BS25999-2007是英国标准协会(BSI)所提出的国际性营运持续管理规范标准,其前身是2006年发布的BS 25999-1。企业在营运活动中断后的复原能力已被公认为营运策略的重要一环,因此,许多企业希望了解新的营运持续管理标准BS 25999-2007及该标准所界定的BCM (业务持续管理管理)流程。本文根据已发布的文件草案,列出相关信息,以协助读者更快地掌握该标准的精髓。
根据标准对营运持续管理的界定,BCM是一种整体管理流程,能够鉴别企业的潜在威胁、以及当威胁成真并对营运可能造成影响时,提供一个可用于建构企业复原能力的框架,以协助企业做出有效的响应,来保护股东权益、公司名誉和品牌价值等。
BCM项目管理可以分为四个阶段实施:了解公司营运、决定 BCM 策略、发展与实施 BCM 响应、以及演练、维护和稽核BCM项目,之后,企业需将这四个阶段深植于组织文化中。
BCM项目具体实施步骤
BCM项目管理是BCM生命周期的核心,企业内应该建立一套 BCM系统来管理公司内部所有的 BCM 项目,以展示企业的管理阶层对 BCM 的承诺。不仅如此,企业应当要发展且实施营运上的持续性政策,并提供可支持必须执行的活动资源。另外,企业内部应该充分沟通,建立横夸组织内部的系统,并定期按表审查,以确保已按照计划实施BCM的成效。
实施BCM项目第一阶段是了解公司营运,在这一阶段,需要找出企业中最关键的营运功能,并研究当营运被中断时所产生的风险,因此,企业必须进行营运冲击分析 (Business Impact Analysis,即BIA)以及随之而来的风险评估 (Risk Assessment,即RA)。BIA包括确定支撑企业主要产品和服务的关键活动、活动被中断时的营运冲击、复原时限、复原的优先级、相互依赖性、以及持续要求和资源 (如人员、工作设施、支持技术、工厂和设备);RA 则是要求企业检查关键的营运活动被中断时所产生的风险,以便了解威胁、弱点,并记录所界定的威胁和弱点带来的影响,以鉴别风险。
在评估风险后,企业还要做相应的选择,以有效地规避风险。此外,企业在评估威胁关键活动的潜在风险后,应进一步确认并采取相对的应变措施。
第二步,则需要决定 BCM 策略。在这一阶段,企业的目的是找出并仿真各项可选择的策略,以便关键的营运中断时,企业能够在合理的复原过程中,将营运复原至可接受的持续性营运水准。这一阶段需要确定持续营运所需的人员、设施、技术、信息、供应品及股东等企业资源。同时,能够熟悉当地的紧急服务、并了解全球 BCM 最佳实践,将有助于企业针对不同事件选择最合适的策略。
第三步,发展与实施 BCM。可以说,这个阶段是 BCM 生命周期中最重要的阶段,包括计划的准备与拟定,进行事故的应对,并且可在营运中断时,一步步地复原并加以维护,达到预定的水准。在这个阶段,企业需要制定事故管理计划 (Incident Management Plan,即IMP) 和营运持续性计划 (Business Continuity Plan,即 BCP)。IMP 指用于事故发生时被清楚定义的行动计划,通常涵盖了实施事故管理流程所需的主要人员、资源、服务及行动;包括行动清单、媒体响应流程、以及股东管理流程等。BCP则是流程与信息的文件汇集,其是用于各类事故的发展,以便企业能以预期的复原水准持续活动;包括为了优先级和资源要求所做出的行动计划与清单。
最后一步则是演练、维护和稽核 BCM 项目。该阶段的目的是企业可透过持续性改善行动,确保 BCM 项目的有效性、正确性和实用性。演练指的是根据 BCP 中记录的流程,对团队成员进行持续性培训和排练,基本上,这样可确保营运持续性的计划能获得定期验证,并持续采取改善措施。维护指的是定期修正并更新流程,以确保所计划的流程方案不会因时间而失效。最后,公司管理高层应对整套 BCM 项目进行稽核,以确定计划是否适当、充足及有效,进而满足持续性的需求。
为确保BCM 项目的成功,企业应当确认是否已让 BCM 项目正确地被建立在企业的文化和日常的营运里,组织里的所有员工都应对自身角色有足够的认知,并受过相关的培训,以学习如何处理特殊任务。当人员理解并接受BCM功能时,组织对于营运冲击的处理能力才会提升。
设定情境时,务必考虑紧急事件或事故发生时的结果、目前潜在的状况以及未来可能引发的威胁,建议使用其他企业的情况作为参考依据。为了确保遵照国际标准,企业可聘请可靠的第三方机构,针对企业 BCM 项目进行审核及基准测试。UL 等认证企业拥有这方面的专业知识,可协助企业找出 BCM 项目中的潜在不足,并提出最佳实践解决方案。 |