危機管理
This presentation is the property of its rightful owner.
Sponsored Links
1 / 113

指導 教授 : 盧淵源 教授 第七組成員 : 陳源裕 8922404021 潘呂美 9421408007 楊志偉 9421408040 許勢斌 9421408029 PowerPoint PPT Presentation


  • 46 Views
  • Uploaded on
  • Presentation posted in: General

危機管理 與 營運持續管理. 指導 教授 : 盧淵源 教授 第七組成員 : 陳源裕 8922404021 潘呂美 9421408007 楊志偉 9421408040 許勢斌 9421408029 吳瑞春 9222404002 鍾少櫻 9122404012. Task Force.  History Review : 陳源裕 (5 min.)  I nfrastructure : 陳源裕、許勢斌 (15~20 min.)  Case Study(25 ~30min.)

Download Presentation

指導 教授 : 盧淵源 教授 第七組成員 : 陳源裕 8922404021 潘呂美 9421408007 楊志偉 9421408040 許勢斌 9421408029

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


8922404021 9421408007 9421408040 9421408029

危機管理

營運持續管理

指導 教授 : 盧淵源 教授

第七組成員 : 陳源裕 8922404021

潘呂美 9421408007

楊志偉 9421408040

許勢斌 9421408029

吳瑞春 9222404002

鍾少櫻 9122404012


8922404021 9421408007 9421408040 9421408029

Task Force

History Review :陳源裕 (5 min.)

Infrastructure :陳源裕、許勢斌(15~20 min.)

Case Study(25 ~30min.)

TFT-LCD Industrial Risk:許勢斌

General Industrial Risk:楊志偉

Service Field Risk & Control:吳瑞春、潘呂美


8922404021 9421408007 9421408040 9421408029

Content

Review & History

General Description of Risk

General Description of BCP

General Description of BCM


8922404021 9421408007 9421408040 9421408029

Review & History


8922404021 9421408007 9421408040 9421408029

  • 管理金三角

  • Management Golden Triangle


8922404021 9421408007 9421408040 9421408029

  • Risk & BCP & BCM

  • 人無遠慮,必有近憂

  • 窮則思變與居安思危

  • 智者千慮,必有一失

  • 英國著名戲劇大師莎士比亞說:“世事的起伏本來就是波浪式的。我們現正在潮漲潮落的海上飄浮,倘不能順水行舟,我們的事業就會一敗塗地。

  • 美國著名諮詢顧問史蒂文·芬克(Steven Fink)在《危機管理》一書中指出,企業主管“都應當像認識到死亡和納稅難以避免一樣,必須為危機做好計畫:知道自己準備好之後的力量,才能與命運周旋”。

  • 《危機管理》一書的作者諾曼·奥古斯丁則說:“幾乎每一次危機都既包含導致失敗的根源,也孕育著成功的種子。發現、培育以便收穫這個潛在的成功機會就是危機管理的精髓。相應的,習慣於錯誤估計形勢並令事態進一步惡化則是不良危機管理的典型特徵。


8922404021 9421408007 9421408040 9421408029

  • Risk & BCP & BCM

  • 在《聖經》中有這樣一個故事:世人都在盡情享樂、歌舞昇平的時候,偌亞卻在孜孜不倦地鑿制他的方舟。當漫天的洪水驟然而降,惟有偌亞登上方舟使得他的家庭與萬靈的自然界逃過此劫、重獲新生。

  • ………………………………………….

  • …………………………………………


8922404021 9421408007 9421408040 9421408029

  • Risk & BCP & BCM

  • 自然災害危機

    921、八掌溪、阪神大地震、火災

  • 科技意外危機

    SARS、核三廠3A事故、挑戰者爆炸、印度Bhopal毒氣事件

  • 交通事故危機

    華航大園空難、韓航客機事件

  • 人為誘發危機

    謠言、恐怖主義、解雇、暴動

  • 區域衝突與戰爭危機

    古巴飛彈危機、911、中美軍機擦撞事件、福克蘭群島戰爭


8922404021 9421408007 9421408040 9421408029

  • ICS 之緣起

1970年代,美國南加州地區缺乏火 災之緊急跨機關運作,導至面對救 災無效續及耗費資源。美國林務署被指定率先發展緊急應變系統。

1980年代,緊急應變系統已經發展 完成,並適用於各類災害。目前已變成國際性系統,並轉介至其他國 家。


8922404021 9421408007 9421408040 9421408029

  • 美國政府及ICS的文化背景

中央到地方政府

緊急應變決策權─地方政府。

政治團體的專家代表。

ICS的職位資格依專長、經驗授與, 而非依職

務較高或資歷高。

美國有各種不同技術群應付各種 災害。


8922404021 9421408007 9421408040 9421408029

  • Why ICS?

須對納稅人/股東/投資人做有效率之反應。

媒體上傳播需可見而適當。

須有組織,並透明化。

須在作業上及政治上聚焦。

需集合最有經驗資格的人員/專家作決 策角色。


8922404021 9421408007 9421408040 9421408029

  • Fundamental of CIS

指揮與協調統籌。

法定臨時編組。

各機關負責應變指揮官運作應變 計畫之各種權限,但相關機關保有 其監督權。


8922404021 9421408007 9421408040 9421408029

  • Function of CIS

模組化容許因應災害程度的不同增減。

可用於任何災害,例如:地震、洪水、 火災、颱風等。

提供公司/機關或跨機關之單一管理系統。

可整合融入的任何資源,例如:其他廠商、警察、 軍隊、民間團體,亦可用於處理非災害 性事件。


8922404021 9421408007 9421408040 9421408029

  • Function of CIS

提供機關或跨機關之單一管理系統。

模組化容許因應災害程度的不同增減

可用於任何災害,例如:地震、洪水、 火災、颱風等。

可整合融入的任何資源,例如:警察、 軍隊、民間團體,亦可用於處理非災害 性事件。


8922404021 9421408007 9421408040 9421408029

  • Function of CIS

ICS的組成

清晰的目標及順序。

釐清角色與責任。

具體的職位說明。

標準化人員組訓。

指揮線及回報要求明確。

共同術語與資源。

共同通訊。

相容設備。

行動計畫。

作業期。


8922404021 9421408007 9421408040 9421408029

  • Main Function of CIS

ICS主要功能

指揮:建立目標,並付全責。

計畫:發展行動計畫、資訊蒐集、 文件提供。

後勤:服務及支援。

行政:一般管理(監督、計時、 採辦)。

作業:執行行動計畫。


8922404021 9421408007 9421408040 9421408029

  • Organization

組織架構

指揮官

For example

資訊官

安全官

連絡官

安全官 連絡官

行動計畫部

務部

後勤部

財務管理


Some misconceptions

Some misconceptions . . .

We have insurance

cover

Isn’t it a dead

investment?

We take

regular

backups

We have,

trained staff

We can operate

without computers

It will not

happen

to us

It is not our main

Business

and we accept the risk


Some missed comments

Some missed comments . . .

We will cross the bridge …

Take care of it

NOW

Later….

Excellent!

We will have it

some day

What our techies

are doing?

We are not in

NY


8922404021 9421408007 9421408040 9421408029

General Description of Risk


8922404021 9421408007 9421408040 9421408029

Risk

NATURAL

UNINTENTIONAL

INTENTIONAL


E security

E – Security

  • Physical

  • Logical

  • Network Access Security


Risk evaluation

Risk Evaluation

  • Disaster Event Scenarios

  • Risk Ranking of Functions

    • Critical

    • Vital

    • Sensitive

    • Non-critical


Varying levels of disaster

Varying Levels of Disaster

  • NON – DISASTER

  • DISASTER

  • CATASTROPHES


8922404021 9421408007 9421408040 9421408029

  • Risk - Measures of likelihood


Measures of consequences

Measures of Consequences


Qualitative risk analysis matrix

Qualitative risk analysis Matrix


Impact analysis

Impact Analysis :

•Loss of key staff;

•Loss of vital records;

•Global issues, such as change in political climate;

•Difficulty of operational integration across borders;

•Disruption of importing and exporting functions;

•Critical labor relationships;

•New revenue streams;

•Supplier disruptions; and

•Regulatory controls.


Impact analysis1

Impact Analysis :

•Extraordinary recovery expenses;

•Technology recovery requirements;

•Special recovery resource requirements;

•Critical disaster-specific information systems support;

•Internal and external dependencies;

•Existing and required work-around procedures; and

•Insight into the organization’s current state of preparedness.


8922404021 9421408007 9421408040 9421408029

•Which business units, operations and processes are essential to the survival of the organization;

•How quickly essential business units or processes have to be back in operation before the impacts are catastrophic;

•What are the most plausible recovery alternatives to meet the recovery windows;

•What resources are needed to resume operations at a survival level for the essential parts of the business;

•What elements must be pre-positioned in order to meet the recovery windows;


Impact analysis decision

Impact Analysis : Decision

•What will be reused and recovered and to what capacity levels over what period of time;

•What changes, if any, need to be implemented in the supply chain, inventory and distribution management programs;

•How to address the organization’s internal and external interdependencies; and

•What recovery and continuity policies and procedures must be in place to address both a short-term disaster such as a brief systems failure or a long-term major property loss.    


Critical recovery time period

Critical Recovery Time Period

  • Depends on the nature of business

  • Applications to be recovered

  • End User Computing Resources

  • Processing Priorities


Critical parameter

Critical Parameter

  • Critical Business Functions

  • Acceptable Recovery Time

  • Resources Committed

    • Major Divisions

      • Support Services

      • Business Operations

      • Data Processing Support


Business continuity

Business Continuity

  • Why is it the responsibility of Senior Management?

  • What are the components of Business Continuity Plan?

    • Senior Management

    • User Management

    • User & Data Processing Procedures

    • Personnel who must respond to Disaster Scenarios are most important


Key decision making personnel

Key Decision Making Personnel

  • Team Leaders

  • Equipment and S/w Vendors

  • Recovery Site Representatives

  • Network Re-routing Services

  • Offsite Media Custodians

  • Insurance Agents

  • Contract Services


Procedures

Procedures

  • Emergency Action Procedure

  • Notification Procedure

  • Disaster Declaration

  • Systems Recovery

  • Network Recovery

  • User Recovery (Manual Procedures)

  • Salvage Operations


Bcp reconstruction methodologies

BCP & Reconstruction Methodologies

  • Emergency Action Team

  • Damage Assessment Team

  • Emergency Management Team

  • Offsite Storage Teams

  • Software Team

  • Application Team

  • Security Team

  • Emergency Operations Team


Computer hardware alternatives

Computer Hardware Alternatives

  • Hot Sites

    • Ready to Operate Within Several Hours

    • Not for long term extended use

    • Network Component

  • Warm Sites

    • Partially Configured with network connections

    • Without Main Computer

  • Cold Sites

    • Site with only basic environment


Off site facilities

Off-Site Facilities

  • Security and Control of Off-Site Facilities

    • Physical Access Controls

    • Environmental Monitoring & Control

  • Media and Documentation Backup

    • Periodic Backup Procedures

    • Frequency of Rotation

    • Various Media and Documentation Created

    • Inventory (list) must be maintained

    • Automated Tape Management System


Basic premise

Basic Premise

  • Senior Management Involvement

  • Cost Effective

  • Multiple Levels of Recovery

  • Disaster Recovery Plan

  • Drills, Upgrades and Audits


8922404021 9421408007 9421408040 9421408029

  • DRP Testing

  • Goals of Testing

    • To validate (and identify flaws in) plan procedures and strategies;

    • To obtain information about recovery strategy implementation time;

    • To demonstrate output performance of systems, networks and backup in recovery mode and compare with the same in production mode;

    • To demonstrate recovery plan adequacy to examiners, auditors and management;

    • To adapt existing plans to encompass new requirements of the business;

    • To familiarize recovery teams with their roles within the plan.


8922404021 9421408007 9421408040 9421408029

  • Risk Management - final

危機管理十大禁忌

1) 缺乏預見性

2) 分不清危機和機遇

3) 資訊渠道不暢

4) 慣性思維

5) 三心二意

6) 決策不果斷

7) 措施不堅決

8) 做表面文章

9) 言而無信

10) 盲目樂觀


8922404021 9421408007 9421408040 9421408029

  • Risk Management - final

一、企業危機管理之道

1.什麼是危機管理

2.危機永遠與機遇並存3.防患未然勝過亡羊補牢


8922404021 9421408007 9421408040 9421408029

  • Risk Management - final

二、企業危機的系統性

1.產品危機

2.市場危機3.管理危機 4.媒體危機

5.法律或政策危機


8922404021 9421408007 9421408040 9421408029

  • Risk Management - final

三、企業危機的發展性

1. 危機孕育期 ——星星之火

2. 危機爆發期 ——大火猛烈3. 危機擴散期 ——火勢蔓延

4. 危機消失期 ——大火熄滅


8922404021 9421408007 9421408040 9421408029

  • Risk Management

四、企業危機的矛盾性

在風險中孕育著機會,在機會中也有危險在暗流湧動。一方面,危機在不同程度上會導致產品銷售額下降、產品市場份額減少,甚至企業虧損、倒閉、破產等不良後果;另一方面,危機同樣存在可被企業借勢的有利因素,提升企業和品牌的形象,鞏固並重塑市場信心與信譽,穩固並延伸客戶群,從失利的邊緣贏得勝利。  


8922404021 9421408007 9421408040 9421408029

General Description of BCP(Business Contingency Plan)


Business continuity planning

Business continuity planning

Prevention

Response

Resumption

Recovery

Restoration


8922404021 9421408007 9421408040 9421408029

BCP

  • The process of:

    • development

    • testing

    • maintenance of a plan

  • To assist the organisation:

    • recover critical IT systems in an effective and efficient manner

    • to ensure minimal business disruption


8922404021 9421408007 9421408040 9421408029

BCP

  • DRP (Disaster Recovery Plan)

    • Plan to recover out from a Disaster

  • BCP (Business continuity plan)

    • Plan for Business Continuity Planning

      • In case of Disasters/ Non Disasters


Bcp objectives

BCPObjectives:

  • Ensuring health and life safety protection;

  • Minimizing interruptions to business/service operations;

  • Resuming critical operations within a specified time after a disaster;

  • Minimizing financial loss;

  • Assuring clients, customers, community, suppliers, employees and share holders and stakeholders that their interests are protected; and

  • Maintaining a positive public image of the organization


8922404021 9421408007 9421408040 9421408029

COSTS


Bcp methodology

BCP Methodology

  • Risk Assessment- Identifying and assessing threats and vulnerabilities

  • Business Impact Analysis- Ascertaining economic impact of disasters on business functions and processes

  • Planning- Formulating comprehensive plan covering the assets, employees and business goals

  • Implementation and testing- Iterating on testing and refinement

  • Maintenance- Reviewing on ongoing basis to keep the plan up-to-date


Call tree

Call Tree


Bcp final

BCP- final

營運持續計畫( Business Continuity Plan, BCP )是一種策略規劃,當災難發生致使企業主要業務或服務中斷時,業務連續性計畫可確保迅速恢復主要業務的正常與持續運作。業務連續性計畫不僅包含電腦系統的恢復計畫,還包括關鍵業務的持續運作計畫,如恢復組織、人力資源、對外溝通等。


8922404021 9421408007 9421408040 9421408029

General Description of BCM(Business Contingency Management)


8922404021 9421408007 9421408040 9421408029

BCM

Business Continuity Management is the act of anticipating incidents which will affect mission critical functions and processes for the organization and ensuring that it responds to any incident in a planned and rehearsed manner.


8922404021 9421408007 9421408040 9421408029

  • Future Developments – BCM process


8922404021 9421408007 9421408040 9421408029

  • 911-Outcome

  • The McKinsey report estimated that

    • business interruption costs totaled $1.8 billion

    • building damage costs reached $30 billion.

  • Trauma and stress affecting the ability of personnel to perform effectively.

  • Companies had failed to update disaster recovery capacity requirements as their business needs grew.


8922404021 9421408007 9421408040 9421408029

  • Why BCM?

  • It is less expensive to avoid or mitigate a risk than to restore resources to "business as usual" after an interruption event.

  • If the business continues to operate in the face of an interruption event, it will

    • keep its customers satisfied (and not lose them to the competition)

    • may pick up some new customers

  • It may lower insurance costs and enhance the business’ standing in the financial community


Need of bcp

Need of BCP

  • Organization/Business survival might depend on it.

  • Interruptions cost money.

    Downtime results in increased expenses, lost revenue, and lost customers.

  • Contractual obligation.

    Most large companies stipulate in their contracts that suppliers must deliver the services or products they've contracted for - no matter what.

  • Statutory requirement.

    Many countries made BCP as statutory requirement for running business


Need of bcm

Need of BCM

  • Ever-growing dependence on IT.

  • Business and government cannot function if computers are inoperable.

  • For business, the stakes are high:

    • inability to serve customers,

    • loss of goodwill,

    • missed opportunities,

    • inability to compete

    • direct financial loss due to the inability to conduct financial transactions or ship products

    • legal liabilities.


8922404021 9421408007 9421408040 9421408029

  • Business & BCM


Business continuity management

Business Continuity Management

  • BCM Includes:

  • A project for development of Business Continuity Plan

  • Disaster Recovery Procedures

  • Plan Testing

  • Documentation of Plans

  • Monitoring and updating.

    • Assets Identification

    • Business Impact Analysis

    • Assets Classification

    •  Alternate procedures

    • Cost-Benefit analysis


Business continuity management1

Business Continuity Management

  • Disaster Recovery Procedures

    Recovery priorities

    • Recovery arrangements

  • Plan Testing

    • Paper Test/Walk Through/Table-top test

    • Preparedness Test

    • System test

    • Drills….

  • Documentation of Plans


Business continuity management2

Business Continuity Management

  • Monitoring and updating.

    • Periodic testing

    • Test result and adjustments

    • Changes in:

      • Assets

      • Persons/Team/Contact detail

      • Environment

      • Threats

    • New Threats and Vulnerabilities

    • Maintenance of up-to-date Documentation


8922404021 9421408007 9421408040 9421408029

  • DRP Types of test

  • Modular tests

    Test a set of procedures

  • Strategy tests

    Validate entire strategy

    Determine implementation times of plan strategies

  • Parallel tests

    Validation of recovery strategy’s capability to handle the anticipated workload

    Establishing shift schedules for recovery operations

  • Mock disasters

    A disaster scenario is articulated and recovery teams step through procedures to cope with the interruption


Building blocks

Building Blocks

Recovery

Strategy

Insurance

Prioritisation

of Activities

Emergency

Procedures

Periodic Review

and Updation

BCP

Teams and

Responsibilities

Testing and

Administration

Proper

Documentation

Cross-trained

Personnel

Effective

Communication


Bcp final1

BCP-final

Part 1 BCM Infrastructure

Part 2 建立BCMS的五大步驟


8922404021 9421408007 9421408040 9421408029

  • Future Developments – BCM process


8922404021 9421408007 9421408040 9421408029

General Description of BCM Flow


8922404021 9421408007 9421408040 9421408029

  • 事故發生的應變流程

營運持續/復原策略決定

BCM

事故

日常管理

評估改善

緊急應變

階段

營運持續

管理階段

災後復原

階段

事故發生前

1hr.-2days

2days-復原

事故發生時

0-1hr.

‧危害預防

‧工程控制

‧要項備援

‧定期稽核

‧持續改善

‧火災爆炸

‧化學災害

‧天然災害

‧水源短缺

‧流行疾病

‧緊急應變

‧災害控制

‧人員撤離

‧緊急供應

‧物資搶救

‧事件控制

‧媒體溝通

‧員工安撫

‧政府因應

‧擬定決策

‧善後清理

‧復原規劃

‧人力安排

‧保險因應

‧產能移轉

廠區重點區域演練

年度疏散演練


8922404021 9421408007 9421408040 9421408029

  • 風險管控

銀行保險業製造業


8922404021 9421408007 9421408040 9421408029

  • 營運持續計畫之組織定位

Head of BCM

復原策略及營運復原優先順序

應變策略及決策目標

公司管理高層策略面

營運持續管理委員會主任委員

事件再發生之

預防與控管

暢通溝通管道

及事件監測

營運持續管理委員會委員

緊急應變小組

指揮官

災害復原小組

指揮官

公司各部門

執行面

災害搶救與穩定災情

災害復原小組

成員

緊急應變小組

成員

營運復原工作之執行與進度回報


8922404021 9421408007 9421408040 9421408029

  • 營運持續管理委員會組織圖

營運持續管理委員會主任委員

發言人

公關部

緊急應變指揮官

執行秘書

安全幕僚

緊急應變組織

客戶代表委員

法務委員

廠務委員

採購委員

製造委員

財務委員

資訊委員

人資委員

生產企劃委員


8922404021 9421408007 9421408040 9421408029

  • 營運持續管理委員會啟動時機流程圖

事件發生

緊急應變小組

抵達事故現場

並應變

衝擊程度評估與呈報主任委員

事件是否符合適用範圍

緊急應變小組逕行處理

處理完成回報&

啟動營運持續管理委員會

書面報告

事件是否衝擊公司持續

持續進行狀況收集與彙整

營運

事件處理完成&

/

啟動營運持續

災後復原計畫

書面報告

/

營運營運持續

災後復

原任務分派

定期進度追蹤與查核

事件處理完成&書面報告


8922404021 9421408007 9421408040 9421408029

  • 營運持續管理委員會啟動時機


8922404021 9421408007 9421408040 9421408029

  • 營運持續管理委員會運作流程圖

營運持續管理委員會主任委員

監督事件發展

啟動營運持續管理委員會

掌控事件衝擊狀況

審核事件控制策略

委員會之運作管理

追蹤運作成效

每日呈報董事長


8922404021 9421408007 9421408040 9421408029

  • 營運持續管理委員會運作流程圖

營運持續

災後復原

緊急採購

工程發包

硬體建設

安衛管理

MFG

新廠規劃

生產規劃

MM

FAC

客戶安撫

事故說明

IE

CS

BCM

策略傳達

進度追蹤

PC

SPD

客戶聯繫

產能調配

LEGAL

HR

法律諮詢

文件控管

FIN

IT

QA

公關事務人力調配

保險因應

資金調配

資料復原

系統新建

品質掌握

新廠認證


8922404021 9421408007 9421408040 9421408029

  • 營運持續與災後復原期程簡表

召開記者會,透過媒體發佈有利新聞稿

規劃、訓練與演練

緊急應變

委員會啟動

執行狀況回報

指揮官檢討報告

委員任務執行

回報

制定策略

擬定計劃

轉廠完成

建廠階段

建廠階段

測試驗收

建廠完成

事故

1w

2w

4w

8w

12w

1h

2h

4h

8h

12h

24h

48h

20w

平時

緊急應變階段

營運持續管理階段

營運持續災後復原


8922404021 9421408007 9421408040 9421408029

  • Case Study-1 銀行作業風險

  • 相信別人是美德?慘痛的教訓。

  • 案例:理財專員監守自盜

  • 得逞關鍵:利用客戶與同事及主管之信任

  • 客戶損失:零

  • 銀行損失:挪用金額的一半;形象受損

  • 保險公司:另一半

  • 後續:持續追償中


8922404021 9421408007 9421408040 9421408029

  • CS2- 審計風險管理

前   言

由於近年來一連串之會計舞弊掏空案件接踵發生,而主管機關及目前時勢潮流對會計師之專業角色要求越趨嚴格,面對如此嚴峻惡劣的外在執業環境,會計師如何作好審計風險管理,提升財務報表資訊品質及會計師查核簽證之品質,已成為大家必須面對的重要課題。


8922404021 9421408007 9421408040 9421408029

  • CS2 審計風險管理

因 應 措 施

  • 加強審計規劃與審計風險評估

  • 落實查核工作,避免審計失敗

  • 做好整體財務報表之風險評估

  • 其他建議

  • 強化公司治理

  • 會計師與審計委員會之互動


8922404021 9421408007 9421408040 9421408029

  • CS-2 審計風險管理

加強審計規劃與審計風險評估(續)

  • 委任及客戶風險評估,應考量下列風險項目:

  • 1、管理當局之特性與正直性

  • 2、組織及管理體系

  • 3、企業特性及企業環境

  • 4、審計委任之特性

  • 5、關係企業圖及關係人

  • 6、以往之專業知識及經驗

  • 7、蓄意誤述財報表達之可能性


8922404021 9421408007 9421408040 9421408029

  • CS2- 審計風險管理

加強審計規劃與審計風險評估(續)

  • 8、舞弊之可能性

  • 9、控制活動

  • 10、重大事件或不尋常之交易

  • 11、風險確認及其因應之道

  • 12、有關審計委任風險之全面性評估及其因應之道

  • 13、超然獨立及利益衝突之結論

  • 14、企業狀況之觀察


8922404021 9421408007 9421408040 9421408029

  • CS2- 審計風險管理

沙賓法案之目的

強化公司治理

強化公司治理

提升獨立性

強化監督


8922404021 9421408007 9421408040 9421408029

  • CS2- 審計風險管理

強化公司治理

強化監督

提升獨立性

強化公司治理

  • 經理人員獎酬之歸還、公司內部放款之禁止

  • CEO/CFO為公司財務報告及相關揭露負保證責任,並加重 刑責(最高20年至25年刑責)

  • 管理當局內部控制評估之規定

  • 審計委員會之設立

  • 公司道德規範的建立

  • 財務報表資訊之及時揭露…


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變

台灣常見天然災害種類

  • 颱風

  • 地震

  • 豪雨(水災)

Emergency Response Team

(ERT)組成(以防颱為例):


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變

火災爆炸

SPEC NO.

Emergency response plan for fire incident

化學災害

SPEC NO.

The safety & hygiene contingency plan for handling the accidents of chemical leakage

天然災害

SPEC NO.

Natural disaster prevent and relieve measure plan

SPEC NO.

Typhoon preparedness and emergency response plan

ERP

SPEC NO.

Emergency response plan for earthquake incident

供應短缺

SPEC NO.

Electric power interruption emergency response plan

SPEC NO.

Water shortage emergency response plan

流行疾病

SPEC NO.

Contagious diseases contingency plan procedure

SPEC NO.

Emergency response plan for avian influenza

緊急救護

SPEC NO.

Emergency medical treatment contingency plan procedure


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變

防颱作業說明:

◎成立防颱指揮中心

成立時機:

各廠環安單位依據中央氣象局發佈之陸上颱風警報內容,報

請廠區總指揮官依颱風強度及行經路徑等核決後,即成立防颱指

揮中心。

設立地點:

設置於各廠區之廠務監控室。

防颱會議前安全巡檢:

廠區內各單位接獲成立防颱指揮中心訊息後,須針對所屬責

任區域進行防颱安全巡檢,並於防颱會議中報告巡檢結果。


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變

召開防颱會議:

防颱指揮中心成立後,由廠區總指揮官負責召集廠區內各單

位防災幹事,舉行防颱會議。會議內容得包含下列項目:工廠生

產運作因應狀況、廠務系統持續運轉情形、防颱安全巡檢缺失討

論、防颱值班編組、防颱應變器材檢討、颱風期間飲食、住宿、

公務車、交通車等

準備情形。

颱風期間有關各廠區各班別等出勤公告及加班薪資計算等,

均由人資單位統一發佈。

各廠環安單位應於防颱會議後,彙整防颱值班編組名冊、緊

急事故通報與支援單位電話表,以利意外事故之緊急應變理通報。

行政管理單位督促警勤人員執行廠區巡邏安檢工作。


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變

◎颱風過境

各廠防颱值班人員及警勤人員,應掌握個項狀況並與防颱指

揮中心保持連絡。

廠務值班人員對廠房內、辦公大樓仍應正常或加強巡查。從

事任何事務,均應注意己身安全並與防颱指揮中心保持密切連絡;

外出支援須向防颱指揮中心報備。

非特殊狀況,不得至戶外空曠或危險積水區域出入。

風雨過大時,各廠防颱值班人員及警勤人員得報備停止廠區

巡邏;俟風雨稍歇時可開公務車巡廠,並立即向防颱指揮中心報

告狀況。


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變

◎颱風過境後復原作業

各廠防颱值班人員及警勤人員應巡邏全廠區(含大樓區域),

並注意己身安全。

各廠處及各建築物應統計(內、外)損壞情形(含漏水、積水現

象)。

迅速將損壞狀況回報防颱指揮中心,並通知相關負責單位進

行修護作業。

防颱指揮中心於陸上颱風警報解除後,得由廠區總指揮官召

開災後檢討會議進行檢討,之後再解除編組。


8922404021 9421408007 9421408040 9421408029

  • CS3-天然災害應變


8922404021 9421408007 9421408040 9421408029

  • CS4-策略及風險導向的控管模式

未來性、不確定性

策略風險評估

SWOT

公司概況

PEST

五力分析

利害關係人

願景、目標、策略

策略性風險 (SBRs)

歷史性、例行性

主要營運活動

IT 作業

IT 安全控管管

策略作業及風險

主要作業流程

四種對策:

-接受風險

-移轉風險

-降低風險

-避開風險

控制作業

作業流程風險


8922404021 9421408007 9421408040 9421408029

  • CS4-策略及風險導向的控管模式

未來性、不確定性

策略 風險評估

SWOT

公司概況

PEST

五力分析

利害關係人

願景、目標、策略

歷史性、例行性

策略性風險 (SBRs)

主要營運活動

平 衡 計 分 卡

策略性重要績效指標

標竿

作業流程風險

非財務性

財 務 性

作業流程重要

績效指標

財務報表分析


Strategic business risks sbrs

  • CS4-策略及風險導向的控管模式

企業策略性風險Strategic Business Risks (SBRs)


8922404021 9421408007 9421408040 9421408029

  • CS4-IT/MIS Audit/Risk

資訊安全 = 風險管理與控制

需要一套完整之政策,組織,標準,目標,程序與工具!


8922404021 9421408007 9421408040 9421408029

  • CS4-IT/MIS Audit/Risk

IT價值以 “企業營運” 為基礎

  • 為達成企業目標而引進的資訊技術包括:

    • E-Business

    • ERP/MRP

    • PDM

    • Intranets

    • Extranets

    • :

    • :


8922404021 9421408007 9421408040 9421408029

  • CS4-IT/MIS Audit/Risk

IT價值以 “安全需求” 為本質

  • 新的 IT 資訊技術必須確保資料與資訊的:

    • 保密性(Confidential)

      • 避免非法的人看到資料

    • 完整性(Integrity)

      • 避免非法的人竄改資料

    • 可用性(Available)

      • 讓合法的人想用就可以用


8922404021 9421408007 9421408040 9421408029

  • CS4-IT/MIS Audit/Risk

安全管理要項

資訊安全管理程序

E-mail收發管理

E-mail使用管理規定

實體安全管理

其他相關法規之配合

資料安全管理

網路安全管理


8922404021 9421408007 9421408040 9421408029

  • CS4-IT/MIS Audit/Risk

風險分析 (R.A.)

風險管理 (R.M.)

風險審查

安全是一種 “不斷調整” 的過程

+

Detect

Security =

Respond


8922404021 9421408007 9421408040 9421408029

  • CS4-IT/MIS Audit/Risk

威脅

、弱點

與衝擊

風險管理方法

與安全保證程度

資訊

資產

盤點

1.為資訊

安全政策

下定義

3. 進行

資訊風險

評估

4.進行

資訊風險

管理

結果

選擇的

控制項目

被管理

的風險

範圍

評估

評估

定義

定義

------

------

-----

6.準備

適用性

的陳述

------

------

-----

選擇原理

------

文件化

-----

選擇的控制

目的與控制

適用性

的陳述

資訊安全管理架構

2.為 ISMS

之範圍

下定義


8922404021 9421408007 9421408040 9421408029

  • CS4-IT/MIS Audit/Risk

資產分類及評價

鑑別脆弱點

法令合約分析

業務需求分析

威脅分析

衝擊分析

風險計算

區分風險等級

資訊風險評估步驟


8922404021 9421408007 9421408040 9421408029

  • CS4-IT/MIS Audit/Risk

資訊安全作業的相關標準

  • ISO 17799 / BS 7799 security requirements established by the British Government

  • FISMA requirements established by GAO for federal govt.

  • COBIT requirements established by Information Systems Audit and Control Association (ISACA)

  • IETF Site Security Handbook and User Security Handbook

  • CIS Rulers – Minimum standards of due care from The Center for Internet Security, a new world-wide standards consortium

  • The Top 20 Internet Security Threats from SANS

  • VISA's ten requirements for 21,000 organizations with the VISA logo

  • SAS 70 and SysTrust requirements established by the AICPA


Bs 7799 2

  • CS4-IT/MIS Audit/Risk

(Security Policy)

(

1

2

)

、安全政策

(Security Organization) (3

10)

、安全組織

(Asset Classification and Control) (2

3)

、資產分類與控制

、通訊與作業管理

安全

、實體及環境

、人員安全

、系統開發及

(Communications

and

(Physical and

(Personnel Security)

(Systems

維護

Operations Management)

Environmental

(3

10)

Development and

(7

24)

Security) (3

13)

Maintenance)

(5

18)

(Access Control) (8

31)

、存取控制

(Business Continuity Management) (1

5)

、營運持續管理

(Compliance) (3

11)

、符合性

BS 7799-2的 十大 控制方法


8922404021 9421408007 9421408040 9421408029

  • CS5-緊急事件通報流程圖

一般同仁

部門主管

非上班日

上班日

火災

一般災害

自衛消防

編組

管理總務處

&警衛

服務中心

0800011686


8922404021 9421408007 9421408040 9421408029

  • CS6-SARS & Bird Flu

ING安泰人壽的SARS危機管理

  • 松下重新認識到(SARS)危機管理的重要性

  • 肯德基對抗禽流感

  • 摩托羅拉的危機管理


8922404021 9421408007 9421408040 9421408029

No risk is “ tolerable ” and " acceptable "

Thank you so much

for your listening!

Q&A


  • Login