业务连续性+·业务连续性问与答·Q11(下)
问题:领导已决定启动/加强/改进业务连续性管理工作,我该怎么着手推动呢?(项目集管理活动篇) 回答:业务连续性项目集在架构管理和活动管理方面,分别需要重点做好三件事(另附业务连续性经理的能力要求)。以下详述:
……(续上期)
2.活动管理方面重点做好三件事:收益和组件整合管理,相关方争取,以及关键组件活动的参与。
我们在商业论证和业务连续性方针中已确定了组织的业务连续性目标,项目集管理计划中也明确了未来一段时间内关键业务连续性活动及其收益。根据美国项目管理协会(PMI)的定义,收益是向预期接收者提供具有实用性、价值或正面变革的行动和行为的结果。我们知道,业务连续性项目集包含众多的活动,如风险评估、业务影响分析、预案编制、培训、演练、审核、管理评审等,这些活动分别以项目、项目集或独立方式管理,彼此关联,有些活动(如预案编制、演练)直接服务于能力建设,有些活动(如风险评估、业务影响分析)的成果可作为其它活动的输入间接服务于能力建设;也就是说,有些活动的收益会通过应急响应和业务恢复行动体现在中断事件发生后尽可能减少损失并降低中断带来的影响上,有些活动的收益会体现在中断事件发生可能性的降低上,也有些活动的收益主要体现在支持业务连续性能力的建设上(当然,还有一些收益如提高客户满意度、提升合作伙伴信心或让监管机构放心也同样重要)。因此,必须采用协调的方式编排、管理这些活动,才可以获得分别管理它们所无法获得的好处(这也是采用项目集方法管理组织业务连续性的本义,因为项目集的定义就是:“以协调方式管理相互关联的项目、子项目集和项目集活动, 以获取分别管理它们不可能获得的收益”)。
作为业务连续性经理,在项目集架构确定之后,接下来的工作重点应放在收益和组件整合管理,相关方争取,以及关键组件活动的参与上。
收益和组件整合管理 收益和组件整合管理包括明确业务连续性项目集的预期收益和成果,监督项目集组件按计划交付预期收益和成果,并将其整合到项目集的整体收益中。收益和组件整合管理的目的是使业务连续性项目集的相关方将重点放在交付成果和收益以及不同项目集组件的协同效应上。
同一个行动或行为带来的结果是正面的还是负面的取决于接受者的视角,也就是说,同一个收益对不同的相关方而言可能有截然不同的理解与感受 (嗯,其实,这只是相对论的另一个表述!!!) 。在我们考虑组织业务连续性的收益时,可参考ISO/DIS 22301:2019 (未来几个月将正式发布) “0.2 BCMS的收益”(Benefits of BCMS),摘录如下: a)从业务角度看: -支持组织的战略目标; -创造竞争优势; -保护和提高声誉和信誉; -有助于组织韧性; b)从财务角度看: -使商业伙伴对其成功充满信心; -降低法律和财务风险; -降低直接和间接中断成本; c)从相关方角度看: -保护生命、财产和环境; -考虑利益相关方的期望; d)从内部流程角度看: -提高在中断期间保持服务的能力; -有效且高效地展示对风险的主动控制; -解决运营中的漏洞。
业务连续性项目集通过提高现有能力或拓展新能力交付收益。编制项目集管理计划时,我们需要识别和评估业务连续性收益的价值、影响和优先级,并将由此生成的组件间关系反映到项目集路线图和管理计划中。进行组件管理时,我们需要在深刻理解各组件交付成果的依赖关系、以及这些输出如何有助于整体的项目集收益的基础上,保证组件在恰当的时间启动、收尾(与业务流程集成),并实现预期收益。收益需要量化,以便于将组 件产生的收益与项目集管理计划中的预期收益进行比对,确保项目集真实地交付预期收益。业务连续性经理按照项目集管理计划,以一致和协调的方式管理项目集组件,实现独立管理各组件无法获得的收益。每个项目集组件都包括以下阶段:
• 组件批准和规划 项目集组件可能是项目、子项目集或活动,对于项目或子项目集,也需要为其开发组件级的商业论证,在组件获得立项批准后,规划包括将组件集成到项目集中实现收益所需的所有活动,如确定组件要完成的工作范围,确定满足组件目标和收益的可交付成果,制定组件级的章程和治理计划,建立组件治理和管理团队等。每个组件都应用自己的管理计划,组件计划中的适当信息应可被集成到业务连续性项目集管理计划中,如用来帮助管理和监督整个项目集进度的信息。
• 组件监督和集成 一些组件(如预案编制、演练)可能作为单个组件产生收益,而另一些组件(如风险评估、业务影响分析)必须与其他组件集成才能产生收益。每个组件团队都要执行相关的计划和项目集整合工作。如果某个组件(如审计)负责人不是由业务连续性经理兼任,那业务连续性经理应给他共享关联组件的信息,以方便将其工作集成(整合)到整个业务连续性项目集中。如果缺少这个步骤,单个组件会产生可交付成果;但由于没有协调交付,可能无法实现预期收益(设想一下,如果风险评估或业务影响分析报告缺少某些关键信息,将会给后续的策略制定、预案编制等工作带来的困扰)。有些情况下,业务连续性经理可能需要启动一个新的组件来整合多个组件的集成工作。
• 组件转移和关闭 在组件产生了可交付成果并成功交付之后,这些组件通常被安排关闭或将其收益(如新能力或改进的能力)集成到业务流程中,以实现持续效益。一般情况下组件负责人只需移交可交付成果就可以结项,不必对收益负责,通常由接受方负责确认组件的收益,业务连续性经理关注组件的转移过程和整体收益。有些组件(如应急响应和业务恢复预案编制)的收益会在之后比较长的一段时间后出现,业务连续性经理需要持跟踪这些收益的实现。
相关方争取 相关方代表所有对业务连续性决策或活动产生影响、受到影响、或认为被影响的个人或组织。不同相关方对业务连续性收益的看法可能不同,对业务连续性的关心和影响程度也可能存在巨大差异;有些情况下,与业务连续性经理、项目集管理团队甚至发起人相比,相关方具有更大的影响。但人们有拒绝被非直接管理者直接管理的倾向,因此我们只能通过管理相关方的需要和期望争取相关方的支持。
相关方争取通常表现为业务连续性项目集的领导和团队与相关方个人或组织之间直接和间接地沟通,可以由项目集和组件中的不同角色来执行。然而,相关方争取不能只限于沟通,相关方争取的主要目标是获得并保持相关方对业务连续性项目集目标、收益和交付成果的认可,具体方式除了沟通,还包括重视目标协商、寻找共同利益,获得相关方对资源的承诺、以及持续不断地支持。业务连续性项目集管理团队分析项目集的范围和目标,识别出所有的相关方,将其纳入业务连续性项目集活动中,围绕它们的需要和期望开展沟通;项目集管理团队还需要通过评估相关方对业务连续性项目集的态度及改变意愿来制定争取策略和计划;在争取相关方的过程中,项目集管理团队还应根据情况变化,及时分析风险、调整策略,确保业务连续性项目集可控推进,详细如下:
• 相关方识别 相关方识别活动的目标在于系统地识别尽可能多的业务连续性相关方。通常情况下,主要的相关方包括:发起人、管理委员会成员、业务连续性经理、业务连续性项目集管理团队成员(业务连续性协调员)、项目集组件负责人、客户、潜在客户、供应商、外包商、监管机构、竞争对手、受影响的个人或组织、其他团体(如代表消费者、环境或共它相关利益的团体)等。最好的方法是,从识别主要相关方开始,逐个对相关方进行详细的分析,发现他们不同的需要、期望和影响力。
可以详细分析相关方与业务连续性项目集之间的关系、影响可交付成果或项目集收益的能力、支持项目集的程度、以及业务连续性经理感到可能影响相关方认知和项目集收益的其他方面,对相关方进行记录和分类。与相关方沟通可以帮助更全面地理解与业务连续性相关的组织文化、政治、关联主题及业务连续性的整体影响。这些信息可以通过查阅历史信息、个人访谈、小型座谈会、问卷调查的方式获得;为全面了解情况,关键的信息应该通过开放式问题收集,通过封闭式问题确认。
• 相关方争取规划 有些相关方理解业务连续性的收益并支持业务连续性决策和活动;有些相关方不理解业务连续性的收益并只关注对自身的影响而抵制业务连续性活动;也有些相关方可能对业务连续性项目集不知情,或者知情却不支持;花大量时间和精力在所有已知相关方身上,确保所有观点都得以考虑和应对,平衡相关方的利益,是业务连续性经理的责任。
相关方争取规划,是要评估每个相关方对组织文化和变革的接受度、对业务连续性和发起人的态度、对业务连续性预期收益的期望、对业务连续性收益的支持或反对程度(支持或抵制的动机)、影响业务连续性项目集结果的能力等,并在此基础上形成相关方争取计划,包括相关方争取策略、工作重点和计划,把重点放在对项目集成功具有重要作用的人和组织上。简单地说,相关方争取策略的核心在于“统一战线”-团结一切可以团结的力量:鼓励把业务连续性看作是正面贡献的相关方并积极支持相关活动,减少对业务连续性项目集持负面态度的相关方及其活动的支持。注意:相关方清单和争取计划可能含有敏感信息,要保护并控制使用范围。
• 相关方争取 随着业务连续性项目集的推进,相关方清单可能发生变化(有增有减),相关方的态度和想法也可能发生变化,因此,相关方争取是持续进行的,业务连续性项目集管理团队要确保所有相关方都被充分和适当地争取,应经常评估相关方清单和相关方争取计划,并按需更新。与相关方有效互动,是相关方争取的主要形式。应就业务连续性项目集的进展和收益实现情况与相关方进行定期和不定期沟通,让行使决策权的相关方获得足够的信息,是保证其在正确的时间做出正确的决策的基础。也有相关方天然地对业务连续性好奇,经常提问题,应把这些问题及给他们的答复以某种方式公布,从而使更多相关方从这些信息中受益。必要时,业务连续性经理可使用强有力的沟通、谈判及冲突解决技能帮助缓和相关方对业务连续性项目集及其既定收益的反对;当相关方或相关方群体之间存在期望冲突时,也可能需要召开协调会议。
相关方争取的主要衡量指标是相关方参与业务连续性活动、以及与业务连续性项目集团队沟通的频率。业务连续性经理定期检查衡量指标,以识别因相关方缺乏参与而导致的风险;通过分析相关方参与的趋势,识别和关注相关方不参与的原因。如,相关方从来没有主动参与,可能是他们对业务连续性项目集方向有信心,也可能是对项目集的期望不明确,或者已对业务连续性项目集失去兴趣。通过分析和主动沟通,找到并确认原因。在业务连续性项目集团队与相关方一起工作的过程中,项目集团队应记录相关方的问题及关注点,理解其紧迫性,确定哪些可能转变成项目集风险,并管理它们直至问题解决或变得不再重要。
关键组件活动的参与 业务连续性项目集涉及许多不同的业务和职能领域,由多个具有收益相关性的活动组成,它们彼此差别很大,被共同的目标—为组织有效应对可能影响组织或组织运营的威胁提供建立组织韧性的框架,以保护关键相关的声誉、品牌和创造价值的活动( 参见ISO 22301:2012 3.4 业务连续性管理的定义 )— 牵在了一起,也因此被放在一起管理,被一起汇报绩效。
在业务连续性项目集中,培训和意识教育、演练和审计活动可以按子项目集进行组织管理,风险评估、业务影响分析、策略制定、预案编制、管理评审等可以按项目也可以按项目集活动进行管理,而编制商业论证、业务连续性方针和年度管理计划主要是作为项目集活动进行管理。在许多组织中,业务连续性经理除了参与项目集层面的治理和管理活动外,还可能以项目集组件负责人、业务连续性专家或其它身份参与关键组件活动,如牵头全组织的风险评估和业务影响分析,参与新员工入职培训授课,参与危机应对桌面演练,作为访谈对象参与专项审计活动,……。具体来说,风险评估、业务影响分析、策略制定、预案编制通常由业务连续性经理牵头、各相关业务和职能部门的协调员和骨干参与组成的团队共同完成。关键资源(如IT灾备系统或应急指挥中心)建设通常作为独立项目进行管理,根据情况指定相关部门及负责人进行管理。培训和意识教育包括面向管理人员、业务连续性专业人员、业务关键岗位人员的定向培训,面向新员工的入职培训,以及面向全体员工的意识教育等,其中面向管理人员、业务连续性专业人员和业务关键岗位人员的定向培训比较专业,应主要由业务连续性经理牵头负责或参与指导,面向新员工的入职培训比较通用,可由人力资源部门统一安排,业务连续性项目集团队支持,面向全体员工的安全和风险意识教育有通用性,但也可能与特定业务或地域的风险相关,根据情况可以由业务连续性项目集团队、人力资源部门及特定业务或区域平台部门合作完成。至于演练,不管采用桌面还是实操形式,部门内的演练主要由该部门负责策划准备、实施和评估改进,业务连续性经理提供指导、支持并参与演练过程;涉及多个部门或全组织的演练应指定主要部门牵头或由业务连续性主管部门牵头负责策划准备、实施和评估改进。业务连续性审核可以是独立专项审核项目或作为其它审核项目的一部分,对于设有审计部门的组织,审计部门根据章程和年度计划,选定审核项目负责人领导审核小组进行审核工作。管理评审和项目集改进活动一般可以作为项目集活动也可以作为项目,由业务连续性经理主导推导完成。
作为项目集经理,业务连续性经理必须关注如何将以上这些不同组件的交付成果或收益,整合到业务连续性项目集的整体收益中,如风险评估和业务影响分析的输出报告作为预案编制、资源建设、演练的重要输入等。在以其它身份参与组件活动时,业务连续性经理会有新的关注点和工作重点会,如作为组件负责人时时,会更多关注单个组件的交付状态和目标;作为业务连续性专家时,会更多关注具体的业务连续性能力规划、建设、运用和评价活动;作为项目组成员时,会更多关注具体工作任务的按时按质完成。
其它重点活动: 在业务连续性项目集层面的管理中,除了架构管理和组件管理方面需要各自做好三件事之外,还需要关注 组织环境分析、项目集维护和改进 。
组织环境分析 在项目集治理和管理团队的主观努力之外,还有一些内外部因素对业务连续性项目集的成功有重大影响。有些影响因素虽在项目集之外,但仍来自组织内部;而另一些影响因素则完全来自组织之外。业务连续性经理要识别这些影响因素,在管理业务连续性项目集时重视这些影响,确保项目集成功实现收益。这些环境因素包括但不限于:组织所处的商业环境,经济周期、市场情况,资金和资源充裕度,行业特点,安全、健康和环境要求,文化差异,地域差异,法律法规,监管环境,组织历史和增长情况,供应基地,关键技术及发展趋势,政治影响,审计要求,新业务、标准规范的出现等。业务连续性经理应主动和不断地监控组织环境,采用比较优势分析、可行性研究、SWOT分析、PEST(或PESTLE)和历史信息等环境分析工具持续评估哪些因素可能会对组织的业务连续性造成重大影响,及时调整项目集的管理。
项目集维护和改进 随着时间的推移和业务连续性项目集的推进,组织环境、目标达成情况(甚至目标本身)、项目集组件及要素都可能发生变化。业务连续性项目集团队应基于组织的业务连续性目标,引导、推动和支持建立一套绩效指标体系,从应急响应和业务恢复行动(事件视角)、多种多样的业务连续性活动(能力规划、建设和评价视角)、以及业务连续性项目集管理三个层面进行监视、测量、分析和评价。持续的收集、测量和分析会让业务连续性项目集管理团队能洞察项目集的健康状况,并预测趋势。项目集管理团队也可以通过发布绩效信息、内部审核和管理评审等方式,推动项目集和业务连续性能力的改进。
============== 精采回顾 =============
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )
项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 ) 10. 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 ) 11. 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接