阅读与思考20180924·业务连续性问与答·Q2

卜范涛讲风险 2019-03-21

展开全文

问题：对我们企业(组织)而言，已经有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情/危机管理、全面风险管理等安全与风险管理手段，业务连续性管理和它们是什么关系？

作为一个业务连续性管理专业人员，在工作中应对不同的风险时如何定位自身职责？

简答：业务连续性管理应对的营业中断风险本质上是一种右侧风险，所以业务连续性管理是一种综合风险管理方法；从管理层次而言，业务连续性管理是介于战略层和战术层之间的一种管理工具，它上承全面风险管理(Enterprise Risk Management)，同时需要执行层的支持才能有效落地。

业务连续性管理与信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情/危机管理、全面风险管理等安全与风险管理手段相互交错支持，企业需要根据自己的情况设计不同体系之间的治理结构，作为业务连续性管理专业人员，应对不同的风险时有3种角色定位：拥者有、推动者或参与者。下面予以详述。

业务连续性管理应对的营业中断风险本质上是一种右侧风险，所以业务连续性管理是一种综合风险管理方法。

《ISO 31000：2009 Risk Management – Guidelines》更新风险的定义为：“不确定性对目标的影响(effect of uncertainty on objectives)”，并在随后获得了较广泛的共识，我们在此基础上展开以下讨论(其实，不同的风险定义对以下讨论影响不大)。

认识风险，我们需要回答3个主要问题(以下内容，参考《风险评估：理论、方法与应用》(马文·拉桑德著))：

问题1：会发生什么问题？为了回答这一问题，我们必须识别出可能会对我们希望保护的资产造成伤害的潜在“危险事件”。我们要保护的资产可能是人、动物、环境、建筑、技术装备、基础设施、文化遗产，也可能是我们的声誉、信息、数据等。

问题2：发生问题的可能性有多大？这个问题的答案可能是一段定性的描述，也可能是一个概率或者频率。我们需要逐个考虑问题1中识别出的危险事件。为了确定这些事件发生的可能性，我们一般需要进行因果分析，识别出可能导致风险事件的根据原因(也就是危害或者威胁)。

问题3：后果是什么？对于每一个危险事件，我们都必须识别出潜在的伤害或者对于问题1中提及资产的负面影响。绝大多数系统都会安六十安全栅，防止或者缓解伤害。资产是否会受到伤害将取决于这些安全栅在危险事件发生时能不能发挥应有的作用。

在回答了第1个问题之后，我们就可以识别出每一个风险事件，而回答问题2和问题3的分析过程，如下图所地。这幅图描述了不同的危险或者威胁可能会导致风险事件的发生，这些风险事件又可能会产生不同的后果。在危险和风险事件之间，我们可以部署各种安全栅。同时，安全栅也可以置于风险事件和后果之间。如下图的模型就是经典的“领结“模型。

风险的领结模型

风险分类已有较长历史，不同研究范畴和不同的时代产生了对风险的多种分类视角。恰当的风险分类，是进行风险识别和系统性风险管理的基本前提。结合我们在“业务连续性问与答”系列Q1中提及的公共安全、组织安全的目标，我们可以将洪水、火灾、地震、信息科技、大流感等处于下图左侧的危险/威胁类风险称为“左侧风险”，将涉及生命财产安全、社会秩序、公共利益、企业运营、声誉品牌等处于下图右侧的后果类风险称为“右侧风险”。

左侧风险和右侧风险

一般而言，左侧风险是风险的根本原因(或者由之)导致的专项风险，对每种单一性质的风险，企业都可以采用专业的处置方法应对该类风险；右侧风险是风险事件引致的后果类风险，可能由多类左侧风险复合引发，应对右侧风险，企业需要建立管理框架，综合多种专项风险处置方法。

业务连续性管理本质上应对的“营业中断”风险，是典型的右侧风险，因此需要采用综合的风险管理方法。

从管理层次而言，业务连续性管理是介于战略层和战术层之间的一种管理工具，它上承全面风险管理(Enterprise Risk Management)，同时需要执行层的支持才能有效落地。

业务连续性管理关联关系

营业中断事件事关重大，在应急响应和业务恢复过程中，可能需要和多种不同的管理职能-如风险管理、应急管理、IT灾难恢复、供应链管理、知识管理、环境管理、健康与安全、变更管理、人力资源、安全保卫、沟通和公共关系等-进行协调，这说明了业务连续性管理实践的确比较复杂。10多年前有这样一张伞状图(如上图)描述这种关系。(对这幅图，也有一种错误的解读，认为业务连续性管理更加“高、大、上”，可以覆盖这些不同的管理领域)。

事实上，不同的管理工具在企业管理实践中的确更适于不同的管理层级使用，如下图所示，企业(全面)风险管理和危机管理主要由企业的高层管理者负责；安全、健康和环境管理以及信息科技管理除了战术层之外，还涉及大量的具体执行工作；而业务连续性管理则居于其中，战略风险、财务风险中的非流动性风险等并不会直接导致企业运营中断，所以业务连续性管理不是全面风险管理，它是介于战略与战术层之间的一种风险管理工具，与安全、健康和环境管理、信息科技管理、危机管理等可以协同起来，上承全面风险管理(Enterprise Risk Management)，同时需要多项管理工具在执行层的支持才能有效落地。