近期，一家制造企业因一场火灾而陷入停顿，并濒临倒闭。由于企业的冗余不足，并缺乏灾难恢复计划，且供应链缺乏灵活性，以至于该企业难以维持运营。这是一个令人警醒的教训，让我们意识到企业需要具备韧性，并具备快速适应不断变化条件的能力。

当今的商业环境充满了不确定性。全球竞争、技术颠覆、经济波动、地缘政治威胁和公共卫生危机使得企业必须提高韧性和适应能力才可以生存和发展。但是，哪些具体的属性有助于企业韧性和成功呢？企业如何有效衡量这些因素，用以指导战略和转型工作？

定义企业韧性和成功

韧性指的是在面对逆境时能迅速适应而不会造成重大功能损失的能力。有韧性的企业在应对突发冲击(如自然灾害)和适应市场变化或技术变革时表现出敏捷性。印第安纳大学(美国印第安纳州)运营管理学教授Rajesh Sriastava指出：”韧性使组织能够从容不迫地应对中断，而不是被中断所困扰”。真正的韧性涵盖了企业的领导力、文化、员工、流程和技术基础设施。它植根于多样性、冗余性、协作性、情景规划和分散权力等属性。领导力解决方案咨询公司的首席执行官(CEO)唐娜·哈姆林(Donna Hamlin)表示，企业必须进行“广泛的转型并将韧性嵌入其DNA中”。韧性企业是指能够快速适应和响应环境中的突然中断和逐渐变化，而不会失去性能或能力的企业。韧性使企业能够最大限度地减少停机时间，并在遇到冲击或压力时继续为客户提供服务。

成功的企业能长期实现其战略目标和业务目标。衡量成功的标准包括盈利能力、市场份额、品牌实力和客户满意度。持续的成功需要根据不断变化的条件保持敏捷性和持续改进。

韧性与成功息息相关。韧性可以增强企业从挑战中快速恢复的能力。这种适应性使企业能够长期保持高绩效，即使情况发生变化。在动荡的商业环境中，韧性是持续成功的必要推动因素。

富有韧性的成功企业的关键属性

研究表明，富有韧性的成功企业在领导力、员工、流程、技术和文化五个维度上表现出共同的属性。这些属性包括：

领导力

• 富有远见和适应能力的领导力风格——领导者采用灵活、前瞻性的思维方式，引导企业着眼于长期成功。他们将变化视为机遇，并随着情况的发展迅速调整战略。

• 分散决策权——与自上而下的集中式决策不同，整个企业的管理人员都有权根据当地情况快速做出决策。这可以实现敏捷反应。

• 主动风险管理——领导者在危机发生前实施持续流程，以识别、评估和缓解整个企业的风险。这可以提高准备程度。

• 强大的外部导向——领导者时刻关注外部环境中的新兴趋势、创新和发展。这有助于他们预测市场变化并尽早发现威胁和机遇。

员工

• 多样性和包容性——多样化的观点、背景和专业领域使企业在适应不断变化的形势时拥有更强大的洞察力和更大的创造力。

• 开放的沟通与协作——打破职能孤岛，鼓励整个企业的团队合作、信息共享和新想法的产生，从而提高韧性。

• 授权——将权力适当授予至一线员工和团队，可以提高他们响应客户需求和市场需求的能力。

• 投资于能力建设——招聘新员工以及培训和发展现有员工可以扩大企业可用的人才和技能，以应对新挑战。这包括建立领导力渠道。

流程

• 网络化流程--跨边界连接员工、数据和系统的工作流程打破信息孤岛。这使得对中断的反应和协调反应更快。

• 分析和自动化—利用数据、算法和人工智能(AI)来优化流程，降低风险、改善决策并加快响应时间。

• 供应链集成—与供应商和分销商协作和共享数据，提供可视性的端到端供应链。这提高了企业对供应中断的抵御能力。

• 情景规划--对潜在情景、威胁和机会进行假设分析，为应对一系列未来可能性做好准备。

技术

• 灵活性和模块化--基于组件的架构、开放标准和松耦合允许重新配置系统并快速添加新功能。

• 冗余和分散化--复制、备份和分布式网络可防止单点故障。如果没有这些保护措施，那么当一个节点受到威胁时，服务可能会迅速在各个位置失效。

• 网络安全--强大的网络防御、访问控制、加密、异常检测系统和网络事件响应计划可保护运营免受恶意攻击。

• 数据和应用程序集成--共享数据存储库、应用程序编程接口(API)和微服务可实现实时数据共享和跨职能流程，从而提供企业敏捷性。

文化

• 外部关注--环境扫描和强烈的客户导向可以帮助企业主动识别和响应外部变化和客户需求。

• 创新--鼓励试验、“快速失败”和持续改进的文化规范使人们能够针对新出现的挑战开发创新的解决方案。

• 问责制--个人和团队有权做出决策，但他们也要对结果负责。这平衡了敏捷性和责任感。

• 协作--跨职能团队、知识共享和集体解决问题打破信息孤岛，提高整个企业的应变能力。

收集和传达韧性指标

虽然确定正确的指标至关重要，但有效的衡量还需要明确定义数据收集、分析和沟通的组织角色和流程。

数据收集责任

首席信息官(CIO)和IT部门均应带头收集系统冗余、集成和网络安全等技术指标。运营和供应链领导者最适合收集流程数据，如周期时间和供应链可见性。人力资源(HR)可以协助制定劳动力人口统计数据和能力发展指标。财务部门跟踪财务绩效指标。首席风险官和内部审计团队监督韧性审计。外部调查应由客户体验团队管理。

工具和流程

通过系统性能监控、供应链分析、人力资源信息系统和网络安全工具自动收集数据，减少了人工工作量。审计和评估可以利用基线成熟度模型。调查应利用标准化工具来进行基准测试。集中式数据湖和商业智能平台支持跨不同数据集的集成分析。仪表板使指标在企业范围内均可见。

指标的沟通

每季度向领导层和员工分发一份韧性衡量报告，传达趋势、进展和需要注意的领域。首席执行官和高管团队通过强调内部消息传递的韧性来定下基调。全体会议和员工培训会审查韧性因素、指标和事件响应流程。分享韧性目标和衡量结果有助于保持组织一致性和文化变革。向外部利益相关方公开报告的关键指标并表明韧性工作的严肃性。

衡量企业的韧性和成功

为了评估当前的韧性和成功状态并指导改进工作，企业需要针对以下五个关键属性以及其他关键绩效指标制定具体的指标：

领导力

• 领导力风格评估

• 对外部变化的响应能力

• 战略调整速度

• 风险管理计划成熟度

员工

• 劳动力人口统计

• 员工敬业度调查

• 跨职能团队参与度

• 员工能力发展时间

流程

• 流程周期时间

• 自动化率

• 供应链可视性

• 情景规划的广度

技术

• 系统冗余审计结果

• 技术灵活性评估

• 网络安全审计结果

• 跨系统数据集成率

文化

• 外部定向调查

• 创新试点项目(年度)

• 问责审计

• 跨职能部门协作率

关键绩效指标

除了特定属性的指标（图 1）之外，还可以通过关键绩效指标全面衡量企业的韧性和成功：

• 财务绩效--盈利能力、收入增长、市场份额增长

• 运营业绩--生产能力、响应时间、客户保留率和满意度。

• 中断响应--事件发生后恢复能力或服务级别所需的时间。

• 竞争能力--品牌价值、分析公司排名

网络安全审计的作用

网络安全审计对于识别组织的IT基础设施和系统中的漏洞和风险至关重要。审计结果提供了评估的详细报告，概述了组织的整体安全态势、对政策和法规的遵守情况，以及发现的任何漏洞或弱点。一些关键的网络安全审计结果可能包括访问控制不足，如密码策略薄弱、缺乏多因素身份验证(MFA)和用户权限过高。审计人员还可能发现未打补丁的系统和软件，这些系统和软件增加了对网络威胁的暴露面。还可能发现其他技术问题，例如防火墙配置错误、缺乏数据加密和糟糕的网络分段。审计人员还会检查合规问题，如未能满足监管标准或组织网络安全政策。程序性发现也很常见，例如员工安全意识不足，缺乏事件响应计划，以及供应商风险管理不力等。这些发现可以提供诸如未打补丁的系统百分比、具有过度访问权限的用户以及其他可量化的风险等指标。应提出明确的、可操作的建议来弥补这些差距。如果执行得当，网络安全审计可提供对组织安全的客观评估和改进路线图。

企业韧性需要跨职能协作和打破组织信息孤岛，这些信息孤岛可能会阻碍信息共享和对不断变化的情况的快速响应。跟踪跨界团队和知识流的指标可以深入了解整个企业的协作行为的健康状况。培养创新、外部关注和负责任的文化取决于领导层如何塑造所需的心态和行为。衡量员工看法的定期调查揭示了文化变革倡议扎根的程度。审计和情景规划等活动的参与率提供了额外的文化指标。

从最高层面来看，企业韧性体现在关键运营和财务指标的持续表现上，即使在发生中断时也是如此。在发生重大事件后，跟踪与财务因素、运营、客户和竞争力相关的基本指标，可以测试企业的韧性。制定与韧性基础属性相一致的指标，可以深入了解不同组织维度的脆弱性和成熟度水平。企业领导者可以将改进工作重点放在通过韧性衡量计划发现的薄弱领域。

图2显示了如何选择指标，以便在业务正常期间以及在中断或危机期间提供企业韧性的全景视图。

成为一家具有韧性的企业需要经历漫长而复杂的过程。没有单一的最终状态。必须不断审查和更新指标，以适应企业在竞争格局中的发展和变化。将韧性转化为以数据为基础的可衡量能力，为企业在面对不确定性时适应性强、蓬勃发展奠定了夯实基础。

结论

波动性是新常态，企业韧性是新的竞争优势。要把发展韧性作为重中之重时，需要进行多维度的转变。评估企业当前的成熟度状态并定期跟踪此处列出的关键属性的进展情况，可为指导转型之旅提供重要数据。将衡量和改进工作的重点放在领导力、员工、流程、技术和文化上，将产生一个适应能力强、创新能力强、能够迅速应对未来任何挑战的企业。在DNA中嵌入了韧性和敏捷性，企业就能在面临颠覆的情况下取得持续的成功。

编者注：本文出自ISACA Journal 2024年第3期。尾注略。文章内容仅代表作者本人观点。

作者：MAHMOUD MOHAMED博士，CISM，是一名网络安全专家，拥有多年为顶级企业保护网络和降低风险的经验。他的专业领域包括网络架构、系统强化、访问控制和威胁检测。

翻译：王彪，COBIT2019、CISA、CDPSE、CDMP、CDSP、CISP-DSGI、ISO27001LA、信息安全工程师(软考)、ISACA微信公众号特邀通信员、天融信数据安全治理专家。

校对：唐四宝（Jerry Tang），CISA， CDPSE，CZTP，ISACA微信公众号特邀通讯员。