· 公众号:业务连续性+

业务连续性问与答Q13(中)·业务影响分析和风险评估5步法、项目规划与管理以及实务中的误区

问题:如何进行业务影响分析和风险评估? 回答: 业务影响分析和风险评估是众多业务连续性管理活动的基础,可能是业务连续性管理领域最重要的主题了,但同时也可能是最混乱的主题,在其中有太多误解、谬误和疑问,比如下面这些问题:

  • 到底是先做RA还是BIA? (这是一个“老”问题,年年有人问,也有人年年问;-) )
  • 怎么识别、确定业务啊?这就象是个不可能完成的任务?
  • 业务部门报过来的RTO/RPO全是0,怎么办?
  • 几个业务部门报过来的影响都是重大(但数据标准不一),怎么汇总啊?……
  • 按财务、客户、合规和声誉这些维度评估中断对不同业务的影响时,有些业务流程(如向监管机构报告)没有财务影响数据怎么办? ……

……续上期

业务影响分析和风险评估是专业程度和管理难度都比较高的活动,从分析方法角度,涉及到组织的运营、业务活动、风险等众多要素,专业要求高;从活动管理角度,参与者与相关方众多,管理及协调难度大,因此有必要从分析过程和项目管理两个方面分别进行说明。

2.业务影响分析

2.1 业务影响分析5步法 – 过程视角

根据ISO 22301:2012 3.8 业务影响分析是指“分析活动和业务中断对其可能带来的影响的过程” (process of analyzing activities and the effect that a business disruption might have upon them) ,也就是说,业务影响分析首先是一个过程,是分析组织的活动、以及随着业务中断时间(的增加)对组织造成的影响的过程。

结合业务影响分析/风险评估的原理及行业实践,建议采用以下的5步法进行业务影响分析:

第1步:影响准则确定; 第2步:组织业务识别; 第3步:恢复目标确定; 第4步:资源需求分析; 第5步:BIA报告编制; 下面对业务影响分析5步法简要描述。

第1步:影响准则确定 即确定衡量业务影响的指标体系及定性/定量标准。

常用的影响指标类别有财务、运营、声誉、合规等,其中财务指标主要是因业务中断导致财务损失的指标,如订单(减少)、营业收入(下降)、利润(损失)、罚款或惩罚、误工/加班费等,通常可量化为金额,是可量化的指标;声誉指标主要是因业务中断导致的负面公众评价或品牌受损程度,运营指标主要因业务中断而影响到的运营管理方面的问题,如转账/取款/存款时间(金融机构)、教学(学校或教培机构)、投递(物流公司),合规指标主要包括因违规被起诉问责、被吊销执照/牌照或合同违反等,这三类指标一般较难直接量化为金额,是可定性的指标。

影响指标的量度,定量指标可直接量化,定性指标一般可分为3到5级,如:特别重大、重大、较大、一般、轻微等。无论采用定量还是定性,都应给出相关的描述,以方便分析人员在使用时进行定性或/定量。

影响指标的时间量度,是5分钟、10分钟、30分钟、1小时、2小时,还是1小时、3小时、6小时、12小时、1天等间隔,通常与组织所处的行业及业务运营特征相关,数字化程度越高的行业,对业务中断时间越敏感,时间间隔就越小。

在选择和确定影响指标体系时, 要 :多与业务/职能/部门的关键人员讨论;兼顾定性与定量指标,同时尽量选择那些可以跨部门有效使用、在组织内相对“通用”的指标项;选定的指标项需要反映并与组织的核心使命 (Mission) 、战略和运营保持一致;最后,是要控制选定指标项的数量不宜过多,建议以上类别各(最多)选3个。如果有可能的话,应听取管理层(团队)的意见,对选定的影响指标排定顺序,并赋定权重。

注意, 不要 :有太多的影响指标项;选择与组织所处行业无关的影响指标;不重视影响指标量度的确定过程;没有管理层(团队)的参与,或不重视管理层的意见。

第2步:组织业务识别 即识别组织的业务及相互关联关系。

根据ISO 22301:2012,业务 (business) 从广义上解释为对于组织的存在而言具有核心价值的活动 (to be interpreted broadly to mean those activities that are core to the purpose of the organization’s existence) 。组织业务识别,即识别出这些对于组织的存在具有核心价值的业务活动。

业务识别的目的,是确定业务影响分析的对象(甚至于业务连续性管理的对象—业务),以便:分析随着业务中断时间增长对组织造成影响的变化(当中断时间增长到某个时间点之后对组织造成的影响会变得不可接受),分析业务恢复时的最小服务水平,管理业务连续性能力建设(包括预案编制、资源建设、人员培训和意识教育、演练与评估等),应对和管理应急响应和业务恢复等活动……,简而言之,业务识别是业务影响分析以及业务连续性管理的基础。

业务识别可以采用实用法或建模法。实用法是直接列出业务连续性管理范围内每个部门的5到7个重要业务,简要分析业务间的相互依赖与关联关系并汇总整理。建模法是采用行业通用业务参考模型,结合组织实际运营情况建立组织的业务模型。比较而言,实用法的优点在于工作量较小,便于实施,同时,“抓大放小”也符合业务连续性管理的原则;缺点是可能遗漏部分非关键业务,同时对参与调研的人员要求较高(熟悉业务),在分析业务相互依赖与关联关系时比较复杂。建模法的优点在于过程严谨,得到的业务流程模型层次清晰关联关系明确(得到的业务模型还可以用于其它多种目的);缺点是工作量大,专业要求高,项目预算及资源可能难以支持。

业务流程参考模型

常见的业务参考模型有:适合主要工业和商业企业的美国生产力和质量中心的流程分类分级框架(APQC PCF)、适合金融服务业的开放银行项目的服务全景视图(BIAN Service Landscape)、适合于供应链中类企业的供应链协会的供应链运作参考模型(SCOR)等。其中,APQC PCF可跨行业使用,影响较大,下面简要介绍。

美国生产力与质量中心(American Productivity and Quality Center,简称APQC),创立于1977年,是一个会员制的非营利机构,在“业务对标、最佳实践和知识管理研究”领域享有国际盛誉,使命是“发现有效的改进方法,广泛地传播其发现结果,实现个人之间及其需要提升的知识领域之间的连接,从而帮助世界各地的组织提升生产力和质量”。这家机构做了大量的“流程与绩效改善资源”,并进行了大量的分享推广工作。

APQC自1991年开始研究开发流程分类分级框架(Process Classification Framework,简称PCF),于1992年发布PCF 1.0。PCF由APQC与其会员创立,是一个通过流程管理与标杆分析,不分产业、规模与地理区域,用来改善流程绩效的公开标准。除了跨行业版本外,APQC还陆续提出了10多个行业的流程分类框架,包括电力行业、消费品行业、航空航天和国防行业、汽车行业、传媒行业、医药行业、电信行业、石油行业、石化行业等的流程分类框架。目前,PCF已成为全球最为广泛使用的业务流程框架。

APQC跨行业流程分类分级框架7.2.1

PCF用一套架构和语汇,从流程视角理解一个组织的运行,并逐步细化展示父流程和子流程,而不是展现职能部门的划分(上图是2018年发布的PCF 7.2.1,你在这张总图中看不到组织各个部门的名称)。PCF将组织的流程组织为13个组织级的流程类别(Process Category),其中运营流程共6类,分别是制定愿景和战略,开发和管理产品与服务,营销和销售产品与服务,交付物理产品,交付服务以及管理客户服务;管理和支持服务流程共7类,分别是开发和管理人力资本,管理信息技术,管理财务资源,采购、建造和管理资产,管理企业风险、合规、修复和韧性,管理外部关系,以及开发和管理业务能力。

当然,这张总图远远不是PCF的全部内容,事实上,与以前各版本的PCF一样,它有5级细化的内容。第一级是13个组织级的流程类别(Category),第二级是流程群组(Process Group),第三级是流程(Process),第四级是活动(Activity),第五级是任务(Task)。该版本有超过1500个流程和相关的活动及任务。

PCF流程分级

互联网上及微信中有大量华为公司的业务流程管理体系的介绍,有兴趣的朋友可以自行查阅比对APQC PCF与其的联系和区别。

当然,在进行业务流程建模时,也可以使用企业架构(Enterprise Architecture)方法分析业务。有时还可以结合能力视图进行建模。强调动态序列的流程视图给出了应对特定业务场景所需的相互依赖的操作序列,但一般不会详细说明每个操作所需具备的特定能力。而强调静态结构的能力视图在表示响应特定业务事件所需的能力/资源/技能方面特别有用,但它不擅长详细说明调用这些不同能力响应任何特定业务场景时的精确顺序或阈值。为了正确地建模业务活动,经常需要结合静态的能力视图和动态的流程视图。

在进行业务识别时, 要 : (1)牢记业务识别的目的,要善于利用已有的分析资源(如有的组织在开发综合管理软件系统或分析操作风险时已进行过业务建模或业务识别,这时就没必要从头开始分析建模工作;也可以从财务系统中已建立科目取得相关信息),特别是在业务连续性管理体系初建期不建议将过多资源与精力投入到业务建模中(当然,有充裕资源和预算的情况例外); (2)对大多数组织,暂不要考虑基于端到端的流程识别业务(因为实际的业务流程也并未按此进行设计和建立),而是采用先部门、后业务活动逐层进行分析; (3)对大中型组织,业务流程和活动繁多,根据组织规模和业务复杂度进行适当的分级很有必要,APQC PCF给出了5级(category-group-process-activity-task)分级,华为集团的业务流程体系为6级(Level 1:流程大类,Level 2:流程组,Level 3:流程,Level 4:子流程,Level 5:活动,Level 6:任务),ISO/TS 22317:2015是3级(产品和服务-流程-活动)都是有益的参考; (4)业务识别分级真正的关键是业务的颗粒度,在这方面并没有统一的标准,可行的建议是:如果1个业务活动小于5到7个人,就将其与同一场所、使用相似资源的业务活动进行合并;如果一个业务活动涉及的人数大于50人,并且内部有不同的子活动和任务,就应将其进一步拆分。

第3步:恢复目标确定

我们最常听到的恢复目标是恢复时间目标(RTO)和恢复点目标(RPO),但事实上,恢复目标还应包括如最长可接受中断时间(MAO/MTPD)和最小业务连续性目标(MBCO)等。

在ISO 22301:2012中给出RTO、RPO、MAO和MBCO的定义分别是: 3.45恢复时间目标(RTO):事件发生后到下列活动完成之间的时间段:产品或服务必须恢复;或活动必须恢复;或资源必须恢复 (period of time following an incident within which: product or service must be resumed, or activity must be resumed, or resources must be recovered) ; 3.44恢复点目标(RPO):为使活动能够恢复运行,而必须将该活动所用的信息恢复到某时间点 (point to which information used by an activity must be restored to enable the acidity to operate on resumption) ; 3.25/3.26最长可接受中断时间(MAO/MTPD):不能提供产品/服务,或者活动无法进行可能带来的影响,变得不能接受之前的时间 (time it would take for adverse impacts, which might arise as a result of not providing a product/service or performing an activity, to become unacceptable) ; 3.28最小业务连续性目标(MBCO):在中断中组织为达到其业务连续性目标可以接受的最低标准的服务和(或)产品 (minimum level of service and/or products that is acceptable to the organization to achieve its business objectives during a disruption) 。

根据以上定义可知,恢复时间目标RTO必须小于组织不能接受的导致产品/服务停止供应、活动无法执行等负面影响所需的时间,即RTO应小于MAO/MTPD。通常而言,我们可以通过调研(访谈、小型研讨会和问卷调查)分析得到每个业务的最小业务连续性目标(MBCO)和最长可接受中断时间(MAO/MTPD),如下表可帮助分析最长可接受中断时间(MAO/MTPD):

最长可接受中断时间(MAO/MTPD)分析

与最长可接受中断时间(MAO/MTPD)主要是通过调研、分析得出,相对“客观”相比,RTO/RPO的确定更多是策略选择,相对“主观”一些,需要结合最长可接受中断时间和业务之间的相互依赖关联关系分析得出可能的最大值,例如在下表的案例中:经调研、分析,业务A、B、C、D的最长可接受中断时间分别是4小时、12小时、1天和2天,业务B依赖于A和C,业务C依赖于业务A,业务D依赖于业务A和B,在确定业务A、B和D的恢复时间目标分别是4小时、12小时和2天后,业务C的恢复时间目标又该是多少呢?( 你可以留言你认为正确的答案给我)

当然,在实际的业务连续性管理工作中,也有相当部分专业人员并未使用最长可接受中断时间的概念,而是直接结合调研数据和业务依赖关系分析得出恢复时间目标。但最小业务连续性目标这个概念最好要用到,因为在业务恢复过程中可以根据情况降级提供服务(并非一定要立即把业务恢复到平时的正常水平)。有了最小业务连续性目标,在后续的业务连续性策略选择时的空间会扩大很多,同时资源建设的投入也会相应减少,资源使用效率也会更高。

第4步:资源需求分析 即分析为恢复业务运行所必需的各种资源(或要素)。

业务活动的正常运行需要一系列的内外部条件,我们可以把其中不可缺少的那些称为业务要素,包括但不限于关键业务资产、人员、技能、技术(包括工厂和设备)、场地、物资和信息(无论是否为电子格式)等。

突发(应急)事件不一定必然导致运营中断,只有那些造成业务要素出现问题(不能正常使用)的突发应急事件才会导致业务中断。

突发应急事件和运营中断事件

因此,对于需要恢复的每项业务活动,我们需要找出运行(或恢复)该项业务活动时必需的业务要素。一般而言,这些业务要素可以按:人员(及其角色、职责、能力等),信息和数据,建筑、工作环境和相关公共服务,设施、设备和消耗品,信息通信技术(ICT)系统、交通,财务和资金,以及外部供应商等进行分类(也可以按关键信息系统及其运行环境,关键的人员,业务场地,业务办公设备,业务单据和供应商等进行分类)。

通过汇总整理这些业务恢复所必需的关键业务要素建立起来的资源需求清单将为后续的业务连续性策略选择及资源建设计划建立必要的基础。 (在强监管行业中,业务牌照也应列入关键业务要素进行考虑。)

第5步:BIA报告编制 即编制业务影响分析报告并获得管理层批准/认可。

业务影响分析报告的内容应包括:执行摘要,业务影响分析的方法与过程,业务清单及(恢复)优先级、业务恢复目标(RTO/RPO、MBCO等),关键支持资源及其它相关信息。下面是一家商业银行业务影响分析报告的大纲(样例)。

某商业银行业务影响分析报告大纲样例

在编制业务影响分析报告时, 要 :将报告草案发送给参与调研的关键人员,确认报告中的数据,并根据反馈进行必要的调整;准备小型会议向高层管理者汇报业务影响分析的结果,取得管理层对报告结论的正式认可。

基于以上的业务影响分析5步法,可以制定一个正式的、文件化的 业务影响分析实施过程 。这个正式的、文件化的过程中应包括但不限于以下内容: 1)业务影响分析的实施过程,需要明确影响指标体系、指标量度分级和时间量度,以及使用工具(电子表格或软件)等; 2)业务影响分析过程中的角色与职责; 3)相关法律法规、标准要求或其它参考; 4)业务影响分析的周期; 5)产生的文档有哪些? 6)是否有信息需要保护,如何保护? 7)在附件的调查问卷中可包括以下信息:关于时间量度的问题,MBCO(最小业务连续性目标),互依赖性、最长可容忍中断时间(MAO)、最大数据损失(RPO),恢复所需的资源,对供应商和外包合作伙伴的评估等。

业务影响分析的数据收集方法主要包括:文件查阅,(关键)人员访谈,小型主题研讨会,问卷调查以及 基于情景的演练(根据需要,细致策划,谨慎使用) 等。

2.2 业务影响分析项目的规划与管理 – 项目视角

从项目管理角度来看,业务影响分析项目可简单分为项目规划、项目实施以及项目后3个阶段,在这3个阶段各有不同的工作重点。

业务影响分析项目规划工作主要包括: (1) 确定业务影响分析的项目范围,确定项目发起人(和保证高层管理者)的参与; (2) 制定项目管理计划,确保业务影响分析实施方法和计划获得认可; (3) 建立业务影响分析过程中的特定角色和职责(及能力),建立并获得必要的技能; (4) 获得业务影响分析项目所需的资源;向业务影响分析过程的参与者传达预期。

业务影响分析项目实施工作主要包括: (1) 执行业务影响分析过程(5步法),达成业务影响分析项目的目标; (2) 定期报告,并按照管理层的预期改进项目工作; (3) 收集意见、反馈和数据以改进业务影响分析过程。

业务影响分析和风险评估的结果可以让组织确定和选择合适的业务连续性策略,如:后备工作场所的安排,后备供应链的安排,ICT的恢复选择,后备的人力资源,后备的设备资源,临时(手工)措施和替代程序等。在业务影响分析项目完成后,我们需要让业务影响分析的结果用于开发预案、设计演练场景、提升组织效率、协助制定长期战略和开发新产品计划等,使业务影响分析工作发挥出有效的作用。

2.3 业务影响分析实务中的误区 • 未认识到业务影响分析既是过程也是项目(在特定时间),只重视业务影响分析的专业方法,不重视项目治理工作,未取得领导和相关部门关键人的支持,造成项目迟滞和推进不力; • 未掌握业务影响分析的概念和基本原理,没有裁剪定制的方法和实施过程细则,没有合适的工具与模板支持,使业务影响分析工作事倍功半,投入精力大,效果并不显著; • 不重视业务影响分析的项目前期准备工作,没有项目参与人员的选择标准,也没有经过有效的培训(方法、过程及工具使用)就开始项目实施,项目实施过程难以达标甚至造成返工; • 不重视业务影响分析的项目后工作,BIA成果未得到有效和充分的使用,也就较难获得领域和相关部门人员对业务影响分析工作的认可和正反馈,对后续的业务连续性工作形成新的阻力。

2.4 业务影响分析小结

业务影响分析可能是业务连续性管理领域 最重要 ,也是 最混乱 的主题了,它是众多业务连续性管理活动的基础,如果业务影响分析得出了错误或不准确的结论,你就不可能得到预期的业务连续性成果。

因此,在业务影响分析工作中,应做到 4要4不要 ,即: 要 得到管理层和相关方关键人员(在项目最开始时就要得到IT部门)的支持和认可, 要 让“正确的人”参与进来, 要 让BIA结果和组织能力和资源相匹配(或找到差距), 要 让BIA的成果得到有效和充分的应用; 不要 未进行培训和方法统一就开始项目, 不要 只是通过调查问卷收集信息, 不要 造成前后矛盾的问题和数据,最重要的是,作为业务连续性经理(管理人员), 不要 只是作为专家参与,而是用管理视角推动项目有效开展。

3.风险评估

3.1 风险评估5步法 – 过程视角

根据ISO 22301:2012 3.50 风险评估是指“风险识别、分析和评价的整个过程” (overall process of risk identification, risk analysis and risk evaluation) ,也就是说,风险评估是一个过程,是识别、分析和评价业务中断风险的完整过程。

基于过程的评估 vs. 基于资产的评估

业务活动要素出现问题导致业务运营中断 我们前面已提及,业务活动的正常运营依赖于一系列关键的业务要素,如场地、设备、人员、原材料、供应商等,一旦由于某些原因导致某个业务要素不可用,就可能造成业务运营中断。因此在评估业务中断风险时,我们有两个选择:基于过程的评估和基于资产的评估。基于业务活动的评估,是评估各种可能的内外部风险源(不确定性)对业务活动(承灾体)造成中断的影响,这时,焦点在“业务活动”。基于资产的风险评估,是评估各种可能的内外部风险源(不确定性)对关键的业务要素(承灾体)造成中断的影响,这时,焦点在“关键业务要素”。基于过程的评估颗粒度相对“粗糙”一些,基于资产的风险评估颗粒度相对“精细”一些,但对业务中断风险评估的结果影响不大。

下面我们结合业务影响分析/风险评估的原理及行业实践,使用风险矩阵法介绍风险评估5步法:

第1步:方法和准则确定; 第2步:风险识别; 第3步:风险分析; 第4步:风险评价; 第5步:RA报告编制; 以下对此5步法简要描述。

第1步:方法和准则确定 即确定风险评估的方法以及风险准则(哪些类型和级别的中断风险可以接受,又有哪些不能接受)。

根据业务连续性管理项目集的成熟度及资源投入确定风险评估的方法,具体涉及到: • 基于过程(业务活动)的评估还是基于资产(支撑业务活动的关键业务要素)的评估; • 风险矩阵法还是其它方法; • 风险因子使用后果、可能性还是资产价值、威胁、脆弱性或其它; • 风险因子量度的描述; • 风险值如何计算(估算),即通过风险因子计算风险值的方法;

业务连续性管理人员可以基于风险准则和计算的风险值确定哪些风险可以接受以及哪些风险必须立即进行处置。风险准则就是用来明确风险是否可以接受的标准,它应反映组织的价值观、目标和资源,并与风险管理的政策和状态相一致。在确定准则时应考虑到组织的义务和利益相关者的意见。风险准则应在风险评估过程开始时建立,但它是动态的,如有必要,应不断审查和修订。

风险评估也需要一个正式的、文件化的 风险评估实施过程 。在以上的方法和准则确定后,组织应编制一份正式的、文件化的过程,具体包括但不限于以下内容: (1) 风险评估的过程,包括是基于过程还是基于资产的风险识别,只评估威胁(风险源),还是包括脆弱性,如何量度(定量/定性)、计算风险值,如何进行风险处置决策,有什么风险评估工具等; (2) 风险处置过程,包括过程中的责任和记录; (3) 风险管理相关的法律法规,合同要求和参考标准; (4) 评估周期,即多长时间以及在什么情况下需要重新进行风险评估; (5) 风险管理过程中的角色和职责; (6) 风险评估产生的文档有哪些; (7) 风险评估信息如何沟通,需要通知到哪些人,向谁汇报; (8) 如何保护评估信息的机密性等。

第2、3、4步:风险识别、风险分析和风险评价

风险识别、风险分析和风险评估应在风险评估方法中确定,下面简要介绍一下三者的特点:

风险识别,即发现,列举和描述风险因子的过程。通过识别风险源、影响范围、事件及其原因和潜在的后果等风险因子,生成一个全面的风险列表。风险识别时,要掌握相关的和最新的信息,必要时,需包括适用的背景信息。除了识别可能发生的业务中断事件外,还需要考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论风险是否在组织控制之下,或其原因是否已知,都应对其进行识别。此外,要关注以往发生过的风险事件,特别是新近发生的风险事件。

风险分析,即系统地运用相关信息来确认风险因子及在风险评估方法明确的量度,对特定风险的风险因子进行赋值并计算风险值。风险分析时,应考虑组织的风险承受度及其对前提和假设的敏感性,并适时与决策者和其它利益相关方有效地沟通。此外,还需要考虑可能存在的专家观点中的分歧及数据和模型的局限性。一般情况下,我们采用定性法进行业务连续性风险分析。

风险评价,将计算出的风险值与给定的风险准则对比,以决定风险的水平并确定控制风险的优先顺序。经过风险评价,确定该风险是可接受的还是需进行处置(可以采用风险规避、风险优化、风队转移或风险保留等措施)。应对处置后的剩余风险进行分析和评价,如果该剩余风险可接受,就进入下一步;如果仍不可接受,就需要采用新的处置措施(或调整风险处置措施),如此反复,直至剩余风险可接受。

第5步:RA报告编制

风险评估的方法、准则、过程和结论会体现在RA报告中。通常情况下,RA报告内容应包括: • 执行摘要; • 风险评估方法和过程; • 风险清单及严重性排序;(如果有可能的话,可采用风险地图等方法尽可能将风险评估结论可视化) • 风险处置措施及剩余风险; • 其它相关信息。

风险评估的数据收集方法主要有:组织内部和外部的文件查阅,(关键)人员访谈,小型主题研讨会,问卷调查,实地查勘以及 渗透测试(蓝军) 等。

3.2风险评估项目的规划和管理 – 项目视角

风险评估可以采用项目管理的方法进行管理,结合业务连续性项目(集)管理的实际情况,有时也可直接纳入业务影响分析项目进行整体管理。从项目角度来看,风险评估项目也可简单分为项目规划、项目实施以及项目后3个阶段,在这3个阶段各有不同的工作重点。

风险评估项目规划工作主要包括: (1) 确定风险评估的目标和项目范围,确保项目发起人(和保证高层管理者)的参与; (2) 制定项目管理计划,确定项目实施方法和计划获得认可; (3) 建立风险评估过程中的特定角色和职责(及能力要求),建立并获取必需的技能; (4) 获得风险评估项目所需的资源,向风险评估过程的参与者传达预期。

风险评估项目实施过程主要工作包括: (1) 执行风险评估过程(5步法),达成风险评估项目的目标; (2) 定期报告,并按照管理层的预期改进项目工作; (3) 收集意见、反馈和数据以改进风险评估过程。

业务影响分析和风险评估的结果可以让组织确定和选择合适的业务连续性策略,如:后备工作场所的安排,后备供应链的安排,ICT的恢复选择,后备的人力资源,后备的设备资源,临时(手工)措施和替代程序等。在风险评估项目完成后,我们需要让风险评估的结果用于开发预案、设计演练场景、协助制定长期战略等,使风险评估工作发挥出有效的作用。

3.3 风险评估实务中的误区 • 未认识到业务连续性风险评估的对象是业务活动 (activity) 和支持其的重要业务要素,而是直接采用基于资产的风险评估方法(由此可见GB/T 20984-2017的影响之大); • 未掌握风险评估的概念和基本原理,不清楚业务连续性风险评估的边界,无意识地将业务连续性风险评估的关注点扩展到运业务中断风险之外; • 没有裁剪定制的风险评估方法和实施过程指导,没有合适的工作和模板支持,造成风险评估过程走偏或事倍功半; • 未有效和充分使用风险评估的成果,造成风险评估工作资源投入的浪费和低效率。

3.4 风险评估小结

风险评估的首要工作是明确评估的主题是“业务连续性风险评估”而非其它(如信息安全、安全生产等),接下来是据此明确评估的对象及层次,是组织级、业务活动级、业务要素级还是混合的,然后选择合适的风险评估方法及相应的风险准则。

根据评估的对象、层次、方法,将“正确的人员” (知识、技能) 纳入项目,并保障他们拥有充足的资源进行风险评估工作。

……(未完待续,下面会接着谈谈:对组织及业务及运营的再认识;对业务影响分析和风险评估的再认识(二者的关系以及与业务连续性策略和能力规划的关系);以及对前述问题的简答,如果你对业务影响分析和风险评估还存在疑问,请留言给我 )

============ 精采回顾 ===========

0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃

第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )

第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?

第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )

项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )

业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 )

业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )

能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 )

业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 上 ) “ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。

原文发表于公众号”业务连续性+” | 原文链接