翁培業 Paul Yung德勤中國企業安保管理領導人

概述

回顧業務連續性管理（Business Continuity Management，BCM）及其方法論：

簡言之，BCM能夠識別出可能帶給企業的潛在威脅以及這些威脅發生時對業務運營帶來的負麵影響，同時也提供了一套有效的反饋和恢複體係，從而對股東利益、公司聲譽和價值創造活動進行有效的保護。[1]

BCM最基本的構架應該包含業務可持續計劃，業務可持續運營工作小組，確定支持主要商業活動的主要資源構成，例如人力投入和IT等，並時常更新以及對可持續計劃進行測試。

對於確定了一定範圍的業務連續運營項目，BCM的成功取決於包括企業高級管理層、業務部門、控製中心和專業團隊在內的所有人員的全心投入。

BCM的常見錯誤及陷阱

上述理論似乎很容易理解，但是縱觀全球，我們還是一直麵臨著像地震、禽流感/豬流感、雪暴等自然災害，以及恐怖分子襲擊、政治動蕩衝突、網絡攻擊和電力中斷等人為事件。社會民生問題也日漸成為焦點，尤其在那些政治危機高的國家。[2]

具體來說，那些全球性的重大事件/事故已經清楚地向我們展示了它們是多麼輕易地迅速演變成災難性的和無法控製的危機。以最近發生的一些重大事件為例：產品責任（中國毒牛奶事件），大地震（日本的三重危機），產品召回（日本豐田汽車），商業欺詐（印度薩蒂揚軟件公司），人質挾持（卡特彼勒、3M、惠普），綁架勒索贖金（索馬裏），安全漏洞（索尼），網絡攻擊（Visa、貝寶、萬事達信用卡），還有石油泄漏（墨西哥灣的英國石油公司）。不知道各位CEO們怎麼能睡得安穩？

BCM領導層的管理失效

公司是否任命了有能力去影響並號召各個地區、部門和等級的人選？ 這個領導人需要打破障礙、消除部門之間的隔閡，否則BCM項目將不會有足夠的資源開展下去。

“55%的應答者（大部分是業務連續運營項目的經理）表示較少有高級管理層參與並為業務連續性出一份力。”[3]

事件上報的緩慢與無組織

企業以良好的風險智能和高質量的信息來源來規避風險，從而對突發事件做出及時的應對。預警係統就像是住宅裏的自動防盜警鈴，在造成損失之前探測到問題所在。這就把問題引向了企業是否清晰地製訂了上報事件的類型、上報者與上報期限。

警惕黑天鵝效應

自從“9·11”恐怖事件發生後，以往對於不利事件發生的可能性的定性判斷已經越來越受到質疑。誰還能說影響巨大、發生幾率低的事件不可能會發生所以就可以被忽略？企業不能保證承擔得起黑天鵝事件 [4] 所帶來的影響。所以問題的關鍵就在於企業現有的安全保護措施以及控製體係是否足夠有效？是否建立了有效的安全保護和控製措施？

近10年來的“影響巨大，可能性小”（HILP）事件的頻繁發生引發了對“正常等級”的重新定義。那些受到高度關注的一次性重大事件，例如“9·11”、卡特裏娜颶風、馬孔多溢油、日本地震和海嘯都是非常嚴重的災難，需要全球性的緊急應對，也標誌著危機時代的來臨。[5]

一些重要的資產被忽略了

威脅評估是為了了解企業所麵臨的各個方麵的不利因素，並考慮其產生的影響和發生的可能性，此外還要實施應對的緩釋措施。我們的經驗表明，BCM的領導人及策劃者更多的是關注怎樣保護設施、信息和業務運營，而較少關注怎樣保護員工和公司聲譽。當然，員工是一個企業最重要的資產，而品牌和聲譽則是企業的命脈。如果這些重要的資產沒有得到重視，那麼很容易在影響分析時出現錯誤的判斷。如果低估了衝擊的影響，那麼總體風險評估將會低於實際水平而導致風險緩解應對和預防措施不足。

“災難把焦點引向了對BCM的需求，其中包括公共關係和媒體策略。六成的經理認為名譽損害比經濟損失更嚴重。”[6]