Managertoday 經理人

演練+應變,將風險降至最低

2019-10-19 23:02:59
Managertoday
http://4.bp.blogspot.com/-JLvlltcjIGQ/VFGvcs_yUtI/AAAAAAAASHQ/JqaRVBCqsJY/s720/shutterstock_161758760.jpg
<span style="color: #ff9900;">採訪‧撰文 / 吳升皓</span> 根據2008年一份全球CFO調查顯示,近62%營收超過50億美元的企業,在過去3年內曾

採訪‧撰文 / 吳升皓

根據2008年一份全球CFO調查顯示,近62%營收超過50億美元的企業,在過去3年內曾遭逢重大風險事件。
如果你的工作,是協助客戶避開或減緩天災人禍的危害,持續維持正常營運,意思就是,你的危機處理能力,要比客戶更好;甚至,你得不受風險的襲擊。

IBM電子商業資訊服務中心(e-center)的角色,就是近似於企業遠端/異地資料備援中心,旨在協助客戶端資料備援,並在緊急狀況發生時,將資料傳送至指定地點、提供應變場所、模擬災害演練,以及提供諮商。

執行與落實,考驗備援能力
為了加強在突發狀況發生時的應變能力,做到迅速通報及人員配置,以啟動風險管理系統作業,IBM e-center十分重視標準作業程序(SOP)的執行和落實。

「我們的SOP,是以『PDCA』(Plan-Do-Check-Act,即規畫、執行、檢核、改善行動)為核心精神」,e-center經理徐偉倫解釋,備援中心裡,保護的都是企業重要資料的備份,發生緊急狀況時,通報及應變上的時效性,非常重要。

將「PDCA」套用在通報流程上,就是先規畫要做什麼、決定通報流程、實際執行通報,待事後再回頭做檢視、稽核,確認做法上有無改善空間,或是沒做到位的,最後則是找出成效不如預期的原因,做好預防工作。

通報流程的撰寫,最初是請較有經驗的工程師負責,之後則會透過不斷地實際演練,修正出最準確的執行時間。若事後檢討發現花費時間太長,則會嘗試以其他方式取代。

「e-center的業務是『備援』,客戶最實際的考量,還是在時間的反應效率上,」徐偉倫說。所以,IBM在做通報流程的時間審視時,會先將事件依屬性,分成高中低不同等級,接著再明確規範不同的事件,必須通報的層級、相關人員的責任及動作等。

而為了爭取時效,包括執行動作、主管制訂決策等,也都訂有時間目標,必須限時完成。甚至連現場輪班人員獲得授權處理的範圍,也都納入SOP當中,避免凡事層層上報,導致應變不及、現場人員無所適從的情況。

定期演練,調整可操作性
「SOP如果沒有定期檢視、調整成符合現狀的動作,就失去它的意義了」,IBM全球資訊科技服務事業部資深顧問陳晞涵舉例說,曾有廠商在突發狀況發生時,竟想拿出10年前制定、完全沒執行過的「系統復原SOP」出來照表操課,結果當然行不通,因為系統早就完全不一樣了。

這也突顯出,管理者平常對SOP不重視,等到緊急狀況發生時,才拿出來當成使用說明書一樣按圖索驥,根本無法臨機應變。

「所謂符合企業現狀的SOP,就是以『可操作性』來定義,透過定期演練,維持熟悉度,」由於e-center以處理緊急狀況居多,不夠熟練,就無法快速應對,因此e-center為了不讓SOP淪為紙上作業,便將教育訓練分為「桌面模擬演練」(desktop exercise)和「實際演練」,讓員工不但要了解SOP,更要做到像自然反應一樣,才能立即行動。

針對現在很多人在做的SOP數位化,徐偉倫認為「那只是一種保存手段或分享媒介」,因為在緊急時刻還要去開電腦、找檔案,根本緩不濟急,所以e-center還是將緊急狀況的SOP直接做成紙本,任何人只要立即接手、執行任何步驟,都能在翻閱後獲得詳細指示。

e-center除了以教育訓練、定期演練來強化員工的應變能力之外,還會透過第三方(例如認證公司)來做檢視,以強化在企業永續與後備資源服務領域的能力,而IBM也因此以不到半年的時間,成為全球首家在企業永續及備援資訊服務領域(Business Continuity & Resiliency Services, BCRS)獲得BS25999國際認證的企業,肯定其具備的優異能力。

SOP撰寫,切忌定義模糊
「SOP的撰寫,從一開始就要避免定義模糊不清,讓執行的人無法遵循,」陳晞涵曾在IBM內部進行SOP撰寫訓練,他以「應定期進行發電機檢查」為例做說明:這個句子沒有主詞,也沒有定義執行者,不但很可能在突發狀況時,淪為三不管地帶,主管在做稽核時,也無法找到負責人。

再者,句中也沒有明確定義所謂「定期」的時間間距,是每天或每月?陳晞涵表示,假如明確訂出每月31日要檢查,則主管在次月5日稽核時,一旦發現疏失,就能歸咎責任。針對例行工作,e-center是撰寫「工作日誌」的方式來執行和稽核,讓上至管理者、下至第一線OP,都能掌握明確訊息。最後,「發電機檢查」應包括哪些動作,也要該清楚條列出來,才是一個完整的SOP流程。

不過,突發狀況的棘手之處就在於,有些情形是難以預料或不曾遇過的,如此也使得SOP終究難以周延。陳晞涵指出,e-center的SOP確實是以發生頻率高、影響層面廣的情況為主(例如每年都有颱風),而省略過於細微的事件(像是位於林口的e-center未曾碰過震災,所以地震應變處理就沒被納入SOP)。

儘管如此,e-center對於SOP沒有規範的事,還是謹慎以對。陳晞涵特別提到了銀行界所謂的SOP莫非定律(編按:這裡指的是準備了某種情況的應變措施,某種情況就不會發生,例如準備了火災的防災程序,最後發生的卻是地震),藉以說明e-center防災應變思考的點會是「方法能不能被套用」,譬如災害發生的通報流程能不能互通,或是火災發生時的逃生SOP能否套用在其他狀況。

相對於傳統的風險管理做法,SOP是等到發生問題才被拿出來看,只有PD(規畫、執行)沒有CA(檢視、改善行動);IBM e-center的災難應變SOP,則是將每個人的職權責任都清楚劃分,並充分掌握時效性,因此就算遇到突如其來的狀況,只要切實依循SOP,就能將風險減至最低,以不變應萬變。