Street觀點的RM

是敝人說針對Risk Management 與BCP的推行過程當中關於BIA/RA等等school smart but street stupid的手法相當感冒，意外在

http://www.crc.com.tw/files/public1/G3_11.pdf

當中，看到林俊男先生2006的大作-營運持續計畫邁向企業恢復力

很具體地寫出混street現場人所需要與想要的東西，意者請自行下載(檔案稍大20M)

從營運持續計畫邁向企業恢復力 林俊男 

因應未來可能的重大災事故與提升企業長期競爭力，企業不只要能管理短期性的重大災害，更必須結合風險管理，以彈性策略強化企業恢復力(Enterprise Resilience)；從而建立、推行、運作、監督、檢討、維持及持續改善的營運持續管理系統(Business Continuity Management, BCM)。

何謂企業恢復力

恢復力( Resilience)這名詞引用自材料科學，其意義是當材料受外力造成變形時，恢復其原始形狀的能力。根據MIT教授Yossi Sheffi的定義 ，所謂企業恢復力，是指企業從重大災害事故中回復正常營運績效水準的速度及能力。而IBM公司的定義為：企業快速調整及回應風險與機會的能力。

建立企業恢復力的途徑

企業可透過以下途徑，建立或強化恢復力：增強備援系統、建立彈性、改變企業文化及確立財務防線。玆分述如下： 

1.備援系統(Redundancy)

理論上企業可以透過增強備援系統以提昇恢復力，例如：提高庫存、擴充額外產能、維持多重供應商等。然而，這些措施成本相當高，且與目前企業所強調的精實生產(Lean Production)或及時生產(Just In Time, JIT)的零庫存、高效率、高品質等做法是相違背的。因此，企業必須評估風險，只針對關鍵性的原物料、零部件、設施設備等，採用備援系統，例如：關鍵性的原物料/零部件安全庫存、針對關鍵設施設備設置緊急備用電力系統、資訊系統異地備援等。

2 .彈性(Flexibility)

相對於額外的備援系統，彈性是指內化的改變企業營運模式，包括：

(1)生產或服務流程標準化

具體措施包括，模組化、簡化及共通化零部件、人員交互訓練等，使得公司內部各項軟硬體資源可以互相支援及快速調配以提高彈性。以半導體業雙子星廠房為例：半導體業普遍在同一廠區設置兩座相同無塵室廠房，其內部製程也幾乎完全相同(雙子星廠房)。因此可共用廠務設施，且兩座廠房可互相調配產能，發生重大事故時也可互相備援，提昇生產彈性。

(2)運用平行流程

將生產或服務流程儘量劃分成兩組以上平行運作流程，取代單一前後連貫性流程，以避免某一環節受創便中斷營運。Lucent建立平行供應網路是典型的範例-為了提昇恢復力，Lucent於2001年將公司的工程、採購、製造、物流及銷售部門切分為兩個平行的供應網路，提昇了公司的靈活度。

(3)計劃性延遲生產將生產流程設計成可以儘量延遲完工步驟，先完成半成品或準系統，在更確定需求資訊時才儘速完工交貨，如此可以減少成品庫存、符合客戶需求。例如著名的義大利服飾公司Benetton改變生產流程，布料先不染色，在縫製完成服裝後才依市場需求進行染色後上市，以因應快速變化的流行服飾市場。

(4)採購策略

基本上有兩種採購策略，維持少數關係密切或結盟的供應商；或採用多重供應商分散風險。兩者各有優缺點，前者因為與供應商互動密切，在市場需求強勁時可以保證供貨，而供應商出問題時也可提早發現提早因應。如果無法與供應商取得結盟關係，運用多重供應商分散風險是另一種選擇。在此情況下，仍然需要有供應商評選及監督的機制，但由於關係不夠密切，無法提早發現問題，可藉由多重供應商隨時替補出問題的供應商。以往失敗的教訓，如Land Rover因獨家供應商破產而損失慘重。Land Rover著名的Discover車款之汽車底盤獨家供應商UPF-Thompson於2001年12月破產。為了能維持生產，Land Rover替UPF-Thompson代墊了大筆債務，結果損失慘重。這是採購策略上Land Rover採用獨家供應商，卻沒有密切監控的後果。

3 .企業文化

所謂文化，是已經將觀念內化成行為，成為日常不需經過思考的行為模式。企業是否具恢復力，不只是靠硬體或一兩項正確的策略，形成企業文化才是關鍵。具體的做法如：

(1)持續內部溝通

透過各種溝通方式，持續讓所有員工瞭解公司的策略目標、執行方針及公司相關營運資訊。所以當重大事故發生時，員工們可以充分掌握公司現狀及必須達成的目標，據以採取必要措施。

(2)分層負責

讓基層員工在偵測到異常狀況發生初期，就可立即依其專業判斷採取緊急措施，抑制或終止異常狀況，不需層層上報耽誤時機。例如：Toyota生產線裝配工人可以因為安全理由，隨時按下緊急中斷按鈕，暫停生產線。

(3)隨狀況調整

重大事故很少發生，但日常作業經常有異常狀況發生。從處理日常作業異常狀況的改善方案，可以提供流程改善有創意的點子。不斷的從小事件經驗中隨時調整，可以提昇企業彈性。典型的範例，如UPS每天都需面對異常天候、交通阻塞、無預警道路封閉等造成延誤交貨的異常狀況，所以UPS必須天天測試、調整企業恢復力。

4.財務防線

保險是財務上最後一道防線，可以請保險經紀人協助一起檢視公司產險保單，是否有足夠的保障，例如：

營業中斷險保障期間是否足夠附加保障條款保障範圍是否足夠，例如：ICOW (Increase Cost of Working)條款等保單內容之排除條款與限制條件因事故造成第三者損害之相關責任保險。保險是企業在重大事故之後，得以重新恢復營業之重要財務支柱，需要尋求專業協助、審慎安排。

邁向營運持續管理

營運持續管理系統標準，包含系統推行指引BS 25999-1：2006 Code of practice for business continuity management及系統驗證標準BS 25999-2：2006 Specification for business continuity management，對提昇企業恢復力，明確的提出幾項參考做法 ，包括以下幾個方面：

*人力、技巧及知識

*工作場所設施

*支援性技術

*資訊數據

*設備與補給

*人員救濟 

玆分述如下：

1.人力、技能及知識

對於企業運作關鍵的技能與知識，應採取適當的策略以確保能持續運作，可考慮的措施包括：

* 對員工及包商作多重技能訓練關鍵技能須分散在不同員工身上，避免過度集中

* 由第三者提供關鍵技能

* 建立知識保存及管理的機制

2 .工作場所設施

為了降低重大意外事故的衝擊，可考慮以下替代措施：

*在公司內設置替代工作場所設施

*由關係企業提供替代工作場所設施

*由第三者提供替代工作場所設施

*在家或公司以外地點工作

3 .支援性技術

當重大意外事故發生時，支援性技術持續運作的策略隨企業型態不同，而有不同的方式，包括：

*由公司內部支應

*由外部單位提供服務給公司

*由第三者在外部提供服務

例如，當企業資訊系統完全癱瘓，則可能需要全部改由人工維持運作直到資訊系統回復為止。

4.資訊數據

公司運作重要的資訊，不管是電子式或書面資料，都應適當保護且維持可恢復性。異地備份資訊必須確保：

*機密性

*不同資訊來源間的一致性及完整性

*須可重新安裝

另外，運作中資訊(亦即，尚未備份之資訊)如何確保不流失也應事先規劃。

5 .設備與補給

關鍵設備或零配件維持適當庫存，可考慮的策略如下：

*庫存在其他地點

*由第三者隨時支應補給需求

*分散及時供應系統至其他地點

*暫存於外部倉庫或發貨地點

*將次組裝作業移至替代地點

*將舊設備作為緊急備用

*對於獨特且前置期較長之設備須有額外的風險控管

*關鍵製程須作地理上的分散 

6.供應商

對於關鍵供應商可考慮的策略如下：

*多重供應商

*鼓勵或要求供應商建立營運持續之恢復力

*與關鍵供應商訂定優先供貨合約

*找尋替代供應商 

7.人員救濟

重大事故發生時，可考慮的人員救濟活動包括：

*緊急疏散及人員清點

*持續對員工/客戶溝通及安全提醒

*安置因事故無居所之員工或包商

*復健服務(物理及心理)

*家庭照顧

*交通協助

*電話通知員工及家屬

*協助無居所之員工及訪客暫時居住處所

------------------------------------------------------感想心得-------------------------------------------------

風險管理的目標應該不是讓公司的風險最小化，而是讓公司能夠承受的風險最大化

與其評估哪些是公司運作的關鍵流程與可忍受中斷時間，不如評估各項流程相關人機物料法的彈性、備餘(=脆弱性)；因為到時候出錯通常不是那些先前料想得到的因素

什麼是風險與風險的本質？

想像不到、出乎意料

Uncertainty=不知道發生機率
發生在當事人知識疆界以外(=未知或認知的盲點)：我們不知道的比我們知道的更多與更具威脅性

發生機率越低、次數越少的風險，越難累積知識與經驗；越常發生的，能夠累積如何因應的知識&有效管理

風險管理的弔詭：風險=那些我們不知道的事物（而我們沒有意識到自己不知道），所以也無法也無從進行管理

傳統風險管理的(誤謬)前提是

1.      預估危害種類或損益的情境

2.      評估不同危害或損益的嚴重度與發生可能機率

3.      依據嚴重度與可能機率，計算期望值，然後進行決策(=賭博)或採取不同的四象限策略

關於風險個人異見與觀念

1.那些很罕見、情境的演變超乎意料之外、超過門檻的event會造成危害性(因為很罕見，所以統計預測模型與詳盡事前計劃無用)

2.風險與報酬是一體的兩面，任何事都有其機會成本（取捨要看損失或獲利背後的總機會成本&累積損益）

3.我們通常只看到一個決策平常沒遭遇風險前的獲利情形（99%的時間與情境）與一但遭遇風險危害的損失（1%的時間與情境）

4.我們只能評估脆弱性，不能衡量風險（評估耐受強度比預測風險情境容易）

一些的個人想法

1.評估各主要關鍵系統的脆弱性，而非不同情境的嚴重度與發生機率

2.提高各主要系統的反脆弱性（拉高護城河，耐震五級拉高到六級，百年洪峰拉高到200年洪峰）：redundancy, back up與槓鈴分攤(放棄追求最佳化與最大化)如同林俊男兄所提

3.善用不對稱性(投資小錢換取轉大錢的機會，或放棄賺大錢的機會以求避開巨大損失)

4.主事者要克服炒短線的貪念、不要囿於機率統計的迷思

5.是讓組織自己能夠承受比別人(特別是競爭對手)更大的風險(震動變異幅度)，而不是去管理外在環境風險變異震幅縮小(理論上個人或公司個體，無法影響改變外在總體環境、景氣循環)

6.風險管理是讓組織柔韌有彈性（能夠承受損失、隨機應變）、而非堅固(≒僵固、只能應付特定情境)

Risk Management IS

• 有明確的存在目標與方向
• Business 與人生的一部份（風險管理是公司治理的一部分）
• 從失敗當中學習
• 整合各種function與調和取捨
• 順應、調適與彈性
• 在實戰中演化
• 定期與不定期的review, exercise, renew

Risk Management Is NOT

• 避免死亡或失敗
• 為了RM而RM
• 檢討失敗與追究責任
• 各種不同類型的危害或情境
• 預測情境與測量風險大小
• 應變SOP與BCP
• 一次性的建立管理系統

中央再保險公司的出版品(跟工安科技一樣停刊了，少了很多業界先進分享寶貴經驗的途徑，真是可惜) http://www.crc.com.tw/content/publications/publications01.asp