當災難來臨時,總是出人意料,結果可能嚴重到足以讓您的事業停擺。您如何確保您的事業已做好充分的準備來應付下一次危機?
現今各種創新技術以令人咋舌的速度浮出檯面,加上複雜的商務流程,大多數企業身處在難以擺脫對資訊科技依賴的困境中。尤其是中小企業,他們大多數沒有備妥應變計畫,或在危機來臨時啟動的反應機制,使許多人抱持著以下觀點:
- 迷思1
保持業務持續性(BC, Business Continuity)或災難復原(DR, Disaster Recovery)的計畫所費不貲,屬於大型企業或組織的專利品。
- 迷思2
我的企業規模太小,並不需要危機管理計畫。
- 迷思3
危機發生的機率只有百萬分之一,而且永遠不會發生在我身上。
會有什麼樣的危機?又在何時發生?
一旦危機真的來臨時,您的企業經得起考驗嗎?
首先,只要是任何足以威脅財產或危及人員的可能,導致業務中斷、損及聲譽、或對股價產生負面影響的情況就是危機。1一般而言,與規模較大的跨國企業相較,中小企業在經歷災難後的復原能力較差,然而當危機來臨時,規模較小的企業所遭遇的後果,經常足以讓他們關門大吉。在著名的2001年美國911事件中,紐約有1萬8千家企業受到影響,而其中大多數都是小型企業。2規模較小的企業更因他們庫存的備用現金較少,尤其容易受到災難的影響並蒙受損失。面對立即的現金流問題,這些小企業被迫暫時停止營運。在世貿中心倒塌時,350家受影響的企業中有150家最終倒閉。而那些事先妥善制定並測試過業務持續計畫的企業,在短短數天後就能回復正常營運。
危機可能發生在任何企業身上
從較小的層面來說,因為缺乏維護加上疏忽,使新加坡星展銀行(DBS, Development Bank of Singapore)曾經歷一次長達7小時服務中斷的系統停擺事故。3舉凡火災、安全入侵、電力與系統中斷、設備故障等任何事件,都可能導致寶貴資料流失,造成長時間且代價昂貴的停機。在危機期間最糟糕的情況,可能導致營收的嚴重損失,或像新加坡星展銀行一樣,長久辛苦經營的商譽嚴重受挫。您可採取許多步驟來預防這些事件。好消息是 – 您的企業並非只能困坐愁城直到危機發生。
針對意外預先做好應變防範
“安渡危機的方法,就是在危機來臨之前做好防範”
Mike Hatcliffe, head of corporate practice, Ogilvy Public Relations
B計畫: 業務持續性計畫
企業在遭遇危機時,通常會交互運用業務持續計畫與災難復原規劃,以渡過危機。大多數應變計畫人士,現在都把災難復原計畫納入到業務持續計畫之中,並作為風險管理的一部分。業務持續計畫是一種概念,用來建立與驗證實務上的後勤計畫,規範企業或機構在災難發生後或長期的中斷營運時,如何於預定的時間內回復,以及部分或是完全復原完全中斷的關鍵功能。4企業通常會根據三項核心要素,包括商業分析、風險評估以及危機管理來部署這些計畫,以減少因營運中斷而產生的各種效應或衝擊。5
商業分析是判斷您經營事業的本質; 哪些流程最為重要,以及哪些流程最容易在危機期間受到影響。您亦應判斷這些流程的相關性,例如人員、基礎建設、設備等。
風險評估是衡量 貴企業面臨的威脅與弱點。您可參照本身行業過去的實例,從別人的錯誤中汲取經驗。針對自己企業可能面臨的各種危機情況,列出優先因應的順序,整理並研擬出危機控管計畫,以在真正遭遇危機之前做好計畫,並訓練您的人員熟悉各項因應危機的步驟。
就IT層面來說,您可以規劃一份明確的技術運用藍圖,以防範特定的技術風險。除了因應特定行業的資安法規要求(像是沙氏法案)之外,以下措施能協助排除各種潛在風險,以及省下企業IT部門大筆的營運與維護成本:
- 根據企業所需的商業需求來規劃您的技術。應先瞭解各種選項與替代方案,再決定是否採用創新方案。
- 評估採購該技術所需的預算。許多企業投入過多的金錢來採用技術,但卻得不到滿意的成果。
- 定期維護與更新您的硬體、軟體、資料庫以及網路。
- 不要在資安方面省錢。花錢投資您企業的安全防護以杜絕病毒、垃圾郵件、分散式阻斷服務攻擊,防範危機的發生,以免得花更多的錢來解決這些意外事故。
- 使用經授權的軟體。盜版或非法使用的軟體不僅違反法律,只會使您的企業面臨更嚴重的安全入侵風險與服務中斷的危機。
危機管理 倘若危機已經來到該怎麼辦?您應採取哪些步驟?
通訊與執行 首先,您得瞭解在非危機情況與危機狀態下各種業務功能的差異。日常的業務功能是為您的企業建立與創造價值,而危機時的通訊功能則是要盡力維護這些價值。找出您的關鍵使用群,授權發言人與溝通管道,並通知您的危機控管團隊您要傳達的訊息,以及需採取的必要步驟。以下列出在危機溝通時的幾點技巧:
- 誠信 寫下要傳達的訊息,並且不要任意更改。
- 不要閃躲、逃避或辯解 上述的動作只會讓您的企業陷入比目前更糟的情境。如果您不知道答案,不要說謊,應明確闡述您的團隊目前解決問題的進度。
- 強調正面事項,但不要誇張。
- 說明步驟與解決方案 闡述因應當前情況的做法
- 運用線上平台 若您已在網路上為自己的企業建立聯絡窗口,可利用像是Twitter或Facebook等管道,和受到影響的客戶直接且快速地聯繫
別陷入能力的迷思
根據危機管理專家Jonathan Bernstein表示,實際的真相是: 大多數企業都是直到受到嚴重傷害後,才開始著手擬定危機因應計畫。
“小型企業禁不起任何危機。許多小企業往往因為準備不足而關門大吉”
Bernstein Crisis Management公司總裁Jonathan Bernstein
根據危機管理專家Jonathan Bernstein表示,實際的真相是: 大多數企業都是直到受到嚴重傷害後,才開始著手擬定危機因應計畫。
大多數中小企業都禁不起一波危機的衝擊,因為只要一次危機就會讓他們無法倖存。危機可能衝擊到任何行業的公司,波及到那些沒有備妥B計畫來應付危機的企業,他們往往抱持「這決不可能發生在我身上」的想法。不到5%的企業直到發生危機才擬妥危機因應計畫。6而需要特別注意的是,標準危機因應計畫的擬定需考量10至15種情況。7
然而,在許多案例中,往往面對的是第16種情況。預防是任何危機管理計畫成功的關鍵,而並非反應。採取主動的策略,預想每一種可能發生的情況,並確保您的危機準備工作趨於完美,或盡可能做到最好,因為當災難來臨時,再多的準備都嫌不夠。
重點摘要
許多中小企業沒有備妥應變計畫,或準備任何反應機制來應付危機。
任何可能危及人員或財產、導致業務中斷、損及聲譽,或對股價造成負面影響的情況就是危機。
企業通常會交互運用業務持續計畫與災難復原計畫來應付各種危機。
業務持續計畫的核心要素包括: 商業分析、風險評估以及危機管理。
已經遭遇過危機的企業,只有不到5%的企業沒有備妥危機因應計畫。
註
- 《在危機來臨之前做反應》Jonathan Bernstein,危機管理部落格
http://bernsteincrisismanagement.com/docs/respond_to_crises_before_they_arise.html
- 911攻擊造成的經濟影響: 回顧評估》國會報告,Gail Makinen,2002年9月27日
http://www.fas.org/irp/crs/RL31617.pdf
- DBS 執行長acknowledges censure by MAS, apologises for outage, Channel News Asia,2010年8月4日
- 從IT層面探討業務持續性與災難復原計畫,David Bird
http://www.contractpackaging.org/files/public/BusinessContinuityBirdQuatro.pdf
- 中小企業的業務持續性基礎,CIO Blog
http://searchcio-midmarket.techtarget.com/tip/0,289483,sid183_gci1180131,00.html
- 在危機來到之前預做準備,Jonathan Bernstein,Crisis Management Blog
http://bernsteincrisismanagement.com/docs/respond_to_crises_before_they_arise.html
- 危機管理: 實行您的計畫,O & P Business News,2009年年12月1日
http://www.oandpbusinessnews.com/view.aspx?rid=59330
