BCI亞洲分會主席 余紹強先生 分享新加坡電訊業(yè)業(yè)務(wù)連續(xù)性管理最佳實踐
根據(jù)自己的職業(yè)經(jīng)歷來看��,余紹強認為���,電訊業(yè)是BCM相對比較難做的一個行業(yè)。這是因為���,電訊業(yè)面臨的幾個挑戰(zhàn)比較特殊��,首先是中斷時間以分鐘計��,其次是數(shù)據(jù)中心建設(shè)成本高���,恢復(fù)策略不同��,第三����,由于影響廣泛����,所以監(jiān)管更嚴格,第四是行業(yè)集中度更高����,決定了人才培養(yǎng)困難,人才特別是高級人才流動會帶來業(yè)務(wù)的巨大影響���。
余紹強表示����,電訊業(yè)做BCM,有幾個關(guān)鍵點必須把握好:
首先是范圍��,做BCM的時候怎樣決定什么東西在BCM要考慮的環(huán)境里面���,什么東西是不考慮的,因為電訊企業(yè)規(guī)模往往比較大��,不可能都放到BCM里面���,因此范圍是一個很關(guān)鍵的問題����。
其次是最低的業(yè)務(wù)持續(xù)服務(wù)或者是最低的業(yè)務(wù)持續(xù)目標(biāo)�����,而且最低能夠達到的目標(biāo)必須符合合約上的承諾�、必須對市場上的承諾。
第三是關(guān)鍵活動��,就是沒有了這些會影響大家的正常操作�����,而不是說日常環(huán)節(jié)大家伙都做的工作就是關(guān)鍵活動。對這些進行優(yōu)先次序的排列��。
第四就是中斷時間�,確定中斷時間的時候必須實際,必須考慮什么是最大可承受時間����。
以下為余紹強演講實錄:
大家早上好!我在準(zhǔn)備案例的時候就想�,以什么行業(yè)介紹這個案例?我本人做BCM大概20年的時間����,不同行業(yè)都接觸過,最早期是在電訊業(yè)做的����,跟著就到了銀行、醫(yī)療���,好多行業(yè)都做過BCM�。
最近國內(nèi)比較熱的話題�����,因為行業(yè)開始認證了,但是不管認證做不做��,都不考試���,我們都上了一門課�����,上了課之后也不考試,讀的再用功也體現(xiàn)不出來你究竟多好�����、多努力���。這種情況下�,可以認證和不可以認證有一些差別�。最近在開始認證的時候也發(fā)生另外一種問題,當(dāng)我想認證的時候把BCM的項目做好了認證���,認證了之后沒辦法恢復(fù)�����,這種情況下對你的聲譽好還是不好���,我還沒認證至少可以說這個工作還沒做�,所以沒辦法持續(xù)�,因為我知道明顯缺了這一塊,可是做了這一塊之后我還是沒辦法持續(xù)�����,就變成了另外一個誤區(qū)了��。
這次我們談就用電訊行業(yè)作為一個案例�。這是我們新加坡的團隊,2000年的時候成立�����,中間站的是我們BCI全球的主席���。
這是我正規(guī)的介紹��,我做什么��?基本上只做BCM�����,沒什么特別有討論的空間����,比較一般。這是今年6月份時候做的BCM認證���,今年6月份的時候我們第一次做了��,原本只是想在中國只做一屆TPP,我純粹只是講師�����。
如圖�����,這個是我們歐洲的一位作者寫的��,這是今年年初的�。
這個是比較不正規(guī)的,這是“口袋寶寶”�����,全球風(fēng)靡口袋寶寶,這是我口袋寶寶上的簡歷�����,口袋寶寶昨天剛剛登錄新加坡��,前天星期六的時候我一早的時候我女兒就把我吵醒了���,為什么呢���?口袋寶寶開始了,在家里找口袋精靈可以裝��,跟著很勤勞的告訴我說��,今天我們應(yīng)該去城里�����,去城里周邊走動的時候才能抓到不同的精靈����,這是口袋寶寶做的����。
當(dāng)然這是題外話����,為什么講這個東西呢?因為我們做任何工作都要有趣�、都要生動,如果你做一個工作只是純粹為了做這個工作而工作���,每天朝九晚五����,每天9點鐘你上班�����,跟著午休�,下午回家���,你這個生活是很沒趣的���,所以你做任何東西都必須有趣�,所以怎樣把你這個工作變得有趣呢�?這個是很關(guān)鍵的,特別是我們在座做IT的����,IT的BCM也好,肯定不是全世界最有趣的東西�����。
這是我今天要講的幾個議題��,第一�,我很快的給大家介紹一下BCM,跟著我會跟你講一下���,在電訊行業(yè)本身有哪一方面的挑戰(zhàn)�����?在座有沒有電訊行業(yè)的��?我們可以討論一下��。然后再看一下做這個項目的時候我們遇到的問題����,我建議的一些解決方案,在座這么多人�����,100多位同事在這里����,肯定有更好的例子,我們也可以一起來分享一下���。最后看一下究竟做BCM之后有什么好處�����。這是我今天要講的�。
我前面幾個PPT很快給大家講一下什么是BCM����。做BCM關(guān)鍵的問題�����,大家在考慮BCM的時候都是考慮起因。什么是考慮起因呢���?就是什么造成災(zāi)難�����?所以很多的情況�,大家分析風(fēng)險的時候你是分析風(fēng)險的后果還是分析風(fēng)險的起因���,火災(zāi)是起因�,什么是后果呢�����?后果是你沒了你的辦公場所���,你沒了人員��,沒了基礎(chǔ)設(shè)施�。
你要以起因來做斷定����,還是以后果來做斷定呢�?如果以起因的話�,有1001個起因?���?墒窃贐CM角度看到底什么是后果呢?最終后果是考慮人員短缺的問題���、中斷的問題�����,最終我們考慮到底你選址的問題��、員工的問題�����、數(shù)據(jù)的問題還是設(shè)施的問題���,相對來說如果BCM針對后果來做的話會很好做。
這是BCM我們在ISO22301或者我們的國標(biāo)30146號文里面對BCM的定義�����,當(dāng)然我今天不能展開來說了��,這是22301本身標(biāo)準(zhǔn)的框架����,所以我很快給大家鋪一個點,到底什么是BCM����。
到底什么是業(yè)務(wù)持續(xù)管理?我們來看一下電訊行業(yè)�����,究竟電訊行業(yè)有怎樣的挑戰(zhàn)��?我早期在銀行業(yè)上班��,好多人都說銀行業(yè)的BCM是最難做的��,在座有沒有銀行業(yè)的同事����?金融業(yè)的同事�?金融業(yè)的BCM難做嗎���?我在金融業(yè)大概10年的時間���,其實金融業(yè)的BCM不難做,為什么呢�?因為金融業(yè)里大家最關(guān)注的問題是錢的問題,你把這個錢明細都弄清楚了之后好多東西都能考慮清楚�,當(dāng)然金融業(yè)也考慮聲譽的問題,你能告訴我哪家企業(yè)不考慮聲譽的問題嗎����?每家企業(yè)都考慮。
在BCM里面我們考慮幾個問題����,我想問你們,如果說金融業(yè)你們銀行的ATM中斷了你在多久的時間內(nèi)會知道�����?你們多長去一次ATM提一次款�?不會每小時提一次吧?一天提一次��?也不會。一周一次���?有可能。有的人一周提一次用的錢�����,有的人一個月去一次����,有的人固定的數(shù)字,我提大概的數(shù)字用完之后下次才去提錢��,當(dāng)你要下一次服務(wù)的時候ATM沒辦法運作�����,你可能就會很擔(dān)心�。在新加坡ATM的恢復(fù)時間,央行要求4小時�,當(dāng)然我想問你們,你如果在ATM排隊的時候�����,前面有一個人,你在后面等著����,這個人好像把ATM當(dāng)成他的iPad還是iPhone在玩,你會等多長時間等的不耐煩�����?
我可能2分鐘也等不了����。如果中斷的時候銀監(jiān)會要求4小時,你會在那里等4小時嗎���?可是你提不了現(xiàn)金����,4小時的話會影響你的正常生活持續(xù)嗎��?不會�����。相反的,如果說我們一個水源中斷����,多快你會知道?當(dāng)你需要用水的時候�,你大概幾小時會接觸到水?可能每個小時你上洗手間的時候就會知道�。
如果你的手機業(yè)務(wù)中斷的時候,沒了信號多長的時間你會知道���?有人告訴說我5分鐘,有人告訴我說下一次我要看手機的時候����,你多長看一次手機啊��?對我的女兒來講����,她是幾秒鐘,15秒�、30秒看一次,有的人是幾小時看一次�����,所以業(yè)務(wù)持續(xù)對電訊行業(yè)來講一個最關(guān)鍵的問題就是,他的恢復(fù)時間遠比金融業(yè)要來的更短��,為什么呢����?因為有一些是說造成不便的,有一些是造成業(yè)務(wù)正常去持續(xù)的��。所以你會看到�,在溝通方面,電訊行業(yè)有一個很大的溝通問題����,為什么呢?因為多數(shù)的電訊公司他們的人員都是以千或者萬來計算的����,而且分布的地方比較廣。當(dāng)一個中斷的時候�����,不一定就是總部�,而且他們要上升的人數(shù)也相對來說比較多。
客戶先知道還是高管先知道?客戶肯定先知道�����。你想�����,銀行如果說是他的ATM中斷是客戶先知道還是高管先知道��?高管會先知道�����,因為你系統(tǒng)中斷了���,內(nèi)部上升的流程肯定比外面?zhèn)鞯男畔⒁獊淼母煲稽c,所以溝通方面長�、而且復(fù)雜,是一個很大的問題����。很多的情況內(nèi)部的人員跟外部的人員頂多是在同一時間知道,你沒辦法比外部的人員更早知道�����,所以這是電訊行業(yè)的一個挑戰(zhàn)。
另外一個是策略����,策略方面,你想一下如果一家企業(yè)建立一個災(zāi)備中心��,國內(nèi)早期我大概2000年開始進入中國的時候講蓋災(zāi)備中心�����,好多人講說有這個可能嗎����,蓋災(zāi)備中心就為了3年一次或者5年一次中斷蓋一個災(zāi)備中心,可是今天你看多數(shù)的金融業(yè)都會有同城���、異地有這種概念����,相反的電訊行業(yè)能夠蓋一個同城���、異地嗎�����?很難����,我在這個大樓,這里有一個電話的交接站連接我這個大樓����,你沒辦法從另外一個交接站拉一個光纖多我的大樓來,因為這樣成本太高了����,全球里面所有的電訊公司沒有這樣干,這是另外一個挑戰(zhàn)��,所以他的成本要求很高����。
有人可以融資去建一家銀行�����,很少人會融資建一間電訊公司的�����。你看多數(shù)地方的電訊公司就是一開始已經(jīng)有那幾家,其他的可能會有一些移動電話的供應(yīng)商�。
另外就是,監(jiān)管方面��,對電訊行業(yè)的監(jiān)管�,所有國家的監(jiān)管都是很嚴格的,因為不但影響著每一個人�����,而且信息方面�、企業(yè)方面,只要一旦中斷整個區(qū)域就沒辦法正常運作�����,所以監(jiān)管方面也是很嚴格的���,我相信金融業(yè)跟電訊業(yè)應(yīng)該是監(jiān)管最嚴格的兩個行業(yè)�。
另外一個問題���,生產(chǎn)力的問題�。我早期的時候在中國經(jīng)常講生產(chǎn)力要提高的問題,好多人就告訴我說�,你太不了解中國的民情了,好多企業(yè)來中國當(dāng)時投資就是因為我們這里的人力相對來說比國外來的便宜�,可是今天是2016年,你覺得我們中國的工資比國外便宜嗎�����?我們便宜不過印度���,便宜不過印度尼西亞��,所以一直是往上升的�����,這個東西往上升之后就不會再下來了����,所以唯一的辦法就是���,一個人必須做1.2個人的工作、要做1.5個人的工作��。
所以當(dāng)好的人員越來越少的時候會怎樣的情況呢?人員就會開始流動���,而且流動的會更加快速�,因為好的人難找�����,一般的勞工容易找���,你就會發(fā)現(xiàn)人員轉(zhuǎn)動的更快����。學(xué)習(xí)方面他把一個好的經(jīng)理帶進來�����,可能會把你提升上去����,可是舊東家就會有一個問題,你這個人被帶走了之后�,你信息管控方面就沒有一個中央的控制方式,你得考慮怎樣去全程控制你BCM這個策略���。
在新加坡我們遇到過幾個問題��,第一次在新加坡只有一家電訊公司��,大概25年前只有第一家電訊公司�����,當(dāng)成立第二家電訊公司的時候你會發(fā)現(xiàn)��,第一家好多人在一起跳槽到第二家���,成立了第三家之后����,好多人就被拉到第三家去�����。今年我們會成立第四家電訊公司�,你會發(fā)現(xiàn)那三家同樣會面臨人員短缺的問題,你怎樣在人員轉(zhuǎn)換的時候確保你的服務(wù)品質(zhì)是很關(guān)鍵的��,因為同時會發(fā)生競爭力增加,而且你新的競爭伙伴會很饑餓的需要更多的客戶���,你只要確保你的服務(wù)品質(zhì),這是一個很關(guān)鍵的問題����。
這個是幾個在電訊業(yè)考慮的因素。我今天用了這個案例��,我們在新加坡做的業(yè)務(wù)持續(xù)管理��,電訊業(yè)比較多一點��,我跟你們說新加坡有三家電訊業(yè)��,第四家還沒有正式拿牌照����,還不能做,我們在新加坡做了三家�����,新加坡只有電訊業(yè)����。嚴格帶講�,我們做了三家半��,為什么呢���?因為在三家電訊行業(yè)�,在新加坡他們都以顏色來區(qū)分��,一家是紅色的衣裳�,肯定看得到,另外一家品牌就是綠色的衣裳�����,第三家出現(xiàn)的時候就是橙色的衣裳���,為什么零散呢���?因為網(wǎng)絡(luò)的覆蓋大小。為什么有三家半呢���?還有另外半家是提供背后的基礎(chǔ)設(shè)施的�����。
這是我們在新加坡做的四家電訊公司��,在中東跟其他的東南亞國家也做過不同的電訊公司�����,他的背景是這樣一個上市的公司�����,他有大概130年的歷史����。他提供的服務(wù)部單單是電訊�,網(wǎng)絡(luò)方面Network,之前王崗說很多云方面的策略�,托管服務(wù),或者企業(yè)方面的服務(wù)��,甚至最近成立了一家公司����,專門處理網(wǎng)絡(luò)上的信息安全,這也是最近兩年東南亞比較關(guān)注的。
在2012年的時候我們幫他們通過了認證�����,對風(fēng)險管控跟BCM方面都非常關(guān)注����。為什么他會這么關(guān)注這個東西呢?其實是有一個原因的�,130年的歷史從來沒有發(fā)生過的事情會不會發(fā)生?有可能會發(fā)生的�,這么巧某一年就發(fā)生了這樣的情況,所有的電話的交接站���,電話交接站里面有什么呢����?其實什么東西都沒有�,只有光纖、線路跟一些器材����,一般情況下這個地方也沒太多人去,都是當(dāng)有需要的人才會進入那個地方去����。在那一年就發(fā)生過這樣的情況���,有一個外包商,因為他要加多一些框架��,就在那里做焊接���,做焊接的時候不小心火花碰到線路上去,結(jié)果就開始失火了����,雖然他什么東西都沒有,可是有塑膠�����,開始燒的時候就沒辦法控制下來�,130年從來沒發(fā)生過的事情,居然整個燒了一半��,這個事情發(fā)生之后他們就開始說是不是我要考慮業(yè)務(wù)持續(xù)管理這個問題�,所以好多東西都是有一個起因的。
當(dāng)你要做一個電訊業(yè)BCM的時候�,第一個考慮肯定是范圍���,什么是范圍呢?本身做BCM的時候究竟是什么東西定為你的BCM的范圍�����?你怎樣去決定什么東西在你的BCM要考慮的環(huán)境里面�����,什么東西是不考慮的���,沒可能在一個企業(yè)里面你把所有東西一次全部包含在里面��,除非你是一個很小型的企業(yè)�����,只有十幾��、二十個人一起來做有可能���。可是在BCM在新加坡電訊有接近13000人企業(yè)里面����,他做BCM的肯定要考慮誰先做���、誰后面做,范圍是一個很關(guān)鍵的問題�����。
另外一個考慮的問題就是�����,最低的業(yè)務(wù)持續(xù)服務(wù)或者是最低的業(yè)務(wù)持續(xù)目標(biāo)�����,在ISO22301跟我們30146里面講的比較多一點���,可是好多人做BCM的時候都告訴我說,我怎么決定我的最低服務(wù)要求��?你們每年都有定向���,自己今年想要達到的目標(biāo)����,我們好多人都有這樣的習(xí)慣,剛剛過了春節(jié)或者過了元旦之后����,你想新的一年里面我想給自己今年定一個目標(biāo),今年我要減肥5公斤�,薪水得加10%,想任何的辦法讓你老板給你加10%����,或者把業(yè)務(wù)擴展到另外兩個點或者三個點,這是最高的要求����。為什么呢?因為你說我今年能達到開展兩個點就寫兩個點����,能做到三個點就寫三個點,一般要提一點�,沒有達到也沒關(guān)系。
可是BCM是從反方向來想的���,災(zāi)難發(fā)生的時候你能夠比平日做的更多嗎�?不可能,你能做到跟平日一樣嗎�����?也不太可能��,所以你得考慮什么是最低能夠達到的目標(biāo)����,而且最低能夠達到的目標(biāo)必須符合你在合約上的承諾、必須你對市場上的承諾�����,所以BCM本身不歸類在IT里面�,也不單單歸類到管理上面,歸類到社會安全的問題���。因為最終你不持續(xù)的話,影響的不單單只是對個人的影響����,而是對整個社會的影響,所以你必須把最低的運運營要求持續(xù)下來�。
這里給大家?guī)讉€建議��,什么是最低的要求呢���?你可以考慮說,最終的時候我究竟能夠做多少的業(yè)務(wù)��,可能是50%���,可能是只要影響不超過1個Million就OK了���,經(jīng)濟上、工作量上都得考慮��。
另外一個就是關(guān)鍵活動�,什么是關(guān)鍵活動呢?你得考慮真正的關(guān)鍵活動�,就是沒有了這些會影響大家的正常操作,而不是說日常環(huán)節(jié)大家伙都做的工作就是關(guān)鍵活動���,你得考慮有哪些工作是沒有他我不行的�,你一個人影響沒關(guān)系���,哪一些是沒有他整個部門是不行的��,或者哪一些沒有了他整個企業(yè)是不行的�����,或者哪一些你不做的話會影響整個國家的�����,你得考慮優(yōu)先次序的排列�����,這些都是關(guān)鍵活動大家所考慮的�����。有一些是關(guān)鍵的流程方面的��,有一些是災(zāi)難方面才變成關(guān)鍵的�,像人員的安全問題,可能日常環(huán)節(jié)大家都不覺得重要��,可是災(zāi)難發(fā)生的時候安全問題就體現(xiàn)出重要性���。
中斷時間�����,特別是大家如果定中斷時間的時候必須實際�,嚴格來講我知道在國內(nèi)有很多監(jiān)管機構(gòu)����,他會幫企業(yè)事先定好RTO跟RIO,正常情況來講國際上良好實踐指南來講��,這是不可能的���,為什么呢�?你想想大家都是金融業(yè)���,大家的恢復(fù)時間都是一致的嗎���?不一樣,你得考慮什么是最大可承受時間���,所以剛才講的ATM提款機����,最大可容忍的中斷時間是4小時。
像我膽子比較小�,你跟我講最大承受是4小時,我定在2小時里面恢復(fù)����,有人膽子更大一點可以3小時,可是你不能定3小時又30分鐘���,只留30分鐘給自己做���,如果真的災(zāi)難發(fā)生的時候你就恢復(fù)不了了,因為好多時候突發(fā)事件都有自己意想不到的事情發(fā)生�����,要留出足夠的恢復(fù)時間�,最大可中斷時間和恢復(fù)時間要符合,別老板說20分鐘就20分鐘����,實際自己也沒有信心20分鐘,必須實際一點的����,考慮不同的情況。
這里面幾個例子�,網(wǎng)絡(luò)運營方面,最大的中斷是3天�����,你想網(wǎng)絡(luò)中斷3天影響大嗎���?所以好多人在國內(nèi)就不敢寫3天����,寫30分鐘��,所以你得考慮兩個方面的維度�����,如果你要求跟供應(yīng)的策略必須是符合的�����,恢復(fù)時間是一天��,信息安全可能是3天,一天客服方面���,如果客服4小時不能接受�,就不能考慮另外策略����,把這個工作轉(zhuǎn)移到另外一個環(huán)節(jié)里面去,必須看你的策略和可行有的資源能不能達到平衡點��,而不是純粹他寫1小時你就寫1小時�����,災(zāi)難發(fā)生的時候就發(fā)現(xiàn)你沒辦法達到這個目標(biāo)��。
得到一個平衡點���,要求越高要投入的資金越多��,如果你沒辦法投這么多的資金�,只好把要求降低����,所以這個工作必須跟業(yè)務(wù)上的同事公開的去談��,而不是他只有這么多預(yù)算�,可是還是寫20分鐘���,你知道最后災(zāi)難發(fā)生的時候就會認證之后達不到這個要求���,最后大家同時受到影響��。
這里給大家舉幾個例子�,做不同策略的演練,辦公場所的演練����,在一些控制的辦公場所,把人員分散A組�����、B組���,我們在周一的時候啟動�����,所有人都到異地去辦公���,你說我沒帶什么文件是你的問題�,去到異地辦公確保他能夠正常操作�,這種是突發(fā)的演練,辦公區(qū)一些資源的考慮���,重要的一些文件��,在備份中心能不能獲得這些資源��,也進行這方面的測試�����,這是演練在22301上的要求�����,那些高管要求所有人進行疏散�。
我還有比較有意思一點的圖片��,我們在做演練的時候好多人都沒戴過N95的口罩,你們有戴過嗎���?你有試過戴N95的口罩進行演講嗎�?如果真的是禽流感爆發(fā)�,是不是給指令,告訴同事怎么做的�����,我們就模擬了大家要戴N95的�,大家都戴N95的�,我們找的一批快到期的還有一個月的,通過大家體驗戴N95講���,我講了大概半小時�,幾乎發(fā)現(xiàn)講不下去����,為什么?因為N95會把95%的空氣隔離�,確保安全,只有5%的空氣讓你進行演講��,坐著還行。演練最后發(fā)現(xiàn)真的這種情況發(fā)生的時候必須有其他的方法做這個工作��。
這個是桌面演練的一些情況���,演練的時候我們要求他們?nèi)粘R彩沁@樣控制的地方����,必須把它變成容納200人的��,你周一的時候開始說4小時演練����,我的工作很簡單就是計算時間,4小時達標(biāo)就通過��,這樣通過這方面就驗證到底能不能持續(xù)��。
最后這個認證�,不要問我為什么一個漂亮的女士是內(nèi)部審核,一個不太帥的先生是做這個的�,我也不知道,因為我的同事幫我做PPT的時候���,他們就選了圖片����,放兩個男生不,放兩個女生不好�����,就放了一男一女����。在亞洲環(huán)境里面,我看到很多企業(yè)�����,有些企業(yè)做了BCM還沒有達到那個水平��,可是因為高管要他去做認證他就做進行認證��,有的企業(yè)做好了BCM����,可是他還是不想經(jīng)過認證�,為什么?樹大招風(fēng)�����,不要這個名頭,你得考慮不管你做內(nèi)部審核也好���、做認證也好����,你的目的是什么�,你要做這個東西必須達到那個水平,如果還沒有達到那個水平千萬不要做�,不然對你后續(xù)的影響會更大。你想一下��,一家企業(yè)通過認證中斷了沒辦法恢復(fù)�����,跟另外一家企業(yè)也中斷了可是還沒通過�����,哪一個影響大一點��。
因為時間關(guān)系我就講到這里���。謝謝���!
果-1.jpg)
