业务连续性管理(BCM),企业风险管理职能的必备技能
我们之前写过很多文章,来解释企业风险管理职能的定位。在一个企业里,哪些工作内容属于风险管理的范畴,或者说风险管理工作的边界在哪,每个企业的实践中有所不同。
在2006年国务院国资委发布的《中央企业全面风险管理指引》中,将风险管理工作内容界定为:
(一)研究提出全面风险管理工作报告;
(二)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(三)研究提出跨职能部门的重大决策风险评估报告;
(四)研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;
(五)负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案;
(六)负责组织建立风险管理信息系统;
(七)负责组织协调全面风险管理日常工作;
(八)负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作;
(九)办理风险管理其他有关工作。
在2008年财政部联合五部委发布了《企业内部控制基本规范》之后,很多企业把内部控制工作的内容也加入了风险管理职能中去。
今天回头来看,我们对企业风险管理工作的理解要比前些年清晰一些了,但是风险管理的日常工作必须包括什么内容?可以说,还没有形成普遍的共识,有些企业的风险管理职能精简的只剩下年度的内控评价内容了。
今天,我们给大家介绍一项企业风险管理职能的工作内容,这是一项其它职能夺不走、边界又很清晰的工作——业务连续性管理(Business Continuity Management,简称“BCM”)。
业务连续性管理(有时也翻译为业务持续性管理)发展的时间不长,起源于上个世纪的灾难恢复管理,在灾难发生后(例如2001年的911恐怖袭击),营业发生中断,组织如何能尽快恢复正常运营,降低灾难造成的影响,特别是在进入了信息社会之后,对于系统和数据的备份和恢复更是业务运营的重中之重。
所以,最开始灾难恢复的应用重点是在IT信息系统的恢复,可以想象一下,如果信息系统和数据遭到损毁,什么样的企业受影响最大?
金融业,特别是银行业。
设想一下,如果在一个区域发生了一个灾难事件,导致该区域的某个银行业务中断,而且客户数据全部丢失,那将是不可接受的结果。显然,与其他领域相比,这样的事件对银行业的影响最为明显,属于银行业的操作风险管理范畴。
业务中断影响对于银行业来说,比一般的行业来说,要大得多。
所以,对于银行来说,建立和保持业务连续性管理体系是强制要求。
2011年,当时的中国银监会就发布了《商业银行业务连续性监管指引》,其中对于业务连续性定义为:
本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
经过这么多年的发展,业务连续性从两个方面进行了扩展:
1、备份和恢复的内容从原来的IT系统向业务系统的延伸;
2、从金融行业向一般企业的延伸。
现在的业务连续性管理,已经形成了一套框架体系,已经拥有了成套的国际标准,而且是可认证的一套管理体系。
2007年,全球第一个正式作为业务连续性的认证框架——BS 25999,由英国标准协会颁布。
熟悉管理体系的朋友应该能看得出来,和质量管理一样,业务连续性的管理框架也是采用的PDCA模型为内核。
前些年我们协助部分外资企业和中国企业建立业务连续性管理体系,用的就是这个标准和框架,直到这个标准在2012年被国际标准组织ISO接受并转化为ISO22301《Business Continuity Management——Requirements》标准。
今天,一场突如其来的疫情让所有的中国企业都面临着业务中断的困境,在这场疫情爆发之前,有没有企业对这样的中断事件有预案、疫情爆发期间有没有可供实施的应对计划、疫情过后有没有完备的恢复方案,都是这个管理体系包含的内容。
有人说,这样的事件无法预计,没有人会预测到这样的事件发生。
是的,这样的不确定性事件确实对所有企业都始料未及,有人问我这样的风险如何管理?
对不起,你无法管理。
我们谈风险是包含了主体概念的,今天我们面对的风险,主体不是任何一个企业,而是国家,所以任何一个企业都不能谈如何管理这个风险,因为当事人不适格。
只有国家层面才能谈如何管理这个风险,一般的企业只能被动应对。
实施业务连续性管理目的在于增强组织应对此类突发事件的确定性,这是我们在这类不确定事件来临前能够做的。
我们不知道明天还会有什么突发事件,能够做的是为业务中断做好了准备。
这是以不变应万变之法。
实施这个框架,管理层需要对一系列的 Plan B 进行决策,关键是看组织在资源受限的状况下的风险偏好和承受度。
业务中断严重情况下可能会导致企业倒闭,企业是否会愿意为这样的极限生存情景分配资源应对,就看领导层的眼光和格局了。
大家可能还记得去年由于中美贸易战华为遭受芯片断供,自行研发的麒麟芯片作为备胎一夜转正的事。
我告诉大家,华为这样做其实是多年前实施业务连续性管理体系,在识别业务中断风险时,芯片断供和其它风险一并被识别出来并提交管理层,任正非将其称为不可接受的战略性漏洞而启动的自主芯片研发项目。
我们十年前有幸在华为最开始建立全球业务连续性管理体系的时候提供了一些支持,到今天为止,这项工作仍然是华为风险管理部门的一项非常重要的职能。
华为作为中国企业的优秀代表,确实是先知先觉了。其实,所有的世界一流企业基本都在建立和维护这套管理体系。
疫情过后,各位风险管理同仁,请报告公司的管理层,将公司的业务连续性职能纳入公司风险管理工作范畴,经此一役,想必领导层都可以体会到业务中断给公司造成的严重影响。
我们风险管理人员要为未来的各类风险事件,做好准备!
最后,送一份礼物给大家,业务连续性的国家标准,中文版,请在公众号下方发送关键字“BCM”,获取下载链接!
精华汇总