银行业金融机构业务连续性管理能力建设中的问题及对策.docxVIP

银行业金融机构业务连续性管理能力建设中的问题及对策

银行业务运行和服务的持续性是国民经济健康发展和金融秩序稳定的重要保障，业务连续性管理是银行业金融机构业务运行和服务持续性的重要手段，其核心内容是通过有效的技术和管理体系建设保障银行业金融机构的业务持续运行和服务不中断。人民银行在2003年就下发了《关于加强我国重要信息系统灾难备份建设工作的意见》，2008年先后出台了《银行业信息系统灾难恢复管理规范》等多项行业标准，2011年12月当时的银监会颁布了《商业银行业务连续性监管指引》（银监发[2011]104号），进一步明确了业务连续性管理的监管要求。经过近15年的建设，全国各类银行业金融机构按照监管要求逐步建立了信息系统灾难恢复机制和业务连续性管理体系，为防范、控制和化解业务和服务中断风险发挥了重要作用。

随着我国金融信息化的普及和金融服务水平的不断提高，金融业务对信息系统的依赖程度越来越高，但因信息系统故障导致金融业务和服务中断也日益突出，银行业金融机构对业务连续性管理体系建设越来越重视。特别是近年来，在监管部门的大力推动下，全国大部分银行都建立了以高管层牵头的，风险管理部组织的覆盖全行所有部门和分支机构的业务连续性管理组织架构，明确了业务连续性管理职责，制定了业务连续性管理目标、方针、策略，并建立了较为完善的灾难恢复体系作为业务连续性管理的支撑资源。

通过对各类银行业务连续性管理体系建设的现状调研发现，国有银行、全国股份制商业银行等大型商业银行的业务连续性管理体系较为完善，城市商业银行、农村信用联社、村镇银行等中小银行相对较弱，存在业务和服务中断等风险隐患，是这些中小银行长期的痛点。在国家开展金融风险防范攻坚战，推进国民经济、人民生活水平高质量发展的大背景下，不断加强和完善银行业务连续性管理能力建设，对于银行业金融机构来说十分必要和迫切。本文站在IT审计的角度，对我们在服务中发现的业务连续性管理建设方面的关键问题和共性问题进行分析，并通过总结同业的成功经验，提出一些改进的方法和建议，供中小银行参考。

一、业务连续性管理常见问题

（一）业务连续性管理体系建设目标不明确

银行业金融机构业务连续性管理的目标首先是保障银行的业务和服务不中断，特别是要确保涉及国计民生、金融稳定、监管合规等重要的业务和服务不中断。但有些中小银行未能客观、全面地识别本行的重要业务，不能把业务连续性管理体系建设目标锁定在确保重要业务和服务持续运行上来。

（二）业务影响分析工作未发挥基础性支撑作用

业务影响分析是业务连续性管理体系建设的基础性工作，是制定业务连续性策略的重要依据。但部分中小银行对业务影响分析工作重视不够，部分已开展业务影响分析的单位也存在业务和信息系统的RTO/RPO设置不合理、没有对金融业务与信息系统之间的关联性进行客观分析、没有确定业务和信息系统的恢复优先级分析等方面的问题，业务影响分析在业务连续性管理中未发挥基础性支撑作用。

（三）业务连续性计划内容不完善、不落地

有些中小银行未完全按照业务恢复目标制定业务连续性计划，已制定的业务连续性计划中在重要业务及关联关系、业务恢复优先次序、重要业务运营所需的关键资源、应急指挥和危机通讯程序、专项预案及预案维护、残余风险处置计划等方面都存在不同程度的缺失，已开发的应急预案内容不完整、流程不清晰、责任不明确，缺乏可操作性。业务连续性资源配置不合理。

（四）业务连续性资源建设有待优化和完善

部分中小银行的业务连续性资源建设存在灾备系统建设未与生产系统同步、灾备与生产资源在性能、容量和配置存在较大的差异、灾备系统资源存在过保、淘汰的风险、重要信息系统的灾备建设未做到全覆盖，已建灾备的重要信息系统也未达到监管要求的灾备等级等方面的问题。业务连续性资源建设存在“重技术、轻管理、重系统、轻业务”的现象，某些中小银行尽管采用了“双活”技术架构，但缺少数据库恢复、业务数据备份、业务替代和数据追补手段、业务应急与恢复资源等重要的业务恢复机制。

（五）业务连续性计划演练不充分

部分中小银行未能持续开展业务连续性演练，演练在场景、内容、流程等方面未达到实战要求，业务连续性管理能力得不到检验。

二、业务连续性管理体系建设的措施和方法

（一）明确业务连续性管理的目标

中小银行应在明确本行重要业务的基础上确立连续性管理的目标，并为之提供有效的组织保障和配套的管理制度。

（二）保障基础设施稳定运行并不断优化改进

中小银行应开展对数据中心的基础设施的全面检查，重点检查数据中心的配电系统、空调系统、消防系统中的潜在风险，分析基础设施存在的技术脆弱性（单点运行、老化失修、不合理安装等）和管理脆弱性（管理不规范、未测试上线运行、维护不到位等），针对问题制定并实施有效的风险防范和管控措施。

（三）开展全面的业务影响分析

中小银行应全面、