商业银行业务连续性理的分析与思考.docx

商业银行业务连续性管理的分析与思考纠错|收藏我要推荐将本文转发至：转发到和讯微博转发到新浪微博转发到搜狐微博转发到腾讯微博转发到QQ空间转发到人人网转发到豆瓣网转发到手机网　　骆絮飞　　经济全球化和金融市场开放的加速，加剧了激烈的国内外竞争格局，金融危机的洗礼使得国际、国内经济和金融环境变得愈加复杂，如何在日趋激烈的市场竞争中实现银行业金融机构的持续发展，如何在愈加恶劣的生存环境和更为复杂的技术应用条件下增强机构应对灾难、各种突发事件的能力，保障业务连续性运营，成为国内银行业金融机构面临的重点和难点问题。　　形势与背景　　从国际上来看，业务连续性管理（BCM）的发展依赖于灾害事件的驱动，灾难事件频繁发生促使各国提高防灾意识和推进BCM管理的主动性。国外发达国家在此领域已有10年的发展历史。我国的业务连续性与灾难恢复建设在本世纪刚刚起步，基本围绕应急管理和灾难恢复两个方面开展实践。2003年的“SARS”、2008年的汶川地震等灾难事件，使我国政府部门和企业提高了灾难应对、应急管理的重视和认识，国家用了5年左右的时间，基本建立了覆盖地震、卫生、电力、通信等一系列、全面应对灾害的应急管理机制，制定了从国家总体预案、部门预案、地方政府预案到重要企事业单位的较为全面的应急预案体系。与此同时，随着信息技术的发展和社会基础设施对信息系统依赖度的提高，保障关键信息系统服务功能在灾难情况下尽快恢复显得尤为迫切，2005年国务院信息化工作办公室组织银行、证券、保险（放心保）、电力、民航、铁路、海关、税务等8个国家重要信息系统所在行业，编制、发布了《重要信息系统灾难恢复指南》，有力地促进了国家重要行业信息系统的灾难恢复建设工作。　　银行业务连续性管理的现状与问题　　近年来我国银行业业务发展迅猛，大型银行的资本总额、开户数量、业务处理量已位居世界前列，经营范围遍及全国并在海外快速扩张，一旦业务停顿，可能影响全行乃至整个金融体系的正常运转，并影响社会稳定。因此，数据大集中后，银行业积极推进灾难恢复、应急管理和IT服务持续性管理有关工作。　　初步构建了信息系统应急管理体系。确立了应急管理组织架构，区分信息系统突发事件等级，形成统一的应急响应流程和通知报告程序。并注重与地方政府、新闻媒体的沟通协调，加强机构内部各职能部门的协调配合，及时向公众披露信息，增强了突发事件的应对处置能力。　　积极开展灾难备份系统建设工作。按照“统筹规划、资源共享、平战结合”的原则，大型和股份制银行积极推进“两地三中心”的建设，建立了同城和异地灾备中心，应对建筑类故障和区域性（例如地震、洪灾、战争等）灾难。大多数商业银行基本建立了核心业务的灾难恢复系统，保障核心业务数据安全和灾难发生时核心业务的恢复。　　提升危机处理能力。积极开展应急演练和灾难恢复演练，加强银行内部各部门，及银行与通讯、电力等外部机构的联防协作。实施了包括核心系统在内的重要业务系统切换演练，提高银行应对信息系统突发事件的能力和信心。　　但整体来看，我国银行业在业务连续性管理方面依然存在一些不足：　　对业务连续性管理的重要性和价值认识不足，尚未形成有效的BCM管理体系。部分银行对业务持续性管理缺乏必要的理解，认为“投入大、收益小”，对金融服务持续性与公众生活、经济社会正常运转的紧密关系缺乏足够的认识，银行改善BCM管理的动力大多来自国家或监管政策压力，主观意愿不足，将业务持续性管理等同于信息系统的灾难恢复、日常故障处置的模糊意识大量存在，参与的多为IT部门、部分人员，业务连续性计划仅作为事件处理的应急预案，未建立起BCM的管理组织体系，BCM依然游离在企业的日常经营管理活动之外。　　应急预案体系不够完整，业务应急机制匮乏，外部应急协调不足。大多数银行没有业务层面应急管理机制的开发和演练，场地应急、人员应急等BCM重要环节缺乏实质性的建设。信息系统应急预案流于形式，不少银行对业务连续性的认识不足，认为业务连续性就是信息系统应急恢复，就是科技部门的责任，没有在全行层面建立整体管理体系，缺乏科技与业务、公关等部门的联动，缺少业务应急手段和客户安抚、媒体公关等处理措施。业务部门配合不足、业务人员参与力度不大、业务覆盖面不全，一旦出现意外，应急预案可能无法发挥作用，与外部机构（如政府机构、公共事业机构、银行同业、外部合作金融服务机构等）的协作联动不足。多数银行业务连续性演练仅停留在信息科技层面，缺乏涵盖业务、技术和后勤保障等多方面的全行性演练，导致应急和灾备能力有效性无法得到验证。　　业务的灾难恢复目标不明确、信息系统灾备覆盖面不够、灾备资源的有效性保障不足。缺乏风险评估和业务影响分析，缺乏对业务中断损失与灾备建设投入的成本效益测算，导致灾备系统、科技应急体系建设盲目投入、缺乏规划，灾备系统覆盖不足等问题。虽然银行大多已建立