BCP：组织对抗“非典”危机的组合药方

发布时间：2006年02月15日点击数： 作者：孙强 王东红 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

对各类组织而言，不确定因素是最大的敌人，“非典”就是当前最大的不确定性因素。“非典”的危害不仅表现在它会损害我们的生命健康上，还体现在它对于经济的损害上，给组织的正常经营活动带来巨大的威胁和影响，许多正常业务不得不被迫中断。如何积极、全面应对这场突如其来的“非典”危机，从哪些方面进行有效的控制以保持组织的业务持续进行。专注于业务持续计划(BCP)培训咨询业务的赛迪培训为各类组织开出了预防和控制“非典”影响的组合药方。 目前各类组织对“非典”的反映 目前许多组织就“非典”对业务的影响已经做出不同程度的反映，如实行轮班制，在家通过网络办公，和客户保持电话联系等。事实上所有的国际型公司，在“911”事件之后，基本上都建立了一套业务持续计划(Business Continuity Plan)。当“非典”开始肆虐，业务持续计划随之启动。据媒体报道：所罗门美邦已将大部分交易员暂时迁至中国台湾和韩国，而美林、摩根斯坦利及瑞士信贷第一波士顿等，均已安排万一香港全面“沦陷”非典时，将香港的交易转交其它地区如新加坡、伦敦的交易室来进行。ORACLE、 Borland、3COM、SONY、LG等跨国公司也已经启动各自的应急措施，保证公司关键业务体系正常运转。 在国内，关键业务部门都在紧急行动，如人民银行已经取消了原定的会议和人员出差，需要沟通的工作通过电话或网络进行；各部门工作人员分组轮流上班，以保证一旦发生问题时机关工作不受影响。与此同时，位于北京的各大商业银行、中央国债登记公司等机构也在本周通过了各自的应急预案，以保证本系统的安全运行。 什么是业务持续计划？ 业务持续计划是一套用来降低组织对于其重要的营运功能遭受未经预期的中断风险的作业程序，可能是人工的或系统自动的。业务持续计划是高层管理人员的首要职责，因为他们被委任保护公司的资产及公司的生存。业务持续计划的目的在于当一个组织及其信息系统能够在灾难事件发生时仍可以继续运作。为了对事件能有适当的因应对策，严密的计划及相关资源的投入是必须的。 那么，哪些事件可以成为为灾难事件呢？典型的灾难事件像是自然灾难，如火灾、洪水、地震、台风等，还有其它像是原先提供给业务运营所需的服务中断，如供电、通信等等。目前由于不能完全确定“非典”事件将持续的时间，故还不能简单地将“非典”事件判定为灾难，但毫无疑问可以肯定“非典”事件的高风险性。假定某单位有一名员工不幸感染“非典”病毒，那么这个单位应该采取哪些行动以确保关键业务可以恢复到运作状态？对此，我们认为需要做到两点：一是建立切实可行的应急机制，这主要包含一套基于充分且清楚地将风险予以分类定义的业务持续计划，二是在危机突然降临时，此计划能被有效执行。 业务持续计划的建立和实施过程 我国政府部门和企事业单位在应对“千年虫”危机时，曾普遍建有应急机制，但当时并没有发挥很大用途，此后多数也没有根据环境变化和技术发展再做重新规划，因此，无法面对今天各类意外事件的冲击，如“非典”病毒在我国主要城市突如其来的传播，已经导致一些单位的业务不同程度地中断，并且何时能够控制住“非典”病毒，现在一时也难以断定。那么“亡羊补牢”，我们如何从这次意外事件中及时做出适当地反映，将“非典”事件对业务的冲击降低到可以最低限度呢？ 一、“六步法”预防处方 1、前期诊断： 在组织人力资源部管理人员的帮助下，准确掌握员工健康状况，对有类似感症状者进行确认并督促其去医院检查，然后回家休息。做到“早发现、早报告、早隔离、早治疗”，采取一切必要措施切断“非典”传播的病源。最主要的是要有态度上的正确导向，组织制定的相关策略要透明，对预防“非典”病毒知识要做全面的宣传，避免组织内部引起恐慌，以便于员工保持平和的心态持续其工作。 2、减少过激措施： 不鼓励管理层采取极端措施，如把所有的员工遣散回家而推卸责任。另一种情况是一些组织已经发生了“非典”病毒，则应该及时启动备用工作地点以便在另一场所安置员工，由于这样可能会持续一段时间，因此会影响员工的精神状况和工作量。建议管理部门通过公告、宣传栏或广播等形式教育员工不要对“怀疑”事件或谣言过度敏感。 3、提供进行体温检查的场所： 办公室内提供体温计便于员工进行体温检查，因为“非典”患者以突然发热为首发症状，体温高于38度。 4、确保工作人员的健康： 对受“非典”感染的区域进行隔离、封闭，以确保工作人员的健康。 5、确定“备档”员工： 确定以前在重要职位上工作过的员工，他们可以作为替补人员来替代被“非典”感染的相应重要部门人员，或对现有工作人员进行A、B分组，一轮一个星期到办公室上班，然后一个星期在家，以保证在A组感染“非典”的时候，B组能替换。如中国惠普、香港摩根大通银行等机构就采用这种方式。 6、教育员工千万不要掉以轻心： 对于“非典”，我们在“战略上要蔑视，在战术上要重视”，不要心存“天下这么多人，我肯定不会被感染，即使被感染，也是上天的恩赐”的侥幸心理。 二、以人为核心的提高组织免疫力“四步法”处方 1、发布旅行资讯信息，减少到被传染区域出差旅行： 这些信息必须被管理部门审查、认可。这段时间尽量减少不必要的出行，尽量使用可视电话或视频会议系统进行日常业务。如果有必要，对那些经常出入疫区的人员进行跟踪观察。 2、个人卫生和环境卫生： 经常保持个人卫生和环境卫生，尤其是与医护人员、客户服务人员接触时时可以带上口罩，然而，这可能使客户感到害怕，进而影响业务正常进行。 3、监控和报警： 促使人力资源管理主管监控病人及观察其症状，确定被潜在影响的“高度威胁”的员工，如客户服务人员、医护人员和经常出入受污染地区的人员。 4、要有畅通的意外事件汇报渠道： 一旦发生意外事件，组织要有畅通的汇报渠道，每个成员要有主动及时汇报的意识，组织负责人应立即做出判断并启动业务持续计划。 三、“三步法”控制处方 1、识别核心业务： 识别核心业务可以采用“业务风险等级排列”方法，这种分析方法是依据灾难发生后，所需复原的时间及中断发生的可能性来进行业务风险等级排列。（事实上许多组织使用风险发生的可能性来确认为准备处理灾难事件所需的合理资金。假定一个组织认为未来三年遭受严重灾难的可能性只有千分之一，而可能损失的金额为1000万元，则其未来三年应该准备的金额为10，000，000 X 0.001=10，000元。依照这样的风险分析方法，可以进行重要业务的优先排序，同时也会影响到恢复策略的发展）。一个典型的风险排序系统可以依据其关键等级和中断成本高低分为以下四类：关键性的、重要的、敏感的、非关键性的。 2、进行业务影响分析： 在业务持续计划中，进行业务影响分析(Business Impact Analysis BIA)是一个关键步骤，BIA能确定影响业务持续性操作的事件及其对组织的影响。 为了正确地进行BIA，首先应该了解组织的整体情况、关键业务处理流程和组织处理关键业务使用的资源。这些工作应该得到高级管理人员、执行层管理人员和最终用户的支持，以识别影响组织关键业务过程的资源。 执行BIA有许多方法。其中最流行的方法是问卷调查法，首先要设计一个详细的调查问卷，并分发给重要的业务人员和IT人员，然后对收集的信息进行归类、分析，如果发现有用的信息，BIA团队则与相关人员联系做进一步了解。另一种比较流行的方法是拜访关键用户，通过分析面谈收集来的信息，开发一个详细的BIA计划和策略。 另外，在做业务影响分析时，要考虑每次业务中断的持续时间，我们建议采用记分卡方式以累计和跟踪有关风险与冲击的信息。 3、制定业务持续计划 业务持续计划的制定应结合业务影响分析的结果，并围绕这些结果进行。针对每项核心业务流程，都应有相对应的单独应急变计划。业务持续计划应该保证：在事故发生后能够在需要的时间内执行计划，维护或恢复业务运作。因此，业务持续计划过程应该考虑下列情况： Ø 了解组织所面临的风险及其影响，包括关键的业务的识别和优先化处理。 Ø 了解中断很有可能对关键业务的影响，找到威胁组织生存能力的关键事件的处理办法。 Ø 考虑购买可能影响业务持续性的关键部分的保险。 Ø 阐明和归档业务持续性策略并在业务目标和优先权上达成一致。 Ø 保证业务持续性管理被并入组织处理流程和结构中。 Ø 所有责任和紧急事件过程的识别。 Ø 在需要的时间范围内实施紧急恢复，应特别关注相关部门的配合情况。 Ø 培训员工在紧急情况下的恢复处理流程。 Ø 指定执行计划的各个组成部分的具体人员以及备用人选。 Ø 业务持续计划的负责人员，选择技术服务的解决方案等。 Ø 实施前进行测试。 Ø 当情况发生变更时应及时更新计划。 计划的过程应该着重于关键业务目标，例如在指定时间内恢复客户的某种服务。围绕该服务的各种资源应该予以考虑，包括人员、信息处理资源以及信息处理设施等。 此外，业务持续计划的目标是最大限度、最快速地恢复业务。选择应急策略的过程中需注意以下三个重要的因素： Ø 适用性：即针对某一既定核心业务过程，应急替代方案对可接受的最低产出水平的支持程度； Ø 部署进度：即制定、测试和实施应急方案所需要的时间； Ø 费用：总体费用，包括制定、测试应变方案，以及培训人员和维持计划的费用。 四、治疗处方 1、成立应急小组。 针对每项核心业务流程，与核心业务流程的负责人合作成立负责业务恢复的特别行动小组。这些小组将负责业务持续计划的实施，并处理各种业务问题。 2、更新并检查通讯录： 由于组织需要轮换或限制员工进入办公室，组织应定期更新和测试恢复策略。这样是为了确保所有联系信息是最新的和可执行的。 3、检查你的备份站点协议： 准备启动组织的备用办公地点和温站。假如组织有备份站点合同，应该检查这些合同以确保合同满足组织的当前需求，如果需要，应及时更新。组织管理人员与BCP服务提供商及时进行沟通是有利的，这样可确保合同中提到的设备正常运作或及时适应设备发生变化时的需要。 4、更新计划： 确保业务持续计划中所有的员工名单、客户资料或合同信息是最近更新的。在危险时期，应明确核心员工的责任和义务。 5、每日备份： 确保所有的关键信息每日备份，并进行异地存储，这包括客户的关键资料。 总之，“非典”对经济的影响已经显而易见，在这种情况下，各种商业组织都要积极地预防和控制“非典”对组织自身的影响。一个管理成功、方式灵活并且考虑周详的公司幸存的几率总是会大得多。