2020年注定是不平凡的一年。由于新型冠狀病毒肺炎(以下簡稱新冠肺炎)的影響，我們經(jīng)歷了史上最長春節(jié)假期，社會經(jīng)濟主體受到不同程度的沖擊，生產(chǎn)和生活亟待恢復正常秩序。目前疫情尚未結(jié)束，各行各業(yè)如何在當前形勢下，最大可能地保持正常生產(chǎn)經(jīng)營活動，是一種名副其實的核心競爭力。作為風險管理的重要組成部分，業(yè)務連續(xù)性管理（Business Continuity Management, 簡稱BCM）能夠在突發(fā)事件來臨時，讓實施了BCM的社會經(jīng)濟主體可以從容面對，保持核心業(yè)務繼續(xù)運轉(zhuǎn)，并將不利影響降到最低程度。

購買營業(yè)中斷保險(business interruption insurance)、關(guān)鍵人員保險（key person insurance）、網(wǎng)絡保險（cyber insurance）等保險產(chǎn)品可以作為企業(yè)BCM的一部分。然而，打鐵還需自身硬，作為提供保險產(chǎn)品的保險公司，自身的BCM做得怎么樣？保險公司做好BCM工作不但可以增強自身競爭力，而且對全社會提升防災防損意識，增加社會韌性也產(chǎn)生非常積極正面的引導作用。本文試圖從不同視角對BCM實踐進行觀察，以期提高保險行業(yè)對BCM的重視程度，并且立即著手起來加強自身BCM建設(shè)。

業(yè)務連續(xù)性管理起源于20世紀70年代的災備恢復計劃（disaster recovery planning）。當時的金融機構(gòu)，例如銀行和保險公司都建設(shè)了備份站點，備份磁帶儲存在遠離主中心的地方，恢復活動主要是針對地震、火災、洪水、風暴等造成的物理破壞。80年代開始，災難恢復運營商的數(shù)目逐步增多，但所提供的服務主要集中在信息系統(tǒng)災難備份與恢復上。

“9·11”事件標志著BCM發(fā)展的一個轉(zhuǎn)折時點。在應對“9·11”事件中，摩根士丹利的表現(xiàn)堪稱經(jīng)典。當時摩根士丹利在紐約世貿(mào)中心租用了25層辦公室，是紐約世貿(mào)中心最大的租戶。在“9·11”恐怖襲擊事件中，得益于日常演練和及時疏散，公司在紐約世貿(mào)中心工作的3700名員工僅有6人死亡，其中有4人還是因為返回世貿(mào)中心開展搜救而不幸遇難。訓練有素的運營團隊撤離后步行到了22個街區(qū)之外的備用站點， 在世貿(mào)中心遭受第一次飛機撞擊后約35分鐘啟動了備用電腦，高級管理層也在45分鐘內(nèi)到達另一個備用站點并開始指揮工作。隨即公司在一個半小時內(nèi)將位于鳳凰城的信用卡電話服務中心改成了免費的急救電話中心，用于定位和搜救其3700名員工。時任公司主席和首席運營官Robert Scott有句名言：“如果你等到危機發(fā)生才著手準備去領(lǐng)導，就已經(jīng)太遲了?！?/p>

“9·11”事件之后，以英國、美國、日本、新加坡等國家為代表的發(fā)達國家加快了BCM的理論研究和實踐活動，體現(xiàn)在法律法規(guī)制定和企業(yè)層面實施兩方面。國際標準化組織（International Organization for Standardization / ISO）公共安全技術(shù)委員會ISO/TC 292于2012年5月發(fā)布了ISO 22301《業(yè)務連續(xù)管理體系的準則要求》，并于同年12月發(fā)布了ISO 22313《業(yè)務連續(xù)性管理體系實施指南》。ISO 22301是BCM的國際標準，其提供了一個管理體系，適用于各種規(guī)模的組織并橫跨所有行業(yè)。中國也在2013年采用該標準并發(fā)布國家標準GB/T 30146《公共安全業(yè)務連續(xù)性管理體系要求》。

BCM的內(nèi)涵一直在不斷地進化。從過去的“危機管理”（Crisis Management）、“災備恢復”（Disaster Recovery），到現(xiàn)在比較時髦的“組織韌性”（Organizational Resilience），其核心都是在描述組織機構(gòu)的應對能力。20世紀70年代的災備恢復主要著眼于數(shù)據(jù)處理，因此其管理也主要局限在信息技術(shù)部門。雖然IT系統(tǒng)仍然是當前BCM最重要的關(guān)注點之一， 但BCM已經(jīng)擴大到了整個組織機構(gòu)，涵蓋業(yè)務流程、人力資源、供應鏈等，并且發(fā)展出了成熟的方法論。

根據(jù)原銀監(jiān)會2011年印發(fā)的《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》的定義，BCM是指“為有效應對重要業(yè)務運營中斷事件，建設(shè)應急響應、恢復機制和管理能力框架，保障重要業(yè)務持續(xù)運營的一整套管理過程，包括策略、組織架構(gòu)、方法、標準和程序”。通過BCM，組織機構(gòu)可以建立起快速高效的響應能力和強大的組織韌性，保護關(guān)鍵利益相關(guān)方的利益和聲譽，并持續(xù)創(chuàng)造價值。BCM的核心是建立一個業(yè)務連續(xù)性計劃（Business Continuity Plan / BCP），內(nèi)容包括如何在既定的期間內(nèi)繼續(xù)或恢復業(yè)務活動，以及響應破壞性事件的程序。BCM的關(guān)鍵實施流程包括以下四步² ：

第一，建立擁有特定的知識和技能的核心策劃團隊；

第二，了解組織所擁有的資源、能力、所面臨的風險，以及緊急情況下可能需要的外部資源（例如醫(yī)院、警方、供應商），并評估這些內(nèi)外部資源的可獲得性；

第三，根據(jù)可能出現(xiàn)的一系列緊急情況，設(shè)定應急響應程序以控制事態(tài)發(fā)展；

第四，將計劃整合到公司的日常運營，包括定期員工培訓、定期演練、持續(xù)改進等。

BCM應對的風險可大可小，因人而異。很多自然災害（例如地震和洪水）和人為災難（例如恐怖襲擊）時有發(fā)生，但對組織機構(gòu)產(chǎn)生最頻繁的破壞并不一定都是這些極端事件。停電、設(shè)備故障、關(guān)鍵人員損失等都存在更大的發(fā)生可能性。對于很多行業(yè)，上下游供應鏈管理也是BCM的重點關(guān)注對象，例如華為在2019年5月被美國列入“實體清單”，遭遇了芯片斷貨及安卓系統(tǒng)使用限制的風險事件。由于風險處于不斷變化當中，因此風險評估必須是持續(xù)而動態(tài)進行的。業(yè)務連續(xù)性研究院(Business Continuity Institute)在2019年的一份全球調(diào)研報告³中列出了受訪者最為關(guān)注的十大風險，如表1所示。

BCM的重要性不言而喻，甚至可以毫不夸張地說，BCM不僅僅意味著業(yè)務的連續(xù)性，更關(guān)系到企業(yè)的長期生死存亡。

絕大多數(shù)發(fā)達國家的保險監(jiān)管機構(gòu)制定了BCM的監(jiān)管規(guī)則。其出發(fā)點都是為了保護保單持有人的利益，例如持續(xù)為客戶提供保險服務，保護客戶數(shù)據(jù)隱私等，同時可以幫助政府部門應對突發(fā)事件，維護社會秩序和公共利益。

美國紐約州金融服務局（New York Department of Financial Services）要求州內(nèi)的保險公司在發(fā)生突發(fā)事件時有能力恢復關(guān)鍵業(yè)務運營，BCP經(jīng)過測試有效⁴。美國保險監(jiān)督官協(xié)會（National Association of Insurance Commissioners）在財務狀況檢查手冊（Financial Condition Examiners Handbook）中要求檢查人員對保險公司的業(yè)務連續(xù)性及災備恢復計劃進行檢查，并訪談保險公司的首席風險官。

英國的監(jiān)管機構(gòu)將BCM作為最重要的監(jiān)管內(nèi)容之一。英國金融行為監(jiān)管局手冊（Financial Conduct Authority Handbook）和英國審慎監(jiān)管局規(guī)章手冊（Prudential Regulation Authority Rulebook）均要求保險公司做好業(yè)務連續(xù)性的準備工作。2019年12月，英格蘭銀行、FCA和PRA聯(lián)合發(fā)布了關(guān)于銀行和保險公司運營韌性的征求意見稿⁵，預期在2021年下半年正式實施。

澳大利亞審慎監(jiān)管局（Australian Prudential Regulation Authority / APRA）頒布了監(jiān)管規(guī)定CPS 232《業(yè)務連續(xù)性管理》，要求保險公司建立BCM體系和年度審閱，以及定期接受內(nèi)部審計或外部專業(yè)機構(gòu)的審閱。APRA也有權(quán)要求保險公司就BCM進行外部審計，費用由保險公司自行承擔。在發(fā)生業(yè)務中斷的情況時，保險公司需要及時向APRA匯報是否對公司運營、保單持有人和公司財務狀況造成重大影響。此外，APRA還頒布了實務指南CPG 233《傳染病應對計劃》，其中提到“保險公司在需要的情況下，應當審閱除外責任和核保規(guī)則，并確保保單持有人了解與傳染病相關(guān)的責任保障范圍”。

日本央行在2003年7月頒布了《金融機構(gòu)業(yè)務連續(xù)性計劃》，其闡明了日本央行對BCM的重視程度，并提供了最佳實踐指引。日本金融廳（Financial Services Agency）也將BCP作為監(jiān)管重點之一。

新加坡金管局（Monetary Authority of Singapore）在2003年首次頒布了《業(yè)務連續(xù)性指南》，鼓勵所有類別的金融機構(gòu)、金融中介機構(gòu)、評級機構(gòu)、交易所等采用。2006年又補充了應對傳染病的要求。

目前，我國的保險行業(yè)在業(yè)務連續(xù)性方面的監(jiān)管規(guī)則主要集中在信息系統(tǒng)和信息技術(shù)。原保監(jiān)會出臺了《保險公司信息化工作管理指引（試行）》《保險公司信息系統(tǒng)安全管理指引（試行）》《保險業(yè)信息系統(tǒng)災難恢復管理指引》等法規(guī)，要求保險公司建立信息系統(tǒng)重大突發(fā)事件的應急處理機制，按照國家和監(jiān)管部門信息系統(tǒng)災難恢復要求，推進信息系統(tǒng)災難恢復建設(shè)工作并定期進行演練，確保業(yè)務連續(xù)性。保險行業(yè)協(xié)會也在2017年底發(fā)布了《保險業(yè)災備建設(shè)基本要求》的行業(yè)標準。

值得保險行業(yè)借鑒的是原銀監(jiān)會在2011年12月發(fā)布的《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》，其對商業(yè)銀行及相關(guān)金融機構(gòu)的BCM工作提出了明確要求，其中除了常規(guī)要求外，不乏諸多亮點，例如：

（1）應當將BCM納入全面風險管理體系，融入到企業(yè)文化中，成為銀行機構(gòu)日常運營管理的有機組成部分。

（2）機構(gòu)設(shè)置上，設(shè)立由高級管理層和BCM相關(guān)部門負責人組成的BCM管理委員會，由風險管理部門或其他綜合管理部門為BCM主管部門，業(yè)務條線部門與信息科技部門作為BCM執(zhí)行部門。

（3）關(guān)注點包括信息技術(shù)故障、外部服務中斷、人為破壞與自然災害。

（4）堅持以人為本、重點保障人員安全。

（5）原則上，重要業(yè)務恢復時間目標（Recovery Time Objective）不得大于4小時，重要業(yè)務恢復點目標(Recovery Point Objective)不得大于半小時。

（6）至少每3年對全部重要業(yè)務進行一次業(yè)務連續(xù)性計劃演練；將外部供應商納入演練范圍并定期開展演練。

（7）每年對BCM體系的完整性、合理性、有效性進行評估，并向高級管理層提交評估報告。商業(yè)銀行應當每年對本行業(yè)務連續(xù)性管理進行審計，每3年至少開展一次全面審計。每年一季度向原銀監(jiān)會或其派出機構(gòu)提交BCM報告。商業(yè)銀行在完成業(yè)務連續(xù)性計劃的全行演練后，應當在45個工作日內(nèi)向監(jiān)管機構(gòu)提交演練總結(jié)報告。

隨著外部運營環(huán)境日益復雜、科技發(fā)展和消費者對保險服務水平和時效的要求越來越高等諸多因素，筆者相信我們也會迎來與保險行業(yè)相匹配的BCM監(jiān)管要求，提升行業(yè)自身的抗風險能力。

保險公司應當根據(jù)自身的特點有針對性地開展BCM工作，并沒有一個固定的模式。從國內(nèi)外保險公司對BCM的披露來看，國外保險公司大多在年度報告或者企業(yè)可持續(xù)性報告中介紹了本公司的BCM，甚至還有一些公司選擇披露單獨的BCM報告。

例如美國的保德信保險公司在官網(wǎng)上披露了比較詳細的BCM報告，公司的BCM著眼于一系列的情景假設(shè)，覆蓋了從小規(guī)模斷電到某大區(qū)域（美國地理上分為五大區(qū)域）的資源都不可利用的情況，其主要策略包括：

（1）設(shè)立了覆蓋整個公司的中央BCM辦公室，負責開發(fā)和維護相關(guān)政策、標準、流程及培訓；在每個部門都有專門人員（Business Continuation Officer）負責風險評估、制定和執(zhí)行應對計劃。

（2）2017年新建立了兩個高級別的數(shù)據(jù)中心，并獲得了在全球范圍高度認可的數(shù)據(jù)中心認證公司Uptime Institute第三級別認證。

（3）雙重的備用工作地點（Hot Sites與Warm Sites），支持美國本土及全球業(yè)務；同時還與領(lǐng)先的恢復供應商合作，在需要時提供更多一重的應急辦公地點。

（4）強大的遠程工作能力，例如辦公基礎(chǔ)設(shè)施可以允許關(guān)鍵人員在任何地方進行辦公。

（5）2005年公司成立了傳染病預備計劃小組（Pandemic Preparedness Planning Team），由公司首席醫(yī)療官出任組長，制定詳盡的監(jiān)控、應對及培訓計劃。

匯豐控股（HSBC Holdings）則把BCM放在更加廣義的韌性風險管理中。其2019年年報有專門的“韌性風險管理”（Resilience Risk Management）章節(jié)，詳細描述了其管理架構(gòu)、風險管理流程，并在2019年實施了諸多舉措。目前匯豐控股的韌性風險管理部門將原有的數(shù)個獨立部門整合，包括信息與網(wǎng)絡安全部、安保部、業(yè)務連續(xù)性與事件管理部、辦公場所安全部、第三方管理部、系統(tǒng)與數(shù)據(jù)安全部等。目的是為了在當前地緣政治、自然環(huán)境變化、科技快速發(fā)展的大環(huán)境下，能夠有全局通盤考慮，并且給客戶提供不間斷的服務。

相比之下，我國保險公司的年報中對 BCM 鮮有提及，保險從業(yè)人員對 BCM 的關(guān)注度似乎也并不高，這也許也得益于我們保險行業(yè)在過往的數(shù)十年當中還沒有真正經(jīng)歷過黑天鵝事件。即便是這次新冠肺炎疫情，總部和主要運營地在湖北的保險公司數(shù)量較少，因此對保險公司運營中斷的總體影響也比較有限。保險行業(yè)全力以赴參與到疫情防控工作中，除了捐款捐物，還利用自身專長免費拓展責任范圍、為前線人員贈送保險、啟動理賠快速響應機制、開發(fā)復工防疫險等。但是也要看到受宏觀經(jīng)濟增速下降、居家隔離等因素影響，保險業(yè)保費收入出現(xiàn)了大幅度下降。例如今年 2 月份以來，全國新車業(yè)務保費同比下滑近 90%，人身險公司銀保渠道規(guī)模保費環(huán)比下滑超 80%，這對于險企的現(xiàn)金流造成嚴重壓力。而一旦疫情解除，大眾潛在的保險需求爆發(fā)式增長，保險行業(yè)如何高效優(yōu)質(zhì)地應對也應未雨綢繆。

總體而言，筆者認為以下運營方面的趨勢不可避免：

●  對遠程線上工作方式的依賴度提高，甚至發(fā)展為線上全方位的經(jīng)營管理模式，對云技術(shù)、云平臺的需求快速上升。

●  在線下獲客的同時，加強線上獲客能力。同時由此帶來線上培訓、營銷、風控等流程塑造和再造。中國銀保監(jiān)會 2 月份發(fā)布了《關(guān)于推廣人身保險電子化回訪工作的通知》， 對于推動人身保險公司利用新技術(shù)優(yōu)化服務具有重要意義。

●  保全、理賠等服務全面轉(zhuǎn)向“零接觸”模式。

●  區(qū)域性的保險公司需要考慮設(shè)置跨區(qū)域的備用職場。

長遠來看，這次新冠肺炎對保險公司的運營模式將產(chǎn)生深刻影響。如果不做好準備，在真正面臨大考時難免束手無策。

隨著我國保險行業(yè)快速發(fā)展，保險行業(yè)將承擔越來越大的社會責任。保險公司在比拼產(chǎn)品、服務、償付能力的同時，需要強大的運營能力支撐。只有在保持業(yè)務連續(xù)性的前提下，保險公司才能正常運轉(zhuǎn)，持續(xù)發(fā)揮經(jīng)濟“減震器”和社會“穩(wěn)定器”的作用。筆者有幾點建議如下：

第一，不僅僅是保險行業(yè)，社會經(jīng)濟各主體都應該建立起良好的BCM。我們現(xiàn)在生活在一個高度互聯(lián)的社會，沒有單個組織或個人可以獨善其身。政府部門、大大小小的企業(yè)必須協(xié)同作戰(zhàn)，這不單單是為了他們自身，對于整個社會都能夠增加巨大的韌性。現(xiàn)在的保險公司運營已經(jīng)是處在一個生態(tài)圈當中，除了直保公司，還有再保公司、第三方管理機構(gòu)、IT供應商、經(jīng)紀公司、分銷渠道等。如果我們想建立整個保險公司端到端的運營韌性，那我們就需要將彼此的運營韌性考慮進來。這也許將從根本上改變現(xiàn)有保險公司的運營模式。

第二，以人為本，保持公司與員工及客戶的緊密通訊聯(lián)系。在金融行業(yè)，員工是最寶貴的資產(chǎn)，也是經(jīng)營活動的主體。無論在何時，建立緊密的通訊聯(lián)系有助于在發(fā)生突發(fā)事件時，保持透明度，員工和客戶能夠及時了解所發(fā)生的情況，聽從公司的統(tǒng)一調(diào)度，尋求幫助和維持安全感。在規(guī)劃BCP時，這也是需要首先考慮的問題。

第三，加大資金和人員的投入，不能因為一時沒有派上用場就低估BCM的重要性。如同幫助投保人進行保險需求分析一樣，保險公司應當在未來業(yè)務場景的前瞻下，做好自身風險評估和業(yè)務影響分析，將關(guān)注點從信息技術(shù)擴大到所有關(guān)鍵業(yè)務流程，制定計劃，并定期演練和持續(xù)改進。在應對營業(yè)中斷時，還需要快速決策和反應，運用創(chuàng)造性思維。