在現今快速變遷的時代裡，企業所面臨的風險與挑戰愈加多樣且嚴峻。然而，即便風險管理的範疇被不斷擴展，我們仍會遇到某些無法完全掌控的情況。近幾年來，營運持續管理的重要性日益浮現，當我們無法完全掌控風險時，BCM 如何成為企業的壁壘，確保營運持續且有效運轉呢？

 

風險管理之後我們還能做什麼？BCM的核心概念

 

在進行作業場所風險管理時，我們通常會採取消除、替代或隔離等等方法來控制可能的危害。在這樣的架構下，我們常常是透過「不讓危害發生」的方式來實施風險控制，以確保員工的健康和安全穩定的運營。

 

然而，如果有天我們無法在危害初始階段就發現或有效地控制這些風險時，該怎麼辦呢？

 

回顧美國911事件後，全球企業陷入了一系列重大的跨國性衝擊，金融危機、能源短缺、運輸中斷、環境災害、國際戰爭、氣候變遷、全球大流行等接踵而至。有些企業因無法承受這些打擊而瓦解，然而另一些企業卻在風險降臨前早早察覺到這些威脅，積極規劃「適應」的策略，以確保營運在災害發生後能持續運轉。

 

這也就是營運持續管理（Business Continuity Management, BCM）所要達到的目的，避免重大災害發生時，企業營運的中斷，提升企業的韌性（Resilience）。

 

 

BCM實際的流程要怎麼做？共分成哪些階段？

 

營運持續管理系統（Business continuity management systems, BCMS）最早來自英國標準BS 25999，在2012年由ISO 22301取代，目前最新版本為ISO 22301：2019，以PDCA循環高階架構進行系統的規劃與運作。

 

依照ISO 22301的指引，在執行BCM時大致上可以分成以下幾個主要步驟：

 

 

 

1. 運作規劃及管制：
包括確認BCM推動目標、成立推動小組、召開啟動會議等等，以建立跨部門的組織架構並評估可動用之人力、預算資源。

 

2. 風險評估（Risk Assessment, RA）：
進行風險評估的目的是判斷可能導致企業運營中斷的風險，評估其嚴重程度後決定優先管理次序。可以從公司的關鍵運營流程著手，例如製造業可能是生產設備及原料；或者以全球的角度來評估，再聚焦到企業內可能受到影響的項目。

 

3. 運營影響分析（Business Impact Analysis, BIA）：
分析這些風險將對企業內部的哪些資源或流程造成影響。包括影響的時間以及可能造成的損失嚴重程度等等，並鑑別出最大可容忍中斷時間（maximum tolerable period of disruption, MTPD）和恢復時間目標（Recovery Time Objective, RTO）。

 

4. 訂定營運持續計劃（business continuity plan, BCP）：
制定應對災害的策略，從災害發生時如何減少損失的應變措施、資源人員的配置，到災害後如何快速恢復的災難復原計畫（Disaster Recovery Plan, DRP）等等一系列的規劃。例如當某一廠區發生事故停工時，當下的緊急應變計畫（Emergency Response Plan, ERP）到後續建立備用供應鏈、實施產能轉移等措施。

 

5. 演練與審查：
落實PDCA循環，實際訓練並演練營運持續計畫，並進行審查和來驗證計畫的有效性，並以確保它們能夠有效降低危害損失。

 

6. 持續改善：
隨著趨勢和環境應變，不斷地改進BCM策略和計畫，以應對新的危害和風險。

 

參照國際標準進行BCM的規劃並通過驗證，除了能架設一套有效運作的管理系統之外，更重要的是讓企業內部培養良好的安全文化，也讓企業對外擁有更好的名聲來取得夠好的商機。

 

 

BCM如何應用在環安衛領域？

 

在環安衛領域中，風險管理和緊急應變一直是我們為了保障員工和企業安全所努力在做的事情。若套用BCM的概念，將風險進行更完整的策略發展，能更加強面對意外事故的韌性並降低損失。

 

從原有的風險管理基礎拓展，並融入緊急應變的角度來看，BCＭ的計畫訂定可以分成以下這四個階段：

 

1. Emergency Watch：事故發生→緊急應變小組（ERT）成立前
這階段屬於災害發生當下，若現場人員無法立即解決狀況，則需啟動緊急應變流程成立ERT，並確認現場狀況後進行廣播疏散、通報主管等等事項。

 

2. Emergency Response：ERT成立後→各部門完成緊急損害控制
在這個階段中，各個部門要依照緊急應變計畫以及現場狀況，實施災損控制、通報救援單位和主管機關等等，例如廠務部門可能要控制空調排煙設備、財務部門可能要通知保險公司、公證人等等。

 

3. Crisis Management：公證人/搶救專家進廠→受損部分復原工作開始前
在控制災害後，劃分現場危害分布以及評估受損情形，提出初步報告以利進行保險理賠、討論設備復原事宜、產能轉移等等事項。

 

4. Business Recovery：受損部分復原工作開始進行→受損部分全數完成復原
接著要整合各部門受損報告，提出產能財務損失、出貨影響等等評估報告，來安排復原設備、充新安排生產排程、和顧客溝通等等的復原行動。最後也要進行事故調查、提出災害報告，並視情況由公關部門發出公開聲明。

 

有了初步的BCP後，仍須將其納入安全管理系統中，並藉由教育訓練、模擬演練、檢討及修正來完善計畫，讓事故不幸真的發生時能有效的執行。

 

 

若災害發生在你我身上…我們有辦法應對嗎？

 

我們若沒有做好營運持續管理（BCM）的情況下，可能面臨巨大的損失和困境。舉例來說，想像一家製造業公司在沒有準備BCM的情況下遭遇了火災。由於沒有預先制定適當的應變計畫，這家公司可能會面臨生產中斷、資源損失以及人員受傷等問題。因為缺乏災害復原計畫，公司可能需要花費更長的時間來修復設備，恢復生產，甚至可能需要遷移到其他地方，導致業務停滯和市場信譽受損。這種情況下，公司可能會面臨嚴重的經濟損失，甚至可能無法從災害中恢復。

 

相反，當我們做好了營運持續管理，即使面臨重大的災害，企業也能更具彈性地因應。例如在台灣疫情剛爆發時，有多家公司便依企業內既有的BCM計畫進行演練，在疫情嚴重爆發前實施分批居家上班，在確認BCP能順利運作之餘，也能確保執行計畫所需的設備、網路架設是否有缺漏。因此在政府強制遠距時，能維持必要業務正常，提供客戶所要需求。

 

 

BCM的實施使得企業能夠更有效地因應災害，保持運營的持續性，並且在競爭激烈的市場中更具競爭力。
若我們能在安穩時，以居安思危的心境做好防範未然的準備，不再將風險管理和緊急應變當作為了交差而做的工作，將企業營運持續管理概念融入規劃之中，提升企業不管面對何種風險的韌性，也是「永續」的一部份吧！

 

作者：中國醫藥大學 職安系 任峰慶、鴻海資深經理 虞佳