當(dāng)前位置：東奧會計在線 > CMA美國注冊管理會計師 > 管理會計案例 > 正文

風(fēng)險災(zāi)難恢復(fù)之路

來源：東奧會計在線責(zé)編：張春恒2017-06-21 16:32:38

幾乎所有的組織都面臨著潛在的災(zāi)難風(fēng)險，包括網(wǎng)絡(luò)攻擊、政治動蕩和自然災(zāi)害。例如今年4月，通用汽車在委內(nèi)瑞拉的工廠被資金短缺的政府接管。又如凱悅酒店、聯(lián)盟健康、溫迪、威瑞森公司、領(lǐng)英、民主黨全國委員會、花旗銀行和CiCi的披薩等都是在2016年遭遇嚴(yán)重網(wǎng)絡(luò)攻擊的數(shù)千家美國公司中的一員，暴露了數(shù)以百萬計的客戶或成員的個人信息。去年10月，颶風(fēng)“馬修”在北卡羅來納州的洪災(zāi)所致的損失估計約為15億美元，造成眾多人員傷亡和許多企業(yè)被迫關(guān)閉。

考慮到各種災(zāi)難出現(xiàn)的可能性，企業(yè)必須提前為此類事件做好準(zhǔn)備。但企業(yè)果真這樣做了嗎？為了回答這個問題，IMA美國管理會計師協(xié)會于2017年3月對高級財會金融專業(yè)人士進行了一項相關(guān)調(diào)研，詢問他們的公司如何準(zhǔn)備應(yīng)對災(zāi)難風(fēng)險和災(zāi)后恢復(fù)。

結(jié)果表明，在過去的三年中，42個被調(diào)查者中有三分之一的公司經(jīng)歷過某種類型的重大災(zāi)難(去年為21%)。他們最關(guān)心的是以下類型的災(zāi)難:

網(wǎng)絡(luò)攻擊(81%)

自然災(zāi)害(55%)

金融欺詐(40%)

技術(shù)故障(36%)

斷電(31%)

關(guān)鍵供應(yīng)商/客戶流失(21%)

災(zāi)難恢復(fù)計劃（DRP）是一種通過記錄和、結(jié)構(gòu)化的指引方法來說明如何對意外事件作出反應(yīng)。我們統(tǒng)計了有多少被調(diào)查者公布過災(zāi)難恢復(fù)計劃：

38%的公司有書面計劃（69%的公司有超過500名員工）。

26%的公司在這方面已經(jīng)開展相關(guān)工作。

26%的公司暫且沒有計劃。

10%的公司對此一無所知。

關(guān)于已經(jīng)公布的災(zāi)難恢復(fù)計劃，通常包括以下方面：

常規(guī)的數(shù)據(jù)備份，在線備份或離線備份(64%)

應(yīng)急響應(yīng)清單(52%)

異地工作安排(52%)

危機溝通計劃，如針對雇員、客戶、供應(yīng)商、公眾和媒體(43%)

潛在的威脅、漏洞和風(fēng)險評估(38%)

業(yè)務(wù)功能的優(yōu)先級排序(36%)

業(yè)務(wù)中斷保險(31%)

預(yù)防和減低災(zāi)難策略(29%)

對災(zāi)難恢復(fù)能力的常規(guī)測試(29%)

盡管有網(wǎng)絡(luò)責(zé)任保險，但只有幾名受訪者表示他們的災(zāi)難恢復(fù)計劃包含了這一方面。約12%的公司與外部災(zāi)難恢復(fù)公司簽有合約。

通常情況下，受訪公司都會進行對各種災(zāi)難恢復(fù)計劃每年一次的評估和修改。我們問到這些公司認為在開發(fā)和維護災(zāi)難恢復(fù)計劃時面臨的最大挑戰(zhàn)是:

67%的受訪者認為是資源，其中包括人和實物設(shè)施。

36%認為它不在預(yù)算之內(nèi)。

29%提及技術(shù)問題。

29%認為是數(shù)據(jù)系統(tǒng)。

26%提出是管理層在風(fēng)險方面的立場。

12%則認為是黑客。

有人評論說，最大的挑戰(zhàn)就是需要“花時間坐下來寫”！

當(dāng)我們詢問受訪者，他們認為開發(fā)災(zāi)難恢復(fù)計劃的最佳實踐是什么。最常見的回答是：

在線或離線的常規(guī)數(shù)據(jù)備份

識別潛在的威脅和漏洞并進行風(fēng)險評估。

制定危機溝通計劃，如針對員工、客戶、供應(yīng)商、公眾等。

起草應(yīng)急響應(yīng)清單

計劃對災(zāi)難恢復(fù)能力和備份系統(tǒng)進行常規(guī)測試。

業(yè)務(wù)功能的優(yōu)先級排序。

制定預(yù)防和緩解策略。

安排異地工作。

公司及其產(chǎn)品越來越容易受到黑客和其他風(fēng)險的侵害。針對所有潛在的威脅，組織都被建議開發(fā)某種類型的災(zāi)難恢復(fù)計劃。至少，該計劃應(yīng)包括潛在威脅和風(fēng)險評估、數(shù)據(jù)保護和處理網(wǎng)絡(luò)威脅、系統(tǒng)備份、應(yīng)急響應(yīng)清單、恢復(fù)計劃的常規(guī)測試和溝通計劃。

如果管理層需要讓人相信這一計劃的重要性，那么通過簡單的谷歌搜索就能提供許多其他公司經(jīng)歷過，以及他們的準(zhǔn)備工作，或者缺乏準(zhǔn)備對后續(xù)結(jié)果影響的例子。如果您的公司沒有災(zāi)難恢復(fù)計劃，那么建議您務(wù)必現(xiàn)在就著手考慮設(shè)置。相信沒有人愿意向首席執(zhí)行官或董事會解釋為什么公司沒有制定災(zāi)難恢復(fù)計劃。

（來源：CMA官微作者：Kip Krumwiede，美國管理會計師，注冊會計師，博士，IMA研究部總監(jiān)。）

贊
+1 打印