强监管背景下城市商业银行业务连续性管理体系的研究

摘要：本文提供了关于业务连续性管理在金融行业，特别是城市商业银行中的应用和挑战的全面视角，内容涵盖了BCM的基本概念、金融行业监管要求、中小型银行业务连续性管理现状及存在的问题，以及具体的业务连续性管理模式与做法，分析了某城商行业务连续性演练的实战情况，提供了实际操作层面的洞见。

关键词：中小型银行；业务连续性；业务连续性演练

引言：

“经济是肌体，金融是血脉”，“肌体”或许可以短暂休息，“血脉”的流动和运转却一刻也不能中断。作为经济的“血脉”，金融体系面对各类突发事件不能终止关键金融服务，因而提前建立业务连续性管理体系，确保各类情况下金融机构业务能够连续进行成为了金融机构的“必修课”。

一、业务连续性管理现状

（一）基本概念

业务连续性管理主要回答“灾难发生时，企业能够在多长时间恢复多少业务”的问题，包括一整套的政策、标准和程序，是全面风险管理的重要范畴。金融作为现代经济的核心，面临最为严峻的挑战之一是要确保在发生灾难时，金融机构具有清算、支付、交收和资产服务业务持续运营的能力，否则可能产生严重风险。因此，如何做好业务连续性管理是金融机构风险管理工作的重要议题。巴塞尔银行监管委员会发布的《巴塞尔新资本协议》、国际证监组织发布的《业务连续性管理高级原则》、以及国际清算银行发布的《金融市场基础设施原则》（PFMI）等均将金融机构的业务连续性管理纳入全面风险管理框架中，并提出了明确要求。

（二）金融行业监管要求

2008年以来，我国对业务可持续性管理及其相关的信息安全、应急管理、灾难恢复等领域相继发布了监管规范和指引，如《银行业信息系统突发事件应急管理规范》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》（以下简称《指引》）等，对银行业务连续性管理提出了明确的要求。其中《指引》从业务连续性管理组织架构、执行层面、风险影响分析、资源建设等方面强调了IT部门在业务连续性管理中的角色，强调了业务连续性管理不仅是IT部门的工作职责，还需要由上而下地覆盖各业务部门的日常工作，银行业对外服务及支持对外服务的所有业务都必须建立配套的连续性计划，并通过内部审计等方式确保业务连续性计划的良好实施。

2019年，国家金融监督管理总局（原中国银保监会）又针对中小银行机构业务连续性管理方面存在的突出问题，印发了《中小银行机构业务连续性相关风险整治工作方案》（银保监办发﹝2019﹞221号），要求中小银行开展业务连续性相关风险整治工作，整治工作涉及四个方面：业务连续性日常管理、业务连续性资源建设、业务连续性演练及应急处置，覆盖到了金融机构业务连续性体系的各个要素。

（三）中小型银行业务连续性管理现状及存在的问题与差距

中小型商业银行包括众多的城市商业银行、农村商业银行和农村信用合作联社。在这样的强监管背景下，中小型商业银行，由于资源投入有限，重视程度不足，业务连续性管理体系建设多处于起步阶段，与成熟金融机构仍存在一定的差距。

一是对业务连续性管理的认识不清晰，理解不深入。在实际工作中，存在不同部门对业务连续性管理认识不一致的问题，不少业务人员认为银行业务对信息技术有高度依赖，将业务连续性管理狭隘地理解为信息系统的应急和灾难恢复，忽视了营业网点的风险、人员风险、办公资源风险等也是业务连续性管理关注的重要范畴。

二是业务连续性管理协同性不高。业务连续性管理是跨部门跨专业的一项综合工作，需要调动各个部门和分支机构的积极性，建立统一有效的管理体系。在实践当中，往往发现部门间条块分割严重，组织协调和实施落实困难，原因可能是：主管部门推动力不强，各部门业务压力大、责任不清晰、人员不足、缺乏必要的培训和意识教育等。

三是业务连续性演练工作开展不足，灾备演练场景单一，演练真实性欠缺。各业务部门开发了大量应急及业务连续性预案文档，但经过充分演练验证的却不多。演练工作多集中单系统、单场景，以功能性验证为主，在演练的“真实有效”方面仍存在欠缺，相关业务部门的参与度不足。

四是业务连续性管理持续性改进不足。业务连续性工作往往作为一次性项目实施，并未纳入银行各部门日常工作和考核范畴，导致计划的有效性、可用性不足。

五是业务连续性基础资源建设有待提升。在信息技术创新的推动下灾备体系技术架构有待于进一步优化提高，利用前沿的分布式应用系统、分布式数据库等业务系统越来越多，而基于这些技术的容灾体系架构如何设计、业务系统如何实现同城容灾是银行下一阶段需要研究及探索的方向。

二、被调研行的业务连续性管理模式与做法

由于历史原因和自身发展特点不同，国内各家商业银行业务连续性管理体系生状差异较大。本文重点对某城商行业务连续性演练开展情况进行了调研，该行曾发生核心业务不可用的严重业务连续性中断事件，事件后，全行领导层及上级监管部门对该行业务连续性管理体系建设较为重视，其业务连续性体系建设及业务连续性演练水平走在西北商业银行的前列。

（1）演练的场景

演练设置场景是因主数据中心供配电系统故障而进行的预防性灾备数据中心切换，模拟在主数据中心市电设备故障后，主数据中心依靠UPS和发电机供电继续运行，为保障重要业务的安全持续运行，决策实施预防性同城数据中心切换。

（2）演练的目标

验证业务连续性资源建设成果，验证该行所有重要信息系统具备灾备正式接管生产的能力。同时，全面提升业务连续性管理能力，完善业务连续性管理机制，建设灾难恢复计划（DRP），从而保障业务连续性管理机制和灾备建设相匹配，有效应对各种灾难导致重要业务长时间中断的风险，确保重要业务安全、稳定、持续运营，切实达到业务连续性管理的目标。

（3）演练的范围

演练涵盖借记卡、信用卡、存取款、医保、支付结算、国库及互联网支付等全行17个重要业务，涉及核心系统、综合柜面系统、统一支付系统及银联卡系统等14个A类和2个B类信息系统。

（4）演练的组织

为加强业务连续性演练的严肃性和规范性，提升应急管理的及时性和有效性，保障同城灾备切换演练达到预期的目标，演练由该行突发事件应急工作小组牵头指挥决策，灾难恢复专项应急领导小组和信息系统专项应急领导小组协同组织、处置。

结束语

业务连续性管理工作是一项持续性的系统工程，不可能一蹴而就，也不可能一劳永逸，既需要从顶层设计方面进行整体谋划，也需要从落地方面做实做细。中小型银行业务连续性管理提升优化的方向：

（1）进一步完善银行业务连续性治理体系，提高各级组织对业务连续性的认识。完善治理架构和管理体系，完善应急处理内容、流程、工具与方式。

（2）进一步重检完善重要业务系统应急预案，管理更精细。强化应急预案的实际可操作性论证与实施，使连续性管理更为精细化。

参考文献

[1]ISO 22301：2019.Security and resilience — Business continuity management systems — Requirements，2019.https：//www.iso.org/standard/75106

[2]刘秋莲.我国商业银行信息系统风险管理与对策价值工程，2011（7）：166-167.