网络安全和业务连续性管理·业务连续性问与答·Q4
问题: BCM有什么价值,即为什么要做BCM,或为什么不愿意做BCM?
简答: 业务连续性管理可以增强组织应对运营中断事件的能力,完善组织日常的运营管理;业务连续性管理是管理层而非股东的直接职责,它可以帮助降低收益波动,提升股东价值,促进高管人员的职业和财产安全。下面予以详明说明(另附我国业务连续性管理水平不高的原因分析)
业务连续性管理可以增强组织应对运营中断事件的能力,完善组织日常的运营管理
我们知道, 业务连续性是一种组织能力 ,这种组织能力使得组织在中断发生后,能在预先确定的可接受的水平上持续交付产品或提供服务; 业务连续性管理则是一整套的管理过程 ,它可以识别一旦发生可能对业务运行带来影响的潜在威胁,并为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。 业务连续性管理体系是组织管理体系的一部分,用于建立、实施、运行、监视、评审、保持和改进业务连续性 ,它由方针,职责明确的人员,与方针、策划、实施和过行、绩效评估、管理评审、改进相关的管理过程,提供含有审核证据的文件等关键部分组成。
增强组织应对运营中断事件的能力
今天,众多组织都面临着自然灾害、恐怖主义、流行性疾病和极端天气等全球性风险的挑战,还需要防范黑客攻击、人为操作失误,排查信息技术障碍。人类左右不了大自然的喜怒无常,也无法阻挡灾难疫情的发生,更不可能防止百密一疏的人为失误 。乌卡(VUCA)时代的到来,更是让组织极易陷入顾此失彼、左支右绌的境地,而业务连续性管理增强了组织应对运营中断事件的能力,极大的缓解了组织面临的压力。
业务连续性管理的根本目标是通过理顺治理机制,形成应对突发事件、灾害灾难的多部门协同体系,保障业务的持续运营。构建业务连续性管理体系首先需要分析组织内外部环境现状,管理层明确风险偏好以及整体战略。通过建立合理的业务连续性治理机制,使焦点聚焦于关键高风险领域。基于确定的业务板块开展业务影响分析、风险评估、资源和能力评估,可以帮助组织更好地了解可能造成运营中断的主要危险场景,以及一旦发生运营中断,随时间推移可能造成的损失和影响,以及确定的最低产品和服务交付目标、恢复时间目标(RTO)、恢复点目标(RPO)和业务恢复优先顺序,并进一步确定为保证业务持续运营所需要的资源和能力目标、评估组织及其可获得的资源和能力现状;根据业务影响分析/风险评估的结果、资源和能力差距可以进一步确定业务连续性策略、综合/专项应急预案、业务恢复预案以及资源和能力建设规划;并可以持续开展宣贯培训及演练以加强员工的意识和能力。
对特定组织来说,通过建立业务连续性管理体系,在发生运营中断事件后,组织各部门可以根据确定的恢复优先顺序、所需最低关键资源投入、事件处理和危机沟通机制,有条不紊地在目标时间内开展应急响应和业务恢复工作,通过危机沟通维护组织形象,消除其它利益相关方的顾虑。业务连续性管理的实施有助于组织更快更有序地恢复,使组织业务中断损失最小化,最大程度地减少收入的损失、客户的流失,增加投资者、股东和消费者的信心,维护组织的形象和声誉。“9.11”事件后,摩根士丹利第二天宣布全面恢复营业,德意志银行在“9.11”当天完成3000亿美元以上的巨额交易。两家银行能迅速化解灾难,正是源于成熟的业务连续性管理机制。
对行业来说,随着经济、金融全球化和信息技术发展的加速,行业中各组织的关联度也逐步提升,甚至国家与国家之间的相互依赖度也不断加强,单个组织的运营中断可能产生蝴蝶效应,使风险迅速大范围扩散。业务连续性管理的实施将提高全行业的抗风险能力和稳定性,对行业长期、可持续健康发展具有深远的意义。
“人是万物的尺度”,在业务连续性管理体系中,“人”仍处于关键资源的中心。首先,员工是组织最重要的资产之一,业务连续性管理体系将综合分析和评估对员工人身安全产生威胁的事件,并制定各事件下的应对策略、预案和措施,更好地保护员工的生命安全,也让员工有更强烈的安全感、归属感和忠诚度。其次,组织业务连续性管理体系的建设、实施、运行、监视、评审、保持和改进,都需要高素质、负责任的员工来推动;技术(装备)、流程(预案/方案/计划/程序)要形成“战斗力”,都需要高素质、负责任的员工来执行。
小知识:VUCA时代
曾经我们生活在一个非常有序的社会里——农耕社会。在农耕社会里,我们所做的就是循着先祖们的道路,按他们所总结出来的道理而行事。没有太多变迁,一切都非常有序。“芒种”播种,“清明”插秧,一切活动都按照时节而行。春种秋收,日出而作,日落而息,如此循环往复,千载不变。
但是,人类社会进入工业社会以后,开始步入了快车道,尤其是在当前伴随着信息社会的到来,越来越加速进入VUCA时代。VUCA时代?它到底是什么呢?
VUCA是指组织处于多变(Volatile)、不确定(Uncertain)、复杂(Complex)和模糊(Ambiguous)的状态中。
VUCA的概念是由美军在20世纪90年引入用来描述冷战结束后更加多变、不确定、复杂和模糊的多边世界。在2001年9月11日恐怖袭击后,这一概念和首字母缩写才真正被确定下来。随后,“VUCA”被商业领袖用来描述已成为“新常态”的、混乱、动荡和快速变化的商业环境。
在《世界是平的》一书中,托马斯·弗里德曼指出,当今世界改变的速度已与过去不同,每当文明经历颠覆性的技术革命时,都给世界带来了深刻的变化。从各方面来看,商业中混乱的“新常态”是真实的。例如,2008 - 2009年的金融危机使许多商业模式过时,全世界的各类组织都陷入了类似于军方面临的动荡环境。与此同时,随着社交媒体等新技术发展的爆发,世界人口继续增长和老龄化,全球性的灾难扰乱了个人,企业和经济环境。
VUCA时代的变化经常呈现跳跃性和震荡性,会产生很多破坏性的现象,比如信息爆炸、突发事件频繁、资源紧缺、员工投入度低等,给组织带来更多的风险,很多组织如不能及时调整方向,无法快速适应新的环境,就会因为错误的假设而迷失,因为错误的航标而消失。
完善组织日常的运营管理
随着业务连续性管理的概念得到越来越多行业的重视,监管部门也陆续出台了相关的规章制度来规范行业业务连续性管理,并不断加强检查力度。另一方面,越来越多的企业将非核心业务进行外包,导致外包风险日益突出。此外上下游企业依赖程度高的行业中,供应商或物流运输渠道过分集中,有较高的集中度风险。这两种风险的共同点就是外部第三方服务中断时对企业经营造成影响。组织通过建立业务连续性管理机制,可以加强对第三方业务连续性管理的要求,以此保障组织自身业务的持续运营。
此外,在业务连续性管理体系策划、建设、实施、运行、保持和改进过程中,组织需要了解组织内外部环境现状,主动识别主要危险场景、运营中断的影响,明确产品和服务的重要程度以及最低交付水平,评估业务的脆弱性,并根据业务之间的依赖关系确定恢复顺序,这些知识能够让高管团队、业务部门更深入地了解业务及其支撑要素,从而有效改进业务运营效率。
从长远来看,业务连续性管理的价值并非仅仅是组织满足合规要求、应对灾难、提高生存能力的工具,在许多发达国家,业务连续性管理已成为改善经营管理、承担社会责任的基本准则,是组织提高风险预测和快速应对能力、适应需求变化和威胁,保持竞争优势的重要基础。
银行业为什么对业务连续性管理格外关注?
从内部看,如何化险为夷躲过“灭顶之灾”,把灾难造成的影响降到最低,是关于银行生死存亡的大计。首先是运营中断可能造成的巨大(的财务)损失,这包括业务损失,员工误工成本,为业务恢复所投入的软、硬件、人员及第三方服务成本,可能的监管罚款(和评级下调),因损失引发的客户索赔及诉讼等。其次是风险的日趋集中,网络时代的来临,给银行带来了数据大集中的深入发展以及以网络银行、电子商务为特征的新的银行运营模式,银行管理者越来越意识到,集中到一起的不仅仅是数据,还有风险。原来分散于各个省、市分支行处理的业务,现在都要集中到全国的数据中心,一旦数据中心发生灾难事件,影响的不仅是一类业务、一个市、一个省,而是全国范围。第三是客户的流失,银行服务水平是保证公众信心的关键,而业务运营的不间断是公众衡量银行服务水平的关键因素,不断发生中断事件或延长中断事件的恢复时间会削减公众信心,并从而引发汇兑损失、存款安全、贷款资金安全、客户损失等一系列问题,造成客户资源的损失,严重的还可能引发挤兑事件。
从外部看,银行的业务中断可能引发“蝴蝶效应”,波及整个社会。试想有一天客户无法提取存款,无法向亲朋好友汇款,无法通过网上银行进行支付,无法缴付水电费、燃气费,无法进行股票、基金交易;企事业单位无法进行工资发放,无法正常进行交易资金交付;国家无法进行国库资金的集中支付,生活将是如何混乱。在不知不觉中,这些银行服务已经渗透到政治、经济以及居民日常生活的各个领域,而银行之间以及银行与其他行业间相互依存度也日益加深,一家银行的业务中断的影响会接而连三地扩散到其他银行、全球金融市场甚至其他领域,造成连锁反应,进而引发更深层的社会危机。
笼统而言,业务连续性管理是通过一系列企业资源和流程安排,使一个组织在突发风险事件前能够迅速作出反应,确保关键业务功能可以持续有效,从而避免业务中断或控制中断的负面影响。业务连续性管理的长期回报显而易见。首先是稳定投资者和存款客户的信心,消除对银行能否持续经营的顾虑;其次是避免对金融体系的负面外部影响,履行社会责任;再次是借助控制业务持续开展的手段,发现改善关键资源配置、优化流程、提升作业效率的机会。
其它关键基础设施及公共服务行业、供应链中的“链主”企业在运营中断风险面前的处境类似,也都(应该)对业务连续性格外关注。
业务连续性管理是管理层的直接职责,它可以帮助降低收益波动,提升股东价值,促进高管人员的职业和财产安全
业务连续性管理可以通过降低企业运营中断的可能性或者快速恢复中断业务,最小化运营中断带来的损失,阻止企业陷入财务困境时的大额成本来增加公司价值,;从公司信誉和竞争力等无形价值资产角度考虑,良好的业务连续性管理可以充分保护利益相关人利益,提高和维护公司信誉及利益相关人信任,有助于全面提高企业竞争力。除此以外,至少还有以下理由可以说明业务连续性管理的重要性。
第一:管理运营中断风险是管理层而不是股东的直接职责 本质上,投资者可以自行通过分散的投资组合来降低风险,但即使专业的基金经理也不可能获取到有效风险管理所需要的足够的内部信息(包括有关风险/收益的历史资料、波动率和相关性,企业当前的风险敞口和集中度,可能改变公司风险特征的未来经营和投资计划等)。对企业的管理层,虽然他们能优先知晓有关信息并有风险管理系统和专家们的支持,但是计量和管理企业整体风险对他们而言仍是一个巨大的挑战。股东们能够做到的主要工作是挑选出一个具有足够独立性、全心全意为股东服务并对风险足够敏锐的董事会来代表他们的利益,以及当他们对公司管理水平不满时用脚投票卖出股票。由此可见,确保公司达到它的经营目标,承担符合公司风险偏好的适当风险是管理层永恒的职责。从这个角度,尽管风险管理的成本有时看上去非常高昴,但它是企业所必须付出的代价。基于此,我们可以说,管理一家企业的风险是管理层而不是投东的直接责任,对运营中断风险当然也是如此。
第二:业务连续性管理可以帮助降低收益波动 对运营中断风险进行主动管理的公司,在应对运营中断事件时将可以更为从容地根据预先确定的策略、准备的资源和预案进行应急响应和业务恢复,使自身利益最大化。反之,那些未对运营中断风险进行有效管理的企业只能疲于奔命,采取临时应对措施,给运营带来困难,有统计表明,在经历大型灾难而导致业务中断的企业中,有40%再也没有恢复运营,剩下的企业中也有接近35%在两年内破产。而在“9.11”后,具有业务连续性管理预案的企业中有84%幸免于难并恢复了全部生产能力。
第三:业务连续性管理可以帮助提升股东价值 除了降低收益波动外,业务连续性管理还可以帮助企业达到它的经营目标来提升股东价值。在实务中,业务连续性管理可以通过以下方式提升股东价值: (1)促使各业务的目标与企业的整体经营目标、风险目标保持一致; (2)保障业务运营底线最小化投入成本、充分获取业务的风险收益; (3)防止大的损失和对公司声誉品牌的损害。 此外,积极的业务连续性管理还可以减少商业活动的不确定性支持公司效益的全面增长。
第四:业务连续性管理促进高管人员的职业和财务安全 就个人层次来看,业务连续性管理最引人注目的益处是它有助于高管人员的职业和财务安全。随着法律法规和监管要求的完善,公司董事、监事和高管人员面临越来越大的责任和职业风险,除了原公司法规定的民事责任和刑事责任外,他们还有可能承担以下风险:因关联交易损害公司利益而承担的赔偿任;公司对外担保和投资业务中的赔偿责任;因签署违法而宣告无效的合同或者开展违法业务产生的赔偿责任;面临不信任股东查账的风险;面临被股东起诉追究责任的风险。
通过有效的业务连续性管理,可以使管理者积极作为,对可能造成重大损失的风险事件事先制定应对方案及应急预案,在损失发生前尽力降低风险发生的可能性,在损失发生后,使其破坏力最小化,结果使管理者的利益和股东利益同一化。在一定程度上,业务连续性管理可以提供给管理者更高程度的职业安全并且保证他们在公司里的价值,使其手中的期权更有价值。可以说,“业务连续性管理的最大价值就是让一把手显著提升睡眠质量。”
下表给出了业务连续性管理的特点、优点、好处和影响(即FABI):
特点(Features) 是什么或有什么 优点 (Advantages) 能做什么 好处(Benefits) 带来什么好处 影响(Impacts) 造成什么影响 • 分析内外部环境,明确BCMS目标 • 理顺BCM治理结构 • 确定组织风险偏好 • 发布业务连续性方针 • 风险评估 • 业务影响分析 • 资源和能力现状评估 • 确定(风险管理和)业务连续性策略 • 制定风险处置计划 • 编制应急和业务恢复预案 • 关键资源建设规划 • 宣贯培训 • 演练 • 内部审核 • 管理评审 • 持续改进 • 主动识别主要危险场景 • 主动识别运营中断的影响 • 明确最低的产品和服务交付水平 • 经过测试和及时更新的预案可以挽救生命 • 能够让高管团队、业务部门更深入地了解业务及其支撑要素 • 能够在中断事件后发生后快速做出正确的决定,采取有效措施,快速恢复业务运营,最大限度地减少对组织的影响 • 能够满足RTO/RPO要求,在危机状况下保持业务持续运营,保护声誉和品牌 • 高管层能够以正式的、有计划的方式测试组织应对中断事件的能力 • 员工能够了解到自己的工作没有重大风险敞口,且组织已采取措施保护业务 • 支持法律法规要求,满足监管要求和合同义务,取得第三方认证 • 保护相关方的利益 • 确保交付产品和服务的连续性 • 改善业务绩效 • 确保供应链的安全 • 确保员工和访客的健康和安全 • 使业务和组织更具韧性 • 帮助创建或加强风险文化 • 在组织/业务中建立信心 • 建立客户信任和信心 • 提升竞争优势,客户更喜欢您的产品和服务 • 显著降低中断成本 • 防止或尽量减少财务损失 • 降低保险费率 • 保护品牌价值 • 降低声誉和财务风险 • 降低收益波动 • 保护组织在不确定时期的声誉 • 提高您的声誉 • 提升投资者(股东)信心 • 更高的客户满意度(维护/保留主要客户,保护市场份额) • 更高的竞争优势(获得新的客户和市场份额) • 韧性的供应链和社区 • 提升营业额和毛利润 • 提升投资回报率和股东价值 • 更高的公司价值/股价(满意的投资者) • 满意的监管组织 • 承担社会责任的企业形象 • 让员工无后顾之忧,提升员工满意度 • 让CEO(和管理层)在晚上睡得更好,促进高管人员的职业和财务安全 业务连续性管理的特点、优点、好处和影响(FABI)
为什么我国的业务连续性管理水平不高,有待进一步发展
目前,我国除了银行业(强行业监管)、部分外资企业(因总部要求)、部分外向型企业(因客户要求)及面向公众服务的服务型业务(因竞争需要)外对于业务连续性管理的认识和意识显然尚处于低洼地带。即使在银行业,仍有相当一部分中小商业银行停留在IT灾备和应急管理阶段,对于业务灾备场地、人员备份、备用通信设施等方面少有准备;在商业银行中除了少数推动业务连续性管理体系建设的部门外,多数部门和分支组织对“低频高损”的运营中断事件仍抱有“侥幸”或“自认倒霉”的态度,这进一步反映了我国业务连续性管理的意识和建设水平滞后。认真分析,深层次的原因有以下几个方面:
首先,中西方信息化发展程度的不同使业务连续性管理体系的认识起点和基础不同。欧美发达国家的信息化始于20世纪60年代,而我国的信息化始于20世纪80年代后期,20年的建设和发展的优势,使欧美发达国家建立起了较为成熟的系统灾备体系,并进一步展开了更为广泛的现代业务连续性管理的研究,将业务连续性管理不仅作为全面风险管理的组成部分之一,更是创造核心竞争力,实现业务发展的助推器。而我国多数行业尚处于系统灾备体系的建设完善阶段,对于业务连续性管理体系的概念、范围以及工作内容的认知道路还很长远。
其次,中西方企业所有制体制的不同,对业务连续性的发展起到了不同的影响。西方先进企业绝大部分实行私有制,这决定了其必然以追逐企业价值最大化为根本目标,而灾难事件对于企业的伤害轻则是财产损失和声誉损失,重则招致倒闭的灭顶之灾,面对关乎生死存亡的大计,企业自然有动力推进并完善业务连续性管理体系建设工作,以最小化灾难事件给企业带来的影响。而我国重要的大型企业的大股东大都是政府,政府出于社会稳定性考虑,面对灾难事件等给企业带来的损失或影响,自然不能坐视不理,这样企业就没有后顾之忧。而经典的业务连续性管理体系建设本身耗资巨大、实施周期漫长且不到灾难之时难见成果,而这种投入与企业的高层管理人员的绩效考评是相矛盾的,权衡利弊,中国企业的高层管理人员难免表现出实施业务连续性管理的主动性不足的现象。这些差异使中西方在业务连续性管理体系的建设路径有了差异,西方通常是卓越企业的先进实践推动行业和各国监管组织业务连续性管理制度的建设,从而推动整个行业业务连续性管理体系的建议和完善;国内业务连续性管理体系建设主要靠国家政府部门、相关监管机构发布的监管要求来推动,大多数国内企业抱着“不求有功,但求无过”的思想,对国家政府制度有明确规定的坚决执行,对投资大、见效慢、发生概率小的突发事件管理方面的建设和发展持谨慎态度,而国内业务连续性管理方面目前只有银行业建立了比较严格的监管要求,这最终形成了国内业务连续性管理体系建设迟缓的现象。
第三,文化差异也是导致国内灾难防范意识薄弱的重要原因。从历史来看,西方文化把人和自然各自独立分别加以研究,而中国文化重视和强调人与自然的和谐统一,推崇人与自然的因果轮回。这样的文化基础,使西方人更多地诉诸于“求己”,研究自然规律以及天灾人祸的发生机理,从而加以克服应对;而中国人自古以来更多地寄望于“求神”,通过祭天、祭地等祭祀活动,或是怀着侥幸心理,希望灾难不会发生在自己身上。
======================== 精采回顾 ========================
业务连续性问与答(大纲 ) 1. 业务连续性问与答Q 1 : 不是有应急管理了,怎么又出来个 业务连续性管理 ?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?( 下 )
“一个好问题,胜过一百个好答案!”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(入选均有小礼品赠送)
由于本公众号注册时正处于腾讯政策调整,本公众号未能开通留言功能,希望参与“业务连续性问与答”专辑讨论的朋友,可用微信扫描以下二维码加入知识星球进行深入讨论。
另,本公众号专注于网络安全和业务连续性管理领域的研究和实践,可长按以下二维码进行关注。
原文发表于公众号”业务连续性+” | 原文链接