企业风险管理模型.ppt

February 2002,休斯顿大学 信息系统研究中心 Dan Starta (Dan.StartaATKearney.Com),企业风险管理模型,执行者的概括,最近恐怖分子对美国的袭击目标已经转向了商业和IT管理者、风险管理和灾难恢复等问题引起人们的关注 灾难和安全事件对财政的影响每年高达数十亿美元，影响的范围波及到90%的企业 商业连贯与安全组织BC&S（Business Continuity and Security) 将继续作为一个能预测未来的管理者发挥着自己的作用 绝大多数企业已经投资于BC&S 并将专注于如何提高该领域中所用的资金数额 预期的投资额将是2002年到2005年间投资额的3倍 Strategic BC&S的战略规划将使组织能避免开销过大的灾难，从而保护业务和潜在的新资源的商业价值 BC&S应该成为一个业务的使能原动力，而IT只是解决方案的一个组成部分 适应BC&S的企业将使其被关键资产和核心业务得到保护 就象BC&S目前所增长的开销一样明智的投资能在降低成本的同时提高企业对业务关键方面的保护 更新的BC&S将能加速新技术的开发，使其对潜在的企业运作、客户和股东产生附加的价值,今日主题,风险的概括 业务连贯性与安全规划 规划的价值所在 方法,风险的概括,世界正在日新月异地发生着改变，新生的难以预料的各种风险在业务和技术领域层出不穷。,国家,人口,商业,在过去十年里，商业风险已经发生了巨大改变,1900,1850,时间 (not to scale),1950,1970,1990,2000,1980,商业气候,技术普及,政治、经济的动荡,自然灾害,生物技术,全球变暖造成的气候变化,全球自由贸易区WTO, NAFTA, EU),日益提高的专业化程度,第一台商用电脑的出现,冷战的结束,生物技术的出现,恐怖分子开始使用生化武器,工业化的进程使人口密度越来越大,越来越频繁的气候现象： 地震、洪水、飓风和厄尔尼诺现象等,规模经济开始通过高效的制造流程得以实现,Internet的出现使人们之间的沟通更便捷,第2世界和第三世界的政治动荡,独立的更严峻的风险,新风险,更大更专业化的目标,信息目标,对未知领域的恐慌,1997年-2001年间统计的电脑被袭击事件,数据来源: 计算机安全学会（Computer Security Institute）,外国政府,外国企业,美国企业,黑客,内部人士,百分比,以下是因计算机病毒引起的世界范围内的经济损失统计,资料来源: Richard Power, Tangled Web,1990 “业路撒冷”病毒,1995 “概念”病毒,1999 “Melissa”病毒,2000 “Love Bug”病毒,单位：百万美元,大多数美国公民认为美国的企业都过分相信自己的商品是坚不可摧的。,美国的企业真的足够强大吗?,肯定 63%,否定 30%,弃权 7%,资料来源: ABC News,绝大多数企业都很可能被列入毁灭性打击的目标,基础架构 石油& 汽油 电信 交通设施,核心流程 汽车 消费品 医疗卫生 高科技 医药 加工业,可视化 娱乐业 游戏 休闲 媒体 体育,可能遭受毁灭打击企业的要害,商业连贯性与安全规划就是要对上述存在的各种威胁、影响作出预案，即便及时应对。,威胁,潜在影响,反应,灾难,网络,操作,规则,客户需求,股票的价值,成本的增加 利润的降低 新机遇的出现,商业连贯性与安全规划化,减缓风险,时间恢复,成本管理,新机遇,业务连贯性与安全规划,业务连贯性与协作安全问题的妥善解决对保护企业运作、资产和维持企业处于某个级别都是很有益的。,操作 保证连贯性的关键操作 服务的最小化 确保服务中断后能重新恢复 资产 保护信息资产 将财务损失降至最低 降低风险 确保职员安全 级别 维持住大众客户 保持客户对企业的信心,业务连贯性 “业务的连贯性”是指：事先安排好的处理过程与企业处理实际的具体事务时能以一种关键业务功能不被打断和改变的连续一致方式来处理。 协作安全 对企业中那些在关键操作中起作用的物质资产和潜在资产实施保护措施，将其面临的威胁降到最低。,定义,目标,从技术层面分析，合作和运作方面的融合已经在不断增加，所以业务所承担的失败风险也越来越引起关注。,传统的业务操作已经越来越复杂，越来越有可能失败 系统保护已经十分典型地不能与业务的关键性保持步调一致了 企业与外界的连通性和设备方面的不断深入使企业很容易遭受破坏,供应商r,合作商,销售,仓储,获取t,商品条目 系统,仓储&物流,销售系统,基础架构,Web 接入,POS 设备,便携 设备,业务运作模型,培训中心,法律l,关键管理,财务,人力资源,客户,当前的威胁和将来发展的趋势越来越使人们专注于如何制定保证企业健壮性的业务连贯性规划上来。,典型威胁 自然灾害 火灾 洪水 台风 飓风 地震 雪灾 人祸 黑客 病毒 数据不一致性 数字签名 非法获取数据 恐怖主义袭击,重大发展趋势 扩展企业的不断发展 企业间的兼并、破产与重组 全球化趋势的加剧 对信息越来越依赖 技术的普及 Internet的普遍接入 电子商务的不断完善与环境的日趋规范 客户自我服务意识的提高,业务领导和IT管理人员已经重新把注意力集中于业务的连贯性、风险管理和灾难恢复等问题方面。,有超过 90% 的企业受到过袭击 金融灾难和安全性事件给企业运作带来树十亿美元的损失 绝大多数企业已经不在徘徊 很多企业在未来几年的预算中附加了提高企业抵抗灾害能力的资金。 投资将是 2000年到2005年间预算的3倍,业务连贯性与协作安全问题的解决应该重点从下列问题着手：,风险与保护措施 我的企业是否面临风险？它们存在于哪里？ 在我所面临的风险中我的合作商和客户是否也存在问题? 我该怎样才能保护自己的业务? 要做到怎样的程度才算是保护了自己的企业了呢? 成本 当我停止开销后所需的成本是多少? 生存 如果遇到破坏，我的企业如何继续运作下去?如何幸存下来呢? 遇到破坏该如何应对呢?,规划的价值所在,BC&SP的一个基本主题就是了解成本、可能出现的破坏及其对业务的影响之间的关系。,事件,保护方面的投资,恢复成本,常规操作,恢复操作,破坏发生的,可能性 数量级,预防 / 准备措施 计划与应对预案 保护范围 开销的增加,恢复措施 所用时间 恢复范围 危机管理,风险/影响 服务需求,业务影响,利润的损失 客户/合作商的信任度是否受影响 法律/法规,通过联合来避免风险，或者是通过预案等准备措施来降低企业的风险。,对业务 的影响,风险的可能性,通过在破坏事件中提供提供恢复操作来减少企业所受的影响,通过提高预防措施和冗余手段来降低风险,预防,准备,风险,高风险的 高影响,从业务连贯性与协作安全规划中获得价值的关键：,制定计划并通过变革来实施该计划 没有认真审视的规划有40%会立即失败，而它们在5年内的成活率只有 8% 网络犯罪是过去四年里增长最快的6个因素之一 在关键领域预防和减轻问题的严重性 在心中设计好遭受灾难时业务操作 在任何适合的情况下制定出可选的措施 提高企业的应变、预防能力 要求人们在有失败迹象出现时，必须能有效地团结组织起来 要有意识培训人们能够有一定的应变能力 规划的制定和危机管理要做在最前面 通过沟通和高层管理来确保这些关键因素,方法,我们所提供的方法检测了风险中的关键要素，同时也评价了业务连贯性中要权衡的方法与准备性之间的关系。,业务连贯性程序管理,风险及其对业务影响的分析,制定规划,扩展企业的准备措施,安全规划,评价业务连贯性和恰当投资的价值,为准备措施和变革制定可操作的有序的方法,规划的批准,规划的实施,规划的测试,规划的发布,一个最初的评价将最终通过企业领导对业务连贯性和安全性方面的战略价值的理解程度来体现。,当前准备 就绪,对关键业务流程的优化,义务 & 从属关系,对关键业务流程的风险管理任务,业务影响 分析,可选的 解决方案,解决方案 策略报告,重新审视业务现有的连贯性规划 评价现有规划 最初的决策,将战略中优先的东西映射到具体的业务流程中 确定关键流程的任务 划分关键流程的优先顺序 决定出构成要素和依赖条件,评价业务中所射击的客户、合作商和供应商 重新审视现有和协议 考虑法规方面的要求,明确风险的因素 评估出奉贤对企业的影响,战略优先关系,管理层 / 领导能力,风险及其对企业的影响分析 (6-8周时间完成),定量地分析所造成的 相互见的依赖性 区分影响的轻重缓急程度和造成的后果,明确保证连贯性的可选的各种方法 评估这些方法的战略价值,当前哪些工作已经就绪 未来情况如何 业务案例 建议的提高 得到所需的连贯性规划,业务与技术资源的混合是BC&SP 中满足业务价值需要的产物，是一种提高了的方法。,驱动业务保持连贯性并安全的方法 策略、操作与技术经验的结合 对欺诈、安全、隐私和风险管理领域的进一步探索 在任何开始改变的时候就采用生命周期的方法来保护企业免受危害 将业务连贯性嵌入在新流程和技术设计之中综合考虑,业务连贯性程序管理,制定规划,扩展企业的准备措施,安全规划,规划的实施,规划的测试,业务的焦点,技术方面的焦点,风险及其对业务影响的分析,