商業(yè)連續(xù)性計(jì)劃BCP課件

1、New approach to the business risk management業(yè)務(wù)連續(xù)性管理(BCM)Building a truly Resilient EnterpriseNew approach to the business r2 現(xiàn)代社會的風(fēng)險(xiǎn)和連續(xù)性 BCM(商務(wù) 連續(xù)性管理)2 現(xiàn)代社會的風(fēng)險(xiǎn)和連續(xù)性31. 對于現(xiàn)代社會風(fēng)險(xiǎn)的技術(shù)Peter F. Drucker(1969)“未來是拿舊理論和電影劇本不可能分析的情況普遍化變化的時(shí)代” Ulrich Beck(1986) “后期近代社會的風(fēng)險(xiǎn)是以完全脫離人類的認(rèn)識能力 的放射性因果分析為基礎(chǔ)Richard A. DAven

2、i(1994)“推翻原來的狀態(tài)不斷創(chuàng)出暫時(shí)優(yōu)勢,最終掌握主導(dǎo)權(quán)就是在超競爭環(huán)境中要有的戰(zhàn)略目標(biāo)”Nassim Nicholas Taleb(2019)“不可預(yù)測的重大事件;它罕有發(fā)生,但一旦出現(xiàn),就具有很大的影響力.發(fā)生后才能說明原因,是不可預(yù)測的現(xiàn)像 - Black Swan” 31. 對于現(xiàn)代社會風(fēng)險(xiǎn)的技術(shù)Peter F. Drucke42. 商務(wù) 示例 ; Who, What, ResultWHOWHATRESULTPerrier-1991. 礦泉水內(nèi)苯的存在- 保健事故, 受傷, 沒有死亡. 損壞了形象 喪失了可靠性和商務(wù)機(jī)會Evian讓出了領(lǐng)頭的位置與 Nestle合并Johnson

3、 & Johnson1982. 精神病者往膠囊里投放氰酸鉀 服用患者數(shù)名死亡市場的可靠性和形象向上短期內(nèi) 再奪回 MS 1位WHOWHATRESULTNokia-2000. Philips 因?yàn)榛馂?zāi) RFC 供給中斷產(chǎn)品生產(chǎn)沒有差錯. MS 1位 維持Ericsson-2000. Philips 因?yàn)榛馂?zāi) RFC 供給中斷一些產(chǎn)品生產(chǎn)中斷handset 事業(yè)中斷 后與 Sony 合并 COMPARISON類似點(diǎn)社內(nèi)未發(fā)生財(cái)物損失(火災(zāi), 洪水, 機(jī)器事故 等)在價(jià)值鏈 (Value Chain)內(nèi)發(fā)生的 任意事故(Something)不同點(diǎn)對于 發(fā)生可能性(Probability) 考察報(bào)告命

4、令(Communication), 措施(Action), 恢復(fù)/復(fù)原(Recovery/Resilience) 能力 差異42. 商務(wù) 示例 ; Who, What, Result53. 911 恐怖事件和 摩根士丹利恐怖事件次日上午9點(diǎn)30分首席執(zhí)行官緊急記者招待會內(nèi)容 - 大部分職員生存.(3500女 職員中15名 失蹤) - 發(fā)生不足1億 美元 損失(保套利交易) - 全世界 摩根士丹利 支店 正常早上9店開始營業(yè)摩根士丹利的 5大 危機(jī)管理計(jì)劃 - 緊急式 對策(Contingency Plan) - 業(yè)務(wù)連續(xù)性 計(jì)劃(Business Continuity Plan) - 危機(jī)管理

5、 交流(Crisis Communication) - 財(cái)務(wù)危機(jī) 分散管理(Hedging & Insurance) - 早期警報(bào)系統(tǒng)(Early Warning System)成功的BCM的附加效果 - 摩根史丹利的 危機(jī)管理系統(tǒng)受全世界矚目 - 既有投資者的信賴和引起新投資者的關(guān)心 - 24小時(shí)以內(nèi)以迅速地召開記者招待會換取友好的言論摩根士丹利 911 恐怖事件 發(fā)生時(shí)通過實(shí)時(shí) BCP 運(yùn)轉(zhuǎn) 提供了完善的 客戶服務(wù) Source : NY Times(2019)53. 911 恐怖事件和 摩根士丹利恐怖事件次日上午9點(diǎn)3Million (USD)/hrSource : Deloitte B

6、CM practice report, Network computing, 2019能源通信制造投資金融保險(xiǎn)零售制約金融交通使用程序醫(yī)療媒體平均4. 營業(yè)中斷的實(shí)時(shí)損失全球 企業(yè)平均損失額:$ 1,010,536 /hour$16,842 /minuteMillion (USD)/hrSource : Deloi 5. 現(xiàn)代社會風(fēng)險(xiǎn)和 BCM的進(jìn)化19902019201920002019201920192019災(zāi)害復(fù)原計(jì)劃社會機(jī)能復(fù)原重要災(zāi)難信息業(yè)務(wù)進(jìn)程的再設(shè)計(jì)(BRP)實(shí)時(shí)網(wǎng)絡(luò)存儲Black Swan 設(shè)想地區(qū) 大災(zāi)害總的商務(wù)風(fēng)險(xiǎn)管理管理內(nèi)部監(jiān)控器黑天鵝輿論(Black Swan Theo

7、ry)大型損失, 不容預(yù)測, 稀有事件(Large-impact, Hard-to-predict, and Rare event)Source : Wikipedia現(xiàn)代社會的風(fēng)險(xiǎn)Y2KWWWWTC TerrorismERM南亞 地震海嘯 飆風(fēng)BCMKobe Earthq.DRPSource : Gartner, BCM Today 5. 現(xiàn)代社會風(fēng)險(xiǎn)和 BCM的進(jìn)化1990201920198BCM (業(yè)務(wù)連續(xù)性管理 ; Business Continuity Management)為能給利害關(guān)系人帶來影響的業(yè)務(wù)中斷準(zhǔn)備,在限制的時(shí)間內(nèi)(RTO) 重新運(yùn)營核心的商務(wù) 機(jī)能,(Critical

8、 Activity)樹立全社性的的政策及系統(tǒng)(BCP)并履行的經(jīng)營活動(BCM) 為核心的商務(wù)中斷準(zhǔn)備, 恢復(fù)能力 事先改進(jìn) 業(yè)務(wù)中斷后按照設(shè)定好的 目標(biāo)時(shí)間為基準(zhǔn) 為了公司的核心業(yè)務(wù)和 服務(wù)的持續(xù)性提供 提供重復(fù)演戲的方法論 通過被證明的業(yè)務(wù)中斷管理能力,提高企業(yè)的形象 過去 IT系統(tǒng)/數(shù)據(jù)恢復(fù), 火災(zāi)/自然災(zāi)害 預(yù)防管理 等 部分領(lǐng)域的局限與例外 現(xiàn)代的 BCM全社員的人力 , 資源, 為業(yè)務(wù)對象而做6. BCM的 正義8BCM (業(yè)務(wù)連續(xù)性管理 ; Business Conti9Policy(政策)組織文化內(nèi)BCM體制定制組織的 理解BC戰(zhàn)略決 定BCM 對應(yīng)開發(fā) 和 具體體現(xiàn)培訓(xùn) 檢討

9、維持管理BCM程序 管理People(組織)Process(業(yè)務(wù))Resource(資源)BCPBCM7. BCM 國際標(biāo)準(zhǔn): BS25999-2(2019) Source : BSI(2019)9Policy組織文化內(nèi)BCM體制定制組織的 理解BC戰(zhàn)略B10上位 水平的 BCP 政策,為全社范圍的危機(jī)應(yīng)對和恢復(fù)業(yè)務(wù)的方針Policy (政策)平時(shí) / 危機(jī)時(shí) BCM 組織 體系 People (組織)災(zāi)害事前預(yù)防 及 正常時(shí) BCP 運(yùn)營程序緊急時(shí)迅速的業(yè)務(wù)恢復(fù)程序Process (業(yè)務(wù))緊急時(shí)為迅速地恢復(fù)業(yè)務(wù)所需要的資源代替人力, 代替事業(yè)場, 裝置/設(shè)備/需求, 信息Resource (

10、資源)8. BCM的 構(gòu)成因素10上位 水平的 BCP 政策,為全社范圍的危機(jī)應(yīng)對和恢復(fù)業(yè)11 顧客需求 - 供求網(wǎng)管理上導(dǎo)入運(yùn)營BCM - DELL, SONY, TOYOTA, GE 等 全球企業(yè) 外包管理上運(yùn)營 BCM 競爭社 BCM 構(gòu)筑 - 日本 制造商 25%(大企業(yè) 100%)正在引進(jìn)BCM 或已結(jié)束(日本全部投資銀行) - BSI BCM 認(rèn)證(09年 2月 22國家 取得140個公司認(rèn)證,國內(nèi)三星生命保險(xiǎn)公司, 制造業(yè)三星SDI 最初取得) - 顧客選擇以穩(wěn)定經(jīng)營為基礎(chǔ)的競爭社 公司損失降低 - 通過商務(wù)中斷時(shí)間的縮短來降低損失 - 通過危機(jī)克服能力的啟發(fā)來獲得顧客的信賴感

11、風(fēng)險(xiǎn)管理 規(guī)定 - ISO/PAS22399 - Societal Security指南方針開始實(shí)行(2009 以后), KS認(rèn)證 -關(guān)于為減輕災(zāi)害的 企業(yè)自律活動支援的法律(消防防災(zāi)廳, 2019)9. BCM 動機(jī)11 顧客需求 9. BCM 動機(jī)12BIA (Business Impact Analysis ; 商務(wù)影響分析) 導(dǎo)出創(chuàng)造價(jià)值高的活動領(lǐng)域內(nèi)的進(jìn)程 ; 按照運(yùn)營, 支援, 戰(zhàn)略方面導(dǎo)出 進(jìn)程的中斷帶給整個商務(wù)的影響度評價(jià) ; 低頻率, 高深度風(fēng)險(xiǎn)的影響推斷(例: 地震,火災(zāi) 等) 選定中斷時(shí)影響大的進(jìn)程(Critical Activity) 設(shè)定進(jìn)程間邏輯結(jié)構(gòu)(先行, 后行

12、等) 進(jìn)程別中斷影響的定量,定性評價(jià) MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 決定 核心進(jìn)程的允許的最長中斷時(shí)間（MTPD)推斷 核心進(jìn)程的恢復(fù)目標(biāo)時(shí)間（RTO）推斷 進(jìn)程重新開始時(shí)復(fù)原的優(yōu)先次序的決定 進(jìn)程別 核心支援 (Critical Resources) 分析 進(jìn)程復(fù)原所需資源（人力，建筑物，設(shè)備，信息等）通過價(jià)值鏈(Value Chain)的分析 具體體現(xiàn)10. 組織的 理解 ; BIA to RA12BIA (Business Impact Analysi13價(jià)值鏈(V

13、alue Chain), 供應(yīng)鏈(Supply Chain) 分析 Layer1: 流程Layer2:商業(yè)基礎(chǔ)設(shè)施Layer3: 組織, Network 創(chuàng)造價(jià)值(產(chǎn)品, 服務(wù))物 流合作公司 Source : Cranfield Univ. Supply Chain Riskevent10. 組織的理解 ; BIA to RA13價(jià)值鏈(Value Chain), 供應(yīng)鏈(Supply14Source : Deloitte, 2019 10.組織的理解 ; BIA to RA風(fēng)險(xiǎn)表 (RISK TABLE)14Source : Deloitte, 2019 10.組15 回避, 頻率深度減少

14、 SOP 活用 減少, 轉(zhuǎn)移, 鎮(zhèn)壓 減少, 回避, 預(yù)防 保留, 監(jiān)控發(fā)生可能性影響highlowhighlow 大型火災(zāi), 爆炸 賣方, 顧客破產(chǎn) 銷售產(chǎn)品有缺點(diǎn) 賠償事故海運(yùn)搬運(yùn)事故 小規(guī)模盜竊 倉庫內(nèi)庫存減少 財(cái)物損壞BCMRMSource : Marsh, Risk Alert,2019 風(fēng)險(xiǎn)頻率/深度分析10.組織的理解 ; BIA to RA15 回避, 頻率深度減少 減少, 轉(zhuǎn)移, 鎮(zhèn)壓 減少1610.組織的理解 ; BIA to RA Source : Deloittee. Risk Intelligence in the Age of Global UncertaintyE

15、vent 颶風(fēng) 地震 炸彈恐怖襲擊 臺風(fēng),洪水 生物化學(xué)恐怖 襲擊 劫持人質(zhì)恐怖 襲擊 社會不安 個人襲擊 核攻擊 飛機(jī)劫持 電事故 網(wǎng)絡(luò)恐怖主義 黑客襲擊 車禍 受傷 火災(zāi) Impact 城市功能喪失 不可接近建筑物 網(wǎng)絡(luò)中斷 通信癱瘓 交通癱瘓 供電中斷 合作商業(yè)務(wù)癱瘓 核心人力損失 信息損失Business Consequence資產(chǎn)人力 電腦 大樓 通信 顧客/伙伴財(cái)務(wù)銷售制造產(chǎn)品規(guī)劃物流研究開發(fā)技術(shù)人事保密服務(wù)機(jī)械設(shè)備,動力Core ProcessSupport Process無限事件有限事件為保護(hù)顧客的選擇與集中1610.組織的理解 ; BIA to RA Source17Sour

16、ce : BSI BS25999 BCM11. 商業(yè)恢復(fù) (Biz Resumption) 戰(zhàn)略代替人力 (People)事業(yè)設(shè)施 (Premises)備份系統(tǒng) (Technology)重要信息 (Vital Records)外包商 (3rd Party)BCM組織設(shè)備恢復(fù), 代替事業(yè)場災(zāi)害恢復(fù)系統(tǒng)信息管理合作商連續(xù)性管理人力恢復(fù)構(gòu)筑期推進(jìn)課題BCP 運(yùn)營戰(zhàn)略業(yè)務(wù)恢復(fù)時(shí)需要的資源其他教育, 保險(xiǎn)等BCP構(gòu)筑戰(zhàn)略定期運(yùn)營方案受傷不可接近事業(yè)場重要資源損壞系統(tǒng)支援中斷業(yè)務(wù)停止設(shè)想合作商支援中斷風(fēng)險(xiǎn)識別風(fēng)險(xiǎn)預(yù)防組織恢復(fù)力事業(yè)停止危險(xiǎn)因素17Source : BSI BS25999 BCM11. 12

17、. 業(yè)務(wù)連續(xù)性規(guī)劃(BCP) 宣言文-BCM定義 控制結(jié)構(gòu)確立 BIA 及 RA 實(shí)行 恢復(fù)戰(zhàn)略及計(jì)劃制定 監(jiān)控及測試 BCM運(yùn)營組織 BCM戰(zhàn)略樹立 BCM戰(zhàn)略承認(rèn)及文件化 平常BCM運(yùn)營活動 危機(jī)管理規(guī)劃 宣布危機(jī), 組織開始行動 危機(jī)管理交流 恢復(fù)業(yè)務(wù),災(zāi)害恢復(fù)活動Gold Strategic 高級領(lǐng)導(dǎo), 決策者等 (Senior Management)Bronze Operational 危機(jī)管理組, 業(yè)務(wù)恢復(fù)組(Activity Resumption Team)Silver Tactical BCM 專門組織/作用 (Business Continuity Team)危機(jī)管理規(guī)劃業(yè)務(wù)

18、恢復(fù)規(guī)劃災(zāi)害恢復(fù)規(guī)劃BCM政 策結(jié)構(gòu)(Structure)內(nèi)容(Contents)商業(yè)連續(xù)性規(guī)劃BCM運(yùn)營組織使用者等級(Level)Source : BS25999, 對象別 BCP文件構(gòu)成12. 業(yè)務(wù)連續(xù)性規(guī)劃(BCP) 宣言文-BCM定義 BBEFORE?總指揮不在事務(wù)支援部IT安全管理室人力支援室最初發(fā)現(xiàn)者部門長Group長CEO災(zāi)害應(yīng)對 (有關(guān)部門)災(zāi)害應(yīng)對 (危機(jī)管理組織)最初發(fā)現(xiàn)者BCP運(yùn)營組織應(yīng)急對策委員會Group長Group長Group長Group長應(yīng)急對策委員會綜合現(xiàn)況室危機(jī)管理組業(yè)務(wù)恢復(fù)組基礎(chǔ)設(shè)施恢復(fù)組Incident Commander有關(guān)部門應(yīng)對中心集中式應(yīng)對最高決策機(jī)構(gòu)跟有關(guān)部門聯(lián)系危機(jī)管理組織構(gòu)成部門BCP擔(dān)當(dāng)者事業(yè)場BCP責(zé)任者逃生, 救命,與有關(guān)機(jī)關(guān)聯(lián)系逃生命令改善點(diǎn) - 確立全社報(bào)告體系 迅速的危及傳播及決策 - Incident Com