商业连续性计划BCP教学课件

New approach to the business risk management业务连续性管理(BCM)Building a truly Resilient Enterprise第1页，共21页。2u 现代社会的风险和连续性u BCM(商务 连续性管理)第2页，共21页。31.对于现代社会风险的技术Peter F.Drucker(1969)Peter F.Drucker(1969)“未来是拿旧理论和电影剧本不可能分析的情况未来是拿旧理论和电影剧本不可能分析的情况普遍化变化的时代普遍化变化的时代”Ulrich Beck(1986)Ulrich Beck(1986)“后期近代社会的风险是以完全脱离人类的认识能力后期近代社会的风险是以完全脱离人类的认识能力 的放射性因果分析为基础的放射性因果分析为基础Richard A.DAveni(1994)Richard A.DAveni(1994)“推翻原来的状态不断创出暂时优势推翻原来的状态不断创出暂时优势,最终掌握主导权就是在超竞争环境中要有的最终掌握主导权就是在超竞争环境中要有的战略目标战略目标”Nassim Nicholas Taleb(2019)Nassim Nicholas Taleb(2019)“不可预测的重大事件不可预测的重大事件;它罕有发生它罕有发生,但一旦出现但一旦出现,就具有很大的影响力就具有很大的影响力.发生后才能说明原因发生后才能说明原因,是不可预测的现像是不可预测的现像 -Black Swan”-Black Swan”第3页，共21页。42.商务 示例 ;Who,What,ResultWHOWHATRESULTPerrier-1991.矿泉水内苯的存在-保健事故,受伤,没有死亡.-损坏了形象 丧失了可靠性和商务机会-Evian让出了领头的位置与 Nestle合并Johnson&Johnson-1982.精神病者往胶囊里投放氰酸钾-服用患者数名死亡-市场的可靠性和形象向上-短期内 再夺回 MS 1位WHOWHATRESULTNokia-2000.Philips 因为火灾 RFC 供给中断-产品生产没有差错.-MS 1位 维持Ericsson-2000.Philips 因为火灾 RFC 供给中断-一些产品生产中断-handset 事业中断 后与 Sony 合并 COMPARISON类似点-社内未发生财物损失(火灾,洪水,机器事故 等)-在价值链(Value Chain)内发生的 任意事故(Something)不同点-对于 发生可能性(Probability)考察-报告命令(Communication),措施(Action),恢复/复原(Recovery/Resilience)能力 差异第4页，共21页。53.911 恐怖事件和 摩根士丹利u恐怖事件次日上午9点30分首席执行官紧急记者招待会内容 -大部分职员生存.(3500女 职员中15名 失踪)-发生不足1亿 美元 损失(保套利交易)-全世界 摩根士丹利 支店 正常早上9店开始营业u摩根士丹利的 5大 危机管理计划 -紧急式 对策(Contingency Plan)-业务连续性 计划(Business Continuity Plan)-危机管理 交流(Crisis Communication)-财务危机 分散管理(Hedging&Insurance)-早期警报系统(Early Warning System)u成功的BCM的附加效果 -摩根史丹利的 危机管理系统受全世界瞩目 -既有投资者的信赖和引起新投资者的关心 -24小时以内以迅速地召开记者招待会换取友好的言论摩根士丹利 911 恐怖事件 发生时通过实时 BCP 运转 提供了完善的 客户服务 Source:NY Times(2019)第5页，共21页。Million(USD)/hrSource:Deloitte BCM practice report,Network computing,2019能源通信制造投资金融保险零售制约金融交通使用程序医疗媒体平均4.营业中断的实时损失全球全球 企业平均损失额企业平均损失额:$1,010,536/hour$1,010,536/hour$16,842/minute$16,842/minute第6页，共21页。5.现代社会风险和 BCM的进化19902019201920002019201920192019灾害复原计划灾害复原计划社会机能复原社会机能复原重要灾难信息重要灾难信息业务进程的再设计业务进程的再设计(BRP)(BRP)实时网络存储实时网络存储Black Swan Black Swan 设想设想地区地区 大灾害大灾害总的商务总的商务风险管理风险管理管理内部管理内部监控器监控器黑天鹅舆论(Black Swan Theory)大型损失,不容预测,稀有事件(Large-impact,Hard-to-predict,and Rare event)Source:Wikipedia现代社会的风险现代社会的风险Y2KWWWWTC TerrorismERM南亚 地震海啸 飙风BCMKobe Earthq.DRPSource:Gartner,BCM Today第7页，共21页。8BCM(BCM(业务连续性管理业务连续性管理 ;Business Continuity Management);Business Continuity Management)为能给利害关系人为能给利害关系人带来影响的业务中断准备带来影响的业务中断准备,在限制的时间内在限制的时间内(RTO)(RTO)重新运营重新运营核心的商务核心的商务 机能机能,(Critical Activity(Critical Activity)树立全社性的的政策及系统树立全社性的的政策及系统(BCP)(BCP)并并履行的经营活动履行的经营活动(BCM)(BCM)-为核心的商务中断准备核心的商务中断准备,恢复能力恢复能力 事先改进事先改进 -业务中断后按照设定好的业务中断后按照设定好的 目标时间为基准目标时间为基准 为了公司的核心业务和为了公司的核心业务和 服务的持续性提供服务的持续性提供 提供提供重复演戏的方法论重复演戏的方法论 -通过被证明的业务中断管理能力通过被证明的业务中断管理能力,提高企业的形象提高企业的形象 过去过去 ITIT系统系统/数据恢复数据恢复,火灾火灾/自然灾害自然灾害 预防管理预防管理 等等 部分部分领域的局限与例外领域的局限与例外 现代的现代的 BCMBCM全社员的人力全社员的人力 ,资源资源,为业务对象而做为业务对象而做6.BCM的 正义第8页，共21页。9Policy(政策)组织文化内BCM体制定制组织的组织的组织的组织的 理解理解理解理解BCBCBCBC战略战略战略战略决决决决 定定定定BCM BCM BCM BCM 对应对应对应对应开发开发开发开发 和和和和 具体体现具体体现具体体现具体体现培训培训培训培训 检讨检讨检讨检讨维持管理维持管理维持管理维持管理BCM程序 管理People(组织)Process(业务)Resource(资源)BCPBCPBCPBCPBCMBCMBCMBCM7.BCM 国际标准:BS25999-2(2019)Source:BSI(2019)第9页，共21页。10上位 水平的 BCP 政策,为全社范围的危机应对和恢复业务的方针Policy(政策)平时/危机时 BCM 组织 体系 People(组织)灾害事前预防 及 正常时 BCP 运营程序紧急时迅速的业务恢复程序Process(业务)紧急时为迅速地恢复业务所需要的资源代替人力,代替事业场,装置/设备/需求,信息Resource(资源)8.BCM的 构成因素第10页，共21页。11u 顾客需求顾客需求 -供求网管理上导入运营BCM-DELL,SONY,TOYOTA,GE 等 全球企业 外包管理上运营 BCMu 竞争社竞争社 BCM BCM 构筑构筑 -日本 制造商 25%(大企业 100%)正在引进BCM 或已结束(日本全部投资银行)-BSI BCM 认证(09年 2月 22国家 取得140个公司认证,国内三星生命保险公司,制造业三星SDI 最初取得)-顾客选择以稳定经营为基础的竞争社u 公司损失降低公司损失降低 -通过商务中断时间的缩短来降低损失-通过危机克服能力的启发来获得顾客的信赖感 u 风险管理风险管理 规定规定 -ISO/PAS22399-Societal Security指南方针开始实行(2009 以后),KS认证 -关于为减轻灾害的 企业自律活动支援的法律(消防防灾厅,2019)9.9.BCM BCM 动机动机动机动机第11页，共21页。12BIA(Business Impact Analysis;商务影响分析)u 导出创造价值高的活动领域内的进程;按照运营,支援,战略方面导出 u 进程的中断带给整个商务的影响度评价;低频率,高深度风险的影响推断(例:地震,火灾 等)选定中断时影响大的进程(Critical Activity)设定进程间逻辑结构(先行,后行 等)进程别中断影响的定量,定性评价u MTPD(Maximum Tolerable Period of Disruption),RTO(Recovery Time Objective)决定 核心进程的允许的最长中断时间（MTPD)推断 核心进程的恢复目标时间（RTO）推断 进程重新开始时复原的优先次序的决定u 进程别 核心支援(Critical Resources)分析 进程复原所需资源（人力，建筑物，设备，信息等）通过价值链(Value Chain)的分析 具体体现10.组织的 理解;BIA to RA第12页，共21页。13价值链(Value Chain),供应链(Supply Chain)分析 Layer1:流程Layer2:商业基础设施Layer3:组织,Network 创造价值(产品,服务)物 流合作公司 Source:Cranfield Univ.Supply Chain RiskSource:Cranfield Univ.Supply Chain Riskevent10.组织的理解;BIA to RA第13页，共21页。14Source:Deloitte,2019 10.组织的理解;BIA to RA风险表(RISK TABLE)第14页，共21页。15 回避回避,频率深度减少频率深度减少 SOP SOP 活用活用 减少减少,转移转移,镇压镇压 减少减少,回避回避,预防预防 保留保留,监控监控发生可能性影影响响highlowhighlowu 大型火灾,爆炸u 卖方,顾客破产u 销售产品有缺点u 赔偿事故u海运搬运事故u 小规模盗窃u 仓库内库存减少u 财物损坏BCMRMSource:Marsh,Risk Alert,2019 风险频率/深度分析10.组织的理解;BIA to RA第15页，共21页。1610.组织的理解;BIA to RA Source:Deloittee.Risk Intelligence in the Age of Global UncertaintySource:Deloittee.Risk Intelligence in the Age of Global UncertaintyEvent 飓风飓风 地震地震 炸弹恐怖袭击炸弹恐怖袭击 台风台风,洪水洪水 生物化学恐怖生物化学恐怖 袭击袭击 劫持人质恐怖劫持人质恐怖 袭击袭击 社会不安社会不安 个人袭击个人袭击 核攻击核攻击 飞机劫持飞机劫持 电事故电事故 网络恐怖主义网络恐怖主义 黑客袭击黑客袭击 车祸车祸 受伤受伤 火灾火灾 Impact 城市功能丧失城市功能丧失 不可接近建筑物不可接近建筑物 网络中断网络中断 通信瘫痪通信瘫痪 交通瘫痪交通瘫痪 供电中断供电中断 合作商业务瘫痪合作商业务瘫痪 核心人力损失核心人力损失 信息损失信息损失Business Consequence资产资产人力人力 电脑电脑 大楼大楼 通信通信 顾客顾客/伙伙伴伴财务销售制造产品规划物流研究开发技术人事保密服务机械设备,动力Core ProcessSupport Process无限事件有限事件为保护顾客的选择与集中第16页，共21页。17Source:BSI BS25999 BCM11.商业恢复(Biz Resumption)战略代替人力代替人力 (People)(People)事业设施事业设施 (Premises)(Premises)备份系统备份系统 (Technology)(Technology)重要信息重要信息 (Vital Records)(Vital Records)外包商外包商 (3rd Party)(3rd Party)BCM组织设备恢复,代替事业场灾害恢复系统信息管理合作商连续性管理人力恢复构筑期推进课题BCP 运营战略业务恢复时需要的资源其他教育,保险等BCP构筑战略定期运营方案受伤不可接近事业场重要资源损坏系统支援中断业务停止设想合作商支援中断风险识别风险识别风险预防风险预防组织恢复力组织恢复力事业停止事业停止事业停止事业停止危险因素危险因素危险因素危险因素第17页，共21页。12.业务连续性规划(BCP)宣言文-BCM定义 控制结构确立 BIA 及 RA 实行 恢复战略及计划制定 监控及测试 BCM运营组织 BCM战略树立 BCM战略承认及文件化 平常BCM运营活动 危机管理规划 宣布危机,组织开始行动 危机管理交流 恢复业务,灾害恢复活动Gold Strategic 高级领导,决策者等(Senior Management)Bronze Operational 危机管理组,业务恢复组(Activity Resumption Team)Silver Tactical BCM 专门组织/作用(Business Continuity Team)危机管理规划业务恢复规划灾害恢复规划BCM政 策结构(Structure)内容(Contents)商业连续性规划BCM运营组织使用者等级(Level)Source:BS25999,对象别 BCP文件构成第18页，共21页。BEFORE?总指挥不在事务支援部IT安全管理室人力支援室最初发现者部门长Group长CEO灾害应对(有关部门)灾害应对(危机管理组织)最初发现者BCP运营组织应急对策委员会Group长Group长Group长Group长应急对策委员会综合现况室危机管理组业务恢复组基础设施恢复组Incident Commander有关部门应对中心集中式应对最高决策机构跟有关部门联系危机管理组织构成部门BCP担当者事业场BCP责任者逃生,救命,与有关机关联系逃生命令改善点-确立全社报告体系 迅速的危及传播及决策-Incident Commander 迅速的信息收集及灾害应对-业务恢复组 防止业务中断,保障企业的营业连续性问题点 -总指挥不在 部门别应对-没有危急应对程序 因灾害的损失扩大-没有业务恢复程序 无法保障企业的业务连续性13.BCM效果报告报告AFTER第19页，共21页。2014.风险管理程序KPItimeKPI 允许限度BCMKPI 目标值预防管理,监控(Proactive Activity)事故管理(Reactive Activity)恢复,持久(Resumption,Recovery)火灾安全 自然灾害 供应网安全 赔偿/召回(Recall)风险诊断及识别-Value Chain Anal.-Biz Impact Anal.-Risk Assessment 应急计划(single risk)应急manual 危机管理交流 召回程序 事故管理计划(total risk)-风险治理(risk governance)分析 -利害关系者分析 业务恢复战略树立(BC strategy)业务连续性规划(BCP)灾害修复规划(DR)事故管理程序开发 业务恢复演习(role-playing)程序开发 内审/认证 风险管理政策树立*BCM Audit Mandatory第20页，共21页。docin/sanshengshiyuandoc88/sanshenglu 更多精品资源请访问更多精品资源请访问第21页，共21页。