營運持續:轉危為安第一步

新冠病毒疫情肆虐,世界各國按下暫停鍵,災後復原與營運持續是企業轉危為安第一步。圖/PhotoAc

文/吳明璋 韋萊韜悅企業風險管理與經紀服務資深協理

在新冠病毒疫情肆虐之下,全球性經濟衰退彷彿回到1930年經濟大蕭條。各國都會城市引發大規模群聚感染,領導人別無選擇、宣布史無前例的鎖國封城政策。

正當世界各國按下暫停鍵這一刻,我們希望身邊有個「哆啦A夢」,從百寶袋拿出各種神奇解方。最受歡迎不外乎就是任意門,帶著「現在的」大雄去拯救即將和靜香結婚「未來的」大雄。這時我恍然大悟,所謂的「回到未來」不就是企業持續營運規劃(Business Continuity Planning,BCP)的情境演練?

災後復原為起源

災後復原(Disaster Recovery,簡稱DR)與營運持續(Business Continuity,簡稱BC)這兩者經常被人提及,甚至互換並存。從歷史上的追本溯源,災後復原為其先驅,爾後才發展營運持續,最後轉變為由IT驅動的營運持續規劃。

早在1970s年,備援(Standby)系統與關鍵性資料備份為IT復原計畫的兩大重點。這兩大復原重點已經深植在IT工作實務。1990s年新思維的轉變,從符合法規的復原走向營運持續的規劃。當時一連串的恐怖攻擊事件,如:1993年美國世貿中心爆炸案與1992、1993 年倫敦爆炸案,將災後復原從原本IT、組織功能導向,轉變為組織、流程面導向。營運持續規劃的初期強調的是「結果」(如:營運面的持續作業),後來才成為廣為人知的「方法論」或「管理手法」。

由於這兩者交叉的發展背景,國際上並沒有一個公認的定義,甚至不同單位的定義有時也大相逕庭。以國際電腦稽核協會(ISACA)為例,在2012年白皮書釐清DR與BC的差異:

●災後復原:為一個程序,專注在建立針對關鍵IT基礎建設與應用的持續能力上。

●營運持續:廣泛的字眼,包括:開發、測試、管理全事業的營運持續計畫。

從筆者過去處理IT機房火災復原經驗中,建議客戶不宜貿然開機災後煙燻的電腦,以免造成電路板短路。在火災發生之後,復原管理須牢記上述不能犯的錯誤。唯有在第一時間作對災後復原,企業得以迅速恢復部分營運,才能從營業停損點開始反轉。從全公司營運的角度,我們曾輔導國際半導體廠客戶執行BCP專案。根據重大災害的情境,客戶專案小組針對優先營運項目分析營運衝擊,協助擬定合宜的BC方案與DR計畫。在與時間賽跑的壓力上,有效的災後復原,非全數更換災損設備,為營運持續創造更好的方案選項。

剖析營運持續計畫重點

在碰到不可預期的巨災時,何謂組織優先復原的營運項目?依據組織的IT系統類型,優先營運項目也可區分為:基礎建設(如:虛擬化伺服器、儲存區域網路)、應用系統(如:客戶關係管理CRM)、辦公區系統(如:網際網路、電子郵件信箱)、企業流程(如:企業資源規劃ERP)、生產、製造、營運(如:庫存管理系統或財務系統)等。

除了上述的優先營運項目,特定產業具備 24╱7╱365全年服務不間斷特性,對於IT採取更嚴格的服務層級(Service Levels)要求。服務層級內含四個重要因素,包括:排程、可用性、預計復原時間(Recovery Time Objective,RTO)和資料損失量(Recovery Point Objective,RPO)。RTO為災後系統中斷到重新啟動所經歷的時間;RPO則是指在災後系統中斷資料損失的狀況。舉例來說,樂高歐洲物流中心RTO訂為9小時。一旦物流中心停擺時間超過9小時,鄰近的樂高工廠將面臨停工的壓力。

從專案管理的角度,營運持續計畫包括:風險評估、營運衝擊分析、風險減損策略、緊急應變準備、訓練、測試、稽核與維護等。除了IT角度之外,有些企業營運持續計畫擴大至全公司視野,如:緊急應變計畫(Emergency Response Plan)、企業復原計畫(Business Recovery Plan)、危機管理計畫(Crisis Management Plan)、災後復原計畫(Disaster Recovery Plan)、風險減損計畫(Risk Mitigation Plan)與復原計畫(Restoration Plan)等。組織根據自己的需求與規劃,逐步擴充以建立完整的制度。

以教育訓練落實BCP

2014年,我帶領APEC BCP工作營專案,國內學員分享他們的小故事。外國客戶第一次要求他們BCP計畫時,他們業務單位準備兩頁書面計畫。結果,國際客戶要求實際演練時,一時之間讓業務單位語塞:BCP不就是書面計畫嗎?這兩者觀念上的差異在於:書面計畫與BCP實務仍是有關連,但兩者不同。通常書面計畫發生於災害之前,BCP實務是處理災害的當下,而這兩者有各自的原則。舉例來說,書面計畫通常沒有時間的壓力,實務經驗取決於當下的災害損壞程度與可用資源重組之因應。

如果書面計畫無法解決所有災害管理上的問題,那麼計畫就沒有用了嗎?營運持續規劃的教育訓練分為兩類:討論性與操作性。常見的研討會、工作營、沙盤推演與遊戲屬於討論性質;實地演練、功能演練與全面演練屬於操作性質。有了世界各大城市封城前車之鑑,四、五月北市、新北市、台中、高雄市等首長執行封城兵推演練。就像消防演練一樣,BCP教育訓練不是等到遇到了災害再說。

要從失敗教訓中學習,尤其在災害管理領域特別重要。這呼應《灰犀牛》作者的觀察:「如果沒能從慘痛的災難經驗得到教訓,之後行事就有可能只是為了做而做,缺乏遠見或協調不足。」為了面對書面計畫的陷阱、彌補經驗不足,教育訓練需朝向韌性「能力」與「承載」(Capability & Capacity)養成。企業得以從情境演練中,累積風險減損(如災後復原)與移轉(如保險與理賠)資源之實務經驗。

>>訂閱名家評論周報,關心全球財經大小事

延伸閱讀