业务影响分析和风险评估进阶之三:对业务影响分析和风险评估的再认识及其它
问题 :如何进行业务影响分析和风险评估? 回答: 业务影响分析和风险评估是众多业务连续性管理活动的基础,可能是业务连续性管理领域最重要的主题了,但同时也可能是最混乱的主题,在其中有太多误解、谬误和疑问,比如下面这些问题:
- 到底是先做RA还是BIA? (这是一个“老”问题,年年有人问,也有人年年问;-) )
- 怎么识别、确定业务啊?这就象是个不可能完成的任务?
- 业务部门报过来的RTO/RPO全是0,怎么办?
- 几个业务部门报过来的影响都是重大(但数据标准不一),怎么汇总啊?……
- 按财务、客户、合规和声誉这些维度评估中断对不同业务的影响时,有些业务流程(如向监管机构报告)没有财务影响数据怎么办? ……
……续上期
6.对业务影响分析和风险评估的再认识
“风险是一个既有趣又复杂的概念。从某种意义上说,它关心的总是与未来、可能性以及还没发生的事情有关”。 — 艾尔姆斯(Elms, 1992)
风险、决策和风险评估
在《ISO 31000: 2018 Risk management – Guidelines》中,风险(3.1 Risk)的定义是:“不确定性对目标的影响” (effect of uncertainty on objectives) ,也就是说,风险涉及不确定性(uncertainty)、目标(objectives)和影响(effect)三个方面,并且这三者缺一不可。其中,对于目标,要清楚是谁的目标、又是谁对该目标负有责任、该目标可能会影响到谁,即要清楚目标的主体、责任方及相关方;对于不确定性,要清楚是来自内部或外部,是来自政治、经济、社会、技术、环境、法律、自然等哪些方面;对于影响,要清楚影响到谁,它们如何看待或衡量影响,比如是定性还是定量方法,影响的后果及产生后果的可能性等。以上这些不同的要素形成了风险因子, 风险可以用多个风险因子组成的一元数组来表示 。在ISO 31000:2018和ISO 22301:2019中也有类似的表述。 (ISO 31000:2018中风险(3.1 Risk)定义的注释3:风险通常用风险源、潜在事件、它们的后果和可能性来表示(risk is usually expressed in terms of risk sources, potential events, their consequences and their likelihood)。ISO 22301:2019中风险(3.30)定义的注释4:风险通常用事态后果(包括环境变化)及其发生可能性的组合来表示(risk is often expressed in terms of a combination of the consequences of an event (including changes in circumstances) and the associated likelihood of occurrence)) 。
因为不确定性可能对目标产生影响,为了保障目标的达成,我们就需要对“不确定性对目标的影响”进行评估,即进行风险评估,特别是在进行重大的(影响重大目标达成的)决策时。尽管有很多法律法规要求进行风险评估,但 风险评估从来就不只是单纯地为满足法律法规要求,它的几乎全部的目的,是为了给风险相关的决策提供必要的信息。 我们也要清楚,风险实际上通常只是决策需要考虑的一个维度。运营、经济、社会、政治、环境和法律等方面的因素都有可能是决策要考虑的。决策从来都不是一个空中楼阁,它会受到很多的限制,比如法律法规、时间和成本的约束等。同时,还会有一系列利益相关方对于决策感兴趣,希望以不同的方式对决策制定过程产生影响。而风险评估的结果可以用于:决策的直接输入,或者决策的间接输入,比如影响利益相关者。
那怎么评估风险—多个风险因子组成的一元数组—才能为决策提供必要的信息呢?在《ISO 31000:2018 Risk management – Guidelines》6.4 风险评估部分明确指出:“风险评估是风险识别、风险分析和风险评估的整个过程”(risk assessment is the overall process of risk identification, risk analysis and risk evaluation)。其中,风险识别将各个风险因子识别出来,风险分析对已识别的风险因子赋值,并通过一定计算方式进行估测得出风险值(定性/定量均有可能),风险评估则将估测的风险值与(之前)已确定的风险准则进行比较以确定风险处置策略(规避、减轻、转移、自留或其组合)。
业务影响分析、场景与能力规划
在业务连续性管理中,我们关注的是运营中断,即目标是组织业务的持续运营,这时的风险评估实质上是 业务连续性风险评估 (risk assessment of availability) ,得到的结果是中断风险清单及需处置的风险 。 业务影响分析的主要目的是确定业务恢复优先级、业务恢复目标(如RTO/RPO、MBCO等)以及恢复业务必备的资源等 。在确定业务恢复优先级、业务恢复目标及恢复业务必备的资源过程中,主要是在识别业务、确定随着中断时间增长影响的变化、业务之间(及与供应商和合作伙伴)的相互依赖关系等,并不需要考虑威胁是什么、脆弱性是什么、怎么发生的中断,也不需要考虑中断发生的可能性有多大,因此,业务影响分析方法虽然也使用了大量分析,但它不是一种风险评估方法。
从能力规划角度来看 (基于能力的规划方法,即Capabilities-Based Planning,详见 业务连续性问与答Q 12 :如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) ) ,业务影响分析和风险评估都是情景分析的一部分,业务影响分析帮助我们理解运营中断场景,如哪些关键业务要素缺失会造成运营中断,并且随着中断时间的增长影响如何变化等;风险评估也在帮助我们理解运营中断场景,如有哪些威胁或风险源会造成支持业务的关键业务要素不可用(从而导致业务中断),发生的可能性有多大,造成不可用的情况有多严重等。因此, 整合的业务影响分析和风险评估,是一个更完整的、但比较特别的风险评估 ,它涉及到对业务重要程度、威胁/风险源、影响/后果、发生可能性的识别、分析和评价,特别之处在于引入了时间变量 (t) 来衡量影响的变化、以及中断事件发生的可能性因为业务之间、业务与支撑其的关键要素之间、业务与供应商/合作伙伴之间的复杂依赖关系而很不直观,特别之处还在于它还需要为业务恢复确定优先级和目标等。
结合“情景-任务-能力”分析框架和业务连续性能力框架 (详见 业务连续性问与答Q 12 :如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) ) ,业务影响分析主要帮助我们确定监测、预警与警报、业务恢复、危机沟通和事后重建方面的任务和能力,风险评估主要帮助我们确定预防、保护与减灾、监测、预警与警报和应急响应方面的任务和能力。事实上,业务影响分析和风险评估都是情景分析的重要组成部分,它们一起为能力规划奠定基础。
需要说明的是,对组织而言,业务连续性能力是一个整体,当你比较难以提升一种能力时,有时你可以通过提升另一种能力来达到目的。比如,有种说法, “一般而言,在信息科技风险引致的业务中断中,业务RTO大于系统RTO” 。这个说法在许多情况下是正确的,因为在这种情况下,人们总是先恢复系统,然后再恢复业务。但是,也有例外。如人民银行科技司原王永红司长曾说过:“系统中断的种类和交易处理的场景是难以穷尽的,我们应该从提高业务连续性的角度,去设计和实现替代的流程与数据处理的方式。也就是说无论我们怎么设计应急预案都无法包罗所有的故障场景,因此要去设计一些替代的流程和数据处理方法,包括手工交换数据、手工补录数据、交易流程路径变换等方法去作为替代服务,最终要达到的目的是—— 中断业务时间一定要大大短于系统恢复时间。很多时候我们衡量一个事件处理是否成功就是看这一点 。换句话说,关键是看在系统恢复之前是否已经采取其他手段提前将业务恢复。”(原文见中国电子银行网: https://www.cebnet.com.cn/2013/0415/128919.shtml ) 这里,就是希望能够通过提升 保护与减灾能力 来达到改善 业务恢复时间 的目的。这种情况下,业务中断的时间实际上会小于系统恢复的时间。
7.简答(外一篇)
问:到底是先做RA还是BIA? (这是一个“老”问题,年年有人问,也有人年年问;-) ) 答:没有简单的先与后。 业务影响分析主要包括影响准则确定、组织业务识别、恢复目标确定、资源需求分析和BIA报告编制活动,风险评估主要包括风险准则确定、风险识别、风险分析、风险评估和RA报告编制活动,这些活动有些是相互独立的,没有先后顺序,比如影响准则确定其实可以放在组织业务识别之后进行,但多数活动是有一定关联关系的,比如在进行资源需求分析之后,风险识别、分析和评价工作才会更有的放矢。因此,在实际工作中,建议在深入理解前述方法的基础上,结合组织情况制定业务影响分析和风险评估实施细则;在实施时,通过项目规划和管理这些活动。
问:怎么识别、确定业务啊?这就象是个不可能完成的任务? 答:有实务法、建模法或结合两者的方法,见前述业务影响分析5步法。
问:业务部门报过来的RTO/RPO全是0,怎么办? 答:要搞清业务部门这么报的原因是什么?如果是不知道怎么填或不理解模板工具,那需要选好人、做好培训;如果是业务部门不重视,那需要通过项目治理和管理来解决。
问:几个业务部门报过来的影响都是重大(但数据标准不一),怎么汇总啊?…… 答:基本同上。但也有可能是因为未制定统一的影响准则或影响准则描述模糊,那就修订影响准则、业务影响方法及相应的模板工具并做好培训工作。
问:按财务、客户、合规和声誉这些维度评估中断对不同业务的影响时,有些业务流程(如向监管机构报告)没有财务影响数据怎么办? 答:没有就没有,确定财务影响的权重时需要注意到这一点。
前面用3万多字将业务影响分析和风险评估的基础、过程方法、项目规划与管理以及这些背后的原理逐一讲述,如果你在业务影响分析和风险评估部分还有问题没有解决的话,请继续给我留言。接下来,【业务连续性问与答】系列将转入业务连续性实务框架(BCMPF)的能力建设部分,欢迎朋友们继续关注和提问题。
============ 精采回顾 ===========
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )
项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 )
业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )
能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 )
业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 上 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 中 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估 进阶篇之一: 理解组织及其环境 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估 进阶篇之一: 理解业务及业务影响
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接