論企業(yè)風險管理模型

February2002休斯頓大學信息系統(tǒng)研究中心DanStarta(Dan.Starta@ATKearney.Com) 企業(yè)風險管理模型執(zhí)行者的概括最近恐怖分子對美國的襲擊目標已經轉向了商業(yè)和IT管理者、風險管理和災難恢復等問題引起人們的關注災難和安全事件對財政的影響每年高達數十億美元，影響的范圍波及到90%的企業(yè)商業(yè)連貫與安全組織BC&S（BusinessContinuityandSecurity)將繼續(xù)作為一個能預測未來的管理者發(fā)揮著自己的作用絕大多數企業(yè)已經投資于BC&S并將專注于如何提高該領域中所用的資金數額預期的投資額將是2002年到2005年間投資額的3倍StrategicBC&S的戰(zhàn)略規(guī)劃將使組織能避免開銷過大的災難，從而保護業(yè)務和潛在的新資源的商業(yè)價值BC&S應該成為一個業(yè)務的使能原動力，而IT只是解決方案的一個組成部分適應BC&S的企業(yè)將使其被關鍵資產和核心業(yè)務得到保護就象BC&S目前所增長的開銷一樣——明智的投資能在降低成本的同時提高企業(yè)對業(yè)務關鍵方面的保護更新的BC&S將能加速新技術的開發(fā)，使其對潛在的企業(yè)運作、客戶和股東產生附加的價值今日主題風險的概括業(yè)務連貫性與安全規(guī)劃規(guī)劃的價值所在方法風險的概括世界正在日新月異地發(fā)生著改變，新生的難以預料的各種風險在業(yè)務和技術領域層出不窮。國家人口商業(yè)人口的增長城市區(qū)域內人口的不斷增長越來越便捷的旅行使世界越來越小全球化程度的不斷提高因商業(yè)分類的趨勢而愈演愈列的商業(yè)合并風潮(Wal-Mart&HomeDepot)全球化趨勢的演化(聯(lián)合國與WTO)自由貿易區(qū)(WTO,NAFTA&EU)在過去十年里，商業(yè)風險已經發(fā)生了巨大改變19001850時間

(nottoscale)19501970199020001980商業(yè)氣候技術普及政治、經濟的動蕩自然災害生物技術全球變暖造成的氣候變化全球自由貿易區(qū)WTO,NAFTA,EU)日益提高的專業(yè)化程度第一臺商用電腦的出現冷戰(zhàn)的結束生物技術的出現恐怖分子開始使用生化武器工業(yè)化的進程使人口密度越來越大越來越頻繁的氣候現象：地震、洪水、颶風和厄爾尼諾現象等規(guī)模經濟開始通過高效的制造流程得以實現Internet的出現使人們之間的溝通更便捷第2世界和第三世界的政治動蕩獨立的更嚴峻的風險新風險更大更專業(yè)化的目標信息目標對未知領域的恐慌1997年-2001年間統(tǒng)計的電腦被襲擊事件數據來源:計算機安全學會（ComputerSecurityInstitute）外國政府外國企業(yè)美國企業(yè)黑客內部人士百分比以下是因計算機病毒引起的世界范圍內的經濟損失統(tǒng)計資料來源:RichardPower,TangledWeb1990“業(yè)路撒冷”病毒1995“概念”病毒1999“Melissa”病毒2000“LoveBug”病毒單位：百萬美元大多數美國公民認為美國的企業(yè)都過分相信自己的商品是堅不可摧的。美國的企業(yè)真的足夠強大嗎?肯定63%否定30%棄權7%資料來源:ABCNews絕大多數企業(yè)都很可能被列入毀滅性打擊的目標基礎架構石油&汽油電信交通設施核心流程汽車消費品醫(yī)療衛(wèi)生高科技醫(yī)藥加工業(yè)可視化娛樂業(yè)游戲休閑媒體體育屬性是經濟的基礎，如果受到毀滅性打擊，那么整個國家將限于癱瘓屬性

GDP的關鍵所在與經濟的其他方面聯(lián)系緊密屬性高度的可視性和交互性，與商業(yè)和消費者息息相關涉及到消費者的安全，所以風險最大可能遭受毀滅打擊企業(yè)的要害商業(yè)連貫性與安全規(guī)劃就是要對上述存在的各種威脅、影響作出預案，即便及時應對。威脅潛在影響反應災難網絡操作規(guī)則客戶需求股票的價值成本的增加利潤的降低新機遇的出現商業(yè)連貫性與安全規(guī)劃化減緩風險時間恢復成本管理新機遇業(yè)務連貫性與安全規(guī)劃業(yè)務連貫性與協(xié)作安全問題的妥善解決對保護企業(yè)運作、資產和維持企業(yè)處于某個級別都是很有益的。操作保證連貫性的關鍵操作服務的最小化確保服務中斷后能重新恢復資產保護信息資產將財務損失降至最低降低風險確保職員安全級別維持住大眾客戶保持客戶對企業(yè)的信心業(yè)務連貫性

“業(yè)務的連貫性”是指：事先安排好的處理過程與企業(yè)處理實際的具體事務時能以一種關鍵業(yè)務功能不被打斷和改變的連續(xù)一致方式來處理。協(xié)作安全

對企業(yè)中那些在關鍵操作中起作用的物質資產和潛在資產實施保護措施，將其面臨的威脅降到最低。定義目標從技術層面分析，合作和運作方面的融合已經在不斷增加，所以業(yè)務所承擔的失敗風險也越來越引起關注。傳統(tǒng)的業(yè)務操作已經越來越復雜，越來越有可能失敗系統(tǒng)保護已經十分典型地不能與業(yè)務的關鍵性保持步調一致了企業(yè)與外界的連通性和設備方面的不斷深入使企業(yè)很容易遭受破壞供應商r合作商銷售倉儲獲取t商品條目系統(tǒng)倉儲&物流銷售系統(tǒng)基礎架構Web接入POS設備便攜設備業(yè)務運作模型培訓中心法律l關鍵管理財務人力資源客戶當前的威脅和將來發(fā)展的趨勢越來越使人們專注于如何制定保證企業(yè)健壯性的業(yè)務連貫性規(guī)劃上來。典型威脅自然災害火災洪水臺風颶風地震雪災人禍黑客病毒數據不一致性數字簽名非法獲取數據恐怖主義襲擊重大發(fā)展趨勢擴展企業(yè)的不斷發(fā)展企業(yè)間的兼并、破產與重組全球化趨勢的加劇對信息越來越依賴技術的普及Internet的普遍接入電子商務的不斷完善與環(huán)境的日趨規(guī)范客戶自我服務意識的提高業(yè)務領導和IT管理人員已經重新把注意力集中于業(yè)務的連貫性、風險管理和災難恢復等問題方面。有超過90%的企業(yè)受到過襲擊金融災難和安全性事件給企業(yè)運作帶來樹十億美元的損失絕大多數企業(yè)已經不在徘徊

很多企業(yè)在未來幾年的預算中附加了提高企業(yè)抵抗災害能力的資金。投資將是2000年到2005年間預算的3倍業(yè)務連貫性與協(xié)作安全問題的解決應該重點從下列問題著手：風險與保護措施我的企業(yè)是否面臨風險？它們存在于哪里？在我所面臨的風險中我的合作商和客戶是否也存在問題?我該怎樣才能保護自己的業(yè)務?要做到怎樣的程度才算是保護了自己的企業(yè)了呢?成本當我停止開銷后所需的成本是多少?生存如果遇到破壞，我的企業(yè)如何繼續(xù)運作下去?如何幸存下來呢?遇到破壞該如何應對呢?規(guī)劃的價值所在BC&SP的一個基本主題就是了解成本、可能出現的破壞及其對業(yè)務的影響之間的關系。事件保護方面的投資恢復成本常規(guī)操作恢復操作破壞發(fā)生的可能性數量級預防/準備措施計劃與應對預案保護范圍開銷的增加恢復措施所用時間恢復范圍危機管理風險/影響服務需求業(yè)務影響利潤的損失客戶/合作商的信任度是否受影響法律/法規(guī)通過聯(lián)合來避免風險，或者是通過預案等準備措施來降低企業(yè)的風險。對業(yè)務的影響風險的可能性通過在破壞事件中提供提供恢復操作來減少企業(yè)所受的影響通過提高預防措施和冗余手段來降低風險預防準備風險高風險的高影響從業(yè)務連貫性與協(xié)作安全規(guī)劃中獲得價值的關鍵：制定計劃并通過變革來實施該計劃沒有認真審視的規(guī)劃有40%會立即失敗，而它們在5年內的成活率只有8%網絡犯罪是過去四年里增長最快的6個因素之一在關鍵領域預防和減輕問題的嚴重性在心中設計好遭受災難時業(yè)務操作在任何適合的情況下制定出可選的措施提高企業(yè)的應變、預防能力要求人們在有失敗跡象出現時，必須能有效地團結組織起來要有意識培訓人們能夠有一定的應變能力

規(guī)劃的制定和危機管理要做在最前面通過溝通和高層管理來確保這些關鍵因素方法我們所提供的方法檢測了風險中的關鍵要素，同時也評價了業(yè)務連貫性中要權衡的方法與準備性之間的關系。業(yè)務連貫性程序管理風險及其對業(yè)務影響的分析制定規(guī)劃擴展企業(yè)的準備措施安全規(guī)劃評價業(yè)務連貫性和恰當投資的價值為準備措施和變革制定可操作的有序的方法規(guī)劃的批準規(guī)劃的實施規(guī)劃的測試規(guī)劃的發(fā)布一個最初的評價將最終通過企業(yè)領導對業(yè)務連貫性和安全性方面的戰(zhàn)略價值的理解程度來體現。當前準備就緒對關鍵業(yè)務流程的優(yōu)化義務&從屬關系對關鍵業(yè)務流程的風險管理任務業(yè)務影響分析可選的解決方案解決方案策略報告重新審視業(yè)務現有的連貫性規(guī)劃評價現有規(guī)劃最初的決策將戰(zhàn)略中優(yōu)先的東西映射到具體的業(yè)務流程中確定關鍵流程的任務劃分關鍵流程的優(yōu)先順序決定出構成要素和依賴條件評價業(yè)務中所射擊的客戶、合作商和供應商重新審視現有和協(xié)議考慮法規(guī)方面的要求明確風險的因素評估出奉賢對企業(yè)的影響戰(zhàn)略優(yōu)先關系管理層/領導能力風險及其對企業(yè)的影響分析(6-8周時間完成)定量地分析所造成的

相互見的依賴性區(qū)分影響的輕重緩急程度和造成的后果明確保證連貫性的可選的各種方法

評估這些方法的戰(zhàn)略價值當前哪些工作已經就緒未來情況如何業(yè)務案例建議的提高得到所需的連貫性規(guī)劃業(yè)務與技術資源的混合是BC&SP中滿足業(yè)務價值需要的產物，是一種提高了的方法。驅動業(yè)務保持連貫性并安全的方法策略、操作與技術經驗的結合對欺詐、安全、隱私和風險管理領域的進一步探索在任何開始改變的時候就采用生命周期的方法來保護企業(yè)免受危害將業(yè)務連貫性嵌入在新流程和技術設計之中綜合考慮業(yè)務連貫性程序管理制定規(guī)劃擴展企業(yè)的準備措施安全規(guī)劃規(guī)劃的實施規(guī)劃的測試業(yè)務的焦點技術方面的焦點風險及其對業(yè)務影響的分析9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。2025/2/82025/2/8Saturday,February8,202510、人的志向通常和他們的能力成正比例。2025/2/82025/2/82025/2/82/8/20255:32:12PM11、夫學須志也，才須學也，非學無以廣才，非志無以成學。2025/2/82025/2/82025/2/8Feb-2508-Feb-2512、越是無能的人，越喜歡挑剔別人的錯兒。2025/2/82025/2/82025/2/8Saturday,February8,202513、志不立，天下無可成之事。2025/2/82025/2/82025/2/82025/2/82/8/202514、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。0