【TechTarget中国原创】Abe Wachsman是亚特兰蒂斯保健计划公司IT部门的高级副总裁，他在给公司高级管理层展示可靠的业务连续性计划的价值时不会有任何麻烦。但是，这是在总部位于曼哈顿的卫生保健管理公司在七年内受到两次大灾难的袭击之后才出现的情景，当时该公司还不成熟。9.11恐怖袭击和2008年的火灾迫使该公司进入长达六个月的临时停滞期。第一起事件迫使亚特兰蒂斯保健公司就灾备事项求助于美国宾夕法尼亚州韦恩的SunGard Availability Services LP公司。现在，Wachsman正在“给我们的流程中增加防弹保护装置”，给该公司的系统多增加了“更健壮的一层冗余层”。

　　Wachsman说：“如果你曾经考虑到会发生类似情况（的灾难），你就不会有认为我们做业务连续性和灾备是为了满足一些抽象需求的心态。我们这么做是为了确保我们的企业可以继续存在，因为业务有价值。”

这是CIO们的痛苦之源：你如何做才能在事故发生之前令高级管理层认识到业务连续性计划的价值？除非该公司处在一个规定需要连续性计划的行业，或者是类似金融服务这类停机事件直接代表着损失金钱收入的行业，业务连续性计划对许多CIO们和他们的业务连续性主管来说，仍然很难推行。

　　现在，研究咨询公司Gartner的风险专家研究顾问主张，他们已经无意中发现了一种新方法，这种方法会与有助于通过映射公司关键效能指数（KPI）和关键风险指数（KRI）之间的关系来帮助证明业务连续性的价值，也就是Gartner提到的“可用性风险”。

　　业务连续性是对推销能力的挑战，Gartner的分析师Roberta Witty与同事Paul Proctor和Michael Smith合作出版了描述该新方法的报告，报告中提到：“因为业务主管没有认识到可用性风险信息的价值，或者它们（可用性风险与业绩）的关系”。她说，除非业务主管理解风险事件与日常的经营绩效有什么关系，否则他们不会在适当缓解控制方面投资，直到灾难袭击之后，对他们业务运营产生的负面影响变得十分明显时，他们才会重视。

　　Witty与她的同事写到，把业务连续性关键风险指标与企业的关键业绩指标相关联，首先要知道与哪种度量措施有关。例如，财务结果是公司业绩的基本度量，而且它们（财务结果）表达的是公司现在做的有多好，而不是它将来会做多好。所以，它们是滞后信息，对业绩没有导向和指引作用。要开发良好的关键业绩指标，企业需要理解它自身业绩的驱动力。

　　按照Gartner的观点，业务连续性良好的关键风险指标应该是简单的，可度量的。关键风险指标应该与风险（特别是那些公司风险和直接影响多个业务绩效指标的风险）保持一致。按照Gartner分析师们的观点，优秀关键风险指标的一个典型就是由于关键IT人员的损耗，离职等原因导致的关键任务丢失。知识的丢失和那些事件带来的工作空间缺口使得风险等级提升了；这会接着导致关键任务的故障停机，这是IT业绩的一个关键度量指标。例如：业务连续性主管需要弄清楚该关键风险指标如何影响该公司的关键业绩指标及时达成，而不是把停机作为不能满足IT部门服务标准的协议。

　　当然，映射优秀关键业界指标和优秀关键风险指标之间的关系，是以假定该公司已经识别出了这两种指标为前提的，Gartner认为这是一个重要条件。美国宾夕法尼亚大学沃顿商学院的一份研究报告指出，在财富1000强中只有23%的机构定义并有效使用了关键业绩指标。Gartner分析师建议：“在缺少关键业绩指标的情况下，风险领域主管们应该建立他们自己的风险集。”他们的报告提供了与业务连续性有关系的关键业绩指标和关键风险指标的样例。

　　Gordon Haff是位于美国新罕布什尔州纳舒厄得Illuminata公司的首席IT分析师。他说，把连续性风险与业务业绩关联，而不是与IT业绩关联的思路并不是什么新想法，而是简单的常识。他说：“当然，你是在营业期讲！”

　　Haff补充说：“也就是说，这是一件说起来容易做起来难的事。因为事实上IT人员往往了解IT行为对IT形势的影响。他们不必在业务层面对那些翻译的东西有良好的理解。

　　这个问题不是简单的语言问题。IT风险与企业业务业绩之间的关系是很复杂的。Haff说：“我们可以谈论系统故障停机时间。要把它转变为应用停机时间要经过一条间接途径，而要弄清楚它会影响多少美元业绩则还要经过间接的一步。”

　　Haff还认为掌握业界基准业绩水平的关键业绩指标也很关键，但是，他说，“我们不能预期IT部门掌握他们公司的供应链（以此为例）按业界业绩来考察是好，是坏，还是中等。”如果企业需要一个更好的供应链，那不一定是IT机构的工作。他补充道：“CIO必须更是一个业务人员，但是在某些程度上，需求需要从业务单元传来。”

　　波顿集团公司分析师Ramon Krikken认为，有意义的指标对于向高级管理层演示业务连续性计划是很重要的。然而，如果业务的关键业绩指标有时很难得到正确数据的话，要得到准确的关键风险指标数据就更难了。业务连续性风险缺少数据（一致的数据）。

　　Krikken说，如果灾难事件是飓风或者地震，或者一些其他自然灾害，风险分析是相当简单的，因为这些随机事件发生的可能性是有数据可循的。然而，要开始分析向黑客攻击或者心怀不满的员工破坏这类少见的威胁（这类威胁还没有有意义的数据可循），从过去事件预测将来的能力就很弱了。要想计算合适的投资来转移这些风险，就算不是不可能，也是很困难的。

　　Krikken说：“如果我们讨论的都是地震或者电力系统故障，那就都是一回事了。更困难的问题是在我们没有准确数据的地方。放在一群希望公司出问题的人群中，等式变化就很大。你现在不是有两个变量，而是有30个变量，但是我们不知道他们如何关联。”问题是，到底什么是正确的指标？