书城管理业务连续性计划和管理
3673600000008

第8章 风险分析在业务连续性管理中的作用

冯 晔 合伙人郑 云 高级顾问德勤上海事务所企业风险管理服务

近年来,随着全球气候变化的不断加剧,灾难性事件频频发生,其中包括日本大地震、泰国洪水、欧亚大陆的极寒天气等,导致许多企业,乃至某些行业的业务不稳定,甚至中断,例如泰国洪水对全球硬盘行业造成巨大的影响。此外,利比亚、叙利亚不稳定的政局、美伊在霍尔木兹海峡的争端、欧债危机等政治经济事件,也使得许多全球性企业突然面临产业链断裂、资金流不畅、供求关系急剧变化等重大问题,若不进行有效的业务连续性管理,很可能导致企业的破产,商业帝国的瞬间崩塌。

业务连续性管理介绍

所谓的业务连续性(Business Continuity),顾名思义就是业务的连续运行。但业务也不可能永远运行,因为企业存在自身的生命周期,在这个生命周期内,业务随时会受到各种内在或外在因素的影响,严重时甚至会中断。对于一些重要的业务来说,其意外的中断将会给企业或者机构带来重大的损失,因此,必须对业务连续性进行管理,保证业务连续性的问题始终是企业或者机构所面临的重要课题。

业务连续性管理(Business Continuity Management, BCM)是一项综合管理流程,它能使企业认识到潜在的危机和相关影响,制订应对、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地应对非计划的业务破坏并降低不良影响。过去,企业着重于开发灾难恢复计划以支持关键技术资产的恢复。今天,企业则更加关注如何确保关键业务流程与支持职能得以持续可用和有效。下面的统计数据有力地说明了这种发展趋势:

Continuity Insights 调查报告显示,超过50%的被访者表示发生过需要启动业务恢复流程的中断事件;

Envoy World Wide 调查报告显示,大约2/3,即将近66%的被访者表示他们的客户越来越关注他们是否制订了业务持续性计划,同样比例的被访者还表示企业或者组织需求分析等资料中特别提出相关要求;

DRII 调查报告显示,93%的企业在经历了重大数据损失后在5年之内倒闭。

BCM对企业组织有着极其重要的作用:

制订并实现业务恢复目标。通过其中的业务影响分析方法,协助管理层准确地识别恢复目标。在这些目标的基础上,组织制订详细的操作手册、基于团队的恢复操作流程,以便在发生业务中断时能够及时地完成恢复操作,从最大程度上减少对组织的损害。

增强管理层信心。完整的BCM流程包括书面计划、员工培训和认知教育程序,以及计划维护流程等内容。它使管理团队能够确信,在中断发生后业务仍可以运转如常。

增强信息技术(IT)资产的可靠性与可用性。BCM将业务与IT流程相融合,以实现整个企业范围内的业务持续性,这将促使组织的持续性要求且兼顾成本效益达到最佳。

建立值得信赖的企业形象。建立并维护BCM流程的企业将比没有该管理流程的企业更具有竞争优势。

消除法律法规与合同风险。根据具体的法律法规和合同的要求来建立组织的业务连续性计划,将消除因业务中断事件或审计发现而导致处罚或罚款的风险。

BCM主要有以下内容组成:

项目管理。企业或组织应该建立BCM指导委员会的成员参与该项目的活动,以便使用结构化的工作方法,帮助恢复策略的开发与选择。

风险评估。识别所有可能导致业务中断的风险,并评估企业的薄弱环节和风险出现的可能性。

业务影响分析。评估灾难或业务中断事件对关键业务流程的负面影响。

战略设计。设计与开发符合企业或组织业务需要的恢复战略方针。

计划制订与实施。制订并实施满足所有关键需求的业务连续性计划,同时建立相应的工具来确保这些计划可被接受、定期测试和持续维护。

计划测试与维护。企业或组织应该建立标准化的工作方法,规范业务连续性计划的维护与测试。

BCM的培训。企业或组织应该根据内部各个流程的不同需求,开发定制各种培训课程,确保各个关键业务流程的相关人员对BCM的意识提高,在面对危机时能够有效地应对,从而降低大规模的损失风险。

德勤的BCM实施方法

德勤的BCM方法论是从客户自身需求,以及外部法律/法规/合同协议等要求入手,通过分析评估阶段,揭示企业面临的主要风险,确定恢复时间目标(RTO)、恢复点目标(RPO),以及各个业务的恢复顺序;再通过设计与建设阶段,建立业务连续性计划(BCP)以及各级各类预案、操作手册等;接着在实施阶段进行资源落实、培训、演练等工作;最后通过定期检查、评审等工作保证BCM的持续改进。不难看出风险评估和业务影响分析在整个实施路径中有着非常重要的地位,同时相互之间又存在密切的关系。

风险评估在BCM中的作用

风险评估是整个BCM中必不可少的一环,此阶段的工作内容为对可能会造成企业业务流程无法正常运行,甚至中断的潜在威胁和脆弱性领域进行分析,得出企业的高风险领域。风险评估的作用是通过识别企业的高风险区域,为接下来的业务影响分析(BIA)以及业务连续性计划(BCP)的制订提供依据和指引。

以下案例可以加深我们对风险评估的理解。某电池制造商位于浙江省,其三个生产基地全都位于钱塘江沿岸。为了保证业务持续运行,该企业进行了BCM专项工作,对其业务流程进行了识别和恢复优先级排序,并针对生产基地都毗邻钱塘江的现状,制订了防洪防潮的专项预案和处理措施,有效降低了洪水等威胁对业务造成的不良影响。但2010年,由于政府需要对钱塘江进行污水治理,勒令沿江所有化工企业必须停产。由于所有的生产基地都在停产范围之内,所以该制造商损失惨重。事后企业经过认真总结和反省,发现虽然已经实施了BCM,但BCP的建立仅仅以BIA的结果为输入,未对业务流程可能面临的风险进行全面分析,导致BCM工作仅考虑了洪水等自然灾害的影响,而忽略了法律法规的合规风险。

BIA主要是评价业务发生中断对企业财政、形象、客户、法务等方面的影响,从而确定业务的RTO与RPO,更多的是从业务流程的重要性出发,但未全面考虑业务流程所面临的外部威胁和内部脆弱性领域,所以如果在BCM工作中只进行了BIA,很可能导致制订的预案、场景不够全面,或无法将有限的资源集中在高风险领域中。

而风险评估工作可以弥补这一不足,通过对企业现状进行调研分析,识别与业务流程相关的外部威胁与内部脆弱性领域,从而识别出企业面临的风险,并对风险进行分级,制订相应的风险处置策略。该项工作可以为业务影响分析提供参考,为BCP及各类各级预案、文档的制订提供依据,保证BCM工作可以覆盖所有需要处置的风险领域。

BCM中风险评估的方法

德勤的风险评估方法(Threat Vulnerability & Risk Assessment)由多个步骤组成, 主要包括:面向需求的访谈和串行测试、对于反馈进行整合和综合分析、特有威胁的深入分析,以及现有控制有效性评价及量化风险值等阶段,具体步骤如图18所示:

访谈/串行测试。对于功能区域、建筑及设施、环境及生命支持系统的相关负责人进行访谈和适当的串行测试,同时复核相关的安全制度、数据中心运维服务合同,以全面了解目前的风险控制现状和风险管理办法。

信息整合及分析。对反馈信息进行整理和分析,识别可能的威胁以及对应的控制措施。在德勤方法论中,威胁主要分为四类:自然灾害威胁、蓄意威胁、无意威胁以及技术威胁。

深入分析。对于该区域可能面对的特有威胁进行深入的分析,如自然灾害、蓄意、无意以及基础设施方面。

量化风险值。根据根据现在的风险控制措施、漏洞暴露程度、风险损害程度对最终的风险值进行量化和分级。

风险评估报告和处置方案建议。管理层对识别出的风险进行决策,并纳入风险处置方案,并且出具管理层建议书。

总体来说,通过风险评估,可以识别企业所面临的主要威胁和风险,以及与高风险相关的业务流程,从而为BIA以及BCP的建立明确目标、范围以及各种必须考虑的场景。

结束语

随着经济全球化的不断整合,纷繁复杂的产业链将各个国家和地区紧密地联系起来,所以一旦发生灾难性事件,不仅仅影响当地的业务,甚至会对全球的相关行业造成波动,乃至中断。如今,BCM已经上升到一个前所未有的高度,而且必将越来越得到重视。

风险评估通过对企业现状进行调研分析,识别与业务流程相关的外部威胁与内部脆弱性领域,从而识别出企业面临的风险,并对风险进行分级,制订相应的风险处置策略。所以在整个BCM活动中,风险评估起到了关键作用,将直接影响到整个管理活动的方向,以及战略资源的调配。