突發(fā)災難面前，如何保障業(yè)務連續(xù)性（BCM）系列之二

2020年初爆發(fā)的新型冠狀病毒感染的肺炎（NCP）疫情讓各行各業(yè)進一步意識到了在突發(fā)災難后保障業(yè)務連續(xù)性的重要性。然而，業(yè)務連續(xù)性管理（BCM）這一新興概念在我國的發(fā)展仍處于萌芽階段，多數企業(yè)尚未建立BCM機制或對BCM的認知與實踐仍較為片面甚至落后。因此，建立科學、先進、全面的BCM機制勢在必行。

突發(fā)災難應對是一項復雜的工程，風險管理、應急管理、危機管理是除BCM之外最具代表性的幾種管理機制。理清BCM與它們之間的聯系與差異，有利于企業(yè)更深層次地掌握BCM的精髓。

1.    BCM與風險管理的關系

BCM與風險管理有著諸多的相似之處，BCM的許多方法都在實踐中參考借鑒了風險管理在風險識別、預防和控制上的成熟理論和方法。例如企業(yè)進行BCM規(guī)劃時，通常會借助風險管理方法完成BCM方法論的重要步驟之一“風險分析與評估”?？梢哉f，BCM在一定程度上是風險管理的延伸或風險管理在實踐中的應用。雖然同樣強調防患于未然，但兩者也有不同側重，風險管理旨在避免風險的發(fā)生，或將風險發(fā)生的損失降到最低；而業(yè)務連續(xù)性管理的目標是確保業(yè)務不中斷，或在允許的時間內恢復業(yè)務的運行。

2.    BCM與應急管理的關系

應急管理中的四個階段（4R）和業(yè)務連續(xù)性管理的六個階段（6R）具有一定的對應關系，但其理念與方法存在差異。首先，兩者在判斷何時及如何響應災難方面不同。BCM是根據業(yè)務中斷的時間是否超過RTO（恢復時間目標，為BCM提出的概念）來判斷是否構成災難事件，來決定是否需要啟動業(yè)務連續(xù)性計劃。而應急管理則是根據事件是否會對生命和財產造成損失來決定如何響應。此外，兩者測重點不同。BCM的要點之一是業(yè)務恢復，而應急管理體系中并不體現這一點，其重點是對事件本身的響應和處置。

在實踐中二者通常相輔相成，長短結合，業(yè)務恢復彌補了應急管理聚焦于災難處置本身的局限性，而突發(fā)災難的應急處理到位，也奠定了業(yè)務恢復的基礎。

3.    BCM與危機管理的關系

與應急管理相同，危機管理也可用4R模式來表達，而BCM的業(yè)務恢復生命周期6R模型正是在危機管理4R模式基礎上演變而來，兩者具有一定的對應關系。此外，危機管理在實踐中應用最為普遍的就是危機公關，而危機溝通正是BCM方法論中的一個重要組成部分，充分地結合了危機公關的方法和技巧。

綜上所述，BCM與其它突發(fā)災難應對管理體系緊密相連，既有重疊又各有側重。BCM獨具一格的特點便是全過程管理，并著重強調關鍵業(yè)務的中斷時間不能超過企業(yè)所能承受的時間限度，以保障業(yè)務可持續(xù)。未來企業(yè)在建立并推廣BCM時，應秉承與其他管理體系求同存異、吸收優(yōu)點又保持特色的理念。

那么企業(yè)到底應如何做？根據國際先進管理經驗，BCM主要分為事前預防準備、事中應對響應及事后重建返回三個基本階段。而這三個階段所涉及的各項活動被總結為“BCM10個國際最佳慣例”，構成了現代BCM權威、通用方法論的核心思想，可作為企業(yè)開展BCM的實施要點。

1.    項目啟動與管理

確定BCM的需求，包括彈性策略、恢復目標、業(yè)務連續(xù)性、操作風險管理注意事項和危機管理計劃，還包括獲得管理層支持，使其符合時間和預算的限制。

2.    風險評估與控制

評估確定可能會給企業(yè)造成中斷及災難的具有不利影響的風險因素、其造成的損害、所需采取的風險控制措施，并通過成本效益分析論證風險控制所需的資源投入。

3.    業(yè)務影響分析

確認災難發(fā)生時對企業(yè)造成的影響，以及能夠用來定量及定性地衡量這些影響的技術方法。確認關鍵的業(yè)務功能及其優(yōu)先級別和相互依賴性，支持這些業(yè)務功能所需的資源和重要記錄等，從而可以設定其RTO（恢復時間目標）和RPO（恢復點目標）。

4.    制定業(yè)務連續(xù)策略

確認進行關鍵業(yè)務恢復策略選擇時應考慮的事項，并通過成本效益分析，與業(yè)務連續(xù)性管理的結果相比較，從而確定最佳的業(yè)務連續(xù)性策略，以使關鍵業(yè)務的連續(xù)能夠滿足RPO及RTO的要求。

5.    應急響應和措施

提前準備災難應急儲備，包括財務、人力、法律資源的提前準備。制定和貫徹執(zhí)行用于災難發(fā)生后進行響應并使狀態(tài)得到穩(wěn)定的流程，包括事件升級程序、通知程序、人員和財產保護計劃等。同時明確災難應對的組織形式與信息傳遞機制，例如成立危機管理領導小組，制定信息傳遞要求，由領導小組全面指揮應急措施的執(zhí)行。

6.    編制和貫徹執(zhí)行業(yè)務連續(xù)性計劃

根據企業(yè)要求確定的業(yè)務連續(xù)性恢復目標，設計、編制和貫徹執(zhí)行業(yè)務連續(xù)性計劃。

7.    認知和培訓計劃

通過有針對性的BCM培訓，提升企業(yè)員工的認知及所需技能，從而便于災難發(fā)生時企業(yè)全員能夠高質高效地貫徹執(zhí)行BCM計劃或流程。培訓包括認知和培訓對象的確定，培訓計劃的制訂，培訓的方法和工具，以及培訓效果的評價等。

8.    維護和演練業(yè)務連續(xù)性計劃

預先設計及協調業(yè)務連續(xù)性計劃的演練，并對演練結果進行評價和歸檔記錄。制定維護連續(xù)能力和計劃文檔更新的流程，以符合企業(yè)的戰(zhàn)略方向。通過與適當的標準進行比較來驗證計劃的有效性，并以簡明的方式報告結果。

9.    危機溝通

制訂、協調、評估和演練溝通計劃，包括與內外部利益相關者（員工、投資者等）、外部機構（行業(yè)監(jiān)管機構、公共救援機構等），以及媒體的溝通。

10. 與外部機構的協調

建立適當的流程和指導方針，以便與外部機構（從國家到地方的各級應急響應者）協調進行連續(xù)和恢復活動，從而有效減少企業(yè)的受災損失，并確保符合相應的法令法規(guī)。

如欲了解更多有關業(yè)務連續(xù)性管理的信息，歡迎聯系：

盧曉暉 信永中和集團咨詢合伙人 lu_xiaohui@shinewing.com

林愛平 信永中和集團咨詢合伙人 lin_aiping@shinewing.com