任何企业都存在着或大或小的风险，只是这风险是否发生、何时发生等情况不容易被预测而已。企业管理者通常要具备三识：知识、见识及胆识，企业的运营风险也应该常存在管理者的心中，做好避免风险、降低风险、转移风险或接受风险的准备，以有备无患的预防思维为基础，一旦风险发生也能使企业连续业务不致中断或造成企业倒闭事件。

    企业“生于忧患、死于安乐”的情形时有所闻。企业的经营原本就是处在竞争的杀戮战场中，否则为什么有调查数据显示只有十分之一的企业能继续存活下来，而十分之九的企业在创业初期就遭到淘汰。那些存活下的的企业则又面临其他难以预料的风险，例如火灾、风灾、地震、法律、技术、人员、信息、财务、金融…等。

    这些潜藏的风险如何规避？ISO22301业务连续性管理(BCM)提出一套管理的模式，希望减少风险的发生或风险发生后的损失。风险的发生不是我们可以预期的，2008年的金融风暴淘尽多少意气风发的企业，逃过一劫的企业多半已经伤筋动骨正在休养生息等待再起。以下简要说明业务连续的管理架构，做为未来企业建构其体系的参考依据。

业务连续性管理(BCM)架构

   掌握现况必须先决定企业业务的范围及所处环境，将范围内及环境中的可能风险类别逐一条列出来，当然，企业的型态不同，风险的类别也会不同。但是在可能的风险类别数据库中，可以寻找出跟自己企业相关的可能风险，这样也就构成一个缜密的避险网络，将企业面临风险的机会先行考虑与回避。

一、业务影响分析(BIA , Business Impact Analysis)

    业务影响分析主要是先识别出企业的关键业务流程，理清这些关键业务流程所需的资源，对资源不能连续而引起业务中断的风险进行识别。

    关键业务流程通常包括：销售、研发、生产、交付、供应链、财务、人力资源、厂房设施…等，而这些关键流程所需的资源可能包括：资金、技术、人力、能(资)源(例如，水、电、油、气等)、材料、设备、运输工具…等。

    风险评估(RA , Risk Assessment)

    风险评估是对企业资源中断的风险进行评估，首先针对不同的风险项目进行风险分析及评估。通常会将各风险项目的严重性及发生频率进行评比，确定风险的等级高低，针对风险高的项目，提出风险的因应方式，也就是制定风险的应对策略---业务连续性策略。

二、应对风险

    业务连续性策略(Business Continuity Strategy)

     一般而言，风险的应对策略分为四类：避免风险、降低风险、转移风险及接受风险。

     避免风险：当出现风险引发的影响很大时，应该尽力阻止风险发生。

     降低风险：采用适当的控制方法，当风险出现时能控制损失的程度。

     转移风险：将风险转移给其他组织，例如将风险转移给产险的保险公司。

     接受风险：对于可以接受的风险采取因应的措施。

另外，还有紧急响应计划、灾害恢复计划…等，都是属于应对风险环节的重要工作项目。

     结束语：

     业务连续性管理的重要性很容易为企业了解及接受，就像俗语常讲的“天有不测风云，人有旦夕祸福”，可是一旦要深入探讨企业可能面临的重大风险，就不一定能被企业接受，因为任何风险的应对措施都脱离不了费用的产生，这就会侵蚀到企业的获利，况且企业也存在风险未必会发生的侥幸心理，这是企业对于应为的业务连续管理仍然踌躇不为的重要因素。我们基于对企业管理者的真诚建议，应该先利用业务连续管理的影响与风险进行分析，从分析得到的结果再行决定是否投资费用进行风险的处理。如此，可先对企业可能遭遇的影响和风险有一定了解与心理准备，同时，考虑企业本身业务与获利状况后再决定未来可建立的风险管控机制，这也是对于企业利益相关者负责任的表现。