進行營運衝擊分析並擬定優先復原圖
作者: 薛明玲 日期: 2007-03-16 00:00
務實的企業不會奢望公司在遭逢重大意外之危機時,所有營運均能維正常運作。因此企業在平時即需區分關鍵與非關鍵流程,並據此設定持續營運措施的優先次序。當危機發生時才能維繫營運不完全中斷。
最佳實務企業會進行營運衝擊分析(Business Impact Analysis,簡稱BIA)與風險及脆弱性分析(Risk and Vulnerability Analysis,簡稱RVA),藉以排定當緊急情況發生時之優先流程,並運用分析結果,設定關鍵任務流程之復原程序及時程。
一、進行營運衝擊分析界定關鍵營運
營運衝擊分析(簡稱BIA)是企業建構持續營運方案的第一步,在進行營運衝擊分析時,管理階層會檢視構成整體營運的流程與系統,分析它們對不同領域的影響程度,包括財務面(例如直接財務損失、額外運作成本及罰款)、營運面(管理控制)、商譽(企業形象、客戶及大眾信心)及法律上的責任等,然後再將這些流程與系統分三個優先層級:
- 與產品或提供服務有關之關鍵任務流程
- 提供核心業務所需要支援之重要流程
- 對營運存續較不重要、或所受的風險在可接受的範圍內的非關鍵流程
最佳實務企業在重大意外發生時,將優先聚焦於關鍵之任務流程,以確保投入持續營運規劃的資源能發揮最大效益。
二、評估關鍵任務流程的潛在風險
最佳企業為確保關鍵任務流程持續運作,必須瞭解可能導致這些流程中斷的威脅及弱點何在。例如運用風險及脆弱性分析(RVA),評估某一威脅事件可能導致關鍵任務流程中斷的頻率與機率,為可能面臨之最壞的狀況預做準備。
三、發展一套關鍵流程之優先復原圖
最佳實務企業運用BIA及RVA找出關鍵任務流程的潛在風險後,進一步利用這些資訊計算出發生營運中斷時的最低復原要求。企業常用以描述這些復原要求的方式有二:一是復原時間目標(Recovery Time Objective,簡稱RTO),即危機發生時,企業可承受的營運中斷時間(單位為小時或日);另一是復原點目標(Recovery Point Objective,簡稱RPO),即營運中斷後,企業可復原的資料期間。
一般而言,愈重要之功能,愈需在營運中斷後迅速復原。企業若能設定嚴格的RTO及RPO,並運用適當的持續營運方案協助達成這些目標,企業便能提高營運存續的機會。
最佳實務企業會依據BIA及RVA的結果,針對企業關鍵任務流程建立一套優先復原圖,清楚指出維繫各關鍵任務流程可接受的營運程度,及所需之資源與行動。
全球最佳實務:美國公用事業公司Southern Company的現金流量,完全倚賴其400萬客戶的正常付款,因此,開立帳單及客戶付款作業係該公司BCM復原圖中最重要的流程。為確保這兩個流程順利運作,該公司把「列印、郵寄」列為持續營運計畫的關鍵要素。當內部列印設備因故中斷時,「列印、郵寄」這個解決方案便會啟動,以維持帳單的開立、印製及郵寄不致中斷。
全球最佳實務:英國皇家太陽聯合保險集團(Roayl & Sun Alliance Insurance Group)位於曼徹斯特的辦公室遭恐怖份子炸彈攻擊時,不僅員工受傷,建築物及電腦系統也嚴重受創。所幸該公司風險管理團隊所設計的持續營運計畫發揮效用。該團隊在所謂的「殺手」風險情境發生時,立即啟動員工崗位調整、電腦系統備份及重要通訊需求,並指派各風險負責人。然後,該團隊透過保險等財務安排控制這些風險,以確保每項風險都擬有對策,並定期更新及測試應變計畫。一旦發生重大變故,該團隊立刻啟動所有持續營運措施。因為具有這些準備工作,該公司在遭炸彈攻擊的24小時內,得以快速應變,包括協助受害者及家屬、從事故現場取回重要事物,及提供相關資訊等幾項重點計畫都立即就緒。
危機管理的溝通策略 (2007-04-13 00:00)
建立有效之資訊備援系統 (2007-04-06 00:00)
行動導向的持續營運計畫 (2007-03-30 00:00)
評估風險胃納,訂定持續營運策略 (2007-03-23 00:00)
企業持續營運管理計畫 (2007-03-09 00:00)