· 公众号:王曙说 原文链接 ↗

白皮书|整合的风险评估与业务影响分析方法论(IRA-BIA)

Integrated Risk Assessment – Business Impact Analysis (IRA-BIA) ——面向业务连续性与运营韧性的统一分析方法

前言

在大量组织实践中,风险评估(Risk Assessment,RA)与业务影响分析(Business Impact Analysis,BIA)长期并行开展,却缺乏统一的结构与逻辑衔接:

  • RA 往往以危险/威胁为中心,却难以明确其对具体业务的影响;
  • BIA 通常假设中断已经发生,侧重于评估影响与恢复目标,而弱化了风险来源与场景优先级。

这种割裂直接导致以下问题:

  • 应急响应预案(ERP)与业务连续性计划(BCP)难以形成系统合力;
  • 演练与资源投入缺乏清晰的风险优先级作为依据;
  • 管理层难以理解”为什么选择这些场景、业务与资产”。

为此,本白皮书提出整合的RA-BIA方法论(Integrated RA-BIA,简称IRA-BIA),在确保方法”可落地、不过度复杂”的前提下,致力于实现:

  • 建立”危险/威胁 → 资产 → 业务 → 影响”贯通逻辑;
  • 让RA与BIA在统一分析框架中自然衔接;
  • 为 ERP、BCP与演练场景选择提供一致、可解释的依据;
  • 为业务连续性向运营韧性演进奠定基础。

一、方法论框架:RA与BIA的结构性衔接

多项国际最佳实践已隐含一个共识:风险通过资产传导至业务。NFPA 1600对这一逻辑进行了较为明确的结构化表达:危险/威胁并非直接作用于业务活动,而是首先作用于资产,再通过资产影响业务。

基于此,IRA-BIA采用以下统一逻辑结构:

图1 风险传导逻辑模型

图1 风险传导逻辑模型(Risk Cascade Model)

这一结构并非引入新理论,而是将既有实践中隐含的逻辑显式化、结构化,使RA与BIA不再只是两个”并列工具”,而成为一个连续分析过程的不同侧面。

二、IRA-BIA八步方法论

需强调的是,IRA-BIA并不强调BIA与RA的严格先后顺序,而是优先完成那些为两者共同使用的结构性输入,例如业务清单、依赖关系与恢复目标。

第1步:确认并定制整合的RA-BIA方法

在分析开始前,组织需明确三项基础设定:

  • 采用的BIA模型(影响维度、多维影响评分等);
  • 风险计算的基本形式(概率 × 冲击 × 脆弱性);
  • RA与BIA在同一分析中的衔接方式(通过资产传导)。

此步骤的目标是完成方法论对齐,而非直接计算。

第2步:构建业务清单并分析业务依赖关系

建议结合以下内容构建业务清单:

  • 跨行业通用业务功能库;
  • 行业专用业务功能库(如银行、医疗、制造等)。

在此基础上,识别核心职能(Essential Function,EF),常用判定维度包括:

  • 法律/监管强制性;
  • 时间敏感性;
  • 可替代性;
  • 对核心使命的支撑程度。

同时,应分析业务活动之间的相互依赖关系(例如支付依赖核心账务等),为后续影响扩散分析提供基准。

第3步:确定业务恢复目标(MTPD / RTO / RPO / MBCO)

针对每项业务活动,基于 BIA 模型计算业务中断影响,确定其最大可忍受中断时间(MTPD)。

BIA模型

再结合业务活动间的相互依赖关系,推导出:

  • 恢复时间目标(RTO)
  • 恢复点目标(RPO)
  • 最低业务连续性目标(MBCO)

此处遵循 BIA的基本假设:假设中断已经发生,分析其随时间演化的影响。

第4步:构建业务 → 资产依赖关系

识别每项业务活动所依赖的关键资产,包括但不限于:

  • IT系统与应用;
  • 数据;
  • 场地与设施;
  • 网络、电力与环境;
  • 关键岗位与人员;
  • 关键第三方与供应商。

本方法不要求构建完整、穷尽的业务-资产矩阵。在实际组织中,该矩阵往往高度稀疏,强行矩阵化只会增加复杂度而不提升决策质量。IRA-BIA 的目标是识别关键依赖关系,而非形式化建模本身。

依赖关系可采用如下评分(0–3):

表:依赖关系评分

第5步:评估资产重要性与资产脆弱性

**资产重要性(Asset Criticality)**来源于BIA结果,反映资产对业务的支撑价值:

资产重要性

**资产脆弱性(Asset Vulnerability)**反映资产在面对危险/威胁时的易损程度,常见考量因素包括:

  • 冗余与替代能力;
  • 老化程度;
  • 暴露面(物理、网络/Cyber、组织/供应链);
  • 恢复难度与时间(是否构成单点故障)。

第6步:评估危险/威胁的概率

IRA-BIA明确同时考虑危险(Hazard)与威胁(Threat)。

**危险(自然/技术性事件)**采用轻量泊松模型:

泊松模型

**威胁(人为/对抗性事件)**可采用两种方式之一:

  • 泊松模型(适用于有较稳定历史数据的威胁);
  • 对数刻度方法(适用于趋势显著变化的威胁),参考以下等级:

表:威胁等级

第7步:计算资产风险与业务风险

此步骤是RA的核心输出,也是后续编制ERP的重要输入。

资产风险

资产风险的基本形式:

AssetRisk = Probability × Vulnerability × AssetCriticality

在此基础上,有三个要点:

  1. 对于对抗性威胁,可在概率中进一步引入意图(Intent)与能力(Capability)因子;
  2. 对于非对抗性危险,脆弱性可被理解为暴露度与敏感度的乘积;
  3. 各因子归一化到0–1区间后相乘,便于跨场景比较与优先级排序。

第8步:将风险传导至业务

在前述基础上,将风险传导至业务层:

业务风险传导

通过业务-资产依赖关系,计算业务风险:

BusinessRisk(B) = ∑ AssetRisk(A) × DependencyScore(B, A)(对所有资产A求和)

这一步骤使管理层能够将风险分析的结果直接关联到具体业务活动,为后续的BCP编制与演练场景选择提供依据。

三、示例计算

以下通过一个简化示例说明IRA-BIA的计算过程:

假设某银行面临两类风险情景:

  • T1:勒索软件攻击(对抗性威胁)
  • H1:区域性洪涝灾害(自然危险)

经各步骤分析,得到如下参数并最终传导至业务:

  • 勒索软件攻击导致业务风险 BusinessRisk(T1) ≈ 0.63
  • 区域性洪涝风险 BusinessRisk(H1) ≈ 0.034

示例结论:

  • 勒索软件攻击应被优先纳入演练与策略规划;
  • 区域性洪涝风险虽低,但在特定场景下仍需覆盖;
  • 该结果不替代BIA结论,而用于在多个可能场景之间建立可解释的优先级依据。

结语

IRA-BIA 并非追求更复杂的模型,而是追求逻辑完整、结构清晰、结果可解释。

通过以资产为纽带连接RA与BIA,组织可以在不显著增加复杂度的前提下:

  • 更清楚地解释”为什么选择这些场景”;
  • 更合理地安排演练与资源投入;
  • 更有效地联动ERP与BCP。

IRA-BIA有助于组织以更低成本实现更高质量的风险与韧性管理,是为未来5–10年的BCM/运营韧性体系设计的下一代方法论。

附录A:IRA-BIA 数据结构

对象模型:

  • 业务(Business)
  • 资产(Asset)
  • 危险(Hazard)
  • 威胁(Threat)
  • 影响(Impact)

关系:

  • 业务 → 资产(依赖)
  • 危险/威胁 → 资产(破坏)
  • 资产 → 业务(传导)

输出:

  • 风险矩阵(概念上的矩阵,无需构建超大稀疏矩阵)
  • 风险传导图

附录B:公式汇总

1. 业务影响分析(BIA)

BIA公式

2. 资产重要性

资产重要性公式

3. 资产风险

资产风险公式

4. 业务风险

业务风险公式

附录C:行业示例(银行)

业务活动示例:

  • 支付结算
  • 账户管理
  • 现金服务
  • 反洗钱监控
  • 清算对账

资产示例:

  • 核心系统
  • 网络链路
  • 主机/存储
  • 数据库
  • 关键岗位人员(如柜员/运营人员)
  • 供应商

公众号二维码

原文发表于公众号”王曙说” | 原文链接