我国商业银行业务连续性管理体系的构建
商业银行业务连续性管理办法
商业银行业务连续性管理办法商业银行业务连续性管理办法一、总则商业银行在开展业务过程中遇到的各类风险和灾害可能对其连续性产生重大影响,为确保银行业务的正常运行和风险的有效控制,制定本《商业银行业务连续性管理办法》(以下简称“办法”)。
二、业务连续性策略⒈\t商业银行应制定明确的业务连续性策略,确保在银行面临突发事件、系统故障或其他灾害情况下,能够及时采取有效的措施保障正常业务运作。
⒉\t商业银行应根据自身的特点和业务规模确定业务连续性策略的重点。
包括但不限于备份关键数据、建立备用系统、建立应急响应机制等。
三、风险评估与管理⒈\t商业银行应定期对可能影响业务连续性的各类风险进行评估,并制定相应的风险管理措施。
⒉\t商业银行应建立完善的灾害应对预案,包括但不限于对不同灾害事件的处理流程、相关责任人的分工、联系人的信息等。
四、信息技术支持⒈\t商业银行应建立并维护稳定的信息技术基础设施,确保系统的可靠性、安全性和可用性。
⒉\t商业银行应定期测试和评估关键系统的可用性与响应能力,及时修复和更新系统存在的问题。
五、员工培训和意识提升⒈\t商业银行应定期对员工开展相关的业务连续性培训,提升员工的应急响应能力和危机意识。
⒉\t商业银行应加强内部沟通与信息共享,确保员工对业务连续性管理的政策和流程有清晰的认识。
六、业务连续性演练⒈\t商业银行应定期组织不同层级的业务连续性演练,评估业务连续性策略的有效性和可行性。
⒉\t商业银行应记录和总结业务连续性演练的结果,及时修正和改进相关的措施和预案。
附件:⒈\t业务连续性策略表⒊\t员工培训计划及培训材料法律名词及注释:⒈\t商业银行-指在法律法规允许的范围内,依照特许经营条件和经营范围,以货币存款和信托存款为主要业务,以发放贷款为辅助业务,进行资金中介和信用中介业务的金融机构。
⒉\t业务连续性-指商业银行在面临突发事件、系统故障或其他灾害情况时,能够维护正常业务运营的能力。
商业银行业务连续性管理办法
商业银行业务连续性管理办法商业银行业务连续性管理办法第一章总则第一条为了加强商业银行业务的连续性管理,确保金融体系稳定运行,维护金融市场秩序,根据国家相关法律法规,制定本办法。
第二章业务连续性风险评估与管理第一节业务连续性风险评估第二节业务连续性策略和规划第三节业务连续性测试与演练第四节备份与恢复策略第五节业务连续性管理流程第三章信息系统安全与业务连续性管理第一节信息系统安全管理第二节业务连续性管理中的关键信息系统保护第三节数据备份与恢复第四节信息系统监控与事件响应第五节网络安全保护第四章人员和组织管理第一节业务连续性管理组织架构第二节人员培训与意识第三节职责与权限划分第四节供应商管理与评估第五章业务连续性管理的运行和监督第一节业务连续性管理责任制度第二节内部控制与审计第三节风险报告与监测第四节评估与改进附件:1.商业银行业务连续性管理流程图法律名词及注释:1.商业银行:指在法律许可的范围内从事吸收存款、发放贷款、办理汇兑、交付结算、发行储蓄券、债券等公募证券以及从事保险代理等金融活动的法人机构或其他组织。
2.业务连续性风险评估:指对商业银行业务运营中的可能中断或遭受意外事件的相关风险进行评估、分析和判别的过程。
3.业务连续性策略和规划:指商业银行制定和实施为保证其业务连续性而制定的相应策略和规划。
4.业务连续性测试与演练:指商业银行对其业务连续性策略和规划进行实际测试和演练的活动。
5.供应商管理与评估:指商业银行对其业务连续性相关供应商的选择、管理和评估。
6.内部控制与审计:指商业银行为保障业务连续性而实施的内部控制和审计活动。
商业银行业务连续性管理办法规定
商业银行业务连续性管理办法规定商业银行业务连续性管理暂行办法第一章总则第一条为加强商业银行业务连续性管理,降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,根据银监会《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。
第二条本办法所称业务连续性管理是指农信社为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本办法所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对农信社产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本办法所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条农信社应将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条农信社应根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条农信社应确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
业务连续性管理体系(bcms)相关标准介绍
标准咨询CHINA QUALITY AND STANDARDS REVIEW业务连续性管理体系(BCMS)相关标准介绍张旭刚(中国金融认证中心)韩少伟(内蒙古自治区公安厅)谢宗晓(中国金融认证中心)标 准 解 读1 概述随着自然灾害和人为事故的频繁发生,企业的业务连续性管理(Business Continuity Management,BCM)越来越受到重视,尤其是银行业,一旦发生核心业务中断,且在规定时间内1)未完成恢复,不仅会给银行的声誉和利益带来严重影响和损失,而且会影响社会稳定。
鉴于此,2011年12月,银保监会2)发布了《商业银行业务连续性监管指引》(银监发〔2011〕104号),正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。
2017年6月1日,《中华人民共和国网络安全法》正式实施。
其中第三十三条规定,“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”。
进一步又明确了重要系统的业务连续性在我国的法律地位。
通常容易将业务连续性管理(BCM)与灾难恢复(Disaster Recovery,DR)混淆。
在ISO 22301:2012《公共安全 业务持续性管理体系 要求》中,业务连续性管理(BCM)定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。
” 灾难恢复在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
”所以,严格地说,灾难恢复是恢复数据的能力,解决信息系统灾难恢复的问题。
而业务连续性强调的是组织业务不间断的能力,范围更大。
我国商业银行业务连续性管理体系的构建
我国商业银行业务连续性管理体系的构建当今世界充斥着恐怖袭击、黑客、电脑病毒、自然灾害、罢工、环境污染等各类风险,近年来发生的“9.11”、“SARS”事件、印度洋海啸,以及2008年发生的大范围雪灾、汶川地震等,给国家和企业带来重大的损失。
在金融领域,重大灾害事故亦不鲜见,2005年11月日本东京证券交易所由于系统故障,所有股票、可转换公司债、信托投资等共计2,520个品种暂停交易,整个上午无法进行主要交易;2006年4月,银联全国跨行交易系统瘫痪6小时,国内大部分商户的POS机无法刷卡,所有银行的ATM终端无法跨行操作,造成了重大社会影响。
世界各国的案例表明,传统的业务管理方法及流程,在遭遇灾害事件时常常不堪一击。
越来越多的危机事件的影响使人们认识到,只有构建真正有效应对危机事件的管理体系,使管理科学化、手段现代化,才能保证业务的连续运行,实现企业的可持续发展。
在此背景下,业务持续管理(BusinessContinuityManagement 简称BCM)应运而生。
时至今日,BCM的重要性显著增加,在英国,拥有行之有效的业务持续计划,已成为企业上市的基本要求;美国企业法对业务持续管理的具体措施也有明确要求;新加坡已拥有多个保证业务连续性的标准流程和管理规范,其金融局已经制定了业务持续管理的指导规范和管理标准。
一、我国金融机构业务连续性管理现状近年来,我国金融机构在IT系统的连续性计划方面做了不少工作,不少机构投入大量资源建立灾难备份中心,制定了IT系统业务连续性计划,在技术层面上开展灾备演练,积累了宝贵的经验。
但从总体上看,我国金融机构业务连续性管理主要工作仍停留在IT系统灾难恢复的技术层面,仍未建立以全面业务恢复为目标的全面业务连续性管理的需求规划、应急响应策略、流程和持续维护等机制。
商业银行业务连续性管理情况引起监管机构的高度关注,中国银监会加强了银行业全面业务连续性管理监控,监管力度不断加大,2007年初,银监会将“业务连续性计划的监管控制”作为一个独立的评价部分,要求各家银行进行自我评估。
业务连续性监管指引
商业银行业务连续性监管指引第一章总则第一条信息系统与信息科技是保障商业银行业务持续运营的重要基础。
为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规,制定本指引。
第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本指引所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条商业银行应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条商业银行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
银行业务连续性管理实践
银行业务连续性管理实践银行业务连续性管理实践高军修永春随着银行业务和机构的不断扩张,信息化进程突飞猛进,如何更加有效地进行风险管理,保证金融安全稳定发展,是国内银行业监管部门和经营管理者共同关心的课题。
2011年12月底,中国银监会发布《商业银行业务连续性监管指引》,明确商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系。
只有构建真正有效的应对危机事件的业务连续性管理体系,使管理科学化、手段现代化,才能保证业务的连续运行,实现可持续发展。
业务连续性管理沿革业务连续性管理概念最早脱胎于传统的IT备份与容灾恢复计划,但是随着IT系统规模的不断扩大,传统的以技术为中心的灾备越来越难保障企业在灾难面前的关键业务可用性,企业更需要一套标准化、分工明确的管理体系去帮助其应对灾害,这不仅包括IT技术层面,还体现在整个机构(企业、政府、组织)的管理架构层面。
通常认为,业务连续性管理是一个一体化的管理过程,通过这一过程,可以识别威胁组织机构的潜在风险,并提供一个指导性框架来建立组织机构的恢复能力和有效应急响应能力,从而保护利益相关者的资产,组织机构的信誉、品牌及其创造价值的活动。
业务连续性管理的历史可追溯到20世纪60年代,那时业务连续性管理的思想和方法,是包含在风险管理、危机管理等理论中,并未单独作为一门学科来独立研究。
而那时人们关注的主要是事件本身直接造成的损失(如人和物等),而对事件造成的其他损失(业务停止、工厂停工等)并未给予足够的重视,或是由于客观条件和技术手段所限,也没有能力对这方面提出更高的要求,只能是尽力而为。
计算机系统在解决系统持续运行的问题时,率先对单点故障采用了冗余措施,这就是最早业务连续性管理思想的开端。
70年代,出现了容灾恢复计划的概念。
当出现大的故障和危机时,中断是以天为单位来计算而不是以小时为单位。
金融组织,如银行和保险公司大都建有另外的后备点,备份磁带存储在远离主中心的地点。
商业银行GG支行业务连续性管理方案
商业银行GG支行业务连续性管理方案一、引言随着金融市场的发展和客户需求的多样化,商业银行GG支行作为金融体系的重要组成部分,其业务连续性管理显得尤为重要。
业务连续性管理是指在突发事件或故障情况下,确保银行业务的正常运营,减少对客户服务的影响,保障金融市场的稳定。
本方案旨在建立一套全面、科学、高效的业务连续性管理机制,确保商业银行GG支行的业务运营在面临各类风险和挑战时能够保持稳定和连续。
二、业务连续性管理目标1. 确保业务运营的连续性和稳定性,最大程度减少突发事件对业务的影响。
2. 提高客户服务质量,保障客户利益。
3. 符合国家监管要求,遵守相关法律法规。
4. 提高商业银行GG支行的风险防范和应对能力。
三、业务连续性管理组织架构1. 成立业务连续性管理领导小组,负责制定、审批和监督业务连续性管理计划的实施。
2. 设立业务连续性管理办公室,负责日常业务连续性管理工作,包括风险评估、应急响应等。
3. 各部门负责人为业务连续性管理的第一责任人,负责本部门业务连续性管理工作的实施。
四、业务连续性管理流程1. 风险评估:通过定期进行风险评估,识别和分析可能影响业务连续性的各类风险,包括但不限于信息技术风险、人员风险、业务风险等。
2. 应急响应:针对不同类型的风险,制定相应的应急预案,并进行应急演练,确保在突发事件发生时,能够迅速、有效地进行应对。
3. 业务恢复:在突发事件发生后,根据应急预案进行业务恢复,确保业务运营尽快恢复正常。
4. 持续改进:根据业务连续性管理的实践和经验,不断优化业务连续性管理流程,提高业务连续性管理效果。
五、业务连续性管理培训与宣传1. 定期组织业务连续性管理培训,提高员工的风险防范意识和应对能力。
2. 制定业务连续性管理手册,向全体员工宣传业务连续性管理的重要性和方法。
3. 鼓励员工积极参与业务连续性管理,对表现突出的员工给予表彰和奖励。
六、业务连续性管理监督与评估1. 定期对业务连续性管理进行监督和评估,确保业务连续性管理计划的有效实施。
银行股份有限公司业务连续性管理政策
银行股份有限公司业务连续性管理政策银行股份有限公司业务连续性管理政策第一章绪论1.1 目的本政策旨在规范银行股份有限公司在业务连续性管理方面的要求,确保银行股份有限公司的业务可以在不受干扰的情况下持续进行。
1.2 适用范围本政策适用于银行股份有限公司的所有业务及相关部门,包括但不限于客户服务部门、信息技术部门、风险管理部门等。
1.3 基本原则- 按照国家有关规定、法律法规和监管要求,制定业务连续性管理制度和应急预案。
- 确保业务连续性管理制度和应急预案能够适应银行股份有限公司的业务需求。
- 建立健全的风险评估、预防、应对和恢复体系。
- 确保业务连续性管理与信息安全管理、风险管理等相互协调、相互支持。
- 建立完善的业务连续性管理跟踪、检查、评估和反馈机制。
- 增强员工业务连续性意识和应急反应能力。
第二章关键业务和系统2.1 关键业务和系统的定义2.1.1 关键业务:指对于银行股份有限公司进行正常营运、实现经营目标和保障客户权益至关重要的业务活动。
2.1.2 关键系统:指支撑银行股份有限公司关键业务系统,具有稳定性、安全性、可靠性等属性。
2.2 关键业务和系统的评估银行股份有限公司应当制定关键业务和系统评估标准,对关键业务和系统进行评估,确保其满足业务需求和风险管理要求。
第三章业务连续性管理架构3.1 框架结构业务连续性管理架构应当包括业务连续性管理策略、业务连续性管理制度和应急预案、业务连续性管理组织和人员、业务连续性风险管理、业务连续性测试和演练等。
3.2 业务连续性管理策略银行股份有限公司应当制定业务连续性管理策略,包括业务连续性目标、业务连续性原则、业务连续性控制措施等。
3.3 业务连续性管理制度和应急预案银行股份有限公司应当制定业务连续性管理制度和应急预案,确保业务可以在不受干扰的情况下持续进行。
3.4 业务连续性管理组织和人员银行股份有限公司应当建立业务连续性管理部门,并负责业务连续性管理工作。
05.商业银行业务连续性监管指引_Excel版
1 第一章
总则 第一条
1
2 第一章
总则 第二条
1
第一章
总则 第四条
1
5 第一章 6 第一章 7 第一章 8 第一章
总则 第四条 总则 第四条 总则 第四条 总则 第四条
2 3 4 5
9 第一章
总则 第五条
1
10 第一章
总则 第五条
2
11 第一章
总则 第五条
3
12 第一章 13 第一章 14 第一章
总则 第五条 总则 第五条 总则 第五条
4 5 6
15 第一章 16 第一章 17 第一章
18 第二章 19 第二章 20 第二章 21 第二章 22 第二章 23 第二章
24 第二章
25 第二章 26 第二章
27 第二章
28 第二章
29 第二章
(三)坚持以人为本,重点保障人员安全;实 7 施差异化管理,保障重要业务有序恢复;兼顾 业务连续性管理成本与效益; (四)坚持联动协作,加强沟通协调,形成应 总则 第五条 8 对运营中断事件的整体有效机制。 第九条商业银行应当将业务连续性管理融入到 总则 第五条 9 企业文化中,使其成为银行机构日常运营管理 的有机组成部分。 第十条董(理)事会是商业银行业务连续性管 业务连续性组织架构 第一节日常管理组织架构 第十条 1 理的决策机构,对业务连续性管理承担最终责 任。主要职责包括: (一)审核和批准业务连续性管理战略、政策 业务连续性组织架构 第一节日常管理组织架构 第十条 2 和程序; (二)审批高级管理层业务连续性管理职责, 业务连续性组织架构 第一节日常管理组织架构 第十条 3 定期听取高级管理层关于业务连续性管理的报 告,监督、评价其履职情况; 业务连续性组织架构 第一节日常管理组织架构 第十条 4 (三)审批业务连续性管理年度审计报告。 第十一条高级管理层负责执行经董(理)事会 业务连续性组织架构 第一节日常管理组织架构 第十一条 1 批准的业务连续性管理政策。主要职责包括: (一)制定并定期审查和监督执行业务连续性 业务连续性组织架构 第一节日常管理组织架构 第十一条 2 管理政策、程序; (二)明确各部门业务连续性管理职责,明确 报告路线,审批重要业务恢复目标和恢复策 业务连续性组织架构 第一节日常管理组织架构 第十一条 3 略,督促各部门履行管理职责,确保业务连续 性管理体系正常运行; (三)确保配置足够的资源保障业务连续性管 业务连续性组织架构 第一节日常管理组织架构 第十一条 4 理的实施。 第十二条商业银行应当设立由高级管理层和业 业务连续性组织架构 第一节日常管理组织架构 第十二条 1 务连续性管理相关部门负责人组成的业务连续 性管理委员会,统筹协调、落实各项管理职责 第十三条商业银行应当指定风险管理部门或其 他综合管理部门为业务连续性管理主管部门, 组织开展全行业务连续性管理工作,指导、评 估、监督各部门的业务连续性管理工作;组织 业务连续性组织架构 第一节日常管理组织架构 第十三条 1 制定业务连续性计划,协调业务条线部门,汇 总、确定重要业务的恢复目标和恢复策略;组 织开展业务连续性计划的演练、评估与改进; 开展业务连续性管理培训等。 第十四条商业银行应当明确业务连续性管理执 行部门,包括业务条线部门与信息科技部门。 业务条线部门负责风险评估、业务影响分析, 业务连续性组织架构 第一节日常管理组织架构 第十四条 1 确定重要业务恢复目标和恢复策略,负责业务 条线重要业务应急响应与恢复;信息科技部门 负责信息技术应急响应与恢复。 第十五条商业银行应当明确业务连续性管理保 障部门,包括办公室、人力资源部门、公共关 系部门、财务部门、法律合规部门、后勤部门 业务连续性组织架构 第一节日常管理组织架构 第十五条 1 、保卫部门等,为业务连续性日常管理提供人 力、物力、财力以及安全保障和法律咨询。其 中,公共关系部门应当制定对外媒体公关策 略,制定和执行对外媒体公关的应急预案。 总则 第五条
银行业务连续性管理体系建设方法探讨论文
银行业务连续性管理体系建设方法探讨论文银行业务连续性管理体系(Business Continuity Management,简称BCM)是指银行为应对内外部各种风险和不可预见事件,确保银行业务稳定运营的一种管理体系。
本文主要探讨了银行业务连续性管理体系的建设方法,包括风险评估、制定计划、培训演练、监测评估等环节。
首先,银行业务连续性管理体系的建设基于全面的风险评估。
银行需要对各种风险进行分析和评估,包括自然灾害、技术故障、人为错误等。
通过全面的风险评估,银行可以确定主要的风险来源,并对其进行优先处理。
这一环节涉及到银行内部的各个部门,需要跨部门的合作和协调。
其次,银行需要制定详细的业务连续性计划。
业务连续性计划是指在各种紧急情况下,银行能够按照预定的流程继续提供服务,保障客户的权益。
银行可以根据风险评估的结果,对不同的风险制定相应的应急预案。
例如,对于自然灾害,银行可以制定疏散计划和备份数据的存储方法;对于技术故障,银行可以制定备份系统和设备维护计划。
业务连续性计划需要经过多方面的讨论和审查,并定期进行更新和演练。
在制定业务连续性计划的同时,银行还需要对员工进行培训和演练。
培训是指向员工提供相关业务连续性知识和技能的过程,包括应急预案的详细说明、紧急情况下的应对方式等。
演练是指模拟各种紧急情况进行实际操作和应对的过程。
通过培训和演练,银行可以提高员工的应急反应能力和处理紧急情况的能力,从而保障业务连续性。
除了风险评估、制定计划和培训演练外,银行还需要建立监测评估机制。
监测评估是指对业务连续性计划的执行情况进行监测和评估,及时发现和处理存在的问题。
银行可以通过内部审核和外部评估等方式进行监测评估。
监测评估的结果可以为银行制定改进措施和完善业务连续性管理体系提供依据。
最后,银行业务连续性管理体系的建设还需要建立相关的机构和流程。
银行需要成立业务连续性管理部门或委员会,负责协调和推动业务连续性管理体系的建设工作。
商业银行业务连续性管理办法
商业银行业务连续性管理办法一、背景介绍随着科技的不断发展,商业银行在现代社会中扮演着重要的角色。
作为金融机构,商业银行的业务连续性管理办法尤为重要。
业务连续性管理办法旨在确保商业银行在面临各种内外部风险时能够继续有效地运营并为客户提供服务。
二、业务连续性管理的定义业务连续性管理是指商业银行通过分析和评估潜在风险,制定相应的计划和措施,以实现业务连续运营的管理过程。
这包括对自然灾害、技术故障、人为错误和恶意攻击等突发事件进行预防、准备、应对和恢复。
三、业务连续性管理的重要性1.客户信任:商业银行业务连续性管理的良好实践将增强客户对银行的信任和忠诚度。
2.金融稳定:商业银行是维护金融系统稳定的重要组成部分。
一旦商业银行发生故障,可能会对整个金融系统产生连锁反应。
3.合规要求:监管机构要求商业银行建立和实施全面的业务连续性管理框架,以确保其在面临挑战时能够维持正常运营。
四、业务连续性管理的基本原则1.风险评估:商业银行应根据业务特点,对可能影响其正常运营的风险进行全面的评估。
2.预案制定:商业银行应制定应对各类风险的详细预案,并确保预案的及时更新和有效执行。
3.员工准备:商业银行应加强员工的业务连续性培训和知识普及,使其能够在紧急情况下迅速反应和应对。
4.信息系统保护:商业银行应采取适当的技术和物理措施来保护其信息系统免受未经授权的访问和破坏。
5.业务恢复能力:商业银行应建立紧急响应机制,以确保在紧急情况下能够尽快恢复业务。
五、业务连续性管理的步骤1.风险识别和评估:商业银行应对可能对其业务造成威胁的各种风险进行识别和评估。
2.预案制定:商业银行根据风险评估结果制定详细的预案,包括预防、准备、应对和恢复策略。
3.测试与演练:商业银行应定期进行业务连续性演练,以验证预案的有效性和员工的应对能力。
4.监测和改进:商业银行应建立有效的监测机制,并根据反馈结果对业务连续性管理措施进行不断改进。
六、商业银行业务连续性管理的挑战1.技术风险:商业银行信息系统的技术漏洞、网络攻击和数据泄露等技术风险是业务连续性管理的主要挑战。
【支付清算系统业务连续性管理工作报告】_银行业务连续性的管理报告范文推荐
【支付清算系统业务连续性管理工作报告】_银行业务连续性的管理报告范文推荐银行作为风险系数较大的行业,每个人对于银行连续性管理都有不同的理解,接下来让我们来看看银行业务连续性管理的优秀报告内容推荐吧。
银行业务连续性管理报告一塞尔银行监管委员会发布的《巴塞尔协议ⅲ》明确指出,操作风险是由于不确定的内部操作流程、人员、系统或外部事件导致的直接或间接损失的风险。
由于信息系统软件、硬件、网络、机房环境、通信电力等不确定性因素发生故障,导致业务中断或者出现差错,势必对商业银行的服务、资金、名誉等造成损失。
近年来,国际社会、银行家日益关注操作性风险防控和银行体系的稳定,因而建立一套以业务连续性风险控制为核心的风险防控体系,防止运营中断事件发生或者即使发生要能快速应对,是商业银行确保业务连续运营和健康发展的重要途径,也是银行面临的重点和难点。
银监会发布的《商业银行业务连续性监管指引》明确要求降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力;要求有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,形成保障重要业务持续运营的一整套管理体系,包括策略、组织架构、方法、标准和程序;要求将业务连续性管理纳入全面风险防控体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营;要求根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
一、业务连续性风险防控的现状1、风险防控工作初见成效经过几十年的金融体制改革,截至2021年12月,中国银行业金融机构总资产达到万亿元,总负债万亿元,客户数量、日交易量、交易金额都增长迅猛,运营中断事件一旦发生则其影响严重。
商业银行正在积极推进风险防控工作,并已初见成效,为防范业务中断起到了积极作用,主要成绩表现如下:首先,应急管理体系已经构建。
金融机构业务连续性管理框架及其相关标准
金融机构业务连续性管理框架及其相关标准作者:谢宗晓甄杰董坤祥来源:《中国质量与标准导报》2022年第01期1 概述業务连续性管理是信息安全很重要的一部分,在金融行业中尤为明显。
本质而言,业务连续性管理是区别于信息安全的一个领域,但在实践中,又经常将业务连续性作为信息安全的一个控制域处理,如GB/T 22080—2016 / ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》A.17中所指出的那样,“业务连续性管理的信息安全方面”。
这一点在国际标准化组织(ISO)的标准开发分类中也能看出来。
例如,业务连续性的两个基础标准,都是ISO/TC 292(Security and Resilience)所发布的,如表1所示。
2 框架几乎所有的业务连续性规范或标准都是以2003年发布的“DRII1)最佳实践”为基础。
商业银行业务连续性管理并非一劳永逸的状态,而是一个动态的过程。
由于是动态的过程,意味着需要持续改进,因此,适用于PDCA2)通用过程模型。
ISO 22301和ISO 22313的本质是在“DRII最佳实践”的基础上加了一个PDCA框架,PDCA是一个通用方法论,对具体的控制起提纲挈领的作用。
对于商业银行而言,要特别注意,《商业银行业务连续性监管指引》(银监发〔2011〕104号),该文件与推荐性标准的不同在于,其中规定了诸多硬性的指标,例如,第四十九条:商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。
在重大业务活动、重大社会活动等关键时点或在关键资源发生重大变化之前也应当开展业务连续性计划的专项演练。
业务连续性管理的框架大致如下。
2.1 业务影响分析业务影响分析通俗而言就是业务连续性管理的需求分析阶段,是商业银行对其自身业务连续性的需求评估。
其大致过程如图1所示。
恢复点目标(recovery point objective,RPO)是指为使活动能够恢复进行,而必须将该活动所用的信息恢复到某时间点。
商业银行业务连续性管理办法
商业银行业务连续性管理暂行办法第一章总则第一条为加强商业银行业务连续性管理,降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,根据银监会《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。
第二条本办法所称业务连续性管理是指农信社为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本办法所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对农信社产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本办法所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条农信社应将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条农信社应根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条农信社应确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
我国银行业务连续性管理的现状
我国银行业务连续性管理的现状近年来,我国银行业业务发展迅猛,大型银行的资本总额、开户数量、业务处理量已位居世界前列,经营范围遍及全国并在国外快速扩张,一旦业务停顿,可能影响全行乃至整个金融体系的正常运转,并影响社会稳定。
因此,在数据大集中后,国家、银行业监管机构及银行企业自身对灾难恢复、业务连续管理的重视程度越来越高。
一方面,政府、央行及银监会对于银行机构的应急管理和业务连续运作提出了更为明确、更为细致的要求;另一方面,银行自身也在积极推进灾难恢复、应急管理和信息技术服务持续性管理有关工作,逐步完善业务连续性预案。
1)初步构建了信息系统应急管理体系。
确立了应急管理组织架构,区分信息系统突发事件等级,形成统一的应急响应流程和通知报告程序。
并注重与地方政府、新闻媒体的沟通协调,加强机构内部各职能部门的协调配合,及时向公众披露信息,增强了突发事件的应对处置能力。
2)积极开展灾难备份系统建设工作。
按照“统筹规划、资源共享、平战结合”的原则,大型和股份制银行积极推进“两地三中心”的建设,建立了同城和异地灾备中心,应对建筑类故障和区域性(如地震、洪灾、战争等)灾难。
大多数商业银行基本建立了核心业务的灾难恢复系统,保障核心业务数据安全和灾难发生时核心业务的恢复。
3)提升危机处理能力。
积极开展应急演练和灾难恢复演练,加强银行内部各部门,以及银行与通讯、电力等外部机构的联防协作。
实施了包括核心系统在内的重要业务系统切换演练,提高银行应对信息系统突发事件的能力和信心。
但整体来看,我国银行业在业务连续性管理方面依然存在一些不足。
一是对业务连续性管理的重要性和价值认识不足,尚未形成有效的业务持续管理管理体系。
部分银行对业务持续性管理缺乏必要的理解,认为“投入大、收益小”,对金融服务的持续性与公众生活、经济社会正常运转的紧密关系缺乏足够的认识,银行改善业务持续管理的动力大多来自国家或监管政策压力,主观意愿不足,将业务持续性管理等同于信息系统的灾难恢复、日常故障处置的模糊意识大量存在,参与的多为信息技术部门、部分人员,业务连续性计划仅作为事件处理的应急预案,未建立起业务持续管理的管理组织体系,业务持续管理依然游离在企业的日常经营管理活动之外。
银行业务连续性
3)B1
5)-总结和改进
测试应急预 案
1)
1
2)
总结分析和持续改 进
——执行流程
业务连续性
•
操作风险管理部门(或其它类似部门)制定全行进行风险评估、持续经营计划设计、和测试的规范。银 行技术部门则负责开发技术架构、系统和应有方面的特定标准
业务部门(business line)负责评估持续经营风险:在大型的银行,业务风险的评估都是由业务部门在全行的统一标准 下自行制定的。评估除了考虑可能导致业务中断的风险因素外,还要考虑其对业务收入、利润、监管要求、以及银行声 誉的影响,以及要克服该等影响所需的关键资源
演练流程
业务连续性管理体系框架
演练
遵循流程记录
•
评价应急预案
是否可达到预期
1
设计演练
演练范围 后勤安排 状态检查
2
协调演练
协调人员活动 协调各部门 处理意外和变更
3
评价演练
是否达到目标
研究个部门情况
4
持续改进
简洁有效
成功与不足 应急预案效果
应急处置
业务连续性管理体系框架
回滚和
•
故障、灾难 业务中断
•
开发业务连续 性计划策略 差距分析
蓝图规划 业务中断风 险容忍度
业务影响分析 演练评价 业务恢复顺理体系框架
节点 1)A1 操作环节 识别突发事 件风险 1) 流程描述 由信息安全与风险管理条 线组织相关条线和相关业 务部门充分评估主机系统、 数据库系统、 网络系统、 存 储设备、 机房环境、 业务处 理流程诸方面的潜在风险 及其影响程度, 见 《信息系 统风险评估作业规范》 (I[JS]7573-0502) ; 识别关键的信息系统; 识别可能的突发事件。 操作风险提示 风险点 1: 未识别出关键的信息系统、 未 识别出信息系统可能发生的突发事件或 对突发事件的潜在影响估计不足。 事件类型:执行、交付和过程管理。 风险级别:高级。 控制目标:针对银行关键业务的信息系 统制定全面的应急预案。 控制措施:对所有的信息系统进行全面 的风险评估,根据评估结果确定应急预 案的覆盖范围。 控制岗位:安全与风险管理条线和应急 工作小组。 风险点 2: 应急预案内容不完整、 操作流 程不正确,可能导致应急处置失败。 事件类型: 业务中断和系统错误或执行、 交付和过程管理。 风险级别:高级。 控制目标: 制定可操作性强的应急预案。 控制措施:组织对应急预案的评审并定 期检查与演练。 控制岗位:安全与风险管理条线和应急 工作小组。
业务连续性管理框架
业务连续性管理框架简介业务连续性管理是指组织为应对各种内外部风险和灾难而制定的一系列战略和措施。
一个有效的业务连续性管理框架能够帮助企业在面临各种突发事件时保持运营正常,并尽快恢复到正常业务状态。
目标业务连续性管理框架的目标是确保组织在面临各种风险和灾难时能够持续提供关键业务,并尽可能减少中断和损失。
该框架应包括以下关键组成部分:1. 风险评估:对组织可能面临的内外部风险进行评估和分析,以确定潜在的影响和概率。
2. 控制措施:制定和实施适当的控制措施,以减轻和管理风险。
这包括制定业务连续性计划、备份关键数据和设备以及建立紧急响应机制。
3. 测试和演练:定期进行业务连续性计划的测试和演练,以确保其有效性和恢复能力。
这有助于发现和纠正潜在问题,并提高员工对应急情况的应对能力。
4. 监测和评估:建立监测机制,对业务连续性措施的实施和效果进行评估。
这包括监测风险情况、演练结果和灾难恢复时间。
5. 持续改进:根据监测和评估结果,及时进行改进和调整,以提高业务连续性管理的效能和灵活性。
关键要素业务连续性管理框架的成功实施需要以下关键要素的支持:1. 领导支持和参与:组织领导层应重视业务连续性管理,并积极参与决策和资源分配。
2. 资源投入:为业务连续性管理提供足够的资源,包括人力、技术和财务方面的支持。
3. 员工培训和意识:组织应提供业务连续性培训,确保员工了解应对突发事件的程序和责任。
4. 跨部门协作:鼓励各部门之间的合作和协调,确保业务连续性计划的全面性和有效性。
5. 供应链管理:与关键供应商建立紧密的合作关系,并制定相应的备份和替代方案。
6. 法规和合规要求:遵循相关法规和合规要求,确保业务连续性管理框架的合法合规性。
总结业务连续性管理框架是保障组织持续运营和应对突发事件的重要工具。
该框架的成功实施需要综合考虑风险评估、控制措施、测试和演练、监测和评估以及持续改进等要素。
对于组织来说,重视业务连续性管理并投入足够的资源和人力,加强员工培训和意识,与各部门合作,以及遵循法规和合规要求是保证该框架有效性的关键。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
我国商业银行业务连续性管理体系的构建当今世界充斥着恐怖袭击、黑客、电脑病毒、自然灾害、罢工、环境污染等各类风险,近年来发生的“9.11”、“SARS”事件、印度洋海啸,以及2008年发生的大范围雪灾、汶川地震等,给国家和企业带来重大的损失。
在金融领域,重大灾害事故亦不鲜见,2005年11月日本东京证券交易所由于系统故障,所有股票、可转换公司债、信托投资等共计2,520个品种暂停交易,整个上午无法进行主要交易;2006年4月,银联全国跨行交易系统瘫痪6小时,国内大部分商户的POS机无法刷卡,所有银行的ATM终端无法跨行操作,造成了重大社会影响。
世界各国的案例表明,传统的业务管理方法及流程,在遭遇灾害事件时常常不堪一击。
越来越多的危机事件的影响使人们认识到,只有构建真正有效应对危机事件的管理体系,使管理科学化、手段现代化,才能保证业务的连续运行,实现企业的可持续发展。
在此背景下,业务持续管理(BusinessContinuityManagement 简称BCM)应运而生。
时至今日,BCM的重要性显著增加,在英国,拥有行之有效的业务持续计划,已成为企业上市的基本要求;美国企业法对业务持续管理的具体措施也有明确要求;新加坡已拥有多个保证业务连续性的标准流程和管理规范,其金融局已经制定了业务持续管理的指导规范和管理标准。
一、我国金融机构业务连续性管理现状近年来,我国金融机构在IT系统的连续性计划方面做了不少工作,不少机构投入大量资源建立灾难备份中心,制定了IT系统业务连续性计划,在技术层面上开展灾备演练,积累了宝贵的经验。
但从总体上看,我国金融机构业务连续性管理主要工作仍停留在IT系统灾难恢复的技术层面,仍未建立以全面业务恢复为目标的全面业务连续性管理的需求规划、应急响应策略、流程和持续维护等机制。
商业银行业务连续性管理情况引起监管机构的高度关注,中国银监会加强了银行业全面业务连续性管理监控,监管力度不断加大,2007年初,银监会将“业务连续性计划的监管控制”作为一个独立的评价部分,要求各家银行进行自我评估。
2007年10月,银监会召开专门会议对评估情况进行了通报和分析,表示将把业务连续性规划纳入银行风险的监管体系之中,并将组织人员对各家银行的整改情况组织现场检查。
根据监管要求及内部管理需要,部分商业银行已着手开展业务连续性规划设计工作,但业务连续性管理工作对国内银行业而言是全新领域,目前,国内金融机构此项工作还处于“摸着石头过河”的阶段,各机构资源投入、开展情况各不相同。
二、商业银行业务连续性管理体系的构建商业银行业务连续性管理体系应涵盖业务经营、运营支持、后勤保障等所有业务板块,涵盖事前、事中、事后等全程管理,构建完善业务连续性管理体系是一项长期性、系统性工程。
(一)商业银行业务连续性管理体系的目标及构建思路业务连续性管理的目标是:提高商业银行抵御危机事件的能力,有效消除或抵御潜在的风险,迅速处置,阻止或抵消不确定事件造成的威胁,并对存在的薄弱环节持续改进完善,确保商业银行日常业务平稳运行和可持续发展。
商业银行业务连续性管理体系的构建思路是:预设灾难场景,事先建立标准化、流程化的管理机制,当危机真正发生时,确保有适当的人在适当的时间做适当的事,执行事先确定的管理程序、操作步骤,以达到减少损失、实现业务可持续的目的。
也就是说,提早设定整个危机事件处置的决策过程,事先考虑危机事件影响的可能性,预先做好内外部资源的安排、外部信息的处理与公关、人员及设施的备份等各项安排,当危机来临时,按照事先设计好的系列程序有条不紊地处置,防止因事件突发导致处理决策失误,确保机构主要业务的可持续运作,尽可能将损失减到最少。
(二)业务连续性管理危机事件的分类业务连续性管理的对象是危机事件,危机事件是指影响商业银行可持续经营的事件,此类事件可能在短时间内波及多个层面,甚至影响商业银行的持续生存和发展,包括自然灾难、人为灾害、重大运行故障等。
危机事件主要分为内外部欺诈、实体资产损坏、IT系统、运营危机、人员危机、流动性危机等类型。
内外部欺诈事件指商业银行内外部人员以违法手段诈骗、侵占商业银行财产的事件,包括盗窃、勒索、挪用、欺诈、伪造、诈骗、抢劫事件;实体资产损坏事件指商业银行实体资产因自然灾害或人为灾害损毁的事件,包括自然灾难,如地震、火灾、水灾、雪灾、台风,以及人为灾害,如人为破坏和战争等;IT系统危机事件指由于计算机系统故障、通讯故障、信息网络异常、电子载体重要数据丢失,造成商业银行经营中断的事件;运营危机事件指针对商业银行各机构的聚众上访、请愿、静坐、示威或冲击、围攻商业银行办公营业场所的事件;人员危机事件指商业银行员工因就业、健康或安全方面的问题,造成商业银行经营中断的事件,包括有组织的劳工事件、重大传染疫病等;流动性危机事件指银行因内部或者外部原因,无力偿付到期债务的事件,如金融挤兑事件等。
(三)业务连续性管理实施方案的制定业务连续性管理实施方案的制定应遵循以关键业务为核心、以流程为基础的原则。
“以关键业务为核心”指梳理业务流程,针对关键和支持性的业务环节制定解决方案,以确保关键业务的可持续性运作为目标。
“以流程为基础”指进行合理的流程设计,当损坏事件出现时,按照设定的程序执行解决方案,确保适当的人在适当的时间做适当的事。
1.业务连续性管理实施方案的构成商业银行业务连续性管理实施方案应包括识别、报告、评估、处置、恢复与改进、培训与演练等六个部分。
(1)在业务连续性管理的识别部分,应预先设计可能导致业务活动中断的损坏场景,明确事件触发要素,如涉及金额、损失金额、影响程度等。
(2)在业务连续性管理的报告部分,应明确信息收集、报告的人员及职责;报告的内容、形式及要求;报告程序;报告时限;报告路径及频率等要求。
(3)在业务连续性管理的评估部分,应明确危机事件影响范围及损失评估;可以接受的损失范围;可容忍的最大中断时间等。
(4)在业务连续性管理的处置部分,业务连续性管理的处置是业务连续性管理的核心内容,应根据预设的损坏事件场景,确定处置的总体步骤和具体操作要求,以及人员备份和授权、技术保障、设施配备、通信联络等各项工作,以减少危机事件造成的损失,维持机构关键业务的运作。
包括:业务处置的总体步骤和具体操作要求;人员的工作任务及职责;关键人员备份和紧急授权方案;设施取得计划;技术保障计划;联络沟通计划;机构协作计划;危机公关计划;重要信息记录等。
(5)在业务连续性管理的恢复与改进部分,应明确业务恢复及改进运行策略的选择,以便在恢复时间目标范围内恢复主要业务,维持机构运行的关键功能。
包括:确定业务恢复最低要求;关键业务恢复的目标、优先顺序、恢复时限;非正常状况下的运作程序及方法、所需资源、资源取得途径、恢复运作的步骤;迁回固定场地、恢复正常运作的步骤等。
(6)在业务连续性管理的培训与演练部分,应进行业务连续性管理实施方案培训,确保相关人员熟知实施方案及操作要求;进行业务连续性管理实施方案定期演练,不断提高相关方案的可操作性,确保方案的持续更新和完善。
2.业务连续性管理实施方案的分级管理危机事件具有演变、发展的特点,微小的灾害可能演化为严重的灾害,在危机事件尚处于萌芽状态时即介入处理,效果往往较坐待事态发展、事后补救好得多。
应根据突发事件的影响程度及危害后果,综合考虑管理活动的成本及收益,将危机事件至少划分为突发应急管理、业务连续性管理二个层级进行管理,连续性管理的是升级、恶化后的突发事件,二者以是否影响业务运营为标准。
二者实际上是针对危机事件在不同程度危害情景下,事先制定的、区别轻重缓急、有所侧重的应对预案,同时,应尽量保持处置程序、报告路径的总体一致性,以便于理解、易于执行。
以火灾为例,若网点的非营业区域局部发现火情,则按火灾应急管理规定,由该区域火情责任人迅速组织人员扑灭火源,防范火势蔓延;若灾情扩大,导致营业区域大范围业务停顿,则在组织灭火的同时,还要进行财产转移、安全保卫、客户疏散、资源调配、重要物品运送、伤员救护、媒体公关、业务恢复等工作,二者的处置程序、响应时间、资源投入等并不完全相同,危机事件业务连续性管理流程图表示如下:(四)业务连续性管理实施方案的阶段性规划业务连续性管理是一项系统工程,涉及银行业金融机构的管理、业务、IT、后勤和外联等众多资源,复杂程度较高,要做好此项工作实为不易。
从我国实际情况来看,银行业金融机构要投入大量资源、一蹴而就地构建出完善的连续性管理体系既不现实、亦不经济,应由易到难、稳步构建。
建议在本阶段先提取发生概率相对较高、影响程度较大的危机事件,以较高标准做好连续性管理实施方案,打好连续性管理的基础;在后续阶段,各级机构还应结合实际情况,不断补充、细化、完善,使本行连续性管理进入不断更新完善的发展轨道。
金融机构的业务连续性管理是指制定并执行系列管理程序,对危机事件进行识别、报告、处置、恢复、改进的全过程管理。
三、业务连续性管理实施过程中应注意的问题(一)提高对业务连续性管理重要性的认识。
不少机构对业务连续性管理的认识存在误区,存在畏难及侥幸心理,认为制定实施业务连续性管理体系需要动用全行的IT、业务、后勤和外联等众多资源,工作量大、复杂程度高,而灾难的发生是小概率事件,不必费这么大力气进行业务连续性管理。
实际上,威胁银行业务连续性的事件并不一定都来自于火灾、地震等小概率事件,诸如内外部人员欺诈、控制流程缺陷等经营中各类风险,如果没有及时采取预防和控制措施,同样可能会对银行造成致命的打击,如果没有事前详细的规划和充足的准备,在危机真正来临时,业务连续营运必要的资源保障可能无法顺利获得,将使商业银行陷入混乱无序的状态,危机的进一步蔓延和损失扩大的可能性将大大增加。
(二)充分考虑危机情景,细化操作步骤。
灾难的发生往往突如其来,在灾难来袭时越是明确、细化、具体、全面的指导方案应对灾难的效果越好。
在制定连续性实施方案时,应充分考虑灾难发生的各类情景,明确灾难管理的具体程序、操作步骤、人员及资源的获取途径,确保有适当的人在适当的时间做适当的事。
若连续性管理实施方案仅处于原则性要求或框架性步骤的层面,未落实到每个工作环节、操作步骤,灾难应对的效果将大打折扣。
(三)明确责任人及通讯方式并实时更新。
应在实施方案中明确灾难管理每个具体步骤的责任人,在实际操作中,常有机构反映,由于机构人员及职责时有调整,无法将人员落实具体,待真正发生灾难事件时,再临时指派或根据职责分工处理。
实际上,人是灾难应对中最重要的因素,明确具体的责任人及有效的沟通联络是成功危机管理的前提条件,若灾难发生时再临时进行分工,或是寻求资源援助时找不到具体对象,将严重影响灾难应对的效率及效果。