业务风险识别、评估和控制
行政管理部
目录
公司业务连续性任命和风险定义
风险管理的一般模型
构建风险管理的过程
设定环境、确定目标
风险识别
风险评估
风险控制
可接受风险和剩余风险
风险监控、风险报告和沟通
风险管理之组织保障
公司业务连续性计划中对基础设施要求
思考与讨论
公司业务连续性任命和风险定义
风险管理相关标准:
ISO/IEC 27001:2005信息安全管理体系
BS25999-2业务连续性管理标准
风险管理包括:
风险管理专业述语
风险管理之执行程序
风险管理之组织架构
风险管理之目的
风险定义:
一起事件发生的后果的可能性及其结合
指未来的不确定性对公司实现其经营目标的影响
备注:危险源:可能导致伤害或疾病、财产损失、工作环境破坏或这些情况组合的根源或状态
风险类型很多,包括运营风险(法律法规、采购风险、业务风险、信息安全风险、EHS风险),财务风险、灾难性风险(自然灾害、雇员遇难)
公司业务连续性管理组织及行政部在组织中的角色:
业务连续性运作支持组
业务连续性领导小组
IT业务连续性小组
供应链业务连续性小组
基础设施业务连续性小组
人身安全业务连续性小组
业务单元业务连续性小组
黄澄宇 基础设施业务连续性小组 组长
江 涛 成员
吴 姣 成员
左永忠 成员(动力)
黄 辉 成员(安全)
关宏伟 成员(消防)
陶立平 成员(供电)
康晓鹏 成员(供水)
组织制订、推行、维护、管理物理安全业务连续性政策、计划和流程
定期向业务连续性领导小组汇报物理安全业务连续性管理工作
处理公司范围的消防安全、自然灾害等突发事件;
保证公司水、电、交通等公用基础设施可用;
统一指挥、协调公司员工行动,组织抢险救灾、紧急疏散等工作
统一对外发布物理灾难信息以及恢复进展;
徐直军 组长
卢赣平 组长
王珂 副组长
傅依林
IT
组长
彭智平
供应链
组长
黄澄宇
行政管理部
组长
徐赤
内服
组长
销服
全球技服
业务风险识别、控制必要性
通过风险识别和控制可以达到:
增进组织所有活动的最大可行价值
整理出可能影响组织的所有潜在的负面或正面因子
增加成功的可能性
减少失败的可能性与达成组织目标的不确定性
风险管理的益处不只是存在于风险管理人本身,而是与风险的利益相关人息息相关
风险管理应融入组织文化,将风险管理明确制定并列为管理者与员工的工作的一部分。
华为公司其他业务部门、分包方都是利益相关人,甚至不同专业都互为利益相关人
风险管理模型
沟
通
和
报
告
监 控
设定环境
识别风险
分析风险
评价风险
评估 风险
风险响应
注:风险管理模型参照公司文件《风险管理流程》
构建风险管理的过程-风险识别
风险识别方法:
询问、交谈
现场观察
查阅有关记录
获取外部信息
工作任务分析
安全检查表(SCL)
危险与可操作性研究(HAZOP)
事件树分析(ETA)
故障树分析(FTA)
风险描述:
以结构性的格式列出所识别出来的风险
设计好的格式可以确保风险被了解,并有助风险评估的进行
构建风险管理的过程-风险识别
安全检查表 (SCL)
----为系统地辨识和诊断某一系统的安全状况而事先拟好的问题清单
----编制安全检查表的要求
1)了解系统的有关资料,包括系统或同类系统发生过的事故、事故原因和后果,还要收集系统的技术文件
2)收集与系统有关国家标准、法规制度及公认的安全要求,为检查表的编制提供依据
3)按系统的功能、结构或因素方法,逐一列出可能影响系统安全性的因素,并列出清单
4)针对危险因素清单,从安全技术文件中,逐一找出对应的安全要求及应达到的安全指标和应采取的安全措施,形成一一对应的系统检查表
5)可列入有关安全管理机构、安全管理制度方面的检查
----应用正确系统标准检查方法检查工艺过程和设备工程的意图,以评价工艺和设备的误操作或故障的潜在危险和其对整个工艺和设备的影响后果
----检查方法步骤
1)对生产过程给予全面描述,对每部分进行系统提问
2)发现偏离设计意图的现象是如何发生的,并确定其偏离是否构成危险源特性或上升成危险源
构建风险管理的过程-风险识别
事件树分析(ETA)
----从原因到结果的过程分析
----事件树分析是利用逻辑思维的规律和形式,分
析事故的起因、发展和结果的过程
----利用事件树原理对事故的发展过程进行分析,
不仅可以掌握事故规律,还可以辨识导致事故
的危险源
----利用事件树分析事故的发生过程,是以“人、
机、物、环境”综合系统为对象,分析各环节
事件成功与失败两种情况,以预测系统可能出
现的各种结果
构建风险管理的过程-风险识别
原料A输送系统示意图
ETA 案 例 示 例
构建风险管理的过程-风险识别
原料A输送系统事件树
构建风险管理的过程-风险识别
故障树分析(FTA)
----是根据系统可能发生的事故或已经发生的事故
结果,去寻求与该事故发生有关的原因、条件
和规律,并辨识系统中可能导致事故发生的危
险源或危险源特性
----故障树分析是严密的逻辑过程分析,分析中所
涉及到的各种事件、原因及其相互关系,需要
使用一定的符号予以表达
构建风险管理的过程-风险识别
FTA 案 例 示 例
构建风险管理的过程-风险识别(人、机、料、法、环)
供应商接口人
供应商区域接口人
1
物业公司区域接口人
2
物业公司区域接口人
3
工种1
工种2
工种3
活动1
活动2
活动3
风险描述1
风险描述2
人就是各工种及其工种的行为,机就是设备,料就是我们我们需要的水、电、气、设备配件等等,法就是工艺流程操作规范,环就是我们所处的环境包括自然环境、社会环境
构建风险管理的过程-风险识别(人、机、料、法、环)
供应商接口人
供应商区域接口人
1
物业公司区域接口人
2
物业公司区域接口人
3
设备设施1
设备设施2
设备设施3
活动1
活动2
活动3
风险描述2
风险描述2
风险描述
降低风险的建议
8.可能的改进行动
目前风险管理的主要方法
对现有控制的信心水平
监督及检讨模式的界定
7.风险控制
风险的潜在损失和财务影响
风险价值
潜在损失的概率和大小
风险的控制目的和期望的绩效水平
6.风险偏好
重要性和概率
5.风险量化
利益干系人及其期望
4.利益相关人
战略风险、运营风险、财务风险、灾难性风险
3.风险本质
对事件规模、型态、数量及关联性作本质的描述
2.风险范围
特发-生产配电房-电工/XX设备:
1.风险名称
一个好的风险识别应按照设计好的格式进行描述,同时识别的内容也就应该全面,好的风险识别是风险管理成功的一半
构建风险管理的过程-风险评估
风险分析:以定量、半定量或定性的方式估算风险发生的可能后果及其可能性
定量
半定量
定性
风险评价:在完成风险分析后,将估算出来的风险与该组织所建立的风险准则加以比较。准则可能包括相关成本、收益、法律要求、社会经济、风险可接受水平等等。风险评价用以确定风险对组织的重要性,以及是否接受或对其加以控制。
风险评估应综合考虑现有的控制措施
要实现风险定量分析可是很难哦,行政部目前采用定性分析方法,即对风险进行高、中、低三级来评估。因此要求你们在识别的时候也进行初步的风险分析,专业再进行修订评审
构建风险管理的过程-风险评估
重大风险
中度风险
轻度风险
可 能
中度风险
轻度风险
可容许风险
不可能
轻度风险
可容许风险
可忽略风险
极不可能
严重伤害
伤 害
轻微伤害
只有当风险已降低时,才能开始或继续工作。如果无限的资源投入也不能降低风险,就必须禁止工作
重大风险
直至风险降低后才能开始工作。为降低风险有时必须配备大量资源
当风险涉及正在进行的工作时,应采取应急措施
中度风险
应努力降低风险,但应仔细测定并限定预防成本,并应在规定时间期限内实施降低风险措施
在轻度风险与严重伤害后果相关的场合,必须进行进一步的评价,以更准确地确定伤害的可能性,确定是否需要改进控制措施
轻度风险
不需要另外的控制措施,应考虑投资效果更佳的解决方案或不增加额外成本的改进措施,需要对现行的风险控制进行监测,以确保控制措施得以保持并有效
可容许风险
不需采取措施且不必保留文件记录
可忽略风险
风险控制措施策划
风险等级
构建风险管理的过程-风险评估
否
是
否
风险评估实施流程图
是
已有安全措施的确认
风险计算
风险是否接受
保持已有的安全措施
选择适当的安全措施并评估残余风险
实施风险管理
风险识别描述
是否接受残余风险
风险分析
评估过程文档
评估过程文档
风险评估文件记录
评估结果文档
…………………
原来风险高、低是可以相互变化的,但有些低风险也不可大意,因为保持已有的控制措施是一个长期、坚持的过程
当风险不能消除时,只有使其剩余风险降到可接受风险程度。因此可以认为此类风险有两个值,实施控制措施前和实施控制措施后。
构建风险管理的过程-风险控制
来自风险评估报告的风险级别
步骤1:对行动优先级进行排序
由高到低的行动优先级
风险评估报告
可能的控制清单
成本效益分析
所选择的安全控制
责任人清单
安全措施实现计划
步骤2:评估所建议的安全选项
可用性、有效性
步骤3:实施成本效益分析
步骤4:选择安全控制
步骤5:分配责任
步骤6:制定安全措施的实现计划
风险及相关风险的级别
优先级排序后的行动
所建议的控制
所选择的预期控制
责任人员
开始日期
目标完成日期
维护要求
步骤7:实现所选择的安全控制
残余风险
构建风险管理的过程-可接受风险和残余风险
降低风险发生可能性
新增或强化
安全措施
残余风险
能接受?
减少风险发生后影响
维 持
是
否
如果一个人认为风险控制就是执行应急预案,那么风险永远都无法解决。风险控制先后是规避、消除、转移、减少
例如:设备维护保养、设备一用多备、检测、检查(日、周)、操作规范等
例如:预案演练、消防设备可用性、满足性、不存放易燃易爆化学品等
构建风险管理的过程-风险评估
策划风险控制措施应考虑的因素
----如果可能,完全消除风险
----如果不可能消除,应努力降低和减少风险
----利用技术进步,改善控制措施
----将技术管理与程序控制结合起来
----要求引入计划的维护措施
----应急方案的需求
----预防性测定指标的监测控制措施是否符合计划要求
----计划的控制措施是否能使风险降低到可容许的水平
----在实施这些措施时是否会产生新的风险
----是否已选定了投资效果最佳的方案
----计划的控制措施是否会被应用于实际工作中
构建风险管理的过程-风险监控、风险报告和沟通
监控为了保障风险管理方案和计划的持续有效性。包括监控手段和监控频率
由于风险因素的概率、影响和环境都在不断发生改变,风险管理的过程必须循环进行。风险监控主要包括对风险处置方案的进展情况、效果进行评价,以及经验和教训总结等。
风险报告:
帮助公司领导了解公司所面临的最显著的风险
让组织保持适当的警觉
知道组织管理危机的方法
让利益相关者对组织风险管理有信心
使风险管理程序持续有效
帮助各部门和个人了解各自领域的风险现状及进行风险管理的重要性
系统性且及时地向上级报告风险管理所取得的效果和存在的不足
构建风险管理的过程-风险管理之组织和流程
项目计划及各专业业务风险识别
构建风险管理的过程-公司BCP对基础设备设施的要求
1级业务连续性事件:导致50%以上公司正常业务无法进行,严重影响公司持续交付能力的事件。例如大面积网络故障、IT应用系统出现重大故障、6级以上地震、特大台风、海啸、重大或特大火灾事故、化学品大规模泄露、爆炸事故、公司高层领导发生人身意外、员工大面积中毒、群体突发恶性传染病等。
2级业务连续性事件:导致大于10%,小于50%的公司正常业务无法进行,影响公司的持续交付能力的事件。例如局部网络故障、IT应用系统故障、4级-6级地震、暴雨、一般火灾事故、员工集体活动发生交通意外等。
公司业务连续性管理和恢复组织应在小时内响应;公司在发生2级业务连续性事件时,主业务流程的关键业务功能应在24小时内恢复运作;公司在发生1级业务连续性事件时,主业务流程的关键业务功能应在72小时内恢复运作。
构建风险管理的过程-公司BCP对基础设备设施的要求
12
12
技术支持/服务
24
24
工程设计/安装
24
48
市场
24
48
产品开发
8
8
制造
8
8
物流
8
8
采购
24
48
计划
8
8
销售
关键业务
I
目标恢复时间
(小时)
最大容忍中断时间
(小时)
业务单元
