網頁

2015年4月11日 星期六

BCP 543(2015風險瞭望與兩種方式)

2015BC風險瞭望報告
出處:


英國營運持續組織地平線掃瞄報告 (BCI Horizon Scan)針對全球760個企業於組織準備方面進行評估,發現四分之三(82%)的營運持續專業管理人都對網路攻擊事件心懷恐懼,81%擔憂無完善計畫的IT中斷,75%擔心如SONY 去年的資料外洩事件發生。一份近期產業報告1指出,平均全球每家公司於網路犯罪上的年度成本現為$760萬美金,且每年持續10.4%的成長。

供應鏈中斷則是躍升最快的顧慮,自2014的第16位上升至今年排名第五。近半數(49%)的受訪者普遍認為日趨複雜的供應鏈是一項重要威脅,讓他們企業可能因衝突或天災造成營運中斷,受到影響。



2015年全球前十大營運持續威脅排行榜
1. Cyber-attack - up 1
網路攻擊 – 躍升1位

2. Unplanned IT and telecoms outages – down 1
無完善計畫的IT及通訊中斷– 下降 1位

3. Data breach – static
資料外洩– 持平

4. Interruption to utility supply - up 1
電力供應中斷-上升1位

5. Supply chain disruption - up 11
供應鏈中斷-上升11位

6. Security incidents – up 1
安全事故 –上升1位

7. Adverse weather – down 3
惡劣氣候–下降3位

8. Human illness – up 3
人類疾病 –上升3位

9. Fire – down 3
火災 – 下降3位

10. Acts of terrorism – down 1
恐怖行動– 下降1位




BCI這個組織(還是搞不清楚這個組織的底細)

會員還有分不同等級,加入要申請、推薦、interview,升級要年限/發表文章/擔任委員會工作(哇,不愧是第一個工業化的國家,連搞BCP這種非常形而上的東西都具備如此組織與規章將來我成立世界唬爛協會的時候,可以好好的借鏡參考人家的規章辦法)

 

提供認證與學分班

 

有一堆可下載的文章(不知道有沒有營養)

 

感覺BCIBSI的關係組織

 

Technical Director Lyndon Bird linkedin上的資訊
教育背景
The University of Manchester
Master of Science (MSc), Management Sciences, Masters
1969 – 1971The University of Manchester
Bachelor of Science (BSc Hons), Chemistry, Ist Class Honours
1966 – 1969

Fellow of the BCI (FBCI)
Business Continuity Institute
1994 9 目前 (20 6 個月)|Head Office
Member number 8 of The Business Continuity Institute
Board Member 1999-2005 and 2010-present
Chairman of the Board 2001-2003
Chairman Education Committee 2000-2001
Chairman Audit Committee 2004-2005
Member Audit Committee 1997-1999

 

 

所謂地平線的概念(把組織外在威脅想像成會從地平線上出現…)

 
用問卷調查的方式來呈現結果(只是反映這些受訪者的認知偏誤=對於各種威脅的想像與恐懼程度)

受訪者,似乎就是BCI的會員s(而非CEO),主要都是做BC的人



受訪者涵蓋不同區域、國家、年齡、產業、人數規模

 

調查結果


Tracking Top Threats To Organizations, 2012-201





------------------------------------------------------------------------------------------------------




兩種不同的Risk Management(BCM)架構與觀念


第一種可謂school smart:重整體架構與PDCA循環,把風險當成可以量化、預測和比較
方法論為:BIA=>BA=>Recovery Plan/strategy=>訓練/測試=>Act
強調不同風險的鑑別與定量評估(以排序)&建立流程與各項SOP/Checklist,持續改善
缺點/罩門是所謂的風險定量其實往往是自欺欺人(說不出所謂標準差在實務上的含意與對照,遑論風險矩陣),
情境與計畫建構在空想,不能夠勾住連結公司各項infrastructure(公司產銷營運模式的能耐=機密)



 
第二種可謂street smart:認為風險不能量化、測量與預測,只能Case by Case/藉他山之石發揮想像力,可能思考可能情境,重視實際經驗與實地測試,甚至進行無預警演練,驗證或推翻針對各Scenario中的各種假設,增加遭遇實際情況時的應變能力
然而亦可批判為頭痛醫頭,每年針對當年度熱門黑天鵝情境搞me too test(去年遇到高雄氣爆與無差別殺人,演練就設定氣爆與無預警密室殺人)

以上兩種作法共同的缺點與罩門
  • Business business Risk management Risk management(Risk management沒有呼應business)
  • 真正的風險情境來自於想像不到的地方,包含黑天鵝與溫水煮青蛙往往都沒有納入到評估當中(想像得到、沒有被忽視的,不會釀成大災;搞劍宗street smart的保險公司其實也欠缺想像力)
 
一些個人想法
就氣宗School Smart的方法論而言,看似完備,其實流於形式上的風險評估,沒有觸及風險的核心(機率與情境的不確定)
Business Continuity 之前其實要先想好設定好Business Close的情境(很多情境結束營運、願賭服輸才能讓東山再起)
Risk management不單單要有SOP,更要能夠超越SOP(培養跨單位的整合與隨機應變的能耐才是關鍵)
 




沒有辦法預料風險情境下的風險管理作法
(Redundancy、Back up與容許錯誤比嚴謹的SOP與周詳的計畫來得重要)
BCP由低到高的幾個層次
  • 同一工作有不同代理人,可相互back up
  • 不同職務(產銷人發財)有接班人與代理人
  • 關鍵原物料來源有多個供應商(含資訊系統的異地備援)
  • 同一產品有多個不同客戶
  • 同一產品,有多條產線,位於不同廠區或位於不同國家
  • 同一家公司有多個產品線/事業群
  • 集團有多個不同的事業群與公司

沒有留言:

張貼留言