基于主客觀組合賦權法的業務連續性管理核心能力模型的實證研究

黃翔宇

（中共亳州市委黨校綜合教研室亳州236800）

基于主客觀組合賦權法的業務連續性管理核心能力模型的實證研究

黃翔宇

（中共亳州市委黨校綜合教研室亳州236800）

首先提出了業務連續性管理的概述及業務連續性管理核心能力的概念，并對國內外業務連續性管理研究進行理論綜述。建立了一套適用于評價業務連續性管理能力的主客觀組合評價體系，構建了一個業務連續性管理核心能力評價模型，并進行了實證檢驗。該模型為檢驗企業業務連續性管理能力水平、行業業務連續性管理能力水平及尋找業務連續性管理行業最佳實踐標桿提供一種評價方法，也為業務連續性管理理論的發展提供模型依據和新的思路。

業務連續性管理評價層次分析法模型

一、引言

隨著信息技術的發展，管理信息系統被廣泛運用到組織中，突發事件帶來的信息系統業務無法持續運行而造成業務中斷的現象普遍存在。因此，業務連續性管理的呼聲越來越強烈，對業務連續性管理的理論研究具有十分重要的意義。業務連續性管理已被國內各機構及學者重視并廣泛運用，我國對此深入研究較少。本文旨在構建一種核心能力的評價模型，為評價組織的業務連續性管理能力提供一個模型及量化分析方法，應用于組織管理中。

二、業務連續性管理的概念及理論綜述

1、業務連續性管理的概念

業務連續性管理（Business Continuity Management，下文簡稱BCM），不同學者、機構對其定義有不同的理解，本文理解如下：

BCM是一種整體的流程管理，通過鑒別組織的潛在威脅及威脅所造成的影響和后果，通過計劃和提供一個整體框架和管理流程來構造企業業務連續的能力，對組織突發事件進行事前、事中和事后計劃，并制定相關策略，保護組織業務和活動的正常運行。

BCM是一種新的管理理念，與風險管理有相同之處但又不同于風險管理。BCM是風險管理的補充，用于理解組織運行和業務上的風險及其后果。

BCM是一種戰略管理，在危機發生時候，使組織能更好的預防、應對、響應、恢復重建，保障組織業務和活動的正常進展。獲得獨特的風險規避競爭優勢，為組織目的服務。

BCM是一種組織文化。需要組織內部全體人員共同提高理念來完成且不斷循環向前。BCM的具體方法、措施、理念、政策、方針，都離不開以人為本的企業文化，推進BCM與企業文化建設是密不可分的，企業文化是宣傳和實施BCM最好的載體。

BCM貫穿了災難恢復、業務風險管理、關系及溝通管理、安全管理、知識管理及人力資源管理。BCM不僅僅針對災難恢復，而且包含災難準備，以備在災害發生時的從容應對。

2、業務連續性管理的理論綜述

國外研究BCM起源于災難恢復，在19世紀70年代，學者普遍認為業務中斷是由于技術上的失敗，災難恢復的首要目標是保護硬件系統。Ginn[1]圍繞災難恢復不同于連續性管理，認為災難恢復起源于保護企業數據中心的需要；90年代BCM的研究更加專業化。早期的業務連續性出版書籍把焦點關注在信息系統和保護上，如Swartz et al[2]認為業務連續性被看作是社會和技術系統的集成使組織保護更有效率，BCM不僅僅是保護組織也是創造價值增加過程。學者Ethne Swartz等[3]詳細介紹了BCM的演變歷程，BCM概念和實踐從技術角度逐漸向BCM標準化過度，并且對BCM方法進行了比較。他們提出了新舊BCM研究方法和研究方向，強調BCM從最初的災難恢復轉向新的最佳實踐、系統功能孤立逐漸轉變綜合和集成、結構呈現出新的優化、BCM所保護的對象由核心業務轉變到組織全方位的保護，組織呈現出協同關系、BCM的戰略目標由恢復原狀和內部焦距轉變為創造競爭優勢的價值鏈思想。Carolyn Castillo[4]中作者以波音公司系統為例，構建了一個集成模型，發展了災難準備和業務連續性計劃。

21世紀以來，各國BCM實踐越來越多，英國連續性管理機構（BSI）相繼頒布了BCM的標準BS25999[5]及最佳實踐[6]，隨之對BCM標準的研究逐漸增多。國內學者對業務連續性廣泛關注是在2003年以后，最近幾年世界及國內災難突發事件頻頻發生，BCM成為研究熱點。經研究，國內關于BCM的研究主要分為以下幾個方面：

（1）業務連續性管理理念的引入及災難恢復的重要性研究

BCM理論研究的第一個方面是業務連續性管理理念的引入，國內學者逐漸將國外BCM理念引入國內。如學者陳靚[6]描述了業務連續性再審計領域的重要性，強調借鑒西方ISO17799標準為金融部門服務；2006年國內出現BCM研究熱潮，類似BCM專欄研究出現，內容涉及BCM規劃管理、使命與對策、BCM實施七步驟、BCM基礎、BCM指南精要等等；普華永道系統流程管理合伙人季瑞華[7]強調了業務連續性的重要性；類似透過地震看BCM價值、BCM從概念出發等文章層出不窮，文章都基于強調BCM的重要性、概念引入、技術角度及價值重要性階段，BCM逐漸成為理論研究熱點。

（2）BCM理念的新發展

BCM理論研究的第二個方面重在BCM理念的新發展。不僅僅是災難恢復，更關注于災難準備和業務連續性計劃的制定。這種發展從被動的消極的災難恢復演變到主動的積極的災前準備，以減少不確定性發生的概率。如劉洪昌[8]在其文中介紹了制定災難計劃和災難準備的重要性，業務連續性計劃不僅僅是一個資源和需求發生災難時實施的程序，而應該植入組織中來確保組織數據整體的安全；何曉明[10]介紹了業務連續性計劃的內容和通用的實施步驟，為其他企業BCM提供了一個模式；張艷等[11]對災難備份和災難恢復等進行歸納，分析了目前主要的災難備份技術及災難備份中存在的問題。

（3）BCM的管理標準化

BCM理論研究的第三個方面是BCM管理的標準化，以標準加強和引導業務連續性管理，將BCM作為一個管理理念植入組織之中，BCM的管理標準化成為發展趨勢。如BS25999把BCM框架分為六個部分：理解組織、決定BCM戰略、開發并實施BCM響應、BCM演練、維護和評審回顧和將BCM植入組織文化[5]。陳博[12]強調了BCM能夠識別潛在危機，制定響應和業務持續恢復計劃提高風險防范能力，對銀行實施BCM提出建議；JC Sekar等[13]詳細介紹了BSI機構BS25999-2007標準框架及內容。這個階段的國內文章都強調以標準加強業務連續性管理，強調引入BS25999標準指導組織BCM的重要性。

（4）BCM的應用實踐

BCM理論研究的第四個方面為BCM的應用實踐。BCM可廣泛應用于企事業單位等各個領域，如呂丹[14]強調BCM可成為改善經營管理、承擔社會責任的基本準則；胡韜[15]提出引入BCM機制的原因，該理念已受到政府機構的重視并開始導入；駱絮飛[16]提到了當前銀行BCM的現狀及問題，并提出完善體系，加強應急演練及應急協作聯動機制的建議；梁峰[17]提出基于過程能力成熟度模型的商業銀行BCM評級體系；劉琦[18]提出將BCM運用到電子政務領域，提升電子政務業務的安全性。

三、業務連續性管理核心能力概述

因災難或組織要素變動而造成業務中斷，引起實際結果與預期結果偏離的風險的存在，即產生BCM風險。企業應對BCM風險的能力即為業務連續性管理能力，影響業務連續性管理能力的因素很多，但是業務連續性管理核心能力（以下簡稱BCM核心能力）是可以給企業帶來競爭優勢的能力。BCM核心能力定義如下：

BCM核心能力是一種整體的業務能力，通過實施業務連續性管理戰略，鑒別組織的潛在威脅及威脅所造成的影響和后果，計劃和提供一個整體框架和管理流程來構造企業業務連續的能力，及對組織突發事件進行事前、事中和事后計劃，并制定相關策略，保護組織業務和活動的正常運行的一種能力。

BCM核心能力是通過業務連續性管理，在危機發生時候，使組織能更好的預防、應對、響應、恢復重建，保障組織業務和活動的正常進展，獲得獨特的風險規避競爭優勢的能力。本文中BCM核心能力遵循BS25999框架的內容，即BCM核心能力包含災難恢復能力、人力資源管理能力、業務風險管理能力、安全管理能力及關系及溝通能力的內容。

1、災難恢復能力

業務連續性管理中一個重要的內容就是災難恢復，國外BCM研究的起源就是災難恢復，國內外學者對災難恢復尤為重視。本文將災難恢復能力作為BCM核心能力的子變量是有理論依據的，災難恢復能力涉及數據組織管理、災難恢復方案測試及制定災難恢復方案。

2、安全管理能力

安全管理的范圍較為廣泛，研究中不可能做到全面反映組織安全管理的要求，根據BS25999框架中對業務連續性管理內容的要求，把安全管理能力視為業務連續性管理核心能力的一個方面。安全管理能力側重軟硬件設施性能、數據恢復工具、制定安全管理規劃等要素，這樣使得本文研究更具有針對性。

3、業務風險管理能力

風險管理能力在BS25999框架中也被視為重要的組成部分。正確進行風險管理的步驟包括風險識別、風險因素及預防、編制風險管理計劃、風險管理計劃執行別等方面。

4、知識管理能力

“知識管理”一詞出現于19世紀80年代末。組織知識能自由流通，是否存在數據庫及信息的自由共享，組織能否具有重新學習能力，組織業務知識能力是否應及時使用很重要。本文側重企業對BCM知識的共享和知識搜集整合。

5、人力資源管理能力

BS25999中也將人力資源管理作為BCM的重要組成部分。人力資源管理是一個很廣泛的概念，在本文中的應用主要側重組織是否有專職的BCM人員、業務連續性計劃的負責人和執行人都受過良好的培訓、組織內有專門軟件和人員監測用戶對業務系統進行反饋等方面。

6、關系及溝通能力

組織參與跨團隊解決問題的能力很強、內外部溝通能力較強，才能更好的應對業務中斷，保障業務連續性管理。本文中關系及溝通能力側重跨團隊解決問題的能力及公司內外部的溝通協調能力。

四、主客觀組合賦權分析法

20世紀70年代，美國運籌學家薩迪教授提出了層次分析法（簡稱AHP）。1971年被用于美國國防部“應急計劃”，從那時起AHP法開始引起了人們的注意，并逐步應用于決策分析及管理等廣泛領域。層次分析法分為四個步驟：

1、層次結構模型的構建；

2、判斷矩陣的構造；

3、層次單排序及其一致性檢驗；

4、層次總排序及其一致性檢驗。主客觀組合賦權法即是客觀賦權法和主觀賦權法的綜合。其中，主觀評價法采用的方法如AHP法，反映的是研究變量主觀定性的分析方法，反映的是主觀偏好；客觀賦權方法采用的方法如變異系數法，反映的是研究變量數值之間客觀存在的關系。為反映主觀和客觀之間的關系，用線性加權的方法確定綜合權重，即

五、基于主客觀組合賦權法的BCM核心能力評價模型的實證研究

結合業務連續性管理領域COBIT協議[20]、ITILV3[21]、BS25999標準[5-6]及專家建議，為獲得本文的研究數據，共發放調查問卷278份，調查對象為企事業單位IT高層管理人員或信息化建設負責人，共收回有效問卷214份記錄描述性統計結果，并選取制造業、金融業、信息技術產業三個行業的45家企業進行小樣本進行實證研究，采用SPSS軟件進行數據分析。

1、基于AHP主觀賦權法評價值的計算

（1）遞階層次結構圖的構建

BCM核心能力模型包括三層，包含災難恢復能力、業務風險管理能力、關系及溝通能力、安全管理能力、知識管理能力及人力資源管理能力6個變量，第三層共包含17個子變量，各變量對應關系如下圖1所示。

（2）判斷矩陣的構造

根據上圖中第二層、第三層各個子變量的重要程度，采用1-9及其倒數標度方法，構造出兩兩判斷矩陣。

本文限根據層次分析法對BCM核心能力各層進行評價，并求得13個第三層子變量及6個第二層子變量的權重值。通過層次分析法得出第二層和第三層權重值構造的判斷矩陣如下式：

得到第二層權重值

（3）層次單排序及其一致性檢驗

由構建的判斷矩陣，計算出被比較變量對于業務連續性管理核心能力子變量的相對權重，并進行一致性檢驗，滿足下列條件：

（4）層次總排序及其一致性檢驗

接下來計算出各層變量對業務連續性管理核心能力的合成權重，對得出的權重值進行排序，并進行一致性檢驗。得到兩兩比較的判斷矩陣：

綜上，通過以上計算，得出AHP的子變量評價值結果，可直觀得出主觀賦權法下企業BCM核心能力的量化指標及行業排序。

2、客觀賦權評價值的計算

以上通過主觀賦權的層次分析法得出BCM核心能力子變量的權重值，得出BCM核心能力的評價值結果。但是層次分析法屬于主觀的分析方法，為了避免主觀因素對指標權重的影響，本文同時選用客觀的變異系數法，也就是根據各項指標值的變異程度來確定指標的權重。從而解決因主觀因素帶來的數據誤差。具體計算步驟及結果如下：

通過以上步驟得出第三層每一個指標的權重值，得出的二層指標權重值如下：

以上計算可得出不同行業的各家企業客觀的評價值及排序結果，可直觀看出客觀評價法下企業BCM能力的量化指標及行業排序。

3、主客觀組合評價值的計算

通過AHP與變異系數法的角度計算出了企業BCM核心能力的評價值的量化指標，用線性加權的方法確定綜合權重，即

對45組小樣本3大行業按照行業和組合評價法進行排序后結果如圖2所示：

從數據處理結果可以看出，金融行業和計算機行業的BCM核心能力評價值高于制造業，這與現實中的客觀現象一致。我國目前行業間的業務連續管理水平存在不平衡現象，從2004年開始，國家明確規定了金融行業、電信行業及計算機行業等需進行業務風險分析及災難恢復的要求。金融行業及計算機行業對業務連續性管理的重視度較高，而制造業業務連續性管理水平普遍較弱。

六、應用

通過本文構建的BCM核心能力模型，通過主客觀組合評價的結果和方法，進一步加以分析挖掘，可對企業戰略制定和管理作參考。

1、用來檢測BCM核心能力水平及各層次得分，評價企業運用BCM能力的水平，通過各子變量的得分，判斷自身BCM運用的薄弱環節，尋找差距和改正不足；

2、用于確定行業標桿及同行業的企業標桿。通過BCM核心能力模型，可得出不同行業評價值，進而通過數值的比較，得出行業BCM核心能力的高低，用來尋找行業標桿及企業標桿；

3、與能力成熟度模型的運用相結合，劃分BCM能力級別。本文根據問卷中的5級標準對BCM核心能力進行衡量，BCM能力成熟度的量化指標為0-5的數值。初始級區間定義為（0，2.5）、可重復級區間定義為（2.5，3.25）、已定義級區間定義為（3.25，4）、管理級區間定義為（4，4.5）、優化級區間定義為（4.5，5）。因此根據能力成熟度等級的劃分，可以判斷企業處于哪個等級層次，以及不同成熟度等級的企業應該如何改進BCM能力，從而有助于組織更好的實施BCM戰略，也為BCM的進一步研究提供思路。

[1]Ginn，R.D.“Continuity Planning：Preventing，Surviving and Recovering from Disaster”[J]，Oxford：Elsevier Advanced Technology，1989.

[2]Schwartz，H.“On the Pysical dynamics of Organizational Disaster”[J].Columbia Journal of World Business，1987.

[3]EthneSwartz，DominicElliott，BrahimHerbane，”Greater than the Sum of Its Parts：Business Continuity Management in the UK Finance Sector”[J].2003.

[4]Carolyn Castillo，“Disaster preparedness and Business Continuity Planning at Boeing：An integrated model”[J].Journal of Facilities Management.2004.

[5]BS 25999-1，“Business Continuity Management—Part 1：Code of Practice”[S]，2006.

[6]BS 25999-2，“Business continuity management—Part 2：Specification”[S]，2007.

[7]陳靚，業務連續性審計概述[J]，華南金融電腦金融，2004：57-60.

[8]季瑞華，關注業務連續性[J]，信息方略，2008，14（6）：42-44.

[9]劉洪昌，企業信息安全管理評估內容與方法探討[J]，企業論壇，2009，12：65-66.

[10]何曉明，業務連續性規劃[J]，網絡安全技術與應用，2004，12：25-28.

[11]張艷，李舟軍，何德全，災難備份和恢復技術的現狀與發展[J]，計算機工程與科學，2005，27（2）：107-111.

[12]陳博，銀行信息化建設的新課題從災難備份到業務連續性管理[J]，新金融IT業務管理，2007，5：57-60

[13]JC Sekar，Frederick Sy，Henry Ee，探索BS25999國際性營運持續管理標準（BCM）[J]，2008，3：36-37

[14]呂丹，金融機構的業務連續性管理[J]，首席財務官，2014：66-69

[15]胡韜，談業務連續性管理在金融領域的應用[J]，辦公自動化，2014，283：14-16.

[16]駱絮飛，商業銀行業務連續性管理的分析與思考[J]，銀行家，2013：111-113.

[17]梁峰，基于過程能力成熟度模型的商業銀行業務連續性管理評價體系研究[J]，標準科學，2014：40-59.

[18]劉琦，基于BCM的電子政務應急管理公共服務平臺[J].標準科學，2014：49-51.

[19]孫建軍，成穎，定量分析方法[M]，南京：南京大學出版社，2002年.

[20]COBIT 4.0，Information System Audit and Control Association（ISACA）[S].http://www.isaca.org.

[21]ITIL Version 3，翰緯ITIL Version 3白皮書[EB/OL]，翰緯IT管理研究咨詢中心，2007年.

黃翔宇（1987～），女，安徽亳州人，中共亳州市委黨校綜合教研室助教，碩士，主要研究方向：信息管理與信息系統。

Empirical Research on the Core Competence Model of Business Continuity Management Based on Combination Weighting Approach of Subjective & Objective Method

Huang Xiangyu
（Comprehensive Teaching & Research Section, CPC’s School of Bozhou Municipal Party Committee Bozhou 236800）

In this paper，from the concept of business continuity management，this paper puts forward the understanding of business continuity management and the core competence of business continuity management，and summarizes the theory of domestic and foreign business continuity management research.Based on the analysis of the basis for the implementation of the business continuity management of various industries，establish a set of suitable for the evaluation of industry to implement business continuity management ability of AHP-combination of subjective and objective evaluation system，construct the evaluation of a business continuity management model of core competence，and the example verification.The model provides an evaluation method for the inspection of enterprise business continuity management ability，the level of the business continuity management ability and the search for the best practice benchmark of the business continuity management industry.It also provides the model basis and new ideas for the development of business continuity management theory.

Business Continuity Management Evaluation Analytic Hierarchy Process Model

C931.6

A

161012-7390