文◆蒲樹盛

近年來營運持續管理已受到國際高度重視，各組織無不積極導入與實施。營運持續管理(BCM)之目標係為防治營運活動的中斷，經由實施營運持續管理作業及營運持續運作計畫，結合預防和復原控制措施及程序，將災難和管理缺失(可能是由於自然災害、意外、設備故障和蓄意行為等引起)造成的營運中斷情形降低到可接受的等級。目前許多組織僅將IT系統異地備援視為營運持續之全部或唯一選擇，可能思考角度或理解認知尚不夠完整。

營運持續管理(BCM)已發展成為國際之管理標準及指南，無論單獨實施或結合其他管理系統(如：ISMS資訊安全管理系統)一併實施，均可為組織永續經營提供良好之效果。

營運與危機

企業經營過程中，始終充滿許多挑戰與變化，許多異常事件若無妥善制度管理，將迅速擴大為危機與災難，如何洞燭機先，善用預防制度來規劃這些無法預料的事，已是企業管理必備之管理技能。
組織可能面臨營運中斷之風險十分複雜，良好經驗顯示其衝擊大多可歸納於來自下列一種或一種以上之情境：

1. 內部服務失效
2. .財務失效
3. 營運成本增加
4. 市場佔有率喪失
5. 違反法律、法規或標準
6. 人員安全風險
7. 政治的、法人的或人員的困境
8. 違反道德責任
9. 信譽受損
10. 喪失商譽及形象
11. 喪失營運或環境控制能力

以上情境均可作為組織發展營運持續運作計畫(BCP)之參考劇情。更重要的是，組織應落實公司治理精神，妥善管理營運風險(business risk)及作業風險(operational risk)。

營運持續管理(BCM)架構

為使讀者能夠瞭解營運持續管理(BCM)之架構，將逐項說明營運持續管理(BCM)步驟及應採取之行動。營運持續管理(BCM)之生命週期可包括下列幾個階段：

一、瞭解您的企業
每個組織應對其所處環境進行分析，應從可引起營運過程中斷的事件開始， 如：設備故障、水災和火災，可採用下列兩種方法來分析營運中斷之衝擊與風險：

1. 風險評鑑(Risk Assessment；簡稱 RA)
RA的目的在鑑別、定義與評估組織資產所面對的威脅、弱點及其風險值，以便確立可接受風險程度以及管理風險相關的行動計劃。這些風險可能歸屬於組織內部或外部，應仔細評估其發生機率及衝擊。而風險管理控制策略與行動計劃，應由組織的管理階層認可並簽署。

(圖一) BCM生命週期(資料來源：PAS 56:2003)

2. 營運衝擊分析(Business Impact Analysis；簡稱 BIA)
BIA的目的在鑑別：

• 關鍵營運流程 (Critical Business Processes)。
• 關鍵營運流程中斷對組織造成之傷害或損失。
• 關鍵營運流程及其附屬項目復原至作業同意水準，所要求的可接受時間長短-復原目標時間(RTO；Recovery Time Objective)。

BIA的鑑別過程中，應將下列方面納入考慮：

• 損害程度之等級包括：收入損失、附加成本、商譽損失、喪失競爭優勢等。
• 最低營運程度所需之員工、技能、設施及服務。
• 復原至最低營運程度所需之員工、技能、設施及服務所需之時間。
• 完全復原至原服務水準所需之員工、技能、設施及服務所需之時間 。

以上兩項活動都應讓營運資源和作業的擁有者(owner)完全參與。重點在瞭解組織所面臨風險發生的可能性和衝擊，並鑑別出重要營運過程及排定優先順序。結合BIA與RA優先進行BCM與風險控制，將促使組織依成本及效益考量預先部署所需機制，及早建立緊急因應程序、備援方案及復原程序，傷害將可避免或減低！

二、決定營運持續策略

組織瞭解了可能的風險(或災難)後，應針對風險之優先順序決定將採取之策略。決定策略並不容易，須仔細考慮組織營運目標、資源、文化、流程及投入成本。一般來說，處理風險的策略可以從下列方向考慮：

1. 避免風險：
當該風險影響極大時，便應設法極力阻隔風險。
2. 降低風險：
採取適當控制措施，當風險發生時可因適當控制而將損失減少。例如：建立災難應變的聯繫機制。
3. 轉移風險：
考慮購買適當的保險，作為持續營運過程的一部分。許多遭逢災變災民，均因缺乏保險，而沒有任何理賠補償，加重災後復原負擔與痛苦！
4. 接受風險：
對於可接受之風險便可採取接受因應。

TOP
1│2  下一頁 【回本期首頁】