当前位置:金融信息化 > 正文
【独家】连载⑩‖如何推动业务连续性管理体系持续改进?

  为确保一整套方案内容的持续改进,业务连续性管理标准强调通过监测关键成功因素、关键绩效指标的趋势分析和确保管理体系有效性的详细内审来实现。

  通过监测、分析和内审,对体系中不符合标准要求的项目进行调查,确定其根本原因,并制定纠正措施计划。在实施纠正措施后,再通过有效性审查来检查这些措施是否成功,确保其在实现目标的过程中发挥有效作用。

  本文节选自《从准备到灾难恢复——基于标准的业务连续性管理》之第十章 持续改进

  一、计划维护

  测试和推演后,业务连续性过程的下一步通常被称为“计划维护”。计划维护仍是持续改进过程中一个重要的部分,保持计划持续更新的机制应该是计划维护的一小部分。

  计划和过程的更新应根据下列要求完成:①根据计划的时间间隔、②发生重大变更时、③根据推演和测试的结果、④发生合同和法规变更时、⑤内部或外部利益相关方提出要求时、⑥根据根本原因分析和不符合项纠正措施、⑦根据内部或外审或自我评估、⑧根据事件后审查或所学的经验教训、⑨在更新业务影响分析后、⑩在更新风险评估后。

  二、绩效评估和指标

  绩效指标也称为关键绩效指标,通过这些指标,组织能够了解其各个部位的目标实现情况,改进问责制,并通过集中努力进行必要的改进,加强管理。

  绩效指标应为图表形式,不复杂,能够清楚显示一段时间后的衡量结果趋势。所有指标必须可行,并且当衡量结果显示趋势不可接受时,必须采取行动,纠正该趋势。

  指标应满足下列条件:

  ①适合组织②可执行③能够监测合规性④能够进行趋势分析⑤简单,不复杂⑥显示持续绩效

  三、内审和评估

  定期评审主要对其战略、程序及战略实施所需资源会产生影响的内外部事件,以及条件变化的团队领导进行。

  1、内审

  审查是对计划和管理体系的公正检查,以评估是否达到标准要求,管理系统在灾难发生时是否发挥需要的作用。审查是一个独立并进行记录的流程,旨在取得观察证明,以确定标准的指标和业务连续性管理系统的履行情况。

  在推演期间,会事先设定可能发生的情景,再来执行计划。随着业务连续性管理体系日趋成熟,推演从使用简单的场景,进行简单的桌面讨论到更复杂的功能推演和全面推演,使用更难的情景,练习实现业务连续性方案的目标的操作技能。同时对技术进行测试,确保其能够根据预期和灾难发生时可能出现的状况发挥作用。全面推演需要高度的规划、控制和评估,以模拟多种功能或组织的现实条件。由将情景融入推演活动让参与者进行解决的推演控制人

  2、评估

  评估将围绕计划和程序维护框架内的业务连续性程序和能力,并通过定期评审、事件后分析、绩效评估、内审单独进行。评估必须包括法律和监管要求、业务连续性最佳规范,以及业务连续性管理系统的政策和目标。

  四、管理层评审

  顶级管理层需对业务连续性管理系统进行评审,以确保其职能达到预期要求。该评审必须按照“计划周期”进行。标准未对“计划周期”作出明确规定,但审查员一般将此视为每年一次。一旦评审完成,预期顶级管理层将采取任何必要的行动,改正不足之处和不合格之处。

  ISO22301列出了评审必须包括在内的一些要素,其中大多为职能部门向管理层提供的报告中正常包含的要素。报告中可包括的相关事项有:

  (1)之前管理评审后要采取的行动。

  (2)影响业务连续性管理体系的内部或外部变化。

  (3)绩效指标以及其趋势分析结果。

  (4)业务连续性管理体系内部以及关键供应商审查结果。

  (5)业务连续性管理体系,特别是其政策和目标所需进行的调整,以及建议的改进机会。

  (6)识别业务影响分析和风险评估或持续评估中未妥善识别或解决的任何风险或影响。

  (7)可用于改进业务连续性管理体系的良好应急做法、技巧和产品。

  因管理层评审对业务连续性管理计划采取的任何行动或者进行的任何调整,必须做好计划,并对流程和程序进行相应的修改。

  五、不合格项及整改行动

  不合格是指未达到标准的任何要求。组织必须识别不合格情况,并及时采取整改措施。如发现不合格,则需要进行根本原因分析,以找出不足的原因。

  根本原本分析查找出发生不合格情况的原因,条件范围评审可确定是否存在类似不合格情况,而采用分级方法对问题进行补救的整改行动计划,可帮助保证不合格情况不再发生。

  1、根本原因分析

  根本原因分析是指利用各种技术,了解导致事件或者不合格情况发生的潜在条件、行动或者不足之处。该分析针对是最底层原因,而不是整改行动通常针对的促成因素。分析的目标是针对原因制定相应的整改行动,以解决问题,并确保问题不再发生。

  FMEA、五个为什么、故障树分析、HPI、石川图和RPR问题诊断是业务连续性计划根本原因分析最常用的方法。

  2、五个为什么分析

  五个为什么,也称为“原因树分析”,是一种简单的根本原因分析方法。该方法涉及质量控制、精益管理、六西格玛,与因果图有密切关联。

  3、整改行动数据库管理

  因不合格导致的整改行动,或者旨在持续改进的整改行动,必须通过系统的方式执行、管理和记录。

  在设计整改行动和整改行动数据库时(假设组织之前没有),需考虑下列方面:

  ①分配一独特编号。一个问题以及与问题相关的任何整改行动应有一独特序列号。

  组织可选择为所有三项整改行动分配一序列号(例如,001、002和003),并在每个行动中列出问题。如果一个问题有很多整改行动,则该项工作可能会冗长乏味;特别是在进行条件程度或效果评审之时。为简化这一流程,有些组织会在其数据库内的问题下列出所有整改行动,只对问题描述一次,并对整改行动编上子编号。例如:

  在推演期间,会事先设定可能发生的情景,再来执行计划。随着业务连续性管理体系日趋成熟,推演从使用简单的场景,进行简单的桌面讨论到更复杂的功能推演和全面推演,使用更难的情景,练习实现业务连续性方案的目标的操作技能。同时对技术进行测试,确保其能够根据预期和灾难发生时可能出现的状况发挥作用。全面推演需要高度的规划、控制和评估,以模拟多种功能或组织的现实条件。由将情景融入推演活动让参与者进行解决的推演控制人

  ②识别问题。如上所述,所列问题是采取整改行动的原因,还可提及问题的发现过程。内审或外审、练习结果或管理层评审,通常是发现问题、采取整改行动的来源。列出问题还可以使组织有机会对问题进行分类,对其发生趋势进行分析,以识别需要进一步分析和处置的系统原因。

  ③风险/严重度。可给整改行动分配风险程度或严重度,以提醒上级注意,对其进行管理。组织可根据其风险承受能力,确定哪些属于高风险、中等风险或低风险。界定风险时,还应考虑环境、安全、财务、声誉、运营以及合规(监管)因素。

  ④整改行动描述。简要但全面地对整改行动进行描述。必须以相关之人旨可理解的方式对预期行动进行明确的说明。整改行动的措词需仔细慎重选择,因为审查员可能(并且通常会)会以字面意思理解。在推演期间,会事先设系

  整改行动必须“SMART”:即具体、可衡量、负责、合理和及时。

  ⑤录入数据。记录整改行动录入系统的日期以及录入人

  ⑥负责人。确定由谁负责完成整改行动。

  ⑦到期日期。业务连续性职能部门或者整改行动系统负责人应对到期日期进行监控。

  ⑧完成日期。按预期守成的整改行动日期,应随录入完成日期的人员的姓名一同列出。

  六、小结

  业务连续性管理标准强调通过监测关键成功因素、关键绩效指标的趋势分析和确保管理体系有效性的详细内审来确保其一整套方案内容的持续改进。

  计划维护、指标趋势分析、变更管理、内审、管理评审以及整改行动计划,均用于持续改进业务连续性管理体系。

相关链接:

作者: 来源:金融时代网 发布时间:2018-01-25 09:57:52
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任