· 公众号:业务连续性+

业务影响分析与风险评估进阶之二:理解业务与业务影响

问题:如何进行业务影响分析和风险评估? 回答: 业务影响分析和风险评估是众多业务连续性管理活动的基础,可能是业务连续性管理领域最重要的主题了,但同时也可能是最混乱的主题,在其中有太多误解、谬误和疑问,比如下面这些问题:

  • 到底是先做RA还是BIA? (这是一个“老”问题,年年有人问,也有人年年问;-) )
  • 怎么识别、确定业务啊?这就象是个不可能完成的任务?
  • 业务部门报过来的RTO/RPO全是0,怎么办?
  • 几个业务部门报过来的影响都是重大(但数据标准不一),怎么汇总啊?……
  • 按财务、客户、合规和声誉这些维度评估中断对不同业务的影响时,有些业务流程(如向监管机构报告)没有财务影响数据怎么办? ……

……续上期

  1. 理解业务活动(流程)和业务影响

价值链/价值流与价值创造

任何企业都是以为客户创造价值为宗旨和存在理由的。客户价值的来源是企业价值创造的活动。在特定的业务范围,这些活动彼此关联、相互衔接,源源不断地生成、供给产品和服务(作为客户价值的载体);它们的组合、结构以及连接方式,则是企业系统价值创造的内在机制。美国哈佛大学教授迈克尔•波特(Michael Porter)将这种机制和运行过程命名为价值链。

价值链:创造顾客价值的活动组织

上图为向客户提供产品的制造型企业的价值链。向客户提供非实物产品的服务型企业,其服务业务的价值链与此类似,只不过部分活动—我们也可以称之为价值链上的某个/某些环节—与上图有所差别。例如,零售服务价值链没有生产环节,但包括客户体验环节以及客户购买(交易)环节。

一般而言,价值链包括目标市场定位、需求分析、价值定位和客户价值创造、价值传递等。价值链本身就是企业业务运作的主要流程,它是一个价值创造体系。上图中的多种活动、多个环节可进一步概括为:研、产、销、服。从动态角度看,价值链—客户价值创造的流程—是一个向前流淌的价值之河(价值流)。不断有支流(外部供给的要素、资源等)汇合进来,原有的价值形态在这条河中转化为新的价值形态,河水也就得越来越浩大(价值增值)。价值流有三方面的特点: 第一,价值创造活动(流程)是一个连续的过程,节奏要快,停顿要少; 第二,价值创造活动(流程)是一个增值的过程,各环节需找到增值的理由和依据; 第三,价值创造活动(流程)是一个企业内外部各种活动、环节相互协同的过程,需要顺畅连接和精准配合。

迈克尔•波特在分析价值链概念时指出:“在特定产业中,企业的价值链深藏在一个更大的活动群中,我们称之为‘价值系统’”。换句话说,某个企业某项业务的价值链,是更大的产业及社会价值创造体系或价值网络的组成部分。基于这样的视野,企业可以界定价值链的长度,即从上游至下游全产业链中企业价值链的边界或经营活动的范围。任何一个实物产品行业,通常都是由上游资源/原料开发、中游加工制造、下游分销使用/消费三部分组成,真正封闭全产业链、实现上中下游一体化的企业少之又少。对大多数企业而言,其业务功能定位于产业全价值链的一个或几个环节。许多产业由于技术进步较快、内部竞争激烈,其分工法则是水平分工;每个企业的业务边界都很狭窄,只能聚焦于扁平的空间、依赖核心能力生存和发展。

从企业角度,将自身价值链置于更大的产业及社会价值创造体系或价值网络之下,可以设计、安排客户价值实现的外部价值链—主要包括外部要素、资源的供给链和下游分销、零售(或直销)的渠道链。

企业价值链和价值系统

迈克尔•波特的价值链理论中还有一个重要模型,将企业价值创造活动分为主要活动(流程)、辅助活动(流程),也有人将它们分别称为基本活动(流程)和支持活动(流程),如下图:

企业价值链中的主要活动和辅助活动

按照迈克尔•波特的说法,“主要活动是那些涉及产品实体的创造、分销、配送,以及售后的支持与服务性活动;辅助活动则是那些让主要活动顺利进行,如进料(采购)和基础设施等活动。”他所定义的企业基础设施,主要包括一般管理、法律事务、会计等功能,在今天看来就是公共的管理和服务职能。迈克尔•波特认为,每一项主要活动都会涉及采购、人力资源和技术开发的组合,这三项辅助活动是嵌入主要活动(流程)之中的。

主要活动(流程)、辅助活动(流程)分类模型的意义,并不在于各种活动的定义(尤其是主要活动的定义)—它们距离今天企业的实践似乎已有些遥远,而在于分类本身—企业各种价值创造活动的目的、属性和特征是不同的,必须区别对待。事实上,不同行业、不同企业具体情况不同,主辅活动很难统一界定。有些企业的主要活动(流程),在其他企业可能属于辅助活动(流程);反过来,有些企业的辅助活动(流程),在其他企业则可能属于主要活动(流程)。例如,一般企业的合规管理活动属于辅助活动,但在制药行业却是与产品开发、制造以及品质控制交融在一起的重要活动。实际上,我们不必拘泥于迈克尔•波特价值链的主辅活动分类,而是需要根据企业的实际情况对企业价值创造活动提出适当的分类,同时揭示各类活动之间的逻辑关系,并且结构化地表达出来。

有按业务活动和管理活动进行分类的,其中业务活动是指直接为客户创造价值的活动,管理活动则是对业务活动进行计划、协调、组织、控制及领导的活动。举个例子,某剧团为客户提供演出服务,从编剧、排练、舞美设计,到卖票、收票、搭台,再到演出、音响照明控制等,都属于业务活动;而编制演出计划、编写排练流程、安排人员分工、监督演员表现等,则属于管理活动。

也有按牵引性活动,增值性活动,要素性活动,支持性活动进行分类的,其中牵引性活动是指引导企业业务运行、发展方向,控制业务过程的管理活动,如战略管理活动,年度计划与预算管理活动;增值性活动(价值流)是企业特定业务价值创造的主流程和最重要的业务活动,就制造类企业而言,主要是“研、产、销”,就服务类企业而言,则是服务项目(产品)设计、服务运行等;要素性活动是打造人才、资金、技术三大要素供应链的活动,这三大要素是顾客价值创造活动所必需的,也是企业能力基础中最重要的构件。三大要素的开发、供给和配置,是对增值性活动(价值流)起支撑作用的最重要的业务活动。有些人也许会问:增值性活动和要素性活动究竟哪个更重要?离开了要素性活动,增值性活动无法进行,因此这两者至少同等重要。支持性活动是支持增值性活动和要素性活动的公共性、服务性活动。它们大多属于管理类活动,也有一部分属于业务类活动。

业务流与业务流程体系

企业为实现价值创造,从输入客户要求开始到交付产品及服务给客户获得客户满意并实现企业自身价值的业务过程,可以用业务流程来描述和定义。需要明确的是,业务流是客观存在的,天然是从客户到客户的,流程是对业务流的一种表现方式,是用来描述业务流的,目的是为了不同团队执行流程时获得成功的可复制性。

流程6要素

流程(Process),也译为过程,是“工作流转的过程”的简称。每个流程包括6个要素:输入资源、活动、活动的相互作用(即结构)、输出结果、客户、价值。

构建流程体系的第一步,就是画出总体的价值流或价值链。然后根据各个经营环节的不同性质进行切分,分解为大的模块,就象把一条河分成上游、中游和下游。大的模块可以是研产销,这是基本的模块,即根据企业创造价值活动的分类,我们可以确定流程体系的基本框架,即一级流程目录。一级流程是企业最主要的价值创造活动。它们有相对独立的主题和内容,自身是“端对端”的闭环—这是流程划分的主要依据。

从一级流程框架分解细化形成企业分类分级的流程清单,对于着手进行流程体系建设和管理的企业意义重大,就如同进行人员管理的“花名册”,必须有清晰的上下级结构以及对自身属性的清晰描述。在此清晰的架构上,才能保证相关的流程制度文件之间接口清晰,不出现差异。对于流程的分类分级,即把流程从粗到细、从宏观到微观、从端到端的流程到具体指导操作的明细流程进行分解,可将其分为三四(或更多)个级别,从价值链图构成部分形成的一级流程,直到子流程和业务活动(甚至任务)构成的三四(或更多)级流程。在把流程做了这样的分类分级,就形成了一个清单,也就是流程清单。

流程的分类分级首先是从管理要求的角度出发对业务的分类,由于不同管理对象流程的目标和流转环节差异较大,因此可分解为不同的流程,从而使相应的流程设置不同的控制点和对应不同的知识经验积累点。一般而言,同类企业(比如都是家电制造类企业、纺织制造企业或餐饮服务企业等)一级流程大体上相似,因为它反映了企业价值创造的基本逻辑和普遍规律。越是次级流程,企业之间的差异越大,越是与企业具体的战略动作(举措)相关。国际流行的美国生产力与质量中心(American Productivity and Quality Center, APQC)编制的跨行业流程分类分级框架(Process Classification Framework, PCF)就是一个很好的范例。IBM等公司开发设计了组件化业务模型。通信行业另有增强型电信运营图(enhanced telecom operation map, eTOM)。而华为将全部流程分类为运营流程(operation)、使能流程(enable)和支持流程(supporting)3个大类,共计17项一级流程。

在流程分级过程中,如果一个二级流程描述得比较复杂,可将其中一部分独立为其子流程;或者,将多个流程都会用到的公共流程分解出来作为单独的流程,如《合同签订管理流程》,所有与采购相关的流程都可调用此公共流程。流程分解意味着自上而下的流程梳理,要注意在每项流程中都不能疏忽、省减重要的环节/事项;环节的连接需要符合逻辑且相互对称。如战略制定和执行流程,其初始环节是战略分析,其后的环节是战略思想;再往后是战略规划、战略分解……,不能越过战略思想,直接把战略分析和战略规划对接起来。缺少战略思想这个环节正是不少企业在制定战略时编写了一堆无思想、无逻辑的所谓规划的原因。战略思想和战略规划是对称的,处于同一层次,也不能把战略思想连接到战略规划下面的子流程如产能布局上去。

华为公司流程的分类分级

这部分资料来自网络。

华为作为一家企业,业务多且复杂,规模又能做到如此之大,流程管理是其成功的重要原因。

华为认为,从本质上来说,流程是组织创造的机制。华为公司提倡流程化的企业管理方式,任何业务活动都有明确的结构化流程来指导,通过流程建设把所有人从海量的、低价值的、简单重复的工作中解放出来。华为的流程管理,借鉴了业界领先的实践(IBM),总结自身流程运作管理后,整理出一套全球流程管理规则和制度。

华为是一个全流程型的公司,把企业所有的活动纳入到了十六个一级流程里面,构建了企业业务运行的堤坝。

①流程分类华为把流程分为了三类,业务流程、职能流程和支撑流程。

业务流程,也叫价值创造流程,有四个,包括集成产品开发,从市场到线索,从线索到回款,从问题到解决,属于客户界面的流程。 职能流程,是支撑业务流程的成功的,包括我们看到的战略、交付、供应、采购这些能力,它能够强化价值创造的效果。 支撑流程,属于平台类的流程,比如包括人力资源、财经等,是提供企业公共服务的,这也是属于不可或缺的基本能力。

②流程分层流程分层取决于业务的复杂度,比如华为的销售体系是比较复杂的,流程分层可以延展到六层。对很多不复杂的流程,比如说客户关系管理流程,分解到三层就足够了。在华为三层以上的流程是公司统一的,不允许变;各地区部仅允许在四层流程上做本级业务适配,但是必须报公司批准;各代表处仅能做五六层方面的流程适配工作,流程的变化是严格受控的。

企业流程体系是企业竞争能力的载体,流程应客观地表现客观存在的业务流,它跟客观存在的业务流越接近,才可能进行优化甚至流程再造。在建立企业流程体系的过程中,还要注意到以下两点: (1) 并非企业所有的价值创造活动都是流程性活动 。企业中的大多数经营管理活动肯定属于流程性活动,因为它们的运行过程有相对规范的时间顺序和空间(场景)转换逻辑。也可以说,流程性活动是相对确定的活动。而不确定的活动显然无法流程化,这很容易理解,不知道何时、何地会发生什么,不知道何时、何地会面临什么境遇、挑战和任务,不知道下一步往哪里走、向何处去……,例如一些技术研发活动,从较宏观的角度可能确定大的流程轮廓以及一些大的步骤----项目选择、项目立项、立项批准、开发准备、开发运作等。但是其中的项目选择、开发运作等环节就很难流程化,它们大部分的工作内容是小组讨论及开发人员的个人化行为(思考、运算、绘图、计量、测试等)。再如,在销售活动中,常常需要根据客户的要求和反应随机应变,很难事先规定固定的流程和操作模板。对这些非流程化的活动,可以将其封装起来。 (2) 流程层级(与细分流程的颗粒度有关)本身是一个变量,但是可以掌控的变量 。一项活动,某个职位、某种角色的人员可以完成而不需要两个及以上的人员接力完成,那么就不必再分解了;或者,一项活动虽然需要两个及以上的人员接力完成,但由于工作内容过于简单,无须流程细分,相关人员都能准确高效完成,那也就没有必要多此一举。

业务价值衡量、利益相关者以及扩展的平衡计分卡

企业的全部价值创造活动是一个整体,以目标客户和价值定位为核心,各类活动相互关联,多层次驱动因素相互关联。

20世纪90年代,随着绩效评价体系重构的必要性逐渐显现,西方许多学者对战略性绩效评价体系的构建进行了许多探索,设计了不同的绩效评价模型。罗伯特·卡普兰和戴维·诺顿提出了平衡计分卡模型,从财务、客户、内部运营、学习和成长四个维度对企业绩效进行考核。这四个维度,主要涉及到客户、股东和员工三方面的价值考量,客户价值,主要是以客户的价值盈余(客户获得的价值与客户付出的代价之差)来衡量。世界著名营销大师菲利普•科特勒将客户的价值盈余称作客户认知价值或客户转移价值。股东价值,通常以资本市场上的市值来衡量(即使不是上市公司,基本上也能估值,有多种方法和模型)。从内部人员角度,主要以全体员工的平均总收入(月度/年度)等来衡量。

典型企业利益相关者示意图

我们知道,包括股东、经营者、员工、债权人、供应商、客户、竞争者、政府、媒体、企业周边社区等个人或团体都是企业的利益相关者。利益相关者在企业中进行一定的专用性投资并承担一定风险,影响企业经营目标的实现或者被企业实现目标的过程所影响。企业创造价值不但要考虑平衡计分卡涉及到的股东、员工和客户利益,也要考虑债权人、客户、供应商、竞争者、政府、企业周边社区等利益相关者的利益。因此,我们有必要结合利益相关者理论扩展平衡计分卡用于对企业的绩效评价,可使用以下5个维度: (1) 社会环境维度主要涉及政府(监管机构)、周边社区和其它社会团体(如行业协会、环保组织等)等利益相关者,其中,政府(监管机构)因为社会赋予其管理经济的职能,周边社区因为存在对洁净空气、水源以及安全等需要,其它社会团体因为对于道德规范或共同的价值取向而分别成为企业的利益相关者,它们共同为企业提供了生存和发展的外部社会环境。反映政府角度的指标有税率、纳税数额及纳税及时性、合理避税能力等,反映周边社区方面的指标有社会形象、社会贡献、增加就业、环境保护等,反映其它社会团体的指标则因机构而异。 (2) 财务维度主要涉及股东和债权人,其中,股东是企业非常重要的利益相关者,虽然其他的利益相关者越来越受到关注,但一般来说,企业仍旧以“追求利润和股东收益”为主要目标;债权人将本金借给企业,目的是通过利益获取收益。作为企业资金的主要提供者,债权人的地位和作用不能被忽视,充分考虑债权人的利益将有助于企业的持续发展。股东主要关注盈利能力、运营能力,他们关注的指标有投资回报、经济增加值、净收益、剩余收益、每股收益、总资产收益率、净资产收益率、销售利润率、资产周转率等。股东关注盈利能力、运营能力,相关的财务指标有投资回报、经济增加值、净收益、剩余收益、每股收益、总资产收益率、净资产收益率、销售利润率、资产周转率等;债权人关注偿债能力,债权人利益类的财务指标可包括各种负债率、应付账款周转率和还债能力等。 (3) 市场维度主要涉及企业的外部价值链,包括供应商、竞争者、客户等利益相关者。企业的社会功能是投入各种要素为客户提供产品或服务,如果没有供应商提供要素输入,企业就无法开展业务;如果没有客户,企业就失去了存在的基础。竞争者是因为《反不当竞争法》、《知识产权法》等法律法规要求对方不得采用非正当手段进行市场竞争、不得侵犯知识产权等权利。与客户相关的指标与原平衡计分卡下的客户维度的指标类似,主要有客户满意度、客户保持率、新增客户数量等指标;与供应商相关的指标有供应商满意度、供应商及时交货率等;与竞争者相关的指标有市场占有率、行业集中度、行业利润率等; (4) 内部运营维度与企业的内部流程相关,企业的行业、规模不同,内部流程也会不同,所以在选择内部运营维度指标时也会因企业而异。一般价值链模型中企业包含四个主要过程,研发、生产、销售、服务,相关的指标也可据此分为四类,可以用新产品研发周期、新产品研发费用、新产品研发成功率等指标反映研发过程;用订货周期、设备利用率、设备检验时间、废品率等指标反映生产过程;用Pipleline线索量、pipeline周期,回款周期等指标反映销售过程;用产品维修一次成功率、产品保修期、退货处理等作为服务流程的考核指标。 (5) 学习和成长维度主要与经营者和员工有关,经营者和员工是往往被视为股东(出资人)的代理人,但他们也为企业维持和扩张投入了人力资本。而人力资本在今天的知识经济中越来越重要,所以他们对创造和提高企业价值的重要性也越来越大。经营者(包括掌握核心技术的技术人员)处于企业经营决策的核心地位,他们关注的指标有管理者的满意程度、管理者培训次数、管理者领导能力等。一般员工方面,主要关注员工工作效率、员工保持率、员工知识水平、员工满意度等。同时,在团队建设方面,有团队人员之间的协作程度等。

当然,同一个人或者团体可能拥有几种利益相关者身份。例如,企业的股东可能同时是企业的管理者,企业产品或服务的客户,以及某个社会团体的成员。但为了方便,以上对典型企业利益相关者进行分析时,我们将其各种身份分开来考虑。

由于资源、时间和精力有限,企业在决策时,并不总能做到同时、同等地对待其所面临的所有权益主张。在特定企业中,利益相关者识别和优先度分析,是对利益相关者进行有效管理的第一步,也是最关键的一步。因此在画出企业利益相关者联系图,明确每一利益相关者的权益主张后,就需要对企业所有利益相关者的所有权益主张进行优先度排序,确定哪些最重要。譬如,商业银行的利益相关方包括股东、员工、存款客户、贷款客户、中间业务客户,竞争对手、监管部门、其它社会团体、媒体、社区等。在对台湾22家商业银行和5家信用社的高级管理人员的进行调查后,得到的结果见下表: 商业银行主要利益相关者属性综合评分 小 股东 大 股东 银行管理层 银行一般员工 家庭储户 公司存款客户 零售贷款客户 公司贷款客户 公用事业公司 银行监管部门 其他商业银行 其他金融机构 属性综合评分 0 93.3 36 0 0 80 0 80 0 83.3 66.7 36 由此表可知,大股东综合评分最高,为93.3。其次是银行监管部门、银行公司客户、其他银行,它们的综合评分分别是83.3、80、66.7。再次是其它金融机构和银行管理层,二者综合评分均为36。小股东、家庭储户、银行一般员工、公用事业公司综合评估均为0。这只是一次调查,但也大致能反映不同利益相关者属性的真实情况。

从“重要业务”说开去

“重要业务”很重要!

从逻辑上说,做业务连续性管理不复杂,只要找出重要业务,分析可能导致这些重要业务运营中断的原因及可能带来的影响,采取措施减少运营中断发生的可能性,在运营中断发生时尽可能降低运营中断带来的影响,并且尽快恢复业务。这里面的关键与首要是找出重要业务,后续工作也是围绕重要业务展开的,所以 “重要业务”很重要!

但哪些业务是重要业务呢?

一种思路是从业务分类着手,比如在牵引性、增值性、要素性、支持性这四类业务活动,我们知道增值性活动(价值流)是企业特定业务价值创造的主流程和最重要的业务活动,主要是“研、产、销、服”,要素性活动是对增值性活动(价值流)起支撑作用的最重要的业务活动,我们前面也说过,离开了要素性活动,增值性活动无法进行,因此这两者至少同等重要,那这两类业务活动都是重要业务活动。但牵引性活动作为指引导企业业务运行、发展方向、控制业务过程的管理活动,支持性活动作为支持增值性活动和要素性活动的公共性、服务性活动(甚至部分支持性活动也属于业务活动)就不重要了吗?换种分类方法,比如按业务活动、管理活动,或者运营类活动,支持类活动等进行分类,还是能难以界定。看来这种思路走不通。

第二种思路,是在企业中选出一批人员进行访谈和调查(一定要有管理层的代表),由他(她)们根据一定的指标(有权重)对已识别的业务进行打分,然后根据这些调查结果分析、确定出重要业务。这时的重点就转移到 判定重要业务的指标及其权重 上了,选取指标的作法有很多,比如“面向客户、涉及账户处理、时效性要求高”,比如客户规模、业务量、利润、是否战略重点、是否涉及重要利益相关方等等,这些指标及其权重可以根据企业的战略规划、风险偏好、年度计划重点及行业特点进行设计,并适时调整。事实上,有相当一部分企业在进行业务影响分析就是这么做的。

其实,还有一种思路,是将业务连续性管理中的重要业务限定为“业务连续性重要业务”,而非“战略”或“运营”重要的业务。所谓业务连续性重要业务,指的是对中断时间更敏感的业务,具体可按RTO进行排序,RTO越小,从业务连续性管理角度就越重要。比如,对商业银行而言,支付转账业务并不比存、贷款业务更重要,但其对中断时间容忍度更小(RTO较小),从业务连续性管理角度,它就更重要一些(所需投入的资源更多)。这种思路回避了判断哪些业务是重要业务,直接从业务恢复优先级着手进行分析。

后面这两种思路都是可行的,在实践中也都有大量案例支撑。第二种思路易于理解,容易上手启动,但实施起来不易(想想有哪些业务会愿意承认自己不如别的业务重要),容易受其它因素干扰,需要高层管理者的关注和介入才能有效推进。当然,采用这种思路实施得到的重要业务清单及业务影响分析成果,除了可以帮助制定后续的业务连续性策略、编制预案等业务连续性管理工作外,还可以帮助管理层更好地理解业务,有益于业务战略制定和日常运营,简单总结,就是投入要求大、产出效益多。第三种思路与人们常规的理解不一致,需要进行解释与培训,但一旦形成共识,由于它聚焦于运营中断和业务恢复工作而不涉及其它业务运营与管理问题,实施起来会相对容易和顺畅一些,简单地说,就是投入精准,产出明确。

至于在企业中究竟采用哪种思路开展工作,可以根据企业的具体情况进行选择,也可以将两种思路结合起来使用。目前,在国内,采用第二种思路的实施更多一些。下面简单解释一下。

《BS 25999-2:2007 Business continuity management – Part 2:Specification》提出了关键活动 (2.15 critical activities) 的概念,标准中给出的定义是:为交付关键产品和服务来保障组织满足它的最重要和时间敏感目标所必须履行的那些活动 (those activities which have to be performed in order to delivery the key products and services which enable an organization to meet its most important and time-sensitive objectives) 。同时,在《BS 25999-2: 2007》中始终强调要保障关键产品和服务 (key products and services) 的交付,以及保障重要活动的连续性 (continuity of critical activities) 。BS 25999是第一个得到广泛接受的业务连续性管理体系的标准,对后续各国、各行业的标准及规范形成了一定的影响力。

《商业银行业务连续性监管指引》(即银监会104号文)于2011年年底发布,其中借鉴了BS 25999中的概念和思路,采用了重要业务的概念(共出现33次),比如: “第一条 ……为降低因……导致 重要业务 运营中断的影响,快速恢复被中断业务,……”, “第二条本指引所称业务连续性管理是指商业银行为有效应对 重要业务 运营中断事件,……,保障重要业务持续运营的一整套管理过程,包括……”, “第三条本指引所称 重要业务 是指面向……”, “第四条本指引所称 重要业务 运营中断事件(以下简称运营中断事件是指)……”, “第二十四条商业银行应当识别 重要业务 ,明确 重要业务 归口部门……”。

国际标准化组织ISO在2012年发布的《ISO 22301: 2012 Societal security - Business continuity management system – Requirements》中没有使用关键活动 (critical activities) 而是采用了优先活动 (3.42 prioritized activities) 的概念,标准给出的定义是:事件发生后为了减轻影响必须执行的活动 (activities to which priority must be given following an incident in order to mitigate impacts) ,并在注释中说明,描述此类活动的常用术语包括:紧要的(critical)、必要的(essential)、重要(vital)的、紧急的(urgent)和关键的(key)。今年刚刚发布的《ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements》中保留了优先活动(3.25 prioritized activities)术语,将其定义微调为:为避免在中断期间对业务造成不可接受的影响而采取紧急措施的活动 (activities to which urgency is given in order to avoid unacceptable impacts to the business during a disruption) ,并将2012版中的注释删除。

有国外专家对此变化 (从关键活动/重要业务变化优先活动) 的解读是:BS 25999强调重要业务的连续性 (continuity of critical activities) ,其背后的假设是在企业所能投入资源有限的前提下,把业务按重要性进行分级,优先保障重要业务的连续性(换句话说,在资源不足时,对非重要业务可暂不提供业务连续性保障)。ISO 22301不再使用重要业务的概念,而是使用优先活动 (prioritized activities) 这个术语,背后的假设是随着社会发展、竞争加剧以及企业服务品质的提升,企业将所有业务一视同仁(不再区分是否重要),在中断期间按照RTO时间依次进行恢复。(我在调研一家外资企业时—该公司全球所有工厂都通过了ISO 22301认证,他们的负责人提及公司的策略就是业务连续性管理体系要覆盖所有业务。)

在国内,由于BS 25999起步早,银监会104文的行业影响大,所以“重要业务”这个概念在业务连续性管理专业圈子深得人心,但未来随着ISO 22301的推广和行业交流的深入,相信会有越来越多的业务连续性管理专业人员会更深入理解并超越“重要业务”,结合企业实际情况来选择合适自己企业的分析方法。

……(未完待续,下面会接着谈谈:对业务影响分析和风险评估的再认识(二者的关系以及与业务连续性策略和能力规划的关系);以及对前述问题的简答,如果你对业务影响分析和风险评估还存在疑问,请留言给我 )

============ 精采回顾 ===========

0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃

第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )

第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?

第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )

项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )

业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 )

业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )

能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 )

业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 上 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 中 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估 进阶篇之一:理解组织及其环境

“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。

原文发表于公众号”业务连续性+” | 原文链接