从审计视角关注商业银行业务连续性管理（BCM）

1、从审计视角关注商业银行业务连续性管理（bcm） 摘 要：历史上，左传曾提到“居安思危，思则有备，有备无患，敢以此规。”对于现代社会中企业的持续、稳定运营，这句话仍然有较大的借鉴意义。而作为现代经济社会运转重要枢纽的商业银行，其业务连续性关系重大，逐步被纳入到各商业银行的经营管理策略和内部控制体系之中。本文将从审计的视角，关注业务连续性管理的演变和发展，在解读商业银行业务连续性监管指引过程中，分析现状和存在问题，提示风险并提供对应的解决方法。 关键词：业务连续性管理；灾难恢复；全面风险管理；企业文化 2011年12月，银监会就商业银行业务连续性管理（bcm）发布商业银行业务连续性监管指引（以下简

2、称指引），突出强调了业务连续性管理在商业银行治理与风险管理体系中的重要地位，要求各商业银行根据自身发展的总体目标、经营规模以及风险控制的基本策略和风险偏好，确定适当的业务连续性管理战略。 面对更高的监管要求，商业银行如何从 “以资产为核心的传统风险管理模式”向“以业务持续发展为目标的风险管理模式”转变，值得关注。 一、商业银行业务连续性的定义 业务连续性是一种计划和执行组成的策略，目的在于保证企业信息流能维持业务持续运行，对在经营过程中依赖客户信息、产品信息以及其他管理信息的企业具有普遍的重要意义，不独针对商业银行而言。根据指引，商业银行业务连续性被定义为“商业银行通过对突发事件的规划和响应，

3、使得重要业务得到有序、快速恢复，实现持续、稳定运行的能力”。业务连续性管理则指“商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体”。 二、业务连续性管理的意义和监管要求 当前，商业银行所面临的风险早已不再局限于信用风险或市场风险，随着商业银行业务信息化程度的不断提高、银行业务系统日益复杂，给银行业务运营带来了新的挑战和风险。商业银行业务连续性管理是构建全面风险管理体系的重要组成部分。商业银行对其完整性、合理性和有效性应有效评估、持续监督和定期检查。 在巴塞尔新资本协议中包括了对业务中断和系统失败的风险控制要求，即保持业务持续运作。国内各监管部门也顺应

4、信息技术、金融业务发展，陆续制定了监管指引和要求，主要条例如下表： 从监管的发展演变不难看出：从最初的仅关注灾难恢复到当前的业务连续性管理，体现了从具体操作到系统管理，从局部控制到整理规划的发展。适应了国内金融行业形势发展，也越来越趋同于国际上较为成熟的规范。 三、商业银行业务连续性管理的理想架构 依据指引，商业银行业务连续性管理关系结构应自上而下，由董（监）事会、高管层、主管部门和执行部门组成，应将业务部门纳入管理架构中，具体职责分配如下图1： 对应的，商业银行应当由上图中的干系人搭建日常管理组织架构和应急管理组织架构，如下图2： 四、国内商业银行业务连续性管理发展状况 业务连续性管理作为行

5、业信息化发展的现实需要，一直处于发展、完善过程中。其起源于20世纪60年代，最初以一种对计算机连续运营中单点故障采取的冗余措施的形式出现，关注的主要是灾难事件本身造成的直接损失。70年代，初步出现了容灾恢复的理念，银行和保险公司建立起数据的后备点。80年代后，企业对信息技术的依赖愈加强烈，进而对数据及信息系统的安全提出了新的要求。催生了新技术灾难恢复（disaster recovery，简称dr），而灾难恢复的最终目的是业务连续（business continuity，简称bc）。由此，业务连续性计划的理论和方法得到了广泛的研究和重视。从dr到bc的演进，其实质是从单一技术手段到系统性策略管理

6、的升华，而国内商业银行大都还处于dr阶段，或是从dr向bc逐步转变阶段。 有趣的是，国内对商业银行bcm的研讨主要来自于外部机构，尤以四大会计师事务所最为热衷，2012年先后对bcm管理单独出版刊物，表达了积极进入这一领域的愿望，究其原因，一方面是国外在bcm管理方面较为成熟的管理经验，而国内银行还处于摸索、学习阶段，另一方面是国内越来越规范、严格的监管要求和银行自身风险管理水平的提高所产生的需求。根据安永（ernst & young）调研资料表明：中国银行业bcm建设状况中，国有四大银行、国开行dr成熟，bc趋于待完善；股份制商业银行dr趋于成熟，bc待完善；城市商业银行dr起步，基本无bc

7、。 中国工商银行在2001年前，在开始数据大集中工程时同步开始了灾备规划和建设。2003年，该行核心业务系统的灾备系统已经建成。目前工行建成的灾难备份体系是本地数据实时备份，异地灾难备份，在北京和上海两个数据中心之间跨1200公里的距离建立灾备体系。工行业务连续性规划已经基本覆盖全行所有业务，并根据业务的关键性制定了不同的灾备等级。 2008年，建设银行启动了“业务连续性管理整体规划咨询”项目，与中金数据合作，成功实施了国内首个业务连续性管理体系咨询服务项目。2012年，中国建设银行发布商业银行业务连续性监管指引实施方案，开始系统化推进bcm。2013年，建行又制定了中国建设银行业务连续性管理

8、政策和业务连续性管理操作手册及模版，其采用的流程与规划总体与监管指引一致，以风险管理部为牵头机构，明确了业务连续性管理统筹规划工作。 五、商业银行业务连续性管理层面常见问题 国内商业银行业务连续性管理中容易出现的问题主要有： 1.业务连续性管理驱动力不足 部分银行人员存在认知上的误区，认为外部自然灾害、突发事件不可预期，属于不可抗力，且业务连续性管理对银行的业务运营不能带来可以预见的价值。而仅仅依靠外部监管的驱动不足以彻底改观银行的业务连续性管理水平。 2.企业文化局限，业务条线参与不足 对bcm的管理还存在局部控制、松散管理的现象，将职责仅分配到某些机构、某些部门和某些人员，而非全员参与。例

9、如，将业务连续性管理等同于it容灾，工作职责局限于信息科技部门。 3.实战演练不足 国内银行重视对灾备系统、信息系统的建设投入，对应急预案的制定，但基本还停留于桌面演练，实战演练不足。这种“纸上谈兵”的形式不足以验证业务持续性管理的有效性。 4.缺乏专业团队和专业型人才 与国际上成熟银行的业务连续性管理体系相比，国内银行在团队建设和人员素质方面还显滞后，缺乏一批熟悉银行业务流程，且对计算机、网络、通讯、安保和法务等方面有把控能力的专家型团队和人才。 六、业务连续性管理过程中存在的风险及应对措施 指引对商业银行业务连续管理过程中的风险识别进行了概述，主要关注涉及业务连续性的关键资源，识别关键资源

10、面临的外部威胁和自身脆弱性，确定风险敞口等。据此，商业银行对业务连续性管理的风险管理应当体现在业务中断影响评估、业务持续性管理流程设计、资源建设、应急响应和持续监督机制中。笔者认为，主要风险存在于以下几个方面： 风险点一：业务影响分析。首先，对于重要业务的判定，监管指引未作出强制性定义，裁量办法由各个商业银行具体制定，因此是否对重要业务进行了准确的判定、选择直接关系到后续应急方案能否全面覆盖。其次，对重要业务中断的概率、经济损失与非经济损失、恢复优先级别和恢复目标时间应合理估算和规划。再次，对重要业务的判定应当动态管理，在商业银行经营战略、外部环境或监管要求等要素发生变化时，重要业务的认定也应

11、当适时调整。 风险点二：对关键资源的风险评估（ra）。在重要业务影响分析基础上，对牵涉关键资源的风险评估较为关键。关键资源应当包括关键信息系统及其运行环境、关键的人员、业务场地、业务办公设备、业务单据及重要外部供应商。需分析关键资源面临的各种威胁以及资源本身的脆弱性，确定风险敞口。再根据风险敞口制定降低、缓释和转移风险的应对办法。 风险点三：业务连续性计划、总体预案、专项预案和外部供应商连续性计划。主要关注上述计划或预案的完备性与预见性。例如，个别商业银行或个别分支机构对重要外部供应商的连续性管理可能认识不足，未将其纳入业务连续性管理规划，导致外包服务供应商非正常退出及其它紧急情况时，没有良好

12、的应急响应，进而对本行的业务运行产生直接冲击。 风险点四：资源建设状况。目前，国内商业银行资源建设缺失可能包括信息系统建设，运营中断事件指挥场所，备用业务和办公场所，灾备中心建设和关键岗位的备份人员等等方面。 风险点五：业务连续性演练。在已有较完备的业务连续性计划和各种预案的前提下，业务连续性演练情况也必须关注。一是演练时间是否达到监管指引要求的“至少每三年对全部重要业务开展一次业务连续性计划演练”，还包括在重要业务活动和重要社会活动等关键时点的演练。二是演练目标不应流于形式，应当注重以真实业务接管为目标，确保灾备系统能有效接管生产系统并能安全回切。三是演练范围应当完整，尤其应当将重要外部供应商纳入演练范围。 风险点六：评估审计与日常监督机制。按照监管指引要求，商业银行应当每年至少开展一次对业务连续性管理的有效性、完整性和合理性的自我评估或委外评估，每年至少开展一次审计，每三年至少一次全面审计，在出现大范围运营中断事件时，应及时开展专项审计。此外，商业银行应在每年一季度向银监会或其派出机构提交业务连续性管理报告，包括上一年度业务连续性管理的评估报告和审计报告。在全行性演练