全球視角和見解：危機應對能力

徐天然

目錄

內部審計和危機應對能力

信心危機浮出水面

為何提高危機應對能力

抵御危機

應對危機

恢復能力

總結

內部審計和危機應對能力

全球性威脅迅速發展，嚴重影響組織運營能力，導致相關危機日益頻發。復雜的網絡攻擊、多變的氣候、恐怖主義襲擊以及工人罷工等現象層出不窮、且無明顯征兆。危機事件頻頻發生，可能會導致組織無法持續運營，不能完成既定目標，從而影響組織聲譽，使利益相關者感到失望。

最近一項調查結果顯示，董事會成員對于潛在危機的認識與組織真正應對危機的準備程度之間存在很大差距。有能力意識到可能出現的危機、有效把控上述類型事件并且恢復正常運行的確很難做到。而快速提升有效處理危機并將影響降至最低的能力——即危機應對能力更加困難，這也是我們要實現的最終目標。

危機專家認為，提升危機應對能力的關鍵是預警工作，而內部審計在其中扮演著十分重要的角色。審計人員的技術能力、在組織中的位置以及對組織運營的深刻理解有助于做好準備，應對不可避免的風險，使組織從識別風險上升到應對風險——為抵御、應對重大事故并恢復運營做好準備。

信任危機浮出水面

2016年我們與德勤會計師事務所以及福布斯觀察合作開展了一項由全球300多名董事會成員參加的調查。通過調查，德勤會計師事務所發現，董事會充滿信心，認為組織能夠正確意識到危機，并具備相應的應對能力。

調查報告顯示，超過四分之三（76%）的受訪董事會成員表示相信自己的組織能夠有效應對可能出現的危機。還有不到一半（49%）的受訪者稱公司會提前監控問題，準備針對類似危機事件的應對方案。但仍有三分之一的受訪者甚至不知道組織是否有危機應對方案。

只有一半的受訪者表示他們和管理層具體討論過危機的預防問題，或是與管理層商洽后了解了組織支持風險應對采取的措施。調查顯示，當遇到具體危機時，風險意識和風險應對準備程度之間存在巨大差距。例如，73%的受訪董事會成員認為聲譽危機是公司最薄弱的環節，然而只有39%的受訪者表示制定了應對這一問題的方案。對于經歷過風險的組織來說，只有不到三分之一（30%）的受訪者表示組織在一年之內恢復了聲譽——16%的受訪者表示組織恢復聲譽至少需要四年的時間。

國際內部審計師協會進行的一項調查也證實了危機應對準備工作的缺失。在一次有1500名內部審計人員參加的危機風險在線會議上，只有不到三分之一（31%）的參會者稱自己的組織擁有“清晰、具體的危機應對程序”。4%的受訪者確認沒有建立危機應對程序，一半的受訪者表示已經建立了危機應對程序，還有15%的人根本不知道組織是否有危機應對程序存在。

這些調查說明我們在處理危機方面還有很大的提升空間。“組織能夠在計劃和實施方面采取切實可行的措施，從而將危機意識轉化為應對危機的能力。”德勤在報告中指出，“組織還應該在預防不良事件方面做出努力，防止不良事件演化為真正的危機。”

John Rapa是Tellefsen and Company LLC的總裁，他認為內部審計在危機預警中發揮了重要作用，能夠為審計計劃的戰略、策略、視野、設想和約束條件提供有價值的“理性之聲”。

“那些計劃制定、執行和維護的負責人應將內部審計視為參謀，”Rapa稱，“審計人員應在計劃準備階段扮演咨詢角色，并進行確認性監督，從而為計劃增加價值，提升風險管理監督的有效性。”

為何提高危機應對能力

內部審計人員熟知組織內部應對突發事件的各類概念和文件，其中包括風險管理、業務連續性管理、應急響應、災后復原以及技術服務連續性管理等。內部審計部門經常會參與這些計劃的制定工作。但是這些文件中有很多是針對某一特定業務，例如，業務連續性管理更多是以維持業務價值為基礎，其影響因素包括風險管理，是恢復運營的一項程序。

然而，當出現人員傷亡、產品受到污染、客戶個人信息被盜以及組織總裁受辱等情況時，應對危機就不僅僅是恢復業務運營那么簡單了。

內部審計人員應密切參與危機應對工作，對全局加以思考——包括組織的宏觀目標以及相關風險，這樣才能夠提升董事會、高級管理層以及雇員的危機應對能力，確定組織準備就緒，協助組織逐步建立應對危機的企業文化。

國際災難恢復協會（DRI International）的專家認為，有關危機的各類概念和定義以及應急響應中的模糊術語都可能對應對危機造成困惑，而這正是眼下亟待解決的問題，因此他們針對這一問題建立了《國際風險應對詞匯表》（The International Glossary for Resilience）。DRI首先匯編了業務連續性、災后復原和風險管理等風險相關領域的術語，對2189項術語從特殊用途到普遍適用進行編排，之后交由甄選委員會進行審查，最后形成涵蓋26個行業、250項最佳定義的《國際風險應對詞匯表》并出版發行。

詞匯表將“應對能力”定義為“組織在復雜多變的環境中的適應能力”，這一定義來自于美國工業安全世界協會（ASIS International）——一個全球性的安保實踐組織。對核心定義進行進一步擴展以后的內容包括：一是組織在“抵御不良影響以及受到不良影響之后在可接受的時間內將組織運營恢復到可接受水平”的能力；二是“系統面對內外部改變時維持系統功能和結構，并在必要的時候做到漸進衰退”的能力。

避免遭受危機的影響正是Melissa Agnes和James Lukaszewski等危機專家工作的目標。深入思考準備工作以及通過角色扮演模擬各種危機突發情境是幫助員工在危機真正發生時保持冷靜的最佳辦法。

Lukaszewski表示，“危機會打斷日常運營，在人事和生產方面制造阻礙，損害企業聲譽，從而產生受害者和突發性的事件曝光。”作為一名專業書籍的作者、知名演講人和風險管理顧問，他表示組織生存的關鍵在于危機發生前和領導層協作制定計劃，并在危機爆發的最初幾小時乃至幾分鐘內就對其加以管理，這不但需要縝密嚴謹的思考，還需要能夠設身處地地為受危機影響的對象著想。

Agnes是一位國際危機管理戰略專家和演講人。她建議客戶針對危機狀況做好演練，確定組織“擁有正確的內部上報程序和正確的決策人，并為溝通做好準備。”

抵御危機

來自哥倫比亞的危機管理顧問Hector Parra認為，當風險成為現實，就意味著危機已經發生。“滿足利益相關者的需求是每個公司的使命，因此公司會努力達成戰略、運營、信息和承諾相關的目標。當這些目標都尚未實現的時候，就會存在不確定性，而且實現目標可能會受到風險的影響。”Parra表示，“因此我們把危機看作是一個現實的重大風險。”

阻止風險演化成危機的第一步是對風險進行準確定位。

戰略專家Agnes和她的客戶商討如何發現即將到來的危機。“其中一個辦法是詢問管理層對哪些問題最感到擔憂。我們可以從排名前五的問題或者10大高風險情況入手，為之后的工作指明方向。”她講道，“一旦確定了風險所在，就可以進行深入研究。我們可以和管理層所有成員進行溝通，了解他們的觀點。對所有高風險情況進行完整的了解是應對危機的最佳方式。”

被稱為“美國危機管理大師”的Lukaszewski對此表示贊同。“成功的準備工作都應當以具體情景的實際情況為基礎”，他表示。

最終制定的方案可以指導組織抵御風險和應對風險，而內部審計部門對于方案制定和執行過程的密切關注可以為完善方案帶來極大的幫助。專家建議在計劃中把工作重點放在危機發生可能性、影響程度以及可能出現的附帶損害方面。

“設計危機應對方案時需要考慮可能出現的最糟糕的狀況，根據風險排序，利用自下而上的方法，將風險由高至低進行排列”， Hector Parra建議，“風險應對方案的每一種形式都應選取一種特定的方式，選擇的依據就是案例的具體情況，尤其是受到危機影響的對象，包括雇員、社團、客戶和利益相關者。”

行動計劃應盡可能地涵蓋更多細節，如最初24小時內采取的措施、最初48小時內采取的措施、前瞻性聲明、被動反應、在事先確定的領域中各自應當扮演的角色、溝通方式以及法律要求等。如果制定的計劃能夠解決最嚴重的情況，也肯定能適用于其他影響較小的狀況。計劃應包含激活的條件，并為雇員提供報告方式，使其能夠看清預示危機情況的早期信號。

測試和培訓

Lukaszewski建議，組織要對應對危機的方案進行測試，以便當危機真正發生時，組織可以更快轉換至應對模式。除了應對危機的演習之外，還應利用輔導和培訓的方法，針對正確和錯誤的情況進行模擬演練，再加上沙盤練習，使得每個人都能對自己的角色有更加深入的了解。培訓過后再對方案進行升級。Lukaszewski說：“問問你自己以及參與練習的每個成員，我們還需要在哪方面進行更加深入的了解，基于已經發生的情況我們還會面臨哪些新的情況。”

培訓至關重要。舉例來說，如果我們需要抵御一次網絡危機，內部審計部門可以接觸到雇員，針對個人的職責在他們所扮演的角色中加入個人特色，幫助組織提升危機意識，向員工通報避免危機的最佳實務，如修改密碼、采用多因素認證方式、如何打開異常的電子郵件等。一些組織會定期向員工發送可疑電郵，用來測試員工的風險意識。一旦員工打開這些郵件，就會被約請參加培訓。經驗豐富的審計人員對系統修補程序有更深入的了解，會定期檢測信息技術控制的重要性，并從現有的框架中總結經驗。

針對每一種危機狀況狀況可以安排個性化的準備工作。“不同危機會產生不同影響，”Agnes稱，“唯一不變的是利益相關者的期待和擔心。一定要仔細考慮初始表格中值得關注的注意事項，然后制定應對策略，其中包含的具體行動可能會根據具體情況有所不同。”

Lukaszewski提出了一個“準備工作公式”，只要明確了準確的聯系方式，并能夠快速找到負責做出決定的人，準備工作就已經完成了四分之三。

他表示，“決策環節是應對危機過程中的最大障礙之一”，制作準確的通訊錄在所有清除障礙工作中的占比是75%。其他工作，包括預授權，占15%。預授權也就是可以提前做出的決定，如提前預訂車輛，當災難發生的時候可以獲取車輛對人員進行轉移。還有8%是大量方案的準備和測試工作，剩余2%用于應對突發事件。情況如果轉變成為危機就屬于突發事件。

Agnes對此表示贊同，稱方案中應做好人員安排，從而確保正確的上報流程。她表示，“正確的內部上報流程能夠確保在合適的時間內做出正確的人員安排，從而做好以下兩方面工作：面對完全成型的危機時迅速上報，或是當現實情況沒有那么糟糕的時候避免不必要的上報。”她解釋道，“正確的人員安排”意味著每個業務部門、分支或是利益相關者群體都要有一個代表，宏觀把控整體情況，而不是僅僅局限于合法、合規的角度，或是總裁和人事經理的看法。

Rapa把這個群體稱為事故管理團隊或是危機管理團隊，而且主張建立跨職能、跨領域的團隊，人員組成涵蓋高級管理層、運營部門、技術部門、法律部門、媒體關系部門和客戶關系部門等。

《內部審計師》雜志在2017年4月刊中提到，應對方案制定過程中，不僅要考慮組織本身會遇到的危機，還要考慮組織所在行業和地域可能遇到的危機情況。J. Michael Jacka在文中提到，例如，福特在大眾汽車的丑聞爆發后，迅速發布聲明，稱沒有使用減效裝置，從而未受波及。題為《Resilience Through Crisis》的文章中也對此提出警示，明確指出組織指定的發言人不但需要媒體技術，還必須擁有適當的行政權力，確定的應對方案中應包含與媒體接洽的具體信息。

完全解決一個事件可能會花費數月時間——期間需要建立上報程序、找到差距、為整個組織準備應對方案。Lukaszewski建議，一年內只能為一到兩個案例制定應對方案。

一整套應對計劃意義非凡，專家則表示沒有一勞永逸的方案，應視情況而定。

Rapa表示，“想要為應對所有可感知和可預見的威脅制定統一一套突發事件管理計劃不是沒有可能，但相當困難。”

準備程序確定以后，下一步就要樹立應對危機的企業文化，提升組織應對危機的能力。

應對危機

由于對工作流程的積極參與和深入理解，內部審計部門能夠幫助組織在危機發生之后安撫人心，減輕人們的擔憂和抵觸情緒。

內部審計部門應確保最新的危機管理方案能夠全面解決突發事件，并核實組織建立應對突發事件團隊的能力。比如，危機發生以后，審計部門能夠負責評估事件所涉范圍、對第三方的需求、組織聲譽風險以及組織場外數據存儲地址的安全性。內部審計部門可以和組織內部顧問進行合作，核實法律方面的衍生后果；幫助人力資源部門研究調查雇員情況；或是確定是否能夠配備人手負責解決突發事件。審計人員也能幫助組織與公眾、雇員、業務伙伴和利益相關者定期進行開放性的溝通。

“成功的應對團隊要根植于組織之中，幫助組織確定并理解風險，協助高級管理層做出化解風險的最佳決策，”Rapa說，“利益相關者審查通過應對方案以后，內部審計應在方案部署中扮演監督角色。”

Parra認為，災難發生之后，首先要做的就是采取應急響應措施，解救生命，保護資產。采取應對措施要爭分奪秒。Parra稱，內外部應立即就發生的情況以及接下來應采取的應對策略進行溝通，這一點至關重要。例如，哥倫比亞的一家銀行系統出現問題，影響了線上交易。銀行立刻和客戶以及官方進行溝通，告知問題所在并采取補救措施，從而避免出現恐慌。

他建議內部審計部門幫助組織評估危機的嚴重程度。為此，內部審計部門要了解危機在組織完成目標、人事、聲譽、包括數據和信息在內的資產以及涉及環境法規等方面所造成的影響。

Agnes認為，判斷危機的嚴重程度需要反思危機發生之前的相關情形，穩步推進一項考慮周全的計劃有助于組織樹立應對危機的企業文化。

“這就意味著組織不能制定計劃之后就將其擱置起來。即便是每個月檢查一次也不夠。因為影響危機的因素會不斷地發生變化，對組織造成影響”，她說，“我們需要做的是進行風險管理，規避危機，將危機應對融入組織的方方面面。團隊成員需要熟知計劃內容，還需清楚自己的職責所在，并掌握行動的最佳方式——就跟專業運動員在長年累月的訓練中形成肌肉記憶一樣，成為本能反應。”

溝通是危機應對中最重要的一環。“保持沉默意味著失敗，”Agnes表示，“保持沉默或許曾經有效，但如今并不可取。”

Lukaszewski則將保持沉默視為“最具腐蝕性和有害性的戰略選擇”。他建議組織要主動進行溝通，并保持“坦誠、開放和真摯”的態度。各個代表應保持“平易近人、積極響應、透明公開、兢兢業業的態度，做好準備，對事件進行必要的闡述、評論和糾正。”

Lukaszewski稱，如今社交媒體益處頗多，危機應對團隊可以通過社交媒體迅速發送短消息，說明他們正在積極地處理問題。他建議建立一個“智能（SMART）”團隊，包含的要素包括社交能力（Social）、媒體聯系（media）、行動能力（action）、應對能力（Response）和團隊合作（Team）。

“我們的目標就是要采取迅速而有效的行動。危機中出錯在所難免。每天我們都要花費50%的精力和25%的資源來彌補昨天犯下的錯誤，”Lukaszewski說，“但請記住，哪怕應對工作在技術上再做到無可挑剔，如果相關溝通工作沒有做好，后果也不堪設想。遇到問題時要迅速反應、考慮周全，并采取行動。反應越慢，對聲譽的影響就越大。”

他還建議為每一種案例做一個相應的網頁，只在需要的時候進行激活。激活之后，網頁能夠提供案例相關的事實、數據、問答、注意事項以及交互特征。

“公司對計劃的實行情況會直接影響管理層的形象，包括內部員工和外部的客戶、商業伙伴、媒體以及監督實體等對管理層的感覺”， Rapa稱。他對普遍情況提出如下建議：

■ 保持冷靜。

■ 同受到波及的對象根據事件的性質和所涉范圍進行廣泛而頻繁的溝通。

■ 按方案進行，但在必要情況下也要適時做出調整。

■ 后續跟蹤，后續跟蹤，后續跟蹤。

Lukaszewski一直提醒客戶，要注意受害者的管理工作。“受害人需要得到關注，必須和他們進行交流，”他說，“聰明的公司會跟受害者進行溝通，受害者最想得到的就是一句‘抱歉，而管理層必須要用肯定而積極的語氣回復受害者。”

恢復能力

內部審計部門能夠幫助組織從危機中恢復正常的運行。具體工作包括：衡量組織工作有效性，以及對組織聲譽長期影響、恢復數據程序、所涉第三方控制以及危機應對和培訓所需資源是否充足等因素進行評估。

Parra表示，危機過后采取的措施能夠幫助組織完善危機應對計劃，其中應涵蓋有關經驗教訓的文件和申請。就算最后證實突發事件的影響微乎其微，也要進行書面材料的整理，簡明扼要地描述重點，以便存檔備用。

Rapa認為，需要進行描述的重點應包括以下內容：事發原因、影響、應對策略、恢復服務所需時間、行動項目、經驗教訓等。

“內部審計部門在危機過后的反思之中扮演主要角色，”Agnes說，“內部審計人員需要進行評估、檢查和完善工作，還需要同相關工作人員一起審視突發事件，針對一些問題進行探討。例如，我們是否能找到其他不同的解決辦法？我們該如何確保不會再次發生這類突發事件？我們采取的行動方案以及進行的溝通是否有效？”她還說：“應對團隊就這些問題給出答案，并進行討論、評價之后再進行對計劃的完善工作。強化應對計劃之后，還需利用模擬案例的方法，對其再次進行測試。”

如果內部審計能在貫徹這些經驗教訓中起到舉足輕重的作用——不論是在組織內部的各項活動還是在審計計劃中得到體現，都有可能由支持性角色轉變為應對危機的一線角色。

“如果審計人員覺得自己扮演的角色重要程度不足，那么就需要想辦法展示自己的價值所在，爭取一席之地。”Agnes建議道，“會有哪些委員會定期開會反思這類事件？又會有哪些委員會組織成員針對危機形式、預防管理和準備工作進行討論？只有爭取參與這些會議，才能獲得話語權，參與到日常推進的工作中去。”

總結

“不在場的人可能會引證同樣不在場的人的理論，詬病你應對危機的行動。”Lukaszewski說，“因此要把重點放在解決最重要的問題上面。”

他建議他的客戶要持續不斷地評估缺陷、管理風險，針對危機定期向管理層和董事會做簡要匯報。

在措辭上進行簡單的調整就可以簡化工作程序。“‘危機一詞會刺激領導者，因為幾乎沒有領導者認為危機會發生在自己頭上。”Lukaszewski說，“而‘做好準備這樣的說法能夠幫助他們更好地了解職責所在。”

Agnes表示，聽起來雖然老套，但是危機管理的最佳形式依然是危機預防。“首先確定最主要的風險，并采取措施防范那些可以預防且清晰可見的風險。”Agnes稱，“接下來就要確保針對那些無法預防的風險采取措施以有效管理。”

只要能夠確定主要問題，進行情景再現，開發相應的網頁、調整信息結構和順序，具備定期執行、檢測和更新的應對計劃，內部審計部門就能幫助組織做好應對危機的準備，提高整個組織應對危機的能力。即便是危機來臨，身處復雜多變的環境之中，組織還是可以適應環境、抵御不良影響、迅速恢復、維持正常的運營，最終避免在危機中遭受重創。

更多信息

Internal Auditor magazine， “Resilience Through Crisis，” J. Michael Jacka， April 2017 （www.theiia.org）

Deloitte， “A Crisis of Confidence，” 2016 （www.deloitte.com）

DRI International， International Glossary for Resilience （www.drii.org）

The IIA Practice Guide： Business Continuity Management （www.theiia.org）

“The Security Intelligence Center Next Steps： Beyond Response to Anticipation，” Internal Audit Foundation and Crowe Horwath （www.theiia.org）

關于國際內部審計師協會（IIA）

國際內部審計師協會（IIA）是在內部審計行業得到最廣泛認可的國際組織，是內部審計的倡導者，并提供教育服務、內部審計標準、實務指南和資格證書。國際內部審計師協會成立于1941年，如今會員人數超過190，000，遍布170多個國家和地區。IIA全球總部設在美國弗羅里達州的瑪麗湖。更多信息請登錄www.globaliia.org。

免責聲明

《全球視角和見解》中所含觀點并不一定完全代表接受訪談的人員及其雇主的觀點。

版權

國際內部審計師協會（IIA）2017知識產權受到嚴格保護。任何復制IIA名稱和標識的產品必須標記美國聯邦商標注冊符號。不經IIA允許，不得以任何形式利用材料中任何內容。