大多数企业在某些时候,不得不对可能破坏或威胁其日常业务运作的事件作出回应。一个成功的业务连续性管理(BCM)的程序,能够应对任何潜在的干扰反应,是组织必不可少的;完善的业务持续管理系统(BCMS)不仅能帮助你的组织从灾难中恢复,也将防止可能出现的任何运作中断(例如错过了最后交期,困扰客户,或者直接的经济损失而带来的声誉损失等)。
什么是业务连续性?
ISO 22301业务连续性管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业运作造成的威胁,并提供个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失。
为什么要实施业务连续性?
企业机构所面临的中断事件类型和事件数量在持续增加。根据Gartner 2016年的一项调查,有22%的企业机构在过去12个月内遭遇了11次或以上的中断,比上一年增加了15%。此类事件所造成的成本也在增加,据调查,2018年自然灾害给企业造成的损失比30年前的平均水平高约2,000万美元,这进一步凸显了进行业务连续性管理的必要性。
近年来,从政府机构到企业,应急意识和应急能力都在持续上升,相应的技术投入也越发先进。但为了将风险造成的损失尽量减低,减少对企业运营的影响,业务连续性管理体系依然是非常必要,且需要持续完善的。
灾害事件的发生会带来直接影响,例如疫情会造成大量人员无法到岗,暴雨会造成交通瘫痪等等。如果企业没有执行相应的应急策略,灾害事件可能还会给公司的运营带来更多其他间接影响,例如未能及时进行危机公关,会引发负面的社会舆论;发生交通瘫痪时,没有及时调整人员安排和经营策略,导致销售、分销渠道受限等;公司IT设备遭到物理破坏时遭到外部曝光,且未能及时维修,增加了被黑客攻击的风险。此外,当代企业之间的业务联系、技术依赖等关系日益复杂,一家企业的业务中断,可能对下游链路企业造成严重的影响。
对于企业或组织来说,危机管理的难度也在上升。如何评估自身的风险承受程度,如何确定风险偏好与运营KPI的平衡关系,如何使第三方满足企业的业务连续性恢复要求,随着内外部用户对业务连续性要求的日益增加、社交媒体的发展也愈发复杂。
ISO 22301验审活动有助于通过各层级有计划、有效的BCM改善业务,包括:
1.组织内识别和理解关键业务过程及其中断的影响。
2.增强组织的弹性、恢复能力及持续生存能力水平。
3.具备超越单性较弱的竞争对手的优势。
4.正面的讯息传达给媒体和利益相关者,以应对危机处理。
5.提升保险公司对组织风险管理的印象,从而降低保费。
6.符合监管机构、保险公司、商业伙伴和其主要利益相关者的期望。
7.在事故、破坏其至灾难发生时显著降低财影响。
8.增加组织和员工双方的生存机会。
9.通过展示具备专业的管理中断的方法而保甚至提升声誉。
10.如合同或协议的承诺,在可接受的预先义的级别,及时和有序应对事件和业务中断保证业务连续运营。
11.鼓励跨团队和跨组织的协调。
12.通过场景演练,展示可信的响应能力
13.以可见的证据证明整体风险管理的管理承诺。
企业应该如何实施业务连续性?
企业在进行业务连续性管理建设时,应结合自身的业务发展需求及管理需要,同时为了符合合规要求,实施业务连续性管理,从而提升自身竞争力并培养自身的业务连续性团队,建立业务的可持续运营能力以及突发事件的应对能力。
实施业务连续性管理体系时,有以下几点要素需要考虑:
较大程度减少损失:从人员安全、业务损失、安全风险、市场占有和外部声誉等几方面制定有针对性的计划和预案以减轻损失;
满足监管合规要求:例如《网络安全法》《商业银行业务连续性监管指引》等法律法规;
改善业务流程:了解风险承受能力,实现合理的资源分配,识别和保证关键流程,建立合适的响应机制;
提高企业竞争力:日新月异的内部业务要求和外部环境发展,要求组织在管理不断变化的安全风险的同时保持与时俱进,从市场信誉、品牌形象和客户忠诚度三方面提升企业竞争力。
业务连续性管理框架是我们基于ISO22301及DRI/BCI协会领先实践设计,并结合国内企业实施经验总结而来的,通过差异分析、业务影响分析、风险评估等分析方法,识别出使用于企业的恢复策略、支持资源、业务连续性计划等,作为后续业务连续性管理体系实施的基础,通过演练与测试、培训等方式巩固与夯实业务连续性管理体系的执行,并通过不断改进和完善,建立贴合企业实际的业务连续性管理体系。
各项环节均需要综合考虑企业所属行业、业务需求、恢复成本、沟通路径等因素。例如,业务影响分析通过整合企业自身服务目录及行业领先实践,确定重要的服务或业务流程,识别针对各个重要服务中断不同时间所造成的影响程度,以此确定恢复时间目标;风险评估则需要根据企业所属行业的不同,选择适用的风险库,并通过针对注入场地、设备、人员等资源的风险缓释措施是否到位,来确定对应的弱点值。
应对疫情的业务连续性建议
面对突如其来的疫情,企业面临着业务运营、信息技术、人力资源和资源保障等各方面的巨大挑战。安永针对企业关心的议题,提供了可供参考和实践的业务连续性建议:
⭐保障员工安全:
及时调查与收集员工健康信息,了解员工所处位置与动向,做好信息的统计与报备工作。做好员工安全意识的宣贯,若万一出现员工受到伤害的情况,企业需做好医疗报销、请假审批、薪酬待遇等安排。
⭐加强沟通与响应:
在发生突发事件后,应成立相应的事件应对小组,密切关注事件进展,收集国家或权威媒体发布的相关事件信息,做到及时通报与响应。
⭐工作模式创新:
建立突发事件下各层级员工的沟通机制,及时了解员工需求并协调相关资源恢复正常的工作节奏。必要情况下,采取远程办公、托管服务等创新工作模式开展日常工作。