业务连续性管理与风险

业务连续性与风险

标准的角色

在世界范围内提高标准的地位

行动纲要

关于外界风险的认识近几年有了更多的认识波动，再加上由公司管理需求提供的监管动力，已经有效的将风险管理提上公司管理的日程。更改风险管理的态度也将直接导致出现一个全盘的积极的态度来管理风险的出现。在这个演化过程中，业务持续性管理已经成为一个组织风险规避战略日益重要的组成部分。

发展中的情报安全性和灾难管理领域，有效的业务持续性管理可以降低一个组织在业务工作过程和操作中发生风险事件的机率，并提供最艰难情况下的声誉恢复能力。

然而缺乏方法的一致性，混乱的定义和条款，以及对业务持续性管理战略无力的标准检查程序，都已经阻碍了它的发展，这就导致需要一个正式的标准。

基于行之有效的方法基础，BS25999业务持续性管理确立了有效的业务连续性管理过程、原则和术语。

风险管理在一个企业议程中不断上升反映了一个组织包括公众和个人在内，他们关于风险预测和需要有效的风险规避管理不断增强的认知。

备受瞩目的时间，诸如安然，911，卡塔里娜飓风，英国夏季的洪水，……一些事件在调整结构实施的影响方面，如萨班斯法案，巴塞尔第二和特恩布尔报告，已经在风险管理方面形成有力的态度和达成更大的会议共识。

更加具有前瞻性的

组织在他们的风险管理和发展策略方面越来越具有前瞻性，而不是简单的依赖部门的参数设置。与此同时，监管机构在立场方面发生了巨大变化，更加趋向基于方法管理的原则化，此举也让组织自身在风险管理战略方面承担更大的责任。

茱莉亚。格雷厄姆，DLA的首席风险官和BS31100执业守则风险管理委员会主席，认为监管机构的这一态度转变是非常积极的一步，因为这意味着一个组织能够按照他们自己的环境，性质，规模，以及他们业务延伸的复杂度和管辖权来进行风险管理。

风险标准

2008年2月，BSI发布了BS31100风险管理实践的的第二稿。这个标准旨在为风险管理提供一个指导在原则，模型，框架和程序方面，以便辅助组织实现其风险管理的目标。

然而一个像风险管理一样宽泛的概念仅仅是一个单一标准就能捕捉的吗?“这个标准的目的是更高水平和通用，而不是针对任何企业、国家或者是学科”，DLA的首席风险官和BS31100执业守则风险管理委员会主席茱莉亚格雷厄姆说。“这被看做是一个系列标准的一部分。”

风险管理的学科一直是很多指导性方针、文件和标准的主题。

“该委员会在这个领域长期努力的制定标准，有一些卓越的标准已经发布，而且是BS31100并不旨在替代的标准”，格雷厄姆女士解释说。“当然了，BS31100被视为指导性文件，有助于建立全面风险设置，语言，框架和过程。”

研究

经济指数

根据BSI关于英国标准年度经济指数的最新调查结果，英国企业正持续加强他们的防灾准备水平。

英国富时指数在2007年对250家企业的调查显示，超过80%的被调查者表示他们有信心他们的企业能够在严重不利影响的干扰下可以持续运作长达一周。几乎三分之二的受访者认为自己已经准备好了回应主要的IT故障，而50%的人已经充分准备好了强制企业再定位。

这些数字反映出一个事实，即71%的受访者现在认识到，他们的企业从2006年上升了10%，BCM在这其中发挥着重要的角色，表现在确保他们的企业竞争力和在未来赢得新的业务。同时约62%的企业表示现在的客户要求他们展示，他们应经有有效的措施在期望值方面，相比前一年度高达16%，，而且这一数字经持续上升。

关于调查结果的说明，BSI的英国标准主管麦克劳说：“风险的规模和富时250种指数的机会是相当庞大的，而且这些企业已经认识到业务持续性管理必须处于他们业务的核心地位。”不过，他强调，这是同样重要的，“小型企业或者其他相关部门

应该重视他们要如何处理灾难事件的发生。”

更全面的

这一演变激发了更全面的方法来管理风险。组织正在努力消除其运作过程中差别的存在，以便达到更加广阔和综合的风险战略管理，这在于他们强大的风险控制能力，业务流程和管理。

这些差别的消除作为一个组织的风险管理战略的主要组成部分，促进了业务连续性管理。从近数十年的IT业发展和灾难恢复的相关数据显示，业务持续性管理获得了越来越多的组织获得了更多的风险管理的收益和风险规避机制。

在大多数情况下，业务持续性管理已经独立于风险控制之外。任职于公民应变能力秘书处的弹性策略管理员詹姆斯Mr Crask认为这应该归属于那些推动其发展的因素。“在许多企业里，风险管理历来是由金融驱动，而业务连续性管理已经发展为由安全和危机管理的方面来驱动。因为他们往往各自独立发展，他们时常位于一个组织的不同部门，这意味着他们可以向不同的方向发展。”同时，Mr Crask确定的指出，公司的态度正在发生改变，而且越来越多的公司正在认识到这两个科目应该同时发展。

格雷厄姆女士认为风险管理和业务持续性是同一个管理框架下的两个方面。她说“风险管理提供了一个保护伞，各种风险管理的类别和功能都可以实现，业务连续性是风险管理的一部分，特别是一个企业的风险控制环境的一部分。”

更多综合

作为一门学科，虽然业务连续性相较于风险管理还处于相对于初级阶段，事实上业务连续性的组件可以在几乎所有企业中发现。这是基本常识，以确保措施落实到位，使提供活动所必须的产品或服务受到保护。结果，他们仍然能够保持事件的发生。然而，这些过程的有效性在很大程度上取决于这些措施在多大程度上被纳入该组织。

“传统上大多数企业了解其业务的核心组成部分，也意识到哪些需要保护，这就是他们需要建设业务连续性的地方。然而，

他们并没有做的就是把整个企业作为整体来看待，获得高级管理层的全力支持，理解相互依存的关联性，把业务连续性嵌入管理的文化中和确保雇员明确自己的角色任务，并定期接受培训。”Mr Crask说。

Sainsbury’s的业务连续性主管Steve Mellish认为，就一些公司而言，还有一个趋向，就是限制事件管理的业务连续性和风险缓解的范围。“在我看来这并不能有助于真正有效的提高业务连续性的性能。你需要有并且理解整个为业务连续性性能设计的规划，真正确保其适合业务需求，并以符合业务为目的。”

如果业务连续性成为了一个企业的运作结构的主要部分，那么业务连续性的价值必然能够实现。业务连续性较少的关注计划本身，而是更多的关注业务方方面面的需求建设，从内部管理开始并延伸至整个供应链。

业务的增值

如果一个企业能够成功有效的将业务连续性结合到他的管理活动的方方面面，那么可以得到非常广泛的潜在效益。

提供保证

一个有效的业务连续性战略的主要目标是提供高水平的担保，在发生破坏性事件时，无论是多么严重的破坏。该企业不仅可以继续提供关键服务，而且可以在尽可能短的时间范围内恢复全面运作。

菲尼克斯业务连续性主任Peter Sierwald，介绍了有效的业务连续性的目标：“一个健康的业务连续性战略提供一个良好的保证，使得一个企业的价值链所有必要的方面都得到保护和恢复，采取紧急行动时的成本维持在可以接受的水平内。”

案例研究

位而不是块

信息和通信技术的标准连续性发展并不是容易的任务，特别是考虑到涉及复杂系统越来越复杂和相关联系性。

使得形势更加复杂的现实情况是，几乎没有公司对他们的系