安永-徽商银行业务连续性管理体系差距分析报告-20130415

PAGE撰写： 安永生成日期： 2013年04月02日最后更新： 2013年04月02日版本： 1.0文件名称： 徽商银行业务连续性管理体系差距分析报告.pdf状态： 初稿文件控制变更记录文件发送记录目录1. 报告综述 11.1. 背景与目标 11.2. 报告结构 11.3. 工作方法与过程 21.4. 假设与限制 22. 业务连续性管理组织架构与职责分工 42.1. 日常管理组织架构 42.1.1. 架构概览 42.1.2. 董事会及其下设委员会 42.1.3. 高级管理层及其下设委员会 62.1.4. 主管部门 82.1.5. 执行部门 102.1.6. 其他部门 122.2. 应急处置组织架构 133. 业务连续性管理整体性政策制度 154. 业务影响分析与业务连续策略 184.1. 业务影响分析与恢复指标 184.2. 业务连续性风险评估 204.3. 业务连续性策略 215. 业务连续性计划与资源建设 235.1. 业务连续性计划 235.2. 业务连续性资源建设 256. 业务连续性计划测试、评估与维护 266.1. 业务连续性计划演练测试 266.2. 业务连续性计划评估与改进 286.3. 业务连续性管理文化与意识建设 297. 运营中断事件定义与分级标准 308. 运营中断事件监测与预警 319. 运营中断事件报告与应急处理 339.1. 运营中断事件报告 339.2. 应急启动与应急处理程序 3410. 附录 3610.1. 阅读资料清单 3610.2. 开展访谈清单 38徽商银行业务连续性管理咨询项目业务连续性管理体系差距分析报告PAGE3报告综述背景与目标20世纪以来，全球经济活动越来越活跃，整个经济体系对金融服务的依赖度越来越大，银行业的业务持续运营对社会经济的正常运转越发重要。同时，由于目前银行业务高度依赖信息系统，尤其在数据大集中后，任何突发事件对信息系统的破坏都可能影响到全行金融业务的开展，并可能产生连锁效应，造成重大的经济损失和严重的社会影响。另外，当今世界的不稳定因素仍旧频繁，自911事件以来恐怖事件也时有发生，对银行业务的中断也不断带来威胁。在此背景下，Basel委员会于2006年发布了《业务连续性的高阶原则》，且各国金融监管当局纷纷发布针对业务连续性的监管指引。中国银监会也于2011年底发布了《商业银行业务连续性监管指引》，对中国银行业的业务连续性管理体系建设提出了更高的要求。徽商银行作为一家城市商业银行，经过多年的发展，在业务发展与经营管理两大方面均得到良好的提升，形成了业务规模稳定增长、经营管理体制规范化的良好局面。在业务规模不断获得增长的同时，为了进一步提高自身的风险防范能力和保证重要业务持续运行，有效应对计划外的业务中断情形，同时也为了满足银监会《商业银行业务连续性监管指引》要求，徽商银行启动了业务连续性管理咨询项目，希望通过该项目建立并运行一套适合银行需要的业务连续性管理体系，并首先针对部分重要业务的业务连续性计划进行评估、制定或完善。为更好地了解徽商银行的现状，为设计出符合徽商银行实际的各项方案奠定基础，项目组首先开展了全面的调研，并结合监管要求及行业实践开展了差距分析，明确初步的改进方向，然后，以此为基础编制了本报告。报告结构本报告由以下几个部分组成：1）报告综述此部分对项目的背景和目标、本报告的结构、工作方法和过程等进行了概要介绍，并对本报告必要假设与限制因素进行说明。2）业务连续性管理差距分析与初步改进建议此部分根据调研的结果，对徽商银行在业务连续性管理组织架构、政策制度、业务影响分析、业务连续策略、业务连续性计划与资源建设、业务连续性计划测试、评估与维护、运营中断事件定义、分级、监测、预警、报告及处置等各个领域的现状进行了总结，基于安永对相关领域的监管要求和行业实践的提炼，分析了徽商银行在各个领域存在的差距，并相应提出了初步的改进建议。3）附录此部分列出了为撰写本报告而开展的调研工作的清单，包括阅读的资料清单、开展的访谈清单、以及开展的问卷调查的分析报告。工作方法与过程本报告的工作方法与过程可以划分为三个主要步骤，分别是1）了解徽商银行业务连续性管理现状、2）总结差距分析比较基准、3）开展差距分析并提出初步改进建议。步骤一了解业务连续性管理现状项目组主要通过阅读文件资料、开展访谈以及进行问卷调查来了解徽商银行业务连续性管理的现状。阅读文件资料：通过阅读徽商银行的各类相关政策、制度和工作报告文件，了解徽商银行现有业务连续性管理治理架构、政策制度，预案开发与维护流程、应急与恢复流程、资源建设等方面的管理规定。已阅读的资料清单参见“附录10.1阅读资料清单”。开展访谈：制定访谈计划，与徽商银行的相关机构或部门进行访谈，以进一步了解徽商银行的整体管理及业务连续性管理现状。已访谈的机构和部门参见“附录10.2开展访谈清单”。步骤二总结差距分析比较基准针对差距分析涉及的各个领域，总结银监会《商业银行业务连续性监管指引》、《银行业重要信息系统突发事件应急管理规范》、《重大突发事件报告制度》等，人民银行《银行业信息系统灾难恢复管理规范》，香港金管局《持续业务运作规划》中的相关监管要求作为比较基准。为了更全面地进行差距分析，总结的比较基准还包含巴塞尔委员会《业务连续性的高阶原则》相关要求，以及BS25999等国内外行业实践标准及同业的常见实践做法。步骤三业务连续性管理差距分析与初步改进建议开展差距分析：将徽商银行业务连续性管理现状与银监会监管要求和行业实践进行全面比较，分析目前徽商银行在业务连续性管理方面的主要差距与不足。提出初步改进建议：根据差距分析结果，针对徽商银行的特点和要求，提出符合银监会监管要求并能提升徽商银行业务连续性管理水平的初步改进建议。假设与限制安永在本报告中所做的现状描述与差距分析都是基于徽商银行提供的文件、资料、信息及我们与徽商银行有关人员进行的访谈。本项目非审慎性调查或外部审计，因此安永项目组未对所搜集的相关政策和访谈中所获得的信息开展实质性测试。我们认为徽商银行相关部门和项目组所提供的对于现状描述和差距分析报告的相关信息及反馈意见是完整、真实、有效的，能为安永项目组全面理解徽商银行业务连续性管理现状提供有力的支持保障。安永不对徽商银行项目组及相关部门所提供信息的完整性和精确性负责，同时也不保证目前徽商银行实际业务操作与银行项目组及相关部门所提供信息的一致性。此外，本报告是在业务影响分析与风险评估等业务连续性管理基础性工作实施完成之前所做的总体性差距分析，故本报告主要以监管要求与行业实践做法作为差距分析基准，并未对各重要业务的业务恢复策略的合理性、预案及资源完备性进行全面、充分的评估。因此，本报告侧重于对业务连续性管理体系框架、组织架构、职责分工、工作方法与程序等方面进行的总体性分析。需要说明的是，本报告的内容全部基于截至2013年4月2日之前所开展的访谈和徽商银行项目组及相关部门所提供的资料和信息。但从上述截止日期开始至本项目最终结束期间，徽商银行在业务连续性管理领域的工作可能会有不同程度的进展并取得一定成果，而这些进展和工作成果可能未体现在本版报告中。徽商银行业务连续性管理咨询与评估项目业务连续性管理体系差距分析报告PAGE16业务连续性管理组织架构与职责分工日常管理组织架构架构概览徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议《徽商银行业务连续性管理办法》中，明确了业务连续性管理的日常组织架构，涵盖董事会、高级管理层、业务连续性管理委员会、主管部门、执行部门及保障部门的职责定义。银监会《商业银行业务连续性监管指引》第二章第一节要求商业银行建立业务连续性管理日常管理组织架构，明确董事会、高级管理层、业务连续性管理主管部门、执行部门、保障部门、内部审计部门等单位的职责。并且指出：第七条“商业银行应当建立业务连续性管理的组织架构，确定重要业务及其恢复目标，制定业务连续性计划，配置必要的资源，有效处置运营中断事件，并积极开展演练和业务连续性管理的评估改进。”徽商银行的业务连续性日常管理组织架构定义明确，符合监管规定。但由于业务连续性管理委员会还尚未形成议事规程，预案管理等日常管理方法和程序尚未明确或日常化，这使得业务连续性日常管理组织架构还尚未形成健全机制。建议徽商银行在后续业务连续性管理工作当中，通过定期的业务连续性管理委员会会议推动明确委员会议事规程，通过实施业务连续性风险识别与控制、业务影响分析、预案编制与演练、管理报告等日常管理活动，将各单位的业务连续性管理活动日常化，从而形成有效的业务连续性日常管理组织机制。董事会及其下设委员会徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议董事会职责定义《徽商银行业务连续性管理办法》第十条规定“董事会是本行业务连续性管理的决策机构，对本行业务连续性管理承担最终责任”，主要职责包括：审批业务连续性管理战略、政策和程序；审批高级管理层业务连续性管理职责，定期听取高级管理层关于业务连续性管理的报告，监督、评价其履职情况；审批业务连续性管理年度审计报告。银监会《商业银行业务连续性监管指引》中指出：第十条“董（理）事会是商业银行业务连续性管理的决策机构，对业务连续性管理承担最终责任。主要职责包括：（一）审核和批准业务连续性管理战略、政策和程序；（二）审批高级管理层业务连续性管理职责，定期听取高级管理层关于业务连续性管理的报告，监督、评价其履职情况；（三）审批业务连续性管理年度审计报告”。徽商银行在全行性政策制度文件中明确了董事会在业务连续性管理中的监督、决策职责，其主要职责规定符合监管要求。董事会下设专业委员会的设置及职责定义董事会专业委员会设置根据《徽商银行全面风险管理体系实施暂行方案》第九条，徽商银行董事会及其下设专业委员会均按照公司法及公司章程的规定履行风险管理职责。董事会下设专业委员会中与业务连续性管理相关的为：风险管理专业委员会和审计专业委员会。风险管理委员会《徽商银行股份有限公司章程》第一百五十九条规定董事会风险管理委员会的主要职责包括：对本行高级管理层在信贷、市场、操作等方面的风险控制情况进行监督；对本行风险状况进行定期评估，提出完善本行风险管理方面的意见。审计委员会《徽商银行股份有限公司章程》第一百六十一条规定董事会审计委员会的主要职责包括：监督本行内部控制；审查本行的财务信息及披露情况；检查、监督和评价本行内部审计工作。董事会专业委员会设置巴塞尔新资本协议和巴塞尔委员会发布的《加强银行的治理水平》等文件均指出，银行可以将具体的风险监控职责授权给相关的董事会专业委员会，由董事会专业委员会根据授权行使具体的风险监控职责。行业实践中，商业银行一般会在董事会设立风险管理专业委员会，负责风险管理战略、偏好和政策制订；设立审计专业委员会，负责对全行风险管理和内部控制体系进行独立审计。风险管理委员会绝大多数银行均设有董事会层面的风险管理委员会，作为风险管理的专业化委员会，代表董事会审批银行风险管理整体的战略、重大风险管理政策，监督管理层开展风险的识别、评估、计量和监控，定期审阅管理层提交的风险管理报告，听取其对当前风险管理存在实际问题的解决方案等。行业实践中，董事会下设的委员会通常由非执行独立董事担任委员，以保证董事会层面委员会的独立性。审计委员会巴塞尔新资本协议对内部审计职能在风险治理中的作用提出了具体的要求，要求银行对全部重大风险进行定期的独立审阅（independentreview），并评估内部控制的有效性，例如：要求内部审计对银行的操作风险管理等方面开展定期的独立审阅。另外还规定该审阅应涵盖前台职能和中台职能的全部职能。行业实践中，多数银行设置董事会层面的审计委员会，对银行整体的运行开展独立的检查与验证。徽商银行董事会下设专业委员会中与业务连续性管理相关的职责符合行业实践做法。高级管理层及其下设委员会徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议高级管理层职责定义《徽商银行业务连续性管理办法》第十一条规定“高级管理层负责执行董事会批准的业务连续性管理政策”，主要职责包括：制定并定期审查和监督执行全行业务连续性管理政策、程序；明确各部门业务连续性管理职责，明确报告路线，审批重要业务恢复目标和恢复策略，督促各部门履行管理职责，确保业务连续性管理体系正常运行；确保配置足够的资源保障业务连续性管理的实施。银监会《商业银行业务连续性监管指引》中指出：第十一条“高级管理层负责执行经董（理）事会批准的业务连续性管理政策。主要职责包括：（一）制订并定期审查和监督执行业务连续性管理政策、程序；（二）明确各部门业务连续性管理职责，明确报告路线，审批重要业务恢复目标和恢复策略，督促各部门履行管理职责，确保业务连续性管理体系正常运行；（三）确保配置足够的资源保障业务连续性管理的实施。”香港金管局《持续业务运作规划》指出：2.1.1“认可机构的董事局及高级管理层对持续业务运作规划及持续运作计划的成效负有最终的责任。高级管理层应订立持续业务运作规划的政策、标准及程序，并应得到董事局的赞同。高级管理层应确保各级员工都对持续业务运作规划采取认真及严谨的态度，并要为实施有关计划投入足够资源。”2.1.2“高级管理层应清楚确立机构内负责管理整个持续业务运作规划过程的部门。”英国标准BS25999-2中指出：3.2.3.3“组织的管理层应当指派或任命一个具备适当资历与权限的人员负责业务连续性管理政策制定与实施，该人员可以是董事或高管人员”。巴塞尔委员会在《加强银行机构的治理水平》一文中提出，高级管理层是银行稳健治理架构的重要组成部分，负责监督各特定经营领域和经营活动的条线管理人员应严格执行银行董事会所制定的政策和程序。徽商银行在全行性政策制度文件中明确定义了高级管理层在业务连续性管理中的监督、管理等职责，符合监管要求。高级管理层下设委员会的设置及职责定义《徽商银行业务连续性管理办法》第十二条规定“本行设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会，统筹协调、落实各项业务连续性管理职责”，第十三、十四条明确了委员会主任、委员构成及办公室，第十五条明确了委员会的主要职责，包括：审议通过业务连续性管理办法、业务连续性计划等业务连续性管理的相关制度、办法、规定；审议通过本行业务连续性管理的重要业务范围、恢复目标及恢复策略；审议通过各部门、条线业务连续性管理的工作计划、评估报告、演练计划及总结报告等；审议通过各部门、各条线运营中断事件应急预案。银监会《商业银行业务连续性监管指引》中指出：第十二条“商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会，统筹协调、落实各项管理职责”。业务连续性协会（BCI）《业务连续性管理最佳实践指南（GPG）》中指出：“组织可以设立业务连续性管理委员会监督、指导业务连续性管理体系的建设与维护”。在行业实践中，商业银行一般都会指派或设立一个专业委员会涵盖业务连续性管理工作，例如，指派风险管理委员会或操作风险管理委员会，或设立专门的业务连续性管理委员会。徽商银行明确了业务连续性管理委员会，其构成及主要职责符合监管要求和行业实践做法。但业务连续性管理委员会还尚未形成议事规程。建议徽商银行后续通过定期的业务连续性管理委员会会议推动委员会议事规程的建立。主管部门徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议主管部门职责定义《徽商银行业务连续性管理办法》第十六条规定“总行办公室为业务连续性管理的主管部门，牵头落实业务连续性管理委员会的各项管理政策措施，组织、协调、督促各部门开展业务连续性管理工作”，主要职责包括：牵头制定业务连续性管理办法、总体应急预案等全行性业务连续性管理的规章制度；协调、督促各业务部门开展业务影响分析，制定业务连续性计划、专项应急预案，实施业务连续性管理的资源建设，组织应急预案演练，完成持续改进；牵头制定业务连续性管理战略和重要业务运营中断事件危机处置策略；牵头协调各业务部门明确重要业务范围、制定重要业务的恢复目标和恢复策略，对业务系统的重要性进行分类，汇总并及时报送业务连续性管理委员会审议；组织、督促各业务部门开展业务连续性管理的培训；汇总各部门业务连续性管理工作开展情况，形成报告并及时报送；负责向监管机构或其派出机构报送有关业务连续性方面监管机构要求报送的书面材料。银监会《商业银行业务连续性监管指引》指出：第十三条“商业银行应当指定风险管理部门或其他综合管理部门为业务连续性管理主管部门，组织开展全行业务连续性管理工作，指导、评估、监督各部门的业务连续性管理工作；组织制定业务连续性计划，协调业务条线部门，汇总、确定重要业务的恢复目标和恢复策略；组织开展业务连续性计划的演练、评估与改进；开展业务连续性管理培训等。”香港金管局《持续业务运作规划》指出：2.1.2“高级管理层应清楚确立机构内负责管理整个持续业务运作规划过程的部门。”2.2.1“持续业务运作规划部门应就持续运作计划的测试定期向董事局及高级管理层提交报告，并应向高级管理层汇报对持续运作计划作出的任何重大改动。”行业实践中，业务连续性协会（BCI）《业务连续性管理最佳实践指南（GPG）》指出：1.2.4“被任命的BCM团队（注：相当于BCM主管部门）应该制定和批准BCM规划流程和程序；确定BCM生命周期的各个阶段采用的方法、工具；在组织内管理BCM各项活动；在组织内部和外部，适当促进BC各项工作；管理业务持续性预算；维护BCM的各种文档；根据相关法律、监管要求，检查组织内BCM的准备工作情况；定期向高级管理层汇报组织的BCM现状，并强调存在的差距。”徽商银行在全行性政策制度文件中明确了总行办公室作为业务连续性管理主管部门，相关职责规定符合监管要求。执行部门徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议执行部门职责定义《徽商银行业务连续性管理办法》第十七条规定“风险管理部为本行业务连续性管理执行部门”，主要职责包括：将业务连续性管理纳入全面风险管理体系，牵头开展业务影响分析和风险评估，识别重点和薄弱环节，形成报告；参与制定本行有关业务连续性管理方面的策略、办法及总体应急预案等全行性规章制度，组织开展监测、监督、检查、改进等工作；牵头定期开展业务连续性管理的风险评估，确定业务连续性管理所需要的关键资源及其风险敞口，并制定降低、缓释、转移等应对策略。组织或参与业务连续性管理的培训、应急预案演练，持续改进本部门、本条线业务连续性管理工作；定期向业务连续性管理委员会汇报本部门的工作情况，定期形成业务连续性管理评价报告并报送业务连续性管理委员会。《徽商银行业务连续性管理办法》第十八条规定“科技信息部为本行业务连续性管理执行部门”，主要职责包括：制定全行业务信息化建设及安全管理策略规划并组织实施；负责全行信息设备、生产机房等重要资源的建设、管理与改进等，负责各类业务信息系统建设的项目管理和质量控制；协助开展业务影响分析，根据各业务部门提出的重要业务恢复目标制定恢复策略；协助各业务部门制定重要业务运营中断事件应急处置方案，并参与应急演练、评估与改进等工作；组织或参与业务连续性管理的培训；定期向业务连续性管理委员会汇报本部门的工作情况。《徽商银行业务连续性管理办法》第十九条规定公司银行部、小企业银行部、零售银行部、国际业务部、金融市场部、电子银行部、信用卡中心、计划财务部、授信评审部、会计管理部、运营管理部、安全保卫部等部门为业务连续性管理执行部门。主要职责包括：明确本部门的重要业务范围，制定恢复目标和恢复策略，对业务系统的重要性进行分类；制定并及时更新本部门业务连续性管理办法，计划以及相关操作规程；制定本部门业务恢复目标、专项应急预案，开展业务影响分析和风险评估等；组织或参与业务连续性管理的培训，负责本部门业务连续性计划、应急预案演练和改进；定期向业务连续性管理委员会汇报本部门的工作情况。银监会《商业银行业务连续性监管指引》指出：第十四条“商业银行应当明确业务连续性管理执行部门，包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复。”第十六条“商业银行各部门应当负责本部门业务连续性管理工作，制定相关规章制度，制定和执行本部门业务连续性计划，开展本部门业务连续性计划的演练、评估与改进工作。”徽商银行明确了风险管理部、科技信息部和各业务条线部门为业务连续性管理执行部门，相关职责规定符合监管要求。其他部门徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议保障部门职责定义《徽商银行业务连续性管理办法》第二十条规定“计划财务部、人力资源部、合规部、安全保卫部、后勤保障中心等部门为本行业务连续性管理保障部门，主要负责为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。办公室除承担业务连续性管理主管部门的职责外，还应当制定对外媒体公关策略，制定和执行对外媒体公关的应急预案，建立危机公关处置机制。”第七十七条规定“本行建立危机处理机制，从维护客户关系、履行告知义务、维护客户合法权益出发，运用公共关系策略、方法，加强与客户、媒体的沟通，适时向公众发布信息，消除或降低危机所造成的负面影响。”第七十八条规定“总行办公室牵头负责本行危机处理工作，加强舆情监测、信息沟通和发布。”银监会《商业银行业务连续性监管指引》指出：第十五条“商业银行应当明确业务连续性管理保障部门，包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等，为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。其中，公共关系部门应当制定对外媒体公关策略，制定和执行对外媒体公关的应急预案。”第七十三条“商业银行应当建立危机处理机制，从维护客户关系、履行告知义务、维护客户合法权益出发，运用公共关系策略、方法，加强与客户、媒体的沟通，适时向公众发布信息，消除或降低危机所造成的负面影响。”第七十四条“商业银行应当指定专门部门负责危机处理工作，加强舆情监测、信息沟通和发布。”香港金管局《持续业务运作规划》指出：4.7.2“持续运作计划应清楚列明负责向传媒发言的人员，并预先指定人员负责对外通讯。”英国标准BS25999-1中指出：8.5.5“任命和授权合适数量的、经过培训的、具有相应能力的发言人，以向媒体发布信息。”徽商银行明确了计划财务部、人力资源部、合规部、安全保卫部、后勤保障中心等部门为业务连续性管理保障部门，相关职责定义符合监管要求。徽商银行明确了总行办公室为危机处理工作牵头部门，负责制定对外媒体公关策略、制定和执行对外媒体公关的应急预案等，相关职责定义符合监管要求。审计部门职责定义《徽商银行业务连续性管理办法》第二十一条规定“总行审计部负责并定期开展全行业务连续性管理审计工作，形成业务连续性管理审计报告。”银监会《商业银行业务连续性监管指引》指出：第十七条“商业银行内部审计部门应当负责并定期开展全行业务连续性管理审计工作。”香港金管局《持续业务运作规划》指出：2.2.2“认可机构的内部审计部门应定期检讨持续运作计划，以决定该计划是否切实可行及仍然适用，以及计划是否符合认可机构所定的政策及标准。”徽商银行明确了审计部对业务连续性管理的审计职责，符合监管要求。应急处置组织架构徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议《徽商银行业务连续性管理办法》第二节规定“本行运营中断事件应急处置组织架构包括应急决策层、应急指挥层、应急执行层和应急保障层”，各层人员构成及主要职责包括：应急决策层由高级管理人员组成，负责决定应急处置重大事宜。应急指挥层由本行业务连续性管理主管部门、执行部门和保障部门主要负责人组成，负责运营中断事件处置的应急指挥和组织协调，督导应急处置实施。应急执行层由各业务部门组成，负责业务条线与信息技术应急处置工作。应急保障层由业务连续性管理保障部门组成，负责应急处置资源的保障、应急处置对外报告、媒体公关、人员安抚等工作。在信息系统应急场景方面，徽商银行明确有应急处置领导小组工作机制，由行长、分管行领导任组长和副组长，科技信息部和相关业务部门为成员。例如，《徽商银行2011年信息系统业务连续性管理报告》规定“成立信息系统应急领导小组，负责信息系统应急处置与管理”，“2011年对信息系统应急领导小组进行调整，由行长任组长，分管行长为副组长，负责信息系统的应急组织管理工作”。再如，《徽商银行联网核查公民身份信息系统突发事件应急处置实施办法（试行）》第七条规定“总行成立联网核查系统应急处置领导小组，领导小组组长由分管行领导担任，成员由运营管理部、会计管理部、科技信息部、合规部、授信评审部、公司银行部、零售银行部、信用卡中心有关人员组成。领导小组下设办公室，主任由运营管理部主要负责人担任。”另外，第八条规定了联网核查系统应急处置领导小组的主要职责，包括：及时向当地和上级领导小组报告情况；执行当地和上级领导小组发布的有关指令；组织本行及所属分支机构的联网核查系统应急处置。银监会《商业银行业务连续性监管指引》指出：第十八条“商业银行应当建立运营中断事件应急处置的组织架构，包括应急决策层、应急指挥层、应急执行层和应急保障层。”第十九条“应急决策层由商业银行高级管理人员组成，负责决定应急处置重大事宜。”第二十条“应急指挥层由商业银行的业务连续性管理主管部门、执行部门和保障部门负责人组成，负责运营中断事件处置应急指挥和组织协调，督导应急处置实施。”第二十一条“应急执行层由商业银行业务连续性管理执行部门组成，负责业务条线与信息技术应急处置工作。”第二十二条“应急保障层由商业银行业务连续性管理保障部门组成，负责应急处置所需人力、物力和财力等资源的保障，应急处置对外报告、宣告、通报和沟通与协调，以及对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。”香港金管局《持续业务运作规划》指出：4.2.1“认可机构应成立危机管理组，以应付及管理危机的各个发展阶段。危机管理组的成员应包括高级管理层及主要支援部门（例如建筑物设施、资讯科技、公司通讯及人力资源）的负责人。”4.2.2“危机管理组评估事件对认可机构的整体影响的程序，以及迅速决定适当回应行动的步骤。”4.2.3“若危机管理组成员需要从主要工作地点撤离，认可机构应设立指挥中心，为危机管理组提供所需的工作空间及设施。”行业实践中，业务连续性协会（BCI）《业务连续性管理最佳实践指南（GPG）》介绍了一个突发事件响应组织的模型图（摘自英国应急服务组织）：图表将突发事件应急响应分为三层结构，分别为战略层，是突发事件最高管理机构；战术层，由业务持续团队构成；操作层，由应急响应小组和业务单元恢复小组构成。英国标准BS25999-1中指出：8.2.1“组织应该定义一个事故响应机构，使组织能够有效响应中断并从中断中恢复。”8.2.2“任何事故情形，组织都应该有一个简单和快速形成的组织结构，以使组织能够确认事故的性质和程度、控制事态、处理事故、与相关利益方沟通。该组织结构应该启动合适的业务连续性响应措施。该组织结构可被称为事故管理小组（IMT）或应急管理小组（CMT）。”8.2.3“该小组应该管理事故的计划、过程和程序。”8.2.4“该小组应该有启动、运行、协调和沟通事故响应的计划。”《徽商银行业务连续性管理办法》规定了应急处置组织架构，包括应急决策层、应急指挥层、应急执行层和应急保障层，在总体上符合监管要求。但该架构仅在总体上对应急处置组织层级进行了定义，涉及信息系统、业务场所等方面的具体应急场景时，还需具体明确各层级相应的人员组成及主要职责。建议徽商银行在总体应急预案及各场景专项预案中对应急处置组织架构进行各自更为具体的定义，并在总体架构上相互保持一致。业务连续性管理整体性政策制度徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议业务连续性管理整体性政策制度徽商银行总行办公室于2012年发布了《徽商银行业务连续性管理办法》。徽商银行总行办公室于2012年发布了《关于进一步做好重大事项报告工作的通知》。徽商银行总行办公室于2011年发布了《徽商银行重大事项报告管理办法(试行)》。依据银监会《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业重要信息系统突发事件应急管理规范》、《银行业突发事件应急预案》、《重大突发事件报告制度》，以及人民银行《银行业信息系统灾难恢复管理规范》等监管要求，银行应当根据自身的规模和复杂性以合理的方式建立和制定适用于全行的业务连续性管理整体性政策制度。行业实践做法中，业务连续性管理整体性政策制度通常会涵盖组织架构、风险评估、业务影响分析、业务连续策略、预案体系、评估改进、突发事件报告、应急流程等方面，综合考虑上述方面的牵头部门、监管要求等因素，一般会分为：业务连续性管理办法、总体应急预案和重大突发事件报告制度三个制度文件。徽商银行业务连续性管理整体性制度文件构成基本符合同业做法，但是尚未制定监管要求的总体应急预案。建议徽商银行结合行业普遍做法及监管要求，在明确业务连续性管理办法、总体应急预案和重大突发事件报告制度三个制度文件定位、关系的基础上，制订《运营中断事件总体应急预案》并对《业务连续性管理办法》、《重大事项报告管理办法》做出适当修订或补充，以便三者形成较好衔接。业务连续性管理办法徽商银行总行办公室于2012年发布了《徽商银行业务连续性管理办法》，对徽商银行业务连续性管理工作做出了总体要求。《办法》明确了徽商银行的业务连续性管理的目标和基本原则，定义了业务连续性管理组织架构和职责分工，对业务影响分析、业务连续性计划、应急预案、业务连续性资源建设、运营中断事件检测、报告、处置等方面提出了总体性的管理要求。行业实践做法中，商业银行通常会根据自身的规模和复杂性制定适用于全行的《业务连续性管理办法》，将其作为业务连续性管理的基本制度文件。内容通常会包括组织架构、职责分工、业务影响分析、风险评估、业务连续策略、事件分级、事件监测预警、报告及处置、评估与改进等方面的基本要求。部分银行还会在《业务连续性管理办法》的基础上，对特定领域制定细则，例如业务连续性风险评估工作细则、业务影响分析工作细则、媒体危机管理等。徽商银行已制定了业务连续性管理的基本制度《业务连续性管理办法》，在一定程度上满足行业实践做法，并能够满足监管对商业银行制定业务连续性管理制度的基本要求。但该办法仅在较高层面规定了业务连续性管理的总体要求，在业务影响分析、风险评估方面、预案体系架构、预案规范、媒体危机处置方法等方面并未明确具体的工作方法、标准与程序。建议徽商银行在该办法的基础上，针对业务连续性日常管理活动及应急处置活动中的重要方面，制定管理细则，规定具体的工作方法、标准、工具和程序，包括但不限于业务影响分析、业务连续性风险评估、媒体危机管理、应急预案规范等。总体应急预案徽商银行总行办公室于2008年发布了《徽商银行突发事件应急预案编制规划》，明确了徽商银行各部门制定预案的原则，规定了徽商银行应急预案应该由总体应急预案、部门应急预案、专项应急预案、内部应急预案和分支机构预案五个层次构成，但未发现徽商银行实际制定总体应急预案。银监会《商业银行业务连续性监管指引》中指出：“商业银行应当制定总体应急预案。总体应急预案是商业银行应对运营中断事件的总体方案，包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。”徽商银行目前尚未制定总体应急预案。建议徽商银行依据监管指引要求，制定《运营中断事件总体应急预案》，并且内容应涵盖总体应急组织架构与职责分工、各层级预案的定位和衔接关系、事件分类与分级、应急预案体系、应急处置等方面。重大突发事件报告制度徽商银行总行办公室于2011年发布了《徽商银行重大事项报告管理办法(试行)》，其中对重大事项具体内容进行了明确，对总分行进行了职责分工，规定了报告路径及主要内容等。徽商银行总行办公室于2012年发布了《关于进一步做好重大事项报告工作的通知》，进一步规范了重大事项报告工作，明确了重大事项报送职责分工、报送内容、范围及路径等。银监会《商业银行业务连续性监管指引》中指出：“发生运营中断事件后，商业银行应当及时进行沟通和报告，包括：按照报告路线在内部各部门及人员之间的报告，与业务运营的外包方、业务合作方之间的沟通、以及按照银监会有关报告要求，向银监会或其派出机构的报告等。”银监会《重大突发事件报告制度》、人民银行《关于进一步做好银行业金融机构重大事项报告有关工作的通知》明确了银行业金融机构应就所规定的重大事项及重要信息的报告责任，并规定了发生不同重大事项时的上报时限。银监会《银行、证券跨行业信息系统突发事件应急处置工作指引》（银监发〔2008〕50号）、《银行业重要信息系统突发事件应急管理规范（试行）》（银监办发[2008]53号）还针对信息系统突发事件规定了报告责任。徽商银行重大突发事件报告制度（《徽商银行重大事项报告管理办法(试行)》和《关于进一步做好重大事项报告工作的通知》）对重大事项类型、报告方式、报告时限等做了详细规定，能够满足监管对重大事项和重大突发事件报告的要求。从完善徽商银行重大突发事件报告制度的角度出发，建议徽商银行可在以下方面改进：依照《业务连续性管理办法》、《运营中断事件总体应急预案》对运营中断事件重大级别的定义，对相关联的事项定义进行口径的一致性调整；对报告方式区分对内报告、对外报告内容，考虑增加对内、对外报道内容。此外，考虑到上级主管部门及监管部门发布的重大突发事件、重要事项及信息报告相关的监管文件中，在报告时限方面存在不相一致情形，建议徽商银行可对此进行梳理，明确一个对外报告指导示意图。业务影响分析与业务连续策略业务影响分析与恢复指标徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议业务影响分析方法与程序《徽商银行业务连续性管理办法》第三节规定各业务连续性管理部门需开展业务影响分析工作，并按照银监会《商业银行业务连续性监管指引》要求，对业务影响分析工作方法作出总体性要求。银监会《商业银行业务连续性监管指引》中指出：第二十三条“商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失，明确业务连续性管理重点，根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析，并形成业务影响分析报告。”香港金管局《持续业务运作规划》中指出：“业务影响分析的目的，是识别对持续业务运作构成威胁的各种不同风险，以及量化业务中断造成的影响。业务影响分析有助识别在发生事故时，认可机构必须继续有效提供的关键业务活动、银行服务及内部支援功能。”在行业实践标准中，BS25999关于业务影响分析提出以下几个方面的要求：识别组织业务与运行环境识别支持产品服务的活动和资源RPO/RTO定义确定活动中断影响确定恢复业务所需的资源人民银行《银行业信息系统灾难恢复管理规范》中指出：6.2.2业务影响分析包括量化和非量化方法，量化方法评估直接经济损失和间接经济损失，包括收入损失、资产损失、财务处罚、预期收益损失等，非量化方法则评估社会影响、法律影响、信用影响、品牌影响等。徽商银行对业务影响分析工作作出了总体性要求，但尚未具体明确业务影响分析工作的方法、工具、标准与程序，且在实际工作中，尚未在全行范围按照协调一致的规范方法具体开展过业务影响分析工作。建议徽商银行在《业务连续性管理办法》的基础上，制定业务影响分析工作的实施细则，明确业务影响分析工作的职责分工、工作方法、标准、频率等，并实际组织全行开展业务影响分析工作，最终，通过业务影响分析识别和评估业务运营中断所造成的影响和损失，明确业务连续性管理重点，根据业务重要程度实现差异化管理，确定各业务恢复优先级别和恢复指标。并且，按照监管要求至少每三年开展一次全面业务影响分析。恢复指标在业务恢复指标方面，《徽商银行业务连续性管理办法》按照银监会《商业银行业务连续性监管指引》要求，规定“重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时”。但尚未通过业务影响分析工作在全行范围内明确各业务流程的恢复时间目标与恢复点目标。在信息系统恢复指标方面，徽商银行异地灾备中心已经明确了核心、网络、自助、前置、支付5个重要系统的应用级灾备的恢复指标。银监会《商业银行业务连续性监管指引》指出：第二十五条“商业银行应当综合分析重要业务运营中断可能产生的损失与业务恢复成本，结合业务服务时效性、服务周期等运行特点，确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO)，原则上，重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。”第二十七条“商业银行应当通过分析业务与信息系统的对应关系、信息系统之间的依赖关系，根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间，确定信息系统恢复时间目标(信息系统RTO)、信息系统恢复点目标(信息系统RPO)，明确信息系统重要程度和恢复优先级别，并识别信息系统恢复所需的必要资源。”人民银行《银行业信息系统灾难恢复管理规范》指出：6.3.1“将信息系统按时间敏感性分成三类需求等级。”6.3.2“根据信息系统的时间敏感性，确定信息系统灾难恢复目标的最低要求。第一类：RTO<6小时，RPO<15分钟；第二类：RTO<24小时，RPO<120分钟；第三类：RTO<7天。”行业实践中，对于核心系统、信用卡系统等支撑全行性重要业务功能运作包含账务处理的第一类信息系统，RTO及RPO要求至少应当满足监管要求，对于上规模的商业银行，RPO更要求做到2分钟以内甚至0损失。在业务恢复指标方面，徽商银行尚未在全行范围按照协调一致的规范方法具体开展过业务影响分析工作，因此，也尚未在全行范围内对各业务流程的业务恢复指标、恢复优先级别形成统一认知。在信息系统恢复指标方面，信息科技部门已经就异地灾备明确了重要信息系统恢复时间目标、恢复点目标等恢复指标，并就同城灾备对重要信息系统恢复指标有所考虑。但是，所明确或所考虑过的信息系统恢复指标，尚不足以涵盖各主要业务系统，且所考虑过的信息系统恢复指标还有待通过业务影响分析工作加以验证。建议徽商银行通过业务影响分析工作，确定各业务恢复优先级别和恢复指标，确定各信息系统重要程度、恢复优先级别和恢复指标。业务连续性风险评估徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议业务连续性风险评估方法与程序《徽商银行业务连续性管理办法》第三节规定各业务连续性管理部门需开展业务连续性相关风险评估工作，并按照银监会《商业银行业务连续性监管指引》要求，对业务连续性风险评估工作明确总体性要求。在2012年开展的徽商银行内控管理的项目中，业务部门曾参与业务流程对应风险与控制的梳理工作，该工作在一定程度上涉及到了业务连续性风险的相关内容。各业务部门在日常业务管理活动中，对主要业务所面临的主要业务连续性风险有所考虑，并在已有的应急预案或业务手册中对应对方法有所体现。信息科技部在进行信息系统方案设计、建设投产及运行维护等工作中所开展的风险评估涉及了业务连续性风险的相关内容，并不定期地对运行系统进行安全风险评测。此外，《徽商银行计算机信息系统应急管理办法》明确要求在系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时，应重新识别、分析、控制风险。银监会《商业银行业务连续性监管指引》指出：第十四条“商业银行应当明确业务连续性管理执行部门，包括业务条线部门和信息科技部门。业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复。”第二十八条“商业银行应当开展业务连续性风险评估，识别业务连续运营所需的关键资源，分析资源所面临的各类威胁以及资源自身的脆弱性，确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境、关键的人员、业务场地、业务办公设备、业务单据以及供应商。”香港金管局《持续业务运作规划》指出：3.1.1“业务影响分析的目的，是识别对业务持续运行构成威胁的各种不同风险……”3.1.2“业务影响分析通常分为两个阶段。第一阶段……识别机构所承受的整体风险……”行业实践中，业务连续性风险识别与评估方法与银监会《商业银行业务连续性监管指引》第二十八条所体现的思路基本一致，从重要业务出发，围绕重要业务所依赖的关键资源，分析资源所面临的各类威胁及资源自身的脆弱性。比如，人行《银行业信息系统灾难恢复管理规范》“6.1风险分析”中规定风险评估方法包括以下三个要素：资产识别：资产是具有价值的信息或资源，是风险分析所要保护的对象；威胁识别：威胁是指对资产构成潜在破坏的可能性因素，包括自然灾害、人为破坏等；脆弱性识别：脆弱性是可能被威胁利用的资产的弱点。对于信息系统资源而言，脆弱性识别可以从环境、业务、网络、系统、应用等层次进行，并主要从技术与管理两个方面进行；风险计算：确定威胁利用脆弱性导致风险事件发生的可能性及损失，进而进行风险等级划分。徽商银行对业务连续性风险评估工作作出了总体性要求，各重要业务领域在日常业务管理活动及制定应急预案的过程中对需应对的业务连续性风险问题也给予了一定的考虑，并且信息科技部针对重要信息系统不定期地进行了安全评测。但徽商银行尚未具体明确业务连续性风险评估工作的方法、工具、标准和程序，且在实际工作中，尚未在全行范围按照协调一致的规范方法针对重点业务及其关键资源开展过业务连续性风险识别与评估工作，也尚未对全行主要的业务连续性风险及防控措施形成统筹性跟踪管理。建议徽商银行在《业务连续性管理办法》的基础上，制定业务连续性风险评估工作的实施细则，明确业务连续性风险评估工作的职责分工、工作方法、标准、程序等，按监管要求组织全行开展重要业务及其关键资源的业务连续性风险评估工作，依据防范或控制风险的可行性和残余风险的可接受程度，确定风险防范和控制的原则与措施，并及时对评估结果进行汇总分析，在统筹管理层面对全行主要的业务连续性风险及防控措施形成跟踪管理。在具体开展业务连续性风险评估时，可以区分业务、系统、场所，分不同负责部门、不同时间进行。其中，业务部分的业务连续性风险评估，可由风险管理部牵头，由各业务部门具体实施，针对所主管的重要业务进行，并可结合操作风险自我评估工作进行；系统部分的业务连续性风险评估，由信息科技部牵头，可结合信息系统安全风险评测工作进行；场所部分的业务连续性风险评估，可由机构管理部或安全保卫部牵头，针对重要业务中心、办公场所进行。各部分的业务连续性风险评估可不定期进行，但应确保每年做一次更新评估。业务连续性策略徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议在信息系统灾备策略方面，徽商银行制定了《信息系统备份及恢复策略信息表》，对包括重要信息系统在内的部分系统制定了备份与恢复策略安排，并已经基本明确了“两地三中心”的建设策略安排。在重要业务的业务恢复策略方面，徽商银行主要业务部门对于部分所关心的影响重要业务连续性的风险情形有所考虑，并形成了一定的策略安排。例如，信用卡中心针对本行授权功能不可用情形明确有银联再授权机制，针对制卡服务外包商明确有备用制卡替代手段，而运营管理部针对数据录入外包商明确有备用替代机制。此外，徽商银行会计管理部、营运管理部等各业务部门针对本部门所关心的业务系统突发事件情形已有部分应急预案，这些应急预案所明确的应急应对措施当中对业务恢复策略有所体现。如《徽商银行支付清算系统危机处置应急预案（修订）》中针对支付清算系统不可访问场景，明确了常见故障、一级、二级、三级事件等情形下的应对策略与处理程序。银监会《商业银行业务连续性监管指引》指出：第二十九条“商业银行应当根据风险敞口制定降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度，确定风险防范和控制的原则与措施。”第三十条“商业银行应当根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。”第三十一条“商业银行应当依据业务恢复策略，确定灾难恢复资源获取方式和灾难恢复等级。”香港金管局《持续业务运作规划》指出：3.2“每个关键业务及其支持功能应分别制定业务恢复策略，明确如何满足业务影响分析所得出的恢复时间目标并达到最低服务水平，包括备用场所、所需员工数及相关座位、应用系统及技术需求、业务办公设施、关键文件记录等确保达到最低服务水平所需的各种资源。”“关键业务之间的相互依赖关系是业务恢复策略及次序的另一重要考虑因素。业务影响分析所得出的恢复时间目标是决定关键业务恢复次序的关键因素。”行业实践中，业务连续策略主要是指业务恢复策略，正如香港金管局《持续业务运作规划》3.2所述，并还会涵盖关键岗位人员、业务办公设备、业务单据以及供应商不可用情形下的业务连续策略。在信息系统灾备策略方面，徽商银行针对包括核心、前置、自助、网银、网络等重要信息系统在内的部分系统制定了数据备份、系统恢复的灾难恢复策略。但是，由于尚未完全开展过业务影响分析工作，系统灾难恢复策略所依据的恢复时间目标与恢复时间点目标还尚未完全明确并在各重要业务领域形成认知，因此，目前制定的信息系统灾备策略还需要通过业务影响分析工作加以验证。此外，目前制定的信息系统灾备策略尚未完全涵盖各应用系统。在重要业务的业务恢复策略方面，虽然主要业务部门在本部门的应急预案中针对部分应急情形下的应急措施在一定程度上有体现业务恢复策略，但是，应急预案所覆盖的业务连续性风险情形尚存在较大缺口。而对于未在应急预案中体现的业务恢复策略的考虑，还需要转化成具体的操作、具体的预案或手册。建议徽商银行将业务连续性策略制订工作与业务连续性风险评估工作以及业务影响分析工作形成衔接，围绕业务连续性管理目标，以业务连续性风险评估和业务影响分析工作产出为基础，明确重要业务的业务恢复策略、信息系统的灾难恢复策略、业务中心的业务恢复策略、分支行网点的业务恢复策略、重要岗位人员等其他资源的恢复策略，并且形成单独的策略文件对上述策略进行较为全面的说明。徽商银行可将该策略文件作为徽商银行业务连续性计划的重要组成。业务连续性计划与资源建设业务连续性计划徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议业务连续性计划体系徽商银行办公室于2008年发布了《徽商银行突发事件应急预案编制规划》，规定了应急预案体系框架，将预案分为总体应急预案、部门应急预案、专项应急预案、内部应急预案及分支机构预案，对突发事件分类、分级、应急预案内容框架、编制职责分工等提出了总体性的规划。总体应急预案方面，《计算机信息系统应急预案》、《计算机信息系统应急管理办法》对计算机信息系统应急的总体程序做了规定，但未发现制定有专门的、涵盖各类运营中断事件情形的总体应急预案。在信息系统专项预案方面，相关应急预案涵盖管理办法、应急预案、系统技术文档、应急操作手册多个层次。其中，管理办法有《计算机信息系统应急管理办法》，以及涵盖机房、网络、系统运维、数据备份等方面的专项管理办法。应急预案有《计算机信息系统应急预案》作为信息系统总体性预案，还制定有《网上银行突发性风险事件应急处置预案》、《支付清算系统危机处置预案》等针对各个单个业务系统的应急预案；系统技术文档和应急操作手册则在技术操作层面对系统的常见故障和排障的技术程序做了具体说明。在业务部门专项预案方面，针对信息系统应急情形，相关应急预案主要存在于信息系统专项应急预案中。例如，《支付清算系统危机处置预案》、《人民币银行结算账户管理系统突发事件应急处置实施办法（试行）》等。针对业务系统或服务渠道不可用情形，以及外包服务商应急情形，相关应急安排主要通过业务手册或通知发文的方式明确有备用、替代机制或手段。例如，信用卡中心针对本行授权功能不可用情形明确有银联再授权机制，针对制卡服务外包商明确有备用制卡替代手段，运营管理部针对数据录入外包商明确有备用替代机制。而针对其他应急情形，部分业务部门制定有相关应急响应预案。例如，运营管理部针对火灾、地震等灾害性危机情形，明确有保障人身与资产安全的危机响应程序。在职能部门危机管理预案方面，主要后台职能部门根据各自职责制定了一系列危机管理预案，涵盖了自然灾害、消防、安保、媒体等方面。具体地，在物理危机应对方面，《徽商银行自然灾害应急处置预案》对在出现洪涝灾害、地震等事件后员工应如何应对做出了一些规定，《徽商银行总行办公楼消防应急预案》对办公楼在出现火灾后员工的应急对策做了一些规定。此外，安全保卫针对办公楼及营业场所安全保卫、法定节假日内部治安保卫、案件处置、远程监控、枪支弹药、外聘保安等方面制定有比较全面的管理规定。在媒体危机应对方面，《徽商银行重大声誉事件应急预案》对应急处置机构、应急处置报告、处置原则、处置程序作出了总体性规定。银监会《商业银行业务连续性监管指引》指出：第三十二条“商业银行应当依据业务恢复目标，制定覆盖所有重要业务的业务连续性计划。”第三十四条“商业银行应当制定总体应急预案。总体应急预案是商业银行应对运营中断事件的总体方案，包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。”第三十五条“商业银行应当制定重要业务专项应急预案，专项应急预案应当注重灾难场景的设计，明确在不同场景下的应急流程和措施。业务条线的专项应急预案，应当注重调动内部资源、采取业务应急手段尽快恢复业务，并和信息科技部门、保障部门的应急预案有效衔接。”银监会《商业银行数据中心监管指引》指出：第二十六条“应根据商业银行总体风险控制策略及应急管理要求，从基础设施、网络、信息系统等不同方面分别制定应急预案，并及时修订应急预案，定期进行演练，保证其有效性。”银监会《重要信息系统突发事件应急管理办法》指出：第十一条“银行业金融机构应根据恢复时间目标（RTO）和恢复点目标（RPO），结合风险控制策略，从基础设施、网络、信息系统等不同方面，分类制定本机构应急预案。”行业实践中，商业银行的应急预案一般区分为总体预案和专项预案，且除了总行层面的预案外，分支机构也应建立应对其所面临的突发事件所需的各类应急预案。对于专项预案，一种较典型的预案分类方式包括：中断场景应急预案，主要针对信息系统不可用场景、业务场所不可用场景制定的，且主要用于指引应急管理小组的应急指挥和决策活动；信息系统应急预案，包括一般性故障的排障恢复预案、灾难性中断的灾难恢复预案，主要用于指引信息系统恢复小组执行系统软硬件调整等恢复活动；业务恢复应急预案，包括场内恢复应急预案；场外恢复应急预案，主要用于指引业务恢复小组执行业务替代手段等恢复活动；危机管理应急预案，通常包括员工物理危机预案、应急疏散预案、媒体危机预案、员工沟通预案、监管报告预案及后勤保障预案，主要用于指引相应当事人或危机管理部门执行危机应对活动。在应急预案体系框架方面，徽商银行已对全行的应急预案分类构成作出了具体划分。但分类维度不够清晰，各类预案存在交叉，这容易使得各类应急预案的负责单位不够清晰。建议徽商银行从应急预案的总分层级、应急场景、牵头单位等角度对应急预案进行类别划分。从预案的总分层级角度，将应急预案分为总体应急预案、应急场景预案与专项应急手册。其中，应急场景预案主要包括信息系统应急场景预案及业务场所应急场景预案等；专项应急手册则包括信息系统应急手册、重要业务应急手册、媒体危机处置手册及其他必要的应急保障手册。在信息系统专项预案方面，徽商银行制定了较为全面的应急规定，涵盖了各重要信息系统应急场景预案、具体的操作手册。但考虑到其规定的信息系统故障定位及排障程序可能未能充分涵盖重要网络与信息系统常见故障与问题，并且，各业务系统的灾备预案与切换恢复程序可能存在不能够满足业务恢复时间目标与恢复时间点目标要求情形，因此，我们建议徽商银行通过开展信息系统业务影响分析与业务连续性风险评估工作，明确信息系统的恢复时间目标与恢复点目标，进一步梳理重要网络与信息系统常见故障问题，据此对故障定位及排障程序、灾备预案与切换恢复程序进行补充和完善。在业务部门专项预案方面，徽商银行重要业务应急预案主要存在于业务系统应急预案当中，而业务系统应急预案多为信息技术层面的应对安排以及对内对外的联络安排。此外，业务部门对于信息系统、外包商、业务场所等替代应急手段有一定管理考虑和明确，但相应的应急预案或应急手册存在较大缺失。建议徽商银行针对重要业务开展重要资源依赖分析、风险评估工作，梳理明确重要业务所主要面临的业务连续性风险情形，针对这些业务连续性风险情形明确业务方面的监测措施、替代业务手段，据此对业务应急手册进行补充和完善。在自然灾害、消防、安保等物理危机应对方面，相关职能单位制定了相应的应急预案或管理办法。但这些应急预案或管理办法侧重于人身与资产安全方面，未与信息系统、重要业务等专项应急预案形成必要的衔接，不能够满足业务场所物理危机场景下对系统恢复、业务恢复的应急指挥需要。建议徽商银行针对总行机关大楼、运营作业中心场所、信用卡中心场所等重要业务中心场所分别制定业务场所物理危机场景的应急预案，且预案涵盖物理危机应对、系统恢复、业务恢复等方面，与相应的专项预案形成衔接。在媒体危机管理方面，徽商银行从声誉风险管理角度制定了总体性管理要求。建议徽商银行可以在新闻稿模板、新闻发布会、常见媒体问题、媒体联络方式等媒体应对方面，形成一定的手册。业务连续性资源建设徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议在重要信息系统灾备中心建设方面，徽商银行在杭州建有异地灾备中心，可支持核心、网络、自助、前置、支付5个重要系统的应用级灾备。目前准备在2013年完成同城灾备中心的建设规划，将同城灾备中心作为重要信息系统的灾备资源配置的重点场所，待同城灾备建设完成后，异地灾备中心将主要作为重要信息系统的异地数据级灾备场所。在重要信息系统的高可用性建设方面，徽商银行从网络、存储、主机、系统、应用等层面进行了一定程度的高可用性建设，对重要信息系统、网络设备等均已实现双机热备。在重要业务的备用业务场所方面，对总行大楼、信用卡中心、运营中心等重要业务中心还尚未明确重要业务的备用业务和办公场所，因此也尚未对相关备用资源作出必要准备。在应急指挥中心建设方面，徽商银行在总行大楼已有在一定程度上能够承担重大突发事件应急指挥功能的会议室。在重要业务的重要岗位方面，尚未发现有制度要求对重要岗位明确AB角互备机制。但各重要业务领域均在一定程度上对相关重要岗位的备用人员预先做了考虑。银监会《商业银行业务连续性监管指引》指出：第三十九条“商业银行应当开展业务连续性计划所需的资源建设，满足业务恢复目标和重要业务持续运营的要求。”第四十条“商业银行应当重点加强信息系统关键资源的建设，实现信息系统的高可用性，保障信息系统的持续运行并减少信息系统中断后的恢复时间。”第四十一条“商业银行应当设立统一的运营中断事件指挥中心场所，用于应急决策、指挥与联络，指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。”第四十二条“商业银行应当建立符合业务连续性管理要求的备用资源，如备用业务和办公场所资源、备用信息系统运行场所资源、备用信息技术资源、备用人力资源等，以及电力、通讯、消防、安保等资源。”第四十三条“商业银行选择备用场地时，应当确保不会同时遭受同类型风险；应当综合分析备用场地所在地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素，以及灾难恢复所需的金融服务、通讯、设备、技术等外部服务供应商资源情况。”第四十四条“商业银行在建立备用业务和办公场所时，应当配备业务操作和办公所需资源，并确保其能够迅速启用。”第四十五条“商业银行应当建立灾备中心等备用信息技术资源和备用信息系统运行场所资源，并满足银监会关于数据中心相关监管要求。”第四十六条“商业银行应当明确关键岗位的备份人员及其备份方式，并确保备份人员可用，降低关键岗位人员无法及时履职风险。”在重要信息系统灾备中心建设方面，徽商银行已建有异地灾备中心，能够支持核心、网络、自助、前置、支付5个重要系统的应用级灾备。但由于异地灾备还不能够支持接近于零的数据丢失，仅能支持5个系统灾备，并且需要于异地维持一个灾备中心的运维团队，容易产生不可控因素，鉴于此，徽商银行计划建设同城灾备中心，提出了更加完备的“两地三中心”的灾备中心总体规划。但还需具体明确每个信息系统尤其是重要信息系统的具体灾备策略，并在总体分析的基础上，按重要性逐步明确所需灾备资源。建议徽商银行依据业务影响分析所明确的重要信息系统范围，进一步明确这些重要信息系统的高可用性及灾备策略，并依据灾备策略做好备份资源建设。在重要业务的备用业务场所方面，徽商银行尚未对总行大楼、信用卡中心、运营中心等重要业务中心的备用业务场所及相关备用资源作出必要准备。建议徽商银行对总行大楼、信用卡中心、运营中心等重要业务中心进行业务影响分析和业务连续性风险评估，在对各重要业务明确场所转移策略的基础上，进一步决定需要配备哪些备用业务场所及相关备用资源。在应急指挥中心建设方面，建议徽商银行在总行大楼指定一个或两个会议室作为重大突发事件的应急指挥中心，并在该会议室配备应急指挥所需的联络表、常见应急场景的应急程序等文件。业务连续性计划测试、评估与维护业务连续性计划演练测试徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议《徽商银行业务连续性管理办法》按照银监会《商业银行业务连续性监管指引》要求，对业务连续性计划演练提出了总体性的要求。信息系统方面，徽商银行不定期进行过信息系统的应急演练。于2010年，科技信息部牵头组织总行业务部门及分支机构实施了全行范围的灾备演练；于2011年及2012年组织了多次重要信息系统的模拟或切换演练。此外，科技信息部准备针对所有信息系统制定维护计划，其中包含演练的内容，并计划在2013年对所有信息系统开展1至2次模拟或切换演练。重要业务方面，徽商银行各业务部门主要参与了信息科技部牵头组织的重要信息系统切换演练，个别业务部门针对重要业务的业务替代手段开展过测试。例如，信用卡中心针对授权业务进行过银联代授权测试。各业务部门现有的一些业务应急预案及其管理规定中，普遍未明确演练要求。银监会《商业银行业务连续性监管指引》中指出：第四十七条“商业银行应当开展业务连续性计划演练，检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。”第四十八条“制定业务连续性演练计划时，商业银行应当考虑业务的重要性和影响程度，包括客户范围、业务性质、业务时效性、经济与非经济影响等，演练频率、方式应当与业务的重要性和影响程度相匹配。”第四十九条“商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练。”第五十条“商业银行应当加强业务应急预案的演练，重点加强业务和信息科技部门的协调、配合；应当注重以真实业务接管为目标，确保灾备系统能够有效接管生产系统并具备安全回切能力。”第五十一条“商业银行应当将外部供应商纳入演练范围并定期开展演练；同时，应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练，确保应急和协调措施的有效性。”第五十二条“商业银行应当对业务连续性计划的演练过程进行完整记录，及时总结、评估和改进。”人民银行《银行业信息系统灾难恢复管理规范》中指出：10.2.4“单位每年应至少组织一次实战演练，可根据单位实际情况不定期地组织各种形式、层次与范围的演练，逐年提高演练的难度和复杂性。在演练前，应制订演练方案，明确演练目标、涉及的形式、层次和范围，设定灾难情景、演练流程、操作内容、业务验证测试、应急资源、演练的风险及其应对措施。演练应尽量减少对正常业务和生产的影响。”徽商银行目前主要由信息科技部门组织开展信息系统的应急演练，多数重要业务替代手段方面的应急预案未有明确的演练规定，仅个别业务部门进行过重要业务替代手段的测试。在总体上，目前各业务条线、信息系统的应急演练工作还达不到监管要求，未能有效起到提高各单位应急处置能力的作用。建议徽商银行在后续制定完善各类应急预案过程中，同时明确各类应急预案的演练方式、演练频率等要求。并可在以下几个方面通过规范化和制度化等手段，加强应急演练和测试管理：演练的形式：可以包括桌面演练、模拟演练和实战演练；演练的范围：根据演练工作涉及的重要业务、分支机构范围，确保演练有一定的覆盖面；演练的频率：每三年对全部重要业务开展一次业务连续性计划演练，并每年挑选重要业务或重要信息系统组织至少一次实战演练；演练的评估：演练完成后，应对演练的组织、过程、效果进行评估。业务连续性计划评估与改进徽商银行现状描述主要监管要求和行业实践差距分析及初步改进建议《徽商银行业务连续性管理办法》按照银监会《商业银行业务连续性监管指引》要求，对业务连续性计划评估与改进提出了总体性的要求。《徽商银行计算机信息系统应急管理办法》规定每年开展一次信息系统突发事件风险防范措施和应急响应工作的评估，科技信息部在实际工作中每年会对信息系统运行情况进行评估，并根据需要对应急预案进行维护。个别业务部门（如电子银行）的应急预案中要求根据突发事件处置过程中暴露出的问题，进一步完善应急和演练方案，但多数业务部门的应急预案尚未明确定期维护的具体要求。徽商银行审计部于2010年聘请中介机构开展了一次全面的信息科技风险及电子银行安全评估，涉及系统数据备份管理、信息系统业务连续性计划、电子银行业务连续性计划和电子银行应急处置预案情况等，并对发现问题的整改情况开展了后续跟踪。审计部今年还将聘请中介机构开展一次全面的信息科技风险及电子银行安全评估，也会涉及上述内容，并对整改情况进行跟踪。同时，审计部还会不定期针对数据备份、数据恢复和应急演练等开展审计或内控测试，并对整改情况进行后续跟踪。银监会《商业银行业务连续性监管指引》中指出：第五十三条“商业银行应当建立业务连续性管理体系持续改进机制。”第五十四条“商业银行应当至少每年对业务连续性管理体系的完整性、合理性、有效性组织一次自评估，或者委托第三方机构进行评估，并向高级管理层提交评估报告。”第五十五条“商业银行应当每年对业务连续性管理文档进行修订，内容应当包含重要业务调整、制度调整、岗位职责与人员调整等，确保文档的真实性、有效性。”第五十六条“商业银行在开发新业务产品时，应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的，应当在上线前制定业务连续性计划并实施演练。”第五十七条“在业务功能或关键资源发生重大变更时，商业银行应当及时对业务连续性计划进行修订。”第五十八条“商业银行应当每年对本行业务连续性管理进行审计，每三年至少开展一次全面审计，发生大范围业务运营中断事件后应当及时开展专项审计。”第五十九条“商业银行业务连续性管理审计的内容应当包括：业务影响分析、风险评估、恢复策略及恢复目标的合理性和完整性；业务连续性计划的完整性和可操作性；业务连续性计划演练过程及报告的真实性和有效性；业务连续性管理相关部门及人员的履职情况等。”人民银行《银行业信息系统灾难恢复管理规范》指出灾难恢复预案的更新维护主要包括以下工作要求：灾难恢复预案涉及的内容发生变更后应立即更新灾难恢复预案；灾难恢复预案涉及的机构、人员有义务向预案管理人员提供变更信息；演练后应根据演练评估结论立即更新灾难恢复预案；灾难恢复预案若发生重大变更，应由管理层进行必要的审查。徽商银行在业务连续性计划评估与改进方面有定期进行一定的工作。在信息系统应急预案方面，会不定期通过信息系统安全评估、运行评估等工作对应急预案进行一定的评估与更新，并且还开展了涉及业务连续性计划的部分审计工作。但是，在业务部门应急预案方面，多数业务部门的应急预案尚未明确的定期维护的具体要求；审计部也未开展过针对业务连续性管理的全面审计。此外，业务连续性管理主管部门尚未发挥业务连续性计划评估和改进方面的统筹职责。建议徽商银行可以在以下方面进一步完善业务连续性计划评估与改进工作：主管部门负责对业务连续性管理体系的完整性、合理性、有效性进行定期评估；定期对包括业务应急预案及信息系统应急预案在内的业务连续性相关文档进行修订，业务流程的变化、信息系统的变更、人员的变更都应在预案中及时反映；预案在测试、演练和灾难发生后实际执行时，其重要信息均应留有记录，并应对测试、演练和执行的效果进行评估，同时对预案进行相应的改进；定期对业务连续性管理进