· 公众号:业务连续性+ 原文链接 ↗

业务连续性问与答·Q9

问题:业务连续性管理工作涉及哪些关键步骤与活动?如何对其进行组织?

简答: 一个好的业务连续性管理框架应满足5个原则: 符合组织能力发展 的 规律、遵循风险管理 的 逻辑和流程、 采 用项目集管理方法 论 、集成应急、连续性和危机管理、以及与常见的 良好实践 保持一致。以下详述:

其实这个问题也有另外一些问法,如: “ 众所周知, 对 业务连续性管理需要 进行风险评估、业务影响分析,需要 制定策略、 编制预案和业务连续性计划,需要演练、培训 …… ,但是 全面地看, 对业务连续性的管理工作 会 涉及 到 哪些关键步骤和活动,又该如何组织这些活动 呢? ” 或者 , “ 简单地说,一个完整的、易于裁剪实施、可指导日常管理的业务连续性 管理 框架是什么样子的? ”

业务连续性管理框架的5个原则

综合以前的多个讨论,我认为,一个“好”的业务连续性管理框架时,需要满足以下5个原则:

• 符合组织能力发展的规律 业务连续性是一种组织能力,因此对业务连续性的管理工作应能反映组织能力发展的主要活动,符合组织能力发展的一般规律,即业务连续性能力发展也要包括组织能力的规划设计、建设获取、转化应用和监控评价。

规划设计是组织能力发展的第一步,基于组织的战略和业务目标,分析厘定未来需要具备的能力,并结合当前的能力状况确定能力差距和能力建设目标;建设获取是指根据能力建设目标、组织的资源禀赋和预期投入情况,选择自主建设、合作或外购(外包)等方式,形成组织能力的过程;转化应用是指应用组织能力实现组织战略和业务目标,并在过程中根据能力应用情况输出改进和反馈;监控评价贯穿于组织能力发展的每一个阶段,用于监控评价该阶段的工作是否达到预期要求,是否可以改进并达到更好效果。

• 遵循风险管理的逻辑和流程 业务连续性管理属于风险管理范畴,它应遵循风险管理的逻辑和流程,即建立环境、风险评估、风险处置(或称风险应对)、沟通与协商、监督与评价、记录与报告。 (“风险管理过程六要素”来自ISO 31000:2018)

建立环境是指要为实施“风险管理过程”确认范围、环境、准则,为风险评估和其它风险管理活动奠定基础;风险评估是识别并分析影响组织目标实现的相关风险,并为决定如何管理和控制这些风险提供决策依据,包括风险识别、风险分析和风险评价三个环节;风险处置是针对已评估的风险,识别、选择和实施“应对风险的解决方案”,是风险管理的核心问题;沟通与协商贯穿于风险管理的全过程,可以促进真实、相关、准确和易于理解的信息交流,可以确保风险管理流程责任明确、确保风险管理责任人和相关方理解决策制定的基础和需要采取行动的原因,决定着风险管理过程的成败;监督和评审旨在保障和促进风险管理过程设计、执行以及产出质量和效率,有助于识别变化和识别新风险,有助于吸收教训,持续提升;记录与报告是指风险管理过程及结果应通过恰当的机制被文件化和被报告,其目的是在组织范围内沟通风险管理活动和产出、为决策提供信息、优化风险管理活动、以及辅助与相关方的联络和沟通。

• 采用项目集管理方法论 项目集是在共同的战略目标下,以协调方式管理以获取单独管理所无法取得收益的相互关联的项目、子项目集和项目集活动,项目集管理就是在项目集中应用知识、技能和原则以获得分别管理项目集组件不能获得的收益和控制,它包括对多个项目集组件进行组合调整,以便于以优化或整合的成本、进度或工作来实现项目集目标。无论是被视为战略、合规还是其它类型,业务连续性适宜采用项目集管理方法进行管理。

事实上,业务连续性经理就是业务连续性项目集经理,他/她需要管理归属在业务连续性项目集下的各个项目、子项目集和项目集活动,其中风险评估、业务影响分析、编制预案都可以做为项目进行管理,而培训与意识教育、演练和测试、内部审核需要做为子项目集进行管理。一般情况下,业务连续性经理可能也是风险评估、业务影响分析和业务连续性计划编制项目的项目经理,但很可能不是IT DRP项目的项目经理,通常情况下,也不是内部审核子项目集的项目集经理。

配图

项目集管理的5个绩效域

目前在全球范围,单项目(Project)管理标准、理论及实践已经非常成熟,项目集(Program,或项目群)管理的研究还在发展期,相关最佳实践处于总结提炼阶段,但PgMP和MSP已可以提供许多共性的项目集管理指导,如二者都强调战略一致性、相关方(干系人)争取、治理、聚焦收益实现、都有生命周期管理。在国内的业务连续性管理实践中,治理方面,业务连续性管理委员会起到项目集治理委员会的作用;在相关方争取方面,对相关方的需求和期望有所探索但并未形成正式活动也没有有效方法和工具支持;在收益管理方面,只有少数组织有初步的收益管理。我希望接下来,有需求、有条件的组织和业务连续性经理能采用、借鉴项目集管理的方法,引入相关方争取和“收益登记册”等方法和工具支持组织更有效地管理业务连续性。

• 集成应急、连续性和危机管理 应急管理、业务连续性和危机管理相互重叠、各有所长,在组织范围内不要各要自为战,要有效集成,形成合力。

配图

应急响应、业务恢复和危机管理

从风险到突发事件再到危机,可能影响人们的生命财产安全、社会秩序和环境,也可能影响到组织的运营、品牌形象、市场份额、与关键相关方的关系以及生存能力;在组织范围内,在既有的管理架构下,我们已经有安全保卫(安防)、安全生产、应急管理、网络与信息安全、业务连续性管理、危机管理等多种方法管理多种风险和冲突,我们应能从风险评估、业务影响分析和资源评估入手,集成应急响应、业务恢复和危机管理,建立统一的指挥和管理组织,全面覆盖预防和应急准备、监测预警、应急响应、业务恢复和事后重建工作,形成一个完整的业务连续性管理框架。

• 与常见的良好实践保持一致 从20世纪80年代的业务影响分析概念的提出,到业务连续性规划(BCP),再到业务连续性管理和业务连续性管理体系,经过数十年的发展,业务连续性管理已形成了独特的方法—如业务影响分析、业务连续性计划等,业务连续性管理领域也已存在多个广受欢迎的良好实践,业务连续性管理框架应与这些方法和良好实践保持一致。

国际灾难恢复协会的专业惯例(Professional Practices)、国际业务持续协会的良好实践指南(Good Practice Guidelines)、国际标准化组织的业务连续性管理体系(ISO 22301/22313)以及作为美国连续性、应急和危机管理国家标准的NFPA 1600等,……,这些及领域内其它的良好实践都已经过多年的发展,反映了业务连续性管理领域的最新进展,也适应各种规模、多种行业和地区的组织的业务连续性管理需求,也带有其历史发展的独特性。

未完待续……(下一部分介绍:业务连续性实务框架Ver2.0介绍)

========= 精采回顾 ==========

业务连续性问与答(大纲 )

第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )

第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?

第三部分业务连续性怎么做 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么?

项目集管理 8. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )

“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。

配图

原文发表于公众号”业务连续性+” | 原文链接