7.3企业业务持续性管理
公共危机的发生经常会导致企业业务中断,给企业的经营与发展造成严重的影响。“9·11”事件后,业务持续性管理(BCM)在全球获得了迅速的发展。英国、美国、澳大利亚、新加坡、日本等国都加快了构建BCM体制、机制的建设,出台了一系列的国家标准和规范。国际标准化组织(ISO)还为BCM制定了最新的国际标准ISO 22301,并于2012年5月15日在全球发布。近年来,我国频繁发生的重大危机给国家和社会造成了巨大的损失,政府和各大企业开始强化BCM的意识。
1、业务持续性管理的演进
“业务持续”(business continuity,BC)的概念最早源于美国出现的“灾难恢复”(disaster recovery,DR)应用系统,其开发的目的是为了为避免企业在广泛使用计算机信息系统进行办公的条件下因系统崩溃而导致业务中断,利用技术和管理手段,确保企业的关键数据、数据处理系统和业务在灾难发生后可以恢复;
随着计算机技术迅速发展,个人电脑因成本低廉、携带方便等原因在很多企业得到普及,,这种计算机环境的动态演化给计算机恢复产业带来了深刻的影响,同时也赋予了灾难恢复更深、更广的含义,计算机系统开始与每个人相关,而不再仅仅是IT部门的事情。内涵的急剧变化使灾难恢复开始具有保障业务持续的功能,最终导致“灾难恢复”逐渐被“业务持续”一词取代。
2、BCM的内涵
定义:在面对公共危机时,能够保持关键业务的持续运转,即使业务发生中断,也要在规定的恢复时间内重新开展重要业务
重点:在灾难发生时和灾难发生后应采取的行为,如灾难造成IT中断,组织将采取哪些措施恢复主要的IT服务。
范围:灾难恢复计划、风险管理、危机管理、安全管理、知识管理、危机通信和公共关系、设施管理、供应链管理、质量管理、健康和人身安全等。
内涵:
立足于企业战略的整体化管理流程,不单单是某一个部门或某几个部门的责任;必须了解和判断组织关键业务,并对潜在危险进行辨别和影响分析;
通过建立合理的标准框架,以预防或抵御不确定的威胁,通常表现为制定业务持续性管理计划;
其目的是保障关键业务的持续运行,即使发生中断也能在业务可容忍的时间限度内恢复,以维护组织和相关者各方面的利益。
3、国外BCM的发展
BCM不仅对企业有着极其重要的作用,还有着非常广泛的社会意义。进入21世纪以来,国外有关业务持续性管理的研究取得长足发展,美、英、日等发达国家已经走到了世界前列
美国:
业务持续性管理的职责隶属于美国国土安全部的联邦应急事务管理署,“9·11”事件后,美国政府重点加强了业务持续性管理机制的建设。
2004年6月,联邦应急事务管理署作为业务持续管理的实施主体,颁布了《联邦准备规章》(Federal PreparednessCircular),要求总统以及各政府机构迅速制定业务持续(continuity of operations,COOP)和灾难恢复计划,明确规定各部门行政长官具有“制定、测试以及演练本部门业务持续计划”的责任义务;
除此之外,美国各州政府也制定了本地区的业务持续性计划,美国的一些非营利组织也响应政府的号召,纷纷制定出相当具有前瞻性和可操作性的业务持续性管理标准。
英国:
BCM是英国危机管理工作的重中之重。
在2004年《国内紧急事务状态法》(The Civil Contingencies Act)中明确规定开展业务持续管理是一类处置者(Category 1 Responders)的法定职责,同时鼓励二类处置者(Category 2 Responders)和大型工业企业开展此项工作;
2003年4月,英国标准协会以英国业务持续协会编制的《业务持续管理: 最佳实践指针》(Business Continuity Management:Good Practice Guidelines, 2002)为蓝本,颁布了《业务持续管理指导方针》(Guide to BusinessContinuity Management),为企业构建业务持续性管理体制提供了重要参考;
2005 年7月7日,英国发生的伦敦地铁爆炸案,给社会经济带来重大损失,同时也加快了英国BCM 标准化的进程。2006年11月,全球标准的领导者——英国标准协会推出了有关 BCM 的国际标准BS 25999,不仅为全球企业组织提供了第一个 BCM 的国际标准,而且成为信息、金融、科技制造等基础支撑行业的认证标准。
日本:
与欧美国家相比,日本对业务持续性管理的认知和实践起步较晚,但由于政府高度重视,且起点高、投入大,目前已在制定业务持续性管理指导规范、建立BCM 行业标准和实施业务持续性管理计划等方面取得显著进展。
日本是世界上最容易遭受自然灾害的国家之一。频繁的地震、飓风等自然灾害不仅给日本国民的生命财产带来损失,还使企业的经营环境变得脆弱和复杂。进入21世纪后,受计算机系统“千年虫”问题以及“9·11”事件的影响,日本开始关注业务持续性管理问题;
2004年10 月,日本新潟县中越地区发生里氏68级强烈地震,给当地的企业造成重大损失。以此为契机,日本加快BCM的研究和推广应用的进程;
2005年7月,日本政府对“防灾基本计划”进行修订,明确写进了“制定BCP是企业防灾工作的重要一环”的内容;
2005年8月,日本内阁府颁布了第一个国家的BCP标准——《事业继续指导方针第1版》。此外,经济产业省商务情报局、中小企业厅事业环境部也分别制定了《事业继续计划(BCP)制定指导方针》和《中小企业BCP 制定运用指导方针》;
为了适应BCM的国际标准化趋势,2006年6月,日本国会将日本版萨班斯—奥克斯利法案(JSOX)列入法律,要求上市企业及其关联子公司强化企业内部控制,努力保障内部数据的安全可靠性,以达到业务持续的目的。
4、BCM的循环流程
BCM是一个一体化的、循环往复的动态过程,对关键步骤的认识也大多一致。其关键的步骤和流程如下
BCM计划管理
BCM通常是通过计划管理的方式运作,因而,在整个BCM体系构建的过程中,BCM项目管理始终是核心,主要包括以下几点:
制定计划目标;
确定涉及范围;
明确BCM目标;
确认项目管理步骤;
确认项目参与者的角色和任务。
风险分析(riskanalysis,RA)与回顾
在细致分析和梳理组织工作流程的基础之上,明确企业的关键业务和可能造成业务中断的风险,并通过量化的统计分析来推测这些风险变成危机影响企业的概率,进而计算出为降低/减轻风险而建立的管理机制所需的成本。
业务冲击分析(business impact analysis,BIA)
通过定性和定量的方式,确定不同风险将对关键业务造成的冲击,以及受冲击影响的极限时间,从而计算出业务的恢复时间目标(recovery time objective,RTO)。同时,根据调查确认危机发生时,恢复业务所需的重要资源,包括人员、办公场地、办公设备、通信工具等。
恢复策略
在总结业务冲击分析结果的基础之上,对可能发生的业务中断事件或灾难进行推演,从中分析可能出现的数据和由此带来的业务损失,制定关键业务恢复策略,并制作业务恢复流程图。
业务持续性计划(BCP)开发
业务持续性计划的开发是BCM的重要环节,是在此前工作的基础上,在业务持续性项目组的领导下统一进行。项目组负责编制计划大纲,组织业务部门进行讨论,各业务部门交流各流程的可行性。经过对各业务流程的汇总和整理后形成企业级的业务持续性计划。其具体内容主要包括:
由谁来启动和执行恢复程序;
需要何种资源和条件来继续、重启、恢复正常业务功能;
确定何时恢复业务功能和操作;在何地重启业务、运营和企业管理功能;
业务持续、重启、恢复的详细流程。
知识传播和培训
在BCP编制完成之后,要对各个层次的工作人员进行培训,对员工进行从BCM概念到流程细节的反复培训,使其了解自己在业务持续中的角色和责任。培训的主要内容包括:BCP由什么构成、为何需要BCM、谁需要参与这项工作、各自的职责是什么、何时需要启动BCP、如何启动BCP等。
演练与测试
只有组织员工对BCP进行反复的测试和演练、检查计划中的错误和疏漏,BCP才可能发挥保障企业业务持续的作用。业务持续项目组负责设计演练与测试大纲,并负责组织和协调。演练与测试包括初期测试、综合测试、模拟演练、实战演练等阶段,频率每年至少一次。
计划管理
企业外部环境和企业内部的调整给业务带来的发展和变化是无休止的,进而对BCM的影响也将是循环变化的。因此,企业需要定期对BCP进行审计和评估,不断更新改进,使BCP变更的管理和控制纳入企业的日常工作中。同时,通过多种方式在企业内部不断灌输BCM理念,最终将BCM的理念融入企业文化当中。
