我国商业银行业务连续性管理体系的构建.docxVIP

我国商业银行业务连续性管理体系的构建

一、我国金融机构业务连续性管理现状

近年来,我国金融机构在IT系统的连续性计划方面做了不少工作,不少机构投入大量资源建立灾难备份中心,制定了IT系统业务连续性计划,在技术层面上开展灾备演练,积累了宝贵的经验。但从总体上看,我国金融机构业务连续性管理主要工作仍停留在IT系统灾难恢复的技术层面,仍未建立以全面业务恢复为目标的全面业务连续性管理的需求规划、应急响应策略、流程和持续维护等机制。商业银行业务连续性管理情况引起监管机构的高度关注,中国银监会加强了银行业全面业务连续性管理监控,监管力度不断加大,2007年初,银监会将“业务连续性计划的监管控制”作为一个独立的评价部分,要求各家银行进行自我评估。2007年10月,银监会召开专门会议对评估情况进行了通报和分析,表示将把业务连续性规划纳入银行风险的监管体系之中,并将组织人员对各家银行的整改情况组织现场检查。根据监管要求及内部管理需要,部分商业银行已着手开展业务连续性规划设计工作,但业务连续性管理工作对国内银行业而言是全新领域,目前,国内金融机构此项工作还处于“摸着石头过河”的阶段,各机构资源投入、开展情况各不相同。

二、商业银行业务连续性管理体系的构建

商业银行业务连续性管理体系应涵盖业务经营、运营支持、后勤保障等所有业务板块,涵盖事前、事中、事后等全程管理,构建完善业务连续性管理体系是一项长期性、系统性工程。

(一)商业银行业务连续性管理体系的目标及构建思路

业务连续性管理的目标是:提高商业银行抵御危机事件的能力,有效消除或抵御潜在的风险,迅速处置,阻止或抵消不确定事件造成的威胁,并对存在的薄弱环节持续改进完善,确保商业银行日常业务平稳运行和可持续发展。商业银行业务连续性管理体系的构建思路是:预设灾难场景,事先建立标准化、流程化的管理机制,当危机真正发生时,确保有适当的人在适当的时间做适当的事,执行事先确定的管理程序、操作步骤,以达到减少损失、实现业务可持续的目的。也就是说,提早设定整个危机事件处置的决策过程,事先考虑危机事件影响的可能性,预先做好内外部资源的安排、外部信息的处理与公关、人员及设施的备份等各项安排,当危机来临时,按照事先设计好的系列程序有条不紊地处置,防止因事件突发导致处理决策失误,确保机构主要业务的可持续运作,尽可能将损失减到最少。

(二)业务连续性管理危机事件的分类

业务连续性管理的对象是危机事件,危机事件是指影响商业银行可持续经营的事件,此类事件可能在短时间内波及多个层面,甚至影响商业银行的持续生存和发展,包括自然灾难、人为灾害、重大运行故障等。危机事件主要分为内外部欺诈、实体资产损坏、IT系统、运营危机、人员危机、流动性危机等类型。内外部欺诈事件指商业银行内外部人员以违法手段诈骗、侵占商业银行财产的事件,包括盗窃、勒索、挪用、欺诈、伪造、诈骗、抢劫事件;实体资产损坏事件指商业银行实体资产因自然灾害或人为灾害损毁的事件,包括自然灾难,如地震、火灾、水灾、雪灾、台风,以及人为灾害,如人为破坏和战争等;IT系统危机事件指由于计算机系统故障、通讯故障、信息网络异常、电子载体重要数据丢失,造成商业银行经营中断的事件;运营危机事件指针对商业银行各机构的聚众上访、请愿、静坐、示威或冲击、围攻商业银行办公营业场所的事件;人员危机事件指商业银行员工因就业、健康或安全方面的问题,造成商业银行经营中断的事件,包括有组织的劳工事件、重大传染疫病等;流动性危机事件指银行因内部或者外部原因,无力偿付到期债务的事件,如金融挤兑事件等。

(三)业务连续性管理实施方案的制定

业务连续性管理实施方案的制定应遵循以关键业务为核心、以流程为基础的原则。“以关键业务为核心”指梳理业务流程,针对关键和支持性的业务环节制定解决方案,以确保关键业务的可持续性运作为目标。“以流程为基础”指进行合理的流程设计,当损坏事件出现时,按照设定的程序执行解决方案,确保适当的人在适当的时间做适当的事。

1.业务连续性管理实施方案的构成

商业银行业务连续性管理实施方案应包括识别、报告、评估、处置、恢复与改进、培训与演练等六个部分。(1)在业务连续性管理的识别部分,应预先设计可能导致业务活动中断的损坏场景,明确事件触发要素,如涉及金额、损失金额、影响程度等。(2)在业务连续性管理的报告部分,应明确信息收集、报告的人员及职责;报告的内容、形式及要求;报告程序;报告时限;报告路径及频率等要求。(3)在业务连续性管理的评估部分,应明确危机事件影响范围及损失评估;可以接受的损失范围;可容忍的最大中断时间等。(4)在业务连续性管理的处置部分,业务连续性管理的处置是业务连续性管理的核心内容,应根据预设的损坏事件场景,确定处置的总体步骤和具体操作要求,以及人员备份和授权、技术保障、设施配备、通信联