整合BCMS,增强供应链韧性(译文)
译者:本文介绍将BCMS实践应用于供应链韧性领域。作者菲力克斯·图切克(Felix Tuczek)是一名IT顾问和综合管理体系的管理者,他在汽车和保险等多个行业经营项目。菲力克斯在维也纳经济和商业大学运输与物流管理研究所获得博士学位,他的研究专注于可持续性、供应商选择和ISO管理标准。(本文写于2021年春季疫情大爆发期间。)
关键词:业务连续性管理体系(BCMS),业务影响分析(BIA),供应链韧性(supply chain resilience)。
摘要:可预测和不可预测的供应链中断无处不在。这导致人们对处理中断的方法和工具越来越感兴趣。减少中断对组织影响的一个解决方案是实施业务连续性管理体系(BCMS)。BCMS的目标是在中断期间以预定的产能在可接受的时间范围内继续提供产品和服务。本文介绍的BCM参考了公认的标准ISO 22301和德国联邦信息安全局(BSI)的相应标准。BCMS的核心是业务影响分析,本文对其进行了详细讨论。最后,BCMS被置于更广泛的供应链韧性领域。重要的要考虑到实现韧性的供应侧。
1.引言
最近,供应链中断无处不在。美国的输油管道(Krauss,2021)等关键基础设施,甚至杜塞尔多夫的医院(Ernst,2020),在受到勒索软件攻击后被关闭了。除了网络攻击,其他事件(如船舶阻塞苏伊士运河)也会导致供应链中断(Ziady,2021)。当前,大流行的爆发中断了物资流动,而且由于行动限制和疾病造成员工缺勤(安联集团,2021)。因此,94%的公司因大流行的爆发而受到扰乱。此外,在全球范围的封锁期间,网络攻击有所增加(Garatti & Dib,2020)。
为了应对这些紧迫的话题,公司们正在努力保持整个供应链的韧性。但是,我们关注的是单个公司的韧性,所以没有详细概览对整个供应链的影响。“韧性”一词有很多定义(Chen等,2020)。在本文中,我们遵循国际标准化组织(ISO)的定义。在这里,组织韧性被定义为“组织在不断变化的环境中吸收和适应的能力”(ISO 22316:2017)。因此,韧性程度的提高使公司能够预测和应对公司环境突然或渐进变化带来的威胁和机遇(ISO 22316:2017)。有文献讨论了大有希望的增强韧性的实践,如协作和应急计划(Tang&Musa,2011)。在本文中,我们专注于基于ISO 22301:2019建立业务连续性管理体系(BCMS)。业务连续性涉及“组织在中断期间以预定的产能在可接受的时间范围内继续提供产品和服务的能力”(ISO 22301:2019)。管理体系为实现相应目标提供了框架。ISO将管理体系定义为“组织的一组相互关联或相互作用的要素,用于建立方针和目标以及实现这些目标的过程。”管理体系的范围可以涵盖整个组织或组织的一部分。组织包括如角色或组织结构等要素。管理体系可以涉及单个(ISO 22301:2019)或多个(例如,质量、环境和BCM)学科。
在随后几节,我们将展示ISO 22301标准的主要特点。我们首先说明当前BCMS采用的情况。然后,我们概述ISO 22301:2019标准及其实现业务连续性的核心要素。随后,BCMS被置入供应链韧性的概念中。最后以总结结束。
2.BCMS采用现状
关键基础设施和特定行业监管的法律要求实施BCMS,例如,德国的IT安全法案。根据特定国家的指导方针和认证选项,符合法律要求的一种可能是通过ISO 22301认证(BSI-CD-200-4,2021;ISO 22301:2019)。采用可认证的ISO标准会产生多种收益,例如,人们会对拥有可信体系(比如BCMS)的组织增强信心(Tuczek等,2018)。
ISO 22301于2012年首次发布。自2012年以来,其全球采用率一直在提高。到2019年,共颁发了1693份有效证书。它是全球第10大最常用的ISO管理标准(第1名是ISO 9001,有近900,000份证书)(ISO Survey,2019)。目前,与新冠疫情后果有关的数据还没有统计出来(本文写于 2021 年春季)。为了全面了解与业务连续性相关的ISO证书的采用情况,有必要看看ISO 27001(信息安全管理体系)。根据该标准,BCM实施是强制性的,当然可以使用ISO 22301以外的其他标准来实现信息安全连续性,如ISO/IEC 27001:2013),例如,获得ISO 27001认证的公司实施了符合ISO 27031或BSI 100-4的BCM。由于信息技术在业务过程中的广泛应用,同时实施ISO 27001和ISO 22301被认为有助于增强韧性和协同效应(文后附录总结了本文讨论的ISO标准)。
中断被定义为“导致产品和服务预期交付与组织目标相比出现非计划负偏离的预期或非预期事件”。如本文引言所述,ISO 22301旨在开发一个BCMS,为管理组织在中断期间继续运营的总体能力做好准备、提供和维护控制和能力(ISO 22301:2019)。
迄今为止,对BCM的科学研究一直很少(Wieteska,2018)。然而,有研究强调了实施BCM对竞争优势、供应链合作和恢复时间的积极影响(Montshiwa等,2016)。
3.建立BCMS
ISO 22301:2019是按照ISO高阶结构(HLS)— 应用了策划、实施、检查和改进(PDCA)循环 — 构建起来的。这种方式确保了与其他管理标准(如ISO 9001和ISO 14001)的一致性,有助于不同管理体系的整合。ISO 22301:2019中与认证相关的是第4 — 10条。PDCA的策划阶段包括第4 — 7条。这些条款要求密切注意组织及其内部和外部环境,以确保BCMS满足其要求。此外,还讨论了最高管理者的作用以及建立BCMS的策划行动和支持性要素。PDCA循环的实施阶段在第8条中反映。这是BCMS的核心部分,将随后讨论。第9条(PDCA的检查阶段)包括BCMS的测量方式和相应的管理评审。最后,第10条处理BCMS的持续改进(ISO 22301:2019)。
如前所述,第8条是BCMS的核心部分。ISO 22301:2019中业务连续性管理的6个要素描述如下:
运行的策划和控制包括为满足要求对过程的策划、实施和控制。
业务影响分析(BIA)和风险评估:BIA过程旨在分析随着时间推移中断对组织的影响。风险评估找到可能导致中断的风险。风险评估通常作为风险或信息安全管理的一部分。BIA和风险评估为制定业务连续性策略奠定了基础。
业务连续性策略和解决方案:识别和评价实现业务连续性的不同路径,使组织能够从预防中断和处理中断的适当选项中进行选择。组织根据其参数(如成本或恢复时间等)评估不同的策略选项,并选择适当的选项。
业务连续性计划和程序:BCMS的这一要素涉及实施和保持响应结构,以促进对相关方的及时警告和沟通。业务连续性计划是指导组织度过中断的成文信息。
演练项目集:组织实施和保持演练和测试项目集,确保业务连续性策略和解决方案是完整、最新和适宜的。
业务连续性文档和能力评价:组织应按计划的时间间隔和因环境变化需要时对文档(如业务连续性计划、测试程序)进行评价。
虽然ISO 22301:2019 的所有方面和业务连续性管理的要素都是有用且重要的,但BCMS的核心在于业务影响分析(BIA)。这一说法在实证上也得到了强调(Montshiwa等,2016)。
3.1 业务影响分析BIA
根据 ISO 22301:2019,BCMS的范围在PDCA循环的策划阶段确定。BIA处于PDCA的实施阶段,在先前确定的BCM范围内使用。BIA的结果决定了哪些业务过程和资源是中断时间敏感的。此外,还设定了对组织造成不可接受影响的阈值。这将引导紧急运行边界、水平和持续时间的确定。随着时间推移,中断的影响会增加。例如,影响(或损害)类别是由于罚款、处罚、利润损失或市场份额减少造成的财务损失(BSI ISO 100-4,2009)。
有几种用于业务影响分析(BIA)的方法,如ISO/TS 22317:2015,BSI CD 200-4。随后,将介绍根据BSI 100-4进行BIA的方法。与其他标准(如ISO 27031:2013;ISO/TS 22317:2015)一样,这是一个公认的标准。该标准的一个优势是持续参考信息安全管理,同时还可用于处理其他破坏性事件,如交付不足。此外,它还免费提供了支持轻松访问BCM(BSI-100-4,2009)的详细指导。目前,修订版仅以德语草案发布(BSI-CD-200-4,2021)。然而,BIA的内容在两个BSI标准中几乎保持不变。
图1 业务影响分析概览(来源:ISO 100-4,2009)
图 1描述了进行业务影响分析的步骤。在开始BIA前,需要总览组织中所有相关的业务过程。如果没有可用的,必须从新创建或更新。此外,还需要有组织的主数据(如地理位置)。
步骤1:选择被纳入的组织单位和业务过程 — 在BCMS范围内,有些业务过程对组织来说并不重要,这些过程不需要被进一步检查。
步骤2:分析损害 — 调查单个业务过程故障时对组织的潜在损害。除了损害的数量外,损害的时间顺序也特别重要。
步骤3:指定恢复参数 — 根据损害事件的时间顺序和预期的损害量,指定每个业务过程的最大可容忍中断时间、恢复时间目标和恢复水平。
除了恢复时间外,还必须指定稳定紧急运行所需的恢复水平和过程产能(例如,60%产能)。
过程的最大可容忍中断时间(MTPD)指定了过程必须恢复的时间范围,以使组织不会进入短期或长期生存能力受到威胁的阶段。
恢复时间目标(RTO)规定了过程打算恢复的时间。
RTO规定的时间范围必须低于最大可容忍中断时间。
图2 恢复参数(来源:BSI 100-4,2009)
这些KPI是业务连续性概念的核心,如图2所示。
第 4 步:考虑依赖关系 - 为每个进程单独指定恢复参数。在此步骤中,将分析业务过程之间的相互依赖关系,并在必要时调整可用性要求。
步骤5:业务过程的优先级和重要性 — 根据可用于恢复和造成损害数据,指定业务过程的恢复顺序和每个过程的重要性。为此,必须定义重要性类别及其边界。
第6步:确定正常和紧急运行需要哪些资源 — 为了能够制定连续性策略并具体说明预防措施,有必要确定关键业务过程使用的资源。必须确定正常运行和紧急运行所需的资源类型和能力。
步骤7:资源的重要性和恢复时间目标 — 最后,确定关键过程所使用资源的恢复和复原时间目标及其重要性。复原时间目标是从过程中断到正常运行开始的时间(BSI-100-4,2009)。
4.BCMS与供应链韧性的联系
本节将从三方面讨论业务连续性与供应链韧性领域的联系。首先,BCM被置入供应链韧性分类中。其次,介绍与供应链韧性相关的ISO标准。第三,考察供应商对供应链韧性的影响。
供应链韧性可被定义为“供应链降低中断的可能性和/或影响,以及缩短复原和重续时间的能力”(Falasca等,2008)。根据这个定义,可以得出供应链韧性具有以下几个维度和相应的韧性策略(Namdar等,2021):
预测:事前检测中断,例如信息共享。
准备:缩短响应时间(例如,供应链连续性团队)或评估/降低事件发生的可能性,例如风险管理过程。
稳健性:减少扰断影响(例如:战略库存和闲置、冗余)或避免中断,例如供应商选择。
恢复:重续被扰断的过程,例如恢复计划。
以上介绍的业务连续性管理体系涵盖了建立组织结构以应对中断方面的准备工作。此外,通过基于BIA结果制定连续性策略,加强了稳健性。最后,恢复计划是BCMS的核心。总体而言,本文讨论的BCM标准强调了考虑供应链过程(尤其是供应商)的必要性。
除了ISO 22301外,还有其他标准考虑了供应链韧性。ISO/TS 22318为将ISO 22301提出的BCM扩展到供应链连续性提供了指导。该标准聚焦于与供应商的关系,以确保供应的连续性。与ISO 22301不同的是,ISO/TS 22318不可认证(ISO/TS 22318:2015)。ISO 28001则是供应链的安全管理体系。它要求组织评估其业务环境并制定适当的安全措施。目前,ISO 28001正在由ISO/TC 292技术委员会进行修订(该委员会也在努力改进ISO 22301)。该修订版将根据高阶结构进行结构调整,以与其他管理体系标准保持一致。ISO 28001是可认证的(ISO 28001:2007)。如本文前面已经提到的,ISO 22301补充了ISO 27001(信息安全)。而ISO 20000(IT服务管理)与业务连续性的交集是显而易见的。该标准源于ITIL,它将“服务连续性管理”的实践嵌入到服务价值链中(ITIL 4,2019)。
为了应对日益增长的业务中断风险,企业启动了业务连续性管理,然后加强供应商(安联集团,2021)。这与供应中断引起的多米诺效应有关。在制造业公司中,生产过程造成的中断最多(Wieteska,2018b)。因此,可靠和稳健的供应商值得特别关注。供应商选择的标准数不胜数。然而,迄今为止,供应商选择方法中尚未考虑候选供应商的BCM能力。虽然专注于韧性的方法很少,但实现韧性的组件(例如柔性)已被广泛用于供应商选择的标准(Tuczek & Wakolbinger,2018)。
5.总结Summary
本文介绍了业务连续性管理体系(BCMS)。它为组织设定了一种结构化的方法,目标是在中断期间以预定的产能在可接受的时间范围内继续提供产品和服务。BCMS的核心是业务影响分析,这是分析随着时间推移中断对组织的影响的过程。在介绍了业务影响分析的步骤后,BCMS和相关标准被置入到供应链韧性领域。
附录Appendix
表1给出了本文讨论的ISO标准概览。与业务连续性管理相关的还有BSI 100-4(该标准目前正在修订中)。
表1 本文讨论的ISO标准
相关链接:
1.本文原文在:https://doi.org/10.1007/978-3-030-95401-7_7可获得。
原文发表于公众号”业务连续性+” | 原文链接