松岛枫 发表于 2011-7-21 09:14:00

BCM中国现状

BCM中国现状
图1:业务持续性管理计划在中国的实施情况    调查结果显示,如今中国企业似乎对业务持续管理这一概念已颇为熟悉。参与调查的企业中几乎三分之二已经制定了业务持续管理计划(占37%),或者正在制定(占21%)。但是,没有制定业务持续管理计划的占到42%。
员工的作用不容忽视业务持续性历来将重点放在信息系统和工作场地恢复上,但如今需要格外注重较难预测的涉及人力资源的事项。调查结果显示,只有24%的受访者表示他们的业务持续性计划着重于信息技术灾难恢复,这意味着,企业已广泛认为,业务持续性管理并不简单局限于信息技术问题。既然认可员工的价值以及在应对业务中断时应起到的作用,企业在制定应急准备措施时,应当让企业信息和人力资源等部门参与其中,这一点是显而易见的。
在2005年7月7日的伦敦恐怖爆炸中,许多员工从媒体获得的信息与企业提供的信息不一致。应当为所有员工设立一个清晰的信息渠道,以确保最大限度地避免发生沟通不良和理解错误。
人力资源部也起着主要作用,特别是在流行病和恐怖主义威胁盛行的时期。人力资源部可以帮助评估业务中断对企业人员的影响及其安全情况,并协助结合员工情绪和总体生活处境来应对突发事件。例如,许多企业制定了相应的计划,允许员工在无法到正常工作场所上班的情况下在家工作,或提供咨询帮助员工进行压力管理。此外,在发生严重突发事件时,如2001年9月份的恐怖袭击,如果没有训练有素的员工接手其它员工的重要职能,会使企业遭受重大业务风险,或造成业务流程中断。这些风险因素应当可以通过培训来缓解,相关培训应确保所有部门的员工均熟知发生突发事件时应采取的步骤。
图2:负责实施业务持续性管理的职位/机构的前五位    但是,专职负责业务持续性的人员人数仍然很少。37%的受访者称只有一、两个员工承担相关职位,而16%表示其企业有三至五个员工着重于这方面的工作。
图3:业务持续性管理主要负责人的前五位   
新的业务持续性标准正在发展之中调查结果显示,对新的业务持续性管理标准(例如BS25999)的重视程度依然很低。不到2%的受访者表示企业通过了这个新近颁布的认证标准,而35%的受访者表示未听说过这一标准。BS25999由两部分组成。BS25999-1于2006年颁布,为业务持续性管理规了操作规范。本部分详细阐述了业务持续性管理的最佳实务,为持续性管理提供了指导原则。
BS25999-2: 2007于2007年11月颁布,阐明了持续性管理的标准。该标准的颁布使得企业能够聘请外部审计师对其业务持续性管理计划做出独立认证。在这方面,BS25999与信息技术认证标准ISO27001有着相似之处和密切关系。
随着对业务持续性管理和相关标准的普遍认识日渐成熟,这一观点可能发生改变。采纳认证标准能够使企业参考国际最佳实务,并对所制定的业务持续性管理计划进行基准对比。
图4:实施业务持续性管理计划的十大理由    尽管对业务持续性的认识和业务持续性管理计划的采用在中国迅速提升,此次调查也显示了一些潜在薄弱领域。接近一半的受访者表示企业并没有专用的业务恢复设施。如果发生自然灾害或者人为灾难,这些企业将面临严重问题。由于这些企业无法恢复丢失的数据或者流程,此类事件可能导致非常高的业务风险。专门的业务恢复设施对整个企业而言不仅仅起到存盘备份的作用,当工作场所在灾难中遭受破坏时,它还能为员工提供替代的工作场所。
很多受访者(25%)认为业务持续性管理计划的绩效没有得到有效衡量。对系统的评估和测试是保证业务持续性和准备性的必要组成部分。通过演练、练习、审计、绩效审查和基准比较,企业能够可靠地衡量自己应对业务持续性风险的准备程度。
近四分之一的受访者表示,所在企业的业务持续性准备工作没有得到衡量,计划的实际效果并非总能与预期或当前的市场需求相匹配。
图5:企业对业务持续性管理绩效的衡量情况    即使是执行了测试的企业,测试的频率也不高。有34%的受访者表示所在企业对业务持续性管理计划每年测试一次,还有34%的受访者表示测试并不频繁或者没有确定的测试时间。24%的受访企业表示从未对其业务持续性管理计划进行测试。
图6:参与业务持续性管理演习的外部机构    在问及有哪些外部机构参与业务持续性管理演习和测试时,答案是技术服务供货商的受访者数量最多(48%),选择供应链合作商的受访者居次(33%),再次是应急服务(20%)。
值得注意的是,有相当比重的受访者(28%)声称测试过程中没有引入任何外部组织,这表明仍然有相当多的企业将业务持续性准备视为内部流程,认为不需要为此去和外部合作方、客户或者供货商协调。由于企业之间相互影响日益加深,并且寻求优化和重要供货商、客户的关系,中国的企业需要将其目标与主要利益相关方、监管机构以及政府机关的要求协调一致。这一诉求可能会使参与测试的外部机构数量增加。
图7:业务持续性管理绩效测试的类型   
测试类型业务持续性管理测试主要有五种类型:
[*]1.桌面演练或穿行测试
在此类测试中,由业务单元经理或者流程负责人通过引导式讨论,对企业的业务持续性安排进行审查。此类测试往往被视为总体测试流程的初始步骤,并可作为有效的培训工具。但是,此方法并非推荐的测试方法,因为其主要目标在于确保所有领域的关键人员熟悉业务持续性计划以及测试准确反映了企业的灾难恢复能力。
[*]2.情景模拟测试
这类测试使用测试场景或者符合实际生活情景的测试剧本测试员工的反应。与桌面演练或穿行测试相比,由于选择了特定事件场景并将业务持续性计划应用到该场景,此类测试中参与者参与程度更高。它往往被视为总体测试流程的初始步骤,并用于员工培训。
[*]3.模块测试
此类测试包括针对某一领域或者环节的特定演习,以验证相关信息和流程。此类测试相较模拟测试更为详尽,但是并不需要调动员工。
[*]4.职能测试
此类测试包括测试特定职能或者业务单位以及职能内部的相互依赖关系。这是第一种涉及将员工实际调动到其它场所并试图建立联系、执行业务持续性计划中规定的恢复流程的测试类型。测试目的在于确定是否可在替代场所恢复关键系统,以及员工是否能够实际应用业务持续性计划中规定的程序。
[*]5.全面测试
此类测试通过在替代场所按既定步骤执行流程,对企业的业务持续性方案和员工进行综合评估。这是最为全面的测试。在全面测试中,会尽可能模拟真实生活中的紧急事件。因此,进行此类测试的前提是制定周全的计划,确保业务运营不会受到负面影响。通过在替代场所应用备份媒介处理数据处理和交易,企业对持续性计划的全部或者某些部分进行测试。
桌面演练和穿行测试是最为普遍使用的测试方法,使用此类测试的受访企业占到了全部受访企业的54%。其次分别是模拟测试(37%)、模块测试(25%)以及职能测试(21%)。只有14%的受访企业执行全面测试。尽管综合测试(比如职能测试和全面测试)要求投入更多的时间、资源和人员的相互配合,它们更接近真实灾难的情景,有助于管理层评估参与恢复流程的相关人员的实际应对能力。此外,管理层可以将综合测试结果用于加强风险和责任意识,预防灾难发生。
图8:过去12个月中启用业务持续性管理计划的10大原因   
警报响起之时业务持续性计划应具备足够的灵活性,以应对发生概率很低但是后果可能非常严重的事件。的确,往往在极端事件(如2001年的911恐怖袭击)发生之后,业务持续性管理才成为关注焦点。然而,在实际工作中,企业的许多业务持续性措施被经常性地用于破坏性程度较低的情形。硬件故障是中国企业启用业务持续性计划的最大理由,有超过41%的受访者将这一点作为主要原因,29%的受访者则选择了电力中断,另外有26%的受访者选择了人为过失。
有23%的受访者声称自然灾害是所在企业启用业务持续性计划的原因。鉴于2008年发生了突如其来的雪灾和四川大地震,这一点可能不难理解。启用业务持续性计划的原因中没有提到恐怖活动。尽管北京奥运会期间,出于防范恐怖活动的考虑加强了安全措施,但恐怖主义威胁似乎并未引发企业的担忧。
一半的受访企业已对现行的业务持续性计划做出改进。有46%的受访者表示,由于过去出现的业务中断事故而对持续性计划做出一些改善。这一现象表明很多企业并没有建立有效的流程,用以按照以往经验对现有的业务持续性计划进行持续改进。业务中断导致的直接财务损失只是问题的一部分。它对整个企业的影响可能是长期的,并且可能带来更为严重的财务损失,比如在合作方和客户间的声誉受损,甚至是失去商业合作的资格。经验证明,危机沟通计划执行不力的公司往往难以从较大危机中恢复,甚至可能从此一蹶不振。
调查结果还显示,只有少数(21%)中国受访企业在发生涉及业务持续性管理的紧急事件时,有相应的政府或者相关机构可以联络。这些联系单位包括中国人民银行、中国银行业监督管理委员会、中国保险业监督管理委员会、国家外汇管理局以及公安机关。
图9:业务影响分析和风险评估的频率    在中国的很多企业并不经常进行影响分析和风险评估。在受访者中,44%声称每年进行一次业务影响分析和风险评估,11%声称两年进行一次,10%声称一年进行两次,而21%的受访者声称从未进行过此类评估。
但是,大多数执行此类评估的受访者声称评估结果对其业务持续性管理计划会产生直接影响;65%的受访者声称评估结果将被用于制定业务持续性管理计划。

金融危机时期的业务韧性和持续性
2008年9月以来,金融市场剧烈动荡,多家金融机构倒闭清算,还有多家企业纷纷重新修订借贷和投资政策。这一严峻的环境对需要流动性以维持运营的企业而言造成了很多困难,而如果供货商和合作方陷入财务困境,则依赖这些供货商和合作方的企业亦会陷于困境。动荡的市场很容易被受传言影响,即使是小型事件,如果不善加处理也可能变成严重危机。针对业务持续性管理制定的人力管理和危机公关方法也有助于帮助企业应对此类情况。针对银行业危机,香港金融管理局已于2008年12月颁布了信誉风险管理规定。
但是,经济危机中得到的最为直接的教训可能非常浅显:计划需要根据业务运营和人力因素的变化而转变。业务持续性管理计划依赖于明确的沟通和人员协作。鉴于很多公司目前存在人员离职率高、冗员或者结构重组的情况,对业务持续性准备措施定期审查并根据情况变化加以调整是极为重要的。
结论:

中国的企业日益认识到,建立含有明确流程的整体方法、加大资源投入和培训力度对保证业务持续性而言十分重要。 受访者也认识到,业务持续性管理不仅仅是预防灾难发生和确保业务持续性。进行业务持续性管理可以带来诸多裨益,比如沟通更为及时有效,企业对变化的反应更为迅速,利用市场机会的能力得到加强等等。由于亚太地区市场存在诸多不确定性因素,业务持续性管理在帮助企业抓住新的机遇以及保证监管机构和客户的信心方面是至关重要。从中长期来看,业务持续性管理计划有助于进一步巩固企业的良好形象。
但是,在实际情况中,很多企业仍然存在不足之处和薄弱环节。它们需要投入更多时间和资源对其业务持续性管理计划进行测试、审查和更新。
这并不是危言耸听或是吹毛求疵,毕竟,不容置疑的是很多企业已取得了长足的进步,即使是在最近两年里。在挑战重重的时代,企业必须继续将业务持续性管理作为常规课题。进行业务持续性管理不能纸上谈兵,并且也不能和加强治理、提高绩效、达到更高的道德和环境标准等工作隔离开来。
备注:以上参考资料来自毕马威中国

人杰 发表于 2011-7-21 17:14:00

huangjie528 发表于 2012-9-6 14:45:29

谢谢分享!
页: [1]
查看完整版本: BCM中国现状