徐天然

目錄

內(nèi)部審計(jì)和危機(jī)應(yīng)對(duì)能力

信心危機(jī)浮出水面

為何提高危機(jī)應(yīng)對(duì)能力

抵御危機(jī)

應(yīng)對(duì)危機(jī)

恢復(fù)能力

總結(jié)

內(nèi)部審計(jì)和危機(jī)應(yīng)對(duì)能力

全球性威脅迅速發(fā)展，嚴(yán)重影響組織運(yùn)營(yíng)能力，導(dǎo)致相關(guān)危機(jī)日益頻發(fā)。復(fù)雜的網(wǎng)絡(luò)攻擊、多變的氣候、恐怖主義襲擊以及工人罷工等現(xiàn)象層出不窮、且無(wú)明顯征兆。危機(jī)事件頻頻發(fā)生，可能會(huì)導(dǎo)致組織無(wú)法持續(xù)運(yùn)營(yíng)，不能完成既定目標(biāo)，從而影響組織聲譽(yù)，使利益相關(guān)者感到失望。

最近一項(xiàng)調(diào)查結(jié)果顯示，董事會(huì)成員對(duì)于潛在危機(jī)的認(rèn)識(shí)與組織真正應(yīng)對(duì)危機(jī)的準(zhǔn)備程度之間存在很大差距。有能力意識(shí)到可能出現(xiàn)的危機(jī)、有效把控上述類型事件并且恢復(fù)正常運(yùn)行的確很難做到。而快速提升有效處理危機(jī)并將影響降至最低的能力——即危機(jī)應(yīng)對(duì)能力更加困難，這也是我們要實(shí)現(xiàn)的最終目標(biāo)。

危機(jī)專家認(rèn)為，提升危機(jī)應(yīng)對(duì)能力的關(guān)鍵是預(yù)警工作，而內(nèi)部審計(jì)在其中扮演著十分重要的角色。審計(jì)人員的技術(shù)能力、在組織中的位置以及對(duì)組織運(yùn)營(yíng)的深刻理解有助于做好準(zhǔn)備，應(yīng)對(duì)不可避免的風(fēng)險(xiǎn)，使組織從識(shí)別風(fēng)險(xiǎn)上升到應(yīng)對(duì)風(fēng)險(xiǎn)——為抵御、應(yīng)對(duì)重大事故并恢復(fù)運(yùn)營(yíng)做好準(zhǔn)備。

信任危機(jī)浮出水面

2016年我們與德勤會(huì)計(jì)師事務(wù)所以及福布斯觀察合作開(kāi)展了一項(xiàng)由全球300多名董事會(huì)成員參加的調(diào)查。通過(guò)調(diào)查，德勤會(huì)計(jì)師事務(wù)所發(fā)現(xiàn)，董事會(huì)充滿信心，認(rèn)為組織能夠正確意識(shí)到危機(jī)，并具備相應(yīng)的應(yīng)對(duì)能力。

調(diào)查報(bào)告顯示，超過(guò)四分之三（76%）的受訪董事會(huì)成員表示相信自己的組織能夠有效應(yīng)對(duì)可能出現(xiàn)的危機(jī)。還有不到一半（49%）的受訪者稱公司會(huì)提前監(jiān)控問(wèn)題，準(zhǔn)備針對(duì)類似危機(jī)事件的應(yīng)對(duì)方案。但仍有三分之一的受訪者甚至不知道組織是否有危機(jī)應(yīng)對(duì)方案。

只有一半的受訪者表示他們和管理層具體討論過(guò)危機(jī)的預(yù)防問(wèn)題，或是與管理層商洽后了解了組織支持風(fēng)險(xiǎn)應(yīng)對(duì)采取的措施。調(diào)查顯示，當(dāng)遇到具體危機(jī)時(shí)，風(fēng)險(xiǎn)意識(shí)和風(fēng)險(xiǎn)應(yīng)對(duì)準(zhǔn)備程度之間存在巨大差距。例如，73%的受訪董事會(huì)成員認(rèn)為聲譽(yù)危機(jī)是公司最薄弱的環(huán)節(jié)，然而只有39%的受訪者表示制定了應(yīng)對(duì)這一問(wèn)題的方案。對(duì)于經(jīng)歷過(guò)風(fēng)險(xiǎn)的組織來(lái)說(shuō)，只有不到三分之一（30%）的受訪者表示組織在一年之內(nèi)恢復(fù)了聲譽(yù)——16%的受訪者表示組織恢復(fù)聲譽(yù)至少需要四年的時(shí)間。

國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)進(jìn)行的一項(xiàng)調(diào)查也證實(shí)了危機(jī)應(yīng)對(duì)準(zhǔn)備工作的缺失。在一次有1500名內(nèi)部審計(jì)人員參加的危機(jī)風(fēng)險(xiǎn)在線會(huì)議上，只有不到三分之一（31%）的參會(huì)者稱自己的組織擁有“清晰、具體的危機(jī)應(yīng)對(duì)程序”。4%的受訪者確認(rèn)沒(méi)有建立危機(jī)應(yīng)對(duì)程序，一半的受訪者表示已經(jīng)建立了危機(jī)應(yīng)對(duì)程序，還有15%的人根本不知道組織是否有危機(jī)應(yīng)對(duì)程序存在。

這些調(diào)查說(shuō)明我們?cè)谔幚砦C(jī)方面還有很大的提升空間?！敖M織能夠在計(jì)劃和實(shí)施方面采取切實(shí)可行的措施，從而將危機(jī)意識(shí)轉(zhuǎn)化為應(yīng)對(duì)危機(jī)的能力?！钡虑谠趫?bào)告中指出，“組織還應(yīng)該在預(yù)防不良事件方面做出努力，防止不良事件演化為真正的危機(jī)。”

John Rapa是Tellefsen and Company LLC的總裁，他認(rèn)為內(nèi)部審計(jì)在危機(jī)預(yù)警中發(fā)揮了重要作用，能夠?yàn)閷徲?jì)計(jì)劃的戰(zhàn)略、策略、視野、設(shè)想和約束條件提供有價(jià)值的“理性之聲”。

“那些計(jì)劃制定、執(zhí)行和維護(hù)的負(fù)責(zé)人應(yīng)將內(nèi)部審計(jì)視為參謀，”Rapa稱，“審計(jì)人員應(yīng)在計(jì)劃準(zhǔn)備階段扮演咨詢角色，并進(jìn)行確認(rèn)性監(jiān)督，從而為計(jì)劃增加價(jià)值，提升風(fēng)險(xiǎn)管理監(jiān)督的有效性?！?/p>

為何提高危機(jī)應(yīng)對(duì)能力

內(nèi)部審計(jì)人員熟知組織內(nèi)部應(yīng)對(duì)突發(fā)事件的各類概念和文件，其中包括風(fēng)險(xiǎn)管理、業(yè)務(wù)連續(xù)性管理、應(yīng)急響應(yīng)、災(zāi)后復(fù)原以及技術(shù)服務(wù)連續(xù)性管理等。內(nèi)部審計(jì)部門經(jīng)常會(huì)參與這些計(jì)劃的制定工作。但是這些文件中有很多是針對(duì)某一特定業(yè)務(wù)，例如，業(yè)務(wù)連續(xù)性管理更多是以維持業(yè)務(wù)價(jià)值為基礎(chǔ)，其影響因素包括風(fēng)險(xiǎn)管理，是恢復(fù)運(yùn)營(yíng)的一項(xiàng)程序。

然而，當(dāng)出現(xiàn)人員傷亡、產(chǎn)品受到污染、客戶個(gè)人信息被盜以及組織總裁受辱等情況時(shí)，應(yīng)對(duì)危機(jī)就不僅僅是恢復(fù)業(yè)務(wù)運(yùn)營(yíng)那么簡(jiǎn)單了。

內(nèi)部審計(jì)人員應(yīng)密切參與危機(jī)應(yīng)對(duì)工作，對(duì)全局加以思考——包括組織的宏觀目標(biāo)以及相關(guān)風(fēng)險(xiǎn)，這樣才能夠提升董事會(huì)、高級(jí)管理層以及雇員的危機(jī)應(yīng)對(duì)能力，確定組織準(zhǔn)備就緒，協(xié)助組織逐步建立應(yīng)對(duì)危機(jī)的企業(yè)文化。

國(guó)際災(zāi)難恢復(fù)協(xié)會(huì)（DRI International）的專家認(rèn)為，有關(guān)危機(jī)的各類概念和定義以及應(yīng)急響應(yīng)中的模糊術(shù)語(yǔ)都可能對(duì)應(yīng)對(duì)危機(jī)造成困惑，而這正是眼下亟待解決的問(wèn)題，因此他們針對(duì)這一問(wèn)題建立了《國(guó)際風(fēng)險(xiǎn)應(yīng)對(duì)詞匯表》（The International Glossary for Resilience）。DRI首先匯編了業(yè)務(wù)連續(xù)性、災(zāi)后復(fù)原和風(fēng)險(xiǎn)管理等風(fēng)險(xiǎn)相關(guān)領(lǐng)域的術(shù)語(yǔ)，對(duì)2189項(xiàng)術(shù)語(yǔ)從特殊用途到普遍適用進(jìn)行編排，之后交由甄選委員會(huì)進(jìn)行審查，最后形成涵蓋26個(gè)行業(yè)、250項(xiàng)最佳定義的《國(guó)際風(fēng)險(xiǎn)應(yīng)對(duì)詞匯表》并出版發(fā)行。

詞匯表將“應(yīng)對(duì)能力”定義為“組織在復(fù)雜多變的環(huán)境中的適應(yīng)能力”，這一定義來(lái)自于美國(guó)工業(yè)安全世界協(xié)會(huì)（ASIS International）——一個(gè)全球性的安保實(shí)踐組織。對(duì)核心定義進(jìn)行進(jìn)一步擴(kuò)展以后的內(nèi)容包括：一是組織在“抵御不良影響以及受到不良影響之后在可接受的時(shí)間內(nèi)將組織運(yùn)營(yíng)恢復(fù)到可接受水平”的能力；二是“系統(tǒng)面對(duì)內(nèi)外部改變時(shí)維持系統(tǒng)功能和結(jié)構(gòu)，并在必要的時(shí)候做到漸進(jìn)衰退”的能力。

避免遭受危機(jī)的影響正是Melissa Agnes和James Lukaszewski等危機(jī)專家工作的目標(biāo)。深入思考準(zhǔn)備工作以及通過(guò)角色扮演模擬各種危機(jī)突發(fā)情境是幫助員工在危機(jī)真正發(fā)生時(shí)保持冷靜的最佳辦法。

Lukaszewski表示，“危機(jī)會(huì)打斷日常運(yùn)營(yíng)，在人事和生產(chǎn)方面制造阻礙，損害企業(yè)聲譽(yù)，從而產(chǎn)生受害者和突發(fā)性的事件曝光?！弊鳛橐幻麑I(yè)書(shū)籍的作者、知名演講人和風(fēng)險(xiǎn)管理顧問(wèn)，他表示組織生存的關(guān)鍵在于危機(jī)發(fā)生前和領(lǐng)導(dǎo)層協(xié)作制定計(jì)劃，并在危機(jī)爆發(fā)的最初幾小時(shí)乃至幾分鐘內(nèi)就對(duì)其加以管理，這不但需要縝密嚴(yán)謹(jǐn)?shù)乃伎迹€需要能夠設(shè)身處地地為受危機(jī)影響的對(duì)象著想。

Agnes是一位國(guó)際危機(jī)管理戰(zhàn)略專家和演講人。她建議客戶針對(duì)危機(jī)狀況做好演練，確定組織“擁有正確的內(nèi)部上報(bào)程序和正確的決策人，并為溝通做好準(zhǔn)備?！?/p>

抵御危機(jī)

來(lái)自哥倫比亞的危機(jī)管理顧問(wèn)Hector Parra認(rèn)為，當(dāng)風(fēng)險(xiǎn)成為現(xiàn)實(shí)，就意味著危機(jī)已經(jīng)發(fā)生?！皾M足利益相關(guān)者的需求是每個(gè)公司的使命，因此公司會(huì)努力達(dá)成戰(zhàn)略、運(yùn)營(yíng)、信息和承諾相關(guān)的目標(biāo)。當(dāng)這些目標(biāo)都尚未實(shí)現(xiàn)的時(shí)候，就會(huì)存在不確定性，而且實(shí)現(xiàn)目標(biāo)可能會(huì)受到風(fēng)險(xiǎn)的影響?！盤arra表示，“因此我們把危機(jī)看作是一個(gè)現(xiàn)實(shí)的重大風(fēng)險(xiǎn)?！?/p>

阻止風(fēng)險(xiǎn)演化成危機(jī)的第一步是對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確定位。

戰(zhàn)略專家Agnes和她的客戶商討如何發(fā)現(xiàn)即將到來(lái)的危機(jī)?！捌渲幸粋€(gè)辦法是詢問(wèn)管理層對(duì)哪些問(wèn)題最感到擔(dān)憂。我們可以從排名前五的問(wèn)題或者10大高風(fēng)險(xiǎn)情況入手，為之后的工作指明方向?！彼v道，“一旦確定了風(fēng)險(xiǎn)所在，就可以進(jìn)行深入研究。我們可以和管理層所有成員進(jìn)行溝通，了解他們的觀點(diǎn)。對(duì)所有高風(fēng)險(xiǎn)情況進(jìn)行完整的了解是應(yīng)對(duì)危機(jī)的最佳方式?！?/p>

被稱為“美國(guó)危機(jī)管理大師”的Lukaszewski對(duì)此表示贊同?！俺晒Φ臏?zhǔn)備工作都應(yīng)當(dāng)以具體情景的實(shí)際情況為基礎(chǔ)”，他表示。

最終制定的方案可以指導(dǎo)組織抵御風(fēng)險(xiǎn)和應(yīng)對(duì)風(fēng)險(xiǎn)，而內(nèi)部審計(jì)部門對(duì)于方案制定和執(zhí)行過(guò)程的密切關(guān)注可以為完善方案帶來(lái)極大的幫助。專家建議在計(jì)劃中把工作重點(diǎn)放在危機(jī)發(fā)生可能性、影響程度以及可能出現(xiàn)的附帶損害方面。

“設(shè)計(jì)危機(jī)應(yīng)對(duì)方案時(shí)需要考慮可能出現(xiàn)的最糟糕的狀況，根據(jù)風(fēng)險(xiǎn)排序，利用自下而上的方法，將風(fēng)險(xiǎn)由高至低進(jìn)行排列”， Hector Parra建議，“風(fēng)險(xiǎn)應(yīng)對(duì)方案的每一種形式都應(yīng)選取一種特定的方式，選擇的依據(jù)就是案例的具體情況，尤其是受到危機(jī)影響的對(duì)象，包括雇員、社團(tuán)、客戶和利益相關(guān)者。”

行動(dòng)計(jì)劃應(yīng)盡可能地涵蓋更多細(xì)節(jié)，如最初24小時(shí)內(nèi)采取的措施、最初48小時(shí)內(nèi)采取的措施、前瞻性聲明、被動(dòng)反應(yīng)、在事先確定的領(lǐng)域中各自應(yīng)當(dāng)扮演的角色、溝通方式以及法律要求等。如果制定的計(jì)劃能夠解決最嚴(yán)重的情況，也肯定能適用于其他影響較小的狀況。計(jì)劃應(yīng)包含激活的條件，并為雇員提供報(bào)告方式，使其能夠看清預(yù)示危機(jī)情況的早期信號(hào)。

測(cè)試和培訓(xùn)

Lukaszewski建議，組織要對(duì)應(yīng)對(duì)危機(jī)的方案進(jìn)行測(cè)試，以便當(dāng)危機(jī)真正發(fā)生時(shí)，組織可以更快轉(zhuǎn)換至應(yīng)對(duì)模式。除了應(yīng)對(duì)危機(jī)的演習(xí)之外，還應(yīng)利用輔導(dǎo)和培訓(xùn)的方法，針對(duì)正確和錯(cuò)誤的情況進(jìn)行模擬演練，再加上沙盤練習(xí)，使得每個(gè)人都能對(duì)自己的角色有更加深入的了解。培訓(xùn)過(guò)后再對(duì)方案進(jìn)行升級(jí)。Lukaszewski說(shuō)：“問(wèn)問(wèn)你自己以及參與練習(xí)的每個(gè)成員，我們還需要在哪方面進(jìn)行更加深入的了解，基于已經(jīng)發(fā)生的情況我們還會(huì)面臨哪些新的情況?！?/p>

培訓(xùn)至關(guān)重要。舉例來(lái)說(shuō)，如果我們需要抵御一次網(wǎng)絡(luò)危機(jī)，內(nèi)部審計(jì)部門可以接觸到雇員，針對(duì)個(gè)人的職責(zé)在他們所扮演的角色中加入個(gè)人特色，幫助組織提升危機(jī)意識(shí)，向員工通報(bào)避免危機(jī)的最佳實(shí)務(wù)，如修改密碼、采用多因素認(rèn)證方式、如何打開(kāi)異常的電子郵件等。一些組織會(huì)定期向員工發(fā)送可疑電郵，用來(lái)測(cè)試員工的風(fēng)險(xiǎn)意識(shí)。一旦員工打開(kāi)這些郵件，就會(huì)被約請(qǐng)參加培訓(xùn)。經(jīng)驗(yàn)豐富的審計(jì)人員對(duì)系統(tǒng)修補(bǔ)程序有更深入的了解，會(huì)定期檢測(cè)信息技術(shù)控制的重要性，并從現(xiàn)有的框架中總結(jié)經(jīng)驗(yàn)。

針對(duì)每一種危機(jī)狀況狀況可以安排個(gè)性化的準(zhǔn)備工作?！安煌C(jī)會(huì)產(chǎn)生不同影響，”Agnes稱，“唯一不變的是利益相關(guān)者的期待和擔(dān)心。一定要仔細(xì)考慮初始表格中值得關(guān)注的注意事項(xiàng)，然后制定應(yīng)對(duì)策略，其中包含的具體行動(dòng)可能會(huì)根據(jù)具體情況有所不同?！?/p>

Lukaszewski提出了一個(gè)“準(zhǔn)備工作公式”，只要明確了準(zhǔn)確的聯(lián)系方式，并能夠快速找到負(fù)責(zé)做出決定的人，準(zhǔn)備工作就已經(jīng)完成了四分之三。

他表示，“決策環(huán)節(jié)是應(yīng)對(duì)危機(jī)過(guò)程中的最大障礙之一”，制作準(zhǔn)確的通訊錄在所有清除障礙工作中的占比是75%。其他工作，包括預(yù)授權(quán)，占15%。預(yù)授權(quán)也就是可以提前做出的決定，如提前預(yù)訂車輛，當(dāng)災(zāi)難發(fā)生的時(shí)候可以獲取車輛對(duì)人員進(jìn)行轉(zhuǎn)移。還有8%是大量方案的準(zhǔn)備和測(cè)試工作，剩余2%用于應(yīng)對(duì)突發(fā)事件。情況如果轉(zhuǎn)變成為危機(jī)就屬于突發(fā)事件。

Agnes對(duì)此表示贊同，稱方案中應(yīng)做好人員安排，從而確保正確的上報(bào)流程。她表示，“正確的內(nèi)部上報(bào)流程能夠確保在合適的時(shí)間內(nèi)做出正確的人員安排，從而做好以下兩方面工作：面對(duì)完全成型的危機(jī)時(shí)迅速上報(bào)，或是當(dāng)現(xiàn)實(shí)情況沒(méi)有那么糟糕的時(shí)候避免不必要的上報(bào)。”她解釋道，“正確的人員安排”意味著每個(gè)業(yè)務(wù)部門、分支或是利益相關(guān)者群體都要有一個(gè)代表，宏觀把控整體情況，而不是僅僅局限于合法、合規(guī)的角度，或是總裁和人事經(jīng)理的看法。

Rapa把這個(gè)群體稱為事故管理團(tuán)隊(duì)或是危機(jī)管理團(tuán)隊(duì)，而且主張建立跨職能、跨領(lǐng)域的團(tuán)隊(duì)，人員組成涵蓋高級(jí)管理層、運(yùn)營(yíng)部門、技術(shù)部門、法律部門、媒體關(guān)系部門和客戶關(guān)系部門等。

《內(nèi)部審計(jì)師》雜志在2017年4月刊中提到，應(yīng)對(duì)方案制定過(guò)程中，不僅要考慮組織本身會(huì)遇到的危機(jī)，還要考慮組織所在行業(yè)和地域可能遇到的危機(jī)情況。J. Michael Jacka在文中提到，例如，福特在大眾汽車的丑聞爆發(fā)后，迅速發(fā)布聲明，稱沒(méi)有使用減效裝置，從而未受波及。題為《Resilience Through Crisis》的文章中也對(duì)此提出警示，明確指出組織指定的發(fā)言人不但需要媒體技術(shù)，還必須擁有適當(dāng)?shù)男姓?quán)力，確定的應(yīng)對(duì)方案中應(yīng)包含與媒體接洽的具體信息。

完全解決一個(gè)事件可能會(huì)花費(fèi)數(shù)月時(shí)間——期間需要建立上報(bào)程序、找到差距、為整個(gè)組織準(zhǔn)備應(yīng)對(duì)方案。Lukaszewski建議，一年內(nèi)只能為一到兩個(gè)案例制定應(yīng)對(duì)方案。

一整套應(yīng)對(duì)計(jì)劃意義非凡，專家則表示沒(méi)有一勞永逸的方案，應(yīng)視情況而定。

Rapa表示，“想要為應(yīng)對(duì)所有可感知和可預(yù)見(jiàn)的威脅制定統(tǒng)一一套突發(fā)事件管理計(jì)劃不是沒(méi)有可能，但相當(dāng)困難?！?/p>

準(zhǔn)備程序確定以后，下一步就要樹(shù)立應(yīng)對(duì)危機(jī)的企業(yè)文化，提升組織應(yīng)對(duì)危機(jī)的能力。

應(yīng)對(duì)危機(jī)

由于對(duì)工作流程的積極參與和深入理解，內(nèi)部審計(jì)部門能夠幫助組織在危機(jī)發(fā)生之后安撫人心，減輕人們的擔(dān)憂和抵觸情緒。

內(nèi)部審計(jì)部門應(yīng)確保最新的危機(jī)管理方案能夠全面解決突發(fā)事件，并核實(shí)組織建立應(yīng)對(duì)突發(fā)事件團(tuán)隊(duì)的能力。比如，危機(jī)發(fā)生以后，審計(jì)部門能夠負(fù)責(zé)評(píng)估事件所涉范圍、對(duì)第三方的需求、組織聲譽(yù)風(fēng)險(xiǎn)以及組織場(chǎng)外數(shù)據(jù)存儲(chǔ)地址的安全性。內(nèi)部審計(jì)部門可以和組織內(nèi)部顧問(wèn)進(jìn)行合作，核實(shí)法律方面的衍生后果；幫助人力資源部門研究調(diào)查雇員情況；或是確定是否能夠配備人手負(fù)責(zé)解決突發(fā)事件。審計(jì)人員也能幫助組織與公眾、雇員、業(yè)務(wù)伙伴和利益相關(guān)者定期進(jìn)行開(kāi)放性的溝通。

“成功的應(yīng)對(duì)團(tuán)隊(duì)要根植于組織之中，幫助組織確定并理解風(fēng)險(xiǎn)，協(xié)助高級(jí)管理層做出化解風(fēng)險(xiǎn)的最佳決策，”Rapa說(shuō)，“利益相關(guān)者審查通過(guò)應(yīng)對(duì)方案以后，內(nèi)部審計(jì)應(yīng)在方案部署中扮演監(jiān)督角色?！?/p>

Parra認(rèn)為，災(zāi)難發(fā)生之后，首先要做的就是采取應(yīng)急響應(yīng)措施，解救生命，保護(hù)資產(chǎn)。采取應(yīng)對(duì)措施要爭(zhēng)分奪秒。Parra稱，內(nèi)外部應(yīng)立即就發(fā)生的情況以及接下來(lái)應(yīng)采取的應(yīng)對(duì)策略進(jìn)行溝通，這一點(diǎn)至關(guān)重要。例如，哥倫比亞的一家銀行系統(tǒng)出現(xiàn)問(wèn)題，影響了線上交易。銀行立刻和客戶以及官方進(jìn)行溝通，告知問(wèn)題所在并采取補(bǔ)救措施，從而避免出現(xiàn)恐慌。

他建議內(nèi)部審計(jì)部門幫助組織評(píng)估危機(jī)的嚴(yán)重程度。為此，內(nèi)部審計(jì)部門要了解危機(jī)在組織完成目標(biāo)、人事、聲譽(yù)、包括數(shù)據(jù)和信息在內(nèi)的資產(chǎn)以及涉及環(huán)境法規(guī)等方面所造成的影響。

Agnes認(rèn)為，判斷危機(jī)的嚴(yán)重程度需要反思危機(jī)發(fā)生之前的相關(guān)情形，穩(wěn)步推進(jìn)一項(xiàng)考慮周全的計(jì)劃有助于組織樹(shù)立應(yīng)對(duì)危機(jī)的企業(yè)文化。

“這就意味著組織不能制定計(jì)劃之后就將其擱置起來(lái)。即便是每個(gè)月檢查一次也不夠。因?yàn)橛绊懳C(jī)的因素會(huì)不斷地發(fā)生變化，對(duì)組織造成影響”，她說(shuō)，“我們需要做的是進(jìn)行風(fēng)險(xiǎn)管理，規(guī)避危機(jī)，將危機(jī)應(yīng)對(duì)融入組織的方方面面。團(tuán)隊(duì)成員需要熟知計(jì)劃內(nèi)容，還需清楚自己的職責(zé)所在，并掌握行動(dòng)的最佳方式——就跟專業(yè)運(yùn)動(dòng)員在長(zhǎng)年累月的訓(xùn)練中形成肌肉記憶一樣，成為本能反應(yīng)?！?/p>

溝通是危機(jī)應(yīng)對(duì)中最重要的一環(huán)?！氨３殖聊馕吨?，”Agnes表示，“保持沉默或許曾經(jīng)有效，但如今并不可取?！?/p>

Lukaszewski則將保持沉默視為“最具腐蝕性和有害性的戰(zhàn)略選擇”。他建議組織要主動(dòng)進(jìn)行溝通，并保持“坦誠(chéng)、開(kāi)放和真摯”的態(tài)度。各個(gè)代表應(yīng)保持“平易近人、積極響應(yīng)、透明公開(kāi)、兢兢業(yè)業(yè)的態(tài)度，做好準(zhǔn)備，對(duì)事件進(jìn)行必要的闡述、評(píng)論和糾正。”

Lukaszewski稱，如今社交媒體益處頗多，危機(jī)應(yīng)對(duì)團(tuán)隊(duì)可以通過(guò)社交媒體迅速發(fā)送短消息，說(shuō)明他們正在積極地處理問(wèn)題。他建議建立一個(gè)“智能（SMART）”團(tuán)隊(duì)，包含的要素包括社交能力（Social）、媒體聯(lián)系（media）、行動(dòng)能力（action）、應(yīng)對(duì)能力（Response）和團(tuán)隊(duì)合作（Team）。

“我們的目標(biāo)就是要采取迅速而有效的行動(dòng)。危機(jī)中出錯(cuò)在所難免。每天我們都要花費(fèi)50%的精力和25%的資源來(lái)彌補(bǔ)昨天犯下的錯(cuò)誤，”Lukaszewski說(shuō)，“但請(qǐng)記住，哪怕應(yīng)對(duì)工作在技術(shù)上再做到無(wú)可挑剔，如果相關(guān)溝通工作沒(méi)有做好，后果也不堪設(shè)想。遇到問(wèn)題時(shí)要迅速反應(yīng)、考慮周全，并采取行動(dòng)。反應(yīng)越慢，對(duì)聲譽(yù)的影響就越大?！?/p>

他還建議為每一種案例做一個(gè)相應(yīng)的網(wǎng)頁(yè)，只在需要的時(shí)候進(jìn)行激活。激活之后，網(wǎng)頁(yè)能夠提供案例相關(guān)的事實(shí)、數(shù)據(jù)、問(wèn)答、注意事項(xiàng)以及交互特征。

“公司對(duì)計(jì)劃的實(shí)行情況會(huì)直接影響管理層的形象，包括內(nèi)部員工和外部的客戶、商業(yè)伙伴、媒體以及監(jiān)督實(shí)體等對(duì)管理層的感覺(jué)”， Rapa稱。他對(duì)普遍情況提出如下建議：

■ 保持冷靜。

■ 同受到波及的對(duì)象根據(jù)事件的性質(zhì)和所涉范圍進(jìn)行廣泛而頻繁的溝通。

■ 按方案進(jìn)行，但在必要情況下也要適時(shí)做出調(diào)整。

■ 后續(xù)跟蹤，后續(xù)跟蹤，后續(xù)跟蹤。

Lukaszewski一直提醒客戶，要注意受害者的管理工作?！笆芎θ诵枰玫疥P(guān)注，必須和他們進(jìn)行交流，”他說(shuō)，“聰明的公司會(huì)跟受害者進(jìn)行溝通，受害者最想得到的就是一句‘抱歉，而管理層必須要用肯定而積極的語(yǔ)氣回復(fù)受害者?！?/p>

恢復(fù)能力

內(nèi)部審計(jì)部門能夠幫助組織從危機(jī)中恢復(fù)正常的運(yùn)行。具體工作包括：衡量組織工作有效性，以及對(duì)組織聲譽(yù)長(zhǎng)期影響、恢復(fù)數(shù)據(jù)程序、所涉第三方控制以及危機(jī)應(yīng)對(duì)和培訓(xùn)所需資源是否充足等因素進(jìn)行評(píng)估。

Parra表示，危機(jī)過(guò)后采取的措施能夠幫助組織完善危機(jī)應(yīng)對(duì)計(jì)劃，其中應(yīng)涵蓋有關(guān)經(jīng)驗(yàn)教訓(xùn)的文件和申請(qǐng)。就算最后證實(shí)突發(fā)事件的影響微乎其微，也要進(jìn)行書(shū)面材料的整理，簡(jiǎn)明扼要地描述重點(diǎn)，以便存檔備用。

Rapa認(rèn)為，需要進(jìn)行描述的重點(diǎn)應(yīng)包括以下內(nèi)容：事發(fā)原因、影響、應(yīng)對(duì)策略、恢復(fù)服務(wù)所需時(shí)間、行動(dòng)項(xiàng)目、經(jīng)驗(yàn)教訓(xùn)等。

“內(nèi)部審計(jì)部門在危機(jī)過(guò)后的反思之中扮演主要角色，”Agnes說(shuō)，“內(nèi)部審計(jì)人員需要進(jìn)行評(píng)估、檢查和完善工作，還需要同相關(guān)工作人員一起審視突發(fā)事件，針對(duì)一些問(wèn)題進(jìn)行探討。例如，我們是否能找到其他不同的解決辦法？我們?cè)撊绾未_保不會(huì)再次發(fā)生這類突發(fā)事件？我們采取的行動(dòng)方案以及進(jìn)行的溝通是否有效？”她還說(shuō)：“應(yīng)對(duì)團(tuán)隊(duì)就這些問(wèn)題給出答案，并進(jìn)行討論、評(píng)價(jià)之后再進(jìn)行對(duì)計(jì)劃的完善工作。強(qiáng)化應(yīng)對(duì)計(jì)劃之后，還需利用模擬案例的方法，對(duì)其再次進(jìn)行測(cè)試?！?/p>

如果內(nèi)部審計(jì)能在貫徹這些經(jīng)驗(yàn)教訓(xùn)中起到舉足輕重的作用——不論是在組織內(nèi)部的各項(xiàng)活動(dòng)還是在審計(jì)計(jì)劃中得到體現(xiàn)，都有可能由支持性角色轉(zhuǎn)變?yōu)閼?yīng)對(duì)危機(jī)的一線角色。

“如果審計(jì)人員覺(jué)得自己扮演的角色重要程度不足，那么就需要想辦法展示自己的價(jià)值所在，爭(zhēng)取一席之地?！盇gnes建議道，“會(huì)有哪些委員會(huì)定期開(kāi)會(huì)反思這類事件？又會(huì)有哪些委員會(huì)組織成員針對(duì)危機(jī)形式、預(yù)防管理和準(zhǔn)備工作進(jìn)行討論？只有爭(zhēng)取參與這些會(huì)議，才能獲得話語(yǔ)權(quán)，參與到日常推進(jìn)的工作中去。”

總結(jié)

“不在場(chǎng)的人可能會(huì)引證同樣不在場(chǎng)的人的理論，詬病你應(yīng)對(duì)危機(jī)的行動(dòng)?！盠ukaszewski說(shuō)，“因此要把重點(diǎn)放在解決最重要的問(wèn)題上面。”

他建議他的客戶要持續(xù)不斷地評(píng)估缺陷、管理風(fēng)險(xiǎn)，針對(duì)危機(jī)定期向管理層和董事會(huì)做簡(jiǎn)要匯報(bào)。

在措辭上進(jìn)行簡(jiǎn)單的調(diào)整就可以簡(jiǎn)化工作程序?！啊C(jī)一詞會(huì)刺激領(lǐng)導(dǎo)者，因?yàn)閹缀鯖](méi)有領(lǐng)導(dǎo)者認(rèn)為危機(jī)會(huì)發(fā)生在自己頭上?！盠ukaszewski說(shuō)，“而‘做好準(zhǔn)備這樣的說(shuō)法能夠幫助他們更好地了解職責(zé)所在。”

Agnes表示，聽(tīng)起來(lái)雖然老套，但是危機(jī)管理的最佳形式依然是危機(jī)預(yù)防?！笆紫却_定最主要的風(fēng)險(xiǎn)，并采取措施防范那些可以預(yù)防且清晰可見(jiàn)的風(fēng)險(xiǎn)。”Agnes稱，“接下來(lái)就要確保針對(duì)那些無(wú)法預(yù)防的風(fēng)險(xiǎn)采取措施以有效管理?！?/p>

只要能夠確定主要問(wèn)題，進(jìn)行情景再現(xiàn)，開(kāi)發(fā)相應(yīng)的網(wǎng)頁(yè)、調(diào)整信息結(jié)構(gòu)和順序，具備定期執(zhí)行、檢測(cè)和更新的應(yīng)對(duì)計(jì)劃，內(nèi)部審計(jì)部門就能幫助組織做好應(yīng)對(duì)危機(jī)的準(zhǔn)備，提高整個(gè)組織應(yīng)對(duì)危機(jī)的能力。即便是危機(jī)來(lái)臨，身處復(fù)雜多變的環(huán)境之中，組織還是可以適應(yīng)環(huán)境、抵御不良影響、迅速恢復(fù)、維持正常的運(yùn)營(yíng)，最終避免在危機(jī)中遭受重創(chuàng)。

更多信息

Internal Auditor magazine， “Resilience Through Crisis，” J. Michael Jacka， April 2017 （www.theiia.org）

Deloitte， “A Crisis of Confidence，” 2016 （www.deloitte.com）

DRI International， International Glossary for Resilience （www.drii.org）

The IIA Practice Guide： Business Continuity Management （www.theiia.org）

“The Security Intelligence Center Next Steps： Beyond Response to Anticipation，” Internal Audit Foundation and Crowe Horwath （www.theiia.org）

關(guān)于國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）

國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）是在內(nèi)部審計(jì)行業(yè)得到最廣泛認(rèn)可的國(guó)際組織，是內(nèi)部審計(jì)的倡導(dǎo)者，并提供教育服務(wù)、內(nèi)部審計(jì)標(biāo)準(zhǔn)、實(shí)務(wù)指南和資格證書(shū)。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)成立于1941年，如今會(huì)員人數(shù)超過(guò)190，000，遍布170多個(gè)國(guó)家和地區(qū)。IIA全球總部設(shè)在美國(guó)弗羅里達(dá)州的瑪麗湖。更多信息請(qǐng)登錄www.globaliia.org。

免責(zé)聲明

《全球視角和見(jiàn)解》中所含觀點(diǎn)并不一定完全代表接受訪談的人員及其雇主的觀點(diǎn)。

版權(quán)

國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）2017知識(shí)產(chǎn)權(quán)受到嚴(yán)格保護(hù)。任何復(fù)制IIA名稱和標(biāo)識(shí)的產(chǎn)品必須標(biāo)記美國(guó)聯(lián)邦商標(biāo)注冊(cè)符號(hào)。不經(jīng)IIA允許，不得以任何形式利用材料中任何內(nèi)容。