezekkel lehet az adott szintre jellemzı kockázati toleranciát meghatározni. Az alsóbb szintő célkitőzéskategória kontroll kockázati toleranciájának mutatóival a következı célkitőzés-kategóriára vonatkozó kockázatviselési szintet írhatjuk le. Kevésbé kockázat-tudatos vállalati mőködés esetén a stratégiai és üzleti célokat közvetlenül is lehet az üzleti tevékenységekhez kapcsolni. Ez esetben a belsı kontrollrendszer egészére vonatkozó követelmény-állításról nem beszélhetünk, így nemcsak a kontroll és kockázatkezelési keretrendszerek következetes alkalmazásáról mondunk le, hanem arról a lehetıségrıl is, hogy a szervezet vonatkozásában objektíven alkalmazható kockázatviselési szinteket határozhassunk meg, ezáltal az üzleti tevékenységek kapcsán eseti és szubjektív döntések határozzák meg a kockázatok besorolását. A legfontosabb kontrollok értékelése a támogató belsı pénzügyi kontroll folyamatokon keresztül Az ERM összefüggéseiben a kulcsfontosságú kontrollok azok a folyamatok, amelyek szükségesek és elégségesek ahhoz, hogy az üzleti teljesítmény és az üzleti célok közötti eltérést elfogadható szinten tartsák. A kulcs kontrollok a folyamat-referencia modell kiválasztott kontroll folyamatai és/vagy olyan üzleti folyamatok, melyekkel a folyamatfelmérés folyamatdimenziója szükségképpen kiegészül. A Folyamat Felmérési Modell folyamat-dimenziójának a pénzügyi kontrollokkal a pénzügyi kontrollokkal való kiterjesztése esetén (az ISO/IEC 15504-es szabvány esetén) megjelennek a ISO/IEC 15504-es szabvány alkalmazásának gyakorlati elınyei. 44 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A szervezeti szinten, középszinten vagy tevékenységi szinten mőködı legfontosabb kontrollok, melyeknek közvetlen vagy közvetett kapcsolata van a lényeges valótlan tényállítások kockázatával, a szabványos folyamatmeghatározások cél és kimeneti nyilatkozataként írhatók le. A kimeneteknek azonosnak és egyedinek kell lenniük minden folyamat esetében, mivel így elkerülhetı a legfontosabb kontrollok felesleges átfedései (dokumentációjukban és tesztelési eljárásaikban). Az eredmények vagy a jelentıs beszámolókhoz vagy az ezekhez befolyó lényeges tranzakciókhoz kapcsolódó fontos pénzügyi tényállítások által határozhatók meg. A belsı pénzügyi kontroll folyamatok egy teljes csoportjának megvalósítása a COSO alapú folyamat referencia modellbıl hozzájárul az összes folyamat attribútum (a 4. szintig történı) teljesítéséhez egy szervezet szintő lényeges (kulcs) kontrollja esetében. Belsı pénzügyi kontroll folyamattal kapcsolatos kockázatok A COSO Belsı Kontroll és ERM fı célkitőzés-kategóriáinak a mérési keretrendszer képesség-dimenziójába való leképezése és azok alkalmazása útmutatásul szolgál a felmérés szponzorának a célul kitőzött képesség profil kijelöléséhez, valamint eredményes eszközt nyújt a vezetés számára a kontroll kockázati területek megállapításához, megértéséhez és kezeléséhez. A folyamatra vonatkozó kockázat megbecsülhetı a cél és a felmért folyamatprofilok közötti eltérések meglétébıl. Egy eltérés potenciális következménye attól függ, hogy milyen a képességi szint és a folyamat-attribútumok eltérése az azonosítás helyén. A következıkben bemutatunk néhány Belsı Pénzügyi Kontrollal kapcsolatos megfigyelést és példát: Az 1. szintő folyamat-végrehajtási attribútum hiányosság tipikus következménye lehet az, hogy a folyamat nem éri el a megadott/elvárt eredményeket, nincs (elegendı) bizonyosságot adó dokumentum az adott kontroll folyamat végrehajtására. Pl: A vezetés elvárásai nem megfelelıen dokumentáltak, így a külsı vagy belsı körülmények változásai nem kerülnek figyelembe vételre. A 2. szintő végrehajtás-irányítás attribútum hiányosság tipikus következménye a határidık be nem tartása, erıforrás allokációs problémák, felelısségi kérdések tisztázatlansága, kontrolálatlan döntések. Pl: A vezetés és felügyelı testület közti kommunikáció nem „tervszerő”, a hiányosságok nem kerülnek idıben feltárásra, fıkönyvi zárások idején felhatalmazás nélküli döntések születnek, a szabályozási dokumentumok nem kerülnek rendszeresen felülvizsgálat alá. A 2. szintő munkatermék-kezelés attribútum esetében a hiányosság okozhatja a beszámolók minıségi problémáit, párhuzamos adatrögzítéseket, inkonzisztens dokumentációkat, újrafeldolgozási költségeket, konszolidációs problémákat. Pl: Szabályozási dokumentumok eltérı verziói vannak használatban, a beazonosított problémákat nem teszik közzé, a belsı kommunikáció nincs szisztematikusan dokumentálva, illetve megırizve. A 3. szintő folyamat-meghatározási hiányosság esetén következmény lehet, hogy a jó gyakorlati példák és levont tanulságok nem kerülnek figyelembe vételre a szabályozás felülvizsgálatakor, a kontroll folyamatok eredményei nem azonosíthatóak az üzleti/mőködési folyamatokban. Pl: A belsı kommunikációs folyamatok nem megfelelı leírása elıidézheti, 45 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



hogy a beosztottak által észlelt súlyos hiányosságok vagy a javító célú javaslatok nem jutnak el a felügyelı testülethez. A 3. szintő folyamat-alkalmazási hiányosság esetén következmény lehet, hogy az üzleti/mőködési folyamatokba beépülı pénzügyi kontrollok alkalmazásai nem konzisztensek, a felismert lehetıségek nem kerülnek kiaknázásra. Pl: A felügyelı testület nem veszi komolyan a belsı ellenırzés tanácsadói szerepét, a pénzügyi beszámolási követelményeket a kockázat felmérés során nem megfelelıen kapcsolják az üzleti/mőködési folyamatokhoz, az IT kontrollokat nem az informatikai környezet komplexitásának megfelelıen alakítják ki. A 4. szintő folyamatmérési hiányosság esetén következmény lehet, hogy a kulcs kontroll folyamatok nincsenek megfelelıen azonosítva, megtervezve, vagy nem megfelelıen mőködnek annak érdekében, hogy az üzleti célok és a mőködési folyamatokkal kapcsolatos teljesítmény-mutatók elérésre kerüljenek, illetve a célok elérését veszélyeztetı problémák idıben beazonosításra kerüljenek. Pl: A kulcs kontroll folyamatok kapcsán a kivételeket a kockázat felmérés során nem kezelik. A 4. szintő folyamatellenırzési hiányosság esetén következmény lehet, hogy a kvantitatív végrehajtási célok és a meghatározott üzleti célok ellentétesek. Pl: Túl rövid havi, vagy éves zárási határidık kiszámíthatatlan megbízhatóságú becslésekhez, illetve könyvelési elhatárolásokhoz vezethetnek. A pénzügyi kockázatkezelés és a belsı kontrollok eredményességének értékelése Az eredményesség megállapítása azon alapul, hogy a megvalósított fı kontrollok (együttesen) ésszerő mérvő biztonságot jelentenek-e a tekintetben, hogy a szervezet elfogadható tőréshatárokon belül eléri üzleti céljait. A biztonság szintje a szervezet kockázatvállalási filozófiájától függ, azonban a pénzügyi jelentéstétel belsı kontrolljai esetében a hatósági és számviteli követelmények arra kényszerítik az ügyvezetést és a pénzügyi vezetést, hogy minimálisra csökkentse azokat a kockázatokat, melyek nagy súlyú, valótlan tényállításokat eredményezhetnek a pénzügyi bevallásokban és más adatközlésekben. A számviteli és audit szakirodalom részletes útmutatást ad a súlyosság kérdésérıl, még akkor is, ha a súlyosságot könnyen megérthetjük pusztán azáltal, hogy a kockázatkezelés kockázattőrı képesség szókincsét alkalmazzuk: nagy súlyúnak minısül minden olyan eltérés, mely meghalad egy, a célok viszonylatában elıre megállapított határértéket. A szükséges és elégséges fı szabályozók kialakítása és értékelése kockázat-alapú és felülrıl lefelé megvalósított eljárás legyen. A belsı kontroll rendszer eredményes tervezése és mőködtetése azon az alapfeltevésen nyugszik, hogy a vállalkozásra minden, lehetségesen lényeges (tehát számottevınél nagyobb fokú) hatást gyakorló kockázatra költséghatékony válasz érkezik, így az alkalmazott szabályozók biztosítják, hogy a céloktól való lényeges eltérés (mint pl. a valótlan tényállítás egy pénzügyi jelentésben) valószínősége csekély maradjon, illetve egy szabályozási hiányosság következménye (még kumulatív hatással számolva is) a tőréshatáron belül marad. A fı kontrollok szervezet, köztes, illetve tevékenység szinten mőködnek, és vagy közvetlen vagy közvetett kapcsolatuk van a lényeges hiba kockázatához. A 20 COSO alapú belsı 46 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



pénzügyi szabályzó folyamat eredménye bizonyítékot szolgáltat arról, hogy a fı szabályozók a kockázatkezelési és belsı kontroll elvek alkalmazásával vannak megtervezve, és azt is jelzik, hogy a legfıbb szabályozók megjósolható (4. szintő) képességi szinten mőködnek. Referenciák és ajánlott irodalom Az itt bemutatott COSO alapú folyamatértékelési elveket a Képességkártya és a hozzákapcsolódó „Európai Pénzügyi Belsı Kontroll Felmérı” program képzési anyagainak kifejlesztéséhez használtuk, melynek a COSO 2006 Útmutatás Elvek, Attribútumok és Megközelítések adaptációja is részét képezi. A COSO igazgatósággal spanyol, német, román és magyar fordításokról született megegyezés. Ez a projekt (a projekt száma: HU/B/05/B/F/PP-170013) az Európai Közösség Bizottságának LEONARDO DA VINCI Programja pénzügyi támogatásával valósult meg. További részleteket az alábbiakban talál http://www.training.ia-manager.org/ vagy írjon emailt az alábbi címre: [email protected].

[1]

ISO/IEC 15504-1:2004 Information technology -- Process assessment -- Part 1: Concepts and vocabulary ISO/IEC 15504-2:2003 Information technology -- Process assessment -- Part 2: Performing an assessment ISO/IEC 15504-2:2003/Cor 1:2004 ISO/IEC 15504-3:2004 Information technology -- Process assessment -- Part 3: Guidance on performing an assessment ISO/IEC 15504-4:2004 Information technology -- Process assessment -- Part 4: Guidance on use for process improvement and process capability determination ISO/IEC 15504-5:2006 Information technology -- Process Assessment -- Part 5: An exemplar Process Assessment Model

[2]

The Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006)




4. EGYESÜLT KIRÁLYSÁG Készítette: M. Nocker

4.1. Vezetıi információs rendszerek Ajánlott irodalom az 1. Fejezethez Gooodyear, T. (1985). Organising Computer-based Information System Resources. Industrial Management & Data System Resources (Számítógép alapú információs rendszer erıforrásszervezése. Ipari menedzsment), 85(7/8), 11-16. Ajánlott irodalom a 2. fejezethez Emerging Trends and Challenges in Information Technology Management: 2006 Information Resources Management Association International Conference (Népszerő trendek és kihívások az információs technológia kezelésében: Az Információ erıforrás kezelı szövetség 2006. évi nemzetközi konferenciája), Washington, DC, USA, May 21-24, 2006 Levy, M and Powell, P. (2004) Strategies for Growth in SMEs: The Role of Information and Information Systems (Kkv-k növekedési stratégiája: az információ és az információs rendszerek szerepe). Butterworth-Heinemann, 2004 Ajánlott irodalom a 3. fejezethez Fuller, M and. Valacich, J.V. and George J. (2007) Information Systems Project Management: A Process and Team Approach (Információs rendszer projektvezetés ). Prentice Hall, 2007 Ajánlott irodalom a 4. fejezethez K D. Mitnick, W L. Simon The Art Of Deception: Controlling The Human Element Of Security (A megtévesztés mővészete: A biztonság emberi összetevıjének szabályozása) John Wiley & Sons; 2003 Dowland, P, Furnell, S. , Bhavani M. and Thuraisingham, X. Sean Wang (2005) Security Management, Integrity, and Internal Control in Information Systems (Biztonság irányítás, sértetlenség és belsı kontroll az információs rendszerekben): IFIP TC-11 WG 11.1 & WG 11.5 Joint Working Conference. Birkhäuser.

4.2. Kockázatkezelés Ajánlott irodalom az 1. fejezethez Jetter, A., Kraaijenbrink, J. And Fons Wijnhoven (2006) Knowledge Integration: The Practice of Knowledge Management in Small and Medium Enterprise (Tudásintegráció: A tudáskezelés gyakorlata kis- és középvállalkozásokban). Springer, 2006 Ajánlott irodalom a 2. fejezethez Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures (Kockázat és vezetıi számvitel: Az egész vállalkozásra kiterjedı belsı kontroll eljárások legjobb gyakorlatra vonatkozó útmutatója). Elsevier, 2006 Ajánlott irodalom a 3. fejezethez 48 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures (Kockázat és vezetıi számvitel: Az egész vállalkozásra kiterjedı belsı kontroll eljárások legjobb gyakorlatra vonatkozó útmutatója). Elsevier, 2006 Ajánlott irodalom a 4. fejezethez Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures (Kockázat és vezetıi számvitel: Az egész vállalkozásra kiterjedı belsı kontroll eljárások legjobb gyakorlatra vonatkozó útmutatója). Elsevier, 2006

4.3. Egyéb javasolt olvasmányok - a modul egészére vonatkozó irodalom – téma szerint válogatva Információs rendszer irányítás • W L Currie & R D Galliers (eds), Rethinking Management Information Systems (Az információs rendszer irányításának újragondolása), OUP, 2003 • L. Willcocks, P. Petherbridge, and N. Olson. Making IT Count: Strategy Delivery Infrastructure (Amikor a számítástechnika számít: Stratégiamegvalósítási infrastruktúra). Butterworth, 2003 Information systems development • C Avgerou and T Cornford, Developing Information Systems: concepts, issues and practice (2nd edn) (Információs rendszerek fejlesztése: fogalmak, témák és gyakorlat), Macmillan, 1998 • D Avison & G Fitzgerald, Information Systems Development Methodologies (Információs rendszerfejlesztési módszerek), McGraw Hill, 2002 • K Beck, Extreme Programming Explained (), 2nd edn, Addison-Wesley, 2005. • G Booch, J Rumbaugh and I Jacobson, Unified Modelling Language User Guide (Egységes model nyelv felhasználói útmutató), Addison-Wesley, 1999 • P Checkland, Systems Thinking, Systems Practice (Rendszergondolkozás, rendszer gyakorlat), Wiley, 1999 • C Ciborra (ed) Groupware and Teamwork, Chichester (Groupware és csapatmunka), United Kingdom: John Wiley & Sons,1996 • M Fowler and K Scott UML Distilled: a brief guide to the standard object modeling language (Lepárolva: rövid útmutató a sztenderd tárgy modellezı nyelvhez),1999 Information risk and security • C Adams and S Lloyd Understanding Public Key Infrastructure, Concepts, Standards, And Deployment Considerations (A legfıbb állami infrastruktúra megértése, fogalmak, szabványok és alkalmazási szempontok) Macmillan Technical Publishing; 1999 • R Anderson, Security Engineering: a guide to building dependable distributed systems (Biztonsági tervezés: megbízható elosztott rendszerek rendszerek építése), John Wiley, 2001 49 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



•

•

• • •

•

• •

•

•

•

J R Beniger, The Control Revolution: technological and economic origins of the information society (A szabályzás forradalma: az információs társadalom technológiai és gazdasági eredetei), Harvard University Press, 1986 W Cheswick, S Bellovin and A Rubin, Firewalls and Internet Security: repelling the wily hacker (Tőzfalak és Internetes biztonság: a ravasz hacker távoltartása), Addison Wesley, 1994 G Dhillon Principles of Information Systems Security: Text and Cases (Az információs rendszerbiztonság elvei: Szövegek és esetek). J Wiley & Sons; 2007 S Gafinkel, Database Nation: the death of privacy (Az adatbázis társadalma: a magánélet halála), O'Reilly Associates 2000 A Jones and D Ashenden Risk Management For Computer Security: Protecting Your Network And Information Assets (Kockázatkezelés a számítógép biztonsága érdekében: hálózatunk és informatikai eszközeink védelme) Butterworth-Heinemann; 2005 K D. Mitnick, W L. Simon The Art Of Deception: Controlling The Human Element Of Security (A megtévesztés mővészete: az emberi összetevı szabályozása) John Wiley & Sons; 2003 F C Piper, S Murphy Cryptography: A Very Short introduction (A kriptográfia: egy nagyon rövid bevezetés) Oxford Paperbacks; 2002 T Ridge, H Schmidt Patrolling Cyberspace: Lessons Learned From A Lifetime In Data Security (İrjárat a kibertérben: egy élet tanulságai az adatbiztonságról) Larstan Publishing; 2006 B Schneier, Beyond Fear: thinking sensibly about security in an uncertain world (A félelmen túl: értelmesen gondolkozva a biztonságról egy bizonytalan világban), Springer Verlag, 2003 B Schneier Secrets And Lies: Digital Security In A Networked World (Titkok és hazugságok: digitális biztonság egy hálózatosított világban) John Wiley & Sons Inc; 2004 W Stallings, Network Security Essentials (A hálózatbiztonság alapjai), Prentice Hall, 2000

Információs technológia: kérdések és készségek • F Adam and M Healy, A Practical Guide to Postgraduate Research in the Business Area (Gyakorlati útmutató a posztgraduális üzleti kutatásokhoz), Blackhall, Stillorgan, 2000 • T Cornford and S Smithson, Project Research in Information Systems (Projekt kutatás információs rendszerekrıl), Macmillan, 1996 Információs szolgáltatások tervezése • Benkler, Y. (2006): The Wealth of Networks (A hálózatok vagyona). Yale University Press; • K. Braa, C. Sørensen, and B. Dahlbom, ed. (2000): Planet Internet (Az internet bolygó). Studentlitteratur; • Barabási, A.-L. (2002): Linked (Linkekkel összekapcsolva). Cambridge, MA: Perseus; • Barley, S. R. & G. Kund(2004): Gurus, Hired Guns, and Warm Bodies (Guruk, bérelt pisztolyok és meleg testek). Princeton University Press;




• • • • • • • • • • • • • • • • • • • • •

C. U. Ciborra and Associates (2000): From Control to Drift (A szabályozottságtól a sodródásig). OUP; Ciborra, C. (2002): The Labyrinths of Information (Az információ labirintusai). OUP; Collins, R. (2004): Interaction Ritual Chains (Az interakciós szertartás láncai). Princeton University Press. Dahlbom B and L. Mathiassen (1993): Computers in Context (Számítógépek kontextusban). Blackwell; Dourish, P. (2001): Where the action is (Ahol az események zajlanak). MIT Press; Goffman, E. (1959): The Presentation of Self in Everyday Life (Önmagunk bemutatása a mindennapi életben). Bantam; Haddon, L., et al eds. (2006): Everyday Innovators (Mindennapi innovátorok). Springer; Höök, K., D. Benyon, & A. J. Monroe, ed. (2003): Designing Information Spaces (Információs terek tervezése). Springer; Ito, M., D. Okabe, & M. Matsuda, ed. (2005): Persona, Portable, Pedestrian (Perszóna, hordozható, gyalogos). Cambridge, Mass: The MIT Press; Ling, R. (2004): The mobile connection (A mobil kapcsolat). Elsevier; Kallinikos, J. (2006): The Consequences of Information (Az információ következményei). Edward Elgar; Ling, R. (2004): The Mobile Connection: The Cell Phone's Impact on Society (A mobiltelefon hatása a társadalomra). Ling, R. (2008): New Tech, New Ties: How Mobile Communication is Reshaping Social Cohesion (Hogy alakítja át a mobil kommunikáció a társadalmi összetartozást). The MIT Press. Morgan Kaufmann; Löwgren, J. and E. Stolterman (2004). Thoughtful Interaction Design (Az interakció gondos tervezése). MIT Press; Mccullough, M. (2004): Digital Ground. MIT Press. Cambridge, Massachusetts; Norman D. A. (1998): The Invisible Computer (A láthatatlan számítógép). MIT Press; Rheingold, H. (2002): Smart Mobs (Okos tömegek). Perseus Books; Sommerville I. (1995): Software Engineering (Szoftver tervezés). Addison-Wesley; Sørensen C., Yoo, K. Lyytinen and J. DeGross (2005): Designing Ubiquitous Information Environments (Mindenhol jelenlevı információs környezetek). Springer; Sproull L. and S. Kiesler (1993): Connections. MIT Press; Thackara, J. (2005): In the Bubble (A buborékban). Cambridge. MIT Press; J. Yates (1989): Control through Communication (A kommunikációval megvalósított szabályozás). Johns Hopkins University Press; Yates, J. (2005): Structuring the Information Age (Az információ korának strukturálása). Baltimore: The Johns Hopkins University Press; Zuboff, S. (1987): In the Age of the Smart Machine (Az okos gép korában). Basic Books; Zuboff, S. & J. Maxmin (2002): The Support Economy (A támogatás gazdasága). Penguin.


A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS

Recommend Documents