业务影响分析(BIA)
B.15.1 概述
业务影响分析(Business Impact Analysis),也称作业务影响评估(Business ImpactAssessment),分析了干扰性风险对组织运营的影响方式,同时识别并量化了必要的风险管理能力。具体来说,BIA就以下问题达成了一致的认识:
● 关键经营过程的识别和临界状态、职能和相关资源以及组织已有的关键互相依存关系;
● 干扰性事项对实现重要经营目标的能力会产生怎样的影响;
● 管理干扰的影响以及使组织恢复到约定运行水平所需的能力。
B.15.2 用途
BIA用来确定危害性以及过程和相关资源(人员、设备、信息技术)的恢复时间,以确保目标的持续实现。而且,BIA有助于确定过程、内外部各方以及供应链连接处之间的相互依存关系和相互关系。
B.15.3 输入数据
输入包括:
● 承担分析并制定计划的小组;
● 关于目标、环境及运行和组织的相互依存关系的信息;
● 有关组织活动及运行的详情,包括过程、辅助资源、与其他组织的关系、外包安排以及利益相关者;
● 关键过程的缺失造成的财务及运行结果;
● 事先准备的调查问卷表;
● 组织相关部门的受访者及/或计划联系的利益相关者的名单。
B.15.4 过程
通过使用调查问卷表、访谈、结构化讨论会或综合运用上述三种方法,可以开展BIA,以便认识关键过程、过程缺失产生的影响以及必要的恢复时间范围及辅助资源。
关键步骤包括:
● 根据风险及脆弱性分析(vulerabilityassessment),确认组织的关键过程和输出结果,以确定过程的危害性;
● 确定在干扰规定的时期内对被识别的关键过程造成的财务及/或运行影响;
● 识别与关键内外部利益相关者的相互依存关系。这可能包括通过供应链说明相互依存关系的性质;
● 确定现有资源及干扰过后继续以最低容许水平运行所需的基本资源;
●确定目前使用或计划开发的替代性工作区域和程序。如果在干扰过程中资源或能力无法获得或不够充分,那么可能就要开发替代性的工作区域和程序。(workarounds)
●根据被识别的结果以及职能部门的关键成功因素来确定各过程的最大可容忍故障时间(MAO)。MAO代表组织所能容忍的能力损失的最大时间段。
●确定任何特定装备或信息技术的目标恢复时间(RTO)。这可能包括评估过程中的重复水平(例如,设备备件)或是替代供应商的存在情况。
● 确认关键过程的现期准备水平。这可能包括评价过程中的冗余程度(例如备用设备)或存在替代供应商。
B.15.5 输出结果:
输出结果包括:
● 关键过程及相关依存关系的优先性清单;
● 因关键过程缺失而带来的财务及运行过程影响的记录;
● 用于被识别的关键过程的辅助资源;
● 关键过程的故障时间范围以及相关信息技术恢复时间范围。
B.15.6 优点及局限
BIA的优点包括:
●对关键过程的认识,使组织有能力继续实现其既定目标;
●对资源的认识;
●有机会重新界定组织的运行过程,以增强组织的灵活性。
BIA的局限包括:
●那些参与完成调查问卷并开展访谈或讨论会的参与方缺乏某些知识;
●小组气氛可能会影响到关键过程的全面分析;
●对恢复要求有简单化或过于乐观的期望;
●难以获得组织运行及活动的足够的认识水平。
B.16 根原因分析
B.16.1 概述
为了避免重大损失的再次发生,对重大损失进行的分析通常称作根原因分析(Root CauseAnalysis,简称RCA)、故障根本原因分析(Root Cause FailureAnalysis,简称RCFA)或者损失分析(Lossanalysis)。RCAF关注的是各类故障引起的资产损失,而损失分析主要关注的是外部因素或灾难引起的财政或经济损失。它试图识别根本或最初原因,而不是仅处理非常明显的“症状”。人们普遍认同,纠正行为未必完全有效,有时可能需要持续的完善。在大多数情况下,RCA用于对重要损失的评估,但是也用于全球范围的损失,以确定在什么情况下可以进行完善。
B.16.2 用途
RCA适用于各种环境,拥有广泛的使用范围:
● 安全型RCA用于事故调查和职业健康及安全;
● 故障分析用于与可靠性及维修有关的技术系统;
● 生产型RCA用于工业制造的质量控制领域;
● 过程型RCA关注的是经营过程;
● 作为上述领域的综合体,系统型RCA主要用于处理复杂系统的变革管理、风险管理及系统分析中。
B.16.3 输入
RCA的基本输入数据是指从故障或损失中搜集的全部证据。分析中也可以考虑其他类似故障的数据。其他输入数据可以是为了测试具体假设而得出的结果。
B.16.4 过程
识别出RCA的需求之后,应指定一群专家开展分析并提出建议。专家的类型主要取决于分析故障时所需的具体专业知识。
虽然可以使用不同的方法进行分析,但开展RCA的基本步骤是相似,包括以下方面:
● 组建团队;
● 确定RCA的范围及目标;
● 搜集有关故障或损失的数据及证据;
● 开展结构化分析,以确定根本原因;
● 找出解决方案并提出建议;
● 执行建议;
● 核实所执行建议的成效。
结构化分析方法可以包括下列某一种方法:
●5-why法,即反复询问“为什么?”以剥离原因层及次原因层;
●失效模式和效应分析;
●故障树分析;
●鱼骨图或鱼刺图;
●帕累托分析;
●根本原因图。
原因评价经常开始于明显的客观原因,然后是人为的原因,最后是潜在的管理或基本原因。相关各方必须对原因进行控制或消除,以便纠正行为取得效果并富有价值。
B.16.5 输出
RCA的输出结果包括:
● 记录收集的数据及证据;
● 分析假设;
● 归纳有关最有可能造成故障或损失的原因;
● 纠正行为的建议。
B.16.6 优点及局限
优点包括:
●让合适专家在团队环境下工作;
●结构化分析;
●分析各种可能的假设;
●记录结果;
●需要提出最终的建议。
局限性包括:
●未必有所需的专家;
●关键证据可能在故障中被毁或在清理中被删除;
●团队可能没有足够的时间或资源来充分评估情况;
●可能无法充分执行建议。