《从审计视角关注商业银行业务连续性管理(BCM)》由会员分享,可在线阅读,更多相关《从审计视角关注商业银行业务连续性管理(BCM)(7页珍藏版)》请在装配图网上搜索。
1、从审计视角关注商业银行业务连续性管理(BCM )作者:顾海燕来源:经济与社会发展研究2013年第 07期摘 要:历史上,左传曾提到“ 居安思危,思则有备,有备无患,敢以此规。” 对于现代 社会中企业的持续、稳定运营,这句话仍然有较大的借鉴意义。而作为现代经济社会运转重要 枢纽的商业银行,其业务连续性关系重大,逐步被纳入到各商业银行的经营管理策略和内部控 制体系之中。本文将从审计的视角,关注业务连续性管理的演变和发展,在解读商业银行业 务连续性监管指引过程中,分析现状和存在问题,提示风险并提供对应的解决方法。关键词:业务连续性管理;灾难恢复;全面风险管理;企业文化2011年12月,银监会就商业银
2、行业务连续性管理(BCM)发布商业银行业务连续性监 管指引(以下简称指引),突出强调了业务连续性管理在商业银行治理与风险管理体系 中的重要地位,要求各商业银行根据自身发展的总体目标、经营规模以及风险控制的基本策略 和风险偏好,确定适当的业务连续性管理战略。面对更高的监管要求,商业银行如何从 “以资产为核心的传统风险管理模式”向“以业务持 续发展为目标的风险管理模式”转变,值得关注。一、商业银行业务连续性的定义业务连续性是一种计划和执行组成的策略,目的在于保证企业信息流能维持业务持续运 行,对在经营过程中依赖客户信息、产品信息以及其他管理信息的企业具有普遍的重要意义, 不独针对商业银行而言。根据
3、指引,商业银行业务连续性被定义为“商业银行通过对突发 事件的规划和响应,使得重要业务得到有序、快速恢复,实现持续、稳定运行的能力”。业务 连续性管理则指“商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、 方案、标准和程序的有机整体”。二、业务连续性管理的意义和监管要求当前,商业银行所面临的风险早已不再局限于信用风险或市场风险,随着商业银行业务信 息化程度的不断提高、银行业务系统日益复杂,给银行业务运营带来了新的挑战和风险。商业 银行业务连续性管理是构建全面风险管理体系的重要组成部分。商业银行对其完整性、合理性 和有效性应有效评估、持续监督和定期检查。在巴塞尔新资本协议中包括了
4、对业务中断和系统失败的风险控制要求,即保持业务持续运 作。国内各监管部门也顺应信息技术、金融业务发展,陆续制定了监管指引和要求,主要条例 如下表:从监管的发展演变不难看出:从最初的仅关注灾难恢复到当前的业务连续性管理,体现了 从具体操作到系统管理,从局部控制到整理规划的发展。适应了国内金融行业形势发展,也越 来越趋同于国际上较为成熟的规范。三、商业银行业务连续性管理的理想架构依据指引,商业银行业务连续性管理关系结构应自上而下,由董(监)事会、高管 层、主管部门和执行部门组成,应将业务部门纳入管理架构中,具体职责分配如下图1:对应的,商业银行应当由上图中的干系人搭建日常管理组织架构和应急管理组织
5、架构,如 下图 2:四、国内商业银行业务连续性管理发展状况业务连续性管理作为行业信息化发展的现实需要,一直处于发展、完善过程中。其起源于 20世纪 60年代,最初以一种对计算机连续运营中单点故障采取的冗余措施的形式出现,关注 的主要是灾难事件本身造成的直接损失。70年代,初步出现了容灾恢复的理念,银行和保险 公司建立起数据的后备点。80年代后,企业对信息技术的依赖愈加强烈,进而对数据及信息 系统的安全提出了新的要求。催生了新技术灾难恢复(Disaster Recovery,简称DR),而灾难 恢复的最终目的是业务连续(Business Continuity,简称BC)。由此,业务连续性计划的理
6、论 和方法得到了广泛的研究和重视。从DR到BC的演进,其实质是从单一技术手段到系统性策 略管理的升华,而国内商业银行大都还处于DR阶段,或是从DR向BC逐步转变阶段。有趣的是,国内对商业银行BCM的研讨主要来自于外部机构,尤以四大会计师事务所最 为热衷,2012年先后对BCM管理单独出版刊物,表达了积极进入这一领域的愿望,究其原 因,一方面是国外在BCM管理方面较为成熟的管理经验,而国内银行还处于摸索、学习阶 段,另一方面是国内越来越规范、严格的监管要求和银行自身风险管理水平的提高所产生的需 求。根据安永(Ernst & Young)调研资料表明:中国银行业BCM建设状况中,国有四大银 行、国
7、开行DR成熟,BC趋于待完善;股份制商业银行DR趋于成熟,BC待完善;城市商业 银行DR起步,基本无BC。中国工商银行在2001年前,在开始数据大集中工程时同步开始了灾备规划和建设。 2003 年,该行核心业务系统的灾备系统已经建成。目前工行建成的灾难备份体系是本地数据实时备 份,异地灾难备份,在北京和上海两个数据中心之间跨1200公里的距离建立灾备体系。工行 业务连续性规划已经基本覆盖全行所有业务,并根据业务的关键性制定了不同的灾备等级。2008 年,建设银行启动了“业务连续性管理整体规划咨询”项目,与中金数据合作,成功实 施了国内首个业务连续性管理体系咨询服务项目。2012年,中国建设银行
8、发布商业银行业 务连续性监管指引实施方案,开始系统化推进BCM。2013年,建行又制定了中国建设银 行业务连续性管理政策和业务连续性管理操作手册及模版,其采用的流程与规划总体与 监管指引一致,以风险管理部为牵头机构,明确了业务连续性管理统筹规划工作。五、商业银行业务连续性管理层面常见问题国内商业银行业务连续性管理中容易出现的问题主要有:1. 业务连续性管理驱动力不足部分银行人员存在认知上的误区,认为外部自然灾害、突发事件不可预期,属于不可抗 力,且业务连续性管理对银行的业务运营不能带来可以预见的价值。而仅仅依靠外部监管的驱 动不足以彻底改观银行的业务连续性管理水平。2. 企业文化局限,业务条线
9、参与不足对 BCM 的管理还存在局部控制、松散管理的现象,将职责仅分配到某些机构、某些部门 和某些人员,而非全员参与。例如,将业务连续性管理等同于IT容灾,工作职责局限于信息 科技部门。3. 实战演练不足国内银行重视对灾备系统、信息系统的建设投入,对应急预案的制定,但基本还停留于桌 面演练,实战演练不足。这种“纸上谈兵”的形式不足以验证业务持续性管理的有效性。4. 缺乏专业团队和专业型人才与国际上成熟银行的业务连续性管理体系相比,国内银行在团队建设和人员素质方面还显 滞后,缺乏一批熟悉银行业务流程,且对计算机、网络、通讯、安保和法务等方面有把控能力 的专家型团队和人才。六、业务连续性管理过程中
10、存在的风险及应对措施指引对商业银行业务连续管理过程中的风险识别进行了概述,主要关注涉及业务连续 性的关键资源,识别关键资源面临的外部威胁和自身脆弱性,确定风险敞口等。据此,商业银 行对业务连续性管理的风险管理应当体现在业务中断影响评估、业务持续性管理流程设计、资 源建设、应急响应和持续监督机制中。笔者认为,主要风险存在于以下几个方面:风险点一:业务影响分析。首先,对于重要业务的判定,监管指引未作出强制性定义,裁 量办法由各个商业银行具体制定,因此是否对重要业务进行了准确的判定、选择直接关系到后 续应急方案能否全面覆盖。其次,对重要业务中断的概率、经济损失与非经济损失、恢复优先 级别和恢复目标时
11、间应合理估算和规划。再次,对重要业务的判定应当动态管理,在商业银行 经营战略、外部环境或监管要求等要素发生变化时,重要业务的认定也应当适时调整。风险点二:对关键资源的风险评估(RA)。在重要业务影响分析基础上,对牵涉关键资 源的风险评估较为关键。关键资源应当包括关键信息系统及其运行环境、关键的人员、业务场 地、业务办公设备、业务单据及重要外部供应商。需分析关键资源面临的各种威胁以及资源本 身的脆弱性,确定风险敞口。再根据风险敞口制定降低、缓释和转移风险的应对办法。风险点三:业务连续性计划、总体预案、专项预案和外部供应商连续性计划。主要关注上 述计划或预案的完备性与预见性。例如,个别商业银行或个
12、别分支机构对重要外部供应商的连 续性管理可能认识不足,未将其纳入业务连续性管理规划,导致外包服务供应商非正常退出及 其它紧急情况时,没有良好的应急响应,进而对本行的业务运行产生直接冲击。风险点四:资源建设状况。目前,国内商业银行资源建设缺失可能包括信息系统建设,运 营中断事件指挥场所,备用业务和办公场所,灾备中心建设和关键岗位的备份人员等等方面。风险点五:业务连续性演练。在已有较完备的业务连续性计划和各种预案的前提下,业务 连续性演练情况也必须关注。一是演练时间是否达到监管指引要求的“至少每三年对全部重要 业务开展一次业务连续性计划演练”,还包括在重要业务活动和重要社会活动等关键时点的演 练。
13、二是演练目标不应流于形式,应当注重以真实业务接管为目标,确保灾备系统能有效接管 生产系统并能安全回切。三是演练范围应当完整,尤其应当将重要外部供应商纳入演练范围。风险点六:评估审计与日常监督机制。按照监管指引要求,商业银行应当每年至少开展一 次对业务连续性管理的有效性、完整性和合理性的自我评估或委外评估,每年至少开展一次审 计,每三年至少一次全面审计,在出现大范围运营中断事件时,应及时开展专项审计。此外, 商业银行应在每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一年度业务 连续性管理的评估报告和审计报告。在全行性演练后,应在45日内向监管机构提交演练总结 报告。参考文献:1 普
14、华永道业务连续性管理(BCM)-金融机构如何防患于未然并在危机中求得生 存.2 德勤业务连续性计划和管理-莫让无妄之灾阻断公司业务.3 毕马威有备无患:中国企业的业务持续性管理安永解读作者简介:顾海燕(1986-12),男,汉族,江苏南京人,对外经济贸易大学金融学院经 济学学士,目前就职中国建设银行南京审计分部,助理审计师。管理机构制定时间文件名称国家至联网侑息办2(MH年4月关干加强帯息安全保障作的意 见2005年4月重婪信息系统灾难恢复抬南国家标准化管刖委员会2(X)7年6昇信息系统灾雉恢复规范(GB/T 20988-2007)中国人民银行2(X)6 年 4 H关于进一步加强银行业金融机构
15、信 息安全保障T-作的指导意见(2006 123 号)2008年2月银行业信息系统灾难恢复管理规范(JR/T0044-2008 )银监会2006年X月银行业金融机构信息系统风险管理 指引(【2006】63号)2(M)8年4月银行业重要信息系统宠发事件应急管理规范(试行)(2008 53号)2(X)9年6月商业银行信息科技风险管理指引2010年4月筒业银行数据中心监管指引(银监发2010 114号)2()11 年 12 月商业银行业务连续性监管指引(银监发2011 104号)商业银厂山:邛I.閒聲裔业滇軒it劳连彌建理耀吉、银畫会及具淋出H机构霍、曲 輩程主童阳门+1U;策幣、门届5目标业务.擱AH畫凤gi平皆裔宝蛍歪业芳 恢更目粧帘 F fflSEJP 畀 魚復垂囲11奇 应想睛宾与钗F-图1商业银行BCM管理关系人图2商业银行BCM管理日常、应急管理架构龙源期刊网
从审计视角关注商业银行业务连续性管理(BCM)
