业务连续性(BCM)小百科系列(五)
BCM小百科目录
企业与个人认证对BCM体系建设的重要性
10年期间,BCM在哪些方面有了提升
全身而退 or 脱胎换骨
BC已重新定义,DR不曾改变,你的BCM做到位了吗?
三位一体在企业BCM建设过程中的新应用场景
人工智能,大数据,NLP等在未来如何与BCM相结合
数字韧性、云原生对BCM的影响
在未来,如何帮助企业在BCM领域获得先机
企业与个人认证对BCM体系建设的重要性
10年期间,BCM在哪些方面有了提升(上)
一、 前言(业务连续性咨询方法发展的情况简介)
随着经济全球化进程的深入发展,银行业金融机构之间、银行与客户之间的关系变得越来越紧密,为有效应对突发事件和危机,通过建立业务连续性管理体系来保持金融服务的稳定性也逐渐成为银行内部的共识。
业务连续性管理早期可以追溯到20世纪70年代的容灾恢复计划。为应对自然灾害或其他物理损坏等引起的突发故障和危机,银行和保险机构会选择在远离主中心的另外一个地方通过磁带的方式备份相关数据,以保障遭受危机的业务得到恢复。
进入20世纪80年代,随着计算机技术的日趋发展、成熟,依靠传统的备份来恢复业务的方式逐渐不能适应一些关键领域的发展要求,而具有应对风险、自动调整和快速反应能力,并使企业能够连续运转的业务连续性计划逐步登上历史的舞台,但这一时期仍是以系统灾难恢复为主,对全面的连续性管理认识仍然不足。
90年代后,随着IT技术在越来越多领域的广泛应用,业务连续性管理逐渐得到重视,特别是“911”事件中,纽约银行因线路中断、IT系统无法迅速重建导致一些分支机构被迫关闭,而德意志银行通过前期持续开展的业务连续性管理,在短时间内恢复了业务,赢得了业内口碑和客户的信任,两者的鲜明对比使越来越多的银行业金融机构开始认识到,只有通过科学、规范的管理,保证业务的连续性运行,才能保障企业的稳健发展。
二、2011年与2021年的业务连续性咨询差异对比
1.现状评估
现状评估也称为差距分析,共有两个要点:企业现状和标准对照。以银行业为例,近两年的银行业业务连续性现状比10年前显得成熟,大部分银行均已开展过业务影响分析、风险评估和演练工作,但十年前的银行更像一张白纸。在标准对照方面,10年前仅有《商业银行业务连续性监管指引》(104号文)供参照,且标准新发布,理解也较为片面。近两年,银行业业务连续性的监管要求,如《关于开展中小银行机构业务连续性相关风险整治工作的通知》(银保监办发〔2019〕221号),对银行业业务连续性管理工作提出了更为清晰的指引。
因此,在该阶段,10年前更像是引入监管要求,以监管要求为目标去搭建。而现在的业务连续性咨询,更偏向于基于银行业业务连续性管理体系的运转情况进行查漏补缺,并选定一个重点方向进行优化改进。
2.业务影响分析
业务影响分析的定义从未发生改变,分析每一个业务中断对企业带来的影响,从而选出企业的核心业务,加强资源投入,保障业务持续运营。10年来,随着信息化技术的普及,业务对IT的依赖程度越来越高,客户对业务的敏感程度加深,倒逼企业业务的持续稳定。
在业务连续性咨询过程中,10年的业务影响分析,业务较为单一,系统关联性不高,分析较为简便。但现如今的业务影响分析,业务模型繁多,系统关联错综复杂,跨中心的资源部署均给业务影响分析带来难度,因此要求业务连续性咨询顾问需对企业业务流程较为熟悉,包括系统灾备技术。
3.风险评估
风险评估是一件持续积累的工作,10年来,风险评估的方法论未发生较大变化,随着信息化的普及,信息传输速度加快,一旦大型企业核心业务中断,将形成较大的舆论。各式各样的风险在不断发生,这就需要业务连续性咨询顾问将这些风险记录,在咨询过程中,与企业对照,从而梳理出企业的风险,加以防范。
4.业务连续性策略
业务连续性策略的作用是指导企业进行业务连续性建设,保障业务持续开展。10年前更偏向于寻找业务替代手段,手工补录等方式;但现如今,业务量的增大导致替代手段的可能性下降,因此更偏向于保障系统的稳定性,两地三中心,双活、多活等模式应运而生。
三、传统业务连续性咨询的弊端与解决方案
纯咨询项目,在项目结束的那一刻很成功,贴合企业现状,但经过一年、两年,可能那些体系文件还是项目结束时那样;或者当时的项目经理调岗或离职后,整个体系的管理就不再运转,即使新的体系负责人接手后,也很难学习并管理;而业务连续性管理平台是个实打实的项目成果,配有相应的操作手册与录屏教学,易上手的同时也能减少业务连续性管理人员的日常工作量。