前言
2019年11月25日,中国银保监会办公厅下发了《关于开展中小银行机构业务连续性相关风险整治工作的通知》(银保监办发〔2019〕221号)以下简称“221号文”。除了每年信息科技非现场、现场监管和信息科技监管评级之外,追溯到银监会关于业务连续性管理专项发文的是2011年12月28日,也是国内第一个行业业务连续性管理标准,业界都叫104号文。
221号文的下发,使得很多银行业机构开始进入业务连续性管理战战兢兢时期。从将近10多年银行机构业务连续性管理推进来说,貌似大家都在有序推进,其实不然,因为银行业机构属地管理以来,各地银保监局监管水平差异非常大,具体落实差异性也非常大。最重要的是,从来没有提过对属地管理问责这一说法。而221号文则直指对属地银保监局因落实业务连续性管理责任不到而追责:“银保监会将加强对各银保监局的监管考核,对因风险整治重视不足、组织不力、推进落实不到位、容灾能力建设考察不实等原因造成辖内机构发生特别重大业务中断运营事件的银保监局启动问责机制”。如果只是属地管理追责这一事,还不至于让银行业机构战战兢兢,问题是这么多年的业务连续性管理监管基本都是从非现场监管、现场监管和信息科技监管评级来执行,大多数银行机构都存在监管报送“两张皮”,甚至是“三张皮”的事情,信息科技风险管理部门、风险管理部门、审计部门各自为主,没有统一协调,之前挨监管板子的也不是少数。
回归到221号文来看,221号的基础出发点还是一样,因信息系统中断造成银行机构重要业务中断,也就是说我们10多年银行业业务连续性管理推进的本质没有变化。但从104号文发文之后众多银行业机构、咨询服务机构的整体推动下,我们正努力按照监管要求将银行业的业务连续性管理从以科技部门的DR时代转变为以业务部门的BC时代,但真正的业务应急是否能给银行业业务连续性管理带来实质性变化?脱离了信息系统的业务应急是否还有意义?任何管理体系具备适宜性和可用性才是有效的,业务连续性的管理问题总归是要归到几个关键点上。
业务的老生常谈
对银行有价值的产品、服务或者其中的活动,我们都可以叫做业务,但这样的业务定义明细轻率了一些。资产、负债和中间业务到是耳熟能详,但也解决不了银行机构在业务连续性管理中为何要定义业务的目的。定义业务目的就是优选,优选出重要业务,因为没有明确的业务分类,就无法识别面向客户、涉及账务处理和时效性要求高的业务,所以业务分类是做好业务连续性管理的第一步,这算是管理目标精确化。
传统的业务分类主要是依据三级会计科目表按照6类以上科目编码去摘业务,但从业务连续性管理的归属出发,还需要兼顾操作风险,毕竟,业务连续性管理在银行还是归在操作风险管理下面,主要的管理形式也是操作风险七中表现形式中的三种,所以可以适当的利用操作风险标准评级的业务条线,抓住业务分类的几个关键点,诸如会计子科目、业务活动性质和会计子科目业务收入分配方案等,就会找到合理的分类方式。
业务的RTO和RPO
业务影响分析最重要的是解决了银行机构识别重要业务的问题,识别重要业务关联性问题。这与ISO22301中业务影响分析目标输出产品、服务和活动的优先级是相一致的。但从监管的角度来说,很多时候往往会审查业务RTO和RPO,连带着很多独立审计机构也开始这么审计,只要在BIA报告中看不到确定的业务RTO和RPO,立刻就会作为重要的审计发现,就连审计依据都引用了104号问的第二十五条后半段原文:“确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO)”。但从二十五条前半段来看,要解决业务RTO和RPO的问题,首先要解决业务中断和恢复成本的问题,也就是找二者之间的平衡问题。在假定场景下我们可以预估业务中断的损失,但要确定或尽可能确定恢复成本就是一个大的系统工程了,首先得确定恢复策略及恢复的方式,而这些是不体现在业务影响分析过程中的,所以在业务影响分析阶段所识别或计算的业务RTO和RPO是需求问题,很多业务需求都是0,其实是没有问题的,因为人心都是向好的,特别是热爱银行业务的人员。
在明确的业务分类下设计可用的财务和非财务计算模型;
分析业务与业务、业务与系统、系统与系统之间的关联性是必要的;
重要业务资源识别是必要的,但仅限于重要资源,类似于营业厅机具、验签等在每个营业场所都是有常备的不要花太多精力去识别;
业务的RTO和RPO可以设定最大容忍指标进行计算,比如财务、非财务、交易量等,但前提是能明确容忍度,这一容忍度可以包含定性的恢复成本;
在分析计算信息系统RTO和RPO的时候,至少应该考虑业务应急响应时间,业务验证时间;
有很多银行机构信息系统本身不承担交易业务,但需要通过信息系统关联性来确定其重要性,如门户网站、客服中心等。
风险评估
风险评估实施的关键点在于资源覆盖面要全,要覆盖所有支持业务运营的关键资源,包含关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商。从221号文发文的前提是为了巩固网络安全专项治理成效……我们国家已经进入了网络安全管理时代,而银行业作为国家关键基础设施的一部分,会开展各种类型的风险评估活动,要区分银行业各类风险评估活动与业务连续性风险评估活动的差异,针对关键资源在风险评估过程中关注引起中断的风险,弱化保密性和完整性,在可用性中强调连续性。综合考虑物理环境、信息系统架构、开发、运维流程、灾备、人员管理、机具设备、业务单据、外部服务商等能引起重要业务中断的关键资源,充分识别自然灾害、人为误操作、网络安全、数据丢失等威胁,在考虑控制措施的情况下找准威胁和脆弱性的对应关系。通常在银行业风险评估过程中不会评估出高的风险,这是一个非常正常的现象,如果银行业机构都处在高风险运营中,反而是不正常的。残余风险需要通过持续的风险评估活动来确定,既风险评估处置计划执行之后的评估结果是残余风险,这按照104号文的要求,需要写入业务连续性计划中,切记,写入即可。
策略和资源建设
恢复策略的前提是做好需求分析,也就是说策略是为满足恢复需求而制定的,至于满足到什么程度、需要考虑成本、技术可行性和管理可行性。在确定的策略下才能去实施资源建设,因为关键资源不仅仅是识别,更重要的是建设。比如我们的应急指挥中心、应急业务场地、同城和异地灾备中心、人员和预案等。这种建设是一个长期过程,需要不断地去论证满足,绝非一蹴而就。按照221号文的要求,2021年底,所有重要信息系统灾备具备真实接管生产能力。这里着重强调要具备的是能力,不同灾难恢复级别资源需求不一样,但最重要的资源还是人力资源能力,很多银行机构基础设施做的非常漂亮,两地三中心、双活、多活等一堆概念,但运维能力奇差无比,面对突发事件的时候同样束手无策。能力的提升只能通过不断的演练,各种层级的演练,最终在面临真实接管生产的时候,我们是否能实现依靠自己的力量能完成的重要信息系统切换能达到60%,或者需要将外部服务商来参与的真实切换演练的重要信息系统数量能控制到40%。这两个指标大家比较熟悉,这是TQ表里需要报送的,也就是重要信息系统真实切换演练覆盖率。人员保障是重要的一个环节,既要保证数量也要保证质量,最终才能实现专业技术支持能力保障,这是信息系统灾备建设七要素最重要的环节,但也是银行机构成熟度最低的环节。
预案
预案其实也是资源建设中重要的环节,也是信息系统6级灾难恢复中每个级别中都要求的,可见其重要性。预案建设的关键思路是要做到资源和流程在活动中的协调一致,要建立清晰的预案结构,总体预案、专项预案、操作手册等都是构成预案有效架构的一部分。总体预案明确大资源,社会力量资源,专项预案明确专项资源,所有的预案必须建立在清晰的资源识别基础上,而且要在流程中有清晰的资源使用或调用过程。专项预案建设应以重要信息系统预案为主,重要专项业务预案为辅,保障类预案协调支持的思路来建设。预案的完善是一个持续的过程,首先完善的是流程的固化,不断增加的是预案应对的场景。
演练
演练是最好的培训方式也是能快速提升业务连续性管理能力的一种有效方法。演练的核心目的是为了提升应急响应和灾难恢复的能力。前期演练一定要基于预案来执行,推进桌面演练、模拟演练和真实切换演练要逐一过度。当演练变为常态化的时候,可以不按照预案来执行,通过抽签、盲选等方式确定场景直接进入应急响应环节。按照221号文要求,2021年底所有重要信息系统必须经过一次真实接管业务能力的切换演练,而且要保证切换后要稳定运行一段时间,这个时间从监管原则上来看不低于24小时。从目前各银行机构灾备能力建设情况来看,灾备基础设施建设能力基本满足,但最大的问题是灾备中心同步规划运维能力不足,需要同步规划,同步建设。
演练要做好演练规划,三年内的演练规划需要覆盖重要业务和重要信息系统,包括资源重要保障支持;
以信息系统演练为主,业务演练为辅;
业务连续性主管部门要统筹协调好年度演练计划并要得到有效审批;
尽可能不要单独演练信息系统或业务,可以采用单独的测试来验证单一业务或系统;
前期演练一定要以预案为模板;
演练完成后需要更新预案。
组织与治理
从管理行为学来看,如果管理学能进入到治理层面,那说明已经远离了管理初期。业务连续性的治理其实结构非常清晰,可以理解为从银行机构董事会和高级管理层发起的管理行为,有清晰的目标,有执行管理的合理组织机构,甚至是能实现业务连续性的自我管理。从目前银行机构真实管理层面,离业务连续性治理层面还差的很远,从远期银行机构管理目标来说,业务连续性上升到治理层面也不符合实际情况。业务连续性管理是辅助管理。银行最重要的是业务经营,所以注定不会让业务部门深入参与业务连续性管理。我们可以建立或完善业务连续性管理组织、提高领导层业务连续性管理意识,在突发事件发生的时候领导层有能力在获取到足够信息时做出有效决策。其余的事,交给业务连续性主管部门来做。
关注业务连续性领导层履职情况,做好履职记录;
业务连续性资源需求要得到审批的前提是要做合理性说明;
请会讲故事的人多给领导层讲故事,监管的故事,同业的故事(好的和不好的),一年至少要讲2次;
一些业务连续性重要资源建设领导层履职要有清晰的记录,特别是221号文提到的决策不当问题。
三道防线
在银行机构中,三道防线其实不仅仅是业务连续性管理问题,从最早的内控管理延伸到信息科技风险管理,目的是为了区分管理职责和边界。只有明确了职责和边界,才是有效地管理。221号文也第一次专门提出了二三道风险要充分揭示风险。
业务连续性管理规则制定者、规制执行者和规则监督者构成了业务连续性管理的三道防线。规则制定者依据监管、行业最佳实践和行内自身环境来制定一系列业务连续性管理制度,由业务、科技和保障条线共同来执行。审计从独立的管理视角来看待一道、二道防线在行内的管理成效,从专业性的角度来提出管理改进。
要从管理职责上厘清业务连续性主管部门、主要执行部门和保障部门的管理边界;按职履职,不要将主要管理职责放在业务或科技,特别是不要让业务部门过多地参与业务连续性管理过程;
二道防线风险管理部门制定业务连续性管理规则时要充分征求业务、科技和保障部门的意见,以满足管理的适宜性;
二道防线在已经发布的管理规则下制定必要的监测和考核方式,以确定管理的绩效;
审计部门要保证必要的独立性,是建立具备实施专业性业务连续性审计能力的前提;
在对应监管报送时,三道防线应尽可能融合。
风险管理部门或综合管理部门要注重业务连续性管理能力的逐步培养和提升,具备业务连续性管理执行能力,完善和制定业务连续性管理制度、持续开展业务连续性管理活动,不断提高管理层业务连续性管理意识;业务部门、科技部门和保障部门在关键履职点和履职段要确保业务连续性管理正确、有效履职。事前做到预防为主,具备明确的业务应急手段和使用条件,具备本地抢修、灾备切换、系统重建和回退的能力,具备有效的声誉或危机沟通能力;在突发事件发生时能各司其职、通力协作、快速响应,有效降低中断影响,确保服务水平保持在可接受水平,事后具备持续长效完善的总结更新能力。
深圳壹师城科技有限公司
深圳:深圳市南山区粤海街道白石路芒果网大厦909
北京:北京市石景山区金府路银行保险产业园3号楼601室
邮箱: esc@1sc-china.com
咨询: 0755-86722739
邮编: 518000