盛邦安全在同眾多銀行業金融機構的溝通和服務過程中�����,對當前銀行業金融機構����,尤其是中小銀行業金融機構信息科技風險管理的現狀有了較深入的了解,本系列文章旨在基于對中小銀行信息科技風險管理的整體現狀的認知���,提煉和分享當前行業信息科技風險管理體系建設的面臨的問題和良好實踐,以期啟發更多的行業思考和討論�。
本期討論的主題是銀行業金融機構業務連續性管理實操。據相關新聞報道�,近期某農商銀行因辦公環境質量原因導致超過百名IT工作人員呼吸系統出現病變����,甚至有多人被確診為癌癥,該新聞事件給業界帶來震驚�。雖然最終的統計數字和相關影響并沒有官方確切的消息發布�,但此次事件的爆發對于該金融機構來說不僅僅是對業務運營本身的影響,還包括機構聲譽的損失�?���?赡軐τ诖蠖鄶到鹑跈C構管理者而言,這是一場“意外”����;但是這樣的“意外”,本可以避免其發生�。
金融機構監管單位早在2011年就發布了《商業銀行業務連續性監管指引》���,用于推動銀行業金融機構的業務連續性管理工作�。監管機構對于金融機構業務連續性管理的重視�����,也體現在2019年中國銀保監會辦公廳發布的《關于開展中小銀行機構業務連續性相關風險整治工作的通知》中�,重點推動中小銀行業金融機構提升和優化業務連續性管理體系��。這些監管舉措的目的就是要銀行業金融機構將“意外”納入到日常管理體系���。
考慮到本系列文章一直按照《指引》的監管框架��,所以本期內容我們還是以《商業銀行信息科技風險管理指引》(以下簡稱《指引》)第七章業務連續性管理的監管要求出發���,來簡要描述當前中小銀行金融機構在業務連續性管理的現狀和出色實踐?�!渡虡I銀行業務連續性監管指引》對于此領域的監管要求更加詳細�,我們后續計劃安排針對這一專業領域的詳細觀察出一期專欄內容�����。
一����、業務連續性規劃
《指引》第五十條提到,“商業銀行應根據自身業務的性質�����、規模和復雜程度制定適當的業務連續性規劃�����,以確保在出現無法預見的中斷時����,系統仍能持續運行并提供服務;定期對規劃進行更新和演練���,以保證其有效性���。”
理論上來講��,業務連續性規劃是一個總體性工作�����,是業務連續性工作真正開展落地的一個前提,尤其是中小商業銀行針對該領域完全沒有建設思路的情況下��,適當的規劃是必要的�。實踐中,很多金融機構會選擇專業業務連續性咨詢機構來參與行內的規劃�,不僅要在業務連續性管理組織架構層面進行設計�,還要規劃具體的業務流程和必要的操作規范及標準。
因為監管的推動�����,《指引》以及后續發布的《商業銀行業務連續性監管指引》相關的要求非常明確�,中小銀行一般根據監管指引的具體要求開展業務連續性管理工作,在規劃環節方面普遍投入并不多����。缺乏第三方咨詢機構的參與,會導致中小金融機構不能全面的了解行業內的通用做法和優秀實踐���,也不能充分利用咨詢機構在行業內的經驗來為本行做有針對性的指導�����。
目前行業內眾多的金融機構����,普遍選擇加入國內權威的專業性行業團體或者協會��,分享行業實踐以及參加針對性的培訓�,并參與行業研討�����。
二、業務連續性風險評估和業務影響分析
《指引》第五十一條提到���,“商業銀行應評估因意外事件導致其業務運行中斷的可能性及其影響”。
從業務連續性風險管理體系角度來講�,業務影響分析和風險評估都是體系的基礎環節;業務影響分析可以明確業務恢復重點和業務恢復優先級��;以及基于支撐業務運營的信息系統,明確RTO/RPO等業務恢復技術指標�����;風險分析則能分析可能造成業務中斷的各類場景�����,以及必要的處置機制和需要配置的資源�����。
我們發現大多數中小銀行在業務連續性管理辦法中��,也都明確了業務影響分析和風險評估的管理要求�;但是實際執行過程中,普遍對業務影響分析和風險評估執行得不到位�����、不全面���,也并沒有根據業務或者系統的變更要求來及時對業務影響分析結果進行更新。當發生影響業務運行的中斷事件時���,普遍反映的問題是中斷場景并沒有包含在預案中��,這也是風險評估不全面導致的。此外業務部門在業務影響分析和風險評估環節的參與程度普遍不高�,基本上以信息科技部門圍繞信息系統本身的重要性程度或者同業參考來得出恢復優先級,不能真實充分反映業務部門的意見����。
領先的中小銀行金融機構,一般通過聘請外部咨詢機構�,協助開展業務影響分析以及風險評估活動�,引導業務部門廣泛參與到業務影響分析過程,梳理出適合本行實際的分析評價模型���,并結合專家經驗進行調整�,形成一個符合業務實際需要的業務影響分析和風險評估報告�����;部分銀行業金融機構���,通過信息化手段����,將業務影響分析和風險評估做成信息化工具,內置評價和分析模型��,可以靈活配置相關參數以及評價權重���,提升分析和評估環節的效率�����。
三、業務連續性計劃
《指引》第五十三條提到, “商業銀行應建立維持其運營連續性策略的文檔���,并制定對策略的充分性和有效性進行檢查和溝通的計劃”�。
我們發現部分中小銀行雖然制定了業務連續性計劃文件,但是內容并不符合監管指引以及優秀實踐的要求�����,尤其是缺少對系統間關聯關系的梳理以及系統依賴資源的明確���。
在制定業務連續性計劃方面,領先的中小銀行金融機構根據監管要求明確制定業務連續性計劃相關文件;明確了組織架構�、業務系統恢復優先級、系統關聯關系��、系統恢復策略���、系統依賴資源、應急指揮和危機通訊程序��、預案開發和維護等具體的指標和要求��;組織開展相關員工的業務連續性研討和培訓�,定期對業務連續性計劃開展演練;依據業務連續性相關管理制度以及實際業務變化更新情況��,對業務連續性計劃的適用性進行評估�,并根據環境的變化更新��。
此外����,個別領先的銀行業金融機構,借助申請業務連續性管理認證資質(基于ISO22301標準)來優化自身的業務連續性管理體系��,提升業務連續性管理能力�,投入和優化業務連續性管理資源�����,并能做到對體系每年的持續復核和優化整改��。
四�����、災備資源投入和應急響應管理
《指引》第五十二條提到,“商業銀行應采取系統恢復和雙機熱備處理等措施降低業務中斷的可能性,并通過應急安排和保險等方式降低影響”��。
目前絕大多數中小銀行在災備恢復資源的投入都比較大���,按照監管要求,建立了兩地三中心的基礎數據中心架構����;其中同城建立了應用級災備體系,異地數據中心基本以數據備份為主�����。但大多數中小銀行普遍存在同城應用級災備中心���,不能做到重要應用系統災備能力的全覆蓋,基礎投入方面尚待進一步加強���。
領先的中小銀行建立了雙活或者多活的數據中心容災技術架構��,實現了同城或異地數據中心的應用和數據的實時同步備份��。
在應急管理方面,大多數中小銀行制定了信息系統應急預案等相關文件��,預案涵蓋不同的應急場景�����,確保應急事件發生時能夠得到有效處理�。應急預案一般對應急管理職責進行了明確的規定。在應急保障方面���,一般都明確了應急管理組織通訊聯系人以及需要外部組織支持的緊急聯系人;大多數中小銀行每年不定期組織信息系統應急演練�����,目前我們看到大多數銀行能夠做到真實業務系統的切換演練�,并根據應急演練暴露出來的問題持續更新應急管理體系,但真實的有災備系統進行接管真實業務的演練開展的較少���。
在應急響應管理環節,絕大多數中小銀行的應急預案和應急演練��,都是以信息科技部門參與為主��,很少有業務部門制定自己業務條線或者部門的應急預案以及開展相關場景的應急演練�。信息系統導致的業務中斷只是業務中斷的一個場景���,仍然會有除信息科技之外的原因導致業務運營的正常開展����,例如關鍵人員不可用����、網點不可用以及辦公場所不可能用等意外情況導致的業務中斷。
五�����、業務連續性管理組織機構
《指引》第五十四條提到“商業銀行的業務連續性計劃和年度應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認”��。
我們發現����,對于明確了業務連續性管理歸口到風險管理部的機構�,對于業務連續性計劃以及應急演練結果會進行確認和分析�,不過很少會提交到信息科技管理委員會進行確認。
此外����,在《商業銀行業務連續性監管指引》中明確了更為詳細的業務連續性組織架構�。
目前大多數中小銀行已經結合自身業務發展和監管機構要求�����,建立了機構層面的業務連續性管理架構�����,業務連續性組織包括了日常管理組織和應急管理組織�;成立了業務連續性管理委員會����,一般由風險管理部門作為業務連續性牽頭部門��,制定了相關的管理辦法��。
我們發現��,雖然大多數銀行普遍成立了業務連續性管理委員會����,但是該委員會真實履職或者針對每年業務連續性重大事項發起會議的情形比較少見。此外��,風險管理部門普遍缺乏專業的業務連續性管理專員或者相關崗位人員業務連續性管理技能亟待提高�����。
本文內容來自于盛邦安全對中小金融機構信息科技風險管理現狀的有限了解����,難免管中窺豹�����,其中不準確���、不正確、不恰當之處也請讀者諒解和指正�����,尊貴的銀行業金融機構也請不要對號入座����。盛邦安全將在本年度陸續發布針對中小金融機構信息科技風險管理現狀觀察系列文章,如有興趣����,敬請期待
