商业连续性计划B.pptVIP

New approach to the business risk management 业务连续性管理(BCM) Building a truly Resilient Enterprise 2 u 现现代社会的风险风险和连续连续性 u BCM(商务务 连续连续性管理) 3 1. 对对于现现代社会风险风险的技术术 Peter F. Drucker(1969) “未来是拿旧理论论和电电影剧剧本不可能分析的情况 普遍化变变化的时时代” Ulrich Beck(1986) “后期近代社会的风险风险是以完全脱离人类类的认识认识能力 的放射性因果分析为为基础础 Richard A. DAveni(1994) “推翻原来的状态态不断创创出暂时优势暂时优势,最终终掌握主导权导权就是在超 竞竞争环环境中要有的战战略目标标” Nassim Nicholas Taleb(2004) “不可预测预测的重大事件; 它罕有发发生,但一旦出现现,就具有很大的影响力. 发发生后才能说说明原因,是不可预测预测的现现像 - Black Swan” 4 2. 商务务 示例 ; Who, What, Result WHOWHATRESULT Perrier -1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -损坏了形象 丧失了可靠性和商务机会 -Evian让出了领头的位置与 Nestle合并 Johnson Business Continuity Management) 为为能给给利害关系人带带来影响的业务业务中断准备备,在限制的时间时间内(RTO) 重新运营营核心的商务务 机能 ,(Critical Activity)树树立全社性的的政策及系统统(BCP)并履行的经营经营活动动(BCM) - 为核心的商务务中断准备备, 恢复能力 事先改进进 - 业务业务中断后按照设设定好的 目标时间为标时间为基准 为为了公司的核心业务业务和 服务务的持续续性提供 提供重复演戏戏的方法论论 -通过过被证证明的业务业务中断管理能力,提高企业业的形象 过过去 IT系统统/数据恢复, 火灾/自然灾害 预预防管理 等 部分领领域的局限与例外 现现代的 BCM全社员员的人力 , 资资源, 为业务对为业务对象而做 6. BCM的 正义义 9 Policy (政策) 组组 织织 文 化 内 B C M 体 制 定 制 组织组织组织组织的的 理解理解 BCBC战战战战略略 决决 定定 BCM BCM 对应对应对应对应 开开发发发发 和和 具体体具体体现现现现 培培训训训训 检讨检讨检讨检讨 维维维维持管理持管理 BCM 程序 管理 People (组织组织) Process (业务业务) Resource (资资源) BCPBCPBCMBCM 7. BCM 国际标际标准: BS25999-2(2008) Source : BSI(2008) 10 上位 水平的 BCP 政策,为为全社范围围的危机应对应对 和恢复业务业务的方针针 Policy (政策) 平时时 / 危机时时 BCM 组织组织 体系 People (组织组织) 灾害事前预预防 及 正常时时 BCP 运营营程序 紧紧急时时迅速的业务业务恢复程序 Process (业务业务) 紧紧急时为时为迅速地恢复业务业务所需要的资资源 代替人力, 代替事业场业场, 装置/设备设备/需求, 信息 Resource (资资源) 8. BCM的 构成因素 11 u 顾顾客需求 - 供求网管理上导入运营BCM - DELL, SONY, TOYOTA, GE 等 全球企业 外包管理上运营 BCM u 竞竞争社 BCM 构筑 - 日本 制造商 25%(大企业 100%)正在引进BCM 或已结束(日本全部投资银行) - BSI BCM 认证(09年 2月 22国家 取得140个公司认证,国内三星生命保险公司, 制造业三星SDI 最初取得) - 顾客选择以稳定经营为基础的竞争社 u 公司损损失降低 - 通过商务中断时间的缩短来降低损失 - 通过危机克服能力的启发来获得顾客的信赖感 u 风险风险管理 规规定 - ISO/PAS22399 - Societal Security指南方针开始实行(2009 以后), KS认证 -关于为减轻灾害的 企业自律活动支援的法律(消防防灾厅, 2006) 9. BCM 动动动动机机 12 BIA (Business Impact Analysis ; 商务务影响分析) u 导导出创创造价值值高的活动领动领域内的进进程 ; 按照运营, 支援, 战略方面导出 u 进进程的中断带给带给整个商务务的影响度评评价 ; 低频率, 高深度风险的影响推断(例: 地震,火灾 等) 选定中断时影响大的进程(Critical Activity) 设定进程间逻辑结构(先行, 后行 等) 进程别中断影响的定量,定性评价 u MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 决定 核心进程的允许的最长中断时间（MTPD)推断 核心进程的恢复目标时间（RTO）推断 进程重新开始时复原的优先次序的决定 u 进进程别别 核心支援 (Critical Resources) 分析 进程复原所需资源（人力，建筑物，设备，信息等） 通过过价值链值链(Value Chain)的分析 具体体现现 10. 组织组织的 理解 ; BIA to RA 13 价值链值链(Value Chain), 供应链应链(Supply Chain) 分析 Layer1: 流程 Layer2: 商业业基础设础设施 Layer3: 组织组织, Network 创创造价值值 (产产品, 服务务) 物 流 合作公司 Source : Cranfield Univ. Supply Chain Risk event 10. 组织组织的理解 ; BIA to RA 14 Source : Deloitte, 2005 10.组织组织的理解 ; BIA to RA 风险风险表 (RISK TABLE) 15 回避, 频频率深度减少 SOP 活用 减少, 转转移, 镇压镇压 减少, 回避, 预预防 保留, 监监控 发发生可能性 影响 high low high low u 大型火灾, 爆炸 u 卖方, 顾客破产 u 销售产品有缺点 u 赔偿事故 u海运搬运事故 u 小规模盗窃 u 仓库内库存减少 u 财物损坏 BC M RM Source : Marsh, Risk Alert,2004 风险频风险频率/深度分析 10.组织组织的理解 ; BIA to RA 16 10.组织组织的理解 ; BIA to RA Source : Deloittee. Risk Intelligence in the Age of Global Uncertainty Event 飓风飓风 地震 炸弹弹恐怖袭击袭击 台风风,洪水 生物化学恐怖 袭击袭击 劫持人质质恐怖 袭击袭击 社会不安 个人袭击袭击 核攻击击 飞飞机劫持 电电事故 网络络恐怖主义义 黑客袭击袭击 车祸车祸 受伤伤 火灾 Impact 城市功能丧丧失 不可接近建筑 物 网络络中断 通信瘫痪瘫痪 交通瘫痪瘫痪 供电电中断 合作商业务瘫业务瘫 痪痪 核心人力损损失 信息损损失 Business Consequence 资产资产 人力 电脑电脑 大楼 通信 顾顾客/伙伴 财务财务 销销售 制造 产产品规规划 物流 研究开发发 技术术 人事 保密 服务务 机械设备设备,动动力 Core ProcessSupport Process 无限事件有限事件为为保护顾护顾客的选择选择与集中 17 Source : BSI BS25999 BCM 11. 商业业恢复 (Biz Resumption) 战战略 代替人力 (People) 事业设业设施 (Premises) 备备份系统统 (Technology) 重要信息 (Vital Records) 外包商 (3rd Party) BCM组织组织 设备设备恢复, 代替事业场业场 灾害恢复系统统 信息管理 合作商连续连续性管理 人力恢复 构筑期推进课题进课题 BCP 运营战营战略 业务业务恢复时时需要的资资源 其他教育, 保险险等 BCP构筑战战略 定期运营营方案 受伤伤 不可接近事业场业场 重要资资源损损坏 系统统支援中断 业务业务停止设设想 合作商支援中断 风险识别风险识别风险预风险预防组织组织恢复力 事事业业业业停止停止 危危险险险险因素因素 12. 业务连续业务连续性规规划(BCP) 宣言文-BCM定义 控制结构确立 BIA 及 RA 实行 恢复战略及计划制定 监控及测试 BCM运营组织 BCM战略树立 BCM战略承认及文件化 平常BCM运营活动 危机管理规划 宣布危机, 组织开始行动 危机管理交流 恢复业务,灾害恢复活动 Gold Strategic 高级领导, 决策者等 (Senior Management) Bronze Operational 危机管理组, 业务恢复组 (Activity Resumption Team) Silver Tactical BCM 专门组织/作用 (Business Continuity Team) 危机管理规规划业务业务恢复规规划灾害恢复规规划 BCM 政 策 结结构(Structure)内容(Contents) 商业业 连续连续性规规划 BCM 运营组织营组织 使用者等级级(Level) Source : BS25999, 对对象别别 BCP文件构成 BEFORE ? 总指挥不在 事务务支援部IT安全管理室人力支援室 最初发现发现者部门长门长Group长长CEO 灾害应对应对 (有关部门门)灾害应对应对 (危机管理组织组织) 最初发现发现者 BCP 运营组织营组织 应应急 对对策委员员会 Group长长 Group长长Group长长Group长长 应应急对对策委员员会 综综合现现况室 危机管理组组业务业务恢复组组基础设础设施恢复组组 Incident Commander 有关部门应对门应对中心集中式应对应对最高决策机构 跟有关部门联门联系 危机管理组织组织构成 部门门 BCP担当者 事业场业场 BCP责责任者 逃生, 救命,与有关机关联系 逃生命令 改善点 - 确立全社报告体系 迅速的危及传播及决策 - Incident Commander 迅速的信息收集及灾害应对 - 业务恢复组 防止业务中断, 保障企业的营业连续性 问题点 - 总指挥不在 部门别应对 - 没有危急应对程序 因灾害的损失扩大 - 没有业务恢复程序 无法保障企业的业务连续性 13. BCM效果 报报告报报告 AFTER 20 14. 风险风险管理程序 KPI time KPI 允许许限度 BCM KPI 目标值标值 预预防管理, 监监控 (Proactive Activity) 事故管理 (Reactive Activity) 恢复,持久 (Resumption, Recovery) 火灾安全 自然灾害 供应应网安全 赔偿赔偿/召回(Recall) 风险诊风险诊断及识别识别 - Value Chain Anal. - Biz Impact Anal. - Risk Asses