导读
美国“9·11”事件中,两家公司因应急预案得当而广受赞誉:一家是华尔街五大投资银行之一摩根士坦利,其通过迅速切换备份系统,启用异地服务团队,次日就恢复了全球业务,避免了数十亿美元损失;另一家是老牌银行德意志银行,其短时间内在距离纽约30公里的地方恢复了业务运行。
正文
新冠肺炎疫情是2020年的一只巨大黑天鹅,目前仍在持续发展,其发展过程给经营风险的金融从业者以深刻警示:由于缺乏事前的风险预案,无论是企业,还是家庭,都蒙受了较大的损失。
心存敬畏,疫情时期,全行业需要一次认真的集体反思,对风险和抗压能力有一个再认识。华为在中美贸易摩擦背景下成了“天天上新闻、时时占热搜”的舆论焦点。重压之下,华为并没有示弱,十几年的“芯片备胎”和5G等核心技术方面的领先技术能力,2005年就开始建立的一整套严密有效的业务连续性管理体系,可以确保华为绝大部分产品在极端情况下继续服务客户。华为的风险管理,从一开始就不是寄希望于“天下太平”,而是建立在风险的无时和无处不在基础上,培育了很强的系统能力。因此,当他们面对这次疫情时,临危不乱,应而不急。
从企业管理的角度而言,全面的业务持续性管理才是华为的底气。疫情过后,痛定思痛,他山之石,可以攻玉。业务连续性管理的价值并非仅仅是企业应对灾难、提高生存能力的工具,在许多发达国家金融行业,业务连续性管理已成为改善经营管理、承担社会责任的基本准则,提高风险预测和快速应对能力,适应需求变化和威胁,保持竞争优势的重要基础,对整个行业长期、可持续健康发展具有深远意义。
做好应变紧急事故的准备
业务持续性管理不是某一件具体的事,而是一套长期的、完善的、涉及企业方方面面的一整套管理措施。金融机构为实施业务连续性管理,建立和健全自身业务连续性管理体系和规范应急预案体系,提高各级部门处置重要业务运营中断事件的能力,保障利益相关者及客户的利益,维护声誉和稳定,根据《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》,结合业务连续性管理实施及总体应急预案的要求,制定业务连续性计划(Business Continuity Plan,BCP)。
业务连续性计划旨在完善风险管理体系,保障重要业务连续运行,规范、提高应对和处理运营中断事件的能力,保证重要业务在运营中断事件发生后能够及时恢复,预防或最大限程度减少运营中断事件带来的负面影响和损失。
金融机构应做好应变紧急事故的准备,拟定业务连续计划,预备有效的应急恢复程序,以降低紧急事故对机构中断的负面影响,让受损机构在可接受的时间内恢复运营能力。
业务连续性指业务在发生各类中断的情况下,能够应对风险、自动调整、快速反应,保证业务与系统的持续运行。
业务连续性管理是指金融机构为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。其范围主要涵盖重要业务功能,以及与业务功能相关的人力资源、信息系统、基础设施和利益相关方等。其目的是通过识别主要风险敞口,分析重要业务流程,评估业务中断的影响,识别影响各重要业务运行的关键因素,建立健全包括预防、预警、响应、决策、处置、持续改进等完整的业务连续性管理机制,有效降低灾难事件或突发事件对银行资金及声誉造成的损失,提高风险防范能力和风险抵御能力。
BCP是灾难事故的预防和反应机制,是应急与恢复体系的统领性计划,确保企业在面临突发的灾难事故时,重要业务功能可持续运作、有效发挥作用,以保证业务正常持续运营。BCP包含业务连续性组织架构、重要业务及关联关系、业务恢复优先次序、面对的重大风险敞口和残余风险、运营中断事件检测预警机制与应急响应机制、应急预案体系等内容。
风险控制及监测预警
业务连续性,是关乎企业生死存亡的大事。2020年4月,美国联邦存款保险公司(FDIC)向金融机构发出信函,要求总资产低于10亿美元、受FDIC监督的金融机构采取额外措施,来管理自己的业务连续性。
风险控制机制
金融机构需要针对重点关注业务运营中断风险建立风险控制机制,制定风险缓释策略,降低重点关注风险发生的概率或减小重点关注风险事件发生时造成的损失和影响。风险控制措施由各机构根据自身情况参考。
监测预警机制
金融机构需要建立业务运营监测机制,提早发现潜在风险,同时建立预警信息评级与响应机制,快速响应潜在的运营中断事件。
针对识别出的重点关注风险明确预警部门,预警部门负责收集和汇总各机构部门或外部单位组织汇报或发布的预警信息。需预警的重要风险及预警负责部门可列示如表1所示。
重要风险的预警监测手段可如表2所示。
预警报告与预警信息发布
预警报告包括预警事件类别、预警级别、起始时间、可能影响范围、警示事项、建议采取的措施和预警发布机构等。
预警信息应充分利用通信、信息网络、警报装置或组织人员逐单位逐人通知等方式,快速、准确地向相关业务部门、各分支机构或全辖发布。对于已预警的运营中断事件,预警部门需对其开展分析和评估,并根据评估结果上报决定是否立即启动应急处置组织架构和应急预案。
应急预案:预先做出的计划及安排
应急预案指为应对运营中断事件对业务等产生的影响,就运营中断事件发生后的应急机构、人员、设备、条件、行动步骤、控制事件发展的方法和程序等预先做出的计划及安排。由于金融机构业务模式复杂,业务连续性建设通常难度较大,并且建设周期长,需要事先对业务模式及风险进行分析,再根据实际业务制定预案,对预案进行论证。
纽约世贸中心是多家知名金融机构的数据中心所在地,2001年美国“9·11”事件导致多家公司受到毁灭性打击甚至破产,但有两家公司却因为应急预案得当赢得了信誉:一家是华尔街五大投资银行之一摩根士坦利,通过迅速切换备份系统,启用异地服务团队,次日就恢复了全球业务,避免了数十亿美元的更大损失;另一家是老牌银行德意志银行,其短时间内在距离纽约30公里的地方恢复了业务运行,得到了客户和行业的好评。
应急预案体系
应急预案主要包括三个层次:总体应急预案、专项应急预案以及分支机构应急预案。
总体应急预案是应对运营中断事件的总体预案,包括应急处置的指挥体系、操作指南、各层级预案的定位和衔接关系以及与运营中断事件相关的主要原则、标准和处置程序等。
专项应急预案是指需要多部门和单位的协同参与,针对具体风险场景或具体业务场景而制定的应急措施和流程,分为风险场景专项应急预案、业务连续性专项应急预案、IT专项应急预案及其他专项应急预案,具体内容包括应急组织架构、内外部沟通与信息传递的路径与方式、运营中断事件的处置措施、程序与机制等。
分支机构应急预案根据自身应急处置机制建设的需要,参照总体应急预案与专项应急预案的层级结构制定,需与上级单位应急预案相衔接。分支机构应急预案按照上级单位要求,自行制定并确定发文形式,报上一级单位相关部门备案。
应急预案维护
应急预案的维护包括准确性检查、全面性检查及优化。准确性检查指检查各应急预案是否能准确地体现应急恢复的要求。全面性检查指检查应急预案体系能否覆盖相应的风险敞口,优化是通过上述检查不断优化应急预案的内容。
业务连续性管理主管部门负责每年对应急预案进行检查;专项应急预案由归属部门负责每年进行检查;分支机构应急预案由对应的分支机构负责每年进行检查。
业务连续性计划后续工作
随着经济、金融全球化和信息技术发展加速,金融机构间的关联度提升,单家机构的故障可能使关联金融机构遭受损失,并且风险扩散的速度快、范围大,推动和加强业务连续性体系建设,对各种事故和灾难的有效应对,维护正常的经济金融运行秩序非常迫切。
业务持续性管理是风险管理的重要一环,也是企业生存的兜底红线。业务持续性管理需要机构高层推动,一个好的管理框架能够让企业有足够的能力来应对不同的事件。金融机构应从业务角度出发,以业务持续为目标,形成应对突发事件、灾害灾难的各部门协同管理体系,加强顶层设计。
业务连续性计划维护方式包括准确性检查、全面性检查及优化。准确性检查指需要维护业务影响分析结果,并检查业务连续性计划是否能准确地体现业务中断后的恢复需求及策略,能否保证按预定目标实现恢复。全面性检查指检查业务连续性计划是否能覆盖本行所有重要业务。优化是通过上述检查不断优化业务连续性计划内容,提高业务连续性计划的实用性和可靠性。
结语
旱则资舟,水则资车。面向未来,金融机构应当积极推动业务连续性管理,防患于未然,凡事预则立,不预则废。业务连续性管理在国内已受到越来越多的重视,被纳入金融机构的日常管理工作范围。随着业务连续性管理理念的逐步推广和认可,会有越来越多的行业引入业务连续性管理理念和知识体系,建立符合公司业务发展需要的业务连续性管理体系,提升整个经济的风险防范水平。
上一篇:LIBOR形成机制改革的影响与启示
下一篇:商业银行:疫情下的交易场景与吸存策略
