银行应急演练总结汇总十篇
时间:2023-03-08 14:51:43
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇银行应急演练总结范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
篇(1)
一、引言
2011年银监会向全国商业银行等金融机构下发《商业银行业务连续性监管指引》(银监发〔2011〕104号,以下简称:《指引》),从业务连续性组织架构、业务影响分析、业务连续性计划与资源建设、业务连续性演练与持续改进、运营中断事件应急处置等几个方面指导国内金融机构建设业务连续性管理体系。自发文以来,国内银行一直根据监管的要求建立符合自身发展的业务连续性管理体系,然而,业务连续性管理体系的建设涉及面广、建设周期长,从“软件”方面来看,涉及现状调研、方案及计划制定、业务影响分析和风险评估、重要业务范围界定、制度建设、总体和专项应急预案建设、演练等内容,从“硬件”方面来看,涉及数据中心及灾备中心建设,需要大量的资金及时间等资源的投入,虽然《指引》发文已5年有余,但极少数银行可以完全按照监管的要求建立全面健全的业务连续性管理体系。本文以某银行业务连续性管理体系建设为研究背景,总结业务连续管理体系建设过程中的重点及难点并提出解决思路,为国内银行同业提供参考方法。
二、业务连续性管理体系建设重、难点解决措施
在业务连续性管理体系建设实践中,组织架构、业务连续性计划、业务连续性应急预案等工作实施难度较低,难点在于业务影响分析、总分行资源建设、业务连续性演练等工作,本文着重介绍上述难点的建设过程。
(一)业务影响分析
业务影响分析的主要目标是帮助银行通过识别和评估业务运营中断造成的影响,明确业务连续性管理重点,根据业务重要程度进行差异化管理,制定不同业务的恢复目标、恢复次序、确定支持重要业务对应的信息系统的恢复目标,其主要工作包括2个方面的内容,一方面是现状调研,另一方面是业务影响分析和风险评估。在现状调研阶段,由于该项工作涉及全行所有业务以及大部份部门,可采取培训、访谈、召开研讨会、调查问卷等方式,逐步推进工作开展,初步梳理出重要业务清单。在业务影响分析和风险评估阶段,结合国内外先进实践经验,采取财务影响和非财务影响两个维度对初步梳理出来的各项业务进行风险评估。财务影响和非财务影响均采用评分制,其中,财务影响主要评估该项业务中断一个工作日给银行带来的收入损失,可根据银行自身业务收入水平设置分值,该项指标是较为客观的估值;非财务影响则综合评估该项业务中断可能给银行带来的影响,如:监管负面影响、声誉损失、客户负面情绪、投资者信心/忠诚度降低、法律/诉讼风险、国家金融秩序稳定等,该项指标具有一定的主观因素,为避免主观因素影响程度过大,可采取两种方式降低影响:一是扩大调查问卷的样本量,二是对非财务影响的各个要素设置权重值,对财务影响及非财务影响设置综合评分规则。特别地,对于后台运营类、渠道类业务(比如:自助银行业务),虽然不直接产生业务收入,但它是其他业务产生收入的必要条件之一,对于此类业务计算该渠道所承载的各业务种类收入之和作为该渠道的业务收入。在确定各项业务的财务影响和非财务影响指标基础上,采取矩阵模型分析法进一步确定业务恢复的优先顺序。在确定业务恢复的优先顺序的基础上,进一步确定该业务对应的信息系统恢复目标,以指导关键信息系统的资源建设。《指引》要求,“原则上重要业务的RTO不得大于4小时,重要业务的RPO不得大于半小时”,在信息系统资源建设中,关键信息系统的恢复能力应满足重要业务RTO、RPO的时效要求。
(二)总、分行资源建设
业务连续性资源建设属于“硬件”设施范畴,主要涉及总行同城、异地灾备中心以及分行机房设备的建设。在总行层面,同城、异地灾备中心应建立重要信息系统的备份,在日常工作中应加强对灾备中心机房的巡检,确保系统正常运行。在分行层面,应从供电、网络、系统建设等方面实现全方位的应急措施,比如在供电环节,分行除配置双线路供电外,还要配备不间断电源(UPS)和应急发电机;在网络连接环节,不仅要配置不同运营商的网络线路,还要配置无线设备,确保在极端情况下仍能保障重要业务持续运营。
(三)业务连续性演练
虽然《指引》对国内商业银行开展业务连续性演练的具体方式未作硬性要求,许多银行在演练环节采用较为简单的桌面演练以应付监管的要求,这种方式虽然成本较低,但效果不好,难于检验应急预案的可行性,在实践中,某银行根据业务重要程度有针对性地对重要信息系统开展实战演练,在业务量较小的时间段将生产系统切换至灾备中心系统上运行,平时不断总结经验,实践证明,这种方式能够较好地应对突发状况。另外,许多银行在开展应急演练时,未要求业务关联方参与,《指引》明确规定,“商业银行应当将外部供应商纳入演练范围并定期开展演练;同时,应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练,确保应急和协调措施的有效性”,因此,在开展应急演练时应将关联第三方纳入演练范围,注重演练的实质而非形式。
三、结束语
本文根据实践经验,对商业银行业务连续性管理体系建设过程中的重点、难点提出建议和方法,在业务影响分析环节提出按照财务影响和非财务影响来区分重要业务的分析方法,为梳理出业务恢复优先顺序提出矩阵模型分析法,实践表明,可顺利、高效地完成业务连续性管理体系的建设,有效降低重要业务中断风险,提高业务风险应对能力,满足《指引》对商业银行建设业务连续性管理体系的要求,对国内银行建设业务连续性管理体系具有参考意义。
参考文献
[1]中国银监会.商业银行业务连续性监管指引[Z].
篇(2)
昭通全市属于典型高原山地构造地貌,受金沙江水系及其支流横江水系切割,沟壑纵横,河谷与高山海拔高差大,具有“一山分四季、十里不同天”的气候特征,又处于小江断裂带地质活跃区,气象灾害、地质灾害频发,有“无灾不成年”的说法。2008年初,昭通市十县一区遭受了五十年一遇的特重低温冰凌灾害,造成部分县区电力、通讯、道路交通等基础设施严重瘫痪长达两周,给救灾资金划拨和人民银行发行基金调运带来巨大困难,灾害造成直接经济损失33.01亿元。2013年1月11日,镇雄县果珠乡高坡村赵家沟发生严重山体滑坡,导致46人遇难,当地网络、通信、道路中断达7天,惠农支付点受损5户。昭通全市仅2006年至今,境内先后发生5.0级地震5次,其中6级以上2次,因灾损失上百亿元,死亡698人。尤其是2014年8月3日发生在鲁甸的6.5级强震,系云南省14年来最强地震,共造成617人死亡、112人失踪、3143人受伤,当地金融机构房屋严重受损,金融服务瘫痪。
面对频发的重大自然灾害,人行昭通中支带领全市金融系统,积极应对自然灾害,做好金融服务工作,主动承担社会责任。以鲁甸“8.03”地震为例:一是迅速启动应急预案,全系统应急领导小组迅速行动,抓好灾情核实,关注金融机构的受灾情况及业务运转情况,提高处置的及时性、针对性和预见性,对可能发生的后续灾情做好预防,防患于未然。二是采取有效措施,及时恢复受损金融网点的金融服务。开辟国库服务绿色通道,确保国库财政救灾资金的汇划和及时拨付到位,截止到今年10月10日,共拨付救灾资金95笔,金额259,650万元;启动现金供应应急预案,不分节假日及时为银行机构办理现金存取业务,增大灾区人民银行机构发行基金库存量,确保灾区现金供应;指导受损网点恢复服务功能,以“帐篷银行”、“流动银行”、“汽车银行”等方式对外提供现金存款、取款、转账、挂失止付等基本金融服务,免收救灾资金汇划手续费,简化开户手续。三是出台抗震救灾有关金融支持与服务工作意见,加强灾区窗口指导,做好金融稳定工作。要求金融机构积极盘活存量资产,加大灾后重建信贷投入,简化信贷审批手续。灵活用好多种货币政策工具,增加灾区地方法人金融机构新增贷款总量6亿元,同时,将全市支农再贷款规模向灾区金融机构倾斜,增强灾区地方法人金融机构信贷投放能力,满足灾后恢复生产和重建工作的信贷需求。
金融系统的高效反应,得到了地方政府的肯定,中央电视台及时报道了灾区金融服务情况,《金融时报》连续两天以《震不断的金融服务》进行了系列报道。
二、现行金融安全应急体系的不足
总体看,昭通金融机构在应急体系建设方面积累了一些经验,但在应对自然灾害过程中仍存在应急体系建设不完善,横向联动沟通机制不建全等一系列的困难和问题。
(一)金融系统应急体系建设与地方政府应急管理不衔接,联动性不强,缺乏统一规划
现行的地方政府应急体系建设未将金融系统应急处置工作纳入统一规划,没有具体明确金融系统在自然灾害发生后如何按照统一的部署开展应急处置,造成在救灾过程中信息不对称,要求不一致,措施不统一,出现各自为阵的情况。如昭通市各类突发公共事件应急预案里,仅有《昭通市重特大自然灾害抢险救灾应急预案》和《昭通市破坏性地震应急预案》中提到“金融部门要及时做好信贷工作”,在地震应急条件保障中模糊规定了金融部门要做好救灾应急资金的筹集、储备计划等,且概念模糊,操作性不强。协调机制不健全将影响金融部门在抗灾救灾过程中职责的履行和作用的充分发挥,一定程度上制约了灾区受损金融机构的恢复,阻碍金融服务的及时跟进,如鲁甸“8.03”地震后,就曾出现政府实施灾区道路交通管制后,由于金融部门没有及时协调到特别通行证,震中地区办理金融业务的重要空白凭证不能及时运到的情况发生。
(二)基层行未结合地区实际建立有效的风险预警和处置指标体系,给应急处置工作带来被动
虽然基层金融机构均建立有突发事件应急预案,但对于突发事件的预测预警缺乏一套科学完整的预警量化指标体系,对突发事件的预测预警工作大多靠个人的主观判断,容易产生预警不力和预警过度的问题,不利于灾区金融机构对突发事件的防范和解决,也不利于上级行作出正确的判断和决策。通过近年对昭通辖区人民银行10个县支行应急体系建设情况的现场检查进行分析,普遍反映上下级单位应急预案同质化现象突出,即“上下一般粗,内容一个样”,忽视了不同层级规模、职能和地区差异,使一些应急预案制定的针对性和作用大打折扣。如辖内部分支行为了免责,在建立应急预案体系过程中,未结合地区实际,进行必要取舍和整合,而是一味照搬上级行应急预案,导致与上级行应急预案结构及内容一样,没有突出本区域应急重点,应急预案科的学性和实际操作性不强。失去了制定突发事件应急预案的意义。
(三)基层金融机构应急预案未得到充分演练和检验
当前普遍存在的一个问题是基层金融机构疏于应急培训,对应急演练重视不够、认识不高,存在为完成工作任务而演练的思想,导致应急演练的评估报告演变成记流水账,影响评估工作的客观性,没有真正起到发现问题、完善预案、科学规划、提高应对突发自然灾害处置能力的目的。同时,各类突发灾害的应急处置涉及到许多相关单位,但基层金融机构在应急演练中不同程度存在部门本位主义强、各自为战的情况。扎实的应急演练涉及到各方人力、物力和财力的高效调配,组织难度较大,因此,少数单位即便进行了演练,也只是针对操作较为简单的预案开展演练,只是本单位、本系统力量的简单摆布,未与地方有关部门联合、联动开展。如辖区部分支行开展的消防、防洪、防盗抢等应急演练,缺乏消防、公安等专业部门的指导,实战性将明显降低,达不到通过演练提高实战水平的目的。
(四)应急体系建设横向衔接不够
地震、气象等自然灾害的影响大多涉及相邻省区,而在近年对辖区县支行的检查中发现,各单位普遍反映,基层行应急预案内容的纵向一致性要好于横向的衔接性,主要原因在于纵向的要求易于理解和贯彻,而横向的应急联动却因行政区划的限制产生请示难、协调难等问题,影响应急响应的一致性。如2012年彝良“9.07”造成云南彝良、贵州威宁县等受灾,在震后救灾关键期,就曾出现两省交界区惠农支付点因跨省网络不能使用的现实情况,以及相邻两省村镇因信用村镇建设不同步,信用信息不共享,灾后民房重建信贷被毗邻省市金融机构拒绝受理的情况,金融服务的互补优势没有发挥到最大,影响整体应急处置效率。
(五)区域性金融机构大多还未建立应急备份系统
在自然灾害频发的昭通地区,部分银行业金融机构的重要业务系统数据备份未实现数据集中、异地备份,特别是区域性独立法人结构的农村信用社系统、村镇银行、邮政储蓄银行在重要业务系统数据异地备份、远程恢复方面显得尤为欠缺,加之基层行对业务系统安全稳定运行起重要支撑作用的路由器、交换机、服务器等重要网络设备缺乏备机,发电机组及预防自然灾害的其他应急物资也都较为缺乏。一旦发生重特大自然灾害,将对金融机构带来不可估量的损失。
三、对策和建议
(一)强化应急预案体系建议的相关保障
建议上级金融机构,加大与政府部门的沟通协调、把金融系统应急体系建设作为省区应急体系建设的重要组成部分,以提高预案效力和影响范围,建立或完善相关的信息共享和协调联动机制。建议上级行出台专门针对不同级次自然灾害的信贷扶持政策,对灾后重建的信贷准入标准、优惠利率、担保要求以及贷款审核程序等方面有别于普通贷款,提升灾区金融保障能力。在灾害发生后,当地金融机构能及时按不同灾害级次规定展开应急处置工作,减少向上级请示汇报的时间,提高工作效率。建议在自然灾害频发地区建立金融区域性应急防灾减灾中心,通过明确职能,建立功能各有侧重的战略性应急物资储备库,改变各分支机构目前各自为阵的应急物资储备模式。在应急专业队伍建设方面,建议上级行建立应急管理远程培训课程规划,邀请专业师资进行系统培训,建立应急管理专家库,为分支机构在应对重大突发事件方面提供必要的智力支持和指导。
(二)加强应急预案体系建设工作的纵横结合
基层行做好应急管理工作既离不开上级行的正确指导,也离不开地方政府的支持配合。建议鼓励基层行在应急预案体系建设工作中,除核心业务、内容外,应积极主动寻求纳入地方政府应急预案体系建设规划,一方面解决基层行遇到上述突发应急事件时,因势单力薄而难以应对的困局,另一方面确保地方政府对基层金融机构应急预案在协调沟通、资金支持、物资保障、培训宣传等方面予以统筹考虑,以解决基层行在处置突发自然灾害过程中信息不对称,要求不一致,措施不统一,各自为阵的情况。
(三)建立科学的应急管理考核评价和监督机制
一是将银行业金融机构的应急管理工作纳入人民银行区域金融风险防控的管理范围。从应急制度机制建设、预案建设及演练、突发事件处置等方面细化考核评价项目及标准,严格进行考核评价并通报结果;二是在人民银行内部应建立从上至下应急处理的科学评价和监督机制,对突发事件的应急反应速度、处置措施和效果进行量化评价,将应急体系建设作为单位履职能力建的重要组成部分进行考核。三是至上而下加强对重大突发事件应急处置案例的经验总结,为基层行提供经验模式借鉴。
(四)探索建立第三方建设与运营灾备中心模式
篇(3)
近期,媒体相继曝光国内多家商业银行服务中断事件,其中不乏影响较大者。如:5月12日10时至10时37分,招商银行借记卡业务系统故障,客户无法正常办理ATM、POS、网银等业务;6月23日10时38分至11时23分,工商银行上海数据中心主机系统故障,不仅柜面业务无法正常办理,ATM、网银、手机银行等电子渠道业务也不能正常使用。两起事件按照《商业银行业务连续性监管指引》(银监发〔2011〕104号)第七十九条有关运营中断事件的规定,均属重大运营中断事件。
早在2008年,现任银监会副主席郭利根就曾经指出,国内银行业存在着信息技术基础建设滞后、软硬件及核心技术受制于人、系统管理粗放等问题,特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面存在着明显的短板。时至今日,频繁发生的银行服务中断事件再次提醒我们,形势仍不容乐观,加快商业银行业务连续性管理建设迫在眉睫。
一、业务连续性管理及其重要意义
业务连续性管理是一项综合管理过程,不仅包括对业务活动和业务恢复的持性管理,还涉及到相关培训、演练和评估等环节,是商业银行全面风险管理体系中的重要组成部分。国际业务连续性协会将业务连续性管理界定为:能够识别出可能的潜在威胁,以及这些威胁发生时对业务运营带来的负面影响,同时提供一套有效的反馈和恢复体系,从而对股东利益、公司声誉和价值创造活动进行有效的保护。国内《商业银行业务连续性监管指引》则进一步明确为:商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。以此观之,建立完善的业务连续性管理,将有利于商业银行的持续运营,有益于保障重要业务的快速恢复、降低损失和消除影响,增强竞争力和可持续发展能力。
在商业银行的生命周期中,银行业务运营会随时受到来自内外各种因素的影响,严重的甚至会造成重要业务的非正常中断。重要业务意外中断,不仅意味着商业银行须为此付出沉重的代价和承担严重的后果,如果处置不当,还可能发酵成一场可怕的灾难。有关研究资料显示,以每小时业务中断所造成的损失进行比较,银行业的损失远居各行业之首;如果发生业务中断两周内仍无法恢复,75%的企业将因此而停业,43%的企业将无法再开展业务,灾备措施不完善的企业将在2~3年内破产。因此,为保障业务的持续稳定运营,商业银行尤其需要行之有效的业务连续性管理。银监会的《商业银行业务连续性监管指引》,对商业银行业务连续性管理的组织架构、业务影响分析、业务连续性计划与资源建设、业务连续性演练与持续改进、运营中断事件应急处置等相关体系建设和工作内容提出了明确的监管要求,将促进商业银行进一步加强风险管理,有效履行社会责任,对维护公众信心和提高商业银行业务持续运营能力将发挥积极的引领作用。
二、国内商业银行业务连续性管理发展状况和存在的问题
业务连续性管理在国外发展较早,其历史可追溯到上世纪60年代,国内虽然起步较晚,但发展很快。通过国家连续《银行业信息系统突发事件应急管理规范》、《商业银行数据中心管理规范》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》等一系列指导性文件,国内银行业对业务连续性管理的认识不断深入,尤其是国有大型商业银行在业务连续性管理的信息系统技术方面已经较为成熟,基本接近国际先进水平。如,2008年汶川发生大地震后,震后三天工商银行即在都江堰灾区建立了应急帐篷银行,仅一台ATM在几天内就成功办理了76万元对公结算和20笔取款业务。
随着《商业银行业务连续性监管指引》的,国内商业银行愈加重视和积极推进业务连续性管理的建设。
一是初步构建了应急管理体系,确立了组织管理架构,加强了职能部门的协调配合,形成了统一的应急响应流程和通知报告程序,增强了应对突发事件的处置能力。
二是加快了灾备建设,建立了同城/异地灾备中心,积极推进“两地三中心”的建设,对核心业务数据和核心系统恢复的保障能力进一步增强。
三是开展了应急响应和灾难恢复演练,与通讯、电力等外部机构的联动协作有所强化,应对突发事件、危机管理的能力有了提高。
尽管如此,与国外先进银行相比,国内商业银行还有较明显的差距,主要存在以下几个方面的问题:
(一)认识尚有差距,系统建设的主动投入略显不足
由于对业务连续性管理的研究运用时间较短,商业银行对其重要性还缺乏具体形象的认识,停留在为了满足监管要求和信息系统灾备恢复等较粗浅的层次上,没有真正意识到业务连续性管理对提升银行竞争力和价值创造的积极作用。具体表现为部分商业银行,尤其是中小股份制商业银行还普遍存在着业务连续性管理“投入大、收益小”的认识偏差,主动推进的意愿不强。
(二)管理尚有差距,未将之完全融入企业文化之中
缺乏足够的认识,缺少了管理层和相关部门强有力的支持,一方面导致商业银行将全行性的业务连续性管理工作仅仅只落实到个别部门身上,没有做到全员性参与,极易形成管理上的盲点;另一方面,忽视了通过必要的流程开展全员风险意识教育和技能培训,遇到业务中断事件,既便有了应急计划和预案,也会由于缺少必要的教育培训、相关人员未能充分理解掌握操作要求,从而导致既定的流程和机制难以发挥预期作用。
(三)风险识别尚有差距,业务影响分析不充分,资源保障和灾难恢复的有效性不足
一是缺乏对各项业务和业务系统的全面科学评估,业务分类、事件分级以及由此而制定的业务恢复目标还不尽合理,在应急预案设计、备用资源保障和人员配置等方面存在不足;二是偏重对设备设施、数据信息和业务运营的保护,对员工安全、企业声誉等其他重要资产的保护和重视程度不够,存在低估风险的倾向,风险缓释和预防应对措施针对性不强。
(四)预案体系建设尚有差距,应急响应的合理性和可操作性不强
商业银行业务多样、管理复杂,业务连续性管理的建设难度大、周期长,需要针对可能的风险或潜在的影响进行事前缜密的分析,才能结合实际科学论证和制定预案。即使是规模较小的商业银行,要建立起能够全面?盖重要风险、相对完整的预案体系,也需要制定出不少于几千份的各类预案。在国有商业银行当中,目前预案建设最为完备的是建设银行,达到了4000多份。但相比国外先进银行,如美国银行预案就多达7000余份,国内商业银行在预案体系建设上还任重道远、差距较大。
(五)持续改进尚有差距,预案演练的针对性和有效性不足
一是对业务连续性预案的日常演练不充分或流于形式,不能全面有效地检验其操作性和有效性,难以做出具有针对性的完善和改进;二是偏重对信息系统的灾备演练,针对业务、流程和人员方面的演练不充分,一定程度上还存在着重建设、轻维护的现象;三是尽管多数国内商业银行业务系统已实现了“同城双活”,并开始向“两地三中心”发展,但由于业务连续性管理尚存诸多的不完善,欠缺足够的经验积累,未能针对业务系统的实际切换开展必要的演练,在灾难发生时难以保证重要业务的正常切换和回退。
三、加快业务连续性管理建设的几点建议
(一)继续深化认识,切实将业务连续性管理作为改善经营、提升竞争力的有效途径
首先,应清醒地认识到,商业银行肩负着保障金融安全和社会稳定的重要责任,能否从容应对突发事件,迅速控制不良影响和防灾减损,既体现了商业银行的风险管控水平,也是履行社会责任、展现银行价值的实际体现;其次,商业银行激烈的市场竞争,伴随着各种难以逆料的风险,来自于各项业务活动的运营风险、操作风险不断拷问银行的管理能力。完备而健全的业务连续性管理,可以使商业银行更好地适应瞬息万变的市场环境,更有效地提高预防风险、应对风险的能力,能够大幅提升银行的持续运营水平和竞争力。
(二)积极落实《商业银行业务连续性监管指引》,健全适应业务发展的管理政策和体系
一是按照监管指引要求,持续完善业务连续性管理的政策、制度,健全高效运行的组织管理架构,落实部门管理职责,明确责任;二是依照监管指引的规范标准,科学建设,加快应急响应及业务系统建设,建立常态化管理评估维护机制,健全业务连续性管理体系;三是从业务角度出发,以业务连续为目标,强化系统性设计,形成各个部门协调统一的管理体系。
(三)将业务连续性管理融入企业文化,使之成为经营管理的有机组成部分
充分结合银行文化环境特点,制定长期的业务连续性管理文化融入计划,通过多种途径、多种方式持续推进。一方面依靠管理层,通过管理层对业务连续性管理宣讲或座谈的参与来积极推动;另一方面,制定详细的人员培训计划,将责任分解落实到各部门,定期开展全员性的业务连续性管理意识教育和技能培训,将其真正融入到企业文化中,使业务连续性管理成为员工主动参与的自觉行为。
(四)提高风险评估、业务分析水平,加快预案体系建设,提升持续运营的保障能力
篇(4)
随着大、小额支付系统相继推广应用,为确保支付系统运行安全,银行应从预防入手,防止支付系统在网络连接中,可能遇到的自然灾害、事故灾难或突发事件,造成系统瘫痪。加强支付系统应急方案的制定和演练,进一步提高业务人员应急处置水平,促进支付系统和谐与稳定发展。
一、加强日常防范
为提高紧急或突发事件的处置能力,遇到突发事件,能够迅速做出反应,时刻保持清醒头脑。那么怎样才能提高应对突发事件整体处置能力呢?笔者认为应该做到:
(一)在日常工作中,会计营业部门要确保计算机机房温度、湿度符合要求;集中核算系统的网络、生产用服务器、主机和通讯设备(电话、传真)完好;集中核算系统服务器、各柜组主机应有备用机器,如生产机出现问题可替代使用。
(二)会计营业部门ABS系统作为集中核算系统的核算中心,指定专人负责系统日间数据的异地备份,并将生产机的备份数据最迟在下一工作日开机前,恢复到备用服务器,保证备用机与生产机的数据同步,遇到生产服务器事故时,可及时抵用。指定专人按月进行备用业务机的维护与检查,并做好记录。定期检查UPS的状态,保证应急时的电量使用。科技部门应定期对系统的数据进行检查和清理,确保系统空间占用率,防止数据过多,造成系统瘫痪。
(三)会计营业部门业务岗位设立AB角。把计算机安全教育和法制教育当成日常工作常抓不懈,坚持防范前移,把计算机安全落到实处,为支付系统安全运行提供技术保证。
(四)指定专人负责备齐手工联行的所有应急凭证(网络中断可改为手工处理)。会计部门应备足备齐手工账务处理用纸、凭证、账表,保留全国联行手工处理凭证至少15天的用量,以应对突发事件发生。
二、加强应急方案的制定确保支付系统安全运行
会计营业部门要制定切实可行的应急处置预案,在支付系统无法应用时,按照相关程序请示批准后,应启动应急预案。
(一)切实加强支付系统运行管理。支付系统是国家最重要的金融基础设施,承载着银行间跨行资金清算的重任。运行系统遇到紧急事件导致系统故障,值班(或发现)人员要及时向科室负责人和主管行长报告,由系统维护员积极查找故障原因,联系系统网络的修复。同时取得科技、会计部门支持,妥善处置。在故障期间迅速采取有效措施,确保会计核算业务的不间断运行。
(二)相关人员要严格按照授权各负其责。发生应急事件后,由应急小组组长召集小组成员,迅速组织业务人员,按照应急处置方案进行操作,并向市中心支行领导小组报告。组长负责对内、对外各项信息,指挥应急处理工作,在最短时间内恢复会计核算工作正常运行,保证汇路畅通。
(三)发生紧急事件导致当地支付系统业务处理中断时,应立即暂停集中核算系统发往支付系统的各类业务,及时与国家处理中心、城市处理中心联系,要求停止相关业务,同时与会计部门取得联系,由会计部门通知所有营业网点暂停处理所有支付系统的核算业务。核算中心各专柜和所有营业网点应有专人留守,随时等待通知,作相应处理。
1.当日能够排除故障的,应通知各个网点暂停办理业务,待故障排除并恢复与支付系统连接后,由综合柜组检查集中核算系统是否为故障前的账务数据,检查无误后,通知各营业网点进行当日账务处理。
2.故障多日仍无法排除时,请示上级指挥领导小组办公室负责人批准后,采用手工处理方式维持会计日常业务的不间断处理。采用手工操作以前,应核对清算账户故障时点的余额,核对无误后,由核算中心统一安排手工方式进行核算,以保证账务的连续性和准确性。故障期间核算中心的资金汇划业务采用“先直后横”或“先横后直”的方式办理。
(四)处置紧急事件后,支付系统恢复运行时,必须依据相关正常运行系统提供的正确数据进行调整,由核算中心指定专人认真核对,确保系统数据恢复的完整和可靠。
三、加强应急预案演练提高应急能力
只有不断完善各业务系统的应急处置预案制定,定期组织应急演练,增强支付结算队伍的应急观念,才能使业务人员在关键时刻沉着应对,迅速启动应急处置预案,保证支付清算系统正常运行。
(一)会计、营业部门应成立应急演练指挥小组,制定演练方案。营业部门作为业务系统的运行部门,负责对演练过程进行记录,负责应急演练的数据准备、系统操作、数据核对;对演练过程中出现的事故进行初步诊断,系统管理员主要负责分析故障原因以及排除故障,由会计部门进行决策。
篇(5)
2011年12月,银监会就商业银行业务连续性管理(BCM)《商业银行业务连续性监管指引》(以下简称《指引》),突出强调了业务连续性管理在商业银行治理与风险管理体系中的重要地位,要求各商业银行根据自身发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
面对更高的监管要求,商业银行如何从 “以资产为核心的传统风险管理模式”向“以业务持续发展为目标的风险管理模式”转变,值得关注。
一、商业银行业务连续性的定义
业务连续性是一种计划和执行组成的策略,目的在于保证企业信息流能维持业务持续运行,对在经营过程中依赖客户信息、产品信息以及其他管理信息的企业具有普遍的重要意义,不独针对商业银行而言。根据《指引》,商业银行业务连续性被定义为“商业银行通过对突发事件的规划和响应,使得重要业务得到有序、快速恢复,实现持续、稳定运行的能力”。业务连续性管理则指“商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体”。
二、业务连续性管理的意义和监管要求
当前,商业银行所面临的风险早已不再局限于信用风险或市场风险,随着商业银行业务信息化程度的不断提高、银行业务系统日益复杂,给银行业务运营带来了新的挑战和风险。商业银行业务连续性管理是构建全面风险管理体系的重要组成部分。商业银行对其完整性、合理性和有效性应有效评估、持续监督和定期检查。
在巴塞尔新资本协议中包括了对业务中断和系统失败的风险控制要求,即保持业务持续运作。国内各监管部门也顺应信息技术、金融业务发展,陆续制定了监管指引和要求,主要条例如下表:
从监管的发展演变不难看出:从最初的仅关注灾难恢复到当前的业务连续性管理,体现了从具体操作到系统管理,从局部控制到整理规划的发展。适应了国内金融行业形势发展,也越来越趋同于国际上较为成熟的规范。
三、商业银行业务连续性管理的理想架构
依据《指引》,商业银行业务连续性管理关系结构应自上而下,由董(监)事会、高管层、主管部门和执行部门组成,应将业务部门纳入管理架构中,具体职责分配如下图1:
对应的,商业银行应当由上图中的干系人搭建日常管理组织架构和应急管理组织架构,如下图2:
四、国内商业银行业务连续性管理发展状况
业务连续性管理作为行业信息化发展的现实需要,一直处于发展、完善过程中。其起源于20世纪60年代,最初以一种对计算机连续运营中单点故障采取的冗余措施的形式出现,关注的主要是灾难事件本身造成的直接损失。70年代,初步出现了容灾恢复的理念,银行和保险公司建立起数据的后备点。80年代后,企业对信息技术的依赖愈加强烈,进而对数据及信息系统的安全提出了新的要求。催生了新技术灾难恢复(Disaster Recovery,简称DR),而灾难恢复的最终目的是业务连续(Business Continuity,简称BC)。由此,业务连续性计划的理论和方法得到了广泛的研究和重视。从DR到BC的演进,其实质是从单一技术手段到系统性策略管理的升华,而国内商业银行大都还处于DR阶段,或是从DR向BC逐步转变阶段。
有趣的是,国内对商业银行BCM的研讨主要来自于外部机构,尤以四大会计师事务所最为热衷,2012年先后对BCM管理单独出版刊物,表达了积极进入这一领域的愿望,究其原因,一方面是国外在BCM管理方面较为成熟的管理经验,而国内银行还处于摸索、学习阶段,另一方面是国内越来越规范、严格的监管要求和银行自身风险管理水平的提高所产生的需求。根据安永(Ernst & Young)调研资料表明:中国银行业BCM建设状况中,国有四大银行、国开行DR成熟,BC趋于待完善;股份制商业银行DR趋于成熟,BC待完善;城市商业银行DR起步,基本无BC。
中国工商银行在2001年前,在开始数据大集中工程时同步开始了灾备规划和建设。2003年,该行核心业务系统的灾备系统已经建成。目前工行建成的灾难备份体系是本地数据实时备份,异地灾难备份,在北京和上海两个数据中心之间跨1200公里的距离建立灾备体系。工行业务连续性规划已经基本覆盖全行所有业务,并根据业务的关键性制定了不同的灾备等级。
2008年,建设银行启动了“业务连续性管理整体规划咨询”项目,与中金数据合作,成功实施了国内首个业务连续性管理体系咨询服务项目。2012年,中国建设银行《商业银行业务连续性监管指引》实施方案,开始系统化推进BCM。2013年,建行又制定了《中国建设银行业务连续性管理政策》和《业务连续性管理操作手册及模版》,其采用的流程与规划总体与监管指引一致,以风险管理部为牵头机构,明确了业务连续性管理统筹规划工作。
五、商业银行业务连续性管理层面常见问题
国内商业银行业务连续性管理中容易出现的问题主要有:
1.业务连续性管理驱动力不足
部分银行人员存在认知上的误区,认为外部自然灾害、突发事件不可预期,属于不可抗力,且业务连续性管理对银行的业务运营不能带来可以预见的价值。而仅仅依靠外部监管的驱动不足以彻底改观银行的业务连续性管理水平。
2.企业文化局限,业务条线参与不足
对BCM的管理还存在局部控制、松散管理的现象,将职责仅分配到某些机构、某些部门和某些人员,而非全员参与。例如,将业务连续性管理等同于IT容灾,工作职责局限于信息科技部门。
3.实战演练不足
国内银行重视对灾备系统、信息系统的建设投入,对应急预案的制定,但基本还停留于桌面演练,实战演练不足。这种“纸上谈兵”的形式不足以验证业务持续性管理的有效性。
4.缺乏专业团队和专业型人才
与国际上成熟银行的业务连续性管理体系相比,国内银行在团队建设和人员素质方面还显滞后,缺乏一批熟悉银行业务流程,且对计算机、网络、通讯、安保和法务等方面有把控能力的专家型团队和人才。
六、业务连续性管理过程中存在的风险及应对措施
《指引》对商业银行业务连续管理过程中的风险识别进行了概述,主要关注涉及业务连续性的关键资源,识别关键资源面临的外部威胁和自身脆弱性,确定风险敞口等。据此,商业银行对业务连续性管理的风险管理应当体现在业务中断影响评估、业务持续性管理流程设计、资源建设、应急响应和持续监督机制中。笔者认为,主要风险存在于以下几个方面:
风险点一:业务影响分析。首先,对于重要业务的判定,监管指引未作出强制性定义,裁量办法由各个商业银行具体制定,因此是否对重要业务进行了准确的判定、选择直接关系到后续应急方案能否全面覆盖。其次,对重要业务中断的概率、经济损失与非经济损失、恢复优先级别和恢复目标时间应合理估算和规划。再次,对重要业务的判定应当动态管理,在商业银行经营战略、外部环境或监管要求等要素发生变化时,重要业务的认定也应当适时调整。
风险点二:对关键资源的风险评估(RA)。在重要业务影响分析基础上,对牵涉关键资源的风险评估较为关键。关键资源应当包括关键信息系统及其运行环境、关键的人员、业务场地、业务办公设备、业务单据及重要外部供应商。需分析关键资源面临的各种威胁以及资源本身的脆弱性,确定风险敞口。再根据风险敞口制定降低、缓释和转移风险的应对办法。
风险点三:业务连续性计划、总体预案、专项预案和外部供应商连续性计划。主要关注上述计划或预案的完备性与预见性。例如,个别商业银行或个别分支机构对重要外部供应商的连续性管理可能认识不足,未将其纳入业务连续性管理规划,导致外包服务供应商非正常退出及其它紧急情况时,没有良好的应急响应,进而对本行的业务运行产生直接冲击。
风险点四:资源建设状况。目前,国内商业银行资源建设缺失可能包括信息系统建设,运营中断事件指挥场所,备用业务和办公场所,灾备中心建设和关键岗位的备份人员等等方面。
风险点五:业务连续性演练。在已有较完备的业务连续性计划和各种预案的前提下,业务连续性演练情况也必须关注。一是演练时间是否达到监管指引要求的“至少每三年对全部重要业务开展一次业务连续性计划演练”,还包括在重要业务活动和重要社会活动等关键时点的演练。二是演练目标不应流于形式,应当注重以真实业务接管为目标,确保灾备系统能有效接管生产系统并能安全回切。三是演练范围应当完整,尤其应当将重要外部供应商纳入演练范围。
风险点六:评估审计与日常监督机制。按照监管指引要求,商业银行应当每年至少开展一次对业务连续性管理的有效性、完整性和合理性的自我评估或委外评估,每年至少开展一次审计,每三年至少一次全面审计,在出现大范围运营中断事件时,应及时开展专项审计。此外,商业银行应在每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一年度业务连续性管理的评估报告和审计报告。在全行性演练后,应在45日内向监管机构提交演练总结报告。
参考文献:
[1]普华永道《业务连续性管理(BCM) - 金融机构如何防患于未然并在危机中求得生存》.
[2]德勤《业务连续性计划和管理-莫让无妄之灾阻断公司业务》.
篇(6)
一、消防演练的内容:
1、报警与接警;
2、初期火灾的扑救;
3、人员的逃生、自救、疏散和重要物品的转移;
4、火灾现场的安全保卫。
二、消防演练的阶段划分:
1、进行学习动员。在全行进行一次消防安全大教育活动,组织员工学习《中华人民共和国消防法》、《中国建设银行消防安全管理暂行规定》和《中国建设银行办公楼安全管理办法》,提高员工的消防安全意识。由各部门为单位在支行分管领导和安全员的组织指导下,认真学习和模拟演练我行制订的消防应急预案,熟悉在消防突发事件中各自的职责和任务,熟练掌握每一种消防器材的性能和用途,掌握火灾中基本的自救和逃生方法,保障自身和国家财产的安全。
2、成立消防演练领导组织机构,明确责任,严格组织实施演练活动,确保演练活动顺利完成,达到预期效果。
指挥组:
灭火组:
接水组:抢救组:
警戒组:
保障组:
3、组织演练。请县公安和消防部门的同志来行,讲解消防知识及演练过程中的注意事项,并在消防队的指导下进行演练。全体人员都要参加,把演练当成实战,认真对待;担任警戒任务的员工要提高警惕,防止在演练当中不法分子趁火打劫。
4、总结汇报。演练结束后,各部门要对演练进行总结,针对演练中出现的问题要及时上报并进行整改,总结情况按要求上报支行办公室,办公室整理后上报市分行安全保卫部。
三、演练要求:
1、加强领导,确保演练工作达到预期目的。在支行的统一部署下,全行人员要高度重视,提高认识,积极参加,确保演练效果。
篇(7)
案件防范工作是确保我行改革、发展、稳定的重要内容,是一项艰巨的工作,任重道远,不可能一蹴而就。为保证我银行安全工作,我安全保卫部加强了对案件防范工作的研究,定期召开了案件防范分析会,研究。以“强化安全防范措施,增强安全防范意识,着力整改安全隐患,提高安全防范能力”为内容,以“学、练、改”为措施,学习案例、总结经验、引以为戒,及时发现和解决问题,防患未然。我银行共五个网点,在新机制运行初期,我安全保卫部根据银行保卫部的要求,完善了《银行突发事件应对处置办法》和《营业网点突发事件应对处置预案》。2014年10月26日,根据我银行实际,周密计划、加强协调,精心组织了一次突发事件应急处置预案的演练工作,全面提高我安全保卫员的应变处置能力和防护能力。
二、加强消防演练,提高消防意识
为深入落实科学发展观,深化HSE管理理念,加强全行员工的消防安全意识,提高应对和处置火险隐患的能力,保障全行工作安全运营无事故,本着“预防为主,防消结合”的消防工作方针,结合我行的实际情况和火灾案例,我安全保卫部进行了周密计划:
(一)学习动员
根据上级领导要求,在全行进行了一次消防安全大教育活动,组织员工学习《中华人民共和国消防法》、《中国银行消防安全管理暂行规定》和《中国银行办公楼安全管理办法》,提高员工的消防意识。
(二)组织演练
请消防部门的同志来行,讲解消防知识及演练过程中的注意事项,并在消防队的指导下进行演练。并针对演练中出现的问题及时进行整改,设施、器材需要更新的请求领导进行了及时解决。
经过对消防演练,全年无一消防事故发生。
篇(8)
随着科学技术的飞速发展,商业银行业务营运模式已经由手工处理转变为电子处理,各家银行都根据本行实际情况建立了电子化业务系统。业务系统的电子化造成银行过分依赖电子设备和技术,一旦设备或程序发生故障,很难采用恢复手工处理用以代替的方式,因此必然影响银行业务处理。鉴于此,商业银行必须制订业务应急保障策略,以便在发生突发故障时,能够及时启动预案保障业务应急处理。
一、商业银行业务系统营运模式
商业银行业务系统的营运模式按数据集中的程度可分为两种,一种是分散模式,一种是集中模式。
(一)分散模式
分散模式是指商业银行各家分行的业务系统相互独立,业务数据的处理分散在分行,并由各家分行自行管理。这种模式的特点是业务系统独立、数据处理分散,分行间业务处理的差异化较大。这种模式由于业务系统相互独立,点状分布,突发故障的影响范围较小,不会造成大面积瘫痪,因此商业银行对突发故障的风险可控性较强。
(二)集中模式
集中模式又可细分为统一集中模式和区域集中模式,是指商业银行业务系统的数据处理集中在总行或区域中心,由总行或区域中心集中管理。各家分行没有独立的业务系统,全部使用集中业务系统的终端进行业务处理。集中模式业务系统的诸多优势克服了分散模式业务的弊端,随着风险防控技术和方法的日臻完善,这种模式的采用也越来成为商业银行的发展趋势。但由于其后台处理集中,业务终端网状分布,系统架构为“金字塔”型,故障的发生往往会造成大面积瘫痪,商业银行业务应急保障策略的制订也凸显重要。
二、商业银行业务系统应急保障策略类型
分散模式业务系统由于其故障发生的影响范围较小,应急保障的实施也比较简单,同时也可借鉴集中模式业务系统应急保障策略的部分内容,在此不作赘述。本文着重探讨集中模式业务系统的应急保障策略。集中模式业务系统一般为“金字塔”型架构,其架构为总行(或区域中心)、分行、网点三层。总行(或区域中心)为后台,是业务系统的主机;分行为,是业务系统的前置服务器,桥接网点与总行的业务处理;网点为前台,是业务系统的操作终端。“塔尖”为总行(或区域中心)主机,“塔身”为分行前置服务器,“塔基”为网点终端。基于此种结构,商业银行应根据不同故障类型建立相应的应急保障策略。
(一)设备故障的应急保障策略
设备故障是指主机、前置服务器、终端等硬件设备由于设备自身原因或其他外部因素而损坏,业务系统不能正常运行,导致商业银行无法向客户提供金融服务的情况。设备故障的影响范围各有不同,主机故障影响范围最大,前置服务器次之,终端再次之。由于设备故障(尤其是主机设备故障)很容易导致业务数据的损坏或丢失,因此其风险度和危害性非常大。对于设备故障,商业银行应建立备机策略。所谓备机策略,是指为主机、前置服务器、终端等设备设立备用设备,一旦设备发生故障,即可及时切换至备机进行业务处理。
对于主机设备,商业银行应建立异地备机策略。所谓异地备机策略是指在主机生产设备所在城市以外的地方设立备用主机设备,以此来防范外部因素导致的设备故障。在建立异地备机中心后,商业银行应将主机备用设备视同生产主机设备一样进行日常维护和升级变更,同时应将业务数据实时备份至备用设备,保证主机备用设备上业务系统的正常运行。
对于前置服务器设备,商业银行可采用总行集中设立前置服务器备用设备的的备机策略。此策略即可满足分行前置服务器发生故障时的应急保障,又可避免分行各自设立备机设备的重复投入。同时,前置服务器备用设备由总行统一管理和维护,又可减少分行对设备维护的人力成本。
对于终端设备,其故障影响范围很小,商业银行应做好终端设备库存量的匡算和技术支持,在终端发生故障时能够尽快修复或更换,保证柜面的金融服务。
(二)通讯故障的应急保障策略
通讯故障也称网络故障,是指由于网络异常而导致业务系统通讯中断,业务系统无法正常运行的情况。集中模式业务系统架构为总行、分行、网点三层分布,通讯故障的发生有两种类型,一种是总行与分行之间的通讯故障;另一种是分行与网点之间的通讯故障。前者的影响范围要大于后者。
通讯故障会导致网点无法使用业务系统为客户进行业务处理,但对业务数据的损坏或丢失没有影响。由于通讯故障的恢复时间取决于网络修复的快慢,此不确定性因素往往会造成较长时间无法对客户提供服务,因此,商业银行对通讯故障的应急保障应采用应急支付策略,保证对客户的紧急支付。所谓应急支付策略,是指商业银行业务系统在无法正常运行时,采用特殊方式为客户提供紧急现金支付和凭证挂失等服务。由于应急支付无法正常操作业务系统,对客户密码等信息也无法进行核对,因此存在较大的资金风险。商业银行采用应急支付策略,必须制订完善的应急支付制度,规范应急支付行为,有效防控应急支付操作风险。
应急支付是为客户提供紧急服务,因此商业银行应尽量缩小应急支付的业务范围。对于商业银行的柜面服务,紧急支付的压力往往来自个人客户,对公客户紧急支付的要求较个人客户要低一些,因此建议商业银行应急支付的业务范围以个人客户为主。
(三)系统故障的应急保障策略
系统故障是指业务系统主机程序出错或数据量压力瞬时过大而导致业务系统无法正常运行或部分业务无法处理的情况。系统故障发生后的影响范围一般为全行或较大范围内的分行。系统故障一般与分行前置服务器和网点终端无关。
业务系统如因系统程序故障而导致所有业务无法处理时,商业银行可根据实际情况参照设备故障或通讯故障的应急保障策略,启动备机切换方案或应急支付方案。如因系统故障导致业务系统部分业务无法正常处理时,商业银行可采用分级保障策略。所谓分级保障策略,是指商业银行根据业务种类的性质和分行所在地对客户影响度等因素,对业务和分行进行重要度分级。对重要度高的业务和分行,应重点保障,故障排查和系统恢复都应优先于其他业务和分行。分级保障策略可有效降低对业务处理的影响,减小故障对客户服务的波及面。
三、商业银行业务系统应急保障策略的组织和实施
基于业务系统故障的特点,商业银行应建立完善的应急保障组织体系,提高突发故障处置响应与协调应对能力,最大程度地预防突发故障的发生和减少突发故障造成的损失。
(一)建立完善的应急保障组织体系
商业银行要加强对业务系统故障应急处置工作的组织领导,建立健全日常工作机制,合理调配人员力量。要明确日常应急管理的指挥机构、办事机构及其职责,健全主要负责同志负总责、分管领导具体抓、相关部门分工协作的工作责任制,努力构建统一指挥、分级负责、各司其职、协调有序、运转高效的组织体系。
商业银行应针对业务系统故障的类型和特点,制订完善的业务应急预案,预案的内容应包括:业务应急保障的组织指挥体系及职责分工、预防与预警指标控制与措施、应急响应与处置安排、后期处置要求,以及应急管理保障措施等内容。
(二)加强应急保障动态管理
篇(9)
一、引言
银行业务连续性管理(简称BCM),是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序[1]。将业务连续性管理纳入全面风险管理体系,能够建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。本文以国内某大型股份制银行客户为分析背景,对如何开展银行业务连续性管理体系建设方法作出了研究。
二、项目背景介绍及业务连续性管理体系建设实施措施
本文研究的项目背景是某行《新资本协议实施规划项目》中的子项目;研究目的是在按照银监会某文件《商业银行业务连续性监管指引》(以下简称监管指引)和新资本协议的有关要求下,参考国外有关标准和国内外同业的实施经验,结合该行现状从而制定覆盖全行总/分/支三级机构业务连续性管理的工作流程和管理体系,以达到同业管理水平及新资本协议和监管指引的要求。
其具体建设措施为:业务连续性管理体系建设项目分为总体规划、总行实施和分行试点推广三大模块。各个模块的主要工作为:
总体规划阶段主要有:现状调研、方案计划制定、体系规划、业务连续性基础培训等;总行实施阶段:业务影响分析和风险评估、重要业务范围界定、制度规范建设、总体预案和专项预案建设、演练;分行试点推广阶段:试点分行调研、试点分行培训、试点分行业务连续性管理相关体系建设、试点分/支行的演练等。
本项目中该行在成立了业务连续性管理组织、初步建立了业务连续性管理相关制度和部分应急预案的基础上,业务连续性管理体系建设的思路应为自上向下,采取分阶段的实施方法开展业务连续性管理体系规划和建设的相关工作。其项目管理框图如图1所示:
三、项目阶段化及具体工作描述
基于上述实施方法,本文根据工作的先后顺序,将业务连续性管理体系规划和建设的相关工作划分为6个阶段,各个阶段工作为:
第一阶段是现状调研阶段,其阶段目标是了解该行业务连续性管理现状,并对比监管要求和国内外最佳实践,通过问卷调查和业务部门访谈,梳理出全行业务产品分类,为业务连续性管理体系规划和建设工作奠定基础[2]。
实际经验表明:为保证形成的业务分类表能准确地根据业务流程或其他特点将业务进行分类、合并,该过程中应重点关注各部门填写的问卷是否准确、全面;访谈应尽量全面、清晰地掌握各部门业务情况,其好处是能够明确区分业务是产品或者活动,同时将各部门的活动梳理全面,夯实下阶段进行业务影响分析和风险评估基础。
第二阶段是业务影响分析和风险评估阶段,其阶段目标是确认重要业务及所需关键资源,并评估业务资源面临的风险,为业务恢复策略和资源规划建设提供依据。
风险评估主要从业务层面和科技层面进行分析。业务层面对重要业务相关部门进行资源调研与风险评估研讨会,收集业务活动所需资源,以及这些资源可能产生的风险。科技层面针对重要业务所需信息资源进行调研,了解信息系统现有的恢复能力,以及系统架构中可能存在的风险。最后,基于分析明确关键业务活动恢复需求与风险。
该过程中应明确与相关部门共同进行业务影响分析的关注指标,业务层面的资源调研与风险评估工作应重点关注参与人员就业务所需资源以及其可能面对的威胁、管理状况填写的完整性和准确性,科技层面的资源调研与风险评估工作应关注现场评估结果与最后确认问卷与汇总数据的完整性和准确性。
第三阶段是业务恢复策略和资源规划建设阶段,其目标是根据业务影响分析结果,依据业务恢复目标,确定业务恢复策略;评估重要业务资源建设和灾备管理现状,根据业务恢复策略建立业务连续性管理资源建设规划[3]。
本阶段的业务恢复策略,主要包括:业务受理策略、业务恢复顺序、业务流量控制策略、数据核对与补录策略、业务风险管控策略、信息系统恢复策略、危机沟通策略等。根据评估结果并结合业务恢复策略开展业务连续性资源建设规划,主要包括:备用业务和办公场地建设、备用信息系统运行场所建设、备用信息技术资源建设、备用人力资源建设以及电力、通讯、消防、安保等资源建设。该阶段的实施过程中应重点关注业务恢复策略与资源建设规划内容的全面性。
第四阶段是业务连续性管理体系建设阶段,其目标是根据业务恢复目标和业务恢复策略制定业务连续性计划、总体应急预案和专项应急预案,定期开展应急预案演练等。
在本阶段,需更新相关部门职责,并将分行业务连续性管理组织架构和职责纳入其中,建立全行统一的业务连续性管理组织。其业务连续性计划的主要内容包括:业务连续性管理组织、应急管理组织、重要业务及关联关系、业务恢复优先次序、重要业务所需关键资源、应急指挥和危机通讯程序、各类预案维护管理要求、应急资源管理等。
第五阶段是分行试点和推广阶段,其目标是为确保业务连续性管理体系在分行落地。这需要选取有代表性的分行作为试点,针对分行特点开展业务连续性工作,经过试点分行总结经验后,推广至全行实施。最终正式实施的试点分行需要具有代表性。
试点分行确定后,项目组对分行业务连续性管理现状进行调研。其范围包括分行业务连续性组织、业务连续性计划、应急预案、特色业务、资源建设等方面。试点分行工作结束后,项目组根据试点分行体系建设经验制定分行推广计划及修订工作指引,提出对分行业务连续性体系建设的要求和落实时间。
第六阶段是业务连续性管理体系评估和改进阶段,其目标是实施全行联动演练,确保总/分/支行联通方案畅通可行,方案有效;同时,完成年度业务连续性管理体系自评估,推动业务连续性管理体系可持续性发展和改进。
该阶段需制定总/分/支行联动演练方案、业务连续性管理体系自评估计划。首先需要对业务连续性管理体系自评估以及监管机构的年度检查整改情况进行跟进,然后根据执行现状,在治理、人员、流程、技术等方面拟定业务连续性管理持续改进规划,推动业务连续性管理体系可持续性发展和改进。
四、项目实施总结
本文通过将银行业务连续性管理体系建设划分为3大模块,以及按照工作的先后顺序划分为6个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的业务连续性管理工作,以满足新资本协议中操作风险管理相关达标要求,降低重要业务中断风险,提高业务风险应对能力;同时满足了银监会《商业银行业务连续性监管指引》的要求,并为该行今后的业务连续性管理工作奠定了良好的基础,并提供了全面、细致的工作指导。
参考文献
[1]中国银监会.商业银行操作风险管理指引[Z].
篇(10)
二、加强对法人金融机构风险的监测、评估。按季对农合行财务变动情况、贷款投向、不良贷款的变动情况进行分析、判断,及时向上级行反馈农合行的经营状况。同时,通过按旬对农合行备付金率的监测,及时掌握农合行流动性状况,9月份,由于农合行业务人员操作失误,引起存款准备金不足,我们及时予以提示,并将按有关规定予以处罚。并召见职能部门负责人谈话,指出问题的严重性,在现有的宏观调控频繁的情况下,必须强化流动性管理,以防风险发生。
三、建立了银行业信贷信息共享、预警协议。为发挥金融机构应急预案机制,我支行拟定了银行业信贷信息共享、预警协议,以××市政府确定的年度星级以上企业、对外投资达到1000万元以上的企业、市政府重点工程项目、市政府背景贷款项目和农业龙头企业为监测对象,监测其贷款授信额度、贷款投放量、重大的经营活动和投资变化。通过日常数据监测,加强银行业内部的信息交流与沟通,及时把握金融机构动态,达到防范信贷风险目的。
四、扩大金融稳定监测范围,将保险业纳入监测对象。通过召开例会,交换统计信息等形式,及时向辖内银行业、保险业通报金融数据。如上半年,保险公司向我们汇报其在开展政策性农业保险中遇到的人力、财力方面的问题,我支行经过调查了解后,及时向市政府提出解决问题的建议。通过日常的监测和通过,形成同业之间长期交流、沟通、合作机制,营造公平、有序竞争环境,有利于金融健康运行。
