企業(yè)風(fēng)險(xiǎn)管理模型

1、February 2002休斯頓大學(xué) 信息系統(tǒng)研究中心企業(yè)風(fēng)險(xiǎn)管理模型執(zhí)行者的概括最近恐怖分子對(duì)美國(guó)的襲擊目標(biāo)已經(jīng)轉(zhuǎn)向了商業(yè)和IT管理者、風(fēng)險(xiǎn)管理和災(zāi)難恢復(fù)等問(wèn)題引起人們的關(guān)注災(zāi)難和安全事件對(duì)財(cái)政的影響每年高達(dá)數(shù)十億美元，影響的范圍波及到90%的企業(yè)商業(yè)連貫與安全組織BC&S（Business Continuity and Security) 將繼續(xù)作為一個(gè)能預(yù)測(cè)未來(lái)的管理者發(fā)揮著自己的作用絕大多數(shù)企業(yè)已經(jīng)投資于BC&S 并將專(zhuān)注于如何提高該領(lǐng)域中所用的資金數(shù)額預(yù)期的投資額將是2002年到2005年間投資額的3倍Strategic BC&S的戰(zhàn)略規(guī)劃將使組織能避免開(kāi)銷(xiāo)過(guò)大的災(zāi)難，從而保護(hù)業(yè)務(wù)和

2、潛在的新資源的商業(yè)價(jià)值BC&S應(yīng)該成為一個(gè)業(yè)務(wù)的使能原動(dòng)力，而IT只是解決方案的一個(gè)組成部分適應(yīng)BC&S的企業(yè)將使其被關(guān)鍵資產(chǎn)和核心業(yè)務(wù)得到保護(hù)就象BC&S目前所增長(zhǎng)的開(kāi)銷(xiāo)一樣明智的投資能在降低成本的同時(shí)提高企業(yè)對(duì)業(yè)務(wù)關(guān)鍵方面的保護(hù)更新的BC&S將能加速新技術(shù)的開(kāi)發(fā)，使其對(duì)潛在的企業(yè)運(yùn)作、客戶(hù)和股東產(chǎn)生附加的價(jià)值今日主題風(fēng)險(xiǎn)的概括業(yè)務(wù)連貫性與安全規(guī)劃規(guī)劃的價(jià)值所在方法風(fēng)險(xiǎn)的概括 世界正在日新月異地發(fā)生著改變，新生的難以預(yù)料的各種風(fēng)險(xiǎn)在業(yè)務(wù)和技術(shù)領(lǐng)域?qū)映霾桓F。國(guó)家人口商業(yè)人口的增長(zhǎng)城市區(qū)域內(nèi)人口的不斷增長(zhǎng)越來(lái)越便捷的旅行使世界越來(lái)越小全球化程度的不斷提高因商業(yè)分類(lèi)的趨勢(shì)而愈演愈列的商業(yè)合并風(fēng)潮

3、(Wal-Mart & Home Depot)全球化趨勢(shì)的演化(聯(lián)合國(guó)與WTO)自由貿(mào)易區(qū)(WTO, NAFTA & EU)在過(guò)去十年里，商業(yè)風(fēng)險(xiǎn)已經(jīng)發(fā)生了巨大改變19001850時(shí)間(not to scale)19501970199020001980商業(yè)氣候技術(shù)普及政治、經(jīng)濟(jì)的動(dòng)蕩自然災(zāi)害生物技術(shù)全球變暖造成的氣候變化全球自由貿(mào)易區(qū)WTO, NAFTA, EU)日益提高的專(zhuān)業(yè)化程度第一臺(tái)商用電腦的出現(xiàn)冷戰(zhàn)的結(jié)束生物技術(shù)的出現(xiàn)恐怖分子開(kāi)始使用生化武器工業(yè)化的進(jìn)程使人口密度越來(lái)越大越來(lái)越頻繁的氣候現(xiàn)象：地震、洪水、颶風(fēng)和厄爾尼諾現(xiàn)象等規(guī)模經(jīng)濟(jì)開(kāi)始通過(guò)高效的制造流程得以實(shí)現(xiàn)Internet的出現(xiàn)使

4、人們之間的溝通更便捷第2世界和第三世界的政治動(dòng)蕩獨(dú)立的更嚴(yán)峻的風(fēng)險(xiǎn)新風(fēng)險(xiǎn)更大更專(zhuān)業(yè)化的目標(biāo)信息目標(biāo)對(duì)未知領(lǐng)域的恐慌1997年-2001年間統(tǒng)計(jì)的電腦被襲擊事件數(shù)據(jù)來(lái)源: 計(jì)算機(jī)安全學(xué)會(huì)（Computer Security Institute）外國(guó)政府外國(guó)企業(yè)美國(guó)企業(yè)黑客內(nèi)部人士百分比以下是因計(jì)算機(jī)病毒引起的世界范圍內(nèi)的經(jīng)濟(jì)損失統(tǒng)計(jì)資料來(lái)源: Richard Power, Tangled Web1990“業(yè)路撒冷”病毒1995“概念”病毒1999“Melissa”病毒2000“Love Bug”病毒單位：百萬(wàn)美元 大多數(shù)美國(guó)公民認(rèn)為美國(guó)的企業(yè)都過(guò)分相信自己的商品是堅(jiān)不可摧的。美國(guó)的企業(yè)真的足夠強(qiáng)

5、大嗎?肯定 63%否定30%棄權(quán)7%資料來(lái)源: ABC News 絕大多數(shù)企業(yè)都很可能被列入毀滅性打擊的目標(biāo)基礎(chǔ)架構(gòu)石油& 汽油電信交通設(shè)施核心流程汽車(chē)消費(fèi)品醫(yī)療衛(wèi)生高科技醫(yī)藥加工業(yè) 可視化娛樂(lè)業(yè)游戲休閑媒體體育屬性是經(jīng)濟(jì)的基礎(chǔ)，如果受到毀滅性打擊，那么整個(gè)國(guó)家將限于癱瘓屬性 GDP的關(guān)鍵所在與經(jīng)濟(jì)的其他方面聯(lián)系緊密屬性高度的可視性和交互性，與商業(yè)和消費(fèi)者息息相關(guān)涉及到消費(fèi)者的安全，所以風(fēng)險(xiǎn)最大可能遭受毀滅打擊企業(yè)的要害 商業(yè)連貫性與安全規(guī)劃就是要對(duì)上述存在的各種威脅、影響作出預(yù)案，即便及時(shí)應(yīng)對(duì)。威脅潛在影響反應(yīng)災(zāi)難網(wǎng)絡(luò)操作規(guī)則客戶(hù)需求股票的價(jià)值成本的增加 利潤(rùn)的降低新機(jī)遇的出現(xiàn)商業(yè)連貫性與安

6、全規(guī)劃化減緩風(fēng)險(xiǎn)時(shí)間恢復(fù)成本管理新機(jī)遇業(yè)務(wù)連貫性與安全規(guī)劃 業(yè)務(wù)連貫性與協(xié)作安全問(wèn)題的妥善解決對(duì)保護(hù)企業(yè)運(yùn)作、資產(chǎn)和維持企業(yè)處于某個(gè)級(jí)別都是很有益的。操作保證連貫性的關(guān)鍵操作服務(wù)的最小化確保服務(wù)中斷后能重新恢復(fù)資產(chǎn)保護(hù)信息資產(chǎn)將財(cái)務(wù)損失降至最低降低風(fēng)險(xiǎn)確保職員安全級(jí)別維持住大眾客戶(hù)保持客戶(hù)對(duì)企業(yè)的信心業(yè)務(wù)連貫性 “業(yè)務(wù)的連貫性”是指：事先安排好的處理過(guò)程與企業(yè)處理實(shí)際的具體事務(wù)時(shí)能以一種關(guān)鍵業(yè)務(wù)功能不被打斷和改變的連續(xù)一致方式來(lái)處理。協(xié)作安全 對(duì)企業(yè)中那些在關(guān)鍵操作中起作用的物質(zhì)資產(chǎn)和潛在資產(chǎn)實(shí)施保護(hù)措施，將其面臨的威脅降到最低。定義目標(biāo) 從技術(shù)層面分析，合作和運(yùn)作方面的融合已經(jīng)在不斷增加，所

7、以業(yè)務(wù)所承擔(dān)的失敗風(fēng)險(xiǎn)也越來(lái)越引起關(guān)注。傳統(tǒng)的業(yè)務(wù)操作已經(jīng)越來(lái)越復(fù)雜，越來(lái)越有可能失敗系統(tǒng)保護(hù)已經(jīng)十分典型地不能與業(yè)務(wù)的關(guān)鍵性保持步調(diào)一致了企業(yè)與外界的連通性和設(shè)備方面的不斷深入使企業(yè)很容易遭受破壞供應(yīng)商r合作商銷(xiāo)售倉(cāng)儲(chǔ)獲取t商品條目系統(tǒng)倉(cāng)儲(chǔ)&物流銷(xiāo)售系統(tǒng)基礎(chǔ)架構(gòu)Web接入POS設(shè)備便攜設(shè)備業(yè)務(wù)運(yùn)作模型培訓(xùn)中心法律l關(guān)鍵管理財(cái)務(wù)人力資源客戶(hù) 當(dāng)前的威脅和將來(lái)發(fā)展的趨勢(shì)越來(lái)越使人們專(zhuān)注于如何制定保證企業(yè)健壯性的業(yè)務(wù)連貫性規(guī)劃上來(lái)。典型威脅自然災(zāi)害火災(zāi)洪水臺(tái)風(fēng)颶風(fēng)地震雪災(zāi)人禍黑客病毒數(shù)據(jù)不一致性數(shù)字簽名非法獲取數(shù)據(jù)恐怖主義襲擊重大發(fā)展趨勢(shì)擴(kuò)展企業(yè)的不斷發(fā)展企業(yè)間的兼并、破產(chǎn)與重組全球化趨勢(shì)的加劇對(duì)

8、信息越來(lái)越依賴(lài)技術(shù)的普及Internet的普遍接入電子商務(wù)的不斷完善與環(huán)境的日趨規(guī)范客戶(hù)自我服務(wù)意識(shí)的提高 業(yè)務(wù)領(lǐng)導(dǎo)和IT管理人員已經(jīng)重新把注意力集中于業(yè)務(wù)的連貫性、風(fēng)險(xiǎn)管理和災(zāi)難恢復(fù)等問(wèn)題方面。有超過(guò) 90% 的企業(yè)受到過(guò)襲擊金融災(zāi)難和安全性事件給企業(yè)運(yùn)作帶來(lái)樹(shù)十億美元的損失絕大多數(shù)企業(yè)已經(jīng)不在徘徊 很多企業(yè)在未來(lái)幾年的預(yù)算中附加了提高企業(yè)抵抗災(zāi)害能力的資金。投資將是 2000年到2005年間預(yù)算的3倍 業(yè)務(wù)連貫性與協(xié)作安全問(wèn)題的解決應(yīng)該重點(diǎn)從下列問(wèn)題著手：風(fēng)險(xiǎn)與保護(hù)措施我的企業(yè)是否面臨風(fēng)險(xiǎn)？它們存在于哪里？在我所面臨的風(fēng)險(xiǎn)中我的合作商和客戶(hù)是否也存在問(wèn)題?我該怎樣才能保護(hù)自己的業(yè)務(wù)?要做到

9、怎樣的程度才算是保護(hù)了自己的企業(yè)了呢?成本當(dāng)我停止開(kāi)銷(xiāo)后所需的成本是多少?生存如果遇到破壞，我的企業(yè)如何繼續(xù)運(yùn)作下去?如何幸存下來(lái)呢?遇到破壞該如何應(yīng)對(duì)呢?規(guī)劃的價(jià)值所在 BC&SP的一個(gè)基本主題就是了解成本、可能出現(xiàn)的破壞及其對(duì)業(yè)務(wù)的影響之間的關(guān)系。事件保護(hù)方面的投資恢復(fù)成本常規(guī)操作恢復(fù)操作破壞發(fā)生的可能性數(shù)量級(jí)預(yù)防 / 準(zhǔn)備措施計(jì)劃與應(yīng)對(duì)預(yù)案保護(hù)范圍開(kāi)銷(xiāo)的增加恢復(fù)措施所用時(shí)間恢復(fù)范圍危機(jī)管理風(fēng)險(xiǎn)/影響服務(wù)需求業(yè)務(wù)影響利潤(rùn)的損失客戶(hù)/合作商的信任度是否受影響法律/法規(guī) 通過(guò)聯(lián)合來(lái)避免風(fēng)險(xiǎn)，或者是通過(guò)預(yù)案等準(zhǔn)備措施來(lái)降低企業(yè)的風(fēng)險(xiǎn)。對(duì)業(yè)務(wù)的影響風(fēng)險(xiǎn)的可能性通過(guò)在破壞事件中提供提供恢復(fù)操作來(lái)減少

10、企業(yè)所受的影響通過(guò)提高預(yù)防措施和冗余手段來(lái)降低風(fēng)險(xiǎn)預(yù)防準(zhǔn)備風(fēng)險(xiǎn)高風(fēng)險(xiǎn)的高影響從業(yè)務(wù)連貫性與協(xié)作安全規(guī)劃中獲得價(jià)值的關(guān)鍵：制定計(jì)劃并通過(guò)變革來(lái)實(shí)施該計(jì)劃沒(méi)有認(rèn)真審視的規(guī)劃有40%會(huì)立即失敗，而它們?cè)?年內(nèi)的成活率只有 8% 網(wǎng)絡(luò)犯罪是過(guò)去四年里增長(zhǎng)最快的6個(gè)因素之一在關(guān)鍵領(lǐng)域預(yù)防和減輕問(wèn)題的嚴(yán)重性在心中設(shè)計(jì)好遭受災(zāi)難時(shí)業(yè)務(wù)操作在任何適合的情況下制定出可選的措施提高企業(yè)的應(yīng)變、預(yù)防能力要求人們?cè)谟惺≯E象出現(xiàn)時(shí)，必須能有效地團(tuán)結(jié)組織起來(lái)要有意識(shí)培訓(xùn)人們能夠有一定的應(yīng)變能力 規(guī)劃的制定和危機(jī)管理要做在最前面通過(guò)溝通和高層管理來(lái)確保這些關(guān)鍵因素方法 我們所提供的方法檢測(cè)了風(fēng)險(xiǎn)中的關(guān)鍵要素，同時(shí)也評(píng)價(jià)了

11、業(yè)務(wù)連貫性中要權(quán)衡的方法與準(zhǔn)備性之間的關(guān)系。業(yè)務(wù)連貫性程序管理 風(fēng)險(xiǎn)及其對(duì)業(yè)務(wù)影響的分析制定規(guī)劃擴(kuò)展企業(yè)的準(zhǔn)備措施安全規(guī)劃評(píng)價(jià)業(yè)務(wù)連貫性和恰當(dāng)投資的價(jià)值為準(zhǔn)備措施和變革制定可操作的有序的方法規(guī)劃的批準(zhǔn)規(guī)劃的實(shí)施規(guī)劃的測(cè)試規(guī)劃的發(fā)布 一個(gè)最初的評(píng)價(jià)將最終通過(guò)企業(yè)領(lǐng)導(dǎo)對(duì)業(yè)務(wù)連貫性和安全性方面的戰(zhàn)略?xún)r(jià)值的理解程度來(lái)體現(xiàn)。當(dāng)前準(zhǔn)備就緒對(duì)關(guān)鍵業(yè)務(wù)流程的優(yōu)化義務(wù) & 從屬關(guān)系對(duì)關(guān)鍵業(yè)務(wù)流程的風(fēng)險(xiǎn)管理任務(wù)業(yè)務(wù)影響分析可選的解決方案解決方案策略報(bào)告重新審視業(yè)務(wù)現(xiàn)有的連貫性規(guī)劃評(píng)價(jià)現(xiàn)有規(guī)劃最初的決策將戰(zhàn)略中優(yōu)先的東西映射到具體的業(yè)務(wù)流程中確定關(guān)鍵流程的任務(wù)劃分關(guān)鍵流程的優(yōu)先順序決定出構(gòu)成要素和依賴(lài)條件評(píng)價(jià)業(yè)務(wù)中所射擊的客戶(hù)、合作商和供應(yīng)商重新審視現(xiàn)有和協(xié)議考慮法規(guī)方面的要求明確風(fēng)險(xiǎn)的因素評(píng)估出奉賢對(duì)企業(yè)的影響戰(zhàn)略?xún)?yōu)先關(guān)系管理層 / 領(lǐng)導(dǎo)能力風(fēng)險(xiǎn)及其對(duì)企業(yè)的影響分析 (6-8周時(shí)間完成)定量地分析所造成的 相互見(jiàn)的依賴(lài)性區(qū)分影響的輕重緩急程度和造成的后果明確保證連貫性的可選的各種方法 評(píng)估這些方法的戰(zhàn)略?xún)r(jià)值當(dāng)前哪些工作已經(jīng)就緒未來(lái)情況如何業(yè)務(wù)案例建議的提高得到所需的連貫性規(guī)劃 業(yè)務(wù)與技術(shù)資源的混合是BC&SP 中