組織復原力 (resilience) 的關鍵:營運持續管理 (business continuity management, BCM) 與 ESG
在現今全球企業都在思考可持續發展 (sustainable development) 的趨勢下,組織應考慮將環境、社會和組織治理(environmental, social, and governance, ESG)等因素納入考量,這對企業的永續發展至關重要。
而營運持續管理 (Business Continuity Management, BCM) 是一種組織展現積極、主動的策略,確保公司在面對各種內部或外部議題時,維持業務、生產及管理活動的不間斷,有效地展現組織營運管理的復原力 (resilience) 的作為。
營運持續管理 (Business Continuity Management, BCM)
營運持續管理 (Business Continuity Management, BCM) 提供了是一個系統化的管理過程,協助企業識別對其運營可能的威脅和風險,預先為其制定緩解或管理措施。
營運持續管理 (Business Continuity Management, BCM) 的目的。是保證即使自然災害、網路攻擊或其他危機造成中斷,重要的業務流程也能繼續。 這包括規劃、建立和實施事件與事故管理、營運持續管理和回復程序。組織可以透過營運衝擊及風險分析,找出可能的威脅和依據相關管理程序有效地做出回應,來減少對其運營和利益相關方 (interested parties) 的影響,並加強其對未來營運中斷的復原力。
ESG 倡議 (Environmental, Social, and Governance) Initiatives
ESG 倡議,或環境、社會和治理 (Environmental, Social, and Governance) 倡議,旨在透過考慮對地球、生態系統和人類的影響下,來鼓勵組織的可持續發展 (sustainable development)。它包括組織內部運營、外部供應鏈,以及產品和服務交付的所有要素。
ESG 倡議,涵蓋了所有產業和許多特定領域 (sector-specific) 的應用,這些特點引起了監管部門的注意,也為組織帶來新的挑戰。
儘管如此,許多公司仍將 ESG 倡議視為組織減少負面影響和提高可持續性發展的改善過程。我們在制定全球標準的同時,發現公司必須處理一套複雜而不斷變化的法令規範,同時還要保持良好營運績效,以支持其關於可持續性 (sustainability) 和營運策略的落實。
在 ESG 中實施營運持續管理 (BCM)
在 ESG 中實施營運持續管理 (BCM),需要一種系統的方法,包括幾個關鍵步驟:
1. 風險評估 (risk assessment, RA):實施 BCM 的第一步是進行風險評估,以識別可能中斷組織運營的潛在威脅和漏洞。 這包括自然災害、網路攻擊、供應鏈中斷和其他破壞性事件。
2. 業務影響分析 (business impact analysis, BIA):一旦確定了潛在的威脅,下一步就是進行業務影響分析 (BIA),以確定每個威脅對組織運營的潛在影響。 這包括識別可能受到每個威脅影響的關鍵業務流程和系統。
3. 回復計劃制定 (recovery plan):根據風險評估和 BIA 的結果,組織應針對關鍵業務流程和系統制定恢復計劃,詳述組織在業務中斷期間應採取的步驟,以儘量減少破壞性事件對組織運營的影響。 這包括訂定事件與事故管理、營運持續管理和回復程序。
4. 測試 (test) 和審查 (review):應定期測試和審查回復計劃,以確保其有效且最新。 這包括進行演習和模擬,以測試計劃的有效性,並確定需要改進的領域。
5. 認知 (awareness) 與訓練 (training):員工應接受營運持續計劃 (business continuity plan, BCP) 的認知和培訓,以確保他們瞭解自己在發生破壞性事件時的角色和責任。 這包括提供有關事件與事故管理、營運持續管理和回復程序的培訓。
6. 持續改進:最後,組織應透過納入利益相關方的回饋、識別新風險並相應更新回復計劃來不斷改進其營運持續計劃 (business continuity plan, BCP) 。
營運持續管理 (BCM) 在 ESG 中的重要性
營運持續管理 (BCM) 是 ESG 的重要組成部分,因為它有助於組織建立可持續的業務運營。 BCM 確保組織在面對破壞性事件時能夠繼續運作,從而減少這些事件對環境、社會和治理因素的影響。
1. 環境影響 (environmental impact) :破壞性事件會對環境產生巨大影響。 例如,自然災害可能會導致汙染 (例如水源、空氣)、棲息地破壞和危險化學品的排放。 透過 BCM,公司可以透過減少活動中斷來減輕這些事件對環境的影響。
2. 社會影響 (social impact) :破壞性事件也可能產生巨大的社會影響。 例如,網路攻擊可能會導致個人資訊遭竊、財務損失以及對個人造成的其他負面影響。 透過實施BCM,企業可以減少這些事件對其員工、客戶和其他利益相關方的影響。
3. 治理影響 (governance impact) :破壞性事件也會對組織治理產生重大影響。 例如,資料洩露可能會導致監管罰款、法律訴訟和對組織聲譽的損害。 透過實施 BCM,組織可以透過確保遵守法規、降低法律風險和保護其聲譽來減少這些事件對其治理的影響。
營運持續管理 (BCM) 中 ESG 的優勢
營運持續管理 (BCM) 為 ESG 企業提供了各種優勢,包括:
1. 提高復原力 (resilience):BCM 透過評估可能的風險和制定控制措施,幫助公司變得更有復原力。這保證了即使在面臨重大災害的情況下,組織的運營也能繼續下去。
2. 減少意外開支:重大災害事件可能會給企業帶來大量開支,如收入損失、財產損失和法律賬單。 BCM 透過減少重大災害事件對組織運營的影響來降低成本。
3. 建立信任:透過實施 BCM,公司可以展示他們對可持續性和利益相關方利益的奉獻精神。這有助於在消費者、員工和其他利益相關方之間建立信任。
4. 展現合規性 - 符合監管機構要求:BCM 幫助組織遵守與營運持續和災難恢復的相關法規。這確保了該組織履行其法律義務,避免罰款和法律行動。
最高管理階層的領導力 (top management's leadership) 在營運持續管理 (BCM) 和 ESG 中的作用
最高管理階層的領導力 (top management's leadership) 在 ESG 中實施營運持續管理 (BCM) 至關重要。最高管理階層 (top management) 必須為確保組織根據識別的風險與面對重大事故,建立相關的營運持續計劃 (business continuity plans, BCPs),並定期進行測試、評估和更新。
1. 支援 (support) 和資源 (resources):最高管理階層 (top management) 必須為 BCP(s) 的開發和實施提供所需的支援和資源。 這涉及預算編制、人員配置以及提供培訓和指導。
2. 溝通 (communication) 與傳達:最高管理階層 (top management) 必須向所有利益相關方傳達營運持續管理 (BCM) 的重要性,包括員工、客戶、供應商和投資者。這確保了每個人都瞭解該組織對可持續性的承諾,以及它對重大事故的準備。
3. 與 ESG 的整合:最高管理階層 (top management) 必須確保營運持續管理 (BCM) 被納入公司更廣泛的 ESG 策略。這確保了營運持續管理 (BCM) 與組織的價值觀、宗旨和願景保持一致。
4. 定期審查和測試:最高管理階層 (top management) 必須確保定期評估和評估營運持續計劃 (business continuity plans, BCPs),以確保其有效性。 這包括進行定期的風險評估 (risk assessment, RA)、業務影響分析 (business impact analysis, BIA)和測試回復計劃 (recovery plan)。
結論
因此,營運持續管理 (BCM) 是企業確保關鍵業務流程即使在面對意外中斷或危機時也能繼續執行的基本程序。組織可以透過建立和執行有效的營運持續計劃 (business continuity plans, BCPs) 來管理風險,最大限度地減少中斷的影響,並迅速從任何業務中斷中回復過來。 隨著自然災害和網路攻擊等公司運營風險的頻率和嚴重性不斷增加,營運持續計劃 (business continuity plans, BCPs) 已成為組織風險管理的重要組成部分。即使在困難的情況下,組織也應該透過投資營運持續管理 (BCM) 和 ESG 來加強其復原力和長期績效。
相關服務
- 永續發展系列課程 - 組織營運持續管理:ISO 22301:2019 主導稽核員 (BCMS, 營運持續管理系統) 訓練課程
- 永續發展系列課程 - ICT 營運持續管理:ISO/IEC 27031:2011 資通訊服務持續性專家 (ICT Readiness for Business Continuity, IRBC) 訓練課程