出處:
英國營運持續組織地平線掃瞄報告 (BCI Horizon Scan)針對全球760個企業於組織準備方面進行評估,發現四分之三(82%)的營運持續專業管理人都對網路攻擊事件心懷恐懼,81%擔憂無完善計畫的IT中斷,75%擔心如SONY 去年的資料外洩事件發生。一份近期產業報告1指出,平均全球每家公司於網路犯罪上的年度成本現為$760萬美金,且每年持續10.4%的成長。
供應鏈中斷則是躍升最快的顧慮,自2014的第16位上升至今年排名第五。近半數(49%)的受訪者普遍認為日趨複雜的供應鏈是一項重要威脅,讓他們企業可能因衝突或天災造成營運中斷,受到影響。
2015年全球前十大營運持續威脅排行榜
1. Cyber-attack - up 1
網路攻擊 – 躍升1位
2. Unplanned IT and telecoms outages – down 1
無完善計畫的IT及通訊中斷– 下降 1位
3. Data breach – static
資料外洩– 持平
4. Interruption to utility supply - up 1
電力供應中斷-上升1位
5. Supply chain disruption - up 11
供應鏈中斷-上升11位
6. Security incidents – up 1
安全事故 –上升1位
7. Adverse weather – down 3
惡劣氣候–下降3位
8. Human illness – up 3
人類疾病 –上升3位
9. Fire – down 3
火災 – 下降3位
10. Acts of terrorism – down 1
恐怖行動– 下降1位
BCI這個組織(還是搞不清楚這個組織的底細)
會員還有分不同等級,加入要申請、推薦、interview,升級要年限/發表文章/擔任委員會工作(哇,不愧是第一個工業化的國家,連搞BCP這種非常形而上的東西都具備如此組織與規章…將來我成立世界唬爛協會的時候,可以好好的借鏡參考人家的規章辦法)
提供認證與學分班
有一堆可下載的文章(不知道有沒有營養)
感覺BCI是BSI的關係組織
Technical Director Lyndon Bird 在linkedin上的資訊
教育背景
The University of Manchester
Master of Science (MSc), Management
Sciences, Masters
1969 – 1971The
University of Manchester
Bachelor of Science (BSc Hons), Chemistry,
Ist Class Honours
1966 – 1969
Fellow of the BCI (FBCI)
Business Continuity Institute
1994 年 9 月 – 目前 (20 年 6 個月)|Head
Office
Member number 8 of The Business Continuity
Institute
Board Member 1999-2005 and 2010-present
Chairman of the Board 2001-2003
Chairman Education Committee 2000-2001
Chairman Audit Committee 2004-2005
Member Audit Committee 1997-1999
所謂地平線的概念(把組織外在威脅想像成會從地平線上出現…)
用問卷調查的方式來呈現結果(只是反映這些受訪者的認知偏誤=對於各種威脅的想像與恐懼程度)
受訪者,似乎就是BCI的會員s(而非CEO),主要都是做BC的人
受訪者涵蓋不同區域、國家、年齡、產業、人數規模
調查結果
Tracking Top Threats To Organizations, 2012-201
------------------------------------------------------------------------------------------------------
兩種不同的Risk Management(BCM)架構與觀念
第一種可謂school smart:重整體架構與PDCA循環,把風險當成可以量化、預測和比較
方法論為:BIA=>BA=>Recovery Plan/strategy=>訓練/測試=>Act
強調不同風險的鑑別與定量評估(以排序)&建立流程與各項SOP/Checklist,持續改善
缺點/罩門是所謂的風險定量其實往往是自欺欺人(說不出所謂標準差在實務上的含意與對照,遑論風險矩陣),
情境與計畫建構在空想,不能夠勾住連結公司各項infrastructure(公司產銷營運模式的能耐=機密)
第二種可謂street smart:認為風險不能量化、測量與預測,只能Case by Case/藉他山之石發揮想像力,可能思考可能情境,重視實際經驗與實地測試,甚至進行無預警演練,驗證或推翻針對各Scenario中的各種假設,增加遭遇實際情況時的應變能力
然而亦可批判為頭痛醫頭,每年針對當年度熱門黑天鵝情境搞me too test(去年遇到高雄氣爆與無差別殺人,演練就設定氣爆與無預警密室殺人)
然而亦可批判為頭痛醫頭,每年針對當年度熱門黑天鵝情境搞me too test(去年遇到高雄氣爆與無差別殺人,演練就設定氣爆與無預警
以上兩種作法共同的缺點與罩門
- Business 歸business ,Risk management 歸Risk management(Risk management沒有呼應business)
- 真正的風險情境來自於想像不到的地方,包含黑天鵝與溫水煮青蛙往往都沒有納入到評估當中(想像得到、沒有被忽視的,不會釀成大災;搞劍宗street smart的保險公司其實也欠缺想像力)
一些個人想法
就氣宗School Smart的方法論而言,看似完備,其實流於形式上的風險評估,沒有觸及風險的核心(機率與情境的不確定)
談Business Continuity 之前其實要先想好設定好Business Close的情境(很多情境結束營運、願賭服輸才能讓東山再起)
Risk management不單單要有SOP,更要能夠超越SOP(培養跨單位的整合與隨機應變的能耐才是關鍵)
沒有辦法預料風險情境下的風險管理作法
(Redundancy、Back up與容許錯誤比嚴謹的SOP與周詳的計畫來得重要)
BCP由低到高的幾個層次
- 同一工作有不同代理人,可相互back up
- 不同職務(產銷人發財)有接班人與代理人
- 關鍵原物料來源有多個供應商(含資訊系統的異地備援)
- 同一產品有多個不同客戶
- 同一產品,有多條產線,位於不同廠區或位於不同國家
- 同一家公司有多個產品線/事業群
- 集團有多個不同的事業群與公司
沒有留言:
張貼留言