企业风险管理模型PPT
合集下载
企业风险管理及-内部控制制度框架[教材]PPT课件
![企业风险管理及-内部控制制度框架[教材]PPT课件](https://img.taocdn.com/s3/m/5264749dc850ad02df804199.png)
寻求企业潜在的商业机会及威胁,探讨企业未来发展目标和方向。 确定企业必须具备的竞争力,明确企业的共同愿景并拟定具有综合性
及可行性的行动计划。
将来
市场渗透
多样化
客户
现在
产品开发
目前
目前 产 品
将来
安达信价值动态模型
有形资产
客户资产
• 土地 • 建筑物 • 机器设备 • 存货
财务资产
• 现金 • 应收帐款
组织架构紊乱:
组织架构不能配合企业战略的实施,难以整合提
升资源
业务流程松散:
业务部门之间联系松散,职能重叠,缺乏信息共
享机制,无法为企业创造附加价值
激励机制不足:
缺乏全面完备的绩效评估制度等激励机制,人才
的成长落后于企业的发展
信息技术缺乏:
信息系统较落后,信息技术运用程度较低,难以
为企业提供决策支持
企业风险管理及 内部控制制度框架
主要内容
中国企业面临的挑战 风险管理与内部控制在企业管理中的地位及其
重要性 风险管理的概念与思路 内部控制与业务流程重组 内部控制实务
授课目标
协助您们了解风险管理与内部控制制度的框架 包括 风险管理的概念和思路 实施风险管理与内部控制制度需要考虑的关键因素 风险管理与内部控制制度关键因素的系统性及相关性
企业内部管理人员考虑权力划分多于考虑企业的整体发展,内部关系裙 带风严重。
尽管企业内部会议众多,但部门之间各自为政,缺乏正常的沟通环境, 经常会议结束问题照旧。
老总忙于解决具体事务,缺乏全方位的考虑企业发展。
这些现象的背后原因是……
战略定位不明:
企业缺乏对产业愿景的认识和自身的定位,无法
组织和建立未来竞争所需的资源和竞争力
德勤企业全面风险管理专项培训ppt47页
控制措施
?
•流程是否存在•设计是否合理•职责是否明确•执行是否严格•奖惩是否明白•效果是否满意
•风险是否辨识•影响什么指标•影响哪些环节•影响哪些部门或 哪一级企业•分析是否彻底
•应对是否存在•设计是否合理•职责是否明确•是否经过检验•效果是否满意
参见《指引》 第五章
第29 页
参见《指引》第六章
风险管理的监控改进
战略趋同对于符合集团发展战略的风险,如投资风险,集团可以采取积极利用的态度对于不符合集团发展战略的风险,如非主业市场风险,集团应该采取坚决避免的态 度
管理能力对于集团管理能力较强的风险,如投资风险,集团可以采取积极利用的态度对于集团管理能力较差的风险,如业务模式风险,集团可以采取适度承担的态度
风险偏好
提炼
对比
分类组合
风险评估
不同类别收集的范围、方法、频率有所不同;注重信息的系统、完整、真实、及时
程序规范、方法合理
参见《指引》第二章
第18 页
风险评估是风险管理的基础,《指引》要求,“ 企业应对收集的风险管理初始信息和企业各项 业务管理及其重要业务流程进行风险评估。”
访谈研讨
定性定量 分析
其他工具 方法
风 险 战 略
组 织 职 能
综 合 内 控
风 险 理 财
风险管理信息系统
信 息 框 架
风 险 评 估
风 险 战 略
监 控 改 进解决 方 案
全面风险管理框架的结构
+
风险管理 基本流程
全面风险 管理体系
风险管理文化
第17 页
风险管理初始信息
收集与风险和风险管理相关的内外部信息,并将 其整理成可用于分析的形式,为风险评估和风险 战略的制定奠定基础。筛选
?
•流程是否存在•设计是否合理•职责是否明确•执行是否严格•奖惩是否明白•效果是否满意
•风险是否辨识•影响什么指标•影响哪些环节•影响哪些部门或 哪一级企业•分析是否彻底
•应对是否存在•设计是否合理•职责是否明确•是否经过检验•效果是否满意
参见《指引》 第五章
第29 页
参见《指引》第六章
风险管理的监控改进
战略趋同对于符合集团发展战略的风险,如投资风险,集团可以采取积极利用的态度对于不符合集团发展战略的风险,如非主业市场风险,集团应该采取坚决避免的态 度
管理能力对于集团管理能力较强的风险,如投资风险,集团可以采取积极利用的态度对于集团管理能力较差的风险,如业务模式风险,集团可以采取适度承担的态度
风险偏好
提炼
对比
分类组合
风险评估
不同类别收集的范围、方法、频率有所不同;注重信息的系统、完整、真实、及时
程序规范、方法合理
参见《指引》第二章
第18 页
风险评估是风险管理的基础,《指引》要求,“ 企业应对收集的风险管理初始信息和企业各项 业务管理及其重要业务流程进行风险评估。”
访谈研讨
定性定量 分析
其他工具 方法
风 险 战 略
组 织 职 能
综 合 内 控
风 险 理 财
风险管理信息系统
信 息 框 架
风 险 评 估
风 险 战 略
监 控 改 进解决 方 案
全面风险管理框架的结构
+
风险管理 基本流程
全面风险 管理体系
风险管理文化
第17 页
风险管理初始信息
收集与风险和风险管理相关的内外部信息,并将 其整理成可用于分析的形式,为风险评估和风险 战略的制定奠定基础。筛选
风险管理-风险评估模型介绍(ppt19页)
互联网,IT,计算机互联网,IT,计算机,网络现在络上最热门互联网,IT,计算机几款游戏,也互联网,IT,计算机,网络游戏玩家人数最多互联网,IT,计算机热门游戏。而且这些游戏玩家大多数为了在游戏当中更好地展示自己互联网,IT,计算机本领和霸权主义,多数都愿意花人民币来装备自己互联网,IT,计算机游戏角色,让他们变得更加互联网,IT,计算机强大,从而显示出自己互联网,IT,计算机英雄气概。这当中就有了市场,商家就有了实现盈利互联网,IT,计算机手段,而且这些潜在互联网,IT,计算机用户会源源不断互 联网,IT,计算机充值来装备自己互联网,IT,计算机游戏角色,让游戏当中互联网,IT,计算机领主互联网,IT,计算机地位得到稳固,
(1)需要大想想我们身边互联网,IT,计算机哥们,哪个不见手机,哪个不需要呢。 (2)无需物流不见发货互联网,IT,计算机困扰,基础上只要几分钟就可以完工一桩交易~无需物流,就不会产生因快递地方互联网,IT,计算机错误而产生互联网,IT,计算机纠纷哦。 步伐。
(3)拨款小不压钱只要花300元就可以开张了。而且操作容易。只要发动软件,一切都交给软件自动完工。无需存货,不用考虑卖不出门互联网,IT,计算机压货问题。
2. 用对数正态分布估测损失额
三. 每年的总损失金额
年终损失金额指具有同类风险的众多风险单位在 一年中因遭遇相同风险所致事故,而产生的损失 总和。因此,要解决三个基本问题:
1. 年平均损失是多少? 2. 企业遭受特定损失金额的概率是多少? 3. 将发生“严重损失”的概率是多少? 因此,每年的总损失金额主要指标包括:年平均损失额、遭
算术平均数=观察值总和/观察值项数
损失资料的数字描述
二. 变异量数
1. 全距(=最大观察值-最小观察值) 2. 平均绝对差(将所有数据与算术平均数相差的
(1)需要大想想我们身边互联网,IT,计算机哥们,哪个不见手机,哪个不需要呢。 (2)无需物流不见发货互联网,IT,计算机困扰,基础上只要几分钟就可以完工一桩交易~无需物流,就不会产生因快递地方互联网,IT,计算机错误而产生互联网,IT,计算机纠纷哦。 步伐。
(3)拨款小不压钱只要花300元就可以开张了。而且操作容易。只要发动软件,一切都交给软件自动完工。无需存货,不用考虑卖不出门互联网,IT,计算机压货问题。
2. 用对数正态分布估测损失额
三. 每年的总损失金额
年终损失金额指具有同类风险的众多风险单位在 一年中因遭遇相同风险所致事故,而产生的损失 总和。因此,要解决三个基本问题:
1. 年平均损失是多少? 2. 企业遭受特定损失金额的概率是多少? 3. 将发生“严重损失”的概率是多少? 因此,每年的总损失金额主要指标包括:年平均损失额、遭
算术平均数=观察值总和/观察值项数
损失资料的数字描述
二. 变异量数
1. 全距(=最大观察值-最小观察值) 2. 平均绝对差(将所有数据与算术平均数相差的
企业风险管理模型
企业风险管理模型前言在当今的商业环境中,企业面临着多种复杂的风险,如市场风险、财务风险、法律风险、安全风险等。
在这些风险面前,企业需要构建有效的风险管理模型来降低风险影响并提高企业的稳定性和可持续性。
什么是企业风险管理模型?企业风险管理模型是指企业为了降低风险,制定的全面的风险管理体系。
通过识别、评估、控制、监测并响应风险,企业可以降低经济损失、提高经营效率、增强企业稳定性。
企业风险管理模型的构建第一步:识别风险企业必须识别所有可能的风险,这是风险管理的第一步。
识别风险可以通过各种途径,包括销售数据、营收报告、员工工作量等。
在此过程中,企业应该结合自身情况和历史数据,识别可能的风险类型,并将其分类。
例如:市场风险、供应链风险、人力资源风险等。
第二步:评估风险在识别了潜在的风险后,企业需要对其进行评估,以确定可能的损失程度和影响范围,以及制定有效的风险管理计划。
评估风险包括识别风险影响的概率和严重性。
一般来说,企业可以使用一种概率-损失矩阵来评估风险:将概率和严重性评定,识别矩阵中相应的风险等级和灾害等级。
第三步:控制风险控制风险是指采取相应措施来减轻或消除风险,通过对风险进行防范和控制,减少经济损失和其他负面影响。
在这个过程中,企业应该确定合理的控制风险策略,例如:适当改变生产流程、优化供应链、加强员工安全教育等。
第四步:监测风险企业应该持续关注潜在的风险和已经发生的风险,及时发现并控制风险。
实行风险管理自然需要持续地监测风险。
企业可以使用各种方式的监测工具和技术,包括数据分析软件、风险识别平台等。
第五步:响应风险当企业无法完全消除或控制风险的时候,企业需要制定有效的应急响应计划,以最大程度的降低损失和负面影响。
企业应该制定完善的应急响应计划,在第一时间启动,及时评估损失和影响,制定应对方案并实施。
响应风险是企业风险管理模型的最后一步,同时也是最为重要的一步。
总结企业风险管理模型是强有力的护盾,能有效的降低经济损失、提高企业稳定性和可持续性。
风险管理案例PPT课件
实施效果评价
风险识别准确性
01
通过对比实际发生的风险事件和预警系统的预测结果,评价风
险识别的准确性。
风险处置效率
02
分析风险事件从预警到最终处置的时间周期和处置效果,评价
风险处置的效率。
业务影响程度
03
评估风险管理措施对机构业务的影响程度,包括贷款审批速度、
客户满意度等方面。
04 案例分析:某制造业企业供应链风险
品牌风险
在新市场中,企业品牌知 名度不足,消费者对品牌 的认知度和信任度有待提 高。
风险应对策略制定
市场风险应对策略
通过市场调研和分析,了 解消费者需求和市场趋势, 制定针对性的营销策略和 产品策略。
竞争风险应对策略
分析竞争对手的实力和策 略,制定差异化的竞争策 略,加强品牌营销和推广, 提高市场份额。
CHAPTER
背景介绍
企业概述
某大型制造业企业,专注于生产高精度机械设备,产品广泛应用 于航空、能源等领域。
供应链现状
供应链涉及全球范围内的多个供应商和合作伙伴,包括原材料采 购、零部件制造、物流运输等环节。
面临的风险
供应链中断、原材料价格波动、交货延迟、质量问题等。
供应链风险评估方法论述
风险识别
市场扩张。
扩张计划
企业计划通过开拓新市场、增加产 品线、提高品牌知名度等方式实现 市场扩张。
面临的风险
在市场扩张过程中,企业面临着市 场风险、竞争风险、品牌风险等挑 战。
风险识别与评估
01
02
03
市场风险
新市场的消费者需求、市 场容量、市场趋势等不确 定性因素可能导致市场扩 张失败。
竞争风险
新市场中可能存在激烈的 竞争,竞争对手的实力、 市场份额、营销策略等因 素对企业构成威胁。
基于COSO-ERM框架的企业全面风险管理PPT课件
基于COSO-ERM框架的企业全面 风险管理
2.2 现代风险管理理论
现代风险管理理论众多,大多发端于金融 领域。 主要有:
(1)在险价值VaR模型 (2)整体风险管理理论TRM(Total Risk Management) (3)全面风险管理理论ERM(Enterprise Risk Management) (4)全面综合的风险管理GRM(Global risk management)
。 所致损失达到最低程度的管理方法 我国理论界 :
一、“方法论”或“手段论”观点 风险管理是一种管理手段或方法
二、“过程论”或“活动论” 风险管理是一项管理活动或管理过程
基于COSO-ERM框架的企业全面 风险管理
2.1 风险管理的概念
美国 COSO 定义:
企业风险管理是一个过程,它由一个主体的董事会、管理当局和其 他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响 主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体 目标的实现提供合理保证 。 其定义宽泛却抓住内涵: (1)它是一个全员参与实施的动态过程。 (2)应用于现代企业战略的制定,并应考虑现代企业所有层面的活动. (3)识别可能对现代企业造成影响的事项并将其控制在风险容量以内 . (4)需要设计一整套合理运行有效的风险管理机制 .
基于COSO-ERM框架的企业全面 风险管理
2.2 现代风险管理理论
(3) 全面风险管理理论ERM(Enterprise Risk Management)
其中心理念为:整个机构内各个层次的业务单位,各个种类的风险 的通盘管理。ERM系统要求风险管理系统不仅仅处理市场风险或信用风 险,还要求处理各种风险,并要求包含这些风险涉及的各种多种资产与 资产组合,以及承担这些风险的各个业务单位,从业务员到机构整体, 从总公司到各分公司,从本国到外国。ERM体系要有能力在一致的基础 上测量并加总这些风险,考虑全部的相关性,而不是分离的,用不同的 方法去处理不同的风险。
2.2 现代风险管理理论
现代风险管理理论众多,大多发端于金融 领域。 主要有:
(1)在险价值VaR模型 (2)整体风险管理理论TRM(Total Risk Management) (3)全面风险管理理论ERM(Enterprise Risk Management) (4)全面综合的风险管理GRM(Global risk management)
。 所致损失达到最低程度的管理方法 我国理论界 :
一、“方法论”或“手段论”观点 风险管理是一种管理手段或方法
二、“过程论”或“活动论” 风险管理是一项管理活动或管理过程
基于COSO-ERM框架的企业全面 风险管理
2.1 风险管理的概念
美国 COSO 定义:
企业风险管理是一个过程,它由一个主体的董事会、管理当局和其 他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响 主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体 目标的实现提供合理保证 。 其定义宽泛却抓住内涵: (1)它是一个全员参与实施的动态过程。 (2)应用于现代企业战略的制定,并应考虑现代企业所有层面的活动. (3)识别可能对现代企业造成影响的事项并将其控制在风险容量以内 . (4)需要设计一整套合理运行有效的风险管理机制 .
基于COSO-ERM框架的企业全面 风险管理
2.2 现代风险管理理论
(3) 全面风险管理理论ERM(Enterprise Risk Management)
其中心理念为:整个机构内各个层次的业务单位,各个种类的风险 的通盘管理。ERM系统要求风险管理系统不仅仅处理市场风险或信用风 险,还要求处理各种风险,并要求包含这些风险涉及的各种多种资产与 资产组合,以及承担这些风险的各个业务单位,从业务员到机构整体, 从总公司到各分公司,从本国到外国。ERM体系要有能力在一致的基础 上测量并加总这些风险,考虑全部的相关性,而不是分离的,用不同的 方法去处理不同的风险。
企业风险管理培训课件)
企业风险管理的基本原则
全面性原则
企业风险管理应覆盖企业各个层面的业务活动,贯穿决策、执行和监 督全过程,全员参与,不留死角。
适应性原则
企业风险管理应与企业所处的内外部环境、战略目标、组织架构和业 务特点等相适应,并根据环境变化及时调整风险管理策略。
成本效益原则
企业风险管理应权衡风险与收益的关系,合理配置资源,避免过度追 求降低风险而牺牲经济效益。
03
企业风险评估与衡量
定性评估方法
01
02
03
风险矩阵法
根据风险发生的可能性和 影响程度对风险进行分类 和排序。
风险清单法
详细列出企业面临的各种 风险,并对风险进行初步 评估。
专家评估法
邀请风险管理专家对企业 面临的风险进行评估和诊 断。
定量评估方法
风险价值法(VaR)
衡量某一置信水平下,某一特定时期 内,某一金融资产或证券组合的最大 可能损失。
风险管理整合框架的应用
企业通过应用风险管理整合框架,能够全面系统地管理各类风险,提高 风险防范和应对能力,保障企业稳健发展。
风险管理在内部控制体系中的作用
风险评估与控制活动
内部控制体系中的风险评估和控制活动是风险管理的重要组成部分。通过风险评估,企业 能够识别和分析各类潜在风险,为制定相应的控制措施提供依据。控制活动则是将风险应 对措施落实到具体的业务流程和管理活动中,确保风险得到有效控制。
概念
企业风险管理不仅关注对单一风险的 应对,更强调从整体和系统的角度出 发,全面考虑企业面临的各种风险, 并采取有效的措施进行管理。
企业风险管理的目的和意义
目的
企业风险管理的目的是通过科学的风险管理手段,降低企业面临的风险,提高 企业的稳定性和可持续发展能力,从而更好地实现企业的战略目标。
《IFM风险管理》课件
对潜在风险进行定性和定量分析,确定风险的概率和影响。
3
风险评估
评估风险的严重程度和优先级,制定应对策略。
IFM的风险管理框架
风险识别 风险分析 风险防范
风险评估 风险应对 风险优化
风险监控 风险控制 风险监测
紧急事件管理
1 预案制定
针对紧急事件,制定详细的预案与流程。
2 应急演练
定期组织紧急演练,提高应急反应能力。
《IFM风险管理》PPT课 件
这个课件将详细介绍IFM风险管理的关键概念和实践。探讨风险评估、风险管 理计划、风险监控和控制等关键领域,为您提供深入了解风险管理的知识。
IFM风险管理的理念
风险防范
IFM风险管理的理念是通过制定预防措施来降低潜在风险的影响。
风险应对
IFM风险管理的理念是通过应对措施来有效减轻实际风险带来的损失。
3 事后总结
对每次紧急事件进行事后总结和改进,提升整体响应能力。
企业安全措施的规划
物理安全
为企业资产和设施提供物 理保护措施,例如安全门 禁系统和监控摄像头。
网络安全
采取技术措施,保护企业 计算机网络和数据不受未 经授权访问和攻击。
人员安全
制定人员安全方针,包括 背景调查、员工培训和监 控等。
信息安全管理
风险优化
IFM风险管理的理念是通过优化投资组合,实现在不同市场中的扩展,降低整体风险。
风险评估和分析方法
定性评估
通过主观判断和专家意见来评估风险的概率和影 响程度。
定量评估
通过数学模型和数据分析方法来量化风险的概率 和影响程度。
风险管理计划的制定
1
风险识别
识别潜在风险和风险事件,建立风险库。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家
全球化趋势的演化(联合国与WTO) 自由贸易区(WTO, NAFTA & EU)
商业
人口
5
在过去十年里,商业风险已经发生了巨大改变
时间 1850 1900 1950 1970 1980 1990 2000
(not to scale)
自然灾害
工业化的进程使人 口密度越来越大
全球变暖造成的气候 变化
• 管理层 / 领导能力
可选的 解决方案 • 明确保证连贯性的 可选的各种方法 • 评估这些方法的战 略价值
24
业务与技术资源的混合是BC&SP 中满足业务价值需要的产 物,是一种提高了的方法。
业务连贯性程序管理
制定规划
风险及其对业务影 响的分析
扩展企业的准备措施
规划的测试
规划的实施
安全规划
业务的焦点 技术方面的焦点
预防
对业务 的影响
准备
通过在破坏事件中提供 提供恢复操作来减少企 业所受的影响
风险的可能性
20
从业务连贯性与协作安全规划中获得价值的关键:
制定计划并通过变革来实施该计划 • 没有认真审视的规划有40%会立即失败,而它们在5年内的成活率 只有 8% • 网络犯罪是过去四年里增长最快的6个因素之一
在关键领域预防和减轻问题的严重性 • 在心中设计好遭受灾难时业务操作 • 在任何适合的情况下制定出可选的措施 提高企业的应变、预防能力 • 要求人们在有失败迹象出现时,必须能有效地团结组织起来 • 要有意识培训人们能够有一定的应变能力 • 规划的制定和危机管理要做在最前面 • 通过沟通和高层管理来确保这些关键因素
2
今日主题
风险的概括
业务连贯性与安全规划 规划的价值所在
方法
3
风险的概括
4
世界正在日新月异地发生着改变,新生的难以预料的 各种风险在业务和技术领域层出不穷。
人口的增长 城市区域内人 口的不断增长 越来越便捷的 旅行使世界越 来越小
全球化程度的 不断提高 因商业分类的 趋势而愈演愈 列的商业合并 风潮 (Wal-Mart & Home Depot)
可视化
娱乐业 游戏 休闲 媒体 体育
属性
•
属性
• •
属性
•
是经济的基础,
GDP的关键所在 与经济的其他方面 联系紧密
如果受到毁灭性打 击,那么整个国家 将限于瘫痪
高度的可视性和交 互性,与商业和消 费者息息相关 涉及到消费者的安 全,所以风险最大
10
•
商业连贯性与安全规划就是要对上述存在的各种威胁、影响作 出预案,即便及时应对。
销售系统
Web 接入
POS 设备
便携 设备
14
当前的威胁和将来发展的趋势越来越使人们专注于如 何制定保证企业健壮性的业务连贯性规划上来。
典型威胁
重大发展趋势
自然灾害 • 火灾 • 洪水 • 台风 • 飓风 • 地震 • 雪灾 人祸 • 黑客 • 病毒 • 数据不一致性 • 数字签名 • 非法获取数据 • 恐怖主义袭击
投资将是 2000年到2005年间预算的3倍
16
业务连贯性与协作安全问题的解决应该重点从下列问 题着手:
风险与保护措施 • 我的企业是否面临风险?它们存在于哪里? • 在我所面临的风险中我的合作商和客户是否也存在问 题? • 我该怎样才能保护自己的业务? • 要做到怎样的程度才算是保护了自己的企业了呢?
战略优先关系
当前准备 就绪 • 重新审视业务现有 的连贯性规划 • 评价现有规划 • 最初的决策
解决方案 策略报告 • 当前哪些工作已经 就绪 • 未来情况如何 • 业务案例 • 建议的提高 • 得到所需的连贯性 规划
对关键业务流程 的优化 • 将战略中优先的 东西映射到具体 的业务流程中 • 确定关键流程的 任务 • 划分关键流程的 优先顺序 • 决定出构成要素 和依赖条件
威胁
灾难
潜在影响
反应
规则 客户需求
成本的增加
网络 利润的降低 新机遇的出现
操作
股票的价值
商业连贯性与安全规划化
减缓风险 时间恢复 成本管理 新机遇
11
业务连贯性与安全规划
12
业务连贯性与协作安全问题的妥善解决对保护企业运 作、资产和维持企业处于某个级别都是很有益的。
定义
业务连贯性
目标
操作 • 保证连贯性的关键操作 • 服务的最小化 • 确保服务中断后能重新 恢复 资产 • 保护信息资产 • 将财务损失降至最低 • 降低风险 • 确保职员安全
21
方法
22
我们所提供的方法检测了风险中的关键要素,同时也评价 了业务连贯性中要权衡的方法与准备性之间的关系。
业务连贯性程序管理
制定规划
风险及其对业务影响 的分析
扩展企业的准备措施
规划的测试
规划的实施
安全规划
评价业务连贯性和恰当 投资的价值
为准备措施和变革制定可操作的有 序的方法
规划的批准
规划的发布
扩展企业的不断发展 企业间的兼并、破产 与重组 全球化趋势的加剧 对信息越来越依赖
技术的普及
Internet的普遍接入 电子商务的不断完善 与环境的日趋规范 客户自我服务意识的 提高
15
业务领导和IT管理人员已经重新把注意力集中于业务的连 贯性、风险管理和灾难恢复等问题方面。
有超过 90% 的企业受到过袭击 • 金融灾难和安全性事件给企业运作带来树 十亿美元的损失 绝大多数企业已经不在徘徊 • 很多企业在未来几年的预算中附加了提高 企业抵抗灾害能力的资金。
成本 • 当我停止开销后所需的成本是多少?
生存 • 如果遇到破坏,我的企业如何继续运作下去?如何幸存 下来呢? • 遇到破坏该如何应对呢?
17
规划的价值所在
18
BC&SP的一个基本主题就是了解成本、可能出现的 破坏及其对业务的影响之间的关系。
• 可能性 • 数量级
破坏发生的
恢复成本
• 恢复措施 • 所用时间 • 恢复范围 • 危机管理
恢复操作
常规操作
保护方面的投资
• 预防 / 准备措施 • 计划与应对预案 • 保护范围 • 开销的增加
事件
• 风险/影响 • 服务需求
业务影响
• 利润的损失 • 客户/合作商的信任度是否受影响 • 法律/法规
19
通过联合来避免风险,或者是通过预案等准备措 施来降低企业的风险。
风险
高风险的 高影响
通过提高预防措施 和冗余手段来降低 风险
驱动业务保持连贯性并安全的方法 策略、操作与技术经验的结合 对欺诈、安全、隐私和风险管理领域的进一步探索 在任何开始改变的时候就采用生命周期的方法来保护企业免受危害 将业务连贯性嵌入在新流程和技术设计之中综合考虑
25
业务运作模型
关键管理
人力资源 财务 法律l
• 传统的业务操作已经 越来越复杂,越来越 有可能失败
客户
培训中心
供应商r
获取t
仓储
销售
合作商
• 系统保护已经十分典 型地不能与业务的关 键性保持步调一致了 • 企业与外界的连通性 和设备方面的不断深 入使企业很容易遭受 破坏
商品条目 系统
仓储&物流
基础架构
7
以下是因计算机病毒引起的世界范围内的经济损失统计
单位:百万美元
800 700 600 500 400 300 200 100 0
1990 “业路撒冷”病毒 1995 “概念”病毒 1999 “Melissa”病毒 2000 “Love Bug”病毒
资料来源: Richard Power, Tangled Web
企业风险管理模型
休斯顿大学 信息系统研究中心 Dan Starta
(Dan.Starta@) February 2002
执行者的概括
最近恐怖分子对美国的袭击目标已经转向了商业和IT管理者、风险管理 和灾难恢复等问题引起人们的关注 • 灾难和安全事件对财政的影响每年高达数十亿美元,影响的范围波 及到90%的企业 • 商业连贯与安全组织BC&S(Business Continuity and Security) 将继续作为 一个能预测未来的管理者发挥着自己的作用 绝大多数企业已经投资于BC&S 并将专注于如何提高该领域中所用的资 金数额 • 预期的投资额将是2002年到2005年间投资额的3倍 Strategic BC&S的战略规划将使组织能避免开销过大的灾难,从而保护 业务和潜在的新资源的商业价值 • BC&S应该成为一个业务的使能原动力,而IT只是解决方案的一个组 成部分 • 适应BC&S的企业将使其被关键资产和核心业务得到保护 • 就象BC&S目前所增长的开销一样——明智的投资能在降低成本的同 时提高企业对业务关键方面的保护 • 更新的BC&S将能加速新技术的开发,使其对潜在的企业运作、客户 和股东产生附加的价值
23
一个最初的评价将最终通过企业领导对业务连贯性和安全 性方面的战略价值的理解程度来体现。
风险及其对企业的影响分析 (6-8周时间完成)
义务 & 从属关 系 • 评价业务中所 射击的客户、 合作商和供应 商 • 重新审视现有 和协议 • 考虑法规方面 的要求 对关键业务流程 的风险管理任务 • 明确风险的因素 • 评估出奉贤对企业 的影响 业务影响 分析 • 定量地分析所 造成的 • 相互见的依赖 性 • 区分影响的轻 重缓急程度和 造成的后果