同创永益樊宇：商业银行业务连续性管理探索

近日，同创永益咨询专家樊宇与中信银行风险管理部联合创作的文章《商业银行业务连续性管理探索》被《中国金融》期刊收录并出版发布。

12年金融行业业务连续性服务经验。作为主要负责人参与中国银行、农业银行、建设银行、交通银行、国家电网、南方电网等企业 BCM 体系的咨询建设，在业界率先完成灾备定级管理软件的研究和开发工作。

《中国金融》是由中国人民银行主管、中国金融出版社主办的金融财经类刊物。刊物以“权威、专业、理性、前沿”为理念，以“高端权威、高层读者、高效传播”为特色，以宣传金融政策、分析金融运行、报道金融实践为主旨，长期服务于金融改革和发展、服务于金融中心工作、服务于金融从业人员。

以下为文章全文：

商业银行业务连续性管理探索

经济全球化和金融市场开放的加速，加剧了激烈的国内外竞争格局，加之新冠肺炎疫情的影响，国际国内经济和金融环境变得愈加复杂，这不仅给经济发展带来许多不确定性因素，还直接影响了商业银行的经营发展。据统计，新冠肺炎疫情的暴发造成国内近 1600 个银行网点关闭。尽管银行此前大多已开展了业务连续性管理体系建设工作，但中断场景大多偏向 IT 因素，没有重视非 IT因素所造成的业务中断。当新冠肺炎疫情暴发时，银行无法及时作出反应，导致部分业务中断，造成了大量经济损失，给银行声誉也带来负面影响。这反映出目前银行的业务连续性管理体系虽然可以达到监管底线要求，但在体系实用性方面仍需完善。

从长远来看，业务连续性管理的价值不仅是银行应对灾难、提高生存能力的工具，还是银行改善经营管理、承担社会责任的基本准则，更是银行提高风险应对能力，适应需求变化和威胁，保持竞争优势的重要基础。因此，业务连续性管理直接关系到我国银行业的国际竞争力，对整个行业长期可持续发展具有深远的意义。

商业银行业务连续性管理现状

2011 年，《商业银行业务连续性监管指引》明确了商业银行为有效应对重要业务运营中断需建立的业务连续性管理体系相关要求。国内大部分银行已完成了业务连续性管理体系设计和建设，满足了监管的基本要求。其中，国有大型银行和全国股份制银行普遍建立了一整套业务连续性应急响应和恢复机制的方法与流程，具体包括业务影响分析与风险评估、业务连续性策略和计划、应急预案、业务连续性资源建设、业务连续性计划演练与持续改进、运营中断事件应急处置等。部分区域性城市商业银行和农村商业银行的业务连续性管理体系建设工作仍然有待完善。

业务连续性管理存在的不足

一是方法论适用性不足。商业银行在业务连续性管理中的风险评估（RA）和业务影响分析（BIA）工作中，往往只遵循固有的风险评估和业务影响分析方法，未考虑到在不同场景下，各风险点的影响程度差异，机械的业务连续性方法论在复杂多变的外部环境中缺乏适用性。例如，传统业务影响分析的重点是“系统中断”场景，但在新冠肺炎疫情暴发期间，业务影响分析的重点领域集中在自然灾害类场景下的人员和办公场地两个方面，若沿用原有的业务影响分析和风险评估的结果和应急预案，难以有效应对特定场景下银行办公经营受到的影响。

二是业务连续性演练和备用资源建设验证性不足。目前，我国大多数商业银行的业务应急管理机制尚处于初级阶段，应急预案往往停留于纸面，场地、设备、网络等重要备用资源建设尚未落地，缺乏涵盖业务、技术和后勤保障等方面的全行应急演练，在演练中对于业务部门与技术部门协同、应急资源的实用性验证不足。在遇到真实的应急场景时，备用资源不能有效启用，很多应急措施无法执行或达不到预期效果。

三是业务连续性专业队伍力量不足。大部分银行的风险管理部作为二道防线部门，负责牵头全行业务连续性管理工作，但具体工作落地需要业务部门、技术部门和保障部门的大力配合。由于银行内部业务连续性专业管理人员缺乏，业务连续性管理有关培训较少，相关部门对于业务应急的重要性和价值认识不足，主观能动性不能充分发挥，业务连续性牵头部门可调动的资源非常有限，开展相关工作较为困难。

中信银行的探索与实践

在监管指引的框架下，中信银行探索出了一条具有特色的业务连续性管理道路，并在近年复杂特殊的内外部环境下，取得了良好的实践效果。

一是优化业务影响分析的方法论。在传统的业务影响分析方法论中，信息系统的恢复时间目标（RTO）、数据恢复点目标（RPO）指标为重要业务的主要判断依据，但在新冠肺炎疫情场景下，信息系统不是直接受影响的对象，根据此标准分析出的业务清单并不适用。为此，中信银行专门设计了一套业务影响分析的方法论，聚焦在受疫情影响最直接的“人员”因素，设置了“因居家隔离导致部分人员无法现场办公”和“因场地封锁导致办公场所完全不能使用”两种场景，调整分析维度和标准，重点分析“人员缺岗时业务办理手段”和两种场景下的“各类业务运转最低资源需求”“备用场地最低资源需求”，得出更适用于疫情场景的业务影响分析结果。相比传统业务影响分析结果，疫情场景下的重要业务明显增多，梳理新增了十余类应急资源需求，客观反映了疫情背景下的应急工作复杂性，提升了业务影响分析的专业性。

二是开展真实的业务连续性演练。新冠肺炎疫情常态化背景下，商业银行随时可能面临办公大楼无法使用的极端场景，尽早开展真实的业务连续性演练，可以在实际应对突发事件时更加从容，将影响降到最低。为此，中信银行以“抓实操、保真实、重验证”为核心，开展了两轮总行备用场地启用的业务连续性演练，真实操作了从主办公场地切换到备用场地开展业务的场景。第一轮为临时快速搭建备用场地演练，评估从无到有建设备用场地的可行性。通过实操暴露出软硬件环境部署、网络连接调试方面的诸多问题，反映出这些环节是备用办公场地搭建的关键环节。第二轮为备用场地实地办公验证，考查备用场地资源的可用性和应急预案的实用性。业务部门按照与主办公场地完

全一致的标准办理业务，全面验证了备用场地的可用性，并根据演练结果精确评估了备用场地切换所需时间。备用场地搭建完成后，在疫情形势紧张时期保持启用，有效保障重要业务持续运营不中断。

三是做好应急备用资源落地建设。实践检验发现，疫情背景下的业务连续性预案的实用性，主要取决于备用资源是否扎实落地。同时，出于降本增效的考虑，可按照“最小、必须”原则开展备用资源建设。通过共享和复用必要资源的方式，将备用场地部署在科技部门办公地点，既节省网络、文印等办公设备成本，又便于科技人员快速对现场软硬件及业务系统配置提供支持，同时实现了备用场地的餐饮、安保、保洁等后勤“零成本”支出。对于重要业务办理必须的特殊设备，需按照主办公场地的标准进行单独配置，保证两地办公资源的一致性。

业务连续性管理工作展望

一是结合银行业务发展趋势，更新业务连续性监管标准。随着商业银行业务近年来快速发展，内外部经营形势变化加剧，对业务连续性管理的要求也在不断提高。银保监会 2020 年发布的《银行保险机构应对突发事件金融服务管理办法》与2011 年的《商业银行业务连续性监管指引》等监管制度密切相关。为了确保监管制度要求之间的有效衔接，银行更好地向社会提供金融服务，建议监管部门及时更新商业银行的业务连续性管理标准，对于一些特殊的业务中断场景，在风险评估及业务影响分析方面予以指导。

二是加强业务连续性数字化建设，建立有效的风险事中和事前防控机制。随着信息技术在银行业的深度应用，业务连续性管理的数字化、系统化已成为必然趋势。将风险评估、业务影响分析、应急预案更新、应急演练全部通过系统实现，便于管理人员日常操作、提升效率，统筹掌握全行工作进度。同时，通过对接行内相关业务监控系统，在系统故障发生时提示业务人员第一时间参与应急处置，使技术

和业务的协作应急处置更加迅速、便捷，避免突发事件造成的风险进一步扩大。同时，商业银行可以通过新的数字化技术（物联网、大数据、云计算、人工智能等）加强对突发事件的风险监测，提升事前预警效果。例如，采用爬虫技术抓取互联网信息，做到对风险事件早了解、早准备。此外，可以采用网络镜像及报文解析技术，在不影响业务系统正常运行的前提下，对关键风险控制节点预设预警功能，增强对早期风险信号的敏感性。

三是优化灾备中心建设架构，提升灾备恢复能力。灾备建设方面，目前许多商业银行采取建设主生产机房、同城和异地灾备中心的架构。随着互联网云计算技术的成熟，越来越多的商业银行开始选择部署“分布式多活数据中心”的模式。该模式的运维管理基于全局，资源的调度可以跨越多个中心，各中心资源可以快速分配，系统性能、弹性以及易用性大大提升。多中心之间地位均等，正常模式下协同对外提供服务。在发生故障或灾难的情况下，其他中心可以对关键业务或全部业务实现接管，实现用户的“故障无感知”，能够极大提高银行系统的对外服务能力和抗冲击能力。

四是做好业务连续性管理工作“最后一公里”，做实备用资源建设。做好备用资源建设工作，首先是扩大业务应急专业人员队伍。商业银行应对重要业务和重要环节安排 AB 角或多人备岗，相关人员纳入人才库进行专项培养，强化业务连续性管理的意识，提升应急能力。其次，商业银行出于成本因素的考虑，往往不愿意对备用资源建设方面进行相应的投入。但事前的小部分投入，可以避免事后更大规模的补偿。在控制成本的前提下，必要的备用场地、办公设备、网络资源的建设，是做实业务连续性管理工作的有力抓手。

（作者单位：中信银行风险管理部；北京同创永益科技发展有限公司）