危機中的信心 - BS 25999 營運持續管理

如果過去的經濟不景氣給了我們教訓,我們就會知道要未雨綢繆。如果沒有實際的緊急計畫,災難會造成重大的財務損傷,而國際化的雄心壯志更是雪上加霜。 BS 25999 營運持續管理 已經在四年來幫助許多公司度過難關。

務必要從金融危機中得到的教訓是,沒有公司是「大到不能倒」或「成功到不會倒」。投資銀行雷曼兄弟在2008年秋天的垮台,造成嚴重的衝擊,同時也成為21世紀商業的強烈警訊。在快速成熟的市場,全球化與交綜錯雜的相依性,沒有公司或政府敢以管理而自滿。

營運持續性的基礎與公司風險概況的瞭解,現在變成當務之急。公司必須要答覆困難的問題。重要資產、產品或服務的流失,對營運會有何影響?在真實世界裡的外來威脅如何瞬息萬變?有哪些證據可以證明緊急因應計畫是實際可行的?

營運打擊
近年來,我們遭遇了幾乎蔓延全球的新流行病,而2010年4月冰島火山的爆發,也對很多公司造成巨大的衝擊。飄揚的火山灰造成一些國家的領空關閉長達18天,短短的六天當中,取消了100,000班歐洲航次。

影響所及既深且遠,衝擊許多行業的公司獲利率與生產力,從航空旅遊到零售,無一倖免,公司對員工有照顧的責任,但是他們也必須要因應主要幹部滯留他鄉的業務空窗期。

業務的發展也因此中斷。美國的國家商務旅遊協會(NBTA)營運長Michael W. McCormick說:「會議取消、見不到客戶、握不到手、交易無法進行。」

零售供應鍊受阻,因為從水果到珠寶與製造零件等的進口被凍結。這個問題真的是全球性的,對進口業者的打擊,遠遠超過他們定期供應產品的歐洲商店與旅館。英國貨運協會全球供應鍊主任Christopher Snelling指出在非洲的製造業者受到的衝擊尤其慘重,他說「在非洲大陸的一些地區,90%的水果、花卉與蔬菜,都是以空運出口到歐洲的。」。

準備不周
這個事件清楚地展示了未雨綢繆,並擬定營運持續性計畫(BCP)的重要性。例如,如果員工可以在其他地點有效率地工作,就可以緩和風險。

然而,就在不到一年前,營運持續的能力也遭受嚴重的質疑,當時世衛組織(WHO)宣布法定的全球性流感。新流感(H1N1)至少散佈於二個區域,公司擔憂他們必須要處理部分員工數週無法工作的窘境。就像火山灰一樣,這對經濟而言,也是無法確定延續的時間。

英國的營運持續協會(BCI)對商業界的準備不周提出警告。BCI估計,三分之一以下的英國公司有處理員工無法工作的計畫,並要求有相關計畫的公司重新審視。他們可能必須要迅速地招募臨時工,或是整廠遷移。

新流感的疫情不如預期的嚴重,流行病的警示也解除了。

然而,BCI在去年也對因為缺乏營運持續計畫而造成嚴重中斷,提出總成本的估算。這些意外事件對英國經濟的影響大約是一年£111億。[3] 大約佔國家GDP的0.8%。

標準因應
BSI 開發出BS 25999 營運持續管理 於2006年推出,是世界上第一項營運持續標準。標準協助公司規劃因應這類威脅的營運窘境,以保護員工、維持商譽,並讓他們即使在災難進逼的情況下,依然能夠持續運作。

BSI行業風險經理Tim McGarr說:「BS 25999並未區分危機與意外,而是專注於因應。BS 25999是針對在意外發生之前就已經有計畫、程序與步驟的公司,不管事件的規模如何,都要確保公司能夠盡快恢復正常。」

標準說明一個可靠的BCP背後,必須具備的基礎原則與程序,還包括設計與測試。
其中分成二部分:實務規範條列相關的建議,還有一組特定的要求,以查核具備完整營運持續管理系統(BCMS)的資格。BSI所開發的線上自行評估工具,也讓公司可以查核他們擬定BCMS的進度,定期評估與通報他們的BCP,以找出可能需要改善之處。BSI集團的全球產品風險經理Richard Taylor說,他的公司以BCMS相關課程,在全球訓練了2,000多人。

為了協助公司測試BCMS,BSI最近也出版了 PD 25666 營運持續管理 – 演練與測試持續性與緊急計畫的指導原則,是由擬定BS 25999的委員會所編纂。

同時,對BS 25999的獨立驗證,也成為明確的標誌,讓公司在找尋與規劃潛在客戶或合作夥伴時,有跡可尋。這可以提供競爭優勢,尤其是在契約投標的情況。服務買方可以更確定他們所購買的服務,可以在特定的時間內恢復到協議的程度。

範例之一是Vodafone UK在2009年4月,決定尋求3G語音與行動寬頻網路的驗證。所有的公司都仰賴流暢的通訊,以維持成本效益與競爭力。事實上,在面臨危機時,這是營運持續能力的重要部分。BCP的優先要務之一,是必須啟動適當的訓練,警示人員注意即將展開的事件,並傳遞要優先處理的行動。

BSI在2010年6月稽核Vodafone UK,並保留其2G與3G網路的驗證。
Vodafone UK的企業總監 Peter Kelly說:「愈來愈多客戶要求商業合作夥伴對於營運持續證書的證明。BS 25999 驗證代表我們的支援遠超過客戶的需求。」

在BSI進行北威爾斯的實地稽核之後,Airbus公司最近也取得BS 25999的驗證。製造商變成第一家證明符合標準的航太公司,這包括開發其供應鏈監測BCP的資料管理系統。高階的設施主管Dave Micklewright說取得驗證代表其程序「將公司的所有層面納入考量,包括人員、場地、供應商與資產。」

在2010年6月,美國國土安全部(DHS)依照9/11委員會對於改善民間企業緊急因應能力的建議,將BS 25999納為三大標準之一。根據委員會的計算, 民間企業控制高達85%的美國重大基礎建設,營運持續顯而易見地變成優先要務。因此,DHS根據BS 25999研擬推動「自願性民間備戰鑑定與驗證方案」(PS-Prep)。

BSI估計市面上已經核發了100多張的證書。單是BSI所核發的證明,就涵蓋了14個國家與10個垂直市場。

Taylor說:「BS 25999是BSI有史以來成長最快速的標準之一,且獲得全球性的成功。」他解釋表現出最高興趣的行業包括IT、電訊、業務製程外包、金融服務、能源、以及「各式各樣的製造與服務產業」。除了Vodafone以外,著名的國際客戶包括台灣IBM、印度Accenture Services、印度Satyam、日本Fujitsu與花旗集團(Citigroup)。

BS 25999在韓國也頗受歡迎,韓國工業銀行(IBK)與三星壽險(SLI)已經取得驗證。後者致力於定義與記錄本身BCMS與BS 25999之間的差異,成為以這種方式證明其卓越性的保險公司。韓國BSI的稽核與報告擬定了「補救行動計畫」,許多員工接受訪談,致力於找出現有BCMS的關鍵弱點。其中包括各個關鍵部門之間的互動不足,以及審查供應商能力的機制。

在IBK實施新的BCMS,涉及分析700多個工作流程、排定關鍵行動的優先順序、建立目標復原時間,以及擬定每個部門的政策手冊與訓練文件。該銀行在2008年3月取得標準驗證。

以人員為優先
標準對公家機關的作業同樣息息相關。英國2004年民間緊急因應法案要求英國地方政府擬定各種情況的BCP,但是在2009年,西薩塞克斯郡議會率先取得BS 25999驗證,同時也確認BSI訓練內部稽查員課程,足以自己進行自我評估。公共保護郡議員Peter Evans說這表示議會「決心在各種緊急情況下,保護市民與提供服務。」
國王學院醫院NSH基金會信託從事的是實際拯救生命的事業。其急診部在2009年治療了124,638 人,每天平均340名患者。BS 25999 驗證已經讓醫院可以優先處理受到極度壓力的資源。

聯合護理部門主任Lynne Watkins說:「實施管理系統的結果,是我們更容易取得營運持續計畫。寥寥數語,卻更清楚而精確地說明相關人員、時間與方式。」
「實施的另一個關鍵結果是採購更多以電池操作的儀器設備,在停電的情況下,也能治療病危的患者。」

企業的接受度
許多公司仍須努力,以確保審慎看待營運持續。BSI在最近所進行一項調查中, McGarr 說回答問卷者(42%)指出主要的挑戰是「讓資深管理階層接受這個概念」。他說:「實際上,公司面臨的主要議題,就像許多新提案一樣,在整個過程中取得適當層級的支持。」

「雖然營運持續變成常用的商業用語已經十年之久,許多剛接手的人都未曾接觸過完整的主題或標準。」

這些議題當然必須要緊急處理。營運持續不只保護個人與利潤,在最糟的情況下,例如金融風暴或天災,還可能成為讓全世界持續運轉的關鍵。

文章來源:BusinessStandards

http://www.businessstandards.com/Articles/100913_business_continuity.xalter