基于全国性银行机构的问题与对策.docxVIP

基于全国性银行机构的问题与对策 摘要：疫情防控给银行尤其是中小银行的业务连续性带来不小的挑战。本文分析了中小银行机构在业务连续性管理工作中存在的问题，结合部分全国性银行机构的具体实践，针对存在的问题给出相关建议，如定期开展业务影响分析、加强联防联控、完善基础设施等。 当前，国内疫情防控进入常态化阶段，各行业在复工复产过程中始终把疫情防控工作当作头等大事。在疫情防控期间，如何加强中小银行金融机构业务连续性管理，不仅是落实监管部门对业务连续性风险整治工作的要求，也是防范发生系统性金融风险的要求。目前，部分中小银行机构在业务连续性管理中还存在若干问题，本文将就此提出建议。一、存在的问题（一）业务连续性管理不完善部分中小银行机构高管层缺乏业务连续性管理意识，业务连续管理组织不健全，未能积极有效地开展工作。在缺乏管理层支持与决策的情况下，很多机构对业务影响分析不足，难以真正识别重要业务及重要业务的相互依赖关系，或者直接以信息科技部门认定的重要信息系统简单代替重要业务。虽然中小银行机构普遍建立了重要业务的应急预案，但具体业务的替代流程不够具体。实际中，业务部门往往等待信息系统恢复正常后才继续开展业务。特别是核心系统托管在省联社的农村商业银行，其与省联社的业务连续性预案往往存在“两张皮”，容易出现衔接不一致的情况。（二）关键资源可用性考虑不足银行业金融机构在准备业务连续性资源时，重点关注同城灾备中心的系统建设，忽视对业务连续性所需关键资源面临的各类威胁及脆弱性进行分析。在特殊时期，可能存在部分关键资源无法使用，甚至备用资源也无法使用或是被恶意攻击的情况。同时，部分外包服务商成为业务连续性的关键资源，尤其是承担多家银行机构重要信息系统运营的第三方外包服务商，其业务连续性能力不容忽视。外包服务商业务连续性能力的好坏直接关系到能否对银行提供稳定的服务，容易成为多家银行机构业务恢复与连续运营的瓶颈并引发系统性风险。如在疫情防控期间，部分处在疫情高风险区域的厂家不能有效地提供产品及技术支持，对银行机构的业务连续性能力产生了一定影响。（三）应急演练场景比较单一随着业务的发展，银行业金融机构之间的信息系统互相关联，不同机构的信息系统之间具有较高的耦合性，风险传染更迅速。目前，中小银行机构业务连续性演练通常由信息技术部门牵头、外包服务商配合实施开展。应急演练场景以少数信息系统故障为主要场景，侧重于主、备设备的切换或是对灾备中心信息系统在短时间内的少量业务进行验证。由银行业务部门牵头开展的业务连续性应急演练较少，因此，涉及到全部业务、不同机构之间以及不同外包商的应急演练基本缺失。在疫情防控期间，不同机构的防控措施不尽相同，可能会发生第三方应急联系人不在岗、AB角衔接不畅、应急处置流程走样等情况，将严重影响银行的业务连续性能力。（四）故障预警处置能力不足中小银行金融机构生产系统运行的监控体系不健全，对监控数据的管理能力较弱。监控体系以传统规则为基础，缺乏动态阀值调整以及关联分析，快速准确预警及故障定位能力不足。银行信息系统具有复杂性，不同的信息系统关联着不同的外包服务商，部分基础软硬件设施的应急处置也较多地依赖外包服务商，而少数外包商的应急响应过程可能影响处置效率。同时，中小银行机构应急处置中的主备系统切换能力也会影响处置效率，尤其是农村金融机构主备系统切换的自动化水平相对较低，明显拉长了应急切换时间。二、相关建议（一）定期开展业务影响分析，完善应急预案在当前复杂环境下，银行应从国家安全观的角度出发，加强机构业务连续性管理，切实防范发生系统性风险。随着金融科技创新的加速，银行业务模式越来复杂，业务连续性建设难度较大且建设周期较长。银行应先对新的业务模式及风险进行分析，再根据实际业务制定预案并定期重检应急预案，提高应急预案的完备性。同时，银行应完善不同应急预案之间的衔接，如业务和技术的衔接、总行与分支机构的衔接以及内部系统与外部系统的衔接。（二）分析关键资源风险敞口，建立风险补偿机制银行应识别业务连续性的关键资源，以保障人员安全为前提，兼顾管理成本与效益为原则，建立安全威胁动态清单，及时对关键资源的安全威胁进行处置、转移等操作，缓释风险敞口。要求重要外包服务商具备与银行机构相适应的业务连续性能力，并制定极端情况下外包商异常退出时的相关应急计划。（三）加强联防联控，开展联合应急演练银行应从治理层面提升业务连续性能力。业务连续性建设以机构整体为主体统筹规划，并建立与相关联机构的协作机制。必要的情况下，可以通过监管层面与网信、公安等部门建立相应的联动工作机制。逐步规范细化银行机构间、银行与外包服务商之间的联防联控工作机制，并组织开展联合应急演练。（四）完善基础设施，提高应急处置水平中小银行金