业务影响分析与风险评估进阶之一:理解组织及其环境
问题:如何进行业务影响分析和风险评估? 回答: 业务影响分析和风险评估是众多业务连续性管理活动的基础,可能是业务连续性管理领域最重要的主题了,但同时也可能是最混乱的主题,在其中有太多误解、谬误和疑问,比如下面这些问题:
- 到底是先做RA还是BIA? (这是一个“老”问题,年年有人问,也有人年年问;-) )
- 怎么识别、确定业务啊?这就象是个不可能完成的任务?
- 业务部门报过来的RTO/RPO全是0,怎么办?
- 几个业务部门报过来的影响都是重大(但数据标准不一),怎么汇总啊?……
- 按财务、客户、合规和声誉这些维度评估中断对不同业务的影响时,有些业务流程(如向监管机构报告)没有财务影响数据怎么办? ……
……续上期
4.理解组织及其环境 (Context)
在开始进行业务连续性管理工作时,我们就被告知,要了解组织及其环境,下面我们用些时间了解一下组织及其环境:
现代社会,可以说任何社会,都是一个组织的社会。人们的生活不是各自孤立的行为,而是通过与其他人的交往互动实现的,这些交往互动都是在“组织”的框架里进行的:一个农贸市场是一个组织,一个信贷市场是一个组织,幼儿园、食堂、街道、公司、政府、居住小区等都是各种各样的组织。
“标致汽车的传说”与集体想象中的虚构故事?— 组织是什么
组织现象一方面在我们日常社会中直观可触,但同时也扑朔迷离。究竟什么是“组织”呢?尤瓦尔•赫拉利(Yuval Noah Harari)在《人类简史》讲了“标致汽车的传说”。
标致公司Logo
标致汽车是欧洲一个历史悠久、规模宏大的汽车制造商,起源于法国的瓦郎蒂盖伊村(Valentigney)。标致一开始只是个小型家族企业,现在却是个跨国企业,全球员工达20万人,他们多半互不认识。通过这些陌生人极有效率的合作,2008年标致公司制造了超过150万辆汽车,营收约550亿欧元。
那么,我们怎么来看待标致公司(Peugeot SA)?它是什么(谁)?当然,你在路上能看到很多标致公司制造的车辆,但显然这些车辆并不代表标致公司。就算全世界所有的标致汽车同时被回收打成废铁,标致公司也不会消失,标致公司还是能继续制造新的汽车,继续发布新的年度报表。此外,标致公司有工厂、机器、展示大厅,也雇用了技术工人、会计师和行政人员,但就算把这些全加起来,仍不等于就是标致公司。即使来了一场灾难,让标致公司所有员工全部罹难,毁了所有的装配线和办公室,标致公司还是可以借贷,重新雇用员工,重新盖起工厂,重新购买机器。另外,虽然标致公司也有经营团队和股东,但这些人也不等于标致公司。就算解散经营团队,股东把所有股票售出,标致公司本身依然存在。当然,这些并不是说标致公司无坚不摧。只要有个法官下令强制公司解散,虽然公司的工厂仍然存在,员工、会计师、经理和股东也继续活着,但标致公司就消失了(想想三鹿奶粉、东南融通等公司)。
简单来说,标致公司和现实世界其实并没有什么实体的链接,它并非与之关联实体的简单加总。因此,尤瓦尔•赫拉利认为,标致公司只是我们的一个“集体想象”,这种想象在法律上称为“法律拟制”(legal fiction)。对标致公司来说,我们没有办法明确指着它,因为它不是一个实体对象,而是以法律实体方式存在的一种“集体想象”。
进一步,尤瓦尔•赫拉利说,“无论是现代国家、中世纪的教堂、古老的城市,或者古老的部落,任何大规模人类合作的根基,都在于某种只存在于集体想象中的虚构故事”。组织这个司空见惯的现象,也只是集体想象中的虚构故事。
尤瓦尔•赫拉利的思考有助于我们对组织的理解,但远远不够。
组织协同模型与基本构成要素
为更全面地理解组织,可以借用奈德勒和图什曼提出的“组织协同模型”,逐一分析其中的每个元素。
组织的协同模型
环境 每个组织都存在于特定的物理、技术、文化和社会环境中,并要与之相适应。没有任何组织可以做到自给自足,所有组织的生存都取决于该组织与其所在的更大系统建立的各种关系。环境指的是组织之外所有影响组织生存和实现其目标的能力的重要因素,包括作为组织服务对象的客户或顾客,向组织提供为达到其目的所需资源的供应商和合作伙伴,对组织产出的需求施加影响和约束的政府、行业机构,以及更为广泛的文化背景、社会制度安排等。环境可以看作资源的汇集,是机会与约束和需求与威胁的来源。组织环境是动态的,会随时间不断变化。
战略与目标 战略是组织的一系列选择,包括目标市场和客户、在选定领域参与竞争的途径(即提供产出的独特方式)、实现目标的具体措施以及产出目标本身。战略可分为如开拓型战略、防御型战略和分析型战略,开拓型战略以开发创新性产品和服务为中心,以期获得所在经营领域的主导地位;防御型战略更多关注提高内部流程的效率,而不是创新;分析型战略是前两者的折中,注重保持现有产品或服务组合的优势,也定期推出和提供新的产品和服务。也有将战略分为以高产量和高效率为主的低成本战略、以提供独特产品或服务为主要目标的差异化战略,以及专注于向特定地理区域或特定人群提供针对性产品或服务的集中化战略。有了总体战略,组织还要选择实施它们的战术,这些选择构成组织的底层或中间层目标和措施。最后,组织通常还会为自己设立特定的业绩目标。
工作与技术 为了实现特定的战略,将目标转变为现实,组织必须有效地完成一系列关键任务。为顾客提供个性化服务与低成本大批量生产所要做的事情大不相同。这里的工作指组织为实现自己的特定目标所必须完成的各项任务。为完成工作,组织必须具有完成工作的技术。有些组织加工处理物质投入、制造新设备,提供硬件产出;另一些组织“加工处理”人,其产品可能是拥有更多知识的人(如学校),也可能是更健康的人(如医院);还有的组织加工处理的是符号(如数据或音乐)。通常,组织的技术部分附着于所有的机器和设备上,部分体现在参与者的知识和技能上。所有组织都拥有技术,但是它们对技术的理解、态度、规范和运用程度却差别很大。
正式组织 有些组织对其工作以及组织内各部分之间的关系有一定程度的明文规则,这样的组织称为正式组织。这些明文规则通常涉及人力资源实践(如雇佣和薪酬政策)、工作岗位设计以及组织的整体结构等。人力资源实践包括如何招聘和激励成员,如何安排他们在组织里的工作以及未来的职业发展。对任何组织,招聘和保持成员都是一项核心任务,同样重要的还有如何让他们为组织做贡献。工作岗位设计确定一项工作中应该包含的任务。组织结构将工作组合成更大的单位(如团队或部门),确立组织中不同单位与个人之间的正式沟通方式和职权关系。这些设计和选择可以用大家熟悉的组织结构图进行概括和描述。
非正式组织 组织结构图并不能告诉我们组织的全部。非正式组织指那些影响组织运行的自主属性,主要包括组织的文化、行为准则、价值取向,组织内外的社会网络,权力与政治以及领导者行为等。文化包括组织成员一定程度上共同认可的价值、信念和期望,这些要素互相交织形成一个大体相容的集合,引导组织中那些相对正式的政策和战略。社会网络指的是个人之间基于工作关系建立的但其作用大大超出工作范围的那些联系。随着组织内个人和小单位不断改变各自的打算,以及组织资源环境的不断变化,权势和政治自然而生。
人员 组织参与者在各种诱因作用下为给组织做贡献。当今,任何一个人都参与不止一个组织,他们对不同组织的参与范围和程度有巨大差别,造成的影响也可能差异很大,因此,往往很难确定某人是不是特定组织的参与者。作为组织参与者的个人(特别是领导者)及其行动对组织很重要,也会带来重大影响。
所有上述要素:环境、战略与目标、工作与技术、正式组织、非正式组织以及人员,均为各类组织的重要部分。协同模型提示我们,没有哪个要素占据绝对主导地位,任何要素都不会脱离其他要素单独发挥作用。我们必须认识到,组织首先是一个系统,其中的每个要素都影响着其他要素,并受到其他要素的影响。单从战略、人员、正式结构或技术都无从理解组织的本质。对任何组织的理解都离不开更大的环境。忽略其他要素,只关注组织某一方面的特征,是无法把握组织的实质的。
平衡计分卡、利益相关者理论与组织绩效评价
多数专家把组织看作是一种社会结构,即“ 个体创造的、用来追求特定目标的协 作结构 ”,也就是说,所有组织都具有特定的组织目标,都有组织成员,并组成了一定的结构和规则。换句话说,组织被看作实现特定目标的工具,但在实践中,并非所有的资源都能直接用于实现目标的活动,有些资源—有时甚至占相当高的比例—要用于维持组织自身。也就是说,作为实现特定目标工具的组织本身却吸收大量的能量,在一些极端的情况下(其实并不少见),组织自身甚至变成目的。因此,必须有办法衡量组织是否达成了它所追求的“特定目标”?绩效评价就是指运用一定的评价方法、量化指标及评价标准,对组织为实现其追求的特定目标的实现程度,及为实现这一目标所安排预算的执行结果所进行的综合性评价。一般情况下,政府机构和非盈利组织的目标比较多元,对其进行绩效评价更不容易。下面,我们先看看企业的绩效评价。
在20世纪90年代以前,欧美国家的所有企业都在沿袭以往的单一的财务指标对其职业经理进行评价。但随着企业全球化竞争步伐加快,越来越多的企业 高级经理认识到:即使最好的财务体系也无法涵盖绩效的全部动态特点,很多企业开始对只依靠财务指标对绩效进行考核的合理性提出质疑,他们开始意识到传统的财务性存在缺陷。当年的美国银行(Bank of America)曾一度制定了全美国最有雄心的绩效考核激励奖罚制度,以发放贷款的数额决定贷款员的表现,表现最佳者可获得超过中等表现者收入50%的奖励。结果美国银行得到了他们想要也该得到的东西:大批的坏账。虽然实现了管理目标,但随后银行却因此遭受了巨大损失。只看贷款数据,而不去考虑表面看不到但更重要的贷款质量、风险、客户忠诚等因素是行不通的。
针对这些问题,20世纪80年代末,罗伯特•卡普兰和戴维•诺顿通过对12家业绩衡量领先的企业进行为期一年的研究,提出了平衡计分卡的理念。他们认为单纯依靠财务指标存在很大的局限性,并认识到很多提高短期财务绩效的方法(如裁员、消减培训成本、研发成本、营销成本、客户服务等)都有可能损害公司未来的财务健康。相反,一些公司从财务角度上看可能暂时状况不佳,但他们其实是投资于能驱动未来绩效高增长的核心能力区域。同时,他们进一步洞察到依赖滞后指标的局限性,因为其反映的是历史绩效,并不能为未来绩效衡量提供可靠的依据。卡普兰和诺顿平衡计分卡模板最初是从财务、客户、内部运营及学习与发展来平衡设定目标和考核企业各个层次的业绩。这四个维度的解释如下:
财务维度 从财务角度来看:我们怎样满足股东、满足投资者?实现股东价值的最大化?由此产生的第一类指标即财务绩效指标,它们是公司股东、投资者最关注的反映公司绩效的重要参数。这类指标能全面、综合地衡量经营活动的最终成果、衡量公司创造股东价值的能力。
客户维度 为了满足股东、投资者,使他们获得令人鼓舞的回报,我们必须关注我们的得益相关者,关注我们的市场表现。因为,向顾客提供产品和服务,满足顾客需要,企业才能生存。顾客关心时间、质量、性能和服务、成本,企业就必须在这些方面下功夫,提高服务质量、保证服务水平、降低定价等。
内部运营维度 为了满足顾客,获得令人鼓舞的市场价值,从内部运营角度思考:我们应具有什么样的优势?我们必须擅长什么?一个企业不能样样都是最好,但是它必须在某些方面满足生产顾客需要产品的机能,在某些方面拥有竞争优势,才能立足。把企业必须做好的方面找出来,督促这些方面越做越好,企业就能练出过硬本领。
学习和发展维度 为了提升内部运营的效率、满足顾客、持续提升并创造股东价值,企业必须不断地成长,由此,围绕组织学习与创新能力提升,其意义在于衡量相关岗位在追求运营效益的同时,是否为长远发展营造了积极健康的人才梯队、信息系统与企业文化。
平衡计分卡作为突破财务指标考核局限性绩效评价工具被提出后,受到了企业界的广泛关注,并在实践中逐步演化为企业战略管理的工作。
现代企业理论中有两个重要的学派:新古典产权学派和利益相关者学派。新古典产权学派认为企业目标是追求财务业绩,强调股东价值最大化理论—企业的目标就是要实现股东的价值,满足股东的投资期望,确保股东投资收益的最大化;与新古典产权学派对立的是利益相关者学派,他们主张企业的利益应当由那些能够影响企业的利益相关者分享。管理学中的“利益相关方”(stakeholder)理论,认为凡是和该组织发生关联、其利益受其组织影响的人都是组织的利益相关者,可能包括股东、债权人、员工、顾客、供应商、政府等。这一理论的基本观点是,该公司的行为涉及这些人或组织的利益。而一个人或组织只要在这个公司中有利益(stake),即成为“利益相关方”(stakeholder)。
也就是说,利益相关者是在企业的发展过程中,任何能够对其生产经营活动产生影响的团体或个人;重点利益相关者指企业的发展过程中,任何能够对其生产经营活动产生重大或决定性影响的团体或个人。事实上,满足利益相关者特别是重点利益人的需求和期望,是企业获得生存和发展的关键。近年来所谓客户价值最大化、员工价值最大化等观点都属于利益相关者学派的一个延伸(如“员工第一,客户第二,股东第三”和“以客户为中心,以奋斗者为本”等)。
利益相关者理论的推崇者认为:“对于一个企业来说能否获得长期的生存和繁荣的最好途径是:考虑其所有重要的利益相关者并满足他们的需求。因此企业在设定自己的目标时,应该考虑到那些对自己来说十分重要的不同利益相关者的需求。原因是利益相关者能够影响组织业绩,他们对公司的发展有着十分强大的影响很大。”
他们指出平衡计分卡所谓四个维度的实质是:无论对平衡计分卡推崇的组织与个人如何试图解释、变换平衡计分卡维度的作用和内涵,四个维度实际上是在关注股东、客户、员工三个与企业密切相关的利益相关者的需求: 1.财务维度关注的是股东需求; 2.客户维度关注的是客户需求; 3.学习发展维度主要关注内部员工的需求; 4.内部运营则体现企业内部运营战略举措维度,它反映的是如何支持客户与财务目标实现。
但只此4个维度,够吗?很明显,四个维度并不能完全、充分地描述、解释企业的战略。罗伯特•卡普兰和大卫•诺顿在他们关于平衡计分卡的第一本专著《平衡计分卡—化战略为行动》中也阐述了其对突破四个维度的认同:“四个方面够了吗?平衡计分卡的四个方面应用于广泛类别的公司和产业,都被证明是有效的。但是这四个方面应当被当作样板,而不是紧身衣,没有数学定理规定这四个方面既是必要的,又是充分的……以一家化工公司为例,该公司想要创立一个全新的计分卡维度,以反映环境方面的考虑。我们提出了疑问:环保虽然重要,但是并不是你公司的竞争优势的基础。公司的总裁和其他高级职员立即反映:我们不同意这个看法……因此,利益相关者的利益,只要对经营单位战略的成功是重要的,就可以被纳入平衡计分卡……”
随着工业经济时代的结束和知识(数字)经济的到来,从“一个利益相关者(股东)的利益最大化”到“多个利益相关者的利益最大化”也是企业管理必然的发展趋势,丢掉“紧身衣”的平衡计分卡体系不再局限于所谓的“四个维度,四个平衡”。在实际的管理工作中,我们需要根据企业及其所在行业的特点,从利益相关者对企业的需求与期望出发,突破最初提出的四个维度,灵活的调整平衡计分卡的维度。
……(未完待续,下面会接着谈谈:理解业务活动(流程)和业务影响;对业务影响分析和风险评估的再认识;业务连续性策略和能力规划;以及相关问题简答,如果你对业务影响分析和风险评估还存在疑问,请留言给我 )
============ 精采回顾 ===========
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )
项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 )
业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )
能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 )
业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 上 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 中 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接