商业连续性计划B.ppt

Newapproachtothebusinessriskmanagement业务连续性管理(BCM),BuildingatrulyResilientEnterprise,2,现代社会的风险和连续性BCM(商务连续性管理),3,1.对于现代社会风险的技术,PeterF.Drucker(1969)“未来是拿旧理论和电影剧本不可能分析的情况普遍化变化的时代”,UlrichBeck(1986)“后期近代社会的风险是以完全脱离人类的认识能力的放射性因果分析为基础,RichardA.DAveni(1994)“推翻原来的状态不断创出暂时优势,最终掌握主导权就是在超竞争环境中要有的战略目标”,NassimNicholasTaleb(2004)“不可预测的重大事件;它罕有发生,但一旦出现,就具有很大的影响力.发生后才能说明原因,是不可预测的现像-BlackSwan”,4,2.商务示例;Who,What,Result,5,3.911恐怖事件和摩根士丹利,恐怖事件次日上午9点30分首席执行官紧急记者招待会内容-大部分职员生存.(3500女职员中15名失踪)-发生不足1亿美元损失(保套利交易)-全世界摩根士丹利支店正常早上9店开始营业摩根士丹利的5大危机管理计划-紧急式对策(ContingencyPlan)-业务连续性计划(BusinessContinuityPlan)-危机管理交流(CrisisCommunication)-财务危机分散管理(HedgingBusinessContinuityManagement)为能给利害关系人带来影响的业务中断准备,在限制的时间内(RTO)重新运营核心的商务机能,(CriticalActivity)树立全社性的的政策及系统(BCP)并履行的经营活动(BCM)为核心的商务中断准备,恢复能力事先改进业务中断后按照设定好的目标时间为基准为了公司的核心业务和服务的持续性提供提供重复演戏的方法论通过被证明的业务中断管理能力,提高企业的形象过去IT系统/数据恢复,火灾/自然灾害预防管理等部分领域的局限与例外现代的BCM全社员的人力,资源,为业务对象而做,6.BCM的正义,9,Policy(政策),People(组织),Process(业务),Resource(资源),BCP,BCM,7.BCM国际标准:BS25999-2(2008),Source:BSI(2008),10,上位水平的BCP政策,为全社范围的危机应对和恢复业务的方针,Policy(政策),平时/危机时BCM组织体系,People(组织),灾害事前预防及正常时BCP运营程序紧急时迅速的业务恢复程序,Process(业务),紧急时为迅速地恢复业务所需要的资源代替人力,代替事业场,装置/设备/需求,信息,Resource(资源),8.BCM的构成因素,11,顾客需求-供求网管理上导入运营BCM-DELL,SONY,TOYOTA,GE等全球企业外包管理上运营BCM竞争社BCM构筑-日本制造商25%(大企业100%)正在引进BCM或已结束(日本全部投资银行)-BSIBCM认证(09年2月22国家取得140个公司认证,国内三星生命保险公司,制造业三星SDI最初取得)-顾客选择以稳定经营为基础的竞争社公司损失降低-通过商务中断时间的缩短来降低损失-通过危机克服能力的启发来获得顾客的信赖感风险管理规定-ISO/PAS22399-SocietalSecurity指南方针开始实行(2009以后),KS认证-关于为减轻灾害的企业自律活动支援的法律(消防防灾厅,2006),9.BCM动机,12,BIA(BusinessImpactAnalysis;商务影响分析)导出创造价值高的活动领域内的进程;按照运营,支援,战略方面导出进程的中断带给整个商务的影响度评价;低频率,高深度风险的影响推断(例:地震,火灾等)选定中断时影响大的进程(CriticalActivity)设定进程间逻辑结构(先行,后行等)进程别中断影响的定量,定性评价MTPD(MaximumTolerablePeriodofDisruption),RTO(RecoveryTimeObjective)决定核心进程的允许的最长中断时间（MTPD)推断核心进程的恢复目标时间（RTO）推断进程重新开始时复原的优先次序的决定进程别核心支援(CriticalResources)分析进程复原所需资源（人力，建筑物，设备，信息等）,通过价值链(ValueChain)的分析具体体现,10.组织的理解;BIAtoRA,13,价值链(ValueChain),供应链(SupplyChain)分析,Layer1:流程,Layer2:商业基础设施,Layer3:组织,Network,创造价值(产品,服务),物流,合作公司,Source:CranfieldUniv.SupplyChainRisk,event,10.组织的理解;BIAtoRA,14,Source:Deloitte,2005,10.组织的理解;BIAtoRA,风险表(RISKTABLE),15,回避,频率深度减少SOP活用,减少,转移,镇压,减少,回避,预防,保留,监控,发生可能性,影响,high,low,high,low,大型火灾,爆炸卖方,顾客破产,销售产品有缺点赔偿事故,海运搬运事故小规模盗窃,仓库内库存减少财物损坏,BCM,RM,Source:Marsh,RiskAlert,2004,风险频率/深度分析,10.组织的理解;BIAtoRA,16,10.组织的理解;BIAtoRA,Source:Deloittee.RiskIntelligenceintheAgeofGlobalUncertainty,Event,飓风地震炸弹恐怖袭击台风,洪水生物化学恐怖袭击劫持人质恐怖袭击社会不安个人袭击核攻击飞机劫持电事故网络恐怖主义黑客袭击车祸受伤火灾,Impact,城市功能丧失不可接近建筑物网络中断通信瘫痪交通瘫痪供电中断合作商业务瘫痪核心人力损失信息损失,BusinessConsequence,资产,人力电脑大楼通信顾客/伙伴,财务,销售,制造,产品规划,物流,研究开发,技术,人事,保密,服务,机械设备,动力,CoreProcess,SupportProcess,无限事件,有限事件,为保护顾客的选择与集中,17,Source:BSIBS25999BCM,11.商业恢复(BizResumption)战略,代替人力(People),事业设施(Premises),备份系统(Technology),重要信息(VitalRecords),外包商(3rdParty),BCM组织,设备恢复,代替事业场,灾害恢复系统,信息管理,合作商连续性管理,人力恢复,构筑期推进课题,BCP运营战略,业务恢复时需要的资源,其他教育,保险等,BCP构筑战略,定期运营方案,受伤,不可接近事业场,重要资源损坏,系统支援中断,业务停止设想,合作商支援中断,风险识别,风险预防,组织恢复力,事业停止危险因素,12.业务连续性规划(BCP),宣言文-BCM定义控制结构确立BIA及RA实行恢复战略及计划制定监控及测试,BCM运营组织BCM战略树立BCM战略承认及文件化平常BCM运营活动,危机管理规划宣布危机,组织开始行动危机管理交流恢复业务,灾害恢复活动,GoldStrategic高级领导,决策者等(SeniorManagement),BronzeOperational危机管理组,业务恢复组(ActivityResumptionTeam),SilverTacticalBCM专门组织/作用(BusinessContinuityTeam),危机管理规划,业务恢复规划,灾害恢复规划,BCM政策,结构(Structure),内容(Contents),商业连续性规划,BCM运营组织,使用者等级(Level),Source:BS25999,对象别BCP文件构成,BEFORE,?,总指挥不在,事务支援部,IT,安全管理室,人力支援室,最初发现者,部门长,Group长,CEO,灾害应对(有关部门),灾害应对(危机管理组织),最初发现者,BCP运营组织,应急对策委员会,Group长,Group长,Group长,Group长,应急对策委员会,综合现况室,危机管理组,业务恢复组,基础设施恢复组,IncidentCommander,有关部门应对,中心集中式应对,最高决策机构,跟有关部门联系,危机管理组织构成,部门BCP担当者,事业场BCP责任者,逃生,救命,与有关机关联系,逃生命令,改善点-确立全社报告体系迅速的危及传播及决策-IncidentCommander迅速的信息收集及灾害应对-业务恢复组防止业务中断,保障企业的营业连续性,问题点-总指挥不在部门别应对-没有危急应对程序因灾害的损失扩大-没有业务恢复程序无法保障企业的业务连续性,13.BCM效果,报告,报告,AFTER,20,14.风险管理程序,KPI,time,KPI允许限度,BCM,KPI目标值,预防管理,监控(ProactiveActivity),事故管理(ReactiveActivity),恢复,持久(Resumption,Recovery),火灾安全自然灾害供应网安全赔偿/召回(Recall)风险诊断及识别-ValueChainAnal.-BizImpactAnal.-RiskAssessment,应急计划(singlerisk)应急manual危机管理交流召回程序事故管理计划(totalrisk)-风险治理(riskgovernance)分析-利害关系者分析,业务恢复战略树立(BCstrategy)业务连续性规划(BCP)灾害修复规划(DR),事故管理程序开发,业务恢复演习(role-playing)程序开发,内审/认证,风险管理政策树立,*BCMAuditMandatory,