从合规保障走向能力建设:序
2003年SARS疫情后,业务连续性管理(BCM)理念由国内一批专家和先行者引入,经过二十余年的探索与实践,BCM在我国已实现长足发展。尤其是近年来,随着企业对风险韧性的重视度提升,BCM迎来了前所未有的关注。部分行业领先企业不再停留于被动应对,而是主动运用BCM方法论,结合自身经营痛点开展创新实践,切实提升了企业的抗风险能力和运营韧性。
值得注意的是,当前部分企业已从单纯追求合规(Compliance)转向聚焦能力(Capability)建设,这一转变标志着BCM实践进入更成熟的阶段。为助力更多企业梳理发展路径,制定分阶段策略、配置资源和衡量成效,高效完成从合规保障到能力跃升的转型,笔者计划推出系列文章,从演练、预案、BIA/RA(业务影响分析/风险评估)等维度,系统解析两个阶段的差异与进阶路径。本文作为开篇,将重点探讨二者的核心区别与内在联系,以期为企业的BCM体系建设提供参考。
第一阶段:合规保障阶段(Compliance-driven Phase)
定位: “确保企业不违规、不缺项、不出事。“适用于初建BCM体系或受监管驱动的企业。
主要驱动因素:
- 法规监管(如ISO 22301、金融监管指引、行业标准等)
- 客户要求(尤其是金融、科技、能源等行业的供应商审核)
- 内控与审计要求
建设重点:
| 维度 | 内容 |
|---|---|
| 制度体系 | 制定BC政策、标准、制度与职责 |
| 方法流程 | 基于模板完成BIA、RA、预案等文件 |
| 演练机制 | 形式化定期演练,符合审计要求 |
| 组织能力 | 成立BCM角色团队,职责明确 |
| 合规评估 | 通过ISO/监管等合规性检查 |
常见特征:
- 文件齐全,但未必落地
- 更重形式,轻实效
- 强调”证明我们做了”(证明合规)
第二阶段:能力建设阶段(Capability-driven Phase)
定位: “将BCM转化为组织的真实应对力与韧性能力。“适用于有一定BCM基础、追求实战和增值的组织。
主要驱动因素:
- 企业战略(如全球化、数字化、ESG韧性)
- 风险复杂性(如勒索软件攻击、供应链中断)
- 内部演进需求(如运营韧性、业务可靠性)
建设重点:
| 维度 | 内容 |
|---|---|
| 韧性能力 | 构建端到端的响应、恢复与适应能力 |
| 集成运营 | BCM与ITDR、应急响应、供应链管理联动 |
| 数据驱动 | 实时监测、指标设定与动态调整 |
| 演练深化 | 模拟真实情境、跨部门决策与协同演练 |
| 文化融入 | 把连续性思维嵌入关键流程与员工行为中 |
常见特征:
- 从文件转向能力与响应链条
- 强化业务主责部门的参与和承担
- BCM与业务战略、运营管理融合度高
推荐应用方式
| 场景 | 如何使用这两个阶段 |
|---|---|
| 项目路线图 | 以”合规→能力”的阶段划分,规划短中长期建设目标 |
| 评估企业现状 | 用阶段特征对照诊断”你在哪个阶段” |
| 内部汇报或管理层沟通 | 强调”我们先完成了合规要求,接下来将向能力跃迁” |
| 落地实施 | 把BC目标从”合规证明”过渡到”业务韧性保障” |
注意事项
- 两个阶段可以并存,尤其在大型组织中,有些业务单元仍在合规阶段,而核心业务已经在能力建设。
- 不可跳过合规阶段直接谈”能力”,否则基础不牢,演练也难组织、资源也难协调。
- 能力阶段并非终点,未来还可以往”敏捷韧性、AI增强、自适应治理”方向发展。
原文发表于公众号”王曙说”