一、業務連續性管理系統

  根據《APICS詞典》第16版的定義，業務連續性管理系統(Business Continuity Management System，簡稱BCMS)是指建立、實施、運營、監測、審查、維持和提高組織能力的整體管理系統的一部分，以便在破壞性事件發生后，企業能夠以可接受的預定水平，繼續提供產品或服務。

  BCMS是為了確定企業所面臨的潛在威脅，以及可能對業務活動造成的影響，并為建立企業的恢復能力提供架構，讓企業具備有效反應的能力，以保障其關鍵利益相關方的聲譽、品牌和價值創造活動。

  保障企業在危機下能繼續運營的應急計劃可以被稱為BCMS，商業持續計劃或是災難計劃。

  雖然這些術語有時可以互換使用，在通常情況下，連續性計劃用于恢復業務功能和工作場所，而災難計劃則用于讓IT和其他業務支持系統重新上線。

  兩者通常都是需要的，可以一起處理，也可以分開解決。業務連續性管理系統包含了這兩種類型的計劃，并包括一個計劃實施和持續改進的框架。

  業務連續性管理體系的相關標準是ISO 22301。

  APICS詞典第16版將ISO 22301定義為 "規定了建立和管理有效的業務連續性管理系統要求的國際標準"。

  這種類型的計劃包括指定人員，在緊急情況下承擔特定的任務。這份計劃應該提前發布，并進行演練，以便在通訊聯系中斷時，企業的應急小組成員直接根據計劃執行任務，而不用等待進一步的指示。

  應急計劃應包括循序漸進的指示和計劃，指明恢復業務的優先順序，如首先恢復通訊，然后是重要的IT信息系統和關鍵的生產流程。

  公司還應該有一個指定的發言人與新聞界合作，以便傳遞一致的信息，使組織不會遭受員工無意的、措辭不當的言論而帶來的風險。

  二、供應鏈的業務連續性

  供應鏈的業務連續性就是供應鏈連續性(Supply Chain Continuity)。APICS詞典》第16版對供應鏈連續性的定義為：

  一個組織的戰略和戰術能力，用來計劃和應對條件、情況和事件，以便在可接受的預定水平上繼續維持供應鏈運作。

  為了使應急計劃成為供應鏈戰略的一部分，提供了以下策略供參考。

  1. 獲得高層對應急計劃的支持。高管們應該創建一個治理結構，以確保適當的準備工作。

  2. 開展業務影響分析項目，以提供有關風險、應對措施和投資應急計劃的成本/效益的真實數據。這包括與業務流程負責人的面談，評估設施，確定關鍵資源和流程、重要記錄和數據，以及內部和外部依賴性。關鍵恢復時間被設定為基線。

  3. 做好準備。制定應急政策和計劃，并定期回顧審查。

  4. 確保指定的供應鏈專業人員。負責供應鏈應急計劃，并負責保持計劃的時效性，并在需要時實施計劃。

  5. 不要只依靠額外的庫存儲備。企業不可能有足夠的庫存來掩蓋所有潛在的問題。供應鏈可能是脆弱的，你需要備用的流程來維持災難后的運營。

  6. 研究所在行業和全球范圍內的最佳實踐。利用服務合同要求供應鏈合作伙伴遵循最佳實踐并提交書面應急計劃。與所有其他供應鏈流程一樣，應急計劃應跨越公司和職能界限。雖然每個組織在災難中都有特定的責任，但所有企業的活動都必須協調一致。

  7. 制定一個采購流程。將每個關鍵供應商的損失考慮在內，并包括具體的替代方案。

  8. 考慮產品或服務的總成本。僅僅根據價格來評估供應商的價值是不明智的。在評估海外供應商和客戶時，應依靠專業可靠的第三方機構。

  9. 注意信息系統的維護。電話線可能會停電，而且會停幾個小時、幾天、幾周。電力也會在同一時間內停電，發電機的燃料供應也會耗盡。了解企業將如何在供應鏈合作伙伴之間進行溝通，以協調災難計劃的實施。

  10. 用RFID和全球定位追蹤貨物。企業只有發現了供應鏈的問題后，才能實施應急計劃。

  11. 購買業務連續性保險，而不僅僅是資產損失保險。

  12. 測試已制定的計劃，并培訓員工和經理，讓他們理解和執行這些計劃。針對特定事件或計劃的一部分進行演習或桌面演練，例如從備份中恢復數據中心。這項行動可以讓每個人都做好準備，并驗證他們的準備程度。

  三、實施風險應對計劃

  從來沒有執行過的預防行動計劃是無效的。然而，許多計劃仍然停留在紙面上。

  不執行預防(或應急)計劃本身就是一種風險。企業需要指定一個人負責將計劃變成項目。這就需要為所有利益相關者確定目標，并設定期望值(例如，設定改進目標，以及計劃將解決的問題)，贏得最終的項目和資金批準，并實施執行項目管理。

  企業應該更新風險應對計劃和風險登記手冊，例如，從清單中刪除一個不相關的潛在風險，修改風險發生的概率，或采取其他適當行動。

  實施風險應對計劃還要確保供應鏈中的其他相關方也在處理他們的風險，協調并分擔風險。

  重要的是要決定如何在合作伙伴之間分擔供應鏈風險。為了實現轉移和分擔風險，企業可以建立某種聯盟，或是由風險協調委員提議后進行。

  風險轉移的依據應該是哪一方最適合將風險降到最低，或是更適合應對風險事件。風險轉移的目標應該是將整體系統風險降到最低，而不是以犧牲其他伙伴的利益為代價，將自己的風險降到最低。

  2009年，由原先的Supply Chain Council(后被APICS合并)批準的一個全球多個行業風險管理項目，設計了一系列協調供應鏈風險管理的最佳實踐，其中許多實踐與前面介紹的風險識別和評估準則基本相同。

  例如，項目提倡風險管理應成為合作伙伴之間協調的一個正式和系統的過程，以減少風險事件對供應網絡的負面影響。該項目還主張通過聯合風險識別和應急規劃等程序，提高供應鏈伙伴之間風險的可視化和量化。

  供應鏈的業務連續性是應對風險很有效的系統方法論，是未雨綢繆的一項計劃。再好的計劃，如果沒有落地實施，也不能發揮它的作用。這需要企業領導者有著正確的風險管理意識，推動實施各項具體行動。

  關于CSCP風險管理的內容已經全部分享完畢，理論學習雖然有些枯燥，但是能幫我們系統性地梳理知識結構。接下來，我會把更多的CSCP知識融入在具體實操內容之中，希望大家繼續關注。

  本文來源于羅戈網，不代表九州物流網(http://www.ruyi818.com)觀點，文章如有侵權可聯系刪除