· 公众号:业务连续性+

荐书:《组织韧性和ISO 22301实务指南》

春节前在收集ISO 22301相关资料时,拿到了James Crask的《业务连续性管理 -组织韧性和ISO 22301实务指南》(以下简称《实务指南》,原版书名为“Business Continuity Management – A Practical Guide to Organizational Resilience and ISO 22301”)。春节过后恰好有几天处于间隙期,赶忙比较快速地读了一遍。

James Crask没有让我失望,《实务指南》绝对属于近年来最好的业务连续性管理书籍之一。《实务指南》中有不少令人惊艳的观点,边读边想拍桌子赞叹,有时还会忍不住起来走几步再坐下来接着读,有些观点印证并说出了我很难表达清楚的想法,也有些观点修正了我(和业界常规)的认知。

鉴于业务连续性管理(当前)更多是实践而非理论的特点,以及James Crask在业务连续性和组织韧性领域的影响力和专业积累,强烈推荐国内业务连续性和韧性领域的研究者和从业者,能够花时间读读这本《实务指南》。为抛砖引玉,以下我从作者及写作背景、书籍概要和重要观点等方面简要介绍一下这本《实务指南》。

  1. James Crask是谁?

可能会有朋友问:James Crask是谁?为什么他写的书值得关注?

James Crask

詹姆斯·克拉克(James Crask)是ISO TC292 WG2的召集人(convenor,有些地方称其为该小组的主席chair)。我们知道, ISO TC292是国际标准化组织ISO中与安全领域的标准合作、以增强社会的安全和韧性为目标的技术委员会,其WG2(即第二工作组,Work Group 2)负责ISO 22301 /22313 /22316 /222317 /22318 /22330 /22331 /22332等连续性和韧性领域(continuity and organizational resilience)标准的编写。通俗一些说,James Crask是ISO 22301系列标准编制团队的“掌门人”。他曾具体担任过ISO 22316的项目负责人( 在书中第3章他吐槽了不少标准化过程中存在的现象 )。

James Crask自2003年以来一直在韧性领域工作,他目前在全球风险管理咨询和保险经纪公司Marsh领导业务韧性咨询业务,包括支持世界上最大的食品和消费品公司、跨国金融服务组织、关键基础设施运营商以及技术和媒体等众多行业部门建立韧性安排。

James Crask之前曾担任BBC风险管理负责人,以及英国核退役管理局(UK Nuclear Decommissioning Authority)的类似职位;他还曾在普华永道工作多年,领导该英国公司的企业韧性咨询服务,为多个行业部门的公司提供咨询。在做咨询顾问之前,James Crask曾在英国内阁办公室工作,支持政府部长和英国首相制定国家备灾计划,他还支持应对国家危机(作为英国政府危机应对机制COBR的一部分)。

2.写作背景

那么,James Crask为什么要写这本《实务指南》呢?他写这本书的背景和目的是什么?

在自然界的演化中,能够适应不断变化的环境、在逆境中更强壮、更机智的动物更有可能生存下来。组织具有类似的特质。一个组织在危机前的健康状况,以及它在面对重大变化时的适应能力,很大可能会决定它从扰乱(disruption)中恢复的效果。较弱的、以及那些不愿或无法改变的组织,很可能生存不下去。今天仍在运营的一些全球知名品牌,如诺基亚(最早可追溯到运营造纸厂,2021年销售额超过220亿欧元)、丰田(可追溯到制造织布机)、箭牌(可追溯到销售肥皂和小苏打)和标致(可追溯到经营花卉厂),都是这种持续适应需求的例证。

从长期看,那些能够发现潜在扰乱(potential disruption)、快速响应、恢复并适应的组织更有可能茁壮成长。业务连续性不是唯一有助于组织韧性的因素,但它确实在帮助组织实现适应能力方面发挥了非常重要的作用。James Crask希望借助自己在政府机构、跨国公司、基础设施企业、慈善机构、媒体和电信公司、技术和金融服务机构多年实施业务连续性、危机管理和运营韧性安排方面取得的成功和个人失误的结晶,为组织建设韧性提供一些实用的指导。

James Crask表示,每个组织都是不同的(促成和刺激组织适应和改变的驱动因素可能完全不同),与韧性从业者互动的每个利益相关方都会有不同的需求、价值观和人生观。这就要求从业者对收到的每一条建议和良好实践提出质疑,并根据组织高度具体的需求进行调整。但事实上,有太多的从业者执着于所学到的个别“最佳实践”,在业务连续性和韧性实现方法上越来越教条,不能灵活应对现代组织的复杂和个性化要求。

James Crask表示,《实务指南》是出于对 业务连续性相关的专业论文和讨论越来越枯燥、令人失望 而写。 有很多业务连续性和韧性项目(programme)实施了ISO标准,但却从来没人停下来问问这些标准是否适合他们的组织。 但韧性概念的核心在于组织及其员工不断适应的能力。如果一个组织的业务连续性和韧性方法保持不变,但其经营环境和人员却持续变化,随着时间的推移,帮助其管理业务扰乱(business disruption)的准备计划将变得与具体需求越来越不相关,很可能在最需要的时候无法发挥作用。

James Crask表示,《实务指南》基于ISO 22301中规定的良好实践,但提供的建议并不局限于ISO指导的方法(即不局限于ISO 22313 /22317 /22318 /22331 /22332等指导和技术规范),《实务指导》将寻求探索更务实的方法来实施对组织韧性的改进——调整方法以适应每个组织的特定背景和文化差异( 我认为:这些探索和调整体现了James Crask的洞见和专业积累,是《实务指导》提供的最大价值之一 )。

James Crask表示,很少有专业方向能让其从业者有机会在从锅炉房一直到董事会就关系组织成功的问题开展工作。而业务连续性和韧性就是这些为数不多的专业之一,它让从业者可以全面体验组织的工作,并在业务的运营和战略层面开展工作;它让从业者可以在危机最严重的时候以及事情进展顺利时与高级管理层合作,从业者还可以看到组织以及为其工作的人员处于各种压力状态时的情况,这一切为从业者提供了巨大的学习机会。

James Crask表示,《实务指南》面向业务连续性和韧性行业的新老从业者。但它最适合那些希望通过常见良好实践获得信息,但却不希望被其定义的从业者;它也适合那些希望挑战管理层和组织领导人并对业务连续性和韧性有一些稍微不同看法、希望在职业生涯中获得更多成就的从业者。

James Crask表示,《实务指南》没有也不可能提供所有的答案(事实上,没有人能)。相反,它为落实有效的业务连续性和韧性能力采取的实际步骤提供建议。它提供了一些建议、工具和模板;但这些 只是为读者提供了一个好的起点 ,可能需要进一步定制,以满足组织的特定需求。如果一个从业者想要的是“放之四海而皆准”的业务连续性和韧性方法,那他一定选错了职业。

  1. 内容概要

好的,那我们简要看看《实务指南》究竟讲了些什么? (文后附录有全书的大纲)

《实务指南》全书分3个部分,共17章。

第1章是 引言(Introduction) ,介绍业务连续性和韧性概念、业务连续性管理生命周期,并提出了一个高效韧性专业人员应当具备的品质和能力(skillset)。

第1部分核心原理 ,介绍并解释业务连续性和韧性的基本原理,包括第2到第7章,其中: 第2章主要介绍韧性概念的由来及演化过程(英国经验); 第3章主要介绍业务连续性和韧性国际标准的制定、使用等情况,其中也专门提(tu)到(cao)了标准化过程存在的问题; 第4章主要介绍组织的不同特征如何影响对业务连续性和韧性认知、重点和驱动因素等,为后续定制实施方法建立基础; 第5章主要比较事件(incident)、危机(crisis)和扰乱(disruption),并将其管理整合到一套框架中; 第6章在整合的应对框架基础上,给出危机应对的良好实践,包括决策周期、危机沟通等; 第7章主要介绍新冠疫情应对(最新)的经验教训。

第2部分有效业务连续性能力的交付指导 ,基于ISO 22301/22313框架给出了业务连续性和韧性的实施指导,包括第8章到第14章,其中: 第8章赢得并保持董事会的关注,主要对应ISO 22301“第4条组织环境”; 第9章完善治理和落实资源,主要对应ISO 22301“第5条方针”和“第7条资源”; 第10章进行业务影响分析和确定恢复策略,主要对应ISO 22301“第8.2 业务影响分析和风险评估”以及“第8.3 业务连续性策略和解决方案” (进一步,可参考ISO 22317和ISO 22331) ; 第11章编写计划和程序,主要对应ISO 22301“第8.5 业务连续性计划和程序” (进一步,可参考ISO 22332) ; 第12章培训和演练,主要对应ISO 22301“第8.4 演练方案”、“第7.2 (人员)能力”和“第7.3 意识” (进一步,可参考ISO 22398) ; 第13章供应链韧性,主要探讨供应链连续性管理,进一步,可参考ISO 22318; 第14章评审、审计和改进,主要对应ISO 22301“第8.6 业务连续性能力和文档评价” 、“第9条绩效评价”和“第10条改进”。

第3部分模板和检查表 ,给出了一些常用的模板和检查表,包括第15章到第17章,其中: 第15章给出了几种常见计划的内容和编制建议; 第16章给出了事件应对过程中用到的常见模板; 第17章给出了一个业务连续性管理评分表的样例。

  1. 重要观点

下面简要整理、摘录《实务指南》中提及的一些有意思的观点 (不全面) :

4.1 7种不同的组织特征

支撑业务连续性和韧性的核心概念和过程在各行业是共同的,但这并不是说在所有地方的实施方法都一样 ——事实上,每个行业和组织都有其自身的特点,这是由它们所处的环境驱动的。这些行业和组织特征会潜移默化地影响和改变其业务连续性的重点、建立韧性的驱动因素和动机,以及韧性投资的重点。

书中探讨了7种不同类型的组织特征,每种特征对实现业务连续性和韧性的方法都有各自不同的影响:

1 技术或数据驱动型 :技术是业务的核心赋能者或重要区分者,或业务模式的核心是大量数据的创建和商业化,如银行组织和软件公司。

2 办公室工作型 :该类组织的大部分活动是在办公室环境中进行的。如多数“城市型的”(city-based)专业公司,包括大部分公共部门、审计事务所、法律事务所和许多组织中的总部角色。

3 强监管型 :该类组织受到严格监管,包括对安全、安保和韧性活动的增强检查。实例包括基础设施提供商、银行组织和公用部门活动部分。

4 高危环境 :该类组织的业务模式中包括高风险过程,或员工和业务面临较高水平的安全风险。实例包括农业、化学采矿和石油天然气企业。

5 生产型 :该类组织专注于所销售消费品的设计、制造和/或维护。实例包括汽车制造商、食品生产商和高科技制造业。

6 服务型 :向其他企业提供服务的组织,通常是用外包的方式。实例包括安保和设施提供商以及IT服务公司。

7 公共部门或慈善机构 :该类组织的重点是由国家支持或捐赠资助的非商业性项目。该类组织还可能表现许多其他特征,但值得放在这里特别关注。

以上这7类组织特征并不互相排斥。 一个组织可能同时表现出不至一个特征,但每个特征都会影响到业务连续性。

4.2 技术或数据驱动型

所有组织都以某种形式依赖于技术——没有技术,任何现代企业都无法运营。然而,对有些组织来说,他们的整个商业模式都是围绕数据和技术构建的——要么是因为他们将数据和技术作为服务卖给客户,要么是因为他们严重依赖技术和数据本身。

例如软件公司或银行组织。对软件公司来说,这是显而易见的,对银行组织来说,如果没有高度复杂和相互关联的技术来处理它们管理的大量数据,现代银行业务就无法工作。2012年,苏格兰皇家银行经历了一次重大的IT停机,650万消费者(占英国人口的10%)受到影响。银行业的业务模式完全依赖于IT系统的可用性和它们处理的数据,如果发生中断,可用的人工解决方案非常有限甚至不存在。比如,美联储在2019年处理了超过15万亿笔交易,这相当于地球上每一个人大约有2000笔交易。对如此庞大的处理量,没有任何人工解决方案可以取代计算机的处理。正是由于银行业务中断对整个市场造成的影响,以及系统故障导致消费者无法获得基本银行服务的经验,监管机构开始特别关注韧性。

在重技术和数据(technology and data-rich)的环境中,技术系统对组织商业模式的成功至关重要,这又会影响到业务连续性和韧性的实施方法。 传统的规划顺序是通过业务影响分析(BIA)设置技术和数据恢复需求 ,这确保了IT连续性安排与业务部门定义的恢复要求保持一致,但在重技术(technology-rich)环境中,BIA过程有时可能会反过来工作。为这些元系统(meta-system)实施韧性的规模、复杂性和最终成本可能会导致业务连续性角色的分离。通常 由技术团队负责为这些环境中的关键系统定义需求并实施韧性安排 。这使得业务连续性团队成为技术团队的内部“客户”,对技术和数据恢复需求的定义几乎没有影响。

在这些环境中,合作至关重要。业务连续性和IT连续性团队必须协同工作,以确保用于分析业务中断影响的过程在整个组织内保持一致。需要确定和讨论业务部门设定的恢复要求与技术团队实施的实际IT连续性能力之间的差异,以确保在组织的韧性安排中没有留下缺口。同时,韧性专业人员必须对技术风险问题有很强的把握,并能够将高度技术性的问题转化为决策者能够理解的语言。

4.3 监管审查

包括供电、供水和银行系统在内的关键基础设施故障的广泛影响有可能严重损害消费者和经济,因此,监管机构对组织的韧性状况越来越感兴趣。一些监管机构认为,高质量的业务连续性安排是一种有用的手段,可以确保消费者不会因对中断缺乏准备而受到过度伤害。

如果监管机构对韧性非常感兴趣,韧性从业者应当注意到其动机的局限性。大多数监管机构的任务是代表消费者,或维护行业或市场的稳定和安全。他们不一定对个别实体(或用监管机构的语言,市场参与者)的商业健康感兴趣。这意味着,监管机构要求和指导中建议的一些措施,仅涵盖组织可能需要的部分内容。毕竟,对于监管机构来说,在一个拥有大量闲置产能的行业中,一个组织的失败不一定是一个大问题。但对于组织个体来说,这可能是生存和彻底失败之间的区别。

以银行业为例,监管机构希望确保影响容忍度(impact tolerance)的定义将客户和市场稳定放在首位。他们对可能损害银行商业利益的问题不太关心,比如向市场推出新的抵押贷款产品的能力。对监管机构来说,只要在整个市场上有足够容量的抵押贷款产品就可以了,一家银行机构中断可能只是一个微不足道的问题。这个例子是想说明用于识别和排序业务服务的评分和分级机制中应当包括商业影响,以及监管机构希望看到的影响。

强监管行业的组织往往将大量时间集中在合规活动上,试图证明业务连续性控制符合监管预期。但对合规的关注有时会以业务连续性计划的有效性为代价,尤其是监管机构给出的方法不成熟,或者组织未能理解 监管机构(关注)的社会利益与企业的商业利益之间的差异 。如果大部分管理信息和报告都集中于跟踪外部监管的合规性,这些组织可能会忽视自身实施业务连续性的原因。最终,组织需要在遵守外部监管和确保商业利益在业务中断时得到保障之间取得平衡。

当然,监管审查也有积极作用。在这些组织中,通常更容易获得和保持高级管理层对业务连续性的支持。在监管机构有强大权力对表现不佳的公司实施制裁的情况下更是如此。

4.4 高危环境

在这类组织中,韧性可能完全倾向于预防事件发生,并建立快速响应安排,以便在事件发生时进行管理。预防和响应控制的失败可能会产生灾难性的影响,不仅会影响到组织的商业利益,还会影响到在该组织场所附近工作和生活的人,以及自然环境。

这类组织往往受到严格监管,如果被认定控制无效,或事故导致人员和环境受到损害,会被严重处罚。永远存在的处罚威胁(极端情况下包括吊销运营许可证),意味着业务连续性讨论很容易被对安全和安保的关注淹没。如果没有强有力的高层发起人(sponsor),要建立对业务连续性需求的兴趣,并确保维持业务连续性所需的必要投资,可能是一个挑战。

此外,这类组织通常拥有完善的应急和事件管理团队,其传统重点是预防和应急响应。对于这个团队来说,业务连续性可能是一个较新的课题,而且他们在这方面的个人经验可能非常有限。然而,有应急管理技能也可能是积极的,因为这些技能可被用于风险评估、制定计划、培训和演练等准备工作。虽然这些应急管理的过程与交付业务连续性计划的过程不同,但对准备和响应的一些核心原理的熟悉会降低实施的难度。

4.5 不同行业的特点

James Crask还专门分析了一些行业的特点,及其对业务连续性和韧性实施方法的可能影响:

● 制药业:强监管行业,以高度控制和严格的方式进行创新。韧性的重点会偏向于维护安全和质量,以及预防危机出现。其韧性要求还会延伸到组织的整个供应链,以确保药品生产所需的原材料始终可得,并按照正确的标准供应。

● 制造业:安全、质量和效率通常是制造业的核心关注点。效率和利润压力的需求会对组织愿意投资多少在韧性上产生重大影响。供应链韧性也很重要,同时关注生产的地点和资产。

● 快速消费品行业:由于激烈竞争,该行业的效率和利润压力可能最重。

● 金融服务业:强监管行业,重点是防止个别机构损害消费者或破坏市场稳定。这些组织通常高度依赖技术,这意味着韧性活动可能会偏向于IT韧性方面,并采取以合规为基础的实施方法,以反映监管机构的重大关注。

● 专业服务机构:声誉对这些组织很重要——没有信誉,业务就不复存在。仅次于声誉的是组织向客户推销其知识的人。在这些组织中,实物资产和建筑物的韧性不是重点。取而代之的是,允许移动办公、保护敏感数据及其人员的技术韧性是主要考虑因素。

● 科技初创企业:在这里创新为王;没有创新,这些组织就不会成功。创新会带来破产和扰乱的风险,对于一些初创企业来说,这是意料之中的,甚至会鼓励它们突破创新的界限。在这些组织中,想法很重要,所以人们和他们掌握的知识将是重点。考虑到破产将在过程中某个时刻发生的预期,这些组织可能是最难被说服实施结构化韧性机制的组织之一。随着成长,这些组织将从创业心态转变为可靠性对其服务的客户更为重要的文化。

4.6 业务影响分析过程中的整合

在涉及业务影响分析时,James Crask强调了业务影响分析过程中整合(consolidation)分析数据的重要性。比如采用价值链的方式将所有分析整合在一起,在此模型上绘制关键活动,可以更容易地可视化恢复规划的优先级可能在哪里,应该关注哪些关键依赖项,以及与业务的其他部分相比,部门或团队是否过度或低估了其关键性等。

下图的示例是一个高度简化的庙宇模型方法,用于整合一家新闻机构的BIA(该示例未展示关键资源依赖关系):

一家新闻机构业务影响分析输出整合示例

该示例展示了新闻机构价值链的两个主要组成部分——传统印刷媒体和数字渠道。它还展示了与 推动广告收入 、 关于新兴和突发新闻的新闻报道 以及 在线推送内容的能力 相关的活动对公司来说至关重要。因此,通过整合过程,可以得出结论,恢复规划应当优先考虑以下方面: ● 新闻采集; ● 投放广告的机制; ● 保持在线状态的平台。

事实上,在《实务指南》中,还有许多让人耳目一新的洞见和专业经验, 值得读者进一步关注和思考,比如,“其它行业可以从英国银行业在韧性方面的经验中学到很多东西。客户结果(customer outcomes)与韧性能力的脱节、缺乏联合思维以及场景测试提供的挑战水平不足,这些都是适用于任何行业的教训。”

再比如,“对刚接触业务连续性和韧性的组织,至少从开始时,从业者不应该害怕走阻力最小的道路。如果公司的重点是技术韧性或场所恢复规划,那么就从这些主题起步,并从这些主题开始构建。利用利益相关方的直接利益可能比花大量时间和精力教育他们‘正确’做事方式更好。”

最后,再次强烈推荐国内业务连续性和韧性领域的研究者和从业者,花时间读读这本《实务指南》。

附录:《组织韧性和ISO 22301实用指南》大纲

1 引言 业务连续性和韧性 业务连续性介绍 高效韧性专业人员的品质和技能 迈出第一步

第一部分核心原理

2 韧性的演化 业务连续性的局限和韧性的诞生 监管机构认识到韧性的重要性:英国经验 通往韧性的旅程和挑战

3 相关国际标准 韧性标准简史 管理体系标准 认可认证过程 标准的常见陷阱 如何使用标准

4 不同行业业务连续性和韧性的差异 组织特征 准备开始

5 事件管理、危机管理和业务连续性比较 国际和欧洲标准中的定义 定义事件 什么时候事件变为危机 定义扰乱 扫视可能的事件、危机和扰乱

6 危机应对良好实践 为什么好的危机应对很重要? 好的实践什么样? 良好危机应对的基本构件 决策周期 危机沟通 总结,回顾和经验教训

7 新冠疫情的经验教训 从“别人的问题”到“自己的战场” 人员和技术挑战 经验教训 走向未来

第二部分有效业务连续性能力的交付指导

8 赢得并保持董事会的关注 第一步 董事会和高管层的需求有何不同? 关键的高管层相关方 参与度因行业而异 准备并做好宣传 保持兴趣 与难搞的高层相关方打交道

9 完善治理和落实资源 好的治理是什么样? 项目治理和常规治理的区别 危机如何影响治理 高效治理机制的构成 维护称职的人力资源

10 业务影响分析和确定恢复策略 BIA过程 先决条件 定义影响准则 确定关键活动 整合输出 交付方法 风险评估 恢复策略和解决方案 将策略转化为解决方案

11 编写计划和程序 计划类型 计划的主要内容 格式和内容 通用计划内容 计划维护

12 培训和演练 培训对象 确定培训频度 培训后跟进 演练 演练实施建议

13 供应链韧性 为什么供应链韧性很重要? 准时制与供应深度(depth of supply) 评估风险 确定恢复选项 当前供应商与新供应商 事件后

14 评审、审计和改进 评审的收益,以及为什么不用担心审计拜访 保障和三道防线 绩效指标和成熟度模型 规划和能力 不同类型的评审 采取行动,改进

第三部分模板和检查表

15 预案内容和编制建议 16 响应模板 17 业务连续性管理评分表

本公众号(ID: bcmplus)专注于业务连续性和运营韧性知识的传播和普及,关注业务连续性、应急和危机管理等相关领域的朋友可关注本公众号。

由于公众号注册时腾讯已调整政策,未能开通留言功能,希望交流和讨论业务连续性和韧性相关问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(另,公众号1月只能发4次文章,会有一些内容直接在知识星球分享而不在公众号发布)。

原文发表于公众号”业务连续性+” | 原文链接