摘要:2011年12月,银行监督委员会正式出台《商业银行业务连续性监管指引》(【2011】104号),要求银行加强银行风险管理能力,重视提高银行的业务连续性管理能力。根据银监会要求,预计从2013年开始将迎来业务连续性监管检查高峰。为进一步完善并提高自身业务连续性管理水平并应对外部监管压力,各大商业银行均已开始积极着手准备或推进业务连续性管理项目,那么在业务连续性项目准备或实施过程中,银行项目团队将会遇到哪些具体的挑战,而又可以采取哪些方式和方法去有效地化解呢?在本文中,我们将结合多家商业银行项目实施情况,与读者们分享项目经验,期望能为读者们提出具可实践性的问题解决思路,并为顺利实施业务连续性管理提供借鉴和帮助。
关键词:商业银行,业务连续性管理,项目管理
一.如何组建合理的业务连续性管理项目组织架构
业务连续性管理项目的有效实施开展,首先必须取得管理层的支持和参与。鉴于国内银行业现状,业务连续性管理尚处于起步发展阶段,银行内部对于业务中断影响存在着认识不统一,态度不明确的情况,因而各部门对于业务连续性管理的需求大相径庭,造成传统的由单个部门需求发起,自下而上进行项目审批,需求部门牵头负责的项目开展及管理方式将在实际的项目推进过程中碰到部门壁垒,偏离原有的业务连续性管理目标要求,无法满足外部监管期望。所以业务连续性管理项目必然是自上而下的产物,是管理层意志的体现。在项目筹备伊始,银行管理层便应指定分管行长或相关管理人员,主导项目的发起及管理工作,通过内部交流学习或外部培训教育,统一思想,提升银行内部对于业务连续性管理的外部要求和内部需求上的理解认同度,打破部门之间的藩篱,奠定协同协作的基调。在此基础之上,结合104号文中提出的业务连续性日常管理组织架构要求管理层应组建合理的高效的项目组织团队。
毋庸置疑,无论从外部监管要求来看,还是从业务连续性管理的性质来说,业务连续性管理建设属于银行全面风险体系项下,银行的风险管理部门作为全面风险主管部门应指派专人作为项目主要负责人之一,全程参与项目工作的指导、开展、评估、监督等环节,统筹项目进度和节点要求,协调项目团队内外部工作事项。此外,银行业务种类繁多,各业务专业知识水平要求较高,银行的综合管理部门人员也应被纳入项目团队作为主要团队成员。作为银行日常运营的支持部门,综合管理部门人员的加入将提高团队项目开展效率,在重要业务流程的梳理、业务影响分析的评定、风险分析、应急预案制定等方面更高效地开展工作,特别地,能在与其他业务部门的沟通中起到润滑剂作用,协调项目进度要求与银行正常业务运营之间关系,降低项目推进难度。
众所周知,银行业对于信息系统高度依赖,信息系统的连续性直接影响银行业务的连续性。信息系统一旦中断,涉及到该系统的业务将直接受到影响甚至造成业务中断。对于银行核心系统,其涉及到的业务流程更加广泛,尤其是总行的核心系统,其中断不仅直接导致业务流程的中断,还可能波及全国范围内的其它分行,造成银行业务的大面积中断。
因此项目团队中应包含信息技术部门的相关专业人员,由其主要负责以下几个方面的工作:对银行信息系统建设现状进行梳理;在业务影响分析过程中对关键信息系统、系统恢复能力及系统重要程度提出观点;对信息系统RTO及RPO目标进行设定;提供信息系统支持,协助业务条线部门完成业务连续性管理要求。通过项目实践,我们发现越早地将信息技术人员纳入项目中,越能更好地发挥信息技术人员在专业技术领域方面的优势,例如在项目初期就由信息技术人员提供银行的信息系统列表和系统备份方案,能更有效的帮助业务部门识别业务中所涉及的系统,并引导业务部门在全面考虑系统支持和业务中断恢复能力下设定恢复目标,确定RTO和RPO。
为了更有效地实施项目降低项目推进对于正常业务的影响,绝大多数的商业银行通过引入第三方咨询机构作为项目团队中的主要项目实施方,而上述银行团队成员起到项目监督和资源协调工作,达到1+1大于2的效果。这是因为,一方面咨询机构具有丰富的相关项目经验,在很大程度上充分预知项目进展过程中可能遇到的问题而提前进行化解;另一方面咨询机构具有熟悉信息技术的专业人员,也有熟悉银行业务操作的专业人员,可以利用自身团队优势,结合相关项目经验,在流程分析、指标设定、预案编制上充分借鉴行业标准或做法来帮助银行根据自身特点,量身定做一套行之有效的项目实施方案,从而大大提高工作效率,缩短项目进程。
二.如何筛选银行的重要业务
《商业银行业务连续性监管指引》(104号文)中明确规定,银行重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时,那么如何筛选银行的重要业务呢?指引104号文给出了从三方面去考虑问题的定性描述,即面向客户、涉及账户处理、时效性要求较高,而银行项目组则需要考虑如何将此三方面进一步予以量化,明确统一标准,从而使筛选出的重要业务更具理论依据和说服力,并思考重要业务选取与业务影响分析之间的联系。
此外,银行业务的大部分业务流程之间有直接的依赖关系,流程与流程之间互为上下游流程,如何划分业务流程也非常关键。实践中,有的银行按照业务部门的架构,将业务流程按照业务处理的实际前中后台负责部门进行切分;而有的银行则以整条完整的产品线为单位,将整条业务的前中后台分割至同一流程。以上两种业务流程划分方式各有利弊:前者对口部门清晰单一,按部门推进项目难度较小,有利于业务影响分析的评定;后者以产品为界,业务影响分析多元化,中断影响程度评定易量化,RTO和RPO目标设定合理化。银行项目组需要结合银行自身经营规模、银行部门设置以及产品设置情况进行选择。
三.如何确定业务影响分析阶段的评分标准
银行业务中断将直接在业务收入方面产生不良影响,不仅如此,银行的声誉也将受受损,重新树立良好的声誉形象将需要付出更大的努力。除了财务影响和声誉影响之外,重大业务中断事件还可能会遭致监管机构的涉入。可见,业务中断对银行造成的损失不仅有直接的经济损失,还有间接的非经济损失。
银行的业务条线众多,各业务条线中断对银行造成的影响又各不相同,因此,确定合理的业务影响分析的评分标准成为关键。业务影响分析评分标准的确定,应至少考虑以下因素:(1)是否符合银行行业特点;(2)是否符合银行的经营目标;(3)是否全面涵盖了影响可能涉及的各方面。综合考虑以上三方面后,业务影响分析评分标准变可以通过设定多个维度进行确定:如财务影响,法律、合同以及管制影响等。在此之上,从上述维度出发依据银行自身业务规模和管理层损失容忍程度,设定不同的打分标准,从而避免各业务部门各自进行业务影响评分时,评分标准不统一,打分缺乏依据的情况出现。
四.如何进行业务影响分析
业务影响分析的目的是确定各重要业务所需关键资源及其RTO和RPO,并通过RTO和RPO确定业务恢复顺序和恢复目标。业务影响分析是整个业务连续性管理项目的关键阶段,应采用什么模式以帮助业务部门准确进行业务影响分析呢?业务影响分析可通过邀请重要业务部门人员参加访谈或者座谈会的方式进行,也可以通过向重要业务部门人员发放并添置中断影响分析问卷的形式进行。若只采用其中一种方式,可能导致业务部门对中断影响认识不足或偏差,导致得出的业务影响分析结果不合理,项目进度缓慢。
通过项目实践,最佳方案是采用先问卷后访谈再问卷的方式:首先根据不同的业务类型特点编制具有针对性的业务中断影响分析问卷以及填写指导,让参与访谈业务部门在访谈之前先行了解访谈目的、收集分析数据、带着问题参与访谈过程;访谈过程中,需明确业务影响分析目的,确定重要业务流程环节,注意问题设计,激发不同业务部门的观点碰撞,引导客户从业务连续性角度进行思考,并在访谈过程中收集银行资源现状及需进一步沟通的要点,为此后RTO和RPO设定及应急预案编写打下基础;最后再次通过问卷的形式,由访谈参与部门对所涉及的重要业务流程问卷填制信息进行确认,以确保业务影响分析结果符合银行实际情况。
五.如何编写应急预案
业务连续性计划的制定和实施,关键是以业务为核心,信息系统为依托,那么在编制应急预案时,如何构建应急预案的体系?预案之间的衔接关系又该如何处理?如何将信息系统的应急预案和业务的应急预案有效结合起来,从而编制银行整体的业务连续性应急预案呢?从104号文中,我们可以得到以下启示:总体来上来说,应急预案应从中断事件四大类型出发,考虑由于中断事件对六大关键资源受损的场景设定,同时结合银行自身业务特点和部门构架,分析各个场景的通用性和特异性情况,最终进行应急预案的规划和编制。同时又由于银行业是一个高度依赖信息系统的行业,因此银行高度重视信息系统的灾备方案和应急预案的制定,已通过花费大量资源建立灾备系统以抵御运营中断风险并制定了相应信息系统应急预案。银行项目组在业务连续性应急预案在编制过程中应对其进行充分整合,编制合理操作性高的业务连续性应急预案。
参考文献
[1]张晓玲.我国商业银行连续性管理体系的构建[J].金融理论与实践,2009,(3).
[2]庄毓敏.商业银行业务与经营[M].北京:中国人民大学出版社,2010.
[3]高军,修永春.银行业务连续性管理实践[J].银行家,2012,(7).
13888888888
点击咨询 