业务连续性+·业务连续性问与答·Q10(下)
问题:领导已决定启动/加强/改进业务连续性管理工作,我该怎么着手推动呢?(组织结构与人事篇) 回答:分工协作应急管理和业务连续性管理组织,选择适用的企业应急和连续性领导指挥体制。以下详述:
……续上期
2.分工协作应急管理和业务连续性管理组织,选择适用的企业应急和连续性领导指挥体制
应急管理体系和业务连续性管理体系
有大型企业的朋友问:“我们已按照有关要求建立了应急管理体系,有组织负责推动,也有预案,现在领导又关心持续运营问题,是要再新建一套业务连续性管理体系吗?” 还有金融业的朋友问:“我们已按照监管要求建立了业务连续性管理体系,我们也有应急管理体系,两套班子,两套预案,不知道真发生事件了怎么办?到底用哪套预案?” ……
事实上,从2003年非典事件之后,我国建立起了以“一案三制”为核心的第二代应急管理,“一案”就有是一个国家总体预案和各个部门、各类事件的预案体系,在法制方面有《突发事件应对法》,在体制方面有应急办,从国务院应急管理办公室到地方省市都有,机制方面有事前事中事后全过程的管理。按照相关要求,为提高处置突发公共事件的能力,最大程度地预防和减少突发公共事件的损失,保护国家、企业和员工生命财产的安全,维护社会稳定,保证企业正常生产,企事业单位也建立了应急管理体系,一般由办公室、综合管理部或企业划部等综合管理部门牵头。在应对一些突发公共事件中,企事业单位的应急管理体系发挥了有效作用,保护了企业和员工生命财产的安全,对维护社会稳定也起到良好效果,但也存在一些问题: (1) 由于《突发事件应对法》和《国家突发公共事件总体应急预案》主要考虑的是突发公共事件,所以在应急机制中提出“事后恢复重建”,在此指导下的企事业单位应急预案通常与业务运营没有关联,不需分析这些事件对业务造成的各类影响(如财务、运营、市场、声誉等),没有业务恢复预案或程序要求,相关的培训和演练也很少开展,也就无法支持企事业单位在预定时间快速恢复中断业务; (2) 除了化工、采矿等高危行业外,大部分企事业单位的应急管理工作并不繁杂,应急办的工作人员经常被抽调去处理维稳、信访等工作,如果不能对企业的业务运营起到有效保障,只是作为“公共安全应急管理”的一部分,那应急办做的就不是“企业应急管理”工作了,并且很容易让应急管理工作人员有“边缘化”的感觉。
在金融业,“为降低或消除……重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序”,2009年银监会发布《商业银行信息科技风险管理指引》明确提出“业务连续性管理”要求,2011年发布《商业银行业务连续性监管指引》并在随后将其纳入商业银行评级,在监管要求和业务发展的推动下,我国银行业已普遍建立起了业务连续性管理体系,大多数商业银行由风险管理部门作为牵头部门(也有少数银行由办公室或其它综合管理部门牵头)。商业银行业务连续性管理体系的建立,在我国银行业从信息化向数字化升级的过程中,提升了信息科技的持续运行能力,起到了快速恢复被中断业务、维护公众信心和银行业正常运营秩序的作用,并形成了以下经验: (1) 在日常进行业务连续性能力建设时,“指导、评估、监督各部门的业务连续性管理工作;组织制定业务连续性计划,协调业务条线部门,汇总、确定重要业务的恢复目标和恢复策略;组织开展业务连续性计划的演练、评估和改进;开展业务连续性管理培训”等一系列工作与业务运营联系紧,专业化要求高,比较适合风险管理部门作为“第二道防线”的定位,风险管理部门能够有效发挥作用; (2) 在运营中断事件应急处置时,“运营中断事件应急指挥和组织协调,督导应急处置实施”,“应急处置对外报告、宣告、通报和沟通与协调,以及对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚”等一系工作主要是指挥控制、综合协调,要求指令清晰、令行禁止(权威),比较适合办公室或综合管理部作为“领导的参谋和助手”的定位,办公室或综合管理部能够有效发挥作用; (3) 与之相对应的是,假如由风险管理部门负责运营中断应急处置,则不易发挥作用,举个例子,一般而言,风险管理部门没有24小时值班制度,那在运营中断事件发生时,怎么能够保障信息快速上传下达;假如由办公室或综合管理部负责业务连续性能力建设,也不易发挥作用,因为这些工作需要深入业务运营流程,评估风险和中断带来的各种影响,编制业务恢复预案(与业务运营要素相关)……等,办公室或综合管理部门人员的专业性不足以顺利完成这些任务。
本质上,以上问题和现象是由企业中应急管理体系和业务连续性管理体系的关系和定位引起的,和组织结构设计相关。整体而言,虽然业务连续性管理方法和理论在10多年前被引入国内,但目前仍处于“导入期”,大部分行业并未建立业务连续性管理体系,大多数企事业单位甚至不知道“业务连续性”为何物,通过和全社会已建立起的应急管理体系相结合,通过分工协作,让业务连续性管理体系能帮助企业更好地应对运营中断事件,快速恢复被中断业务,提升客户服务水平并保障行业和社会秩序,让应急管理体系能更有效地发挥作用,是值得研究和探索的实践问题。
下面,我们把眼光放开阔一些,看看其它领域是否有比较好的解决办法。
军政军令分开与领导指挥体制
军队主要有两件事,一是“养兵”,二是“用兵”。随着军队和战争的发展,“养兵”与“用兵”的差异性越来越大。“养兵”即军队建设与管理涉及国防政策、国防预算、武器装备的研制与采购等行政事务,要求科学决策、权力制衡;“用兵”即作战指挥的特点是战争高强度、快节奏,战机稍纵即逝,要求绝对集权、机构精干、决策迅速。
(美军军政军令系统简略示意图)
从1958年美国国会通过《国防部改组法》开始及后续的一系列改革,美军建立了军政、军令分离的领导指挥体制。高层领导管理体制即军政系统,是“总统—国防部长—军种—军种部队”的一条完整的行政领导链,由总统和国防部长通过各军种部统管军队建设,主要负责军种的编制、武器装备采购和保养、人事管理、军种部队的战术训练和技术训练,以及对本军种提供后勤支援等。联合作战指挥体制即军令系统,是“总统—国防部长(经参联会主席)—战区—作战部队”的一条完整的作战指挥链,由总统和国防部长通过参联会对各联合作战司令部及作战部队实施作战指挥,主要负责拟制作战计划,对部队实施作战指挥、控制、协调,负责军事咨询和对军事行动进行战略指导,组织联合训练等。军政系统机构庞大,以文职人员为主,实行多部门体制;军令系统机构精干,职能部门围绕作战设置,突出核心功能。美军把用兵系统中最关键的部分——联合作战司令部定义为“用户”,把养兵系统定义为“产品的生产者”,即部队的提供者。军政军令分开,各取所长。
在军政、军令系统的结合上,主要有以下安排: (1) 参谋长联席会是维系军政和军令系统的重要纽带。参联会在作战指挥链上,没有作战指挥权,它不在行政管理链上,却对军队建设和行政管理具有重要指导作用,可有效介入预算和采办等资源分配领域。联合作战司令部对各军种部队作战能力的需求,军种部对本军种部队培养训练的方向和目标,都通过参联会这个纽带结合起来;联合作战司令部司令作为部队的最终使用者,有许多途径影响军队建设。例如,联合作战司令部向国防部长办公厅提交的《综合优先需求清单》,是国防部确定作战需求优先顺序、编制预算的重要依据。各军种在拟制未来6年经费分配的《计划目标备忘录》时,要考虑联合司令部提出的优先需求。 (2) 美国是作战计划最多、最完备的国家,作战计划分为两大类,即应急计划和危机计划。应急计划是和平时期根据国家安全战略和军事战略对全球与地区安全形势的判断,为应对未来可能发生的危机预先制定的作战计划。危机计划是危机爆发后根据危机的发展,在时间紧迫和形势危急的情况下制定的作战计划。危机发生后,指挥部门迅速对最接近危机的应急计划进行修改,变成危机计划。最高当局一旦决定发动战争,这个危机计划就变成了作战命令。如2003年3月发动伊拉克战争,主要依据的是“1003东方大规模战区战争”作战计划。 (3) 部队平时经常以联合作战计划为蓝本进行实战演练。通过演习,一方面检验作战计划的可行性,为作战计划的修改和完善提供依据;另一方面让部队熟悉作战计划,提高军兵种部队相互协调和配合的能力。当战争爆发时,部队上了战场就不会感到陌生,因为战场上发生的,极有可能是平时的演习中多次训练过的。
军政、军令分开是领导管理体制和作战指挥体制并行,主要解决的是军队系统内部平时与战时的关系问题;军政、军令分开和军政、军令合一两种体制各有利弊,不能简单对其优劣作用下绝对的结论。毛泽东同志讲过,战争胜败的决定性因素是人,不管是哪种领导指挥体制,关键是要基于国情和军情,做到因势利导和趋利避害,保证大小军事斗争的效果。在运用军政、军令分开型领导指挥体制时,还要做到以下两点: (1) 搭建好作战指挥和建设管理之间的互动机制。对两个系统进行适度职能分离,目的是为了让各自系统更集中、更专业、更高效地履行自身职能。适度剥离并非绝对分离,两者既有分工又有联系,做好双方的协调互动工作是题中应有之义; (2) 持续完善联合作战指挥体制。一方面要突出总部、战区的联合指挥职能,另一方面要大力培养精通诸军兵种的“全能型”指挥将领,为联合作战指挥体制提供软件保障。
分工协作应急管理和业务连续性管理组织,选择适用的企业应急和连续性领导指挥体制
对一些组织而言,有以办公室牵头负责的(公共安全)应急管理体系,也有以风险管理部门等牵头负责的业务连续性管理体系,如将二者有机融合成一套统一的体系、一套完整的预案,既可以满足合规要求,也可以保障企业持续运营、繁荣发展。相对而言,由于关注组织的利益、业务、声誉和品牌,与业务运营关联较深,业务连续性管理长于在日常进行能力评估、规划和建设,类似于“养兵”;而关注企业和员工生命财产的安全,有严格的追责体系和社会支持,应急管理长于在突发事件中综合协调和指挥,进行能力运用,类似于“用兵”;借鉴军队的军政系统和军令系统的关系,可以考虑以下方案:
(1) 对规模比较小、或者业务运营比较简单、或者内部管理成熟的企事业单位,可以考虑采用“军政军令合一型”的领导指挥体制,由一个部门全面负责组织的应急和业务连续性能力建设和应急处置; (2) 对规模比较大,或者业务运营比较复杂、或者受监管影响大的企事业单位,可以考虑采用“军政军令分开型”的领导指挥体制,由办公室/综合管理部/企划部等负责组织的应急指挥和处置,由风险管理部/质量管理部/安全生产部/运营管理部等负责组织的应急和连续性能力建设。
以下是在组织中采用“军政军令分开”和“军政军令合一”两种模式的简要描述和比较: 军政军令分开型 军政军令合一型 描述 日常管理(业务连续性管理)强在“养兵”,类似“军政系统”,由高管层和应急/连续性管理委员会通过各部门统管能力评估、规划和建设;应急处置(应急管理)强在“用兵”,类似“军令系统”,由高管层通过应急办进行指挥。日常管理涉及部门繁多,实行多部门体制,专业化建设;应急处置机构精干,职能围绕应急处置,强调多部门协作。用兵系统为“用户”,养兵系统为“产品的生产者”,即部队的提供者。日常管理和应急处置分开,各取所长。 日常管理(业务连续性管理)和应急处置(应急管理)由同一部门负责的领导指挥体制。 优点 机构职能单一,业务连续性管理体系能够长期稳定地进行专业建设,建立充分的人力与物资贮备,为应急处置做好准备;应急处置系统的指挥人员主要研究应急处置问题,进行应急谋划,精力相对集中。 • 应急指挥人员有较强的权威性。由于平时负责体系建设的人员在应急处置时负责应急指挥,因而,指挥人员与指挥对象彼此熟悉、相互信任,容易建立指挥与被指挥的关系; • 便于实现责权的统一。军令军政合一型体制遵循了“谁建设、谁使用、谁负责”的原则,管理人员既要对体系日常项建设负责,又对应急处置结果负责,利于统一筹划业务连续性的平时建设与应急处置运用问题。 缺点 • 责权不够统一。业务连续性管理牵头部门平时要抓风险评估、预案编制、应急准备等工作,这些工作与应急和连续性能力的提高密切相关,但其并不参与应急处置工作,责与权之间存在一定的脱节现象; • 存在平战体制的转换问题。军令军政分开型体系,业务连续性管理和应急管理系统均为独立的分系统,应急处置时需要由日常管理体制转换为应急指挥体制,各部门存在两种体制转换过程中的适应问题。 • 应急指挥人员既要应付大量的日常管理、风险评估、预案编制、演练和培训等工作,又要应急处置的问题,这一方面增加了指挥人员的负担,对指挥人员的素质提出了过高的要求;另一方面也有可能使指挥人员整天陷入繁琐的事务中而无暇研究应急指挥问题。
后记 :组织内应急管理体系和业务连续性管理体系的定位和关系,是我国特有的一个问题(至少在我接触的外资企业中并不存在),在国资为主的行业中尤为突出,因为这些企事业单位已按照要求建立了应急管理体系,但我国的应急管理体系实质上是公共安全应急管理体系,并未考虑组织(即企事业单位)“事中业务恢复”的需求,因此,这些单位还需要再建立业务连续性管理体系,以有效保护企业的利益、声誉、品牌和创造价值的业务。也有些组织建立了两套独立的体系,看拟既符合了监管要求,也获得了体系认证(如ISO 22301),但只是纸上的体系,根本不能实用,因为没有解决在实战两个体系如何关联的问题。这个问题整整困惑了我两年左右,有次和浦发银行的风险管理专家何乃煜聊天时,我们聊到了军改,突然觉得军政和军令两者的关系与此类似,后续跟进研究之后,整理出了“军政军令分开”和“军政军令合一”两种模型来解决这个问题。这个方法之前已纳入了我的业务连续性管理实务培训课件,此次整理成文,也希望能够多听听反馈意见,以进一步修改完善。
=============== 精采回顾 ==============
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )
项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
(加入知识星球参与讨论,详见原文)
原文发表于公众号”业务连续性+” | 原文链接