· 公众号:业务连续性+

聊聊疫情防控和业务连续性计划

近一段时间,陆续有朋友关注疫情防护与业务连续性管理的关系。比如,有从公共卫生事件风险评估和业务连续性策略之间关系出发:

图1 公共卫生事件风险评估和业务连续性策略

也有从疫情防控应急预案和业务连续性计划(业务恢复预案)结合方面出发的:

图2 应急响应和灾难恢复预案

图3 疫情防控预案和业务连续性计划

这些问题之所以出现,一方面与疫情及疫情防控措施对企业正常运营造成的压力增大有关,另一方面可能和越来越多的企业管理层开始了解业务连续性管理并希望其发挥作用有关。

其实,疫情防护属于应急管理范畴,而业务连续性计划属于业务连续性管理范畴,以上问题的本质是组织如何协调管理突发事件和运营中断(即如何协同应急管理和业务连续性管理),我在业务连续性管理问与答系列中曾从不同方面回答过相关问题,下面针对上述问题系统地进行回答(也给新出版的《业务连续性管理实务》 [1] 做做广告)。

  1. 应急管理和业务连续性管理

一般而言,人们认为对影响生命财产安全、社会秩序和公共利益的突发事件的应对属于应急管理,保障业务活动持续运营或在业务活动中断后将其恢复到正常状态属于业务连续性管理,而对组织战略、声誉、品牌和形象的保护属于危机管理,如下图4所示。但在实务中,应急、业务连续性和危机管理三者可能交叉重叠,如图4中重叠部分1示例“火灾中断生产,未影响市场份额和收入”既和应急管理有关,又涉及到业务连续性管理;图4中重叠部分2示例“供应商问题造成重大财务损失” 既和业务连续性管理有关,又涉及到危机管理;图4中重叠部分3示例“对火灾应对不当导致死亡”既和应急管理有关,又涉及到危机管理;而图4中重叠部分4示例“火灾破坏生产设施,对市场份额和收入产生重大影响”则和应急、业务连续性和危机管理都相关。

图4 应急管理、业务连续性管理和危机管理的关系(源自NFPA 1600-2019)

换个角度看,中断事件可能由组织内部的突发事件引起,如火灾造成办公场所和关键生产设备不可用,从而引发中断事件;也可能由危机事件引起,如伴随高管变动的谣言,由网络舆情引发财务流动性问题,造成运营活动异常;还可能由与组织无明显关联的外部事件引起,如极端天气等。也就是说,中断事件可能是由突发事件引起,也可能不是,对疫情而言,只有在疫情或疫情防控措施造成业务运营所依赖的关键业务要素不可用时(如办公场所被封控、关键岗位人员被隔离等),疫情防护才与业务连续性管理产生关联。(2020年1月底疫情刚开始时,一家机构就安排了Call Tree演练检验关键岗位和指挥链上人员的可用性和相关程序的适用性。)

在实务中,为做好业务连续性管理,组织需要明确业务连续性管理体系的目的及其范围,即明确怎么看待业务连续性管理体系及其与相关管理体系的关系。一种可能是图4中业务连续性管理的范围但减去图4中的第1、2部分,这是业务连续性管理的最小范围,相应的应急响应行动和危机管理行动由应急管理和危机管理负责。另一种可能是将图4中1、2部分划归业务连续性管理,这样业务连续性管理就要涵盖那些可能影响生命财产安全、社会秩序、公共利益以及组织的声誉和品牌、形象但同时造成运营中断的事件应对。

当然,还有一种可能,由于应急、连续性和危机管理从事件管理而言,有时比较难以分开,也可以用“综合应急管理”、“企业安全管理”、“业务安全管理”、“危机管理”或“业务连续性管理“等名称将三者整合成一套统一的管理架构。在实务中,无论采用哪种方式,必须明确该管理体系的目的及其范围,并定义好其与其它相关管理体系的关联关系及接口,这将直接影响后续业务连续性能力任务领域的确定。

比如,下图5是华为公司业务连续性管理体系框架图,显然,其业务连续性管理体系包含了应急管理。

图5 华为公司业务连续性管理体系框架

(以上文字主要来自《业务连续性管理实务》第139-140页“9.4.2 应急、业务连续性和危机管理”部分,该书第139页“9.4.1 中断事件是如何发生的”还描述了中断事件的发生机理。)

  1. 应急预案和业务连续性计划

面向突发事件的应急(响应)预案和面向运营中断的业务恢复预案(或业务连续性计划)的最主要不同在于,应急(响应)预案针对的危险/威胁场景是不可穷尽的“自然灾害、事故灾难、公共卫生事件和社会安全事件”,而业务恢复预案针对的是可穷尽的业务要素缺失场景(因为业务及业务要素即使数量大,但总是有限的)。同时,应急响应和业务恢复可以在应急指挥中心的指挥、协调下有序、有效地进行,见下图6、图7。

图6 应急响应和业务恢复(最初源自《银行业金融机构信息科技风险监管研究》,有调整)

图7 应急响应和业务恢复

结合应急预案和业务连续性计划编制实践,以商业银行为例,可以有图8、图9两种应急预案体系架构方式。

图8 商业银行应急预案体系架构1

图9 商业银行应急预案体系架构2

综上所述,组织的应急管理和业务连续性管理之间虽有很大不同,但仍可以根据需要融合为一套体系(比如图5所示的华为公司业务连续性管理体系)。

(以上有部分文字来自《业务连续性管理实务》第245-267页“主题14 应急预案和业务连续性计划”。)

  1. 应急管理和业务连续性管理的分工协同

应急管理和业务连续性管理可以融合,但两者融合并非是简单地捏合,需要考虑应急响应程序和业务恢复程序的协同、行业监管合规等问题,其中最重要的是两套领导指挥体制如何协同。3年前,我在公众号文章: 《业务连续性问与答·Q10(下)》 中回答过这一问题,部分摘录如下:

有朋友问:“我们已按照有关要求建立了应急管理体系,有部门负责推动,也有预案,现在领导又关心业务连续性运营问题,是要再新建一套业务连续性管理体系吗?”也有金融业的朋友问:“我们已按照监管要求建立了业务连续性管理体系,我们也建设了应急管理体系,但两套班子,两套预案,不知道真发生事件了怎么办?到底用哪套预案?”

对一些企事业单位而言,有以办公室牵头负责的(公共安全)应急管理体系,也有以风险管理部门等牵头负责的业务连续性管理体系,如将二者合理定位、有机融合成一套统一的管理体系、一套完整的应急预案体系,既可以满足合规要求,保障企业持续运营、繁荣发展,还能简化日常管理和应急处置。相对而言,由于关注组织的利益、业务、声誉和品牌,与业务运营关联较深,业务连续性管理长于在日常进行能力评估、规划、建设和保持,类似于“养兵”;而关注企业员工生命财产安全,有严格的追责体系和社会支持,应急管理长于在突发事件中综合协调和指挥,进行应急能力运用,类似于“用兵”;借鉴军队的军政系统和军令系统的关系,可以考虑以下方案: (1) 对规模比较小、或者业务运营比较简单、或者内部管理成熟的企事业单位,可以考虑采用“军政军令合一型”的领导指挥体制,由一个部门全面负责组织的应急和连续性能力建设及应急处置; (2) 对规模比较大,或者业务运营比较复杂、或者受监管影响大的企事业单位,可以考虑采用“军政军令分开型”的领导指挥体制,由办公室/综合管理部/企划部等负责组织的应急指挥和处置,由风险管理部/质量管理部/安全生产部/运营管理部等负责组织的应急和连续性能力建设。

以下是在企事业单位中采用“军政军令分开”和“军政军令合一”两种模式的简要描述和比较:

表1 军政军令分开与合一在企事业单位应急和业务连续性管理中应用的优缺点比较 “军政军令分开型” “军政军令合一型” 描述 日常管理(业务连续性管理)强在“养兵”,类似“军政系统”,由高管层和应急/连续性管理委员会通过各部门统管能力评估、规划、建设和保持;应急处置(应急管理)强在“用兵”,类似“军令系统”,由高管层通过应急办进行指挥。日常管理涉及部门繁多,实行多部门体制,专业化建设;应急处置机构精干,职能围绕应急处置,强调多部门协作。用兵系统为“用户”,养兵系统为“产品的生产者”,即部队的提供者。日常管理和应急处置分开,各取所长。 日常管理(业务连续性管理)和应急处置(应急管理)由同一部门负责的领导指挥体制。 优点 机构职能单一,业务连续性管理体系能够长期稳定地进行专业建设,建立充分的人力与物资贮备,为应急处置做好准备;应急处置系统的指挥人员主要研究应急处置问题,进行应急谋划,精力相对集中。 应急指挥人员有较强的权威性。由于平时负责体系建设的人员在应急处置时负责应急指挥,因而,指挥人员与指挥对象彼此熟悉、相互信任,容易建立指挥与被指挥的关系; 便于实现责权的统一。军令军政合一型体制遵循了“谁建设、谁使用、谁负责”的原则,管理人员既要对体系日常管理负责,又对应急处置结果负责,利于统一筹划业务连续性的平时建设与应急处置的能力运用问题。 缺点 责权不够统一。业务连续性管理牵头部门平时要抓风险评估、预案编制、应急准备等工作,这些工作与应急和连续性能力的提高密切相关,但其并不参与应急处置工作,责与权之间存在一定的脱节现象; 存在平战体制的转换问题。业务连续性管理体系和应急管理体系均为独立的分系统,应急处置时需要由日常管理体制转换为应急指挥体制,各部门存在两种体制转换过程中的适应问题。 应急指挥人员既要应对大量的日常管理、业务影响分析/风险评估、预案编制、资源建设、演练和培训等工作,又要做好应急处置事宜,这一方面增加了指挥人员的负担,对指挥人员的素质提出了过高的要求;另一方面也有可能使指挥人员整天陷入繁琐的事务中而无暇研究应急指挥问题。

(关于应急管理和业务连续性管理协同和“军政军令”关系更详细的内容可参阅《业务连续性管理实务》第112-116页“9.1.2 选择适用的应急和业务连续性领导指挥体制,使应急管理和业务连续性管理组织分工协作”。需要指出的是,应急管理体系和业务连续性管理体系的整合问题从2014年前后提出,整整困惑了我两年左右,直到有次和浦发银行的风险管理专家何乃煜交流时,我们聊到了军改,突然觉得军政和军令两者的关系与此类似,后续跟进研究之后,整理出了“军政军令分开”和“军政军令合一”两种模式来解决这个问题。)

以上,我简单介绍了应急管理和业务连续性管理的不同、(突发事件)应急预案和业务连续性计划(或业务连续性应急预案)的融合架构、以及分工协作应急管理和业务连续性管理时的领导指挥体制方案,希望可以解决朋友们在这方面的疑惑。当然,如果想进一步或更深地了解相关问题,可以: (1) 阅读本公众号相关历史文章 ,可在公众号菜单选择“专题系列”—“BCM问答”查阅相关文章;长春的朋友@刘竞雄把公众号中“业务连续性管理问与答”系列20类问题涉及的所有文章整理成了1个300多页的PDF文件,我放在了知识星球: https://wx.zsxq.com/dweb2/index/topic_detail/582152825122144 ,供需要的朋友下载; (2) 购买《业务连续性管理实务》书籍 ,该书由“业务连续性管理问与答”系列文章结集而成,人民邮电出版社出版,全书正文436页,结集过程中文字调整近10万(原问与答系列约36万字,结集过程增加/修改观点和内容不多,但下了很大功夫统一术语,也做了部分结构调整)。目前,该书已在全渠道(京东、当当、天猫、PDD等)上市,欢迎需要的朋友们购买并反馈,下面是京东购买链接(近期还有限免促销活动):

(3) 参加我们组织的培训 ,我们有全系列的业务连续性管理培训,根据课程目标和定位不同,培训时间2∽5天不等,需要的朋友可在公众号菜单选择“培训认证”了解情况并与我们联系; (4) 联络企业内训和咨询 ,有更个性和更复杂需求的企业,可与我们联络沟通定制企业内训方案,或安排微咨询和咨询服务。

本公众号(ID: bcmplus)专注于业务连续性和运营韧性知识的传播和普及,关注业务连续性、应急和危机管理的朋友可关注本公众号。

由于公众号注册时腾讯已调整政策,未能开通留言功能,希望交流和讨论业务连续性和韧性相关问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(另,公众号每月只能发4次文章,会有一些内容直接在知识星球分享而不在公众号发布)。

《业务连续性管理实务》,人民邮电出版社,2022年4月,豆瓣链接: https://book.douban.com/subject/35871890/ 。 ↑

原文发表于公众号”业务连续性+” | 原文链接