从风险管理看业务连续性管理

在全球经济一体化的大背景下,从2008年全球金融危机开始,一直到2011年笼罩欧洲大陆的债务危机,乃至引发对全球经济衰退的担忧,我们不难发现有关金融行业的风险和危机管理逐渐成为我国监管部门及金融企业共同关注的焦点领域。国内银行在“做大了地盘、做强了规模”之后,更加关注的是如何通过建立全面的风险管理体系,确保银行各项内外部的经营活动能够做到“安全平稳、持续稳定”,更好的支撑可持续发展,保证国家金融秩序稳定,当好“国民经济的中流砥柱”。

风险管理

所谓风险管理,是一个识别风险并逐步采取相应措施和工具使风险水平逐步降低直至最终消除的过程。按照风险性质划分,通常将银行的风险分为信用风险、市场风险、流动性风险、法律风险和操作风险五大主要领域。我国以工农中建四大商业银行为代表的银行机构,大多都围绕上述风险领域建立了全面风险管理的框架,并根据自身的风险偏好在其中某几个领域内逐步开展和实施了相关的具体工作。近年来国内银行在风险管理领域取得了长足的进步,先后有多家银行成为国内第一批通过“巴塞尔新资本协议的”审核的银行机构。

从上世纪90年代末期开始,一个关于“如何在突发事件发生时保证资源快速恢复以及重要业务连续不中断的话题”悄然兴起,而发生在2001年的“9.11”事件更是在全球范围内掀起了一场关于灾难备份与恢复、业务连续性管理的热潮。从近几年银行因信息系统故障导致业务中断的案例中不难看出,一旦银行的业务发生中断,其带给银行的风险和损失影响不仅包含经济损失,更多的是对银行品牌和公信力的影响,并因此而引发银行需要为此承担相应的法律责任和赔偿责任。这些损失和影响还具备持续性和扩散性,对银行的综合竞争力产生深远的影响。

业务连续性管理体系

经过近十年的不断研究与实践,在全球相关的政府、研究机构、行业协会、企业组织等共同努力下,已经将相关的理念、知识和工具方法形成了一套完整的体系,并形成了完备的方法论和实践,这就是业务连续性管理(Business Continuity Management,简称BCM)。它是以对于各类潜在的风险以及影响进行识别,并预先建立一套完整的管理制度、流程和计划,确保在风险发生时能够保证组织的经营持续,减少或避免风险所带来的冲击和影响。在巴塞尔新资本协议中的《业务连续性管理高级原则》以及中国银监会《商业银行操作风险管理指引》中,将BCM定位于银行业的操作风险领域。通过实践总结,我们认识到BCM不仅和银行的操作风险紧密相连,同时还涉及到银行的市场风险、信用风险和法律风险。

我国银行业监管机构越来越重视业务连续性与灾难恢复建设,以四大行为代表的商业银行从2000年开始陆续开展相关建设工作,并逐步将以风险管理为核心的业务连续性管理体系逐步纳入到银行全面风险管理体系当中,使之成为有机的整体,以更好的保障银行持续稳定的运营。

建行的体系建设

对于大型银行来说,业务的中断是致命的,在银行的声誉、竞争力、财务等方面均会造成重大的损失,日后可能需要花费若干倍的代价去挽回。能否在突发事件之后从容应对、控制影响并减少损失,是考验银行风险管理能力的重要指标。而业务连续性管理体系作为应对突发事件、保障业务恢复的有效手段,对提高业务持续运营水平和降低运营风险,实现稳健运营、可持续发展有着极为重要的意义。同时,国内银行业面临着激烈的市场竞争,各银行都在积极提高服务水平,在业务做强、做大和扩张过程中,面临的运营风险、操作风险进一步加剧。业务连续性管理(BCM)体系建设对于提升业务持续运营能力、抵抗风险和再造竞争优势起到积极的推动作用。

2008年,中国建设银行为满足《巴塞尔II新资本协议》中有关业务连续性管理的相关要求以及银监会《商业银行操作风险监管指引》的监管要求,启动了业务连续性管理管理体系的建立和推广工作,核心内容是围绕成为国际一流银行的战略发展要求,以满足监管要求、提高自身的风险防范能力和保证业务持续运行为目标,通过业务连续性管理体系建设,有效地应对各类突发事件对业务稳定运营的影响,降低或消除不良影响。

对于大型银行来说,业务的中断是致命的,在银行的声誉、竞争力、财务等方面均会造成重大的损失,日后可能需要花费若干倍的代价去挽回。基于此,建设银行强调要建立有效的业务连续性管理体系,不要停留在纸上谈兵层面,要加强演练和培训,提升全行员工危机意识,提高业务连续性管理水平,降低业务风险,做好应对和恢复工作,缩短业务中断时间,是业务连续性管理建设的重要意义。

建设银行业务连续性管理体系主要工作内容包括现状和需求分析、业务连续性管理体系差距分析、业务连续性管理体系差距分析、业务连续性管理体系差距分析、业务连续性管理体系制度建设、预案体系建设和教育培训以及演练工作。为了有效的将上述各项工作做到实处,以建设银行风险管理部为主成立了工作组,对上至主管高层领导、下至一线操作人员进行访谈,对总行、北京、上海数据中心以及试点分行的主要办公地点、基础设施资源和重要营业场所进行了实地勘察,并在综合分析的基础上,评估各类关键资源受损可能造成的重要业务中断影响,同时对比国外先进银行的实践经验,进行关键差距分析,从而全面了解到建设银行业务连续性管理体系的实际需求。在此基础上,制定了符合实际的业务连续性策略和未来三年的建设规划以及规划实施方案,搭建了业务连续性管理组织,明确管理层和各部门业务连续性建设分工和职责,通过对全行相关人员进行有关业务连续性管理(BCM)意识教育,建立了包括业务连续性管理政策、总体预案、部门预案、场景预案等多层次、多纬度的预案体系。

为了验证已经建立的业务连续性管理体系和制度,2011年6月3日,建设银行组织并实施了以业务连续性管理为目标的“股民保证金第三方存管业务”综合桌面演练,利用多维度的场景及触发条件设计,真正做到业务为核心,演练的重点也从以往单一的灾备系统演练扩展到了涵盖系统切换、业务应急、人员疏散、危机公关、监管报送等多方面内容,检验了BCM体系架构、制度和相关预案,进一步提升了相关人员对业务连续性管理的整体认识。同年9月份,风险管理部又协调总行安保部、总务部、营运管理部、电子银行部、公关部、个人存款与投资部、信息技术管理部等7个部门,先后前往四川、广西各省,组织分行开展了以地震、洪灾、火灾为场景的业务连续性综合演练,重点内容包括极端灾难场景下的网点互备机制、备用办公场地恢复、人员救治和疏散、手工业务恢复和替代以及媒体应对和危机公关等,这代表着建设银行所建立的业务连续性管理体系已经贯穿了总行、分行和支行各个层面,在全行全面“落地开花”。建设银行的成功经验,也成为监管机构在制定相关监管制度、进行行业教育时所采用的范例和样本。

在国内率先实施业务连续性管理体系建设和推广,建设银行风险管理部真正从业务层面入手,统一协调和调动全行资源,遵循监管要求和国际先进经验,在政策、制度和流程层面建立和完善了业务连续性管理体系和应急机制,确定了应急指挥体系、事件分级、上报流程、监管报送、危机公关等策略,提高应对突发事件的响应、处置的效率和能力。建立多层次、多维度的预案体系,理顺各层级的通知汇报途径,打通各部门间的信息交换渠道,形成全行统一通知通报流程,规范事件处置流程。

尽管在国内银行业在BCM建设方面取得了良好的初步成绩,但在业务连续性管理上,国内银行还面临诸多困难,未来的道路还很漫长。比如,已建立的BCM体系如何不断深入和持续改进?未建立的如何参照已有的成功案例按照自身实际完成BCM体系的建设?监管机构除了发挥已有的规范、检查、问责等职能外,能否加强在事中的统一协调和指挥作用?这些都是我们现在面临的挑战和下一阶段的重点内容。同时,银行在业务连续性管理工作中,面临的核心问题是“意识和认识”,意识是指上至银行高管下至一线员工对于风险的重视程度,摆脱单纯以业绩为唯一目标的经营思路,做到“基于风险而盈利”;认识是指对于BCM的建设不要以合规为唯一要求,真正要从自身的实际出发,深刻理解相关监管要求的内涵,结合自身的战略、市场定位建立符合自身风险偏好的业务连续性管理体系,这样才能真正确保BCM的落地和实行效果。