浅析商业银行“业务连续性管理体系”的构建
当前世界所面临的风险有恐怖袭击、黑客、 网络侵袭、电脑病毒、自然灾害、大规模停电、罢工、环保、市场恶性竞争、企业倒闭等,近年来发生的“9.11”、“SARS”事件、印度洋海啸等给国家和企业带来重大的损失。在金融领域,重大灾害事故亦不鲜见,2005年11月日本东京证券交易所由于 系统故障,所有股票、可转换公司债、信托投资等共计2,520个品种暂停交易,整个上午无法进行主要交易;2005年6月17日,由于美国信用卡系统解决方案公司 CardSystems 的安全漏洞,导致4000万用户的银行资料被泄漏,其中包括 MASTER 公司的1390万用户、VISA 的2200万客户;2006年4月,银联全国跨行交易系统瘫痪6小时,国内大部分商户的POS机无法刷卡,所有银行的ATM终端无法跨行操作,造成了重大社会影响等等一系列的事件。由此可见金融业务数据大集中的同时,客观上也把风险集中和放大起来
根据权威机构统计,美国在近10年间遭遇过灾难事件的公司中,有55%的公司马上倒闭,因为数据丢失造成业务无法持续,有29%的公司在两年之内倒闭
据Gartner Group统计,在经历大型灾难事件而导致系统停运的公司中,有2/5左右再也没有恢复运营,剩下的公司中也有接近1/3在两年内破产。9.11事件中,1200家企业受灾,400家企业启动了灾难恢复计划,其中摩根士丹利公司几天后在新泽西州恢复营业,而无灾备能力的企业损失惨重
世界各国的案例表明,传统的业务管理方法及流程,在遭遇灾害事件时常常不堪一击。越来越多的危机事件的影响使人们认识到,只有构建真正有效 应对危机事件的管理体系,使管理科学化、手段现代化,才能保证业务的连续运行,实现企业的可持续发展。在此背景下,业务持续管理 (BCM)应运而生。BCM的重要性显著增加,在英国,拥有行之有效的业务持续 计划,已成为企业上市的基本要求;美国企业法对业务持续管理的具体措施也有明确要求;新加坡已拥有多个保证业务连续性的标准流程和管理规范,其金融局已经制定了业务持续管理的指导规范和管理标准。
一、我国金融机构业务连续性管理现状
近年来,我国金融机构在IT系统的连续性计划方面做了不少工作,不少机构投入大量资源建立灾难备份中心,制定了IT系统业务连续性计划,在技术层面上开展灾备演练,积累了宝贵的经验。但还是存在着重建设轻保障;业务连续性管理体系建设难;监管考核工作难的问题,虽然建立起了完善的灾备系统,但是由于平常没有做过系统演练,当真正问题出现的时候谁都不敢轻易切换系统,生怕切换后导致无法切换回来的情况。同时从总体上看,我国金融机构业务连续性管理主要工作仍停留在IT系统灾难恢复的技术层面,仍未建立以全面业务恢复为目标的全面业务连续性管理的需求规划、应急响应策略、流程和持续维护等机制。
商业银行业务连续性管理情况引起监管机构的高度关注,银监会加强了银行业全面业务连续性管理监控,监管力度不断加大,“十二五规划”中已经把信息科技全面纳入到风险管理体制中。商业银行不但要加强信用风险管理,市场风险管理同时还要加强操作风险管理,强调过程管理,KPI机制,引入流程化管理,建立一体化管理平台【包括运维中心体系建设,开发中心体系建设和安全中心体系建设】加强运维,开发,安全中心的横向协助能力,当然,运维中心和开发中心,监管部门和安全中心的纵向协助能力的建设也是非常重要。
监管指引还强调将“业务连续性计划的监管控制”作为一个独立的评价部分,要求各家银行进行自我评估。银监会召开专门会议对评估情况进行了通报和分析,表示将把业务连续性规划纳入银行风险的监管体系之中,并将组织人员对各家银行的整改情况组织现场检查。根据监管要求及内部管理需要,部分商业银行已着手开展业务连续性规划设计工作,但业务连续性管理工作对国内银行业而言是全新领域,目前国内金融机构此项工作还处于“摸着石头过河”的阶段,各机构源投入、开展情况各不相同。
二、商业银行业务连续性管理体系的构建
商业银行业务连续性管理体系应涵盖业务经营、运营支持、后勤保障等所有业务板块,涵盖事前、事中、事后等全程管理,构建完善业务连续性管理体系是一项长期性、系统性工程。
1. 商业银行业务连续性管理体系的目标及构建思路
业务连续性管理的目标是:提高商业银行抵御危机事件的能力,有效消除或抵御潜在的风险,迅速处置,阻止或抵消不确定事件造成的威胁,并对存在的薄弱环节持续改进完善,确保商业银行日常业务平稳运行和可持续发展。
商业银行业务连续性管理体系的构建思路是:预设灾难场景,事先建立标准化、流程化的管理机制,当危机真正发生时,确保有适当的人在适当的时间 做适当的事,执行事先确定的管理程序、操作步骤,以达到减少损失、实现业务可持续的目的。也就是说,提早设定整个危机事件处置的决策过程,事先考虑危机事件影响的可能性,预先做好内外部资源的安排、外部信息的处理与公关、人员及设施的备份等各项安排,当危机来临时,按照事先设计好的系列程序有条不紊地处置,防止因事件突发导致处理决策失误,确保机构主要业务的可持续运作,尽可能将损失减到最少。
2. 业务连续性管理实施方案的制定
业务连续性管理实施方案的制定应遵循以关键业务为核心、以流程为基础的原则。“以关键业务为核心”指梳理业务流程,针对关键和支持性的业务环节制定解决方案,以确保关键业务的可持续性运作为目标。“以流程为基础”指进行合理的流程设计,当损坏事件出现时,按照设定的程序执行解决方案,确保适当的人在适当的时间做适当的事。
E8.BCM为银行搭建坚实的业务连续性保障基石,提高全行风控防范能力,保障业务持续运营机制。达到主动排查及预防银行风险隐患,全面保障业务的持续运营。同时可配置各种业务参数及灵活的流程控制台工具配置业务连续性管理的各种管理流程。支撑系统演练多层面、多维度、多视角的分析。通过报告整合及结果展现,持续优化各种预案及演练流程,帮助银行建立业务连续性管理执行力和实现监管达标要求。