构建业务持续的方法论

　　一个企业近期的工作和长远利益永远是有某种矛盾的，而这种矛盾事先不可能全认识到。这种情况下，需要一种方法论来应对眼前工作和长远发展的矛盾。

　　2013年12月27日中国标准化管理委员会发布了《公共安全业务连续性管理体系要求》国家标准。业务持续管理已经会成为了国际惯例。同时，网络信息安全已成为影响国家大局和长远利益并亟待解决的重大关键问题。在互联网背景下，在全球经济一体化的进程中，研讨、推广实施业务持续管理（BCM），推动、加快公共安全体系的建设具有十分重要的意义。

　　近日，《信息方略》记者就有关业务可持续管理、企业顶层设计等问题，访问了中国人民大学信息学院陈禹教授。以下是经过编辑的对话。

　　CIOI：BCM和信息化有什么关联和区别？

　　信息化是一个大的变革，这个事情需要从长计议，而且方方面面都会涉及到。最近中央成立了网络安全和信息化领导小组，过去咱们国家最早的领导小组叫“计算机和大规模集成电路领导小组”，后来开始提信息化、电子商务的概念。这次这个名字很有意思，网络安全和信息化领导小组，为什么把网络安全放在这个前面呢？是一个当前的重点。所以我觉得这个名字这么起，确实有很值得琢磨的地方。为什么起这个名字，考虑的全局是什么，当务之急是什么。

　　如果这么理解领导小组成立的意图，我想就看到中央把网络安全放在非常突出的位置，放在信息化建设之前，可以说是一个最集中、最关心、当务之急的问题。如果作为一个大的、整个社会变革来说，信息化是在信息技术推动下的社会变革，整个的非常大的社会变革，所以我们的外交、文化、中宣部都参加了这个领导小组。

　　但是，在这个过程当中必然会产生新的这些技术和生产力，和我们传统的管理体制、管理理念、生产关系的种种冲突。这种冲突和矛盾现在咱们在方方面面都看得见。而现在，这个矛盾点集中在安全领域上。

　　用比较时髦的话来说，一个是所谓的顶层设计，一个是所谓的BCM。所谓顶层设计就是协调各种利益冲突集团的关系，合理的协调。所谓BCM就是协调远期利益和远期利益。

　　CIOI：业务持续的概念可以跟IT持续划等号吗？

　　IT持续不等于业务持续，但是国内普遍把业务持续重任放在IT持续上，花很多钱做很多事都围绕IT持续在做，也是一个盲区。所以很多时候我们发现投入很大见效甚小。原因很多，比如一家银行行长开车过来发现一个支行排队很长，说那里网络断了，行长急了，你们怎么不能让客户再走五百米去那个支行。业务持续很多方法很简单。

　　第二个例子，很多银行做业务紧急变更，对IT持续关注很多，但是拥有的变更，全国出现大范围问题，比如地震的时候出现捐款问题，很紧张，都在改，三天以后才能上线测试。一纸令下到所有柜台需要多长时间？最快一个小时。为什么不能换一个思维，告诉所有柜台给灾区汇款不要收钱，晚上再平帐？

　　CIOI： 在您看来BCM主要目的是解决企业的什么问题？为什么信息孤岛的问题解决不了？因为这是一个冲突。再说得大一点是观念的转变，体制也好制度也好、技术也好最后能不能用起来都是人的问题。一个是全体工作人员，一个是一把手，就是这样的观念。

　　有次我在一个会上说到所有权，所有权、所有制这套是工业时代留给我们的管理体制。今天这个情况下要冲破它、改革它，既要有体制改革又要有关联改革。作为在学校工作的人，我更关注的是关联改革。对于网络安全和信息化这件大事，民众的观念转变很重要，但如果国家机关的相关业务领导能真正从思想上领会一下中央现在的意图，这件事情就非常有意义了。如果能够结合相应的国家标准，来实实在在推动、推广的话，是功德无量的事。

　　CIOI：在您看来BCM和应急是怎样的关系？

　　我的理解这两个有联系，但不完全是一回事，BCM强调的是一个方法论。也就是说，应急主要解决的是意外的中断，或者被破坏，不管自然原因还是人为原因。BCM是认识到在管理过程中，总有一些东西事先没想到。一个企业近期的工作和长远利益永远是有某种矛盾的，而这种矛盾事先不可能全认识到。这种情况下，需要一种方法论来应对眼前工作和长远发展的矛盾，要有一个方法论。这不是让别人破坏自己，而是自己要认识到业务本身由于事物复杂性必然会出现，不能说今天做事都很聪明，也许半年以后发现今天干的是一件蠢事。所以需要有BCM这样一个理念。我想说明一下，这两个事是有联系，但是有区别，一个是应对冲击，一个是应对不确定性和眼前工作和长远利益的不可避免的矛盾。

　　CIOI：能否举例解释一下BCM作为方法论的涵义？

　　BCM是无处不在的，并不是企业、制造业才有BCM，个人也有BCM。举一个简单例子，坐电梯的时候有一个提示着火的时候不要乘坐电梯，真正发生突发事件的时候首先逃命，只有人在火灾之后才能继续做我自己的工作。至于你钱包里带几千块现金、几十万现金的区别，这就是BCM里的风险评估。刚才说BCM是一种方法论，企业做年薪考虑的时候都有一套方法论。首先要做BCM，接下来是范围，对业务做影响分析，识别哪些业务比较关键，做风险评估，评估关键风险点在哪里，怎么样做计划规避风险。计划是先一次性到位，还是分期分批逐步实现，这就是一套方法论的重要组成部分。后面还有确定目标以后要做实施，这个实施里包括一些案例，还有预案的开放工作。这些工作都做完以后要通过演练检验有效性。

　　有效性完成以后还后续的维护。当业务发生一些变化，或者在业务恢复预案里、应急管理组织架构里一些关键人物的变动，要对预案做更新，预案办法里有这样的指导。所以我想说得就是实际上BCM是无处不在的。

　　CIOI：您怎么看待BCM的顶层设计？

　　之所以要提顶层设计，就是不要把所有细节都规定，你只去做最高层的群体利益之间协调，这就是顶层设计的意思。所以如何把自下而上、自上而下两种方法作为一种绝对对立来看，本身就是一个形而上学的看法。任何时候自下而上、自上而下都是，用索罗斯的话讲，“所有的两极对立都是我们自己造成的。”

　　但是我并不是说我们，或者讲理论上的自组织和被组织，自下而上、自上而下永远是对立主义的东西。这个东西怎么说呢？古人说治大国如烹小鲜，意思就是说这个火候是非常重要的，高层领导要考虑这个问题的。有制度利益，把个体利益强调为绝对的自由主义，实际上害的是自己，西方国家现在已经面临这个危害。

　　但是我很赞成这样的观点，每个复杂的事物都是分层次的。说分层次的话，企业对国家算下，那么企业对员工算上吧？这上下本身就是相对的。所以这种情况下任何一个复杂系统，要能稳定的运行，绝对是这两者的协调和平衡。

　　还有一个非常重要的问题，就是规划。按西方管理学观点来，商务计划里的第一步是市场分析。按照道理，规划制定之前，应该去了解现在的90后、00后真正的需求是什么，然后回来把这些东西作为网络主体意见变成整个意见。但我们的规划往往是由专家制定的，专家基本上没有真正的深入下去做这样的步骤，而是凭他的想象。

　　这些年，我们跟一些国外咨询机构合作，发现他们有一整套自己的方法论，他们有统计分析论，类似多轮矩阵分析方法等等，有很多方法，但是我们的方法就是请几个专家，认为这些专家对这些问题很了解了，实际上他们不了解。所以我说，关键是改变方法论。

　　赫伯特· 西蒙的书里最后一章讲“没有最终目标的设计”。得到的结论不是不要规划，而是改变方法论。信息时代不能再用工业时代规划方法来做。

　　王婉卿

关注读览天下微信， 100万篇深度好文， 等你来看……