摘要:多數金融機構已建立業務連續性管理體系,但仍需加強風險管理、專業培訓和審計實踐。中國計算機用戶協會信息科技審計分會在2021年發布團體標準T/CCUA 012-2021《金融機構業務連續性管理能力模型與評估》,并在2024年1月正式發布了《2023年金融機構業務連續性管理能力建設調研報告》供金融機構業務連續性建設參考借鑒(后文簡稱報告)。報告內容包括基本信息、治理情況、管理情況、評估與審計情況、行業服務需求等5大類44個問題。報告指出,目前金融機構已在治理和管理層面采取了必要措施,并在提升自身能力方面取得進展,但在對業務連續性概念的理解與資源投入上,仍存在進一步提升的空間。
涉及關鍵詞:業務連續性管理、災備應急管理
01. 金融行業業務連續性管理能力調研
2011年,中國銀監會發布《商業銀行業務連續性監管指引》,要求商業銀行建立業務連續性管理體系。經過多年發展,金融機構已建立滿足業務需求的管理能力。2019年,信息科技分會舉辦工作會議,明確業務連續性管理能力建設的重要性。2021年,分會發布團體標準,提出業務連續性管理能力成熟度模型和評估方法。2022年,分會啟動評定服務工作,推動行業高質量發展。2024年發布《2023年金融機構業務連續性管理能力建設調研報告》。
參與調研的對象以金融機構為主,包括政策性銀行、國有銀行、股份制銀行和城商行、農商行等金融機構,占比91.3%,其他金融機構(包括財務公司、證券機構、基金公司、 期貨公司、金融科技企業等)占比 8.70%,另外,有 1 家金融監管單位也參與了本次調研。
02. 業務連續性管理能力結構及建設現狀
1)業務連續性管理能力成熟度模型概述
業務連續性管理是金融機構為應對運營中斷事件而采取的策略,確保關鍵業務持續運作。金融機構通過能力指標來衡量業務連續性管理的特定能力。這些能力分為組織與驅動力、人員能力與文化、日常管理過程、應急管理過程等四個能力域,每個能力域進一步細分為子域和能力項。金融機構的業務連續性管理能力成熟度分為五個等級:起始級、發展級、穩健級、優秀級和卓越級。能力指標的評分分為狀態性和過程性兩種,各有三個評分等級,用于評估和提升業務連續性管理的成熟度。
2)治理能力建設情況
金融機構業務連續性管理正經歷從外部強制驅動向內外部平衡驅動的轉變,其中56.52%的機構業務連續性管理內外部驅動力均衡,而26.09%的機構仍主要受外部因素驅動,內部驅動的機構占比較低,僅為17.39%。在治理結構方面,73.92%的機構明確設立了業務連續性管理委員會,通過該委員會,治理層和高級管理層能夠審議關鍵的業務連續性規劃和策略,確保資源的有效配置。業務連續性的歸口管理部門主要是風險管理部門,占比達69.57%,其次是科技部門和內控部門。這種設置有助于將業務連續性風險納入全面風險管理框架,利用風險管理的專業知識和經驗,實現跨部門的統一協調。在應急管理方面,風險管理部門同樣承擔主要職責,占比47.83%,科技和辦公室部門也參與其中,確保了應急管理與業務連續性管理在多個層面的協同一致性。
在業務連續性管理方面,絕大多數機構(91.3%)已配置專職人員,其中78.26%的中小機構擁有1-3名專職人員。大型機構如股份制或國有銀行則配置5-10名專職人員,占13.04%。但仍有8.7%的機構未配置專職人員。兼職人員配置占比69.57%,且與專職人員配置趨勢一致,數量與機構規模成正比。盡管47.83%的機構人員具有相關資質,但資質種類單一,主要依賴國外證書,國內金融行業相關資質和資源相對匱乏。專業培訓參與度低,僅26.09%的人員接受過專業培訓,培訓渠道和類型有限。73.91%的機構已制定業務連續性戰略或規劃,涵蓋原則、目標、方針、影響分析、恢復目標、策略和行動方案等關鍵要素,顯示業務連續性管理已成為機構戰略的一部分。
3)管理能力建設情況
在業務連續性管理方面,絕大多數機構已經實施了關鍵措施,95.65%的機構完成了業務影響分析(BIA),86.96%進行了風險評估(RA),78.26%制定了業務連續性計劃(BCP)。所有機構都設定了恢復目標(RTO/RPO)并制定了恢復策略,進行了專項預案制定和演練。
盡管56.52%的機構擁有完善的業務連續性管理制度流程,但仍有39.13%的機構流程不夠完善。91.3%的機構依賴內部團隊進行BIA,這可能受到組織文化或內部因素的干擾。建議引入外部專家團隊以提升BIA的客觀性和能力。
73.91%的機構在一年內進行了BIA,所有機構在過去三年至少進行了一次。34.78%的機構每年進行BIA,而43.48%每三年進行一次。43.48%的BIA覆蓋了所有業務,47.83%覆蓋了所有重要業務,8.7%僅覆蓋部分重要業務。
所有機構的BIA報告都能分析業務中斷影響,進行恢復優先級排序,確定恢復策略和關鍵資源識別。91.3%的機構能基于內外環境進行業務流程和資源分析,78.26%能進行風險識別和評估,95.65%能確定RTO/RPO。69.57%和65.22%的機構能確定風險管理策略和管理行動計劃。
60.87%的機構在BIA過程中缺乏工具支撐,39.13%使用業務連續性管理平臺或系統。這表明機構在業務連續性管理工具的使用上還有提升空間。
機構在業務連續性風險評估(RA)方面主要依靠內部力量,占比82.61%。39.13%的機構將RA與業務影響分析(BIA)同步進行。開展頻率上,34.78%的機構每年進行RA,13.04%每兩年一次,8.70%每三年一次。所有機構都對重要系統和網絡資源進行了評估,78.26%評估了辦公場地,73.91%評估了崗位和人員以及數據和單據,69.57%評估了外包服務和外部合作方。風險評估正逐漸擴展至非IT資源。在工具使用上,73.91%的機構未使用任何工具,26.09%使用了工具,包括資產、威脅分析等。
所有機構已完成“兩地三中心”建設,17.39%的機構實現了運營級雙活模式,56.52%的機構重要業務系統可由多個中心承載,13.04%的機構采用應用級主備容災模式。
機構在制定專項預案時,主要采用兩種模式:按業務制定和按場景制定。按業務制定預案占比56.52%,更注重業務特點和需求,但可能存在適用場景模糊和內容重復問題。按場景制定預案注重應對具體危機,但可能忽略業務差異。機構應結合兩種模式,根據風險需求選擇合適模式。
在應急預案管理上,有三種模式:43.48%的機構各部門自行維護電子版與紙質版預案;34.78%的機構自行更新并由特定部門統一管理;21.74%通過系統線上統一管理。
在中斷事件發生時,26.09%的機構能恢復全部業務,86.96%能恢復70%及以上業務,13.04%的機構業務恢復低于60%。91.3%的機構有單獨的應急流程,8.7%的機構需要加強。
業務連續性演練方面,系統災備演練覆蓋率100%,86.96%的演練包括業務部門人員參與的突發事件和人員轉移。部分機構演練局限于科技條線,但多數已提升至整個機構層面。災備演練主要采用真實演練,覆蓋率95.65%,輔以桌面演練和模擬演練。
機構在進行場地不可用和人員轉移的應急場景演練時,采用真實演練、桌面演練和模擬演練三種模式。58.33%的機構實施了真實的人員場地轉移演練,而75%和66.67%的機構分別采用了桌面和模擬演練方式。對于業務中斷的應急演練,75%的機構業務部門采用桌面和模擬演練,65%采用真實演練。
在非典型中斷場景演練中,如重要外包中斷,大多數機構采用模擬和桌面演練,僅有33.33%進行真實演練。在業務連續性綜合演練控制上,39.13%的機構使用微信群和線下會議的傳統溝通方式,而56.52%的機構采用線上平臺,提高了演練的規范性和專業性。
65.22%的機構結合業務測試和桌面演練等方式開展專項預案測試,但34.78%的機構尚未進行此類測試。專業測試對驗證預案有效性、提高應急響應能力至關重要。在業務中斷上報方式上,95.65%的機構通過電話、微信直接反饋,56.52%通過OA系統上報,34.78%建立線上平臺使用呼叫樹技術逐級上報,提高響應速度和處理效率。
4)評估情況
近兩年,大部分機構進行了業務連續性管理審計,其中69.57%由內部完成,26.09%聘請外部機構,4.35%計劃聘請外部。56.52%的機構進行了能力評估,43.48%內部完成,13.04%外部評估。39.13%未進行評估,部分計劃外部評估。43.48%不了解評估服務。56.52%定期自評,17.39%委托第三方,34.78%有評估體系。43.48%用評估結果改進管理。評估主要依據法規(91.3%)、內部制度(73.91%)和相關標準(60.87%),少數依據經驗(17.39%)。
報告顯示,絕大多數機構(95.65%)期望通過業務連續性管理能力評估識別薄弱環節,并有82.61%希望獲得提升方向。52.17%的機構關注自身能力在行業內的相對位置,43.48%希望了解歷年能力提升或下降的軌跡。73.91%的機構面臨業務需求驅動實施策略的問題,超過50%的機構迫切需要強化業務連續性風險管理、運行維護和危機管理。
47.83%擔心團隊在業務中斷時不能積極恢復,39.13%關注持續改進機制缺失,30.43%和26.09%分別擔心投資不足和風險管理意識缺乏。提升業務連續性管理能力的關鍵因素包括業務連續性計劃演練(95.65%)、遵循監管指引和標準、業務風險管理等,多數占比超過70%。在預算投入方面,69.57%的機構每年投入100萬元以內,26.09%投入100~500萬元。
03. 建議與展望
隨著互聯網金融的發展,銀行信息系統需要支撐更加差異化和綜合化的服務,同時滿足國際化的監管要求。新技術的應用為金融機構提供了提高業務連續性的機遇,例如通過云架構實現資源的彈性供應和快速響應業務需求。業務連續性管理將與技術、業務、數據和風險管理更緊密地結合,形成更加綜合的管理框架。從管理層面,運營韌性、SRE可靠性工程可以更多地應用于業務連續性的保障;從工具層面,線下文檔化的預案管理、零星的災備切換自動化任務可以更多地通過平臺化的災備應急管理工具進行統一管理,從事前、事中、事后進行全面的技術支撐。
