日本强震反思, BCP建设刻不容缓

在同情日本遭遇特大地震、海啸灾难的同时,中国企业更应居安思危,提升风险管理意识,树立灾备理念,完善BCP体系,开展灾难恢复应急演练。其目的只有一个,在灾难发生后力保业务持续运作,把灾难损失降到最低。

万国数据 刘洋

2011年3月11日,日本遭遇历史上最强烈地震和最大海啸,9.0级地震引发高达10米海啸,瞬间扑向日本沿海地区,对人民的生命、财产安全及社会运行造成严重破坏:目前已夺去超过9000人的生命,还有1万余人下落不明;在地震中受损的日本福岛核电站更是险情不断,不少人纷纷被转移躲避核辐射;地震导致炼油厂发生火灾,气仙沼市一片火海;燃料供应紧张,多地物流陷入瘫痪……。这场地震在重创日本经济的同时,对全球依赖日本供应链的企业也遭受不同程度的影响。

尽管发生百年不遇的重大自然灾害,但日本民众及政府、企业却表现出出奇的镇静与泰然:日本政府正在积极处理地震后引发的火灾、电力中断、食物匮乏等问题;地震后的城市依然竟然有序,便利店、车产、电话亭依然可以看到人民排队的身影;重灾区的人民在生活物资极度匮乏的情况下,没有发生恐慌、哄抢事件——我们不得不佩服日本政府、企业、民众的灾备意识及防灾、抗灾能力。

日本是一个地震多发国家,其政府,企业,人民普遍具有抵御地震、火灾等自然灾害的思想准备以及丰富的防灾知识。在日本,防灾教育是一门必修课,人人都掌握必要的防灾常识。日本的孩子从小就接受地震逃生教育,在日本各地随处可见如何应对地震的小册子,公园、体育馆等公共区域经常可以看到地震演练的画面。各级政府、企业也都设有分级的BCP体系(业务连续性计划)及灾难防护的资源建设,并定期组织多种场景的联合演练。整个防灾、御灾体系使得日本政府、企业、人民能够在此次地震、海啸灾难发生后坦然应对。

日本政府、企业、人民的防灾、抗灾能力和灾后恢复措施是令人称道和值得钦佩的,这得益于日本政府、企业能够清晰的认识到自身所处的风险,大规模进行灾备资源建设,建立全面的BCP体系,对全民开展防灾减灾意识和能力的培养,定期组织防灾演练等。

在日本,政府的防灾备灾建设真正以BCP体系开展是从2005年开始的:2005年4月,日本经济产业省信息安全政策室制定了《业务连续计划制定指导方针》;日本内阁府的中央防灾会议在“用民间和市场的力量提高防灾能力的专门调查会”中设置了企业评价和业务连续工作组,从防灾减灾角度推进政府和企业的BCP建设。2005年8月,日本制定了《业务连续计划指导方针》。中小企业厅在2006年2月,以中小企业的防灾为对象,制定了《中小企业BCP制定运用方针》等。

与政府相呼应,民间团体和企业BCP体系也在快速建设和完善,例如,在半导体行业,SEMI Japan在2004年7月公布了面向半导体产业的业务连续指导方针,2006年~2007年,SEMI Japan的大约一半准会员已经制定完毕或正在制定BCP;丰田汽车公司建立了名古屋港发生地震后的备份运输路线和应急体系,改变平常的零部件和成品车的物流路线,改为东京和大阪的港口,确保地震等灾后的业务持续发展;日立制定了地震对策大纲,在地震对策大纲中,日立对BCP在经营中的重要地位作了如下的叙述:“发生大地震时,不仅会产生设施等物品的损失以及伴随业务停止的利益损失,还有可能产生连锁地将顾客卷入其中的业务停止,进而丧失客户和顾客。”

当然,在防灾抗灾过程中,日本政府、企业也有需进一步完善之处,比如地震带来的次生灾害使日本淬不及防,福岛第一核电站相继发生爆炸,导致核泄漏,危及全国;灾区通讯不畅,信息发布不及时,引发部分灾区人民恐慌等。

中国与日本共处太平洋沿岸及地震多发带,地震、海啸、火灾、核辐射等潜在灾难同样存在,在同情日本遭遇特大地震、海啸灾难的同时,中国企业也应居安思危,提升风险管理意识,建立完善的防灾抗灾体系及BCP体系,开展定期、有效的应急演练等。万国数据建议:

首先,企业应确定业务连续管理建设的总体目标:描述企业业务连续性建设的一系列价值以及建设愿景;框定业务连续性建设范围,明确涉及的部门、建设范围和建设内容;确定总体建设原则,制定业务连续性建设路径和方法。

其次,应站在全局风险控制的角度,建立统一指挥、协调有序的业务连续管理框架,明确本机构各部门在业务连续性建设工作中的职责,按照“统筹规划、资源共享、平战结合”的原则,有计划、有步骤地主动开展业务连续性建设工作。逐步建立行业间、系统内以及本机构部门之间的业务连续性建设协调机制,做到上下联动、横向互动,切实提高业务连续运作能力。

第三,应建立一个专门组织或指定一个部门牵头的业务连续性管理委员会负责业务连续性工作,该组织应根据董事会和高级管理层审定的业务连续性战略,制订业务连续性管理政策和基本管理制度并报董事会和高级管理层审定,统一组织、协调、指导、检查业务连续性工作,履行向董事会和高级管理层的报告职责。

第四,应制定应对各类突发事件场景、多级的预案体系,明确突发事件级别,制定应急管理组织架构,开发详细的操作流程,明确应急过程中的人员、通讯、物资等。在业务连续性计划建设过程中,企业应明确业务所需资源,明确业务流程与资源的对应关系,全面评估各项资源面临的风险,重点关注企业的关键资源以及重要风险。例如,金融机构核心账务处理数据中心,企业的资源配置ERP数据中心,政府的政务管理中心等。在明确企业业务连续运作的重点资源与所面临的风险后,企业需要建立关键资源的备份,要在确保灾难备份和恢复功能的前提下,充分利用灾备资源,统筹安排,将日常运营和灾难恢复结合起来。建立完善有效的灾备架构,使之发挥更大的作用和效益。做到“消灭无灾备保护系统、提升低等级灾备系统、完善高等级灾备系统”的目标。

第五,应通过开展应急演练达到检查预案、完善准备、锻炼队伍、磨合机制和培养意识的目的。通过演练来验证支撑业务连续性体系预案的完整性、易用性、明确性、有效性,提高业务连续运作能力。开展演练应遵从紧密结合业务连续性管理工作实际,明确演练目的,根据资源条件确定演练方式和规模。

另外,针对媒体及民众的沟通和危机公关管理与突发事件应急处理本身同等重要。企业应健全适用于业务中断场景下的危机公关机制、办法、相关制度和要求,实行危机事件分类分级管理,明确管理权限、职责和报告路径,对可能发生的各类声誉事件进行情景分析,制定预案,与媒体建立良好及有效的互动关系,并将危机公关管理引入到业务连续性的演练中来,通过适时的演练验证危机公关处理计划的有效性,逐步提升危机公关能力。

最后,企业应通过长期有效的维护灾难恢复资源与计划,提升业务连续性的意识和技能教育,不断完善业务连续性的企业文化体系建设并保持长效的管理机制,逐步将业务连续性相关工作日常化、规范化,促进业务连续性企业文化建设的健康、可持续发展。