银行业务连续性管理体系建设方法研究

作者
作者

【摘要】本文以某银行的业务连续性管理体系建设为研究背景,制定了覆盖全行总/分/支三级机构业务连续性管理的工作流程和管理体系;结合国内外具体实践基础上,通过深入分析,对业务连续性管理体系的具体建设分为 3 个模块和 6 个具体化执行阶段,成功高效地完成了业务连续性管理工作,为各银行同业提供了参照方法和工作思路。

【关键词】业务连续性管理 现状调研 业务影响分析 风险评估

一、引言

银行业务连续性管理(简称 BCM),是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序[1]。将业务连续性管理纳入全面风险管理体系,能够建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。本文以国内某大型股份制银行客户为分析背景,对如何开展银行业务连续性管理体系建设方法作出了研究。

二、项目背景介绍及业务连续性管理体系建设实施措施

本文研究的项目背景是某行《新资本协议实施规划项目》中的子项目;研究目的是在按照银监会某文件《商业银行业务连续性监管指引》(以下简称监管指引)和新资本协议的有关要求下,参考国外有关标准和国内外同业的实施经验,结合该行现状从而制定覆盖全行总/分/支三级机构业务连续性管理的工作流程和管理体系,以达到同业管理水平及新资本协议和监管指引的要求。

其具体建设措施为:业务连续性管理体系建设项目分为总体规划、总行实施和分行试点推广三大模块。各个模块的主要工作为:

总体规划阶段主要有:现状调研、方案计划制定、体系规划、业务连续性基础培训等;总行实施阶段:业务影响分析和风险评估、重要业务范围界定、制度规范建设、总体预案和专项预案建设、演练;分行试点推广阶段:试点分行调研、试点分行培训、试点分行业务连续性管理相关体系建设、试点分/支行的演练等。

本项目中该行在成立了业务连续性管理组织、初步建立了业务连续性管理相关制度和部分应急预案的基础上,业务连续性管理体系建设的思路应为自上向下,采取分阶段的实施方法开展业务连续性管理体系规划和建设的相关工作。其项目管理框图如图 1 所示:

三、项目阶段化及具体工作描述

基于上述实施方法,本文根据工作的先后顺序,将业务连续性管理体系规划和建设的相关工作划分为 6 个阶段,各个阶段工作为:

第一阶段是现状调研阶段,其阶段目标是了解该行业务连续性管理现状,并对比监管要求和国内外最佳实践,通过问卷调查和业务部门访谈,梳理出全行业务产品分类,为业务连续性管理体系规划和建设工作奠定基础[2]。

实际经验表明:为保证形成的业务分类表能准确地根据业务流程或其他特点将业务进行分类、合并,该过程中应重点关注各部门填写的问卷是否准确、全面;访谈应尽量全面、清晰地掌握各部门业务情况,其好处是能够明确区分业务是产品或者活动,同时将各部门的活动梳理全面,夯实下阶段进行业务影响分析和风险评估基础。

第二阶段是业务影响分析和风险评估阶段,其阶段目标是确认重要业务及所需关键资源,并评估业务资源面临的风险,为业务恢复策略和资源规划建设提供依据。

风险评估主要从业务层面和科技层面进行分析。业务层面对重要业务相关部门进行资源调研与风险评估研讨会,收集业务活动所需资源,以及这些资源可能产生的风险。科技层面针对重要业务所需信息资源进行调研,了解信息系统现有的恢复能力,以及系统架构中可能存在的风险。最后,基于分析明确关键业务活动恢复需求与风险。

该过程中应明确与相关部门共同进行业务影响分析的关注指标,业务层面的资源调研与风险评估工作应重点关注参与人员就业务所需资源以及其可能面对的威胁、管理状况填写的完整性和准确性,科技层面的资源调研与风险评估工作应关注现场评估结果与最后确认问卷与汇总数据的完整性和准确性。

第三阶段是业务恢复策略和资源规划建设阶段,其目标是根据业务影响分析结果,依据业务恢复目标,确定业务恢复策略;评估重要业务资源建设和灾备管理现状,根据业务恢复策略建立业务连续性管理资源建设规划[3]。

本阶段的业务恢复策略,主要包括:业务受理策略、业务恢复顺序、业务流量控制策略、数据核对与补录策略、业务风险管控策略、信息系统恢复策略、危机沟通策略等。根据评估结果并结合业务恢复策略开展业务连续性资源建设规划,主要包括:备用业务和办公场地建设、备用信息系统运行场所建设、备用信息技术资源建设、备用人力资源建设以及电力、通讯、消防、安保等资源建设。该阶段的实施过程中应重点关注业务恢复策略与资源建设规划内容的全面性。

第四阶段是业务连续性管理体系建设阶段,其目标是根据业务恢复目标和业务恢复策略制定业务连续性计划、总体应急预案和专项应急预案,定期开展应急预案演练等。

在本阶段,需更新相关部门职责,并将分行业务连续性管理组织架构和职责纳入其中,建立全行统一的业务连续性管理组织。其业务连续性计划的主要内容包括:业务连续性管理组织、应急管理组织、重要业务及关联关系、业务恢复优先次序、重要业务所需关键资源、应急指挥和危机通讯程序、各类预案维护管理要求、应急资源管理等。

第五阶段是分行试点和推广阶段,其目标是为确保业务连续性管理体系在分行落地。这需要选取有代表性的分行作为试点,针对分行特点开展业务连续性工作,经过试点分行总结经验后,推广至全行实施。最终正式实施的试点分行需要具有代表性。

试点分行确定后,项目组对分行业务连续性管理现状进行调研。其范围包括分行业务连续性组织、业务连续性计划、应急预案、特色业务、资源建设等方面。试点分行工作结束后,项目组根据试点分行体系建设经验制定分行推广计划及修订工作指引,提出对分行业务连续性体系建设的要求和落实时间。

第六阶段是业务连续性管理体系评估和改进阶段,其目标是实施全行联动演练,确保总/分/支行联通方案畅通可行,方案有效;同时,完成年度业务连续性管理体系自评估,推动业务连续性管理体系可持续性发展和改进。

该阶段需制定总/分/支行联动演练方案、业务连续性管理体系自评估计划。首先需要对业务连续性管理体系自评估以及监管机构的年度检查整改情况进行跟进,然后根据执行现状,在治理、人员、流程、技术等方面拟定业务连续性管理持续改进规划,推动业务连续性管理体系可持续性发展和改进。

四、项目实施总结

本文通过将银行业务连续性管理体系建设划分为 3 大模块,以及按照工作的先后顺序划分为 6 个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的业务连续性管理工作,以满足新资本协议中操作风险管理相关达标要求,降低重要业务中断风险,提高业务风险应对能力;同时满足了银监会《商业银行业务连续性监管指引》的要求,并为该行今后的业务连续性管理工作奠定了良好的基础,并提供了全面、细致的工作指导。

参考文献

[1]中国银监会.商业银行操作风险管理指引[Z].

[2]王发红,朱锋.我国商业银行创新问题研究[J].济南金融,2001(8).

[3]张勤.积极推动业务创新,提高银行竞争力[J].金融观察,2006(5).

作者简介:刘杰(1988-),女,北京人,研究方向:银行风险管理。


作者 刘杰