企业风险管理模型(2).pptx

February 2002休斯顿大学 信息系统研究中心Dan Starta(Dan.StartaATKearney.Com)企业风险管理模型2执行者的概括n 最近恐怖分子对美国的袭击目标已经转向了商业和IT 管理者、风险管理和灾难恢复等问题引起人们的关注 灾难和安全事件对财政的影响每年高达数十亿美元，影响的范围波及到90%的企业 商业连贯与安全组织BC&S（Business Continuity and Security)将继续作为一个能预测未来的管理者发挥着自己的作用n 绝大多数企业已经投资于BC&S 并将专注于如何提高该领域中所用的资金数额 预期的投资额将是2002 年到2005 年间投资额的3 倍n Strategic BC&S 的战略规划将使组织能避免开销过大的灾难，从而保护业务和潜在的新资源的商业价值 BC&S 应该成为一个业务的使能原动力，而IT 只是解决方案的一个组成部分 适应BC&S 的企业将使其被关键资产和核心业务得到保护 就象BC&S 目前所增长的开销一样 明智的投资能在降低成本的同时提高企业对业务关键方面的保护 更新的BC&S 将能加速新技术的开发，使其对潜在的企业运作、客户和股东产生附加的价值3今日主题n 风险的概括n 业务连贯性与安全规划n 规划的价值所在n 方法4风险的概括5 世界正在日新月异地发生着改变，新生的难以预料的各种风险在业务和技术领域层出不穷。国家人口商业 人口的增长 城市区域内人口的不断增长 越来越便捷的旅行使世界越来越小 全球化程度的不断提高 因商业分类的趋势而愈演愈列的商业合并风潮(Wal-Mart&Home Depot)全球化趋势的演化(联合国与WTO)自由贸易区(WTO,NAFTA&EU)6在过去十年里，商业风险已经发生了巨大改变1900 1850时间(not to scale)1950 1970 1990 2000 1980商业气候技术普及政治、经济的动荡自然灾害生物技术全球变暖造成的气候变化全球自由贸易区WTO,NAFTA,EU)日益提高的专业化程度第一台商用电脑的出现冷战的结束生物技术的出现 恐怖分子开始使用生化武器工业化的进程使人口密度越来越大越来越频繁的气候现象：地震、洪水、飓风和厄尔尼诺现象等规模经济开始通过高效的制造流程得以实现Internet 的出现使人们之间的沟通更便捷第2世界和第三世界的政治动荡独立的更严峻的风险新风险更大更专业化的目标信息目标对未知领域的恐慌71997 年-2001 年间统计的电脑被袭击事件数据来源:计算机安全学会（Computer Security Institute）外国政府 外国企业 美国企业 黑客内部人士百分比8以下是因计算机病毒引起的世界范围内的经济损失统计资料来源:Richard Power,Tangled Web1990“业路撒冷”病毒1995“概念”病毒1999“Melissa”病毒2000“Love Bug”病毒单位：百万美元9 大多数美国公民认为美国的企业都过分相信自己的商品是坚不可摧的。美国的企业真的足够强大吗?肯定 63%否定30%弃权7%资料来源:ABC News10 绝大多数企业都很可能被列入毁灭性打击的目标基础架构石油&汽油电信交通设施核心流程汽车消费品医疗卫生高科技医药加工业 可视化娱乐业游戏休闲媒体体育属性 是经济的基础，如果受到毁灭性打击，那么整个国家将限于瘫痪属性 GDP的关键所在 与经济的其他方面联系紧密属性 高度的可视性和交互性，与商业和消费者息息相关 涉及到消费者的安全，所以风险最大可能遭受毁灭打击企业的要害11 商业连贯性与安全规划就是要对上述存在的各种威胁、影响作出预案，即便及时应对。威胁 潜在影响 反应灾难网络操作规则客户需求股票的价值成本的增加 利润的降低新机遇的出现商业连贯性与安全规划化减缓风险 时间恢复 成本管理 新机遇12业务连贯性与安全规划13 业务连贯性与协作安全问题的妥善解决对保护企业运作、资产和维持企业处于某个级别都是很有益的。n 操作 保证连贯性的关键操作 服务的最小化 确保服务中断后能重新恢复n 资产 保护信息资产 将财务损失降至最低 降低风险 确保职员安全n 级别 维持住大众客户 保持客户对企业的信心业务连贯性“业务的连贯性”是指：事先安排好的处理过程与企业处理实际的具体事务时能以一种关键业务功能不被打断和改变的连续一致方式来处理。协作安全 对企业中那些在关键操作中起作用的物质资产和潜在资产实施保护措施，将其面临的威胁降到最低。定义 目标14 从技术层面分析，合作和运作方面的融合已经在不断增加，所以业务所承担的失败风险也越来越引起关注。传统的业务操作已经越来越复杂，越来越有可能失败 系统保护已经十分典型地不能与业务的关键性保持步调一致了 企业与外界的连通性和设备方面的不断深入使企业很容易遭受破坏供应商r合作商销售 仓储 获取t商品条目系统仓储&物流 销售系统基础架构Web接入POS设备便携设备业务运作模型培训中心法律l关键管理财务 人力资源客户15 当前的威胁和将来发展的趋势越来越使人们专注于如何制定保证企业健壮性的业务连贯性规划上来。典型威胁n 自然灾害 火灾 洪水 台风 飓风 地震 雪灾n 人祸 黑客 病毒 数据不一致性 数字签名 非法获取数据 恐怖主义袭击重大发展趋势n 扩展企业的不断发展n 企业间的兼并、破产与重组n 全球化趋势的加剧n 对信息越来越依赖n 技术的普及n Internet 的普遍接入n 电子商务的不断完善与环境的日趋规范n 客户自我服务意识的提高16 业务领导和IT 管理人员已经重新把注意力集中于业务的连贯性、风险管理和灾难恢复等问题方面。n 有超过 90%的企业受到过袭击 金融灾难和安全性事件给企业运作带来树十亿美元的损失n 绝大多数企业已经不在徘徊 很多企业在未来几年的预算中附加了提高企业抵抗灾害能力的资金。n 投资将是 2000 年到2005 年间预算的3 倍17 业务连贯性与协作安全问题的解决应该重点从下列问题着手：n 风险与保护措施 我的企业是否面临风险？它们存在于哪里？在我所面临的风险中我的合作商和客户是否也存在问题?我该怎样才能保护自己的业务?要做到怎样的程度才算是保护了自己的企业了呢?n 成本 当我停止开销后所需的成本是多少?n 生存 如果遇到破坏，我的企业如何继续运作下去?如何幸存下来呢?遇到破坏该如何应对呢?18规划的价值所在19 BC&SP 的一个基本主题就是了解成本、可能出现的破坏及其对业务的影响之间的关系。事件保护方面的投资恢复成本常规操作恢复操作破坏发生的 可能性 数量级 预防/准备措施 计划与应对预案 保护范围 开销的增加 恢复措施 所用时间 恢复范围 危机管理 风险/影响 服务需求业务影响 利润的损失 客户/合作商的信任度是否受影响 法律/法规20 通过联合来避免风险，或者是通过预案等准备措施来降低企业的风险。对业务的影响风险的可能性通过在破坏事件中提供提供恢复操作来减少企业所受的影响通过提高预防措施和冗余手段来降低风险预防准备风险高风险的高影响21从业务连贯性与协作安全规划中获得价值的关键：n 制定计划并通过变革来实施该计划 没有认真审视的规划有40%会立即失败，而它们在5 年内的成活率只有 8%网络犯罪是过去四年里增长最快的6 个因素之一n 在关键领域预防和减轻问题的严重性 在心中设计好遭受灾难时业务操作 在任何适合的情况下制定出可选的措施n 提高企业的应变、预防能力 要求人们在有失败迹象出现时，必须能有效地团结组织起来 要有意识培训人们能够有一定的应变能力 规划的制定和危机管理要做在最前面 通过沟通和高层管理来确保这些关键因素22方法23 我们所提供的方法检测了风险中的关键要素，同时也评价了业务连贯性中要权衡的方法与准备性之间的关系。业务连贯性程序管理 风险及其对业务影响的分析制定规划扩展企业的准备措施安全规划评价业务连贯性和恰当投资的价值为准备措施和变革制定可操作的有序的方法规划的批准规划的实施 规划的测试规划的发布24 一个最初的评价将最终通过企业领导对业务连贯性和安全性方面的战略价值的理解程度来体现。当前准备就绪对关键业务流程的优化义务&从属关系对关键业务流程的风险管理任务业务影响分析可选的解决方案解决方案策略报告 重新审视业务现有的连贯性规划 评价现有规划 最初的决策 将战略中优先的东西映射到具体的业务流程中 确定关键流程的任务 划分关键流程的优先顺序 决定出构成要素和依赖条件 评价业务中所射击的客户、合作商和供应商 重新审视现有和协议 考虑法规方面的要求 明确风险的因素 评估出奉贤对企业的影响战略优先关系 管理层/领导能力风险及其对企业的影响分析(6-8 周时间完成)定量地分析所造成的 相互见的依赖性 区分影响的轻重缓急程度和造成的后果 明确保证连贯性的可选的各种方法 评估这些方法的战略价值 当前哪些工作已经就绪 未来情况如何 业务案例 建议的提高 得到所需的连贯性规划25 业务与技术资源的混合是BC&SP 中满足业务价值需要的产物，是一种提高了的方法。n 驱动业务保持连贯性并安全的方法n 策略、操作与技术经验的结合n 对欺诈、安全、隐私和风险管理领域的进一步探索n 在任何开始改变的时候就采用生命周期的方法来保护企业免受危害n 将业务连贯性嵌入在新流程和技术设计之中综合考虑业务连贯性程序管理制定规划扩展企业的准备措施安全规划规划的实施 规划的测试业务的焦点 技术方面的焦点风险及其对业务影响的分析