第 12 版业务连续性管理趋势报告发布，对比中国的情况

自 2001 年以来，BC Management 一直在发布 <BC Management Trends Report>。今年是第 12 版。内容包括组织架构、高管参与、当前计划状态、评估、人员、预算编制和与合规标准的一致性等。

我仔细看了一遍这个报告，调查结果应该与中国的情况有较大差异，受访者应该都是海外用户。但内容有非常好的借鉴意义。

“Centralized programs” 是指集中化推进的 BCM 专项。报告显示有 49% 的受访者反馈启动了专项，相比 2018 年的 34%，进步颇大。这可能与疫情和相关的不确定事件频发让大家更加居安思危了。在中国，除了金融行业以外，越来越多的行业开始关注业务连续性，但仍然比较初级。

同时，越来越多的公司/组织开始注意到业务之间的依赖关系（会对 BCM 造成的影响），所以，可以看到针对非关键业务的业务连续性演练（27% 至 52%）和 IT 灾难恢复演练（21% 至 41%）均有大幅提升。在中国，基于国家对于应急管理的要求趋严，多个行业，如国资委，提出本行业的应急管理要求，但是具体到实操的业务连续性演练还比较初级，多数停留在书面上。

越来越多（22%）的公司/组织把 BCM 事项划归风险管理部门。除了金融行业，其它多数并没有把业务连续性管理的组织架构整明白。这往往决定了 BCM 的成败。

报告显示有 49% 的受访者反馈，他们的 BCM 项目已经做到了把业务和 IT 并重。这个真的比较难得。在国内，即使是金融行业，BCM 也很容易做成由 IT 部门负责的 IT 项目。但是不谈业务的 BCM，那就是 XX。

多数受访者的 BCM 成熟度处于中间水平。中国的情况应该比这个降 2 挡，能做到体系化的流程性文档就很不容易了。

BIA （业务影响分析）是 BCM 的关键步骤。往往容易忽略的是，因为业务、应用系统、和 IT 基础设施一直在发生变革或转型，所以，BIA 非常有必要定期更新。报告结果显示，一般的受访者公司/组织每年更新一次。

灾难恢复演练！灾难恢复演练！灾难恢复演练！重要的事情说 3 遍。

报告显示有 74% 的受访者反馈他们有不同类型的演练。每年对核心应用系统做演练是多数人的选择。实际上，我们这边的情况是，真正严肃演练的非常少。最经典的案例就是西部某银行，大张旗鼓做了演练后，不到一年发生核心业务长时间停机事故。硬是把自己做成 BCM 经典反面教材。

大家做的比较多的演练类型：（这里是广义的 BCM，不单是 IT 的概念）

• 桌面应急演练 Crisis management tabletop exercise

• 异地灾备演练 Alternate worksite / Offsite exercises

• 自动/应急通知系统 Automated / Emergency notification system

• 在家工作验证 Work from home validation

• 紧急疏散 Emergency evacuation

正如多数人的预料，计算停机的损失往往是比较困难的，有超过一半的受访者反馈不知道怎么计算损失。但是，这不是他们觉得损失不大或不重要。非常要注意的是，绝大多数情况下，损失大小与时间不是正比关系。所以，如果业务停机超过 72 小时，估计很多行业的公司/组织就要关门了。更不要说在具体行业内容有相关法律、法规、和政策合规性的处罚。

怎么向高层展示 BCM 的结果是比较有意思的话题。多数人还是采用报告的形式，可视化的手段仍然不足。这是有必要加强的！BCM 管理应该标配可视化大屏。

谈到 BCM 的 ROI，争议就比较多了。但是海外的反馈挺好的。58% 的受访者反馈财务管理者开始重视 BCM 了。竟然有 23% 的公司/组织把业务连续性作为高管的年度考核指标了。这个在国内主要反应在“应急管理”和“网络安全/数据安全”上了。

最后，我们看看证书，大家最热衷的证书，这个应该与国内差别不大。只是 ISO 22301 的认证普及率还非常低。

虽然，我们目前的 BCM 成熟度比较初级。我个人非常看好未来的发展，这包括国家层面的政策导向、行业规定，以及数字化转型带来的新型风险，还包括自然、IT、勒索病毒等频发的事件，都让各行业开始越来越关注 BCM，并从纸面走向落地。