专家传真－营运持续计划2.0 从敏捷应变着手

Crowdstrike异常更新造成全球电脑当机灾情，营运持续计划再度引起重视。图／美联社

2024年7月，美国Crowdstrike异常更新事件造成全球电脑当机灾情，使得营运持续计划（Business Continuity Planning，BCP）再度引起高阶主管的重视。在11月举行的2024年投资欧盟论坛中，环球晶圆董事长徐秀兰以变革开场，BCP与其他三个关键因素（地缘政治、零碳排与新冠疫情）并列，成建构韧性的全球性供应链关键性议题。

然而，笔者在BCP实务上却观察到不同的现象。近日在辅导电子业BCP专案时，某位资深顾问感叹地说，过去20年开始推动至今，这大概是最后一波导入BCP的一线客户。

这个全球性营运持续国际标准与最佳实务，为何却得到客户两样情？是否BCP已经成为老生常谈，不再获得产官学研的青睐？BCP专案痛点逐一浮现与检视。

■BCP专案痛点

通常BCP专案执行非同小可。这个全公司专案，长达一、两年。不仅动用全公司重要业务、生产与支援单位主管，甚至总经理、厂长宝贵的管理时间。

另一个抱怨就是太多的分析资讯，甚至某个国外BCP专案要产出上百个营运冲击分析。最辛苦的莫过于BCP专案窗口，通常是由公司风险管理或工安部门负责。在业务、生产与支援单位忙于日常业务，往往专案最后落入这一两人身上，成为一人饰演多角的「一人专案」（one-man project）。

常见桌面演练成为BCP专案验收结尾的亮点。有趣的是，当笔者跟国外BCP顾问讨论时，令他们不可思议的是国内客户要求巨细靡遗的脚本。有些桌面演练，成员像新闻主播依事先拟好的脚本读稿，建立「一切都在掌握中」演练氛围。然而，从实际参与应变与复原经验中，并非像专案管理固定的范畴，成本，时间（俗称「金三角」），灾害管理为「移动中的目标」，很难用专案管理方法论执行。

■敏捷带来曙光

敏捷营运持续（Agile Business Continuity）成为2024年国际营运持续管理机构（Business Continuity Institute）的倡议。相较于国际BCP论述，透过国内客户BCP专案，逐渐累积台湾产业特殊的BCP焦点与痛点。

近期BCP应用也拓展到资安紧急应变。2024年3、7月，上市柜公司发布资安重大讯息认定上有了重大的政策变更。企业资安紧急应变团队也走出技术部门，扩大至总经理室、发言人、公关、法务、财务、业务代表，甚至人力资源等高阶主管幕僚。今年有幸参与元智大学产学合作团队资安个案，在《哈佛商业评论》全球繁体中文版发表第一个国内资安个案。虚拟个案活生生描绘缺乏资安应变团队，高阶主管在面对勒索赎金的两难反应。

一旦发生重大资安事件，组织熟悉的科技与流程可能会失效或受阻，团队成为应变复原的关键。从敏捷角度，有机会将文件导向一人专案（BCP 1.0），翻转为团队导向的跨部门专案（BCP 2.0），有赖于高阶主管面对资安紧急应变的视野与决心。