基于業務連續性的企業風險管理研究

吳娟

摘要：風險管理是現代企業內部管理的重要內容。面對自然災害、事故災難、公共衛生事件、社會安全事件和國際貿易爭端等內外部各類重大突發事件的風險和挑戰，在企業推行業務連續性體系建設已勢在必行。在這樣一個不確定性和不連續性交替攀升的環境下，保證“可持續經營”將是企業風險管理的重要課題，“業務連續性”的風險管理理念也具有了前所未有的重要意義。本文闡述了企業推行業務連續性體系建設的必要性，對目前管理存在的不足進行了深入思考，并且詳細分析了基于業務連續性的企業風險管理探索的新思路，為企業實現可持續發展提供建議。

關鍵詞：風險管理;業務連續性;對策;建議

1.引言

黨的十九大報告強調“統籌發展和安全，增強憂患意識，做到居安思危，是我們黨治國理政的一個重大原則”。目前，防范和化解重大風險已成為黨和國家領導人的共識。當下量大面廣的中小型企業是最具活力的市場主體，是擴大就業、改善民生的重要支撐，是高質量發展建設共同富裕示范區的重要基礎。因此，開展業務連續性的企業風險管理新課題，對企業乃至整個社會長期可持續發展都具有深遠的意義。風險管理事關企業的生死存亡，是管理者必須加以重視的事情。新常態下全球動蕩源和風險點顯著增多。除了重大突發事件影響外，中國自從加入世貿組織以來，不斷面臨來自國際上的各種挑戰，典型的比如華為制裁事件、中興斷供事件等都是中國企業的“警醒劑”。我們必須加快形成系統化的風險處理體系，選擇恰當的管理方法，才能最大限度規避企業的風險。如今越來越多的企業正在適應潮流，積極建立自己的災難恢復計劃。從長遠來看，業務連續性管理是企業風險管理中的重要環節。它的價值不僅是企業應對災難、提高生存能力的工具，也是企業改善經營管理、承擔社會責任的基本準則，更是企業提高風險應對能力，適應需求變化和威脅，保持競爭優勢的重要基礎。

2.基于企業業務連續性的視角加強風險管理的思路

新的風險管理理念已將企業的業務連續性職能納入公司風險管理范疇。業務連續性管理作為全面風險管理和操作風險管理的重要組成部分，已成為企業發展安全持續運營的必然要求。

業務連續性管理（Business Continuity Management，簡稱BCM）：是指識別對組織的潛在威助以及這些威脅一旦發生可能對業務運行帶來影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，通過制訂響應、業務和連續性的恢復計劃，提高企業的風險防范能力，以有效地響應非計劃的業務破壞并最大限度地降低不良影響。從全球業務連續性管理實踐來看，BCM的發展依賴于災難事件的驅動。由于全球海嘯、龍卷風、地震等自然災害，以及恐怖主義、網絡攻擊等的不斷升級，促使各國提高防災意識，主動推進BCM。新課題下的BCM≠應急管理，應急管理是亡羊補牢，BCM是防患于未然，是從業務影響分析（BIA）、診斷風險（RA）、業務連續性計劃（BCP）到應急預案制定、再到實施應對的一整套方法與機制。

為了企業更好地適應市場的變化環境，基于業務連續性來進行企業風險管理建設是目前的當務之急，這就需要我們以一個更全面的視角來定義風險管理，不僅能看到業務中斷可能導致損失的風險，還能看到風險中的機會、機會中的風險以及機會本身。企業風險內控與風險外防的緊密結合既是被社會倒逼所致，也是風險治理的必然策略，實施業務連續性管理目的在于增強組織應對此類突發事件的確定性，這是我們在這類不確定事件來臨前真正能夠做的。2019年，中美貿易戰使得全球貿易受到了不同程度的影響，美國對中國的各種消費品征收新的進口關稅，多種產品的核心技術或重要零部件被美國企業掌握，導致重要材料的供應在高峰時段面臨中斷風險。我們永遠不會忘記華為遭受芯片斷供，自行研發的麒麟芯片作為備胎一夜轉正的事。華為能揚眉吐氣就是多年前實施了BCM，在識別業務中斷風險時，芯片斷供和其它風險一并被識別并提交管理層，任正非將其稱為不可接受的戰略性漏洞而啟動自主芯片研發項目。

3.長期持續管理的視角對企業風險管理現狀

3.1企業風險管理理念落后

企業風險管理理念落后，業務連續性管理仍游離在企業的日常經營管理活動之外，沒有將兩者有機融合。目前國內大部分企業只知道傳統的網絡安全事件應急管理體系，對于業務連續性管理的重要性認識不足，模擬的中斷場景大多偏向IT因素，沒有重視非IT因素造成的業務中斷。將業務持續性管理等同于信息系統的災難恢復、日常故障處置的模糊意識大量存在，參與的多為IT部門。當重大公共衛生事件暴發時，企業無法及時作出反應，導致部分業務中斷，造成大量經濟損失。這反映出目前企業的業務連續性管理體系側重于信息系統災難備份，在體系實用性方面亟需完善。

3.2企業風險管理制度不完善

政府未出臺相關法律法規，只是在個別行業，如銀行業、保險業等，銀監會和保監會逐漸提到用BCM或者BCP加強行業風控，并未建立符合中國國情的企業業務發展需要的BCM體系，企業風險管理制度不完善。企業在業務連續性管理的風險評估（RA）和業務影響分析（BIA）中，往往只遵循固有的風險評估和業務影響分析方法，未系統化考慮在不同場景下，各風險點的影響程度差異，機械的業務連續性方法論在復雜多變的外部環境中缺乏適用性。

3.3企業風險管理投入不足

目前，幾乎所有的企業都在風險管理系統上投入不足。例如。許多上市公司風險管理主要將目光聚焦于合規風險，卻對更重要的戰略風險和業務連續性風險視而不見，而BCM體系建設的基礎就是搭建風控系統。實際應用中BCM還停留在紙面，場地、設備、網絡等重要備用資源建設尚未落地，缺乏涵蓋業務、技術和后勤保障等方面的全方位應急演練。大部分企業雖有牽頭部門主導，但具體工作實施落地需要其他業務部門的大力配合。由于企業內部BCM管理人員缺乏，相關培訓、應急演練較少，相關部門對于業務應急的重要性和價值認識不足，主觀能動性不能充分發揮，業務連續性牽頭部門可調動的資源非常有限，開展相關工作較為困難。

4.業務連續性體系下對推進企業風險管理的對策與建議

企業的風險管理必須與推進業務連續性體系建設與時俱進，以一種全新的現代企業管理要求來搭建業務連續性管理體系。2017年美國COSO委員會頒布的新版《企業風險管理框架》（COSO-ERM）提出了新的管理思路，新的COSO框架強調：“組織在創造、保持和實現價值的過程中，結合戰略制定和執行，來進行管理風險的能力和實踐?！边@就要求企業必須識別業務中斷的各種情景，提高風險管理水平。

4.1進一步出臺政策鼓勵企業風險管理創新

在國家現有政策的基礎上，政府或有關機構應積極推動制定如COSO《企業風險管理—整體框架》那樣的BCM管理框架，構建符合我國國情和產業發展環境的BCM行業標準以指導我國企業的風險管理，實現企業風險管理的創新發展。同時，企業應積極借鑒國外先進的企業風險管理理念和方法，內外兼顧，建立和完善風險管理體系，通過持續的風險管理來評估決策和業務中斷后的風險，制定企業的風險管理方針和制度，結合實用的風險管理軟件，形成切實可行、易于操作、收效突出的方法論。

4.2建立戰略儲備促進價值鏈全面升級

企業安全是風險管理工作的根基。企業活下去必須保持業務連續性，更準確地說，是保持價值循環連續性。為防范特殊經濟環境下企業可能出現經營問題，可以建立戰略儲備，準備抗風險儲備資金，保障企業生產和供貨安全以促進價值鏈全面升級。企業價值鏈連續性管理主要覆蓋研發和采購階段以及制造供應和備件儲備階段，可通過提升“多源化方案”、“分場景儲備”、“戰略伙伴關系”等能力建設，持續優化和完善業務連續性機制，堅持“多元化、多路徑”的風險策略，確保企業的主力產品供應都有多元化方案。無論外部環境如何變化，企業都有信心確保對客戶的供應、交付和服務。

4.3提升業務連續性管理人才隊伍專業能力

危機感是企業的底層文化。新的風險管理理念要求風險管理應從企業的使命和核心價值出發，將風險管理定位為提升企業的價值和績效的手段，強調加強業務連續性管理人才隊伍建設，塑造企業員工共同價值觀。將風險管理工作從“一個流程或程序”提升到“一種能力和實踐、一種企業管理文化”。通過擴大業務應急專業人員隊伍力量，納入人才庫進行專項培養，引導管理人員加強政策研究、掌握工作方法，提升工作能力。針對重要業務和重要環節安排AB角或多人備崗輪崗，強化業務連續性管理的意識，提升應急應變能力。

4.4加強業務連續性數字化智能化建設

企業需加大風險管理系統投入，加強業務連續性數字化建設，搭建業務連續性應急預案，建立有效的風險事中和事前防控機制，將風險評估、業務影響分析、應急預案更新、應急演練全部通過系統實現，原以便于管理人員日常操作、提升效率，統籌掌握工作進度。比如通過對關鍵風險控制節點預設預警功能，增強對早期風險信號的敏感性;及時對接企業內部相關業務監控系統，在系統故障發生時提示業務人員第一時間參與應急處置等，都能讓技術和業務的協作應急處置更加迅速、便捷，避免突發事件造成的風險進一步擴大。

4.5建立健全業務連續性管理的制度體系

鼓勵企業提高風險意識，基于業務連續性發展，按照系統、科學的管理方法建立健全風險管控制度，積極探索在推行安全、質量、內控等管理體系基礎上與BCM體系進行深度整合，融入公司風險管理體系框架。根據不同業務特點，對業務鏈的脆弱性及可能受到威脅等風險進行識別、分析，以確定有效的預防措施規避潛在造成業務鏈中斷事件的發生。再根據薄弱點建立相應的應急措施計劃，以將業務中斷帶來的影響降至最小。

4.6開展真實有效的業務連續性演練

在重大突發公共衛生事件下，企業隨時可能面臨辦公大樓無法使用的極端背景，盡早開展真實有效的全要素、多場景、全流程業務連續性演練，可以在實際應對突發事件時更加從容，將風險降到最低。比如備用資源不能有效啟用或者許多應急措施無法執行或達不到預期效果等等問題。再者，行業主管部門可充分利用信息技術，對各行業全生命周期中的脆弱性與風險進行分析，從而制定諸如關鍵原材料零部件的科研攻關、產業化、標準制定、合格評定程序設定、財稅、貿易等政策，形成綜合應急預案指引，以練促戰，防患于未然，引導行業發展，提升產業鏈安全。

5.結語

在北京冬奧會、冬殘奧會總結表彰大會上，習近平總書記談到在特殊背景下舉辦冬奧盛會的一條重要經驗——“堅持主動防范應對各種風險挑戰”，“把困難估計得更充分一些，把風險思考得更深入一些，下好先手棋，打好主動仗”。

惶者生存，危機意識的存在，可以讓企業預防失敗，保持持久而旺盛的戰斗力，這也是企業風險管理的內涵?；跇I務連續性的企業風險管理研究，正是居安思危，正是未雨綢繆。業務連續性管理體系本身是一個適應性強，能與企業經營環境同步進化的管理體系，但若只是簡單套用相關標準所發布的廣義內容無法滿足企業復雜與快速發展的要求。在全面風險管理的框架下，企業需要專注于對未來的各種可能性做出情景分析，對不同可能性帶來的后果做出多維度的風險評估，制定各種應對的預案，這樣才能更加主動地應對“黑天鵝”的突然打擊。

參考文獻：

[1]宋華，楊曉葉.供應鏈風險管理文獻綜述[J].供應鏈管理，2020，1（3）：33-45.

[2]王丹.全面風險管理在企業管理中的運用探討[J].經貿實踐，2018（18）：259

[3]黃翔宇.BCM核心能力模型的構建及與企業績效的相關性研究[J].遼寧工業大學學報（社會科學版），2017，19（06）：49-52.

[4]陳建新.中國業務連續性管理發展研究報告2017[M].北京：科學出版社，2017，11.

[5]王金玉.業務連續性管理（BCM）國家標準誕生的背景與現實和歷史意義[J].辦公自動化（學術版）2014，6：30-32.

[6]魏軍，趙海.全面認識業務連續性管理體系[J].質量與認證，2014，5：39-40.