企业实施BCM战略 需两大标准“守卫”.docVIP

企业实施BCM战略 需两大标准“守卫”企业制定和实施BCM战略的过程中，一个很容易忽视的重要问题是，如何确保BCM战略在执行过程中的可靠性和质量？按照国外先进经验和有关专家的研究结果，开展BCM审计与控制是重要的措施。 　　防范业务活动受到“侵扰”、保障其持续运行，是企业、组织机构的根本策略。面对可能存在的灾难风险，企业必须准备一套应对灾难的业务连续性管理（BCM）措施。 　　虽然目前一些企业通过购买商业保险的方式，来弥补天灾人祸带来的财产损失，但保险公司从自身经营的角度出发，也会要求企业在可能遭遇重大灾难威胁时，要采取一定的措施保护财产，实施自救，并要求事前制定灾难恢复和业务重建计划。在BCM日益得到重视的信息时代，这是企业管理者的责任。 　　然而，在企业制定和实施BCM战略的过程中，一个很容易忽视的重要问题是，如何确保BCM战略在执行过程中的可靠性和质量呢？按照国外先进经验和有关专家的研究结果，开展BCM审计与控制是重要的措施。 　　BCM：既是业务需要，也是法律要求 　　BCM是一门领会企业业务精髓、确定企业发展中生死攸关问题的学问。为了确保BCM在危机时得以有效执行，需要对BCM涉及到的流程、人员、组织架构、措施、物理设施等方方面面进行测试和演练，这就意味着从危机应对到业务服务全面恢复的各个方面，都需要进行细致、反复的检查，也意味着每个参与者都必须懂得在困难和面临威胁的情况下自己应该做什么。 　　BCM常需要考虑的关键信息包括： 　　 了解组织主要的业务需求，把握关键业务，制定合适的BCM策略。 　　 经常审视与辨别企业的薄弱环节，如设备、业务流程、人员安排等。 　　 明确所依赖的人和设施，如供应商、设备与系统、服务、客户和股东等，并确认“维护”这些关系的优先顺序，以及这些关系对业务恢复可能提供的支持能力。 　　 BCM是企业组织管理的组成部分，必须提供必要的承诺、资源。 　　 对BCM程序不断进行演练。 　　不难理解，BCM是当今信息时代企业业务发展的必然产物。随着市场竞争环境日益复杂，企业业务数量不断增长，以及IT技术的大量应用，企业业务运营所依赖的基础设施的复杂性与日俱增。伴随这种复杂性的增加，是企业对业务支撑环境的依赖性增加了，而且业务运行的潜在风险也增大了。有鉴于此，企业一旦面临灾难事件，对客户、公众、合作伙伴的影响也大大增加。 　　特别在美国9.11事件之后，国外以金融机构为首的行业，已开始必须面对关于BCM的新的、严格的规定。如意大利2004年1月1日起实施的《个人资料保护法》，就要求对业务连续性和灾难恢复进行高等级的重视2003年7月，欧洲中央银行系统（ESCB）和欧洲证券管理委员会（CESR）发布了题为“欧盟评判结算和清算系统标准”，包括许多关于金融机构BCP的建议。例如：应建立业务连续性计划和备份设施，以在合理确信的程度上，确保业务及时恢复到高度完整性和足够的能力；应定期以及在对系统做出重大变更后对业务连续性和灾难恢复安排进行测试；应有充分的危险机构架构和联络清单（本地级和跨国界级），以有效并及时处理可能造成本地或跨国界系统后果的操作故障。 　　2003年7月，巴塞尔国际结算银行委员会发布了其电子银行准则，强调银行应确保业务续性和灾难应对规划进行定期的独立的内部和/或外部审核。 　　因此，学者Agatino Grillo在其《商业连续性计划中的信息系统审计》中指出，“BCM不单单是企业需求，而且在逐渐变为法律需求。” 　　审计是BCM的一部分 　　 　　作为“按需变化”的危机管理过程，BCM的目的在于危机真的出现时，确保企业业务能够得以延续。这些危机可能来自外部环境（例如电力中断）或者来自组织内部，例如对系统的蓄意破坏或意外损坏。 　　值得指出的是，国内在讨论BCM时，很大程度上把BCM等价于IT领域的数据备份与恢复，这是非常有害的。11月9日在北京召开的“第二届中国BCM高峰论坛上”，众多学者对此达成了一致的看法，即BCM并非仅仅考虑IT系统的灾难恢复，重要的是业务恢复（见《中国计算机用户》的有关报道）。 　　因此，广义的BCM审计，应该涉及对BCM多方面在合规性、有效性和效率方面进行定义和评估。如BCM的体系、业务流程和IT架构等。 　　BCM审计范围，也不仅局限在组织内部的某个部门的某个方面，而是涉及部门与部门之间、甚至组织与组织之间的相互提供服务的各种因素中。如常常容易疏忽的BCM与执行人之间的“接口”部分，类似培训支持、行动回应能力等。即是对BCM“执行力”的审计与控制。 　　由于IT系统在业务中地位日益提高，对BCM的影响举足轻重，因此，BCM审计与控制更多是侧重BCM的信息系统审计。 　　BCM中I