Risk Management Playbook

🛡️ 企业风险与韧性管理完整作战体系

面向CRO级别的企业风险管理实战手册,涵盖BCP、DR、欺诈防控、声誉与地缘政治风险等全领域,适配ISO 22301/31000、COSO、NIST CSF及DORA等全球主流标准。

收藏
2.4k
安装
1k
版本
0.1.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心价值与定位

本技能是一套企业级风险管理(ERM)的完整作战体系,定位为"世界级风险管理手册"(World-Class Risk Management Playbook),而非泛泛而谈的咨询建议。其核心价值在于将分散的合规要求(ISO 22301、ISO 31000、COSO ERM、NIST CSF、DORA等)整合为可执行的管理流程,覆盖从董事会治理到一线操作的十个层级优先级。

核心用法

触发场景极为广泛:凡涉及业务连续性规划(BCP)、灾难恢复(DR)、欺诈预防与检测、声誉风险管理、地缘政治风险评估、保险与风险转移、危机沟通、企业风险管理(ERM)等主题均可调用。关键使用方式包括:

  • 风险治理架构设计:基于"三道防线"模型明确董事会、风险合规部门、内部审计的职责边界
  • 量化风险评估:5×5风险评分矩阵、BIA输出(RTO/RPO/MAD/MBCO)的制定与应用
  • DR策略分级选型:从Active-Active(分钟级RTO)到Backup Only(数周级)的四层技术架构
  • 欺诈防控技术栈:AI/ML异常检测、生物识别、设备指纹、网络图谱分析等
  • 地缘政治暴露映射:US-China科技脱钩、制裁合规、供应链多元化等场景规划

显著优点

1. 标准覆盖全面:同时适配ISO体系(22301/31000/27001)、COSO ERM、NIST CSF、DORA及美英欧监管框架,避免"一地区一方案"的碎片化
2. 实战导向明确:强调"功能本位而非场景本位"(function-based, not scenario-based),反对形式主义合规

3. 技术前瞻性强:单列2025-2026新兴威胁(合成身份欺诈、AI深度伪造、闪电欺诈等),配套检测技术方案

4. 测试机制闭环:从季度桌面推演到年度无预警突袭测试的完整演练体系,配套结构化复盘流程

5. 决策层级清晰:10层风险管理优先级金字塔,强制将"风险治理"置于技术措施之前

潜在局限与风险

  • 合规密度过高:对中小型企业可能存在"过度工程化"风险,需自行裁剪适配
  • 地域默认泛化:虽声称"司法管辖区无关",但具体执行时仍需本地化调整(如DORA仅适用于欧盟)
  • 资源依赖隐含:Warm/Cold Standby、多活架构等建议隐含显著IT基础设施投入
  • 无实时数据接入:不提供实时威胁情报、制裁清单更新或保险市场询价功能

适用人群

  • 首席风险官(CRO)、风险总监:治理架构与风险偏好的顶层设计
  • 业务连续性经理、IT resilience负责人:BCP/DR计划的制定、测试与维护
  • 合规与内审团队:三道防线模型、控制有效性评估
  • 企业安全负责人(CISO):网络风险、欺诈检测、危机响应的技术-管理衔接
  • 董事会成员与高管:风险治理责任、D&O保险、声誉风险的战略决策

常规风险提示

使用本技能需警惕"合规剧场"(compliance theatre)陷阱——文档完备不等于能力具备。关键风险包括:未经验证的DR计划仅为理论假设;过度依赖单一云服务商构成新的单点故障;AI检测工具本身存在误报/漏报权衡;地缘政治情景规划滞后于实际冲突爆发速度。建议将本技能输出作为起点而非终点,强制嵌入"测试-学习-修订"的持续改进循环。

Risk Management Playbook 内容

references文件夹
手动下载zip · 21.6 kB
full-playbook.mdtext/markdown
请选择文件