安永:业务连续性管理,帮助企业应对突发事件
理财鱼小提示:安永:业务连续性管理,帮助企业应对突发事件
2020年以来,新型冠状病毒的爆发和传播给不同行业、不同规模企业的正常业务运营都带来了一定的影响。这次疫情给企业的管理者、运营者也带来了很大的挑战,如何保证业务的持续运营、如何在发生诸如疫情等突发事件时进行及时响应,成为各个企业需要思考的问题。
在前面两期文章中,我们探讨了在面临网络安全威胁时,如何通过网络安全演练积极主动进行防范和应对,这其实就是业务连续性管理中重要的一个部分。前文参见“网络安全演练(上)| 面临网络安全威胁,网络安全演练之重要性”以及“网络安全演练(下)| 面临网络安全威胁,我们如何积极主动地进行防范与应对?”。
本文将主要介绍业务连续性的概念、业务连续性的历史、实施业务连续性的目的和必要性、业务连续性的方法论等,帮助大家对业务连续性管理有一个初步的认识,为可能出现的各类突发事件事先做好一定的知识储备。
什么是业务连续性?业务连续性是指企业拥有应对风险、自动调整和快速反应的能力,以保证企业业务的连续运转。最早并没有业务连续性的明确概念,企业往往通过购买保险、获取赔偿的方式,来保护自身的生命安全和重要财产,实现风险转移。随着IT技术的发展,企业开始认识到信息系统的重要性,出现了灾难恢复计划,主要针对的是信息系统的各种场景。90年代乃至之后,中断事件的多发和愈加复杂的类型使企业意识到全面的业务连续性计划的重要性,推动了业务连续性管理的标准化。
根据国际标准ISO22301(对应国标GB/T30146),业务连续性管理是识别对组织的潜在威胁,以及这些威胁一旦发生可能对业务带来影响的一整套综合管理流程。该流程对组织建立有效应对威胁的自我恢复能力提供了框架。
业务连续性管理全称Business Continuity Management(简称BCM),其中Business代表具有价值的活动,Continuity代表保障活动持续运行的要求,Management代表满足要求的方法,这三个要素支撑了业务连续性管理的架构。
建立一套有效的业务连续性管理体系,可以让企业的风险管理体系更加完善,使企业认识到潜在的危机和影响,做好事前预警预防。同时一旦遭遇突发事件,企业管理层和员工也可以迅速做出反应,尽快恢复企业运作,提高企业的风险防范能力,有效地响应非计划的业务中断,降低负面影响,提高市场竞争力。
为什么要实施业务连续性?企业机构所面临的中断事件类型和事件数量在持续增加。根据Gartner 2016年的一项调查,有22%的企业机构在过去12个月内遭遇了11次或以上的中断,比上一年增加了15%。此类事件所造成的成本也在增加,据调查,2018年自然灾害给企业造成的损失比30年前的平均水平高约2,000万美元,这进一步凸显了进行业务连续性管理的必要性。
近年来,从政府机构到企业,应急意识和应急能力都在持续上升,相应的技术投入也越发先进。但为了将风险造成的损失尽量减低,减少对企业运营的影响,业务连续性管理体系依然是非常必要,且需要持续完善的。
灾害事件的发生会带来直接影响,例如疫情会造成大量人员无法到岗,暴雨会造成交通瘫痪等等。如果企业没有执行相应的应急策略,灾害事件可能还会给公司的运营带来更多其他间接影响,例如未能及时进行危机公关,会引发负面的社会舆论;发生交通瘫痪时,没有及时调整人员安排和经营策略,导致销售、分销渠道受限等;公司IT设备遭到物理破坏时遭到外部曝光,且未能及时维修,增加了被黑客攻击的风险。此外,当代企业之间的业务联系、技术依赖等关系日益复杂,一家企业的业务中断,可能对下游链路企业造成严重的影响。
对于企业或组织来说,危机管理的难度也在上升。如何评估自身的风险承受程度,如何确定风险偏好与运营KPI的平衡关系,如何使第三方满足企业的业务连续性恢复要求,随着内外部用户对业务连续性要求的日益增加、社交媒体的发展也愈发复杂。
国家出台的多部规章指引,对于企业的风险监管和业务连续性管理提出了要求和参考,例如《中国银监会关于印发商业银行信息科技风险管理指引的通知(银监发)[2009]19号》《中国银监会关于印发商业银行业务连续性监管指引的通知(银监发[2011]104号)》等。
《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。第五章“监测预警与应急处置”也提到,网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
所有信息化浪潮下的组织机构建立专业、可靠的业务连续性管理不仅仅是规范企业自身需求,更是保证各家利益相关方权益的重要诉求。
企业应该如何实施业务连续性?企业在进行业务连续性管理建设时,应结合自身的业务发展需求及管理需要,同时为了符合合规要求,实施业务连续性管理,从而提升自身竞争力并培养自身的业务连续性团队,建立业务的可持续运营能力以及突发事件的应对能力。
实施业务连续性管理体系时,有以下几点要素需要考虑:
01)较大程度减少损失:从人员安全、业务损失、安全风险、市场占有和外部声誉等几方面制定有针对性的计划和预案以减轻损失;
02)满足监管合规要求:例如《网络安全法》《商业银行业务连续性监管指引》等法律法规;
03)改善业务流程:了解风险承受能力,实现合理的资源分配,识别和保证关键流程,建立合适的响应机制;
04)提高企业竞争力:日新月异的内部业务要求和外部环境发展,要求组织在管理不断变化的安全风险的同时保持与时俱进,从市场信誉、品牌形象和客户忠诚度三方面提升企业竞争力。
>相关《 安永:业务连续性管理,帮助企业应对突发事件》内容:
1、 东风股份获机构密集调研 新兴业务拓展获重点关注
理财鱼小提示:东风股份获机构密集调研 新兴业务拓展获重点关注 国内烟标包装印刷领先企业东风股份(601515,SH)近来颇受资本关注。上交所互动平台上的信息显示,公司近日连续接待了三批机构投资者的调研。从交流记录来看,药包业务并购规划、下属药包材企业之...【继续阅读】
2、 金融科技初创公司Minko获150万美元融资以扩大业务
Minko 是一家为零售店提供信贷的金融科技初创公司,在由 LC Nueva 领投的种子轮融资中筹集了 150 万美元。LetsVenture 创始人兼首席执行官 Shanti Mohan、CRED 创始人 Kunal Shah 是本轮融资的其他投资者。 Minko 计划利用该基金为其技术和销售团队招聘人...【继续阅读】
3、 回归养老主业、剥离资管业务,顶层设计为养老保险机构“指路”
理财鱼小提示:回归养老主业、剥离资管业务,顶层设计为养老保险机构“指路” 随着我国人口老龄化不断加剧,将商业养老保险更好地纳入养老保障体系,履行商业养老保险“第三支柱”责任,已经成为保险业的一道必答题。12月24日,银保监会发布《关于规范和促进养老...【继续阅读】