书城管理业务连续性计划和管理
12512500000002

第2章 制定符合业务需求的连续性管理方针

方 烨 合伙人施建俊 副总监郑 云 高级顾问德勤上海事务所企业风险管理服务

“居安思危,思则有备,有备无患,敢以此规。”

——《左传·襄公十一年》

持续地提供产品和服务是企业存在的根本基础,通过提供持续的产品和服务获得持续盈利能力,为企业本身,也为公众和社会创造物质和精神财富。

业务连续性管理(Business Continuity Management, BCM)就是制定战略方针、计划与行动方案,在企业面临业务中断时,保障与产品和服务相关的关键业务功能及流程仍能持续运行,并能在短时间内恢复业务,为企业提供必要的保护或可替代的运营模式。

业务连续性管理方针(BCM Policy)是整套BCM方案的关键文档,它阐述了实施BCM的原因,提供了BCM所需能力的背景环境介绍和组织期望了解的原则。当组织决定着手实施BCM方案时,需要一个合适的、完整阐述其业务需求的BCM方针。关键的步骤包括:

融合组织的战略、目标和文化;

确定业务连续性管理计划(BCM Program)的范围;

制定BCM方针。

一、融合组织的战略、目标和文化

BCM需要反映组织的战略、目标和企业文化,以确保组织的BCM相关性、有效性和适当性,才能有效地落地执行。每个组织都有自己独特的企业文化,即使没有落纸成文或者明确地阐明,企业文化也一定是存在的,是BCM必须考虑的因素。另外,组织在做业务规划和制定预算时,战略和目标是重要的部分和输入物,它们也是BCM必须考虑的因素。

企业文化可能是一些看不到摸不着的东西,也可能是敏感的市场或生产信息,BCM专家可能无法直接观察到,但通过与组织的积极沟通和深切感受,将会把它与BCM紧密地联系在一起。

(一) 切入点

通常我们以下面的问题作为切入点来帮助识别组织的战略、目标和文化:

组织的使命是什么?或组织存在的原因是什么?

组织的目标是什么?

如何达到组织的目标?

提供什么样的产品和服务来实现这些目标?

路线和重点方针是什么?

关于组织增长、缩减、重组、收购,甚至处置,在短期、中期和长期的计划是什么?

有没有正在开发的新产品或服务?它们的时间表?

业务操作的地理范围是什么?

可能发生业务中断的地理范围是什么?

组织生存需要什么资源?想要的程度?需要的程度?

当前和预期的市场条件是什么?

是否有竞争对手?如何竞争和竞争程度如何?

如果组织的业务中断,客户和竞争对手的反应可能是什么?

组织在一个规范的环境中运作吗?有什么样的规定?

有多少供应商?很多,一些还是只有一个?

寻找替代性的供应商需要多长时间?

有多少客户?很多,一些还是只有一个?

如果组织提高了交货可靠性,客户愿意多支付费用吗?

(二) 我们采用的方法

基本上有两种方法可以用来识别组织的战略,目标和文化:

(1) 与高层面谈。

(2) 查阅组织的业务文件,关键的文件可能包括:

商业计划书;

战略计划;

年度报告;

市场营销报告;

当前的管理信息报告(其中有业务流程概述、容量和目标,并能量化业务活动的价值)。

(三) 定期复核

组织的战略变化对BCM的影响应该每年至少复核一次,BCM应随着业务运营和战略规划的变化而变化,保持一致性。可能触发复核的事件有:

关键业务变更或重组;

业务范围扩大或缩小;

新产品;

物理位置搬迁或变化;

发生了业务中断事件和相关的恢复活动。

组织应有一个变更预警程序,用来识别所有重大的变化,以确保它们能被BCM计划纳入考虑范围,它使得BCM能够对变化有先后次序地做出审慎的反应。例如一个还在准备阶段的战略业务决策是不是应该被认为是组织的重大变化呢?答案应是肯定的,因为它可能已经影响到了组织的经济价值,至少是复核BCM需要重点考虑和评估的因素。

二、确定业务连续性管理计划的范围

设置BCM范围的目的是明确组织的哪些领域或区域要纳入计划,以及定义哪些产品和服务在范围之内。设置范围的关键在于要以组织提供的产品或服务为中心,这是关键的成功因素。另外正如前面所提到的,在选择和决定BCM的范围之前需要理解组织的战略、目标和文化。

BCM是一个反复的过程,一个组织可以最初仅在某些部门实施BCM,再逐渐扩展到整个业务运营的相关部门。这种方法克服了在大型组织中BCM实施复杂、成本和规模的问题。

组织中有一些产品和服务的交付是需要优先进行保护的,本部分将介绍如何识别包含这些产品和服务的组织范围,以及确定这些范围的原因,这些选择将定义BCM计划的范围。

(一) 概念和假设

通常的做法是,在实施BCM生命周期其他步骤之前,先对BCM的计划的范围进行确定。但是,如果该组织基于特定产品或服务已知的恢复需求,决定进行BCM的初步实施,则可能会先进行一个高层次的业务影响分析,以确认产品和服务包括在初始范围内(基于产品或服务未交付的影响)。

BCM计划的范围通常是有限的产品和服务。而地理位置也可能被用来限制范围,例如BCM计划可以包括或排除某个或多个站点。需要注意的是,如果一个站点和已经纳入BCM范围内的产品或服务的是有关的,那么它不应该被排除在范围外,那样是不合理和不符合逻辑的。

范围的限制应被视为一种战术方法,这样允许组织分步地进行BCM实施。如果某种产品或服务包含在BCM范围内,则支持产品或服务的所有活动必须包含在BCM计划中。

所有确定BCM范围的相关文档,目的都是使该组织明确应如何维持其对BCM范围内产品或服务的交付能力,这一决定将被外部组织所监督(例如客户或监管机构)。

在图2中,展示了如何确定BCM范围内的活动。例如,产品A包含在BCM计划范围内,支持产品A交付的相关活动(活动1,活动2,活动3)则也在BCM范围内;产品B不在BCM计划范围内,则支持产品B的相关活动不在BCM范围中。

(二) 过程

BCM团队应该向高层管理人员汇报,推荐应纳入到BCM计划中的产品、服务。重新审视产品和服务相关的企业战略、经营目标、企业文化、道德政策、法律法规和监管要求,考虑每个产品和服务的选择。如果已经实施了BIA(业务影响分析),对产品和服务中断所造成损失进行了估算,则BIA最终的结果应纳入到BCM团队的考虑因素中。同时提供一份评估报告,使高层管理人员确定所有产品和服务在BCM计划中的优先级。当然,不选择某些产品或服务进入BCM计划的原因,以及损失该产品或服务的替代措施,需明确记录在文档中,并由高层管理人员批准。

以下因素可能会影响选择哪些产品、服务或区域进入BCM范围:

顾客的要求;

监管或法定要求;

识别高风险的领域,如由于邻近工厂或存在物理威胁,如洪水、地震和爆炸等;

占组织总收入比例很大的某些产品。

产品、服务或区域被排除在范围之外的原因包括:

接近生命周期的尽头(如产品或服务将被终止,供应中断);

利润低的产品或服务(可终止或外包)。

当排除在BCM范围之外时,除了考虑财务损失影响,还应考虑下列因素:

所有关键利益相关者的意见;

由于中断或终止产品可能导致的公司声誉受损;

任何风险评估的相关性;

管理活动的监管影响。

对特定产品或服务来说,如果确定实施业务连续性管理,则应该采取适当措施并落实到位,以确保在RTO时间内,支持产品或服务的各项活动可以继续或恢复。

对于那些被视为BCM范围外的产品和服务,则必须有替代手段来对其进行管理。高层管理人员的选择包括:

接受——接受风险;

转移——将风险转移给第三方;

变更,暂停或终止产品或服务。

这些措施的具体实施一般属于风险管理的职权范围,不遵循完整的BCM生命周期。然而,提供的措施是一个各方商定的经营策略,这些选择可以被视为业务连续性解决方案,应该包括在BCM方案之内。因为一个可接受的业务连续性策略,必须适应组织和流程中的变化。

(三) 我们采用的方法

用于确定是否被纳入到BCM范围内产品和服务的工具包括:

成本效益分析(包括利益相关者,立法和监管的评估);

SWOT分析(优势/劣势/机会/威胁);

财务规划和管理;

战略规划工具;

国内、国际以及相关行业标准;

PEST分析(政治/环境/社会/技术);

市场分析技术(确定供应中断后产品的生存能力)。

(四) 结果和复核

主要的输出结果如下:

各方商定的保障其产品和服务的组织战略;

实施BCM的范围,而且应该体现在BCM方针中。

保障其产品和服务的组织战略,应保持至少每12个月进行一次复核。当然有些突发事件可能会促使战略的重新评审,如:

流程和优先级发生了实质性变化,BIA进行了更新;

在以下一个或多个方面发生了显著的变化:

-市场情况

-收购或兼并

-新的产品或服务

-新的监管或立法要求

组织对风险的态度(或许由一个事件引起)。

三、制定BCM方针

组织的BCM方针提供了围绕BCM能力设计和建设的框架。BCM实施的组织、治理和管理,是制定一个成功BCM方案的先决条件。这些将被记录在高层管理人员确定的BCM方针中。通过文档记录BCM方针的目的是与利益相关者沟通组织所遵循的业务连续性管理原则。由于BCM方针的目的是沟通,它应该是简短、清晰而准确的。一个冗长而复杂的BCM方针会造成沟通的障碍。

作为最低要求,BCM方针需确定BCM方案中的以下内容:

目标;

范围;

职责;

方法和标准。

(一) 过程

制定BCM方针的过程包括:

识别并记录的BCM方针的各个组成部分;

确定BCM的定义;

确定BCM方针中必须包括的相关标准和法律法规;

确定最佳实践指引或其他组织的BCM方针,这些可以作为一个参考基准;

审查组织当前的BCM方针(如适用),并基于外部行业基准的方针或新的BCM方针要求进行差距分析;

制定一个新的或修订的BCM方针草案;

审查BCM方针草案是否符合组织其他相关的政策,如IT安全制度;

由各方对政策草案进行讨论和磋商;

根据反馈对BCM方针草案进行修订使之更加合适;

高层管理人员签发BCM方针,并确定实施策略;

发布BCM方针,并进行适当的版本控制。

(二) 我们采用的方法

德勤制定BCM方针的方法和工具包括:

审查当前组织的BCM方针;

研究来自外部的参考指引,如法律法规、行业最佳实践、专业机构的咨询建议;

保持与业界专家和专业机构的联系,以了解BCM当前的动态和未来的趋势;

识别和采纳已被公认为最佳实践的其他组织BCM方针相关内容;

对当前BCM状态进行评估和差距分析,同时审查内部和外部的政策,得出一个新的或修订的BCM方针(核心组成部分);

外部专业的BCM从业人员的评审。

(三) 结果和复核

BCM方针,其中包括(或参考附件):

该组织的BCM定义;

已定义的BCM方案范围(参见前文);

BCM方案管理的运作框架;

BCM的原理、方针指引和最低标准;

明确定义的责任。

所有组织层面的方针应持续的进行定期复核,因为就像前文所提到的,有很多事件能够引起对BCM方针的正式复核。

总结上文所阐述的,制定符合组织业务需求的业务连续性管理有三个重要因素:

融合组织的战略、目标和文化;

确定业务连续性管理计划的范围;

制定BCM方针。