今年台灣疫情急遽升溫,一度面臨封城的可能,BSI東北亞區總經理蒲樹盛表示,企業營運持續管理(Business Continuity Management, BCM)ISO 22301是國際認可並推行多時的標準,去年新冠肺炎(COVID-19)疫情已使國際企業將這項標準納入客戶供應鏈的聲音越來越大,成為如台積電、日月光等大廠在營運持續計畫(Business Continuity Planning, BCP)很好的參考,金管會也已要求國內金融證券等相關單位建置規劃。
BCM在2001年美國911事件之後開始推行,當年摩根史坦利公司在第一架飛機撞上世貿大樓時,其安全主管1分鐘後就發出緊急廣播讓員工疏散,半小時內設立應變指揮中心並啟動企業備援計畫,成功保護了公司最重要的資產與員工的生命。雖然台灣大多數公司是中小型企業,相對較無完整機制可應用BCM制度,但蒲樹盛指出,「BCM在疫情的因應上非常實用,作為預防性的標準,基本的框架在預防和改善上仍然非常值得參考。」
找出存活底限 盤點8大資源缺口
對於有意應用BCM的企業,蒲樹盛表示,可從「鑑別關鍵營運流程」、「風險評估RA」及「營運衝擊分析BIA」三個面向,檢視自己公司的BCM/BCP是否已經準備到相當的程度。
面向一 鑑別關鍵營運流程
企業營運難免面臨突發事件衝擊,在客戶合約上若無除外條件,通常違反交貨時間將面臨罰款成本,因此要評估面臨意外造成營運中斷時,公司持續存活所需的最低營運水準。例如:一家飯店,假設客源短缺,最低要維持多少收入才能打平、可以虧損幾個月、需要多久的復原時間,以最壞的情況去進行全盤性的預估。
面向二 進行風險評估(Risk Assessment, RA)
鑑別出會有什麼樣的狀況、威脅、風險會讓公司營運中斷,諸如疫情、停電、地震等,公司存在哪些弱點,而後分析風險的高低影響順位。蒲樹盛建議,企業應從國際宏觀角度來看全世界有什麼樣的風險、再回來看台灣有什麼相關風險、產業有什麼風險,從整體風險的影響去找出對公司衝擊的大小。
面向三 針對鑑別出的各項風險進行營運衝擊分析(Business Impact Analysis, BIA)
蒲樹盛說,「在進行營運衝擊分析時,最重要的是盤點8 大資源,包括:人員、場地(如建築物與工作環境)、資通訊軟硬體、財務(包括正常預算及緊急應變預算)、設備耗材、資料庫維運、運輸、夥伴及供應商。」
譬如現在發生疫情,評估資源可能中斷的情況,如是在人員層面(指關鍵人員,即擁有關鍵技能的人),這時就必須仰賴平日建立的職能統計表(或繼承人規劃),思考一旦該人員染疫,該如何遞補和調度。
以高科技產業為例,生產設備一定要在現場,包括器材設備認證等工作,頂多行政人員可居家辦公,假設發生染疫事件,整廠封閉時就只有停工一途,但如果有備援產能在異地如中科或南科,就可以進行一定的產能轉移作為備援機制。
運輸也是很重要的一環。當產品生產完成或原物料採購後,如何進行運送?5月疫情發生以來,不少企業發現沒有自己的物流、車隊或冷鏈系統,造成運輸困難。在夥伴及供應商的部分,則能發現若缺乏完整的供應鏈,一旦供應商斷鏈就無法生產,這也是疫情發生後,不少電子廠商6月開始出現的危機,從IC設計到筆電代工全都面臨有訂單卻缺料的問題。
「這8大資源的評估,BSI這麼多年實施下來,確實是非常有用的模式。」蒲樹盛強烈建議使用8大資源檢查表,按此思考並準備BCP/BCM。
中小企仿效BCM 先去除僥倖和自信
做完資源盤點之後,接下來就是撰寫BCP及演練了,「我們不能等到事情發生了再來試試看,必須假設各種情境的演練。」蒲樹盛說,演練的層級可以從書面、局部、模擬演練到大規模正式演練,每年排定計畫進行。
他以居家辦公為例,BSI在去年進行多次演練,一開始分成兩批,一批公司辦公,一批在家上班,沒排到進公司的人員,就一定不能進公司,而且一次演練就要進行半個月以上,「否則如果有人交叉感染的話就前功盡棄。」BSI今年的居家辦公演練分成更多小組,而且是全員在家上班,蒲樹盛說,全球BSI也有搭配備援的雲端系統,無論人員從A點換到B點,都能進行工作資料的遠端存取。
不過相對高科技業、金融業等大企業較積極導入BCM,台灣眾多的中小企業似乎不知從何著手。蒲樹盛指出,中小企業面對風險容易陷入2大盲點:僥倖和自信。中小企業主往往認為自己應該沒那麼倒霉,無論火災、停電、地震等風險都較容易被低估,「這是第一個應該去除的心態,既然中小企業要產業升級就不能心存僥倖。」其次是自信,中小企業容易過度自信,認為萬一風險發生,應該有辦法因應,或在腦子裡想「了不起損失多少」、「了不起如何如何」。
蒲樹盛建議中小企業應該增強風險意識,同時建立「晴天儲糧」的概念,假設今年賺錢,就可以撥出一筆預算作為風險管理基金。「當災難發生,如果剛好這年的營運績效不佳,其實更沒辦法做危機管理規劃。」往往最後只能等紓困或承受損失。晴天儲糧的預算,一是可以運用在加強應變時所需要的基礎設施,例如:配置遠端或異地使用之筆電及VPN等;其次是關鍵人才的投資與培養等。
蒲樹盛認為,即使不走BCM的完整流程,中小企業仍要有風險評估與管理的概念,可以用過去發生的經驗來建立風險鑑別項目,比如同業發生火災、疫情、供應商倒閉等,累積經驗並寫成公司的營運持續計畫,然後依照風險胃納與策略,考慮要準備到什麼程度、需要如何進行演練,「從別人錯誤的經驗來學習,我覺得中小企業至少要做到這樣,否則不堪一擊!」他強調。
蒲樹盛説,有些客戶會善用簡單的口號來加強員工風險意識,也是不錯的做法,比如「防止營運中斷」「防止業損人傷」,就是核心業務不受損、絕對保護人員安全的概念,這也是他鼓勵中小企業面對風險的態度。
復原核心業務 先有預算才有預防
企業的核心業務,指的是在營運上能帶來營收的最大活動,例如:媒體業就是廣告或出版品。蒲樹盛說,BCM當中的營運衝擊分析,就是評估事件發生後最短時間內、造成最大衝擊的營運活動是什麼,「如果不做BIA,就不知道從哪開始救。」蒲樹盛以車禍事故比喻,為了挽救傷者的性命,第一個馬上要做的是恢復心跳,因為這是生命的存活關鍵,因此就應知道先進行CPR,而不是先去包紮四肢手腳,「企業不會不知道,只是沒有系統性地去執行。」
蒲樹盛說,鑑別完風險和核心業務之後,就要思考什麼應變方案可以避免營運中斷,這要特別掌握「復原時間目標」(Recovery Time Objective, RTO),應變方案要能符合RTO,例如:科技廠染疫,宣佈停工2天(因為停工2天對業績影響有限),但若無法控制危機導致停工14天可能就會營運中斷了。他強調,當知道復原時間目標,心裡就知道下一步要怎麼做,實際執行上會透過風險管理進行各種補償機制,包括對某些機率很低、衝擊很大的項目,例如:火災或地震,就可以透過保險或委外生產來進行風險轉移。「當然BCM跟風險管理都不是百分之百的保證系統,但實施下來將能夠減少損失,至少不會不堪一擊。」
他建議,中小企業「做BCM不是為了被要求而做,而是為了鑑別現在可能忽略、或沒有想到的應變方案,猶如晴天儲糧、及早編列預算,讓意外或危機發生後的應變時間能力增強,這才是好的預防系統。」
照顧員工身心 凝聚災變下向心力
BSI總部為BCM標準的制定者,在台灣分公司導入BCM已經超過10年,蒲樹盛分享,「BSI自己制定標準,就希望能符合自己發佈的標準,才能提供專業訓練與稽核服務。」BSI台灣在總公司設計好BIA之後,會透過線上課程指導如何執行,也會想好各種劇情演練,由於分公司遍布全球,劇情跟演練相當多元,而且演練完成之後也必須交演練報告。
蒲樹盛以關鍵人員的劇情演練為例,有一天「關鍵人員」告知無法繼續上班,有可能是發生意外、被挖角或中樂透,這時候組織必須清楚代理的關鍵人員是誰,這就有賴平日的關鍵人員列表、職務代理人規劃、進行職務輪調等行動來達成,這也是保護公司資產的風險控制措施。所以他一點也不擔心,「公司要求每年做繼承人計畫,我必須指定第一跟第二順位繼承人,還要分析這個人繼承我的位置仍欠缺什麼技能,還需要多久準備時間,而其中一項KPI就是培養他準備接班。」
蒲樹盛並分享,員工的防疫物資都是由公司幫忙準備。比如去年剛爆發疫情時,由於當時台灣口罩改為實名制已經買不到,就立刻請韓國同事從韓國購買口罩寄來台灣,運來2批之後因為韓國疫情升溫也買不到了,就再想辦法陸續從其他國家追加,「現在每個同仁家裡大概有3到6個月的庫存。」BSI台灣還幫員工購買酒精、面罩,因為全員居家辦公,考慮到其家人還會到公司上班可能染疫,就以家庭群聚的概念準備物資,甚至還有補助同仁家中網路頻寬、打疫苗等的防疫津貼,「只要我想得到,對避免公司營運中斷有幫助的我都會做。」蒲樹盛笑著說。
他進一步指出,照顧員工本來就是企業該做的,BSI台灣的離職率因此很低。公司照顧同仁,同仁會對公司貢獻更多,形成正向文化,「如果不做,當同仁染疫遭受傷害,其實公司的損失是遠大於同仁的,為何不做呢?」蒲樹盛說,這些成本是營運考量內本來就該列入的,這也是之前他呼籲的晴天儲糧,在有獲利時妥善規劃資本支出,投資人才、基礎設施等,其實是降低隔年的風險,反而能保護公司的營收,「中小企業過度省錢,省到最後若導致營運中斷,好像不是企業想要的。」
來到後疫情時代,蒲樹盛表示,傳染病於全球風險地圖上一直都在,只是有時候風險會急遽增加,像這次新冠肺炎疫情就是快速攀升的風險之一。疫情高峰過後變種病毒似乎不會完全消失,對組織而言就會變成常態性的風險,即使打完疫苗,也不容易立即完全回到從前,企業必須學習適應新常態。BSI為讓接軌新常態的期間能順利過渡,已開始強化人員的身心健康教育,提供員工生理及心理健康諮詢等,他也提醒各企業執行BCM時不要忘了要同時照顧員工的身心靈健康。
【本文出自《能力雜誌》2021年7月號;訂能力電子雜誌;非經同意不得轉載、刊登】