商业连续性计划BCP.ppt

New approach to the business risk management 业务连续性管理(BCM),Building a truly Resilient Enterprise,2,现代社会的风险和连续性 BCM(商务 连续性管理),3,1. 对于现代社会风险的技术,Peter F. Drucker(1969) “未来是拿旧理论和电影剧本不可能分析的情况 普遍化变化的时代”,Ulrich Beck(1986) “后期近代社会的风险是以完全脱离人类的认识能力 的放射性因果分析为基础,Richard A. DAveni(1994) “推翻原来的状态不断创出暂时优势,最终掌握主导权就是在超竞争环境中要有的战略目标”,Nassim Nicholas Taleb(2004) “不可预测的重大事件; 它罕有发生,但一旦出现,就具有很大的影响力. 发生后才能说明原因,是不可预测的现像 - Black Swan”,4,2. 商务 示例 ; Who, What, Result,5,3. 911 恐怖事件和 摩根士丹利,恐怖事件次日上午9点30分首席执行官紧急记者招待会内容 - 大部分职员生存.(3500女 职员中15名 失踪) - 发生不足1亿 美元 损失(保套利交易) - 全世界 摩根士丹利 支店 正常早上9店开始营业 摩根士丹利的 5大 危机管理计划 - 紧急式 对策(Contingency Plan) - 业务连续性 计划(Business Continuity Plan) - 危机管理 交流(Crisis Communication) - 财务危机 分散管理(Hedging & Insurance) - 早期警报系统(Early Warning System) 成功的BCM的附加效果 - 摩根史丹利的 危机管理系统受全世界瞩目 - 既有投资者的信赖和引起新投资者的关心 - 24小时以内以迅速地召开记者招待会换取友好的言论,摩根士丹利 911 恐怖事件 发生时通过实时 BCP 运转 提供了完善的 客户服务,Source : NY Times(2002),Million (USD)/hr,Source : Deloitte BCM practice report, Network computing, 2001,能源 通信 制造 投资金融 保险 零售 制约 金融 交通 使用程序 医疗 媒体 平均,4. 营业中断的实时损失,全球 企业平均损失额: $ 1,010,536 /hour $16,842 /minute,5. 现代社会风险和 BCM的进化,1990,1995,1999,2000,2001,2004,2005,2008,社会机能复原 重要灾难信息,业务进程的再设计 (BRP),实时网络存储,Black Swan 设想,地区 大灾害,总的商务 风险管理,管理内部 监控器,黑天鹅舆论(Black Swan Theory),大型损失, 不容预测, 稀有事件(Large-impact, Hard-to-predict, and Rare event) Source : Wikipedia,现代社会的风险,Y2K,WWW,WTC Terrorism,ERM,南亚 地震海啸 飙风,BCM,Kobe Earthq.,DRP,Source : Gartner, BCM Today,8,BCM (业务连续性管理 ; Business Continuity Management) 为能给利害关系人带来影响的业务中断准备,在限制的时间内(RTO) 重新运营核心的商务 机能,(Critical Activity)树立全社性的的政策及系统(BCP)并履行的经营活动(BCM) 为核心的商务中断准备, 恢复能力 事先改进 业务中断后按照设定好的 目标时间为基准 为了公司的核心业务和 服务的持续性提供 提供重复演戏的方法论 通过被证明的业务中断管理能力,提高企业的形象 过去 IT系统/数据恢复, 火灾/自然灾害 预防管理 等 部分领域的局限与例外 现代的 BCM全社员的人力 , 资源, 为业务对象而做,6. BCM的 正义,9,Policy (政策),People (组织),Process (业务),Resource (资源),BCP,BCM,7. BCM 国际标准: BS25999-2(2008),Source : BSI(2008),10,上位 水平的 BCP 政策,为全社范围的危机应对和恢复业务的方针,Policy (政策),平时 / 危机时 BCM 组织 体系,People (组织),灾害事前预防 及 正常时 BCP 运营程序 紧急时迅速的业务恢复程序,Process (业务),紧急时为迅速地恢复业务所需要的资源 代替人力, 代替事业场, 装置/设备/需求, 信息,Resource (资源),8. BCM的 构成因素,11,顾客需求 - 供求网管理上导入运营BCM - DELL, SONY, TOYOTA, GE 等 全球企业 外包管理上运营 BCM 竞争社 BCM 构筑 - 日本 制造商 25%(大企业 100%)正在引进BCM 或已结束(日本全部投资银行) - BSI BCM 认证(09年 2月 22国家 取得140个公司认证,国内三星生命保险公司, 制造业三星SDI 最初取得) - 顾客选择以稳定经营为基础的竞争社 公司损失降低 - 通过商务中断时间的缩短来降低损失 - 通过危机克服能力的启发来获得顾客的信赖感 风险管理 规定 - ISO/PAS22399 - Societal Security指南方针开始实行(2009 以后), KS认证 -关于为减轻灾害的 企业自律活动支援的法律(消防防灾厅, 2006),9. BCM 动机,12,BIA (Business Impact Analysis ; 商务影响分析) 导出创造价值高的活动领域内的进程 ; 按照运营, 支援, 战略方面导出 进程的中断带给整个商务的影响度评价 ; 低频率, 高深度风险的影响推断(例: 地震,火灾 等) 选定中断时影响大的进程(Critical Activity) 设定进程间逻辑结构(先行, 后行 等) 进程别中断影响的定量,定性评价 MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 决定 核心进程的允许的最长中断时间（MTPD)推断 核心进程的恢复目标时间（RTO）推断 进程重新开始时复原的优先次序的决定 进程别 核心支援 (Critical Resources) 分析 进程复原所需资源（人力，建筑物，设备，信息等）,通过价值链(Value Chain)的分析 具体体现,10. 组织的 理解 ; BIA to RA,13,价值链(Value Chain), 供应链(Supply Chain) 分析,Layer1: 流程,Layer2: 商业基础设施,Layer3: 组织, Network,创造价值 (产品, 服务),物 流,合作公司,Source : Cranfield Univ. Supply Chain Risk,event,10. 组织的理解 ; BIA to RA,14,Source : Deloitte, 2005,10.组织的理解 ; BIA to RA,风险表 (RISK TABLE),15, 回避, 频率深度减少 SOP 活用, 减少, 转移, 镇压, 减少, 回避, 预防, 保留, 监控,发生可能性,影响,high,low,high,low,大型火灾, 爆炸 卖方, 顾客破产,销售产品有缺点 赔偿事故,海运搬运事故 小规模盗窃,仓库内库存减少 财物损坏,BCM,RM,Source : Marsh, Risk Alert,2004,风险频率/深度分析,10.组织的理解 ; BIA to RA,16,10.组织的理解 ; BIA to RA,Source : Deloittee. Risk Intelligence in the Age of Global Uncertainty,Event,飓风 地震 炸弹恐怖袭击 台风,洪水 生物化学恐怖 袭击 劫持人质恐怖 袭击 社会不安 个人袭击 核攻击 飞机劫持 电事故 网络恐怖主义 黑客袭击 车祸 受伤 火灾 ,Impact,城市功能丧失 不可接近建筑物 网络中断 通信瘫痪 交通瘫痪 供电中断 合作商业务瘫痪 核心人力损失 信息损失,Business Consequence,资产,人力 电脑 大楼 通信 顾客/伙伴,财务,销售,制造,产品规划,物流,研究开发,技术,人事,保密,服务,机械设备,动力,Core Process,Support Process,无限事件,有限事件,为保护顾客的选择与集中,17,Source : BSI BS25999 BCM,11. 商业恢复 (Biz Resumption) 战略,代替人力 (People),事业设施 (Premises),备份系统 (Technology),重要信息 (Vital Records),外包商 (3rd Party),BCM组织,设备恢复, 代替事业场,灾害恢复系统,信息管理,合作商连续性管理,人力恢复,构筑期推进课题,BCP 运营战略,业务恢复时需要的资源,其他教育, 保险等,BCP构筑战略,定期运营方案,受伤,不可接近事业场,重要资源损坏,系统支援中断,业务停止设想,合作商支援中断,风险识别,风险预防,组织恢复力,事业停止 危险因素,12. 业务连续性规划(BCP),宣言文-BCM定义 控制结构确立 BIA 及 RA 实行 恢复战略及计划制定 监控及测试,BCM运营组织 BCM战略树立 BCM战略承认及文件化 平常BCM运营活动,危机管理规划 宣布危机, 组织开始行动 危机管理交流 恢复业务,灾害恢复活动,Gold Strategic 高级领导, 决策者等 (Senior Management),Bronze Operational 危机管理组, 业务恢复组 (Activity Resumption Team),Silver Tactical BCM 专门组织/作用 (Business Continuity Team),危机管理规划,业务恢复规划,灾害恢复规划,BCM 政 策,结构(Structure),内容(Contents),商业 连续性规划,BCM 运营组织,使用者等级(Level),Source : BS25999, 对象别 BCP文件构成,BEFORE,?,总指挥不在,事务支援部,IT,安全管理室,人力支援室,最初发现者,部门长,Group长,CEO,灾害应对 (有关部门),灾害应对 (危机管理组织),最初发现者,BCP 运营组织,应急 对策委员会,Group长,Group长,Group长,Group长,应急对策委员会,综合现况室,危机管理组,业务恢复组,基础设施恢复组,Incident Commander,有关部门应对,中心集中式应对,最高决策机构,跟有关部门联系,危机管理组织构成,部门 BCP担当者,事业场 BCP责任者,逃生, 救命,与有关机关联系,逃生命令,改善点 - 确立全社报告体系 迅速的危及传播及决策 - Incident Commander 迅速的信息收集及灾害应对 - 业务恢复组 防止业务中断, 保障企业的营业连续性,问题点 - 总指挥不在 部门别应对 - 没有危急应对程序 因灾害的损失扩大 - 没有业务恢复程序 无法保障企业的业务连续性,13. BCM效果,报告,报告,AFTER,20,14. 风险管理程序,KPI,time,KPI 允许限度,BCM,KPI 目标值,预防管理, 监控 (Proactive Activity),事故管理 (Reactive Activity),恢复,持久 (Resumption, Recovery),火灾安全 自然灾害 供应网安全 赔偿/召回(Recall) 风险诊断及识别 - Value Ch