春節過後,全球民眾面對2019新型冠狀病毒(以下簡稱武漢肺炎)的蔓延,不論是層出不窮的中國城市採高壓的封城手段,高居不下的確診病例,逐漸增加的死亡案例,或是臺灣民眾最感同身受的「口罩荒」,甚至是傳出居家隔離民眾四處趴趴走等例子,都讓臺灣庚子年後的春節開工,瀰漫著一股沈重不安的氣息。因此,許多臺灣企業在開工第一天,要面對的第一場嚴峻的挑戰就是:武漢肺炎的防疫大考驗!
跨國、金融、高科技業者,大多有制定營運持續計畫BCP
面對各種天災地變,許多跨國公司為了做到永續經營,往往都會要求落實營運持續管理(BCM)的要求,各地分公司或子公司也得遵循總部的規定,針對各種不同的「最糟情境」,制定營運持續計畫(BCP),以維持當公司突然遭逢劇變時,能夠在對短的時間內,恢復最低程度的公司營運模式。
KPMG安侯建業顧問服務部執行副總經理謝昀澤說,許多金融業與高科技業,其實平時都有制定相關的BCP,他以臺灣的高科技業為例,許多高科技業者是在客戶的要求下,必須制定一套完善的BCP外,主要是為了避免供應鏈斷鏈的風險;另外,還有一些業者制定BCP,是為了降低投保產物保險的保費,因為有一些產險公司會參考企業的BCP,作為降低保費的參考依據。
臺灣BSI營運長謝君豪表示,臺灣高科技業者因應客戶要求制定BCP由來已久,十多年前,就有手機品牌業者,無預警突襲臺灣手機製造業者,要求緊急演練當工廠面臨三分之二的人員無法上班、關鍵製程人員受傷無法到工廠時,該手機製造業者如何依照原先制定的BCP,緊急應變以達到最小規模的業務運作。
好的企業BCP,一定要假設最糟狀況並動態調整
臺灣有許多企業,曾經考量不同危險情境,制定相對應的BCP;或者是先前在SARS或者是H1N1新型流感傳播之後,曾經制定「傳染病應變與復原計畫」。勤業眾信風險管理諮詢公司副總經理田嘉雯認為,面對未來還有許多未知的防疫挑戰,企業應該趁此機會,檢視原先制定的BCP是否已經有納入傳染病風險;或者是原先制定的「傳染病應變與復原計畫」是否有調整之處。
許多臺灣企業即便先前沒有制定相關的BCP或者是制定「傳染病應變與復原計畫」,田嘉雯認為,企業應該趁現在,確診病例獲得有效控管,還沒有大規模社區感染或境外移入案例時,趕緊修訂相關的BCP或傳染病應變與復原計畫,並以考量面臨未來疫情加重時,組織企業應該預做哪些準備工作為方向,作為加快未來企業組織的因應速度。
田嘉雯也建議,企業可以從緊急應變作業以及營運持續作業兩個面向來思考,如何訂定作法和準備資源。在緊急應變作業上,主要是持續做好防疫工作,降低在公司內部群聚感染的可能性,像是分區辦公、分批辦公、在家遠距辦公、視訊會議等方式,都是可以參考的作法;其他像是人員大量減少、物資匱乏時,如何恢復企業營運持續作業的最短時間,則是企業營運持續作業的最大考量。
謝君豪多年來,針對臺灣企業BCM的認證經驗也發現,企業的BCP要能夠成功,一定要以「企業最糟糕的狀況」作為假設情境,才有可能成功。
例如,多年前,金融業如果要制定機房火災的BCP,所有的情境一定都是:設定使用FM 200撲滅機房火勢。但是,直到後來有金融同業的機房,真的曾經發生火災事故,無法即時以FM 200撲滅火勢後,對該金融行庫帶來後續許多的營運危機,金融業IT人員在面對機房著火的BCP情境時,才會進一步思考,如果FM 200無法撲滅火勢時,之後該有如何的因應作為。
但他也說,單從這樣的案例也可以證明,所有的BCP都是一個持續動態變化和調整的狀態,永遠沒有「最糟糕」的情境假設,就算是BCP有考量到傳染病,也不會思考到類似此次武漢肺炎後續還有更多春節延長、高壓手段封城,甚至可能造成供應鏈斷鏈的風險。所以,BCP都必須要定期或不定期依據情勢和科技發展,做最新的動態調整。
科技進步讓企業BCP更能落實
謝君豪指出,BCP的制定都必須要以「最糟狀況」作為假設情境,檢視這樣的BCP是否可以維持企業未來的發展;但是,企業營運最大可容許中斷時間(MTPD)則應該由業務單位設定,好的營運持續管理一定是有管理高層和業務部門的支持,加上IT部門從技術面協助完善BCP的落實,這才有可能成功。
因此,這一次面對武漢肺炎的防疫BCP也是如此。謝君豪表示,不同情境的因應大原則都相同,首先,要鑑別發生最糟糕的情況下,企業組織最重要、絕對不可以中斷的核心業務是什麼;再者,要確認,核心業務最大可容忍中斷時間(MTPD)到底是多久;接著,要確認恢復企業基本運作的復原時間目標(RTO)多久;而最後,為了達到企業可以維持基本的運作,就得盤點究竟需要投入多少所需的資源,才能到達到企業持續營運的目標。
也就是說,當企業在面對防疫BCP時,就要先做到盤點核心人力、核心技術、核心業務外,也必須要盤點相對應的必要資源,包含場地、原物料、設備、資通訊系統、資料與文件、運輸、財務及夥伴與供應商等,一旦有不足之處,就可以做到進行緊急採購或轉單。
以臺灣BSI為例,在春節前已經傳出武漢肺炎疫情時,臺灣BSI在東北亞區總經理蒲樹盛的授權下,開始檢視自家原本BCP的可執行性,以及是否有調整和改善的空間。謝君豪更在開工第一天(1月30日)就主持檢視企業營運持續計畫的會議,向部門主管傳達對防疫的重視,也確認平時BCP落實程度,希望增加各主管的信心,公司可以持續運作且在意員工安全。接下來,就由各部門進行各自BCP執行和演練,測試遠距上班會面臨的問題該如何克服,
臺灣BSI在感染病例破10例後,決定從2月5日至21日止,開始執行短期的分批上班政策,授權各部門主管將同仁分組,一批週一、三、五上班,一批週二、四上班;部門主管若有正、副主管,也要求不可以同時進辦公室;所有分批上班員工的輪班表都要做記錄,包含來訪的訪客,以便一旦有緊急事件發生,可以有依據進行追溯。
謝君豪指出,由於目前在臺疫情還不嚴峻,這次分批上班的決策也是該公司防疫BCP的實際演練,強制執行員工遠距上班前,也事先針對某些系統做測試,例如,最重要的是要測試公司分機可以順利轉到員工的手機,如果,公司原先的總機系統不提供這?樣的功能,這就會卡關;再者,原本就配筆電給員工做行動辦公,確認筆電和公司系統連線上有沒有問題;第三,確保每一位同仁對於分批上班的原則很清楚;第四,協同作業和彼此分工和輪班的內容都很清楚;最後,彼此都要透過公司內部的即時通訊Lync,維持正常的溝通頻率。
謝君豪坦言,十年前和十年後可以運用的資訊科技大不相同,包括雲端服務和虛擬化技術的成熟,加上該公司過往許多作業流程都已經內建在全球系統中,也讓這一次「防疫BCP演練」可以順利執行。
他認為,這次演練也正好是檢視原本制定的BCP,是否可行?是否有其他可以調整優化的空間。
謝昀澤笑說,2003年爆發SARS疫情的時候,大家還是使用Nokia 3310手機的時代,但現在已經到iPhone 11的時代,隨著各種新興科技的進步,也讓許多早年很難執行的遠距辦公作法,有其他更容易執行的方式。
勤業眾信提供19個防疫BCP自評表
面對此次因應武漢肺炎,企業如何評估營運持續計畫是否有真正做到鑑別核心業務,以及確保企業提供最低可以運作服務水準為何呢?
加上有許多企業過往不見得有執行類似的企業營運計畫(BCP),勤業眾信風險管理諮詢公司副總經理田嘉雯提供了19個針對一般辦公情境的防疫BCP問答題給企業自評,企業可以針對每一個項目的執行程度,評估自家企業因應武漢肺炎的防疫BCP的執行程度,至少,如果每一個項目都可以有相對應的對策,企業面對有一天需要提供遠距辦公時,至少不會手忙腳亂。
企業防疫BCP自評表
1. 當大樓遭封鎖或人力資源銳減,是否有方案可持續提供服務給客戶?
2. 是否考量延長服務時間,方便客戶透過電話、網路、傳真或電子郵件方式與公司聯繫?
3. 是否明定於達成何種條件下需啟動分區辦公、彈性辦公或遠端辦公方案?
4. 分區辦公地點的資源是否已完成盤點?
5. 是否已規畫分區辦公後的上班方式?
6. 是否已規畫分區辦公後的職務代理人制度?
7. 是否已規畫分區辦公後同仁通勤方式?
8. 是否已規畫分區辦公後各辦公地點之人員進出管制作法? 清潔消毒作業安排?
9. 分區建立分區辦公後的疫情監控及通報機制?
10. 是否已統計針對被安排遠端辦公的同仁,資源與資訊技術上是否足以支援?
11. 是否配置移動式裝備供員工使用?
12 . 是否針對移動設備進行資安管控?例如:DLP、End-point protection、硬碟加密?
13. 是否針對外部網路連入內部網路進行管控措施? 例如:VPN、遠端監控、側錄?
14. 是否針對遠距工作操作行為進行監控? 例如:使用者活動分析?
15. 如何確保資訊系統的持續運作不中斷? 如何調整機房維運作業、輪班機制等?
16. 是否規畫作業方式調整後,與利害關係人(如客戶、主管機關、當地政府、勞動部等)的溝通方式?
17. 是否已明定結束分區辦公的條件?
18. 當人力資源銳減時,是否已規畫可能的人員訓練及準備方式,以因應跨BU之業務支援?
19. 當員工缺席率太高,以致威脅到公司運作時,如何決定暫停營運?
資料來源:勤業眾信,2020年2月。
.jpg)
.png)
.jpg)
