任何关于风险管理和业务连续性的讨论都应包含对于风险的定义。风险可以有许多种定义,不过其通常归结到这一事实,即任何操作都有潜在的,出现错误的可能性。事故发生的概率或可能性构成了与之相关的风险系数。假设某一活动总是成功进行,从未产生任何问题或故障,失败或风险的可能性可以被完全忽略。不过如果我们考虑地更为实际些,事故发生的概率或可能性都介于0到100%之间。
举例来说,假设某一特殊的中断事故(例如小于一个小时的电力中断)有五分之一的发生概率(基于保险统计学估算),风险概率(或称可能性)就是0.2或20%;三分之一的事故发生率就是0.33或33%。相反的,小行星撞击地球的几率基本接近于零,而有人由于工作感冒生病的概率则趋近于1。
当我们分析风险时,我们考虑到事故发生的几率,事故发生后的潜在的威胁程度(例如破坏正常所需的工作流程),以及各项故障点(比如有助于事故发生的故障点)。我们以此将风险的可能性定义为事故发生几率乘以潜在的破坏程度乘以故障点的结果进行分析。
换句话说,业务连续性中风险的公式如下所示:
风险 = 事故几率 x 严重程度 x 故障点
我们可以将此公式用如下表格来展示(表格所列为示例数据)
可能性:0表示不可能,1表示要发生
严重程度:0表示没有影响,1表示完全破坏
故障点:0表示没有故障点,1表示极容易受攻击的
在“火灾”示例中,计算出的风险数字代表基于指定的容易起火的位置,十分之四的火灾事故会引起重大的损失。从完整的表格中,你可以辨识出各种风险,并对其进行优先级排序以便于进一步的工作。虽然我们在示例表格中填写了任意数值,许多这类数值可以从风险管理表中获得,这些数值可以基于历史数据或对于特殊事件极其结果的分析中得出。
作为一位业务连续性专员,需要确保进行一次这样的风险评估,就像我们在上面所做的那样,这样可以识别对于企业可能存在的威胁。一旦就这一系列风险达成共识,你可以开始业务影响分析(BIA)来判断各种风险对于企业的财务或运营的影响。
风险处理
在企业风险管理中,一旦识别出风险,你需要决定如何进行处理。以下是四项基本方法:
规避:决定如何避免会引起风险的操作。
减缓:通过各种途径来降低或减缓风险的影响程度;如果不能消除风险,至少降低其潜在的影响程度。
分担:找到另一家实体公司来吸收一部分风险;保险是经常使用的风险分担机制。
接纳:接受风险本身以及其可能引起的潜在威胁。
这些选项可以作为你的业务连续性/灾难恢复规划策略的考虑因素。
业务连续性流程中的风险管理
在业务连续性工作流程中应当如何定位风险管理?让我们考虑以下图例,其描述了一个典型的业务连续性/灾难恢复过程的事件顺序。
业务连续性过程事件顺序
如你所见,风险管理活动发生在流程初期。我们只有了解公司所面临的风险之后才能进行策略制定、规划及其它工作。
风险管理标准和专业组织协会
国际风险管理标准是ISO 31000,风险管理之部署原则和指南,该文件于2009年11月由国际标准化组织(ISO)发布。另一项有用的标准是ISO31010:2009,风险管理之风险评估技术,其提供组织执行风险评估的指南。在美国的一份卓越的风险管理标准是SP 800-30,其由美国国家标准技术研究所(NIST)开发制定。当致力于风险管理项目时,请确保使用上述已有的标准作为参考建议。
在美国,最突出的风险管理或许应该是RIMS(风险与保险管理协会),其通过教育规划、专业认证、会议、出版物、风险相关的信息和风险专业人士直接的网络,解决整个风险管理课题。
企业风险管理是业务连续性流程的重要组成部分。从任何目前企业业务连续性/灾难恢复标准,比如BS 25999 Part 2 或 NFPA 1600:2010中,你都可以借鉴用于风险管理。
如果你的企业相当庞大,或许有风险管理部门或类似的职能部门。确保和其保持联系,并将其纳入到你的业务连续性/灾难恢复方案之中。在整个业务连续性/灾难恢复规划的开发中,利用该团队共享想法、经验,并且降低可能存在的困扰因素。