基本介绍

内容简介

《现代企业安全管理译丛:风险分析与安全调查(第4版)》的附录部分还提供了安全调查、安全系统设计、危机处置计划的标准模版，读者在工作和研究中可以全部或部分引用。

作者简介

James F. Broder（詹姆斯 F. 布罗德）和Eugene Tucker（尤金 塔克）都是美国在行业内非常知名的安全专家，在风险分析与安全调查方面积累了丰富实践经验。

图书目录

第一部分风险分析与处理 第1章风险 1.1什么是风险 1.2什么是风险分析 1.3风险评估 1.3.1风险分析可以为管理带来什么 1.3.2管理者在风险分析中扮演的角色 1.4确认风险隐患 第2章弱点与风险识别 2.1风险识别 2.2风险识别案例 2.3安全调查表 第3章风险计量 3.1成本估算及发生概率 3.2概率论的基本原理 3.3概率、风险和安全防范 3.4估算事件发生的概率 第4章潜在损失的量化和优先顺序确定 4.1严重性及危急程度评估 4.2决策矩阵 第5章成本／收益分析 5.1安全系统计划设计 5.1.1成本 5.1.2可靠性 5.1.3时间投入 5.2在系统中加入多重防护结构 5.3安全防范策略 第6章其他风险分析方法 6.1国家基础设施保护计划 6.1.1设立目的和目标 6.1.2确定资产、系统、网络和功能 6.1.3基于对危害后果、隐患和威胁的分析，进行风险评估 6.1.4基于风险评估，确定优先顺序 6.1.5执行保护程序和恢复策略 6.1.6有效性检测 6.2总结 第7章安全调查：概述 7.1为什么要进行安全调查 7.2谁需要安全调查 7.3企业对安全管理的态度 7.4安全调查可以实现什么 7.5为什么需要安全专业人员 7.6如何营销安全方案 第8章管理审计技巧和初步调查 8.1审计指南和程序 8.1.1审计：安全调查的参考工具 8.2初步调查 8.2.1定义和目的 8.2.2初次面谈 8.2.3获取信息 8.3总结 第9章调查报告 9.1“既然必须要写，那就马上开始” 9.2优秀调查报告的五个标准 9.2.1准确 9.2.2清晰 9.2.3简洁 9.2.4及时 9.2.5客观 9.3格式 9.3.1附函 9.3.2报告正文 9.3.3意见陈述（判断） 9.4总结 第10章犯罪预测 10.1内部犯罪分析 10.2外部犯罪分析 10.3安全防范措施不足 10.4如何建立警示 10.5回顾 第11章确定保险需求 11.1风险管理的定义 11.2风险控制 11.3犯罪保险 11.4K＆R保险 第二部分应急管理和业务持续运营计划 第12章紧急事件管理概述 12.1紧急事件综合管理 12.2标准 12.3私营机构备灾认证项目 12.4国家事件管理系统 12.5事件指挥系统 12.5.1事件指挥官 12.5.2操作团队 12.5.3规划和情报团队 12.5.4后勤团队 12.5.5财务及行政团队 12.5.6例子 12.5.7ASIS标准和NFPA1600标准 12.5.8英国事件管理系统 12.6统一指挥 12.6.1多机构协调系统 12.7紧急行动中心 12.8总结 第13章减灾和备灾 13.1减灾 13.1.1危险识别 13.1.2减灾策略 13.1.3具体减灾方式 13.1.4成本效益 13.2备灾 13.2.1家庭和个人备灾 13.2.2紧急物资 13.2.3公共机构和私人机构的合作 13.2.4与卖方的关系 13.2.5备灾的理由 13.3总结 第14章应急响应计划 14.1应急响应规划和计划 14.2应急响应团队 14.2.1管理层的认可和支持 14.2.2义务和责任 14.2.3规划响应计划 14.2.4确定应急设备和物资需求 14.2.5招募团队成员 14.2.6制定培训计划 14.2.7进行定期演练 14.2.8宣传 14.3应急程序 14.3.1高空坠落事件管理 14.3.2爆炸事件管理 14.3.3化学或生物武器攻击 14.3.4内乱／内部骚乱 14.3.5密闭空间应急 14.3.6地震 14.3.7疏散计划 14.3.8洞穴或沟渠塌陷 14.3.9火灾 14.3.10洪水和暴雨 14.3.11危险品事件 14.3.12飓风 14.3.13闪电 14.3.14重伤或重病 14.3.15建筑物坍塌 14.3.16龙卷风 14.3.17工作场所暴力 14.4总结 第15章业务影响分析 15.1风险分析和业务影响分析 15.2业务影响分析方法 15.2.1项目规划 15.2.2数据收集 15.3业务影响分析中的其他问题 15.4资源调查问卷和表格 15.4.1雇员和顾问 15.4.2内部和外部联系人员 15.4.3客户 15.4.4软件和应用 15.4.5设备 15.4.6各类表格和物资供应 15.4.7重要的记录 15.4.8数据分析 15.4.9数据的展示 15.4.10重新分析 15.5总结 第16章业务持续运营计划 16.1为什么要制定计划 16.2计划的制定过程9 16.3项目管理 16.4总结 第17章计划文档 17.1计划的必要元素 17.2全灾害功能计划体例 17.3计划的组织和结构 17.3.1目录 17.3.2策略 17.3.3范围 17.3.4目标 17.3.5假设 17.3.6程序的启动和有权部门 17.3.7紧急电话 17.3.8备选场所和配置 17.3.9恢复行动优先顺序或恢复时间目标 17.3.10相关信息 17.3.11计划的发放 17.3.12培训 17.3.13演练 17.3.14计划的维护 17.3.15保密要求 17.3.16附录 17.3.17团队恢复计划 17.4总结 第18章应对绑架人质敲诈勒索的风险管理计划 18.1威胁识别 18.2计划文档 18.3计划实施 18.4危机管理团队 18.5初步处理 18.6支付赎金 18.7防御性安全计划 18.8对被劫持者的建议 18.9媒体控制 18.10总结 18.11参考书目 第19章监督保障措施 19.1监测或检验现有系统 19.2科学方法 19.3五种基本测试类型 19.4避免可以预见的故障 19.5审计准则 19.6制定行动计划 第20章安全顾问 20.1内部及外部建议 20.2为什么要聘请外部安全顾问 20.2.1为什么需要外部意见 20.3安全建议（编写和成本核算） 20.3.1情况简介 20.3.2工作建议 20.3.3管理情况 20.3.4成本估算 20.4总结 20.5工作建议和报告的评价 附录A安全调查工作表 附录B绑架与勒索应急计划实例 附录C安全系统技术规范

序言

序 预见是所有人都期望掌握的能力，尤其在安全风险管理领域，人们始终不满足于“亡羊补牢”的事后处置，希望可以通过分析与调查，实现风险的预测和预防。20世纪80年代Risk Management 期刊就曾进行过一项调查：“85% 的安全风险管理人员表示风险识别和评估是他们关注的首要问题。”时至今日，这个比例并没有发生明显的变化，精准的预测仍然是几代安全从业人员所追求的理想目标。风险分析虽然不属于精密科学，却是一种无限趋于精准的“预测”艺术，还被广泛应用到安全成本管理领域，通过精准的分析和预测，落实安全管理适度原则，将安全管理与操作实际有机结合，实现风险防控效益最大化。现如今，风险分析与调查已经成为安全管理行业不可或缺的工具和手段。 随着国内许多大型企业的全球化发展，行业创新和集团化发展步伐加快，风险的复杂性和差异性也相应增加，日益突显的恐怖袭击和绑架等风险也给我们带来了全新的安全挑战。如何适应风险环境的变化，持续构建有效的预警防范体系，成为今后一段时期内安全管理面临的主要问题。我们在总结国内多年管理经验的同时，更需要全面了解世界先进的风险分析模型和安全管理调查工具。为此，中国工商银行的安全管理从业人员在翻译出版《安全导论（第八版）》，介绍国际通行的安全管理准则的基础上，适时引进《风险分析与安全调查（第四版）》，给国内读者带来了安全管理实践的方法论和路线图。 本书作为“现代企业安全管理译丛”引进的第二部著作，同样是美国产业安全协会认证安全管理专家（CPP, Certified Protection Professional）考试指定的书籍（CPP 认证自1977年开始组织实施，是目前世界安全管理人员的最高专业许可）。该书第一版于1984年面市，出版近30 年来得到世界范围内安全防范专业和学术领域的广泛接受和认可，成为多所欧美大学安全管理学位课程的教科书。此次翻译引进的第四版全面论述了风险分析计量与安全调查的基本理论和方法；系统介绍了业务持续运营和灾难恢复计划的编制和维护；透彻分析了成本/ 效益理论在安全管理中的应用；全面探讨了对抗恐怖主义的威胁，欺诈，自然灾害，绑架、信息盗窃等新型风险的有效措施。更为可贵的是，作者James F.Broder 和Eugene Tucher 用近30年的时间不断研究和实践并更新此书的相关内容，将多年工作实践中总结提炼出来的实际案例和操作模板毫无保留地提供给广大读者，使该书成为一本凝聚了国际最新研究成果，且具有较强实用性的风险分析工具和操作指南。书中有关审计规则、监督保障、应急管理等方面的内容不仅对安全从业人员有益，对企业的内部控制、审计、人力资源、IT 管理等部门同样具有学习借鉴的意义。 “风险分析和安全调查”是安全管理趋于精准化的必要工具和手段，也是一项兼顾理论和实践的持续性工作。衷心希望广大读者和同业能与我们一起，在践行国际通行准则的过程中不断探索、总结和发展符合国内企业实际的“风险分析和安全调查”路径。为我国企业安全风险精细化管理向纵深发展，安全管理水平的提升贡献力量。 刘立宪 译者序 世界局势风云突变，风险与威胁的复杂性和严重性日益加剧，寻求合适的工具、恰当有效的方法，对各类风险与威胁进行深入分析和有效处置的重要性日益凸显。《风险分析和安全调查（第四版）》正是这样一本向读者展示分析、开发和更新业务风险处置方案和灾后恢复计划方法，确保企业能够提高抵御灾害风险、保护关键资产、恢复业务运营能力，应对其员工、业务、信息可能遭受威胁的工具书。作者James F. Broder和Eugene Tucher在书中向读者阐述了风险分析理论、安全调查方法，总结并传授针对恐怖主义、欺诈事件、自然灾害、信息窃取等风险的预防应对措施和专业技能。并通过分析报告、调查模板、响应计划等形式帮助读者在实践中能够选择出严格、精确、成本收益比最佳的安全措施和方案。 《风险分析和安全调查（第四版）》是美国产业安全协会认证安全专家(Certified Protection Professional, CPP)考试的指定教材。20世纪80年代《风险分析与安全调查（第一版）》出版时，在业内就引起了较大反响。历经数十载，此书已经成为全球安全专业人员、大学教授和学生必读书目中的经典书籍。本次译者引进的第四版中第1章至第6章的内容与前三版没有显著的变化，当年提出的风险分析理论成功经受了30年的考验。风险分析和安全调查理论已经被广泛认知和接受，成为制定安全管理计划和方案的基石。新版共分为两部分（共20章），在继承行业前辈思想精髓的基础上，秉承与时俱进的精神，积极拓展探索领域。结合当前安全领域实际情况和标准，从成本收益分析、犯罪预测等维度，对与风险控制、安全方案设计、安全方案实施相关的基本理论进行了深入探讨。新版中作者还清醒地认识到并明确提出：即使倾尽全力设置防范措施，企业还是可能遭遇灾难的袭击。故而，更加着重向读者阐述了在遭遇灾难袭击时应采取的应对措施，书中相关章节详细列举了抢劫、爆炸袭击、地震、风灾到工作场所暴力等十七种典型风险的预防及响应，深入阐述了目前所有安全管理人员都需要面对的问题——灾后业务运营恢复程序。毫无疑问，与市场上同类书籍相比，此书是最为全面、优秀的版本，其所包含的内容具有很高的学习参考价值。 “现代企业安全管理译丛”由中国工商银行股份有限公司刘立宪策划，本书由靳晓鹏组织翻译并对全文进行了审校。中国工商银行股份有限公司安全保卫部徐凯、李有存、任骥、马旭东、季冰、徐瀚、徐鑫、郑磊、刘雪松、张颖、张燕雯、宗喆、彭冰、王晓锦和江苏分行刘汉平参与了翻译工作。 由于译者水平有限，书中内容有不准确之处在所难免，敬请读者和专家不吝赐教。 （邮箱：security8th@foxmail.com） 前言 20世纪80年代初，我们撰写此书第一版的时候，面对的读者是广大风险管理人员和安全专业人士。当时，笔者在一家世界级保险经纪公司担任安全顾问。那时，面临的最大难题就是如何向保险经纪公司和他们的客户——世界500强公司的风险管理人员解释，安全专业人士为什么能够帮助他们降低犯罪活动引发的风险及其他安全隐患。长期以来，公司的风险管理人员习惯与消防（物业）顾问和人身安全顾问打交道，很少有风险管理人员雇佣专业安防人士为其提供服务。一般情况下，公司只有在遭遇损失后，为了能够获得保险赔偿，才按照法规的严格要求，提出财产保护和人身安全咨询的需求。而消防和人身安全的需求则以“标准”这个载体呈现。例如，美国消防协会（NFPA）、美国职业安全与健康管理局（OSHA）及其他机构的相关标准已经被保险行业普遍认可，并作为保险从业人员在接受火灾和意外投保时必须考虑的基本要素。 同时，在加利福尼亚州，消防和人身安全顾问需要考取专业工程师执照（PE）。而在美国任何一个州，安全防范顾问都不需要专业执照。 这就是安全顾问领域向纵深发展所必须解决的两大障碍：（1）安全领域行业标准的缺失；（2）缺乏专业牌照约束，没有专业门槛。直到现在，安全领域缺乏行业标准的情况，还是没有得到实质的改变。如今，没有一个州，要求对安全顾问开展类似专业工程师的执业资格考试。可喜的是，美国产业安全协会（American Society for Industrial Security，ASIS)，已经开始通过培训和专业考试对安全行业从业人员进行“专业认证”。目前，此类认证已经普遍被风险管理人员和其他保险专业人士作为专业能力的证明。 至今安全产业仍然缺少成文的标准。“行业标准”是各专业领域和社会领域认可的标志，安全“行业标准”缺失仍然是阻碍行业发展的最大问题。同样，“行业标准”对安全专业人士而言也十分重要，因为其规定了行业的最低要求，是对组织和项目的安全防范情况进行审计的基本依据。例如，笔者曾经多次为诉讼案件（第三方责任诉讼）担任“专家证人”。在法庭上，经常被问道：“你提供的这些意见遵循了哪项标准？”面对这类问题，笔者通常只能回答：在安全防范领域，没有可以遵循的标准，只有被普遍接受的“经验做法”。或者回答：客户提出的需求就是标准！同样，在加州及要求保安人员进行执业认证的其他地区，处理涉及保安人员的诉讼案件时，即便是经验丰富的法官和律师也常将执业认证与标准混淆。而更多的时候，客户和最终用户对如何配置人力保安和硬件防范措施的标准也毫无概念。 20 世纪80年代，我们就曾经提到，据《风险管理杂志》报道，“85%的受访者（风险管理人员）表示风险识别和评估是他们关注的首要问题。”在过去的30年里，这个比例没有发生明显的变化。目前，风险分析已经演变为安全行业常用的方法。虽然我们没有就此问题发起过投票，但是在过去的这些年里，安防专业期刊里的许多文章都提到：安防行业专家的首要任务是分析企业存在的安全问题。 读过本书前几版的读者会发现，本书第1章至第6章的内容并没有显著的变化。当年提出的理论成功经受了30年的考验。虽然我们提出的风险分析规则最终并没有演变为“标准”，但也已经成为被广泛认知和接受的“经验做法”。 笔者与合著者Eugene Tucker希望通过第四版的出版，为安全防范领域做出微小的贡献。诚然，30年间安防领域发生了巨大变化，已经与消防和人身防护一样获得了应有的专业和社会地位。尽管如此，我们仍然需要不断学习，去应对更大的挑战。为此，我们恳请广大读者牢记这个行业的基础知识。虽然国际恐怖主义是严重的问题，但事实上，客户遭遇恐怖袭击的概率还是要远远小于遭遇雷电的概率。在看似严重但发生概率较小的事件上花费时间和资源，并不符合客户的需求。 James F. Broder, CFE, CPP, FACFE 与安全行业类似，紧急情况和灾害管理经常被一些观念所引导。这些观念根植于误解、误导和错误。我们经常会相信和接受不断重复的错误观念，更为糟糕的是，有些错误观念来自媒体的宣传。为此，我们应该转而进行社会科学研究，用怀疑的眼光审视过去的行为，认真思考将来需要采取的行为。 仔细阅读本书，读者的注意力应该被引领到有效分析潜在事件上，揭露真正的风险，分析并确定事件之间相互影响的关系，并谨记单一事件可能会导致一连串故障和灾难。例如，最近的日本地震引发了海啸，导致一个主要核电站电力中断，进而影响整个世界的供应链，更不用说其对环境和周围居民生活带来的严重影响。 根据我们的经验，不止一个高层管理人员认为：风险或商业影响分析是没有意义的，因为真正的经理早已意识到存在的风险；如果他们了解自己的业务，就不需要进行风险分析或业务持续规划。还有人认为，一旦制定了安全方案或业务持续计划，就足以应对所有安全问题，而无须实时进行方案或计划的更新。持有这样观点的人们应该与2011年日本海啸的幸存者探讨一下。当时，海啸横扫日本海岸，但是受灾地区的绝大多数人幸免于难。他们之所以能够幸存，是因为当地居民深入开展风险分析，透彻了解自己所面临的安全问题，定期进行海啸疏散演练。由于不了解风险或商业影响分析方案的重要性，当管理者遇到未曾预料的严重风险时，往往会陷入茫然、不知所措的状态。 英国哲学家赫伯特斯宾塞曾经说过：有一种力量，足以屏蔽所有信息来源，足以使辩论毫无意义，足以使人类永远无知——这就是在没有执行调查之前，就蔑视一切事实。 Eugene Tucker, CPP, CFE, CBCP, CHST 致谢 《风险分析与安全调查》的第一版出版于1984年，得到了世界安全防范专业和学术领域的广泛接受和认可。起初，本书仅为安全防范和风险管理专业人士使用，但逐步被全球诸多英语国家的大学接纳，成为安全管理学位课程的教科书。为此，我们在致力于满足主要受众群体需求的同时，也站在安全防范和执法专业人士的角度，把握最前沿的发展趋势。在这方面，本书合著者Eugene Tucker 先生在本书的后半部分，对业务恢复进行了阐述。需要着重指出的是，在安全防范失效后（这种情况时有发生），业务恢复就变得极其重要。安全专业人士为保证完全履行自己的职责，必须全面了解业务恢复中安全管理的角色定位，并充分认识到该程序的重要意义。 曾几何时，许多管理部门和政府部门都认为安全问题是必然存在的魔鬼。如今，针对安全问题的一系列措施已被认为是抵抗魔鬼的必要手段。2001年的“911”事件让我们认识到安全问题在保卫国家利益方面所扮演的重要角色。我们不再信心满满。我们意识到针对基础设施和建筑的袭击随时随地都有可能发生，而要恢复昔日美好的时光，则需要花费很长的时间。 关于“911”事件，有一个鲜为人知的故事：在2001 年世贸中心遭受袭击之前，纽约港务管理局就已经认定世贸中心是恐怖袭击的主要攻击目标。针对世贸中心的第一次袭击发生在1993 年，在那次袭击之后，世贸中心管理层将安全问题作为首要关注的问题。安全部门被赋予无限制的预算，用以升级安全防范设施，通过不断提升防护策略，避免爆炸袭击再次发生。就在“911”事件发生前的一个月，美国联邦调查局前防恐助理John McGuire 从联邦调查局退休，进入世贸中心，负责安全团队的管理。John McGuire曾亲自带队调查三起发生在非洲的美国使馆爆炸案件，以及U.S.S.Cole号海军驱逐舰在也门港口遭遇袭击的事件。John McGuire 是美国当局十分认可的国际反恐专家。但是，在9月那个不幸的清晨，世贸中心被两架飞机摧毁时，John McGuire及其从事安全管理的同事和许多工作人员坚守自己的岗位，直至遇害！ 因此，我们想借此机会向John McGuire 和无数为了争取安全的未来而牺牲的管理人员和执法专业人士，表示敬意和感谢。在“911”事件发生之前的许多年里，John McGuire和专业人士试图告诫我们国际恐怖主义所带来的威胁。然而，令人感到悲哀的是，最终他们只能用死亡再次向我们提出警示。 2001年的“911”事件带给我们一些有价值的经验：安全防范只能为安全提供一定概率的保护，但绝不可能是百分之百的保障。 1993年的恐怖爆炸事件后，世贸中心增强的安全防范措施已经落实到位，且安全防范措施已经足够！但是，谁都不能预见在距离世贸中心千里之外的地方，正在酝酿的引发巨大不幸的阴谋。 John McGuire和纽约空港管理局的安全专业人士已经完成了他们的职责，应该可以安心而眠，因为引发不幸的根源并不在他们监控的范围内。 James F. Broder 圣马力诺，加利福尼亚州