农商行积极开展业务连续性建设探讨

农商行积极开展业务连续性建设探讨
近年来，全球范围出现越来越多的自然灾害、无法预期的恐怖主义袭击等原因引起的系统宕机等给金融机构的正常生产运营造成了严重的影响，推动和加强业务连续性管理（BCM）体系建设迫在眉睫。

根据《商业银行业务连续性监管指引》，农商行逐步推进业务连续性管理体系建设，现已初步完成了管理框架和机制建设工作。

一、明确组织架构
1.管理层在业务连续性管理工作中担任重要的角色。

董事会为业务连续性管理的决策机构，对该行业务连续性管理承担最终责任；高级管理层下设业务连续性管理委员会（由行长担任主任委员），统筹协调落实各项业务连续性管理职责。

2.设立日常管理组织架构。

明确总行风险管理部作为业务连续性管理的牵头部门，将业务连续性管理纳入全面风险管理的整体框架；信息技术部、业务条线部门作为业务连续性管理的执行部门，负责技术、业务方面的应急恢复管理；行长办公室、计划财务部、人力资源部、合规管理部、安全保卫部、后勤保障部等部门为该行业务连续性管理保障部门，主要负责危机沟通、为业务连续性管理提供人力、物力、财力以及安全保障和法律咨询；稽核审计部负责定期开展全行业务连续性管理审计工作，形成业务连续性管理审计报告；其他部门和分级机构负责业务连续性管理相关工作的具体实施。

3.成立应急处置领导小组和应急处置工作小组。

应急处
置领导小组由高级管理层、相关部门负责人组成，负责应急处置重大事宜决策、应急指挥和组织协调，督导应急处置实施；应急处置工作小组由信息技术部、业务部门、保障部门组成，负责业务条线与信息技术应急处置工作、应急处置所需人力、物力和财力等资源的保障，应急处置对外报告、宣告、通报和沟通与协调，以及对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。

二、建立健全制度体系
根据监管政策标准以及该行营运发展的需要，制定了六项业务连续性管理相关制度：《2016-2018年业务连续性管理战略规划》、《业务连续性管理办法》、《业务连续性总体应急预案》、《业务影响分析操作细则》、《业务连续性风险评估操作细则》、《业务连续性演练实施细则》。

三、开展业务影响分析
该行根据业务发展情况，结合业务连续性风险防控实际需要，不断组织开展业务影响分析与风险评估工作。

首先，各业务扎口管理部门对照监管定义的重要业务标准，梳理确定条线重要业务；其次对照识别出来的重要业务梳理汇总其依赖的业务系统、业务场所、业务渠道等重要资源，充分考虑重要业务服务时长、财务影响、运营影响范围与程度等级，明确业务恢复时间目标（业务RTO）和业务恢复时间点目标（业务RPO），确定业务恢复顺序；最后信息技术部确认重要业务所依赖的信息系统恢复时间目标（系统RTO）和恢复时间点目标（系统RPO），明确信息系统恢复优先级别，从而实现全方位全流程的业务影响分析。

同时，通过分析重要业务面临的风险，识别出现有控制措施，再从控制的设计与执行两个维度识别现有控制的有效性，并评估剩余风险严重度，针对严重度为“高”的剩余风险，制定风险处置计划。

截至目前，该行共确定了6大类（柜面、信贷、中间、国际、资金、渠道）共29项重要业务，制定了相关业务连续性计划、应急预案等文档。

四、保障资源投入
2012年11月该行开始同城应用级灾备中心建设工作，将于2018年投入使用；2013年10月建设完成苏州昆山异地数据级灾备中心，目前主要业务系统数据及日志均实现了异地备份；2014年3月至2015年6月通过租用电信机房，完成35个重要系统应用级同城灾备过渡中心建设。

截至目前，该行形成了两地三中心灾备格局，更好的保障了该行业务系统持续运营。

同时，设立了应急指挥中心，配备相关办公用具及通讯设施。

五、开展演练验证
根据监管要求，结合该行发展规划、内外部审计发现的问题，制定了演练计划与方案、设计演练场景，每年开展一次业务连续性联合演练，分批分类检验各预案之间的沟通协作机制，验证灾备中心等相关资源的有效性，提升参演人员对预案的熟悉程度和应急处置能力。

截至目前，共开展了“机房整体断电30分钟，信贷系统中断超过16小时”、“机房局部发生火灾导致国际结算系统损毁，业务数据丢失”、“机房空调故障，核心业务系
统被迫切换至备份机房”、“模拟柜面业务相关的六个系统发生故障”、“二代支付清算系统故障”“网络故障”等演练。

六、加强业务培训
该行组织了形式多样的业务连续性管理意识培训，包括聘请专家指导、内部集中讲解、外出学习同行经验、录制网络学习课件等。

培训内容包括：业务连续性管理背景介绍、外部业务连续性风险事件解析、业务影响分析和风险评估方法讲解、该行业务连续性管理工作开展情况、业务技能应急操作培训等。

经过培训，为该行未来应对灾难、处置突发事件夯实了基础。