A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS

Erasmus Multilateral Projects – Virtual campuses

134350-LLP-1-2007-1-HU-ERASMUS-EVC Virtual campus for SMEs in a multicultural milieu

Erasmus Multilateral Projekts – Virtual campuses

A projekt referenciaszáma: 134350-LLP-12007-1-HU-ERASMUS-EVC A projekt címe: Virtual campus for SMEs in a multicultural milieu (‘SMEdigcamp’) Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez. Ez a kiadvány (közlemény) a szerzı nézeteit tükrözi, és az Európai Bizottság nem tehetı felelıssé az abban foglaltak bárminemő felhasználásért.

A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS Modulvezetı: Bernard QUINIO (FR-UPX) További modultagok: András JÁNOSA (HU) János IVANYOS (HU) Imre JUHÁSZ (HU) Gyula KADERJÁK (HU) Manuela NOCKER (UK) Gunnar PRAUSE (DE) Daniel BRETONES (FR-ESCEM)

1 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



TARTALOMJEGYZEK A) A MODUL MEGHATÁROZÁSA ....................................................................................5 B) INDIKATÍV TARTALOM..............................................................................................11 I. VEZETİI INFORMÁCIÓS RENDSZEREK....................................................................11 1. FEJEZET: AZ INFORMÁCIÓS RENDSZER MEGSZERVEZÉSE ÉS VEZETÉSE KKVK SZÁMÁRA ......................................................................................................................11 1.1. Bevezetés...................................................................................................................11 1.2. Az információs rendszerek fı kérdéseinek meghatározása a kkv-k számára ...............11 1.2.1. Információ és információs rendszer .....................................................................11 1.2.2. Kulcsfontosságú témák, melyeket az információs rendszer vet fel a vállalkozás számára ........................................................................................................................12 1.3. Az IR funkció megszervezése a vállalkozásoknál.......................................................13 1.4. Az IR osztály költségvetése és költségei ....................................................................14 1.5. Hogyan kezeljük az IR kiszervezését .........................................................................15 1.5.1. Az IR szolgáltató leírása......................................................................................15 1.5.2. Az IR tevékenységei és azok kiszervezése...........................................................16 1.5.3. Hogy kezeljük a szolgáltatót................................................................................16 1.5.4. A szolgáltatók kezelésének ciklusa......................................................................17 1.6. Irányítás a kkv-kban: szabályok és eszközök..............................................................18 1.7. Ellenırzı feladatok ....................................................................................................19 2. FEJEZET: AZ IR ALKALMAZÁSA A KKV-KBAN ......................................................21 2.1. Bevezetés...................................................................................................................21 2.2. Az információs rendszer mőszaki infrastruktúrája a kkv-kban....................................22 2.2.1. Az infrastruktúra mőszaki aspektusa ...................................................................22 2.2.2. A szoftver alkalmazás térképe .............................................................................24 2.2.3. Hogyan válasszunk nyílt rendszerek és az egyedi fejlesztésőek között? ...............25 2.3. Az IR döntéstámogatási alkalmazása..........................................................................27 2.3.1. Felsıvezetıi információs rendszer (EIS) .............................................................30 2.3.2. Szakértıi rendszer ...............................................................................................35 2.3.3. Tudásmenedzsment .............................................................................................37 2.3.4. Üzleti intelligencia ..............................................................................................38 2.3.5. Adatelemzés és adatbányászat .............................................................................40 2.4. IR alkalmazások két fı célra ......................................................................................43 2.4.1. Ügyfélkapcsolat kezelés (CRM) ..........................................................................43 2.4.2. Az e-business és a web site..................................................................................47 2.4.3. Beszállítói láncolatkezelés (SCM) .......................................................................48 2.5. Az IR alkalmazás integrációs célra.............................................................................49 2.5.1. A vállalaton belül: Vállalati Erıforrástervezés (ERP) ..........................................49 2.5.2. A vállalaton kívül: Elektronikus adatcsere (EDI – Electronic Data Interchange)..51 2.5.3. A vállalaton kívül: az e-business piac ..................................................................53 2.6. Ellenırzı feladatok ....................................................................................................56 3. FEJEZET: PROJEKTVEZETÉS ......................................................................................58 3.1. Bevezetés...................................................................................................................58 3.2. A projektvezetés fı fogalmainak meghatározása ........................................................59 3.3. Hogy készítsünk elı egy projektet? ............................................................................59 2 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



3.3.1. A projekt célja és résztvevıi................................................................................60 3.3.2. Projektjavaslat.....................................................................................................61 3.3.3. Az emberi és mőszaki erıforrások meghatározása ...............................................61 3.4. Hogy építjük fel a projektet? ......................................................................................62 3.4.1. WBS ...................................................................................................................62 3.4.2. PBS.....................................................................................................................63 3.4.3 OBS .....................................................................................................................64 3.5. Hogy kell egy projektet irányítani? ............................................................................64 3.5.1. Projektirányítás ...................................................................................................64 3.5.2. Projektvezetés .....................................................................................................64 3.6. Hogy telepítsük és használjuk a projekt eredményét...................................................72 3.7. Ellenırzı feladatok ....................................................................................................73 4. FEJEZET: AZ IR BIZTONSÁGA ÉS KONTROLLJA.....................................................75 4.1. Bevezetés...................................................................................................................75 4.2. Biztonsági szabályok: szigorú szabály, irányelv és szervezéssel elért biztonság .........76 4.3. A biztonság emberi tényezıje ....................................................................................78 4.4. Külsı és belsı támadások ..........................................................................................80 4.5. A számítástechnikai tanúsítás törvénye és szabványai ................................................82 4.6. Az adatok és a szoftver biztonsági másolata ...............................................................85 4.7. A tevékenység újrakezdése és fenntartása ..................................................................87 4.8. A COBIT vagy az ITIL használata a kkv-k számára...................................................89 4.9. Ellenırzı feladatok ....................................................................................................92 II. KOCKÁZATKEZELÉS ..................................................................................................94 1. FEJEZET: A KOCKÁZATKEZELÉSI ISMERETEK ELSAJÁTÍTÁSÁNAK CÉLJAI ...94 1.1. Bevezetés...................................................................................................................94 1.2. Globális célok............................................................................................................94 1.3. A fı kérdések leírása..................................................................................................94 1.4. Miért fontos a kockázatkezelés a kkv-k számára?.......................................................95 2. FEJEZET: A KOCKÁZATKEZELÉS ALAPELVEI........................................................96 2.1. A vállalati kockázatkezelés meghatározása ................................................................96 2.2. A kockázatok típusai..................................................................................................96 2.3. Gyakorlatok ...............................................................................................................99 3. FEJEZET: A SZERVEZET ÖSSZEKAPCSOLÓDÓ CÉLKITŐZÉSEINEK ELÉRÉSE 101 3.1. A célkitőzés-kategóriák............................................................................................101 3.2. Célkitőzés állítása ....................................................................................................101 3.3. Eseményazonosítás ..................................................................................................103 3.4. Kockázatértékelés ....................................................................................................104 3.5. Kockázati válaszok ..................................................................................................105 3.6. Gyakorlatok .............................................................................................................108 4. FEJEZET: A KOCKÁZATKEZELÉS KOMPONENSEI ...............................................110 4.1. A célkitőzések és az alkotóelemek összefüggése ......................................................110 4.2. A kockázatkezelés eredményessége és korlátai ........................................................111 4.3. Kapcsolat a belsı kontrollrendszerrel.......................................................................112 4.4. Gyakorlatok .............................................................................................................115 5. FEJEZET: KOCKÁZATKEZELÉSI TECHNIKÁK .......................................................117 5.1. Kvalitatív és kvantitatív technikák ...........................................................................117 3 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



5.2. Kockázati válaszok értékelése..................................................................................119 5.3. Költség-haszon elemzés ...........................................................................................120 5.4. Gyakorlatok .............................................................................................................121 6. FEJEZET: A KOCKÁZATKEZELÉS KÉPESSÉGI SZINTJÉNEK FELMÉRÉSE ........123 6.1. A COSO keretrendszer alkalmazása referenciamodellként .......................................123 6.2. A Szervezeti célkitőzések képességi szinteknek való megfeleltetése ........................126 6.3. Bizonyosságot nyújtó és tanácsadói ellenırzési megbízások ....................................127 6.4. Gyakorlatok .............................................................................................................129 C) NEMZETI SPECIFIKÁCIÓK .......................................................................................135 1. FRANCIAORSZÁG.......................................................................................................135 1.1. Vezetıi információs rendszer ...................................................................................135 1.1.1. 1. Fejezet Az információs rendszer (IR) megszervezése és vezetése a kkv-k számára ......................................................................................................................135 1.1.2. 2. Fejezet IR alkalmazások az kkv-kban ............................................................135 1.1.3. 3. Fejezet: Projektvezetés ..................................................................................135 1.1.4. 4. Fejezet az IR biztonsága és kontrolle.............................................................136 1.2. Kockázatkezelés ......................................................................................................136 2. NÉMETORSZÁG ..........................................................................................................137 2.1. Információs rendszerek ............................................................................................137 2.2. Kockázatkezelés ......................................................................................................137 3. MAGYARORSZÁG ......................................................................................................138 3.1. Vezetıi információs rendszerek ...............................................................................138 3.2. Kockázatkezelés ......................................................................................................138 4. EGYESÜLT KIRÁLYSÁG............................................................................................144 4.1. Vezetıi információs rendszerek ...............................................................................144 4.2. Kockázatkezelés ......................................................................................................144 4.3. Egyéb javasolt olvasmányok ....................................................................................145




A) A MODUL MEGHATÁROZÁSA A modul leírása A modul két részbıl áll: egy információs rendszerekrıl és egy kockázatkezelésrıl szóló részbıl. Az információs rendszerrıl szóló rész célja, hogy a kis- és középvállalkozások információs rendszereinek kezeléséhez szükséges készségeket megadja. A kockázatkezelésrıl szóló rész a kkv-k kockázatkezelési elveinek és eszközeinek elsajátításához szükséges készségek biztosítását célozza.

A modul céljai Vezetıi információs rendszerek Hogyan kezeljük az információs rendszereket a kkv-kban Hogyan vegyünk részt egy információs rendszerrıl szóló projektben Hogyan alkalmazzunk biztonsági szabályokat kkv-k számára Kockázatkezelés Hogy alkalmazzunk kockázatkezelési elveket és eszközöket Hogy tőzzünk ki célokat, és mi a kockázatviselési hajlandóság, illetve a kockázati tolerancia Hogy végezzük a kockázatfelmérést, és hogy határozzuk meg a kockázatra adott választ Hogy ágyazódik be a belsı audit a kockázatkezelésbe Hogy értékeljük a kockázati hatékonyságot és a kontroll rendszereket

Elıfeltételek Vezetıi információs rendszer Jól használható a személyi számítógép, az Internet és az irodai alkalmazások szakmai környezetében Táblázatkezelı, adatbázis kezelı és Internet vezetıi célokra A táblázatkezelés koncepciója és gyakorlati használata pénzügyi és kontroll költségvetés készítés céljaira Kockázatkezelés Stratégiai irányítás. Pénzügyi irányítás. Szervezés és vezetés. Folyamatfelmérés.




Munkamódszer A modul minden fejezetéhez kifejtjük a fıbb elveket számos példa kíséretében, és elektronikus linkeket is adunk, ahol az elvek a valós életbe ágyazva is megtekinthetık. Ezután ellenırzı kérdések és gyakorlatok következnek, hogy az eszközök gyakorlati alkalmazását is elısegítsük.

Értékelés Az értékelés két részbıl áll: egy kvíz, melynek célja az elmondott elvek tudásának értékelése és egy esettanulmány.

A modul szerkezete Vezetıi információs rendszer (2 kredit) 1. Fejezet: az információs rendszer felépítése és irányítása a kkv számára Pedagógiai célkitőzések: Tökéletes ismeretek az információs rendszer fogalmáról Hogy kell felépíteni egy információs rendszert egy kkv-ban Hogy kell egy információs rendszer funkcióinak kiszervezését kezelni Hogy kezeljük a kkv szolgáltatóját Szerkezet: Bevezetés Az információs rendszer (IR) meghatározásai és fıbb kérdései a kkv számára Információkezelés és információs rendszer Fıbb kérdések a kkv-k szempontjából Az IR funkcióinak megszervezése a cégen belül Az IR funkcióinak költségvetése és költségei Hogy kezelendı az IR kiszervezése Az IR szolgáltató meghatározása IR tevékenységek és kiszervezésük Hogy tartsuk kézben a szolgáltatót Az IR irányítás a kkv-ban: szabályok és eszközök 2. Fejezet: Az IR alkalmazása a kkv-kban Pedagógiai célkitőzések: Megfelelı ismeretek megszerzése a fı IR alkalmazással kapcsolatban Minden alkalmazás esetében a fı sikertényezık megismerése Minden alkalmazás esetében a fı termékek és azok gyártóinak ismerete Az alkalmazás használatának megtanítása nem a jelen fejezet célja Szerkezet: Bevezetés Az IR mőszaki infrastrukúrája a kkv-n belül Az infrastruktúra mőszaki tényezıi 6 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A szoftver alkalmazás térképe Hogy válasszunk nyílt és tulajdonosi rendszerek között? Hogy válasszunk a kész szoftver és a testreszabott fejlesztés között? Az IR alkalmazása döntéshozatalra Felsıvezetıi információs rendszer (EIS) Szakértıi rendszer Tudás menedzsment Üzleti hírszerzés Adatelemzés és adatbányászat Az IR alkalmazás két fı funkciója Ügyfélkapcsolat kezelés (CRM) E-business és a honlap Beszállítói útvonalkezelés (SCM) Az IR alkalmazás integrációs célra A vállalaton belül: Vállalati Erıforrástervezés (ERP) A vállalaton kívül: Elektronikus adatcsere (EDI) Az E-business piaca 3. Fejezet Projektvezetés Pedagógiai célkitőzések: Hogy irányítsuk egy információs rendszer megvalósítási projektjét Hogy alkalmazzunk projektvezetési eszközöket A kockázatelemzés a Kockázat kezelés c. részben található Szerkezet: Bevezetés A projektvezetés fı fogalmainak meghatározása Hogy készítsünk elı egy projektet A projekt céljainak meghatározása: Miért és hol van tennivaló? A megoldás típusának meghatározása: a tevékenység módjának meghatározása Az emberi és technikai erıerıforrások meghatározása: kivel és mivel dolgozunk? Hogy építjük fel a projektet? Hogy menedzseljük a projektet? A projekt iránya A projektvezetése Tervezés (Pert és Gantt) Költségek kézbentartása Változás-kezelés és az emberi tényezık Hogy üzemeljük be, és hogy használjuk a projekt eredményét 4. Fejezet: az IR biztonsága és kontrolle Pedagógiai célkitőzések: Hogy alkalmazzuk a biztonsági szabályokat és eszközöket a kkv-ban Hol találunk információt és tanácsot a biztonsággal kapcsolatban Szerkezet: Bevezetés 7 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A biztonság szabályai: vonatkoztatási területek, szigorú szabály, irányelv és szervezés alapú biztonság A biztonság emberi tényezıi Belsı és külsı támadások A számítástechnikai biztonság jogi szabályozása Adatbiztonság és szoftver A tevékenység újraindítása és fenntartása A COBIT használatat a kkv-ban Az ITIL használata a kkv-kban

Kockázatkezelés (2 kredit) 1. Fejezet: A kockázatkezelési ismeretek célja A kockázatviselési hajlandóság és a stratégia összhangja – a vezetés megfontolja a szervezet kockázatviselési hajlandóságát stratégiai alternatívák értékelése során, kitőzi a vonatkozó célokat és mechanizmusokat alakít ki a kapcsolódó kockázatok kezelésére. A kockázatkezelési döntések javítása – A vállalati kockázatkezelés adja a szigort az alternatív kockázatkezelési döntések közötti választáshoz: kockázat elkerülés, csökkentés, megosztás és elfogadás. Mőködési költségekkel kapcsolatos kellemetlen meglepetések és veszteségek csökkentése – a szervezetek egyre jobb képességet alakítanak ki a várható események meghatározásához és válaszlépéseik megtervezéséhez, csökkentve ezáltal a meglepetést és az azzal járó költségeket vagy veszteségeket. Többszörös és vállalatközi kockázatok meghatározása – minden vállalat rengeteg kockázattal szembesül, melyek a szervezet különféle részeit érintik. A vállalat kockázatkezelési funkciója hathatós válaszlépést tesz lehetıvé egymással összefüggı behatások esetén és integrált válaszokat ad többszörös kockázatokra. A lehetıségek megragadása – a lehetséges események egész sorának megfontolása során a vezetıség meghatározza és proaktív módon megvalósítja a lehetıségeket. A tıke mőködtetésének javítása –a kockázattal kapcsolatos bıséges információ lehetıvé teszi a vezetıség számára az átfogó tıkeigény hatékony felmérését és a tıke allokáció javítását. 2. Fejezet: A Kockázatkezelés alapelvei Egy folyamat, mely szüntelenül áramlik egy szervezet egységein át A szervezet minden szintjének munkatársai kapcsolatba kerülnek vele A stratégiatervezésben jut szerephez A teljes vállalkozásban megjelenik, minden szinten és szervezeti egységben, és szervezet szintő kockázat-szemléletet jelent Lehetséges események bekövetkeztének megjóslásában segíthet, melyek, ha csakugyan bekövetkeznek, hatással vannak a szervezetre, de a „kockázatviselési hajlandóságon” belüli kezelésnek is hatékony eszközei Ésszerő mérvő biztonságot nyújthatnak egy szervezet igazgatóságának A célok elérését tőzi ki célul egy vagy több különálló, de egymással átfedı területen




3. Fejezet: a szervezet egymáshoz kapcsolódó céljai Stratégiai – magas szintő célok, melyek céljaival összhangban állnak és azt támogatják Mőködés – az erıforrások eredményes és hatékony kihasználása Jelentés – a jelentések megbízhatósága Megfelelés – a hatályos törvényeknek és szabályoknak való megfelelés 4. Fejezet: a kockázatkezelés alkotóelemei: Belsı környezet Célmeghatározás Esemény meghatározás Kockázatfelmérés Kocekázat Ellenırzı tevékenységek Tájékoztatás és kommunikáció Monitoring 5. Fejezet: A kockázatkezelési képesség felmérése A COSO keret használata referencia célra A szervezet céljainak és képességeinek összehasonlítása Biztosítási feladatok Konzultációs feladatok Ajánlott irodalom Franciául: Encyclopédie des Systèmes d’Information, Editions Vuibert coordonné par J. AKOKA et I. Commyn Wattiau, 2007 Marciniak et Rowe (2005) Systèmes d'Information, Dynamique et Organisation, Economica, 2005, seconde édition Quinio et lecoeur (2003)« Projet de Système d'information : Une démarche et des outils pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003). « Manuel de gestion d’entreprise », trois chapitres sur les Systèmes d’Information, ouvrage collectif coordonné par l’AUPELF (2004). « Contrôle et confiance dans la relation avec les prestataires de services informatiques : les trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006 Angolul: Laudon • Laudon (2006) Management Information Systems (Vezetıi információs rendszerek) 9/e, Pearson prentice hall Érdekes web site-ok Vezetıi információs rendszerinformációs rendszer • «projektvezetési intézet» website 9 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• • •

«nemzetközi projektvezetési szövetség» website A «clusif » honlap «Információs rendszerbiztonsági szövetség» website

Kockázatkezelés • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_french.pdf • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf • http://www.coso.org/documents/COSO_ERM.ppt




B) INDIKATÍV TARTALOM I. VEZETİI INFORMÁCIÓS RENDSZEREK 1. FEJEZET: AZ INFORMÁCIÓS RENDSZER MEGSZERVEZÉSE ÉS VEZETÉSE KKV-K SZÁMÁRA 1.1. Bevezetés Az információ a XX. század végére a természeti tényezık, az emberi erıforrások és a tıkejavak mellett önálló erıforrássá vált. Az információ elıállítását, feldolgozását, elosztását és hasznosítását biztosító információs rendszerek használata napjainkban már nem csak a nagy vállalatok számára, hanem a kis – és közepes vállalkozások (kkv-k) mőködéséhez is elengedhetetlen. Az információs rendszer (IR) – mint minden rendszer – egymással kölcsönhatásban lévı elemek halmaza, amely a közös cél elérése érdekében tevékenykedik. Az IR elemei a mőszaki komponensek (IT – Information Technology), a szervezet, és a felhasználók (ld. 1.2.1.) Az IR célja a mindennapi mőködés, és a szervezetek vezetési funkcióinak támogatása, automatizálása. Az IR az egyéb rendszerekhez hasonlóan: • a bemeneteibıl (input) • megfelelı eljárások elvégzése után • kimenetet (output) állít elı.

1.2. Az információs rendszerek fı kérdéseinek meghatározása a kkv-k számára 1.2.1. Információ és információs rendszer Az információ olyan új ismeret, amely azt adott rendszer számára hasznosítható, mőködését befolyásolja. Az adat egy jelsorozat, amely valamilyen formában rögzítésre kerül. Lehet szöveg, hang, kép stb. Az adat tehát rögzített információ, az információ pedig az adat jelentése. Az információ kódolásával kapjuk az adatot, az adat dekódolásával az információt. Az adat objektív, az adat által hordozott információ viszont szubjektív. Az adat információ tartalma függ magától az • adattól, • a dekódoló személyétıl (pl. az adott nyelv ismerete nélkül az idegen nyelven írt szövegnek nincs információ tartalma), • az adat környezetétıl (pl a „fog” szó mint adat mást jelent nyelvtan órán, és mást a fogászaton). 11 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A fentiek alapján az információs rendszerekben adatokat rögzítünk, adatokat tárolunk, adatokat dolgozunk fel, és adatokat továbbítunk, de a döntéseket az adatok által hordozott információk alapján hozzuk meg. Az IR összetevıi: • A hardver a fizikai eszközök összessége. A hardverhez tartoznak a számítógép részei (központi egység és a perifériák) és a hálózati kommunikációt, az erıforrások megosztását biztosító eszközök. • A szoftver a hardver mőködését biztosító programok, illetve tágabban értelmezve a rendszer által kezelt adatok, adatbázisok is. • Az emberi erıforrások: az IR elıállításával, fejlesztésével, az IR üzemeltetésével, valamint az IR szolgáltatásainak felhasználásával foglalkozó személyek. • Az eljárások, amelyek az IR használatát, szervezését írják le. 1.2.2. Kulcsfontosságú témák, melyeket az információs rendszer vet fel a vállalkozás számára Az információs rendszereknek a vállalkozásoknál folyó tevékenységeket kell támogatniuk. Ez két fı területen jelenik meg: • a termelés kiszolgálásában és a vállalkozás adminisztrációs tevékenységének (pl. könyvelés) támogatásában, • a döntéshozatal támogatásában. Ezen területeken belül a tevékenységek a vezetés különbözı szintjeihez köthetık, mint a rövid távú operatív vezetéshez, a középtávú taktikai szinthez, és a jövıre vonatkozó, hosszú távú döntéseket meghozó stratégiai vezetéshez. Ennek megfelelıen az információs rendszerek fıbb szintjei: • Üzemeltetési szintő információs rendszerek az operatív, mindennapi tevékenységeket támogatják, a végrehajtáshoz és a vezetés alsó szintjéhez tartozik. A kezelt adatok köre az egyes részterületekre vonatkozik, de az adott terület minden részletére kiterjed. (Például Kovács melyik mőszakban dolgozzon?) • A (projekt) menedzsereket kiszolgáló információs rendszer a közép szintő vezetık adminisztrációs, ellenırzı tevékenységét támogatja. Segíti a terv és tény adatok összehasonlításán keresztül a taktikai döntések meghozatalát. Információ igénye tágabb területre vonatkozik, de kevésbé részletezett, mint az operatív szinten. (Például egy mőszakban hány embernek kell dolgoznia?) • A stratégiai szinten meghozott döntésekhez a vállalkozás egészét átfogó összevont információkat, valamint a környezetre vonatkozó információkat is szükséges kezelni. A hangsúly az adminisztrációról a döntések helyezıdik át. (Ezen szinten meghozott döntéseknek biztosítania kell a munkaerı megfelelı minıségi és mennyiségi összetételét hosszú távon.) • Szakértıi rendszerek egy-egy szakma tudásanyagát foglalja magába, ezzel segítve a szakmát mővelı fejlesztık, felhasználók munkáját. A vezetés több szintjéhez is kapcsolódhat. • Emellett napjainkban egyre nagyobb szerepet kap a vállalkozások és a környezetük (partnerek, pénzintézetek, állami szervek, …) közötti elektronikus kapcsolattartás (e12 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



kereskedelem, e-bank, e-kormányzat …), amely szintén kapcsolódhat a vezetés összes szintjéhez A szakirodalomban az információs rendszereknek a fentieken kívül számtalan egyéb csoportosítása létezik (pl. korszakok szerint). Hanyecz Lajos: A controlling rendszere, 6. fejezet: Információs rendszerek, 227-247. oldal Gábor András: Üzleti informatika, 2.3. Az IT rendszerek osztályozása és 2.4. A fıbb IT rendszerek korszakok szerint, 43 – 56. oldal

1.3. Az IR funkció megszervezése a vállalkozásoknál Az információs rendszerek menedzselése a vállalkozások számára kiemelt feladatot jelent, hiszen az informatikai infrastruktúrának jelentıs költség igénye van. Ugyanakkor az informatikai szolgáltatások a vállalkozások életében ma már nélkülözhetetlenek. A IR akár rövid idejő leállása is jelentıs veszteségeket okozhat. Nagy vállalkozások esetében az IR fejlesztésével, üzemeltetésével külön szervezeti egység foglalkozik. Ezen szervezet legfontosabb feladatai: • Az IR stratégiai tervezése, a tervek kivitelezése, amely kiterjed az információs rendszerek 1.2.1. fejezetben leírt összetevıinek tervezésére, fejlesztésére. • A kialakított IR mőszaki üzemeltetése, amely a mindennapi tevékenységet foglalja magába. (Rendszer (újra)indítása, rendszerfelügyelet, rendszer karbantartása, hibák feltárása és javítása, informatikai nyilvántartások vezetése, mentések, hozzáférési jogosultságok kezelése, …) • A IR költségeinek fedezése, a költségek felosztása az informatikai szolgáltatásokat igénybevevı szervezeti egységek között. Ugyanakkor egy kkv esetében általában egyetlen munkatárs feladata az IR mőködésének biztosítása. Az információs rendszer kialakítása ezen vállalkozásoknál piaci megoldások megvásárlását jelentheti, a saját fejlesztés szinte kizárt. Az üzemeltetés is csak akkor oldható meg saját erıbıl, ha jól képzett rendszergazdánk van. A kkv-k esetében, de sokszor nagyobb vállalkozásoknál is egyre gyakoribb megoldás az informatikai szolgáltatások kiszervezése, amellyel az 1.5. fejezetben foglalkozunk. Külsı szolgáltató igénybevétele esetén vállalkozásunk szakemberé(i)nek a feladata a kapcsolattartás a szolgáltatást nyújtó vállalkozással, illetve a szolgáltatás felügyelete, ellenırzése. Az IR mőködését biztosító szervezet mellett nem szabad megfeledkeznünk az IR szoláltatásait igénybevevı felhasználókról sem. A felhasználói tevékenységet is több csoportba oszthatjuk: • Adatrögzítés, ami sok esetben (pl. könyvelés) szakmai ismeretet is igényel, így nem bízható az IR mőködését biztosító szervezetre. • Adatfeldolgozás, kimutatások, jelentések készítése (például egy könyvelési rendszerben a fıkönyvi kivonat, a mérleg, az eredménykimutatás, …). • Az adatok felhasználása (például bevallások elkészítéséhez, döntések meghozásához). 13 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



1.4. Az IR osztály költségvetése és költségei Az elızı fejezetben megállapítottuk, hogy IR mőködtetését biztosító szervezeti egység, IR osztályról csak nagy vállalatok esetében beszélhetünk. A nagy vállalatok esetében az IR költségét a cég forgalmának 3%-a körül becsüli a szakirodalom. Az IR költségeinek mintegy 20%-a a fejlesztés, és 80% az üzemeltetés költsége. Kkv esetében az IR költsége nehezen meghatározható, hiszen nincs szervezeti egység, amihez köthetnénk. Az informatikai beruházások megtérülésének számítását tovább nehezíti, hogy egy termelési rendszerbe történı beruházással ellentétben az IR esetében nincs, vagy nehezen számszerősíthetı a beruházás hozama. Ráadásul a hozam nem is az informatika területén jelentkezik. Az alábbiakban az IR költség - haszon mérlegelésekor figyelembe veendı fontosabb összetevıket győjtöttük össze. Költség: • egyszeri költségek – a beruházáshoz kapcsolódóan: o munka környezet kialakítása, o hardver, o szoftver, o személyi jellegő költségek: a beruházásban résztvevı személyek költségei (szervezésben saját erıs megvalósítás esetén a fejlesztık, …), a betanítás költségei, • folyamatos költségek - az üzemeltetéshez kapcsolódóan: o az infrastruktúra biztosítása (internet költsége, védelem költségei, …), o az üzemelés fenntartásához szükséges anyagok költségei (karbantartás, adathordozó, papír, …), o személyi jellegő költségek (az üzemeltetık és felhasználók bére és a bér járulékai). Haszon: • mérhetı haszon – alapvetıen termeléssel, szolgáltatással kapcsolatos informatikai fejlesztéseknél jelentkezik: o bevétel növekedés: új termékek, szolgáltatások megjelenése, jobb minıségő termékek, szolgáltatások, rövidebb teljesítési idı, o költség csökkenés: termelésben jobb kihozatal (kevesebb selejt és hulladék), kevesebb élımunka felhasználása, • nem mérhetı haszon: o jobb, gyorsabb kiszolgálás, o új vevı kapcsolatok (pl. e-kerskedelem), o biztonságosabb üzemeltetés. Az informatikai beruházások TCO (Total Cost of Ownership) tervezésekor jelentıs problémát okoz az IR használati idejének meghatározása. Az életciklus hosszának meghatározásakor 14 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



figyelembe vehetjük, hogy a társasági adó törvény számítástechnikai eszközök esetében 3 éves értékcsökkenési leírást határoz meg. Az információs rendszerek költségvetése sokkal egyszerőbbé válik a következı fejezetben vizsgált kiszervezés kapcsán. A kiszervezés mértékének növekedésével az egyszeri költségek csökkennek, a folyamatos költségek pedig fix költséggé alakulnak.

1.5. Hogyan kezeljük az IR kiszervezését A kiszervezés során a vállalkozások bizonyos tevékenységeiket egy külsı szervezetre bízzák, általában azzal az elsıdleges céllal, hogy költség megtakarítást érjenek el. 1.5.1. Az IR szolgáltató leírása A TCO (Total Cost of Ownership) alacsony szinten tartása minden vállalkozásnak érdeke. Mint azt az 1.4. fejezetben megállapítottuk, az informatikai rendszerek beruházási költségeinek lefaragásában, és az üzemeltetés költségének tervezhetıségében jelenthet megoldást külsı szolgáltató igénybe vétele, az IR kiszervezése. Az informatika területén a legelterjedtebb kiszervezési megoldások: • Hosting: a hardver és annak mőködtetéséhez szükséges személyzet bérbe vétele egy külsı szolgáltatótól. • Outsourcing (erıforrás kihelyezés): vállalkozások közötti tartós kapcsolat melynek keretében a megbízó vállalkozás az informatikai rendszerének menedzselését egy másik cégre bízza. • ASP - Application Service Providing: Komplex, standardizált alkalmazás szolgáltatás igénybevételét jelenti. Az informatikai szolgáltatással kapcsolatos módszertan az ITIL (IT Infrastructure Library – IT Infrastruktúra Könyvtár) az angol kormányzat és közigazgatás területérıl elindulva vált irányadóvá világszerte. Erre a módszertanra képzés és nemzetközi vizsgáztatás épül. Magyarországon az MSZ ISO/IEC 20000 szabványt kell ebben a témában megemlítenünk. http://e-oktat.pmmf.hu/webgui/www/uploads/1368/SQI_ttekintes_KrauthPeter1.pdf

Az ITIL az informatikai szolgáltatásokat két fı csoportba osztja: • szolgáltatásbiztosítás: o szolgáltatási szint, amelyet a szolgáltatási megállapodás rögzít, o rendelkezésre állás, o folytonosság, o kapacitásmenedzsment, o pénzügyi elszámolások és • szolgáltatástámogatás: o ügyfélszolgálat a kapcsolattartást biztosítja a szolgáltató és az ügyfél között, o incidenskezelés a zavarok elhárításával a normál üzletmenetet állítja helyre, 15 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



o problémakezelés az incidensek okaival, a rendszer hibáinak feltárásával, javításával foglalkozik, o változáskezelés, o konfigurációkezelés. http://www.itsmf.hu/documents/itil1attekintes_v3.1.pdf - 6-10. oldal Részletesebben kifejtve: http://www.itsmf.hu/documents/itil2modszertan_osszefoglalo_v3.1.pdf

1.5.2. Az IR tevékenységei és azok kiszervezése A vállalkozás szinte minden IR tevékenységét kiszervezheti már a fejlesztéstıl elindulva, a rendszer üzembe helyezésén át, a rendszer üzemeltetéséig. Sıt komplex informatikai szolgáltatást vehet igénybe. A kiszervezésnek számos elınye és hátránya van. A kiszervezés néhány elınye: • a vállalkozás a fı tevékenységére koncentrálhat, az informatikai feladatokat erre szakosodott szolgáltatóra bízhatja, • a szolgáltató a „tömeggyártásnak” és szakmaiságának köszönhetıen magasabb színvonalon, kisebb fajlagos költséggel képes a szolgáltatást biztosítani, • a szolgáltatási megállapodás alapján a szolgáltatás költségei tervezhetıvé válnak, • az informatika fejlıdésének követése, a változó igényekhez való alkalmazkodás a szolgáltató feladatává válik, • a szolgáltató rendelkezhet megfelelı referenciákkal. A kiszervezés néhány hátránya: • kiszolgáltatott helyzetbe kerülhet a szolgáltatást igénybevevı, • a szolgáltató a speciális, helyi igényeket kevésbé, vagy csak hosszabb idı alatt képes kielégíteni, mint egy saját informatikai szervezet, • informatikai szolgáltatást csak hosszabb távon célszerő igénybe venni, ez viszont a kockázatot növeli, a rövidebb idıtartamra vonatkozó szolgáltatási szerzıdések viszont nem feltétlenül jelentenek költség megtakarítást. • a szolgáltató a saját megoldásait preferálhatja. A céljainknak leginkább megfelelı szoftver kiválasztása, a kiszervezendı feladatok körének meghatározása, és a megfelelı szolgáltató melletti döntés nem jelent egyszerő feladatot. 1.5.3. Hogy kezeljük a szolgáltatót A szolgáltató kezelése folyamatos kapcsolattartással valósul meg. A kapcsolattartás konkrétan azonban nem a két cég között, hanem a vállalkozások alkalmazottai között, a kapcsolattartó személyek közremőködésével valósul meg. A kapcsolattartás szabályait, a kapcsolattartásért felelıs személyeket, a különbözı bejelentések kezelésének módját célszerő a szolgáltatási szerzıdésben, vagy mellékleteiben szabályozni. A kapcsolattartásnak ki kell terjednie a 16 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



szolgáltatás teljesítésének minıségi és mennyiségi ellenırzésére, illetve pénzügyi teljesítés folyamatos egyeztetésére is. Az 1.5.1 fejezetben már találkoztunk az ügyfélszolgálattal, mint a szolgáltatásbiztosítás egyik területével. Az ügyfélszolgálatnak egyik fontos fóruma a szolgáltató és a szolgáltatást igénybe vevı vállalkozás közötti kapcsolattartásnak, például egy internet szolgáltató esetében. Ebben az esetben az ügyfélszolgálat mőködtetése teljes egészében a szolgáltató feladata. De az ügyfélszolgálat a szolgáltatást igénybe vevı vállalkozás, és annak ügyfelei közötti kapcsolattartásnak is lehet az eszköze, amennyiben a szolgáltatás keretében errıl állapodunk meg. Ebben az esetben az ügyfélszolgálat technikai hátterét általában a szolgáltató biztosítja, de az ügyfélszolgálatot biztosító munkaerı többnyire a szolgáltatást igénybevevı vállalkozás alkalmazásában áll. Az informatikai szolgáltatót, illetve az általa nyújtott szolgáltatást egyre inkább kezelhetjük úgy is, mint egy közmőszolgáltatót. Ld.: http://www.nhit-it3.hu/images/stories/tag_and_publish/Files/it3-9-1-1-2.pdf 10.fejezet Közmőszerő IT szolgáltatás, 85 - 93.oldal 1.5.4. A szolgáltatók kezelésének ciklusa Szolgáltató igénybevétele esetén a tevékenység az alábbi szakaszokra osztható: • A megfelelı szolgáltató kiválasztása, sok utánjárást, ellenırzést jelent. A bizalom az egyik legfontosabb tényezı, de emellett jó néhány kérdést feltehetünk a választás elıtt: o milyen a szolgáltató szakmai hozzáértése, szakember gárdája, o milyen a szolgáltató anyagi háttere és ezzel összefüggıen a technikai kapacitása, o a szolgáltató ki tudja-e teljes körően elégíteni az igényeinket a tervezéstıl a mőködtetésig, o a nyújtott szolgáltatás korszerősége megfelelı-e, o a szolgáltatás biztonsága nagyon fontos kérdés, o természetesen a szolgáltatás költsége is jelentıs tényezı, o hol és milyen eredményeket felmutató referenciái vannak a szolgáltatónak. A szolgáltató kiválasztását jelentısen könnyebbé teheti, ha a szolgáltatónak van széles körben elfogadott tanúsítványa, melyet a tanúsítvány kibocsátója folyamatosan kontrollál (pl. MSZ ISO/IEC 20000 szabványnak megfelelı). •

A szolgáltató kiválasztása után mindkét fél elvárásait a lehetı legszélesebb területre vonatkozóan szerzıdésben kell rögzíteni. Szerzıdéskötéskor - többek között - ki kell térni a kockázati elemekre, a felelısségi körök meghatározására. A szabványok és ajánlások itt is nagy segítségünkre lehetnek.

•

A szolgáltatás beindítása sok esetben igényelhet egyedei fejlesztést. De elképzelhetı az is, hogy egy másik ügyfél által már használt szolgáltatás testre szabásával, igényeinkhez igazításával beindítható a szolgáltatás.




•

A szolgáltatás mőködtetése, használata során derül ki, hogy a szolgáltató kiválasztásakor, a szerzıdés megkötésekor kellıen körültekintıek voltunk-e. Ha igen, akkor várhatóan hosszú távú, mindkét fél számára megelégedessél szolgáló kapcsolatra számíthatunk.

http://www.itsmf.hu/documents/itil3elokeszitesaz_otlettol_a_szerzodesig_v3.1.pdf http://www.itsmf.hu/documents/itil5fejlesztes_es_felulvizsgalat_v3.1.pdf

1.6. Irányítás a kkv-kban: szabályok és eszközök Az informatika és az irányítás kapcsolata kettıs. Egyrészt beszélhetünk az informatika szerepérıl a vállalkozás irányításában, másrészt az informatikai területek irányítását is vizsgálhatjuk. Informatika a vállalkozások irányításában Az IR részvétele a mindennapi munka hatékony irányításában, a stratégiai döntések elıkészítésében, a döntések meghozatalában, a projektek megvalósításában létszükséglet. Az adatok óriási tömege, bonyolultsága és az adatok változásának felgyorsulása miatt IR-t nem használó vállalkozások a gazdasági versenyben biztosan alul maradnak. A vállalat tevékenysége és a tevékenységét kiszolgáló IR stratégiai összhangja elengedhetetlen. Az informatikai területek irányítása a vállalkozásoknál többnyire a gazdasági vezetés alá rendelten történik. Az IR irányítását két szakaszra bonthatjuk: • Az IR kialakításának, az IR beruházásoknak az irányítása, amellyel modulunk Projektvezetés fejezete (ld. 3. fejezet) foglalkozik részletesen. • Az IR üzemeltetésének, használatának irányítása a mindennapi mőködést, az IR céljának beteljesülését biztosítja. Mivel az informatikai rendszereket a vállalkozások szinte minden szervezeti egysége használja, ezért különösen fontos a megfelelı szabályzatok kialakítása. Az alábbiakban felsorolunk néhány fontosabb szabályzatot, amely az IR hatékony mőködését biztosítja: o a jogosultságok szabályozása, o karbantartás szabályozása, o mentések, archiválások rendje, o hibabejelentések, hibaelhárítás rendje, o bizonylati rend, … Külön érdemes megemlíteni az IR biztonságát szabályozó elıírások rendszerét, amellyel az IR biztonsága és kontrollja (ld. 4. fejezet) cím alatt foglakozunk. Az IR irányításának mindkét szakaszában fontos a korábban említett költségvetés elkészítése, és a költségek folyamatos kontrollja. Ez különösen fontos a nagy vállalatoknál, ahol az informatikai szervezet költségeit az IR-t használó szervezetei egységekre osztják fel.




Ajánlott irodalom az 1. Fejezethez • •

Gábor András és munkatársai: Üzleti informatika (Aula, Budapest, 2007) Homonnay Gábor: Alkalmazási rendszerek (Mőszaki Könyvkiadó, Budapest, 2003)

http://www.itsmf.hu/documents/itil0tanulmany_vezetoi_osszefoglalo_v3.1.pdf http://www.itsmf.hu/documents/itil1attekintes_v3.1.pdf http://www.itsmf.hu/documents/itil2modszertan_osszefoglalo_v3.1.pdf http://www.itsmf.hu/documents/itil3elokeszitesaz_otlettol_a_szerzodesig_v3.1.pdf http://www.itsmf.hu/documents/itil4esettanulmanyok_v3.11.pdf http://www.itsmf.hu/documents/itil5fejlesztes_es felulvizsgalat_v3.11.pdf http://www.nhit-it3.hu/images/stories/tag_and_publish/Files/it3-9-1-1-2.pdf 10. fejezet Közmőszerő IT szolgáltatás http://e-oktat.pmmf.hu/webgui/www/uploads/1368/SQI_ttekintes_KrauthPeter1.pdf

1.7. Ellenırzı feladatok 1. Igaz-hamis Az adat dekódolt információ. Hamis Az információ szubjektív, az adat objektív. Igaz Az adat rögzített információ. Igaz Az adat információ tartalma csak magától az adattól függ. Hamis 2. Igaz-hamis A leginkább részletekbe menı információs igénye a taktikai vezetésnek van. Hamis A stratégiai vezetés az egész vállalkozásra, sıt a vállalkozás környezetére Igaz vonatkozóan is igényel informácikat. Az operatív vezetés csupán összevont, átfogó információkat igényel. Hamis Az elektronikus kapcsolattartást csak a stratégiai szinten dolgozó vezetık Hamis használják. 3. Igaz-hamis Az IR költségei között az üzemeltetés költsége elhanyagolható a fejlesztési Hamis költségei mellett. Az IR üzemeltetésének csak személyi jellegő költségei vannak. Hamis Az IR hozama nem csak az informatikáért felelıs szervezetnél jelenik meg. Igaz Egy új IR nem mérhetı haszna lehet a biztonságosabb üzemmenet. Igaz 4. Mi jelent elınyt egy informatikai szolgáltatás igénybevétele esetén: • a szolgáltató magasabb informatikai felkészültsége, • magasabb beruházási költség mellett elenyészı üzemeltetési költség, • a rendszer fejlesztését a szolgáltatóra bízhatjuk, • speciális igényeink kielégítésére azonnal kulcsrakész megoldásokat kapunk. 19 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



5. Egy informatikai szolgáltató kiválasztásánál lényeges szempont: • A szolgáltató szerverének földrajzi elhelyezkedése. • A szolgáltató rendelkezik informatikai tanúsítvánnyal. • A szolgáltató anyagi helyzete stabil. • A szolgáltató mióta van jelen a piacon? 6. Igaz-hamis Az IR üzemeltetésének fontos eleme a mentések szabályozása. Igaz Az IR használatával összefüggı szabályzatok csak az informatikai osztályra Hamis tartoznak Az IR stratégiai jelentısége miatt csak a nagy vállalatok esetében szorul Hamis felügyeletre. Kkv esetén az IR osztály irányítását a gazdasági vezetı látja el. Hamis




2. FEJEZET: AZ IR ALKALMAZÁSA A KKV-KBAN 2.1. Bevezetés Globalizálódó világunkban általános tendencia, hogy a vállalatok igyekeznek üzleti területeik és folyamataik információs rendszerekkel való támogatására. Ennek fı indítéka egyrészt a múltbéli tapasztalatok könnyebb áttekinthetısége és elemezhetısége, másrészt a jövıbeni tervek és döntések biztos megalapozása. Az információs rendszerek bevezetése általában jelentıs pénzügyi terhet ró a vállalkozásokra, különösen a kis- és középvállalkozásokra, ugyanakkor kevésbé bizonyított, hogy az ilyen jellegő beruházás mérhetı elınyökkel jár a hatékonyabb mőködés következtében. Az IR-ek bevezetése a KKV-k számára tehát mindig nagyobb kockázatot jelent, ezért célszerő minden esetben alaposan megvizsgálni, hogy milyen feltételek mellett számíthat egy adott vállalkozás arra, hogy egy adott rendszer bevezetése pozitív változásokat hoz piaci helyzetében. IR-ek kiválasztásakor alapvetıen fontos annak figyelembe vétele, hogy az adott rendszer milyen mértékben illeszkedik az adott szervezethez, ugyanis a szervezeti illeszkedés és a bevezetés sikeressége között szignifikáns a kapcsolat. Érdemes azt az összefüggést is szemmel tartani, hogy ha egy rendszer adaptálási szintje alacsony, akkor a szervezeti illeszkedés fontosabb a sikeresség szempontjából, és fordítva. Ismeretes továbbá, hogy a szervezeti ellenállásnak szignifikánsan negatív hatása van a bevezetés sikerére. Hazai kutatások azt mutatják, hogy a KKV-k menedzsmentje egyformán jelentısnek ítéli a kommunikációs, valamint a magasabb vevıkiszolgálási szint elérésének lehetıségébıl fakadó elınyöket. Fontos szempont továbbá a hatékonyabb munkavégzés, és általában a hatékonyság növekedésébıl fakadó költségcsökkenés. Fentieknél kisebb jelentıséggel bír az ekereskedelembe való bekapcsolódás lehetısége. Az IR-ek KKV-kban való alkalmazása ugyanakkor általában nem, vagy csak kis mértékben javítja a vállalkozások versenyhelyzetét a nagyobb cégekkel szemben. A KKV-k általában rugalmasabbak, mint nagyobb társaik. A gyors alkalmazkodás számukra a siker egyik legfontosabb záloga. Ugyanakkor ritkán rendelkeznek írott stratégiával, fıképp információs stratégiával. Nyilvánvaló, hogy az IR-ek alkalmazása pozitív hatással bír a vállalati folyamatokra és a versenyhelyzetre, de a stratégiák képlékenysége, vagy hiánya miatt ez a hatás viszonylag nehezen mérhetı, számszerősíthetı. A KKV-k gyors adaptációs képessége azért fontos jellemzı, mert azoké a vállalatoké a jövı, amelyek képesek a változásra, megújulásra, a szervezeti rendszerük és folyamataik újrastrukturálására. E rugalmasságnak a kulcsa pedig épp az informatika. Az operatív és stratégiai tevékenységet integráló információs rendszer képes olyan információt biztosítani, amely erıforrásnak tekinthetı ahhoz, hogy a vállalkozás hatékonyabban vegyen részt a piaci versenyben. Fontos azt is megjegyezni, hogy nem minden KKV-nak van szüksége informatikai beruházásokra a rugalmasság biztosítása érdekében. A munkatársak hozzáállása, a szervezeti felépítés, a vezetıi attitőd sokszor jóval meghatározóbb, mint az IR. A rugalmas információtechnológia általában versenyelıny forrása. Információs technológián értve itt azt a stabil alapot, melyre a vállalat teljes belsı kommunikációja épül. Ez magában 21 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



foglalja a telekommunikációt, a hardver és szoftver parkot, a tárolt adatokat, amelyek egyetlen rendszerbe integrálva biztosítják az információáramlást és –feldolgozást. Mindez versenyelınyt akkor jelenthet, ha hozzájárul a vállalat rugalmas mőködéséhez, azaz minden más számítástechnikai normával kompatibilis és támogatja a cég legkülönbözıbb tevékenységeit, hogy a szervezet könnyen kontrollálhassa tevékenységét. Ez a képesség segíti a szervezetet abban, hogy gyorsan és hatékonyan igazodjon a piac változásaihoz és gyorsan reagáljon a konkurencia stratégiai lépéseire is. Magyarországon a KKV-k IR-ekkel való ellátottsága még ma is viszonylag csekély mértékő. A nagy ügyfélkörrel rendelkezı szervezetek hamarabb kényszerülnek IR-ek bevezetésére. A kisebb ügyfélkörrel bíró KKV-k elsısorban a vezetıi információk elérését tekintik az IR-ek bevezetésének elsıdleges céljaként. Minél nagyobb egy cég ügyfélköre, annál jellemzıbb, hogy az IR bevezetésének elsıdleges célja az operatív mőködés támogatása. A menedzsment ilyen esetben elsısorban vevıkiszolgálási elınyöket vár. További fontos aspektusok: - Nagyobb mérető KKV-k számára nagyobb megrázkódtatással jár egy IR bevezetése, ezért több hátrányt érzékelnek a bevezetés során. - Rugalmasabb vállalkozások számára több elınnyel jár az IR bevezetése. - Minél több célja van egy IR bevezetésével egy KKV-nak, általában annál magasabb funkcionalitású rendszert vezet be, ami arányosan növeli piaci helyzetének javulását is. - Említésre méltó az a tendencia is, mely szerint gyakran áll a KKV-k beruházásainak hátterében pusztán a rejtett informatikai versenynek való megfelelési kényszer. Forrás és bıvebb információ: Herdon Miklós, Rózsa Tüne: Az információs rendszerek funkcionális változásai a kis és középvállalkozások szemszögébıl, http://odin.agr.unideb.hu/magisz/rendezveny/Eagrarium2004/konferencia/Publikacio/A21_doc.pdf Fodor Zita: Logisztikai információs rendszerek alkalmazásának hatása a KKV-k versenyképességére, http://phd.okm.gov.hu/disszertaciok/tezisek/2006/tz_eredeti3330.pdf

2.2. Az információs rendszer mőszaki infrastruktúrája a kkv-kban 2.2.1. Az infrastruktúra mőszaki aspektusa Egy információs rendszer mőszaki infrastruktúráját jelenti az alkalmazott harvder és szoftver eszközök összessége, valamint az ezek mőködési és mőködtetési rendjét meghatározó szabályzatok és házirendek. Egy informatikai rendszer mőszaki megvalósítása mindig a vállalkozás céljaihoz igazodik, és alapvetı beruházásnak tekinthetı. Fontos jellemzıi: • a rendszer bıvíthetısége, • a modularitás, 22 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• az eszközök kompatibilitása • a célokhoz mőszaki paramétereiben és költségek tekintetében optimalizált hardver konfigurációk és szoftverek, • a célokhoz optimalizált mértékő biztonsági szint megvalósítása hardver és szoftver szinten egyaránt. Az információs rendszer mőszaki infrastruktúráját képezik: • Az eszközöket befogadó épületek, irodák, helyiségek. • A vállalaton belüli teljes körő kommunikációs hálózat (elektromos hálózat, telefonhálózat és -központ, számítógépes hálózat) • Az ezekhez kapcsolódó fı és kisegítı eszközök (serverek, munkaállomások, hálózatvezérlı eszközök, nyomtatók, másolók, faxok, szkenerek, stb.) • Fizikai védelmi eszközök (riasztók, beléptetı rendszerek, stb.) Az infrastruktúra egy sematikus modellje KKV esetén:

Forrás: http://www.microsoft.com/hun/kozepvallalat/infrastruktura/ Az IR technológiai követelményei • Minimalitás: mindent csak egyszer. Az IR terve legyen minimális, azaz minden tényt, döntést, definíciót a terv redundancia-mentesen, csak egyszer tartalmazzon. • Mindent a maga helyén: A rendszerterv ne kapcsoljon össze egymástól független szempontok szerinti döntéseket, az egymástól függetlenül mőködı rendszerkomponensek leírásai ne keveredjenek egymással. • Automatizálás - a terv és a megvalósítás kényszerkapcsolata. A terv absztrakciós szintjei közötti átmenetek tevékenységeibıl, a papíralapú dokumentáció elıállításából, amit lehet, automatizálni kell. • Eszközfüggetlenség: a rendszer különbözı technikai környezetben képes mőködni, ill. az új környezetbe való felkészítése valamely jól körülhatárolható komponensének cseréjére korlátozódik. • Hordozhatóság: rendszer változatos környezetben képes mőködni. (többen is); technológiai környezetek közötti hordozhatóság = Eszköz függetlenég • Nyitottság: a nyitott rendszer párhuzamosan több szabványt is támogat.




Az IR hatékonysági és gazdaságossági kritériumai Mivel az IR tartósan valósághő képe az alkalmazási területnek és hasznos információkat szolgáltat, az is fontos, hogy ezt megbízhatóan, megfelelı hatékonysággal és gazdaságosan tegye. • Megfelelı teljesítmény és kapacitás: HWnek alkalmasnak kell lennie a ténylegesen elıforduló adatvolumenek kezelésére és meghatározott számú felhasználó egyidejő kiszolgálására elfogadható válaszidıvel. • Méretezhetıség: Különbözı mérető szervezethez való illeszthetı, és változatos terhelés mellett is teljesíthetı legyen. • Üzembiztonság: A hardvernek alkalmasnak kell lennie meghibásodás nélküli huzamos üzemelésre, rendelkezésre állásra és meghibásodás, adatvesztés esetén az eredeti állapot elfogadható idın belüli helyreállítására. • Megbízhatóság: Tartalmi szempontból az adatok alkalmazhatósága. Technikai szempontból: A hardvernek alkalmasnak kell lennie az adatok illetéktelen elérés és felhasználás, véletlen torzulás vagy szándékos rongálás elleni védelmére; csalás vagy más illetéktelen felhasználás megelızésére. • Felhasználóbarát környezet: Legyen alkalmas a kommunikáció, az adatbevitel, a riportok felhasználóbarát módon való lebonyolítására. • Gazdaságosság: Az eredményes fejlesztés, a színvonalas szolgáltatás, a megfelelı szintő teljesítés, az üzem- és adatbiztonság költséges erıforrásokat feltételeznek. Ára van az aktuális adatok idıben való rendelkezésre állásának, felhasználói igények idın belüli kiszolgálásának is. Fıbb költségek: fejlesztési, üzemeltetési, rezsi, felhasználói (képzés, adatelıkészítés). Ezek optimális szinten tartása szintén fontos kritérium. 2.2.2. A szoftver alkalmazás térképe Egy vállalat különbözı ügyviteli területeinek, üzleti folyamatainak számítógépes alkalmazásokkal való támogatása ma már a kisvállalkozások esetében is elképzelhetetlen. A különbözı ügyviteli területek ad-hoc jellegő, összehangolatlan szoftverellátása hosszú távon lehetetleníti el a hatékony belsı és külsı információcserét. Amennyiben a lehetıség adott rá, célszerő az egymással logikai és információs kapcsolatban álló üzleti területek és folyamatok támogatására azonos gyártó (vagy fejlesztı), moduláris felépítéső és kapcsolódású, hálózatos rendszerét választani. Ez a megoldás viszonylag kevés modul esetén is gazdaságosabb, hatékonyabb, az adatforgalmazás szempontjából egyértelmően ésszerőbb megoldás. Ebben az esetben egy (vagy több) vállalati kiszolgáló gép tárolja egy jól szervezett adatbázisban, vagy adattárházban a vállalatnál keletkezı, a kapcsolódó modulok által használt és kezelt valamennyi adatot. E tárházból minden ügyviteli terület csak a saját igényeinek megfelelı adatmennyiséget „látja” és kezeli. Megfelelı házirend és jogosultsági hierarchia kialakítása természetesen mindenképp szükséges. A jól szervezett központi adatbázisra csatlakozik rá tulajdonképpen az összes gazdálkodási folyamat, egy integrált vállalatirányítási rendszerré összeállva. A fenti koncepció nyilvánvalóan a hardver és szoftver eszközök szoros összhangját is jelenti. Megfelelı stratégia, ha az alkalmazni kívánt szoftveres megoldásokhoz választjuk meg az optimális hardver infrastruktúrát, nem pedig fordítva. 24 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Az alábbi ábra egy tipikus integrált vállalati rendszer sematikus modellje:

Forrás: http://www.megast.hu

2.2.3. Hogyan válasszunk nyílt rendszerek és az egyedi fejlesztésőek között? Alapvetıen eldöntendı kérdés, hogy „dobozos” (gyári) szoftvert választunk, vagy egyedi fejlesztéső rendszert alkalmazunk. Noha az egyedi fejlesztéső szoftverek többnyire költségtakarékosabb beruházások, ugyanakkor a fokozatos bevezetés és a tesztelési idıszak általában jóval több idıt és költséget felemészt, mint dobozos társaik esetén. Az egyéni fejlesztéső szoftverek esetén általában az „utógondozás” és támogatás kockázata is magasabb. A „gyári” megoldások esetén még mindig több lehetıség mellett dönthetünk általában: - Az önállóan telepíthetı és mőködtethetı szoftverek mellett gyakran találkozunk - A szoftver bérlet / lízing különbözı megoldásaival. Ebben az esetben általában a rendszer folyamatos támogatása is része a bérletnek, csökkentve a mőködési kockázatviselés terhét a felhasználói oldalon. Másik alapkérdés gyári szoftver alkalmazása esetén, hogy zárt vagy nyílt rendszer mellett döntsünk. 25 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A szoftver kiválasztását befolyásoló fıbb tényezık: - A szoftver elterjedtsége: minél több cég használja az adott rendszert, annál kisebb a választás kockázata. Egy jól ismert rendszer nem csupán a szállító által a rendszerbe integrált tapasztalati tıkéje révén jelent elınyt. Egy jó nevő gyártó szoftverének alkalmazása a cég ügyfélkörében is növelik a cég iránti bizalmat. - A szoftvert szállító cég háttere, múltja referenciái, s hogy milyen rendszertámogatást tud nyújtani a választott szoftverhez. - A rendszer testreszabhatósága, paraméterezhetısége. - A rendszer képességei, kompatibilitása, továbbfejleszthetısége. A jó választás ismérve a várható költségek és a várható kockázatok optimális arányának megválasztása. A szerzıi jogilag védett, zárt forráskódú, kereskedelmi, védjegyoltalom alá esı licencekkel szemben a „szabad licenc” a szoftver szabad felhasználhatóságát garantáló licencszerzıdési forma. Ennek megfelelıen „szabad szoftver” az, amit bárki, bárhol jelentıs korlátozások nélkül: - futtathat; - tanulmányozhatja mőködését, - másolhat, és a másolatokat közzéteheti, terjesztheti, - módosíthat, és a módosított változatokat közzéteheti, terjesztheti Mindezen engedélyek gyakorlásának elıfeltétele a szoftver forráskódjának elérhetısége. A „szabad” nem feltétlenül jelent „ingyenest”. Ezek árusítása, továbbértékesítése megengedett. Az egyetlen feltétel, hogy a fenti négy alapjogot garantálja vevıi számra. A szabad szoftver engedélyek fı típusai: - Közkincs – A közkincsként (public domain) kiadott forráskód a legtágabb értelemben vett szabad szoftver, mivel semmiféle engedélyhez nem kötıdik a felhasználása. - Copyleft – Ez tényleges licenc, mely elıírja a licenc megırzését a módosított változatokban is, ez által garantálva, hogy a szoftver módosított változatai is szabad szoftverek maradjanak. Az OSD (Open Source Definition), vagyis a nyílt forráskódú szoftverek definíciója értelmében a nyílt forrású szoftvereknek meg kell felelniük az alábbi követelményeknek: - szabad terjeszthetıség - a forráskód elérhetısége - származtatott mővek létrehozásának engedélyezése - a szerzı forráskódja sértetlenségének biztosítása - személyek vagy csoportok megkülönböztetésének tilalma - különbözı felhasználási területek megkülönböztetésének tilalma - a licenc terjeszthetısége - a licenc nem vonatkozhat kizárólag egy termékre - a licenc nem korlátozhat más szoftvert - a licencnek technológia semlegesnek kell lennie.




Az értelmezési és szóhasználatbeli eltérések feloldására 2001-tıl használatos a FLOSS (Free/Libre/Open Source Software) kifejezés, mely a szabadságot és a nyílt forráskódot is kellıképpen hangsúlyozza a megnevezésben, rámutatva, hogy lényegi különbség nincs a szabad és a nyílt forráskódú szoftverek között. Noha a FLOSS szoftverek szervize és támogatása általában gyengébb, ugyanakkor a kód betekinthetısége miatt nagyobb bizalommal alkalmazzák ıket. Napjainkban egyre nagyobb az igény, és a kínálat is a FLOSS szoftverek piacán, s nem csak a vállalati, hanem a közigazgatási szférában is egyre nagyobb elıszeretettel alkalmaznak ilyen típusú rendszereket.

2.3. Az IR döntéstámogatási alkalmazása Ha információs rendszert tervezünk, akkor nem mindegy, hogy a vállalati hierarchia mely szintjén található az a vezetı, aki a rendszert használni fogja. A menedzserek információigénye ugyanis különbözik az egyes szinteken. A vezetıi, illetve a hozzájuk kapcsolódó döntési szinteknek az elméletét Robert N. Antony dolgozta ki az 1960-as években. Mint az az ábrán jól látható a menedzserek a vállalati hierarchia három szintjén találhatók: az alsó vezetés, vagyis az operatív, a középvezetés, azaz a taktikai, és a felsı vezetés, azaz a stratégiai döntések szintjén. Az IR célja a hagyományos felfogás szerint az Anthony-piramis kiszolgálása. A három szint feladata: • Az adatok fogadása, tárolása, kezelése és tovább-feldolgozásra való elıkészítése az operatív szinten történik. Az itt igényelt információk nagyon részletesek, mivel a napi mőködésre vonatkoznak. Legfontosabb forrásként a tranzakciós adatok (bizonylatok) szolgálnak •

A következı, ún. taktikai szinten zajlik az adatok tovább-feldolgozása és hasznosítása, valamint az adatok elıkészítése felsıvezetıi döntéshozatalra középvezetıi körben. Ez az ún. taktikai szint. Az itt szükséges információk az erıforrásokra (bérköltség, anyagköltség, stb.) vonatkoznak. Az ellenırzés abból áll, hogy a tényadatokat összevetjük a tervvel. A rendszernek el kell tudnia végezni a tervezést, mérést, összehasonlítást és ellenırizni külön-külön minden szervezeti egységre / profitcenterre.

•

Erre épül a menedzsment által használt stratégia szint, mely a gyakorlatban az IR egy moduljaként valósul meg, s mely a stratégia döntések meghozatalához igyekszik információt szolgáltatni. figyelmének középpontjában azok a döntések állnak, amikkel a szervezet hosszú távon megalapozhatja a környezetébe való megfelelı beilleszkedést (célkitőzések, a mőködés nagyságrendje). Mindehhez a vállalat belsı adottságain túl a környezet alapos és annak jövıbeli tendenciáira, veszélyeire is kiterjedı ismeret szükséges. Az IR feladata: begyőjteni a szükséges adatokat külsı és a belsı forrásokból, azért hogy a stratégiák értékelhetık legyenek; s hogy az elfogadott stratégiák végrehajtása, nyomon követése, módosítása megtörténhessen.




Stratégiai szint Terv

Döntés

Felsıvezetés

Döntés-elıkészítık

Taktikai szint Döntési adatok

Operatív szint

Mőködési adatok

Funkcionális középvezetık

Végrehajtók, Operatív vezetık

A piramis értelmezhetı a vállalat döntéshozatali sémájaként, de éppúgy az adatfeldolgozás lépcsıfokaiként is (Adat ⇒ Információ ⇒ Tudás), amint az alábbi ábra szemlélteti:

A különbözı IR-ek egymásra épülését pedig az alábbi struktúra szemlélteti, a piramis-elvnek megfelelıen:




Forrás: Herdon M.: Információs rendszerek Az egyes IR-ek jelentése: OAS: Irodaautomatizálási Rendszerek (Office Automation System) Az ábrán nincs feltüntetve, mert ezek a rendszerek a piramis minden szintjén használatosak, mintegy a többi rendszer hátterét képezve. • Szokásos irodai feladatok, szövegszerkesztés, táblázatkezelés, e-mail, telefax, képfeldolgozás, kiadványszerkesztés automatizálása • Az ügyviteli folyamatok integrálása és menedzselése TPS: Tranzakció-feldolgozó rendszerek (Transaction Processing System) Informatikai alkalmazások, amelyek a szervezetre ható külsı-belsı eseményeket és a szervezet objektumain végbemenı változásokat nyomon követik és nyilvántartják. Magja egy adatbázis. A magasabb szintő rendszerek adatbázisaként is szolgál. • Napi üzletmenettel kapcsolatos adatok győjtése és tárolása, • Napi üzleti események felügyelete (számlák, eladások, bérkifizetések, megrendelések, anyagvásárlások, stb.) MIS: Vezetıi információs rendszerek (Management Information System) Alkalmasak a tranzakció-feldolgozó rendszerek által szolgáltatott adatokból szőréssel, rendezéssel szőkíteni az adathalmazt a taktikai irányítás szintjén levı vezetık igénye szerint. Esetleg tovább feldolgozzák azokat (táblázatok, összehasonlítások.) Fıként operatív, esetleg taktikai szinten hatékony eszközök. • Elıre definiált jelentéseket készít rendszeres idıközönként, igény szerint, vagy különleges események bekövetkeztekor • A vezetık információigényére összpontosít 29 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• Jól meghatározott, strukturált problémák megoldásához nyújt segítséget DSS: Döntéstámogató rendszerek (Decision Support System) Fıleg taktikai szinten hatékony eszközök. • A MIS természetes továbbfejlesztése • Egy adott problémára koncentrál • Interaktivitást, ad hoc lekérdezéseket tesz lehetıvé • Félig, vagy egyáltalán nem strukturált problémák megoldásában segít • Modellalkotási és problémaanalizáló képességekkel rendelkezik GDSS: Csoportos döntéstámogató rendszerek (Group Decision Support System) A DSS továbbfejlesztése, amely kisebb csoport által közösen meghozott döntéseket támogat • Nagy hangsúly van a kommunikáción: e-mail, közös hozzáféréső állományok, videokonferencia lehetısége EIS: Felsıvezetıi információs rendszerek (Executive Information System) Legfelsı vezetıi réteg igényeit elégíti ki. • Összegzett, grafikus, a legfontosabb tényezıkre koncentráló információt nyújt, de lehetıséget ad a részletek megtekintésére is • Döntést nem hoz, csak az annak meghozatalához szükséges információval látja el a vezetıt. • Könnyen kezelhetı, felhasználóbarát ES: Szakértıi rendszerek (Expert System) A szakértıi rendszerek kissé kilógnak a sorból, mivel egyrészt egy másik fejlıdési irányvonalat képviselnek, másrészt a piramis minden szintjén igénybe vehetjük segítségüket. • Speciális, szők szakterületen hoz döntést, vagy javasol megoldást olyan nem strukturált problémák megoldására, melyeket különben magas szakmai felkészültségő szakértıkre bíznánk • A mesterséges intelligenciák egy speciális felhasználási területe • Tényeket és szabályokat tárol, és ezek alapján következtetéseket von le ESS: Felsıvezetıi döntéseket támogató rendszerek (Executive Support System) Nem minden felosztásban megjelenı kategória, amely valójában bizonyos funkciókkal kibıvített EIS-t takar. • A hagyományos EIS funkciókon kívül tartalmaz analitikus, modellezési képességeket (DSS), esetleg mesterséges intelligenciát és szakértıi képességeket (ES), valamint kommunikációs lehetıségeket (GDSS) is. 2.3.1. Felsıvezetıi információs rendszer (EIS) Az IR-ek elızıekben ismertetett hierarchikus rendszerén belül az EIS a felsı vezetıi döntéshozatalát támogató rendszerek kategóriája. E rendszerek jellemzése elıtt ezért mindenképp szükséges magának a döntéshozatali folyamatnak az áttekintése. 30 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A döntéshozatali folyamattal kapcsolatos alapismeretek Forrás és bıvebb információ: http://larix.emk.nyme.hu/erdinf/InformacioEsDonteshozatal.pdf) A menedzserek munkája nem más, mint döntések sorozata. A döntések információra van szükség. Annak megállapításához, hogy pontosan milyen információ szükséges, tudnunk kell, hogy mi az a döntéshozatal és mik a legfontosabb lépései. A döntéshozatal olyan folyamat, amelynek során különbözı cselekvési alternatívákat dolgozunk ki, majd választunk egyet ezek közül bizonyos cél vagy célok elérése érdekében. Herbert A. Simon Nobel-díjas közgazdász három lépésre osztotta a döntéshozatal folyamatát: 1. feladat meghatározása és adatgyőjtés, 2. tervezés, 3. választás. Az azóta megjelent tanulmányok nagy része ezt annyiban egészítette ki, hogy a döntési folyamathoz kapcsolta a 4. megvalósítás, kivitelezés szakaszát is. Fontos, hogy minden szintnek megvan a maga információigénye, és bármely szintrıl vissza lehet lépni egy korábbira, amennyiben az elızı fázisok eredményeivel elégedetlenek vagyunk.

A feladat-meghatározás és adatgyőjtés szakaszában a menedzsernek fel kell ismernie, hogy a probléma egyáltalán létezik, azaz látnia kell a problémás és a problémamentes helyzetek közötti különbségeket. Ebben nagy mértékben segítheti egy olyan információs rendszer, amely folyamatosan figyeli a környezetet, és rendszeres jelentésekkel, a kivételes esetekre való figyelmeztetéssel vagy ad-hoc lekérdezésekkel áll a vezetı rendelkezésére. A tervezés fázisában különbözı cselekvési alternatívák kidolgozása és elemzése történik. A számítógépes rendszernek itt modellezési funkciója van, azaz segít az egyes alternatívák hatékonyságának vizsgálatában, összehasonlításában. A harmadik lépés, azaz a választás magától értetıdınek tőnik, ha az egyes lehetıségeket már minden szempontból elemeztük és összehasonlítottuk. A gyakorlatban a legritkább esetben 31 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



van arra lehetıség, hogy egy problémánál az összes feltételt figyelembe vegyük, és az összes számításba jövı megoldást elemezzük. Erre sem az anyagi eszközök, sem az idıkeret nem elegendı. Ilyenkor a menedzser a meglévı információk alapján hozza meg a döntést, amely szinte mindig tartalmaz valamekkora bizonytalanságot, kiszámíthatatlanságot. A számítógépes rendszernek összegzett információt kell szolgáltatnia az egyes alternatívák fı jellemzıirıl, segítve azok összehasonlítását és egy sorrend felállítását közöttük. Az utolsó feladat a döntés kivitelezése, megvalósítása a gyakorlatban. Az információs rendszer ebben a fázisban fontos segítséget nyújthat a döntés sikerének vagy sikertelenségének megítélésében azzal, hogy visszacsatolást nyújt a menedzsernek. Ha a döntés nem hozza meg a kívánt eredményt, egy korábbi fázisra szükséges visszaugrani, és új döntést kell hozni. A döntéshozatal folyamatában nagyon fontos szerepe van a cél–döntés–információ hármasságnak és ezek kapcsolatának. A döntéseket mindig az adott célok határozzák meg, a döntések pedig befolyásolják az információszükségletet. Az információ minısége A döntéshozatalhoz információra van szükség. Az információ minıségét leginkább befolyásoló kritériumok: Releváns: vagyis a tárgyhoz tartozó. Hasznos és fontos az adott döntés meghozatala szempontjából és javítja annak minıségét. Idıszerő: A döntéshozatalhoz felhasznált információ ne legyen elavult. Bizonyos problémáknál ez naprakész adatokat jelent, vannak azonban olyan esetek, ahol a régebbi információ is lehet idıszerő. Pontos: A döntéshozatalhoz felhasznált információ legyen pontos, vagyis hibamentes. Ha ez nem lehetséges, egy elfogadható hibahatáron belül kell azokat tartani. Ellenırizhetı: Fontos, hogy az információ pontosságáról meg tudjunk gyızıdni, ellenırizni tudjuk azt. Ezt egyrészt megtehetjük úgy, hogy olyan információval hasonlítjuk össze, melyrıl tudjuk, hogy pontos. A másik módszer a nyomkövetés, amikor az összegzett információt visszavezetjük az eredeti, részletes adatra, vagy a részletes adatot követjük addig, amíg összegzett információ lesz belıle. Teljes: A teljesség azt jelenti, hogy beszerezzünk minden olyan információt, melyre a döntéshez szükségünk van. Ügyelni kell a felesleges dolgok kiszőrésére. A döntéshozó számára a túl sok információ éppen olyan káros, mint a túl kevés. Könnyen érthetı: Manapság egyre fontosabb, hogy az információ ne csak tartalmában, hanem formájában is megfelelı legyen. Úgy kell tálalnunk, hogy világos, jól érthetı, könnyen áttekinthetı és vonzó legyen a felhasználó számára. A táblázatos, grafikus megjelenítés nagyban segítheti ezeknek a szempontoknak az érvényre juttatását.




Döntési típusok Szintén Herbert A. Simontól származik az a felosztás, amely a döntéseket két csoportba sorolja. Ezek szerint vannak strukturált, vagy más néven programozható, és nem strukturált, azaz nem programozható döntések. Strukturált döntés esetén a probléma pontosan meghatározott, jól definiált, a probléma megoldója érti az összefüggéseket és tudja, hogy mivel áll szemben. Ilyenkor a megoldás elıre lefektetett szabályok közé szorítható, algoritmizálható. Egyértelmően megadhatjuk, hogy bizonyos feltételek teljesülése esetén mik a követendı lépések. Amennyiben rendelkezünk a megfelelı információkkal, a döntés már automatikusan következik. Strukturált döntések meghozatalára akár a számítógép is képes, melynek következtében emberi erıforrások szabadulhatnak fel. Példaként lehet említeni a kimerülıben lévı raktárkészletek utánrendelését, amely a kritikus készletértékek és az ésszerő rendelendı mennyiségek ismeretében automatikusan is történhet. Nem strukturált döntés esetén maga a probléma sem mindig jól definiált, a döntéshozó nem látja azt át teljesen, nincs tisztában minden összefüggéssel. A megoldás lépései ilyenkor nem határozhatók meg elıre, sokszor ötletszerőek, változó feltételektıl függenek. A túl sok ismeretlen tényezı és kölcsönhatás miatt ezek a problémák feltétlenül emberi döntést igényelnek, a számítógép nem képes helyettesíteni a döntéshozót. Nem strukturált döntést igényel például egy adott munkára az önéletrajzok és interjúk alapján egyaránt alkalmasnak tartott jelentkezık közül választani, vagy egy legfelsıbb vezetı számára egy új üzleti tervet elkészíteni. A gyakorlatban elıforduló döntések nagy része az elıbbiekben ismertetett mindkét típus jegyeit magán hordozza, a kettı között helyezkedik el. Az ilyen döntéseket félig strukturált döntéseknek hívjuk. Ezekben az esetekben a probléma bizonyos részletei jól meghatározhatók és algoritmizálhatók, míg más részei bizonytalanok, nem igazán átláthatóak. Egy új termék piaci bevezetésénél például a piaci helyzet, a kereslet és kínálat viszonya, valamint a konkurencia jelenléte elıre jól felmérhetık, a vásárlóközönség reagálása, szimpátiája vagy elutasítása azonban nem számítható ki elıre. Egy felsı vezetı döntéseinek nagy része nem strukturált, míg az alsóbb szinteken a nagyobb strukturáltság jellemzı. Döntési szintek és információigényük A korábbi fejezetben megismert Anthony piramishoz kapcsolódóan elmondhatjuk, hogy a stratégiai szintet a nem strukturált, a taktikai szintet a félig strukturált, míg az operatív szintet a strukturált döntések jellemzik. Valamennyi döntési szint az adatfeldolgozás szintjére támaszkodik, amely maga nem döntési szint, csak a szükséges információt szolgáltatja a rá épülı többi réteg számára. Felsıvezetıi információs rendszer (EIS) alkalmazása KKV körben gyakran túl költséges megoldás. Ezért nem szabad megfeledkezni arról, hogy a gyakorlatban a legegyszerőbb eszközöket is (pl. táblázatkezelı) használhatjuk teljesítmény-indikátorok gyanánt.




Alkalmazási példák A modern, integrált EIS / BI rendszerek háromrétegő vállalati információs modellt valósítanak meg: • • •

A fizikai réteg egy heterogén vállalati infrastruktúra gyakorlatilag tetszıleges adatforrásához képes csatlakozni. Az üzleti modell rétegben a csatlakoztatott fizikai források közötti egyszerősített logikai összefüggéseket és hierarchiákat definiálhatunk, felépítve az üzleti modellt. A prezentációs réteg az, amit a végfelhasználó lát a rendszerbıl. Ide csatlakoztatjuk kategorikus bontásban az üzleti modell azon elemeit, üzleti fogalmait, amelyekkel a felhasználó ténylegesen dolgozni fog és elemzéseket végez.

E rendszer fıbb jellemzıi általában: • Integrált, magas szintő, beépített elemzı eszközök • Szinkronizált pénzügyi és mőködési tervezıfolyamatok • Integráció a Microsoft Office alkalmazásokkal • Egyszerősített webes felület • Méretezhetı architektúra • Nagyfokú adatintegráció A piac vezetı szoftvergyártóinak kurrens megoldásai közül két kiragadott példa: Oracle Hyperion pénzügyi irányítási rendszer (Hyperion Planing) Az Oracle Hyperion Planning egy olyan központosított, MS Excel alkalmazással integrált, web alapú megoldás, amely támogatja a tervalku, a terv elemzés és a gördülı tervezés folyamatát. Hatékonyan integrálja a pénzügyi, valamint a mőködéshez kapcsolódó tervezési folyamatokat. A pénzügyi és üzemviteli tervezımodulok szoros integrációja révén részletes betekintést nyújt az üzleti mőveletekbe és azok pénzügyi hatásaiba. Magas szinten kielégíti a közvetlen pénzügyi tervezıi igényeket. (Bıvebben: http://www.oracle.com/global/hu/hyperion/financial-management-system9.html és http://www.rrsoftware.hu/wps/wcm/connect/70dcac004da74f858dfedd71dbce95b0/res_hu_pl an.fs.pdf?MOD=AJPERES )

SAP Business Objects Az SAP BusinessObjects megoldásai elısegítik az információk és a cselekvés között fennálló kapcsolat erısítését. A szoftver újraértelmezi az információ szerepét, és nagyszerő rálátást enged a vállalat folyamataira, egyetlen, megbízható és intelligens platformon keresztül. (Bıvebben: http://events.businessobjects.com/forms/Q309/rsrctr/hu/?cid=CRM-HU09-DGHFCA )




2.3.2. Szakértıi rendszer A szakértıi rendszerek (Expert System) számítógépesített tanácsadó programrendszerek, amelyek megkísérlik utánozni vagy helyettesíteni a szakértı következtetési folyamatait és tudását a feladatok speciális típusainál. Ennek megfelelıen a szakértıi rendszerek, vagy más néven tudásalapú rendszerek tartalmaznak egyrészt egy beépített – általában feladat-specifikus – tudást, ugyanakkor rendelkeznek bizonyos elemzı képességekkel. A szakértıi rendszerek adat- illetve tudásbázisának konkrét megvalósítása esetén a legnehezebb feladat olyan embert találni, akinek szakértelmét beépíthetjük a rendszerbe. A szekértı rendszerek jellemzıi: • Hasonlójavaslatokat képes tenni, mint egy emberi szakértı (mivel eleve emberi tudáson alapszik a tudása) • Speciális ismeretekkel rendelkezik (mivel erre „tanítottuk meg”) • Intelligens párbeszédre képes • Partnere a felhasználónak, mindkét fél „kezdeményezhet beszélgetést” • Kérdéseit magyarázza, következtetéseit indokolja • Szimbolikus információkat tárol, ezen információkat heurisztikus módszerekkel dolgozza fel A szakértı rendszerek alkalmazásának elınyei: • Növeli a munka hatékonyságát: o Kevesebb idı o Kevesebb ember o Kevesebb hibás döntés • Tudásuk mindig elérhetı • Tudásuk egyszerően és olcsón többszörösíthetı Elvárásaink: • Adjon javaslatot • Egyenrangú fél legyen a „társalgásban” o Tegyen fel kérdéseket o Magyarázza meg a kérdéseit o Indokolja meg a válaszait • Bizonytalan helyzetekben is adjon elfogadható javaslatot Elmondhatjuk, hogy minél általánosabb célú egy szakértı rendszer, annál gyengébb a teljesítménye konkrét feladatok megoldása esetén. Másrészt kimondhatjuk azt is, hogy egy ilyen rendszer erıssége elsısorban a benne tárolt ismeretanyag minıségétıl és mennyiségétıl függ.




Egy szakértıi rendszer felépítésének sematikus ábrája:

Felhasználó

Magyarázó rendszer

Felhasználói felület

Esetspecifikus adatok

Következtetı motor

Tudásbázis Tudásbázis-szerkesztı

Az ábrán a körülhatárolt rész jelenti a rendszer burkát. Az egyes modulok jelentés röviden a következı: Tudásbázis: – tények, kapcsolatok, heurisztikák, szabályok, vezérlési ismeretek – megoldáskeresı stratégia implementált változata Következtetı motor: Magyarázó alrendszer: – megmagyarázza a kérdéseket valamint a javaslatokat Tudásbázis-szerkesztı: – az ismeretbázis megépítéséhez, teszteléséhez és módosításához nyújt segítséget Felhasználói felület: – felhasználóbarát lehetıséget nyújt az ember-gép párbeszédhez Eset-specifikus adatok: – tárgyköri ismeretek ES alkalmazásának elınyei • Pótolják a szakértıhiányt – elérhetı áron terjesztik a szakértı ismereteit • Jól követik a tárgyterület változásait (az ismeretbázist könnyő módosítani) • Fokozzák a szakértı produktivitását • Megırzik a szakértelmet • Mindig következetesek a tanácsadásban (nincsenek emocionális tényezık) • Állandóan rendelkezésre áll • Részleges és nem-teljes adatokkal is tudnak dolgozni • Képesek megindokolni az eredményt ES alkalmazásának hátrányai • Ismereteik egy adott szők tárgyterületrıl származnak • Válaszaik nem mindig helyesek (mindig egyéni megfontolást igényel a kapott javaslat) • Nincs saját gondolkodási képességük („józanságuk”) • Az ismeretszerzés bonyolult folyamat • A fejlesztés éveket is igénybe vehet Fıbb alkalmazási területek: • Gazdasági döntéshozatal (tender-értékelés) • Orvosi diagnosztika (tünetelemzés) • Mőszaki diagnosztika (hibaelemzés) 36 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• • • •

Erımővi, közlekedésbiztonsági rendszerek Geológia (kızetelemzés) Hadi ipar Matematika

Példák önálló ES alkalmazásokra: FASTrakAPT – lakásfelújítás tervezı eszköz Crew_NS – vasúti dolgozók beosztását ütemezı rendszer Rail Train Scheduler – termékcsomagolást tervezı és ütemezı rendszer Forrás: www.inf.unideb.hu/~bognar/Pages/bogdan_szakerto_clips.ppt 2.3.3. Tudásmenedzsment Az adat ⇒ információ ⇒ tudás piramisról már volt szó a 2.3 fejezetben. A tudás a piramis csúcsát képezi. Amivel a tudás több, mint szimpla tájékozottság, az a tapasztalat, szakértelem, az áttekintés és az elemzés képessége, intelligencia, értékrend, döntési és cselekvési minták, intuíció, és sorolhatnánk. A tudás lényegi ismérve, hogy "nehéz explicitté tenni, rögzíteni és továbbadni... A tudás forrása az ember a maga összetettségével és kiszámíthatatlanságával." (Bıgel) Megkülönböztetjük a személyes tudást a kisebb-nagyobb csoportok, illetve szervezetek szellemi kapacitásától. A tudástıke, mint kifejezés azt tükrözi, hogy a vállalati vagyonnak egyik értékes, ha nem a legértékesebb elemérıl van szó. Egy cég tudástıkéje három összetevıbıl áll: • a piaci kapcsolatok tıkéje, • az ún. strukturális tıke és • az emberi tıke. Magyarázatképp: a strukturális tıke mindazt magában foglalja, ami az alkalmazottak távozása után is megmarad, például a szervezeti felépítést, az információs rendszereket, a szabadalmakat. Az emberi tıke a dolgozók ismereteibıl, készségeibıl, tudásából tevıdik össze és a munkatársak távozása után elvész a vállalat számára. A tudásmenedzsment: az intézményi szellemi tıke növelését célzó törekvések összessége. Egész egyszerően: képesség a hatékony cselekvésre. Ami a tudásmenedzsmentet megkülönbözteti az eredményes információkezeléstıl, az • az új tudás létrehozásának bátorítása és • a meglévı tudás alkalmazásának ösztönzése. Tudásmenedzsment a gyakorlatban A különbözı tudásmenedzsment-projektek szokásos menetrendje a következı: • •

Helyzetfelmérés, a tudásvagyon feltérképezése, hogy feltárjuk, mit is tudunk valójában. Az intézményi tudást könnyen elérhetıvé tenni az érdekeltek és érintettek számára. 37 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• •

Bátorítsuk a tudás megosztását, a kimondatlan tudás kifejezését. Ösztönözzük az új tudás létrehozását, a szellemi tıke jobb kihasználását.

És természetesen egy ilyen projektbe is csak akkor érdemes belekezdeni, ha az jól meghatározott üzleti célhoz kapcsolódik, és élvezi a felsıvezetık támogatását. Egy vállalati tudásbázis, mint rendszer, sokszor mindössze egy Intranet és egy hozzá kapcsolódó adatbázis, a megfelelı jogosultsági hierarchia mellett. Az Intranetek második generációját már maguk a használók építik, így a publikálásban nem szők keresztmetszet a webmester személye. Az intranetek hozzákapcsolódhatnak a többi vállalati rendszerhez, a dokumentumkezelıtıl az ERP-ig. Ugyanakkor nem adat-, hanem "tudásközpontúak" és nem is feltétlenül szigorúan strukturáltak. A „lelkük” egy hatékony keresıszoftver. Álljon itt néhány példa tudásmenedzsment keretrendszerekre vonatkozóan: • Wildom Aztec Portal alapfunkciói a következık: online csoportmunka, dokumentum nyilvántartás, komplex keresés és böngészés. Közepes szervezetek induló intranet portál alkalmazása. • Microsoft Sharepoint Portal Server – olyan tudásmenedzsment keretrendszer, mely fejlett Microsoft Office integrációt valósít meg, magas szinten támogatva ez által a tudásmenedzsmentet: csoportmunka, dokumentumtár, dokumentumkezelés és keresés funkciók. • Plumtree Enterprise Portal – olyan tudásmenedzsment keretrendszer, amely magas szintő alkalmazás-integrációs képességgel rendelkezik, miközben kiemelkedı az online csoportmunka, az online kollaboráció és az indexelés, keresés, ügykövetés területeken. Komplex tudásmenedzsment rendszer alapja lehet. • Oracle IAS - olyan tudásmenedzsment keretrendszer, amelynek Oracle integrációs képességei egyedülállóan hatékonyak, így a speciálisan hozzáillesztett fórum, csoportmunka, dokumentumtár és keresési indexelési portletek stabil alkalmazást eredményeznek. Forrás és bıvebb információ: Sándori Zsuzsanna: Mi a tudásmenedzsment, http://mek.niif.hu/03100/03145/html/tartalom.htm 2.3.4. Üzleti intelligencia A tudás tıke egyre fontosabb szerepet játszik a vállalatok sikerében, és egyben döntı tényezıje egy vállalat értékrendjének is. Egyes kutatások szerint a világon rendelkezésre álló adatok évrıl évre megduplázódnak. Paradox módon azonban az ezen adathalmazban megjelenı információ mennyisége csökken. Az üzleti döntéshozók összefüggı üzleti információhalmazt keresnek, melyet azonnal használhatnak. Ezzel szemben az egységes, összefüggı információt nyújtó adatok gyakran más-más helyeken találhatók (saját rendszerünkön, az Interneten, közszolgáltató portálokon, stb.), és ráadásul más és más módszerekkel lehet tárolni és elérni ıket. Ezek elérhetıvé tétele pusztán mőszaki kérdés. 38 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Az üzleti intelligencia számítástechnikai megoldások alkalmazásokat és technológiát tartalmaz azzal a céllal, hogy vezetıknek és döntéshozóknak hozzáférést biztosítson a szükséges adatokhoz és az adattárakban és adatbázisokban tárolt ismeretekhez. Napjaink világát egyre inkább jellemzi a tudás, az ismeret, a szellemi tıke jelentıségének és értékének felismerése. A tudás-tıke növekvı szerepet játszik a vállalatok sikerességében, s a szervezet értékének is meghatározója. Természetes, hogy ebben az értékrendben az információipar a figyelem középpontjába kerül, az információt termelési tényezınek is lehet tekinteni. Egyes kutatások szerint a világ adatmennyisége minden évben megduplázódik. Napi tevékenységünk, mely egyre inkább a számítógépekhez, illetve az elektronikához kapcsolódik, miközben egyre inkább automatizált, egyre inkább dokumentált is. Ma már napjaink része, hogy az élet minden területén otthagyjuk „elektronikus lábnyomainkat”. A gépek rögzítik vásárlásainkat, internetezési szokásainkat, bankmőveleteinket, a tızsdei mőveleteket. A legtöbb nemzetközi szervezetnél egy hét alatt több információ keletkezik, mint amit sok ember egész életében el tud olvasni. Naponta sok száz megabájtnyi adat kerül fel az internetre. Különösen gyorsan nı a nehezen formalizálható, szövegesen kommunikált adat mennyiség. Az adatmennyiség növekedésének sebessége exponenciális.i Éppen ez a gyors növekedés idézi elı azt a paradox helyzetet, hogy az adattömegben rejlı információ csökken. A tömegességben elvész a lényeg, a kiszőrhetıség, megtalálhatóság felismerhetıség oldaláról egyaránt. Éppen ez a hatalmas mérető, s hihetetlenül gyorsan növekvı adatmennyiség az, amely az itt tárgyalt kérdést a figyelem középpontjába állítja. Nyilvánvaló cél ugyanis, hogy ez a hatalmas mennyiségő adat használható információvá és tudássá váljék, s alkalmazásra kerüljön az üzleti élet legkülönbözıbb területein: a vállalatirányításban, a termékpolitikában, a piackutatásban, a fogyasztói igények kielégítésében. Miközben a hagyományos emberi olvasás és értelmezés képessége, lehetısége csökken, nı annak a jelentısége, hogy találjunk olyan eljárásokat, technológiákat, melyeket megvalósítva a számítógépek segítségével képesek vagyunk az adattömegben foglalt információ felismerésére. Az üzleti döntéshozók összefüggı, direkt-használható, üzleti információkat keresnek. Ehhez képest azok az adatok, melyek egységes összefüggı információt szolgáltathatnak sokszor különbözı helyeken (a saját rendszeren, interneten, közszolgálati portálokon, stb.) hozzáférhetık, s ezen túl is különbözı technikával tároltak, s hozzáférhetık. technikai kérdés a hozzáférés biztosítása. Az információtechnológia üzleti intelligencia (BI: Business Intelligence) megoldásai körébe olyan alkalmazások és technológiák tartoznak, melyek célja, hogy biztosítsák a vezetık, 39 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



döntéshozók számára a szükséges adatokhoz való hozzáférést, azokból sokoldalú elemzési megoldások lehetıségét adják, s technikákat biztosítanak az adathalmazokban, adatbázisokban lévı rejtett tudás: összefüggések, szabályok, „minták” feltárására. Ennek megfelelıen az üzleti intelligencia, mint információtechnológia speciális megoldásokat kínál: a) alapfeltételként a vállalati belsı információs rendszer különbözı tárolási platformokon mőködı elemeinek, valamint külsı rendszerekbıl származó adatok integrált rendszerét hozza létre, mely egységes adatkezelési elvek alapján mőködik, a döntésekhez szükséges adatok on-line, valós idejő lekérdezését teszi lehetıvé; b) gazdag, szakszerő elemzési, tervezési lehetıségeket biztosít az adatelemzési alkalmazásokkal; c) az adatbányászati módszertanok lehetıvé teszik, hogy a belsı és külsı adatbázisokban rejlı, konfuznak tőnı adathalmaz tudássá, egységes információvá álljon össze, felismerhetı legyen a vizsgált folyamatban lévı rend, szabályosság, felismerhetık legyenek együtt,- és különállások, szabályoktól való eltérések; d) speciális alkalmazásai teljesítmény-követési, on-line megfigyelési, eltérés-elemzési, szimulációs, elırejelzési lehetıségeket biztosítanak a vállalti irányítás különbözı szintjei számára. 2.3.5. Adatelemzés és adatbányászat Az adatkészlet, melybıl a tudást adatelemzés és adatbányászat segítségével ki akarjuk nyerni, legyen ésszerően felépített, jól strukturált elektronikus rendszer. Nagy cégek esetében ez az adattárház. Az adattárház megtisztított, részletes és/vagy összevont adatokat tartalmaz, melyeket a szervezet belsı rendszerei hoznak létre, illetve melyek külsı forrásból származnak. A kkv-kban általában egyszerő, de átláthatóan felépített adatbázist találunk, nagyrészt belsı adatokkal. Az adatokat információvá alakító alkalmazások (adatbányászat) ezen a következetes adatrendszeren alapulnak. Nagy cégeknél az adattárház alkalmazáson alapuló legelterjedtebb megoldások az OLAP (Online Analytical Processing) alkalmazások. A kkv-kban hagyományos elemzési módszereket (pl. SPSS-t) és klasszikus adatbázis lekérdezést (pl. SQL) is használhatunk. Az adatbányászat tipikus területe a fogyasztói kosár elemzése. Mely termékeket keresnek egy adott idıben a fogyasztók? Van-e olyan összefüggés, mely alapján meghatározható, hogy ha valaki vásárol X terméket, az Z termékbıl is vesz? Az üzleti intelligencia részterületei: az adatelemzés, az adatbányászat és az üzleti megoldások Azt az adatvagyont, melybıl a tudást adatelemzéssel, adatbányászattal ki akarjuk nyerni egy tudatosan szervezett, jól felépített elektronikus rendszerben kell tárolni. Ez az adattárház. Az adattárház a döntéstámogatás számára optimalizált formában rendszerezett, tisztított, 40 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



részletes, illetve aggregált adatokat tartalmaz, s biztosítja ezek sokoldalú lekérdezését. Az adattárházhoz a szervezet belsı rendszereiben keletkezı adatok és külsı forrásból, a külvilágból, környezetbıl származó, győjtött adatok egyaránt alapul szolgálnak. Ez azt is jelenti, hogy különbözı szerkezető, különbözı struktúrákból származó adatok kezelését kell tudni megoldani. Az adattárházak általában rétegzett struktúrák. A legalsó réteget az operatív adatforrások képezik. Ezekbıl a rendszerekbıl kerülnek újra-meg újra letöltésre, ezekbıl frissülnek az alapadatok. Egy közvetítı réteg biztosítja, hogy a kiválasztott adatok tisztítva, rendszerezve kerüljenek az adattárházba. Maga az adattárház valójában a következı réteg, mely a tisztított, konzisztens, tartalmilag ellenırzött, rendszerezett adatokat tartalmazza. Az adattárház jellemzıi: az adatintegráció – különbözı forrású és struktúrájú adatok egységes szerkezetben konzisztens kezelése A frissítések folytán az adattárház adatai egyfajta történetiséget tükröznek Az adattárházak adatai állandóak Az adattárházak adatai tematikusan szervezettek Erre a konzisztens adatrendszerre épülnek azok az alkalmazások, melyek az adatokat információvá transzformálják. Ezek a jelentés/beszámoló készítı rendszerek, az elemzı rendszerek, az adatbányászat, s részben ezekre az adatokra támaszkodnak az üzleti alkalmazások is. Az adattárház technológiára épülı legelterjedtebb elemzési megoldások az OLAP (On-line Analytical Processing) rendszerő alkalmazások. Az OLAP megoldások egy multidimenzionális adatmodell megtestesítıi. Egy kockával szemléltethetık, melynek élei egy jelenség dimenzióit testesítik meg. Például egy értékesítési folyamat termékeit, az értékesítési helyeket, régiókat, valamint az idıt (értékelési idıszakok). Vázlatosan: Time March February January

Regions

R3 R2 Products

R1 P3

P2

P1

A példánál maradva nagy kocka minden egyes kis kockája egy eladási árbevétel értéket képvisel: például P1 termék R1-es területen januárban realizált értékesítési bevétele. 41 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A kockát szeletelhetjük az egyes dimenziók mentén – nem nehéz elképzelni – például egy adott területre, adott idıszakra. Jellegzetes mőveletek még: a felgöngyölítés (roll up): valamelyik dimenzió mentén összevonja az adatokat. Például a termékdimenzióban nem egyes termékeket, hanem termékcsoportokat jelenítünk meg. a fenti ellentéte a lefúrás (drill down): a kevésbé részletezett adatok helyett a nagyobb részletezettség irányába halad. A fentiek csak a legegyszerőbb elemzési lehetıségek az OLAP kockán, számos látványos hatékony elemzési eljárás áll rendelkezésre, melyeket a terjedelem korlátai miatt itt nem áll módunkban részletezni. Az adatelemzés természetesen számos más eljárást is kínál, elsısorban a hagyományos, elemzı (analitikus) módszerekre kell itt gondolni. A legkézenfekvıbb, s a legfontosabb módszerek az adatainkban lévı információ, törvényszerőségek, tendenciák feltárására. Ez a módszertan lehetıséget ad a legegyszerőbb feladatoktól a legösszetettebb problémák megoldásáig Nagy szoftverrendszerek (SPSS, SAS, MiniTab, Statistica) igen kiforrott és kifinomult eszköztárat szolgáltatnak e faladat elvégzéséhez. Az adatbányászat olyan döntéstámogató folyamat, mely nagy adathalmazokból korábban nem ismert, hasznos információt tár fel. Ennek érdekében egyfajta struktúrát, „mintát” következetességet, szabályokat, összefüggéseket keres az adatbázisban. Ma már nagyon sok adatbányászati eljárás, algoritmus ismert. Valójában azonban ezek visszavezethetık meghatározott alapmegoldásokra. A néhány legjelentısebb technikát ismertetjük a következıkben. Csoportosítás, szegmentálás (klaszterezés): az adathalmaz objektumait úgy osztja fel csoportokra, hogy az egy csoportba tartozó objektumok a lehetı legjobban hasonlítsanak egymáshoz, s ugyanakkor a létrejött csoportok a lehetı legjobban különbözzenek. Az egyik leggyakoribb alkalmazási terület a piacszegmentálás. hasonló tulajdonságú vevık csoportjait keressük. lehetünk arra kíváncsiak, kik tartoznak össze egy-egy csoportba, de lehet, hogy nem ismerjük a hasonlóság, a csoportképzés ismérvét. Asszociációs szabályok feltárása: az adatbázisban lévı objektumok között összefüggéseket keres. Ha van ilyen kapcsolat, erıssége jellemezhetı. jellegzetes alkalmazási területe a fogyasztói kosár elemzése. Melyek azok a termékek, melyeket a fogyasztó együtt keres. Létezik-e olyan összefüggés, hogy aki vásárol X-et, az vásárol Z terméket is. Regressziós következtetés: egy jelenség számszerő értékeibıl egy vele valószínőleg kapcsolatban álló más jelenség bizonyos számszerő értékeire következtethetünk. Milyen




következtetést tudunk megfogalmazni a GDP alakulás figyelembevételével az 1000 lakosra jutó személygépkocsi állomány alakulására nézve. Az adatbányászat nagyon sokoldalúan használható az üzleti döntéshozatalban. A fent már említett területek mellett szerepelhet az ügyfél elégedettség vizsgálatában, a lemorzsolódások okainak feltárásában, illetve elırejelzésében, szállítói minısítések kidolgozásában és még sok más területen. Az üzleti megoldások komplex, speciális alkalmazások, melyek sokszor az adatbázis on-line megfigyelési eredményeire építve bizonyos mutatók értékét meghatározzák, s jelentıs szerepet játszanak a vállalkozás teljesítmény menedzsmentjében, a folyamatok kívánt állapotoktól való eltérésének figyelésében, elırejelzési, szimulációs lehetıségeket biztosítanak. Jellegzetes ilyen alkalmazás például a Balanced Score Card. A vállalkozás tevékenységének egy többszempontos, rendszer szemlélető közelítése. A vállalkozás tevékenységének több területe tükrözıdik benne: a pénzügyi, a piaci, a termelési-kereskedelmi, a humánerıforrás menedzselési egyaránt. Azokra a területekre szolgáltat mértékrendszert, melyek stratégiai jelentıségőek. Ebben az egyes szempontok a gyakorlati érzékelhetıség és a megvalósulás nyomonkövethetısége végett további szempontokra, al-mutatókra, indikátorokra bomlanak. Az indikátorok alakulásához felelıs személyek rendelhetık, intézkedések foganatosíthatók. Csak említésszerően álljanak itt jellegzetes alkalmazások, illetve alkalmazási területek: kozkázatelemzés- és menedzsment, humántıke menedzsment, szállítói kapcsolatok menedzsmentje. Az üzleti intelligencia legjelesebb képviselıi: SAS, SPSS, SAP, Teradata, Cognos, Oracle, IBM, s még lehetne sorolni.

2.4. IR alkalmazások két fı célra 2.4.1. Ügyfélkapcsolat kezelés (CRM) A CRM alapvetıen egy újfajta üzleti szemléletmód, mely a rövid és hosszú távú üzleti célok megvalósítása érdekében a hagyományosan elterjedt termékközpontú megközelítés helyett alapvetıen ügyfélközpontú megközelítést alkalmaz. Valójában az üzleti folyamat átszervezésére irányuló, a hatékonyságot és eredményességet növelı stratégia, aminek eredménye az elégedett és visszatérı vevı. Egy racionálisabb, szervezettebb, informatívabb ügyfélnyilvántartáson, tranzakciószintő ügykezelésen alapuló külsı-belsı kommunikációs, illetve kapcsolati rendszer. CRM-nek nevezzük az e célt támogató technológiákat és a konkrét számítógépes implementációkat is. A CRM rendszerek kialakításának egyik legfontosabb tényezıje a vállalt mérete. Noha minden gazdasági szereplı kimondva vagy kimondatlanul, elkerülhetetlenül képvisel 43 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



valamilyen tudatos, vagy spontán ügyfélkapcsolati stratégiát, a CRM, mint komplex rendszer, a gyakorlatban mégis leginkább a közép- és nagyvállalatok jellemzı eszköze. A CRM rendszerek kialakulását szemlélteti az alábbi ábra:

Ügyfélkapcsolat jellemzıi • • • • •

Értékessége Idıbelisége Szorossága Számossága Közvetlensége

A fıbb felhasználók köre: • Nagyvállalatok – amelye további versenyelınyt remélnek általa • Bankok – amelyeknél eleve magas az ügyfélszám • Mobil távközlés – ahol a telített piac miatt hozhat versenyelınyt • Államigazgatás – ahol ugyan profitot ne hoz, de extrém magas lehet az ügyfélszám A CRM rendszerek elterjedtsége hazánkban még az üzleti alkalmazásokat használó felhasználó körében is nagyon alacsony (5…6 %), de a rendkívül expanzív piac hatására ez várhatóan erısen növekedni fog. A kisé –és középvállalkozások körében népszerőek lehetnek a bérszoftver megoldások, illetve az egyre elterjedtebb körben alkalmazott open source (nyílt forráskódú, szabad szoftver) megoldások. A felhasználók között, fıleg banki szférában népszerőbbek a testre szabott egyéni megoldások, mint a dobozos szoftverek. 44 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A CRM által támogatott tipikus tevékenységek, üzleti folyamatok • Ügyfélszolgálat (tanácsadás), szerviz, tanácsadás Igények rögzítése, feladatok kiosztása, tevékenység követése, problémamegoldás, garanciakezelés, szerzıdés-nyilvántartás, anyagfelhasználás követése, tanácsadás. • Értékesítés Vevık, ajánlatok, megrendelések nyilvántartása és kezelése, (korábbi) ügyfélkapcsolati események rögzítése (naplózása), ajánlatok generálása, követı lépések rögzítése, termékkör-hozzárendelések, kapcsolatfelvételek szervezése, team munka összehangolása, lehetıségek nyilvántartása. Telefonos értékesítés híváslistái, rendelésrögzítései. • Értékesítés menedzsment Forgalmi és területi elemzések, hatékonysági és sikerességi jelentések, alkalmazotti (üzletkötıi) aktivitások mérése, forgalmi elırejelzések. • Marketing, telemarketing Ügyfélcsoportok képzése, célzott listák, körlevelek (elektronikus, hagyományos), fogyasztási mérések, célzott akciók (kampányok) tervezése, megvalósítása, nyomon követése. • Pénzügy Fizetési szokások elemzése • Vezetıi információk Vásárlási adatok, értékesítési szokások, vállalati és dolgozói teljesítménymérés és -elemzés. CRM rendszerek bevezetése Számolni kell vele, hogy a bevezetés nem hozza meg a kívánt gazdasági eredményt. Ezért a bevezetés általában fokozatos, idıben akár az egy évet is meghaladhatja. A bevezetés legfıbb akadályai: • Egységes vállalatirányítási rendszer és szemléletmód hiánya Azok a fıként kis- és középvállalatok, ahol a különbözı ügyviteli területek elszigetelt, sokszor merıben eltérı szoftver rendszereket alkalmaznak feladataik ellátására, a legnehezebb feladat az egységesítés. Ugyanakkor a CRM rendszer bevezetése kikényszeríti a megfelelı kommunikációt, a kommunikációs folyamatok összehangolását, az üzleti folyamatok racionalizálását. • Az alkalmazottak ellenállása, motiválatlansága. A változástól és az azzal járó kellemetlenségektıl való félelem. A teljesítmények jobb mérhetıségének, a szigorúbb munkafegyelemnek a kikerülési szándéka. • Hiányzó vezetıi támogatás. • Nem megfelelı informatikai háttér. • Szőkös anyagi erıforrások CRM rétegek (stratégiák) Szokásos a CRM rendszereket rétegeirıl beszélni. E rétegek együttesen lefedik a vállalat teljes ügyfélkezelését. A három réteg szervesen épül egymásra, valójában egyik réteg sem használható ki igazán jól a többi nélkül. A három réteg: • Analitikus (elemzı) réteg Jellemzıen OLAP eszközökkel, statisztikai elemzésekkel és adatbányászati eszközökkel ezen a szinten történik meg az ügyféladatok „finomhangolása”. 45 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



•

•

Megismerhetıvé válik az ügyfélkör, elırejelzés készíthetı az ügyfélszegmensek várható viselkedésérıl. Tényleges ügyfélkapcsolat ezen a szinten nem jön létre. Az analitikus CRM tevékenység leginkább kiforrott feladatai a következık: o Ügyfelek szegmentálása o Válaszadási modellek építése o Lemorzsolódás elemzése o Termékkosár elemzés o Ügyfélérték számítása Operatív (mőködtetı) réteg Ez a réteg jelenti az ügyféllel való tényleges kapcsolatot. Ide tartozik például az ügyfélszolgálati tevékenység. Ám az analitikus réteg információi visszacsatolásokat, javaslatokat, stratégiai támogatást jelentenek az operatív CRM számára. Például az analitikus CRM-mel számolt ügyfélérték alapján rangsorolni lehet a bejövı ügyfélszolgálati hívásokat. Kollaboratív (együttmőködı) réteg A kollaboratív réteg szintjén a CRM az összes értékesítési csatornára kiterjeszti az ügyfelekkel való kapcsolattartást, egy bank esetében például a bankfiókokra, az internetre, a mobilbank-szolgáltatásra is. Ezen a szinten kerül kialakításra a CRMmel foglalkozók közti munkamegosztás az információ kezelése és a kölcsönös kommunikáció vonatkozásában.

Noha egy optimális CRM rendszer esetén a három réteg együttes, szerves jelenléte elképzelhetetlen, mégis szokás a rétegeket CRM stratégiákként is említeni. Ennek oka nyilván az, hogy nem optimális esetben az egyes rétegeket függetlennek tekintve, minden réteg hordoz önállóan alkalmazható megoldási lehetıségeket. A dobozos CRM rendszerek vezetı szoftverszállítói a SAS, SPSS, Oracle, SAP Open Source (OS) CRM rendszerek A jelenlegi piaci tendenciákból látszik (2008 végén csaknem 400 open-source CRM rendszert tartottak nyilván), hogy az OS CRM rendszerek népszerősége nagy. OS vállalati szoftverek terén ma a CRM rendszerek részesedése a meghatározó. A CRM piacon az óriáscégek (Oracle, SAP) uralkodó jelenléte mellett, fıként kis- és középvállalkozások számára, a csatlakozás lehetıségét épp az OS CRM rendszerek bevezetése jelentheti, különösen azokban az esetekben, ahol az on-demand üzleti modell is megjelenik a kínálatban. A legnépszerőbbek közül néhány: SugarCRM, vTiger, xTuple, Centric CRM, Compiere. Az OSS rendszert alkalmazók számára nem pusztán a licenc díj megtakarítás jelent vonzó költségcsökkentı tényezıt, hanem az alacsonyabb hardver beruházási költségek, a kisebb implementációs, konfigurációs és upgrade költségek, az automatizált folyamatok alacsonyabb adaptációs illetve módosítási költségei is. On-Demand és SaaS Az On-Demand (igény szerinti bérszolgáltatás) vagy SaaS (Software as a Servie – szoftver bérlet) jellegő szolgáltatási változatok elérhetıvé teszik a nagy erıforrás-igényő, piacvezetı szoftver eszközök alkalmazását kis- és középvállalkozások részére is.




A drága erıforrást a bérbeadó szolgáltatja. A bérlı hálózaton keresztül éri el a bérbeadó rendszerén tárolt adatbázisát és a szoftvereket (vagy azok egy részét). E megoldás elınyei továbbá a • Kiszámíthatóság • Megbízható üzemeltetés • Korszerőség • Adatbiztonság 2.4.2. Az e-business és a web site Jó honlap nélkül ma már lehetetlen létezni az üzleti világban. Ez minden mérető vállalkozási formára egyaránt érvényes. A jó honlap azt jelenti, hogy nem csak tájékoztató jellegő adattartalmat nyújt, hanem interakciót kell biztosítania az ügyfelekkel. (Letölthetı anyagok, szavazás, vendégkönyv, fórum, és így tovább.) Nevezhetnénk ezt az elsı szintnek. A jól kialakított honlap ismérvei • könnyen megnevezhetı, jó domain név • gyorsan letöltıdik • informatív, jól láthatók az (üzleti) célok • interaktív (letölthetı anyagok, fórum, vendégkönyv, online vásárlás, stb.) • könnyen navigálható • áttekinthetı tartalom-struktúrával rendelkezik • a cégre jellemzı egyedi design-al készült. • A keresık könnyen ráakadnak és lehetıleg minél elıbb hozzák fel a találati listákon • Naprakész a tartalma • Az elérhetıségek egyértelmőek (térkép, személyes elérhetıség is) Az e-business (magyarul elektronikus üzleti tevékenység) az üzleti folyamatok elektronikus eszközökkel történı integrálása. A e-business segítségével a külsı és a belsı folyamatokat hatékonyabban össze lehet kapcsolni. Az e-business nem azonos az elektronikus kereskedelemmel (e-commerce). Az elektronikus kereskedelem a javak, szolgáltatások és információk elektronikus úton történı cseréjét jelenti. Az e-business ennél tágabb fogalom. Az e-business az egész vállalati mőködést e-alapra helyezi. Az e-business alkalmazások 3 csoportja: 1. Belsı üzleti rendszerek • ügyfélkapcsolat-menedzsment (CRM) • vállalati erıforrás tervezés (ERP) • tudás menedzsment 2. Vállalati kommunikáció és együttmőködés • vállalatok közti kapcsolattartás




3. E-commerce • ellátási lánc menedzsment (SCM) • e-marketing Forrás: http://info-bsc.netkey.hu/SA3143g/essze_pszk.pdf 2.4.3. Beszállítói láncolatkezelés (SCM) Az értéklánc (value chain) a vállalaton belüli tevékenységek (pénzügy, emberi erıforrás menedzsment, információgazdálkodás, logisztika, termelés, innováció, marketing) értékalkotó összekapcsolódása. Több vállalat értékláncának vállalatokon átívelı, összekapcsolódó sorozatát nevezzük ellátási láncnak (supply chain). A szállítóktól kiindulva, a gyártókon és disztribútorokon át a fogyasztókig, az alapanyagtól a végtermékig ível az ellátási lánc. A lánc egyik legfontosabb célja a vevık igényeinek kielégítése, ezért az egyetlen független döntéshozó maga fogyasztó. Az ellátási lánc résztvevıinek kettıs érdekeltsége: egyrészt az ellátási lánc egészének a sikere, másrészt a keletkezı új értékbıl való minél nagyobb részesedés. E két cél közti harmónia megteremtése a lánc egészének fı hatékonysági tényezıje. Az ellátási lánc mőködéséhez szükséges: a szereplık közti rendszeres kommunikáció, átláthatóság (szándékok, teljesítmények, információk), megbízhatóság és kölcsönös bizalom. Az ellátási lánc szereplıi közt termékmozgás, információáramlás és pénzügyi mozgás történik. Az ellátási lánc menedzsment (supply chain management - SCM) ezeket a mozgásokat hangolja össze, teszi átláthatóvá. Az SCM-alkalmazások az értéklánc tagjait kapcsolják össze hálózati technológiák segítségével. Integrálják és automatizálják a termékfejlesztést, a beszerzést, a gyártást, az anyag- és készletgazdálkodást, a logisztikát és az ügyfélkapcsolatokat. A logisztika a vállalaton belüli tevékenységekre korlátozódik. Az SCM kitágítja a logisztika határait és a vállalaton belüli folyamatok mellett, az azon kívüliekre is nagy figyelmet fordít. Az SCM rendszerek kétirányú folyamatot jelentenek: az egyik az ügyféltıl a beszállító felé (az ügyféligények meghatározása céljával), a másik pedig a beszállítótól az ügyfélig a termelés és az elosztás menedzselésének céljával.

Az SCM kialakulásának állomásai 1. Decentralizált logisztika (1960-as évekig) 2. Átfogó költséggazdálkodás (total cost management) (1980-ig) 3. Integrált logisztikai tevékenységek (1990-ig) 4. SCM (2000-ig) Az 1990-es években az ellátási lánc menedzsment kiteljesedett, kialakult az SCM stratégiai szemlélete. Megnıtt a vállalatok közti együttmőködés szerepe. Kereskedelmi partner hálózatok kiépítése a jellemzı. Új törekvés a vállalatok üzleti folyamatainak átszervezése (business process reengineering/redesign - BPR). Ennek 48 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



során az üzleti tevékenységeket és azok kölcsönhatásait vizsgálják és megpróbálják a hatékonyságukat javítani. 5. e-SCM (2000 után) Az internetes technológiák fejlıdése vezetett ez e-SCM, az elektronikus ellátási lánc menedzsment kialakulásához. A lánc szereplıit hálózati technológiák segítségével kapcsolják össze az SCM-alkalmazások. Így könnyebben és hatékonyabban menedzselhetı az ellátási lánc és leegyszerősödik a kommunikáció a lánc szereplıi közt. Az információáramlás jóval gyorsabb és hatékonyabb. Az adatbázisok azonnali megosztása, az adatok szinkronizálása is egyszerőbb és olcsóbb lett. Forrás és bıvebb információ: http://users.atw.hu/jeditrainer/download/ADMIN/GAZDINFO/XLSEK/essze3.pdf http://info-bsc.netkey.hu/SA3143g/essze_pszk.pdf

2.5. Az IR alkalmazás integrációs célra 2.5.1. A vállalaton belül: Vállalati Erıforrástervezés (ERP) Az integrált vállalatirányítási rendszer egy vállalat valamennyi feldolgozását (komplett üzleti folyamatok) megvalósító, egységes információs rendszer, amelyben minden adat csak egyszer szerepel (mindenki ugyanabból az adatbázisból dolgozik, és az adat a keletkezési helyén kerül rögzítésre. Az integrált vállalatirányítási információs rendszerek egy viszonylag új, de egyre gyakrabban használt elnevezése a szakirodalomban az ERP (Enterprise Resource Planning). Az elnevezés mögött a vállalatok sokoldalú kiszolgálása húzódik meg. Napjainkban is ERP rövidítéssel illetjük ezeket a vállalati rendszereket, az elmúlt évek innovációi miatt azonban inkább tekinthetık integrált vállalatirányítási alkalmazásoknak (IEA: Integrated Enterprise Application). Az ERP-rendszerek kialakulásával mind a controlling, mind a menedzsment óriási információs bázishoz jutott, folyamatosan bıvülı funkcionalitásukkal ezek a rendszerek jelentik ma a vállalatok informatikai támogatásának alapját. Az ERP rendszerek a szervezet adatállományát és folyamatainak nagy részét vagy egészét egy egységes megoldásba integrálják, ezáltal lehetıvé teszik az üzleti folyamatok automatizálását és optimalizálását. Az egyes modulok tipikusan lefedik az egyes konkrét ügyviteli funkciókat: Az alábbi ábra egy tipikus integrált vállalati rendszer sematikus modellje:




Forrás: http://www.megast.hu/fejl_cel.htm Elvárások • • • • • • • • • • • • • •

Széles funkcionalitás Integráció Rugalmasság Nyitottság Felhasználóbarát kezelési mód Modularitás Biztonság Bevezetési módszertan Folyamat-orientáltság Megbízhatóság Egységesség Gazdaságosság Valós idejő tranzakció-feldolgozás Összekapcsolási lehetıségek

A vállalati erıforrástervezés legjellemzıbben csomagban vásárolt szoftvert jelent a legtöbb vállalattípusban.




A nagyvállatok számára készült ERP szoftver rendszereknek (mint pl. az SAP) vannak a kkvk számára készült speciális változataik (mint pl. a Navision a Microsoft esetében). http://www.multisoft.hu/vallalatiranyitas.html?utm_source=klikkmania&utm_medium=cpc& utm_campaign=erp_altalanos Egy szervezet számára az ERP megvalósítása mindig nagy kihívás és egyben nagyon kockázatos vállalkozás is. 2.5.2. A vállalaton kívül: Elektronikus adatcsere (EDI – Electronic Data Interchange) Az EDI strukturált adatok szabványos elektronikus cseréje kettı vagy több, elızetesen egyeztetett üzenettovábbító szabványt használó számítógéprendszer között. A különbözı üzleti vállalkozások hagyományosan papíron kommunikálnak egymással. Az ilyen kommunikáció kétféle formája ismert: a strukturálatlan (pl. üzenetek, emlékeztetık és levelek) és a strukturált (vételi megbízások, megrendelések, feladási értesítık, vámnyilatkozatok és más vámokmányok, engedélyek stb.). A strukturálatlan kommunikációk általában személyek közötti egyszeri, azaz alkalmi információcserét jelentenek, nem tartoznak a "business as usual" folyamatai közé. Ezzel szemben a kommunikáció strukturált formái általában részei a szervezet belsı életét befolyásoló folyamatoknak, ezeket az okmányokat az esetek többségében nem egy bizonyos személynek, hanem egy szervezet egészének továbbítják. Ily módon ezek a kommunikációk folyamatok közötti, vagy személy és folyamat közötti kommunikációként jellemezhetık. (A strukturálatlan dokumentumok átvitelének elterjedt eszköze pl. a fax , illetve az e-mail.) Az EDI elsısorban elektronikus ügyviteli és nem technológiai szabvány a számítógépes ügyviteli alkalmazások között. Mivel alkalmazások közötti kommunikációról van szó, az EDI-hez kommunikációs alkalmazások (pl.: üzenettovábbítás) és protokollok kapcsolódnak. Az EDI-t általános értelemben ott érdemes használni az elektronikus dokumentumkezelésben, ahol több résztvevı között nagymennyiségő kritikus adat rendszeres, szabványos és automatikus továbbításáról illetve cseréjérıl van szó. A szabványosság fıleg akkor kap jelentıséget, ha a kritikus adatok cseréjében számos szereplı vesz részt, a rendszer szereplıi alkalomszerően változhatnak és más és más informatikai rendszerrel rendelkezhetnek. A biztonságos (kritikus) adatkezelés akkor jelentıs, ha szükség van az elektronikus dokumentumok továbbításainak, konverzióinak nyomon követésére, a dokumentumok különbözı megjelenési formáinak archiválására, titkosítására. Az EDI rendszer szabványos és biztonságos kialakítása lehetıvé teszi a rendszerben résztvevık számának egyszerő bıvítését. Ezért érdemes EDI-t használni ott, ahol nagyszámú és igény esetén bıvülı közösség akar adatbiztos ügyviteli kapcsolatot teremteni. Eredendıen az EDI használata "off-line" környezetben javasolt, vagyis az alkalmazások a strukturált adatok halmazát továbbítják egymás között, így tárol és továbbít off-line és nem interaktív on-line környezetrıl van szó. A kritikus dokumentumok jelentıs része ilyen környezetben keletkezik, illetve továbbítódik. (pl.: szerzıdések, nyilatkozatok, jelentések, statisztikák, adóbevallások, vámáru nyilatkozatok, cégkivonatok, nyilvántartási lapok stb.)




Vannak sajátos on-line területek, mint például információ-szolgáltatás, regisztrációs rendszerek, stb., ahol nem érdemes EDI-t alkalmazni. További általános sajátossága az EDI alkalmazást igénylı környezetnek a tömeges és automatikus dokumentumkezelés és feldolgozás. Az EDI automatizmusai, nagy kapacitású adat konverziós és adat be- és kiviteli tulajdonságai az EDI alkalmazásának egyik legfontosabb elınye. A rendszeres adatcsere szintén jellemzı az EDI-t igénylı környezetekre. A rendszeres adatcseréhez általában rendszeres adatfeldolgozás is kapcsolódik legalább az egyik oldalon, ami automatizmusokat igényel az adatbevitelben a hatékony feldolgozás érdekében. Az EDI, mint kommunikációs módszer a logisztikában a nagygépes hálózatok elterjedésével együtt és vállalatirányítási szoftverek elterjedésével vált használatossá. Az EDI-t rendszerint egy nagy ügyfél kényszeríti rá egy kkv-ra (pl. a nagykereskedelem) annak dacára, hogy egy ilyen rendszer alkalmazása meglehetısen költséges. A világ különbözı térségei és a különbözı iparágak helyi EDI szabványokat alkalmaztak, illetve alkalmaznak. A kereskedelem azonban egyre inkább túllép az iparági és nemzeti határokon. Mindez a más szabványok használóit fokozatosan az egységes EDI nyelv az UN/EDIFACT használatára kényszeríti. Az UN/EDIFACT több mint 175 üzleti bizonylat, dokumentum elektronikus leírását tartalmazza. Ezek a dokumentumok a különbözı üzleti tranzakciók széles körét ölelik át, a számláktól a pénzügyi fizetési megbízásokig, a munkavállalói biztosítás múltbeli káreseményeit ismertetı őrlaptól a veszélyes áruk bejelentéséig. Az EDI jövıje, az XML és ebXML Az Internet drámaian megváltoztatta a társaságok közötti kereskedés módját. Az e-business, avagy az Interneten végrehajtott kereskedelmi folyamatok néhány év alatt látványosan növekedtek, de még hosszú utat kell megtenni ahhoz, hogy különösen a kis és közepes üzletek az Internetet használják. Sokféle szabvány van használatban üzletelés elektronikus folytatására, és néhány, mint pl. az EDI már sok éve a helyén van. Ezen szabványok magas implementálási költsége, és az alap struktúráik merevsége költség-hatékonyságukat néhány nagyobb szervezetre korlátozza, melyek megengedhetik maguknak azok integrációját és üzemeltetését. A globális kereskedelem megkönnyítésére, 1999-ben az UN/CEFACT és az OASIS összefogott egy szabvány, az ebXML kifejlesztésére, hogy helyettesítsék a jelenleg használatos EDI elektronikus kereskedelmi szabványt. Céljuk egy olyan szabvány volt, amely miközben biztosítja a nagy szervezetek által igényelt funkcionalitást, a kis és közepes vállalkozások (SME, KKV) számára is könnyő implementációt és üzemeltetést kínál. Egy olyan eljárásra volt szükség az elektronikus üzleti információk létrehozására és cseréjére, amely világméretekben felgyorsítja a szabvány kifejlesztését, valamint csökkenti az implementációs, támogatási és munka költségeket. Forrás és bıvebb információ: http://www.itb.hu/ajanlasok/a17/html/a17_1.htm, http://users.iit.uni-miskolc.hu/~pance/EBXML_Bev_DW_Hu.doc




2.5.3. A vállalaton kívül: az e-business piac Az e-business a tisztán elektronikus adatátvitelen alapuló üzleti ügyintézés népszerő rövidítése. Elektronikus üzletvitel. Az e-business nem azonos az elektronikus kereskedelemmel, bıvebb annál, magában foglalja a vállalat külsı és belsı folyamatainak elektronizálását és integrációját. Magyar szóhasználatban gyakran keveredik az e-business és az elektronikus kereskedelem (e-commerce) fogalma, és helytelenül mindkettı alatt az ebusiness fogalomkörébe tartozó tartalmat értik. Része az: • e-commerce (e-kereskedelem), • az Internet (online) marketing, • a vevıtájékoztatás, • az értékesítés, • a logisztika, • a vállalati költségek csökkentése, vagyis minden, ami kapcsolatba hozható a világhálóval és az azon keresztül történı pénzszerzéssel. Az e-business többrıl szól, mint csupán a technológiáról. A vállalat számára hasznot hozó világos stratégiai elıny megalkotását jelenti, olyanokat, amelyek a munkavállalók, a vásárlók, a partnerek és a beszállítók területén jelentkezhetnek. Az e-business arról szól, hogy kifejlesztenek egy új munkastílust, ami magában foglalja az innovatív stratégia, a folyamatok, a szervezet és a rendszer integrációját. Egyszóval: értéket teremt. Az e-business tényleges fellendüléséhez egy szervezetnek integrálnia kell a vállalati és az Internetes stratégiát. Ehhez szükséges a beszállítói, vevıi, partneri kapcsolatok hálózatának fejlesztése. Végsı soron ez a kapcsolatrendszer fogja meghatározni, hogy az e-business sikeres lesz-e. Az elektronikus kereskedelem mind a kis-, a középmérető vállalkozások, mind a multinacionális vállalatok számára lehetıvé teszi, hogy azonos feltételek mellett kelhessenek versenyre. A vállalkozások rugalmasságán múlik, hogy milyen gyorsan reagálnak az új trendekre, használják ki az új lehetıségeket. Sokszor a gyors válaszreakción múlik egy vállalkozás sikere vagy bukása Az e-business alkotórészei, formái E-commerce Az e-commerce (e-kereskedelem) az üzleti tranzakcióknak minden olyan formája, melyek során a felek inkább elektronikus úton érintkeznek. Tágabb értelemben e-kereskedelemnek nevezzük azt, ha a kereskedelmi folyamat legalább egy része elektronikus formában bonyolódik. Az elektronikus kereskedelem definiálható úgy is, mint egy új értékesítési csatorna, amelyben hatalmas lehetıségek rejlenek, és amelyeket hosszabb távon lehet majd kihasználni. B2B A B2B, azaz Business to Business - vállalatközi elektronikus piacterek - két vállalkozás közti üzleti kapcsolatot jelöl, amelynek színtere a világháló. Általában nem csak adás-vétel folyik 53 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



itt, hanem például a vállalati rendszerek összekapcsolásával nyomon követhetı a szállítások teljesítése is. Az információszerzéstıl a megrendelésen át a teljesítésig az üzlet az Interneten bonyolódik. A beszerzés, a raktározás, a logisztika területén az elektronikus út alkalmazása költségcsökkenést eredményez, meggyorsítja az üzletkötést. A B2B forgalom teszi ki az ekereskedelem legnagyobb hányadát. Elektronikus piactér: Akkor beszélünk elektronikus piactérrıl, amikor a vállalkozás nem építi ki a saját rendszerét, hanem egy szolgáltatóhoz csatlakozik. A B2B szolgáltatók vállalkozásokat képviselnek, a legfrissebb piaci információkkal szolgálnak. A vállalkozásoknak nem kell beszállítókat keresni, vásárlási igényüket jelzik a B2B szolgáltató felé, aki konkrét ajánlatokkal látja el ıket. Így az elektronikus piactérben nem kell minden vállalatnak külön kapcsolatot kiépítenie az egyes üzleti partnerekkel, hanem csak a piactérrel kell kialakítani és karbantartani azt. Az e-piacon csak a vevık és az eladók vannak jelen, a kínálatukkal és a keresletükkel, ezáltal alkalmas arra, hogy az iparágak szereplıit összehozza egymással. Az ehhez szükséges technológiát és biztonságot, a keresıeszközöket, a katalógusokat a piactér biztosítja. Az online üzletkötés hatására a vállalkozásoknál lerövidül és leegyszerősödik a beszerzési ciklus, csökkennek az alapanyag- és az adminisztratív költségek, és javul a raktározási gyakorlat. A B2B szolgáltatóhoz való csatlakozás 10 - 20 %-ban csökkentheti a beszerzési költségeket. A vállalatok közötti üzlet alapvetıen kétféle lehet: • Vertikális integrációra való törekvés, amikor a vállalatok maguk köré győjtik a beszállítóikat, partnereiket, vásárlókat; • Horizontális integráció, amikor egy - egy iparágat képviselve jönnek létre a virtuális piacterek. Mondhatjuk ezek után azt is, hogy az e-business piac olyan rendszer, mely azonos platformra hozza az ügyfelet és a szolgáltatót. B2B szolgáltatások: • Üzleti ajánlatok bekérése (purchasing) • Információk közvetítése (vállalati katalógusok begyőjtése) • Kapcsolatteremtési lehetıség az értéklánc szereplıinek (fórum, chat) • Üzleti kapcsolat egészének vagy egyes elemeinek bonyolítása (ajánlatok közvetítése, üzleti dokumentáció, aukciók, pénzforgalom, áruszállítás) B2B elınyei: • Gyorsaság • Hatékonyság • Forgalomnövekedés • Vevıkapcsolatok javulása • Ellenırizhetıség B2B hátrányai: • A kiépítése költséges és bonyolult • A fenntartási költség relatíve magas 54 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



B2C Jelentése Business-to-Costumer, azaz elektronikus kiskereskedelem. A végfelhasználók felé történı online eladás (pl. e-bay). A kereskedés online áruházakban folyik, ahol a fogyasztók a termékekkel kapcsolatos információkhoz jutnak hozzá, ami lehetıséget ad a termékek és azok árainak az összehasonlítására. B2C Elınyei: • Kényelem: utánjárás nélkül, idımegtakarítással zajlik a vásárlás • Földrajzi határok megszőnése: a vevı saját otthonában válogathat bármely földrész kereskedıinek termékeibıl • Költségmegtakarítás: az Interneten keresztül olcsóbban vásárolhatunk • Kínálat teljessége: nincsenek készletezési korlátok • Non-stop nyitva tartás: az Internet a nap 24 órájában mőködik • Új vásárlók elérése: elsısorban a fiatalabb generáció a célcsoport, akiket munkájuk egyébként is az Internethez köt • Impulzusvásárlások: olyan vásárlásokat válthat ki, amelyek hagyományos értékesítési mód mellett nem következtek volna be B2C hátrányai: • A vásárló nem tudja megfogni, közvetlenül szemügyre venni a terméket • Biztonsági problémák • Meghatározott vásárlói kör B2A + C2A A B2A jelentése Business to Administration, azaz a vállalkozás és a közigazgatás közötti online kapcsolatot jelöli, a C2A pedig nem más, mint a Consumer to Administration, azaz az ügyfél és a közigazgatás közötti kapcsolat. Az online kapcsolat a hatóságokkal lehetıvé tenné a hivatali ügyek intézését. Be lehetne fizetni az adót, illetékeket, társadalombiztosítási járulékot, cégbírósági-, földhivatali bejegyzést intézni, és így tovább. Az állam is megjelenik a világhálón, szerepe megváltozik, funkciója erısödik. Az állampolgárok és az üzleti szféra felé információt nyújt, és szolgáltatást teljesít. Az Internetet felhasználva gyorsabbá és olcsóbbá teszi a közigazgatást, folyamatos hozzáférést biztosít az információkhoz (pályázatok, jogszabályok, ingatlan-nyilvántartás, stb.). Jövıbeni hatása: felgyorsulhat az ügyintézés és csökkenhetnek a hibalehetıségek. Fontos kérdés a logisztikai és fıként a fizetéshez kapcsoló biztonsági kérdések. Forrás és bıvebb információ: http://mokk.bme.hu/mediatervezo/targyak/diploma/tetelek/tars-07-gz.doc Ajánlott irodalom a 2. Fejezethez Biró M., Gábor A., Kı A., Lovrics L., Sántáné-Tóh E. (2007): Döntéstámogató rendszerek, Panem Kiadó Kft. Dobai P. (1997): Vállalati információ-menedzsment. Nemzeti Tankönyvkiadó Rt. Dr. Abonyi János szerk.(2006): Adatbányászat - a hatékonyság eszköze, ComputerBooks. 55 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Dr. Bencsik Andrea (2008): A tudásmenedzsment emberi oldala, Z-Press. Dr. Jánosa András (2005): Adatelemzés számítógéppel, Perfekt. Dr. Roóz József (2005): Vállalkozásgazdálkodási ismeretek, Perfekt. Dr. Roóz József (2007): A menedzsment alapjai, Perfekt. Edward, C. – Ward, J. – Bytheway, A. (1999): Az információs rendszerek alapjai. Panem. Gábor A. (1997): Információ-menedzsment. Aula Kiadó. Hetyei József szerk. (2004): ERP rendszerek Magyarországon a 21. században. ComputerBooks. Laudon • Laudon (2006): Management Information Systems, (vezetıi információs rendszerek) 9/e, Pearson prentice hall. Little, E.–Marandie, E. (2005): Kapcsolati marketing, Akadémiai Kiadó. Pieter Adriaans-Dolf Zantige (1996): Data Mining. Addison Wesley Longman. Piskóti I. (1997): Marketing innovatív kis- és középvállalkozások számára. Innostart. Raffai Mária (2003):Információrendszerek fejlesztése és menedzselése. Novadat. Tapp, A. (1999): Direkt & Adatbázis-marketing. Mőszaki Könyvkiadó. Internetes ajánlatok: Szőcs Imre: Adatbányászati módszerek alkalmazása a pénzügyi szektorban, http://sgforum.hu/forum.php3?azonosito=SM2009 Borgulya István (1995): Szakértıi rendszerek, ComputerBooks. Mikó Balázs: Mesterséges intelligencia, szakértõi rendszerek, http://free.x3.hu/vinyisoft/science/mesterseges%20int.pdf Sándori Zsuzsanna: Mi a tudásmenedzsment, http://mek.niif.hu/03100/03145/html/tartalom.htm ) Válogatott fejezetek az információmenedzsment témakörébıl: http://vmek.oszk.hu/01200/01254/01254.pdf Információ és döntéshozatal: http://larix.emk.nyme.hu/erdinf/InformacioEsDonteshozatal.pdf

2.6. Ellenırzı feladatok 1. Igaz-hamis Az IR célja a hagyományos felfogás szerint az Anthony piramis kiszolgálása. Igaz Egy IR adatforrásai a döntési piramis taktikai szintjéhez tartoznak. Hamis A szakértıi rendszereket operatív, taktikai és stratégiai szinten egyaránt igénybe Igaz vehetjük. A döntéstámogató rendszerek fıként operatív szinten hatékony eszközök. Hamis 2. Az alább felsoroltak közül mi az, ami nem tartozik az IR-ek mőszaki infrastruktúrájához? • Eszközöket befogadó épületek, irodák. • Hálózati nyomtatók. 56 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• •

Telefonhálózat. Partnerek.

3. Melyik jellemzı nem igaz a nyílt forráskódú (OSD) szoftverre? • Szabadon terjeszthetı. • Mőködése szabadon tanulmányozható. • A forráskód elérhetı. • Ingyenes. 4. Az alábbi felsorolásból válassza ki azokat a szempontokat, amelyek az IR technológiai követelményei közé tartoznak: • Redundancia. • Automatizálás. • Eszközfüggetlenség. • Nyitottság. 5. Igaz-hamis Egy ES rendszer válaszai mindig helyesek. Hamis Egy ES rendszer részleges adatokkal is tud dolgozni. Igaz Egy ES rendszer elérhetı áron terjeszti a szakértı ismereteit. Igaz Egy ES rendszer tudásbázisának kialakítása nem igényel személyes szakértıi Hamis tudást. 6. Az alábbi állítások közül melyek igazak az adattárházakra? • Az adattárházak adatai állandóak. • Adattárházak esetén nem fontos az adatok tematikus szervezése. • Adattárházban a különbözı forrásból származó adatokat egységes szerkezetben kezeljük. • Az adattárházak adatai egyfajta történetiséget tükröznek. 7. Az alábbiak közül melyek jellemzı adatbányászati alapmegoldások? • Szegmentálás (klaszterezés). • Asszociációs szabályok feltárása. • Regressziós következtetés. • Hálótervezés. 8. Igaz – hamis A CRM rendszerek jelenleg fıként a közép-és nagyvállalatok jellemzı eszköze. Igaz A SaaS jellegő szolgáltatások a kkv-k számára is elérhetıvé teszik a piacvezetı Igaz alkalmazásokat. Az SCM rendszerek a vállalaton belüli tevékenységekre korlátozódnak. Hamis ERP rendszerek esetén alapvetı cél a szervezeten belüli önálló adatállományok Igaz integrálása.




3. FEJEZET: PROJEKTVEZETÉS 3.1. Bevezetés Napjaink nagymértékő és egyre gyorsabb változásai a vállalkozásoktól jelentıs alkalmazkodó képességet és szüntelen innovációt követelnek meg. A jelentısebb innovációkat projektek végrehajtásával valósítják meg. A projektek megvalósításával foglalkozó projektmenedzsment a szervezetek vezetésének és így a vezetéstudománynak egyik legújabb, önálló területe, amely projektek menedzselésével biztosítja a stratégiai célok elérését. Mivel a projekt komplex feladat, ezért a projektvezetınek ismernie és alkalmaznia kell a projektmenedzsment tudományának eszköztárát. A projektmenedzsment tudományának összefogásával, fejlesztésével, a projektvezetés szakembereinek képzésével, érdekeik képviseletével számos nemzetközi és hazai szervezet foglalkozik. Nézzünk ezek közül néhányat. PMI - Project Management Institut Newtown Square, PA (Projektvezetési Intézet) (http://www.pmi.org/)

19073-3299 USA

Fı tevékenysége: Szakmai standardok kialakítása, folyamatos fejlesztése. A PMBOK (Project Management Body of Knowledge) a projekt menedzsment területén világszerte elismert standard. • Lehetıséget biztosít a projektmenedzsment területén szakmai vizsga letételére. • Folyamatos kutatásokat végez a projektmenedzsment elméleti és gyakorlati területein. • A projektmenedzsment területén oktatást végez. A szervezet magyar tagozata: PMI Budapest, Hungarian Chapter (http://www.pmi.hu) IPMA – International Project Management Association (Nemzetközi Projektvezetési Szövetség) (http://www.ipma.ch) •

1965-ben alapított, Svájcban bejegyzett non-profit szervezet, mintegy 50 nemzeti projektmenedzsment szervezet szövetsége. • Küldetése: a projektmenedzsment továbbfejlesztése és nemzetközi standardjain alapuló minısítés kialakítása. • A projektmenedzsment területén kutatásokat végez. • Tréningeket és nemzeti, nemzetközi konferenciákat szervez. • A világ mintegy 40 országában folyik IPMA minısítéső vizsgáztatás. Magyarországi tagszövetsége: Project Management Association Hungary (FİVOSZ) www.fovosz.hu Projekt Menedzsment Mesterség Kitőnıségéért Alapítvány (www.ipmacert.hu). A kizárólagos magyarországi IPMA vizsgaközpont. Vizsgáin az alábbi nemzetközileg elfogadott képesítések szerezhetı meg: • IPMA A szint - Projekt igazgató, • IPMA B szint - Senior projektmenedzser, 58 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• •

IPMA C szint - Projektmenedzser, IPMA D szint – Projektszakértı.

3.2. A projektvezetés fı fogalmainak meghatározása Mielıtt a projektvezetéssel foglalkoznánk, nézzük röviden a projekt fogalmát. A projekt olyan egyszeri tevékenység sorozat, amely komplex feladat megoldásával biztosítja a kitőzött cél megvalósítását (eredményt) elıre definiált minıségben, meghatározott idıintervallum és tervezett költség keret határain belül. A vezetés szintjei: • Operatív vezetés (üzemeltetés): feladata a mindennapi folyamatos, szabályozott tevékenység biztosítása. Rövidtávon hatnak a döntései, legmeghatározóbb tényezıi az aktuális helyzet és az éppen elérhetı erıforrások. Elsısorban funkcionális szervezetei egységekhez köthetı. • Stratégiai vezetés (tervezés): az egyre gyorsabban változó körülményekhez igazodó jövıbeli mőködést biztosító komplex célok folyamatos újra fogalmazása a feladata. Hosszútávon ható komplex tevékenység, amely a szervezet egészére hatással van. (Tervezés) • Projektvezetés (megvalósítás): közvetít a stratégiai vezetés és az operatív vezetés között. A stratégiai vezetés által megfogalmazott cél eléréséhez szükséges innováció a projekt(ek) teljesítésével valósul meg, az innováció eredménye pedig beépül az operatív tevékenységbe. Meghatározó tényezıi az elérendı cél valamint a rendelkezésre álló idıkeret és erıforrás. Egyszeri, de hosszabb idıszak alatt lezajló innovatív tevékenység. Középtávon hat a szervezet több funkcionális egységére, esetenként a szervezet egészére. A vezetés dimenzióinak összehasonlítása: Görög Mihály: A Projektvezetés mestersége, 32. oldal) A projektvezetınek rendelkeznie kell • technikai (mőszaki, közgazdasági), • humán (kommunikációs, problémamegoldó, konfliktuskezelı, csapatépítı, …) • speciális projektvezetési (stratégiaorientált projektvezetési szemléletmód, a projektvezetési ismeretek birtoklása és alkalmazása) képességekkel. PPP: Projekt – Program – Portfólió (http://www.ipmacert.hu/docs/ICB3.0_HU_2.0.pdf 47-51. oldal)

3.3. Hogy készítsünk elı egy projektet? Mivel nincs két egyforma projekt, ezért a projekteknek nem lehetnek egységes szabályai sem. Ebbıl következik, hogy a projekt elıkészítésének elsı teendıje a projekt szabályainak meghatározása, amely magának a projektnek a meghatározását jelenti. A projekt definiálása során meg kell adnunk: 59 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• • •

a projekt célját, a cél elérésének módját, projekt terjedelmét.

A fenti adatokat Projektalapító okiratba (project charter) foglalhatjuk. Eric Verzuh: Projektmenedzsment, 94. oldal illetve http://hvg.hu/hvgkonyvek/projektmenedzsment.aspx letölthetı projektmenedzsment anyagok linken keresztül. 3.3.1. A projekt célja és résztvevıi A projekt megvalósításával a stratégiai vezetés által megfogalmazott eredményt kívánjuk elérni. Vagyis a projekt alapvetı célja ennek az eredménynek a biztosítása. A célokat teljes körően definiálni kell, úgy, hogy azok elıre meghatározott indikátorokkal mérhetıek legyenek. A projektcélnak az eredmény – idıtartam – költség projektháromszögön belül kell elhelyezkednie, (Görög Mihály: A Projektvezetés mestersége, 28 -29. oldal) és természetesen az eredményt megfelelı minıségben kell biztosítania. Az informatikai rendszerekre különösen igaz, hogy az igények szinte napról-napra változnak. Vagyis ezen a téren állandóan új célok kerülnek megfogalmazásra. Egy információs rendszerrel szemben támasztott igény megoldására két alapvetı cél jöhet szóba: • új információs rendszer bevezetése, • meglévı rendszer tovább fejlesztése. A célokkal együtt a projektben érintett személyek (stakeholder) körét is meg kell határozni. İk azok, akik részt vesznek projektben, illetve akikre a projekt eredménye hatással van. Az érdekeltség lehet anyagi és nem anyagi természető. Az érdekelt felek legfontosabb csoportjai: • Ügyfél (megrendelı), aki meghatározza a követelményeket, fizeti a számlát. • Projektmenedzser a projekt irányítója, „karmestere”. Vezetıi feladata idıleges, csak a projekt idıtartamára szól. • Projektteam azon személyek csoportja, akik a projektmenedzser irányításával a projektben szereplı feladatokat megoldják, a munkát elvégzik. Tagjai között a megrendelı érdekeltségi körébe tartozó személyek is lehetnek, mint például az IR projekt esetében a fejlesztésben résztvevı felhasználók. • A menedzsment a vállalkozások funkcionális szervezeti egységeinek állandó vezetıi, míg a projektmenedzser megbízása csak ideiglenes, a projekt kivitelezésének idıtartamára szól. • szponzor a projekt sikeréért felelıs hivatalos jogkörrel rendelkezı személy, támogatja a projektmenedzser és a projektteam munkáját, közvetít a vállalkozás funkcionális menedzsmentje és a projektmenedzser között, segít a projekttel szembeni belsı ellenállások állások leküzdésében. A projekt indításakor fontos feladat a stakeholder kör pontos meghatározása, igényeik felmérése. Csak az érintettek egyetértése esetén biztosított a projekt sikere, a projekt céljának az elérése. 60 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



3.3.2. Projektjavaslat Miután ismert a projekt célja, a megvalósításra készítünk javaslatokat. A javaslat tartalmazza az elérendı eredmény pontos meghatározását és egy lehetséges megoldást a kívánt eredmény elérésére. Összefoglalja a javasolt változat elınyeit, hátrányait. (Eric Verzuh: Projektmenedzsment, 92-93. o. illetve http://hvg.hu/hvgkonyvek/projektmenedzsment.aspx letölthetı projektmenedzsment anyagok link) Ha egy projekt esetében a célunk egy új információs rendszer kialakítása, akkor a megoldási alternatívák az alábbiak lehetnek: • megvalósítás fejlesztéssel, • kész rendszer megvásárlásával, • kiszervezéssel. Az elınyök és hátrányok számbavételének az alábbi szempontjai lehetnek: • a bevezetéshez rendelkezésre álló idı, • a projekt költségkerete, • szakszerőség, • referenciák, • kompatibilitás, • betanítás, oktatás, • speciális igények a rendszerrel szemben, • szoftver követés megoldása, • dokumentálás, • üzemeltetési támogatás. 3.3.3. Az emberi és mőszaki erıforrások meghatározása A legmegfelelıbb projektjavaslat kiválasztása után következhet a projekt • idıtartamának, • a rendelkezésre álló erıforrásoknak • a projekt költségeinek tervezése. E három összetevı kölcsönösen befolyásolja egymást. Könnyő belátnunk, hogy a gyorsabb munkavégzés további erıforrásokat (túlóra, nagyobb teljesítményő berendezések, …) igényel, a pótlólagos erıforrás bevonása pedig többlet költséggel jár. A projektvezetésnek kell biztosítania, hogy a szükséges technikai és humán erıforrások • meg felelı idıben, • megfelelı helyen, • megfelelı összetételben, minıségben rendelkezésre álljanak. Mindezt úgy kell biztosítani, hogy közben a projekt megvalósításának idıtartama és költségvetése az elıirányzaton belül maradjon. (http://www.ipmacert.hu/docs/ICB3.0_HU_2.0.pdf 18-20. oldal) A projekteknek természetes velejárója a bizonytalanság, ami kockázatot jelent a végrehajtás során. A kockázatkezeléssel a modul II. fejezete foglalkozik részletesen.




3.4. Hogy építjük fel a projektet? A projektek megvalósítása során munkafolyamatok végrehajtásával terméket állítanak elı meghatározott szervezeti keretek között. Ennek megfelelıen a projektet e három terület részletes felosztásával illetve felépítésével mutathatjuk be. A felbontás során TOP-DOWN tervezést végzünk, vagyis a felülrıl lefelé haladva a „nagy egészet” felbontjuk olyan kisebb egységekre, amelyek átláthatóak, és egyben kezelhetıek. Ez a felbontás a nagy egész bonyolultságától függıen több szinten, több lépésben is történhet. Ezt az eljárást nevezik fokozatos finomítás módszerének is. Miután meghatároztuk az elemi részeket, következhet a BOTTOM UP tervezés, melynek során alulról felfelé haladva a részekbıl összerakjuk az egészet. 3.4.1. WBS A WBS (Work Breakdown Structure), munkalebontási szerkezet a tevékenység folyamat részletes felbontását jelenti. A projektek munkacsomagokra bontása a tervezés egyik leghatékonyabb eszköze. Eredményeként megkapjuk a projekt feladatlistáját, amely tartalmazza az elvégzendı munkacsomagokat, illetve az ezeket csoportosító összefoglaló feladatokat. A munkacsomagok méretének meghatározásakor az egyik szempont a 8/80-as szabály, mely szerint a munka 8 és 80 munkaóra, azaz 1-10 munkanap alatt legyen elvégezhetı. Az optimális mérető munkacsomag: • paraméterei (idı, erıforrás, költség) pontosabban becsülhetıek, • ezáltal kisebb a bizonytalanság és a kockázat, • könnyebben nyomon követhetı, ellenırizhetı. (Eric Verzuh: Projektmenedzsment, 131-142. oldal) A WBS ábrázolása a történhet faszerkezet elrendezésben (3.1. ábra) illetve menülistában (3.2. ábra):

Projekt

1. Összefoglaló feladat



1.1. Összefoglaló feladat 1.1.1 munka csomag

1.1.2 munka csomag

1.2 munka csomag

2.1 munka csomag

2.2 munka csomag

3. munka csomag

4.1 munka csomag

4.2 munka csomag

3.1. ábra 62 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Projekt 1. Összefoglaló feladat 1.1. Összefoglaló feladat 1.1.1. Munkacsomag 1.1.2. Munkacsomag 1.2. Összefoglaló feladat 2. Összefoglaló feladat 2.1. Munkacsomag 2.2. Munkacsomag 3. Munkacsomag 4. Összefoglaló feladat 4.1. Munkacsomag 4.2. Munkacsomag 3.2. ábra 3.4.2. PBS PBS (Product Breakdown Structure) terméklebontási szerkezet, amit darabjegyzéknek (BOM – Bill of Materials) is nevezhetünk. A termék részletes felosztása során a - munka felosztásához hasonlóan - meghatározzuk a termékbe beépülı alkatrészek és anyagok struktúráját és mennyiségét. Nagy értékő, sok alkotóelembıl felépülı termékek esetén indokolt az elkészítése. Ábrázolása a 3.1. ábrához hasonló gyártmányfa segítségével történhet.

Termék

A1 alkatrész

A2 alkatrész

3

A3 alkatrész

2

5

A4 alkatrész 4 B1 anyag

B2 anyag 5

B3 anyag 2

B2 anyag 4

B4 anyag 3

B5 anyag 2

5

B2 anyag

B4 anyag

8

4

3.3. ábra A 3.3.ábrán szereplı gyártmányfa egyes alkotó elemei alatt a szükséges mennyiségek szerepelnek. Például A1-es alkatrészbıl 3 db szükséges a termékünkbe, és ezek mindegyikébe 4 db épül be a B3 anyagból. Az ábra alapján határozzuk meg a szükséges B2 anyag mennyiségét: 3*4*2 + 2*3 + 5*8 = 70 63 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



3.4.3 OBS Az OBS (Organization Breakdown Structure) a szervezet felosztását jelenti. Az elvégzendı feladatokhoz szervezeti egységeket kell rendelnünk. A szervezetek alaptípusai: • lineáris-funkcionális, • mátrix, • projektre orientált. Görög Mihály: A Projektvezetés mestersége – 8. fejezet: A projektszervezet formái, 161 -171. oldal

3.5. Hogy kell egy projektet irányítani? Az irányítás rendszerelméleti fogalom, beavatkozás a rendszer mőködésébe. A beavatkozás célja lehet: • a folyamatok elindítása, • a kívánt módon történı fenntartása, • hibás mőködés esetén a folyamatok megváltoztatása, • folyamatok megállítása. Irányításra azért van szükség, mert a rendszert folyamatosan érik várt - nem várt, kívánt – nem kívánt hatások, és ezen hatások között és ezen hatások ellenére a rendszerben a folyamatoknak a kívánt cél felé kell tartania. 3.5.1. Projektirányítás A projektirányításnak biztosítania kell, hogy a projektet beindítsa, megtartsa a cél felé vezetı úton, a menetközben jelentkezı problémákat idıben felismerje, a zavarokat elhárítsa, és a projektet eredményesen lezárja. A projekt végrehajtása során folyamatos ellenırzés szükséges, mérnünk kell a részeredményeket az esetleges beavatkozások érdekében. A projekt résztvevıivel (stakeholder) már a 3.3.1. fejezetben foglalkoztunk. Biztosítani kell, hogy minden érdekelt ismerje a projekt célját, és a kitőzött céllal azonosuljon. Különösen igaz ez a megállapítás a projektteamre, hiszen ık végzik a munkafolyamatok jelentıs részét. A projektirányítás legfontosabb aspektusai: • a projektteam kialakítása, • hatékony kommunikáció a stakeholderekkel, • minden érintett fél motiválása, • konfliktuskezelés. (Eric Verzuh: Projektmenedzsment, 249 – 264. oldal) 3.5.2. Projektvezetés A projektvezetés a 3.2. fejezetben említett képességek birtokában a rendelkezésére álló eszközök alkalmazásával, a projektteam hatékony irányításával biztosítja a projekt céljához 64 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



vezetı munkafolyamatokhoz szükséges erıforrásokat meghatározott idıtartam, költségkeret és minıség betartása mellett. A projektvezetés a projekt végrehajtása során részfeladatokat újracsoportosít, mint pl. tervezés, kockázatkezelés, költségszabályozás, becslés, változásmenedzselés. A legfontosabb projektvezetési eszközök: • A projektvezetési technikák a projekt egy – egy szakaszához kapcsolódó eszközök csoportja, melyek számszerő (mennyiségi) megoldásokat eredményeznek. Ilyen technika például az idıszükséglet tervezésekor használt hálótervezés vagy a kockázatelemzés eszköztára. • A projektvezetési módszerek szintén a projekt valamely részterületéhez köthetı kvalitatív eszközök, eredményük nem számszerő. • Az elıbbi eszközöktıl eltérıen a projektvezetési módszertan (eljárások) a projekt egészével foglalkozik, annak „forgatókönyvét” adja. Ilyen eljárás a PRINCE (PRojects IN Controlled Environments) (Görög Mihály: A Projektvezetés mestersége, 57 - 60. és 301 – 305. oldal) Kurzusunk a továbbiakban csak a tervezés, költségszabályozás és a változás-kezelés néhány eszközével foglakozik. 3.5.2.1. Tervezés (Pert és Gantt) E tervezés egyik fontos területe a folyamatok idıszükségletének tervezése. Egy projekt idıszükségletének tervezés az alábbi lépésekbıl áll: • •

• • • •

A projektet tevékenységekre (munkacsomagokra) bontjuk. Meghatározzuk a tevékenységek logikai sorrendjét, a tevékenységek függését. Minden tevékenységhez megadjuk: o az ıt közvetlenül megelızı, o az ıt közvetlenül követı tevékenységeket, o a tevékenységek közötti várakozási idıket illetve átfedéseket, o a párhuzamosan végezhetı tevékenységeket, A tervezés során a logikai sorrendet sok esetben a technológiai elıírások határozzák meg, bizonyos esetekben a tervezı döntheti el. A tevékenységek idıtartamának meghatározása. A tevékenységek ábrázolása: o sávdiagramon, pl. Gantt-diagram, o hálódiagramon, pl. PERT diagramon. Az elkészült idıterv elemzés, konkrét idıpontok hozzárendelésével. Költségek meghatározása.

Sávdiagramaon történı ábrázolás: Gantt-diagram Projektek idıtervének egyik legelterjedtebb ábrázolási módja a Gantt-diagram. Ezt a sáv diagramot használja az MS Project program is alapértelmezett nézetként. A diagram sorfejében a sorszámok és a tevékenységek megnevezése, oszlopfejében pedig az idı (egymást követı azonos hosszúságú idıszakok) szerepel. Az alábbi ábrán Gantt diagramon:




Sorszám

Tevékenység

1.

a tevékenység

2.

b tevékenység

3.

c tevékenység

4.

d tevékenység

5.

e tevékenység

6.

f tevékenység

1

2

3

4

5

Idı (hét) 6 7

8

9

10

11

12

3.4. ábra Az ábrán a pirossal jelölt idıszak kötelezı várakozási idıt jelent, vagyis a d tevékenység csak az a tevékenység befejezése után 1 héttel kezdıdhet. A világoszöld nyilak a tevékenységek függıségét szemléltetik. Például az e és az f tevékenység függ a c és a d tevékenységektıl, az e és az f csak a c és a d tevékenységek befejezıdése után kezdıdhet. További példák: •

Görög Mihály: A projektvezetés mestersége, 6.5. ábra. Egy hétvégi ház építési projektjének idıterve Gantt-digram formában (111.oldal)

•

A Gantt-diagram kiegészíthetı az egyes tevékenységek felelıseivel és a határidıkkel is. Erre láthatunk példát az alábbi oldalon: http://www.nfu.hu/download/9595/16.a%20GANTT-diagram%20utmutato_TAMOP_525.pdf

Hálódiagramon történı ábrázolás Hálóba történı ábrázolásnak két fajtája létezik. Az egyik ábrázolásban a háló csomópontjai jelentik a tevékenységeket, az élek pedig a tevékenységek egymáshoz kapcsolódását mutatják. A 3.5. ábra hálótervében a 3.4. ábra Gantt-diagramjában szereplı folyamat tevékenységeit ábrázoljuk. Ebben az ábrázolásban az átfedések és várakozási idık nem jelentenek gondot.




a

c

e

b

d

f

3.5. ábra A másik ábrázolási módban a háló élei jelentik a tevékenységeket, a csomópontok állapotokat mutatnak. A 3.6. ábrán is a 3.4. ábra Gantt-diagramjában szereplı folyamat tevékenységeit szemléltetjük. A 3-as állapot azt jelenti, hogy mind a c, mind a d tevékenység befejezıdött. A szaggatott vonal látszattevékenységet jelöl, azt mutatja, hogy az 5-ös állapot (ami egyben a teljes folyamat vége) csak a 4-es állapot után következhet be, de a két állapot között nincs tényleges munkavégzés.

Várakozási idı

2

b

2’

c

f

3

5

e d

0

4

a

Látszat tevékenység

1

3.6. ábra Hátránya ennek az ábrázolásnak, hogy az átfedéseket nem képes kezelni, a várakozási idıket pedig fiktív tevékenységként kell feltüntetni. A 3.6. ábra hálódiagramja és a 3.4 ábra idıadatai alapján a CPM (Critical Path Method) eljárás segítségével meghatározhatjuk a minta projektünk átfutási idejét, és a kritikus utat. A kritikus út az a tevékenység sorozat, amelyben bármilyen késedelem az egész projekt elhúzódását eredményezi. A 3.8. ábra második oszlopában az egyes tevékenységek kezdeti állapotát, a táblázat elsı sorában pedig az egyes tevékenységek végállapotát tüntetjük fel. A táblázat érték adatait bemásoljuk 3.4. és a 3.6 ábrából. Például a d tevékenység az 1 állapotból indul, és a 3 67 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



állapotban végzıdik, idıtartama 6 hét. Ha a hálótervet jól szerkesztettük, akkor a táblázatnak csak az átló feletti sárga részén lehetnek adatok. Ezután kezdhetjük a számolást. Legkorábbi kezdés ↓ 0 2 2 3 8 11 12

Befejezés → Kezdet ↓ 0

0

1

2

a

2’

3

4

5

b 2

2 d

1

6 vár. idı 1

2

c

2’

3 f

3

e 3

4 látsz. tev. 0

4 5

Legkésıbbi kezdés →

12

3.7. ábra A táblázat elsı oszlopában meghatározzuk, hogy mikor következhetnek be leghamarabb az egyes állapotok, vagyis az egyes tevékenységek mikor kezdıdhetnek legkorábban. A 0 állapotnál 0 idıpontban indítjuk a stoppert. Az 1 állapot akkor áll elı, ha a 0 állapot után az a tevékenység befejezıdött, vagyis 0 + 2 = 2 idıpontban (piros nyilak). A számolási algoritmusunk szerint az n. állapot legkorábbi bekövetkezéséhez az n. állapot oszlopában az i. sorban talált számhoz, hozzáadjuk az i. sor elején (legkorábbi kezdés oszlopban) található számot. Ha az n. oszlopban több szám is van, akkor mindegyikre ki kell számolnunk az összeget, és a legnagyobb értéket kell beírnunk a legkorábbi kezdéshez. (Az adott állapotot megelızı leghosszabb tevékenység sorozatnak is be kell fejezıdnie.) A 3 állapot esetében: 3 + 3 = 6 (fekete nyilak) 6 + 2 = 8 (zöld nyilak) Mivel a 8 a nagyobb, ez lesz a 3 állapothoz tartozó legkorábbi kezdés. A várakozás idı és a látszattevékenység (0 héttel vesszük figyelembe) számítása a többi tevékenységhez hasonló módon történik. Miután mindegyik állapothoz kiszámoltuk a legkorábbi kezdést, azt kaptuk, hogy a teljes folyamat átfutási ideje 12 hét. Ezt a 12-t átmásoljuk a legkésıbbi kezdés sorának utolsó oszlopába, és elkezdjük a legkésıbbi kezdések kiszámítását. Meghatározzuk, hogy az egyes állapotok mikor következhetnek be legkésıbb úgy, hogy a teljes folyamat átfutási ideje ne növekedjen. A megoldást az áttekinthetıség miatt a 3.8. ábrán folytatjuk.




Legkorábbi kezdés ↓ 0

Befejezés → Kezdet ↓

1

2

2

3

2’

8

3

11

4

12

5

Tartalék idı →

1

2

a

0

2

Legkésıbbi kezdés →

0

2’

3

4

5

b 2

2 d 6 vár. idı 1 c 3 f

e 3

4 látsz. tev. 0

0

2

4

5

8

12

12

0

0

2

2

0

1

0

3.8. ábra A 4 állapotnak legkésıbb az 5 állapot legkésıbbi bekövetkezése (12. hét) elıtt a látszat tevékenység (0) idıtartamával elıbb fenn kell állnia, vagyis 12 - 0 = 12 idıpontban (piros nyilak). A számolási algoritmusunk szerint most az n. állapot legkésıbbi bekövetkezéséhez az n. állapot sorában az i. oszlopban talált számot, levonjuk az i. oszlop legkésıbbi kezdés sorában található számból. Ha az n. sorban több szám is van, akkor mindegyikre ki kell számolnunk a különbséget, és a legkisebb értéket kell beírnunk a legkésıbbi kezdéshez. (Az adott állapotot követı leghosszabb tevékenység sorozatnak is be kell fejezıdnie.) A 3 állapot esetében: 12 - 3 = 9 (fekete nyilak) 12 - 4 = 8 (zöld nyilak) Mivel a 8 a kisebb, ez lesz a 3 állapothoz tartozó legkésıbbi kezdés. Ha kiszámoltuk visszafelé haladva az összes állapothoz tartozó legkésıbbi kezdést, meghatározhatjuk a tartalékidıket és a kritikus utat. A tartalék idıt megkapjuk, ha az egyes állapotokhoz tartozó legkésıbbi kezdésbıl levonjuk az adott állapothoz tartozó legkorábbi kezdést. A 0-nál nagyobb tartalék idı azt jelenti, hogy amennyiben az adott állapotnak a bekövetkezése a tartalékidınél nem nagyobb mértékben csúszik, a teljes projektre kiszámított átfutási idı nem növekszik meg. A 0 - 1 – 3 – 5 állapotoknál tartalék idı 0, vagyis ezeknél az állapotoknál nem történhet csúszás, ezek az állapotok a kritikus úton vannak. A 3.6. ábrán narancssárgával jelölt tevékenységek mutatják a kritikus utat. A hálós ábrázolás típusától függetlenül a projekt folyamatainak bizonytalanságától függıen használjuk: 69 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• •

a determinisztikus számítást, vagy a szochasztikus becslést.

Ha a folyamat összes tevékenységéhez egy-egy meghatározott idıtartamot rendelhetünk, amelynek nincs bizonytalansága, akkor determinisztikus megközelítésrıl beszélhetünk. Ilyen a minta feladatunk is, amelyre fent elvégeztük a kritikus út meghatározását. Ha viszont a tevékenységek idıtartama nem határozható meg egyértelmően, akkor sztochasztikus idıtervezést végzünk. A PERT (Program Evalution and Review Techniqe) technika alkalmazásakor a tevékenységek idıtartamának három értékét adjuk meg. • Az optimista idıtartam a legrövidebb idıtartam, ami alatt a tevékenység elvégezhetı. (Minden bizonytalansági tényezı a lehetı legjobban alakul.) • A pesszimista idıtartam a leghosszabb idıtartam, ami alatt a tevékenység elvégezhetı. (Minden bizonytalansági tényezı a lehetı legkedvezıtlenebbül alakul.) • A reális idıtartam alatt végezhetı el a tevékenység a legnagyobb valószínőséggel. (A bizonytalansági tényezık átlagosan alakulnak) E három idıadatból számolhatjuk a várható idıtartamot és annak bekövetkezési valószínőségét, ezek ismeretében pedig meghatározhatjuk a kritikus út hosszát és bizonytalanságát. 3.5.2.2. Költségvetés és költségszabályozás Az idıszükséglet tervezése mellett a tervezés egy nagy területe a költségek tervezése. A projekttel kapcsolatos költségeket két nagy csoportra bonthatjuk: • Az egyszeri költségek, amelyek a projekt megvalósítása alatt, a beruházáshoz kapcsolódóan jelentkeznek. • A folyamatos költségek, amelyek a kész projekt üzemeltetése közben keletkeznek. Egy informatikai projekttel kapcsolatos beruházási költségek: • hardver, • szoftver, • menver, • orgver költségei. A hardver és szoftver költségei egy informatikai projekt esetében triviálisnak tőnnek. De hiába a legjobb technika, ha nincs megfelelı személyzet a mőködtetésére, akkor a projekt nem lehet sikeres. A majdani mőködtetést végzı személyzet felkészítését is a projekt megvalósítása alatt kell elvégezni, ezért ez része az egyszeri költségeknek. Ugyanígy egyszeri költséget jelentenek a projekt sikeréért dolgozó szervezı team munkájával kapcsolatban felmerült anyagi jellegő és személyi jellegő költségek is. Az üzemeltetés költségei a projekt elkészülte, üzembe helyezése után lépnek fel. Általában a régi rendszer gazdaságtalan, magas mőködési költségénél alacsonyabb költséget jelent. Pl. kevesebb ember, és/vagy rövidebb idı alatt végzi el ugyanazt a munkát. Ezt az esetet költség megtakarításként vehetjük figyelembe. Természetesen az is elıfordulhat, hogy a mőködés költségei nem lesznek alacsonyabbak, hanem az új rendszer kibıvült, jobb minıségő szolgáltatásai jelentik az új rendszer elınyeit. Informatikai projekteknél különösen gyakori ez az utóbbi eset.




Fontos szempont a költségvetéssel kapcsolatban, hogy a projekt elején kell elkészíteni, de egyes tételei a projekt futamideje alatt aktualizálódnak. Vagyis induláskor a költségeket becsüljük. A becslés tipikus módjai: • Szakaszos becslés alkalmazásakor a projektet szakaszokra bontjuk, és az egyes szakaszok költségeit tervezzük meg úgy, hogy az idıben közeli szakaszokra részletes becslést készítünk, a távoli szakaszokra csak nagyságrendi becslést. • Arányos felosztás során a teljes projekt költségkeretét felosztjuk az egyes részfeladatok között. • Paraméteres becslés esetén a fajlagos (egy egységre jutó) mutatók, mint paraméterek, és az egységek darabszáma alapján becslünk. • Lentrıl-felfele becslés használatakor minden egyes tevékenység (ld. WBS tervezés) költségét meghatározzuk, és ezen költségeknek általában, többszintő összesítésével kapjuk a projekt költségvetését. Részletesebben és példákkal illusztrálva lásd Eric Verzuh: Projektmenedzsment, 183 - 208. oldal. 3.5.2.3. Változás-kezelés és az emberi tényezı A projektek végrehajtása közben változhat a megrendelı igénye, új technológiák jelenhetnek meg, és számtalan egyéb, elıre nem prognosztizálható hatással szembesülhetünk. Ezek a nem várt hatások a projekt végrehajtásában változásokat igényelnek. A változás-kezelés lehet proaktív, amely elébe megy a változásoknak, vagy lehet reaktív, amely követi a változásokat. A változások különbözı mértékőek lehetnek, ennek megfelelıen a változásmenedzsment különbözı szintjein történik a változások jóváhagyása: • A projektmenedzser vagy a projektteam olyan változásokat hagyhat jóvá, amelyek javítják, vagy nem érintik projekt eredményét, valamint nem növelik a költségeket és az átfutási idıt. • Amennyiben az eredményben, költségekben vagy idıkeretben történik változás, a módosítás jóváhagyásáról vagy elutasításáról a projektbizottság dönthet. A projektbizottságban képviselettel rendelkezik a projektteam, a megrendelı, a funkcionális menedzsment, és részt vesznek a bizottság munkájában mindazon területek képviselıi, amelyekre a változás hatással van. • Ha a változás meghalad egy értékhatárt, a steakholderek magasabb szintő vezetıinek kell a változtatásokat elbírálnia. Bármelyik szinten történjen is a változásokkal kapcsolatos döntések meghozatala, nagyon fontos a megfelelı dokumentálás. A két jelentıs dokumentum a változtatási kérelem és a változtatási napló. Eric Verzuh: Projektmenedzsment, 306 – 310. és 324.- 325. oldal, vagy http://hvg.hu/hvgkonyvek/projektmenedzsment.aspx letölthetı projektmenedzsment anyagok link. Egy informatikai rendszer bevezetése a vállalkozások szervezeti felépítésében is változtatásokat igényel. A rendszert használó szakember gárdát is fel kell készíteni az új rendszer használatára. A következı tevékenységek a jó felkészítés kulcsai: 71 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• •

•

A projekt minden szintjére kiterjedı kommunikáció. A coaching, amely a sportból származó felfogás szerint speciális gondolkodásmód, szemlélet, amely növeli a probléma megoldó képességet, és ezáltal jobb eredmények elérését teszi lehetıvé. A coach (tréner) nem tanácsokat ad, hanem segíti a rejtett, belsı adottságok felismerését, és ezek kibontakoztatásával az eredményesebb munkavégzés elérését. Az új informatikai rendszer kezelését képzések során sajátíthatják el a leendı felhasználók. Ez történhet külsı és belsı képzéssel, iskolarendszerő és nem iskolarendszerő keretek között

3.6. Hogy telepítsük és használjuk a projekt eredményét Az információs rendszert az „éles” használat elıtt tesztelni kell. A tesztelés természetesen már a fejlesztés során is követelmény. A tesztelés szintjei: • Modul teszt. A top-down tervezés során a programot kis modulokra bontjuk, és ezen modulokat már a kódolás közben teszteljük. Maga a fejlesztı rendszer elvégzi a szintaktikai ellenırzést, ami azt jelenti, hogy az utasításoknak meg kell felelnie a fejlesztı rendszer „nyelvtani” szabályainak. A szemantikai tesztelés során a fejlesztık, illetve a felkért, független tesztelık a program egyes moduljainak „tartalmát” ellenırzik. A tesztspecifikációban meghatározott lépések során elıre definiált inputokhoz kapcsolódó elvárt outputokat ellenırzik. • Integrációs teszt. A bottom-up tervezésnek megfelelıen a az egyes modulokból egyre nagyobb egységeket állítunk össze, integráljuk a részegységeket. Az ellenırzés során gyakran használt eljárás a V & V. o a verifikációval ellenırizzük, hogy jól tesszük-e a dolgunkat, o a validációval pedig azt ellenırizzük, hogy az elıállított rendszer teljesíti-e a vele szemben támasztott követelményeket. • A próbaüzem során a teljes rendszer tesztelése történik üzemi körülmények között. Az elkészült rendszer bevezetése történhet: • közvetlen átállással, • szakaszos átállással, • párhuzamos üzemeltetéssel. A közvetlen átállás azt jelenti, hogy tegnap még a régi rendszerben dolgoztunk, mától az új rendszert használjuk. Kisebb rendszerek esetén használják, alapos elıkészítés után. A bevezetési módszerek közül a leggyorsabb és amennyiben sikerrel jár, a legolcsóbb. Hátránya a kockázatossága. Nagyobb rendszereknél használjuk a szakaszos átállást, vagyis a rendszer bevezetését több lépésben valósítjuk meg. A bevezetés szakaszolása történhet a bevezetés helye szerint (szervezeti egységenként), vagy a rendszer moduljainak egymás utáni használatba vételével. Ez a módszer csökkenti a bevezetés kockázatát, de idıben elhúzódik a bevezetés, és a közvetlen átállásnál költségesebb is.




A párhuzamos üzemeltetés során a régi és az új rendszert is használjuk egyidejőleg. Ez az eljárás a legköltségesebb megoldás, de mivel a régi rendszerben minden rendelkezésre áll továbbra is, gyakorlatilag nincs kockázata ennek a módszernek, így ezt tekinthetjük a legbiztonságosabbnak. További elınye a párhuzamos üzemeltetésnek, hogy az új rendszer eredményei összehasonlíthatók a régi rendszerével, így egyfajta próbaüzemnek is felfoghatjuk. Ajánlott irodalom a 3. Fejezethez • Project Management Institute, http://www.pmi.org/ • PMI Budapest, http://www.pmi.hu • International Project Management Association, http://www.ipma.ch • Project Management Association Hungary (FİVOSZ) www.fovosz.hu • Letölthetı nyomtatványok Eric Verzuh: Projektmendzsment könyvéhez kapcsolódóan: http://hvg.hu/hvgkonyvek/projektmenedzsment.aspx • http://www.nfu.hu/download/9595/16.a%20GANTTdiagram%20utmutato_TAMOP_525.pdf • Eric Verzuh: Projektmendzsment (HVG könyvek, Budapest 2006) • Görög Mihály: A projekttervezés mestersége (Aula, Budapest, 2003)

3.7. Ellenırzı feladatok 1. Igaz-hamis A projekt ismétlıdı feladatok megoldását szolgálja. Hamis A projektet meghatározott idıtartamon és költségkereten belül kell végrehajtani. Igaz A projektteam egy adott projekt megvalósítására szervezett csapat. Igaz A projektvezetınek csak a szükséges mőszaki ismeretekkel kell rendelkeznie. Hamis 2. Melyik vezetési szint döntései hatnak középtávon? • Stratégiai vezetés. • Idegenvezetés. • Operatív vezetés. • Projektvezetés. 3. A felsoroltak közül ki nem tartozik stakeholder körbe. • Ügyfél. • Szponzor. • Projektmenedzser. • Mindhárom felsorolt az érdekelt felek közé tartozik. 4. Az alábbi felsorolásból válassza ki azokat a szempontokat, amelyek a vásárolt szoftver mellett szólnak a saját elıállítású szoftverrel szemben: • Sajátos igényeinket jobban kielégíti. • Olcsóbb. • Gyorsabban bevezethetı. • Több referenciával rendelkezik. 73 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



5. Igaz-hamis A WBS eredménye a darabjegyzék. Hamis A WBS eredménye a projekt feladatlistája. Igaz A WBS esetében alkalmazhatjuk a 8/80 –as szabályt. Igaz A WBS csak menülistában ábrázolható. Hamis 6. A 3.3 ábrán szereplı termékhez a B4 anyag szükséglete: • 6 • 4 • 8 • 24 7. A 3.6 ábrán bemutatott folyamat teljes idıszükséglete rövidebb lesz-e, ha a 2-2’ várakozási idı egy másik technológia alkalmazásával megszüntetjük (0 hétre csökkentjük)? • Igen, mert a kritikus úton van. • Nem, mert a kritikus úton van. • Nem, mert nincs a kritikus úton. • Igen, mert nincs a kritikus úton. 8. Igaz – hamis Egy új informatikai rendszer bevezetésének legbiztonságosabb módja a Hamis szakaszos átállás Egy új informatikai rendszer bevezetésének leggyorsabb módja a közvetlen Igaz átállás Egy új informatikai rendszer bevezetése során alkalmazott párhuzamos Igaz üzemeltetés a két rendszer használata miatt költséges. Egy új informatikai rendszer bevezetése során alkalmazott szakaszos átállás több Igaz idıt igényel, mint a közvetlen átállás.




4. FEJEZET: AZ IR BIZTONSÁGA ÉS KONTROLLJA 4.1. Bevezetés Az ’információs biztonság’, ’számítógépes biztonság’ és ’információs biztosítás’ kifejezések gyakran hallhatók egy vállalat adatvédelmével kapcsolatban. Adatvédelmen a továbbiakban most csak az informatikai rendszerekhez kapcsolódó adatvédelmi aspektusokkal foglalkozunk. Mikor az információ biztonságáról beszélünk, tudnunk kell, hogy manapság szervezetek sikere és túlélése egyre inkább informatikai rendszereik sikeres megvalósításától függ. Az információ áramlását sem az idı, sem a távolság nem korlátozhatja. Sok szervezet számára az információ és a feldolgozásához szükséges technológia a legértékesebb tıke. Az elektronikus információ és a számítástechnikai rendszerek jelentıs szerepet játszanak a legfıbb üzleti folyamatok támogatásában. Eközben a szervezetek sebezhetısége folyamatosan nı. Nem csupán az információhoz való hozzáférésérıl van szó, hanem az Internet miatt globálissá váló fenyegetésrıl is. Az informatikai adatvédelem célja és feladata az adatkárosodás, adatvesztés, illetve az illetéktelen adatelérés lehetıségének minimalizálása. Az adatvédelem fogalomkörébe tartozik minden olyan eszköz és módszer, mely ezt a célt szolgálja. Fentiek szerint az adatvédelem témakörének, egyben az adatvédelem irányainak egy logikus felosztása a következı: Adatkárosodás elleni védelem Illetéktelenség elleni védelem (Véletlen behatások) (Szándékos behatások) Természeti Hardver és Emberi Illetéktelen Illetéktelen Vírusok ellen (Elektronikus behatások, szoftver hibák tévedések adatelérés programkórokozók) elemi ellen ellen ellen használat csapások ellen (lopás, visszaellen élés, rongálás) Forrás: Kaderják Gyula: Adatvédelem. Fıiskolai jegyzet. BGF. Az adatvédelemnek három egymásra épülı szintjérıl beszélhetünk minden rendszerben. Az egyes védelmi szinteken alkalmazott adatvédelem azonban mindig egy általános jogi szabályozás keretén belül valósul meg. Minden esetben az érvényes jogszabályokkal (törvényekkel és rendeletekkel) összhangban kell létrejönnie és mőködnie a specifikus védelemnek. A védelem három egymásra épülı, egymást feltételezı szintjei: 1. Fizikai 2. Ügyviteli 3. Algoritmusos (szoftveres) A fizikai védelem körébe tartozik az elhelyezés, üzemeltetési környezet kialakítása, a vagyon- és biztonságvédelem eszközei. Ügyviteli védelmen a jogi szabályozást, az adatkezelésre vonatkozó szabályzatokat, ügyrendeket értjük, az adatkezeléshez kapcsolódó feladatkörök, felelısök és felelısségek pontos meghatározását. 75 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Az algoritmusos védelem körébe tartozik minden szoftveres adatvédelmi megoldás, melyek védelmi feladatukat a rendszer szolgáltatásaival egyidejőleg, velük szoros együttmőködésben látják el. A nem szándékos behatások elleni védelem fontossága bár jelentıs, mégis, fıleg az elektronikus, Internet-alapú társadalom erısödésével a nagyobb súlyt egyre inkább az illetéktelenség elleni védelmi megoldások jelentik. Az illetéktelenség területének legfontosabb alapelvei a következık. A titkosság, a teljesség és rendelkezésre állás (confidentiality, integrity, availability), angol akronímával ’CIA’, az információs biztonság legfıbb elvei. A felsoroláshoz hozzáadhatjuk a hitelességet és a vissza nem utasítást is. • • • • •

A titkosság azt jelenti, hogy megelızzük az információ közlését jogosulatlan személyek vagy rendszerek felé. A sértetlenség azt jelenti, hogy az adatokat tilos jogosulatlanul módosítani. A magas szintő hozzáférhetıség azt jelenti, hogy minden információnak hozzáférhetınek kell lennie szükség esetén. A magas szintő hitelesség azt jelenti, hogy az adatok létrehozója egyértelmően azonosítható. A vissza nem utasítás azt jelenti, hogy egy mővelet egyik érintett fele nem tagadhatja le az információ megkapását, illetve a másik fél nem tagadhatja le az elküldés tényét.

4.2. Biztonsági szabályok: szigorú szabály, irányelv és szervezéssel elért biztonság Mint minden tevékenység, a számítástechnikai munka is egy konkrét jogszabályi rend keretei között zajlik. Vannak általános érvényő törvények és rendeletek, melyek az informatikai biztonság területét is érintik, és vannak kifejezetten a számítástechnikára és az elektronikus adatkezelésre vonatkozó rendelkezések, melyeknek egy még szőkebb köre a konkrét munkahelyi szabályozásra irányul. A jogi szabályozás szintjei tehát "felülrıl lefelé" haladva a következık: 1. Általános védelmi szabályozás 2. A számítástechnikai adatvédelem specifikus szabályozása 3. Helyi (belsı) adatvédelmi szabályozás, melynek legfontosabb két eleme az informatikai biztonsági szabályzat (IBSZ) és az adatvédelmi felelıs. Általános védelmi jogszabályok: ezek egy része a társadalmi-gazdasági környezet változásával együtt dinamikusan módosul, míg a másik része statikus. Fontosabb statikus elemek például az államtitok és szolgálati titok védelme (TÜK = Titkos Ügyirat Kezelés), a statisztikai adatok védelme, a személyi jogok védelme, a szerzıi jogvédelem, az üzemi és üzleti titok védelme. 76 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



E körbe tartoznak a különbözı mőszaki-technikai normatívák, szabályok, elıírások, például építésügyi szabványok, tőzvédelmi jogszabályok, vagyonvédelmi és rendészeti elıírások, környezetvédelmi elıírások, telepítési és üzemeltetési elıírások. Ide tartozik néhány általános elıírás is, mely elsısorban a társadalmi tulajdon védelmére vonatkozik, pl. az iratkezelés rendje. Számítástechnika-specifikus adatvédelmi jogszabályok hatálya kiterjed a számítógépekre és számítástechnikai berendezésekre, valamint ezek környezetére (biztonságtechnikai berendezésekre), a számítástechnikai munkafolyamatokra, a programokra és dokumentációikra, valamint az elsıdleges, illetve keletkezı adat-, irat-, információhalmazra. Ide tartoznak az alapvetı és a kiemelt biztonsági fokozatra vonatkozó elıírások (pl. katasztrófaterv kötelezettség) is. Belsı (vállalati) szabályozás: A jogi szabályozás e harmadik, vagyis konkrét vállalati ügyrendi szabályozási szintjét szokás egyszerően csak ügyviteli védelemnek nevezni. Az ügyviteli védelem fontos része a teljes védelemnek, mivel az üzemviteli tevékenységek sokaságának (operátori beavatkozások, adattárolók mozgatása, rendszerkarbantartás) szabályozása más eszközökkel nem érhetı el. Az ügyviteli szabályozás legfontosabb elemei az Informatikai Biztonsági Szabályzat, melynek készítését rendelet írja elı. Az IBSZ tartalmazza többek között az adatkezelés helyi rendjét, s a dolgozók hatáskörének, feladatkörének, felelısségi körének pontos leírását. Az IBSZ-nek az adatkezeléshez kapcsolódó legfontosabbak elemei: • a számítástechnikai eszközök megközelítésére, elérésére vonatkozó elıírások • a hardvervédelmi szabályok, • a szoftvervédelmi elıírások, • az üzemeltetési elıírások, • a be- és kimeneti adatok átvételi rendje, • a betekintési és hozzáférési jogosultságok elıírásai, • az archiválás és biztonsági mentések rendje, • az adathordozók tárolásának és jelölésének rendje, • a selejtezés illetve megsemmisítés módjai, • a vírusvédelemre vonatkozó elıírások, • a titokvédelemre vonatkozó elıírások (TÜK = Titkos Ügyirat Kezelés) • a karbantartási rend, • a katasztrófaterv Az IBSZ-hez kapcsolódik a helyi adatvédelmi felelıs (AF) személye, akinek feladata az IBSZ következetes és szakszerő végrehajtása, akinek jogait és kötelességeit (részben) az IBSZ rögzíti, s aki jellemzıen • ellátja az adatfeldolgozás, a számítástechnikai beruházások és új adatfeldolgozások szervezésének szakmai felügyeletét, • gondoskodik az adatvédelmi elıírások betartásának ellenırzésérıl, a szükséges intézkedések kezdeményezésérıl, s • ellátja a titokvédelmi munka felügyeletét. Mint láthattuk, a biztonsági szabályokat a biztonság legfontosabb elveinek garantálása érdekében készítik. Szigorúságukat tekintve a szabályokat három csoportba sorolhatjuk: 77 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• • • • • •

szigorú szabály irányelv szervezeti szabály.

A szigorú szabályok a munkahely és a számítástechnikai létesítmények környezetét figyelik és szabályozzák Az irányelvek szoftvert és adatokat használnak az információhoz és a számítástechnikai rendszerekhez való hozzáférés céljaira. A szervezeti szabályok (másik nevükön eljárási szabályok) jóváhagyott írott belsı utasítások, eljárások, szabványok és útmutatások.

A titkossággal kapcsolatos szabályokat az alábbi példákkal lehet bemutatni: • Szigorú szabály: a laptopot billentyőzárral védeni kell • Irányelv: használjon jó jelszavas védelmet • Szervezeti szabály: nem szabad vonaton titkos cégügyekrıl telefonálni A teljességgel kapcsolatos szabályokat az alábbi példákkal lehet bemutatni: • Szigorú szabály: tilos idegeneknek fizikai hozzáférést engedni a számítógéphez • Irányelv: használjon jó rendszert hozzáférés korlátozására • Szervezeti szabály: minden felhasználónak el kell magyarázni az adatminıség fontosságát A hozzáférést az alábbi példákkal lehet illusztrálni: • Szigorú szabály: speciális számítógépet kell használni RAID rendszerrel • Irányelv: védekezzen a hálózatszolgáltatás megtagadásával megvalósított támadás ellen • Szervezeti szabály: Meg kell tanítani a felhasználót arra, hogy ne indítson nagy erıforrás-igényő alkalmazást, mikor a gépek valamilyen rendszeres funkció lebonyolítása (pl. bérszámfejtés) miatt különösen leterheltek

4.3. A biztonság emberi tényezıje Az emberi tényezıket, a többihez hasonlóan, sorolhatjuk a vétlen és szándékos behatások közé. Vétlen emberi hatások elleni védelem Az emberi tévedések kiszőrése alapvetıen szoftveres feladat. E hibák kivédése egyrészt operációs rendszer szintő feladat, másrészt a felhasználói programok is fel vannak vértezve valamilyen szintő adatbevitel-ellenırzési képességgel Az adminisztratív jellegő emberi hibák ellenei védelmi megoldások zömét maga az operációs rendszer biztosítja. (Pl. Windows esetén a vétlen törölt állomány a lomtárból visszaállítható, a vétlen formázás, és egyéb „kockázatos” mőveletek esetén több szintő szándék-megerısítés szükséges, de a fájlok attribútumainak /pl. rejtett, csak olvasható/ megfelelı kezelése is jó védelmi megoldás.)




Az emberi tévedések illetve tévesztések lehetısége az adatok bevitele, karbantartása során a legnagyobb. Ezek a hibák az adatbevitel többszintő ellenırzésével szőrhetık meg. Az ellenırzés szintjei: • Bizonylat ellenırzés Még az adatbevitelt megelızıen, célszerő az alapbizonylatok átvizsgálása, egyeztetése. o Adatrögzítés ellenırzése • Vizsgálhatjuk a bevitt adat érvényességi körét, illetve értelmezési tartományát. Ennek gyakori módja az ún. CDV kódok (ellenırzı számjegyek) alkalmazása. (Ilyen pl. a személyi szám utolsó jegye, fogyasztó azonosítók utolsó jegye, stb.) • Ellenırizhetjük az összetartozó adatok kapcsolatának érvényességét, az adatok között fennálló feltételek, feltételrendszerek kielégítésének teljesülését. (Például egy nyitó dátum nem lehet kisebb, mint egy záró dátum.) • Adattisztítás o Adatbevitelt követıen adattisztítást végezhetünk. Különbözı hibaellenırzı/javító funkciók a rögzített adatállományok rejtettebb hibáinak feltárást is megvalósíthatják. Szándékos emberi hatások elleni védelem Semmilyen technikai rendszer sem mőködhet sikeresen, ha a felhasználók nincsenek tudatában a biztonsági problémáknak és azok hatásainak. A biztonság mindenki közös ügye, nem csak a vezetıké. A vállalat minden munkavállalójának, még egy kkv-ban is felelnie kell az információs biztonságért, ezzel kapcsolatos tájékoztatási kötelezettségért, és tanítania kell a szervezet minden tagját. Egyes fenyegetések közvetlenül emberi eredetőek: Hackerek A hacker-ek a számítástechnika fenegyerekei. A feltörık, a mackósok, a virtuskeresık. Az elektronikus világ egy külön kasztját jelentik, saját fórumokkal, szaklapokkal, szakzsargonnal. Céljaik általában nem ártó szándékúak. Javarészt nem anyagi haszon reményében törik fel a legféltettebb titkokat és a legmegbízhatóbbnak gondolt rendszereket is, pusztán szakmai kíváncsiságból, önérzetbıl, virtusból. Ezek a sokszor csak tizenéves suhancok a számítógépeket és a hálózatokat mindenkinél jobban ismerik. Vadásznak a gyártó cégek "szigorúan titkos" dossziéira. Hihetetlen elszántsággal és kitartással kísérleteznek, s végül mindig övék a dicsıség. Mindig elıbbre járnak, mint a titkosítók, a védelmezık, a rejtık. Ha sikerül bejutniuk egy katonai rendszer szupertitkos serverére, jópofa üzeneteket hagynak a személyzet monitorán, s közben atomtitkokat csennek el. De ık azok is, akik a legtöbbet tették azért, hogy az Internet a világ legdemokratikusabb fóruma legyen. Tılük származik a shareware és freeware programok zöme. A szuperformázók is, és a szupervírusok is. S bármit tesznek is, mindig betartják saját íratlan etikai kódexük szabályait. A legnagyobb biztonságtechnikai cégek egymást túllicitálva keresik a sok esetben börtönviselt hacker királyokat, mert tudják, hogy tılük jobb védelmi szakembereket sehol sem találnak. Az ártó szándékkal mőködı felnıtt hackerek-re külön elnevezés is él, ık a cracker-ek. A script kiddies elnevezés pedig azokat a leginkább fiatalkorú hacker-ek illeti, akik legtöbbször




nincsenek is tudatában cselekedetük súlyával, a tettük által várható veszteségekkel. Általában különösebb cél nélkül keresik a rendszerek gyenge pontjait, s igyekeznek ezeket kihasználni. Sértett munkavállalók A munkavállalók nagyon kiszolgáltatottak. Munkaadóik iránti lojalitásuk néha lecsökken. Ez is szaporíthatja a számítástechnikai rendszerek biztonsági elemei elleni kijátszási kísérleteket. Az IBM cég egy felmérése szerint az adathibák és hibás mőködések több mint felét nem külsı támadások és géphibák, hanem a tisztességtelen, illetve felelıtlen alkalmazottak okozzák.

4.4. Külsı és belsı támadások A mőszaki fenyegetés a számítástechnikai eszközökhöz kötıdik, mely jelenti mind a hardvert, mind a szoftvert. A támadási módszerek egyre inkább automatizáltakká és kifinomultabbá válnak, emiatt egyre nehezebben felismerhetık. Miként az emberi hibák is lehetnek szándékosak és nem szándékoltak, így a különbözı alkalmazásokat is tartalmazhatnak véletlen hibákat, illetve készülhetnek szándékos illetéktelen adatelérési/adatrongálási céllal. Bug-ok – nem szándékos programhibák A programok összetettsége fokozatosan nı. Egyes esetekben a programok több tízmillió sorból állnak. Ez természetesen megnöveli a bug-ok megjelenésének esélyét is. Az ezzel kapcsolatos veszély az, hogy a program nem azt teszi, amire kifejlesztették, és így adatvesztés, vagy adatkárosulás következhet be. Sokszor ezeket a bug-okat a biztonsági rendszer elleni támadási pontként lehet használni, különösen akkor, ha azok operációs rendszeren belüli hibák. Számítógépes vírusok A számítógépen levı programok egy részérıl a felhasználó nem is tud, és mőködésükrıl sem szerez tudomást. Ezek két szempontbál veszélyesek: fertıznek, azaz elterjednek, biztosítják saját további terjedésüket; a másik cél egy adott feladat ellátása. A régebbi vírusok gyakran az információt is károsították, így pl. kitöröltek állományokat. A legutóbbi trend azonban az információ megszerzésérıl, uralásáról és illegális használatáról szól. A számítógépes vírusok mindegyike egy program, mely az intelligenciáját a programozótól kapja. A vírusok alkalmazásának célja lehet: o figyelemfelkeltés o programok illetéktelen felhasználásának büntetése o gazdasági vagy politikai célból elkövetett szándékos károkozás A vírusokat a számítástechnikában is káros kórokozóknak tekintjük, éppúgy, mint a biológiai kórokozókat. Jellemzıjük, hogy rejtızködve, a felhasználók tudta nélkül kerülnek a rendszerekbe, s csak hatásaik alapján derül fény jelenlétükre, sokszor már túl késın ahhoz, hogy jóvátehetık legyenek az általuk okozott károk, vagy azok egy része.




A vírusprogramok szerzıi magasan kvalifikált szakemberek, ám erkölcsi gyengeségük, felelıtlenségük felbecsülhetetlen károkat okozott és okoz szerte a világon. Munkájuk "gyümölcse" akár emberéletet is követelhet. A számítógépes kórokozók az alábbi csoportokba sorolhatók: Vírusok A vírus olyan számítógépes program, amely képes önmagát szaporítani (egy másik programhoz vagy fájlhoz csatolja magát), és számos közülük képes önmaga mutáns változatainak elıállítására is. A fertızött programot elindítva a vírus bekerül a memóriába, ahol vagy tovább szaporodik, vagy aktivizálódik a célfeladatra, vagyis valamilyen károkozásra. Speciális válfajuk az ún. makro vírusok, melyek MS Office dokumentumokba ágyazzák magukat, így a dokumentumok megnyitásával aktiválódnak, s azok másolásával terjednek. Számítógépes férgek Míg a vírusokat emberi beavatkozás aktiválja (program futtatása), ez a férgek esetében nem okvetlenül van így. Hordozóprogram nélkül képesek önmagukat sokszorosítani. Általában rejtızködık, mert céljuk gyakran adatok megszerzése és továbbítása egy külsı célállomás felé. Ugyanakkor, a vírusokhoz hasonlóan, okozhatnak túlterhelést, megakadályozhatják, hogy az információ célba érjen, vagy hogy a jogosult személy használni tudjon egy funkciót. Leköthetik a gép erıforrásait. Példa erre a ’halálos döfés’ nevő túlméretes adatcsomag (ping of death). A férgek legnagyobb veszélye az a képességük, hogy nagy számban képesek magukat sokszorozni, képesek például elküldeni magukat az e-mail címjegyzékben szereplı összes címre, és a címzettek számítógépein szintén megteszik ugyanezt. Trójai falovak Ezek olyan vírusok vagy férgek, amelyek fı jellemzıje a biztonsági rendszer megkerülése. Leginkább az operációs rendszer biztonsági résein át jutnak a rendszerbe, s onnan adatokat szolgáltatnak készítıik és terjesztıik számára, akik az így létrejött útvonalon keresztül képesek kívülrıl beavatkozni a rendszer mőködésébe. Megtévesztı voltuk, illetve mőködésük miatt kapták a trójai nevet. Brutális támadás (brutal force) – Próbálgatással való behatolási kísérlet Célja a rendszervédelmi eszközök és a jelszóvédelem kiiktatása. Az e célra használt szoftver több tízezernyi szót és karakterkombinációt képes elıállítani. Az Internet globális használata megnövelte az információs rendszerekre irányuló külsı támadások lehetıségét. A kkv-k számára a minimális védelem az alábbiakat jelenti: • Egy pl. Microsoft által javasolt tőzfal használata • Védelmi és riasztási zónák alkalmazása • Spyware (kémprogram) elleni védelem • Valamilyen vírusírtó/figyelı program használata • Rendszeres helyi vírusellenırzés 81 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



• •

Rendszeres biztonsági mentések „Csak tiszta forrásból” elv betartása böngészéskor, levelezéskor és programok telepítésekor egyaránt.

A vírusfigyelı/irtó szoftvereket naponta frissíteni kell a hatékonyság érdekében. A legtöbb kkv-ban a külsı védelmet egy szolgáltató nyújtja, és a vállalatnak katasztrófa esetén ellenıriznie kell a szolgáltató felelısségét. A belsı támadások gyakoriak; ellenük a leghatékonyabb védelem a biztonságtudatosság és a monitorozhatóság.

4.5. A számítástechnikai tanúsítás törvénye és szabványai Az információs rendszerek alkalmazásának egyik fontos aspektusa a különbözı nemzetközi és nemzeti informatikai, biztonságtechnikai, adatvédelmi szabványokhoz való önkéntes, vagy kötelezı jellegő alkalmazkodás. Egy adott termékre, folyamatra, szolgáltatásra vonatkozó meghatározott (jogszabályban elıírt, szabványban megadott) és a vevı által elvárt igények összessége alkotják a minıségkövetelményeket. Az elıírt követelmények teljesülését megfelelıségnek nevezzük. A megfelelıség értékelése annak szisztematikus vizsgálatát jelenti, hogy egy termék, folyamat vagy szolgáltatás milyen mértékben elégíti ki az elıírt követelményeket. A megfelelıség értékelés jellemzı típusai a vizsgálat, az ellenırzés, a megfelelıség igazolása (tanúsítás, szállítói nyilatkozat) az akkreditálás és a jóváhagyás. A megfelelıség értékelését általában megfelelıség-értékelı szervezetek (vizsgálólaboratórium, tanúsító szervezet, akkreditáló szervezet, kijelölt szervezet) végzik meghatározott megfelelıség értékelési rendszerek keretében. A tanúsítás olyan eljárás, amelynek alapján egy harmadik (független) fél írásban igazolja, hogy egy termék, eljárás vagy szolgáltatás megfelel az elıírt követelményeknek (MSZ EN 45020:1999). Minıségirányítási ismeretekkel kapcsolatban komplett tananyag érhetı le az alábbi helyen: „Minıségirányítási ismeretek mezıgazdasági és ipari kis- és középvállalkozások számára” címen további ismertanyag itt érhetı el: http://mmfk.nyf.hu/min/ A minıségtanúsításról bıvebb információ itt található: http://mmfk.nyf.hu/min/alap/62.htm

A szoftverek tanúsítása A független fél által történı tanúsítási eljárás biztosítja, hogy egy szoftver megfelel a mőködési területéhez kapcsolódó összes kötelezı érvényő jogszabálynak, rendeletnek, elıírásnak, az elektronikus közigazgatás eljárásainak és követelményeinek. Példa szoftvertanúsításra Az iratkezelési szoftverek (ISZ) tanúsítása Az elmúlt néhány évben kiemelt hangsúlyt helyeztek a közigazgatást támogató szoftverek követelményeire, így az iratkezelési szoftverekre is. Meghatározásra kerültek a beépítendı 82 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



funkciók, valamint az elvárt biztonsági szintek, amelyek kötelezı érvényőek a szoftverekkel kapcsolatosan. A 16/2006. (IV. 6.) BM rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverek megfelelıségét tanúsító szervezetek kijelölésének részletes szabályairól szól. Az egységes követelmények teljesítését egy egységes elvek alapján végrehajtott informatikai terméktanúsítás biztosítja, amelyet mind a leendı alkalmazók (vevık), mind a hatóságok elvárnak. A szervezeteknek lehetıségük van 3 fajta tanúsítvány megszerzésére: • Szőkített: az ISZ nem rendelkezik elektronikus aláírással, valamint a szorosan összefüggı elektronikus iratkezeléssel kapcsolatos követelményekkel; • Teljes körő: az együttes rendelet valamennyi követelményét maradéktalanul kielégíti az ISZ. Teljes körő tanúsítás esetében az elektronikus aláírás alkalmazáshoz kapcsolódó megoldások beépülnek az ISZ-be, minden esetben az egyszerő és gyors ügyintézést támogatva; • Kibıvített: az ISZ teljeskörően kielégíti az együttes rendelet követelményeit, emellett további, speciális szolgáltatásokkal kerül kibıvítésre és vizsgálatra, ilyen például az ügyfélkapuval való kapcsolattartás. A tanúsítvány 3 évig érvényes, ez alatt az idıszak alatt éves felülvizsgálatokra kerül sor, az ezeken való megfelelés követelménye a tanúsítvány fenntarthatóságának. A 3 év elteltével a tanúsítványt meg kell újítani. A követelmények rendszere A kijelölési okirat alapján három kötelezı érvényő normatíva határozza meg a követelményrendszert: • A 24/2006. (IV. 29.) BM-IHM-NKÖM együttes rendelet: amely egyértelmően definiálja az ISZ-szel szemben támasztott alapvetı követelményeket. Összefoglalja az elvárt biztonsági, funkcionális, közigazgatási, valamint az elektronikus megoldásokkal kapcsolatos feltételeket. • A 335/2005. (XII. 29.) kormányrendelet: amely a közfeladatot ellátó szervekhez beérkezı, valamint az ott keletkezett papíralapú és elektronikus iratok kezelésének, és az iratkezelési szabályzatok rendjéhez kapcsolódó követelményeit írja le. • Az 1995. évi LXVI. törvény: amely a köziratok, a közlevéltárak, és a magánlevéltári anyag védelmének elıírásait mutatja be. A tanúsítási eljárásokat leginkább a szoftverfejlesztık kezdeményezték, azonban vannak olyan eddig használt szoftverek, amelyek tanúsítását maguk a közfeladatot ellátó szervek kérelmezték és kezdték meg. A tanúsított ISZ biztosítja, hogy az informatikai termék megfelel a mőködési területéhez kapcsolódó összes vonatkozó jogszabálynak, rendeleteknek, elıírásoknak, az elektronikus közigazgatás eljárásainak és követelményeinek, emellett elismertséget jelent a fejlesztı cégeknek, az együttmőködık bizalma megerısödhet, a piaci kapcsolataik javulhatnak és csökkenthetik az érdekelt felek kockázatát. A végfelhasználók, döntéshozók számára lehetıség nyílik az egyszerő, érzékelhetı és összehasonlítható választásokra. Természetesen a tanúsító szervezetnél is lehet információt szerezni a tanúsított termékekrıl, viszont nem adható ki olyan információ, amely a döntéshozókat bármilyen módon is befolyásolhatja, egyik vagy másik szoftverfejlesztı céget elıtérbe helyezhetné.




Az elektronikus aláírásról szóló 2001. évi XXXV. törvény A törvény célja, hogy megteremtse a hiteles elektronikus nyilatkozattétel, illetıleg adattovábbítás jogszabályi feltételeit az üzleti életben, a közigazgatásban és az információs társadalom által érintett más életviszonyokban. A jogszabály elérhetısége: http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A0100035.TV

A digitális aláírásról és a titkosítással kapcsolatos alapvetı tudnivalókról itt található bıvebb információ: http://www.itbiztonsag.hu/digitali.html

Az Európai Unió adatvédelmi irányelve (EUDPD) megköveteli, hogy minden EU tagállam fogadjon el nemzeti szabályzatot a polgárok személyi adatvédelmének szabványosítása érdekében a teljes EU-ra kiterjedıen. Franciaországban a CNIL nevő szervezet felel az információs rendszerek biztonságával és titkosságával kapcsolatos legfontosabb törvényért. Az 1990. évi Számítógépes visszaélésrıl szóló törvény egy, a brit parlament által megszavazott törvény, mely a számítógépes szabálysértéseket (pl. a hackelést) bőncselekménynek minısíti. A Nemzetközi Szabványügyi Szervezet (ISO) 157 nemzeti szabványügyi intézet konzorciuma, melynek Központi Titkársága a svájci Genfben koordinálja a rendszert. Az ISO a világ legnagyobb szabványalkotója. Az ISO 15443: “Információs technológia – biztonsági technikák – számítástechnikai biztonság“ ISO-17799: “ Információs technológia – biztonsági technikák – információs biztonsági irányítás gyakorlati szabályzata“ ISO-20000: ”Információs technológia – biztonsági technikák – szolgáltatásirányítás“ és ISO-27001:” Információs technológia – biztonsági technikák – számítástechnikai biztonságirányítási rendszerek“ az információs technológia szakértıinek különös érdeklıdésére tart számot. A Tanúsított információs rendszerek biztonsági szakértıje (CISSP) egy közép- felsı szintő információs biztonsági tanúsítás. Az Információs rendszer biztonsági architektúra szakértı (ISSAP), Információs rendszer biztonsági tervezı szakember (ISSEP), Információs rendszer biztonsági irányítási szakember (ISSMP), és Tanúsított információs biztonsági vezetı (CISM) tanúsítványok nagy tekintélyt szereztek az információs biztonsági architektúra, a tervezés és irányítás területén. Magyarországon a 194/2005. (IX. 22.) Korm. rendelet szól a közigazgatási hatósági eljárásokban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítés szolgáltatókra vonatkozó követelményekrıl. Bıvebben: http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A0500194.KOR További kapcsolódó anyagok: Informatikai biztonsági részstratégia (IHM, 2003): www.ugyfelszolgalatok.com Az UE adatvédelmi oldala: http://www.dataprotection.eu/ A kis- és középvállalkozások részvétele a szabványosításban az Európai Unióban és Magyarországon: http://iposz.hu/documents/iposz/tanulmanyok/szabvany.doc 84 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



4.6. Az adatok és a szoftver biztonsági másolata A hardver eszközök és adathordozók meghibásodása, az információs rendszerek katasztrófája elleni védelem nélkülözhetetlen módja a biztonsági másolatok, mentések készítése. A cél, hogy bármilyen adatkárosodás esetén az adatállományok helyreállíthatók legyenek a mentések alapján. Az adatmentés célja archiválás is lehet, vagyis az információ hosszabbrövidebb távú megırzése, visszakereshetıségének biztosítása. Az adatok ırzésének, archiválási idejének mértékét minısített adatok esetén rendeletek szabályozzák. Biztonsági mentéseket általában a merevlemezen lévı állományokról készítünk valamely másik adathordozóra (külsı winchester, streamer, DVD, stb.) A szoftverek biztonsági másolata A szoftverek licenc szerzıdései megengedik, hogy a szoftverekrıl archiválási szándékkal, biztonsági másolatot készítsünk. Ennek lényege, hogy az eredeti szoftver adathordozójának sérülése esetén is újratelepíthetı legyen a szoftver a biztonsági másolatról. Ilyen jellegő biztonsági másolatot célszerő legalább két példányban készíteni. Az adatok mentésének típusai Teljes másolás A teljes mentés és a teljes másolás között az a különbség, hogy teljes mentés során az állományok archív bitje törlésre kerül, míg teljes másolás esetén nem. Teljes másolást elsısorban hálózati meghajtók, cserélhetı egységek és CD-ROM-ok archiválásához használunk, amikor is az archív attribútumok módosítása nem ajánlott, vagy nem lehetséges (CD). Ezt a módszer alkalmazzuk pl. munkahelyi adatok otthoni gépre másolásához is. Akkor is teljes másolást alkalmazunk, ha az adathordozó sérült, és az archív bitek változása további sérüléseket idézhetne elı. Teljes másolást alkalmazunk a szoftverek biztonsági másolatának elkészítéséhez is. Teljes mentés A kijelölt, v agy a teljes lemeztartalom feltétel nélküli mentése. A rendszeres mentési munka megkezdésének elsı lépése mindig egy teljes mentés készítése. Teljes mentéskor minden kijelölt állomány mentésre kerül, függetlenül archív attribútumának állapotától, s az archív attribútum - sikeres mentés esetén - feltétel nélkül törlıdik. Elınye, hogy kapunk egy teljes másolatot a winchesterrıl, hátránya, hogy a mentés sok tárhelyet igényel (legrosszabb esetben annyit, mint a winchester teljes kapacitása). Ezen a problémán a különbözı tömörítési módszerek segítenek. A teljes mentés gyakorisága az adatok fontosságától és terjedelmétıl függıen lehet napi, heti vagy havi rendszerességő. Egy rendszeres mentési munkafolyamat elsı lépése mindig egy teljes mentés készítése. A további mentések során már általában csak az elızı mentésekhez képesti változásokat mentjük az alább ismertetett módok közül választva. Növekményes mentés Lényege, hogy csak a legutóbbi teljes, vagy növekményes mentés óta megváltozott, illetve új állományok kerülnek mentésre (az archív bit állapotának figyelése alapján.) Elınye, 85 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



hogy csak a módosulásokat menti, így tárhely- és idıtakarékos. Hátránya, hogy a winchester sérülése esetén elıször a teljes mentést kell visszatölteni, majd a növekményes mentéseket sorra egymás után, a mentés sorrendjében. Különbségi mentés Ha különbségi mentéseket alkalmazunk egy teljes mentés után, akkor minden alkalommal mentésre kerül az összes olyan állomány, mely a teljes mentés óta változott vagy keletkezett, függetlenül attól, hogy a legutóbbi különbségi mentés óta történt-e változás a fájl állapotában, vagy sem. Elınye, hogy ugyanazt az adathordozó állományt fel lehet használni az egyes mentésekhez, tehát költségkímélı. Hátránya a növekményes mentéshez képest jelentısebb tárkapacitás. Mentési stratégiák A mentés típusát és gyakoriságát a menteni kívánt adatok fontossága határozza meg. Nagyon fontos adatok esetén célszerő a mentéshez többféle adathordozót is használni. A mentést tartalmazó adathordozót mindenképp el kell különíteni az eredeti anyagtól. Érdemes a mentést fizikailag is más helyen elhelyezni, több másolat esetén pedig a másolatokat külön helyeken tartani (lehetıleg páncélszekrényben). Célszerő, bizonyos adatok esetén kötelezı a mentést legalább két példányban elkészíteni, s azokat lehetıleg elkülönítetten tárolni. Az adathordozó készletek száma és újrafelhasználásuk gyakorisága attól függ, hogy mit ír elı a helyi számítástechnikai védelmi szabályzat a mentések gyakoriságára és a mentési ciklusokra vonatkozóan. Egy mentési ciklus lehet például egy negyedév, félév vagy egy év, melynek letelte után az akkori állapotot tükrözı mentést archiváljuk, vagyis az adathordozót biztonságba helyezzük pl. egy erre a célra rendszeresített páncélszekrényben, s a régi (napi, heti, stb.) mentésekhez használt adathordozókat újra felhasználjuk. A mentések készítésének gyakorisága lehet napi, kétnapi, heti, stb. Ügyviteli területeken szokásos a napi gyakoriságú mentések alkalmazása. A mentést támogató szoftverek lehetıséget biztosítanak a különbözı stratégiák magas szintő kielégítésére és a mentések automatizálására (idızített mentések). A mentések elsısorban a vállalati server gépeket érintik. Speciális esetekben egy-egy felhasználói munkaállomás mentésérıl külön kell gondoskodni. 24 órás üzemmódban mőködı rendszerek esetén az automatikus mentéseket célszerően munkaidın kívüli idıpontokra ütemezik. Sok szolgáltató kínál távoli biztonsági mentı rendszereket. Az elektronikus archiválás és az elektronikus számlázás szabályozása Az információs technológiák és az elektronikus kommunikáció napjainkban tapasztalható tömegessé válásával egyre gyakrabban fordul elı, hogy valamely fontos dokumentum (pl. szerzıdés, számla, igazolás stb.) nem papíron, hanem elektronikus formában keletkezik. Ha jogszabály valamely dokumentum több éven keresztül történı megırzését írja elı (pl. számviteli bizonylatok), az papír dokumentumoknál nem jelent különösebb gondot, elektronikus dokumentumoknál azonban a gyors technikai fejlıdés, a változó szoftverek és hardverek miatt külön figyelmet igényel, hogy a megırzött fájlt évek múltával is meg tudjuk nyitni, bizonyítani tudjuk a hitelességét, sértetlenségét.




A digitális archiválás szabályairól szóló 114/2007. (XII. 29.) GKM rendelet annak alapvetı szabályait adja meg, hogy milyen követelményeket kell teljesíteni az elektronikus dokumentumok megırzése során. A megırzés egyik fontos és gyakorlati jelentıséggel bíró esete, amikor elektronikus aláírással ellátott dokumentumot kell megırizni. Ez esetben a megırzésre kötelezett személynek két lehetısége van: vagy az elektronikus aláírásról szóló 2001. évi XXXV. törvény szerinti archiválási szolgáltatóra bízza e feladatot, vagy maga gondoskodik a megırzésrıl a rendelet szabályai szerint. Az elektronikus archiválásnak az egyik tipikus felhasználási területe az elektronikus számlák megırzése. Néhány éve lehetıség van arra, hogy hiteles számlát nem csak papíron, hanem elektronikus formában is ki lehet bocsátani. Az elektronikus számla kétféle lehet: vagy legalább fokozott biztonságú elektronikus aláírással és minısített szolgáltató által kibocsátott idıbélyegzıvel kell ellátni a számlát, vagy speciális elektronikus adatcsere (EDI) rendszerben kell létrehozni és továbbítani. Az elektronikus számlázásra a következı jogszabályok vonatkoznak: • a számvitelrıl szóló 2000. évi C. törvény 167. § és 169. §; • az általános forgalmi adóról szóló 2007. évi CXXVII. törvény 174-175. §; • az elektronikus számlával kapcsolatos egyes rendelkezésekrıl szóló 46/2007. (XII. 29.) PM rendelet; • a számla, egyszerősített számla és nyugta adóigazgatási azonosításáról, valamint a nyugta adását biztosító pénztárgép és taxaméter alkalmazásáról szóló 24/1995. (XI. 22.) PM rendelet.

4.7. A tevékenység újrakezdése és fenntartása Üzletmenet folytonosság menedzsment Az üzletmenet-folytonosság menedzsment (Business Continuity Management - BCM) az a folyamat, melynek során felkészülünk a kritikus üzleti folyamatok sérülés vagy leállás utáni visszaállítására, lehetıleg a legkisebb kieséssel. A biztonságos, stabil üzletmenet fenntartása kritikus kérdés napjaink szervezetei számára mérettıl és iparágtól függetlenül. Az egyre szigorúbb törvényi szabályozásokat, az élesedı versenyhelyzetet, valamint az ügyfelek és tulajdonosok növekvı igényeit figyelembe véve az üzletmenet-folytonosság menedzsment már nem egyszerően egy ajánlott tevékenység, hanem a versenyképesség fenntartásának lényeges eleme. • A NIST SP 800-34 szerint egy jó üzletmenet-folytonossági dokumentáció az alábbi terveket és dokumentumokat tartalmazza: o Üzletmenet-folytonossági terv (Business Continuity Plan – BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. Ez a leírás minden kulcsfunkcióra elkészül, azokat egyesével tárgyalva. o Üzletmenet-folytonossági terv (Business Continuity Plan – BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után Szemben a BCP-vel, nem mondja meg, hogy a vészhelyzet alatt hogyan biztosítsuk a folytonosságot. Általában a BCP része. o Mőködés folytatásának terve (Continuity of Operations Plan – COOP): feladata annak a definiálása, hogy a szervezeti mőködést hogyan lehet visszaállítani egy nem kívánt esemény után. A BCP-tıl függetlenül készül. Mivel elsısorban a cég menedzsment funkcióinak visszaállítását tartalmazza, nem IT megközelítéső. 87 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A támogatás folyamatossági terve (Continuity of Support Plan): az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv. o Krízis kommunikációs terv (Crisis Communication Plan): a katasztrófa esetén szükséges belsı és külsı kommunikációs stratégiát leíró dokumentum. A BCP egyik melléklete. A legfontosabb része, hogy megnevezi azt a kizárólagos személyt, aki ilyenkor megszólalhat a nyilvánosság elıtt. • Informatikai incidenskezelési terv (Cyber Incident Response Plan): azokat a lépéseket tartalmazza, melyeket egy informatikai támadás során kell a szervezetnek megtennie. A BCP melléklete. • Katasztrófa helyreállítási terv (DRP): akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. Lényegében leírja, hogy hogyan lehet a teljes IT-t egy alternatív helyen újjáépíteni és üzemeltetni. A BCP része. • Létesítményekre vonatkozó vészhelyzeti terv (Occupant Emergency Plan – OEP): a létesítményeket fenyegetı veszélyek bekövetkezése esetén szükséges lépések leírása. Tartalmazza pl. a tőzeset vagy valamilyen bőncselekmény miatt életbelépı cselekményeket. A BCP-be beleírható, de attól elválasztva hajtják végre A katasztrófa olyan hirtelen, nem tervezett, szerencsétlen esemény, ami nagy károkat vagy veszteséget okoz. Ez az üzlet szempontjából akkor jelentkezik, amikor a szervezet egy elıre meghatározott idın túl nem képes a kritikus üzleti funkciókat mőködtetni. Katasztrófát kimondani igen komoly döntés! o

A katasztrófa jellemzıi: • Nem tervezett szolgáltatásleállás, • Hosszan tartó szolgáltatásleállás, • Olyan leállás, amit a normális problémamenedzsment eljárásokon belül nem lehet megoldani, • Komoly károkat vagy veszteségeket okoz. Néhány cél, amit a BCP megold: • Azonnali, megfelelı és felmért válasz a vészhelyzetekre. • Megkönnyíti az üzleti mőködés visszaállítását az esemény hatásának csökkentésével, miközben a kritikus üzleti funkciókat egy elıre meghatározott idın belül újra lehet indítani. • Csökkenti a kár mértékét. Az üzletmenet-folytonosság eszközei • Eljárások és erıforrások listája, amit a visszaállítás során fel kell használni. • Világos leírás, amit a felelısök végre tudnak hajtani. • Azon partnerek azonosítása, akik bevonása indokolt lehet a visszaállítás során. • Segíti a zavar elkerülését vészhelyzet során a világos útmutatók és a tesztelés segítségével. • Tartalmazza a visszaállításhoz szükséges információk listáját. • Leírja a tartalék helyen történı mőködés szabályait, ha az elsıdleges hely nem elérhetı. • Az elsıdleges helyre való visszatérés eljárásait is meghatározza.




BCP-t készíteni és karbantartani sokáig tart és drága, és talán sosem lesz rá szükség. De amikor baj történik, és nincs BCP, az igazi katasztrófa. A BCP elkészítésének lépései • Projektindítás és irányítás, • Üzleti hatások elemzése, • Visszaállítási stratégiák meghatározása, • Tervezés és megvalósítás, • Tesztelés, karbantartás, tudatosság és képzés. Üzleti folyamatok BCM szemlélető modellezésének egy lehetséges eszköze az ARIS: http://vein.obuda.kando.hu/Kom_kozp/oracle/aris_1_ea.pdf Szoftverrel támogatott mőködési kockázat menedzsment példa a CARISMA: http://www.kurt.hu/general.php?mid=138 Forrás: www.krasznay.hu/presentation/elte_09.ppt További információ: www.enoadvisory.com/doc/BCM_osszefoglalo_ENO_Advisory.pdf

4.8. A COBIT vagy az ITIL használata a kkv-k számára Az információ technológia egyre jelentékenyebbé válik a vállalatirányításban. A számítástechnika irányítása egy funkció a vállalatirányításban, illetve a kontroll kapcsolatokban és folyamatokban, melyek célja a vállalatok céljainak teljesítése új érték megteremtése által és az informatika által kínált kockázatok és elınyök mérlegelésével. A vezetésnek olyan szabályozási rendszert kell kialakítania, mely támogatja az üzleti folyamatokat. Tisztázni kell, mely tevékenységek és hogyan járulnak hozzá az információval kapcsolatos követelményekhez és ezzel az üzleti célok eléréséhez. Az egységesség megteremtése érdekében nemzetközi szabályokat alakítottak ki (pl. COBIT) azzal a céllal, hogy ezek összefoglalják az információs rendszerekkel szemben támasztott követelményeket és ezek teljesítésének méréséhez használt elveket. Ennek érdekében sikertényezıket, cél indikátorokat és teljesítmény indikátorokat is meghatározunk, melynek értékei azt a célt szolgálják, hogy felmérhessük az információ technológiai munka minıségét, és megtehessük a szükséges javító célú intézkedéseket. Az információs rendszer biztonságának javítása érdekében a kkv-k határozott módszertant alkalmaznak, mint pl. a COBIT vagy az ITIL, melyeket a közelmúltban adaptáltak a kkv-kra. COBIT - Információra és a kapcsolatos technológiára vonatkozó kontroll célkitőzések A COBIT (Control Objectives for Information and related Technology) az informatikai alkalmazások hozzáadott értékének növelését és a velük kapcsolatos kockázatok csökkentését elısegítı, általánosan elfogadott és nemzetközileg is mérvadónak tekintett informatikai szabályozási keretgyőjtemény igazgatók, vállalati vezetık és menedzserek számára. 89 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A COBIT egy szakterületre, és folyamat keretrendszerre vonatkozóan bevált gyakorlatokat ad, és a tevékenységeket egy kezelhetı és logikus struktúrában jeleníti meg. A COBIT bevált gyakorlatai szakértık közösen elfogadott véleményét tükrözik. A bevált gyakorlatok sokkal inkább összpontosítanak a kontrollra, mint a végrehajtásra. E gyakorlatok segítenek az informatikával támogatott beruházások optimalizálásában, a szolgáltatások biztosításában, és olyan mércéül szolgálnak, amely alapján megítélhetı, hogy mikor vesznek a dolgok rossz irányt. Annak érdekében, hogy az informatika az üzleti követelményeknek megfelelıen szolgáltasson, a vezetıségnek egy belsı irányítási és ellenırzési rendszert, vagy keretrendszert kell üzemeltetnie. A COBIT kontroll keretrendszer ezen igények teljesítéséhez az alábbiakkal járul hozzá: • Kapcsolatot teremt az üzleti követelményekkel, • Általánosan elfogadott folyamat modellbe szervezi az informatikai tevékenységeket, • Beazonosítja a kiaknázandó jelentısebb informatikai erıforrásokat, • Meghatározza a figyelembe veendı vezetési kontroll célkitőzéseket. A COBIT üzleti irányultságát az biztosítja, hogy összekapcsolja az üzleti célokat az informatikai célokkal, metrikákat és érettségi modelleket biztosít e célok elérésének méréséhez, és beazonosítja az üzleti és informatikai folyamat felelısök vonatkozó felelısségeit. Magyarul a teljes anyag elérhetı itt: http://www.isaca.hu/ISACA-HuC/y_Downloads/ISACA_HU_COBIT_41_HUN_v13.pdf

ITIL – Információtechnológia Infrastruktúra Könyvtár Az ITIL (Information Technology Infrastructure Library) egy informatikai rendszerek (infrastruktúra) üzemeltetésére és fejlesztésére szolgáló módszertan illetve szabvány- és ajánlás-győjtemény neve. Áttekinti többek között az informatikai vagyontárgyaknak, mint infrastruktúrának a fıbb üzemeltetési kérdéseit, de vannak kifejezetten technikai kérdésekkel foglalkozó kötetei is. Az ajánlás elsıdlegesen olyan középvezetık számára készült, akik informatikai infrastruktúrát üzemeltetnek egy szervezet számára. Haszonnal forgathatják ezen túlmenıen mindazok, akik ilyen infrastruktúra mőködtetésében részt vesznek. Az ITIL öt fı kötetbıl, illetve az ezekhez kapcsolódó kiegészítı anyagokból áll. A kötetek az alábbi folyamatokat ismertetik: • Szolgáltatás-stratégia (Service Strategy) A folyamat azonosítja azokat a (piaci) lehetıségeket, amelyeket új szolgáltatások bevezetésével ki lehetne aknázni. Az eredmény egy stratégiai dokumentum, amely felvázolja az új szolgáltatás tervezésének, megvalósításának, üzembe helyezésének és folyamatosan javuló minıségben történı nyújtásának folyamatát. A szolgáltatás bevezetése új képességekkel ruházza fel a szolgáltató céget (szervezetet), ezáltal értéknövelı szerepet tölt be. A kötet legfontosabb fejezetei a Szolgáltatás-portfólió kezelése és Pénzügyi menedzsmentje. • Szolgáltatás-tervezés (Service Design) A folyamat eredményeként projekt-terv készül az elızı lépésben keletkezett stratégia által felvázolt szolgáltatás konkrét megvalósítására. A terv részletezi az új szolgáltatás bevezetésének minden 90 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



vonatkozását, a bevezetéshez és üzemeltetéshez szükséges támogató folyamatokkal együtt. A kötet legfontosabb fejezetei az Üzemeltetés és üzemvitel biztosítása, Kapacitástervezés valamint az Informatikai- és üzembiztonság. • Szolgáltatás-létesítés és -változtatás (Service Transition) A megtervezett szolgáltatás létesítéséhez és a környezet módosításához szükséges folyamatok leírása. Fontos fejezetek a Változás- és verziókezelés, Konfiguráció-menedzsment és Dokumentációkezelés. • Szolgáltatás-üzemeltetés (Service Operation) Az elızıvel szorosan összefüggı kötet tárgyalja a szolgáltatás folyamatos és hibamentes üzemeltetéséhez szükséges folyamatokat és szervezési kérdéseket. A folyamatok garantálják az SLA (Service Level Agreement - megállapodott szolgáltatási szint) szerzıdésekben vállalt szolgáltatás-minıséget. Legfontosabb fejezetek a Hiba- és -igény és incidenskezelés. • Folyamatos fejlıdés (Continual Service Improvement) c. kötet tárgyalja a szolgáltatás folyamatosan javuló minıségben nyújtásának feltételeit. Kiemelt fejezetek a Szolgáltatási szint mérése, riportolása (jelentése) és menedzsmentje c. fejezetek. (Forrás: http://hu.wikipedia.org/wiki/ITIL ) Az ITIL keretén belül megtaláljuk az alábbi infrastruktúra menedzsment funkciókat: • konfigurációkezelés • gyorssegélyszolgálat • problémakezelés • változáskezelés • szoftver felügyelet és terítés • szolgáltatási szint menedzsment • katasztrófa elhárítás tervezés • kapacitás menedzsment • költségmenedzsment (informatikai szolgáltatások esetében) • rendelkezésre-állás menedzsment Az IT infrastruktúra menedzsment bevezetése az alábbi hatásokat válthatja ki: • Lehetıvé teszi a múlt tapasztalataiból való okulást azáltal, hogy történeti adatokkal szolgál a szolgáltatásra gyakorolt hatásokról. • Fenntartja az IT részleg szavahihetıségét a felhasználók szemében. Ezt a minıségi szolgáltatások megbízható nyújtásával éri el. • Kézben tarthatóvá teszi az IT szolgáltatásokat, a jobb vezetıi információk lehetıvé teszik a szolgáltatási menedzsment és rendelkezésre állási menedzsment funkció részére a szolgáltatási szint megállapodások nyomon követését, illetve a követelmények pontosabb meghatározását tartalmazó szerzıdéskötéseket. • Lehetıvé teszi a szervezeti alaptevékenységek megalapozását, elébe megy a rendszerfejlesztéseknek és változtatásoknak. • A szervezet gyorsabban tudja a változtatásokat feldolgozni, alkalmazkodni hozzájuk és változtatásokra reagálni. • Lehetséges lesz az értékes IT vagyontárgyak felügyelete. Javulás érhetı el a következı területeken:




A felhasználók termelékenysége: hiba esetén gyorsabban lehet a felhasználók eredeti munkakörülményeit helyreállítani, mert rendelkezésre áll a kellıen kiképzett személyzet és a megfelelı eljárások, ami végsı soron a felhasználók termelékenységének növekedéséhez vezet. Támogató személyzet termelékenysége: sok esetben eredményesebben lehet felhasználni a képzett és gyakorlott személyzetet. Az IT részleg és a felhasználók közötti kapcsolat: a megjavult kommunikáció eredményeképpen javulni fog a kapcsolat az IT részleg és felhasználók között. Az ITIL teljes anyaga elérhetı itt: www.itil.org Bıvebben magyarul: Infrastruktúra menedzsment (ITB ajánlás): http://www.itb.hu/ajanlasok/a15/ http://www.kissgaborzsolt.hu/docs/management/ITB_Bev04w6.doc

Ajánlott irodalom a 4. Fejezethez A Francia Információ Biztonsági Klub (CLUSIF) honlapja: http://www.clusif.asso.fr/en/clusif/present/ Az Amerikai Nemzeti Kiber-biztonsági Szövetség (National Cyber Security Alliance) honlapja: http://staysafeonline.org/ Információbiztonság (1996): CEDIT Kiadó Németh József (1984): Adatvédelem a számítógépes és hírközlı rendszerekben, Számalk Kaderják Gyula (1999): Adatvédelem. Fıiskolai jegyzet, BGF (FSZ-004) Útmutató az informatikai biztonsági szabályzat (ibsz) elkészítéséhez: http://www.itb.hu/ajanlasok/a8/html/a8_4.htm Dr. Kohány András – Kınig Balázs: Informatikai védelem: www.uni-corvinus.hu/fileadmin/.../03_informatikai_vedelem.ppt További számos kiváló szakcikk és szakmai anyag elérhetı itt: http://www.kissgaborzsolt.hu/dokumentumok/itil-it-menedzsment-es-kontroll/computerssecurity-policy-sample-documents-dmoz.html

4.9. Ellenırzı feladatok 1. Igaz-hamis Igaz A fizikai védelem körébe tartozik az elhelyezés, üzemeltetési környezet kialakítása, a vagyon- és biztonságvédelem eszközei. Hamis Az Informatikai Biztonsági Szabályzat eleme az érintésvédelem. Igaz Az illetéktelenség területének legfontosabb alapelvei a titkosság, a teljesség és rendelkezésre állás. Hamis A szigorú szabályok körébe tartoznak a jóváhagyott írott belsı utasítások. 92 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



2. Az alább felsoroltak közül melyik nem tartozik az emberi tévedésekkel szembeni védekezi módszerek közé: • CDV kódok alkalmazása. • Bizonylatok ellenırzése. • Adattisztítás. • Vírusvédelem. 3. Melyik jellemzı nem igaz a vírusokkal szembeni védekezésre? • Tőzfal alkalmzása. • Vírusirtó program alkalmazása. • Rendszeres biztonsági mentés. • Archiválás. 4. Az alábbi felsorolásból válassza ki azokat a szempontokat, amelyek a számítógépes tanúsításhoz kapcsolódnak: • Digitálsi aláírás. • Minıségtanúsítás • EUDPD. • Nyílt forráskód. 5. Igaz-hamis Hamis A teljes másolás és teljes mentés valójában ugyanaz a mővelet. Igaz Növekményes mentéskor csak egy korábbi állapothoz képesti változások kerülnek mentésre. Igaz Szoftverek biztonsági másolatát a licencek általában engedélyezik. Hamis Teljes mentés csak elsı alkalommal végezhetı. 6. Az alábbi állítások közül melyek igazak? • Üzletmenet-folytonossági terv (BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. • Üzletmenet-folytonossági terv (Business Continuity Plan – BCP): annak leírása, hogy hogyan lehet egy üzleti funkciót fenntartani annak megzavarása alatt és után. • Krízis kommunikációs terv (Crisis Communication Plan): az üzleti folyamatokat támogató rendszerek folyamatos üzemelésére vonatkozó terv. • Katasztrófa helyreállítási terv (DRP): akkor alkalmazzák, ha a szervezetet valóban katasztrofális esemény éri. 7. Az alábbiak közül melyek tartoznak az ITIL témakörei közé? • Szolgáltatás-stratégia. • Szolgáltatás-tervezés. • Hálózattervezés. • Szolgáltatás üzemeltetés.




II. KOCKÁZATKEZELÉS 1. FEJEZET: A KOCKÁZATKEZELÉSI ISMERETEK ELSAJÁTÍTÁSÁNAK CÉLJAI Pedagógiai célkitőzések Hiánytalan ismeretek megszerzése a kockázatkezelés céljairól és problémáiról Indikatív tartalom

1.1. Bevezetés A bemutatott kockázatkezelési koncepció a COSO Vállalati Kockázatkezelési és Belsı Kontroll Integrált Keretrendszerén alapszik, és a képzési anyag közvetlenül is a COSO dokumentumok Vezetıi Összefoglalójának és Alkalmazási Technikáinak egyes részeire utal.

1.2. Globális célok A vállalati kockázatkezelés alapjául szolgáló alapfeltevés az, hogy minden szervezet azért létezik, hogy az abban érdekeltek számára értéket teremtsen. Minden szervezet bizonytalansággal találja magát szemben, és a vezetıség számára az jelenti a kihívást, hogy meghatározza, mekkora bizonytalanságot fogadjon el a tulajdonosi érték növelésére való törekvése során. A bizonytalanság kockázatot és lehetıséget jelent, amiben benne van az érték pusztulásának vagy növelésének lehetısége. A vállalati kockázatkezelés lehetıvé teszi a vezetıség számára, hogy hatékonyan kezeljék a bizonytalanságot és a velejáró kockázatot és lehetıséget, így növelve az értékteremtı képességet.

1.3. A fı kérdések leírása Akkor a legnagyobb az érték, ha a vezetıség olyan stratégiát és célokat állapít meg, miszerint a növekedési és megtérülési célok és az azokkal együtt járó kockázatok optimális egyensúlyát kívánja megteremteni, és eredményesen és hatékonyan hasznosítja a forrásokat a szervezet célkitőzéseinek elérése érdekében. A vállalati kockázatkezelés körébe tartozik: •

A kockázatvállalási hajlandóság és a stratégia párhuzamba állítása: A vezetıség a stratégiai alternatívák értékelése, a vonatkozó célkitőzések meghatározása és a kapcsolódó kockázatkezelı mechanizmusok kidolgozása révén mérlegeli a szervezet kockázatvállalási hajlandóságát.

•

A kockázatra való reagálást érintı döntések hangsúlyozása: A vállalati kockázatkezelés biztosítja, hogy pontosan meghatározzák és kiválasszák a megfelelıt 94

Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



a kockázati reakciók alternatívái közül – a kockázat elkerülése, csökkentése, megosztása és elfogadása. •

A mőködéssel kapcsolatos meglepetések és veszteségek csökkentése: A szervezetek képesebbé válnak a potenciális események felismerésére és a reakciók kidolgozására, ily módon csökkentve a meglepetéseket és az azokkal kapcsolatos költségeket ill. veszteségeket.

•

Többszörös és a vállalatot átfogó kockázatok felismerése és kezelése: Minden vállalat számtalan, a szervezet különbözı részeit érintı kockázattal találja magát szemben, és a vállalati kockázatkezelés elısegíti az egymással összefüggı hatásokra való hatékony reagálást, valamint a többszörös kockázatokra való integrált reagálásokat.

•

A lehetıségek kihasználása: A lehetséges események sorát figyelembe véve a vezetıség helyzeténél fogva felismerheti és proaktív módon kihasználhatja a lehetıségeket.

•

A tıkefelhasználás javítása: A vezetıség pontos kockázati információt szerezve hatékonyan felmérheti az átfogó tıkeigényeket, és javíthatja a tıkefelosztást.

1.4. Miért fontos a kockázatkezelés a kkv-k számára? A vállalati kockázatkezeléssel együtt járó képességek segítik a vezetıséget a szervezet teljesítmény- és nyereségességi céljainak elérésében és a forrásveszteség megelızésében. A vállalati kockázatkezelés hozzájárul az eredményes beszámolás és a törvények és jogszabályok betartásának biztosításához, valamint segít elkerülni a szervezet hírnevének csorbulását és az azzal kapcsolatos következményeket. Összegezve a vállalati kockázatkezelés támogatja a szervezetet célja elérésében, és az odavezetı úton segít elkerülni a csapdákat és a meglepetéseket. Az eseményeknek lehetnek negatív vagy pozitív hatásai vagy mindkettı. A negatív hatású események jelentik a kockázatokat, amelyek megakadályozhatják az értékteremtést, ill. rombolhatják a meglévı értéket. A pozitív hatású események kiegyenlíthetik a negatív hatásokat, ill. lehetıségeket jelentenek. A lehetıségek olyan esemény bekövetkeztének eshetıségét jelentik, amelyek pozitív módon hatnak a célok elérésére, támogatják az értékteremtést ill. -megırzést. A vezetıség a lehetıségeket visszaforgatja a stratégiába vagy célkitőzésbe: a lehetıségek megragadását célzó folyamatokat határoz meg és terveket dolgoz ki. Irodalom az 1. Fejezethez • • • •

http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_French.pdf http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf http://www.coso.org/documents/COSO_ERM.ppt 95

Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



2. FEJEZET: A KOCKÁZATKEZELÉS ALAPELVEI Pedagógiai célkitőzések Törekedjünk a kockázatkezelés fogalmának tökéletes megértésére. Indikatív tartalom

2.1. A vállalati kockázatkezelés meghatározása A vállalati kockázatkezelés az értékteremtést vagy -megırzést érintı kockázatokkal és lehetıségekkel foglalkozik, és a következıképpen határozható meg: A vállalati kockázatkezelés egy folyamat, amelyet egy szervezet igazgatósága, vezetıi és többi dolgozója hajt végre, azt a stratégia kialakítása során és az egész vállalaton belül alkalmazza. Célja, hogy meghatározza azokat a lehetséges eseményeket, amelyek hatással lehetnek a szervezetre, és a kockázatvállalási hajlandóság mértékéig kezelje a kockázatot, ésszerő biztosítékot nyújtson a szervezeti célkitőzések megvalósításához. A meghatározás bizonyos alapfogalmakat tükröz. A vállalati kockázatkezelés: • Egy szervezeten átívelı, állandó folyamat, • A szervezet minden szintjén az emberek hajtják végre, • Alkalmazzák a stratégia meghatározásakor, • Vállalatszerte, minden szinten és egységnél alkalmazzák, és szervezeti szintő kockázati portfolió kialakítását tartalmazza, • Célja, hogy meghatározza azokat a potenciális eseményeket, amelyek – bekövetkeztük esetén – hatással lesznek a szervezetre, valamint hogy a kockázatvállalási hajlandóság mértékéig kezelje a kockázatot, • Képes ésszerő biztosítékot adni egy szervezet vezetıségének és igazgatóságának, • Egy vagy több, különálló, de egymást átfedı kategóriába sorolt célkitőzések megvalósítására irányul. Ez a meghatározás szándékosan széles körő. Olyan kulcsfogalmakat tartalmaz, amelyek alapvetık abból a szempontból, hogy a társaságok és más szervezetek hogyan kezelik a kockázatot, a szervezeteket, iparágakat és ágazatokat átfogó alkalmazás alapjaként szolgál. Közvetlenül egy adott szervezet által meghatározott célkitőzések elérése koncentrál, és alapot nyújt a vállalati kockázatkezelés hatékonyságának meghatározásához.

2.2. A kockázatok típusai A kockázatok típusai az iparágtól, a szervezet típusától és méretétıl, a földrajzi elhelyezkedéstıl, a kultúrától, stb. függıen jelentısen eltérhetnek. Az ERM kockázatkezelési koncepciója a szervezeti és mőködési célokat jelentısen, negatív irányban befolyásolni képes, lehetségesen elıforduló külsı és belsı eseményekre értelmezi a kockázatokat. 96 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Külsı kockázatot jelentı események kategóriái lehetnek: Gazdasági Társadalmi - Tıke rendelkezésre-állás - Népesség - Hitellehetıségek - Fogyasztói magatartás - Likviditás - Közösség - Pénzpiaci szereplık - Bizalmasság - Munkanélküliség - Terrorizmus - Piaci verseny - Fúziók és felvásárlások Technológiai - Üzletmenet megszakadása - Elektronikus kereskedelem Környezeti - Környezetszennyezés - Külsı adatok - Energia - Technológiai fejlıdés - Környezeti katasztrófa - Fenntartható növekedés Politikai - Kormányzati változás - Törvényhozás - Közérdek - Szabályozás Belsı kockázatot jelentı események kategóriái lehetnek: Folyamatok Infrastruktúra - Kapacitás - Eszközök rendelkezésre állása - Eszközök alkalmassága - Tervezés - Hozzáférés - Végrehajtás - Komplexitás - Külsı kapcsolódások, függıségek Személyi állomány - Alkalmazotti kapacitás - Megtévesztı (csalárd) magatartás - Egészségügy és biztonság

Technológiák - Adatintegritás - Adat- és rendszerhozzáférés - Rendszer kiválasztás - Fejlesztés - Bevezetés - Karbantartás

Megkülönböztetjük még az eredendı (inherent) kockázatot, mely leegyszerősítve kezeletlen kockázatot jelent, illetıleg a maradvány (residual) kockázatot, mely az eredendı kockázat kapcsán tervezett és végrehajtott válaszintézkedés – vagyis a kontroll - eredményeképpen marad. Az eredendı és maradvány kockázat egyaránt fontos a vállalati kockázatkezelés szempontjából. A következı ábra az eredendı és maradvány kockázatok szerepét mutatja be a kockázatkezelés általános megközelítésében: 97 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



CÉLOK

ESEMÉNYEK

EREDENDİ KOCKÁZAT

VÁLASZOK

MARADVÁNY KOCKÁZAT

1. ábra: Kockázatkezelés általános megközelítése Kiemeljük még a kontrollkockázat fogalmát, mely alatt annak kockázatát értjük, hogy a kontrollrendszer egyes folyamatai, vagy egyes kontroll tevékenységek a tervezett hatást, vagyis a maradvány kockázat kívánt értéken (kockázatviselési szinten) belül tartását, nem érik el. A belsı kontrollrendszer a vállalati kockázatkezelés szerves része. A vállalati kockázatkezelés és a belsı kontrollrendszer egymástól nem elválasztható, pusztán más nézıpontjait jelentik az üzleti folyamatok irányításának. Ahogy az üzleti folyamatok, mőködési egységek, szervezeti szintek egymásba épülnek, úgy a célok és a célokra hatással bíró események is láncolatot alkotnak. Az események láncolatában a magasabb szinten kezelt - maradvány - kockázat, az alsóbb szint számára adott esetben eredendı kockázatként jelenhet meg. Az események bekövetkezésének és hatásának bizonytalansága az élet természetes velejárója. A vállalati kockázatkezelés az üzleti élet bizonytalanságából kíván eredményt produkálni. A kockázatkezelés ebben az értelemben nem különbözik a normális üzletviteltıl, hanem annak egy tudatos (tervezett és ellenırzött) formáját jelenti. A kockázat-tudatosság eredményeképpen az esetleg bekövetkezı eseményekre való megfelelı felkészülés biztosítja a nagyobb üzleti siker elérését, vagy veszteség elkerülését.

Ajánlott irodalom a 2. fejezethez • • • •

http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_French.pdf http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf http://www.coso.org/documents/COSO_ERM.ppt




2.3. Gyakorlatok 1. kérdés A szervezeti (üzleti) kockázatkezelés a szervezet felügyeleti testülete, vezetése és munkatársai által mőködtetett folyamat, melyet a stratégia meghatározásában és az egész szervezetre alkalmaznak abból a célból, hogy: Válasszon legalább egy válaszlehetıséget. A./ azonosítsa azokat a lehetséges eseményeket, melyek kihatással lehetnek a szervezet mőködésére. B./ a kockázatokat az elfogadható szinten tartsa. C./ biztosítsa a szervezeti célok elérését. D./ a szervezeti célok elérésére vonatkozóan megfelelı szintő bizonyosságot adjon. Helyes válasz: A, B, D 2. kérdés Az ERM hozzájárul az érték-teremtéshez azzal, hogy támogatja a vezetést abban, hogy: Válasszon legalább egy válaszlehetıséget. A./ a bizonytalanságot okozó esetlegesen bekövetkezı jövıbeli eseményeket kezelje B./ minden bekövetkezı jövıbeli eseményt kezeljen C./ olyan módon reagáljon, hogy csökkentse a kedvezıtlen, illetve növelje a kedvezı kimenetel bekövetkezésének esélyét D./ olyan módon reagáljon, hogy megakadályozza a kedvezıtlen kimenetel bekövetkezését Helyes válasz: A, C 3. kérdés Az ERM a tevékenységeket a szervezet alábbi szintjein veszi figyelembe: Válasszon legalább egy válaszlehetıséget. A./ Szervezet egésze B./ Divízió vagy leányvállalat C./ Mőködési egység D./ Üzleti folyamatok Helyes válasz: A, B, C 4. kérdés A szervezet kockázatviselési szintje annak meghatározása, hogy: Válasszon legalább egy válaszlehetıséget. A./ a kockázatok vonatkozásában a vezetés és a felügyeleti testület mekkora eltérést tart elfogadhatónak B./ a stratégia vonatkozásában a vezetés és a felügyeleti testület mekkora kockázatot tart elfogadhatónak C./ a szervezeti céloktól milyen mértékő eltérés engedhetı meg D./ a stratégia vonatkozásában a vezetés mekkora eltérést tart elfogadhatónak




Helyes válasz: B 5. kérdés Az elfogadható kockázati szint meghatározásakor feltehetı kérdések: Válasszon legalább egy válaszlehetıséget. A./ A szervezeti céloktól milyen mértékő eltérés engedhetı meg? B./ Mely kockázatokat ne fogadjunk el? C./ Mely kockázatokat vállaljunk fel új kezdeményezések esetén? D./ Mely kockázatokat vállaljunk fel a piaci (verseny) célok eléréshez? Helyes válasz: B, C, D




3. FEJEZET: A SZERVEZET ÖSSZEKAPCSOLÓDÓ CÉLKITŐZÉSEINEK ELÉRÉSE Pedagógiai célkitőzések Tanuljuk meg, hogyan kapcsoljuk össze a kockázatkezelés különbözı céljait. Indikatív tartalom

3.1. A célkitőzés-kategóriák Egy szervezet meghatározott küldetésének vagy jövıképének kontextusában a vezetıség kitőzi a stratégiai célokat, megválasztja a stratégiát, és az összehangolt célkitőzéseket leosztja a vállalat minden szintjére. Ez az átfogó vállalati kockázatkezelési rendszer a szervezet céljainak elérésére irányul, és négy kategóriába sorolható: • • • •

Stratégia: magas szintő célok, a küldetésével összehangolva és azt támogatva, Mőködés: a forrásainak eredményes és hatékony felhasználása, Beszámolás: a beszámoló megbízhatósága, Szabályszerőség: az alkalmazandó törvények és szabályok betartása

A szervezeti célok fenti kategóriákba sorolása lehetıvé teszi a vállalati kockázatkezelés különféle szempontjainak vizsgálatát. A különálló, de egymást átfedı kategóriák – egy célkitőzés egynél több kategóriába is tartozhat – különbözı szervezeti igényekkel foglalkozik, és különbözı vezetık közvetlen felelısségi körébe tartozhat. A kategorizálás révén elkülöníthetık az egyes célkitőzés kategóriákkal szemben támasztott elvárások. Egy további kategória: a források megóvása – amelyet bizonyos szervezetek használnak – leírását is megadjuk. Mivel a szervezet hatáskörébe tartoznak a beszámoló megbízhatóságára és a törvények és szabályok betartására vonatkozó célkitőzések, a vállalati kockázatkezelés várhatóan a célkitőzések megvalósításának ésszerő biztosítékát nyújtja. A stratégiai és a mőködési célok elérése azonban olyan külsı eseményektıl függ, amelyek nem tartoznak mindig a szervezet hatáskörébe, ennek következtében e célok esetében a vállalati kockázatkezelés ésszerő biztosítékot adhat arra, hogy a vezetıség és az igazgatóság áttekintı szerepében idıben megtudja, hogy a szervezet milyen mértékben halad a célok elérése felé.

3.2. Célkitőzés állítása A célkitőzés állításakor a vezetés mérlegeli a szervezet stratégiáját és stratégiai céljait. Meghatározásra kerül a szervezet kockázatviselési szintje vagy hajlandósága (risk appetite) vagyis az, hogy a stratégia vonatkozásában a vezetés és a felügyeleti testület (igazgatóság) mekkora kockázatot tart elfogadhatónak. Továbbá meghatározásra kerül a kockázati




tolerancia (risk tolerance), vagyis az, hogy a meghatározott kockázatviselési szinten a szervezeti céloktól milyen mértékő eltérés engedhetı meg. A szervezeti szinten, vagy az egyes mőködési egységek és folyamatok vonatkozásában meghatározott célokat és azoktól való megengedett eltérést megfelelı metrikákkal (mutatószámokkal) kell alátámasztani. Ez általában nem szokott problémát okozni, hiszen minden szervezet, vagy mőködési folyamat üzleti célja valamilyen – viszonylag könnyen számszerősíthetı - érték létrehozása vagy megırzése. A kockázatkezelés szempontjából alapvetı kockázatviselési szint (vagy hajlandóság) számszerősítése viszont nem nyilvánvaló. A probléma súlyát az adja, hogy a kockázatértékelés során a kockázatviselési szint az, ami alapján a kockázat besorolásra kerül, mely alapján döntés születik arról, hogy a lehetséges kockázati válaszok közül melyik kerüljön alkalmazásra. Ha tehát nincs akár a szervezet, akár a mőködési folyamat kapcsán objektíven alkalmazható kockázatviselési szintre vonatkozó mutatószám, akkor a kockázatkezelés további lépéseit csak eseti, szubjektív döntéseken keresztül lehet végrehajtani. A COSO ERM modell – a beépülı kontrollrendszerrel együtt – célkitőzés-kategóriákat állít fel. A stratégiai, mőködési, beszámolási és szabályszerőségi célkitőzéseket az ERM esetében a szervezet, az integrált belsı kontrollrendszer vonatkozásában a mőködési egységek és folyamatok üzleti céljainak megvalósulásán keresztül kell vizsgálni. Habár az egyes célkitőzés-kategóriák alapján különbözı (teljesítmény, pénzügyi vagy szabályszerőségi) vizsgálati típusok határozhatók meg, könnyő belátni, hogy a célkitőzés-kategóriák nem önmagukban léteznek, hanem egymással összekapcsolódva. Az egyik lehetséges megközelítés alapján a célkitőzés-kategóriák egymásra épülnek. A mőködési (üzleti) folyamatok szintjén a szabályszerőségi célok teljesülése biztosítja, hogy a kockázatkezelés és belsı kontrollrendszer kiválasztott, vagy elıírt követelményei szerint kerülnek az üzleti tevékenységek végrehajtásra. A megbízható beszámolás céljai feltételezik a szabályszerőségi követelmények teljesülését, vagyis a szervezet kockázatviselési szintje a mőködési (üzleti) folyamatok kapcsán a szabályszerőségi követelmények mutatószámaival határozható meg. A mőködési egységek vonatkozásában a hatékony mőködés céljai feltételezik a megbízható beszámolás és a szabályszerő végrehajtás követelményeinek teljesülését. Ezen a szinten a szervezet kockázatviselési hajlandóságát a megbízható beszámolás és a szabályszerőség követelményeinek mutatószámaival írhatjuk elı. A szervezet egésze vonatkozásában a - mőködési egységek szintjén meghatározott üzleti célokra lebontott - stratégiai célok feltételezik a hatékony mőködés, megbízható beszámolás és szabályszerő végrehajtás követelményeinek teljesülését. A szervezet egésze vonatkozásában a kockázatviselés szintjét a mőködési egységek, mőködési folyamatok és üzleti tevékenységek kapcsán feltételezett mőködési, beszámolási és szabályszerőségi követelmények mutatószámaival jellemezhetjük.




Vegyük észre a szervezet belsı kontrollrendszerére alkalmazott kockázatkezelés következményét a szervezeti szintő kockázati tolerancia (a szervezet kontroll céljaitól való megengedett eltérés mértéke) és a kockázatviselési szint értelmezésében: a szervezet kockázatkezelési stratégiája vonatkozásában a kockázatviselés szintjét a belsı kontrollrendszer egészére elıírt követelmények mutatószámaival írhatjuk le. A konzisztens vállalati kockázatkezelés tehát feltételezi, hogy a szervezet belsı kontrollrendszerének mőködését megfelelı mutatószámokkal jellemezni lehet. Ezek a mutatószámok a belsı kontrollrendszerre vonatkozó célkitőzés-állításban is szerepet kapnak, hiszen ezekkel lehet az adott szintre jellemzı kockázati toleranciát meghatározni. Az alsóbb szintő célkitőzéskategória kontroll kockázati toleranciájának mutatóival a következı célkitőzés-kategóriára vonatkozó kockázatviselési szintet írhatjuk le. Kevésbé kockázat-tudatos vállalati mőködés esetén a stratégiai és üzleti célokat közvetlenül is lehet az üzleti tevékenységekhez kapcsolni. Ez esetben a belsı kontrollrendszer egészére vonatkozó követelmény-állításról nem beszélhetünk, így nemcsak a kontroll és kockázatkezelési keretrendszerek következetes alkalmazásáról mondunk le, hanem arról a lehetıségrıl is, hogy a szervezet vonatkozásában objektíven alkalmazható kockázatviselési szinteket határozhassunk meg, ezáltal az üzleti tevékenységek kapcsán eseti és szubjektív döntések határozzák meg a kockázatok besorolását.

3.3. Eseményazonosítás Az eseményazonosítás tartalmazza azon véletlenül bekövetkezı külsı vagy belsı eseményeket, melyek kihathatnak a stratégiára és a célok elérésére. Bemutatja, hogy a belsı és külsı tényezık kombinációja és összejátszása hogyan befolyásolja a kockázatmeghatározásokat (risk profile). A vállalati kockázatkezelés szempontjából nemcsak a negatív hatású eseményeket (kockázatokat) kell beazonosítani, hanem a kedvezı kimenetelő eseményeket - a lehetıségeket - is. Bár a COSO modellek nem foglalkoznak részletesen a lehetıségek kihasználását támogató folyamatokkal, ezek az üzleti élet szempontjából ugyanolyan fontosak, mint a hagyományos kontrollok. Általános üzleti modellek, szabványok, keretrendszerek, illetve részletes mőködési (pl. technológiai) elıírások is jól használhatóak a lehetséges események beazonosítására. Tekintettel a lehetséges külsı és belsı események igen kiterjedt körére, a jelentıs kihatású, de ritkábban elıforduló események többségével kapcsolatosan a szervezet vezetésének, illetve munkatársainak nem feltétlenül van gyakorlati tapasztalata. A kontroll keretrendszerek által a belsı kontrollrendszer egyes elemeire, illetve a célkitőzés-kategóriák egymásra épülésére elıírt követelményeket vizsgálva nyerhetünk információkat azokról az eseményekrıl, melyeket a kontroll keretrendszerek kidolgozói fontosnak tartottak.




3.4. Kockázatértékelés Leegyszerősítve a kockázatértékelés annak bemutatása, hogy a lehetséges események milyen mértékben gyakorolnak hatást a szervezeti, mőködési célok elérésére. A kockázatértékelés során a kockázatokat alapvetıen a következı szempontokból vizsgáljuk: • •

Valószínőség (Likelihood) Hatás (Impact)

A kihatás vizsgálata a kockázatok felmérése mellett a kapcsolódó célok mérésére is alkalmazható. A kockázatértékelés során kvalitatív és kvantitatív kockázat-felmérési módszereket, illetve ezek kombinációját alkalmazhatjuk. Nagyon fontos, hogy a kockázatértékelésnek nem a vizsgálati, vagy a költségvetési ciklusokhoz, hanem a vonatkozó célok idıhorizontjához kell igazodnia! A szervezeti és mőködési célok akár több vizsgálati cikluson keresztül is átnyúlhatnak, de pl. katasztrófaelhárítás esetén nagyon rövid idıtartamra is vonatkozhatnak. A kockázatértékelés mind az eredendı (inherent), mind a maradvány (residual) kockázatokat figyelembe veszi. Az objektív mérlegelés szempontjából nélkülözhetetlen a kockázatviselési szint mérıszámainak alkalmazása. A kockázati térkép egy vagy több kockázat bekövetkezési valószínőségének és kihatásának grafikus megjelenítésére szolgál. A hagyományos kockázati térképen ábrázolható az eredendı és maradvány kockázat, így a lehetséges kockázati válasz irányultsága is.

2. ábra: Kockázati térkép használata 104 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A hagyományos kockázati térkép alkalmazásának problémáit az alábbiakban foglalhatjuk össze: • A ritkán, vagy eddig még soha meg nem történt események vonatkozásában nem nyújt segítséget. • A legnagyobb veszteségek gyakran alacsony valószínőségő, de nagy kihatású eseményekbıl fakadnak. • A hagyományos kockázati térkép alkalmazása a vezetés és az audit figyelmét túlságosan a nagy hatású és magas valószínőségő (red zone) eseményekre irányítja. • Az események láncolata helyett az egyedi eseményekre koncentrál. • A kockázatviselési szint (hajlandóság) az egyedi események kapcsán nehezen számszerősíthetı. • A kapcsolódó események kompenzációs kontrollintézkedései egy egyedi esemény magas kockázatát is elfogadhatóvá tehetik. Fentiek figyelmen kívül hagyása a kockázatkezelést formális dokumentálási gyakorlatra redukálja. A túl részletes kockázat-felmérési dokumentáció egyrészt a karbantarthatóság miatt is megkérdıjelezhetı, de a szervezeti, mőködési céloktól való ”elszakadás”-nak is tág teret ad. A vállalati kockázatkezelés szempontjából a felülrıl lefele, a konkrét szervezeti célokból lebontott, jelentıs eseményekkel kapcsolatos kockázatfelmérésnek van hozzáadott értéke, mely nem keverendı össze a kontrolltevékenységek részletes dokumentálásával.

3.5. Kockázati válaszok A lehetséges kockázati válaszokat (risk responses) azonosítani és értékelni kell. Az értékelés során figyelembe kell venni a szervezet kockázatviselési szintjét, össze kell hasonlítani a lehetséges kockázati válaszokat költség-haszon (cost/benefit) elemzés segítségével (ld. 3. sz. ábra), valamint azt, hogy a lehetséges válaszok milyen mértékben csökkentik a hatást és/vagy a bekövetkezés valószínőségét (ld. 4. sz. ábra). $$

KÖLTSÉG KÖLTSÉG

KOCKÁZAT KOCKÁZAT CÉL CÉL

VESZTEVESZTESÉG SÉG

INTÉZKEDÉS INTÉZKEDÉS HATÉKONYSÁGA HATÉKONYSÁGA

3. ábra: Költség-haszon elemzés használata a lehetséges kockázati válaszok összehasonlításánál 105 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A fenti ábra azt mutatja, hogy a kockázati válasz költsége nem haladhatja meg a kockázat hatását. Megfelelı adatok rendelkezésre állása esetén a kockázati hatás statisztikailag értelmezhetı és jól modellezhetı. A 4. sz. ábra illusztrálja, hogy a kockázati válasz eredményességének méréséhez a hatás és valószínőség mutatóit lehet felhasználni.

EREDENDİ KOCKÁZAT

HATÁS

MARADVÁNY KOCKÁZAT VALÓSZÍNŐSÉG

4. ábra: Maradvány kockázat meghatározása a hatás, illetve valószínőség csökkentésével A következı feladat a kockázatok és a kockázati válaszok portfoliójának kiértékelésén alapuló válasz-intézkedés kiválasztása és végrehajtása. Lehetséges választípusok: • Elfogad (Accept) = monitoroz • Elkerül (Avoid) = megszüntet (pl. tevékenységet) • Mérsékel (Reduce) = kontrollokat alkalmaz • Megoszt (Share) = mást bevon (pl. biztosítót) A lehetséges választípusokra jellemzı megoldások: Elfogadás: - ”belsı biztosítás” a lehetséges veszteségre (pl. tartalékképzés) - kompenzációs kontrollok alkalmazása - a hatás a kockázati tolerancián belüli Elkerülés: - mőködési egység, termék-elıállítás, stb. megszőntetése - új, nagy kockázatú kezdeményezéstıl való elzárkózás Mérséklés: - termékek diverzifikálása - mőködési korlátok felállítása - mőködési (üzleti) folyamatok javítása - döntéshozatal és monitoring vezetıi szintjeinek kialakítása - eszközök, illetve tıke átcsoportosítása 106 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Megosztás: - biztosítás - közös vállalkozás/partnerség kialakítása - szindikátusi megállapodások - kockázat lefedése tıkepiaci eszközökkel - üzleti folyamat kiszervezése (outsourcing) - kockázat megosztása a vevıkkel, szállítókkal, vagy más üzleti partnerekkel megkötött szerzıdéseken keresztül A kockázati választípusok és a kockázatértékelés lehetséges kapcsolatát mutatja be a következı ábra:

5. ábra: Kockázati választípusok a kockázati térképen Általában a nagyobb valószínőséggel bekövetkezı eseményekre adható kockázati válaszok ismertebbek, hiszen jóval több gyakorlati példa áll rendelkezésre. Bizonyos üzleti típussal illetve volumennel bíró, vagy jelentıs társadalmi funkciót ellátó szervezetek esetében viszont a nem gyakori, de nagy kihatású eseményekre (pl. környezeti katasztrófa, terrortámadás) is megfelelı összetettségő válaszintézkedéseket kell kidolgozni. Ajánlott irodalom a 3. Fejezethez • • • •





3.6. Gyakorlatok 1. kérdés A szervezeti célkitőzések az alábbi kategóriák vonatkozásában vizsgálhatóak: Válasszon legalább egy válaszlehetıséget. A./ Stratégia B./ Mőködés C./ Beszámolás D./ Megfelelés Helyes válasz: A, B, C, D 2. kérdés Az ERM komponesei közül melyek határozzák meg azt, hogy az elfogadható kockázatviselési szinten a szervezeti céloktól milyen mértékő eltérés engedhetı meg? Válasszon legalább egy válaszlehetıséget. A./ Belsı környezet és Célkitőzések állítása B./ Eseményazonosítás és Kockázatértékelés C./ Kockázati válaszok és Konrolltevékenységek D./ Információ és kommunikáció és Monotoring Helyes válasz: A 3. kérdés Az ERM "Kockázatértékelés" komponense: Válasszon legalább egy válaszlehetıséget. A./ Bemutatja a szervezet vonatkozásában, hogy a lehetséges események milyen mértékben gyakorolnak hatást a célok elérésére B./ Felméri a kockázatokat a valószínőség és hatás szempontjából C./ A felmérés során csak az eredendı kockázatokat veszi figyelembe D./ A kockázatok felmérése mellett a kapcsolódó célok mérésére is alkalmazható Helyes válasz: A, B, D 4. kérdés Az ERM "Kockázati válaszok" komponense értékeli a lehetıségeket a következı szempontokból: Válasszon legalább egy válaszlehetıséget. A./ a szervezet kockázatviselési szintje B./ a lehetséges kockázati válaszok költség-haszon összehasonlítása C./ a lehetséges válaszok milyen mértékben csökkentik a hatást és/vagy a bekövetkezés valószínőségét D./ a szervezeti céloktól való megengedett eltérés megváltoztatása Helyes válasz: A, B, C




5. kérdés A magas valószínőségő kockázatokra jellemzı választípusok: Válasszon legalább egy válaszlehetıséget. A./ Elfogadás B./ Elkerülés C./ Csökkentés D./ Megosztás Helyes válasz: B, C




4. FEJEZET: A KOCKÁZATKEZELÉS KOMPONENSEI Pedagógiai célkitőzések Tanuljuk meg, hogyan kapcsoljuk össze a kockázatkezelés komponenseit. Indikatív tartalom

4.1. A célkitőzések és az alkotóelemek összefüggése A vállalati kockázatkezelés nyolc, egymással összefüggı alkotóelembıl áll. Ezek a vállalat mőködtetésének módjából vezethetık le, és a vezetési folyamat részét képezik. Az alkotóelemek: • Belsı környezet: A belsı környezethez tartozik a szervezet vezetési karaktere, és megszabja azt, hogy a szervezet dolgozói hogyan tekintenek a kockázatra és mit kezdenek azzal – beleértve a kockázatkezelési filozófiát, a kockázatvállalási hajlandóságot, a tisztességet és az erkölcsi értékeket, valamint azt a környezetet, amelyben mőködnek. • A cél kitőzése: A célokat azt megelızıen kell kitőzni, hogy a vezetıség meghatározza a célok elérésére ható lehetséges eseményeket. A vállalati kockázatkezelés biztosítja, hogy a vezetıségnek rendelkezésére álljon a célok kitőzésének folyamata, és hogy a választott célok támogassák a szervezet küldetését, és azzal összhangban legyenek, valamint összeférjenek a kockázatvállalási hajlandósággal. • Az esemény meghatározása: Meg kell határozni a szervezet célkitőzéseinek megvalósítására ható belsı és külsı eseményeket, meg kell különböztetni a kockázatokat és a lehetıségeket. A lehetıségeket be kell építeni a vezetıség stratégiájába ill. célmeghatározó folyamataiba. • Kockázatértékelés: A kockázatok elemzése azok valószínőségének és hatásának figyelembe vételével történik, és ennek alapján kerül meghatározásra azok kezelése. A kockázatértékelés annak alapján történik, hogy az az üzleti tevékenység szerves része, és nem kiküszöbölhetı. • A kockázatra adott válasz: A vezetıség választja meg a kockázatokra adott válaszokat – elkerüli, vállalja, csökkenti vagy megosztja a kockázatot –, és intézkedések sorát dolgozza ki annak érdekében, hogy a kockázatokat a szervezet kockázattőréséhez és kockázatvállalási hajlandóságához igazítsa. • Kontroll tevékenységek: Irányelvek és eljárások meghatározására és végrehajtására kerül sor annak érdekében, hogy a kockázatra adott válaszlépéseket hatékonyan hajtsák végre. • Információ és kommunikáció: Meghatározzák és megszerzik a vonatkozó információkat, és olyan formában és idıkereten belül kommunikálják, hogy az emberek el tudják végezni feladataikat. A hatékony kommunikáció szélesebb körben is megtörténik: a vállalaton belül fentrıl lefelé, lentrıl felfelé és keresztirányban. • Monitoring: A vállalati kockázatkezelés egészét figyelemmel kísérik, és szükség szerint módosításra kerül sor. A monitoring folyamatos vezetıi tevékenység és külön értékelések vagy mindkettı. 110 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A vállalati kockázatkezelés nem feltétlenül sorozat-tevékenység, amelyben az egyes elemek hatással vannak a következıre. Többirányú, ismétlıdı folyamat, amelynek során szinte bármelyik elem hatást gyakorolhat a többire. A célkitőzések – amelyek azt mutatják, hogy mit akar elérni a szervezet – és a vállalati kockázatkezelés elemei – amelyek azt mutatják, hogy mi szükséges a célok eléréséhez – között közvetlen az összefüggés. Az összefüggést egy háromdimenziós mátrix szemlélteti, kocka alakot formálva. A négy célkitőzés kategóriát – stratégia, mőködés, beszámolás és szabályszerőség – a függıleges oszlopokban, a nyolc alkotóelemet a vízszintes sorokban, a szervezeti egységeket pedig a harmadik dimenzióban tüntettük fel. Ez az ábra azt mutatja be, hogy tekintetbe vehetjük egy szervezet vállalati kockázatkezelésének egészét, vagy az egyes célkitőzés kategóriákat, alkotóelemeket, szervezeti egységeket vagy azok bármilyen részhalmazát.

6. ábra: COSO ERM keretrendszer 3-dimenziós ábrázolása Ábra feliratok: • Stratégia, Mőködés, Beszámolás, Szabályszerőség • Belsı környezet, A cél kitőzése, Az esemény meghatározása, Kockázatértékelés, A kockázatra adott válasz, Kontroll tevékenységek, Információ és kommunikáció, Monitoring • Vállalati szint, Divízió, Üzletág, Leányvállalat

4.2. A kockázatkezelés eredményessége és korlátai Annak meghatározása, hogy egy szervezet vállalati kockázatkezelése "hatékony"-e, annak értékelésébıl következı megítélés, hogy megvan-e a nyolc alkotóelem, és azok hatékonyan mőködnek-e. Így tehát az alkotóelemek szintén a hatékony vállalati kockázatkezelés kritériumai. Az alkotóelemek megléte és megfelelı mőködése esetén nem lehetnek jelentıs gyengeségek, és a kockázat nem lépheti túl a szervezet kockázatvállalási hajlandóságának mértékét. 111 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Ha a vállalati kockázatkezelést hatékonynak találják a célkitőzések mind a négy kategóriájában, az igazgatóság és a vezetıség biztos képet kap arról, hogy a szervezet stratégiai és mőködési célkitőzései milyen mértékben teljesülnek, és hogy a szervezet beszámolója megbízható, és az alkalmazandó törvényeket és szabályokat betartják. A nyolc alkotóelem nem mőködik egyformán minden szervezetnél. A kis- és középvállalkozásoknál való alkalmazás például kevésbé formális és kevésbé strukturált lehet. A kisvállalkozások mindazonáltal hatékony kockázatkezeléssel rendelkezhetnek mindaddig, amíg az alkotóelemek mindegyike megvan, és megfelelıen mőködik. Habár jelentıs elınyökkel jár a vállalati kockázatkezelés, megvannak a korlátai is. A fent tárgyalt tényezıkön kívül a korlátok olyan realitásokból erednek, mint hogy a döntéshozatal során hibás lehet az emberi megítélés, a kockázatra adott válaszról szóló döntések és az ellenırzések meghatározásakor figyelembe kell venni a vonatkozó költségeket és elınyöket, üzemkiesés lehetséges egyszerő emberi tévedés vagy hiba miatt, a kontroll megkerülhetı két vagy több ember összejátszása esetén, és a vezetıség helyzeténél fogva figyelmen kívül hagyhatja a vállalati kockázatkezelési döntéseket. Ezek a korlátok meggátolják az igazgatóságot és a vezetıséget abban, hogy a vállalati célkitőzések megvalósítására vonatkozóan abszolút biztosítékot szerezzenek.

4.3. Kapcsolat a belsı kontrollrendszerrel A belsı kontrollrendszer a vállalati kockázatkezelés szerves része. Az átfogó vállalati kockázatkezelési rendszer magában foglalja a belsı kontrollrendszert, erıteljesebb megfogalmazást és a vezetıség számára eszközt jelent. A belsı kontrollrendszer meghatározása és leírása a COSO által 1992-ben publikált Belsı kontroll integrált keretrendszere c. anyagban található. Mivel az átfogó rendszer kiállta az idı próbáját, és a meglévı szabályok, jogszabályok és törvények alapját képezi, az a dokumentum határozza meg továbbra is a belsı kontroll meghatározását és átfogó rendszerét. A Belsı kontroll integrált keretrendszere c. anyagból csak részletek találhatók az ERM keretrendszerben, hivatkozás útján a teljes átfogó rendszer beépült ebbe az ERM rendszerbe. A COSO modell úgy definiálja a belsı kontrollt, mint „a társaság igazgatósága, vezetısége és más személyi állománya által foganatosított folyamatot, mely ésszerő bizonyosságot hivatott szolgáltatni arra, hogy a célok teljesülnek a következı kategóriákban: • A mőködés eredményessége és hatékonysága • Pénzügyi beszámolás megbízhatósága • Alkalmazandó törvények és jogszabályok érvényesítése” Egy „eredményes” belsı kontrollrendszerben a következı öt komponensbe tartozó elemek támogatják a társaság küldetésének, stratégiájának és vonatkozó üzleti céljainak elérését. •

Kontroll környezet o Feddhetetlenség és etikai értékek o Kompetencia iránti elkötelezettség o Igazgatótanács és Ellenırzı Bizottság




•

•

• •

o Vezetési filozófiája és munkastílusa o Szervezeti felépítés o Hatáskör és felelısség o Emberi erıforrás politikák és eljárások Kockázatértékelés o Vállalati szintő célkitőzések o Folyamat szintő célkitőzések o Kockázat beazonosítás és elemzés o Változáskezelés Kontroll tevékenységek o Politikák és eljárások o Biztonság (alkalmazás és hálózat) o Alkalmazás változás kezelése o Üzleti folytonosság / Backup-ok o Kiszervezés Információ és kommunikáció o Az információ minısége o A kommunikáció eredményessége Monitoring o Folyamatos monitoring o Külön értékelések o Jelentéstétel hiányosságai

Ezek a komponensek szolgálják az életképes belsı kontrollrendszer alapjainak vállalaton belüli lerakását, az irányított vezetésen, közös értékeken és a kontroll elszámoltathatóságot kihangsúlyozó kultúráján keresztül. A vállalatot fenyegetı különféle kockázatok rutinszerően azonosításra és értékelésre kerülnek a szervezet valamennyi szintjén és funkcionális területén. A kontrolltevékenységek és más mechanizmusok pro-aktívan úgy lettek kialakítva, hogy megválaszolják és enyhítsék a jelentıs kockázatokat. A kockázatok beazonosításához és az üzleti célok eléréséhez kritikus információk a létrejött csatornákon keresztül fel-le és horizontálisan kerülnek kommunikálásra az egész vállalaton belül. A belsı kontroll teljes rendszere folyamatos figyelem tárgyát képezi, ahol a problémák idıben megoldásra kerülnek. Kulcsfontosságú koncepciók: • • • •

A belsı kontroll egy folyamat. A cél elérését szolgáló eszköz, és nem maga a cél. A belsı kontrollt emberek végzik. Nem csupán politikai kézikönyveket és anyagokat jelent, hanem embereket a szervezet minden szintjén. A belsı kontrolltól az várható el, hogy csak ésszerő bizonyosságot nyújtson, és ne abszolút bizonyosságot a társaság vezetısége és igazgatósága felé. A belsı kontroll célja a célkitőzések elérésének támogatása egy vagy több különálló, de egymást átfedı kategóriában.




7. ábra: COSO Belsı Kontroll – Integrált keretrendszer A belsı kontrollrendszer integrálása a kockázatkezelés rendszerébe azt jelenti, hogy a belsı kontrollrendszer mőködtetésének eredményességét az érintett üzleti folyamat(ok) következményeinek az elıírt kockázati tolerancia-értéken belül maradásával kell mérnünk. Ennek megfelelıen kell értékelnünk a kialakított kontroll folyamatok mőködési hatékonyságát is. A kontrollhiányosságokat tehát az üzleti célokra való kihatása szempontjából osztályozhatjuk: • • •

Kontrollhiányosság: ha a kontrollfolyamat nincs kialakítva, vagy nem megfelelı, vagy nem kerül alkalmazásra Lényeges hiányosság: Hiányosság egy lényeges (kulcs) kontrollfolyamatban, vagy hiányosságok olyan halmozódása, melynek jelentıs kihatása van Súlyos gyengeség: Olyan lényeges hiányosság, vagy ezek halmozódása, amely megakadályozza, hogy a szervezeti egység belsı kontrollrendszere megfelelı biztosítékot nyújtson arra vonatkozóan, hogy az anyagi/pénzügyi jellegő tévedések vagy mulasztások, illetve bármilyen jelentıs veszteségek idıben megelızésre vagy feltárásra kerüljenek a normál munkavégzés keretében.

Ajánlott irodalom a 4. Fejezethez • • • •





4.4. Gyakorlatok 1. kérdés Az ERM: Válasszon legalább egy válaszlehetıséget. A./ Kiterjeszti és részletezi az ”eredeti” COSO Belsı Kontroll keretrendszer egyes elemeit. B./ Felváltja az ”eredeti” COSO Belsı Kontroll keretrendszert C./ Külön komponensként tartalmazza a ”Célkitőzés”-t D./ Kiterjeszti a kontroll keretrendszer ”Pénzügyi Beszámolás” kategóriáját Helyes válasz: A, C, D 2. kérdés Az ERM alábbi komponensei terjesztik "Kockázatértékelés"-ének alkalmazási körét: Válasszon legalább egy válaszlehetıséget. A./ Belsı környezet B./ Célkitőzés állítása C./ Esemény azonosítás D./ Kockázati válaszok

ki

Belsı

Kontroll

keretrendszer

Helyes válasz: B, C, D 3. kérdés Az ERM: Válasszon legalább egy válaszlehetıséget. A./ kiterjed a belsı kontrollrendszerre, és határozottabb és kiterjedtebb figyelmet fordít a vállalati kockázatkezelés szélesebb körére B./ helyettesíti az átfogó belsı kontrollrendszert C./ megfelel a belsı kontrollrendszer követelményeinek D./ egy teljesebb kockázatkezelési folyamat felé való elmozdulást jelent Helyes válasz: A, C, D 4. kérdés Az ERM és a Belsı Kontroll keretrendszer egymásba épülését az alábbiak jellemzik: Válasszon legalább egy válaszlehetıséget. A./ Kiegészítik egymást az üzleti folyamatok és a szervezeti szintek nézetei B./ A szervezeti szintek megjelenése az üzleti folyamatok kereteként lehetıvé teszi a stratégiai célok bevonását a kockázatértékelésbe C./ A Belsı Kontroll keretrendszer nem alkalmazza az üzleti tevékenységek vonatkozásában a célok kitőzését D./ Az ERM célkitőzés-kategóriáinak egymásba épülése nem alkalmazható a belsı kontrollrendszer célkitőzéseire Helyes válasz: A, B 115 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



5. kérdés A belsı kontrollrendszer komponensei közül melyik vonatkozik az érintett üzleti tevékenységekkel kapcsolatos szervezeti- vagy folyamatcélok meghatározásra? Válasszon legalább egy válaszlehetıséget. A./ Kontroll környezet B./ Kockázatértékelés C./ Kontrolltevékenységek D./ Monitoring Helyes válasz: B 6. kérdés Az üzleti folyamatok kontroll-hiányosságainak értékelésekor meghatározzuk: Válasszon legalább egy válaszlehetıséget. A./ A vonatkozó testreszabott kontroll-célok súlyát, illetve prioritását. B./ A hiányosságok kategorizálását a célokra vonatkozó kihatás alapján. C./ A stratégiai céloktól való elfogadható eltérés mértékét. D./ A kockázatviselési szintet. Helyes válasz: A, B




5. FEJEZET: KOCKÁZATKEZELÉSI TECHNIKÁK Pedagógiai célkitőzések Ismerjük meg a kockázatkezelési technikákat? Indikatív tartalom

5.1. Kvalitatív és kvantitatív technikák A vállalati kockázatkezelés során kvalitatív és kvantitatív technikákat alkalmazhatunk a kockázatok értékelésére. A kvalitatív technikákat elsısorban akkor alkalmazzák, ha valamilyen okból nem állnak rendelkezésre a megfelelı mutatószámokhoz szükséges megbízható adatok, illetve az adatok elıállítása nem költség-hatékony. A kvantitatív technikák alkalmazása nagyobb pontosságot eredményez az összetett és jól körülhatárolható tevékenységek esetén, és ezzel kiegészíti a kvalitatív módszerek használatát. Mind az eredendı, mind a maradvány kockázat valószínőségének és hatásának becslésére megfelelı mérési módszert kell alkalmazni. Az alkalmazható mérési módszerek lehetséges tipizálása a következı: • Kategorizálás (nominal measurement) - Ez a legegyszerőbb mérési módszer, mely az eseményeket csoportokba, vagy kategóriákba sorolja. Az azonosítók nem jelentenek egymás közötti rangsorolást, vagy eltérı prioritást. • Rangsorolás (ordinal measurement) - A mérés során az eseményeket a fontosságnak megfelelıen rangsoroljuk és informatív címkékkel (pl. magas, közepes, alacsony, egyéb) látjuk el. A rangsorolás határozott véleményt fejez ki, például azt, hogy egy esemény bekövetkezési valószínősége, vagy kihatása nagyobb, mint egy másiké. • Intervallum-besorolás (interval measurement) - Az intervallum-besorolás az eseményeket numerikusan azonos távolságokat tartalmazó skála segítségével hasonlítja össze. Például ha három, különbözı mérıszámokkal jellemezhetı esemény kihatását akarjuk összehasonlítani, akkor az események intervallum-besorolása közötti távolság alapján ezt megtehetjük – anélkül, hogy a kihatás mérıszámait közvetlenül hasonlítanánk össze. • Arányosítás (ratio measurement) – Az arányos mérés, mivel az alkalmazott skála az intervallum-besorolással ellentétben tartalmazza a zéró pontot is, közvetlen összehasonlítást tesz lehetıvé. A kategorizálás és rangsorolás kvalitatív, míg az intervallum-besorolás és arányosítás kvantitatív mérésnek tekinthetı. A kvantitatív technikákat akkor lehet alkalmazni, ha elegendı információ áll rendelkezésre a valószínőség és hatás intervallum-besorolással vagy arányosítással történı méréséhez. A lehetséges módszerek: a valószínőség-, nem-valószínőség-, illetve benchmarking (összehasonlítás) alapú technikák. A valószínőség-számításra épülı technikák az események viselkedését (mind a bekövetkezés valószínősége, mind a kihatás szempontjából) valamilyen várható (pl. normális) eloszlással írják le. A nem-valószínőség alapú technikák a kihatás 117 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



számszerősítésére szolgálnak, esetükben a bekövetkezés valószínőségét külön módszerrel kell meghatározni. A benchmarking technika alkalmazható a szervezeten belüli egységek között, vagy a hasonló karakterisztikájú iparág- vagy szektorbeli szervezetekkel, vagy a legjobb gyakorlatokkal történı összehasonlításban. A kvalitatív mérési módszerek használata, bár egyszerőbbnek tőnik, valójában a lehetséges eseményekkel, azok körülményeivel és dinamikájukkal kapcsolatos komoly tudást, gyakorlatot és ítélıképességet feltételez a felmérı részérıl. Az alábbi táblázatban bemutatásra kerülı kvalitatív kockázatértékelési technika alkalmazza a kategorizálás (kockázat típusok) és a rangsorolás (kockázati besorolás) módszerét. A példa jól illusztrálja azt, hogy a kockázati besorolás akkor is alkalmazható, ha sem a bekövetkezés valószínősége, sem a kihatás nem számszerősíthetı. A kvalitatív kockázatértékelés során a korábbi tapasztalatok, az általános kontroll irányelvek, illetve a felismert kontroll hiányosságok alapján beazonosított eseményeket lehet értékelni. Cél: Új informatikai rendszer bevezetése a jogszabályi megfelelés felügyeletére Kockázat: A projekt az elvártnál, illetve tervezettnél hosszabb ideig tart Kategória Személyzet

Vezetés

Szállító

Megvalósítási folyamat

Jogszabályok

Kérdés Milyen tapasztalattal rendelkeznek projekt-tagok?

Válaszok Besorolás Legalább egy résztvevı sikeresen vezetett be Alacsony hasonló rendszert korábban a Legalább egy résztvevı már vezetett be Közepes hasonló rendszert, esetleg hiányosságokkal Senki nem rendelkezik hasonló projektbıl Magas származó megfelelı tapasztalattal Mennyire stabil a Állandó projektvezetık átlag 2 évnél hosszabb Alacsony projektvezetés? szolgálati idıvel rendelkeznek Ideiglenes projektvezetık átlag 1 és 2 év Közepes közötti szolgálati idıvel Újonnan kinevezett projektvezetık átlag 1 Magas évnél rövidebb szolgálati idıvel Az informatikai Meglévı szolgáltatás kiterjesztése stratégiai Alacsony partnertıl beszállító mennyire Meglévı szállítótól új szolgáltatás Közepes elismert? Új beszállító Magas A megvalósítási Sikeresen kipróbált módszertan alapján folyamat mennyire Ismert, de nem minden esetben sikeresen megalapozott? alkalmazott módszertan alapján Új módszertan alapján A jogszabályi A jogszabályi követelmények kiforrottak követelmények mennyire A jogszabályi követelmények nem világosak, ismertek? vagy idıszakonként megváltoznak A jogszabályi követelmények nem ismertek, vagy gyakoriak a lényeges változások

Alacsony Közepes Magas Alacsony Közepes Magas




Üzletfolytonosság

A projekt kapcsán az üzletfolytonossági terv mennyire tesztelt?

Az új alkalmazásra sikeresen tesztelt Az új alkalmazás vonatkozásában tesztelt, hiányosságok ismertek Nincs üzletfolytonossági terv az új alkalmazásra.

Alacsony Közepes Magas

1. táblázat: Új rendszer bevezetésének kockázatfelmérése (példa) A fenti táblázat alapján a vizsgált projekt (üzleti tevékenység) kapcsán kockázati kategóriánként adható kockázatértékelés. A projekt egészére vonatkozó kockázatviselési szint leírható a kategóriánként elfogadható kockázati értékekkel. A projekt tervezése kapcsán felmerülı kérdések válasz-opciói külsı tényezık (pl. Jogszabályok) esetén a lehetséges események azonosítására alkalmasak, míg belsı tényezık (pl. Személyzet) esetén a lehetséges kockázati válaszokat (kontroll lehetıségeket) is mutatják. A projekt egésze vonatkozásában egyes kategóriák elfogadható kockázati szintjének alacsony értéken tartásával kompenzálható a más külsı tényezı magas, de belsı kontrollal nem befolyásolható kockázata. Példánkban a Jogszabályok magas kockázatának (szükségszerő) elfogadása mellett a beszállítóval szembeni követelmények elıírásával a Szállító kategória alacsony szintő – maradvány - kockázata a vizsgált üzleti tevékenység (projekt) vonatkozásában megfelelıen biztosíthatja az üzleti cél elérését.

5.2. Kockázati válaszok értékelése Az elızı példában a Jogszabályok kategória vonatkozásában a magas kockázat is elfogadásra kerülhet az egyéb területen (pl. beszállítóknál, vagy módszertan kiválasztásánál) alkalmazott kockázati válaszok (kompenzációs kontrollok) eredményes mőködése esetén. A jogszabályi követelmények gyakori változása (pl. bérszámfejtési alkalmazás esetén) kihatással van az üzleti tevékenység (példánkban a bérszámfejtés szabályszerő végrehajtásának informatikai eszközökkel való felügyelete) kapcsán kitőzendı célokra, illetve annak elfogadási tartományára (a kockázati toleranciára). Üzleti cél lehet az idıszakonként rendszeresen, illetve adott idıszakon belül ad hoc jelleggel végrehajtandó rendszer-karbantartási feladatok típusa, száma, volumene, stb. A beszállítóval szembeni követelmények megfelelı elıírásával, illetıleg a megfelelı rendszerfejlesztési módszertan alkalmazásával biztosítható, hogy az üzleti célok mutatói a kockázati toleranciaértéken belül maradjanak. A kapcsolódó területeken alkalmazott kockázati válaszok (kompenzációs kontrollok), és a kockázati tolerancia következetes figyelembe vételével akár egy magas besorolású kockázati kategória esetén is megfelelı válasz lehet a kockázat elfogadása. A következı példában is a kockázati tolerancia figyelembe vételével kerül sor a kockázati válaszok értékelésére:




Stratégiai cél

Bérszámfejtı cég kapacitásának növelése a növekvı piaci igény miatt

Üzleti cél

• •

Mutatószám

felvett munkaerı száma, bérköltség és bevétel aránya

Tolerancia

17-22 fı, bérköltség 48-52%

20 fı szakképzett munkaerı felvétele közvetlen bérköltség bevételhez viszonyított arányát 50%-on tartani

Eredendı Kockázat Valószínőség Kevés potenciális jelentkezı Munkaerıfelvétel ingadozó eredményessége Kockázati toleranciának való megfelelés

50%

50%

Hatás 20%-kal (4 fıvel) kevesebb új munkatárs 10%-kal (2 fıvel) kevesebb alkalmas munkatárs

Kockázati válasz

Maradvány Valószínőség

Közvetítı cég igénybe vétele

25%

Munkaerıfelvételi folyamat felülvizsgálata

50%

Hatás 10%-kal (2 fıvel) kevesebb új munkatárs 5%-kal (1 fıvel) kevesebb alkalmas munkatárs

A kockázati válaszintézkedések eredményeképp a kockázati tolerancia tartható

2. táblázat: Kockázati tolerancia figyelése a kockázati válaszok értékelésében (példa)

5.3. Költség-haszon elemzés A költség-haszon elemzést egyrészt a kockázati válaszok együttes hatékonyságának megállapítására, másrészt a több lehetséges opció közüli választás alátámasztására lehet alkalmazni. A költség-haszon elemzés során az üzleti célok mutatószámait alkalmazva a várható bevételeket és kiadásokat kell számszerősíteni. A számszerősítésnél a bekövetkezési valószínőség változásával korrigált hatásszámokat, illetve a kockázati válaszintézkedések költségeit vehetjük figyelembe. Az elızı példánkban a hatás számszerősítéséhez a következı feltételezéseket alkalmazzuk: A szolgáltatás magas színvonalú ellátásához szükséges munkaerı átlagos bérköltsége alapján meghatározható a várható árbevétel. A hatásvizsgálat idıhorizontja - az egyszerő szemléltethetıség miatt - egy év, az átlagos éves bérköltség 25.000 euró. A 3 fı várható kiesése éves szinten kb. 150.000 euró árbevétel-kiesést és kb. 30.000 euró eredménykiesést jelent. A példában szereplı kockázati válaszok költségei: a közvetítıcég az éves bérköltség 15%-kát számítja fel sikerdíjként, a munkaerı-felvétel felülvizsgálatának egyszeri szakértıi díja: 5.000 euró. Az eredendı és maradvány kockázatok bekövetkezési valószínőségének változásából a kockázati válaszok várható költsége: (1,5x0,15x25.000) 5.625 euró közvetítési díj és 5.000 euró egyszeri szakértıi díj. A haszon, vagyis a (statisztikailag) várható 2 fıvel nagyobb 120 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



foglalkoztatásból származó kb. 20.000 euró eredmény nagyobb a kockázati válaszintézkedés együttes költségeinél. A bemutatott számítás bizonyos leegyszerősítéseket alkalmazott. További tényezık figyelembe vételével, például az idıhorizont hangolásával, vagy a létszám-hiányból esetlegesen adódó túlmunka (pl. 50%-os túlóradíj) költségének beszámításával tovább pontosítható a fenti költség-haszon elemzés.

Ajánlott irodalom az 5. fejezethez • • • •


5.4. Gyakorlatok 1. kérdés A szervezeti célok üzleti folyamatokra vonatkozó testre szabásával értelmezzük: Válasszon legalább egy válaszlehetıséget. A./ A keretrendszer célkitőzés-kategóriáit. B./ A keretrendszer komponenseit. C./ A kockázatviselési szintet. D./ A kockázati toleranciát. Helyes válasz: A 2. kérdés Az ERM "Kockázatértékelés" komponense: Válasszon legalább egy válaszlehetıséget. A./ Bemutatja a szervezet vonatkozásában, hogy a lehetséges események milyen mértékben gyakorolnak hatást a célok elérésére B./ Felméri a kockázatokat a valószínőség és hatás szempontjából C./ A felmérés során csak az eredendı kockázatokat veszi figyelembe D./ A kockázatok felmérése mellett a kapcsolódó célok mérésére is alkalmazható Helyes válasz: A, B, D 3. kérdés Az ERM "Kockázatértékelés" komponense: Válasszon legalább egy válaszlehetıséget. A./ Alkalmazza a kvalitatív és a kvantitatív kockázat-felmérési módszereket, illetve kombinációjukat B./ A célok idıhorizontjához igazodik. C./ Az ellenırzési terv idıhorizontjához igazodik. 121 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



D./ A felmérés mind az eredendı (inherent), mind a maradvány (residual) kockázatokat figyelembe veszi Helyes válasz: A, B, D 4. kérdés A kockázatértékelés a kockázatok felmérése mellett a kapcsolódó célok mérésére: Válasszon legalább egy válaszlehetıséget. A./ nem alkalmazható. B./ alkalmazható, mert a célok idıhorizontjához igazodik és mind az eredendı, mind a maradvány kockázatokat figyelembe veszi a kapcsolódó célokra vonatkozó hatás bemutatásával. C./ alkalmazható, mert a maradvány kockázatok bemutatása a kapcsolódó célok teljesülésén keresztül történik. D./ alkalmazható, mert az eredendı kockázatok bemutatása a kapcsolódó célok teljesülésén keresztül történik. Helyes válasz: B 5. kérdés: A kockázati térkép alkalmazási problémái: Válasszon legalább egy válaszlehetıséget. A./ A ritkán, vagy eddig még soha meg nem történt események vonatkozásában nem nyújt segítséget B./ A legnagyobb veszteségek gyakran alacsony valószínőségő, de nagy kihatású eseményekbıl fakadnak C./ A hagyományos kockázati térkép alkalmazása a vezetés és az audit figyelmét túlságosan a nagy hatású és magas valószínőségő eseményekre irányítja D./ Az események láncolata helyett az egyedi eseményekre koncentrál Helyes válasz: A, B, C, D




6. FEJEZET: A KOCKÁZATKEZELÉS KÉPESSÉGI SZINTJÉNEK FELMÉRÉSE Pedagógiai célkitőzések Hogy mérjük fel a kockázatkezelési képességet? Indikatív tartalom

6.1. A COSO keretrendszer alkalmazása referenciamodellként A COSO útmutatóból származó folyamat-referenciamodell, kiegészítve az ISO/IEC 15504-2 szabvány [2] folyamatképesség mérési keretével, képezheti a belsı kontroll és a kockázatkezelési folyamatképesség felmérésének alapját, biztosítva az eredmények közös besorolási skálán való megjelenítését. A folyamatfelmérési modell egy kétdimenziós folyamatképességi modellt határoz meg. Az egyik dimenzió, a folyamat-dimenzió, meghatározza folyamatokat és besorolja azokat a különbözı folyamat kategóriákba. A másik dimenzió, a képesség-dimenzió, a folyamatattribútumok képességi szintek szerint csoportosított készletét határozza meg. A folyamatattribútumok biztosítják a folyamatképesség mérhetı jellemzıit. A 8. sz. ábra a folyamatfelmérési modell általános szerkezete, az ISO/IEC 15504-2 és a (belsı kontroll öt komponensének megfelelıen csoportosított) COSO kontroll folyamatok közötti kapcsolatot mutatja be.

8. ábra: A COSO komponensei, mint a folyamatfelmérési modell folyamat-dimenziója 123 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A példaként bemutatásra kerülı folyamatfelmérési modell folyamat-dimenziója öt folyamatkategóriában tartalmazza a COSO modellekben meghatározott kontroll-komponensek alá tartozó folyamatokat. A folyamatdimenzióban megjelenı komponensek az alábbiak: • Kontroll környezet; • Kockázatértékelés; • Kontroll tevékenységek; • Információ és kommunikáció; • Monitoring. Az ugyanabban a kategóriában található folyamatok egy egymást kiegészítı területet alkotnak. Ez a besorolás egyben segítséget nyújthat a felmérıknek a felmérés tárgykörének meghatározása során a folyamat kiválasztásában.

O R

TI NG

NS

CO M

O

IO AT R PE

R EP

IC EG T A R ST

PL IA NC E

Az ISO/IEC 15504 szabvány bemutatott mérési keretrendszerének 1. és 2. szintő folyamatattribútumai a folyamatok eset vagy tevékenység nézetére összpontosítanak, míg a 3. szinttıl az attribútumok a szervezeti egység szempontokra koncentrálnak. Ezzel a megfigyeléssel könnyebben érthetı, hogyan illeszkednek a COSO Belsı Kontroll és az ERM keretrendszerei a bemutatott felmérési modellbe. A Belsı Kontroll keretrendszer harmadik dimenziója a mőködési egység/tevékenység, míg az ERM-ben a harmadik dimenzió a szervezeti felépítés.

Event Identification Risk Assessment Risk Response Control Activities

BUSINESS UNIT DIVISION ENTITY - LEVEL

Objective Setting

SUBSIDIARY

Internal Environment

Information and Communication Monitoring Source: www.coso.org

9. ábra: A COSO keretrendszerek mőködési folyamat és szervezeti felépítés dimenziói A COSO ERM kockázatkezelési modelljében a célkitőzés állításakor a vezetés mérlegeli a szervezet stratégiáját és stratégiai céljait és ennek keretében meghatározásra kerül: - a szervezet kockázatviselési szintje vagy hajlandósága (risk appetite) - vagyis az, hogy a stratégia vonatkozásában a vezetés és a felügyeleti testület mekkora kockázatot tart elfogadhatónak, és




-

a kockázati tolerancia (risk tolerance) - vagyis az, hogy a meghatározott kockázatviselési szinten a szervezeti céloktól milyen mértékő eltérés engedhetı meg.

Az ISO/IEC 15504 folyamatfelmérési modellben a cél folyamat-profilok a kitőzött folyamatképesség azon szintjét határozzák meg, melyet a felmérés szponzora a szervezet kockázatviselési szintje és kockázati toleranciája vonatkozásában alkalmasnak talál. A 10. sz. ábra bemutatja, hogy míg a COSO Belsı Kontroll keretrendszer komponensei és alapelvei az ISO/IEC 15504 szabványnak megfelelı felmérési modell folyamat-dimenzióját alkotják, addig a vállalati kockázatkezelés belsı kontrollt kiegészítı (célkitőzés, eseményazonosítás és kockázati válasz) alapelemei a folyamatképesség-dimenziójának, és az egyes szintekhez tartozó folyamat-attribútumok mutatóinak meghatározásához járulnak hozzá a COSO célkitőzés-kategóriák megfelelı leképezésével.

10. ábra: A COSO modellek alkalmazása az ISO/IEC 15504 szerinti folyamatfelmérésben




6.2. A Szervezeti célkitőzések képességi szinteknek való megfeleltetése A 11. sz. ábra a képességi szintek és a COSO célkitőzés-kategóriái között alkalmazott leképezést mutatja be:

11. ábra: Az ISO/IEC 15504 képesség szintjei és a COSO célkitőzés-kategóriák 1. szint – Megfelelés (Végrehajtott folyamat) A belsı kontroll folyamat létezik és minden vonatkozó külsı és belsı szabályozásnak megfelelıen teljesíti az összes meghatározott eredményt. Az 1. szinten a pénzügyi beszámolási tevékenységeket olyan szempontból kell vizsgálni, hogy azok bizonyítják-e a belsı kontroll folyamatok eredményeinek létezését. 2. szint – Megbízható beszámolás (Irányított folyamat) A fent ismertetett Végrehajtott folyamat ezen a szinten már irányított (tervezett, monitorozott és korrigált) formában bevezetésre került és munkatermékei megfelelıen vannak kialakítva, kontrollálva és karbantartva. Az 1. szint teljesülésén felül, a belsı kontroll folyamat irányított és teljesíti a megbízható jelentéskészítés céljait. A 2. szinten a pénzügyi jelentéskészítési tevékenységeket olyan szempontból kell vizsgálni, hogy a belsı kontroll folyamatokhoz kapcsolódó folyamat-végrehajtási és munkatermék-kezelési mutatók felmérhetıek-e.




3. szint – Eredményes mőködés (Kialakított folyamat) A fent ismertetett Irányított folyamat ezen a szinten a folyamateredmények teljesítésére képes meghatározott folyamat alkalmazásával bevezetésre került. Az 1. és 2. szint teljesülésén felül, a belsı kontroll folyamat – a mőködési egység szintjén -integrálódott a mőködési folyamatokkal és teljesíti az „Eredményes és hatékony mőködés” célját. A 3. szinten a pénzügyi beszámolási tevékenységeket a szervezet/egység szint politikáival és eljárásaival együtt olyan szempontból kell vizsgálni, hogy a pénzügyi jelentéskészítésben érintett üzleti folyamatokkal kapcsolatos folyamat-meghatározás és -alkalmazás mutatók felmérhetıek-e.

4. szint – Stratégiai célok (Kiszámítható folyamat) A fent ismertetett Kialakított folyamat ezen a szinten meghatározott keretek között mőködik a folyamateredmények teljesítése céljából. Az 1., 2. és 3. szint teljesülésén felül, a belsı kontroll folyamat beépítésre került a vállalati kockázatkezelési rendszerbe és teljesíti a felsı szintő célokhoz kapcsolódó stratégiai célkitőzéseket, a szervezet küldetésével összhangban és azt támogatva. A 4. szinten a kulcsfontosságú kontrollokat olyan szempontból kell vizsgálni, hogy azokat hogyan alkalmazzák a stratégia meghatározás során és a szervezet egészében, valamint a vállalati szintő kockázatkezelést abból a szempontból, hogy a szervezet céljainak megvalósulásával kapcsolatos folyamatmérési és a folyamatellenırzési mutatók felmérhetıek-e.

6.3. Bizonyosságot nyújtó és tanácsadói ellenırzési megbízások A 12. sz. ábra bemutatja, hogy az ISO/IEC 15504 szabvány folyamatjavítási és képességmeghatározási megközelítései alkalmazhatók az ellenırzési megbízások két (tanácsadó és bizonyosságot adó) típusára:




Consulting Engagements

Assurance Engagements

Process Is examined by

Identifies changes to

Identifies capability and risks of

Process Assessment leads to

Process Improvement

leads to motivates

Capability Determination

12. ábra: ISO/IEC 15504 megközelítések és a belsı ellenırzési megbízások A hagyományos értelmezés szerint a rendszer alapú ellenırzést a már meglévı rendszerek és a hozzájuk kapcsolódó kontrollok határozzák meg. Ez a megközelítés feltételezi, hogy a meglévı rendszerek lefedik az összes kockázatot, és a módszer gyakran „belsı kontroll kérdıívekre” támaszkodik: ezek olyan egységes dokumentumok, amelyeket az egyes ellenırzések végrehajtása során alkalmaznak. A kockázat alapú felmérések szakértıi felhívják a figyelmet az ilyen kérdıívek a kockázat alapú módszerrel [3] szemben meglévı veszélyeire: • Lehet, hogy a kérdıívek nem teljeskörőek. Különösen, lehet, hogy nem ellenırzik a vezetést minden jelentıs kockázatra vonatkozóan. • Mivel sok kérdıív nem kapcsolódik a kockázatokhoz, nincs jelzés a tesztelés fontosságára vonatkozóan, valamint arra vonatkozóan, hogy milyen következménnyel jár, ha az ellenırzött kontroll eredménytelennek minısül. • Az ilyen kérdıívek „kipipálási” feladattá válhatnak, ha az alkalmazottak a munkát a rendelkezésre álló idı alatt akarják elvégezni, de annak lényegét nem értik meg. Ilyen esetben komoly kockázatokat hagyhatnak figyelmen kívül, amelyek így nem kerülnek megfelelı kezelésre. • Az ilyen kérdıívek nem ösztönzik a vezetést a kockázatok megállapítására és kontrollálására. A COSO modellek fıbb célkitőzés-kategóriáinak a mérési keretrendszer képességdimenziójába történı leképezésével és alkalmazásával ezek a lehetséges hátrányok elkerülhetıek. A képesség profilok használatával a felmérés szponzora eredményes eszközt biztosít a vezetés számára a kontrollkockázatok megállapításához, megértéséhez és kezeléséhez. Ha a kiválasztott kontroll folyamatokra vonatkozóan elérik a 4. szintő attribútumokat, a vezetés költség-hatékony módon lesz képes bevezetni és alkalmazni a kockázatkezelés elveit.




A bemutatott belsı kontroll és kockázatkezelési rendszerek folyamatfelmérési modellje olyan felmérés szponzorokat (felsıvezetıket, felügyeleti testületeket) és felkészült felmérıket (auditorokat) céloz meg, akik vagy a képesség-meghatározás (bizonyosságot igazoló ellenırzési megbízások) vagy a folyamatjavítás (tanácsadási ellenırzési megbízások) céljából végzett felmérés során szeretnének egy modellt és annak kapcsolódó dokumentált folyamat módszerét kiválasztani és bevezetni. Ebben az összefüggésben a megfelelést igazoló (vagy szabályozói), pénzügyi- és teljesítmény ellenırzés kifejezések hozzárendelhetık a jelen COSO alapú folyamatfelmérési modell képesség-dimenziójához. Bizonyos szabályozási körülmények esetén az 1. szinten mért megfelelıségi elıírások szükségessé teszik a 3. (mőködési) szintő folyamat-attribútumok teljesítését a kontroll tevékenységek egy jól meghatározott készletére vonatkozóan. A különbözı ellenırzési típusoknál a célkitőzéskategóriákra vonatkozóan elıforduló átfedéseket az ISO/IEC 15504 folyamat felmérési elvekkel és módszerekkel lehet magyarázni és alátámasztani.

Ajánlott irodalom a 6. fejezethez • • • •


6.4. Gyakorlatok 1. kérdés Melyik állítás igaz: Válasszon legalább egy válaszlehetıséget. A./ A COSO modellek ISO/IEC 15504 konform folyamat-referenciamodellek B./ A COSO modellek nem alkalmazhatók az ISO/IEC 15504 szerinti felméréshez C./ A COSO modellek felhasználhatók ISO/IEC 15504 konform folyamatreferenciamodellek meghatározásához D./ Csak a legutolsó (2006-os) COSO SB Útmutató használható az ISO/IEC 15504 konform folyamat-referenciamodellek meghatározásához Helyes válasz: C 2. kérdés Melyik állítás hamis: Válasszon legalább egy válaszlehetıséget. A./ A COSO belsı kontroll komponenseken alapuló, és az ISO/IEC 15504-2-ben definiált folyamat-attribútumokkal társított folyamat-referenciamodell közös alapot biztosít a belsı pénzügyi kontroll folyamatképesség felméréséhez B./ A COSO alapú folyamat-referenciamodellt használó ISO/IEC 15504-2 konform folyamatfelmérési modell felhasználható a belsı pénzügyi kontroll folyamatképesség felmérésének alapjaként 129 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



C./ Az ISO 15504 konform folyamat-referenciamodell bármely folyamat leírásában a folyamat eredmények szükségesek és elegendık kell, hogy legyenek a folyamat céljának eléréséhez D./ A COSO alapú folyamat-referenciamodell és az ISO/IEC 15504-2-ben meghatározott képesség dimenzió önmagukban használhatók a folyamatképesség megbízható és következetes felméréseinek alapjául Helyes válasz: D 3. kérdés Melyik állítás igaz: Válasszon legalább egy válaszlehetıséget. A./ A COSO modellek fı kontroll célkitőzés-kategóriái nem fedik át egymást. B./ A COSO modellek célkitőzései nem alkalmazhatóak a képességi szintekkel való összevetésre. C./ A COSO célkitőzés-kategóriákat csak egyféleképpen lehet értelmezni a képességi szintekre. D./ Az ISO 15504 folyamat-attribútumok összevethetık a COSO modellek célkitőzéskategóriáival. Helyes válasz: D 4. kérdés Az ISO/IEC 15504 képességi szintek megfeleltetése a COSO szerinti belsı pénzügyi kontrollok vonatkozásában az alábbiakkal jellemezhetı: Válasszon legalább egy válaszlehetıséget. A./ Az 1. (Végrehajtott folyamat) szinten a pénzügyi beszámolási tevékenységeket olyan szempontból kell vizsgálni, hogy azok bizonyítják-e a belsı kontroll folyamatok eredményeinek létezését. B./ A 2. (Irányított folyamat) szinten a pénzügyi beszámolási tevékenységeket olyan szempontból kell vizsgálni, hogy a belsı kontroll folyamatokhoz kapcsolódó folyamat-végrehajtási és munkatermék-kezelési mutatók felmérhetıek-e. C./ A 3. (Kialakított folyamat) szinten a pénzügyi beszámolási tevékenységeket a szervezet/egység szint politikáival és eljárásaival együtt olyan szempontból kell vizsgálni, hogy a pénzügyi jelentéskészítésben érintett üzleti folyamatokkal kapcsolatos folyamat-meghatározás és -alkalmazás mutatók felmérhetıek-e. D./ A 4. (Kiszámítható folyamat) szinten a kulcsfontosságú kontrollokat olyan szempontból kell vizsgálni, hogy azokat hogyan alkalmazzák a stratégia meghatározás során és a szervezet egészében, valamint a vállalati szintő kockázatkezelést abból a szempontból, hogy a szervezet céljainak megvalósulásával kapcsolatos folyamatmérési és a folyamatellenırzési mutatók felmérhetıek-e. Helyes válasz: A, B, C, D 5. kérdés Melyik állítás hamis: Válasszon legalább egy válaszlehetıséget. 130 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A./ A COSO Belsı Kontroll és Vállalati Kockázatkezelési Keretrendszereinek célkitőzései nem képezhetıek le ISO 15504 konform folyamatfelmérési modellbe. B./ Az ERM kockázat irányultságát fel lehet használni a belsı kontroll folyamatok felméréséhez, mert a kockázatkezelési célkitőzések magukba foglalják a belsı kontrollrendszer célkitőzéseit. C./ Az elsı három képességi szint folyamat-attribútumai a folyamatok pillanatnyi vagy aktivitási nézetére fókuszálnak, míg a 3. szinttıl az attribútumok a vállalati/szervezeti egység nézetre fókuszálnak. D./ A javasolt felmérési modellben a legfontosabb (kulcs) kontrollokat a 4. szinten kell megvizsgálni abban a vonatkozásban, hogy hogyan kerülnek alkalmazásra a stratégia meghatározásában, és az egész vállalaton keresztül az egység szintő kockázatkezeléssel együtt. Helyes válasz: A 6. kérdés A képesség meghatározás (bizonyosságot igazoló ellenırzési megbízások) vagy a folyamat javítás (tanácsadási ellenırzési megbízások) céljából végzett felmérés vonatkozásában: Válasszon legalább egy válaszlehetıséget. A./ A megfelelést igazoló (vagy szabályszerőségi), pénzügyi és teljesítmény ellenırzés kifejezések hozzárendelhetık a COSO alapú folyamatfelmérési modell képesség dimenziójához. B./ A megfelelést igazoló (vagy szabályszerőségi), pénzügyi és teljesítmény ellenırzés kifejezések nem rendelhetık hozzá a COSO alapú folyamatfelmérési modell képesség dimenziójához. C./ A különbözı ellenırzési típusoknál a célkitőzésre vonatkozóan elıforduló átfedéseket nem lehet az ISO 15504 folyamatfelmérési elvekkel és módszerekkel értelmezni. D./ A különbözı ellenırzési típusoknál a célkitőzésre vonatkozóan elıforduló átfedéseket az ISO 15504 folyamat felmérési elvekkel és módszerekkel lehet magyarázni és alátámasztani. Helyes válasz: A, D

Hivatkozások (Kockázatmenedzsment rész): [1]

[2]

The Committee of Sponsoring Organizations of the Treadway Commission (COSO): • Internal Control — Integrated Framework (1992) • Enterprise Risk Management – Integrated Framework (2004) • Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006) ISO/IEC 15504-1:2004 Information technology -- Process assessment -- Part 1: Concepts and vocabulary ISO/IEC 15504-2:2003 Information technology -- Process assessment -- Part 2: Performing an assessment 131 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



ISO/IEC 15504-2:2003/Cor 1:2004 ISO/IEC 15504-3:2004 Information technology -- Process assessment -- Part 3: Guidance on performing an assessment ISO/IEC 15504-4:2004 Information technology -- Process assessment -- Part 4: Guidance on use for process improvement and process capability determination ISO/IEC 15504-5:2006 Information technology -- Process Assessment -- Part 5: An exemplar Process Assessment Model [3]

Risk based internal auditing - an introduction, David M Griffiths, 30 January 2006 http://www.internalaudit.biz/files/introduction/Internalauditv2_0_3.pdf

Kockázatmenedzsment gyakorlófeladatok, tesztek és megoldások 1. Ismertessen a kockázatviselési szint (hajlandóság) mérését lehetıvé tevı 3 különbözı megközelítést, és mutassa be példán keresztül az egyes megközelítések alkalmazásának elınyeit és hátrányait, illetıleg korlátait. Megoldás: Megközelítés A. kockázati térkép

Elıny szemléletes, hatás és valószínőség mutatóinak alkalmazása B. kockázati kvalitatív könnyen nem válaszok (kategorizálás érthetı, igényel besorolása és számszerősítést, kockázati rangsorolás) kategóriánkén helyettesítı t kontrollok figyelembe vétele

C. egymásba épülı célkitőzésszintek eredménymut ató-inak alkalmazása

Módszer kvalitatív vagy kvantitatív

kvalitatív vagy kvantitatív

Hátrány formális, egyedi eseményekre koncentrál

komoly tudást, tapasztalatot és egyedi mérlegelést igényel, üzleti célok teljesüléséhez való hozzájárulás nehezen bemutatható felülrıl-lefele strukturált lebontott célok megközelítést, (és a nagyfokú (cél) megengedhetı tudatosságot eltérések) igényel, bizonyosság figyelembe vétele fokának mérése nem megoldott

Példa kontrollkockázat bemutatása kockázati térkép segítségével új rendszer bevezetésének kockázatfelmérése

célkitőzés állítása (ERM komponens) bemutatása




2. Az elektronikus jegyzet 5.2. fejezetének 2. táblázatában szereplı példa kapcsán határozzon és indokoljon meg alkalmazható kockázatviselési szintet (hajlandóságot). Megoldás: A. Akár az eredendı kockázat (magasabb kockázatviselési szint), akár a maradványkockázat (alacsonyabb kockázatviselési szint) valószínőség és hatás mutatószámaival leírható vezetıi megállapítás. B. Bármelyik, vagy mindkét kockázati válasz elıírása, melyet a vezetés határoz meg. 3. Az elızı példához kapcsolódó (a jegyzet 5.3. fejezetében szereplı) költség-haszon elemzés adatait használva állapítsa meg és indokolja, hogy mennyi az a (példában szereplı mindkét kockázati választ megvalósító) kontrolltevékenységek hatásaként foglalkoztatandó többletlétszám, amely szükséges ahhoz, hogy az alkalmazott kontrolltevékenységeket eredményesnek lehessen minısíteni, feltételezve, hogy a kontrolltevékenységek (hatása) nélkül is alkalmazható új munkaerı létszáma 15 fı. Megodlás: Felvett munkaerı (a Kontrollintézkedések kontrolltevékenységek költsége hatása) 15 fı 0 16 fı (+1 fı) 8750 17 fı (+2 fı) 12500 18 fı (+3 fı) 16250 19 fı (+4 fı) 20000 20 fı (+5 fı) 23750 21 fı (+6 fı) 27500 22 fı (+7 fı) 31250

Nyereségcéltól/tolerancia alsó határától való eltérés -50000/-20000 -48750/-18750 -42500/-12500 -36250/-6250 -30000/0 -23750/+6250 -17500/+12500 -11250/+18750

4 fı 4. Mutassa be és értékelje annak kockázatát, hogy a kontrolltevékenységek eredményességének megállapításához szükséges többlet munkaerı nem fog rendelkezésre állni. Megoldás: A maradványkockázatok valószínőség- és hatás mutatói alapján kicsi annak valószínősége, hogy 4-nél kevesebb többlet munkaerı álljon rendelkezésre a kontrolltevékenységek (intézkedések) hatására. 5. Mit jelentene a 3. és 4. feladat vonatkozásában a kontrolltevékenységek hatása nélkül alkalmazható új munkaerı létszámára vonatkozó paraméter 14 fıre való csökkenése? Megoldás: Felvett munkaerı (a Kontrollintézkedések kontrolltevékenységek költsége hatása) 14 fı 0 15 fı (+1 fı) 8750

Nyereségcéltól/tolerancia alsó határától való eltérés -60000/-30000 -58750/-28750




16 fı (+2 fı) 17 fı (+3 fı) 18 fı (+4 fı) 19 fı (+5 fı) 20 fı (+6 fı) 21 fı (+7 fı) 22 fı (+8 fı)

12500 16250 20000 23750 27500 31250 35000

-52500/-22500 -46250/-16250 -40000/-10000 -33750/-3750 -27500/+2500 -21250/+8750 -15000/+15000

A maradványkockázatok valószínőség- és hatás mutatói alapján nagy (nem elhanyagolható) annak valószínősége, hogy 6-nél kevesebb többlet munkaerı álljon rendelkezésre a kontrolltevékenységek (intézkedések) hatására. 6. Mutassa be és értelmezze a 2. feladat kapcsán meghatározott kockázatviselési szint (hajlandóság) és az 5. feladatban változtatott paraméter kapcsolatát. Megoldás: A kiinduló (feltételezett) paraméterérték kis változtatása is a kontrollok eredményességére vonatkozó ellentétes következtetést vont maga után. A kockázatértékelés alapjául szolgáló tények és feltételezések kritikus vizsgálata segíti a vezetést a kockázatviselési szinttel kapcsolatos döntés meghozatalában, illetve felülvizsgálatában. 7. A kockázatmenedzsment gyakorlat elsı kérdésével kapcsolatos megoldásban szereplı megközelítések alkalmazásával a hallgató saját … tanulmányai kapcsán mutassa be, hogy hogyan alkalmazza a kockázati tolerancia, a kockázatviselési szint, az eseménymeghatározás, a kockázatértékelés, a kockázati válaszok és a kontrollok fogalmait: • egy egyedi tanulmányi esemény, • egy gyakorlati jegy megszerzése, • a …. tanulmányok sikeres befejezése, valamint • a választott hivatás gyakorlásának megalapozása vonatkozásában. A tanulmányi példák alapján ismertesse az alkalmazott kontrollok eredményességének mérésére vonatkozó megközelítését.




C) NEMZETI SPECIFIKÁCIÓK 1. FRANCIAORSZÁG Készítette: B. Quinio

1.1. Vezetıi információs rendszer 1.1.1. 1. Fejezet Az információs rendszer (IR) megszervezése és vezetése a kkv-k számára Pedagógiai célkitőzések Az IR szolgáltató jellemzése

Az információs rendszer szolgáltató meghatározása NAF cod 72, illetve ezen kívül 642Aet 642B. Egyes web ügynökségek a: cod 744B, 921B et 921G alatt találhatók. Láthatjuk azonban a SYNTEC osztályozását is. Ajánlott irodalom az 1. Fejezethez: http://www.syntec.fr/

1.1.2. 2. Fejezet IR alkalmazások az kkv-kban A vállalaton belül: vállalati erıforrástervezés (ERP) Franciaországban az alábbi oldalt érdemes megnézni: Cegid (http://www.cegid.fr/) Elektronikus adatcsere (EDI) Franciaországban az alábbi oldalt érdemes megnézni: GS1 (http://www.gs1.fr/) Ajánlott irodalom a 2. Fejezethez: http://www.edifrance.org/

1.1.3. 3. Fejezet: Projektvezetés A projektvezetés fogalmának meghatározása Franciaországban a “maîtrise d’ouvrage” és a “maîtrise d’oeuvre” kifejezéseket használjuk, melyeket világosan el kell magyarázni. Tervezés (Pert és Gantt) A Gantt projektet használhatjuk, ami nyílt forráskódú rendszer. Ajánlott irodalom a 3. Fejezethez: http://www.managementprojet.com/ 135 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



http://www.afitep.fr/ http://www.clubmoa.asso.fr/ 1.1.4. 4. Fejezet az IR biztonsága és kontrolle A biztonság szabályai: szigorú szabály, irányelve és szervezés alapú szabány A Mehari módszert a CLUSIF alapján magyarázhatjuk meg és fejleszthetjük ki. A honlapon rendkívül világos és jó magyarázatot találunk. A COBIT használatat a kkv-k számára A COBIT használatához hagyatkozhatunk az AFAI által javasolt eszközökre Számítástechnikai biztonsági törvény Franciaországban a számítástechnikai biztonságról szóló törvényeket nagyrészt a CNIL tartalmazza. Ajánlott irodalom a 4. Fejezethez: http://www.clusif.asso.fr/ http://www.afai.asso.fr/ http://www.cnil.fr/

1.2. Kockázatkezelés Ajánlott irodalom az a jelen modulhoz: Management du risque. Approche globale. AFNOR. 2002. ISBN 2-12-169211-8 100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot. AFNOR et CARM Institute (Cercle des Affaires en Risk Management). ISBN 2-12-475087-9 Prévenir les risques. Agir en organisation responsable. Andrée Charles, Farid Baddache. Editions AFNOR. 2006. ISBN 2-1247-5519-6. Guide Pratique des captives d’assurance et de réassurance . 2007 Collection AMRAE www.amrae.fr .ISBN 22523




2. NÉMETORSZÁG Készítette G. Prause

2.1. Információs rendszerek Németországban nagy elıszeretettel alkalmaznak modern technológián alapuló megoldásokat. Az információs rendszerek jól kialakultak a nagyvállalatok és sok kkv között, arra kényszerítve a még lemaradókat, hogy fogadják el a legújabb normákat, ezzel is bizonyítva képességeiket. A vállalatokon belüli információs rendszerek irányítása és monitoringja kulcsfontosságú cél a hatékonyság tekintetében. Csak ezek segítségével lehet hasznos információt lehívni információs rendszerekbıl, és úgy rendezni ezen információt, hogy támogassa a döntéshozatali folyamatot. Egy versenyképes és gyorsan változó üzleti környezetben, a legfrisebb, meggyızı, jól áttekinthetı információ a vállalat aktuális helyzetérıl igen lényeges sikertényezı. Mikor az információs rendszerek irányításával és biztonságával foglalkozunk, azok fokozódó összetettségét és átfogó hálózatosítottságukra irányuló tendenciájukat kell figyelembe venni. Az információval kapcsolatban a hatósági hozzáférést, rendelkezésre állást és tárolást szabályozó törvények és a szabványok a legfıbb feladat.

2.2. Kockázatkezelés A német gazdaság gerincét hagyományosan azok a kkv-k jelentik, melyek viszonylag jól strukturált, kockázatkerülı, védelmezı környezetben fejlıdtek. A fokozódó nemzeti és nemzetközi versenyhelyzet miatt, különösen az elmúlt évtizedben a német kkv-knak új helyzetet kell megszokniuk: ez a helyzet egy összetett, dinamikusan változó nemzetközi üzleti környezet, mely csapdákkal és kockázatokkal fenyeget. A kockázatkezelésnek több, az eltérı üzleti kultúrákból fakadó bizonytalansági tényezıt kell figyelembe vennie. A kockázatviselési hajlandóságat az adott, konkrét üzleti környezethez kell igazítani, egyensúlyban álló külsı és belsı tényezık figyelembe vételével.




3. MAGYARORSZÁG Készítette Jánosa A. és Ivanyos J.

3.1. Vezetıi információs rendszerek A négyszög illetékes magyar tagja felügyelte a modul tartalmának kialakítását és egyetértett azzal, hogy a vezetıi információs rendszer kerete független legyen a tényleges magyar nemzeti karaktertıl. Másrészrıl sokkal nagyobb hangsúlyt kellene helyezni a gyakorlatok célszerő kiválasztására és a téma jobb megértését illusztráló és támogató esettanulmányokra.

3.2. Kockázatkezelés A pénzügyi jelentéstétel kockázatainak felmérése - magyar szakértık által kifejlesztett módszertan A vezetıség a képességgel kapcsolatos kérdésekkel is foglalkozott, mivel a jogszabályi megfeleléshez kapcsolódó készenléti tevékenység hatalmas költségei felhívják a figyelmet ezen erıfeszítések fenntarthatóságára és járulékos üzleti értékére. Ezt a kihívást válaszolja meg az ISO/IEC 15504 Folyamatfelmérési szabvány [1], és annak vezetık, auditorok, sıt még külsı testületek (pl. finanszírozási, hitelezési, beszállítói lánc, stb. felügyelete) számára is készült értékelı model koncepciója, mely a kedvezményezetteknél vagy pályázóknál a vállalati kockázatkezelés és a belsı kontroll eredményességét értékeli.

COSO alapú folyamat-felmérési model A folyamatfelmérési modell egy kétdimenziós folyamatképességi modellt határoz meg. Az egyik dimenzió, a folyamat-dimenzió, meghatározza folyamatokat és besorolja azokat a különbözı folyamat kategóriákba. A másik dimenzió, a képesség-dimenzió, a folyamatattribútumok képességi szintek szerint csoportosított készletét határozza meg. A folyamatattribútumok biztosítják a folyamatképesség mérhetı jellemzıit. A 2006-os COSO útmutató, melynek címe „Internal Control over Financial Reporting — Guidance for Smaller Public Companies”, összhangban van az ISO/IEC 15504-2 PRM elıírásival, amelyek a belsı kontroll Keretrendszer öt komponenséhez kapcsolódó és a közvetlenül azokból kinyert alapvetı koncepcionális folyamatokat képviselik. Az egyes Elveket az Elvhez kapcsolódó jellemzıket képviselı Attribútumok támasztják alá. Az ISO/IEC 15504 folyamatfelmérési modell arra az elvre épül, hogy egy folyamat képessége felmérhetı a folyamat-attribútumok elérésének bemutatásával, a felmérési mutatókhoz kapcsolódó bizonyítékok alapján. A felmérési mutatók két fajtája létezik: az (általános) folyamatképességi mutatók, amelyek a 1-tıl 5-ig terjedı képesség szintekre vonatkoznak, valamint a (specifikus) folyamatvégrehajtási mutatók, amelyek kizárólag az 1. képesség szintre vonatkoznak. 138 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A képesség-dimenzión elhelyezkedı folyamat-attribútumokhoz a folyamatképességi mutatók egy olyan készlete tartozik, amely jelzést ad az adott folyamatban lévı attribútum teljesülésének mértékérıl. Ezek a mutatók az attribútum cél a folyamatbeli teljesüléséhez kapcsolódó jelentıs tevékenységekre, erıforrásokra vagy eredményekre vonatkoznak. Belsı kontrollal kapcsolatos célmeghatározás A COSO ERM kockázatkezelési modelljében a célkitőzés állításakor a vezetés mérlegeli a szervezet stratégiáját és stratégiai céljait és ennek keretében meghatározásra kerül: - a szervezet kockázatviselési szintje vagy hajlandósága (risk appetite) - vagyis az, hogy a stratégia vonatkozásában a vezetés és a felügyeleti testület mekkora kockázatot tart elfogadhatónak, és - a kockázati tolerancia (risk tolerance) - vagyis az, hogy a meghatározott kockázatviselési szinten a szervezeti céloktól milyen mértékő eltérés engedhetı meg. Az ISO/IEC 15504 folyamatfelmérési modellben a cél folyamat-profilok a kitőzött folyamatképesség azon szintjét határozzák meg, melyet a felmérés szponzora a szervezet kockázatviselési szintje és kockázati toleranciája vonatkozásában alkalmasnak talál. A szervezeti szinten, vagy az egyes mőködési egységek és folyamatok vonatkozásában meghatározott célokat és azoktól való megengedett eltérést megfelelı metrikákkal (mutatószámokkal) kell alátámasztani. Ez általában nem szokott problémát okozni, hiszen minden szervezet, vagy mőködési folyamat üzleti célja valamilyen – viszonylag könnyen számszerősíthetı - érték létrehozása vagy megırzése. A kockázatkezelés szempontjából alapvetı kockázatviselési szint (vagy hajlandóság) számszerősítése viszont nem nyilvánvaló. A probléma súlyát az adja, hogy a kockázatértékelés során a kockázatviselési szint az, ami alapján a kockázat besorolásra kerül, mely alapján döntés születik arról, hogy a lehetséges kockázati válaszok közül melyik kerüljön alkalmazásra. Ha tehát nincs akár a szervezet, akár a mőködési folyamat kapcsán objektíven alkalmazható kockázatviselési szintre vonatkozó mutatószám, akkor a kockázatkezelés további lépéseit csak eseti, szubjektív döntéseken keresztül lehet végrehajtani. A COSO ERM modell – a beépülı kontrollrendszerrel együtt – célkitőzés-kategóriákat állít fel. A stratégiai, mőködési, beszámolási és szabályszerőségi célkitőzéseket az ERM esetében a szervezet, az integrált belsı kontrollrendszer vonatkozásában a mőködési egységek és folyamatok üzleti céljainak megvalósulásán keresztül kell vizsgálni. Habár az egyes célkitőzés-kategóriák alapján különbözı (teljesítmény, pénzügyi vagy szabályszerőségi) vizsgálati típusok határozhatók meg, könnyő belátni, hogy a célkitőzés-kategóriák nem önmagukban léteznek, hanem egymással összekapcsolódva. Az egyik lehetséges megközelítés alapján a célkitőzés-kategóriák egymásra épülnek. A mőködési (üzleti) folyamatok szintjén a szabályszerőségi célok teljesülése biztosítja, hogy a kockázatkezelés és belsı kontrollrendszer kiválasztott, vagy elıírt követelményei szerint kerülnek az üzleti tevékenységek végrehajtásra. A megbízható beszámolás céljai feltételezik a szabályszerőségi követelmények teljesülését, vagyis a szervezet kockázatviselési szintje a 139 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



mőködési (üzleti) folyamatok kapcsán a szabályszerőségi követelmények mutatószámaival határozható meg. A mőködési egységek vonatkozásában a hatékony mőködés céljai feltételezik a megbízható beszámolás és a szabályszerő végrehajtás követelményeinek teljesülését. Ezen a szinten a szervezet kockázatviselési hajlandóságát a megbízható beszámolás és a szabályszerőség követelményeinek mutatószámaival írhatjuk elı. A szervezet egésze vonatkozásában a - mőködési egységek szintjén meghatározott üzleti célokra lebontott - stratégiai célok feltételezik a hatékony mőködés, megbízható beszámolás és szabályszerő végrehajtás követelményeinek teljesülését. A szervezet egésze vonatkozásában a kockázatviselés szintjét a mőködési egységek, mőködési folyamatok és üzleti tevékenységek kapcsán feltételezett mőködési, beszámolási és szabályszerőségi követelmények mutatószámaival jellemezhetjük. Vegyük észre a szervezet belsı kontrollrendszerére alkalmazott kockázatkezelés következményét a szervezeti szintő kockázati tolerancia (a szervezet kontroll céljaitól való megengedett eltérés mértéke) és a kockázatviselési szint értelmezésében: a szervezet kockázatkezelési stratégiája vonatkozásában a kockázatviselés szintjét a belsı kontrollrendszer egészére elıírt követelmények mutatószámaival írhatjuk le. A konzisztens vállalati kockázatkezelés tehát feltételezi, hogy a szervezet belsı kontrollrendszerének mőködését megfelelı mutatószámokkal jellemezni lehet. Ezek a mutatószámok a belsı kontrollrendszerre vonatkozó célkitőzés-állításban is szerepet kapnak, hiszen ezekkel lehet az adott szintre jellemzı kockázati toleranciát meghatározni. Az alsóbb szintő célkitőzéskategória kontroll kockázati toleranciájának mutatóival a következı célkitőzés-kategóriára vonatkozó kockázatviselési szintet írhatjuk le. Kevésbé kockázat-tudatos vállalati mőködés esetén a stratégiai és üzleti célokat közvetlenül is lehet az üzleti tevékenységekhez kapcsolni. Ez esetben a belsı kontrollrendszer egészére vonatkozó követelmény-állításról nem beszélhetünk, így nemcsak a kontroll és kockázatkezelési keretrendszerek következetes alkalmazásáról mondunk le, hanem arról a lehetıségrıl is, hogy a szervezet vonatkozásában objektíven alkalmazható kockázatviselési szinteket határozhassunk meg, ezáltal az üzleti tevékenységek kapcsán eseti és szubjektív döntések határozzák meg a kockázatok besorolását. A legfontosabb kontrollok értékelése a támogató belsı pénzügyi kontroll folyamatokon keresztül Az ERM összefüggéseiben a kulcsfontosságú kontrollok azok a folyamatok, amelyek szükségesek és elégségesek ahhoz, hogy az üzleti teljesítmény és az üzleti célok közötti eltérést elfogadható szinten tartsák. A kulcs kontrollok a folyamat-referencia modell kiválasztott kontroll folyamatai és/vagy olyan üzleti folyamatok, melyekkel a folyamatfelmérés folyamatdimenziója szükségképpen kiegészül. A Folyamat Felmérési Modell folyamat-dimenziójának a pénzügyi kontrollokkal a pénzügyi kontrollokkal való kiterjesztése esetén (az ISO/IEC 15504-es szabvány esetén) megjelennek a ISO/IEC 15504-es szabvány alkalmazásának gyakorlati elınyei. 140 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



A szervezeti szinten, középszinten vagy tevékenységi szinten mőködı legfontosabb kontrollok, melyeknek közvetlen vagy közvetett kapcsolata van a lényeges valótlan tényállítások kockázatával, a szabványos folyamatmeghatározások cél és kimeneti nyilatkozataként írhatók le. A kimeneteknek azonosnak és egyedinek kell lenniük minden folyamat esetében, mivel így elkerülhetı a legfontosabb kontrollok felesleges átfedései (dokumentációjukban és tesztelési eljárásaikban). Az eredmények vagy a jelentıs beszámolókhoz vagy az ezekhez befolyó lényeges tranzakciókhoz kapcsolódó fontos pénzügyi tényállítások által határozhatók meg. A belsı pénzügyi kontroll folyamatok egy teljes csoportjának megvalósítása a COSO alapú folyamat referencia modellbıl hozzájárul az összes folyamat attribútum (a 4. szintig történı) teljesítéséhez egy szervezet szintő lényeges (kulcs) kontrollja esetében. Belsı pénzügyi kontroll folyamattal kapcsolatos kockázatok A COSO Belsı Kontroll és ERM fı célkitőzés-kategóriáinak a mérési keretrendszer képesség-dimenziójába való leképezése és azok alkalmazása útmutatásul szolgál a felmérés szponzorának a célul kitőzött képesség profil kijelöléséhez, valamint eredményes eszközt nyújt a vezetés számára a kontroll kockázati területek megállapításához, megértéséhez és kezeléséhez. A folyamatra vonatkozó kockázat megbecsülhetı a cél és a felmért folyamatprofilok közötti eltérések meglétébıl. Egy eltérés potenciális következménye attól függ, hogy milyen a képességi szint és a folyamat-attribútumok eltérése az azonosítás helyén. A következıkben bemutatunk néhány Belsı Pénzügyi Kontrollal kapcsolatos megfigyelést és példát: Az 1. szintő folyamat-végrehajtási attribútum hiányosság tipikus következménye lehet az, hogy a folyamat nem éri el a megadott/elvárt eredményeket, nincs (elegendı) bizonyosságot adó dokumentum az adott kontroll folyamat végrehajtására. Pl: A vezetés elvárásai nem megfelelıen dokumentáltak, így a külsı vagy belsı körülmények változásai nem kerülnek figyelembe vételre. A 2. szintő végrehajtás-irányítás attribútum hiányosság tipikus következménye a határidık be nem tartása, erıforrás allokációs problémák, felelısségi kérdések tisztázatlansága, kontrolálatlan döntések. Pl: A vezetés és felügyelı testület közti kommunikáció nem „tervszerő”, a hiányosságok nem kerülnek idıben feltárásra, fıkönyvi zárások idején felhatalmazás nélküli döntések születnek, a szabályozási dokumentumok nem kerülnek rendszeresen felülvizsgálat alá. A 2. szintő munkatermék-kezelés attribútum esetében a hiányosság okozhatja a beszámolók minıségi problémáit, párhuzamos adatrögzítéseket, inkonzisztens dokumentációkat, újrafeldolgozási költségeket, konszolidációs problémákat. Pl: Szabályozási dokumentumok eltérı verziói vannak használatban, a beazonosított problémákat nem teszik közzé, a belsı kommunikáció nincs szisztematikusan dokumentálva, illetve megırizve. A 3. szintő folyamat-meghatározási hiányosság esetén következmény lehet, hogy a jó gyakorlati példák és levont tanulságok nem kerülnek figyelembe vételre a szabályozás felülvizsgálatakor, a kontroll folyamatok eredményei nem azonosíthatóak az üzleti/mőködési folyamatokban. Pl: A belsı kommunikációs folyamatok nem megfelelı leírása elıidézheti, 141 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



hogy a beosztottak által észlelt súlyos hiányosságok vagy a javító célú javaslatok nem jutnak el a felügyelı testülethez. A 3. szintő folyamat-alkalmazási hiányosság esetén következmény lehet, hogy az üzleti/mőködési folyamatokba beépülı pénzügyi kontrollok alkalmazásai nem konzisztensek, a felismert lehetıségek nem kerülnek kiaknázásra. Pl: A felügyelı testület nem veszi komolyan a belsı ellenırzés tanácsadói szerepét, a pénzügyi beszámolási követelményeket a kockázat felmérés során nem megfelelıen kapcsolják az üzleti/mőködési folyamatokhoz, az IT kontrollokat nem az informatikai környezet komplexitásának megfelelıen alakítják ki. A 4. szintő folyamatmérési hiányosság esetén következmény lehet, hogy a kulcs kontroll folyamatok nincsenek megfelelıen azonosítva, megtervezve, vagy nem megfelelıen mőködnek annak érdekében, hogy az üzleti célok és a mőködési folyamatokkal kapcsolatos teljesítmény-mutatók elérésre kerüljenek, illetve a célok elérését veszélyeztetı problémák idıben beazonosításra kerüljenek. Pl: A kulcs kontroll folyamatok kapcsán a kivételeket a kockázat felmérés során nem kezelik. A 4. szintő folyamatellenırzési hiányosság esetén következmény lehet, hogy a kvantitatív végrehajtási célok és a meghatározott üzleti célok ellentétesek. Pl: Túl rövid havi, vagy éves zárási határidık kiszámíthatatlan megbízhatóságú becslésekhez, illetve könyvelési elhatárolásokhoz vezethetnek. A pénzügyi kockázatkezelés és a belsı kontrollok eredményességének értékelése Az eredményesség megállapítása azon alapul, hogy a megvalósított fı kontrollok (együttesen) ésszerő mérvő biztonságot jelentenek-e a tekintetben, hogy a szervezet elfogadható tőréshatárokon belül eléri üzleti céljait. A biztonság szintje a szervezet kockázatvállalási filozófiájától függ, azonban a pénzügyi jelentéstétel belsı kontrolljai esetében a hatósági és számviteli követelmények arra kényszerítik az ügyvezetést és a pénzügyi vezetést, hogy minimálisra csökkentse azokat a kockázatokat, melyek nagy súlyú, valótlan tényállításokat eredményezhetnek a pénzügyi bevallásokban és más adatközlésekben. A számviteli és audit szakirodalom részletes útmutatást ad a súlyosság kérdésérıl, még akkor is, ha a súlyosságot könnyen megérthetjük pusztán azáltal, hogy a kockázatkezelés kockázattőrı képesség szókincsét alkalmazzuk: nagy súlyúnak minısül minden olyan eltérés, mely meghalad egy, a célok viszonylatában elıre megállapított határértéket. A szükséges és elégséges fı szabályozók kialakítása és értékelése kockázat-alapú és felülrıl lefelé megvalósított eljárás legyen. A belsı kontroll rendszer eredményes tervezése és mőködtetése azon az alapfeltevésen nyugszik, hogy a vállalkozásra minden, lehetségesen lényeges (tehát számottevınél nagyobb fokú) hatást gyakorló kockázatra költséghatékony válasz érkezik, így az alkalmazott szabályozók biztosítják, hogy a céloktól való lényeges eltérés (mint pl. a valótlan tényállítás egy pénzügyi jelentésben) valószínősége csekély maradjon, illetve egy szabályozási hiányosság következménye (még kumulatív hatással számolva is) a tőréshatáron belül marad. A fı kontrollok szervezet, köztes, illetve tevékenység szinten mőködnek, és vagy közvetlen vagy közvetett kapcsolatuk van a lényeges hiba kockázatához. A 20 COSO alapú belsı 142 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



pénzügyi szabályzó folyamat eredménye bizonyítékot szolgáltat arról, hogy a fı szabályozók a kockázatkezelési és belsı kontroll elvek alkalmazásával vannak megtervezve, és azt is jelzik, hogy a legfıbb szabályozók megjósolható (4. szintő) képességi szinten mőködnek. Referenciák és ajánlott irodalom Az itt bemutatott COSO alapú folyamatértékelési elveket a Képességkártya és a hozzákapcsolódó „Európai Pénzügyi Belsı Kontroll Felmérı” program képzési anyagainak kifejlesztéséhez használtuk, melynek a COSO 2006 Útmutatás Elvek, Attribútumok és Megközelítések adaptációja is részét képezi. A COSO igazgatósággal spanyol, német, román és magyar fordításokról született megegyezés. Ez a projekt (a projekt száma: HU/B/05/B/F/PP-170013) az Európai Közösség Bizottságának LEONARDO DA VINCI Programja pénzügyi támogatásával valósult meg. További részleteket az alábbiakban talál http://www.training.ia-manager.org/ vagy írjon emailt az alábbi címre: [email protected].

[1]

ISO/IEC 15504-1:2004 Information technology -- Process assessment -- Part 1: Concepts and vocabulary ISO/IEC 15504-2:2003 Information technology -- Process assessment -- Part 2: Performing an assessment ISO/IEC 15504-2:2003/Cor 1:2004 ISO/IEC 15504-3:2004 Information technology -- Process assessment -- Part 3: Guidance on performing an assessment ISO/IEC 15504-4:2004 Information technology -- Process assessment -- Part 4: Guidance on use for process improvement and process capability determination ISO/IEC 15504-5:2006 Information technology -- Process Assessment -- Part 5: An exemplar Process Assessment Model

[2]

The Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006)




4. EGYESÜLT KIRÁLYSÁG Készítette: M. Nocker

4.1. Vezetıi információs rendszerek Ajánlott irodalom az 1. Fejezethez Gooodyear, T. (1985). Organising Computer-based Information System Resources. Industrial Management & Data System Resources (Számítógép alapú információs rendszer erıforrásszervezése. Ipari menedzsment), 85(7/8), 11-16. Ajánlott irodalom a 2. fejezethez Emerging Trends and Challenges in Information Technology Management: 2006 Information Resources Management Association International Conference (Népszerő trendek és kihívások az információs technológia kezelésében: Az Információ erıforrás kezelı szövetség 2006. évi nemzetközi konferenciája), Washington, DC, USA, May 21-24, 2006 Levy, M and Powell, P. (2004) Strategies for Growth in SMEs: The Role of Information and Information Systems (Kkv-k növekedési stratégiája: az információ és az információs rendszerek szerepe). Butterworth-Heinemann, 2004 Ajánlott irodalom a 3. fejezethez Fuller, M and. Valacich, J.V. and George J. (2007) Information Systems Project Management: A Process and Team Approach (Információs rendszer projektvezetés ). Prentice Hall, 2007 Ajánlott irodalom a 4. fejezethez K D. Mitnick, W L. Simon The Art Of Deception: Controlling The Human Element Of Security (A megtévesztés mővészete: A biztonság emberi összetevıjének szabályozása) John Wiley & Sons; 2003 Dowland, P, Furnell, S. , Bhavani M. and Thuraisingham, X. Sean Wang (2005) Security Management, Integrity, and Internal Control in Information Systems (Biztonság irányítás, sértetlenség és belsı kontroll az információs rendszerekben): IFIP TC-11 WG 11.1 & WG 11.5 Joint Working Conference. Birkhäuser.

4.2. Kockázatkezelés Ajánlott irodalom az 1. fejezethez Jetter, A., Kraaijenbrink, J. And Fons Wijnhoven (2006) Knowledge Integration: The Practice of Knowledge Management in Small and Medium Enterprise (Tudásintegráció: A tudáskezelés gyakorlata kis- és középvállalkozásokban). Springer, 2006 Ajánlott irodalom a 2. fejezethez Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures (Kockázat és vezetıi számvitel: Az egész vállalkozásra kiterjedı belsı kontroll eljárások legjobb gyakorlatra vonatkozó útmutatója). Elsevier, 2006 Ajánlott irodalom a 3. fejezethez 144 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures (Kockázat és vezetıi számvitel: Az egész vállalkozásra kiterjedı belsı kontroll eljárások legjobb gyakorlatra vonatkozó útmutatója). Elsevier, 2006 Ajánlott irodalom a 4. fejezethez Collier, P.M, Berry, A.J. and Burke, G.T. (2006) Risk and Management Accounting: Best Practice Guidelines for Enterprise-wide Internal Control Procedures (Kockázat és vezetıi számvitel: Az egész vállalkozásra kiterjedı belsı kontroll eljárások legjobb gyakorlatra vonatkozó útmutatója). Elsevier, 2006

4.3. Egyéb javasolt olvasmányok - a modul egészére vonatkozó irodalom – téma szerint válogatva Információs rendszer irányítás • W L Currie & R D Galliers (eds), Rethinking Management Information Systems (Az információs rendszer irányításának újragondolása), OUP, 2003 • L. Willcocks, P. Petherbridge, and N. Olson. Making IT Count: Strategy Delivery Infrastructure (Amikor a számítástechnika számít: Stratégiamegvalósítási infrastruktúra). Butterworth, 2003 Information systems development • C Avgerou and T Cornford, Developing Information Systems: concepts, issues and practice (2nd edn) (Információs rendszerek fejlesztése: fogalmak, témák és gyakorlat), Macmillan, 1998 • D Avison & G Fitzgerald, Information Systems Development Methodologies (Információs rendszerfejlesztési módszerek), McGraw Hill, 2002 • K Beck, Extreme Programming Explained (), 2nd edn, Addison-Wesley, 2005. • G Booch, J Rumbaugh and I Jacobson, Unified Modelling Language User Guide (Egységes model nyelv felhasználói útmutató), Addison-Wesley, 1999 • P Checkland, Systems Thinking, Systems Practice (Rendszergondolkozás, rendszer gyakorlat), Wiley, 1999 • C Ciborra (ed) Groupware and Teamwork, Chichester (Groupware és csapatmunka), United Kingdom: John Wiley & Sons,1996 • M Fowler and K Scott UML Distilled: a brief guide to the standard object modeling language (Lepárolva: rövid útmutató a sztenderd tárgy modellezı nyelvhez),1999 Information risk and security • C Adams and S Lloyd Understanding Public Key Infrastructure, Concepts, Standards, And Deployment Considerations (A legfıbb állami infrastruktúra megértése, fogalmak, szabványok és alkalmazási szempontok) Macmillan Technical Publishing; 1999 • R Anderson, Security Engineering: a guide to building dependable distributed systems (Biztonsági tervezés: megbízható elosztott rendszerek rendszerek építése), John Wiley, 2001 145 Az Európai Bizottság támogatást nyújtott ennek a projektnek a költségeihez.



•

•

• • •

•

• •

•

•

•

J R Beniger, The Control Revolution: technological and economic origins of the information society (A szabályzás forradalma: az információs társadalom technológiai és gazdasági eredetei), Harvard University Press, 1986 W Cheswick, S Bellovin and A Rubin, Firewalls and Internet Security: repelling the wily hacker (Tőzfalak és Internetes biztonság: a ravasz hacker távoltartása), Addison Wesley, 1994 G Dhillon Principles of Information Systems Security: Text and Cases (Az információs rendszerbiztonság elvei: Szövegek és esetek). J Wiley & Sons; 2007 S Gafinkel, Database Nation: the death of privacy (Az adatbázis társadalma: a magánélet halála), O'Reilly Associates 2000 A Jones and D Ashenden Risk Management For Computer Security: Protecting Your Network And Information Assets (Kockázatkezelés a számítógép biztonsága érdekében: hálózatunk és informatikai eszközeink védelme) Butterworth-Heinemann; 2005 K D. Mitnick, W L. Simon The Art Of Deception: Controlling The Human Element Of Security (A megtévesztés mővészete: az emberi összetevı szabályozása) John Wiley & Sons; 2003 F C Piper, S Murphy Cryptography: A Very Short introduction (A kriptográfia: egy nagyon rövid bevezetés) Oxford Paperbacks; 2002 T Ridge, H Schmidt Patrolling Cyberspace: Lessons Learned From A Lifetime In Data Security (İrjárat a kibertérben: egy élet tanulságai az adatbiztonságról) Larstan Publishing; 2006 B Schneier, Beyond Fear: thinking sensibly about security in an uncertain world (A félelmen túl: értelmesen gondolkozva a biztonságról egy bizonytalan világban), Springer Verlag, 2003 B Schneier Secrets And Lies: Digital Security In A Networked World (Titkok és hazugságok: digitális biztonság egy hálózatosított világban) John Wiley & Sons Inc; 2004 W Stallings, Network Security Essentials (A hálózatbiztonság alapjai), Prentice Hall, 2000

Információs technológia: kérdések és készségek • F Adam and M Healy, A Practical Guide to Postgraduate Research in the Business Area (Gyakorlati útmutató a posztgraduális üzleti kutatásokhoz), Blackhall, Stillorgan, 2000 • T Cornford and S Smithson, Project Research in Information Systems (Projekt kutatás információs rendszerekrıl), Macmillan, 1996 Információs szolgáltatások tervezése • Benkler, Y. (2006): The Wealth of Networks (A hálózatok vagyona). Yale University Press; • K. Braa, C. Sørensen, and B. Dahlbom, ed. (2000): Planet Internet (Az internet bolygó). Studentlitteratur; • Barabási, A.-L. (2002): Linked (Linkekkel összekapcsolva). Cambridge, MA: Perseus; • Barley, S. R. & G. Kund(2004): Gurus, Hired Guns, and Warm Bodies (Guruk, bérelt pisztolyok és meleg testek). Princeton University Press;




• • • • • • • • • • • • • • • • • • • • •

C. U. Ciborra and Associates (2000): From Control to Drift (A szabályozottságtól a sodródásig). OUP; Ciborra, C. (2002): The Labyrinths of Information (Az információ labirintusai). OUP; Collins, R. (2004): Interaction Ritual Chains (Az interakciós szertartás láncai). Princeton University Press. Dahlbom B and L. Mathiassen (1993): Computers in Context (Számítógépek kontextusban). Blackwell; Dourish, P. (2001): Where the action is (Ahol az események zajlanak). MIT Press; Goffman, E. (1959): The Presentation of Self in Everyday Life (Önmagunk bemutatása a mindennapi életben). Bantam; Haddon, L., et al eds. (2006): Everyday Innovators (Mindennapi innovátorok). Springer; Höök, K., D. Benyon, & A. J. Monroe, ed. (2003): Designing Information Spaces (Információs terek tervezése). Springer; Ito, M., D. Okabe, & M. Matsuda, ed. (2005): Persona, Portable, Pedestrian (Perszóna, hordozható, gyalogos). Cambridge, Mass: The MIT Press; Ling, R. (2004): The mobile connection (A mobil kapcsolat). Elsevier; Kallinikos, J. (2006): The Consequences of Information (Az információ következményei). Edward Elgar; Ling, R. (2004): The Mobile Connection: The Cell Phone's Impact on Society (A mobiltelefon hatása a társadalomra). Ling, R. (2008): New Tech, New Ties: How Mobile Communication is Reshaping Social Cohesion (Hogy alakítja át a mobil kommunikáció a társadalmi összetartozást). The MIT Press. Morgan Kaufmann; Löwgren, J. and E. Stolterman (2004). Thoughtful Interaction Design (Az interakció gondos tervezése). MIT Press; Mccullough, M. (2004): Digital Ground. MIT Press. Cambridge, Massachusetts; Norman D. A. (1998): The Invisible Computer (A láthatatlan számítógép). MIT Press; Rheingold, H. (2002): Smart Mobs (Okos tömegek). Perseus Books; Sommerville I. (1995): Software Engineering (Szoftver tervezés). Addison-Wesley; Sørensen C., Yoo, K. Lyytinen and J. DeGross (2005): Designing Ubiquitous Information Environments (Mindenhol jelenlevı információs környezetek). Springer; Sproull L. and S. Kiesler (1993): Connections. MIT Press; Thackara, J. (2005): In the Bubble (A buborékban). Cambridge. MIT Press; J. Yates (1989): Control through Communication (A kommunikációval megvalósított szabályozás). Johns Hopkins University Press; Yates, J. (2005): Structuring the Information Age (Az információ korának strukturálása). Baltimore: The Johns Hopkins University Press; Zuboff, S. (1987): In the Age of the Smart Machine (Az okos gép korában). Basic Books; Zuboff, S. & J. Maxmin (2002): The Support Economy (A támogatás gazdasága). Penguin.


A MODUL TANANYAGA VEZETİI INFORMÁCIÓS RENDSZEREK ÉS KOCKÁZATKEZELÉS

Recommend Documents