1. 公司概况
  2. 条线介绍
  3. 主要客户
  1. 投融资及并购业务线
  2. 财务与企业绩效业务线
  3. 企业风险管理业务线
  4. 信息技术咨询与服务业务线
| 管理咨询 | 执业道场 | 突发灾难面前,如何保障业务连续性(BCM)系列之二

突发灾难面前,如何保障业务连续性(BCM)系列之二

2019年06月04日

2020年初爆发的新型冠状病毒感染的肺炎(NCP)疫情让各行各业进一步意识到了在突发灾难后保障业务连续性的重要性。然而,业务连续性管理(BCM)这一新兴概念在我国的发展仍处于萌芽阶段,多数企业尚未建立BCM机制或对BCM的认知与实践仍较为片面甚至落后。因此,建立科学、先进、全面的BCM机制势在必行。

突发灾难应对是一项复杂的工程,风险管理、应急管理、危机管理是除BCM之外最具代表性的几种管理机制。理清BCM与它们之间的联系与差异,有利于企业更深层次地掌握BCM的精髓。

1.    BCM与风险管理的关系

BCM与风险管理有着诸多的相似之处,BCM的许多方法都在实践中参考借鉴了风险管理在风险识别、预防和控制上的成熟理论和方法。例如企业进行BCM规划时,通常会借助风险管理方法完成BCM方法论的重要步骤之一“风险分析与评估”。可以说,BCM在一定程度上是风险管理的延伸或风险管理在实践中的应用。虽然同样强调防患于未然,但两者也有不同侧重,风险管理旨在避免风险的发生,或将风险发生的损失降到最低;而业务连续性管理的目标是确保业务不中断,或在允许的时间内恢复业务的运行。

2.    BCM与应急管理的关系

应急管理中的四个阶段(4R)和业务连续性管理的六个阶段(6R)具有一定的对应关系,但其理念与方法存在差异。首先,两者在判断何时及如何响应灾难方面不同。BCM是根据业务中断的时间是否超过RTO(恢复时间目标,为BCM提出的概念)来判断是否构成灾难事件,来决定是否需要启动业务连续性计划。而应急管理则是根据事件是否会对生命和财产造成损失来决定如何响应。此外,两者测重点不同。BCM的要点之一是业务恢复,而应急管理体系中并不体现这一点,其重点是对事件本身的响应和处置。

在实践中二者通常相辅相成,长短结合,业务恢复弥补了应急管理聚焦于灾难处置本身的局限性,而突发灾难的应急处理到位,也奠定了业务恢复的基础。

3.    BCM与危机管理的关系

与应急管理相同,危机管理也可用4R模式来表达,而BCM的业务恢复生命周期6R模型正是在危机管理4R模式基础上演变而来,两者具有一定的对应关系。此外,危机管理在实践中应用最为普遍的就是危机公关,而危机沟通正是BCM方法论中的一个重要组成部分,充分地结合了危机公关的方法和技巧。

综上所述,BCM与其它突发灾难应对管理体系紧密相连,既有重叠又各有侧重。BCM独具一格的特点便是全过程管理,并着重强调关键业务的中断时间不能超过企业所能承受的时间限度,以保障业务可持续。未来企业在建立并推广BCM时,应秉承与其他管理体系求同存异、吸收优点又保持特色的理念。

那么企业到底应如何做?根据国际先进管理经验,BCM主要分为事前预防准备、事中应对响应及事后重建返回三个基本阶段。而这三个阶段所涉及的各项活动被总结为“BCM10个国际最佳惯例”,构成了现代BCM权威、通用方法论的核心思想,可作为企业开展BCM的实施要点。

1.    项目启动与管理

确定BCM的需求,包括弹性策略、恢复目标、业务连续性、操作风险管理注意事项和危机管理计划,还包括获得管理层支持,使其符合时间和预算的限制。

2.    风险评估与控制

评估确定可能会给企业造成中断及灾难的具有不利影响的风险因素、其造成的损害、所需采取的风险控制措施,并通过成本效益分析论证风险控制所需的资源投入。

3.    业务影响分析

确认灾难发生时对企业造成的影响,以及能够用来定量及定性地衡量这些影响的技术方法。确认关键的业务功能及其优先级别和相互依赖性,支持这些业务功能所需的资源和重要记录等,从而可以设定其RTO(恢复时间目标)和RPO(恢复点目标)。

4.    制定业务连续策略

确认进行关键业务恢复策略选择时应考虑的事项,并通过成本效益分析,与业务连续性管理的结果相比较,从而确定最佳的业务连续性策略,以使关键业务的连续能够满足RPO及RTO的要求。

5.    应急响应和措施

提前准备灾难应急储备,包括财务、人力、法律资源的提前准备。制定和贯彻执行用于灾难发生后进行响应并使状态得到稳定的流程,包括事件升级程序、通知程序、人员和财产保护计划等。同时明确灾难应对的组织形式与信息传递机制,例如成立危机管理领导小组,制定信息传递要求,由领导小组全面指挥应急措施的执行。

6.    编制和贯彻执行业务连续性计划

根据企业要求确定的业务连续性恢复目标,设计、编制和贯彻执行业务连续性计划。

7.    认知和培训计划

通过有针对性的BCM培训,提升企业员工的认知及所需技能,从而便于灾难发生时企业全员能够高质高效地贯彻执行BCM计划或流程。培训包括认知和培训对象的确定,培训计划的制订,培训的方法和工具,以及培训效果的评价等。

8.    维护和演练业务连续性计划

预先设计及协调业务连续性计划的演练,并对演练结果进行评价和归档记录。制定维护连续能力和计划文档更新的流程,以符合企业的战略方向。通过与适当的标准进行比较来验证计划的有效性,并以简明的方式报告结果。

9.    危机沟通

制订、协调、评估和演练沟通计划,包括与内外部利益相关者(员工、投资者等)、外部机构(行业监管机构、公共救援机构等),以及媒体的沟通。

10. 与外部机构的协调

建立适当的流程和指导方针,以便与外部机构(从国家到地方的各级应急响应者)协调进行连续和恢复活动,从而有效减少企业的受灾损失,并确保符合相应的法令法规。

 

如欲了解更多有关业务连续性管理的信息,欢迎联系:

 

卢晓晖

信永中和集团咨询合伙人

lu_xiaohui@shinewing.com

 

林爱平

信永中和集团咨询合伙人

lin_aiping@shinewing.com

相关推荐