摘 要:2011年12月,銀行監督委員會正式出臺《商業銀行業務連續性監管指引》(【2011】104號),要求銀行加強銀行風險管理能力,重視提高銀行的業務連續性管理能力。根據銀監會要求,預計從2013年開始將迎來業務連續性監管檢查高峰。為進一步完善并提高自身業務連續性管理水平并應對外部監管壓力,各大商業銀行均已開始積極著手準備或推進業務連續性管理項目,那么在業務連續性項目準備或實施過程中,銀行項目團隊將會遇到哪些具體的挑戰,而又可以采取哪些方式和方法去有效地化解呢?在本文中,我們將結合多家商業銀行項目實施情況,與讀者們分享項目經驗,期望能為讀者們提出具可實踐性的問題解決思路,并為順利實施業務連續性管理提供借鑒和幫助。
關鍵詞:商業銀行,業務連續性管理,項目管理
一. 如何組建合理的業務連續性管理項目組織架構
業務連續性管理項目的有效實施開展,首先必須取得管理層的支持和參與。鑒于國內銀行業現狀,業務連續性管理尚處于起步發展階段,銀行內部對于業務中斷影響存在著認識不統一,態度不明確的情況,因而各部門對于業務連續性管理的需求大相徑庭,造成傳統的由單個部門需求發起,自下而上進行項目審批,需求部門牽頭負責的項目開展及管理方式將在實際的項目推進過程中碰到部門壁壘,偏離原有的業務連續性管理目標要求,無法滿足外部監管期望。所以業務連續性管理項目必然是自上而下的產物,是管理層意志的體現。在項目籌備伊始,銀行管理層便應指定分管行長或相關管理人員,主導項目的發起及管理工作,通過內部交流學習或外部培訓教育,統一思想,提升銀行內部對于業務連續性管理的外部要求和內部需求上的理解認同度,打破部門之間的藩籬,奠定協同協作的基調。在此基礎之上,結合104號文中提出的業務連續性日常管理組織架構要求管理層應組建合理的高效的項目組織團隊。
毋庸置疑,無論從外部監管要求來看,還是從業務連續性管理的性質來說,業務連續性管理建設屬于銀行全面風險體系項下,銀行的風險管理部門作為全面風險主管部門應指派專人作為項目主要負責人之一,全程參與項目工作的指導、開展、評估、監督等環節,統籌項目進度和節點要求,協調項目團隊內外部工作事項。此外,銀行業務種類繁多,各業務專業知識水平要求較高,銀行的綜合管理部門人員也應被納入項目團隊作為主要團隊成員。作為銀行日常運營的支持部門,綜合管理部門人員的加入將提高團隊項目開展效率,在重要業務流程的梳理、業務影響分析的評定、風險分析、應急預案制定等方面更高效地開展工作,特別地,能在與其他業務部門的溝通中起到潤滑劑作用,協調項目進度要求與銀行正常業務運營之間關系,降低項目推進難度。
眾所周知,銀行業對于信息系統高度依賴,信息系統的連續性直接影響銀行業務的連續性。信息系統一旦中斷,涉及到該系統的業務將直接受到影響甚至造成業務中斷。對于銀行核心系統,其涉及到的業務流程更加廣泛,尤其是總行的核心系統,其中斷不僅直接導致業務流程的中斷,還可能波及全國范圍內的其它分行,造成銀行業務的大面積中斷。
因此項目團隊中應包含信息技術部門的相關專業人員,由其主要負責以下幾個方面的工作:對銀行信息系統建設現狀進行梳理;在業務影響分析過程中對關鍵信息系統、系統恢復能力及系統重要程度提出觀點;對信息系統RTO及RPO目標進行設定;提供信息系統支持,協助業務條線部門完成業務連續性管理要求。通過項目實踐,我們發現越早地將信息技術人員納入項目中,越能更好地發揮信息技術人員在專業技術領域方面的優勢,例如在項目初期就由信息技術人員提供銀行的信息系統列表和系統備份方案,能更有效的幫助業務部門識別業務中所涉及的系統,并引導業務部門在全面考慮系統支持和業務中斷恢復能力下設定恢復目標,確定RTO和RPO。
為了更有效地實施項目降低項目推進對于正常業務的影響,絕大多數的商業銀行通過引入第三方咨詢機構作為項目團隊中的主要項目實施方,而上述銀行團隊成員起到項目監督和資源協調工作,達到1+1大于2的效果。這是因為,一方面咨詢機構具有豐富的相關項目經驗,在很大程度上充分預知項目進展過程中可能遇到的問題而提前進行化解;另一方面咨詢機構具有熟悉信息技術的專業人員,也有熟悉銀行業務操作的專業人員,可以利用自身團隊優勢,結合相關項目經驗,在流程分析、指標設定、預案編制上充分借鑒行業標準或做法來幫助銀行根據自身特點,量身定做一套行之有效的項目實施方案,從而大大提高工作效率,縮短項目進程。
二. 如何篩選銀行的重要業務
《商業銀行業務連續性監管指引》(104號文)中明確規定,銀行重要業務恢復時間目標不得大于4小時,重要業務恢復點目標不得大于半小時,那么如何篩選銀行的重要業務呢?指引104號文給出了從三方面去考慮問題的定性描述,即面向客戶、涉及賬戶處理、時效性要求較高,而銀行項目組則需要考慮如何將此三方面進一步予以量化,明確統一標準,從而使篩選出的重要業務更具理論依據和說服力,并思考重要業務選取與業務影響分析之間的聯系。
此外,銀行業務的大部分業務流程之間有直接的依賴關系,流程與流程之間互為上下游流程,如何劃分業務流程也非常關鍵。實踐中,有的銀行按照業務部門的架構,將業務流程按照業務處理的實際前中后臺負責部門進行切分;而有的銀行則以整條完整的產品線為單位,將整條業務的前中后臺分割至同一流程。以上兩種業務流程劃分方式各有利弊:前者對口部門清晰單一,按部門推進項目難度較小,有利于業務影響分析的評定;后者以產品為界,業務影響分析多元化,中斷影響程度評定易量化,RTO和RPO目標設定合理化。銀行項目組需要結合銀行自身經營規模、銀行部門設置以及產品設置情況進行選擇。
三. 如何確定業務影響分析階段的評分標準
銀行業務中斷將直接在業務收入方面產生不良影響,不僅如此,銀行的聲譽也將受受損,重新樹立良好的聲譽形象將需要付出更大的努力。除了財務影響和聲譽影響之外,重大業務中斷事件還可能會遭致監管機構的涉入。可見,業務中斷對銀行造成的損失不僅有直接的經濟損失,還有間接的非經濟損失。
銀行的業務條線眾多,各業務條線中斷對銀行造成的影響又各不相同,因此,確定合理的業務影響分析的評分標準成為關鍵。業務影響分析評分標準的確定,應至少考慮以下因素:(1)是否符合銀行行業特點;(2)是否符合銀行的經營目標;(3)是否全面涵蓋了影響可能涉及的各方面。綜合考慮以上三方面后,業務影響分析評分標準變可以通過設定多個維度進行確定:如財務影響,法律、合同以及管制影響等。在此之上,從上述維度出發依據銀行自身業務規模和管理層損失容忍程度,設定不同的打分標準,從而避免各業務部門各自進行業務影響評分時,評分標準不統一,打分缺乏依據的情況出現。
四. 如何進行業務影響分析
業務影響分析的目的是確定各重要業務所需關鍵資源及其RTO和RPO,并通過RTO和RPO確定業務恢復順序和恢復目標。業務影響分析是整個業務連續性管理項目的關鍵階段,應采用什么模式以幫助業務部門準確進行業務影響分析呢?業務影響分析可通過邀請重要業務部門人員參加訪談或者座談會的方式進行,也可以通過向重要業務部門人員發放并添置中斷影響分析問卷的形式進行。若只采用其中一種方式,可能導致業務部門對中斷影響認識不足或偏差,導致得出的業務影響分析結果不合理,項目進度緩慢。
通過項目實踐,最佳方案是采用先問卷后訪談再問卷的方式:首先根據不同的業務類型特點編制具有針對性的業務中斷影響分析問卷以及填寫指導,讓參與訪談業務部門在訪談之前先行了解訪談目的、收集分析數據、帶著問題參與訪談過程;訪談過程中,需明確業務影響分析目的,確定重要業務流程環節,注意問題設計,激發不同業務部門的觀點碰撞,引導客戶從業務連續性角度進行思考,并在訪談過程中收集銀行資源現狀及需進一步溝通的要點,為此后RTO和RPO設定及應急預案編寫打下基礎;最后再次通過問卷的形式,由訪談參與部門對所涉及的重要業務流程問卷填制信息進行確認,以確保業務影響分析結果符合銀行實際情況。
五. 如何編寫應急預案
業務連續性計劃的制定和實施,關鍵是以業務為核心,信息系統為依托,那么在編制應急預案時,如何構建應急預案的體系?預案之間的銜接關系又該如何處理?如何將信息系統的應急預案和業務的應急預案有效結合起來,從而編制銀行整體的業務連續性應急預案呢?從104號文中,我們可以得到以下啟示:總體來上來說,應急預案應從中斷事件四大類型出發,考慮由于中斷事件對六大關鍵資源受損的場景設定,同時結合銀行自身業務特點和部門構架,分析各個場景的通用性和特異性情況,最終進行應急預案的規劃和編制。同時又由于銀行業是一個高度依賴信息系統的行業,因此銀行高度重視信息系統的災備方案和應急預案的制定,已通過花費大量資源建立災備系統以抵御運營中斷風險并制定了相應信息系統應急預案。銀行項目組在業務連續性應急預案在編制過程中應對其進行充分整合,編制合理操作性高的業務連續性應急預案。
