資料來源:臺灣勤業眾信,2020年2月

由於臺灣在庚子年春節起,都一直在武漢肺炎疫情籠罩下,尤其,中央流行疫情指揮中心在2月16日傍晚,公布臺灣第一起因為武漢肺炎死亡的第十九例確診病例,隨即引發社會大眾對於是否會爆發社區感染的恐慌。畢竟,武漢肺炎若爆發社區感染進一步擴展到社區傳播時,就會演變成「只要出門就是人人自危的時刻」。

對於企業而言,當然營運上會受到很大的影響。在中央流行疫情指揮中心陸續公布第20到23例武漢肺炎確診病例,以及相關的疫調內容時,隨之出現的這則公告,證實臺中潭子地區有一家木業公司,就是因為公司員工家屬確診為武漢肺炎,導致全公司20多人都必須自主健康管理14天。也因為員工不能到公司上班,連帶公司的訂單出貨也必須暫時中斷,直到3月1日相關人等解除自主健康管理後,才能恢復正常運作。

另一個例子,則是新加坡最大的星展銀行總部,也出現一名員工確診武漢肺炎,造成同部門300人必須隔離、淨空並消毒辦公司,所有員工則要開始實行遠距上班。

從臺灣到新加坡的案例,其實都是對企業的警訊。我們必須自問:如果公司有一個員工直接或間接受到感染武漢肺炎的影響時,公司還有辦法繼續營運嗎?可繼續提供服務嗎?

如果這個案例就發生在自家公司身上,明天所有員工都因為武漢肺炎而不能到公司上班的話,公司到底有沒有辦法面對這一場突如其來的風暴呢?

「居安思危、有備無患」就是營運持續管理的精髓

《左傳》:「居安思危,思則有備,有備無患。」公司在危急時刻若能持續營運,重點就是,要準備的夠多、想的夠深遠才行,這背後的邏輯,就是營運持續管理(Business Continuity Management,BCM)的概念。

以標準驗證公司臺灣BSI為例,該公司營運長謝君豪表示,為了確保未來有員工直接或間接感染武漢肺炎,或屆時臺灣爆發大規模社區感染,該公司還可以提供最低水準的服務,因此,早在第10例武漢肺炎確診案例公布後,臺灣BSI便決定展開為期約莫兩週的營運持續管理(BCM)正式演練。

他們演練的方式,就是實施分批上班政策,以及在家上班政策。包含全公司各個部門員工及主管在內,其中一半的員工和主管,於週一、三、五上班,另一半則是週二、四上班,當天若是不用到公司上班的員工和主管,則「強制」在家上班。

謝君豪說:「這次分批上班、遠距上班其實就是該公司BCM的正式演練,唯有真正透過一段時間的實際演練,才能發現在日常運作中,有沒有系統連不上、計畫不周全,以及可以進一步修正改進之處。」

爆發第一起武漢肺炎死亡案例後,因為這是社區感染的重大警訊,也促使許多臺灣企業必須儘快執行BCM的演練,他們希望一旦員工必須在家遠距上班時,公司相關系統能夠有周全的配套措施,以防萬一。例如,線上音樂公司KKBox就決定在2月20日,強制全公司同仁必須在家上班一天,實測各種雲端服務和VPN連網能否正常運作,確認包含視訊會議在內的系統都可正常運作。

透過設定誇張高風險情境,決定關鍵優先項目

臺灣勤業眾信風險管理諮詢公司副總經理田嘉雯表示,關於BCM的定義,大致可解釋為:「當公司無預警遇到大型災害事件時,公司是否有能力做災害控管。」然而,這其中也有一個但書,那就是:做了BCM,不表示可以保百年平安,重點在於認清現實、不要「鐵齒」。

「BCM的範圍最重要,」田嘉雯指出,很多公司會直接把BCM的工作丟給IT部門,但真正的BCM還是要跨到業務部門才完整。

臺灣勤業眾信風險管理諮詢公司執行副總經理曾韵表示,要落實BCM,可以分成三個階段來看。首先,從分析階段了解公司面臨的各種情境,進行風險評鑑(RA)和營運衝擊分析(BIA);再者,透過發展階段,從組織與政策的建立,了解各種可用資源和緊急應變計畫、業務持續計畫、危機管理等階段;最後,透過實作階段,進行相關的教育訓練和演練測試。

田嘉雯進一步解釋,RA會先設定一些相關的高風險情境,這可以參考金融業自評時常見的高風險情境,包括:天然災害的地震、風災和水災等,人為災害的疾病與傳染病、火災與爆炸、網路連線通訊中斷等,或是資訊系統異常的駭客入侵、電腦病毒攻擊或資訊系統程式邏輯錯誤等。

她指出,RA的目的在於辨識高風險機率,決定哪一些是優先或關鍵的業務項目,如果公司過去曾經發生過高風險、導致公司營運或服務中斷的情境,這些都必須要先條列清楚。

但田嘉雯也觀察到,許多企業在進行風險評鑑時,往往情境設定都相對保守、不敢大膽假設,如此一來,反而無法從各種極端案例、同業經驗,或是英國BSI的地平線掃描報導等,去思考相應對方式。

BIA要設定最大可容許中斷時間和最低可接受服務水準

RA是許多國際標準都有的環節,但BIA則是參照ISO 22301才有的項目。而透過設定不同的高風險情境後,田嘉雯說:「接下來要關注的就是,當公司的服務中斷後,會對公司營運帶來多大的衝擊,這就是營運衝擊分析(BIA)。」這是一種自我了解評估的手法。「RA和BIA要一起做,可以利用問卷的方式,也是一種組織自評的過程。」她說。

BIA主要目的有二,首先,要決定「時間」:最大可容許中斷時間(MTPD),目的就是要把重要的業務服務和優先順序列出來;第二,就是確定恢復程度,怎麼樣是最低可接受的服務水準。

若要衡量哪些業務優先順序,就得訂定全公司一致的衡量標準,標準包括:1、影響多少業務量;2、影響多少營收;3、影響多少賠償金額;4、影響多少商譽損失;5、影響多少法遵要求等。至於如何計算MTPD合理的時間,最常見的標準作法就是,將上述衡量業務優先順序5個標準中,列出每一個標準真正無法接受的時間,那就是MTPD。

而MTPD會根據產能和服務來設定,關鍵點在於「有多少成本」和「有多少資源」投入。例如,當實體店面無法營運時,單一店面提供多少服務?牽涉多少客戶?是否有其他線上服務可以取代等?這也涉及究竟需要提供多少辦公室的後勤服務,以及有多少資訊系統作為復原中斷服務的支撐等。

但田嘉雯也說,臺灣很多產業並沒有規定最大可容許中斷時間(MTPD),而MTPD要個別訂定,且是當企業不得已中斷服務後,最核心的業務應該在多久時間內恢復的最短時間。

像是納莉風災引發的水災,當年就對臺北市某些銀行的營運服務造成中斷,而這些銀行要在多久時間內,恢復銀行最低程度的運作(例如找到其他場地、人力、系統等),就是MTPD。

簡而言之,MTPD就是高風險情境中的最大可容許中斷時間,相較於一般金管會要求銀行某些業務中斷,必須要4小時內恢復的概念,MTPD是不同的。

不過,要達到MTPD,曾韵認為,必須要從資源調度的角度來看,如何設定不同的工作項目的復原時間目標(RTO),恢復每個產品和服務的最低服務水準。

舉例而言,金融業必須在4小時內啟用異地辦公室,其MTPD就是4小時,但從接獲通知、移動到異地辦公室、到班人員清點與座位分配、記錄回報作業恢復狀況,直到協助組員申請異地辦公室門禁,每個工作項目都會設定不同的RTO,而且,因為不同工作項目有些時候會平行作業,透過甘特圖看不同作業的RTO之餘,要注意其絕對不能超過MTPD的作業時間規定。

但田嘉雯則提醒,每一個工作項目的RTO,例如,開機下指令的RTO必須在5分鐘內要完成,就必須清楚標註RTO是5分鐘,提醒執行任務的人員注意時間。

BCM不僅要人和資源投入,實際演練更不可少

田嘉雯表示,不管是RA或是BIA的問卷填寫,通常建議由資深同仁填寫,這麼做,可以知道過往發生的歷史事件和業務重點,而代表各部門填寫的人員,也必須了解業務中斷對業務帶來的衝擊;而資源分配與投入上,則包括:業務、場地(行政)、IT系統(AP、Infra、系統相依性等)。

若要成功推動BCM的必備因素,可包括:公司全員參與;高階主管由上而下的支持,加上適當的資源準備才行。

田嘉雯進一步解釋,推動BCM時,公司每個層級和部門都必須有代表參與,包括:業務、IT、人資、財務、行政及採購等,其中,要挑選參與的代表,就要找比較有影響力的人,或者是比較敢跟上級主管報告的人來擔任。例如,有一個酒商BCM的主管就是財務主管,因為包括IT和財務採購等部門,都在該名主管轄下。

另外,企業也可以找曾經推動過其他ISO制度認證的單位來幫忙,都很適合作為推動ISO 22301的單位。做完RA 和BIA後,高階主管必須要針對相關的備援方案制定決策。田嘉雯認為,高階主管的心態很重要,例如:針對各種分析,都不要鐵齒,而當風險發生時要願意承擔風險、敢做敢當。同時,要記住,認賠殺出也是接受風險的一種手段,不可以超過MTPD。

最後,資源準備度不可以太差。因為面對不同風險情境、不同MTPD和最低可接受服務水準,企業要投入的資源和成本是不一樣的,尤其針對高風險,更必須要有額外投入資源的心理準備。她指出,如果沒有資源投入,就要花時間開始準備,不必一口氣到位,但如果沒有開始投入,就永遠無法落實BCM。

完整的BCM包括緊急應變計畫(IMP),目的是希望可以將災害控制住,針對風險情境做RA;業務持續和業務復原計畫,則是透過BIA列優先順序和資源,包含人、地、系統等,再透過業務復原計畫,像是條列式的檢核表、有各種聯絡清單、資源盤點表(座位、筆電、Token等),不論人員是誰,他們皆可按表操課;最後則是危機管理,這裡面包含公關溝通和新聞稿撰寫。

有了計畫,還必須要透過演練,去確認計畫是否可行。田嘉雯表示,演練分成桌面演練和實際演練,以桌面演練而言,目的在於集思廣益,但問題在於真實性太差、可驗證性太低;至於實際演練,可驗證度優於桌面演練,但風險也較高,受影響的客戶可以事先通知,但要考慮的風險,還包括系統切換回來、恢復正常運作的時間。田嘉雯提醒,演練沒成功可以接受,但演練引發的風險則不可接受,例如:影響客戶、業務和服務等。

根據英國營運持續機構(BCI)發表的「2019年地平線掃描報告」,去年對全球帶來最昂貴的營運衝擊是「健康安全衛生事件」(Health and Safety Incidents),造成的損失高達11.86億美元(近新臺幣370億元),要對抗武漢肺炎這樣的傳染病帶來的損失,針對BCM投入的資源,永遠不會太遲。

 相關報導  武漢肺炎長期抗疫怎麼做?


Advertisement

更多 iThome相關內容