任何企業都存在著或大或小的風險，只是這風險是否發生、何時發生等情況不容易被預測而已。企業管理者通常要具備三識：知識、見識及膽識，企業的運營風險也應該常存在管理者的心中，做好避免風險、降低風險、轉移風險或接受風險的準備，以有備無患的預防思維為基礎，一旦風險發生也能使企業連續業務不致中斷或造成企業倒閉事件。

    企業“生于憂患、死于安樂”的情形時有所聞。企業的經營原本就是處在競爭的殺戮戰場中，否則為什么有調查數據顯示只有十分之一的企業能繼續存活下來，而十分之九的企業在創業初期就遭到淘汰。那些存活下的的企業則又面臨其他難以預料的風險，例如火災、風災、地震、法律、技術、人員、信息、財務、金融…等。

    這些潛藏的風險如何規避？ISO22301業務連續性管理(BCM)提出一套管理的模式，希望減少風險的發生或風險發生后的損失。風險的發生不是我們可以預期的，2008年的金融風暴淘盡多少意氣風發的企業，逃過一劫的企業多半已經傷筋動骨正在休養生息等待再起。以下簡要說明業務連續的管理架構，做為未來企業建構其體系的參考依據。

業務連續性管理(BCM)架構

   掌握現況必須先決定企業業務的范圍及所處環境，將范圍內及環境中的可能風險類別逐一條列出來，當然，企業的型態不同，風險的類別也會不同。但是在可能的風險類別數據庫中，可以尋找出跟自己企業相關的可能風險，這樣也就構成一個縝密的避險網絡，將企業面臨風險的機會先行考慮與回避。

一、業務影響分析(BIA , Business Impact Analysis)

    業務影響分析主要是先識別出企業的關鍵業務流程，理清這些關鍵業務流程所需的資源，對資源不能連續而引起業務中斷的風險進行識別。

    關鍵業務流程通常包括：銷售、研發、生產、交付、供應鏈、財務、人力資源、廠房設施…等，而這些關鍵流程所需的資源可能包括：資金、技術、人力、能(資)源(例如，水、電、油、氣等)、材料、設備、運輸工具…等。

    風險評估(RA , Risk Assessment)

    風險評估是對企業資源中斷的風險進行評估，首先針對不同的風險項目進行風險分析及評估。通常會將各風險項目的嚴重性及發生頻率進行評比，確定風險的等級高低，針對風險高的項目，提出風險的因應方式，也就是制定風險的應對策略---業務連續性策略。

二、應對風險

    業務連續性策略(Business Continuity Strategy)

     一般而言，風險的應對策略分為四類：避免風險、降低風險、轉移風險及接受風險。

     避免風險：當出現風險引發的影響很大時，應該盡力阻止風險發生。

     降低風險：采用適當的控制方法，當風險出現時能控制損失的程度。

     轉移風險：將風險轉移給其他組織，例如將風險轉移給產險的保險公司。

     接受風險：對于可以接受的風險采取因應的措施。

另外，還有緊急響應計劃、災害恢復計劃…等，都是屬于應對風險環節的重要工作項目。