论文部分内容阅读
当今世界充斥着恐怖袭击、黑客、电脑病毒、自然灾害、罢工、环境污染等各类风险,近年来发生的“9.11”、“SARS”事件、印度洋海啸, 以及2008年发生的大范围雪灾、汶川地震等,给国家和企业带来重大的损失。世界各国的案例表明,传统的业务管理方法及流程,在遭遇灾害事件时常常不堪一击。越来越多的危机事件的影响使人们认识到,只有构建真正有效应对危机事件的管理体系,使管理科学化、手段现代化,才能保证业务的连续运行,实现企业的可持续发展。在此背景下,业务持续管理 (BusinessContinuityManagement简称BCM)应运而生。
一、电力行业业务连续性管理体系的构建
电力行业业务连续性管理体系应涵盖业务经营、运营支持、后勤保障等所有业务板块,涵盖事前、事中、事后等全程管理,构建完善业务连续性管理体系是一项长期性、系统性工程。
(一)电力行业业务连续性管理体系的目标及构建思路
业务连续性管理的目标是:提高电力行业抵御危机事件的能力,有效消除或抵御潜在的风险,迅速处置,阻止或抵消不确定事件造成的威胁,并对存在的薄弱环节持续改进完善,确保电力行业日常业务平稳运行和可持续发展。
电力行业业务连续性管理体系的构建思路是:预设灾难场景,事先建立标准化、流程化的管理機制,当危机真正发生时,确保有适当的人在适当的时间做适当的事,执行事先确定的管理程序、操作步骤,以达到减少损失、实现业务可持续的目的。也就是说,提早设定整个危机事件处置的决策过程,事先考虑危机事 件影响的可能性,预先做好内外部资源的安排、外部信息的处理与公关、人员及设施的备份等各项安排,当危机来临时,按照事先设计好的系列程序有条不紊地处置,防止因事件突发导致处理决策失误,确保机构主要业务的可持续运作,尽可能将损失减到最少。
(二)业务连续性管理危机事件的分类
业务连续性管理的对象是危机事件,危机事件是指影响电力行业可持续经营的事件,此类事件可能在短时间内波及多个层面,甚至影响电力行业的持续 生存和发展,包括自然灾难、人为灾害、重大运行故障等。危机事件主要分为内外部欺诈、实体资产损坏、IT系统、运营危机、人员危机、流动性危机等类型。
内外部欺诈事件指电力行业内外部人员以违法手段诈骗、侵占电力行业财产的事件,包括盗窃、勒索、挪用、欺诈、伪造、诈骗、抢劫事件;实体资产损坏事件指电力业务资产因自然灾害或人为灾害损毁的事件,包括自然灾难,如地震、火灾、水灾、雪灾、台风,以及人为灾害,如人为破坏和战争等;IT系统危机事件指 由于计算机系统故障、通讯故障、信息网络异常、电子载体重要数据丢失,造成电力行业经营中断的事件;运营危机事件指针对电力行业各机构的聚众上访、请愿、 静坐、示威或冲击、围攻电力行业办公营业场所的事件;人员危机事件指电力行业员工因就业、健康或安全方面的问题,造成电力行业经营中断的事件,包括有组织的劳工事件、重大传染疫病等;流动性危机事件指银行因内部或者外部原因,无力偿付到期债务的事件,如金融挤兑事件等。
(三)业务连续性管理实施方案的制定
业务连续性管理实施方案的制定应遵循以关键业务为核心、以流程为基础的原则。“以关键业务为核心”指梳理业务流程,针对关键和支持性的业务环 节制定解决方案,以确保关键业务的可持续性运作为目标。“以流程为基础”指进行合理的流程设计,当损坏事件出现时,按照设定的程序执行解决方案,确保适当 的人在适当的时间做适当的事。
1.业务连续性管理实施方案的构成
电力行业业务连续性管理实施方案应包括识别、报告、评估、处置、恢复与改进、培训与演练等六个部分。
(1)在业务连续性管理的识别部分,应预先设计可能导致业务活动中断的损坏场景,明确事件触发要素,如涉及金额、损失金额、影响程度等。(2)在业务连续性管理的报告部分,应明确信息收集、报告的人员及职责;报告的内容、形式及要求;报告程序;报告时限;报告路径及频率等要求。(3) 在业务连续性管理的评估部分,应明确危机事件影响范围及损失评估;可以接受的损失范围;可容忍的最大中断时间等。(4)在业务连续性管理的处置部分,业务连续性管理的处置是业务连续性管理的核心内容,应根据预设的损坏事件场景,确定处置的总体步骤和具体操作要求,以及人员备份和授权、技术保障、设施配备、通信联络等各项工作,以减少危机事件造成的损失,维持机构关键业务的运作。包括:业务处置的总体步骤和具体操作要求;人员的工作任务及职责;关键人员备份和紧急授权方案;设施取得计划;技术保障计划;联络沟通计划;机构协作计划;危机公关计划;重要信息记录等。(5)在业务连续性管理的恢复与改进部分,应明确业务恢复及改进运行策略的选择,以便在恢复时间目标范围内恢复主要业务,维持机构运行的关键功能。包括:确定业务恢复最低要求;关键业务恢复的目标、优先顺序、恢复时限;非正常状况下的运作程序及方法、所需资源、资源取得途径、恢复运作的步骤;迁回固定场地、恢复正常运作的步骤等。(6)在业务连续性管理的培训与演练部分,应进行业务连续性管理实施方案培训,确保相关人员熟知实施方案及操作要求;进行业务连续性管理实施方案定期演练,不断提高相关方案的可操作性,确保方案的持续更新和完善。
2.业务连续性管理实施方案的分级管理
危机事件具有演变、发展的特点,微小的灾害可能演化为严重的灾害,在危机事件尚处于萌芽状态时即介入处理,效果往往较坐待事态发展、事后补救好得多。应根据突发事件的影响程度及危害后果,综合考虑管理活动的成本及收益,将危机事件至少划分为突发应急管理、业务连续性管理二个层级进行管理,连续性管理的是升级、恶化后的突发事件,二者以是否影响业务运营为标准。二者实际上是针对危机事件在不同程度危害情景下,事先制定的、区别轻重缓急、有所侧重的应对预案,同时,应尽量保持处置程序、报告路径的总体一致性,以便于理解、易于执行。 (四)业务连续性管理实施方案的阶段性规划
业务连续性管理是一项系统工程,涉及银行业金融机构的管理、业务、IT、后勤和外联等众多资源,复杂程度较高,要做好此项工作实为不易。从我国实际情况来看,银行业金融机构要投入大量资源、一蹴而就地构建出完善的连续性管理体系既不现实、亦不经济,应由易到难、稳步构建。建议在本阶段先提取发 生概率相对较高、影响程度较大的危机事件,以较高标准做好连续性管理实施方案,打好连续性管理的基础;在后续阶段,各级机构还应结合实际情况,不断补充、细化、完善,使本行连续性管理进入不断更新完善的发展轨道。金融机构的业务连续性管理是指制定并执行系列管理程序,对危机事件进行识别、报告、处置、恢复、改进的全过程管理。
二、业务连续性管理实施过程中应注意的问题
(一)提高对业务连续性管理重要性的认识,对业务连续性管理的认识存在误区,存在畏难及侥幸心理,认为制定实施业务连续性管理体系需要动用全行的IT、业务、后勤和外联等众多资源,工作量大、复杂程度高,而灾难的发生是小概率事件,不必费这么大力气进行业务连续性管理。实际上,威胁业务连续性的事件并不一定都来自于火灾、地震等小概率事件,诸如内外部人员欺诈、控制流程缺陷等经营中各类风险,如果没有及时采取预防和控制措施,同样可能会对银行造成致命的打击,如果没有事前详细的规划和充足的准备,在危机真正来临时,业务连续营运必要的资源保障可能无法顺利获得,将使电力行业陷入混乱无序的状态,危机的进一步蔓延和损失扩大的可能性将大大增加。
(二)充分考虑危机情景,细化操作步骤。灾难的发生往往突如其来,在灾难来袭时越是明确、细化、具体、全面的指导方案应对灾难的效果越好。在制定连续性实施方案时,应充分考虑灾难发生的各类情景,明确灾难管理的具体程序、操作步骤、人员及资源的获取途径,确保有适当的人在适当的时间做适当的事。若连续性管理实施方案仅处于原则性要求或框架性步骤的层面,未落实到每个工作环节、操作步骤,灾难应对的效果将大打折扣。
(三)明确责任人及通讯方式并实时更新。应在实施方案中明确灾难管理每个具体步骤的责任人,在实际操作中,常有机构反映,由于机构人员及职责时有调整,无法将人员落实具体,待真正发生灾难事件时,再临时指派或根據职责分工处理。实际上,人是灾难应对中最重要的因素,明确具体的责任人及有效的沟通联络是成功危机管理的前提条件,若灾难发生时再临时进行分工,或是寻求资源援助时找不到具体对象,将严重影响灾难应对的效率及效果。
(四)正确认识IT系统灾备和业务连续性管理的关系。基于对信息化的高度依赖,IT灾备系统在全面的连续性管理中通常都处于基础配置地位, 因此,有些业务部门认为灾难恢复只是IT部门的事,在灾难面前,业务部门能做的只是等待系统恢复。实际上,IT灾备系统IT灾备只是业务连续性规划的一个组成部分,它只是解决了数据恢复的问题,无法承担全面业务恢复的责任,灾难对业务的影响、关键业务的确定、业务恢复策略的选择、业务人员的安排、灾难恢复所需的后勤保障、客户安抚和危机公关等工作,仍需要管理层和业务管理部门进行处理,实际上,业务连续性管理涵盖面远远超出了IT灾备方案的范畴。
(五)分步实施、从易到难、稳步构建、持续改进。从目前情况来看,电力行业限于人力、物力、经验的限制,尚无法立即全面开展业务连续性管理,可集中资源,先从对业务影响最为重大、影响可持续经营的事件入手,逐步积累经验。电力行业应逐步扩大连续性管理的对象和范围,根据风险发生的部位、概率和危害程度分级制定连续性管理预案,分步骤、持续地推进分层次的业务连续性管理体系的构建和完善,并及时进行维护、调整和更新,提高跟踪识别和快速反应能力,保证应急启动时的有效性。
作者简介:陈兴,男,1976年11月4日出生,在职研究生,大连理工大学项目管理专业,工程师,高级技师,信通公司安全监督质量部专职
一、电力行业业务连续性管理体系的构建
电力行业业务连续性管理体系应涵盖业务经营、运营支持、后勤保障等所有业务板块,涵盖事前、事中、事后等全程管理,构建完善业务连续性管理体系是一项长期性、系统性工程。
(一)电力行业业务连续性管理体系的目标及构建思路
业务连续性管理的目标是:提高电力行业抵御危机事件的能力,有效消除或抵御潜在的风险,迅速处置,阻止或抵消不确定事件造成的威胁,并对存在的薄弱环节持续改进完善,确保电力行业日常业务平稳运行和可持续发展。
电力行业业务连续性管理体系的构建思路是:预设灾难场景,事先建立标准化、流程化的管理機制,当危机真正发生时,确保有适当的人在适当的时间做适当的事,执行事先确定的管理程序、操作步骤,以达到减少损失、实现业务可持续的目的。也就是说,提早设定整个危机事件处置的决策过程,事先考虑危机事 件影响的可能性,预先做好内外部资源的安排、外部信息的处理与公关、人员及设施的备份等各项安排,当危机来临时,按照事先设计好的系列程序有条不紊地处置,防止因事件突发导致处理决策失误,确保机构主要业务的可持续运作,尽可能将损失减到最少。
(二)业务连续性管理危机事件的分类
业务连续性管理的对象是危机事件,危机事件是指影响电力行业可持续经营的事件,此类事件可能在短时间内波及多个层面,甚至影响电力行业的持续 生存和发展,包括自然灾难、人为灾害、重大运行故障等。危机事件主要分为内外部欺诈、实体资产损坏、IT系统、运营危机、人员危机、流动性危机等类型。
内外部欺诈事件指电力行业内外部人员以违法手段诈骗、侵占电力行业财产的事件,包括盗窃、勒索、挪用、欺诈、伪造、诈骗、抢劫事件;实体资产损坏事件指电力业务资产因自然灾害或人为灾害损毁的事件,包括自然灾难,如地震、火灾、水灾、雪灾、台风,以及人为灾害,如人为破坏和战争等;IT系统危机事件指 由于计算机系统故障、通讯故障、信息网络异常、电子载体重要数据丢失,造成电力行业经营中断的事件;运营危机事件指针对电力行业各机构的聚众上访、请愿、 静坐、示威或冲击、围攻电力行业办公营业场所的事件;人员危机事件指电力行业员工因就业、健康或安全方面的问题,造成电力行业经营中断的事件,包括有组织的劳工事件、重大传染疫病等;流动性危机事件指银行因内部或者外部原因,无力偿付到期债务的事件,如金融挤兑事件等。
(三)业务连续性管理实施方案的制定
业务连续性管理实施方案的制定应遵循以关键业务为核心、以流程为基础的原则。“以关键业务为核心”指梳理业务流程,针对关键和支持性的业务环 节制定解决方案,以确保关键业务的可持续性运作为目标。“以流程为基础”指进行合理的流程设计,当损坏事件出现时,按照设定的程序执行解决方案,确保适当 的人在适当的时间做适当的事。
1.业务连续性管理实施方案的构成
电力行业业务连续性管理实施方案应包括识别、报告、评估、处置、恢复与改进、培训与演练等六个部分。
(1)在业务连续性管理的识别部分,应预先设计可能导致业务活动中断的损坏场景,明确事件触发要素,如涉及金额、损失金额、影响程度等。(2)在业务连续性管理的报告部分,应明确信息收集、报告的人员及职责;报告的内容、形式及要求;报告程序;报告时限;报告路径及频率等要求。(3) 在业务连续性管理的评估部分,应明确危机事件影响范围及损失评估;可以接受的损失范围;可容忍的最大中断时间等。(4)在业务连续性管理的处置部分,业务连续性管理的处置是业务连续性管理的核心内容,应根据预设的损坏事件场景,确定处置的总体步骤和具体操作要求,以及人员备份和授权、技术保障、设施配备、通信联络等各项工作,以减少危机事件造成的损失,维持机构关键业务的运作。包括:业务处置的总体步骤和具体操作要求;人员的工作任务及职责;关键人员备份和紧急授权方案;设施取得计划;技术保障计划;联络沟通计划;机构协作计划;危机公关计划;重要信息记录等。(5)在业务连续性管理的恢复与改进部分,应明确业务恢复及改进运行策略的选择,以便在恢复时间目标范围内恢复主要业务,维持机构运行的关键功能。包括:确定业务恢复最低要求;关键业务恢复的目标、优先顺序、恢复时限;非正常状况下的运作程序及方法、所需资源、资源取得途径、恢复运作的步骤;迁回固定场地、恢复正常运作的步骤等。(6)在业务连续性管理的培训与演练部分,应进行业务连续性管理实施方案培训,确保相关人员熟知实施方案及操作要求;进行业务连续性管理实施方案定期演练,不断提高相关方案的可操作性,确保方案的持续更新和完善。
2.业务连续性管理实施方案的分级管理
危机事件具有演变、发展的特点,微小的灾害可能演化为严重的灾害,在危机事件尚处于萌芽状态时即介入处理,效果往往较坐待事态发展、事后补救好得多。应根据突发事件的影响程度及危害后果,综合考虑管理活动的成本及收益,将危机事件至少划分为突发应急管理、业务连续性管理二个层级进行管理,连续性管理的是升级、恶化后的突发事件,二者以是否影响业务运营为标准。二者实际上是针对危机事件在不同程度危害情景下,事先制定的、区别轻重缓急、有所侧重的应对预案,同时,应尽量保持处置程序、报告路径的总体一致性,以便于理解、易于执行。 (四)业务连续性管理实施方案的阶段性规划
业务连续性管理是一项系统工程,涉及银行业金融机构的管理、业务、IT、后勤和外联等众多资源,复杂程度较高,要做好此项工作实为不易。从我国实际情况来看,银行业金融机构要投入大量资源、一蹴而就地构建出完善的连续性管理体系既不现实、亦不经济,应由易到难、稳步构建。建议在本阶段先提取发 生概率相对较高、影响程度较大的危机事件,以较高标准做好连续性管理实施方案,打好连续性管理的基础;在后续阶段,各级机构还应结合实际情况,不断补充、细化、完善,使本行连续性管理进入不断更新完善的发展轨道。金融机构的业务连续性管理是指制定并执行系列管理程序,对危机事件进行识别、报告、处置、恢复、改进的全过程管理。
二、业务连续性管理实施过程中应注意的问题
(一)提高对业务连续性管理重要性的认识,对业务连续性管理的认识存在误区,存在畏难及侥幸心理,认为制定实施业务连续性管理体系需要动用全行的IT、业务、后勤和外联等众多资源,工作量大、复杂程度高,而灾难的发生是小概率事件,不必费这么大力气进行业务连续性管理。实际上,威胁业务连续性的事件并不一定都来自于火灾、地震等小概率事件,诸如内外部人员欺诈、控制流程缺陷等经营中各类风险,如果没有及时采取预防和控制措施,同样可能会对银行造成致命的打击,如果没有事前详细的规划和充足的准备,在危机真正来临时,业务连续营运必要的资源保障可能无法顺利获得,将使电力行业陷入混乱无序的状态,危机的进一步蔓延和损失扩大的可能性将大大增加。
(二)充分考虑危机情景,细化操作步骤。灾难的发生往往突如其来,在灾难来袭时越是明确、细化、具体、全面的指导方案应对灾难的效果越好。在制定连续性实施方案时,应充分考虑灾难发生的各类情景,明确灾难管理的具体程序、操作步骤、人员及资源的获取途径,确保有适当的人在适当的时间做适当的事。若连续性管理实施方案仅处于原则性要求或框架性步骤的层面,未落实到每个工作环节、操作步骤,灾难应对的效果将大打折扣。
(三)明确责任人及通讯方式并实时更新。应在实施方案中明确灾难管理每个具体步骤的责任人,在实际操作中,常有机构反映,由于机构人员及职责时有调整,无法将人员落实具体,待真正发生灾难事件时,再临时指派或根據职责分工处理。实际上,人是灾难应对中最重要的因素,明确具体的责任人及有效的沟通联络是成功危机管理的前提条件,若灾难发生时再临时进行分工,或是寻求资源援助时找不到具体对象,将严重影响灾难应对的效率及效果。
(四)正确认识IT系统灾备和业务连续性管理的关系。基于对信息化的高度依赖,IT灾备系统在全面的连续性管理中通常都处于基础配置地位, 因此,有些业务部门认为灾难恢复只是IT部门的事,在灾难面前,业务部门能做的只是等待系统恢复。实际上,IT灾备系统IT灾备只是业务连续性规划的一个组成部分,它只是解决了数据恢复的问题,无法承担全面业务恢复的责任,灾难对业务的影响、关键业务的确定、业务恢复策略的选择、业务人员的安排、灾难恢复所需的后勤保障、客户安抚和危机公关等工作,仍需要管理层和业务管理部门进行处理,实际上,业务连续性管理涵盖面远远超出了IT灾备方案的范畴。
(五)分步实施、从易到难、稳步构建、持续改进。从目前情况来看,电力行业限于人力、物力、经验的限制,尚无法立即全面开展业务连续性管理,可集中资源,先从对业务影响最为重大、影响可持续经营的事件入手,逐步积累经验。电力行业应逐步扩大连续性管理的对象和范围,根据风险发生的部位、概率和危害程度分级制定连续性管理预案,分步骤、持续地推进分层次的业务连续性管理体系的构建和完善,并及时进行维护、调整和更新,提高跟踪识别和快速反应能力,保证应急启动时的有效性。
作者简介:陈兴,男,1976年11月4日出生,在职研究生,大连理工大学项目管理专业,工程师,高级技师,信通公司安全监督质量部专职