当前位置:金融信息化 > 正文
连载⑤‖如何确认组织风险承受能力之业务影响分析

  业务影响分析(BIA)是制定业务连续性管理体系,满足业务连续性标准主要要求的一项关键活动。它通过检查组织业务功能和流程对服务目标、财务状况、现金流量、管制和合同问题以及竞争风险的影响,确定各段时期内各个组织业务功能和流程可以承受的最大程度的财务和经营损失,无论这种损失是由何种原因造成的。在此项分析过程中,通常包括了解组织背景的有用信息和执行业务连续性计划所需的一系列资源需求。

  一、概述

  业务影响分析(Business Impact Analysis),也称作业务影响评估(Business Impact Assessment),分析了干扰性风险对组织运营的影响方式,同时识别并量化了必要的风险管理能力。具体来说,业务影响分析就以下问题达成了一致的认识:

  (1)关键经营过程的识别和临界状态、职能和相关资源以及组织已有的关键互相依存关系;

  (2) 干扰性事项对实现重要经营目标的能力会产生怎样的影响;

  (3)管理干扰的影响以及使组织恢复到约定运行水平所需的能力。

  业务影响分析用来确定危害性以及过程和相关资源(人员、设备、信息技术)的恢复时间,以确保目标的持续实现。而且,业务影响分析有助于确定过程、内外部各方以及供应链连接处之间的相互依存关系。

  二、业务影响分析过程

  制定业务连续性管理体系,在发生灾难时真正实现其目标的成功与失败的最大预测指标为管理层对方案的支持程度。如果没有管理层的支持,许多业务连续性计划的制定需要花费很长时间,导致功亏一篑。粗糙的业务影响分析也是导致失败的一个因素,最终使风险定义不清,对资源和决策方面产生误导。

  除了管理层承诺的标准要求,业务影响分析和风险评估通过说明组织可能会面临的财务和经营风险,也有助于巩固这一支持。但是如果管理层的支持尚不稳定,又该如何开始这一过程? 除了管理层的支持,业务影响分析过程的主要内容包括:业务影响分析项目规划、数据收集、数据分析、文档和通讯分析再分析。

  1、项目规划

  避免失败和保持分析势头的一种方法是进行完善的项目规划。业务影响分析应尽量在最短的时间内完成,以避免管理层带动的势头流失殆尽。势头的流失可能会导致精力消耗以至于产生的信息不再准确或无法描述组织当前的状态。

  项目规划中,了解分析的范围也很重要。在得到管理层承诺和确定分析范围后,下一个步骤是审查先前的业务影响分析,只需要进行简单的修订和更新(见下面“再分析”)。决定收集哪些数据,能够帮助管理人员了解组织,返回财务和业务信息来建立IT风险以及优先风险解决和功能流程的信息是业务影响分析的主要收集对象。接下来,决定如何收集业务影响分析所使用的信息。确定分析范围内的职能或业务流程以及这些职能中需要接受访谈的人员,通常包括各职能部门或流程的领导。

  2、数据收集

  决定如何收集数据。最好的方法是确认范围内的职能,制定一系列问题,在与职能部门负责人会面并讨论分析中要解决的问题和所需的信息前发给他们。

  发给职能部门领导的问题必须附有详细的说明,一些业务连续性管理人员更喜欢邀请所有职能部门的领导出席简单的介绍会,向他们介绍流程并说明对他们参与分析的期望。在职能部门领导收到调查问卷大约2~3周或更长时间后安排访谈,建立合理的时间安排,并定期向管理层报告进度。

  以讨论业务连续性管理计划和解释业务影响分析开始访谈。访谈后,通知参与者下一个步骤和商定的时间表。鼓励职能部门负责人说明他们的职能和流程如何运行,以及如何与组织的目标和其他单元相协调,避免让管理人员认为他们需要证明自己的立场或他们的职能部门在组织内的价值。

  应将讨论的总结报告、获取的信息、研究出的策略以及弥补对在访谈和审查中确认的差距的建议发送给受访者,核实准确性,参考提出的建议。这些报告中挑选出的内容可以整理成最终的业务影响分析报告。

  3、数据分析

  用于分析的数据来源于研讨会、问卷调查以及与组织中在分析范围内的所有职能单元管理人员进行的访谈。分析范围应与业务连续性管理体系的范围平行不悖,除非对整个组织(合理的限度内)进行分析,否则会对范围产生不适当的限制。在规划过程,例如备用工作场所所需人员的最小数目的评估中,有用的信息通常也作为分析的一部分。

  完成问卷和访谈后,可以开始分析获取的数据。为每个业务流程或职能设定最大允许停运时间、恢复时间目标和恢复点目标。根据它们最短的恢复时间目标、最大的风险、最大的损失,或管理层在评估信息后,同意的最关键的顺序对职能进行排序。完成后,分析人员编制支持这些职能的软件和数据(IT)流程,说明它们的关键性。检查相关的职能,决定是否提升它们的排名,与已经被认为是至关重要的相关职能进行匹配。

  恢复时间目标指事故发生后必须重启或恢复产品、服务、活动或资源的时间。是组织在发生中断后期望用来恢复流程或功能的时间量。

  恢复点目标也叫作最大允许的数据丢失,指为使某项活动能够在恢复后继续运行,将该活动所使用的信息进行储存的点。

  最大允许停工期用来指组织遭受重大(不可接受)损失前,最大的停机时间或某个流程不可用的时长。

  工作恢复时间也是指从中断造成的任何积压中赶上原来工作计划所需的时间。

  4、文档和通讯分析

  业务影响分析形成文件的方式对于审核人员与管理人员来说非常重要,所以必须清楚地说明分析的目标。该文件应确定每个过程、产品或服务,包括内外部依赖性的最大允许停运时间/最大允许中断时间和恢复时间目标;必须说明未能提供这些产品、流程和服务对组织造成的随时间变化的不利影响。描述组织无法恢复其业务活动的风险。业务影响分析的文件还应该找出预防、准备、响应、缓解和各业务职能能力恢复中存在的差距,并根据调查问卷或在访谈期间获取的答案,列出建议的纠正措施,弥合差距。业务影响分析文件应该被视为机密、受控信息。

  分析的结果被纳入业务影响分析报告中,该报告往往与风险评估报告相结合。是业务连续性管理体系中最重要的文件之一。

  三、再分析

  一个新的项目、职能或流程的介绍应包括对其损失所造成的影响进行的分析。这有助于促进业务连续性文化的形成,让业务影响分析保持新鲜。同样地,若公司的组织结构、风险偏好或战略方向发生重大变化,业务影响分析也需随之更新。每年对业务影响分析进行审查,每三到五年进行再分析。

  四、保密

  由于业务影响分析中显示的信息具有敏感性,该分析应被视为一个机密文档。可将整份报告发给高级管理层,并将个别部门(职能)结果和建议发给职能部门领导进行审查。在业务连续性计划中附上恢复时间目标表、恢复点目标表和最大允许停运时间表。业务连续性计划也应作为受控文件。

  五、优点及局限

  业务影响分析的优点包括:对关键过程的认识,使组织有能力继续实现其既定目标、对资源的认识、有机会重新界定组织的运行过程,以增强组织的灵活性。

  业务影响分析的局限包括:那些参与完成调查问卷并开展访谈或讨论会的参与方缺乏某些知识、小组气氛可能会影响到关键过程的全面分析、对恢复要求有简单化或过于乐观的期望、难以获得组织运行及活动的足够的认识水平。

  六、小结

  国际标准化组织(ISO)将业务影响分析简单地定义为“分析活动和业务中断可能对这些活动产生影响的过程”。通过业务影响分析,能够确定哪些信息流程和计算机应用对于组织的恢复能力和关键业务目标的连续性是最重要的,为管理层提供财务基础来选择最具成本效益的连续性策略,识别预防、准备、响应、缓解和恢复的差距。

相关链接:

·连载④‖浅谈业务连续性管理之应急管理的准备与响应
·连载③‖业务连续性——塑造(构建)业务连续能力
·连载②‖业务连续性——标准的理解
·连载①‖业务连续性——定义与沿革
·【独家】“2017城市商业银行研讨会”成功举办
·【独家】2017农信系统技术交流研讨会成功举办
·创新奖项目分享——大黄蜂智能安全监控平台
·杰出奖获项目分享——太保数据安全治理项目

作者:尤金•塔克 来源:金融时代网 发布时间:2017-12-22 06:06:41
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任