聊聊业务连续性和韧性(BC&R)
BC,即business continuity(业务连续性),是组织在扰断期间以预先设定的产能在可接受的时间内继续交付产品和服务的能力。一般认为,BC重点关注组织在扰断发生后的应对,强调恢复产品和服务交付,其考虑的时间范围不会太长。而BR,即business resilience(业务韧性),是在不断变化的环境中,组织为实现目标以及生存和蓬勃发展的承受和适应的能力。也就是说,BR指在保护和恢复运营外,组织还必须能够根据不断的变化和重大事件调整运营。
在过去几十年间,BC/BCM/BCMS(业务连续性/业务连续性管理/业务连续性管理体系)已经积累了大量良好实践并形成了行业共识。但在刚刚过去不久的新冠疫情中,人们发现,需要考虑持续数月甚至更长时间的影响,员工的工作地点和公司的运营方式等都需要进行调整,而以RTO/RPO/MBCO为重要指标的业务连续性计划很难有效应对这些情况。
新冠疫情助推了BR的发展,它被认为是BC未来发展的一种可能,但目前主要是由特定专业机构或从专家在探索其方法和实践,行业共识尚在形成中。我一般会使用业务连续性和韧性(business continuity & resilience,简写为BC&R)指代组织为应对和适应可能威胁其运营、人员、资产、品牌或声誉的破坏或重大计划外变化的能力。显然,与已经成熟发展的BC/BCM/BCMS相比,BC&R还需要考虑事前预防和保护,保护对象也不只限于产品和服务交付。
在以前的文章中,我提到过,在2010年以前,人们对BC/BCM/BCMS的理解是涵盖紧急状况、危机等领域的更全面和综合的管理方法;而在2010年以后,人们对BCM范围的理解聚焦在业务运营是否被扰断;而BC&R其实是对当前BC及其未来发展的BR的综合表述。(BR在这里可以理解为两个OR—组织韧性Organizational Resilience和运营韧性Operational resilience—的整合)。
对BC&R相关概念、方法的跟踪、理解和实践会是本公众号的一个主题,下面简单列出以前曾经发过的片段内容:
1. 业务连续性问与答·Q3(下) 2018年11月9日
链接; https://mp.weixin.qq.com/s/rChNYtRJjUXFq2xLGocOZw。
“业务连续性管理正在向组织韧性(Organizational Resilience)演进,更强调将韧性作为一种内生的组织能力。”
《业务连续性管理实务》(人民邮电出版社,2022年4月出版)第32页 3.4.2,是在出版时对前述文字进行修订后的表述: “业务连续性管理向运营韧性演变,为组织韧性提供支撑”。
2. 业务连续性管理核心概念的演变(二) 2021年9月30日
链接:https://mp.weixin.qq.com/s/45j1SdCKKOIm2nDBQXBhFA
PAS 56即《PAS 56 Guide to Business Continuity Management》,于2003年发布。
“PAS 56使用但并没有给出BC、BCM项目集和BCM生命周期(business continuity management lifecycle)的定义,其中并不区分BC和BCM的使用,如BCM方针(BCM policy)、BCM能力(BCM capability)、BCM策略(BCM strategy)等,而BCMS彼时还未在标准中出现(直到2007年BS 25999-2发布)。
“PAS 56指出,BCM不只是在事件发生后采取的被动措施,而是通过跨组织多个方面的规划,建立了一个战略和运营框架,积极实现组织在供应其产品和服务时对干扰、中断或损失的韧性(该韧性和依赖技术一样依赖组织的管理层和运营人员等)。因此,组织应当实施BCM是因为它增加了价值,而不只是因为治理或监管方面的考虑。”
“PAS 56将业务风险(business risk)定义为:由内外部因素(如无法提供服务或产品,或对组织产品或服务的需求下降)导致意外损失的风险(risk that internal and external factors, such as inability to provide a service or product, or a fall in demand for an organizations products or services, will result in unexpected loss)。同时,PAS 56指出,组织的组成部分应当负责并管理其自身的业务风险(business risk),即明确了业务风险的责任归属(ownership)。”
“进一步,PAS 56指出,BCM应该是(should be)一种由业务所有和驱动(business-owned and -driven)、量身定制的活动,它统一了公共和私营部门广泛的商业和管理学科,包括危机管理、风险管理和技术恢复(而且不局限于IT灾难恢复),如下图:”
BCM统一过程(见PAS 56:2003之图1:BCM – the unifying process)
“因此,在建立BCM项目集时,要采用整体性方法(holistic approach),将风险管理、IT灾难恢复、设施管理、供应链管理、质量管理、健康与安全、知识管理、应急管理、安全管理、以及危机管理和公共关系等活动统一纳入。”
“综合而言,PAS 56认为,BCM是面向关键业务活动(mission critical activity, MCA)的损失、中断或干扰(可进一步扩展为组织的业务风险)、统一整合危机管理、应急管理、风险管理和技术恢复等多学科活动、支撑公司治理的重要管理方法。”
3. 与ChatGPT再聊业务连续性管理(二) 2024年1月19日
链接:https://mp.weixin.qq.com/s/O1nN-iyA8Bc0ByaTuZVktA。
“可以认为对BCM存在两种不同理解,第一种将BCM的范围从业务干扰扩展到了紧急状况、危机等领域,是更为全面、综合的企业管理方法;第二种把BCM的范围聚焦在业务活动是否受到干扰。”
“比如,有专家认为BCM是‘企业风险管理的ISO9000’,或者认为BCM未来将走向组织韧性(organizational resilience),这应该属于第一种理解;也有专家认为BCM是紧密围绕组织业务活动开展的(生命财产安全、品牌形象以及战略等属于其它管理体系或方法负责,BCM需要与这些不同的管理方法划分范围,厘清边界,有效衔接),或者BCM未来将走向运营韧性(operational resilience),这应该属于第二种理解。”
同时,“有意思的是,PAS56、BS25999和ISO22399都是在21世纪第1个10年推出的,而ISO22301系列标准、NFPA1600:2019和FFIEC BCM检查手册v2019又都是在21世纪第2个10年推出”,也就是说,在2010年以前,第一种理解是主流,而在2010年以后,第二种理解成为主流。
原文发表于公众号”业务连续性+” | 原文链接