當災難來襲,正是需要營運持續計畫的時候

我們身處危險且破壞性的時代。單過去幾個月間,在牙買加、瓜地馬拉、墨西哥和馬德拉有坍方事故,巴基斯坦、巴西和歐洲中部淹水,中國、智利和海地有大地震的發生。

稍早在2010年四月,冰島火山的爆發嚴重影響整個歐洲的空運航班達數周之久。國際航空運輸協會(IATA)評估此一事故的最糟情況是每天會有120萬乘客受到影響,單是事故發生後的六天內便使航空業付出US$17億的代價。“使9/11造成美國領空關閉三天的危機指數相形失色,”IATA的執行長畢斯南尼(Giovanni Bisignani)表示。

更近期的是英國及杜拜海關分別在運往美國的班機上攔獲了裝有炸彈的包裹,這是一令人恐懼的恐怖主義持續性威脅。英國恐怖分子的威脅程度在2010年從“中度”提升到“重度”,而遏制攻擊風險的跨國活動需要持續地實質資源的投資。例如,美國海關與邊防局的2014年戰略規劃(U.S. Customs and Border Protection's strategic plan to 2014) 顯示在過去10年雇用了兩倍以上的探員 – 從2001年的9,000名到2009年初預估的18,300名。

其他非自然(或人工)的災難可能包括民眾抗爭、戰爭、組織犯罪和重大工程失效。這些全都可使受影響的領域付出人命代價及嚴重影響營運。例如,2010年四月在墨西哥灣發生英國石油(BP)的深水地平線鑽井平台不幸的爆炸漏油事故造成126名工作人員中的11人喪命。至該年九月底,英國石油因漏油事故付出的成本達US$112億元,包括緊急鑽井活動、對臨近墨西哥灣各州的補助金、以及已支付的合法求償。

儘管媒體通常只專注在報導這些較大的事故,但實際上災難的發生確實更為頻繁。2007年「全球減災論壇」的報告顯示現在全球每年總計平均有400-500起的天然災害,遠高於1980年代初期的平均125起。在過去二十年,受天災影響的人口從平均每年1.74億增加到2.54億人。

制定好因應計畫

各國政府理解並憂心這些人類及經濟的代價,因此制定了健全的災難方案及“備援”。確實有168個國家已簽暑了名為「兵庫行動綱領」(Hyogo Framework for Action[4])的大規模計畫,來降低全球的災害風險。同時,一些已開發國家的政府亦認同民間在此扮演了重要角色。

以日本政府為例,其鼓勵公司機關備好適當的營運持續計畫,計畫將其供應鏈列入考量。韓國政府通過了“減災企業行動法”,中國政府亦制定了如何發展緊急計畫的指導方針。

與此同時,美國的國土安全部(Department of Homeland Security (DHS)) 選擇了國際知名的英國標準協會之標準BS 25999 營運持續管理作為唯一用於其新的“自願性民間備援稽核與驗證方案” (Voluntary Private Sector Preparedness Accreditation and Certification Program" (PS-Prep))的三項標準之一。2001年9月11日的不幸事故發生後,這項指標性倡議已設計為驅策全國各公司機關對營運持續的認知與能力。

BS 25999 – 全球第一個企業營運持續管理標準,使任何組織機構皆能有效地規避潛在災難事故所引起的風險。如電信、運輸、金融、健康與國營單位等高風險環境營運的組織機構尤其相關,這些機構營運持續的能力對機構本身、或顧客及利害關係人、乃至社會大眾而言至關重要。這項標準為營運持續管理提供了綱領,並涵蓋了對鑑別風險、災難復原計畫、以及演練該計畫等,以便在最短的時間內恢復必要服務。

9/11委員會報告強調了美國85%的一些“關鍵基礎建設”事實上是交由民間單位來保護。美國國會因此指示「國土安全部」指定一至兩項的規劃及緊急管理用的標準作為公司機關為其企業營運持續尋求驗證(certification for their business continuity),含括兩項規劃的BS 25999是雀屏中選的其中之一。在“民間自願性備援稽核與驗證方案”(PS-Prep)之前,美國企業如遇重大危機時,並無可用於評估其備援及發展應對計畫的整套全面標準。

以BS 25999為例,對標準的獨立驗證將有效地向顧客、管理者乃至其他利害關係人證明企業有完整且運作正常的企業營運持續管理系統(BCMS)。訂出了定期為系統進行研發、維護和測試的規定 – 提供遭嚴重破壞的企業營運持續的能力。例如,該系統將要求一項透徹且進行式的方法,用以評估即將浮現的風險、即對緊急溝通管道的考量、以及遇到建築物無法進入時的應變計畫。企業可能需要在臨時通知後進行搬遷,或指示其職員在家工作並監督這些安排事項。若有大部分工作人員集中在某一時段缺席,他們亦可能需要聘雇新的員工,或是投資在額外的訓練。

一項營運衝擊分析(BIA)找出並整理出需優先處理的最重要事項。因此若已確立了一些可供選擇的供應商,失去一家關鍵廠商便無關緊要。然而,若只有一家供應商,其製造的是別家所沒有的產品,手上是否能有足夠的存貨安然度過短缺?
英國標準協會的執行長Howard Kerr表示:"我們受國際認可的標準 – BS 25999提供了快速復原營運上任何臨時停擺的韌性及消費者信心”。

 

備援的實踐

與此同時,全球私募股權公司Altius Associates則是剛見證英國標準協會BS 25999驗證之直接利益的公司之一。在完成「營運衝擊分析」及營運持續計畫(BCP)的策劃後,該公司在經兩次緊接的試驗後發現了其對天災的應變能力。

首先是大雪,然後是2010年初的冰島火山爆發,造成許多員工滯留在世界各城市達數週。

"感謝我們的持續營運計畫,我們有即時可用的資訊科技(IT)基礎建設,讓這些工作成員能猶如身處辦公室內般地繼續工作,”公司合夥人及顧客服務部主管的Adam Heaysman表示。

接著,當大水接著完全地切斷倫敦辦公室內所有電力,公司能將對顧客的服務轉調至位於美國理奇蒙(Richmond)的辦公室。Heaysman補充表示Altius在建構持續營運管理(BCM)系統時所面臨的大挑戰 “是證明我們有全面的功能充分運作及經整合的管理系統,而不僅是一套計畫”。這項系統其中一項要素是新的訓練方案,以確保企業各部皆清楚這套系統。

另一家達成英國標準協會近期驗證的企業是歐洲數據中心服務託管商Interxion,其在全球11個國家有28個營運的數據中心。John Shannon – Intertexion的ISO方案經理表示:“個人認為BS 25999的驗證已是必備的,”。“有了BS 25999,我們可以證明公司投注了時間與資源,備妥必要的條件,並向顧客保證我們傳遞最高度的企業營運持續。”

例如,Shannon表示這項驗證讓公司備援了嚴格及高水準的服務,該協議之設計能以其自身的任務導向應用達成企業的營運持續。此外,在已實行ISO/IEC 27001 資訊安全管理系統,表示營運持續管理的架構已到位,而簡化了程序。

“營運持續”已是27001的一部分,”主任稽核員Aart Bitter提到。“他們僅須確認其營運持續管理系統(BCMS)亦符合BS 25999的形式規定。”

 

公益事業

在英國,2004年民事緊急法令(Civil Contingencies Act 2004)完全要求前線服務,以維持內部營運持續管理的安排,亦要求地方當局向其境內的企業及志願性組織推廣營運持續管理。英國政府亦提倡地方當局自身能做到最基本的標準,並建議以BS 25999作為最佳實踐的良好指標。

”薩里郡地方議會的營運持續經理人Kevin Smith表示:“坦白來說,這對任何須讓組織內部到位的現代組織而言是不可或缺的工具”,薩里郡的規劃從風險評估著手。例如,水庫可能淹水,或樹木遭根除的地區可能發生坍方。再來是風險評估,其衡量衝擊的可能性。例如,薩里郡地方議會清楚局部性淹水的可能性業已增加。其評估淹水可能發生的地點,以及可能對地方人口造成的衝擊。

在進行這項營運衝擊評估之後,地方議會接著擬定應變管理計畫(緊急計畫)。這些可以是針對特定危害、或一般性危害量身訂作,以涵蓋整體的事故回應(應變)。例如,為能應付2010年初的極寒氣候,而決定了棋盤式道路系統的優先路線。這些都是鎖定好先動工的部分。

地方議會亦發展了電話會議的提供,這對於年初因大雪無法前往開會的關鍵員工極為重要。然而,這在流感大流行時亦同樣重要,減少與人的接觸有助於減緩疫情的傳染。

最後,國營與民間單位皆然,重要的是讓利害關係人隨時了解情況。薩里郡規劃如何預先管理內外部的通訊。“我們須思考該如何通知及預告民眾,”Smith道。“任何事故發生時,我們都希望讓人民能自助。”

 

結論

這項有系統的評估有助於企業及其他組織機構為最壞的狀況作準備及排定優先順序,BS 25999所要求的持續監督亦有助於這些組織改善該些計畫。
當然,BS 25999並不要求以全面性的災難來證明其價值。有效的營運持續管理系統同樣有助於減輕不具生命威脅之事故的風險。

"BS 25999就是試著避免對營運的中斷,情況一旦發生,可以快速回應中斷狀況來降低衝擊,這有賴於實踐 “,英國標準協會的產品經理Robert Whitcher表示。“其中包含了阻礙企業對顧客傳遞產品及服務的日常事故。”

對於一些有英國標準協會「Kitemark」(英國第一大品質及安全標記) 的產品 – 是組織機構可進一步證明其所採用的產品驗證且符合高標準的方式。例如,有適用於各種建築物的防洪產品,可降低水災所造成的損害,使企業避免大規模的中斷。

BS 25999減緩中斷的時間及損失、規避風險、改善管理決策、維護品牌,而這些常可能意想不到地節省成本。這所有的一切亦讓組織機構為可能發生的最壞狀況作好準備。

營運持續管理是一項新的與逐步發展的規範。為回應使用者反應如何取得更多指導資料,英國標準協會已發行或正在發行「營運持續管理系統」的指導資料如下:
PD 25666 企業營運持續– 持續與應變計畫之運用與測試的指引
PD 25111 企業營運持續管理 – 企業營運持續之人性面的指引
PD 25888 企業營運持續管理 – 營運恢復的指引。這份文件訂於2010年底或2011年初發行。

PAS 200 – 風險管理指引與良好實踐。這份文件須至2010年底/2011年初方能發行。
英國標準協會亦有一項新的BS 25999 自我評估工具。
如需這些文件的更多詳情,請參看英國標準協會網站(BSI Shop)。
關於 BS 25999 標準、稽核、驗證及教育訓練的更多詳情
[1] http://www.iata.org/pressroom/pr/Pages/2010-04-21-01.aspx
[2] http://www.cbp.gov/xp/cgov/about/mission/cbp_plans_reports.xml
[3] 就降低災害風險全球平台的降低災害風險:2007年全球回顧 (2007年六月),採用「災害流行病研究中心」(CRED-CRUNCH)緊急災難資料庫(EM-DAT)的數據(www.cred.be or www.em-dat.net)。「災害流行病研究中心」(CRED)的數據常被視為最廣為可用,但其是以災難成因的限制標準為依據。
就「災害流行病研究中心」而言,“災難”係指以下其中一項狀況的發生:死亡人數超過10人、波及人數超過100人、宣布進入緊急狀態、尋求國際協助。“中小規模的災難”涉及最少50人死亡、受波及人數達150,000人或造成達$2億元的經濟損失。
[4] http://www.unisdr.org/eng/hfa/hfa.htm
[5] https://www.bsigroup.com/en/About-BSI/News-Room/BSI-News-Content/Disciplines/Business-Continuity/US-Department-of-Homeland-Security-adopts-BSIs-Business-Continuity-Management-standard/

文章來源:BSI UK