何晓明 副总监王 婧 高级顾问德勤北京事务所企业风险管理服务
前言
自2011年开始,每年的3月11日就不再是一个平凡的日子,发生在日本的9.0级大地震,以及随之而来的海啸和核泄漏都带给人们太多的痛苦和震撼,以至于在一年后的3月11日,离别之伤仍痛彻心扉,复兴之路还任重道远。这并不是2011年我们唯一会说“没想到”的事情,无论是暴雨后泽国一般的城市,还是电梯故障后血染的地板,都在挑动人们脆弱的神经,行政管理问责和企业信誉危机紧随其后,同时推动着业务连续性管理(BCM)成为企业风险管理领域的热点。
当人人都在谈论业务连续性管理,企业在灾备中心、应急预案等方面的投入也与日俱增的时候,我们必须提醒企业管理者注意:管理是一门科学,每一项决策都需要基于科学而严谨的分析,业务连续性管理是影响到企业经营管理各个环节和流程的管理活动,需要高瞻远瞩,更需要从全局的角度考虑如何实施落地,而这一切工作的始点就是业务影响分析(Business Impact Analysis, BIA)。
为什么是BIA
业务连续性管理是为预防和应对企业由于不可预见的灾难或事故而导致的业务功能丧失、中断或损坏而进行的管理工作,因此其具体活动和任务都需围绕企业的业务而开展。当企业只有少量业务活动时,依据常识或经验,我们也能快速定位管理的重点对象。但实际情况是,企业的业务总是越来越多,而资源永远相对不足,所以管理者必然面对一个问题:手里的筹码应该放在哪里?管理者不是赌徒,不能挑选一个幸运数字,然后等待未知的命运,在没有神仙指引的情况下,管理者对企业的救赎只能来自于业务本身。
在企业资源有限时,不可能在制订业务持续性计划时做到面面俱到,而且基于成本效益平衡的原则,企业也没有必要不计成本地投入,管理者必须把注意力集中在对企业的持续经营最为重要或最不容有失的地方,因此必须对业务持续管理的对象进行评估和权衡。业务影响分析(BIA)的目标是识别重要的业务,为业务连续性管理资源的投放和恢复过程优先顺序的制定提供依据,因此业务影响分析(BIA)是整个BCM流程的工作基础。
通过BIA分析,可以帮助企业:
通过明确业务的价值,识别关键业务;
依据重要性水平对关键业务进行排序;
识别进行业务连续性管理所需的关键资源;
有效分配和利用有限的资源;
优先对关键业务进行业务连续性管理。
核心理念和方法
业务影响分析中所有相关工作的开展都是围绕着一个关键词汇——重点。这个词汇是贯穿现代管理工作的核心理念,无论是提及“以风险为导向”,还是讨论“价值链管理”,都是基于“抓重点”的思路。“重点”在哲学中被称为“主要矛盾”,主要矛盾会随着事物的发展而转变,它既是现状产生的根源,也是转变发生的契机,是否能够准确把握主要矛盾将直接影响工作的效率和效果。
对于一个企业而言,必然有自己的经营目标,否则就失去了存在的意义。而目标的达成源于业务的持续运营,因此最朴素的业务影响分析思路就是“通过比较业务对企业目标达成的贡献程度来确定业务的相对重要程度”。但是这种方法在落地实施时经常面临无法合理评估贡献程度的窘境,因此可以采用反向的思维方式,即通过业务中断对企业目标达成所造成的损失大小来衡量业务的重要程度。在业务影响分析工作中作为评价业务重要性水平的常见维度包括:
客户/运营。例如业务中断时受影响的客户范围或运营范围;
经济/财务。例如直接或间接的经济损失,或机会成本;
声誉。例如负面报道导致的声誉受损,消费者信心丧失;
法律合规。例如未按时履约而产生的法律诉讼。
评估的标准应该与企业的目标相一致,因此在设定评估标准前需要明确企业目标和各项业务的细化目标。
在业务功能丧失、中断或损坏的情况下,灾难对企业目标达成的影响程度是随着中断时间的推移而逐渐变化的,因此损失的评估结果不是“一个”数据,而是“一系列时间维度上”的数据,以便管理者可以动态地了解状况恶化的路线,并在恰当的时点采取措施。同时,当我们将不同业务的损失时间轴摆放在一起时,可以发现某些业务在初始时段损失较大,但是随着时间推移,损失程度增长放缓;而有些业务损失却是随时间推移而加倍增长的。在了解了业务中断损失的不同特性的情况下,管理者才能有针对性地制定出恰当的管理措施,并选择合适的时间予以实施。
正是由于时间影响的存在,在业务影响分析过程中制定的指标多与时间因素相关,这些指标都可作为业务连续性管理策略制定的参考依据:
最大可容忍中断时限(Maximum Tolerable Period of Disruption)
定义企业业务恢复(特定产品或服务)的最长时限,企业的业务恢复时间超过该时限就会关门倒闭(可以体现在财务或声誉等方面);
最大可容忍中断时限不是一成不变的,甚至是季节敏感的,在一些特殊的季节,最大可容忍中断时限会降低,如时间要求紧迫的服务合同的执行过程、临近年底时财务系统的运行、有明确时间限制的监管合规达标等都对中断时间非常敏感;
恢复时间点目标(Recovery Time Objective)
是指灾难发生后,业务停顿之刻开始,到业务恢复运营之时,此两点之间的时间段;该指标定义了企业业务恢复(特定产品或服务)的目标时限,是企业制定业务连续性管理所要达成的目标;
恢复时间点目标应小于最大可容忍中断时限;
恢复点目标(Recovery Point Object)
指一个过去的时间点,当灾难或紧急事件发生时,数据可以恢复到的时间点,也是业务活动恢复时,信息恢复必须达到的恢复点。
上述关键指标的确定可参考以下方法:
最大可容忍中断时限(Maximum Tolerable Period ofDisruption)
参考企业业务目标,利益相关方的要求,以及与客户签订的产品或服务协议条款;
恢复时间点目标(Recovery Time Objective)收集业务各个关键活动恢复所需要的时间,通过识别最长关键路径进行识别。确定过程中需要考虑以下因素:
-事故后重续产品或服务的交付;
-事故后重续活动的性能;
-事故恢复IT系统或应用。
恢复点目标(Recovery Point Object)
从业务需求出发,参考纸质数据存档以及电子数据备份频率,从恢复过程中的可用性角度来衡量。
为下一步铺路
业务由资源支撑,业务功能丧失、中断或损坏都是源自于资源的缺失,因此在业务影响分析中一个承上启下的工作,就是针对已识别的重要业务,明确其关键资源。关键资源的评判标准与其金额、数量和稀缺程度无关,而完全由业务过程中该资源体现的价值而定。
识别关键资源的第一步是识别业务涉及的所有资源,该识别过程的目标是尽量保证资源的完整性,常见的工作思路有两种:
按流程梳理
按流程梳理是从业务准备、业务触发/启动、业务实施、业务交付、业务结束等环节,将业务完整流程中所有涉及的资源都罗列出来。该方法能够最大程度地保证资源识别的完整性,但工作投入大,时间长,而且大部分识别出的资源并不是关键资源。
按类别查找
按类别查找是基于资源管理的经验,先期确定资源的几大类别,然后按照业务流程着重寻找类别内的资源。该方法不能保证所识别业务资源的全面性,但是工作过程目标性强,时间和人力投入相对较少,资源识别具有方向性,关键资源识别率较高。
识别关键资源的第二步是区分资源的关键程度,该过程的目标是明确可能造成业务功能丧失、中断或损坏的资源。常见的工作方法是基于上一步所罗列的资源清单,逐一进行“what-if”分析。在分析过程中至少要思考两个问题:
该资源缺失,业务是否会受到无法承受的影响?
该资源是否无可替代?
对于一般的企业流程,关键资源包括以下一些类别:
员工资源,包括人数、具备的技能和知识;
必要的工作场所和设施;
技术、机房和设备;
信息,包括与以前工作或当前工作进展有关的信息,并确保信息的即时更新和精确,以保证活动在商定的水平上有效持续运行;
外部服务和供给。
BIA是一种方法,其应用不仅限于业务连续性管理的第一步,对于不同层面的流程,包括业务流程、信息流程,都可以借鉴业务影响分析的方法和思路,对流程的组成部分进行分析,识别重点活动和关键资源,为流程的管理和资源的投入提供决策依据。随着企业精细化管理水平的提升,企业对于业务和流程的管理会愈加深入,业务影响分析的方法也将会有更大的用武之地。