业务连续性管理(BCM)程序(含表格记录)
bcm开发流程
bcm开发流程BCM(Business Continuity Management,业务连续性管理)是一种组织在面临灾害、紧急事件或突发情况时确保业务不中断的战略和方法。
以下是BCM开发流程的主要步骤:1.初始规划:确定BCM的范围和目标,明确责任和角色。
建立BCM团队,制定项目计划,包括时间表和资源分配。
2.风险评估:识别可能对业务造成中断的风险和威胁,包括自然灾害、技术故障、供应链问题等。
进行风险分析,评估潜在影响和紧急性。
3.业务影响分析(BIA):分析不同业务流程的重要性,确定关键业务功能和过程,以及业务中断的潜在影响。
这有助于确定业务恢复的优先级和目标。
4.恢复策略:开发业务恢复策略,包括备份和恢复计划、应急响应计划、备用设施和供应链管理等。
确定资源和设备,以确保业务在中断情况下能够继续运作。
5.方案开发:根据业务恢复策略创建详细的BCM计划和流程。
包括应急响应、通信计划、员工培训等。
6.测试和演练:定期测试BCM计划,包括模拟业务中断的情景,以验证计划的有效性。
演练有助于发现问题并提高团队的准备性。
7.维护和更新:持续监测和评估风险,根据新的威胁和变化不断更新BCM计划。
确保团队的培训和意识保持最新。
8.沟通和协作:确保所有员工明白BCM计划,知道在紧急情况下应该做什么,建立有效的协作机制,与相关利益相关方保持沟通。
9.合规性和审核:确保BCM计划符合法律法规和行业标准,定期进行内部和外部审计,以验证合规性和效力。
10.响应和改进:在业务中断时,按照BCM计划执行紧急响应和恢复步骤。
事后评估并记录事件,提取经验教训,不断改进BCM计划。
BCM的开发流程是一个持续的过程,旨在确保组织在面临各种灾难和紧急情况时能够快速、有效地保持业务连续性。
ISO22301:2019业务连续性计划流程图
生产部
1小时内安
部门负责 人根据计 划、物料 安排量产
质量部
部门负责 人经理安 排QC保证 产品品质
说明
1、有关部门经理2小时内反馈危机发 生的等级给销售部门营销经理; 2、营销经理根据灾情向客户沟通汇 报,在4H内分析出急须出货的订单,在 1H内反映给总经理或副总经理和配线 计调部门。 3、BCM小组分析现有的物料、设备资 源,然后在1H反馈给总经理或副总经 理。 4、总经理、厂长根据反馈的情况,结 合现实情况,在1小时内确定急救方案 (内部生产还是外发); 5、采购部门负责人接到总经理或厂长 的指示,安排采购相应的急料或外发加 工(采购急料在2天左右,外发加工在7 天左右); 6、技术部门负责人安排工程师到外发 商现场监督,从而保证工艺技术的准 确性; 7、生产部门负责人接到总经理或副总 经理的指示,根据客户信息及物料信 息列生产计划1小时内反馈到生产; 8、生产部门负责人依计划量产,质量 部负责人安排QC保证产品品质; 9、依产品生产的周期,生产最迟7天 左右是产出成品,通知发货科出货;
分析出急 须出货的
1小时内反馈
安排调整 物料、设 备资源
1小时内安
技术部门 现场保证 外发加工 工艺技术
部门负责人安 排外发加工, 技术部门保证 工艺技术,质 量部策划保证 过程质量控制
部门负责人根 据客户信息、 物料信息列生 产计划
1 小 时 内
7天左右成品到位
发货科安排 出货
1天内
发货
BR8.4-02 NO.2019
业务连续性计划流程
危机、风险发生后导致公司无法正常运作情况下,启动以下业务连续性计划流程:
各部门
业务部(营 销)
BCM小组 综合部 技术部
业务连续性管理(BCM)
南亚 地震海啸 飙风
地区 大灾害
Source : Gartner, BCM Today
现代社会的风险
黑天鹅舆论(Black Swan Theory)
大型损失, 不容预测, 稀有事件(Large-impact, Hard-to-predict, and Rare event)
2021/5/9
Source : Wikipedia
17
11. 商业恢复 (Biz Resumption) 战略
风险识别 业务停止设想
风险预防 业务恢复时需要的资源
受伤
代替人力 (People)
事业停止 危险因素
不可接近事业场 系统支援中断 重要资源损坏
事业设施 (Premises) 备份系统 (Technology) 重要信息 (Vital Records)
成功的BCM的附加效果
- 摩根史丹利的 危机管理系统受全世界瞩目 - 既有投资者的信赖和引起新投资者的关心 - 24小时以内以迅速地召开记者招待会换取友好的言论
Source20:2N1/Y5T/9imes(2002)
5
4. 营业中断的实时损失
能源 通信 制造 投资金融 保险 零售 制约 金融 交通 使用程序 医疗 媒体 平均
2021/5/9
12
10. 组织的 理解 ; BIA to RA
BIA (Business Impact Analysis ; 商务影响分析)
导出创造价值高的活动领域内的进程 ;
按照运营, 支援, 战略方面导出
进程的中断带给整个商务的影响度评价 ;
低频率, 高深度风险的影响推断(例: 地震,火灾 等)
摩根士丹利的 5大 危机管理计划
- 紧急式 对策(Contingency Plan) - 业务连续性 计划(Business Continuity Plan) - 危机管理 交流(Crisis Communication) - 财务危机 分散管理(Hedging & Insurance) - 早期警报系统(Early Warning System)
业务连续性管理程序
5 相关文件
5.1《紧急事故应急预案》
6 相关记录
6.1《业务持续性应急计划于预案》
编制
审核
核准
发行日期
版本
A0
⑤关于系统恢复或替换的费用考虑。
4.3业务持续性管理实施计划的要求
上述重要系统一旦受到重大影响或中断后,有关部门应立即启动《业务持续性应急计划》,对系统采取应急措施进行恢复,确保公司生产经营活动的持续运行,同时,应做好事故处理记录,记录内容包括:
1对系统中断原因的调查分析;
2系统终端造成损失的统计;
3.2行政部负责编制、修订公司业务持续性管理程序,并协调,推进公司业务持续性管理活动。
3.3业务部负责对外客户的联络,负责推进公司业务的发展。
3.4计划部采购部负责对供应商采购产品的调配,确保生产的顺利进行。
3.5生产部门根据业务部门协调、积极组织生产,确保生产任务及时完成。
4程序
4.1公司业务持续性管理过程如下:
3采取的纠正措施
4应吸取经验教训及预防措施等。
4.4业务持续性计划的评审
4.4.1每年由行政部组织有关部门对《业务可持续性应急计划》进行评审,特殊情况下可增加评审频率,以判断计划的可行性和有效性,测试可采用以下方法进行:
①组织有关部门进行业务中断及恢复的模拟演练(针对火灾、化学品泄漏等灾害);
②对已发生过的业务中断及恢复措施实例进行讨论;
4.2业务持续性和影响分析
4.2.1公司在首次安全风险评估后进行业务持续性和影响的分析。
4.2.2业务持续性和影响的分析由行政部组织,其他各相关部门分别开展以下活动:
①本部门的信息安全进行风险评估;
业务连续性管理程序
业务连续性管理程序在当今复杂多变的商业环境中,企业面临着各种各样的潜在威胁和风险,如自然灾害、网络攻击、供应链中断、人员短缺等。
这些突发事件可能会对企业的正常运营造成严重影响,甚至导致业务的中断。
为了应对这些挑战,确保企业在面临危机时能够迅速恢复正常运营,业务连续性管理程序应运而生。
业务连续性管理程序是一套全面的、系统性的方法和流程,旨在帮助企业识别潜在的风险和威胁,制定相应的应对策略和预案,以及在突发事件发生时能够有效地执行这些预案,以保障业务的连续性。
一、业务连续性管理程序的重要性1、保障企业的生存和发展业务的连续性是企业生存和发展的基础。
如果企业因为突发事件而无法正常运营,可能会失去客户、市场份额和声誉,甚至面临倒闭的风险。
通过实施业务连续性管理程序,企业能够在最短的时间内恢复业务运营,减少损失,保障企业的生存和发展。
2、满足法律法规和监管要求许多行业都受到法律法规和监管机构的要求,必须建立有效的业务连续性管理体系。
例如,金融、医疗、能源等行业,如果企业无法满足这些要求,可能会面临罚款、停业整顿等处罚。
3、增强企业的竞争力在客户越来越注重供应商稳定性和可靠性的今天,拥有完善的业务连续性管理程序的企业能够给客户更多的信心,从而在市场竞争中脱颖而出。
4、保护员工和利益相关者的利益企业的员工和利益相关者(如股东、供应商、合作伙伴等)都依赖于企业的正常运营。
业务连续性管理程序不仅能够保障员工的工作和收入,还能够保护利益相关者的利益。
二、业务连续性管理程序的主要步骤1、风险评估风险评估是业务连续性管理程序的第一步。
企业需要对可能影响业务运营的各种风险和威胁进行全面的识别和评估,包括内部风险(如人员流失、设备故障等)和外部风险(如自然灾害、市场波动等)。
评估风险的可能性和影响程度,为后续的策略制定提供依据。
2、业务影响分析在风险评估的基础上,进行业务影响分析。
确定关键业务流程和支持这些流程的资源(如人员、设备、数据等),评估突发事件对这些关键业务流程和资源的影响,包括业务中断的时间、损失的程度等。
业务连续性管理(BCM)讲义
7. BCM 国际标准: BS25999-2(2008)
Policy (政策)
People (组织)
Process (业务)
内B C M 化
文
组织的 理解
织
组
体
制
定
制
培训 检讨 维持管理
BCM 程序 管理
BC战略 决定
Resource (资源)
BCM 对应 开发 和 具体体现
BCP
Source : BSI(2008)
- Black Swan”
3
2. 商务 示例 ; Who, What, Result
WHO Perrier Johnson & Johnson
WHO
WHAT
-1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -1982. 精神病者往胶囊里投放氰酸钾 -服用患者数名死亡
WHAT
Nokia
成功的BCM的附加效果
- 摩根史丹利的 危机管理系统受全世界瞩目 - 既有投资者的信赖和引起新投资者的关心 - 24小时以内以迅速地召开记者招待会换取友好的言论
Source : NY Times(2002)
5
4. 营业中断的实时损失
能源 通信 制造 投资金融 保险 零售 制约 金融 交通 使用程序 医疗 媒体 平均
设定进程间逻辑结构(先行, 后行 等) 进程别中断影响的定量,定性评价
MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 决定 核心进程的允许的最长中断时间(MTPD)推断 核心进程的恢复目标时间(RTO)推断 进程重新开始时复原的优先次序的决定
银行业BCM(业务连续性管理)培训方案
银行业BCM(业务连续性管理)培训方案
一、主办单位
XX商业银行风险管理部。
二、培训对象
XX商业银行各部门以及分支行部门负责人、业务骨干及业务连续性协调员。
三、培训目的
1.通过专题讲授、案例分析、分组练习等多种培训形式,学习商业银行业务连续性能力规划
2.建设、运用和评估的方法,提高XX商业银行各部门业务连续性管理(协调)人员在业务连续性意识,运营中断事件预防、处置和舆情应对等方面的综合能力。
四、培训目标
1.了解业务连续性管理的基础概念、原理,了解商业银行业务连续性监管的要求与逻辑;
2.了解业务连续性管理体系建立、实施和运行、监视和评估、以及保持和改进的方法;
3.了解业务连续性能力的概念、原理及其规划、建设和保持、运用、管理评估方法;
4.熟悉业务影响分析与风险评估的概念、价值、实施流程和管理方法。
五、学时安排
1天,6学时,以专题讲授、案例分析和方法讲解为主,不安排分组练习。
六、培训活动安排
1.业务连续性管理培训与意识教育
(1)面向对象:各部门以及分支行部门负责人、业务骨干
(2)讲授内容:
a. 商业银行业务连续性监管逻辑、案例与行业现状
b. 业务连续性管理基础概念、发展与管理体系方法
c. 业务连续性实务框架:以能力为中心的管理方法
2. 业务影响分析与风险评估技能练习
(1)面向对象:业务连续性管理牵头部门专岗及各部门业务连续性协调员
(2)讲授内容:
a. 业务影响分析与风险评估概论
b. 业务影响分析5步法
c. 风险评估5步法
d. 项目规划与管理
e. 答疑与难点解析
七、课程表。
业务连续性管理
业务连续性管理业务连续性管理(Business Continuity Management,简称BCM),是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。
中文名: 业务连续性管理外文名: Business Continuity Management简称: BCM起源于: 上世纪70年代美国的“灾难恢复”目录1.1 基本原则2.2 管理系统基本原则确保当事机构的主要业务操作在任何时候都能够持续运转。
业务连续性管理系统(BCMS)是经常进行的活动的集合,业务连续性管理支持企业业务连续性管理活动,也支持技术灾难恢复活动。
这些可以包括项目规划和管理、人员配备、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其他活动。
业务连续性管理也有利于多种项目性的活动,业务连续性管理执行业务影响分析和风险分析、进行评估、制定并记录BC/ DR计划、规划和执行BC/ DR演练、准备和进行应急队伍培训、准备记录事件响应计划,并设计BC/ DR策略。
管理系统一个业务连续性管理系统关注:理解连续性、准备需求和建立业务连续性管理系统策略和目标的重要性。
为管理组织的总体连续性风险进行实施和运行控制及措施。
监控和检查业务连续性管理系统的性能和有效性。
根据客观标准持续改进。
具备业务连续性管理系统功能的管理系统结构组件:一个策略。
指定角色和职责的人。
与策略、计划、实施、运维、性能评估、管理检查和提升关联的管理流程。
提供可审查证据的文档。
组织相关的业务连续性管理流程。
根据上述标准所述的业务连续性管理系统的一个前提是BCMS的设计要能反映组织和股东的需求。
这个标准不会强制统一业务连续性系统的结构。
组织开发一个新BCM计划时可以将BCMS框架作为一个有效的起点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
■黄色等级(Ⅲ级一般性危机):预计将要发生一般性(Ⅲ级)以上危机事件,事件已经临近,事态有可能会扩大。
■橙色等级(Ⅱ级较大危机):预计将要发生较大(Ⅱ级)以上危机事件,事件即将发生,事态正在逐步扩大。
■红色等级(Ⅰ级特别重大危机):预计将要发生特别重大(Ⅰ级)以上危机事件,事件会随时发生,事态正在不断蔓延。
5.2.3降低风险:当风险影响较低且在公司发生的概率较高时,采取控制措施,当风险发生后可因适当的控制面将损失减少。
5.3 危机前的管理
5.3.1做好危机预防工作
A、危机产生的原因是多种多样的,不排除偶然的原因,多数危机的产生有一个变化的过程, 各部门主管做好日常的信息收集、分类管理,善于捕捉危机发生前的信息,定期识别及评价危机,建立管理制度进行预防危机产生。
5.2 针对识别出来的重大风险可能造成的危机之优先顺序评价出重要风险危机决定将采取策略,处理风险策略考虑以下方面:
5.2.1避免风险:当风险影响极大且在公司发生的概率较低时,建立完善的管理流程阻隔风险产生。
5.2.2转移风险:当风险影响极大且在公司发生的概率较高时,购买保险,减少风险发生后复原的负担。
修订履历
版本
更改说明
修订日期
拟制
审核
批准
1.0
新拟定
***
***
***
.
相关部门会签意见栏:会签部门请在□打勾,并填写会签意见。
□管理部
□采购认证部
□质量管理部
□市场营销部
□事业部
□工艺工程部
□物控部
□其他
拟制:日期:.
审核:日期:.
批准:日期:.
1.目的
为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。
关系纠纷危机。由于错误的经营思想、不正当的经营方式忽视经营道德,员工或供方服务态度恶劣,而造成关系纠纷产生的危机。
5.1.4灾难危机:无法预测和人力不可抗拒的强制力量,如地震、台风、洪水等自然灾害、战争、重大工伤事故、经济危机等造成巨大损失的危机,危机给企业带来巨额的赔偿。
5.1.5财务危机:投资决策的失误、资金周转不灵、股票市场的波动、贷款利率和汇率的调整等。
B、建立起危机防范预警机制,制定危机管理的应急预案,在出现危机征兆时,尽快确认危机的类型,为有效的危机控制做前期工作。
C、树立全员的危机意识, 对员工进行危机教育,定期开展危机管理培训。
5.3.2建立危机预警机制
根据危机可能造成的危害程度、发展情况和紧迫性等因素,由低到高划分为一般性危机(Ⅲ级)、较大危机(Ⅱ级)、特别重大危机(Ⅰ级)、并依次采用黄色、橙色和红色来加以表示。
5.1.2战略危机:指经营决策失误造成的危机。不能根据环境条件变化趋势正确制定经营战略,而使企业遇到困难无法经营。
5.1.3运作管理危机:管理不善而导致的危机
产品质量危机:在生产经营中忽略了产品质量问题,使不合格产品流入市场,导致巨额索赔造成流动资金周转不灵。
环境污染危机。企业的 “三废”处理不彻底,有害物质泄露,爆炸等恶性事故造成环境危害,造成停业整顿。
5.3.3建立危机分级管理机制
■分级——危机分三级处置
■一般性危机(Ⅲ级):指突然发生,事态比较简单,仅对较小范围内产生威胁或损失,只需要调度个别部门的力量和资源能够处置的事件。
■较大危机(Ⅱ级):指突然发生,事态较为复杂,对一定区域或部门财产和安全造成威胁、已经或可能造成较大人员伤亡、较大财产损失或生态环境破坏,需要调度公司部分力量和资源进行处置的事件。
4.3 管理部负责人:
A、人才危机进行预测;
B、收集各部门危机信息进行分析,启动危机预警;
C、危机后人员的安抚及人力的调整;
D、危机后对外信息的发布及媒体沟通;
E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。
4.4 市场营销部负责人:
A、市场危机进行预测,收集市场信息;
B、危机后负责向客户沟通,稳定市场。
2.适用范围
适用于本公司。
3.定义
无
4.职责
4.1 最高管理者(总经理):
A、危机第一责任人,负责运营策划、实施、保持和持续改进;
B、担任特别重大危机(Ⅰ级)的总指挥;
C、重大危机后接受媒体报告。
4.2 质量负责人:
A、危机第二责任人,负责各事业部运营执行;
B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。
4.5 事业部负责人:
A、对本事业部存在危机信息的收集并汇报;
B、危机后本事业部人员的安抚及人力的调整。
4.6 财务部负责人:
A、财务危机进行预测;
B、危机后提供危机所需的资金保障。
4.7 采购认证部负责人:
A、供方危机进行预测;
B、危机后物料的调配。
4.8 BCM工作小组:
A、进行业务影响分析,识别关键活动及依赖,通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失,为制定业务持续性策略提供依据;
5.1.6法ห้องสมุดไป่ตู้危机:高层领导法律意识淡薄,在企业的生产经营中涉嫌偷税漏税、以权谋私等。
5.1.7人才危机:人才频繁流失所造成的危机。尤其是企业核心员工离职,其岗位没有合适的人选。
5.1.8 采购危机:采购成本增加,采购供应链中断。
5.1.9 出口管理及运输危机:海关扣货、交通事故等造成巨大损失的危机给企业带来巨额的赔偿。
B、进行风险评估,对那些会导致关键业务中断的一系列的风险和威胁进行识别,通过分析其影响程度和发生概率,确定风险等级,进行风险排序并采取应对方案和措施,从而将风险尽可能降到最低;
C、根据业务目标、收益成本和客户要求等因素,结合业务影响分析和风险评估,制定关键业务流程和恢复策略;
D、依据BCM方法、工具和模板,在风险评估、业务影响和策略选择的基础上,拟制突发事件应急预案(IMP)和业务连续性工作计划(BCP);
E、进行BCM测试及演练,发现其中不足并加以改进;
F、进行维护和改进,不断优化发展,满足公司业务需求。
5.工作程序
5.1 识别公司可能面临营运中断的最大风险,导致的危机,其可归纳于以下几种(不限于):
5.1.1信誉危机:指公司在长期的生产经营过程中,公众对其产品和服务的整体印象和评价。由于没有履行合同及客户的承诺,而产生的一系列纠纷,甚至给合作伙伴造成重大损失或伤害,企业信誉下降,失去公众的信任和支持导致订单流失而造成的危机。