业务连续性(BCM)小百科系列(一)
BCM谈古论今
1.多行业中的BCM到底是什么?
就金融机构而言,业务连续性指的是业务连续不间断的持续运营。业务连续性管理指的则是组织为保护员工、客户的利益以及产品服务不会中断而进行韧性、连续性、危机响应等相关举措的管理流程。如何确保金融体系在重大突发事件下仍然能保持韧性是金融行业参与者和金融监管机构的首要任务。业务连续性管理的价值不仅仅是组织从容应对灾难和提高生存能力的工具,更是改善经营管理、承担社会责任的基本准则,是各个行业提高风险预测和快速应对能力,适应需求变化和威胁,保持市场竞争优势的重要基础。
全球经济模式下,金融机构提供的服务可以促进经济的稳定运行,因此金融体系对支撑经济活动方面起着很大的作用。当发生突发事件时,导致金融体系的结算和清算业务中断时,会使重要参与者无法完成资金转移,从而产生重大的负面影响。不仅如此,随着经济的发展和逐步全球化,境内外金融机构的相互关联性也在不断增强。因此,单一机构的业务中断可能会对与其相关联的其他机构造成影响,严重时,甚至会影响整个金融市场。
除此之外,随着各类非传统安全因素风险的上升和突发事件频率的提升,带给金融机构的挑战也随之增多,如果金融体系经常发生故障或长时间的中断,就会大大降低金融消费者的信心。这可能会导致境内外的金融市场参与者从该金融体系中撤资,从而造成巨大的负面影响。 并且,随着金融体系对于电子设备,自动化,信息系统的依赖程度越来越高,业务部门对信息系统的持续运行也提出了更高的要求。业务连续性管理的核心也从针对物理灾害造成的业务中断过渡到了以信息技术为基础,保障企业业务持续运行,跨越了风险管理、灾难恢复、紧急时间管理、安全管理、知识管理、危机通信和公共关系等多个学科。
尽管重大疫情一直是金融业务连续性管理中的重要场景,但却一直是短板。无论是2003年的SARS,2004年的禽流感,还是2020年的新冠肺炎,都一再提醒金融机构在关注IT应急的同时,还要关注重大疫情,公共安全等因素造成的业务中断。并且,随着社会的发展,面临的公共安全形势呈现出多灾频发,并发和灾害衍生等特点。因此,无论是从IT应急层面还是从公共安全层面,保障业务连续已经成为了金融行业开展业务的基本要求。做好日常安全生产和有针对性提升应急准备能力建设等方面,指导作用和现实意义更加明显。除此之外,随着业务的不断发展,越来越复杂的应用关系、混合化的IT基础架构、突破边界的应用部署和运维,无一不对这一基本要求提出挑战。因此,这就要求金融企业需要从根本上审视业务连续性的能力,并从体系到技术实现以及运维能力等方面进行全面的建设来完善金融业务连续性管理。
不仅如此,在当今云计算、大数据、物联网、移动互联网以及人工智能等新技术飞速发展的时代,业务连续性管理将为应对由此带来的新型风险、危机等方面发挥重要的作用。通过将业务连续性管理与应急管理相结合,中国正在逐步建立有适合自己国情的业务连续性管理体系。并且,业务连续性管理也将对大数据,物联网,人工智能等新兴产业可能带来的风险进行预判,为这些新型风险的防范提供参考,从而使企业可以更好的应对业务中断的情况。
2.商业银行业务连续性管理现状
近年来,商业银行的发展随着社会经济的发展在不断的壮大。我国商业银行客户数量、交易量和交易金额都增长迅猛,并且业务范围也逐渐在向世界拓展。关联性变得紧密就使得一旦发生突发事件造成了业务中断,不仅会影响到商业银行的正常经营,甚至会使金融市场秩序紊乱,从而影响社会稳定。
目前,商业银行构建了应急管理体系并确立了应急管理组织架构。通过加强各部门之间的协调合作,从而使得当业务发生中断时,可以形成统一的应急响应流程和通知报告机制,增强组织对突发事件的应急处置能力。不仅如此,商业银行还积极开展应急演练、灾难恢复演练等,加强内部部门之间以及与外部机构之间的联防协作,从而提升应对信息系统突发事件的能力。除此之外各大商业银行也在积极推进关于灾备系统方面“两地三中心“的建设,保障核心业务数据安全的同时,还划分了信息系统灾备等级,明确了不同等级系统的灾备要求,从而使商业银行可以有效应对各类突发事件造成的业务中断,确保核心业务快速恢复。
但尽管各有关部门都建立了相应的应急预案和组织机构,部门之间的各自为政,使在应对突发事件时,协调方面存在很大的问题,由于各部门无法通力合作,导致应急响应的效率低下,无法快速恢复正常运营状态,对组织造成极大的负面影响。
3.不足与挑战
尽管大多数的组织都具备了业务连续性管理体系,但仍然存在着一些不足。并且随着信息科技的不断发展,企业面临的挑战也越来越严峻。
对风险管理的认知不足
部分商业银行中的高层管理人员缺乏对风险管理重要性的认知,认为在风险管理建设方面投入不会得到回报,因此使组织没有形成有效的风险管理体系。
预案体系不够完善,应急机制缺乏
金融机构的业务处理基本都依赖IT技术,一些重要的业务系统基本都建立了业务应急与技术应急预案。但发生重大突发事件时,更多的依赖技术应急,对于两者如何衔接,如何进行应急业务处理都缺乏更有效的应急措施。因此,一旦发生的中断事件靠技术难以及时恢复时,就会使业务处于瘫痪状态,影响正常运营。
跨机构、跨系统的联动性应急演练机制缺乏
随着金融机构业务复杂性的增加,系统间的互联互通变得更为紧密了。并且有些业务还会涉及其他外部基础设施。但目前的应急演练大多仅侧重单一系统,单一机构的应急演练,缺乏跨机构、跨系统的联动性应急演练。
监测预警体系建设不完善
目前,组织对于重大突发事件的监测预警机制还尚不完善。金融机构将更多的资源投入到了业务产品的系统开发,而忽略了系统稳定运营监测方面的建设。因此导致监测预警能力低,使得当突发事件发生时,组织无法快速做出相应的反应,使业务恢复正常。
信息共享的不足
尽管监管机构建立了金融机构重大突发事件报告机制,但金融机构间缺乏信息共享的平台和机制化的沟通渠道。使得信息闭塞,相关机构难以及时排查隐患或组织应对,大大地降低了业务恢复的效率。
未完待续~