商业银行业务连续性管理的概念与意义

业务连续性管理（Business Continuity Management，BCM）是一项综合性的管理活动，通过识别组织所面临的潜在风险，评估风险可能对组织造成的影响，建立一套组织、流程和资源相互配合的体系，以提升组织对风险事件的应对能力和恢复能力，保障组织价值创造活动的持续进行，有效维护组织的品牌声誉和相关方利益[1]。

业务连续性管理广泛适用于各类行业和各种组织，它应对的是影响组织正常运营、产品与服务交付中断的事件，包括技术故障、自然灾害和人为破坏等各类事件。在许多组织的实践中，业务连续性管理通常归属于风险管理的范畴，同时业务连续性管理与组织的应急管理又紧密相关，但由于其关注的核心重点是业务的中断，所以其方法论与传统的风险管理和应急管理方法有所不同。

业务连续性管理的概念起源于欧美国家，经过数十年的演变，形成了一套相对成熟的基于最佳实践的方法论，并在此基础上形成了国际标准和规范（如ISO 22313：2012、ISO 22301：2012等）。按照国际标准，业务连续性管理的内容应包括：

1）清楚组织的关键产品和服务，以及交付这些产品和服务的活动。

2）了解恢复活动的优先级及其所需资源。

3）清晰地了解活动所受到的威胁，包括这些活动之间的依赖关系，还要知道如果没有恢复这些活动将会带来的影响。

4）当中断事件发生时，有准备好的经过测试的可靠计划来重启活动。

5）确保这些计划得到定期评审和更新，从而使其在各种情况下都有效[1]。(www.xing528.com)

虽然业务连续性管理的概念最近十年才在国内被提及，但其核心思想在中国自古有之，如《左传》中提到的“居安思危，思则有备”的警句。我国非常重视应急管理体系的建设，2006年1月8日，国务院发布了《国家突发公共事件总体应急预案》，随后各部委和各级政府机构又制定了多类别的专项预案，初步形成了覆盖地震、卫生、电力、通讯等突发事件的应急管理体系。可以说，国内应急管理概念与业务连续性管理概念有着紧密的联系，只不过国内应急管理更多地用于国内政府机构应对公共突发事件，而业务连续性管理更多地用于企事业单位的自我保护，尤其是金融机构和外资企业已开始全面采用业务连续性管理来应对灾害事件，确保组织的资产安全，维持组织的业务运营。

众所周知，现代金融业是国家经济发展的重要支柱和驱动因素。随着国内金融机构业务全球化拓展和电子化运营的深入，其面临的风险也变得更加错综复杂，而风险事件的影响更加严重，不仅会大大损害金融机构及相关方的利益，还可能造成金融机构的业务停顿，甚至引起金融行业的混乱，进而引发诸多社会问题和经济问题。因此，国家金融监管机构越来越严格的风险管控要求和金融机构自身业务发展需求，都使得国内金融机构更加注重全面风险管理工作，而业务连续性管理便是风险管理的重要组成部分。

对于现代商业银行来讲，可能面临的风险有多种，如信用风险、市场风险、操作风险、流动性风险、声誉风险等。一直以来，业内对于业务连续性管理和各类风险的关系存在诸多争论。按照国际金融权威机构巴塞尔委员会出版的文件划分，业务连续性管理归属于操作风险当中，这里引用操作风险定义如下：“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括战略风险和声誉风险（strategic and reputationalrisk）”（国内也有将“strategic risk”译为“策略风险”的，但此处的“策略”与本书第6章所述“策略”（strategy）一词含义并不相同，为避免混淆，我们在此将其译为“战略风险”）；在中国银行业监督管理委员会（以下简称银监会）2012年第1号文《商业银行资本管理办法（试行）》中，也在操作风险资本计量监管要求中明确提出“商业银行应当制定全行统一的业务连续性管理政策措施，建立业务连续性管理应急计划。”由此可见，从金融监管者的角度来看，业务连续性管理可归属于操作风险的范畴。然而，在实践中，业务连续性管理的范围有时并不完全局限于此，例如，声誉风险与业务中断事件也有关系，因而也应该在业务连续性管理中加以考虑。

花旗银行前董事长瑞斯顿曾对银行作过如下定义：“所谓银行，就是基于风险处理能力而盈利的组织。”银行业对现代经济和金融的稳健而良好运行具有关键性的作用，纵观世界各经济发达国家和地区，均具有一个高效稳健的银行体系，并且也已成为本国或地区参与国际竞争的重要手段。银行业风险的防范是一个涉及面很广的复杂问题。实践表明，传统的商业银行业务管理方法已难以有效地抵御来自各类自然灾害和突发事件的冲击，只有建立全面的业务连续性管理体系，才能确保商业银行各项业务的持续运行和健康发展。业务连续性管理体系已经成为众多国际先进商业银行的重要管理模式。

现代商业银行业务处理高度电子化，其流程与数据基本都集成在计算机系统中。2000年后，中国商业银行的信息系统逐步走向数据大集中模式，使业务开展和管理更加便捷，但也使得风险过度集中在数据中心。一旦商业银行集中管理的数据中心发生灾难性事件，就可能造成全行范围的业务瘫痪，甚至会造成社会恐慌。因此，中国人民银行和银监会相继出台了多项信息系统灾难恢复体系建设的规范和监管要求，商业银行科技部门首先行动起来，为了有效应对信息系统灾难性事件，纷纷建设灾备中心，以保障本行业务的持续运营。然而，2004年以前的几年中，国内尚未引入业务连续性管理的概念，只关注灾难恢复中心建设，这也导致当业务连续性管理概念引入后，许多人误以为业务连续性管理只是信息系统灾备建设的扩充。诚然，对于商业银行来讲，数据中心信息系统是核心资产，是业务连续性管理的主要对象，但不意味着业务连续性管理就仅仅是信息系统的灾难恢复。业务连续性管理需要涵盖商业银行的各个部门和各级分支机构，例如，信息系统中断事件是业务连续性管理的范围，银行网点火灾同样也属于业务连续性管理的范畴。即便是在信息系统中断的突发事件下，商业银行业务部门和后勤保障部门也需要事先准备预案进行应对，例如安抚客户、启动业务的临时或手工应急处置措施、安保等，只有这样才能和科技部门的预案形成合力，最大限度地减少或消除不良影响。综上所述，商业银行业务连续性管理不单单是某个部门的职责，而是需要从公司治理层面建立全行统一的组织架构及体系框架，在全行范围内树立统一的风险防范和应对的观念和意识，才能提升商业银行的业务连续性运营能力。

基于上述原因，银监会于2011年12月发布《商业银行业务连续性监管指引》，这是国内第一个行业业务连续性管理监管要求，是检查商业银行业务连续性管理工作合规性的主要依据，也是指导商业银行开展业务连续性管理工作的规范性文件。本书的内容将围绕《商业银行业务连续性监管指引》展开，在解读《商业银行业务连续性监管指引》主要条款的基础上，对商业银行业务连续性管理的目标、范围、方法、要求等要素进行详细阐述和说明。