· 公众号:业务连续性+ 原文链接 ↗

业务连续性善治

业务连续性善治

近期在交流和调研中遇到了一些有意思的事情,值得拿出来聊聊。

比如,一家知名制造业企业的BCM专家问我,” 我们的供应商提供了ISO22301认证证书,我怎么确定是真的还是假的 ?“这应该不是个大问题。很多人都知道,如果是国内认证机构发的证书,可以到全国认证认可信息公共服务平台查证,如果是国外认证机构发的国外认可的证书,也可以找认证审核机构确认。另外,近三年前我开始每个季度统计并发布国内获得ISO22301认证证书的组织名单(目前该名单涵盖约260家组织),这个名单应该也可以作为信息参考源之一。

但核心问题不在这儿?这位专家的真问题是,” 这些证书上认证机构的名字很陌生”,“发现供应商的中断风险很大,许多风险没有解决,但却拿到证书了 “。了解到这些后,我就只好苦笑了。几年前当我得知某家大厂委托”专业机构”取得3张不同管理体系的认证证书只花了10多万的总费用时,我就已经预想到今天这种情况了。

所以,我给出的最终建议是,” 供应商连续性管理这块,有证书更好,但不能只靠证书 “,毕竟” ‘混’证的太多了,成本也不高,你自己得有其它低成本但有效的办法来检验确认供应商的连续性能力 “。同时,一旦发现供应商造假,一定要严格处理!!!此外, 口碑好的审核机构发的证书可信度应该好得多。

另一家金融机构的BCM负责人在调研中告诉我,” 我们行对业务连续性管理很重视”,BCM是我们今年确定的几件大事之一 。客观讲,这种情况在金融业尚不多见(其它行业更不必提了),我听后深感振奋,觉得我可能遇到一个需要特别关注、研究和推广的案例了。就接着问, 那具体的考核目标是什么?怎么分解到各个业务块和部门?各个部门负责人又是怎么有效推进的?

然后就没有然后了。因为 这个被列为全行级别的大事,并没有明确界定的目标,也没有分解到各个业务和保障部门的具体指标,各部门负责人当然也就无从努力支持和推进了 。具体的作法仍然回到了, 由BCM牵头部门按照监管合规要求完成可以”留痕”的合规动作 即可。平心而论,这是一家在行业内BCM做得比较认真的机构,没有发生过重大运营中断事件,领导也比较重视,证据之一是几年前就花钱采购了用于统一项目管理和文档管理、加速和规范BIA和RA等关键过程等的BCM管理平台。

交流和调研中遇到类似有意思的事情不少,有时候我能提些有价值的建议,有时候我也没有好的思路。但这些有意思却没思路的事情整天堆在脑袋里总是要找出口的,正好近期与一位老专家有数次长聊(与老专家的聊天,比较好玩,也聊出了一些后面要深入开展的工作,以后抽机会专门写写),就提到了一些。老专家说,你们 整天想的都是业务连续性如何”管理”,但供应商的老板、金融机构的领导是怎么看待业务连续性的? 他们(包括组织内的业务连续性专业管理人员)是不是觉得业务连续性挺复杂,交给专业部门和人员去做就行了。然后,在具体执行中,牵头部门和业务连续性负责人是不是觉得做完业务影响分析报告,修订好预案,按要求做过演练就完事了。 管理层真的认真看过这些报告了吗?他们有多大程度理解和相信这些报告中的数据?他们真的认可报告中对业务运营影响的分析数据,并明白自己在其中的责任吗?另外,哪些责任是他们自己的,又有哪些是其它管理层和相关部门的? (这段话非原始记录,但所聊内容大意如此)

然后,老专家总结到, 这些问题大多是业务连续性”治理”问题 !这句话一下子点醒了我。的确,在许多企业里,大家根据最佳实践(如国际标准等)或监管要求建立了业务连续性日常管理和应急处置组织架构,有的还成立了专门的业务连续性指导委员会(the Steering Committee),但这些架构是真的得到落实和有效运作?还是只有”形”似而”神”不在,我想大部分BCM负责人应该是清楚的。

(后文中所提及的”心结”及解法也多来自与老专家的聊天,特此提前致谢老专家!)

分享一篇关于业务连续性善治的文章

说到业务连续性治理,知名业务连续性专家布莱恩•斯特劳瑟(Bryan Strawser)在2022年写过一篇文章《为什么业务连续性善治对韧性至关重要》(Why Good Business Continuity Governance is critical to Resilience),值得分享给大家。文章主要讲了3方面的内容,什么是业务连续性善治,它带来了哪些好处,以及怎么进行有效的业务连续性治理。下面,我摘录文中的一些观点和大家分享,想了解更多细节的朋友可直接去看原文: https://bryghtpath.com/good-business-continuity-governance/。

首先,什么是业务连续性善治(good business continuity governance)?布莱恩•斯特劳瑟指出,业务连续性善治,指拥有合适的人员、政策和实践来指导和控制你的业务连续性和危机管理项目。

业务连续性善治

这是个清晰、但仍可以深究的陈述,比如:怎么算是合适的人员(right people)?哪些岗位需要纳入,对这些人员又有什么样的要求?政策究竟指的是什么?包括哪些内容?符合什么条件的政策才是合适的(right policies)?企业具体采用/参考了哪些有效的实践和方法?它们是合适的实践和方法吗(right practices)?更关键的在于,这些合适的”人员""政策”和”实践”是否始终如一地在 指导和控制 企业的业务连续性管理体系?“他/她/它们”是始终如一、有始无终、三心二意还是根本无始也无终地”指导和控制”业务连续性管理工作?

关于业务连续性善治带来的好处,布莱恩•斯特劳瑟在文章中主要提到了4个(如下图):

结合实际工作,我简单”翻译”一下,业务连续性善治可以带来的好处有: 为业务连续性管理工作建立”可见性”和意识; 帮助确定并解决业务运营中的连续性”敞口”; 为业务连续性管理工作提供问责机制; 确保遵循最佳实践,并满足监管要求。

业务连续性善治的好处

这里面的第2、3、4点都比较好理解,就不再深入说了。但第1点所说的, 业务连续性善治可以为业务连续性管理工作建立”可见性”和意识, 这个”可见性”提得特别好 ,下面多说几句。

“可见性”和意识已成为关键堵点

可见性和意识已成为关键堵点

我们都知道,要想做好业务连续性管理,就需要做好业务连续性动员工作,动员全员参与,其中的关键又在于管理层能够发挥领导作用(leadership)。毕竟,管理层是企业经营管理的”发动机”,只有管理层主动参与和推动,才可能让全体员工有效和高效地”运转”起来。但在现实中,有两个”心结”阻碍管理层在业务连续性管理中发挥领导作用:

第一个是投入回报差。有人说,在业务连续性管理工作中投入人力、物力,投入是明确的,但回报并不明确。毕竟,运营中断是”意外”,是概率性事件(并且有相当一部分是小概率事件),也就是说,投入是明确的,而回报不明确或者是负值(因为投入肯定会增加成本,影响到利润,对经营绩效产生负面影响)。简言之,投入越大,回报有可能越差。

第二个是责任无底洞。现在所有安全/风险问题都在强调领导责任,强调管理者责任,那在业务连续性管理工作中,管理者到底要承担哪些责任?进一步,哪些责任不必承担(或者说,管理者做了什么、做到什么程度就不用承担无关责任了)?如果责任没有清晰界定,是”迷雾”一团,那么在权利有限(和有边界)的前提下,管理者会产生业务连续性责任是”无底洞”的感觉。

对于投入回报差,理性的选择是只做那些不得不做、最少投入的事;对于责任无底洞,可能的选择大概是躺平撞大运,如果撞上运气不好就自认倒霉,反正无论怎么做,责任总是少不了的。这也是许多企业业务连续性管理工作的现状,管理层只关心监管要求做、必须做的事,把业务的连续性运行视为”运气”,同时,对自己要承担(以及不用承担)哪些业务连续性责任含糊不清。显然,这两个”心结”不打开,管理层很难主动承担起业务连续性管理的领导责任,业务连续性动员无从全面有效开展,也就很难做好业务连续性管理工作。

而要打开这两个”心结”,都与”可见性”和意识直接相关。

有专家说过,领导们不需要懂怎么进行业务影响分析、怎么编制业务连续性计划,但 领导们都是聪明人,只要他们知道 运营中断会带来什么经营管理上的影响、哪些业务活动中断带来的影响最大、他们有哪些责任(进而,哪些不是他们而是其它管理者和人员的责任),以及需要他们做什么、做到什么程度就可以担负起责任, 他们就会做好自己的事。

问题是, 管理者知道这些吗?他们真的知道这些吗?他们真的知道运营中断对企业经营管理的影响,并清楚地知道自己有哪些责任(以及哪些不是自己的责任)吗?

当然,可能会有人说,我们用了几个月时间做了业务影响分析,详细分析了运营中断对业务活动带来的影响,包括财务、声誉、合规和运营等方面的影响,业务连续性管理委员会听过汇报并签署了报告! 怎么能说管理层不知道呢?

我想起几年前曾有机构的业务连续性负责人找我,他们因业务影响分析报告未经业务连续性管理委员会审批而直接报送给监管部门,可能面临处罚,询问我是否有办法可以帮助减轻处罚。显然,对于这家机构,业务影响分析报告的最核心目的是为了报送监管,而不是为了支撑业务连续性策略选择和资源建设,也不是为了支持业务连续性计划和应急预案的编制,更没想过如何用来保障演练可以练到实处和关键点。 这份报告对机构的管理层”可见”吗?

在现实中,有多少企业的管理者(特别是高管)认真阅读过业务影响分析报告,他们了解用于分析业务影响的方法吗?的确,作为业务连续性指导委员会的关键成员,他们可能”批准”过这些分析方法(从管理制度和程序角度,这些分析方法需要他们批准才可以投入使用)。但他们是否真正参与了这些分析方法的讨论和确定?他们是否认可这些分析方法体现了他们的思考和看待业务的方式?他们是否作为被调研对象参与了业务影响分析过程?他们关心并核验过这些报告中的数据吗?最终,他们又在多大程度上理解并相信业务影响分析报告中的数据?— 那可是采用他们”批准”的方法分析出来的数据,并且他们还签署认可了这份报告并报送监管机构。

目前很多企业对这些问题的答案显然都是”否”,或者是”没有”。那么,我们能说 业务影响分析报告的内容对管理者是”可见”的吗?

进一步,我们将观察范围从业务影响分析扩展到整个业务连续性管理工作。

现实中,企业中的业务连续性经理和协调员做了大量的工作,包括开展业务影响分析和风险评估,编制/优化业务连续性计划和应急预案,组织培训和演练,协调内外部审计和各种检查等等,但这些专业活动都是具体的”工作”,管理层当然知道这些”工作”,但大多并不清楚这些工作对企业经营管理的”意义”。

因此, 当把可见性明确为管理层从经营管理意义上对业务连续性管理工作的认知时,我们可以说,很多企业的业务连续性管理工作是”不可见”的或者说”可见性”不够好 。在调研中有不少业务连续性管理负责人感叹:只有苦劳,没有功劳,应该算是”可见性”不好的一种体现。与此同时,很多业务连续性负责人仍然将几乎全部精力投入在具体的专业工作中,并没有努力去改善管理层对业务连续性管理工作的”可见性”。

所以,残酷现实的一面是,企业中的业务连续性管理人员在埋头苦干的同时,不断感叹,为什么领导不够重视,为什么我们只有苦劳,没有功劳;现实的另一面则是,管理层的”心结”一直没有打开,“聪明人”当然理性选择了只做那些不得不做、最少投入的事;然后就是赌运气,反正无论怎么做,责任总是少不了。

对于作为舶来品引进的业务连续性管理方法,仅有业务连续性管理人员掌握其原理、方法和实践是远远不够的,管理层的”可见性”和意识已成为当前业务连续性管理有效推进的关键堵点,这个局面不改变,业务连续性管理工作只会是事倍功半。

落实善治,疏通”可见性”和意识堵点

那怎么疏通”可见性”和意识这个关键堵点,让业务连续性管理工作有效推进呢?布莱恩•斯特劳瑟在其文章中指出,业务连续性善治可以帮助建立”可见性”和意识。

进一步,如何实施有效的业务连续性治理?布莱恩•斯特劳瑟提了3点:

  1. 制定业务连续性方针(get your policy in place);
  2. 明确界定角色和职责(set clear roles and responsibilities);
  3. 建立强大的指导委员会(build a strong steering committee)。 这3点中规中矩,在实际工作中 可以通过打开管理层”心结”、建立”可见性”和意识效果的角度来观察业务连续性治理的有效落实情况。

落实善治

先从管理层的意识说起。 意外总是有的,是人生常态,对企业也是如此 。企业当然会努力不让运营中断发生,但是, 不管企业怎么做,运营中断仍会出现(可以更明确地说,一定会出现)。 管理层应做和能做的,是让企业提前做好应对运营中断的能力建设 。一旦发生运营中断,就可以运用这些能力让企业快速恢复正常运营,并尽可能减少运营中断带来的负面影响。

也就是说,和管理其它方面的工作一样,管理层应该 从稳健和审慎经营角度考虑问题,而不是赌运气,撞大运 。打个比喻, “天灾”会有 ,这里面会有概率,有运气好坏在里面, 不是管理层能决定的; 但管理层如果没有做好自己应做和能做的工作,造成事故并导致重大损失,那就是”人祸”了 ,“人祸”是一定要追究责任的。

在建立”可见性”方面,则需要企业的业务连续性负责人能够站在管理层的视角分析问题,主动和管理层沟通,帮助打开管理层的”心结”。在管理层能够从经营管理层面理解运营中断带来的影响,并且明晰了自己应该承担的责任(并卸下不必承担的责任)后,管理层会发挥领导作用,推动业务连续性管理工作有效开展。

“可见性”会帮助管理层做业务连续性管理方面的”明白人”,只有成为明白人(打开”心结”,有了正确的意识基础),才可能做出”明白事”。

落实业务连续性善治的两个前提

关于落实业务连续性善治,我想除了布莱恩•斯特劳瑟提到的3点外,还有两个前提要重点关注:

一个前提是要认识到业务连续性善治的重要性 ,这方面是存在问题的,多数业务连续性管理人员目前尚无此意识。

举个例子,我为不少企业提供过业务连续性管理方面的培训,并在前几年开始推动实战业务连续性专家(CPBCM)认证培训,这些培训主要分为两类,一类是我认为偏基础性的课程,包括业务连续性治理和管理框架建立,业务连续性管理框架各组成模块(如能力规划、能力建设和保持,能力运行和管理评价等)的关系及其运作逻辑等,另一类是偏实务类的课程,是前述业务连续性管理框架模块的具体落地,比如业务影响分析和风险评估,业务连续性计划和应急预案编制和管理,以及业务连续性和危机演练的设计和实施等。在我的理解中,认为应该先设计好架构,打好基础,然后再去考虑具体模块的落实和优化。但在培训反馈中,我发现多数学员的兴奋点总是在”硬核”的实务课程,如业务影响分析的影响项选择,甚至怎么做分析表单,还有应急预案的模板、演练的情景等,几乎很少有人关注治理和管理结构等”软性”问题。而在深入讨论那些实务话题时,你会发现, 许多企业的业务连续性管理体系范围、部门职责划分不清晰才是影响后续偏”硬核”的BIA/RA、预案编制很难保证高质量的核心原因。

当然,我的观念可能过于老套,总是觉得先打好地基,再去盖楼才不会走回头路和返工。但 现实中,人们可能总是要先盖上一层两层楼,接着往上盖时才知道原来还有地基问题 。先动手做起来,快速迭代和演化是我们这么多年快速发展的原因,也形成了路径依赖。(写到这儿,想到我的课程体系或者应该更照顾学习者和企业发展现状,也得进一步迭代和演化,比如将业务连续性治理和管理架构调整为比实务更高阶一些)

回到正题,我们知道, 治理问题是很难用管理来解决的 。所以,随着业务连续性管理方法在我国经历了20年发展的今天,我们已开始认识到业务连续性治理的重要性,接下来需要在这个方向上下功夫了。

另一个前提是要选择好落实业务连续性治理的路径。

这里的一个小吐槽点与104号文(即《商业银行业务连续性监管指引》)有关,104号文是一份很好的文件,它既提出了监管要求又给出了部分实施指导,其第二章业务连续性组织架构中描述了日常管理和应急处置组织架构,在日常管理组织架构部分对董(理)事会、高管层、业务连续性管理委员会、牵头部门、执行部门、保障部门和内部审计部门的职责进行了清晰界定;在应急处置组织架构部分对应急决策层、应急指挥层、应急执行层和应急保障层的部门组成和工作内容进行了描述。

在进行业务连续性治理和管理结构设计时,考虑到ISO22301/22313过于通用,不少企业在实施中缺少指导,我曾推荐给不少企业(包括非金融业的企业)参考使用104号文。但要吐槽的是,很多企业(包括不少金融机构)直接是拿来主义,并未深入探究甚至从未思考过这些角色、职责设计背后的逻辑,也没有考虑过和企业实际治理和管理架构的匹配,仅仅是”抄下”这些职责权限分配,并未考虑是否能有效运转的问题。

“纸上得来终学浅,绝知此事要躬行”。企业的业务连续性负责人需要认真思考布莱恩•斯特劳瑟文章提到实施有效业务连续性治理的3点:制定方针、明确角色职责和建立指导委员会,在实践中躬身践行,不断优化改进,让业务连续性善治有效推动业务连续性管理顺利开展,帮助企业在不确定时代繁荣成长。

原文发表于公众号”业务连续性+” | 原文链接