业务连续性管理实务
上QQ阅读APP看书,第一时间看更新

1.1 应急管理和业务连续性管理的区别

目前,人们对应急管理的界定并不完全统一。一个传播得比较广的提法是:“应急管理是为应对特重大事故灾害的危险问题提出的。应急管理是指政府及其他公共机构在突发事件的事前预防、事发应对、事中处置和善后恢复过程中,通过建立必要的应对机制,采取一系列必要措施,应用科学、技术、规划与管理等手段,保障人民的生命、健康和财产安全,促进社会和谐健康发展的有关活动。”依据这一表述,应急管理是由政府主导的公共事务,强调有效组织、协调政府内部和全社会的人力、财力和物资资源,以有效应对自然灾害、事故灾难、公共卫生事件和社会安全事件。

一般认为,《国家突发公共事件总体应急预案》(2006年1月8日发布)和《突发事件应对法》(2007年11月1日正式施行)的制定和实施,标志着规范应对各类突发事件的基本法律制度的确立,为有效实施应急管理提供了较为完备的法律依据和法制保障,也标志着我国的应急管理步入法制化的轨道。

从《突发事件应对法》《国家突发公共事件总体应急预案》和其他相关法律法规中,我们可以看到以下几方面的内容。

(1)应急管理是政府主导的各种社会力量积极参与的政府行为,其主体是政府及其他公共机构,强调政府主导、社会参与(当然,也有专家强调应急管理中的“治理”机制,提出多元主体管理,民主式、参与式、互动式管理,而非单一主体管理)。

(2)应急管理的对象包括自然灾害、事故灾难、公共卫生事件和社会安全事件四大类突发事件,所以应急管理是一种“全风险”管理。

(3)应急管理的目标包括:保障人民的生命财产安全;维持社会秩序;维护公共利益(包括国家安全、公共安全、环境安全等)。应急管理希望达到零损失、零破坏的目标,但通常难以达到。

(4)应急管理的过程包括预防和准备(事前)、监测和预警(事发)、处置和救援(事中)、恢复和重建(事后)4个阶段,如图1-1所示,可见应急管理是一种“全过程”管理。

图1-1 应急管理的过程

对于业务连续性管理,国际灾难恢复协会(DRII)、国际业务持续协会(BCI)、亚洲业务持续管理协会(BCMI)等机构给出的定义虽不同,但大致内容一致。我们可以采用业务连续性管理体系的国际标准ISO 22301:2012(国内等同采用为《GB/T 30146—2013公共安全 业务连续性管理体系 要求》)对业务连续性管理的定义:“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。”

也就是说,业务连续性管理面向的是具体的特定组织,侧重于保障该组织的持续运营,关注整个组织的生存。根据相关定义,我们可以得出以下几个结论:

(1)业务连续性管理的主体是组织,包括企业、政府机构、学校、医院、社区、非营利组织等各种类型的正式和非正式组织。

(2)业务连续性管理的对象是运营中断事件。运营中断事件一旦发生,就必然给组织的正常经营甚至生存带来破坏性的影响。

(3)业务连续性管理的目标是保护关键相关方的利益、声誉、品牌和创造价值的活动(即业务)。组织需要事先(量化)确定最低水平的产品和服务交付能力,并且必须达到目标要求。

(4)业务连续性管理的过程包括事前准备、事发响应、事中恢复和事后重建等阶段,如图1-2所示,可见业务连续性管理也是一种“全过程”管理。

图1-2 业务连续性管理的过程

事实上,我们前面所说的“应急管理”本质上是“公共安全应急管理”。全国突发公共事件应急预案体系,如图1-3所示,明确了6类应急预案,将企事业单位应急预案(企事业单位根据有关法律法规制定的应急预案)纳入其中。但这里的企事业单位应急预案的对象、目标和过程属于公共安全视角的,强调事后恢复与重建。而“业务连续性管理”则是组织视角的业务连续性管理,强调业务的事中恢复和事后重建。

图1-3 全国突发公共事件应急预案体系

形成这种差异的根本原因在于,(公共安全)应急管理的主体是政府,目标是保障人民的生命、财产安全和维持社会秩序等,所以必然强调事中处置和救援。要求企事业单位等各类组织制定应急预案,并将其纳入全国突发公共事件应急预案体系的目的仍然是达成保护人民的生命及财产安全、维护社会秩序和公共利益这些高优先级的公共安全目标。对政府而言,一旦这些公共安全目标达成,就可以进入事后恢复和重建阶段。但对组织来说,在这些高优先级的公共安全目标达成后,只要组织的业务运营(生产经营)未得到有效恢复,组织就仍处于事中业务恢复阶段,即组织要经历事中恢复、事后重建。

当然,两者的区别还表现在很多方面,如有专家提出在实务中,应急管理强调管理,业务连续性管理更强调治理等。

总体而言,应急管理和业务连续性管理各具特点又有紧密的联系。例如,两者的共同目标都是减少由灾害造成的破坏和损失,因此,两者都需要我们进行风险评估,分析威胁(或危险)可能带来的后果及可能产生的影响,根据风险评估和影响分析的结果安排风险处置措施和应对计划等。表1-1总结了应急管理和业务连续性管理的区别。

表1-1 应急管理和业务连续性管理的区别