企业应对风险的管理办法——业务持续计划(BCP)(一)(根据企业风险管理框架,企业的风险应对方案包括)

企业应对风险的管理办法——业务持续计划(BCP)(一)(根据企业风险管理框架,企业的风险应对方案包括)

现代信息技术发展尽管给企业带来了先进的智能管理技术,但也带来了许多风险和挑战,无法正确应对紧急情况可能导致企业重大的财务和声誉损失。数据表明:

• 一小时的停机时间可能使公司损失至少100,000美元

• 27%的公司可能因网络中断而遭受无法恢复的数据损失

业务持续计划(BCP)是企业管理战略的关键部分之一,帮助企业铺设一个覆盖员工、供应商、资源、基础设施、供应链和关键 IT系统的安全网,使其以适当的措施实现对各种风险的快速有效响应。本白皮书详细介绍了什么是业务连续计划,以及业务连续计划制定和执行的每个阶段要采取的行动。作为一个可操作的框架,供各企业参考实施。

什么是业务持续计划?

业务连续计划是在故障或灾难等紧急情况出现时,企业实施的应对措施,以确保企业业务的稳定性和有效恢复。业务连续计划主要被设计用来保护企业关键的业务。

其主要目标为:

• 最小化业务中断事件对公司造成的影响。

• 减小财产损失风险和增强公司对于意外事件造成的业务中断的恢复能力。

企业应对风险的管理办法——业务持续计划(BCP)(一)(根据企业风险管理框架,企业的风险应对方案包括)

业务持续计划的内容不是统一模式的,具体取决于公司及其行业的特殊性。制定和管理业务持续计划是董事会和高管的责任。

其创建大致可分为三个阶段:

评估可能出现的风险

构思业务持续计划

执行和管理计划

评估可能出现的风险

每个业务持续计划都始于对可能破坏业务连续性的所有风险评估。风险可以是外部(例如自然灾害)或内部(例如人为错误)性质的,各种风险直接或间接影响着业务运营。

企业首先要根据发生的概率分析潜在风险并对其进行分类,以制定个性化的响应和恢复计划。通常情况下,资源应分配给最可能发生的灾难,但是为不太可能发生的紧急情况做计划也同样重要。

常见的风险类别有:

• 自然:

火灾、爆炸、流行病、危险物质泄漏;

地震、飓风、洪水;

电力供应中断或其它的系统功能失效。

• 人为:

战争、轰炸、人为破坏、其它有目的的攻击;

员工罢工、怠工;

由于操作人员马虎造成的功能失效,或其它人为造成的功能失效的情况;

通信基础不可用或者与测试相关的过载(包括大部分的管理控制功能失效)。

以上示例,用于帮助企业识别和分类固有的风险类型,也有很多风险未在上面提及,这些风险中的每一个都可能以不同的严重程度影响企业业务运营。

除此之外,需要额外提及可能影响正常业务运营的“间接风险”,也必须加倍注意。 例如,当供应商的产能减少,并且向供应链中的下一家公司交付的产品减少时会发生什么?如何保证企业获得必要的材料或产品?

构思业务持续计划

公司应在全面分析和持续测试的基础上构思业务持续计划,具体执行步骤包括:

第一步:创建危机管理团队

企业应对风险的管理办法——业务持续计划(BCP)(一)(根据企业风险管理框架,企业的风险应对方案包括)

拥有危机管理团队可确保在紧急情况下迅速做出关键决策。危机管理团队由负责风险响应的高级管理人员和公司高管组成。危机管理团队应具备执行关键决策的专业知识和权力,其职责如下:

• 建立指挥线

• 在灾难期间和灾难过后组织各方沟通

• 估计业务恢复所需的资源

• 评估事件的风险等级

• 确定应对风险和业务恢复的团队

• 监督业务恢复过程

介绍危机管理团队成员的文件应包括其详细的联系信息,以及在第一响应者不可用时的备用替代者。

企业高管的额外职责:

• 确保员工安全

• 确保将财务损失降至最低

第二步:评估风险等级

企业应对风险的管理办法——业务持续计划(BCP)(一)(根据企业风险管理框架,企业的风险应对方案包括)

识别风险需要对企业运营情况进行仔细分析,换句话说,要分析各类风险如何影响企业关键业务、员工和资源。提出以下问题有助于识别风险:

• 风险在行业中如何产生,以及何时可能产生?

• 风险的性质是什么(内部与外部;自然与人为)?

• 发生灾难/事件时谁会受到影响(员工/社会)?

在风险识别之后,下一步是评估每个关键流程和资产的风险等级。风险等级有助于筛选需要立即采取行动的重大风险以及可以在以后处理的次要风险。

在评估风险等级时需要考虑三件事:

• 受影响的业务功能对企业业务正常运转有多重要?

• 风险可控吗?

• 对企业的危害程度如何?

第三步:进行业务影响分析

业务影响分析(BIA)指的是识别关键业务的任何可能风险,以及关键业务停止时对企业整体运营的影响。业务影响分析步骤如下:

a.详细了解业务:

• 确定核心业务运营方式

• 识别供应链中对关键功能的依赖

• 评估业务中断对整体运营的影响

企业应对风险的管理办法——业务持续计划(BCP)(一)(根据企业风险管理框架,企业的风险应对方案包括)

b.业务恢复评估:

• 分析和概述关键功能的恢复时间

• 评估将关键功能和业务运营恢复到正常工作状态所需的资源

• 按对企业影响的重要顺序组织业务恢复

c.资产分析:

对关键资产进行详细分析,以更好地计划突发事件行动。

• 人员:员工、供应商、承包商

• 地点:办公室、分支机构、其他公司设施

• 资源:数据库、重要记录、关键IT系统

• 基础设施:硬件、服务器、工作站、制造设备

要按重要性对关键功能进行分类,请考虑提出以下问题:

• 关键功能如何与业务目标相关联?

• 哪些部门受到关键业务的影响?

• 它是一个经常出现的功能吗?

• 哪些其他关键功能或核心操作依赖于关键功能?

• 功能中断的预计经济损失是多少?

• 如果该功能不起作用,是否会产生任何法律或监管后果?

• 公司形象可能受哪些损害?

d.供应链分析:

识别风险并知道如何应对供应链面临的风险至关重要。供应链分析应从评估不同产品线的风险开始,因为不同的产品类别可能会受到不同程度的风险影响。产品应根据其对收入、公共卫生、公司声誉和业务目标的影响程度进行分组。

供应链的优化和加强需要仔细审查和评估:

• 劳动力

• 货币波动

• 材料可用性

• 物流干扰

• 需求变化

值得注意的是,一个公司的灾难可能是另一家公司的机会。识别这些机会并采取行动也是业务持续的一个要素。

企业应对风险的管理办法——业务持续计划(BCP)(一)(根据企业风险管理框架,企业的风险应对方案包括)

【下接(2)】

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。