|
3 相关理论的关系分析 从表3中10条原则及其主要工作目标可以看出,2、3、4主要是灾害恢复和风险管理 125 组织(法人)BCM战略 过程层BCM战略 资源恢复BCM战略 阶段2:BCM战略 业务持续计划(BCP) 资源恢复计划和对策 危机管理计划 阶段3:开发和实施BCM响应:计划和对策 BCM文化和认知计划 教育和文化建设活动 BCM培训 计划 阶段4:建设和植入BCM文化 BCM演练 BCM维护 BCM审查 阶段5:BCM演练、维护和审查 BCM 计划管理 BCM 政策 BCM 保证 阶段6:BCM计划管理 BCM演练 BCM维护 BCM审查 阶段5:BCM演练、维护和审查 表3 10个国际最佳专业惯例 序号 基本原则(专业惯例名称) 主要工作目标 1 项目启动与管理 确定BC计划编制的需求 获得高管层的支持 建立BCM组织及责任 明确BCM项目的范围 确定计划编制时间表 2 风险评估和控制 识别可能的不利事件和威胁 信息的收集和分析方法 确认可能的风险和损害 确定应采取的控制措施 对所采取的措施进行评价 3 业务影响分析 确认中断对业务的冲击 定量及定性地衡量冲击 确认关键业务功能和流程 确定优先级别和互依赖性 确定RTO及RPO 4 制定业务持续战略 根据RA和BIA的结果制定策略 包括企业级策略和部门级策略 进行成本效益分析 选择最佳的策略 5 应急响应和运作 制定和贯彻应急响应程序 使事件发生后的情形得到稳定 建立和管理EOC 将BC程序与应急响应程序相集成 6 业务持续计划 确定计划编制的要求 确定计划的结构和形式 编制业务持续计划 贯彻执行业务持续计划 建立计划分发和控制程序 7 认知和培训计划 确定认知与培训的目标 制定各种认知与培训计划 开发认知与培训的方法和工具 确认其他教育机会 8 业务持续计划演练、审查和维护 设计和协调BC计划的演练 评价演练结果 制定维护更新BC计划的流程 验证BC计划的有效性 以简明的方式报告结果 9 危机沟通 制定和演练危机沟通计划 与各利益相关者的沟通 与外部机构、媒体的沟通 10 与外部机构协调 建立与外部机构协调的流程 制定与外部机构的演练程序 的相关理论和方法,5主要是应急管理,而9、10则是危机管理的相关理论与方法。业务持续管理作为风险管理的新方法,是对现有风险管理方面的主要理论,如灾难恢复、风险管理、危机管理、应急管理等的整合。它们的关注点、着眼点有所不同,相互比较关系如表4所示。 130 3.1 灾难恢复 灾难恢复,更多地指代信息技术与管理方面所遭受灾难恢复。是在自然、技术或人为灾害后,重新启用信息系统的数据、硬件及软件设备,以保证数据的安全性和业务连续性,恢复正常商业运作的过程。灾难恢复计划(Disaster Recovery Planning,DRP)是业务持续计划的一部分,其核心即对企业或机构的灾难性风险作出评估、防范,特别强调对关键性业务135 数据、流程予以及时记录、备份和保护,以尽可能快的速度使企业恢复到灾害发生前的生产水平[4]。 表4 风险管理不同方法关注点的比较 理 论 主要关注点 灾难恢复—DR (Disaster Management) 信息系统的恢复 主要用于数据和信息系统的保护 风险管理—RM ( Risk Management) 风险的分析、预防和控制 偏重有形资产、忽视无形资产 危机管理—CM ( Crisis Management) 危机事件的演变和机理 主要用于突发事件的处理 考虑对企业品牌的影响力 应急管理—EM (Emergency Management) 突发事件的应对和处理 多以政府为主体 业务持续管理—BCM 灾难中企业的生存 以恢复业务为焦点,确保在预定的时间内恢复业务运行 以业务为导向,是企业的整体行为 综合运用以上各种方法 3.2 风险管理 140 对于现代企业而言,风险管理是透过辨识、衡量、预测、监控、报告来管理风险,采取有效方法设法降低成本;有计划地处理风险,以保障企业顺利运营。风险管理的基本程序主要包括风险辨识、风险预测、风险评价、风险控制和风险管理效果评价等环节,主要关注风险的分析、预防和控制[5]。从BCM的视角分析,风险管理可分成三个独立的过程:风险辨识、风险评价和业务影响分析(Business Impact Analysis,BIA)。灾难发生不仅考验企业的145 风险管理能力,更考验企业持续性发展能力。因此,企业应重视风险管理,推动业务持续管理的建设。 3.3 危机管理 3.3.1 危机管理4R模式 罗伯特·希斯(Robrt Heath)在《危机管理》一书中率先提出危机管理4R模式,即危150 机管理由缩减(Reduction)、预备(Readiness)、反应(Response)和恢复(Recovery)四个阶段组成(如图3所示)。 155 160 165 缩减管理是危机管理的核心内容。主要从环境、结构、系统和人员几个方面,通过对企业内外部环境的风险评估,发现潜在风险后及时采取措施进行风险管理,努力提高企业成员的风险意识、危机管理意识和企业素质,来尽量降低可能出现的风险。 170 管理 危机管理团队 危机预警系统 危机管理计划 培训和演习 确认危机 隔离危机 处理危机 消除危机 危机影响分析 危机恢复计划 展开恢复行动 危机转为机遇 预备(Readiness) 反应(Response) 恢复(Recovery) 缩减(Reduction) 风险评估 风险管理 企业素质 图3 危机管理4R模式 预备管理主要是进行危机的防范工作。企业可组建由各方面的专家构成的危机管理团队,制定危机管理计划和完整而有效的危机预警系统。另外,通过培训和演习,使员工掌握一定的危机处理方法,具备从容应对危机的能力。 反应力主要是进行危机的应对工作。企业需要解决的问题有:如何能够获得更多的时间以应对危机、如何能够更多地获得全面真实的信息以便了解危机波及的程度、如何在危机来175 临之后以最小的损失应对危机。危机应对的策略一般包括四个步骤:确认危机、隔离危机、处理危机和总结危机。危机沟通、媒体管理、决策制定、与利益相关者进行沟通等,也属于危机反应管理的范畴。 恢复力主要包括两个方面:一是指在危机发生并得到控制后着手后续形象恢复和提升;二是指在危机管理结束后的总结阶段,为今后的危机管理提供经验和支持,避免重蹈历史覆180 辙。 以4R理论为核心的危机管理主要关注的是危机事件的演变和发展机理,更多的用于突发事件的处理和对企业品牌的影响,为企业如何主动应对危机做出了指导。 3.3.2 BCM与危机管理的相互关系 根据BCI发布的“BCM—良好实践指南”,BCM属于公司治理的一个完整部分[1]。危机185 管理和BCM是一个完整业务持续过程的两个要素(如图4所示),并且经常地缺一不可而又彼此相互支持。 190 195 图4 业务持续管理与风险管理协同关系示意图 虽然危机管理和BCM可单独地基于不同的事件类型得到应用,但它们之间并非彼此独立和相互排斥的。BCM作为一项综合管理流程,它使企业认识到潜在的危机和相关影响(危机200 管理计划),制定相应的业务恢复计划。其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。 3.4 应急管理 应急管理是主要用于应对特重大事故灾害,是指政府及其他公共机构在突发事件的事前预防、事发应对、事中处置和善后管理过程中,通过建立必要的应对机制,采取一系列必要205 措施,保障公众生命财产安全,促进社会和谐发展的有关活动。威胁包括人的威胁、物的威胁和责任威胁三大类,由意外事故、意外事故发生的可能性及蕴藏意外事故发生可能性的危险状态构成。 与危机管理相同,应急管理也包括预防、准备、相应和恢复四个阶段。这些阶段往往重叠,它们中的每一部分都有自己单独的目标,并且成为下个阶段内容的一部分。但应急管理210 更多地是从政府的角度,进行公共事件等突发事件的应对和处理。无论是在灾中和灾后,政府的主要工作是解决如人员疏散、搜救、伤亡人员处理、建立避难场所、灾后重建等问题,而并非帮助企业尽快恢复生产。因此,企业应该考虑如何自救、互救,尽量地避免各类技术性、人为性事故或灾害。在各类事故和灾害不可避免地发生时,企业该如何尽快地恢复关键业务运行(或至少保持非常态化运行),保障其主体功能的生产能力、运行能力或服务能力215 场所物资抢救/恢复 业务正常 重新安排职员 关键职员 恢复技术 管理危机 公司治理 业务持续管理 场所恢复计划 业务持续计划 工作区恢复计划 人力资源计划 技术恢复计划 危机管理计划 水平,以最大限度地减少事故和灾害对企业的影响,将损失减少到最小化。在突发事件应对中,相对于不具备业务持续计划的应急管理,具备业务持续计划的应急管理对企业业务的服务由于能尽快地恢复关键业务运行(或非常态化运行),因此能提前达到生产、运营或服务能力的主体功能能力水平(如图5所示)。 220 225 230 图5 具备(不具备)业务持续的应急管理 3.5 几种理论方法之间的相互关系 可根据事件(或灾害)发生的时间段和过程,将各类突发事件分为事件发生前、事件进235 行中和事件发生后三个阶段。这三个阶段的目标和主要工作可用6R模型表示,如表5所示。事前主要考虑事件的预防、减小和做好应对准备,事中主要考虑事件的应对和业务重启,事后主要考虑重建和所有设备、设施、人员返回到正常状态。 表5 突发事件应对的6R模型 时间段 6R 目标 主要工作 事前 Reduce 减少 预防和控制措施 做好应对准备 事中 Respond 响应 应急响应和损失评估 Recover 恢复 恢复关键功能 学术论文网Tag:代写硕士论文 代写论文 代写MBA论文 代写博士论文 |
