| 出版日期:2004-12-20 总期号:1374 本年期号:95 |
|
 |
揭开BCM的面纱
刘敬国 美国的9·11事件、北美地区大停电、中国的非典疫情等一连串突如其来的灾难事件,使那些以前没有被充分重视的业务管理方法及流程、信息技术管理和安全等方面的薄弱环节暴露出来,严重地影响了社会和企业的正常运转。如何预防和面对灾难或突发事件,已成为世界各国必须正视的一个重大课题。时至今日,BCM(业务持续管理)已成为应对危机事件的国际通用规则。本系列文章将从概念、技术、应用等方面,介绍BCM的现状,剖析未来BCM的发展趋势。 近些年来发生的一些事件,诸如2001年美国“9·11”事件,2002年7月北京首都国际机场计算机系统偏瘫事件,2002年7月5日深交所停机事件,2003年“SARS”事件,2003年7月上海地铁四号线坍塌事件,2003年8月14日美加大停电事件等等,都给有关国家、企业及消费者带来了巨大的损失,甚至使有些企业遭到灭顶之灾,使整个国际社会造成剧烈震荡,给人们的正常生活带来诸多不便。如何预防和面对灾难或突发事件,从而规避或减轻其造成的影响和损失,已经成为世界各国必须正视的一个重大课题。值得庆幸的是,目前,国际上已经有了一套经过实践检验行之有效的规则——业务持续管理(Business Continuity Management,BCM)。 BCM的定义与范围 BCM是一个能够识别威胁一个企业潜在影响的整体管理过程,并提供建立一个弹性企业的框架和有效响应的能力,来保护企业股东的利益、企业的名誉、品牌和创造的价值。英国的业务持续协会(BCI)定义了BCM的范围,如图1所示。 BCM不单单是灾难恢复、危机管理、风险控制或者技术恢复,它不是一个专门的学科,而是由业务自身驱动的综合学科。其中设施管理、供应链管理、质量管理、健康和人身安全都是人们比较熟悉的传统企业管理的重要方面,单独来看,每一个学科都是独立的,但从全面的、整体的企业业务持续过程来看,它们都是必不可少的元素和组成部分。比如当发生灾难或突发事件时,如何保障企业生产的供应链不中断,产品和服务的质量不明显下降,设施资源合理使用和调配,以及保障员工的健康和人身安全。而其他学科则有各自不同的侧重点: 风险管理 侧重于识别企业所面临的潜在的威胁,这些威胁所造成的影响和损失,以及相应的在可接受范围内的预防控制措施。 灾难恢复 侧重于当发生诸如自然灾害、恐怖袭击、设施损坏、人为失误等引起的灾难性事件造成业务中断后,如何进行业务恢复和业务重建的过程。 紧急事件管理 侧重于面对影响企业业务发展和运营的突发事件和危机,如何进行应急响应和处理的策略、方法及流程。 安全管理 主要是指对信息资产的管理,涉及物理环境、访问控制、系统开发、操作运行等十个方面(详见ISO 17799)。 知识管理 是知识创造、储存/再利用、移转与应用知识的流程,是对知识资产进行系统管理、有序配置和利用组织智力或知识资产创造价值的方法。 危机通信和公共关系 侧重于当发生灾难或突发性事件时,如何保持企业对内对外通信联络保障,以及和诸如政府、媒体、运营商等公共关系的协调。 BCM所涉及的范围不仅仅限于上面所列出的十个学科,其核心是保障企业业务持续运行。因此,任何与此有关的领域都是其组成部分,例如人力资源管理,制定进行灾难恢复和应急相应关键岗位的职责以及人员的调配计划。所以说,BCM是一个开放的架构。 BCM管理过程和生命周期 BCM是一个一体化的管理过程,BCI(业务持续协会)使用BCM这个术语代替BCP(业务持续计划)是经过深思熟虑的。因为计划暗示有开始和结束,容易产生不必要的歧义。BCM是一个动态性的、前瞻性的、正在进行的过程,它必须根据情况适时更新并保持有效。 第一阶段:熟悉你的业务 明确业务目标,识别关键业务流程,以及业务流程得以实现的关键因素;进行风险分析,识别可能造成业务中断的灾难、具有负面影响的事件等因素,可控的风险与控制范围以外的风险,确定由这些风险可能造成的直接经济损失,确定业务系统的弱点,明确防范控制风险的技术和管理措施;进行业务影响分析,识别关键业务以及业务的优先级,识别由于业务中断造成的直接和间接后果,确定业务中断的影响程度,确定可以接受的损失范围,关键业务恢复的优先顺序以及恢复时间目标。 第二阶段:制定业务持续策略 确定和指导备用业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键功能,确定当前系统恢复能力与恢复时间目标的差距,结合风险分析和业务影响分析的结果确定灾难恢复所需的各种资源,结合技术手段、投资成本、管理方式、获得的收益等多方面因素确定不同的解决方案和措施,形成组织BCM策略、过程层面BCM策略、资源恢复BCM策略三个层次的业务持续策略。 第三阶段:开发并执行业务持续计划 确定计划制定的需求,识别和定义主要计划要件的格式和结构,建立计划分发和控制规程,根据制定的策略设计,制定和实施一系列的业务连续性计划,以便在恢复时间目标范围内完成恢复。包括业务持续计划(BCP)、危机管理计划、资源恢复计划、灾难恢复计划(DRP)、业务恢复计划、连续运作计划、危机通信计划、场地撤离计划、IT应急计划、人力资源计划等等(不仅限于此),每一项计划的侧重点不同,可以彼此作为附件,要根据具体情况因地制宜开发, 其核心都是有效地保障业务持续运行。 第四阶段:建立并形成BCM文化 确定意识培养和培训的目标,制定针对管理层、关键岗位、新员工岗前和现有员工意识培养计划,提供专业会议和课程、出版物和相关的互联网站点等各种类型的培训项目,建立对机构人员进行意识培养和技能培训的项目,以便业务连续性计划能够得到制定、实施、维护和执行。 第五阶段:计划演练、维护和审计 对预先计划和计划间的协调性进行演练?并评估和记录计划演练的结果,制定维持持续能力和BCM文档更新状态的方法,使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCM的效率,并使用简明的语言报告验证的结果。 第六阶段:BCM项目管理 确定业务连续管理过程的需求,向高级管理层汇报并获得高级管理层的批准;建立一个BCM委员会,确定角色和职责、机构的类型、控制和发展以及成员;制定BCM项目计划和预算,使用效益控制方法和更改管理机制检查BCM过程并制定和实施BCM过程;协调和组织管理BCM项目和整体BCM过程,以及组织和管理项目使其符合时间和预算的限制;确定对BCM过程进行持续管理和审计的需求和方法,BCM项目管理贯穿于整个BCM过程。 BCM的应用 BCM最初是针对企业有效保障业务持续运行而开发的,但是BCM的方法论和思想不仅仅限于企业,对于一个城市乃至一个国家同样适用。 在国家层面上也许我们没有听说过BCM这个词汇,但是我们经常会听到“可持续发展战略”这个耳熟能详的概念。这个概念涉及经济发展、社会稳定、产业结构、环境保护、科技教育、健康卫生、人口、能源、军事、政治、外交等多个方面,如果把一个国家类比成一个超大型的企业,BCM与“可持续发展战略”的核心思想是一致的。 在地区政府这个层面上,我们业务经常会听到“XX应急预案”,其目的是当发生灾难或突发性事件时,能够保障城市交通、电力、通信、金融、住宅、医疗卫生、食品供给、公共安全、市政设施、行政、商业、工业、传媒、文化等功能的正常运转。“应急预案”是BCM的组成部分,城市整体实现BCM,不仅能够提高城市的抗毁能力,同时也能提高市民和外来投资商对整个城市的信心。 企业实施BCM的例子已是屡见不鲜。在2001年9·11事件中,如摩根斯坦利、德意志银行等企业为什么能够安然度过危机,第二天就能恢复正常业务运行?其原因正是由于其实施了有效的BCM管理。事实已经证明,BCM已经成为企业应对危机事件的国际通行规则。 总之,BCM作为一个好的业务实践和整体管理的一部分,已经得到广泛的认可,BCM体现的是战略维度而不仅局限于操作层面。如何识别潜在的风险,如何面对灾难和突发事件,如何有效地管理危机,如何降低灾难对业务的影响,如何快速有效地恢复业务,这些问题都能在BCM中找到答案。(E9) 
BCI定义的BCM范围 
BCM管理过程和生命周期 |
||||||||||||||||||||||
