2020年注定是不平凡的一年。由于新型冠狀病毒肺炎(以下簡(jiǎn)稱(chēng)新冠肺炎)的影響，我們經(jīng)歷了史上最長(cháng)春節假期，社會(huì )經(jīng)濟主體受到不同程度的沖擊，生產(chǎn)和生活亟待恢復正常秩序。目前疫情尚未結束，各行各業(yè)如何在當前形勢下，最大可能地保持正常生產(chǎn)經(jīng)營(yíng)活動(dòng)，是一種名副其實(shí)的核心競爭力。作為風(fēng)險管理的重要組成部分，業(yè)務(wù)連續性管理（Business Continuity Management, 簡(jiǎn)稱(chēng)BCM）能夠在突發(fā)事件來(lái)臨時(shí)，讓實(shí)施了BCM的社會(huì )經(jīng)濟主體可以從容面對，保持核心業(yè)務(wù)繼續運轉，并將不利影響降到最低程度。

購買(mǎi)營(yíng)業(yè)中斷保險(business interruption insurance)、關(guān)鍵人員保險（key person insurance）、網(wǎng)絡(luò )保險（cyber insurance）等保險產(chǎn)品可以作為企業(yè)BCM的一部分。然而，打鐵還需自身硬，作為提供保險產(chǎn)品的保險公司，自身的BCM做得怎么樣？保險公司做好BCM工作不但可以增強自身競爭力，而且對全社會(huì )提升防災防損意識，增加社會(huì )韌性也產(chǎn)生非常積極正面的引導作用。本文試圖從不同視角對BCM實(shí)踐進(jìn)行觀(guān)察，以期提高保險行業(yè)對BCM的重視程度，并且立即著(zhù)手起來(lái)加強自身BCM建設。

業(yè)務(wù)連續性管理起源于20世紀70年代的災備恢復計劃（disaster recovery planning）。當時(shí)的金融機構，例如銀行和保險公司都建設了備份站點(diǎn)，備份磁帶儲存在遠離主中心的地方，恢復活動(dòng)主要是針對地震、火災、洪水、風(fēng)暴等造成的物理破壞。80年代開(kāi)始，災難恢復運營(yíng)商的數目逐步增多，但所提供的服務(wù)主要集中在信息系統災難備份與恢復上。

“9·11”事件標志著(zhù)BCM發(fā)展的一個(gè)轉折時(shí)點(diǎn)。在應對“9·11”事件中，摩根士丹利的表現堪稱(chēng)經(jīng)典。當時(shí)摩根士丹利在紐約世貿中心租用了25層辦公室，是紐約世貿中心最大的租戶(hù)。在“9·11”恐怖襲擊事件中，得益于日常演練和及時(shí)疏散，公司在紐約世貿中心工作的3700名員工僅有6人死亡，其中有4人還是因為返回世貿中心開(kāi)展搜救而不幸遇難。訓練有素的運營(yíng)團隊撤離后步行到了22個(gè)街區之外的備用站點(diǎn)， 在世貿中心遭受第一次飛機撞擊后約35分鐘啟動(dòng)了備用電腦，高級管理層也在45分鐘內到達另一個(gè)備用站點(diǎn)并開(kāi)始指揮工作。隨即公司在一個(gè)半小時(shí)內將位于鳳凰城的信用卡電話(huà)服務(wù)中心改成了免費的急救電話(huà)中心，用于定位和搜救其3700名員工。時(shí)任公司主席和首席運營(yíng)官Robert Scott有句名言：“如果你等到危機發(fā)生才著(zhù)手準備去領(lǐng)導，就已經(jīng)太遲了?！?/p>

“9·11”事件之后，以英國、美國、日本、新加坡等國家為代表的發(fā)達國家加快了BCM的理論研究和實(shí)踐活動(dòng)，體現在法律法規制定和企業(yè)層面實(shí)施兩方面。國際標準化組織（International Organization for Standardization / ISO）公共安全技術(shù)委員會(huì )ISO/TC 292于2012年5月發(fā)布了ISO 22301《業(yè)務(wù)連續管理體系的準則要求》，并于同年12月發(fā)布了ISO 22313《業(yè)務(wù)連續性管理體系實(shí)施指南》。ISO 22301是BCM的國際標準，其提供了一個(gè)管理體系，適用于各種規模的組織并橫跨所有行業(yè)。中國也在2013年采用該標準并發(fā)布國家標準GB/T 30146《公共安全業(yè)務(wù)連續性管理體系要求》。

BCM的內涵一直在不斷地進(jìn)化。從過(guò)去的“危機管理”（Crisis Management）、“災備恢復”（Disaster Recovery），到現在比較時(shí)髦的“組織韌性”（Organizational Resilience），其核心都是在描述組織機構的應對能力。20世紀70年代的災備恢復主要著(zhù)眼于數據處理，因此其管理也主要局限在信息技術(shù)部門(mén)。雖然IT系統仍然是當前BCM最重要的關(guān)注點(diǎn)之一， 但BCM已經(jīng)擴大到了整個(gè)組織機構，涵蓋業(yè)務(wù)流程、人力資源、供應鏈等，并且發(fā)展出了成熟的方法論。

根據原銀監會(huì )2011年印發(fā)的《商業(yè)銀行業(yè)務(wù)連續性監管指引》的定義，BCM是指“為有效應對重要業(yè)務(wù)運營(yíng)中斷事件，建設應急響應、恢復機制和管理能力框架，保障重要業(yè)務(wù)持續運營(yíng)的一整套管理過(guò)程，包括策略、組織架構、方法、標準和程序”。通過(guò)BCM，組織機構可以建立起快速高效的響應能力和強大的組織韌性，保護關(guān)鍵利益相關(guān)方的利益和聲譽(yù)，并持續創(chuàng )造價(jià)值。BCM的核心是建立一個(gè)業(yè)務(wù)連續性計劃（Business Continuity Plan / BCP），內容包括如何在既定的期間內繼續或恢復業(yè)務(wù)活動(dòng)，以及響應破壞性事件的程序。BCM的關(guān)鍵實(shí)施流程包括以下四步² ：

第一，建立擁有特定的知識和技能的核心策劃團隊；

第二，了解組織所擁有的資源、能力、所面臨的風(fēng)險，以及緊急情況下可能需要的外部資源（例如醫院、警方、供應商），并評估這些內外部資源的可獲得性；

第三，根據可能出現的一系列緊急情況，設定應急響應程序以控制事態(tài)發(fā)展；

第四，將計劃整合到公司的日常運營(yíng)，包括定期員工培訓、定期演練、持續改進(jìn)等。

BCM應對的風(fēng)險可大可小，因人而異。很多自然災害（例如地震和洪水）和人為災難（例如恐怖襲擊）時(shí)有發(fā)生，但對組織機構產(chǎn)生最頻繁的破壞并不一定都是這些極端事件。停電、設備故障、關(guān)鍵人員損失等都存在更大的發(fā)生可能性。對于很多行業(yè)，上下游供應鏈管理也是BCM的重點(diǎn)關(guān)注對象，例如華為在2019年5月被美國列入“實(shí)體清單”，遭遇了芯片斷貨及安卓系統使用限制的風(fēng)險事件。由于風(fēng)險處于不斷變化當中，因此風(fēng)險評估必須是持續而動(dòng)態(tài)進(jìn)行的。業(yè)務(wù)連續性研究院(Business Continuity Institute)在2019年的一份全球調研報告³中列出了受訪(fǎng)者最為關(guān)注的十大風(fēng)險，如表1所示。

BCM的重要性不言而喻，甚至可以毫不夸張地說(shuō)，BCM不僅僅意味著(zhù)業(yè)務(wù)的連續性，更關(guān)系到企業(yè)的長(cháng)期生死存亡。

絕大多數發(fā)達國家的保險監管機構制定了BCM的監管規則。其出發(fā)點(diǎn)都是為了保護保單持有人的利益，例如持續為客戶(hù)提供保險服務(wù)，保護客戶(hù)數據隱私等，同時(shí)可以幫助政府部門(mén)應對突發(fā)事件，維護社會(huì )秩序和公共利益。

美國紐約州金融服務(wù)局（New York Department of Financial Services）要求州內的保險公司在發(fā)生突發(fā)事件時(shí)有能力恢復關(guān)鍵業(yè)務(wù)運營(yíng)，BCP經(jīng)過(guò)測試有效⁴。美國保險監督官協(xié)會(huì )（National Association of Insurance Commissioners）在財務(wù)狀況檢查手冊（Financial Condition Examiners Handbook）中要求檢查人員對保險公司的業(yè)務(wù)連續性及災備恢復計劃進(jìn)行檢查，并訪(fǎng)談保險公司的首席風(fēng)險官。

英國的監管機構將BCM作為最重要的監管內容之一。英國金融行為監管局手冊（Financial Conduct Authority Handbook）和英國審慎監管局規章手冊（Prudential Regulation Authority Rulebook）均要求保險公司做好業(yè)務(wù)連續性的準備工作。2019年12月，英格蘭銀行、FCA和PRA聯(lián)合發(fā)布了關(guān)于銀行和保險公司運營(yíng)韌性的征求意見(jiàn)稿⁵，預期在2021年下半年正式實(shí)施。

澳大利亞審慎監管局（Australian Prudential Regulation Authority / APRA）頒布了監管規定CPS 232《業(yè)務(wù)連續性管理》，要求保險公司建立BCM體系和年度審閱，以及定期接受內部審計或外部專(zhuān)業(yè)機構的審閱。APRA也有權要求保險公司就BCM進(jìn)行外部審計，費用由保險公司自行承擔。在發(fā)生業(yè)務(wù)中斷的情況時(shí)，保險公司需要及時(shí)向APRA匯報是否對公司運營(yíng)、保單持有人和公司財務(wù)狀況造成重大影響。此外，APRA還頒布了實(shí)務(wù)指南CPG 233《傳染病應對計劃》，其中提到“保險公司在需要的情況下，應當審閱除外責任和核保規則，并確保保單持有人了解與傳染病相關(guān)的責任保障范圍”。

日本央行在2003年7月頒布了《金融機構業(yè)務(wù)連續性計劃》，其闡明了日本央行對BCM的重視程度，并提供了最佳實(shí)踐指引。日本金融廳（Financial Services Agency）也將BCP作為監管重點(diǎn)之一。

新加坡金管局（Monetary Authority of Singapore）在2003年首次頒布了《業(yè)務(wù)連續性指南》，鼓勵所有類(lèi)別的金融機構、金融中介機構、評級機構、交易所等采用。2006年又補充了應對傳染病的要求。

目前，我國的保險行業(yè)在業(yè)務(wù)連續性方面的監管規則主要集中在信息系統和信息技術(shù)。原保監會(huì )出臺了《保險公司信息化工作管理指引（試行）》《保險公司信息系統安全管理指引（試行）》《保險業(yè)信息系統災難恢復管理指引》等法規，要求保險公司建立信息系統重大突發(fā)事件的應急處理機制，按照國家和監管部門(mén)信息系統災難恢復要求，推進(jìn)信息系統災難恢復建設工作并定期進(jìn)行演練，確保業(yè)務(wù)連續性。保險行業(yè)協(xié)會(huì )也在2017年底發(fā)布了《保險業(yè)災備建設基本要求》的行業(yè)標準。

值得保險行業(yè)借鑒的是原銀監會(huì )在2011年12月發(fā)布的《商業(yè)銀行業(yè)務(wù)連續性監管指引》，其對商業(yè)銀行及相關(guān)金融機構的BCM工作提出了明確要求，其中除了常規要求外，不乏諸多亮點(diǎn)，例如：

（1）應當將BCM納入全面風(fēng)險管理體系，融入到企業(yè)文化中，成為銀行機構日常運營(yíng)管理的有機組成部分。

（2）機構設置上，設立由高級管理層和BCM相關(guān)部門(mén)負責人組成的BCM管理委員會(huì )，由風(fēng)險管理部門(mén)或其他綜合管理部門(mén)為BCM主管部門(mén)，業(yè)務(wù)條線(xiàn)部門(mén)與信息科技部門(mén)作為BCM執行部門(mén)。

（3）關(guān)注點(diǎn)包括信息技術(shù)故障、外部服務(wù)中斷、人為破壞與自然災害。

（4）堅持以人為本、重點(diǎn)保障人員安全。

（5）原則上，重要業(yè)務(wù)恢復時(shí)間目標（Recovery Time Objective）不得大于4小時(shí)，重要業(yè)務(wù)恢復點(diǎn)目標(Recovery Point Objective)不得大于半小時(shí)。

（6）至少每3年對全部重要業(yè)務(wù)進(jìn)行一次業(yè)務(wù)連續性計劃演練；將外部供應商納入演練范圍并定期開(kāi)展演練。

（7）每年對BCM體系的完整性、合理性、有效性進(jìn)行評估，并向高級管理層提交評估報告。商業(yè)銀行應當每年對本行業(yè)務(wù)連續性管理進(jìn)行審計，每3年至少開(kāi)展一次全面審計。每年一季度向原銀監會(huì )或其派出機構提交BCM報告。商業(yè)銀行在完成業(yè)務(wù)連續性計劃的全行演練后，應當在45個(gè)工作日內向監管機構提交演練總結報告。

隨著(zhù)外部運營(yíng)環(huán)境日益復雜、科技發(fā)展和消費者對保險服務(wù)水平和時(shí)效的要求越來(lái)越高等諸多因素，筆者相信我們也會(huì )迎來(lái)與保險行業(yè)相匹配的BCM監管要求，提升行業(yè)自身的抗風(fēng)險能力。

保險公司應當根據自身的特點(diǎn)有針對性地開(kāi)展BCM工作，并沒(méi)有一個(gè)固定的模式。從國內外保險公司對BCM的披露來(lái)看，國外保險公司大多在年度報告或者企業(yè)可持續性報告中介紹了本公司的BCM，甚至還有一些公司選擇披露單獨的BCM報告。

例如美國的保德信保險公司在官網(wǎng)上披露了比較詳細的BCM報告，公司的BCM著(zhù)眼于一系列的情景假設，覆蓋了從小規模斷電到某大區域（美國地理上分為五大區域）的資源都不可利用的情況，其主要策略包括：

（1）設立了覆蓋整個(gè)公司的中央BCM辦公室，負責開(kāi)發(fā)和維護相關(guān)政策、標準、流程及培訓；在每個(gè)部門(mén)都有專(zhuān)門(mén)人員（Business Continuation Officer）負責風(fēng)險評估、制定和執行應對計劃。

（2）2017年新建立了兩個(gè)高級別的數據中心，并獲得了在全球范圍高度認可的數據中心認證公司Uptime Institute第三級別認證。

（3）雙重的備用工作地點(diǎn)（Hot Sites與Warm Sites），支持美國本土及全球業(yè)務(wù)；同時(shí)還與領(lǐng)先的恢復供應商合作，在需要時(shí)提供更多一重的應急辦公地點(diǎn)。

（4）強大的遠程工作能力，例如辦公基礎設施可以允許關(guān)鍵人員在任何地方進(jìn)行辦公。

（5）2005年公司成立了傳染病預備計劃小組（Pandemic Preparedness Planning Team），由公司首席醫療官出任組長(cháng)，制定詳盡的監控、應對及培訓計劃。

匯豐控股（HSBC Holdings）則把BCM放在更加廣義的韌性風(fēng)險管理中。其2019年年報有專(zhuān)門(mén)的“韌性風(fēng)險管理”（Resilience Risk Management）章節，詳細描述了其管理架構、風(fēng)險管理流程，并在2019年實(shí)施了諸多舉措。目前匯豐控股的韌性風(fēng)險管理部門(mén)將原有的數個(gè)獨立部門(mén)整合，包括信息與網(wǎng)絡(luò )安全部、安保部、業(yè)務(wù)連續性與事件管理部、辦公場(chǎng)所安全部、第三方管理部、系統與數據安全部等。目的是為了在當前地緣政治、自然環(huán)境變化、科技快速發(fā)展的大環(huán)境下，能夠有全局通盤(pán)考慮，并且給客戶(hù)提供不間斷的服務(wù)。

相比之下，我國保險公司的年報中對 BCM 鮮有提及，保險從業(yè)人員對 BCM 的關(guān)注度似乎也并不高，這也許也得益于我們保險行業(yè)在過(guò)往的數十年當中還沒(méi)有真正經(jīng)歷過(guò)黑天鵝事件。即便是這次新冠肺炎疫情，總部和主要運營(yíng)地在湖北的保險公司數量較少，因此對保險公司運營(yíng)中斷的總體影響也比較有限。保險行業(yè)全力以赴參與到疫情防控工作中，除了捐款捐物，還利用自身專(zhuān)長(cháng)免費拓展責任范圍、為前線(xiàn)人員贈送保險、啟動(dòng)理賠快速響應機制、開(kāi)發(fā)復工防疫險等。但是也要看到受宏觀(guān)經(jīng)濟增速下降、居家隔離等因素影響，保險業(yè)保費收入出現了大幅度下降。例如今年 2 月份以來(lái)，全國新車(chē)業(yè)務(wù)保費同比下滑近 90%，人身險公司銀保渠道規模保費環(huán)比下滑超 80%，這對于險企的現金流造成嚴重壓力。而一旦疫情解除，大眾潛在的保險需求爆發(fā)式增長(cháng)，保險行業(yè)如何高效優(yōu)質(zhì)地應對也應未雨綢繆。

總體而言，筆者認為以下運營(yíng)方面的趨勢不可避免：

●  對遠程線(xiàn)上工作方式的依賴(lài)度提高，甚至發(fā)展為線(xiàn)上全方位的經(jīng)營(yíng)管理模式，對云技術(shù)、云平臺的需求快速上升。

●  在線(xiàn)下獲客的同時(shí)，加強線(xiàn)上獲客能力。同時(shí)由此帶來(lái)線(xiàn)上培訓、營(yíng)銷(xiāo)、風(fēng)控等流程塑造和再造。中國銀保監會(huì ) 2 月份發(fā)布了《關(guān)于推廣人身保險電子化回訪(fǎng)工作的通知》， 對于推動(dòng)人身保險公司利用新技術(shù)優(yōu)化服務(wù)具有重要意義。

●  保全、理賠等服務(wù)全面轉向“零接觸”模式。

●  區域性的保險公司需要考慮設置跨區域的備用職場(chǎng)。

長(cháng)遠來(lái)看，這次新冠肺炎對保險公司的運營(yíng)模式將產(chǎn)生深刻影響。如果不做好準備，在真正面臨大考時(shí)難免束手無(wú)策。

隨著(zhù)我國保險行業(yè)快速發(fā)展，保險行業(yè)將承擔越來(lái)越大的社會(huì )責任。保險公司在比拼產(chǎn)品、服務(wù)、償付能力的同時(shí)，需要強大的運營(yíng)能力支撐。只有在保持業(yè)務(wù)連續性的前提下，保險公司才能正常運轉，持續發(fā)揮經(jīng)濟“減震器”和社會(huì )“穩定器”的作用。筆者有幾點(diǎn)建議如下：

第一，不僅僅是保險行業(yè)，社會(huì )經(jīng)濟各主體都應該建立起良好的BCM。我們現在生活在一個(gè)高度互聯(lián)的社會(huì )，沒(méi)有單個(gè)組織或個(gè)人可以獨善其身。政府部門(mén)、大大小小的企業(yè)必須協(xié)同作戰，這不單單是為了他們自身，對于整個(gè)社會(huì )都能夠增加巨大的韌性。現在的保險公司運營(yíng)已經(jīng)是處在一個(gè)生態(tài)圈當中，除了直保公司，還有再保公司、第三方管理機構、IT供應商、經(jīng)紀公司、分銷(xiāo)渠道等。如果我們想建立整個(gè)保險公司端到端的運營(yíng)韌性，那我們就需要將彼此的運營(yíng)韌性考慮進(jìn)來(lái)。這也許將從根本上改變現有保險公司的運營(yíng)模式。

第二，以人為本，保持公司與員工及客戶(hù)的緊密通訊聯(lián)系。在金融行業(yè)，員工是最寶貴的資產(chǎn)，也是經(jīng)營(yíng)活動(dòng)的主體。無(wú)論在何時(shí)，建立緊密的通訊聯(lián)系有助于在發(fā)生突發(fā)事件時(shí)，保持透明度，員工和客戶(hù)能夠及時(shí)了解所發(fā)生的情況，聽(tīng)從公司的統一調度，尋求幫助和維持安全感。在規劃BCP時(shí)，這也是需要首先考慮的問(wèn)題。

第三，加大資金和人員的投入，不能因為一時(shí)沒(méi)有派上用場(chǎng)就低估BCM的重要性。如同幫助投保人進(jìn)行保險需求分析一樣，保險公司應當在未來(lái)業(yè)務(wù)場(chǎng)景的前瞻下，做好自身風(fēng)險評估和業(yè)務(wù)影響分析，將關(guān)注點(diǎn)從信息技術(shù)擴大到所有關(guān)鍵業(yè)務(wù)流程，制定計劃，并定期演練和持續改進(jìn)。在應對營(yíng)業(yè)中斷時(shí)，還需要快速決策和反應，運用創(chuàng )造性思維。