首頁 » 方法與準則 » GTAG全球科技查核指引 » 從緊急應變處理(ER)、危機管理(CM)、到企業永續管理(BCM)談IT治理的策略

從緊急應變處理(ER)、危機管理(CM)、到企業永續管理(BCM)談IT治理的策略

參考自自由時報

最近國內外所發生一連串重大的事件,從社會、政治、到國際間,有些是因為大自然的變化、氣候的變遷所產生的,而有些則是人為疏失,意外事故頻傳,而又有些是社會問題或政治鬥爭所造成無法瀰補的缺憾,這些都直接或間接對我們造成衝擊,我們能不謹慎面對嗎?危機意識要從自身安全及日常工作作起,態度是關鍵,強化課責(Accountability)的治理規範,才能夠避免風險的發生,或減緩衝擊的嚴重性,從這上一次日本311大地震所引發大海嘯及核安危機,到這次復興空難發生的前因後果,一再地提醒大家,居安思危的重要性,以及如何做好事前的規劃與準備,避免或儘量降低發生重大危害,我們都知道生命與財產是最寶貴的,而這也是IIA 國際內部稽核協會所頒佈全球科技查核指引:GTAG No 10所談的企業永續管理(BCM),要求企業或政府組織裡的稽核人員必須對組織所面對緊急事故的應變處理,有一套完整可供組織內部各成員遵循的具體作業程序;由於在協會教授這門課的關係,曾經受邀撰寫簡述BCM的架構,而BCM是「風險管理作業」的一環,我就以之前協助政府部門推動風險管理作業的實務經驗,與大家分享並說明BCM的執行程序與重點所在,尤其是IT在中間所扮演不可分割的角色。

 

海潚

 政府部門成功營運的要件,在於提供人民良好的服務品質,而企業組織則會以市場佔有率及獲利能力來做為成功經營的要素;因此,多數企管顧問專家都會同意,要成功經營一家企業,經營管理階層必須投入相當多的時間做市場分析、擬訂與執行策略、建立財務與績效管理目標、發展及推動營運計畫、向董事會及投資人呈報和說明經營績效與財務狀況,而成功經營的要件,就是在面對重大意外事件如火災、洪水、地震、停電、罷工或其他災難時,組織仍有能力持續正常運作,而確保企業永續經營的方法,就是營運持續管理(Business Continuity Management, BCM)。

雖然,大家相當清楚企業風險管理的重要性,可是影響企業持續營運的危機事件,卻經常不斷地發生,例如美國911事件、台灣921大地震、八八水災、最近日本仙台大地震、海嘯及福島核災危機等,災難發生以前,不論政府部門或企業經營管理階層,時常忽略對組織持續營運的衝擊與影響,事件發生之後,才驚覺一切作業將被迫停止;目前,大部份組織製作產品及提供服務的作業流程,都非常仰賴資訊系統及通訊作業,一旦受到災難影響而停止作業,會產生策略風險、破壞組織正常運作能力、甚至損害到組織的聲譽,因此,當我們具焦在組織營運持續管理(BCM)上的時候,就不得不審慎評估電腦資訊作業中止所帶來的衝擊與影響,以及其備援機制的建立和回復能力的評估。

營運持續管理(BCM)的發展與觀念Relationship

BCM最早發展自1970年代,針對資訊系統設備(ICT)所發展的災難復原計畫(Disaster Recovery Plan),強調發生重大意外災害事件,如火災、洪水等,所造成建築物或辦公處所的毁損,必須立即啟動備援中心,進行電腦系統及資料與通訊設備的還原作業,而其建構的基礎是在事件發生之後,對於營運持續管理(BCM)作業比較著重在預防性,不單單是意外災害發生後,如何回復的作業,而是要在組織中建立一種文化,預防危機及後續災害不斷地發生,確保主要營運作業有迅速復原的能力,它是針對整體的營運作業,並非只針對某項資產及設備的復原,如資訊系統,若只單獨回復電腦資訊系統運作,並不代表你可以回復到正常業務工作的執行,因為許多重要的業務文件在災害中被損毁,讓你無法正常操作電腦系統處理資料,並且和客戶或廠商進行聯繫工作。

資訊科技的發展與運用,促使各政府和企業組織斷地加強E化作業,提升服務品質,增加營運效率,傳統上,營運持續計畫(Business Continuity Planning, BCP)在許多企業EM組織裡面,常由資訊部門負責規劃、管理與執行,主要是為了避免一旦發生重大意外事件,造成資訊設備及系統毁損,影響組織營運作業中斷的情形,而資訊部門會根據事前擬訂的災難復原計畫,選擇異地備援中心,定期執行備份作業,按時將備份磁帶媒體送往備援中心存放,一旦災難事件發生之後,組織就可以迅速在備援中心,重新啓動系統作業;因此,電腦資訊系統(ICT)的持續計畫是支持組織的營運持續管理(BCM)整體作業。

緊急事件管理程序

如果事前沒有做好應因準備工作,意外災害事件的發生,會影響公司營運正常作業,甚至被迫停止,稽核主管必須要能夠充份掌握這些相關風險,定期向董事會及審計委員會報告營運持續管理作業的缺失與改進方向,『全球科技稽核指引(GTAG)-營運持續管理(BCM)』的制訂,就是以稽核主管的觀點,督促管理階層重視企業組織營運持續(BC)的風險,並積極瞭解推動BCM作業所面臨的風險、控制、成本及效益所帶來的影響,最近日本仙台大地震、海嘯與福島核災危機,正好帶給公司最高管理階層重視BCM推動的成效。

稽核主管必須要瞭解BCM在『緊急事件管理程序(Emergency Management Program)』中所扮演的角色,『緊急事件回應(Emergency response)』是事件發生當時,第一個反應動作,著重在迴避、延遲、及預防,保護生命安全及降低財產損失是它的首要目標,通常只有短短的數分鐘到數小時以內;第二項程序是『危機管理(Crisis management)』,它是在意外災害事件發生後的期間,管理內外部溝通與高階管理人員的決策活動,許多人因為沒有充份掌握事件的發展原由,直接做出錯誤的處置決策,或提供錯誤的訊息給大眾,導致意外事件的影響範圍被擴大,最近日本福島核災就是一個典型的案例,此期間將延續數天之內,但要看事件的發展而定;即使我們的環境已經擁有健全的『緊急事件回應(Emergency response, ER)』和『危機管理(Crisis management, CM)』程序,仍需要完整適常地建置營運持續管理(Business Continuity Management, BCM)作業,它是強調重要核心營運作業的回復能力,以減低意外災難事故或中斷期間對公司營運所產生財務或其他方面的衝擊,目前有許多組織對其定義:

  • 依據BS 25999-2:2007上的定義,『營運持續管理(BCM)』是找出組織的潛在威脅以及這些威脅成真時對營運可能造成的影響,並提供一個建立組織恢復力的架構,讓組織具備保護關鍵利害關係人、商譽、品質和創造價值活動的有效因應能力之全面性管理流程。也就為防治營運活動的中斷,經由實施營運持續管理作業及營運持續計畫(BCP, Business Continuity Plan),結合預防和復原控制措施及程序,將災難和管理缺失(可能是由於自然災害、意外、設備故障和蓄意行為等引起)造成的營運中斷情形降低到可接受的等級。(資料來源:BSI網站),
  • GTAG上的定義則是,營運持續管理是組織因應未來重大意外事件可能危害到組織的核心任務及其長期生存的作業程序,這些意外災害包括地方意外災害事故如火災,區域災害事件如地震,或全國性事件如傳染病等,主要的關鍵要素包括管理者的支持、風險評鑑與減緩、營運衝擊分析、營運復原與持續策略、宣導與訓練、演練、及維護。

因此,BCM必須與ER及CM一起整合,但是分別都有獨立的作業程序,在『全球科技稽核指引(GTAG)-營運持續管理(BCM)』中,特別提到,稽核主管必須要能夠回答以下三個有關營運持續(Business Continuity, BC)簡單的問題:

  1. 公司管理階層人員是否瞭解目前營運持續(BC)風險的程度及可能發生損失的潛在衝擊?
  2. 公司管理當局是否能證明營運持續(BC)的風險已被下降到可接的水準,並且定期檢測?
  3. 如果有存在不可接受的營運持續風險,而最高管理階層決定去承受這項風險,那公司的股東、合作伙伴、及其他關係人,是否知道公司管理當局所採行不降低風險的決定?

我們不再只是針對造成組織營運中斷的可能性與衝擊的分析,而是要有能力偵測意外事件的發生及立即做出回應,資通訊系統持續運作(ICT Continuity)的六大原則包含:防護(Protect)、偵測(Detect)、應變(Reacting)、還原(Recover)、過渡期作業(Operate)、回復至正常(Return)等,GTAG 這份指引會協助稽核主管瞭解BCM的作業程序、風險、和控制,以及如何準備相關資料提供給管理部門及董事會討論。

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員