联邦应急管理局将韧性定义为"个人、社区、企业、机构及政府适应变化环境的能力,以及为应对日常生活中各类干扰(如灾害事件)做好准备、承受冲击并快速恢复的能力"(来源:联邦应急管理局,2017年)。针对所有灾害的韧性建设,应成为保护组织、员工及资产免受潜在损失的核心要务。
以下近期统计数据有助于说明当前的风险态势:
-
2022年,因火灾、洪水和飓风造成的损失超过1650亿美元。
-
对某些人而言,100%的企业都受到新冠疫情影响或许不足为奇。疫情带来的影响包括员工工作模式的改变、疫苗接种要求以及工作环境的转变。
-
2022年,美国发生了300多起活跃枪手事件。
-
根据研究,到2025年,网络犯罪造成的损失预计将攀升至10.5万亿美元。
保护员工和组织的第一步是做好准备。为制定业务连续性响应和恢复计划,风险评估对于理解组织可能面临的威胁至关重要。
什么是风险评估?
风险评估是一种识别所有威胁与危害的方法和工具,旨在帮助企业更清晰地了解当灾难发生时,哪些业务领域最可能遭受最严重的影响。这些危害将根据对组织造成的影响程度和发生概率进行分级排序。在实施风险评估时,专家通常会提出以下常见问题:
-
该事件发生在我们组织中的概率是多少?
-
如果发生这种情况,会造成多大的中断?
-
若此威胁影响我们的业务,我们具备哪些应对能力及缓解措施?
-
我们是否已全面考虑过所有类型的威胁(人为影响、供应商、技术、供应链、自然灾害)?
为什么贵组织现在就应该建立风险评估机制?
贵组织每年进行风险评估至关重要。 通过风险评估为潜在风险和业务中断做好准备,可帮助企业避免资金损失,甚至更严重的永久性停业。当企业因业务中断导致停工时,可能面临更高的损失风险。这些损失可能包括但不限于资产、员工、业务收入和客户流失。同时必须优化恢复时间目标(RTO),以应对业务中断可能造成的损失。
风险评估是发现漏洞、评估业务连续性计划有效性的绝佳工具。该领域的专家希望组织采取全灾种应对策略,通过梳理可能面临的潜在风险与途径,从而主动出击并为恢复行动做好准备。 全危害方法是"一种综合性的应急准备规划方法,侧重于构建应对各类紧急事件或灾难(包括内部紧急事件、人为紧急事件(或两者兼有)以及自然灾害)所需的关键能力与资源"。——来源:美国联邦医疗保险和医疗补助服务中心,2017年
此外,每年更新风险评估有助于组织避免产生误解。常见的误解包括:
-
我们不需要计划,因为我们的保险涵盖了损失。
-
现实情况:务必仔细研究保险条款并咨询保险公司,以明确了解保单的具体承保范围。多数情况下,保险公司不会对特定风险造成的损失提供100%的赔付。
-
-
我没有时间制定计划。
-
现实情况是:风险评估和业务连续性计划常被从项目时间表和预算中削减。当事故和中断发生时,大多数未制定连续性计划的组织都会表示,他们希望当初能将其列为优先事项。
-
我该如何着手构建风险评估?
开展风险评估的方法和途径多种多样。首要原则是研究企业可能面临的威胁。研究可借助地理信息系统(GIS)工具、灾害地图、统计数据、基础设施规划等多种工具。
完成研究后,编制一份清单,并根据事件发生的概率及其对业务的影响程度对风险进行分级排序。
我还能使用哪些其他资源?
投资软件:许多公司都提供能为您的组织评估和梳理威胁与风险的软件工具,例如Preparis Planner。这些软件工具是极佳的资源,且使用起来毫不费力。
聘请外部顾问:该领域的专家经过专业培训并持有资质认证,能够为各类组织和机构开展风险评估。借助专业人士的外部视角,可确保全面识别潜在威胁与风险隐患。此举还能为组织节省风险评估所需时间,避免占用其他项目和优先事项的执行周期。
进行手动风险评估:风险评估有多种方法,例如优先级排序系统和热力图法。优先级排序系统基于概率和影响程度,采用数字体系对威胁与危害进行分级排序。热力图法则根据概率和影响程度将威胁绘制在矩阵上,并通过颜色进行分类(红色=高风险;绿色=低风险)。
掌握对企业构成潜在威胁与危害的研究及优先级排序,将有助于强化组织的业务连续性计划。对员工进行培训和教育,使其了解组织可能面临的威胁,对于提升团队协调与沟通至关重要。
归根结底,韧性是企业与组织应当努力实现的目标,而风险评估正是通往韧性之路的第一步。
编者按: 本文章最初发表在 Preparis 业务连续性软件网站上。2024 年 10 月,Mitratech 收购了业务连续性规划和应急响应解决方案的领先供应商Preparis。对内容进行了更新,以反映 Mitratech 扩大的产品范围、行业进步和监管动态。
