商业银行业务连续性管理问题探析

【摘要】业务连续性管理在国内刚刚起步，对商业银行而言是一个全新的课题。本文对业务连续性管理的重要意要义、国内商业银行业务连续性管理发展状况和存在的问题进行了研究分析，并结合监管指引和国际最佳实践，提出了加快业务连续性管理建设的相关建议。

【关键词】商业银行 业务连续性管理 研究

近期，媒体相继曝光国内多家商业银行服务中断事件，其中不乏影响较大者。如：5月12日10时至10时37分，招商银行借记卡业务系统故障，客户无法正常办理ATM、POS、网银等业务；6月23日10时38分至11时23分，工商银行上海数据中心主机系统故障，不仅柜面业务无法正常办理，ATM、网银、手机银行等电子渠道业务也不能正常使用。两起事件按照《商业银行业务连续性监管指引》（银监发〔2011〕104号）第七十九条有关运营中断事件的规定，均属重大运营中断事件。

早在2008年，现任银监会副主席郭利根就曾经指出，国内银行业存在着信息技术基础建设滞后、软硬件及核心技术受制于人、系统管理粗放等问题，特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面存在着明显的短板。时至今日，频繁发生的银行服务中断事件再次提醒我们，形势仍不容乐观，加快商业银行业务连续性管理建设迫在眉睫。

一、业务连续性管理及其重要意义

业务连续性管理是一项综合管理过程，不仅包括对业务活动和业务恢复的持性管理，还涉及到相关培训、演练和评估等环节，是商业银行全面风险管理体系中的重要组成部分。国际业务连续性协会将业务连续性管理界定为：能够识别出可能的潜在威胁，以及这些威胁发生时对业务运营带来的负面影响，同时提供一套有效的反馈和恢复体系，从而对股东利益、公司声誉和价值创造活动进行有效的保护。国内《商业银行业务连续性监管指引》则进一步明确为：商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。以此观之，建立完善的业务连续性管理，将有利于商业银行的持续运营，有益于保障重要业务的快速恢复、降低损失和消除影响，增强竞争力和可持续发展能力。

在商业银行的生命周期中，银行业务运营会随时受到来自内外各种因素的影响，严重的甚至会造成重要业务的非正常中断。重要业务意外中断，不仅意味着商业银行须为此付出沉重的代价和承担严重的后果，如果处置不当，还可能发酵成一场可怕的灾难。有关研究资料显示，以每小时业务中断所造成的损失进行比较，银行业的损失远居各行业之首；如果发生业务中断两周内仍无法恢复，75%的企业将因此而停业，43%的企业将无法再开展业务，灾备措施不完善的企业将在2～3年内破产。因此，为保障业务的持续稳定运营，商业银行尤其需要行之有效的业务连续性管理。银监会的《商业银行业务连续性监管指引》，对商业银行业务连续性管理的组织架构、业务影响分析、业务连续性计划与资源建设、业务连续性演练与持续改进、运营中断事件应急处置等相关体系建设和工作内容提出了明确的监管要求，将促进商业银行进一步加强风险管理，有效履行社会责任，对维护公众信心和提高商业银行业务持续运营能力将发挥积极的引领作用。

二、国内商业银行业务连续性管理发展状况和存在的问题

业务连续性管理在国外发展较早，其历史可追溯到上世纪60年代，国内虽然起步较晚，但发展很快。通过国家连续《银行业信息系统突发事件应急管理规范》、《商业银行数据中心管理规范》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》等一系列指导性文件，国内银行业对业务连续性管理的认识不断深入，尤其是国有大型商业银行在业务连续性管理的信息系统技术方面已经较为成熟，基本接近国际先进水平。如，2008年汶川发生大地震后，震后三天工商银行即在都江堰灾区建立了应急帐篷银行，仅一台ATM在几天内就成功办理了76万元对公结算和20笔取款业务。

随着《商业银行业务连续性监管指引》的，国内商业银行愈加重视和积极推进业务连续性管理的建设。

一是初步构建了应急管理体系，确立了组织管理架构，加强了职能部门的协调配合，形成了统一的应急响应流程和通知报告程序，增强了应对突发事件的处置能力。

二是加快了灾备建设，建立了同城/异地灾备中心，积极推进“两地三中心”的建设，对核心业务数据和核心系统恢复的保障能力进一步增强。

三是开展了应急响应和灾难恢复演练，与通讯、电力等外部机构的联动协作有所强化，应对突发事件、危机管理的能力有了提高。

尽管如此，与国外先进银行相比，国内商业银行还有较明显的差距，主要存在以下几个方面的问题：

（一）认识尚有差距，系统建设的主动投入略显不足

由于对业务连续性管理的研究运用时间较短，商业银行对其重要性还缺乏具体形象的认识，停留在为了满足监管要求和信息系统灾备恢复等较粗浅的层次上，没有真正意识到业务连续性管理对提升银行竞争力和价值创造的积极作用。具体表现为部分商业银行，尤其是中小股份制商业银行还普遍存在着业务连续性管理“投入大、收益小”的认识偏差，主动推进的意愿不强。

（二）管理尚有差距，未将之完全融入企业文化之中

缺乏足够的认识，缺少了管理层和相关部门强有力的支持，一方面导致商业银行将全行性的业务连续性管理工作仅仅只落实到个别部门身上，没有做到全员性参与，极易形成管理上的盲点；另一方面，忽视了通过必要的流程开展全员风险意识教育和技能培训，遇到业务中断事件，既便有了应急计划和预案，也会由于缺少必要的教育培训、相关人员未能充分理解掌握操作要求，从而导致既定的流程和机制难以发挥预期作用。

（三）风险识别尚有差距，业务影响分析不充分，资源保障和灾难恢复的有效性不足

一是缺乏对各项业务和业务系统的全面科学评估，业务分类、事件分级以及由此而制定的业务恢复目标还不尽合理，在应急预案设计、备用资源保障和人员配置等方面存在不足；二是偏重对设备设施、数据信息和业务运营的保护，对员工安全、企业声誉等其他重要资产的保护和重视程度不够，存在低估风险的倾向，风险缓释和预防应对措施针对性不强。

（四）预案体系建设尚有差距，应急响应的合理性和可操作性不强

商业银行业务多样、管理复杂，业务连续性管理的建设难度大、周期长，需要针对可能的风险或潜在的影响进行事前缜密的分析，才能结合实际科学论证和制定预案。即使是规模较小的商业银行，要建立起能够全面？盖重要风险、相对完整的预案体系，也需要制定出不少于几千份的各类预案。在国有商业银行当中，目前预案建设最为完备的是建设银行，达到了4000多份。但相比国外先进银行，如美国银行预案就多达7000余份，国内商业银行在预案体系建设上还任重道远、差距较大。

（五）持续改进尚有差距，预案演练的针对性和有效性不足

一是对业务连续性预案的日常演练不充分或流于形式，不能全面有效地检验其操作性和有效性，难以做出具有针对性的完善和改进；二是偏重对信息系统的灾备演练，针对业务、流程和人员方面的演练不充分，一定程度上还存在着重建设、轻维护的现象；三是尽管多数国内商业银行业务系统已实现了“同城双活”，并开始向“两地三中心”发展，但由于业务连续性管理尚存诸多的不完善，欠缺足够的经验积累，未能针对业务系统的实际切换开展必要的演练，在灾难发生时难以保证重要业务的正常切换和回退。

三、加快业务连续性管理建设的几点建议

（一）继续深化认识，切实将业务连续性管理作为改善经营、提升竞争力的有效途径

首先，应清醒地认识到，商业银行肩负着保障金融安全和社会稳定的重要责任，能否从容应对突发事件，迅速控制不良影响和防灾减损，既体现了商业银行的风险管控水平，也是履行社会责任、展现银行价值的实际体现；其次，商业银行激烈的市场竞争，伴随着各种难以逆料的风险，来自于各项业务活动的运营风险、操作风险不断拷问银行的管理能力。完备而健全的业务连续性管理，可以使商业银行更好地适应瞬息万变的市场环境，更有效地提高预防风险、应对风险的能力，能够大幅提升银行的持续运营水平和竞争力。

（二）积极落实《商业银行业务连续性监管指引》，健全适应业务发展的管理政策和体系

一是按照监管指引要求，持续完善业务连续性管理的政策、制度，健全高效运行的组织管理架构，落实部门管理职责，明确责任；二是依照监管指引的规范标准，科学建设，加快应急响应及业务系统建设，建立常态化管理评估维护机制，健全业务连续性管理体系；三是从业务角度出发，以业务连续为目标，强化系统性设计，形成各个部门协调统一的管理体系。

（三）将业务连续性管理融入企业文化，使之成为经营管理的有机组成部分

充分结合银行文化环境特点，制定长期的业务连续性管理文化融入计划，通过多种途径、多种方式持续推进。一方面依靠管理层，通过管理层对业务连续性管理宣讲或座谈的参与来积极推动；另一方面，制定详细的人员培训计划，将责任分解落实到各部门，定期开展全员性的业务连续性管理意识教育和技能培训，将其真正融入到企业文化中，使业务连续性管理成为员工主动参与的自觉行为。

（四）提高风险评估、业务分析水平，加快预案体系建设，提升持续运营的保障能力

一是借鉴国际最佳实践和先进经验，区分不同业务完善风险评估、业务分析的工具方法，全面识别重要性业务，准确评估突发事件及其影响，并以此确定业务恢复目标和风险等级，进而重检修订或制订出详细合理、操作性强的操作流程和操作手册；二是全面识别业务持续运营所需的关键资源，对其风险类型及其风险暴露程度做出准确评估，结合业务开展连续性的管理分析；三是建立健全包括了业务连续性计划、总体预案和具体预案的三位一体预案体系，制定出事态定义明确、风险描述清晰、处置操作步骤具体的应急响应预案，使之能够覆盖所有重要业务及重大风险领域，不断完善应对业务中断事件的机制流程；四是注重可用资源、备用场所的建设维护，保障各类资源的可靠性和可用性，并加强操作人员的培训，提高应对业务中断事件的处置能力。

（五）定期演练，及时评估和持续改进

一是按照监管指引要求，有序规划，合理安排，定期开展桌面、摹拟和实战相结合的综合性业务演练，通过演练来检验应急预案的合理性和可操作性，及时发现问题，总结评估，持续改进；二是结合监管要求和业务发展，持续改进演练机制和演练模板，既要针对具体业务实际编制演练计划，认真组织开展演练，也要根据演练结果，从演练方法的科学性、演练频率的合理性、预案流程的有效性等各个方面，对演练计划和应急预案进行持续的改进完善。