基于重大疫情的金融业务连续性管理研究(上)

业务连续性管理是金融行业抵御灾难必不可少的保护机制。本文首先介绍了业务连续性管理理论中三个层面的标准和原则，其次分析了疫情对金融行业稳健运营的冲击，回顾了新冠肺炎疫情暴发以来国内国际金融领域的应对措施，最后探讨了将重大疫情纳入业务连续性管理的必要性。

关键词

业务连续性管理重大疫情新冠肺炎应急管理

金融行业应具备抵御破坏的能力，能在发生一个或多个灾难时保持运转，或在中断后迅速恢复，避免金融体系陷入瘫痪。业务连续性管理（Business Continuity Management，BCM）正是金融行业必不可少的保护机制。可能造成金融行业重大运营中断的事件包括外部服务中断、黑客攻击、恐怖袭击等人为破坏，以及火灾、雷击、海啸、地震、重大疫情等自然灾害。实践中，金融机构的业务连续性管理侧重于防止建筑、设备、产品或服务被破坏，以及避免计算机故障、网络攻击、电力故障和交通中断等风险事件发生。近年来，金融业务连续性管理在以物理安全措施来提高市场韧性方面取得了长足进展。

然而，将重大疫情作为金融业务连续性管理(同时涵盖了灾备管理和应急管理)中的重要场景进行管理却一直是短板。2003年的SARS、2004年的禽流感、2009年的甲型H1N1流感、2012年的中东呼吸综合征（MERS）、2019年的非洲埃博拉病毒及2020年的新型冠状病毒等引发的疫情一再提醒我们，全面完善金融业务连续性管理刻不容缓。

文献综述

业务连续性管理是指包括应急响应、业务恢复和连续管理等在内的一项综合管理流程，可以帮助企业明确恢复业务所需的关键人员、资源、行动和任务，确保核心功能在任何环境下都持续发挥作用。自20世纪70年代以来，业务连续性管理理论在灾难恢复理论体系的基础上，结合风险管理、质量管理、供应链管理、人力资源管理等多门管理学科逐步完善。其框架体系包含通用标准（国际及国内）、国际金融行业的原则和各国经济金融当局的实践指导要求三个层面。

（一）通用标准（国际及国内）

2012年，国际标准化组织在英国标准协会BS25999标准的基础上，发布了《社会安全-业务连续性管理体系-要求》（ISO 22301:2012, Societal Security-Business Continuity Management systems-Requirements）和《社会安全业务连续性管理体系指南》（ISO 22313:2012,Societal Continuity Management systems-Guidance ）两项国际标准。

2004年7月，中国信息化推进联盟成立“BCM中国专业委员会”，标志着业务连续性管理正式进入中国。2013年及2015年，国家标准化组织采用国际标准，分别发布了《公共安全业务连续性管理体系要求》（GB/T 30146-2013）和《公共安全业务连续性管理体系指南》（GB/T 31595-2015）两项国家标准。需要指出的是，上述原则适用于各个行业，并不仅限于经济金融领域。

（二）国际金融行业原则——《业务连续性的高级原则》

2004年，金融稳定论坛(Financial Stability Forum)与英国央行联合主办了一个有关业务连续性问题的研讨会。根据此次研讨结果，金融稳定论坛决定由巴塞尔银行监管委员会（BCBS）、国际证监会组织(IOSCO)和国际保险监督官协会(IAIS)制定适用于全球金融体系的高级原则。

2005年，BCBS、IOSCO和IAIS联合发布了《业务连续性的高级原则》（以下简称《高级原则》），涵盖了有效的业务连续性管理计划应有的政策、标准和程序，并以2003年8月美国和加拿大的停电事件、2003年SARS在中国香港和加拿大暴发、2004年日本新泻地震、2005年英国伦敦恐怖袭击为例对《高级原则》的应用进行了说明。2006年，国际货币基金组织（IMF）在此基础上发布了《禽流感大流行对全球经济金融的影响及IMF的作用》，从应对禽流感这一场景阐释了《高级原则》中七条原则的内涵。

（三）各国（地区）经济金融当局实践指导要求

在通用标准和国际金融行业原则的基础上，很多国家（地区）的经济金融当局根据本国（地区）的情况出台了更为具体的实践指导要求。例如，日本央行发布了《日本银行的业务连续性规划》（2003）、《日本金融机构的业务连续性规划》（2003），新加坡金融管理局发布了《业务连续性管理指导方针》（2003），香港金融管理局发布了《关于SARS的业务连续性规划考虑》（2003）、《香港人类猪流感大流行的准备》（2009），等等。

2002年，中国人民银行发布《关于加强银行数据集中安全工作的指导意见》（银发〔2002〕260号）[1]，首次对“灾难备份和连续性计划”提出明确要求；2006年，银监会发布《银行业金融机构信息系统风险管理指引》；2009年，银监会印发《商业银行信息科技风险管理指引》，同时废止《银行业金融机构信息系统风险管理指引》；2011年，银监会参照国际规范和惯例，发布了《商业银行业务连续性监管指引》，是目前银行及相关行业业务连续性管理方面最主要的监管要求和执行依据。

将重大疫情作为业务连续性管理的重要场景刻不容缓

（一）重大疫情对金融行业稳健运营的冲击

疫情暴发与自然灾害或恶意破坏活动所造成的影响截然不同。自然灾害或恶意破坏活动造成的业务中断多与硬件设施有关，而疫情最大的危害就是它威胁人类生命以及破坏原有的运营模式。

1.直接影响

一是导致人力资源不足，出现严重的高缺勤率。员工缺勤主要是因为疾病、被要求隔离或自主隔离、照顾病人、学校关闭后照顾子女或者恐慌。2006年加拿大公共卫生署（PHAC）认为在特定地区暴发的流感，雇主应预估缺勤率在20%~25%，高峰期则高达40%。根据其模型，估计有450万~1060万加拿大人会出现临床疾病以致不能参加工作至少半天。[2]2007年10月，美国金融服务关键基础设施保护和国土安全协调委员会（FSSCC）、财政部、国土安全部、证券业与金融市场协会（SIFMA）模拟进行流感流行演练，演练场景是设想缺勤率高达49%。[3]更复杂的是，流行疾病可能会随机出现在从首席执行官（CEO）到一线员工的任何人员身上。

二是现场办公环境面临严峻挑战。现场办公环境必须满足疫情防控要求，包括楼宇封闭管理、消毒防疫、维护秩序和加强宣传等方面，机构与机构之间也许会共享某些空间和设备。如果其中一个区域有人感染疾病，则有可能使整个办公区甚至整栋楼的人员都被隔离。

三是出现群体负面心理影响。大多数人在疫情暴发时会有不同程度的恐慌和焦虑情绪，对继续承担工作有抵触心理。如果同事或亲人染病，员工就更没心情工作了。

四是核心人员缺位。一旦暴发疫情，业务链条中的关键人物包括高管、部门负责人或者项目组长等也可能缺勤。如果关键业务的人员配备不足且不可替代，将导致业务组织和运行出现混乱。

五是外部业务链条可能中断。如果业务伙伴、客户或者同业处于同样境地，可能无法继续开展业务和履行合同。此外，在全国或全球布局的上下游供应链可能中断。

2.次生影响