企业制定和实施BCM战略的过程中，一个很容易忽视的重要问题是，如何确保BCM战略在执行过程中的可靠性和质量？按照国外先进经验和有关专家的研究结果，开展BCM审计与控制是重要的措施。

　　防范业务活动受到“侵扰”、保障其持续运行，是企业、组织机构的根本策略。面对可能存在的灾难风险，企业必须准备一套应对灾难的业务连续性管理（BCM）措施。

　　虽然目前一些企业通过购买商业保险的方式，来弥补天灾人祸带来的财产损失，但保险公司从自身经营的角度出发，也会要求企业在可能遭遇重大灾难威胁时，要采取一定的措施保护财产，实施自救，并要求事前制定灾难恢复和业务重建计划。在BCM日益得到重视的信息时代，这是企业管理者的责任。

　　然而，在企业制定和实施BCM战略的过程中，一个很容易忽视的重要问题是，如何确保BCM战略在执行过程中的可靠性和质量呢？按照国外先进经验和有关专家的研究结果，开展BCM审计与控制是重要的措施。

　　BCM：既是业务需要，也是法律要求

　　BCM是一门领会企业业务精髓、确定企业发展中生死攸关问题的学问。为了确保BCM在危机时得以有效执行，需要对BCM涉及到的流程、人员、组织架构、措施、物理设施等方方面面进行测试和演练，这就意味着从危机应对到业务服务全面恢复的各个方面，都需要进行细致、反复的检查，也意味着每个参与者都必须懂得在困难和面临威胁的情况下自己应该做什么。

　　BCM常需要考虑的关键信息包括：

• 了解组织主要的业务需求，把握关键业务，制定合适的BCM策略。 
• 经常审视与辨别企业的薄弱环节，如设备、业务流程、人员安排等。 
• 明确所依赖的人和设施，如供应商、设备与系统、服务、客户和股东等，并确认“维护”这些关系的优先顺序，以及这些关系对业务恢复可能提供的支持能力。
• BCM是企业组织管理的组成部分，必须提供必要的承诺、资源。 
• 对BCM程序不断进行演练。

　　不难理解，BCM是当今信息时代企业业务发展的必然产物。随着市场竞争环境日益复杂，企业业务数量不断增长，以及IT技术的大量应用，企业业务运营所依赖的基础设施的复杂性与日俱增。伴随这种复杂性的增加，是企业对业务支撑环境的依赖性增加了，而且业务运行的潜在风险也增大了。有鉴于此，企业一旦面临灾难事件，对客户、公众、合作伙伴的影响也大大增加。

　　特别在美国9.11事件之后，国外以金融机构为首的行业，已开始必须面对关于BCM的新的、严格的规定。如意大利2004年1月1日起实施的《个人资料保护法》，就要求对业务连续性和灾难恢复进行高等级的重视。

　　2003年7月，欧洲中央银行系统（ESCB）和欧洲证券管理委员会（CESR）发布了题为“欧盟评判结算和清算系统标准”，包括许多关于金融机构BCP的建议。例如：应建立业务连续性计划和备份设施，以在合理确信的程度上，确保业务及时恢复到高度完整性和足够的能力；应定期以及在对系统做出重大变更后对业务连续性和灾难恢复安排进行测试；应有充分的危险机构架构和联络清单（本地级和跨国界级），以有效并及时处理可能造成本地或跨国界系统后果的操作故障。

　　2003年7月，巴塞尔国际结算银行委员会发布了其电子银行准则，强调银行应确保业务续性和灾难应对规划进行定期的独立的内部和/或外部审核。

　　因此，学者Agatino Grillo在其《商业连续性计划中的信息系统审计》中指出，“BCM不单单是企业需求，而且在逐渐变为法律需求。”

　　审计是BCM的一部分 　　

　　作为“按需变化”的危机管理过程，BCM的目的在于危机真的出现时，确保企业业务能够得以延续。这些危机可能来自外部环境（例如电力中断）或者来自组织内部，例如对系统的蓄意破坏或意外损坏。

　　值得指出的是，国内在讨论BCM时，很大程度上把BCM等价于IT领域的数据备份与恢复，这是非常有害的。11月9日在北京召开的“第二届中国BCM高峰论坛上”，众多学者对此达成了一致的看法，即BCM并非仅仅考虑IT系统的灾难恢复，重要的是业务恢复（见《中国计算机用户》的有关报道）。

　　因此，广义的BCM审计，应该涉及对BCM多方面在合规性、有效性和效率方面进行定义和评估。如BCM的体系、业务流程和IT架构等。

　　BCM审计范围，也不仅局限在组织内部的某个部门的某个方面，而是涉及部门与部门之间、甚至组织与组织之间的相互提供服务的各种因素中。如常常容易疏忽的BCM与执行人之间的“接口”部分，类似培训支持、行动回应能力等。即是对BCM“执行力”的审计与控制。

　　由于IT系统在业务中地位日益提高，对BCM的影响举足轻重，因此，BCM审计与控制更多是侧重BCM的信息系统审计。

　　BCM中IT审计的演变 　　

　　信息系统审计（ISA）是对公司的信息技术（IT）进行分析，以可计量的控制等级确定潜在关键区域和风险的过程。在国外，信息系统审计日益成为确定IT系统在企业业务领域是否发挥作用、如何发挥作用的有效方法。

　　以Francisco-Jose Martinez-Lopez为首的西班牙学者，分别在1992年和2002年，对851家企业进行了IT安全与审计方面的研究。结果表明，1992年起人们对计算机安全就比较重视了，但在一些大公司里，应急计划和BCM方案几乎是不存在的。与之相似，IT审计也和计算机安全差不多，只有26.12％的公司进行了审计。

　　然而，10年后情况发生了重大的变化，应急方案的实施与IT审计无论在公司数量上，还是认识上，都发生了变化。绝大多数的大型企业和金融机构都开始重视BCM，除了大型企业以内部人“自审”的方式进行IT审计之外，金融机构则是外请审计机构的专业人员开展这一工作。企业对于IT审计给予了越来越多的重视。

　　两大标准“守卫”BCM 　

　　ISO/IEC标准17799和COBIT是信息技术安全两大实践框架，分别侧重信息安全和IT审计，两者共同为BCM要求的安全策略奠定了基础。

　　COBIT（信息和相关技术控制目标）是一种参考框架，是建立对企业的信息技术和信息系统进行内部控制的方法基准。COBIT以信息审核系统和控制基金会（IASCF）规定的控制目标为基准，并使用国际技术、专业、监管和行业标准为基准进行编制。

　　在ISO标准中，最终的控制目标被视为是“最佳实践”，即它们得到专家的同意、适用且被广泛接受、用于任何公司的信息系统。COBIT和ISO17799都趋向于成为实用标准来满足企业需要，同时独立于该组织使用的其它架构平台。

　　COBIT不但可供“用户”和“审计师”使用，而且更为重要的是，还可作为业务流程拥有人（即流程主管）的一般“检查清单”。对于现在的公司来说，给业务流程拥有人分派了越来越多关于业务流程各方面的责任。特别是，这包括提供适当的控制和工具，以帮助其履行责任。

　　COBIT提供了更多控制目标（组织目标和技术目标），对于建立组织的信息控制系统，这些目标比ISO17799标准提供的目标的适用性更为广泛。ISO17799标准更倾向于控制对象的技术方面。附表提供了两者在构建BCM安全基础方面的差异对比。

　　可以看出，COBIT指定的控制目标更贴近组织，而相应的ISO标准更贴近这些目标的实施。设计和开发组织的BCM政策时，需要结合这两个标准各自的优势。

　　COBIT结构 　　

　　COBIT结构基于这样一种前提，即，为了提供一个组织为实施其业务目标所需的信息，其IT资源应通过一组自由组合的流程进行管理。COBIT是三层结构（域、流程、活动或任务），最上层有4个域（规划和组织—PO；采购和实施织—AI；交付和支持织—DS；监控—M）。中间（处理）层有34项控制目标，最底（任务）层有318项详细的控制目标。它还为34项高层控制目标的每一项提供了审计指南，以将对该组织现存的IT流程的审查与建议的详细控制目标相匹配，提供管理保证和/或改善建议。