与ChatGPT再聊业务连续性管理(二)
导读:去年3月初发布了《和ChatGPT聊业务连续性和韧性》的译文,当时恰值ChatGPT如火如荼之际,有读者留言说希望看到更多相关文章。前两天新加坡专家Richard Ang(洪福生)在微信群中发了篇小文,内容是他与ChatGPT关于BCM理解的对谈,我觉得问与答都十分精采,特别是其中揭示了在BCM发展过程中、2010年后已较少人员讨论的另一个传统。在运营韧性已越来越热的今天,有必要让更多的专业人员看到这些理解并思考其对今天的价值。这次的”再聊”将分为两部分,第一部分是对Richard Ang(洪福生)所发内容的翻译(原文为英文,附在中文翻译之后);第二部分会谈谈我对这篇对谈的理解和注解。
……,续前文《与ChatGPT再聊业务连续性管理(一)》
简单总结一下,Richard Ang(洪福生)和ChatGPT关于业务连续性管理的对话提供了两个有意思的观点:
(1)BCM不只是确保业务运营的连续性,它是一门更广泛的学科,涉及运营连续性以外的诸多方面,如:风险管理、危机管理、恢复和重续等等。
业务生存和增长的光谱
进而,应该通过业务生存和增长光谱(或企业整体生存、可持续性和增长的更大光谱的一部分)来看待业务连续性和韧性,可能涉及增长战略规划、客户体验和市场接受、适应性和灵活性、财务稳定和资源管理,以及人才发展和员工福利等。
(2)国际标准ISO22301主要关注运营韧性和管理扰断,而不是涵盖业务增长和韧性的更广泛的光谱。ISO22301实际上强调建立、实施、保持和改进业务连续性管理体系,以最大限度地减少扰断的影响。然而,具有前瞻性思维的组织通常会将ISO22301原则与更广泛的业务战略相结合,以创建一种更全面的韧性方法,涵盖增长计划、市场动态、创新和以客户为中心的战略以及运营连续性措施等。
对BCM的两种不同理解
注意到对业务连续性管理(BCM)有不同的理解已有些年头,大约17、18年时给朋友们聊过业务连续性管理的”不同流派”,包括风险管理视角的BCM和运营管理视角的BCM(国外有专家一直认为BCM应归属于运营管理而非风险管理范畴),但真正深究这个问题是21年有次研讨会后请某位前辈大佬给准备出版的书稿做推荐,得到了”我理解的BCM和你不一样”的意见。对我来说,这是一个特别有价值,也需要特别关注的信号。
当时正好时间比较宽松,就用了1个多月,从近20年来国际主流标准入手,探究了业务连续性管理领域主要概念的演变,并在公众号发布了业务连续性管理核心概念的演变(一)、业务连续性管理核心概念的演变(二)、业务连续性管理核心概念的演变(三)和业务连续性管理核心概念的演变(补遗)这四篇文章。
在这系列文章中,我给出了几个有意思的观点:
“可以认为对BCM存在两种不同理解,第一种将BCM的范围从业务干扰扩展到了紧急状况、危机等领域,是更为全面、综合的企业管理方法;第二种把BCM的范围聚焦在业务活动是否受到干扰。”
“比如,有专家认为BCM是’企业风险管理的ISO9000’,或者认为BCM未来将走向组织韧性(organizational resilience),这应该属于第一种理解;也有专家认为BCM是紧密围绕组织业务活动开展的(生命财产安全、品牌形象以及战略等属于其它管理体系或方法负责,BCM需要与这些不同的管理方法划分范围,厘清边界,有效衔接),或者BCM未来将走向运营韧性(operational resilience),这应该属于第二种理解。”
同时,“有意思的是,PAS56、BS25999和ISO22399都是在21世纪第1个10年推出的,而ISO22301系列标准、NFPA1600:2019和FFIEC BCM检查手册v2019又都是在21世纪第2个10年推出”,也就是说,在2010年以前,第一种理解是主流,而在2010年以后,第二种理解成为主流。
显然,Richard Ang(洪福生)与ChatGPT对话中对BCM的理解是第一种,而ISO22301对BCM的理解属于第二种。
《GB/T 29639》的版本演化
负责企业应急预案编制工作的朋友应该对《GB/T 29639 生产经营单位生产安全事故应急预案编制导则》比较熟悉,这是企业编制应急预案时可参考的、最权威的(也是可借鉴的、最靠谱的)标准了。事实上,这个标准曾经历了3个版本的演化,即《AQ/T 9002-2006》、《GB/T 29639-2013》和《GB/T 29639-2020》。
下面,我们重点关注一下《GB/T 29639-2013》和《GB/T 29639-2020》中应急预案范围的变化,其中:
《GB/T 29639-2013》提出:“本标准规定了生产经营单位编制生产安全事故应急预案(以下简称应急预案)的编制程序、体系构成和综合应急预案、专项应急预案、现场处置方案以及附件。本标准适用于生产经营单位的应急预案编制工作,其他社会组织和单位的应急预案编制可参照本标准执行。“同时,该标准指出:“综合应急预案是生产经营单位应急预案体系的总纲,主要从总体上阐述事故的应急工作原则,包括生产经营单位的应急组织机构及职责、应急预案体系、事故风险描述、预警及信息报告、应急响应、保障措施、应急预案管理等内容。”
《GB/T 29639-2020》提出:“本标准规定了生产经营单位生产安全事故应急预案的编制程序、体系构成和综合应急预案、专项应急预案、现场处置方案的主要内容以及附件信息。本标准适用于生产经营单位生产安全事故应急预案(以下简称应急预案)编制工作,核电厂、其他社会组织和单位的应急预案编制可参照本标准执行。“同时,该标准指出:“综合应急预案是生产经营单位为应对各种生产安全事故而制定的综合性工作方案,是本单位应对生产安全事故的总体工作程序、措施和应急预案体系的总纲。”
从标准文本上可以看出,《GB/T 29639-2013》希望该标准适用于”生产经营单位的应急预案编制工作”,并未强调仅适用于生产安全事故应急预案,即该标准应可以适用于生产经营单位自然灾害、事故灾难、公共卫生事件和社会安全事件应急预案的编制工作,“综合应急预案是生产经营单位应急预案体系的总纲”进一步佐证了这一意图。
在《GB/T 29639-2020》中,指出该标准”适用于生产经营单位生产安全事故应急预案(以下简称应急预案)编制工作”,显然,与该标准的前一个版本(即《GB/T 29639-2013》)相比,其适用范围已清晰地指向”生产安全事故应急预案”,即不再包含其它类型自然灾害、事故灾难、公共卫生事件和社会安全事件应急预案的编制工作。“综合应急预案是……应对各种生产安全事故……,是……应对生产安全事故的……”则进一步明确了这个适用范围和规范对象的变化。
也就是说,从2013年到2020年,我国生产安全事故应急预案编制国家标准的适用范围经历了一些变化,从希望规范更全面的企业应急预案体系,演变为精准指向的生产安全事故应急预案体系。
对BCM不同理解源由的猜测
综合以上两部分,会发现一个有意思的共同点,在业务连续性管理和安全生产领域都发生了关注对象和适用范围的变化,业务连续性管理从关注业务风险(business risk)演变到聚焦业务活动是否扰断,安全生产从更全面的企业应急体系演变为生产安全事故应急管理。(有兴趣的朋友,可将这个观察扩大到危机管理、企业风险管理等更广泛的领域,看看是否有类似的现象)
那么,随之而来的问题是,为什么会发生这种现象呢?
我个人的猜测(和解释)是,冷战结束后,全球化加速发展,企业开始在全球寻找性价比更高的供应商和产品,在提升盈利能力和带来更多业务增长的同时,供应链(和供应网络)在全球分布让企业的供应链变得越来越长,也越来越不透明,相应的运营风险也在逐步累积。
9.11是一个很重要的节点,在事件发生后,部分领先企业开始意识到全球化经营环境中的风险,一系列已经存在(发展多年但尚未得到广泛关注)的安全和风险管理学科进入企业管理层的视野,如企业风险管理、危机管理、业务连续性管理、应急管理等。
当然,不仅仅是9.11事件,自进入21世纪以来,非典/新冠疫情、俄乌战争、日本9.0级大地震、墨西哥湾原油泄漏、冰岛火山爆发、GDPR实施、贸易战、(甚至)数字化转型和气候变化以及世界各地发生的地震、洪水、飓风、恐怖袭击等各类自然灾害、人为灾难和社会事件频繁发生,给企业运营带来了不同的冲击,有的造成了巨大的财产损失和人员伤亡,有的造成了企业运营扰断(包括完全停业和虽然持续营业但业务受损),进而导致企业营业收入损失、利润水平下降、市场份额缩减、股东价值减少、品牌声誉受损等多种损失。
在这个过程中,VUCA、不确定性、去风险化……等看起来应该是专业人员使用的词语开始”破圈”,进入大众视野。与此同时,来自不同学科的专业人员也信心满满,跑步进入这片待开发的安全和风险管理”处女地”。信心满满的标志之一,就是专业人员们希望用本学科”成熟”的方法解决这些得到管理层关注的”新问题”。这可能就是2010年以前,BCM关注更大范围的”业务风险”的原因,如”《PAS 56:2003》指出,BCM应该是(should be)一种由业务所有和驱动(business-owned and -driven)、量身定制的活动,它统一了公共和私营部门广泛的商业和管理学科,包括危机管理、风险管理和技术恢复(而且不局限于IT灾难恢复)“,见下图:
PAS 56:2003 BCM的统一过程
《GB/T 29639-2013》面临的应该是类似的情况,当时的安全生产专家希望为企业应急预案编制工作提供一个统一的方法,涵盖生产经营单位自然灾害、事故灾难、公共卫生事件和社会安全事件应急预案的编制工作。
当然,企业安全和风险管理涉及到的学科众多,其成熟度也并不一致,因此,并非所有学科都采取这种态度,但大致而言,更成熟、更多和企业高层管理者和业务打交道的学科及从业人员会更多采用这种态度。
既然这些不同安全和风险管理学科的从业人员都有”统一”的雄心,必然会面临一系列”竞争”问题:
(1)本学科的”成熟”方法是否能够解决企业面临的具体问题?
(2)本学科在解决这些问题时,与其它学科相比是否有优势?
(3)市场中是否有足够多、掌握本学科方法的从业人员供给企业?(本篇文章第一部分,ChatGPT回答BCM专家杨险峰问题时给出的第6个原因:“专业从事BCM的熟练专业人员和顾问的可用性也可能影响这些实践……的实施和采用”即和此相关)
很可能正是这些不同学科经过彼此竞争和”市场选择”,从业人员逐渐找到了所从事学科的竞争优势,也调整了学科的”雄心”,并将这些共识反映到新的标准中,使前述标准中学科的关注对象和适用范围发生了变化。
根据我的数据,国内的BCM从业人员中,26岁到35岁约34%,36岁到45岁约46%,也就是说,超过34%的从业者是在2010年以后进入职场,46%的从业者是在2010年之前进入职场,但接触并从事BCM工作也多在2010年之后,因此对BCM的理解应该以第二种理解居多(关于BCM从业人员的统计数据和人员画像,我争取在春节前专门写一篇文章聊聊)。
Richard Ang(洪福生)和ChatGPT的对话,给我们带来了2010年以前的从业人员对BCM的主流理解(即第一种理解),我觉得”其中揭示了在BCM发展过程中、2010年后已较少人员讨论的另一个传统”。需要说明的是,这一理解有助于我们回到BCM的初心,并对还在发展中的BCM方法起到引导作用。
究竟该怎么理解BCM?
那BCM究竟是应该关注”业务运营活动的连续性和韧性”,还是应该关注”业务生存和增长的光谱”(或企业整体生存、可持续性和增长)?
我们知道,任何一个企业所处的环境都是不确定的、非连续性的。因此,任何一个企业及其业务都会遭遇不确定性和非连续性,即遭遇环境突变。
任正非在《华为的冬天》开篇写道:“公司所有员工是否考虑过,如果有一天,公司销售额下滑、利润下滑甚至会破产,我们怎么办?我们公司的太平时间太长了,在和平时时期升的官太多了,这也许就是我们的灾难。泰坦尼克号也是在一片欢呼声中出的海。而且我相信,这一天一定会到来。”
从系统论的视角看,有没有一种特殊的系统可以抗拒外部环境的变化和冲击,而保持高度的稳定性呢?有的,这就是超稳定系统。超稳定系统有一个重要特点,就是靠不稳定来维持稳定,它比一般的稳定结构多了一层,这一超稳定是通过对不稳定的修复来实现的。自然界能保持长期不变的系统都是超稳定系统,它们都有这种修复机制存在。
就我个人而言,我喜欢ISO22301聚焦于运营韧性并管理扰断,而不是涵盖业务增长和韧性的更广泛的光谱。它凝聚了世界各地BCM专家对BCM的最新共识,提供了一套成熟、可操作的方法来建立、实施、保持和改进业务连续性管理体系,以使BCM”可控、可评估和可持续改进”,并最大限度地减少扰断的影响。也就是说,我喜欢对BCM的第二种理解。
与此同时,我也认可BCM从业人员应该从更广阔的视野来看待自己的工作,毕竟企业永续经营的关键包括提高运行效率,以及培养应对风险和不确定性的能力,这涉及到”增长计划、市场动态、创新和以客户为中心的战略以及运营连续性措施等”,我觉得,BCM从业人员应该带着问题意识,不教条地从更广阔的学科领域汲取营养,帮助企业解决生存和发展中面临的具体问题,并在可能的情况下,将在解决问题中创新的实践总结并纳入BCM知识库,让更多的从业人员可以学习并运用这些创新实践。所以,我也认可对BCM的第一种理解。
我想,这应该也是Richard Ang(洪福生)、杨险峰等专家和ChatGPT讨论业务连续性管理问题的意义所在。
欢迎朋友们给我留言谈谈你对我前述猜测的看法,并给出你对BCM的理解和思考。
原文发表于公众号”业务连续性+” | 原文链接