COVID-19 再次凸顯 BCP 的重要性

BCP 是什麼?

您是否曾預料到嚴重特殊傳染性肺炎(COVID-19,簡稱武漢肺炎)疫情會對世界造成如此大的衝擊?如果有的話,或許您擁有預知未來的能力也說不定。然而,我相信大多數的人可能萬萬無法預想到疫情會如此嚴重。如果您正在經營一份事業,又或者您正在協助經營一份事業,我想您會同意一個道理,那就是不論發生多少令人措手不及的意外,企業都需要持續營運。

在這個千變萬化的世界,備有一份 BCP(Business Continuity Planning)成為企業能夠不間斷地經營事業的關鍵。BCP(企業持續營運計畫)是一份說明企業該如何避免及克服潛在危機的計畫流程,且被視為是風險管理的一種。這份管理系統也被列舉在 ISO22301 當中,也就是一份國際標準,該標準是用來制定能夠有效因應疫情、地震、颱風、水災、火災、停電等災害的方針。

BCP 基本上列舉了一切可能影響企業營運的潛在危機和情境以規劃如何復原。BCP 能有效地使緊急事態所帶來的影響降到最低,並讓企業準備好面對這些危險局面。BCP 的內文通常會訂定災害的條件或定義,並且在緊急狀況發生時,BCP 將會隨著警報或公告而啟動。

順道一提,日本於 2011 年的 311 大地震時,人們因為大眾運輸工具全面停駛而面臨無法抵達公司的困難。另外,有些地方也因為停電而造成人們在特定時段無法用電的情形。根據這樣的經驗,本公司訂定了一套地震 BCP,旨在讓公司就算身陷以上的窘境,也能夠繼續經營我們的事業。

在本篇文章裡,我希望能夠探討企業可以如何構思針對 COVID-19 疫情的 BCP。

辨認風險

制定 BCP 時最重要的一個步驟就是辨認出發生風險的可能性。

首先,讓我們來列舉出近年來所發生的疫情以推算疫情的風險。20 年來,包含新型冠狀病毒在內,WHO 宣布的「國際關注公共衛生緊急事件」總共有六起。分別是 SARS(2002-2003)、H1N1 流感(2009)、MERS(2012-現在)、伊波拉病毒(2014-2016)、茲卡病毒(2015-2016)和新型冠狀病毒(2020)。(How coronavirus compares to flu, Ebola, and other major outbreaks)雖然如此推論不精確,但是平均來看,這意味著平均每一年有將近 30% 的機率爆發某種疫情。雖然只是個簡單的比較,但這樣的機率遠高於每年企業配發的智慧型手機被遺失或是盜竊的 4.3%(Mobile Device Security: Startling Statistics on Data Loss and Data Breaches)。以其他數據作為參考,伺服器在使用七年後的失效率為 18%(Frequency of server failure based on the age of the server)。從這些數據來看,我想大多數人可以瞭解到疫情是一個爆發機率不低的風險。

接著,讓我們來預想當疫情爆發時會發生什麼事?基本上大部分的疫情都是由未知的病毒所造成的感染,並且沒有有效的疫苗,因此隔離將會是一個常見的解決方案。當然,如果有人被感染,那麼此人將會被隔離於醫院,但那是部分人面對的情況。以大多數人的情況而言,人們將需要減少去公共場所以避免遭遇感染。在這個企業應重視員工健康的時代,確保員工不被感染也被視為企業的責任之一。保護員工不被感染的解決之道就是避免員工去公共場所。若我們做最壞的打算,如果疫情很顯著地擴散,政府有可能禁止全民出門。因此公司必須設想如何在這些情況下保護員工,並思考公司該如何面對最糟的情形。

事實上,在國際衛生組織 WHO 於 2020 年 2 月 27 日所頒布,名為 "Getting your workplace ready for COVID-19" 的文件中就有鼓勵「制定應急計劃和企業持續營運計畫,以應對業務所在地區的群聚感染」。

評估衝擊

對一個企業而言,當然也會受到一定比例的影響,但考量最壞的情況總是比較周全的。在這個情況下,我相信最壞的打算會是員工將被要求居家隔離,進而無法進公司上班。上述的 WHO 文件中也有記載道「應促進跨組織的常態遠距辦公。若您所在的區域爆發 COVID-19 的疫情,衛生當局可能勸告民眾避免搭乘大眾運輸工具或去擁擠的地方。遠距辦公有助於使企業在營運的同時確保全體員工的安全」。

為了規劃企業能夠做些什麼,列舉出民眾無法到公司上班的情況下所帶給企業的衝擊是一個好辦法。在這篇文章中,我想針對通用於各行各業的重點部分進行分析。

首先,若所有人都進公司上班,我相信大多數的人會在辦公室使用電腦等智慧型裝置。因此若無法進到公司,有辦法使用電腦對於持續營運來說將會是一個必要的步驟。

第二,外部和內部的溝通協調對於公司而言都是不可或缺的。我相信大多數的人都需使用電話,所幸在當今的社會人手一機已是常態,就算不進公司,電話上的聯絡不一定會造成太大的影響。但是公司若有固定的電話專線,那麼公司將會需要思考如何將一般固定專線轉到手機電話號碼。若公司有一定數量的重要電話都是透過公司電話來接聽,那麼想出一個轉接這些電話的辦法就更必要了。另外,根據數據統計,86% 的專業人士偏好使用 Email 進行公事上的往來(The Ultimate List of Marketing Statistics for 2020)因此能夠隨時隨地收發電子郵件也成了使企業持續營運的關鍵。雖然近年來已經越來越少,但是對某些企業或許還是以傳真的方式接收訂購單。在此情況下,企業可以和買家商量以 Email,或第三方可以把傳真轉為 Email 的服務來收發訂購單。

第三,有辦法存取資訊對於企業持續營運而言也非常重要。在當今的業務中,最主要的文件都是由文書軟體如 Microsoft Office(Excel、Word、Powerpoint)等所製成的,而這些資料也都被共享於企業內部。也因為如此,讓員工能夠隨時隨地存取這些共享資料也成了一個重點。除此之外,會計等特定部門也使用一些專門軟體,這些軟體也必須能夠在任何地方被使用以便於在辦公室之外的業務進行。

最後,順暢的工作流程也會是一個要點。此處的「工作流程」主要指的是核准和簽名。為了使文件能對外生效,有些文件必須被批准和簽名。由於公司印章是實體物品,在公司外面處理此事是有一定難度的。雖說替換所有的工作流程為在外部進行是不可能的,但企業可能需要考慮部分工作流程以線上簽核來取代。

若有什麼業務是在突發事件發生後就無法完成的,那就代表那塊業務在面臨危機時是相對脆弱的。因此,危機發生的機率、面對危機時的弱點、和危機所帶給企業的衝擊是風險管理中的幾大要件。就疫情而言,它發生的頻率大致是每兩到三年一次,而企業無法在員工不在公司的情況下營運可以說是企業在面對疫情時的一個弱點。

可行的解決方案

在 BCP 中,若災害會對企業帶來可觀的影響,那麼企業應當規劃維持營運的相關程序,並在該緊急狀況發生時宣告啟用 BCP。由於每家公司都有不同的營運方式,與其往制式化的標準程序計畫的方向思考,不如讓我來介紹一些在面對疫情時企業可以考慮採用的可行方案。

裝置

若我們將員工無法進到公司上班的情形納入考量,透過公司桌上型電腦辦公的員工無法使用他們固定使用的電腦,將會在維持生產力這方面面臨極大的考驗。因此若我們考慮緊急突發狀況,讓員工使用筆記型電腦辦公將會開啟更多選項。若企業不希望員工將公司提供的筆記型電腦帶回家,制定相關規定禁止或是將電腦鎖在辦公桌上都是可行的辦法,並且只在 BCP 於災害後被啟用時允許員工攜帶回家。

通訊

Email 是維持業務進展最重要的通訊手段之一。如果有企業只能在公司內收發信件的話,他們可能必須考慮採用讓員工不在公司也能自由收發信件的Email 系統。如果企業不希望員工在正常的情況下於公司外面收信,可以在平常進行 IP 限制,並在實施 BCP 時暫時解除限制。

檔案存取

幸好現在市場上有許多線上儲存的服務,因此很容易將資訊儲存在大家隨時隨地都能存取的地方。今天就算有企業認為將機密資料上傳至雲端有風險,存取權限可以由 IP 限制、裝置控管等方式管理。另一方面,若員工需要使用地端伺服器以操作特定的應用程式,從外部操作這些程式將會非常具備挑戰性。在這樣的情況下,企業可以考慮允許 VPN 存取或是考慮將資料遷移至雲端系統。

工作流程處理

除非公司需要使用實體用印來進行正式簽章,否則時至今日有許多平板電腦已可以讓在裝置上面簽名這樣工作變得容易許多。為了使災害所帶來的衝擊降到最低,考慮在數位裝置上簽名來取代一般工作流程會是一個明智的抉擇。SaaS(Software as a Service)線上簽核的服務還未非常普及,但這類型的產品或許會在將來流行起來以幫助工作流程在任何地方都能順利進行。

結論

如果能做沒有風險的生意是最好的,然而現實生活中存在著各式各樣的變數,而那些變數總是來得措手不及。綜觀而言,提升員工工作環境的機動性、分散溝通和數位化,都是常見且容易被採用的應急手段,而我認為 COVID-19 的擴散是其中之一。為了能夠在面對突發狀況時做好萬全的準備,在我看來做好風險管理和制定 BCP 對公司而言是必要的兩個步驟。近年來我開始認為,彈性的工作環境是面對意外威脅時關鍵的解決方案之一。

※本文由 HENNGE Taiwan 董事總經理 Nakakomi Go 撰寫,HENNGE Taiwan 夥伴譯為中文。

WRITTEN BY