吳娟

摘要：風險管理是現(xiàn)代企業(yè)內(nèi)部管理的重要內(nèi)容。面對自然災(zāi)害、事故災(zāi)難、公共衛(wèi)生事件、社會安全事件和國際貿(mào)易爭端等內(nèi)外部各類重大突發(fā)事件的風險和挑戰(zhàn)，在企業(yè)推行業(yè)務(wù)連續(xù)性體系建設(shè)已勢在必行。在這樣一個不確定性和不連續(xù)性交替攀升的環(huán)境下，保證“可持續(xù)經(jīng)營”將是企業(yè)風險管理的重要課題，“業(yè)務(wù)連續(xù)性”的風險管理理念也具有了前所未有的重要意義。本文闡述了企業(yè)推行業(yè)務(wù)連續(xù)性體系建設(shè)的必要性，對目前管理存在的不足進行了深入思考，并且詳細分析了基于業(yè)務(wù)連續(xù)性的企業(yè)風險管理探索的新思路，為企業(yè)實現(xiàn)可持續(xù)發(fā)展提供建議。

關(guān)鍵詞：風險管理;業(yè)務(wù)連續(xù)性;對策;建議

1.引言

黨的十九大報告強調(diào)“統(tǒng)籌發(fā)展和安全，增強憂患意識，做到居安思危，是我們黨治國理政的一個重大原則”。目前，防范和化解重大風險已成為黨和國家領(lǐng)導(dǎo)人的共識。當下量大面廣的中小型企業(yè)是最具活力的市場主體，是擴大就業(yè)、改善民生的重要支撐，是高質(zhì)量發(fā)展建設(shè)共同富裕示范區(qū)的重要基礎(chǔ)。因此，開展業(yè)務(wù)連續(xù)性的企業(yè)風險管理新課題，對企業(yè)乃至整個社會長期可持續(xù)發(fā)展都具有深遠的意義。風險管理事關(guān)企業(yè)的生死存亡，是管理者必須加以重視的事情。新常態(tài)下全球動蕩源和風險點顯著增多。除了重大突發(fā)事件影響外，中國自從加入世貿(mào)組織以來，不斷面臨來自國際上的各種挑戰(zhàn)，典型的比如華為制裁事件、中興斷供事件等都是中國企業(yè)的“警醒劑”。我們必須加快形成系統(tǒng)化的風險處理體系，選擇恰當?shù)墓芾矸椒ǎ拍茏畲笙薅纫?guī)避企業(yè)的風險。如今越來越多的企業(yè)正在適應(yīng)潮流，積極建立自己的災(zāi)難恢復(fù)計劃。從長遠來看，業(yè)務(wù)連續(xù)性管理是企業(yè)風險管理中的重要環(huán)節(jié)。它的價值不僅是企業(yè)應(yīng)對災(zāi)難、提高生存能力的工具，也是企業(yè)改善經(jīng)營管理、承擔社會責任的基本準則，更是企業(yè)提高風險應(yīng)對能力，適應(yīng)需求變化和威脅，保持競爭優(yōu)勢的重要基礎(chǔ)。

2.基于企業(yè)業(yè)務(wù)連續(xù)性的視角加強風險管理的思路

新的風險管理理念已將企業(yè)的業(yè)務(wù)連續(xù)性職能納入公司風險管理范疇。業(yè)務(wù)連續(xù)性管理作為全面風險管理和操作風險管理的重要組成部分，已成為企業(yè)發(fā)展安全持續(xù)運營的必然要求。

業(yè)務(wù)連續(xù)性管理（Business Continuity Management，簡稱BCM）：是指識別對組織的潛在威助以及這些威脅一旦發(fā)生可能對業(yè)務(wù)運行帶來影響的一整套管理過程。該過程為組織建立有效應(yīng)對威脅的自我恢復(fù)能力提供了框架，通過制訂響應(yīng)、業(yè)務(wù)和連續(xù)性的恢復(fù)計劃，提高企業(yè)的風險防范能力，以有效地響應(yīng)非計劃的業(yè)務(wù)破壞并最大限度地降低不良影響。從全球業(yè)務(wù)連續(xù)性管理實踐來看，BCM的發(fā)展依賴于災(zāi)難事件的驅(qū)動。由于全球海嘯、龍卷風、地震等自然災(zāi)害，以及恐怖主義、網(wǎng)絡(luò)攻擊等的不斷升級，促使各國提高防災(zāi)意識，主動推進BCM。新課題下的BCM≠應(yīng)急管理，應(yīng)急管理是亡羊補牢，BCM是防患于未然，是從業(yè)務(wù)影響分析（BIA）、診斷風險（RA）、業(yè)務(wù)連續(xù)性計劃（BCP）到應(yīng)急預(yù)案制定、再到實施應(yīng)對的一整套方法與機制。

為了企業(yè)更好地適應(yīng)市場的變化環(huán)境，基于業(yè)務(wù)連續(xù)性來進行企業(yè)風險管理建設(shè)是目前的當務(wù)之急，這就需要我們以一個更全面的視角來定義風險管理，不僅能看到業(yè)務(wù)中斷可能導(dǎo)致?lián)p失的風險，還能看到風險中的機會、機會中的風險以及機會本身。企業(yè)風險內(nèi)控與風險外防的緊密結(jié)合既是被社會倒逼所致，也是風險治理的必然策略，實施業(yè)務(wù)連續(xù)性管理目的在于增強組織應(yīng)對此類突發(fā)事件的確定性，這是我們在這類不確定事件來臨前真正能夠做的。2019年，中美貿(mào)易戰(zhàn)使得全球貿(mào)易受到了不同程度的影響，美國對中國的各種消費品征收新的進口關(guān)稅，多種產(chǎn)品的核心技術(shù)或重要零部件被美國企業(yè)掌握，導(dǎo)致重要材料的供應(yīng)在高峰時段面臨中斷風險。我們永遠不會忘記華為遭受芯片斷供，自行研發(fā)的麒麟芯片作為備胎一夜轉(zhuǎn)正的事。華為能揚眉吐氣就是多年前實施了BCM，在識別業(yè)務(wù)中斷風險時，芯片斷供和其它風險一并被識別并提交管理層，任正非將其稱為不可接受的戰(zhàn)略性漏洞而啟動自主芯片研發(fā)項目。

3.長期持續(xù)管理的視角對企業(yè)風險管理現(xiàn)狀

3.1企業(yè)風險管理理念落后

企業(yè)風險管理理念落后，業(yè)務(wù)連續(xù)性管理仍游離在企業(yè)的日常經(jīng)營管理活動之外，沒有將兩者有機融合。目前國內(nèi)大部分企業(yè)只知道傳統(tǒng)的網(wǎng)絡(luò)安全事件應(yīng)急管理體系，對于業(yè)務(wù)連續(xù)性管理的重要性認識不足，模擬的中斷場景大多偏向IT因素，沒有重視非IT因素造成的業(yè)務(wù)中斷。將業(yè)務(wù)持續(xù)性管理等同于信息系統(tǒng)的災(zāi)難恢復(fù)、日常故障處置的模糊意識大量存在，參與的多為IT部門。當重大公共衛(wèi)生事件暴發(fā)時，企業(yè)無法及時作出反應(yīng)，導(dǎo)致部分業(yè)務(wù)中斷，造成大量經(jīng)濟損失。這反映出目前企業(yè)的業(yè)務(wù)連續(xù)性管理體系側(cè)重于信息系統(tǒng)災(zāi)難備份，在體系實用性方面亟需完善。

3.2企業(yè)風險管理制度不完善

政府未出臺相關(guān)法律法規(guī)，只是在個別行業(yè)，如銀行業(yè)、保險業(yè)等，銀監(jiān)會和保監(jiān)會逐漸提到用BCM或者BCP加強行業(yè)風控，并未建立符合中國國情的企業(yè)業(yè)務(wù)發(fā)展需要的BCM體系，企業(yè)風險管理制度不完善。企業(yè)在業(yè)務(wù)連續(xù)性管理的風險評估（RA）和業(yè)務(wù)影響分析（BIA）中，往往只遵循固有的風險評估和業(yè)務(wù)影響分析方法，未系統(tǒng)化考慮在不同場景下，各風險點的影響程度差異，機械的業(yè)務(wù)連續(xù)性方法論在復(fù)雜多變的外部環(huán)境中缺乏適用性。

3.3企業(yè)風險管理投入不足

目前，幾乎所有的企業(yè)都在風險管理系統(tǒng)上投入不足。例如。許多上市公司風險管理主要將目光聚焦于合規(guī)風險，卻對更重要的戰(zhàn)略風險和業(yè)務(wù)連續(xù)性風險視而不見，而BCM體系建設(shè)的基礎(chǔ)就是搭建風控系統(tǒng)。實際應(yīng)用中BCM還停留在紙面，場地、設(shè)備、網(wǎng)絡(luò)等重要備用資源建設(shè)尚未落地，缺乏涵蓋業(yè)務(wù)、技術(shù)和后勤保障等方面的全方位應(yīng)急演練。大部分企業(yè)雖有牽頭部門主導(dǎo)，但具體工作實施落地需要其他業(yè)務(wù)部門的大力配合。由于企業(yè)內(nèi)部BCM管理人員缺乏，相關(guān)培訓(xùn)、應(yīng)急演練較少，相關(guān)部門對于業(yè)務(wù)應(yīng)急的重要性和價值認識不足，主觀能動性不能充分發(fā)揮，業(yè)務(wù)連續(xù)性牽頭部門可調(diào)動的資源非常有限，開展相關(guān)工作較為困難。

4.業(yè)務(wù)連續(xù)性體系下對推進企業(yè)風險管理的對策與建議

企業(yè)的風險管理必須與推進業(yè)務(wù)連續(xù)性體系建設(shè)與時俱進，以一種全新的現(xiàn)代企業(yè)管理要求來搭建業(yè)務(wù)連續(xù)性管理體系。2017年美國COSO委員會頒布的新版《企業(yè)風險管理框架》（COSO-ERM）提出了新的管理思路，新的COSO框架強調(diào)：“組織在創(chuàng)造、保持和實現(xiàn)價值的過程中，結(jié)合戰(zhàn)略制定和執(zhí)行，來進行管理風險的能力和實踐。”這就要求企業(yè)必須識別業(yè)務(wù)中斷的各種情景，提高風險管理水平。

4.1進一步出臺政策鼓勵企業(yè)風險管理創(chuàng)新

在國家現(xiàn)有政策的基礎(chǔ)上，政府或有關(guān)機構(gòu)應(yīng)積極推動制定如COSO《企業(yè)風險管理—整體框架》那樣的BCM管理框架，構(gòu)建符合我國國情和產(chǎn)業(yè)發(fā)展環(huán)境的BCM行業(yè)標準以指導(dǎo)我國企業(yè)的風險管理，實現(xiàn)企業(yè)風險管理的創(chuàng)新發(fā)展。同時，企業(yè)應(yīng)積極借鑒國外先進的企業(yè)風險管理理念和方法，內(nèi)外兼顧，建立和完善風險管理體系，通過持續(xù)的風險管理來評估決策和業(yè)務(wù)中斷后的風險，制定企業(yè)的風險管理方針和制度，結(jié)合實用的風險管理軟件，形成切實可行、易于操作、收效突出的方法論。

4.2建立戰(zhàn)略儲備促進價值鏈全面升級

企業(yè)安全是風險管理工作的根基。企業(yè)活下去必須保持業(yè)務(wù)連續(xù)性，更準確地說，是保持價值循環(huán)連續(xù)性。為防范特殊經(jīng)濟環(huán)境下企業(yè)可能出現(xiàn)經(jīng)營問題，可以建立戰(zhàn)略儲備，準備抗風險儲備資金，保障企業(yè)生產(chǎn)和供貨安全以促進價值鏈全面升級。企業(yè)價值鏈連續(xù)性管理主要覆蓋研發(fā)和采購階段以及制造供應(yīng)和備件儲備階段，可通過提升“多源化方案”、“分場景儲備”、“戰(zhàn)略伙伴關(guān)系”等能力建設(shè)，持續(xù)優(yōu)化和完善業(yè)務(wù)連續(xù)性機制，堅持“多元化、多路徑”的風險策略，確保企業(yè)的主力產(chǎn)品供應(yīng)都有多元化方案。無論外部環(huán)境如何變化，企業(yè)都有信心確保對客戶的供應(yīng)、交付和服務(wù)。

4.3提升業(yè)務(wù)連續(xù)性管理人才隊伍專業(yè)能力

危機感是企業(yè)的底層文化。新的風險管理理念要求風險管理應(yīng)從企業(yè)的使命和核心價值出發(fā)，將風險管理定位為提升企業(yè)的價值和績效的手段，強調(diào)加強業(yè)務(wù)連續(xù)性管理人才隊伍建設(shè)，塑造企業(yè)員工共同價值觀。將風險管理工作從“一個流程或程序”提升到“一種能力和實踐、一種企業(yè)管理文化”。通過擴大業(yè)務(wù)應(yīng)急專業(yè)人員隊伍力量，納入人才庫進行專項培養(yǎng)，引導(dǎo)管理人員加強政策研究、掌握工作方法，提升工作能力。針對重要業(yè)務(wù)和重要環(huán)節(jié)安排AB角或多人備崗輪崗，強化業(yè)務(wù)連續(xù)性管理的意識，提升應(yīng)急應(yīng)變能力。

4.4加強業(yè)務(wù)連續(xù)性數(shù)字化智能化建設(shè)

企業(yè)需加大風險管理系統(tǒng)投入，加強業(yè)務(wù)連續(xù)性數(shù)字化建設(shè)，搭建業(yè)務(wù)連續(xù)性應(yīng)急預(yù)案，建立有效的風險事中和事前防控機制，將風險評估、業(yè)務(wù)影響分析、應(yīng)急預(yù)案更新、應(yīng)急演練全部通過系統(tǒng)實現(xiàn)，原以便于管理人員日常操作、提升效率，統(tǒng)籌掌握工作進度。比如通過對關(guān)鍵風險控制節(jié)點預(yù)設(shè)預(yù)警功能，增強對早期風險信號的敏感性;及時對接企業(yè)內(nèi)部相關(guān)業(yè)務(wù)監(jiān)控系統(tǒng)，在系統(tǒng)故障發(fā)生時提示業(yè)務(wù)人員第一時間參與應(yīng)急處置等，都能讓技術(shù)和業(yè)務(wù)的協(xié)作應(yīng)急處置更加迅速、便捷，避免突發(fā)事件造成的風險進一步擴大。

4.5建立健全業(yè)務(wù)連續(xù)性管理的制度體系

鼓勵企業(yè)提高風險意識，基于業(yè)務(wù)連續(xù)性發(fā)展，按照系統(tǒng)、科學(xué)的管理方法建立健全風險管控制度，積極探索在推行安全、質(zhì)量、內(nèi)控等管理體系基礎(chǔ)上與BCM體系進行深度整合，融入公司風險管理體系框架。根據(jù)不同業(yè)務(wù)特點，對業(yè)務(wù)鏈的脆弱性及可能受到威脅等風險進行識別、分析，以確定有效的預(yù)防措施規(guī)避潛在造成業(yè)務(wù)鏈中斷事件的發(fā)生。再根據(jù)薄弱點建立相應(yīng)的應(yīng)急措施計劃，以將業(yè)務(wù)中斷帶來的影響降至最小。

4.6開展真實有效的業(yè)務(wù)連續(xù)性演練

在重大突發(fā)公共衛(wèi)生事件下，企業(yè)隨時可能面臨辦公大樓無法使用的極端背景，盡早開展真實有效的全要素、多場景、全流程業(yè)務(wù)連續(xù)性演練，可以在實際應(yīng)對突發(fā)事件時更加從容，將風險降到最低。比如備用資源不能有效啟用或者許多應(yīng)急措施無法執(zhí)行或達不到預(yù)期效果等等問題。再者，行業(yè)主管部門可充分利用信息技術(shù)，對各行業(yè)全生命周期中的脆弱性與風險進行分析，從而制定諸如關(guān)鍵原材料零部件的科研攻關(guān)、產(chǎn)業(yè)化、標準制定、合格評定程序設(shè)定、財稅、貿(mào)易等政策，形成綜合應(yīng)急預(yù)案指引，以練促戰(zhàn)，防患于未然，引導(dǎo)行業(yè)發(fā)展，提升產(chǎn)業(yè)鏈安全。

5.結(jié)語

在北京冬奧會、冬殘奧會總結(jié)表彰大會上，習近平總書記談到在特殊背景下舉辦冬奧盛會的一條重要經(jīng)驗——“堅持主動防范應(yīng)對各種風險挑戰(zhàn)”，“把困難估計得更充分一些，把風險思考得更深入一些，下好先手棋，打好主動仗”。

惶者生存，危機意識的存在，可以讓企業(yè)預(yù)防失敗，保持持久而旺盛的戰(zhàn)斗力，這也是企業(yè)風險管理的內(nèi)涵?；跇I(yè)務(wù)連續(xù)性的企業(yè)風險管理研究，正是居安思危，正是未雨綢繆。業(yè)務(wù)連續(xù)性管理體系本身是一個適應(yīng)性強，能與企業(yè)經(jīng)營環(huán)境同步進化的管理體系，但若只是簡單套用相關(guān)標準所發(fā)布的廣義內(nèi)容無法滿足企業(yè)復(fù)雜與快速發(fā)展的要求。在全面風險管理的框架下，企業(yè)需要專注于對未來的各種可能性做出情景分析，對不同可能性帶來的后果做出多維度的風險評估，制定各種應(yīng)對的預(yù)案，這樣才能更加主動地應(yīng)對“黑天鵝”的突然打擊。

參考文獻：

[1]宋華，楊曉葉.供應(yīng)鏈風險管理文獻綜述[J].供應(yīng)鏈管理，2020，1（3）：33-45.

[2]王丹.全面風險管理在企業(yè)管理中的運用探討[J].經(jīng)貿(mào)實踐，2018（18）：259

[3]黃翔宇.BCM核心能力模型的構(gòu)建及與企業(yè)績效的相關(guān)性研究[J].遼寧工業(yè)大學(xué)學(xué)報（社會科學(xué)版），2017，19（06）：49-52.

[4]陳建新.中國業(yè)務(wù)連續(xù)性管理發(fā)展研究報告2017[M].北京：科學(xué)出版社，2017，11.

[5]王金玉.業(yè)務(wù)連續(xù)性管理（BCM）國家標準誕生的背景與現(xiàn)實和歷史意義[J].辦公自動化（學(xué)術(shù)版）2014，6：30-32.

[6]魏軍，趙海.全面認識業(yè)務(wù)連續(xù)性管理體系[J].質(zhì)量與認證，2014，5：39-40.