从两条新闻谈谈BCM
近期看到关于华为和Tesla的两条新闻,想就此谈谈供应链连续性、业务连续性管理和风险管理的关系。
下面先看看这两条新闻,一条是关于华为手机业务的:
该条新闻还提到“从目前华为采用的是成本高产能低的国产14nm芯片,并且采用叠加的设计形式来看,华为P60 Pro的价格并不会多低”。由于受可用的制程工艺所限,新款麒麟芯片“成本高产能低”。但无论怎么说,华为P60如顺利推出,标志着在美国断供阴影下,华为消费者业务已坚实地迈出了两步(鸿蒙OS和新麒麟芯片),未来可期!
另一条是关于Tesla的:
报道提到因为芯片供应短缺,特斯拉在海外部分车辆中减少了USB端口 (还有其它报道说宝马因芯片短缺删掉了触控屏) 。
两周多前,我刚在知识星球“业务连续性管理问与答”中分享过Tesla应对芯片供应短缺的实践(链接在此: https://t.zsxq.com/i2jm2Rz ),其中内容包括:在汽车业普遍缺芯的情况下,特斯拉是运用技术和运营能力应对供应链短缺的行业标杆(绝对的优等生)。研究机构摩根士丹利还总结了Tesla的四大秘诀: 第一,Tesla拥有强大的垂直整合能力; 第二,Tesla拥有自研芯片的能力; 第三,Tesla拥有很强的谈判能力; 第四,Tesla的规模还不算巨大,但供应商看好Tesla的发展。 当然,Tesla对车辆电子电气架构的升级、简化硬件配置,在一定程度上,也能避免芯片短缺造成的影响。
由于COVID-19疫情及地缘政治等原因,全球供应链变得不“太”稳定。我们知道,供应链连续性攸关生死,企业绝不能掉以轻心。下面谈谈与之相关的业务连续性管理和风险管理。
- BCM管理的中断事件吗?
有人会说,“这还用说吗?当然了,BCM就是应对运营中断事件的管理!”
那上述两个案例是否会被纳入BCM的管理范围呢?的确,业务运营出现了问题, 但并没有发生中断?
可能仍有人会说,“供应链中断纳入BCM已是行业共识,即使没有发生中断,在这两个案例中,企业毕竟面临运营中断的风险?”
OK,按这种说法,BCM面向的管理对象就不是“运营中断事件”而是“运营中断风险”,即可能导致运营中断的各种风险,这是一种理解。
当然,还存在另外一种理解。我们上面提到的“中断事件”(或中断)对应的术语是“disruption”,ISO 22301: 2019对其的定义是“预期的或非预期的、引起产品或服务交付与组织目标相对非计划的、负偏离的事件”(incident, whether anticipated or unanticipated, that causes an unplanned, negative deviation from the expected delivery of products and services according to an organization’s objectives) 。
也就是说,在国际标准化组织(ISO)的理解中,BCM应对的“disruption”并非“中断事件”,而是包括中断事件在内的,各种“预期的或非预期的”“引起产品或服务交付与组织相对非计划的、负偏离的”“事件”。按照这个理解,“disruption”翻译为“ 扰乱(事件) ”或“ 干扰(事件) ”或“ 混乱(事件) ”会比“中断(事件)”更准确一些。
也是从这个意义讲,对“disruption”这个“与组织目标相对非计划的、负偏离的”事件至少可以从两个角度衡量:一个角度是“对交付时间非计划的负偏离”,无论是对连续性(流程)交付还是对离散性(批量)交付,主要的衡量指标最大可接受中断时间(MTPD/MAO)是一个阈值,在其基础上结合业务活动之间的相互依赖关系,可以推导、确定特定业务的“恢复时间目标”和“恢复点目标”(即RTO/RPO);另一个角度是“对正常的生产/服务能力非计划的负偏离”,其实“正常”的生产/服务能力通常并不是个固定值,而是在一定范围内上下浮动的区间,所以主要的衡量指标应该是不低于不可接受的生产/服务能力的某个数值,考虑到业务可能面临多种不同严峻程度的场景,所以特定业务也可以有多个最小业务连续性目标(MBCO)安排。
在FFIEC BCM检查手册中,“disruption”的定义是“导致运营降级或故障达到不可接受时长的预期或计划外事件”(an anticipated or unplanned event that causes operation to degrade or fail for an unaccepted length of time)。从这个定义看,基于交付时间间隔(是否“故障达到不可接受时长”)和基于生产/服务能力(是否“运营降级”)的这两个衡量指标很直观,也易于理解。
在“业务连续性管理核心概念的演变”之 补遗篇 中,我已详细地讨论过这些概念问题,感兴趣的同学可通过查阅历史文章了解具体内容。
- BCM属于风险管理吗?
有人会说,“这还用说吗?BCM当然属于风险管理,我们这边就是风险管理部负责BCM”
的确,BCM中包含不少风险管理活动,如风险评估、风险处置、风险策略、风险沟通等;同时,不少组织特别是金融机构内大多是由风险管理部(或风险线条相关部门)负责BCM。但是,不能因为BCM中包含风险管理活动或者风险管理部门负责BCM,就说BCM属于风险管理。(否则,BCM中还包含运营管理活动、财务管理活动等,那BCM是不是要属于运营管理或财务管理?另外,一些生产制造企业中由HSE部门负责BCM,那BCM难道又归属HSE?)
事实上,在BCM专业圈内,也有不同的“流派”和观点。有专家认为,BCM属于风险管理范畴(理由大致与上述观点类似)。也有专家认为,BCM不属于风险管理,原因在于: (1) BCM从对组织来说最重要的业务入手,即首先确定哪些业务最重要; (2) 针对这些重要的业务,分析每个业务“disrupt”(即间隔交付的时间和生产/服务能力下降)到什么程度造成的影响变得不可接受; ……
在这里,我们可以看到,确定哪些业务对组织最重要基本与风险管理无关;在衡量业务“扰乱(事件)”的影响时,也没有考虑“扰乱(事件)”发生的可能性(而所有的风险评估,几乎都要考虑风险事件的后果和可能性)。因此,这些专家认为,BCM只是采用了风险管理的某些方法,但其本身并不是风险管理。
既然是不同的“流派”,那其实没有绝对的对与错。在实务中,我想更重要的是怎样兼容并包,使用好包括风险管理在内的各种“工具”,高效地解决业务连续性相关问题。进一步,要做好业务连续性管理,我认为至少需要认真学习和掌握安全和风险管理、运营管理以及数字化等相关知识和技能。(关于业务连续性管理的三大支柱,可查阅“业务连续性问与答”系列中的相关文章)
业务连续性管理的”三大支柱”
综上所述,我们可以认为, BCM关注的是那些一旦发生就会要命的“扰乱”生产/服务交付的事件,并不太在意这些事件发生的可能性有多大。 (这个观点很重要,今年我在某家机构交流时,一个部门的业务人员反复说,我们的业务怎么可能中断呢?)
在“ 不确定性已是当今世界运行的底层逻辑 ”时,我们需要加强对BCM的探索和实践,特别是攸关生死的供应链连续性问题,接下来,我也会尽可能多地介绍一些供应链连续性相关的标准、案例和方法。 (事实上,供应链连续性管理中常见的衡量指标已不再是RTO/RPO和MBCO,这些,留待下次再聊了。)
本公众号 (ID: bcmplus) 专注于业务连续性管理知识的传播和普及,关注业务连续性、应急和危机管理的朋友可关注本公众号。
由于公众号注册时正处于腾讯政策调整,未能开通留言功能,希望交流和讨论业务连续性管理问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(公众号1月只能发4次文章,也会有一些小观点直接在知识星球而不在公众号发布)。
原文发表于公众号”业务连续性+” | 原文链接