通过上一节的讨论,已经知道演练与测试的目的就是要发现计划和资源中存在的问题和缺陷,从而加以改进并提高其能力。然而,在进行演练与测试的过程中,还必须避免由于演练与测试所带来的风险。因此,在进行演练与测试规划时,还应该遵守一些基本原则。
1.有效性原则
要想达到改进计划和预案,完善所需资源,就必须通过演练与测试来发现问题并解决问题。Philip Jan Rothstein说过:“成功演练的标志就是得到一张所发现的问题、故障和缺陷的列表。简言之,如果你没有发现问题,说明你演练得不够努力。”[12]
演练与测试发现不了问题,也就解决不了问题,当然也就谈不上改进计划和完善资源,这样的演练与测试难免流于形式,其意义和效果非常有限。有些组织为了应付监管而进行所谓发现不了问题的“成功”演练,其实是对《商业银行业务连续性监管指引》第四十七条规定的误解。
2.安全性原则
在实现通过演练与测试能够发现问题并改进计划和完善资源这一目的时,还必须确保整个过程不能对正常生产带来风险,这是任何演练与测试都必须遵守的一个重要前提。即使某些较复杂的演练无法完全避免对正常生产的影响(如占用一定的时间、人力和资源等),也必须设法做出合理的安排,以使这种影响降低至可接受的程度。
3.渐进性原则
要使演练与测试既满足有效性原则又满足安全性原则,并不是很容易的事。有些组织为了保证安全性,往往会牺牲有效性(不求有功,但求无过)。这种情况在国内商业银行中并不少见。(www.xing528.com)
有效性与安全性这一对看起来有些矛盾的原则是各国业务连续性演练专家都会面临的挑战。那么如何解决这一矛盾呢?根据国际上许多业务连续性专家多年实践的经验总结,可以归纳出两种有效的化解方法:“化整为零”和“循序渐进”。
“化整为零”:将一个复杂的演练拆解为多个简单的演练,将一个完整的演练拆解为多个局部演练。这样就自然使得每一次演练的涉及面较小,风险也就容易控制。显然,仅停留在“化整为零”层级上是不够的,因为虽然多次局部的、简单的演练可以发现不少问题,对计划也会有很大的改进,但对整体计划还是没底,而实战中往往会要求多个部分甚至整个计划同时协调行动。而这就要靠“循序渐进”来解决。
“循序渐进”:当经过多次简单的、局部的演练使得各部分的成熟度逐渐提高后,就需要逐渐将越来越多的不同部分集合在一起进行演练,并且随着把控能力的逐渐增强而不断地增加其复杂度,最终必然会达到具备实施全面的、复杂的计划演练的能力。
“化整为零”及“循序渐进”的核心思想就是对待演练与测试不能操之过急,更不能速成。正如英国BCM专家Tim Armit所说:“重要的是企业在能够走之前不要跑,也不要在演练设计时变得太聪明。”[12]
4.持续性原则
通过以上讨论可以看出,一个计划从开始制定到其成为一个完善有效的计划绝不是短时间能实现的,因此就需要长期持续不断的演练规划来不断地完善它。通常,一个成熟有效的计划最少需要三年时间,所以,对一个计划应该有三年以上的演练规划。
即使计划经过多次演练已日臻完善,也还需要长期不断地对它进行完善和更新,因为无论该计划当前多么完善,也不可能成为一劳永逸的成果。随着组织自身在不断地发展变化,所面临的危机事件也可能会发生变化,所以要想让计划和预案始终保持能够有效地应对各种运营中断事件,唯一的方法就是持续不断地对计划进行演练和更新。因此,组织应该从一开始就规划好多年的长期演练计划,否则就可能会前功尽弃。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
