全球视角和见解:危机应对能力
2018-09-10徐天然
徐天然
目录
内部审计和危机应对能力
信心危机浮出水面
为何提高危机应对能力
抵御危机
应对危机
恢复能力
总结
内部审计和危机应对能力
全球性威胁迅速发展,严重影响组织运营能力,导致相关危机日益频发。复杂的网络攻击、多变的气候、恐怖主义袭击以及工人罢工等现象层出不穷、且无明显征兆。危机事件频频发生,可能会导致组织无法持续运营,不能完成既定目标,从而影响组织声誉,使利益相关者感到失望。
最近一项调查结果显示,董事会成员对于潜在危机的认识与组织真正应对危机的准备程度之间存在很大差距。有能力意识到可能出现的危机、有效把控上述类型事件并且恢复正常运行的确很难做到。而快速提升有效处理危机并将影响降至最低的能力——即危机应对能力更加困难,这也是我们要实现的最终目标。
危机专家认为,提升危机应对能力的关键是预警工作,而内部审计在其中扮演着十分重要的角色。审计人员的技术能力、在組织中的位置以及对组织运营的深刻理解有助于做好准备,应对不可避免的风险,使组织从识别风险上升到应对风险——为抵御、应对重大事故并恢复运营做好准备。
信任危机浮出水面
2016年我们与德勤会计师事务所以及福布斯观察合作开展了一项由全球300多名董事会成员参加的调查。通过调查,德勤会计师事务所发现,董事会充满信心,认为组织能够正确意识到危机,并具备相应的应对能力。
调查报告显示,超过四分之三(76%)的受访董事会成员表示相信自己的组织能够有效应对可能出现的危机。还有不到一半(49%)的受访者称公司会提前监控问题,准备针对类似危机事件的应对方案。但仍有三分之一的受访者甚至不知道组织是否有危机应对方案。
只有一半的受访者表示他们和管理层具体讨论过危机的预防问题,或是与管理层商洽后了解了组织支持风险应对采取的措施。调查显示,当遇到具体危机时,风险意识和风险应对准备程度之间存在巨大差距。例如,73%的受访董事会成员认为声誉危机是公司最薄弱的环节,然而只有39%的受访者表示制定了应对这一问题的方案。对于经历过风险的组织来说,只有不到三分之一(30%)的受访者表示组织在一年之内恢复了声誉——16%的受访者表示组织恢复声誉至少需要四年的时间。
国际内部审计师协会进行的一项调查也证实了危机应对准备工作的缺失。在一次有1500名内部审计人员参加的危机风险在线会议上,只有不到三分之一(31%)的参会者称自己的组织拥有“清晰、具体的危机应对程序”。4%的受访者确认没有建立危机应对程序,一半的受访者表示已经建立了危机应对程序,还有15%的人根本不知道组织是否有危机应对程序存在。
这些调查说明我们在处理危机方面还有很大的提升空间。“组织能够在计划和实施方面采取切实可行的措施,从而将危机意识转化为应对危机的能力。”德勤在报告中指出,“组织还应该在预防不良事件方面做出努力,防止不良事件演化为真正的危机。”
John Rapa是Tellefsen and Company LLC的总裁,他认为内部审计在危机预警中发挥了重要作用,能够为审计计划的战略、策略、视野、设想和约束条件提供有价值的“理性之声”。
“那些计划制定、执行和维护的负责人应将内部审计视为参谋,”Rapa称,“审计人员应在计划准备阶段扮演咨询角色,并进行确认性监督,从而为计划增加价值,提升风险管理监督的有效性。”
为何提高危机应对能力
内部审计人员熟知组织内部应对突发事件的各类概念和文件,其中包括风险管理、业务连续性管理、应急响应、灾后复原以及技术服务连续性管理等。内部审计部门经常会参与这些计划的制定工作。但是这些文件中有很多是针对某一特定业务,例如,业务连续性管理更多是以维持业务价值为基础,其影响因素包括风险管理,是恢复运营的一项程序。
然而,当出现人员伤亡、产品受到污染、客户个人信息被盗以及组织总裁受辱等情况时,应对危机就不仅仅是恢复业务运营那么简单了。
内部审计人员应密切参与危机应对工作,对全局加以思考——包括组织的宏观目标以及相关风险,这样才能够提升董事会、高级管理层以及雇员的危机应对能力,确定组织准备就绪,协助组织逐步建立应对危机的企业文化。
国际灾难恢复协会(DRI International)的专家认为,有关危机的各类概念和定义以及应急响应中的模糊术语都可能对应对危机造成困惑,而这正是眼下亟待解决的问题,因此他们针对这一问题建立了《国际风险应对词汇表》(The International Glossary for Resilience)。DRI首先汇编了业务连续性、灾后复原和风险管理等风险相关领域的术语,对2189项术语从特殊用途到普遍适用进行编排,之后交由甄选委员会进行审查,最后形成涵盖26个行业、250项最佳定义的《国际风险应对词汇表》并出版发行。
词汇表将“应对能力”定义为“组织在复杂多变的环境中的适应能力”,这一定义来自于美国工业安全世界协会(ASIS International)——一个全球性的安保实践组织。对核心定义进行进一步扩展以后的内容包括:一是组织在“抵御不良影响以及受到不良影响之后在可接受的时间内将组织运营恢复到可接受水平”的能力;二是“系统面对内外部改变时维持系统功能和结构,并在必要的时候做到渐进衰退”的能力。
避免遭受危机的影响正是Melissa Agnes和James Lukaszewski等危机专家工作的目标。深入思考准备工作以及通过角色扮演模拟各种危机突发情境是帮助员工在危机真正发生时保持冷静的最佳办法。
Lukaszewski表示,“危机会打断日常运营,在人事和生产方面制造阻碍,损害企业声誉,从而产生受害者和突发性的事件曝光。”作为一名专业书籍的作者、知名演讲人和风险管理顾问,他表示组织生存的关键在于危机发生前和领导层协作制定计划,并在危机爆发的最初几小时乃至几分钟内就对其加以管理,这不但需要缜密严谨的思考,还需要能够设身处地地为受危机影响的对象着想。
Agnes是一位国际危机管理战略专家和演讲人。她建议客户针对危机状况做好演练,确定组织“拥有正确的内部上报程序和正确的决策人,并为沟通做好准备。”
抵御危机
来自哥伦比亚的危机管理顾问Hector Parra认为,当风险成为现实,就意味着危机已经发生。“满足利益相关者的需求是每个公司的使命,因此公司会努力达成战略、运营、信息和承诺相关的目标。当这些目标都尚未实现的时候,就会存在不确定性,而且实现目标可能会受到风险的影响。”Parra表示,“因此我们把危机看作是一个现实的重大风险。”
阻止风险演化成危机的第一步是对风险进行准确定位。
战略专家Agnes和她的客户商讨如何发现即将到来的危机。“其中一个办法是询问管理层对哪些问题最感到担忧。我们可以从排名前五的问题或者10大高风险情况入手,为之后的工作指明方向。”她讲道,“一旦确定了风险所在,就可以进行深入研究。我们可以和管理层所有成员进行沟通,了解他们的观点。对所有高風险情况进行完整的了解是应对危机的最佳方式。”
被称为“美国危机管理大师”的Lukaszewski对此表示赞同。“成功的准备工作都应当以具体情景的实际情况为基础”,他表示。
最终制定的方案可以指导组织抵御风险和应对风险,而内部审计部门对于方案制定和执行过程的密切关注可以为完善方案带来极大的帮助。专家建议在计划中把工作重点放在危机发生可能性、影响程度以及可能出现的附带损害方面。
“设计危机应对方案时需要考虑可能出现的最糟糕的状况,根据风险排序,利用自下而上的方法,将风险由高至低进行排列”, Hector Parra建议,“风险应对方案的每一种形式都应选取一种特定的方式,选择的依据就是案例的具体情况,尤其是受到危机影响的对象,包括雇员、社团、客户和利益相关者。”
行动计划应尽可能地涵盖更多细节,如最初24小时内采取的措施、最初48小时内采取的措施、前瞻性声明、被动反应、在事先确定的领域中各自应当扮演的角色、沟通方式以及法律要求等。如果制定的计划能够解决最严重的情况,也肯定能适用于其他影响较小的状况。计划应包含激活的条件,并为雇员提供报告方式,使其能够看清预示危机情况的早期信号。
测试和培训
Lukaszewski建议,组织要对应对危机的方案进行测试,以便当危机真正发生时,组织可以更快转换至应对模式。除了应对危机的演习之外,还应利用辅导和培训的方法,针对正确和错误的情况进行模拟演练,再加上沙盘练习,使得每个人都能对自己的角色有更加深入的了解。培训过后再对方案进行升级。Lukaszewski说:“问问你自己以及参与练习的每个成员,我们还需要在哪方面进行更加深入的了解,基于已经发生的情况我们还会面临哪些新的情况。”
培训至关重要。举例来说,如果我们需要抵御一次网络危机,内部审计部门可以接触到雇员,针对个人的职责在他们所扮演的角色中加入个人特色,帮助组织提升危机意识,向员工通报避免危机的最佳实务,如修改密码、采用多因素认证方式、如何打开异常的电子邮件等。一些组织会定期向员工发送可疑电邮,用来测试员工的风险意识。一旦员工打开这些邮件,就会被约请参加培训。经验丰富的审计人员对系统修补程序有更深入的了解,会定期检测信息技术控制的重要性,并从现有的框架中总结经验。
针对每一种危机状况状况可以安排个性化的准备工作。“不同危机会产生不同影响,”Agnes称,“唯一不变的是利益相关者的期待和担心。一定要仔细考虑初始表格中值得关注的注意事项,然后制定应对策略,其中包含的具体行动可能会根据具体情况有所不同。”
Lukaszewski提出了一个“准备工作公式”,只要明确了准确的联系方式,并能够快速找到负责做出决定的人,准备工作就已经完成了四分之三。
他表示,“决策环节是应对危机过程中的最大障碍之一”,制作准确的通讯录在所有清除障碍工作中的占比是75%。其他工作,包括预授权,占15%。预授权也就是可以提前做出的决定,如提前预订车辆,当灾难发生的时候可以获取车辆对人员进行转移。还有8%是大量方案的准备和测试工作,剩余2%用于应对突发事件。情况如果转变成为危机就属于突发事件。
Agnes对此表示赞同,称方案中应做好人员安排,从而确保正确的上报流程。她表示,“正确的内部上报流程能够确保在合适的时间内做出正确的人员安排,从而做好以下两方面工作:面对完全成型的危机时迅速上报,或是当现实情况没有那么糟糕的时候避免不必要的上报。”她解释道,“正确的人员安排”意味着每个业务部门、分支或是利益相关者群体都要有一个代表,宏观把控整体情况,而不是仅仅局限于合法、合规的角度,或是总裁和人事经理的看法。
Rapa把这个群体称为事故管理团队或是危机管理团队,而且主张建立跨职能、跨领域的团队,人员组成涵盖高级管理层、运营部门、技术部门、法律部门、媒体关系部门和客户关系部门等。
《内部审计师》杂志在2017年4月刊中提到,应对方案制定过程中,不仅要考虑组织本身会遇到的危机,还要考虑组织所在行业和地域可能遇到的危机情况。J. Michael Jacka在文中提到,例如,福特在大众汽车的丑闻爆发后,迅速发布声明,称没有使用减效装置,从而未受波及。题为《Resilience Through Crisis》的文章中也对此提出警示,明确指出组织指定的发言人不但需要媒体技术,还必须拥有适当的行政权力,确定的应对方案中应包含与媒体接洽的具体信息。
完全解决一个事件可能会花费数月时间——期间需要建立上报程序、找到差距、为整个组织准备应对方案。Lukaszewski建议,一年内只能为一到两个案例制定应对方案。
一整套应对计划意义非凡,专家则表示没有一劳永逸的方案,应视情况而定。
Rapa表示,“想要为应对所有可感知和可预见的威胁制定统一一套突发事件管理计划不是没有可能,但相当困难。”
准备程序确定以后,下一步就要树立应对危机的企业文化,提升组织应对危机的能力。
应对危机
由于对工作流程的积极参与和深入理解,内部审计部门能够帮助组织在危机发生之后安抚人心,减轻人们的担忧和抵触情绪。
内部审计部门应确保最新的危机管理方案能够全面解决突发事件,并核实组织建立应对突发事件团队的能力。比如,危机发生以后,审计部门能够负责评估事件所涉范围、对第三方的需求、组织声誉风险以及组织场外数据存储地址的安全性。内部审计部门可以和组织内部顾问进行合作,核实法律方面的衍生后果;帮助人力资源部门研究调查雇员情况;或是确定是否能够配备人手负责解决突发事件。审计人员也能帮助组织与公众、雇员、业务伙伴和利益相关者定期进行开放性的沟通。
“成功的应对团队要根植于组织之中,帮助组织确定并理解风险,协助高级管理层做出化解风险的最佳决策,”Rapa说,“利益相关者审查通过应对方案以后,内部审计应在方案部署中扮演监督角色。”
Parra认为,灾难发生之后,首先要做的就是采取应急响应措施,解救生命,保护资产。采取应对措施要争分夺秒。Parra称,内外部应立即就发生的情况以及接下来应采取的应对策略进行沟通,这一点至关重要。例如,哥伦比亚的一家银行系统出现问题,影响了线上交易。银行立刻和客户以及官方进行沟通,告知问题所在并采取补救措施,从而避免出现恐慌。
他建议内部审计部门帮助组织评估危机的严重程度。为此,内部审计部门要了解危机在组织完成目标、人事、声誉、包括数据和信息在内的资产以及涉及环境法规等方面所造成的影响。
Agnes认为,判断危机的严重程度需要反思危机发生之前的相关情形,稳步推进一项考虑周全的计划有助于组织树立应对危机的企业文化。
“这就意味着组织不能制定计划之后就将其搁置起来。即便是每个月检查一次也不够。因为影响危机的因素会不断地发生变化,对组织造成影响”,她说,“我们需要做的是进行风险管理,规避危机,将危机应对融入组织的方方面面。团队成员需要熟知计划内容,还需清楚自己的职责所在,并掌握行动的最佳方式——就跟专业运动员在长年累月的训练中形成肌肉记忆一样,成为本能反应。”
沟通是危机应对中最重要的一环。“保持沉默意味着失败,”Agnes表示,“保持沉默或许曾经有效,但如今并不可取。”
Lukaszewski则将保持沉默视为“最具腐蚀性和有害性的战略选择”。他建议组织要主动进行沟通,并保持“坦诚、开放和真挚”的态度。各个代表应保持“平易近人、积极响应、透明公开、兢兢业业的态度,做好准备,对事件进行必要的阐述、评论和纠正。”
Lukaszewski称,如今社交媒体益处颇多,危机应对团队可以通过社交媒体迅速发送短消息,说明他们正在积极地处理问题。他建议建立一个“智能(SMART)”团队,包含的要素包括社交能力(Social)、媒体联系(media)、行动能力(action)、应对能力(Response)和团队合作(Team)。
“我們的目标就是要采取迅速而有效的行动。危机中出错在所难免。每天我们都要花费50%的精力和25%的资源来弥补昨天犯下的错误,”Lukaszewski说,“但请记住,哪怕应对工作在技术上再做到无可挑剔,如果相关沟通工作没有做好,后果也不堪设想。遇到问题时要迅速反应、考虑周全,并采取行动。反应越慢,对声誉的影响就越大。”
他还建议为每一种案例做一个相应的网页,只在需要的时候进行激活。激活之后,网页能够提供案例相关的事实、数据、问答、注意事项以及交互特征。
“公司对计划的实行情况会直接影响管理层的形象,包括内部员工和外部的客户、商业伙伴、媒体以及监督实体等对管理层的感觉”, Rapa称。他对普遍情况提出如下建议:
■ 保持冷静。
■ 同受到波及的对象根据事件的性质和所涉范围进行广泛而频繁的沟通。
■ 按方案进行,但在必要情况下也要适时做出调整。
■ 后续跟踪,后续跟踪,后续跟踪。
Lukaszewski一直提醒客户,要注意受害者的管理工作。“受害人需要得到关注,必须和他们进行交流,”他说,“聪明的公司会跟受害者进行沟通,受害者最想得到的就是一句‘抱歉,而管理层必须要用肯定而积极的语气回复受害者。”
恢复能力
内部审计部门能够帮助组织从危机中恢复正常的运行。具体工作包括:衡量组织工作有效性,以及对组织声誉长期影响、恢复数据程序、所涉第三方控制以及危机应对和培训所需资源是否充足等因素进行评估。
Parra表示,危机过后采取的措施能够帮助组织完善危机应对计划,其中应涵盖有关经验教训的文件和申请。就算最后证实突发事件的影响微乎其微,也要进行书面材料的整理,简明扼要地描述重点,以便存档备用。
Rapa认为,需要进行描述的重点应包括以下内容:事发原因、影响、应对策略、恢复服务所需时间、行动项目、经验教训等。
“内部审计部门在危机过后的反思之中扮演主要角色,”Agnes说,“内部审计人员需要进行评估、检查和完善工作,还需要同相关工作人员一起审视突发事件,针对一些问题进行探讨。例如,我们是否能找到其他不同的解决办法?我们该如何确保不会再次发生这类突发事件?我们采取的行动方案以及进行的沟通是否有效?”她还说:“应对团队就这些问题给出答案,并进行讨论、评价之后再进行对计划的完善工作。强化应对计划之后,还需利用模拟案例的方法,对其再次进行测试。”
如果内部审计能在贯彻这些经验教训中起到举足轻重的作用——不论是在组织内部的各项活动还是在审计计划中得到体现,都有可能由支持性角色转变为应对危机的一线角色。
“如果审计人员觉得自己扮演的角色重要程度不足,那么就需要想办法展示自己的价值所在,争取一席之地。”Agnes建议道,“会有哪些委员会定期开会反思这类事件?又会有哪些委员会组织成员针对危机形式、预防管理和准备工作进行讨论?只有争取参与这些会议,才能获得话语权,参与到日常推进的工作中去。”
总结
“不在场的人可能会引证同样不在场的人的理论,诟病你应对危机的行动。”Lukaszewski说,“因此要把重点放在解决最重要的问题上面。”
他建议他的客户要持续不断地评估缺陷、管理风险,针对危机定期向管理层和董事会做简要汇报。
在措辞上进行简单的调整就可以简化工作程序。“‘危机一词会刺激领导者,因为几乎没有领导者认为危机会发生在自己头上。”Lukaszewski说,“而‘做好准备这样的说法能够帮助他们更好地了解职责所在。”
Agnes表示,听起来虽然老套,但是危机管理的最佳形式依然是危机预防。“首先确定最主要的风险,并采取措施防范那些可以预防且清晰可见的风险。”Agnes称,“接下来就要确保针对那些无法预防的风险采取措施以有效管理。”
只要能够确定主要问题,进行情景再现,开发相应的网页、调整信息结构和顺序,具备定期执行、检测和更新的应对计划,内部审计部门就能帮助组织做好应对危机的准备,提高整个组织应对危机的能力。即便是危机来临,身处复杂多变的环境之中,组织还是可以适应环境、抵御不良影响、迅速恢复、维持正常的运营,最终避免在危机中遭受重创。
更多信息
Internal Auditor magazine, “Resilience Through Crisis,” J. Michael Jacka, April 2017 (www.theiia.org)
Deloitte, “A Crisis of Confidence,” 2016 (www.deloitte.com)
DRI International, International Glossary for Resilience (www.drii.org)
The IIA Practice Guide: Business Continuity Management (www.theiia.org)
“The Security Intelligence Center Next Steps: Beyond Response to Anticipation,” Internal Audit Foundation and Crowe Horwath (www.theiia.org)
關于国际内部审计师协会(IIA)
国际内部审计师协会(IIA)是在内部审计行业得到最广泛认可的国际组织,是内部审计的倡导者,并提供教育服务、内部审计标准、实务指南和资格证书。国际内部审计师协会成立于1941年,如今会员人数超过190,000,遍布170多个国家和地区。IIA全球总部设在美国弗罗里达州的玛丽湖。更多信息请登录www.globaliia.org。
免责声明
《全球视角和见解》中所含观点并不一定完全代表接受访谈的人员及其雇主的观点。
版权
国际内部审计师协会(IIA)2017知识产权受到严格保护。任何复制IIA名称和标识的产品必须标记美国联邦商标注册符号。不经IIA允许,不得以任何形式利用材料中任何内容。
