如何选择业务连续性咨询服务

美国企业创立十年后仍能存续的不足40%。仅有约19%的企业能存续二十年或更久。 

常见问题如现金流紧张可能导致部分企业过早倒闭。在那些挺过初期挑战的企业中，近40%将因突发危机而失败。

为应对多重威胁并在这前所未有的时期蓬勃发展，企业如今正倾注更多精力制定贯穿整个组织的全面业务连续性计划。然而，随着威胁同时演变与升级，制定此类计划正变得日益棘手。

连接更多关键系统以满足更高期望，使得业务连续性规划变得复杂——灾难恢复、弹性保障、合规要求及安全防护同样面临挑战。当链条中某一环节受损时，其影响可能波及整个组织。在保持运营弹性的同时，如何快速适应并应对风险与机遇，关乎企业声誉与营收的存亡。

什么是业务连续性计划？

业务连续性计划（BCP）是一种详细规划企业如何在破坏性事件发生前、期间及之后维持运营的战略。该计划适用于企业可能面临的任何类型中断，包括：

• 地震和龙卷风等自然灾害
• 人为危机，如网络攻击和职场暴力
• 对劳动力构成威胁的因素，例如大流行病
• 任何其他导致无法获取关键物资和资源的危机或灾难 

业务连续性计划与灾难恢复计划（DRP）相似。然而，与灾难恢复计划不同的是，业务连续性计划具有前瞻性和全面性。一个完善的计划将帮助企业降低：

• 首先遭受灾害的可能性
• 有害事件对其运营的影响

完善的业务连续性计划涵盖以下内容： 

• 关键业务流程
• 物理设施
• 运行设备和物资 
• 数据系统，包括备份
• 交流
• 标准流程的手动变通方案
• 风险管理
• 时间线 

业务连续性规划有时也被称为： 

• 业务复原力
• 应急或危机管理 
• 应急预案
• 组织准备

谁需要业务连续性计划？

每家企业都需要制定业务连续性计划。统计数据显示，小型企业最容易因突发危机而倒闭。 

大型企业通常拥有在短期内度过危机的资源。然而，对灾难应对不力可能使企业未来数十年陷入瘫痪，并可能导致后期经营失败。 

相比之下，拥有强大的业务连续性计划（BCP）能让企业蓬勃发展。当竞争对手在危机中举步维艰时，仍能保持运营的组织将获得显著收益：销售额、市场份额以及公众和员工忠诚度均将大幅提升。 

业务连续性计划的优势

未制定业务连续性计划（BCP）存在重大风险。据IDC统计，基础设施故障平均每小时造成10万美元损失，关键应用程序故障则可能导致每小时50万至100万美元的损失。业务连续性计划有助于防范此类损失。但其价值远不止于此，业务连续性规划还能：

• 识别改进工作流程的机会
• 发掘降低运营成本的机会
• 确定企业违反法律法规的具体领域 
• 提升公众和劳动力的认知
• 识别运营或其供应链中的薄弱环节
• 加强业务部门之间的沟通与协作

其中部分效益是直接的，另一些则是间接的。无论企业是否经历危机，这些效益都同样适用。

任何企业都不会认为连续性规划是浪费时间或资源的行为。

为何选择业务连续性咨询？

并非所有企业都懂得如何推动其业务连续性战略走向成熟。 

部分组织会聘请外部业务连续性管理咨询服务，以识别并解决其业务流程间的弹性同步问题。咨询顾问可提供灵活的业务连续性与灾难恢复解决方案来满足这些需求——包括评估、规划、实施、测试以及全面的业务连续性管理。 

领导层常将内部制定计划视为一种策略本身。这种做法几乎总是错误的。 

顾问具备所需的技能和经验

业务连续性规划是一项专业技能，并非多数领导者所具备的能力。即便是能力出众的领导者，也需要借助外力来制定完善的业务连续性计划。

自行设计计划的企业面临以下风险：

• 问错了问题
• 把精力放在错误的领域上
• 计划安排不周 
• 危机规划与战略制定中缺失的关键要素 
• 因不了解更优方案而选择无效的解决方案

顾问可以帮助企业：

• 遵循一套行之有效的计划制定流程
• 识别尖端技术和创新解决方案 
• 协调其组织内所有部门和层级的计划

与顾问合作还能确保领导者在整个规划过程中持续推进公司内部的关键工作。这使得日常运营与业务连续性规划的各个方面都能获得应有的关注。 

顾问带来独特视角 

外部顾问能够以内部人员无法企及的客观视角和清晰度审视企业。资深领导者往往容易对事物习以为常或妄下断言。这些预设和信念可能形成认知盲区，在危机时刻令整个组织陷入瘫痪。 

顾问团队以严谨的流程和开放的思维参与协作。这些工具能协助企业开展深入且切实有效的风险管理评估，而此类评估仅凭内部领导者难以独立完成。  

业务连续性咨询包含哪些内容？

优秀的顾问全程负责业务连续性计划（BCP）的实施。他们以自信而高效的方式引导客户完成每个步骤。

咨询流程始于评估。这些评估包括：

• 业务连续性审计
• 危机管理审计
• 业务影响分析
• 风险评估

这些评估构建了一个共享且准确的知识库，为后续工作提供基础。

接下来，顾问会向客户说明需要考虑的外部因素。适用法律及最佳实践标准便是典型例证。

随后，顾问协助客户制定定制化的业务连续性计划。 

方案制定后，顾问将主导实施工作。具体包括：

• 灾难恢复项目管理
• 创建并运行场景测试程序
• 业务连续性与危机管理培训项目的开发与实施
• 客户维护计划的协调

这种服务组合确保客户获得最佳结果。 

业务连续性与危机管理审计

顾问通常首先评估客户当前的状况。他们评估：

• 企业已有的业务（如果有的话） 
• 组织内部对现有措施和方法的理解程度如何
• 现有计划的更新程度和维护状况如何
• 该计划对当前运营的适用性和充分性如何 

企业常常惊觉其现有计划是多么糟糕。 

法律与最佳实践标准

顾问精通与业务连续性相关的法律标准。他们深刻理解用于评估企业及其计划的准则，包括：

• 最佳做法
• 判例
• 行业基准 

此类标准的三个常见例子是：

• 美国国家标准学会组织韧性指南（ANSI/ASIS SPC.1-2009）
• 联邦金融机构检查委员会业务连续性规划标准（FFIEC:2008）
• 美国银行监管规定，例如美国证券交易委员会的NASD规则3510和3520以及纽约证券交易所规则446。

顾问能帮助企业理解相关期望，同时协助客户制定符合这些标准的计划。

业务影响分析与风险评估

顾问通过影响分析和风险评估，绘制客户流程中每个环节的运作图景。借助精准有效的成熟方法论，他们能够识别： 

• 弱点与瓶颈
• 精简机会
• 沟通或流程中的断层
• 危机期间最可能受影响的区域

这些信息为即将制定的战略奠定了基础，同时确保不会遗漏任何潜在隐患。 

通过软件开发定制化业务连续性框架

随着网络攻击日益猖獗，企业正逐步摒弃传统业务连续性管理模式，转向自动化、软件驱动的韧性管理方案。诸如Preparis等软件通过先进功能与技术，在保护关键业务流程和人员的同时，协助企业完成规划、培训、测试、预警及恢复等全流程管理。 

顾问协助客户制定满足其独特需求的战略与计划，并在每个环节提供专业建议与支持。 

实施情况 

计划一旦制定，顾问在实施过程中就发挥着关键作用。他们将计划以所有适当的形式记录下来，随后协助在整个组织内清晰且一致地传达该计划。

顾问还可能负责管理灾难恢复项目。例如，客户的计划可能要求寻找替代合作伙伴和供应商。顾问可协助开展供应商筛选工作，并跟进后续的签约流程。

其优势包括：

• 轻松实现内部员工的业务连续性计划
• 在规定时限内实现目标
• 确保从始至终的一致性

顾问可创建并实施情景培训与测试计划。这些计划使企业及其业务伙伴能够执行既定方案。 

• 确保各级员工理解战略及其执行方式
• 提供基层实践经验
• 创造故障排除和教育机会
• 在实际紧急情况下，可实现更顺畅的实施

最后，顾问可制定并实施维护计划，确保应急方案持续更新。这能使应急预案随组织的发展、扩张及变革而不断完善。

如何选择业务连续性咨询公司

在选择咨询公司时，有几个关键的最佳实践值得考虑。为获得最佳体验，请选择满足以下条件的咨询公司：

• 汇聚经验丰富的顾问，他们在该领域拥有久经考验的专业知识
• 提供集成式软件设置，使流程管理与计划制定实现集中化与简化操作 
• 将管理并测试您完成的计划，以验证其有效性 
• 为您的整个团队提供关于该计划及其实施的培训
• 提供灾难恢复即服务（DRaaS）和云解决方案，满足您的数据恢复需求
• 提供易于使用的检查清单，帮助您的团队在每个环节都清楚了解流程。

编者按： 本文章最初发表在 Preparis 业务连续性软件网站上。2024 年 10 月，Mitratech 收购了业务连续性规划和应急响应解决方案的领先供应商Preparis。对内容进行了更新，以反映 Mitratech 扩大的产品范围、行业进步和监管动态。