基于主客观组合赋权法的业务连续性管理核心能力模型的实证研究
2016-12-08黄翔宇
黄翔宇
(中共亳州市委党校综合教研室亳州236800)
基于主客观组合赋权法的业务连续性管理核心能力模型的实证研究
黄翔宇
(中共亳州市委党校综合教研室亳州236800)
首先提出了业务连续性管理的概述及业务连续性管理核心能力的概念,并对国内外业务连续性管理研究进行理论综述。建立了一套适用于评价业务连续性管理能力的主客观组合评价体系,构建了一个业务连续性管理核心能力评价模型,并进行了实证检验。该模型为检验企业业务连续性管理能力水平、行业业务连续性管理能力水平及寻找业务连续性管理行业最佳实践标杆提供一种评价方法,也为业务连续性管理理论的发展提供模型依据和新的思路。
业务连续性管理评价层次分析法模型
一、引言
随着信息技术的发展,管理信息系统被广泛运用到组织中,突发事件带来的信息系统业务无法持续运行而造成业务中断的现象普遍存在。因此,业务连续性管理的呼声越来越强烈,对业务连续性管理的理论研究具有十分重要的意义。业务连续性管理已被国内各机构及学者重视并广泛运用,我国对此深入研究较少。本文旨在构建一种核心能力的评价模型,为评价组织的业务连续性管理能力提供一个模型及量化分析方法,应用于组织管理中。
二、业务连续性管理的概念及理论综述
1、业务连续性管理的概念
业务连续性管理(Business Continuity Management,下文简称BCM),不同学者、机构对其定义有不同的理解,本文理解如下:
BCM是一种整体的流程管理,通过鉴别组织的潜在威胁及威胁所造成的影响和后果,通过计划和提供一个整体框架和管理流程来构造企业业务连续的能力,对组织突发事件进行事前、事中和事后计划,并制定相关策略,保护组织业务和活动的正常运行。
BCM是一种新的管理理念,与风险管理有相同之处但又不同于风险管理。BCM是风险管理的补充,用于理解组织运行和业务上的风险及其后果。
BCM是一种战略管理,在危机发生时候,使组织能更好的预防、应对、响应、恢复重建,保障组织业务和活动的正常进展。获得独特的风险规避竞争优势,为组织目的服务。
BCM是一种组织文化。需要组织内部全体人员共同提高理念来完成且不断循环向前。BCM的具体方法、措施、理念、政策、方针,都离不开以人为本的企业文化,推进BCM与企业文化建设是密不可分的,企业文化是宣传和实施BCM最好的载体。
BCM贯穿了灾难恢复、业务风险管理、关系及沟通管理、安全管理、知识管理及人力资源管理。BCM不仅仅针对灾难恢复,而且包含灾难准备,以备在灾害发生时的从容应对。
2、业务连续性管理的理论综述
国外研究BCM起源于灾难恢复,在19世纪70年代,学者普遍认为业务中断是由于技术上的失败,灾难恢复的首要目标是保护硬件系统。Ginn[1]围绕灾难恢复不同于连续性管理,认为灾难恢复起源于保护企业数据中心的需要;90年代BCM的研究更加专业化。早期的业务连续性出版书籍把焦点关注在信息系统和保护上,如Swartz et al[2]认为业务连续性被看作是社会和技术系统的集成使组织保护更有效率,BCM不仅仅是保护组织也是创造价值增加过程。学者Ethne Swartz等[3]详细介绍了BCM的演变历程,BCM概念和实践从技术角度逐渐向BCM标准化过度,并且对BCM方法进行了比较。他们提出了新旧BCM研究方法和研究方向,强调BCM从最初的灾难恢复转向新的最佳实践、系统功能孤立逐渐转变综合和集成、结构呈现出新的优化、BCM所保护的对象由核心业务转变到组织全方位的保护,组织呈现出协同关系、BCM的战略目标由恢复原状和内部焦距转变为创造竞争优势的价值链思想。Carolyn Castillo[4]中作者以波音公司系统为例,构建了一个集成模型,发展了灾难准备和业务连续性计划。
21世纪以来,各国BCM实践越来越多,英国连续性管理机构(BSI)相继颁布了BCM的标准BS25999[5]及最佳实践[6],随之对BCM标准的研究逐渐增多。国内学者对业务连续性广泛关注是在2003年以后,最近几年世界及国内灾难突发事件频频发生,BCM成为研究热点。经研究,国内关于BCM的研究主要分为以下几个方面:
(1)业务连续性管理理念的引入及灾难恢复的重要性研究
BCM理论研究的第一个方面是业务连续性管理理念的引入,国内学者逐渐将国外BCM理念引入国内。如学者陈靓[6]描述了业务连续性再审计领域的重要性,强调借鉴西方ISO17799标准为金融部门服务;2006年国内出现BCM研究热潮,类似BCM专栏研究出现,内容涉及BCM规划管理、使命与对策、BCM实施七步骤、BCM基础、BCM指南精要等等;普华永道系统流程管理合伙人季瑞华[7]强调了业务连续性的重要性;类似透过地震看BCM价值、BCM从概念出发等文章层出不穷,文章都基于强调BCM的重要性、概念引入、技术角度及价值重要性阶段,BCM逐渐成为理论研究热点。
(2)BCM理念的新发展
BCM理论研究的第二个方面重在BCM理念的新发展。不仅仅是灾难恢复,更关注于灾难准备和业务连续性计划的制定。这种发展从被动的消极的灾难恢复演变到主动的积极的灾前准备,以减少不确定性发生的概率。如刘洪昌[8]在其文中介绍了制定灾难计划和灾难准备的重要性,业务连续性计划不仅仅是一个资源和需求发生灾难时实施的程序,而应该植入组织中来确保组织数据整体的安全;何晓明[10]介绍了业务连续性计划的内容和通用的实施步骤,为其他企业BCM提供了一个模式;张艳等[11]对灾难备份和灾难恢复等进行归纳,分析了目前主要的灾难备份技术及灾难备份中存在的问题。
(3)BCM的管理标准化
BCM理论研究的第三个方面是BCM管理的标准化,以标准加强和引导业务连续性管理,将BCM作为一个管理理念植入组织之中,BCM的管理标准化成为发展趋势。如BS25999把BCM框架分为六个部分:理解组织、决定BCM战略、开发并实施BCM响应、BCM演练、维护和评审回顾和将BCM植入组织文化[5]。陈博[12]强调了BCM能够识别潜在危机,制定响应和业务持续恢复计划提高风险防范能力,对银行实施BCM提出建议;JC Sekar等[13]详细介绍了BSI机构BS25999-2007标准框架及内容。这个阶段的国内文章都强调以标准加强业务连续性管理,强调引入BS25999标准指导组织BCM的重要性。
(4)BCM的应用实践
BCM理论研究的第四个方面为BCM的应用实践。BCM可广泛应用于企事业单位等各个领域,如吕丹[14]强调BCM可成为改善经营管理、承担社会责任的基本准则;胡韬[15]提出引入BCM机制的原因,该理念已受到政府机构的重视并开始导入;骆絮飞[16]提到了当前银行BCM的现状及问题,并提出完善体系,加强应急演练及应急协作联动机制的建议;梁峰[17]提出基于过程能力成熟度模型的商业银行BCM评级体系;刘琦[18]提出将BCM运用到电子政务领域,提升电子政务业务的安全性。
三、业务连续性管理核心能力概述
因灾难或组织要素变动而造成业务中断,引起实际结果与预期结果偏离的风险的存在,即产生BCM风险。企业应对BCM风险的能力即为业务连续性管理能力,影响业务连续性管理能力的因素很多,但是业务连续性管理核心能力(以下简称BCM核心能力)是可以给企业带来竞争优势的能力。BCM核心能力定义如下:
BCM核心能力是一种整体的业务能力,通过实施业务连续性管理战略,鉴别组织的潜在威胁及威胁所造成的影响和后果,计划和提供一个整体框架和管理流程来构造企业业务连续的能力,及对组织突发事件进行事前、事中和事后计划,并制定相关策略,保护组织业务和活动的正常运行的一种能力。
BCM核心能力是通过业务连续性管理,在危机发生时候,使组织能更好的预防、应对、响应、恢复重建,保障组织业务和活动的正常进展,获得独特的风险规避竞争优势的能力。本文中BCM核心能力遵循BS25999框架的内容,即BCM核心能力包含灾难恢复能力、人力资源管理能力、业务风险管理能力、安全管理能力及关系及沟通能力的内容。
1、灾难恢复能力
业务连续性管理中一个重要的内容就是灾难恢复,国外BCM研究的起源就是灾难恢复,国内外学者对灾难恢复尤为重视。本文将灾难恢复能力作为BCM核心能力的子变量是有理论依据的,灾难恢复能力涉及数据组织管理、灾难恢复方案测试及制定灾难恢复方案。
2、安全管理能力
安全管理的范围较为广泛,研究中不可能做到全面反映组织安全管理的要求,根据BS25999框架中对业务连续性管理内容的要求,把安全管理能力视为业务连续性管理核心能力的一个方面。安全管理能力侧重软硬件设施性能、数据恢复工具、制定安全管理规划等要素,这样使得本文研究更具有针对性。
3、业务风险管理能力
风险管理能力在BS25999框架中也被视为重要的组成部分。正确进行风险管理的步骤包括风险识别、风险因素及预防、编制风险管理计划、风险管理计划执行别等方面。
4、知识管理能力
“知识管理”一词出现于19世纪80年代末。组织知识能自由流通,是否存在数据库及信息的自由共享,组织能否具有重新学习能力,组织业务知识能力是否应及时使用很重要。本文侧重企业对BCM知识的共享和知识搜集整合。
5、人力资源管理能力
BS25999中也将人力资源管理作为BCM的重要组成部分。人力资源管理是一个很广泛的概念,在本文中的应用主要侧重组织是否有专职的BCM人员、业务连续性计划的负责人和执行人都受过良好的培训、组织内有专门软件和人员监测用户对业务系统进行反馈等方面。
6、关系及沟通能力
组织参与跨团队解决问题的能力很强、内外部沟通能力较强,才能更好的应对业务中断,保障业务连续性管理。本文中关系及沟通能力侧重跨团队解决问题的能力及公司内外部的沟通协调能力。
四、主客观组合赋权分析法
20世纪70年代,美国运筹学家萨迪教授提出了层次分析法(简称AHP)。1971年被用于美国国防部“应急计划”,从那时起AHP法开始引起了人们的注意,并逐步应用于决策分析及管理等广泛领域。层次分析法分为四个步骤:
1、层次结构模型的构建;
2、判断矩阵的构造;
3、层次单排序及其一致性检验;
4、层次总排序及其一致性检验。主客观组合赋权法即是客观赋权法和主观赋权法的综合。其中,主观评价法采用的方法如AHP法,反映的是研究变量主观定性的分析方法,反映的是主观偏好;客观赋权方法采用的方法如变异系数法,反映的是研究变量数值之间客观存在的关系。为反映主观和客观之间的关系,用线性加权的方法确定综合权重,即
五、基于主客观组合赋权法的BCM核心能力评价模型的实证研究
结合业务连续性管理领域COBIT协议[20]、ITILV3[21]、BS25999标准[5-6]及专家建议,为获得本文的研究数据,共发放调查问卷278份,调查对象为企事业单位IT高层管理人员或信息化建设负责人,共收回有效问卷214份记录描述性统计结果,并选取制造业、金融业、信息技术产业三个行业的45家企业进行小样本进行实证研究,采用SPSS软件进行数据分析。
1、基于AHP主观赋权法评价值的计算
(1)递阶层次结构图的构建
BCM核心能力模型包括三层,包含灾难恢复能力、业务风险管理能力、关系及沟通能力、安全管理能力、知识管理能力及人力资源管理能力6个变量,第三层共包含17个子变量,各变量对应关系如下图1所示。
(2)判断矩阵的构造
根据上图中第二层、第三层各个子变量的重要程度,采用1-9及其倒数标度方法,构造出两两判断矩阵。
本文限根据层次分析法对BCM核心能力各层进行评价,并求得13个第三层子变量及6个第二层子变量的权重值。通过层次分析法得出第二层和第三层权重值构造的判断矩阵如下式:
得到第二层权重值
(3)层次单排序及其一致性检验
由构建的判断矩阵,计算出被比较变量对于业务连续性管理核心能力子变量的相对权重,并进行一致性检验,满足下列条件:
(4)层次总排序及其一致性检验
接下来计算出各层变量对业务连续性管理核心能力的合成权重,对得出的权重值进行排序,并进行一致性检验。得到两两比较的判断矩阵:
综上,通过以上计算,得出AHP的子变量评价值结果,可直观得出主观赋权法下企业BCM核心能力的量化指标及行业排序。
2、客观赋权评价值的计算
以上通过主观赋权的层次分析法得出BCM核心能力子变量的权重值,得出BCM核心能力的评价值结果。但是层次分析法属于主观的分析方法,为了避免主观因素对指标权重的影响,本文同时选用客观的变异系数法,也就是根据各项指标值的变异程度来确定指标的权重。从而解决因主观因素带来的数据误差。具体计算步骤及结果如下:
通过以上步骤得出第三层每一个指标的权重值,得出的二层指标权重值如下:
以上计算可得出不同行业的各家企业客观的评价值及排序结果,可直观看出客观评价法下企业BCM能力的量化指标及行业排序。
3、主客观组合评价值的计算
通过AHP与变异系数法的角度计算出了企业BCM核心能力的评价值的量化指标,用线性加权的方法确定综合权重,即
对45组小样本3大行业按照行业和组合评价法进行排序后结果如图2所示:
从数据处理结果可以看出,金融行业和计算机行业的BCM核心能力评价值高于制造业,这与现实中的客观现象一致。我国目前行业间的业务连续管理水平存在不平衡现象,从2004年开始,国家明确规定了金融行业、电信行业及计算机行业等需进行业务风险分析及灾难恢复的要求。金融行业及计算机行业对业务连续性管理的重视度较高,而制造业业务连续性管理水平普遍较弱。
六、应用
通过本文构建的BCM核心能力模型,通过主客观组合评价的结果和方法,进一步加以分析挖掘,可对企业战略制定和管理作参考。
1、用来检测BCM核心能力水平及各层次得分,评价企业运用BCM能力的水平,通过各子变量的得分,判断自身BCM运用的薄弱环节,寻找差距和改正不足;
2、用于确定行业标杆及同行业的企业标杆。通过BCM核心能力模型,可得出不同行业评价值,进而通过数值的比较,得出行业BCM核心能力的高低,用来寻找行业标杆及企业标杆;
3、与能力成熟度模型的运用相结合,划分BCM能力级别。本文根据问卷中的5级标准对BCM核心能力进行衡量,BCM能力成熟度的量化指标为0-5的数值。初始级区间定义为(0,2.5)、可重复级区间定义为(2.5,3.25)、已定义级区间定义为(3.25,4)、管理级区间定义为(4,4.5)、优化级区间定义为(4.5,5)。因此根据能力成熟度等级的划分,可以判断企业处于哪个等级层次,以及不同成熟度等级的企业应该如何改进BCM能力,从而有助于组织更好的实施BCM战略,也为BCM的进一步研究提供思路。
[1]Ginn,R.D.“Continuity Planning:Preventing,Surviving and Recovering from Disaster”[J],Oxford:Elsevier Advanced Technology,1989.
[2]Schwartz,H.“On the Pysical dynamics of Organizational Disaster”[J].Columbia Journal of World Business,1987.
[3]EthneSwartz,DominicElliott,BrahimHerbane,”Greater than the Sum of Its Parts:Business Continuity Management in the UK Finance Sector”[J].2003.
[4]Carolyn Castillo,“Disaster preparedness and Business Continuity Planning at Boeing:An integrated model”[J].Journal of Facilities Management.2004.
[5]BS 25999-1,“Business Continuity Management—Part 1:Code of Practice”[S],2006.
[6]BS 25999-2,“Business continuity management—Part 2:Specification”[S],2007.
[7]陈靓,业务连续性审计概述[J],华南金融电脑金融,2004:57-60.
[8]季瑞华,关注业务连续性[J],信息方略,2008,14(6):42-44.
[9]刘洪昌,企业信息安全管理评估内容与方法探讨[J],企业论坛,2009,12:65-66.
[10]何晓明,业务连续性规划[J],网络安全技术与应用,2004,12:25-28.
[11]张艳,李舟军,何德全,灾难备份和恢复技术的现状与发展[J],计算机工程与科学,2005,27(2):107-111.
[12]陈博,银行信息化建设的新课题从灾难备份到业务连续性管理[J],新金融IT业务管理,2007,5:57-60
[13]JC Sekar,Frederick Sy,Henry Ee,探索BS25999国际性营运持续管理标准(BCM)[J],2008,3:36-37
[14]吕丹,金融机构的业务连续性管理[J],首席财务官,2014:66-69
[15]胡韬,谈业务连续性管理在金融领域的应用[J],办公自动化,2014,283:14-16.
[16]骆絮飞,商业银行业务连续性管理的分析与思考[J],银行家,2013:111-113.
[17]梁峰,基于过程能力成熟度模型的商业银行业务连续性管理评价体系研究[J],标准科学,2014:40-59.
[18]刘琦,基于BCM的电子政务应急管理公共服务平台[J].标准科学,2014:49-51.
[19]孙建军,成颖,定量分析方法[M],南京:南京大学出版社,2002年.
[20]COBIT 4.0,Information System Audit and Control Association(ISACA)[S].http://www.isaca.org.
[21]ITIL Version 3,翰纬ITIL Version 3白皮书[EB/OL],翰纬IT管理研究咨询中心,2007年.
黄翔宇(1987~),女,安徽亳州人,中共亳州市委党校综合教研室助教,硕士,主要研究方向:信息管理与信息系统。
Empirical Research on the Core Competence Model of Business Continuity Management Based on Combination Weighting Approach of Subjective & Objective Method
Huang Xiangyu
(Comprehensive Teaching & Research Section, CPC’s School of Bozhou Municipal Party Committee Bozhou 236800)
In this paper,from the concept of business continuity management,this paper puts forward the understanding of business continuity management and the core competence of business continuity management,and summarizes the theory of domestic and foreign business continuity management research.Based on the analysis of the basis for the implementation of the business continuity management of various industries,establish a set of suitable for the evaluation of industry to implement business continuity management ability of AHP-combination of subjective and objective evaluation system,construct the evaluation of a business continuity management model of core competence,and the example verification.The model provides an evaluation method for the inspection of enterprise business continuity management ability,the level of the business continuity management ability and the search for the best practice benchmark of the business continuity management industry.It also provides the model basis and new ideas for the development of business continuity management theory.
Business Continuity Management Evaluation Analytic Hierarchy Process Model
C931.6
A
161012-7390
