业务连续性管理(BCM)确保组织的关键功能保持运作,以最大限度减少中断对利益相关者的影响。让我们探讨在战略规划背景下实施业务连续性管理的实际步骤。
根据ISO 22301,业务连续性管理的方法包括:
将这些元素整合到战略规划中:
- 我们将采用基于价值的分解方法
- 使用绩效指标量化战略和计划
- 以倡议、风险和评论的形式维护可操作的记录
识别关键业务要素
我们的目标是识别对业务连续性至关重要的关键业务要素。我们以以下视角作为起点:
- 信息系统
- 设施和地点
- 合作伙伴和利益相关者
- 人力资源
- 物理资产
- 财务资源
Business Continuity Management。 一旦定义了要素和子要素,我们可以通过建立恢复时间目标(RTO)来量化其对风险事件的敏感性。
对于恢复时间目标,我们定义:
- 计量单位(例如,小时或天)
- “基线”为灾难性恢复时间
- “目标”为期望的恢复时间
- 当前值,根据现有技术和政策估算的恢复时间
Business Continuity Management。 通过这些数据,我们可以计算每个业务要素在面对紧急事件时的敏感性或准备情况。
在此背景下:
- 较低的值(例如,更快的恢复时间)将导致更高的性能
- 性能函数不应为线性;“灾难性”基线旁的大范围应为红色区域
Business Continuity Management。 在BSC Designer中:
- 在“数据”选项卡上定义所需的恢复基线、目标和当前值。
- 使用“指数衰减”函数创建一个性能函数,其中靠近目标的恢复时间有一个相对较小的绿色区域,而较长恢复时间有一个显著的红色区域。
该软件可以跟踪每个业务要素随时间的RTO。
威胁和风险分析
使用这些视角作为起点分析潜在威胁:
- 运营
- 技术
- 经济
- 劳动力
- 安全和安保
- 环境
- 声誉
- 法律
对于每个相关的威胁,进行特定风险的分解并进行业务影响分析(BIA)。
业务连续性管理。 例如,您可以将技术威胁细分为“网络安全威胁”,进一步细分为“勒索软件攻击”。
在这种情况下,可以通过简单的风险估算公式来量化风险,例如概率乘以影响。定义风险的多种方式已在一篇单独的文章中讨论。
应对情景
为具有最高风险影响估计分数的威胁制定应对情景。
一个典型的情景将包括:
- 业务连续性计划(预防、响应、恢复)
- 沟通计划
- 培训和测试计划
这些计划可以通过以下方式量化:
定期更新指标
培训覆盖率
模拟/演习成功
Business Continuity Management。 考虑“情景1 – 勒索软件攻击”,其分解为:
- 业务连续性计划
- 培训和测试
“业务连续性计划”部分包括几个举措:
- 预防策略
- 响应策略
- 恢复策略
- 沟通计划
在“沟通计划”中,“计划定期修订”指标量化了更新的频率。指标负责人定期收到修订沟通计划的提醒,以确保联系人和其详细信息保持最新。
Business Continuity Management。 为了验证“响应策略”举措的有效性,我们用“模拟/演习”指标进行量化。
“培训和测试”部分包括“网络钓鱼攻击培训与模拟”举措,以及两个指标:
- 培训覆盖率
- 模拟/演习
虽然这些连续性计划被作为举措呈现,但可以进一步细分。我们可以将它们分解为更具体的子目标和指标。
映射事件或中断
为了映射活跃事件,请包括中断详情和根本原因分析。
为了量化影响,我们可以使用加权影响评估指数,包括:
财务影响
对客户关系的影响(量化为受影响客户的百分比)
对运营的影响(量化为受影响关键运营的百分比)
法律和合规影响(通过罚款和其他法律后果量化)
长期声誉影响(量化为因危机而在一年内流失的客户百分比)
Business Continuity Management。 为了在BSC Designer平台上自动化此指数,请考虑使用从模板同步功能,以便保持影响量化标准与已建立的模板同步。
在解决事件后:
- 更新‘中断详情和分析’元素中的完成日期
- 将其状态更改为‘已完成’
- 映射经验教训和改进举措
- 将‘事件1’组移动到‘过去事件’部分。
指标的继承和更新间隔
根据量化的性质,业务连续性记分卡中的指标需要以各种方式进行配置。
指标重用先前的值(继承)
量化RTO(恢复时间目标)的指标设置为使用继承值。实际上,这意味着当前年度定义的RTO将自动应用于下一年度,除非重新定义。这些指标的更新间隔设置为年度或半年度更新。
用于量化BIA(业务影响分析)的指标也配置为使用继承值。在这种情况下,更新间隔可以根据威胁的预期动态进行调整,对于更动态的威胁使用每月更新,而对于稳定的威胁则使用季度/年度间隔。
业务连续性管理。 指标不重复使用先前的值(输入的值)
用于量化业务连续性计划的指标,例如“定期修订计划”、“培训覆盖率”和“模拟演练”,被配置为季度或年度更新间隔。在这种情况下,继承选项配置为“使用输入的值”,这意味着我们不会为下一个期间重用先前的值。
例如,如果计划被标记为本年度已修订,那么在下一年度,我们需要再次修订计划并更新相应指标的状态。
没有计划更新的指标
最后,用于事件影响评估的指标的更新间隔被配置为“从不”,这表明我们只关注指标的当前状态,而无意监控其随时间的变化。
通过情境和数据建立联系
业务连续性管理的基本概念涉及在以下各方面建立联系:
- 关键业务要素
- 威胁和风险
- 场景
- 实际事件
通过创建这些联系,我们为团队提供所有必要的细节,以有效应对威胁并从事件中学习。
为了在战略规划中实施这一概念,我们通过情境将上述所有元素链接在一起。这样,我们可以从实际事件导航到相应的场景,如有必要,还可以探讨威胁和风险分析。
Business Continuity Management。 在 BSC Designer 中建立情境:
- 将源项目(例如,相关场景)复制到剪贴板。
- 选择目标项目(例如,场景涵盖的事件)。
- 从剪贴板粘贴,并选择“按情境链接”或“按数据链接”。
情境连接将在两个项目的“情境”选项卡中可用。
要在项目之间导航,双击相关连接。
应用相同的逻辑,具有专用战略记分卡的响应策略可以与事件、风险评估和关键业务要素对齐。
危机响应的战略记分卡:以COVID-19为例
业务连续性战略确保组织在危机事件中的整体准备。根据危机的规模,可以设计一个特定的响应战略。COVID-19疫情就是这样一个例子,这样的战略帮助集中精力并确保战略一致性。
让我们回顾一下COVID-19战略作为危机响应战略的一个例子。战略记分卡遵循经典的平衡记分卡方法:
Covid-19 Strategy Scorecard。 在学习与成长的角度,我们专注于执行业务连续性战略所需的技能和基础设施:
- 对员工进行COVID-19教育(通过领先指标“意识项目渗透率, %”和滞后指标“实际实施的实践百分比”来衡量)
- 进行全球情景规划(与一些特定的举措对齐)
- 使IT系统与远程工作的挑战相一致
- 向员工介绍远程工作的原则
在内部角度,我们制定与内部业务系统相关的目标,以有效执行业务连续性战略:
在利益相关者的角度,我们关注我们利益相关者的需求(员工、客户、合作伙伴)。在这里,我们描绘了以下目标:
- 预见对医疗需求的影响
- 预见对教育需求的影响
- 预见对日常需求的影响
另一个重要的利益相关者是社区及其需求。如果您有专门的非营利记分卡,那么您会在那里找到类似的目标。
业务连续性战略地图模板包括与“社区需求”目标一致的若干举措。这些举措描述了组织可以做出贡献的可能方式:
- 重新利用生产线。例如,Inditex,零售连锁店Zara的所有者,开始生产医院长袍。
- 重新利用产品和服务。例如,迪卡侬正在向医院捐赠浮潜面罩。MSC集团的Splendid被改造成医院船。
- 促进社交距离。例如,捷克邮政允许在宣布紧急状态期间通过其“Datová schránka”发送免费挂号信。
由于旅行限制,许多公司已从现场活动形式转向在线活动。虽然流媒体平台的成本较低,但组织需要争取参与者的注意。在本文中,我们分享了我们的在线活动方法,该方法在客户参与度和长期业务影响方面证明能产生稳定的结果。
最后,在财务角度,我们描绘了相关的财务目标和预期结果。在这种情况下,我们谈论的是:
- 对收入的影响
- 适用的保险政策
使用 Business Continuity Management 模板
BSC Designer 帮助组织实施其复杂的策略:
- 注册平台上的免费计划。
- 使用
Business Continuity Management 模板作为起点。您可以在 新建 > 新建平衡记分卡 > 更多模板 中找到它。 - 遵循我们的战略实施系统,将利益相关者和战略目标对齐为一个全面的策略。
立即开始,看看 BSC Designer 如何简化您的战略实施!
