如何顺利通过BCM业务连续性管理审核

　用于各类BCM（业务连续性管理）审核的方法，审核对业务连续性规划者的影响，业务连续性预案的常见不足，最后展示了一张路径图，展示了做BCM审核需要做哪些准备。

　　业务连续性管理审核的定义

　　广义的审核指，对人、组织、系统、流程、项目或产品的评估。业务连续性管理审核是对业务连续性管理，或内部、外部独立部分所做的单独评估。

　　审核员的类型

　　审核员包括内部审核员、外部审核员、合规性审核员。

　　内部审核员是对内部控制系统进行评估的公司员工。一份业务连续性预案被视为内部控制系统的重要组成部分。为了保证其独立性，进行评估的员工会把报告直接交给董事会或行政管理层。外包审核员是审核公司的员工，由他们独立地评估客户的财务状况或其它协议上的评估内容，如公司业务连续性计划的IT审核。 合规性审核员通常是来自监管机构的检查人员，比如FFIEC, FERC, DHS/FEMA, JCAHO/HIPAA，和其它行业类型的监管机构。

　　为什么要做BCM审核

　　有许多原因支持我们去做BCM审核。这个审核可以由内部审核部门发起，也可以由外部如监管机构引发。外部审核发起的原因多是由于监管机构的监管要求；内部审核多是由于由于突发事件或某项测试结果的验证通常都需要进行审核。

　　通过BCM审核，可以获得不少好处：审核可为BCM程序提供一份独立的评估及关于这一程序优势、不足的分析，找出高风险点，并且提供相关的缓解策略。审核结果应当包括如何提高BCM的建议和”最佳业务连续性实践“的鉴定。

　　BCM审核的标准、指导原则和框架

　　BCM的规划者会向审核员咨询一些审核方面的问题，如：业务连续性审核采用什么标准以下是制定过程中会使用的一些业务连续性管理标准、指导原则和框架：

　　国际灾难恢复协会（DRII）

　　国际业务连续性协会（BCI）

　　COBIT-信息及相关技术的控制目标

　　ISO 27000系列

　　BS25999（英国标准协会）

　　各国法规和监管条例

　　法律和监管要求

　　业务连续性管理的规划者和审核人都应该熟知相关法律标准、法规，和制定规则的机构。

　　健康保险流通和责任法令（HIPAA）--保护医疗记录和其他健康信息。

　　国家安全部和联邦应急管理署（DHS/FEMA）--联邦连续性指示1、2中介绍的制定操作连续性方案的指导原则。这些指导原则在联邦行政部各层面都适用，对州政府、地方政府、区政府、部落政府也都是有用的。

　　国家标准与技术研究院（NIST）--发布的”信息技术系统连续性规划指导原则“，为IT连续性规划提供操作指南、建议和需要考虑的几方面因素。

　　联邦金融机构检查委员会（FFIEC）--为金融服务行业提供关于业务连续性规划重要性的指导原则。

　　联邦能源管理委员会（FERC）--管理各州之间的电力、天然气、石油交易。

　　2002年的萨班斯-奥克斯利法案--要求企业管理层和外部审核人员能够完整地报告公司的财务呈报内部控制（ICFR）。业务连续性管理是内部控制的一个重要方面。

　　BCM审核的范围

　　清楚了解BCM审核的范围是什么有助于更好的准备审核材料，更快速的通过审核。具体范围包括以下几项或全部：

　　业务连续性管理程序及原则

　　业务连续性管理、IT灾难恢复预案、业务单元/组的业务连续性预案

　　支持预案（如，应急预案、危机管理预案、流感预案和其他）

　　业务影响分析、风险评估、恢复策略、预案设计、培训、演练或包括所有这些阶段

　　单点故障（单个因素、组成部分、系统、设备、提供某项服务的关键人员--可用性是避免单点故障的连续性规划的一个方面）

　　业务连续性管理的角色和职责

　　业务连续性管理软件

　　预案的可用性和及时更新

　　预案维护和更新情况

　　预案的测试演练和测试情况

　　BCM审核的关注点和要点

　　以下是BCM审核人员可能会关注的一些要点

　　风险评估--BCM审核人员会审核风险评估的结果和评估流程，借以检查该风险评估的完整性。他们还会询问风险评估采用的方法，问题可能涉及：威胁和弱点分析、物理和环境安全、备份、单点故障。

　　业务影响分析--BCM审核人员会审核业务影响分析的结果和分析流程，借以检查该业务影响分析的完整性。他们还会询问业务影响分析采用的方法，审核中会检查：相关人员的介入、恢复点目标（RPO）、恢复时间目标（RTO）、资源优化、潜在损失和相关性。

　　业务连续性管理框架和说明书--在一份业务连续性预案中，有效的说明书和流程设计是极其重要的。制定一份预案需要大量的精力和时间。但是，很多预案还是很难执行，而且很容易过期。一份组织严密的业务连续性预案直接影响企业的恢复能力。

　　BCM培训--培训是完成BCM的重要方面。所有的员工都必须知道他们在BCM体系中的具体角色，以及如何履行他们的职责。专项培训对维持、执行、测试业务连续性管理是必需的。

　　业务连续性测试及演练--预案必须有规律地进行彻底的测试、演练和评估（至少每年一次）。测试预案的流程也应写入测试预案。测试和演练可以保证所有必要步骤都包含在预案中。BCM审核人员会检查BCM原则中测试职责和要点的描述。另外，他们还会检查测试预案、参与人员、测试文档等。

　　业务连续性管理的维护--BCM审核人员可能会检查维护日志、维护原则和流程、维护的角色和职责、更新频率、预案的分发和方式。

　　最常见的BCM不足

　　最常见的BCM预案不足如下：

　　有业务连续性管理预案，却没有业务连续性管理原则说明。

　　一些企业没有对各种预案进行有效整合。比如，应急预案或危机管理预案没有与业务连续性管理预案进行合理整合。当需要执行多个预案时，就可能导致混乱。

　　一些企业已经制定了完整的业务连续性预案，但是没有明确规定维护预案的人员角色和职责，这带来的后果是业务连续性预案会很快过期。

　　业务连续性管理可能缺少培训和相关知识的共享，过分依赖少数几个人，会导致无法完全按照预案执行。

　　许多企业都进行测试和演练，但其它方面的测试很少。当需要启动预案时，同样会带来问题。

　　在一些企业，IT专家负责业务影响分析，在没有相关人员参与的情况下就决定优先发展哪些方面。虽然IT专家通常很了解业务流程，但是缺少相关人员的参与可能导致不正确的恢复点目标和恢复时间目标。

　　许多企业在变更管理过程中没有包括业务连续性管理，这会导致系统在没有恢复策略的情况下运行。

　　顺利通过BCM审核的要点

　　以下建议将帮助企业顺利通过审核：

　　了解审核的范围和内在标准

　　确保所有的业务连续性管理文档是最新的

　　确保业务连续性管理各阶段都被执行过，并且写入文档

　　确保有足够的业务连续性管理培训和支持文档

　　确保预案已经经过演练，也已完成文档补充

　　与业务连续性管理审核人员一起工作，而不是对立

　　从业务连续性管理审核中获得有价值的东西