營運持續管理系統(BCMS)是企業永續經營的關鍵

July 29,2021
 
今年5月17日是很多國人都難忘的一個日子,所有縣市進入「封城」三級警戒,所有靠「人客(閩南語)」賺錢的企業、機構、個人工作室、攤販、運輸等行業一夕之間無法營運,口袋深的組織或個人使用「龜息大法」,暫停營運至解封後重新開始。但是,那些口袋不深或無替代事業來維持最低營運資源要求的組織只好宣布結束營業。那些結束營業的組織中,有的組織已經經營近半個世紀,經歷過不少大風大浪,很可惜沒有扛住這次「封城」的衝擊。
    此外,靠生產貨物的製造業也受到不同程度的衝擊。品牌客戶因為「封城」減少實體店面的營收,如果線上購物的商業模式無法取代,營業額勢必下滑,當然整個供應鏈也受到衝擊。台灣的製造業多半是代工,在這波疫情之肆虐下部分企業受到衝擊,輕則處分資產度過寒冬,重則關廠宣告破產。然而部分製造業因為疫情而訂單增加,加班增產,看似可以大賺機會財。可惜上游供應商因突如其來的訂單,造成原料短缺,來不及供應。這衝擊造成終端銷售「缺貨」,一日復一日地一直看到財神爺上門,卻賺不到分毫。
    一般組織在運作中總是會遇到上述或其他突如其來的衝擊,要如何因應與度過不預期的衝擊,進而恢復到衝擊前的營運,很多組織都有各自的做法,也有一些行業要求行業中的組織必需要有應急措施。國際標準組織(ISO)有鑑於組織有能力因應這些衝擊是很重要的,也期望透過一個國際標準使各類型的組織都能運用來面對現在及未來的各種衝擊。ISO 22301營運連續性管理系統 (BCMS) 第一版於2012年誕生,後續為了滿足ISO標準統一的高階架構,於2019年10月發行第二版,也就是現行的版本ISO 22301:2019。發行以來只有少部分企業參考標準的要求,並沒有完整地導入ISO 22301 BCMS,沒想到這一年來新冠肺炎的疫情對組織運營的衝擊,使得很多企業開始思考,是否需要一個管理系統來因應各種突如其來的衝擊。而ISO 22301:2019正好是一個現成的管理系統,可以導入任何組織,而且其高階架構與ISO 9001ISO 14001ISO 45001ISO 22000IATF 16949等組織常見的系統相同,很容易整合到上述系統中,讓我們進一步來檢視這個系統。
    ISO 22301:2019 一如其他常見的ISO標準強調PDCA管理循環,過程導向的運作機制,加上風險為基礎的思維模式,來構建真正有效的BCMS。首先,需建置至一個團隊。在BCMS中,團隊成員必須賦予適當的權責,除了在所屬行政部門扮演支援角色的同時也必須運作BCMS協助受影響的事務。
    接著進行風險分析營運衝擊分析。這個階段是整個BCMS的關鍵,需要大量的資訊、經驗、判斷來產出BCP,當然分析的方法也很重要。先確認外部利害關係者及大環境對於組織營運持續性的要求,然後判斷BCMS的範圍,並依據範圍建構適當的BCMS,而且透過PDCA循環持續改善。有了BCMS作業流程後,第一步要進行營運衝擊分析。外部對於營運持續性的要求連結到組織的產品與服務,針對這些關鍵產品與服務的實現流程進行衝擊分析,包含衝擊的程度可容忍的底線 (Maximum Tolerable Period of Disruption, MTPD) 及最低營運持續性目標 (Minimum Business Continuity Objective, MBCO),然後進行營運恢復優先順序的評估。透過這一連串的分析與評估來確定復原的優先順序及項目並設定復原目標時間 (Recovery Time Objective, RTO) 及復原目標程度 (Recovery Point Objective, RPO)。
    下一個步驟為營運持續性策略與實施規畫,營運衝擊分析爲制定營運持續性策略提供必要的資訊,根據提供的資訊,可以產出多種滿足組織營運持續管理的方案。必須爲各種方案進行成本、效益、風險、供應鏈等各項要素分析。例如:滿足業務持續目標的能力、設備維護/測試/調用的成本、對於管理的干擾、未採取持續管理的潜在影響等。通過風險降低和營運持續方案投入資源的平衡來决定策略,進而達到營運持續的目標。接著可以著手規劃營運持續計畫 (BCP),發展營運持續計劃之前,確定在衝擊發生的情况下正確執行BCP,相關人員需要熟悉在BCP中的任務。這表示BCMS中的過程及作業需要標準化的程序文件。程序文件須考慮相關流程作業是否已經存在或需新制定,例如:變更控制流程、 BCP作業流程、人員資格要求、特殊設備需求、重要記錄管理、IT系統與資料備份、異地儲存等。另外,制定BCP計劃時,需考慮在計劃執行的要素包含: BCP工作分配、角色與權責通,涵蓋範圍,可執行性,突發事件與策略管理,內外部溝通,安全與勞工保障,救援與防護,恢復的優先行動方案,資訊與通訊系統 (ICT)等。
    最後一個步驟為計劃演練,為了在事件發生時,能有效的發揮BCMS,減少傷害並快速復原,BCP的可行性就非常重要了。ISO 22313建議數種系統化的演練方法來驗證BCP的有效性。例如:計畫審查、現場情境模擬、培訓式情境模擬、工作坊等,其他種類的演練方式可以參考ISO 22398。依據PDCA循環的思維,演練或實際執行BCP後要進行評價、檢討及改善,當然也要定期進行管理審查確保BCMS的有效性。
    總之,透過上面簡單說明ISO 22301BCMS的實施,應該會發現與昔日推行的ISO 9001品質管理系統或ISO 14001環境管理系統有很多相似之處,管理思維也沒有太大的差異。各類型的企業都可以考慮導入BCMS來面對日趨複雜的大環境及越來越多突如其來的天災與人禍,這個系統的確可以透過事先的規劃來降低意外的衝擊與傷害,更重要的是可以快速地恢復到正常狀態,維持組織的永續經營及競爭力。
TOP