关于《商业银行业务连续性监管指引》的几点思考

标签:安全风险管理灾备科技风险

访客:126511  发表于:2012-08-23 08:31:39

    随着商业银行提供的服务越来越深入到国民经济社会生活中,银行机构运营的稳健性和安全性,已不仅仅只关系着其作为一个法人组织的经济收益、股东权益和组织生命力的问题;它更是一个关系着整个国家金融安全和社会秩序稳定与否的重大国计民生问题,牵动着整个国家和社会运行的每一根神经。一旦出现业务运营中断,将可能导致银行系统内部全国网点的业务停顿,极端情况下甚至产生蝴蝶效应诱发全行业的业务中断;这不仅将会给银行机构带来直接的财务流失,还将会对其多年树立起来的品牌效应和公信力造成恶劣的影响,更甚者将面临严厉的法律制裁和经济赔偿责任。这使得对银行业的安全和稳健运行较之于一般的组织机构有了更高、更严格的要求,无论何种情况下保证关键业务的持续运营和维持最低水平的运营服务已经成为银行业的重大经营目标之一。

在当前的社会、经济、政治背景下,引起银行机构重要业务运营中断的要素已经不再局限于传统的信息技术故障、配套设施故障;外部服务中断如第三方无法合作或提供服务,人为破坏如黑客攻击、恐怖袭击以及自然灾害如火灾、雷击、海啸、地震、重大疫情等“低频高损”事件也逐渐成为引起银行机构重要业务运营中断要素的一个重要组成部分。传统的IT灾难备份建设和灾难恢复计划以及针对市场风险和信用风险的风险管理措施在应对这些日益复杂的中断事件时的不足之处逐渐暴露出来,商业银行在强化信息数据安全性建设之外,对人员、场地、流程、资源等要素的备份和建设的要求越来越显重要。作为全面风险管理体系中重要组成部分的业务连续性管理,能够为快速恢复基于后果的中断业务,为保证重要业务的持续运营提供了一整套的管理流程,已成为银行体系应对中断事件,提高业务连续性管理能力的重要手段。

银监会适时颁发的《商业银行业务连续性监管指引》(以下简称《指引》)从行业监管的高度提纲挈领地提出了商业银行应当建立业务连续性管理体系的战略规划,拓展了商业银行全面风险管理体系的理论和实践的内涵和外延;使一直以来在大力开展灾难备份建设活动上扮演各行各业“领头羊”角色的银行业,再一次成为带领我国组织机构在引进和运用业务连续性管理理念的“领头雁”。深入贯彻落实《指引》的指导思想将对我国商业银行的运营模式、银行体系的稳健性乃至宏观经济的运行和国家金融安全的稳定产生深远的影响。以《指引》为蓝本,逐步引导我国金融机构建立完备的业务连续性管理体系,是其防范和应对组织内外各种日益频繁的中断威胁和事件的重要和有力的措施;同时,这也将是我国商业银行走出国门与国际行业规范接轨,遵守国际银行经营管理的“游戏规则”,提升自身综合竞争力的战略目标之一。

在国外很多发达的国家里,早就有专门的法律法规和相关标准规定金融机构必须制定相应的灾难恢复计划和和业务连续性计划,必须引入业务连续性管理体系。如:新加坡金融管理局(MAS)早于2001年就对其银行机构做出了业务连续性运作的规定,并于2003年重新发布了BCM指南,提出了企业业务连续性运作的7项原则。而该国于2008年发布的新版新加坡国家标准SS540,则已成为各组织机构,尤其是其金融机构制定业务连续性的标准。在日本,则于2002年3日发布了《假定金融机构据点受灾的业务持续计划方案》并于次年7月制定了指导性的文件《关于完善金融机构的业务连续性体制》,对金融机构的业务连续性提出了具体的要求。2006年3月,日本金融情报系统中心(FISC)再次修订了《金融机关等紧急时应对计划指南书》。金融厅也分别于2006年3月、4月制定了“面向主要银行的综合监督指针”和“面向中小地域金融机关的综合监督指针”,对制定业务连续性计划(BCP)和紧急应对计划提出了具体的要求。而受911恐怖袭击事件的影响,欧美等国金融监管机构也出台了相应的标准和法规,如欧洲中央银行体系(ESCB)于2003年7月通过的《ESCB信息系统安全政策》;由BCBS、IOSCO、IAIS共同设立的联合论坛(Joint Forum)于2006年8月公布的《业务连续性的高级原则》等。近几年来,受全球金融危机的影响,更加促使了国际社会监管机构重视对银行业业务连续性问题的关注,有没有健全和行之有效的业务连续性管理体系已经成为了国外监督机构对金融机构的一项基本监管规定。经过多年的实践,德意志银行、汇丰银行、美国银行、摩根大通银行等欧美国际银行已经形成了一套完备的业务连续性管理体系。

银监会出台的《指引》,在主动吸收国际业务连续性发展和金融监管最新成果的同时,充分考虑和结合了我国银行业发展的实际情况,对我国商业银行建立业务连续性管理的体系和流程做出了具有建设性指导意义的规定和论述,这无疑是对我国金融机构的运营模式和监管要求的一次革命性变革。

首先,明确业务连续性管理的自上而下的组织架构及“全员”式的参与规模,并兼顾了常态与非常态管理中的一般性和特殊性。追溯业务连续性管理的历史沿革,其最早发源于上世纪60-70年代IT系统(部门)的灾难恢复。自60年代开始,由于计算机服务与信息技术的快速成长并被广泛地运用到广大的社会生产和生活领域中,IT中断对企业关键业务功能可能造成的严重冲击,逐步催生了IT灾难恢复业务的发展;而在研究各种灾难恢复技术时,如何尽快恢复业务运行的目标则进一步催生了业务连续性管理的理论和方法。发展至今,业务连续性管理已经并不只是一个纯粹的IT解决方案,而是一套涉及人员、资产、流程等众多方面的管理体系;除IT部门外,组织机构的业务、财务、人力资源及后勤保障等部门都需要深度参与其中,通力协作、调度有序的“全员”式运动管理。《指引》明确地指出了我国商业银行业务连续性组织架构的跨部门和多部门全力协作的统筹特征,设立专门的业务连续性管理委员会,将高级管理层和各业务条线部门、风险管理部门等有关业务连续性的业务单元融于一处统筹管理。

其次,明确了业务连续性计划的“系统性”特征。业务连续性计划是灾难事故的预防和反应机制,是一系列事先制定的策略和计划,提供了银行应对中断事件之弹性预防准备与快速应急响应、及时恢复重启的流程,包含危机沟通计划、安全、撤离计划、恢复计划等。业务连续性计划的系统性要求要从系统的角度对银行机构各子系统间所面临的威胁进行全方位和综合性的考虑,制定及实施全面的连续性运营计划,从而把分散于多个业务部门的安全、应急响应、危机管理、灾难恢复以及业务连续性等都囊括进同一主管部门中,避免政出多门的隐患问题。同时,业务连续性计划不仅要通过开发和实施经过慎重计划的备份策略来帮助保护和恢复业务数据,还关注中断事件发生后,重要业务的恢复优先级和恢复点目标,使得在危机状态下,能实现有限的人力、时间和资源的最优配置,最大程度地挽救和消除中断事件的负面影响,从而区别于传统的防灾对策和一般的应急预案。

第三,强化计划的演练、维护和持续改进,植入业务连续性管理文化。测试和演练是验证计划的有效性、完整性和可操作性,确保资源的可用性的必要保障和基础环节。由于缺乏有效的演练,各大银行的应急预案和灾难恢复计划在实用性和操作性上还存在着某些方面的欠缺,常发生应急预案在真实的中断事件中不能有效进行因应的情况,从而引发二次灾难,造成不可挽回的巨大损失。唯有通过对各种相关计划定期的进行测试和演练,根据发现的问题、变化了的人员、资源以及环境,不断对计划进行更新和维护,从而确保这些计划能够在中断事件中成功的实施。通过演练,使全行人员都熟悉自身的岗位职责和操作流程,确保在计划启动时有适当的人员在适当的时间采取适当的措施,营造一个上至决策层,下至基层员工都高度重视的业务持续管理的企业文化,为建立全面的风险管理体系和提高银行的业务连续性能力创造良好的环境。《指引》对商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练;在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练等做出了硬性的要求,这将对商业银行的各种应急预案和连续性计划的可操作性和有效性起到积极的促进作用。

第四,开发最坏情境假设,提高商业银行巨灾下灾难恢复和业务连续性的能力。据有关研究报告显示,金融机构在灾难发生之后,如果无法在14天内恢复业务,有75%的公司业务会完全停顿,43%的公司再也无法重新开业,有20%的企业在两年之内将被迫宣告破产。在2001年911恐怖袭击事件中,创造世界金融界奇迹的摩根斯坦利银行和德意志银行,得以在前所未有的恐怖大袭击事件中迅速化解灾难,提供持续的业务功能,正是源于其完善的灾难备份和系统的灾难恢复计划以及对“低频高损”事件的最坏情境准备。爆炸袭击发生后,摩根斯坦利银行迅速启动业务连续性计划,启用新泽西州的灾难备份数据中心,于灾难发生后的第二天就宣布了恢复全线营业;德意志银行更是在911当天就完成了3000亿美元以上的巨额交易。同样在巨灾下,在2008年的512汶川大地震中,尽管我国银行业机构相继启动了应急管理机制,但与国外银行业相比,灾后数据恢复率仅达到82%。目前,国内银行的业务连续性管理主要集中在系统故障、人员操作和电力中断等大概率事件上,对遭受自然灾害、流感大流行等小概率大破坏的巨灾缺乏应有的计划和尚未建立完善;对巨灾情境开发和应对准备程度不够,将成为制约商业银行永续经营的瓶颈所在。

“十二五”期间,我国银行业发展的方向是锐意进取、科学创新、不断提高发展质量和水平,确保更加安全、稳健,更加有竞争力。《指引》对进一步加强银行的全面风险管理,提高其业务连续性管理能力,促进商业银行履行社会责任,维护公众信心和银行正常运营秩序将发挥重要的指导作用;是落实科学发展观的必然要求,也是防范金融风险,保障金融安全,提高金融监管水平的有力措施。我们应该以此为契机,认真学习和全面落实《商业银行业务连续性监管指引》的精神和理念,营造一个更加有序、稳定的金融环境。(CBCM专委会  朱海艳)

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");