企业连续经营管理风险管理模型

February2002休斯顿大学信息系统研究中心DanStarta(Dan.Starta@ATKearney.Com) 企业风险管理模型执行者的概括最近恐怖分子对美国的袭击目标已经转向了商业和IT管理者、风险管理和灾难恢复等问题引起人们的关注灾难和安全事件对财政的影响每年高达数十亿美元，影响的范围波及到90%的企业商业连贯与安全组织BC&S（BusinessContinuityandSecurity)将继续作为一个能预测未来的管理者发挥着自己的作用绝大多数企业已经投资于BC&S并将专注于如何提高该领域中所用的资金数额预期的投资额将是2002年到2005年间投资额的3倍StrategicBC&S的战略规划将使组织能避免开销过大的灾难，从而保护业务和潜在的新资源的商业价值BC&S应该成为一个业务的使能原动力，而IT只是解决方案的一个组成部分适应BC&S的企业将使其被关键资产和核心业务得到保护就象BC&S目前所增长的开销一样——明智的投资能在降低成本的同时提高企业对业务关键方面的保护更新的BC&S将能加速新技术的开发，使其对潜在的企业运作、客户和股东产生附加的价值今日主题风险的概括业务连贯性与安全规划规划的价值所在方法风险的概括世界正在日新月异地发生着改变，新生的难以预料的各种风险在业务和技术领域层出不穷。国家人口商业人口的增长城市区域内人口的不断增长越来越便捷的旅行使世界越来越小全球化程度的不断提高因商业分类的趋势而愈演愈列的商业合并风潮(Wal-Mart&HomeDepot)全球化趋势的演化(联合国与WTO)自由贸易区(WTO,NAFTA&EU)在过去十年里，商业风险已经发生了巨大改变19001850时间

(nottoscale)19501970199020001980商业气候技术普及政治、经济的动荡自然灾害生物技术全球变暖造成的气候变化全球自由贸易区WTO,NAFTA,EU)日益提高的专业化程度第一台商用电脑的出现冷战的结束生物技术的出现恐怖分子开始使用生化武器工业化的进程使人口密度越来越大越来越频繁的气候现象：地震、洪水、飓风和厄尔尼诺现象等规模经济开始通过高效的制造流程得以实现Internet的出现使人们之间的沟通更便捷第2世界和第三世界的政治动荡独立的更严峻的风险新风险更大更专业化的目标信息目标对未知领域的恐慌1997年-2001年间统计的电脑被袭击事件数据来源:计算机安全学会（ComputerSecurityInstitute）外国政府外国企业美国企业黑客内部人士百分比以下是因计算机病毒引起的世界范围内的经济损失统计资料来源:RichardPower,TangledWeb1990“业路撒冷”病毒1995“概念”病毒1999“Melissa”病毒2000“LoveBug”病毒单位：百万美元大多数美国公民认为美国的企业都过分相信自己的商品是坚不可摧的。美国的企业真的足够强大吗?肯定63%否定30%弃权7%资料来源:ABCNews绝大多多数企企业都都很可可能被被列入入毁灭灭性打打击的的目标标基础架架构石油&汽汽油电信交通设设施核心流流程汽车消费品品医疗卫卫生高科技技医药加工业业可视化化娱乐业业游戏休闲媒体体育属性是经济的基础，如果受到毁灭性打击，那么整个国家将限于瘫痪属性

GDP的关键所在与经济的其他方面联系紧密属性高度的可视性和交互性，与商业和消费者息息相关涉及到消费者的安全，所以风险最大可能遭遭受毁毁灭打打击企企业的的要害害商业连连贯性性与安安全规规划就就是要要对上上述存存在的的各种种威胁胁、影影响作作出预预案，，即便便及时时应对对。威胁潜在影影响反应灾难网络操作规则客户需需求股票的的价值值成本的的增加加利润的的降低低新机遇遇的出出现商业连连贯性性与安安全规规划化化减缓风风险时间恢复成本管理新机遇业务连贯性性与安全规规划业务连贯性性与协作安安全问题的的妥善解决决对保护企企业运作、、资产和维维持企业处处于某个级级别都是很很有益的。。操作保证连贯性性的关键操操作服务的最小小化确保服务中中断后能重重新恢复资产保护信息资资产将财务损失失降至最低低降低风险确保职员安安全级别维持住大众众客户保持客户对对企业的信信心业务连贯性性“业务的连贯贯性”是指指：事先安安排好的处处理过程与与企业处理理实际的具具体事务时时能以一种种关键业务功功能不被打打断和改变的连续一致方式来处理理。协作安全对企业中那那些在关键键操作中起起作用的物物质资产和和潜在资产产实施保护措措施，将其其面临的威威胁降到最最低。定义目标从技术层面面分析，合合作和运作作方面的融融合已经在在不断增加加，所以业业务所承担担的失败风风险也越来来越引起关关注。传统的业务务操作已经经越来越复复杂，越来来越有可能能失败系统保护已已经十分典典型地不能能与业务的的关键性保保持步调一一致了企业与外界界的连通性性和设备方方面的不断断深入使企企业很容易易遭受破坏坏供应商r合作商销售仓储获取t商品条目系统仓储&物流流销售系统基础架构Web接入POS设备便携设备业务运作模模型培训中心法律l关键管理财务人力资源客户当前的威胁胁和将来发发展的趋势势越来越使使人们专注注于如何制制定保证企企业健壮性性的业务连连贯性规划划上来。典型威胁自然灾害火灾洪水台风飓风地震雪灾人祸黑客病毒数据不一致致性数字签名非法获取数数据恐怖主义袭袭击重大发展趋趋势扩展企业的的不断发展展企业间的兼兼并、破产产与重组全球化趋势势的加剧对信息越来来越依赖技术的普及及Internet的普遍接入入电子商务的的不断完善善与环境的的日趋规范范客户自我服服务意识的的提高业务领导和和IT管理人员已已经重新把把注意力集集中于业务务的连贯性性、风险管管理和灾难难恢复等问问题方面。。有超过90%的企业受到到过袭击金融灾难和和安全性事事件给企业业运作带来来树十亿美美元的损失失绝大多数企企业已经不不在徘徊很多企业在在未来几年年的预算中中附加了提提高企业抵抵抗灾害能能力的资金金。投资将是2000年到2005年间预预算的3倍倍业务连贯性性与协作安安全问题的的解决应该该重点从下下列问题着着手：风险与保护护措施我的企业是是否面临风风险？它们们存在于哪哪里？在我所面临临的风险中中我的合作作商和客户户是否也存存在问题?我该怎样才才能保护自自己的业务务?要做到怎样样的程度才才算是保护护了自己的的企业了呢呢?成本当我停止开开销后所需需的成本是是多少?生存如果遇到破破坏，我的的企业如何何继续运作作下去?如何幸存下下来呢?遇到破坏该该如何应对对呢?规划的价值值所在BC&SP的一个基本本主题就是是了解成本本、可能出出现的破坏坏及其对业业务的影响响之间的关关系。事件保护方面的的投资恢复成本常规操作恢复操作破坏发生的的可能性数量级预防/准备措施计划与应对对预案保护范围开销的增加加恢复措施所用时间恢复范围危机管理风险/影响响服务需求业务影响利润的损失失客户/合作作商的信任任度是否受受影响法律/法规规通过联合来来避免风险险，或者是是通过预案案等准备措措施来降低低企业的风风险。对业务的影响风险的可能能性通过在破坏坏事件中提提供提供恢恢复操作来来减少企业业所受的影影响通过提高预预防措施和和冗余手段段来降低风风险预防准备风险高风险的高影响从业务连贯性性与协作安安全规划中中获得价值值的关键：：制定计划并并通过变革革来实施该该计划没有认真审审视的规划划有40%会立即失失败，而它它们在5年年内的成活活率只有8%网络犯罪是是过去四年年里增长最最快的6个个因素之一一在关键领域域预防和减减轻问题的的严重性在心中设计计好遭受灾灾难时业务务操作在任何适合合的情况下下制定出可可选的措施施提高企业的的应变、预预防能力要求人们在在有失败迹迹象出现时时，必须能能有效地团团结组织起起来要有意识培培训人们能能够有一定定的应变能能力规划的制定定和危机管管理要做在在最前面通过沟通和和高层管理理来确保这这些关键因因素方法我们所提供供的方法检检测了风险险中的关键键要素，同同时也评价价了业务连连贯性中要要权衡的方方法与准备备性之间的的关系。业务连贯性性程序管理理风险及其对对业务影响响的分析制定规划扩展企业的的准备措施施安全规划评价业务连连贯性和恰恰当投资的的价值为准备措施施和变革制制定可操作作的有序的的方法规划的批准准规划的实施施规划的测试试规划的发布布一个最初的的评价将最最终通过企企业领导对对业务连贯贯性和安全全性方面的的战略价值值的理解程程度来体现现。当前准备就绪对关键业务务流程的优优化义务&从从属关系系对关键业务务流程的风风险管理任任务业务影响分析可选的解决方案解决方案策略报告重新审视业业务现有的的连贯性规规划评价现有规规划最初的决策策将战略中优优先的东西西映射到具具体的业务务流程中确定关键流流程的任务务划分关键流流程的优先先顺序决定出构成成要素和依依赖条件评价业务中中所射击的的客户、合合作商和供供应商重新审视现现有和协议议考虑法规方方面的要求求明确风险的的因素评估出奉贤贤对企业的的影响战略优先关关系管理层/领导能能力风险及其对对企业的影影响分析(6-8周时间完完成)定量地分析析所造成的的相互见的依依赖性区分影响的的轻重缓急急程度和造造成的后果果明确保证连连贯性的可可选的各种种方法评估这些方方法的战略略价值当前哪些工工作已经就就绪未来情况如如何业务案例建议的提高高得到所需的的连贯性规规划业务与技术术资源的混混合是BC&SP中满足业务务价值需要要的产物，，是一种提提高了的方方法。驱动业务保保持连贯性性并安全