突发事件不能“突发对待”
2014-03-01刘峰
□ 文/刘峰
突发事件不能“突发对待”
□ 文/刘峰
当前,各种自然灾害、恐怖袭击、人为破坏等突发事件对公共安全造成巨大影响,使各国政府及相关组织清醒的意识到只有运用现代科学的管理体系,有效应对突发事件,才能保证各项业务的平稳运行,实现国家及组织的可持续发展。其中,石油天然气作为国家富强和社会进步的基础能源,保持能源持续稳定供给关系到国家安全和经济发展,也是石油行业应对突发事件管理的核心目标。
突发事件是指发生突然,可能造成严重社会危害,需要采取应急处置措施的紧急事件。对于管理来说,突发事件具有高度的不确定性。其发生状态具有不确定性。突发事件在什么时间、什么地点、以何种形式和规模暴发通常是无法提前预知的。有些自然灾害通过科技手段和经验知识,能够减少某些不确定因素,但是很难确定是哪些不确定因素造成的结果。
目前突发事件的应对方法主要包括:预防与应急准备、监测与预警、应急处置与救援、事后恢复与重建四个方面。虽然这些方法在应对突发事件时也起到了积极的作用,但是往往是阶段性的不具备长效效应。比如,在危害发生后,由于人们缺乏各方面的充分准备,难免出现人员伤亡和财产损失,造成自然环境、生态环境、生活环境和社会环境的破坏,打乱社会秩序的正常运行节奏,引发公众心理的不安、烦躁和恐慌情绪。有些破坏是暂时性的,随着突发事件处置的结束逐步消除;而有些破坏产生的影响则是长期的,少则几年,多则几十年,甚至达到百年、数百年。如果对突发事件的处置不当或不及时,可能还会带来经济危机、社会危机和政治危机,造成难以预计的不良后果。
因此,笔者认为应对突发事件不能用“突发应急的思路”来对待,应将其纳入连续性管理。
业务连续性管理在国内外的发展现状
在全球范围内,业务连续性管理发展已四十余年,以美、英、日、欧洲和新加坡为代表的发达国家已制定符合各自国情以及重要行业的法律标准,并作为主要推动力推动全球统一业务连续性管理标准的制定。当今,全球业务连续性管理发展逐步呈现出合规性加强的特征。如美国自2004年实施塞班斯法案,明确要求所有在美上市公司机构必须拥有业务连续性计划;作为亚洲业务连续性管理发展的领头羊—新加坡于2008年颁布国家标准SS540,要求所有组织机构包括政府和企业必须实施该标准。作为各国的重点受监管的行业,如金融业,已要求行业内所有从业机构按照行业要求规范运营,如日本于2002年发布了《假定金融机构据点受灾的业务持续计划方案》并于2003年制定了指导性的文件《关于完善金融机构的业务连续性体制》,在欧洲由BCBS、IOSCO、IAIS共同设立的联合论坛(Joint Forum)于2006年公布的《业务连续性的高级原则》等,都对金融机构的业务连续性提出了具体的强制性要求。英国自2007年发布BS25999以来,在国内大力推广该标准,至今英国企业获得BS25999认证的数量位居全球首位。
我国是一个自然灾害、公共卫生事件、事故灾难等突发事件较多的国家。2003年的“非典”和2004年的“禽流感”造成的影响深远,损失不计其数。国家以此为契机,于2007年适时颁布了《突发事件应对法》,突发事件的应对从依靠经验转变为依靠法制处理,将突发事件管理常态化,将预防和应急准备放在优先位置,建立统一领导、分类管理、分级责任和统筹协调的突发事件管理机制,通过宣传培训及协同演练不断进行制度完善。《突发事件应对法》经住了2008年南方冰冻雨雪灾害、“5·12”汶川地震等一系列自然灾害的考验,同时丰富完善了防灾减灾相关的管理制度。《突发事件应对法》的管理理念和管理要求与业务连续性管理的思想不谋而合。
目前国内业务连续性管理起步较早、发展较成熟的是金融行业,因其行业特征,金融业业务连续性管理起步于信息系统的灾备建设。2006年4月,中国人民银行发布了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,要求全国银行机构采用同城和(或)异地灾难备份和恢复策略;2006年8月,银监会发布了《银行业金融机构信息系统风险管理指引》,明确提出金融机构应制定信息系统应急预案,并定期演练、评审和修订;2008年2月,中国人民银行正式发布和实施《银行业信息系统灾难恢复管理规范》,根据各业务系统的重要性分级定义了灾备指标;2008年4月,银监会办公厅印发《银行业重要信息系统突发事件应急管理规范(试行)》,用来规范银行业重要信息系统的突发事件应急管理,提高银行应对突发事件的综合管理水平和应急处置能力;2009年6月,银监会发布了新的《商业银行信息科技风险管理指引》,对商业银行信息科技整个生命周期内的业务连续性管理提出了高标准、高要求;2011年12月,银监会下发《关于印发商业银行业务连续性监管指引》,首次将业务性管理从单纯的IT灾备建设层面上升到商业银行业务层面,提出了商业银行应当建立业务连续性管理体系的战略规划,强调了业务连续性管理应覆盖各业务部门及职能部门的日常工作,对商业银行的运营模式提出了稳健性的要求。
2014年1月国家标准化管理委员会正式颁布了国家标准《公共安全业务连续性管理体系要求》,该标准的发布是中国业务连续性管理发展历史上的里程碑。该标准等同采用国际标准ISO22301,方便国内政府、企事业单位业务连续性管理体系的建立可以与世界接轨,同时在国际上获得广泛的认可。
业务连续性管理在石油行业突发事件中的应用
实质上,业务连续性管理将应对突发事件的流程分为“事前如何降低风险,如何做准备”、“事中如何降低损失,如何响应”和“事后如何恢复,如何持续改进”三部分,通过演练和处置真实突发事件的方式验证业务连续性管理体系的实用性和有效性,采用PDCA循环模式优化具体流程,逐步提升组织的抵御风险能力和应对突发事件处置能力。现代社会,石油天然气是社会发展的基础,能源的不稳定和供给的波动影响到日常经济活动的方方面面,大面积的事故可能危及社会稳定以及国家安全。因此,在石油行业应对突发事件中,应加强业务连续性管理理论学习,制定完善的业务连续性策略,建立高效的业务连续性管理体系,丰富各项业务的业务连续性预案,切实保障石油天然气的可持续供应。建议尝试从以下几方面着手开展业务连续性体系建设工作。
1. 制定石油行业内的业务连续性监管要求
在GB/T30146的框架下,参照国内业务连续性管理发展成熟行业,如金融业的监管要求和最佳实践,结合石油天然气行业特点,逐步制定完善石油行业内的监管要求。初期,可挑选某一个(几个)业务作为重点监管,例如近年国内频繁发生爆炸、漏油的管道运输业务,总结石油行业监管的特点,后续对其他业务做监管推广,逐步实现对全行业的监管。
2. 组建业务连续性管理团队
由HSE部门牵头,其他业务和职能部门共同参与,组建业务连续性管理体系建设的团队,开展理论政策研究,制定体系建设方案,开展需求分析(风险评估、业务影响分析、差距分析等),确定管理策略,建立、维护和运行业务连续性管理体系。
3. 建立业务连续性管理体系
依据业务连续性管理策略,将业务连续性管理纳入突发事件管理体系,建立各级业务连续性管理组织架构,成立业务连续性管理委员会,确定业务连续性管理主管部门,实施部门和支持部门,明确各级各部门的职责。
4. 制定业务连续性管理制度
为保证建立高效的业务连续性管理体系,结合石油企业自身管理特点,建立健全业务连续性管理制度,为业务连续性管理各项工作提供标准和规范。
5. 必要时引入第三方外协
业务连续性管理体系建设具有较强的专业性,石油企业可依据自身条件,适时引入专业咨询公司,以保证建设质量。通常以咨询方式将业务连续性管理体系建设整体或分阶段外包给专业的咨询公司实施。在项目管理、项目参与和项目培训过程中,通过知识转移,培养石油企业自有专业人才。
作者单位:中国石油天然气勘探 开发公司