胡潇威 经理德勤北京事务所企业风险管理服务
2011年12月28日,中国银行业监督管理委员下发了中国银行业监督管理委员会关于印发《商业银行业务连续性监管指引》的通知(银监发[2011]104号),及《商业银行业务连续性监管指引》(以下简称《指引》)。
《指引》针对的是各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、邮政储蓄银行、各省级农村信用联社、银监会直接监管的信托公司、企业集团财务公司、金融租赁公司,旨在加强商业银行风险管理,提高业务连续性管理能力,促进商业银行有效履行社会责任,维护公众信心和银行业正常的运营秩序。
《指引》中包含业务持续性管理(Business Continuity Management, BCM)生命周期中涉及的业务连续性组织架构、业务影响分析、业务连续性计划与资源建设,业务连续性演练与持续改进,监督与处置等环节的具体要求。
由此,BCM再一次被作为重要课题摆在了商业银行等金融机构的面前。
BCM概述
BCM是一个由业务所有和业务驱动的,建立符合预定目的的战略和操作框架的过程。BCM被用来识别对组织(需实施BCM的组织、业务单元或企业)有潜在影响的威胁及其对组织业务运行的影响,并通过建立有效的响应措施来保护组织的利益、信誉、品牌和创造价值的活动。同时,为组织提供建设恢复能力框架的整体管理过程。
BCM管理体系中包括组织在面临灾难时对业务活动的恢复和连续性的管理,以及为保证业务连续性的适用性所进行的培训、演练和评审的整个方案的管理。
BCM体系并非孤立存在于组织的管理体系中,而是风险管理框架的有益补充,被用于理解组织运行和业务上的风险及其后果。关于BCM与风险管理的关系。
通过风险管理寻找管理组织需要交付的关键产品或服务的相关风险。产品和服务的交付可能因多种事故而中断,其中很多事故难以预测和分析原因。
通过集中考虑中断的影响,BCM可以识别组织赖以生存的产品和服务,进而识别组织持续承担职责的要求。通过BCM, 组织能够认知到,为保护生命、资产、技术、信息、供给、相关利益人和信誉,在事故发生前所需要完成的关键任务。
通过以上认知,组织能够对中断发生时所需要的响应有一个现实的看法,并能够有信心通过管理以达到不会出现服务或产品的不可接受的延迟交付。
《指引》简述
此次银监会颁布的《指引》是在之前的征求意见稿的基础上修订而来。《指引》中包含:总则;业务连续性组织架构;业务影响分析;业务连续性计划与资源建设;业务连续性演练与持续改进;运营中断事件应急处置;监管和处置,及附则八个章节的内容。
《指引》总则中明确了银行业实施BCM的目的、适用对象及范围和基本原则,也强调了针对商业银行BCM实施中的具体要求,银行的BCM体系应当与全面风险管理体系相融合,银行的BCM战略应当与业务发展总体目标相适应,银行应将BCM理念融入企业文化之中等。
第二章“业务连续性组织架构”中赋予了董(理)事会在银行BCM中的最终责任;指定风险管理部门或其他综合管理部门为BCM主管部门;同时明确BCM执行部门,包括业务条线部门与信息科技部门。
第三章“业务影响性分析”中要求识别重要业务,明确重要业务归口管理部门、所需关键资源及对应的信息系统,识别重要业务的相互依赖关系,分析、评估中断事件发生时可能造成的经济损失和非经济损失,进而明确业务重要程度和恢复优先级别,识别重要业务恢复所需的必要资源,并设定业务恢复策略及相应的灾难恢复资源获取方式和灾难恢复等级。
第四章“业务连续性计划与资源建设”中定义了相关的计划和预案应涵盖的内容,以及BCM资源建设中对信息系统、场地、人员等的要求。
第五章“业务连续性管理评估与改进”明确了银行在BCM演练计划、实施、评估及改进各个阶段中所需完成的工作。
第六章“运营中断事件应急处置”分四节规定了在中断事件检测、预警,运营中断时间处置,灾难恢复,以及应对社会公众、媒体、股东及客户进行危机管理过程中的具体要求。
第七章“监管和处置”中明确了银监会及其派出机构在商业银行BCM中的监督和处置职责,同时也对各个商业银行如何配合连续管理和监督进行了规定。
《指引》中为推动和监督银行BCM工作长期和有效的进行,提出了指标性的监管要求,我们对其进行了部分摘录,请参见。
银行BCM中的常见问题
1. BCM驱动力不足
尽管存在着BCM的需求,但目前我国的许多银行仍然缺乏足够的内、外部驱动力来实施并推动BCM管理架构在银行内部的应用。
从外部环境来看,BCM一般被作为银行风险管理工作中操作风险管理下的一项分支任务,依照《商业银行操作风险管理指引》或《巴塞尔新资本协议》(Basel II)中的相关要求进行。虽然监管机构陆续颁布的《商业银行信息科技风险管理指引》、《银行业重要信息系统突发事件应急管理规范》等都涉及BCM范畴的内容,但多侧重于银行的信息化建设方面在BCM中所应采取的措施,而未更多地涉及业务部门的职责,以及风险管理中第二、第三道防线在BCM体系中的作用。
从银行业内部来看,部分银行人员在一定程度上存在BCM的认知误区。比如,部分人认为制定应急预案应对重大的自然灾害、突发社会/经济事件,并做出及时的响应是国家政府的责任,而非银行自身需要承担的职责;或者,他们认为此类风险事件不可预期,属于不可抗力。针对此类事件实施BCM对银行没有用处,不能够为银行的业务运营带来价值。
针对上述认知上的误区,首先应再次强调BCM对于银行业的重要意义。银行业因其广泛的职能,使得它对整个社会经济活动的影响十分显著,在整个金融体系乃至国民经济中位居特殊而重要的地位。银行管理层有职责维持业务不中断持续运行的能力。同时,银行肩负重大道德和社会责任,特别是当其参与提供公共紧急响应、公共志愿服务时。在某些情形下,银行具有法律法规上执行BCM的职责。
近年来,政府已经着手逐步制定对于重点行业,尤其针对银行、保险等金融行业的强制性灾备建设规范,完善灾备标准体系并及时出台灾难恢复服务资质管理办法,加大行业立法强度,以促进政府相关部门、行业用户、企业灾难恢复保障体系的发展;并同时强调重点行业的经济和社会双重角色责任。
对此,《指引》总则中第五条规定“商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。”
《指引》的发布为银行业的BCM整体框架建立提供了规范或标准。并且,提出了具体的监管要求,为BCM在银行业中的实施和推动提供了强有力的外部驱动力,有助于推动BCM体系的长期有效运行。
借助外部驱动的同时,银行内部人员,尤其是管理层应逐渐培养正确的BCM观念,深入了解其对于银行的重要性,以及其将为银行带来的价值。通过积极主动地推动BCM体系生命周期各个阶段的建设,逐步提升银行可证实的维持服务和产品交付的能力,扩大竞争优势,提高银行的信誉;其次使银行具备有效中断响应措施,最小化业务中断的影响,维持银行对不可保险的风险的管理能力;再次鼓励不同职能部门和机构,尤其是业务部门和信息科技部门之间的合作。
2. BCM意识尚未融入企业文化
作为银行风险管理的一部分,BCM尚未得到广泛的接受。部分银行人员对BCM价值缺乏足够认识和实施推动其发展的主动性。部分银行虽然已经开展了BCM的相关工作,但仍然缺乏来自管理层或相关部门的有力支持,从而导致BCM工作仅落在某些部门或某些团队的身上,而非银行全员参与,具有生命周期性的管理体系。这使得BCM体系中可能存在管理盲点,即仅能关注业务流程中的部分关键业务活动或关键资源,而不能涵盖关键业务可能面对的所有重大风险类型和风险场景。
同时,部分银行也缺乏流程对全体员工进行周期性的BCM意识教育,以及相应的技能培训。虽然部分银行已经在BCM建设过程中形成了部分书面的应急计划或预案,但流于形式,未被相关人员充分的理解、吸收,并掌握。当可能导致业务中断的事件发生时,现有的BCM流程和机制起不到预期的作用和效果。这种情况不仅可能造成了极大的管理成本浪费,还可能严重打击人员对于推进BCM的积极性和信心。
