· 公众号:业务连续性+ 原文链接 ↗

阅读与思考20180916·业务连续性问与答·Q1

问题 : 不是有应急管理了,怎么又出来个 业务连续性管理 ?它们是一回事吗?

简答: 应急管理和业务连续性管理不一样, 它们在管理主体、 管理 对象、 管理 目标 和管理方法等方面都存在差异。业务连续性管理是组织安全管理体系的重要组成部分,也是当前公共安全应急管理和组织安全迄需补上的一环,下面详细阐述。

应急管理和业务连续性管理的区别和联系

应急管理和业务连续性管理关系密切,但它们存在不同的特点,二者在管理主体,管理对象、管理目标,管理方法等方面都存在差异。应急管理是由政府主导的公共事务,强调有效组织协调政府内部和全社会的人力、财力和物资资源,有效应对自然灾害、事故灾难、公共卫生事件和社会安全事件。业务连续性管理主要针对具体的特定组织,侧重于保持特定组织的持续运营,关注整个组织机构的生存。就当前而言,大力推动各类组织提高业务连续性管理能力,对加强组织的风险管理,促进其有效履行社会责任,维护公众信心和社会秩序,有着重要的现实意义。

目前对应急管理的界定并 不统一。一个传播比较多的提法是:“应急管理是应对 特重大事故灾害的危险问题提出的。应急管理是指政府及其他公共机构在突发事件的事前预防、事发应对、事中处置和善后恢复过程中,通过建立必要的应对机制,采取一系列必要措施,应用科学、技术、规划与管理等手段,保障公众生命、健康和财产安全;促进社会和谐健康发展的有关活动。”

一般认为,《国家突发公共事件总体应急预案》 ( 2006年1月发布 ) 和《中华人民共和国突发事件应对法》 ( 2007年11月1日正式实行 ) 的制定和实施,标志着规范各类突发事件应对的基本法律制度的确立,为有效实施应急管理提供了更加完备的法律依据和法制保障,也标志着中国应急管理走上法制化的轨道。

基于《国家总体应急预案》、《突发事件应对法》和其它法律法规要求,我们可以看到: 1. 应急管理是政府主导下的各种社会力量积极参与的政府行为,其主体是政府及其他公共机构,强调政府主导,社会 参与 (当然,现在也有专家提应急管理中的“治理” 机制 ,提出多元主体管理 ,民主、参与式、互动式管理,而非单一主体管理 。 ) ; 2. 应急管理的对象是包括自然灾害、事故灾难、公 共卫生事件和社会安全事件四大类突发事件,是一种“全风险”的管理; 3. 应急管理的目标包括:(1)人民生命财产安全;(2)社会秩序;(3)公共利益 ( 如国家安全、公共安全、环境安全等 ) ;希望达到零损失、零破坏,但通常难以达到;

配图

应急管理的过程 4. 应急管理的过程包括预防 和 应急准备 ( 事前 ) 、监测和预警 ( 事发 ) 、应急处置和救援 ( 事中 )、以及 恢复 和 重建 ( 事后 ) 等阶段,是一种“全过程”的管理。

而对于业务连续性管理,国际灾难恢复协会( DRII) 、国际业务持续协会( BCI )、亚洲业务持续管理协会( BCMI) 等不同的机构给有一些不同的定义,但大致内容统一,我们可以采用 ISO 22301:2012( 《 GB/ T 30146-2013 》 ) 中给出的业务连续性的定义 : “识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动”。 根据该定义,我们可以得到: 1. 业务连续性管理的主体是组织,即企业、政府机构、学校、医院、非盈利组织等各种类型的组织; 2. 业务连续性管理的对象是营业中断风险,一旦发生营业中断事件,必然对组织的运营和生存带来破坏性的影响; 3. 业务连续性管理的目标是: ( 1 )关键相关方的利益、声誉、品牌和( 2 ) 创造价值的活动 ( 即业务 ), 管理者需要在事先(量化)确定最低需满足的服务水平,并且必须达到该目标要求;

配图

业务连续性管理的过程 4. 业务连续性 管理的过程包括日常的降低 ( reduction )、应对事件的事前准备( ready )、事发响应(response)、事中恢复( recovery )和事后重建 ( reconstruction ) 等阶段,也是一种全过程的管理。

配图

国家应急预案体系

我们日常所说的 “应急管理”本质上是“公共安全应急管理”。在国家总体预案体系中明确的6类应急预案 中 包括 企 事 业 单位 应急预案( “企事业单位根据有关法律法规制定应急预案” ) ,并将企事业单位应急预案纳入到突发公共事件应急预案体系中,但这里的“企事业单位应急预案”的对象、目标和过程仍是公共安全的,强调“ 事后恢复与重建 ”。

而“业务连续性管理”则是“ 组织的 业务连续性管理”,除了主体、目标和对象不同外,业务连续性管理强调“事中业务恢复 ” , “事后重建”。

配图

公共安全(应急管理 ) 和组织安全目标体系

形成这种差异的根本原因在于:公共安全应急管理的主体是政府,目标是生命财产安全和社会秩序等,所以必然要求事中应急处置和救援 , 企事业单位等各类组织 建立应急预案,并将其纳入国家应急预案体系的目的也是保护生命财产安全、社会秩序和公共利益这些公共安全目标,这是高优先级的目标和任务。对政府而言,一旦这些公共安全目标得到保护或受控,也就进入了 事后恢复和重建 阶段;而对组织来说, 在 这些 高优先级的 公共安全目标受控后,只要组织的业务(生产经营 ) 未 恢复到事先确定的目标水平上,组织就仍处于事中业务恢复阶段,即组织是 事中恢复 、 事后重建 。

当然,进一步分析,两者之间的差异还表现在更多方面,如有的专家提出, 在实践中 应急管理强调管理,业务连续性管理更强调“治理”,即关键相关方的多元主体管理,民主、参与式、互动式管理,而非单一主体管理。

总体而言, 应急管理和业务连续性管理各自具 有特点的同时又具有紧密的联系。二者的共同目标都是减少在灾害作用下 的破坏和损失。因此,二者都需要进行风险评估。不论是“威胁 ” 、 “脆弱性 ” ,还是“后果 ” ,都需要进行风险评估,分析清楚灾害 可能带来的影响;二者也都需要根据风险评估结果进行风险处置等。

表1.1 应急管理和业务连续性管理的区别 应急管理 业务连续性管理 管理主体 政府主导,全社会参与 各类组织,如企业、政府机构、事业单位、学校、医院、社区等 管理对象 自然灾害、事故灾难、公共卫生事件和社会安全事件 营业中断风险(一旦发生中断事件,对组织的运营和生存会带来破坏性的影响) 管理目标 人民生命财产安全 社会秩序 公共利益(如环境安全等) 关键相关方的利益、声誉和品牌 创造价值的活动(业务) 目标实现要求 零损失,零破坏(可趋近,但难以达到) 服务水平不低于预先确定的要求(必须达到) 管理过程 应急准备(事前) 监测和预警(事发) 应急处置和救援(事中) 恢复和重建(事后) 降低(Reduction,日常) 准备(Readiness,事前) 响应(Response,事发) 恢复(Recovery,事中) 重建(Reconstruction,事后)

业务连续性管理是组织安全 管理 的重要组成部分

我们换个角度来看看应急管理和业务连续性 管理 。

配图

社会安全体系

构成社会的最基本单元是组织 ( 如政府机构、企业、学校、医院、社区等 ) 和个人/ 家庭。 一个完整的社会安全体系 应由 三部分组成:组织安全,个人/家庭安全 这两个p rivate 的安全 ,以及 在此之外的public部分

公共安全。 • 个人/家庭安全 :即以个人/家庭为主体的安全,目标 应包括 是健康和生命安全 、稳健的财务和良好的社会关系等 。 (虽然也有专家偶而提到个 人和家庭方面的安全,但包含面都比较单一,这方面较好的论述尚不多 ) ; • 组织安全 :即以组织为主体的安全,主要目标除了保护生命财产安全、不影响社会秩序、不损坏公共利益(以上三者也是公共安全对组织的强制要求),还包括保障业务持续运营,声誉品牌不受到负面评价,以及提升组织竞争力,促进组织 可持续、健康、稳定发展等; • 公共安全 :是指多数人的生命、健康和公私财产的安全,即社会和公民个人从事和进行正常的生活、工作、学习、娱乐和交往所需要的稳定的外部环境和秩序。公共安全可理解为:公共+安全,公共是指公共性:public与private相对,涉及到多数人的利益;安全:safety/security与危险相对, 指 避免危险、威胁、侵害、损失等,以维护正常秩序。公共安全管理的主体是公共安全管理政策的制定者、指令的发出者和主要行动的组织实施者,不仅包括政府及其部门,也包括其它公权力主体,如非政府组织、社会团体等,各种管理主体在公域之治中各司其职、各展所长、发挥着重要作用。

一个突发事件,因其影响和波及的范围,可能会涉及到公共安全、组织安全和个人/家庭安全,即这三个领域有 其独立部分,也有 相互 交叉 、覆盖 的 部分 。 比 如,在天津港“8·12”瑞海公司危险品仓库特别重大火灾爆炸事件中,一家企业

瑞海公司

的危险品仓库发生爆炸,造成165人遇难、8人失踪、798人受伤住院治疗;304幢建筑物、12428辆商品汽车、7533个集装箱受损,截止2015年12月10日,核定直接经济损失68.66亿元人民币 (非最终统计数字) ;对局部区域的大气环境、水环境和土壤环境造成了不同程度的污染。

显然 ,这是一起由企业 (特定 组织 ) 安全事件引起的公共安全事件,对大量的组织和个人/家庭造成了影响。在事件发生、演变过程中,中央政府、天津市政府、天津港、消防队、附近的企业 ( 如 天津港附近的多家银行与互联网企业 数据中心 ) 、小区居民、保险公司等等都受到了这一事件的影响,并需要根据受影响情况进行响应。

从社会安全 视角 来看, 我们 日常语境下的应急管理 多指 公共安全 应急管理 , 业务连续性管理 重点强调组织在面临内外 部重大事件影响时,如何有效恢复业务经营和保护品牌/声誉 , 是组织安全管 理的重要组成部分 。 组织安全与公共安全交叉 部分是指为组织为保护人员生命财产安全、维护社会稳定和公共利益所需完成的活动,如安全生产 、环境保护 等。

业务连续性管理是公共安全管理、企业安全与风险管理迄需补上的一环

进入21世纪以来,美、英、日等国的业务连续性管理得到了包括政府在内的公共安全管理部门的重视,并被结合到公共服务部门的工作中。

如美国联邦紧急事务管理局(FEMA)在2004年6月颁布了联邦准备规章《Federal Preparedness Circular(FPC 65 )》,该法律要求总统以及各政府机构迅速制订业务连续 ( Continuity of Operations, COOP ) 和灾难恢复 ( IT DR ) 计划;英国在2004年颁布《国民紧急事务法案 》( T he Civil Contingencies Act 2004 ) ,要求 第一类响应者 制订业务连续性管理安排; 第二类响应者 属于“响应合作机构”,会严重地卷入到突发事件中,需要与第一类响应者和第二类响应者合作,并共享相关信息。澳大利亚审计署 ( ANO ) 在2000年1月出台了《业务连续性管理的指导方针》 ( Be tter Practice Guide Business Continuity Management ) 的相关制度;新加坡主管国内经济振兴以及标准化工作的贸易产业省下属的“标准、生产力与创新局(SPRING)”,在2003年7月 就 颁布了“业务持续管理要求”的标准;日本政府在2005年7月对“防灾基本计划”进行修订,明确写明“制订BCP是企业防灾工作的重要一环”的内容。

我国的 (公共安全 ) 应急管理着重于提高全社会的避险救助能力,但政府主导的避险救助能力在应对突发事件 时 还存在一定不足。如,在2008年的汶川地震中,北川县很多政府部门领导遇难,政府主导的应急预案无法运转,全社会的避险能力近于瘫痪。这也说明,我国的应急管理对突发事件中政府机构运行中断后的应急能力考虑不足。事实上,无论重大灾害还是小事故导致的突发事件,能保持持续运行是任何组织的基本需求。政府公共机构根据职能分工,除了承担社会公共应急管理职能外,也需要同时考虑作为一个“组织”,机构自身能在突发事件应对过程中持续运转。 如果无法持续运转, 也就丧失了履行公共应急职能的能力,即政府机构自身也需要业务连续性管理。与此同时,企业的安全生产工作重在 防止和减少生产安全事故,保障人民群众生命和财产安全 ,较少涉及如何保障业务持续运营,而业务持续运行是一个企业生存与发展的重要基础,企业也需要业务连续性管理。

从理论上讲,我国政府主导的公共安全应急管理具有集中力量办大事的优势,但是,包括政府、企业在内的任何一个组织的力量均无法单独满足突发事件应急管家理的所有需求,这就需要社会组织和机构在突发事件中具有业务连续性能力,提高应急管理社会动员的支撑能力。另一方面,突发事件对社会的影响是一个个组织的业务中断所造成的影响的总和,如果这些社会组织采纳了业务连续性管理,在突发事件中能保持业务连续性,则突发事件对社会的影响将会得到缓解,政府应急管理压力也会相应减轻。

=

==== 精采回顾

=

=====

业务连续性问与答(大纲 )

“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你能给出更好的答案!

由于本公众号注册时正处于腾讯政策调整,本公众号未能开通留言功能,希望参与“业务连续性问与答”专辑讨论的朋友,可用微信扫描以下二维码加入知识星球进行深入讨论。

配图

配图

原文发表于公众号”业务连续性+” | 原文链接