|
风险管理的新方法——业务持续管理# 靖鲲鹏,宋之杰* 基金项目:河北省社会科学基金(HB11GL044) 作者简介:靖鲲鹏(1977-),男,副教授,主要研究方向:应急管理、信息可视化. E-mail: jkp@ysu.edu.cn (燕山大学经济管理学院,秦皇岛,066004) 5 摘要:自然、技术或人为的灾害可能造成组织人员伤亡和财产损失,影响组织的可持续性发展。业务持续管理作为风险管理的新方法逐渐引起了政府、企业和理论界的关注。本文介绍了业务持续管理的发展历程、定义和一体化管理过程,以业务持续管理生命循环图为基础,分析了6个阶段的实施过程和主要组成部分。探讨了业务持续管理和传统的灾难恢复、风险管理、危机管理和应急管理等理论之间的关系。最后,提出了影响业务持续管理实践应用的10 主要问题和研究方向。 关键词:工商管理;业务持续管理;风险管理;灾难恢复;应急管理 中图分类号:F406.14 A New Method to Risk Management—Business Continuity 15 Management JING Kunpeng, SONG Zhijie (College of Economic and Management,Yanshan University,Qinhuangdao,066004) Abstract: Natural or man-made and technology disasters may cause a lot of casualties and property losses, and affect the organization sustainable development. As a new method of risk 20 management, Business Conti- nuity Management gradually attracts more attention of government, enterprises and scholar. This paper intro- duced the development course, definition and integration management process of BCM. Based on BCM life cycle, the implementation process and the main parts of six stages were analyzed. The relationship was discussed between BCM and the traditional theories (such as disaster recovery, risk management, crisis management and 25 emergency management). Finally, this study proposed the main problems influencing BCM practice and research directions. Key words: Business Administration;Business Continuity Management; Risk Management;Disaster Recovery;Crisis Management;Emergency Management 30 0 引言 自然、技术或人为的各类事件或灾害,如恐怖袭击、流行性疾病、自然灾害、重要数据泄露或丢失等,呈现出不断增加趋势。这些事件或灾害不但造成企业人员和财产的损失,还可能会引起企业的业务中断。而业务中断可能影响企业现金流收入,导致财务负担加重。还可能导致客户的潜在流失、员工士气低落及对企业的信任、企业声誉受损、市场份额降低等,35 严重情况下会直接决定企业的生存。 在2001年美国9.11恐怖袭击事件中,根据Gartner Group的相关调查统计,世贸中心双子大楼中共有1200家公司,其中仅400家公司执行了他们的灾难恢复计划。由于大多数公司没有建立灾难恢复系统,业务数据损失或丢失,导致业务无法恢复,最后只能宣布倒闭。在这次恐怖袭击中,位于世贸中心北楼的93层的Fred Alger基金管理公司当天上班的35人40 全部遇难,老板David Alger也在其中。而该公司在50英里外新泽西中心区的数据备份点将袭击之前所有的交易记录和研究报告进行了详细备份,并完好无损地保留了下来。所以,该公司迅速重建,在其他基金管理公司受恐怖袭击业绩下滑时,利润反而得到了较大的增加。 面对随时都有可能发生的突发事件或灾害,企业开始认识到未雨绸缪的重要性。企业高层和管理人员必须考虑如何应对这些风险以保证生存,尽快的恢复业务(特别是关键性业务)45 以确保企业可持续性发展。另外,在不断变化和充满竞争的环境中,一些关键的变化驱动力, 如:客户或委托方的期望、全球化、运作成本减少、降低预算、利润减少、伴随着业务模式和流程复杂性不断增加而使用的科技手段(特别是电子商务)、不断完善的法律法规、公司治理、组织改变和传统控制的衰弱、员工流动性不断增加引起的各层级高级员工流失等,要求金融服务等几乎所有的企业满足其正在开发和已建立的市场、委托方和客户的需要和要50 求。在这种背景下,业务持续管理作为一种新的风险管理方法,逐渐引起了人们的注意,受到各国政府、企业和学术界的高度重视。 1 业务持续管理的发展历程及一体化过程 根据BCI(Business Continuity Institute,业务持续协会)的定义,业务连续管理(BCM,Business Continuity Management)是一个整体性的管理流程,它能识别对组织构成威胁的潜55 在冲击,并提供一个建立快速恢复能力和有效反应能力的框架,从而保障关键的利益相关方的利益、声誉、品牌及创造价值的活动[1]。 1.1 业务持续发展历程 BCM在我国主要是由信息技术部门来推动的,更多的强调灾难恢复(Disaster Recovery, DR),在银行、电信、金融等行业更多地关注企业信息的安全和连续,多采用数据备份的60 方法以实现数据恢复(Data Recovery)。从专业范围来看,业务连续(BC,Business Continuity)的概念最早源于美国的“灾难恢复”[2]。灾难恢复(DR)是指从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态。后又经过业务恢复阶段,发展到现在的业务持续管理。其主要的发展历程如表1所示。 表1 BCM发展历程 65 时间段 项目 1970-1980年代 1990年代 2000年代 概念 灾难恢复 (Disaster Recovery) 业务恢复 (Business Recovery) 业务持续管理(BCM) 重点 数据中心运转中断 现场故障 (数据中心/办公室) 重要业务过程(包括供应链)中的运作风险 可交付项目 信息技术灾难恢复计划 业务恢复计划 业务连续性计划 驱动因素 早期法规 中央主机不断增加的重要性 电子商务 集中的ERP 公司治理 恐怖主义/生物威胁 供应链管理 典型事件 数据中心火灾或管线故障 关键呼叫中心运转中断 关键供应商破产或网站受到攻击 决策 可选 法定 从发展历程来看,BCM正在从以往的对物理设施的数据保障,逐步发展到涉及办公场所、人员安置、社会环境、供应链管理等多个层面的,从单一的信息部门向整个企业扩展,以保障业务持续性为重点,对业务及其支撑体系实现动态建设和动态管理。因此,业务持续性管理是全方位的管理,而在我国目前大多停留在以信息部门数据恢复为主的灾难恢复的单一层70 面。 1.2 业务持续管理的一体化过程 与传统的以数据恢复为主要特征的灾害恢复或信息技术灾害恢复(ITDR,Information Tech- nology Disaster Recovery),以及以“灾后应对”为主要特征的风险管理和应急管理等方法相比较,业务持续管理以“预防为主”,关注对潜在的灾难危险加以辨别并进行分75 析,以确定其对企业运作造成的威胁,并建立一个完善的业务持续计划(BCP, Business Continuity Planning),防止或减少灾难事件给企业带来的损失。它需要把多学科、多部门、多领域的方法,如:风险管理、灾害恢复、设备管理、供应链管理、质量管理、健康安全、知识管理、应急管理、安全管理、危机沟通和公共关系、人力资源和环境管理等,全方位地集成和整合为一体化过程(图1)。BCM以业务驱动流程化,它所集成的这些领域都是该80 流程的重要元素,该流程通过有效的、适合目标的BCM竞争力和能力,推动和提供组织/行业的弹性[3]。 时 间 比 较 项 85 90 图1 业务持续管理的一体化过程 2 业务持续管理体系构建 2.1 业务持续管理生命循环图 企业构建业务持续管理体系,不能只着眼于IT系统的备份与恢复,更重要的是确定或95 者构建嵌于企业生命周期的业务连续性管理目标、策略、制度、组织和资源。为此,企业首先需要将BCM植入企业文化中,然后理解组织业务,制定BCM战略,开发并实施BCM响应计划,最后进行演练、完善和维护,如图2所示。该体系为企业审查和重新设计组织提供产品和服务的方式,增加其对于暂时破坏、中断或损失的弹性,提供了战略和运作的框架。而这种框架现在已从企业向政府、公共部门、非政府组织等扩展,适用于任何组织和团体。 100 105 110 图2 业务持续管理生命循环图 从图2可知,BCM生命循环由六个阶段构成,而各阶段之间是互动的。随着第1阶段向第6阶段的发展,BCM的成熟度水平也在逐次提高。BCM的发展阶段、对应的成熟度水平、各阶段的主要工作过程以及相应的主要组成部分如表2所示。 115 表2 业务持续管理各阶段主要工作过程及组成部分 成熟度水平及BCM阶段 业务持续管理过程 主要组成部分 1 业务影响分析(Business Impact Analysis,BIA) 风险评估和控制 业务持续管理 风险管理 灾害恢复 设施管理 供应链管理 质量管理 健康安全 知识管理 应急管理 安全管理 危机沟通和公共关系 人力资源管理 环境管理 3、开发实施BCM响应计划 植 入 企 业 文 化 6、BCM 计划管理 1、理解业务 2、业务持续战略 5、演练、维护和审计 4 组织战略 (运作和业务目标) 关键业务因素(重要任务活动) 业务结果 (服务/产品) 阶段1:理解业务 表2(续表) 成熟度水平及BCM阶段 业务持续管理过程 主要组成部分 2 组织(法人)BCM战略 过程层BCM战略 资源恢复BCM战略 3 计划和计划编制 外部机构和组织 危机/BCM事件管理 资源(组织内部资源和/或外包提供者) 应急反应和运作 通讯 公共关系和媒体 4 有关教育、意识和培训的持续规划 5 BCM计划的演练 员工/BCM团队的预演 技术/BCM系统的测试 BCM维护 BCM审查 5 BCM计划的演练 员工/BCM团队的预演 技术/BCM系统的测试 BCM维护 BCM审查 6 董事会承诺、主动参与 组织(公司)BCM战略 BCM政策和BCM框架 角色/义务/责任/权力 财政、资源、保险、审计 管理信息系统:度量/记分卡/基准 合规性:法律法规问题 2.2 业务持续管理原则 Clas(2008)列出了业务持续管理的10个必要因素[2],这些因素现在被美国持续管理协120 会(Institute of Continuity Management)和英国业务持续协会(Business Continuity Institute)普遍接受,作为业务持续管理的基本原则,成为10个国际最佳专业惯例。这10条原则及其主要工作目标如表3所示。 学术论文网Tag:代写硕士论文 代写论文 代写MBA论文 代写博士论文 |
