业务持续性管理(BCM)是一套一体化的管理流程,能够对潜在的灾难加以辨别分析,帮助企业确定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失,在冲击发生的前、中、后期采取相应的措施,使其对业务的影响最小化。BCM能够为企业提供业务中断及恢复的战略和操作层面的框架。
总的来说,BCM涵盖了危机管理、风险管理、灾难恢复、设施管理、供应链管理、质量管理、安全管理、知识管理、应急管理、沟通和公关、人力资源管理、环境管理等内容。值得注意的是,BCM不是一项单一的技术,而是由业务自身驱动的综合技术、管理的系统工程。
BCM的生命周期
BCM是一个一体化的动态管理流程,它必须根据情况适时更新并保持有效。其生命周期可用以下六个阶段来描述。(如图1所示)
第一阶段:BCM项目管理
确定业务持续管理过程的需求,向高级管理层汇报并获得高级管理层的批准;建立一个BCM指导委员会和危机管理小组(CMT),确定角色和职责、机构的类型以及成员;制定BCM项目计划和预算;协调和组织管理BCM项目,使其符合时间和预算的限制;制定BCM程序管理的有关规定、标准和指导方针,以对项目进行有效评估、控制和审计,使BCM项目管理贯穿整个BCM过程。
第二阶段:熟悉和理解业务
明确业务目标,识别关键业务流程,以及业务流程得以实现的关键因素;进行风险分析(RA),识别可能造成关键业务中断的灾难、具有负面影响的事件等因素,可控的风险与控制范围以外的风险,确定由这些风险可能造成的直接经济损失;确定业务系统的弱点,明确防范控制风险种类的技术和管理措施;确定业务中断的影响程度,进行业务冲击分析(BIA),识别关键业务以及业务的优先级,识别由于业务中断造成的直接和间接后果,确定可以接受的损失范围,关键业务恢复的优先顺序以及恢复时间目标(RTO),如图2所示。
第三阶段:制定业务持续策略
确定和指导业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键功能,应该强调的是灾难恢复时间目标RTO必须考虑成本,如图3所示;确定当前系统恢复能力与恢复时间目标的差距;结合风险分析和业务冲击分析的结果,确定灾难恢复所需的各种资源,结合技术手段、投资成本、管理方式、获得的收益等多方面因素确定不同的解决方案和措施,形成组织BCM策略、过程层面BCM策略、资源恢复BCM策略三个层次的业务持续策略。
第四阶段:开发并执行业务持续计划
确定计划制定的需求,识别和定义主要计划要件的格式和结构,建立计划分发和控制规程,根据制定的策略,设计、制定和实施一系列的业务持续性计划,以便在恢复时间目标范围内完成恢复。包括业务持续计划(BCP)、危机管理计划(CMP)、资源恢复计划(RRP)、灾难恢复计划(DRP)、业务恢复计划(BRP)、危机通信计划(CTP)、场地撤离计划(FEP)、应急反应计划(ERP)、人力资源计划(HRP)等等(不仅限于此),每一项计划的侧重点不同,可以彼此作为附件,要根据具体情况因地制宜开发,其核心都是有效地保障业务持续运行,如图4所示。
第五阶段:建立并形成BCM文化
确定意识培养和培训的目标,制定针对管理层、关键岗位、新员工岗前和现有员工意识培养计划,提供专业会议和课程、出版物和相关的互联网站点等各种类型的培训项目,建立对机构人员进行意识培养和技能培训的项目,将BCM融入常态管理,以使业务持续性计划能够得到制定、实施、维护和执行。
第六阶段:计划演练、维护和审计
预先对计划和计划间的协调性进行演练,评估和记录计划演练的结果,检验企业的BCM能力及水平,并不断改进,确保BCM及水平保持着有效及实用性且符合业务的要求。通过与适当标准的比较来验证BCM的效率,并使用简明的语言报告验证结果。
成为国际通用规则
从国际成功经验来看,那些及时引入BCM、BCP的企业和机构,之所以能够在灾难事件面前处乱不惊、化险为夷,主要在于它们能够借助先进的业务持续管理解决方案,有效地保护其核心业务的持续运行。时至今日,BCM、BCP已成为应对危机事件的国际通用规则。
目前国际上关于业务持续管理的专业机构有国际应急管理者协会(IAEM)、业务持续协会(Business Continuity Institute,BCI)、灾难恢复协会(Disaster Recovery Institute,DRI)和突发事件规划者协会(ACP)。已经建立了业务持续管理专业机构的国家和地区包括:英国、澳大利亚、奥地利、比利时、加拿大、丹麦、爱尔兰、德国、希腊、以色列、日本、马来西亚、新西兰、俄罗斯、新加坡、南非、荷兰、泰国、美国、墨西哥和西印度群岛等。
同时,经过业务持续管理专业机构的努力和各国政府的大力支持,国际上已经制定出了成型的BCM标准和具体的行业规范。在许多国家,如英国,拥有行之有效的业务持续管理计划已经成为企业上市的基本要求;在美国,企业法对业务持续管理的具体措施也有明确的要求;美国联邦储备委员会(BOARD)、财务部金融管理局(OCC)和政权交易委员会(SEC)等机构对美国金融行业的灾难备份建设制定了相应的指南、管理条例和公告。在新加坡,已经拥有若干个业务持续管理的标准流程和规范,例如新加坡金融管理局已经制定了SS507标准、新加坡标准/生产力和创新局的TR19标准、新加坡中央银行的MAS BCM规范。2008年4月,英国标准委员会向全球发布了BS 25999 BCM标准。这些标准和规范皆为BCM的应用打下了良好的基础,便于相关企业和机构参照遵循。
