商业银行业务连续性管理中工作内容要求

业务连续性日常管理工作的内容主要包括业务影响分析和风险评估、业务连续性策略制定、业务连续性计划开发、业务连续性资源建设、业务连续性计划演练、业务连续性持续改进等。业务连续性日常管理工作内容示意图如图3-4所示。

图3-4 业务连续性日常管理工作内容示意图

1.业务影响分析和风险评估

《商业银行业务连续性监管指引》中第二十三条对商业银行开展业务影响分析的频率、目的、过程、产出等内容进行了明确的规定。

《商业银行业务连续性监管指引》

第二十三条 商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失，明确业务连续性管理重点，根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析，并形成业务影响分析报告。

根据《商业银行业务连续性监管指引》第十三条和十四条的相关要求，业务影响分析应当在业务连续性主管部门的组织协调下，由商业银行各业务部门执行。商业银行应当每三年开展一次全面业务影响分析。此外，如果商业银行引进新业务或者更改已有业务内容，需要针对新业务或变更的业务进行评估，明确运营中断事件发生时，该业务可能受到的影响和损失。

商业银行开展业务影响分析是为了明确业务连续性管理重点，从而根据业务重要程度实现差异性管理，确定各业务恢复优先顺序和恢复指标。业务影响分析的重要目的之一是梳理业务的重要程度，并识别出“重要业务”，也就是“面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务”。重要业务的识别为商业银行能够有针对性地制定业务连续性策略、计划以及实施业务连续性演练奠定了基础。

商业银行应当从声誉、财务、客户满意度等各个维度对业务中断所造成的影响进行评估，识别和评估业务运营中断所造成的影响和损失，并根据评估结果判断业务恢复指标，从而定义业务恢复优先级，并形成业务影响分析报告。

同时，《商业银行业务连续性监管指引》中第二十八条对商业银行风险评估的对象、过程、目的等内容进行了明确的规定。

《商业银行业务连续性监管指引》

第二十八条 商业银行应当开展业务连续性风险评估，识别业务连续运营所需的关键资源，分析资源所面临的各类威胁以及资源自身的脆弱性，确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境，关键的人员、业务场地、业务办公设备、业务单据以及供应商等。

根据《商业银行业务连续性监管指引》第十三条和十四条相关要求，风险评估应当在业务连续性主管部门的组织协调下，由商业银行各业务部门执行。

商业银行进行风险评估的对象为业务持续运营所需关键资源，包括关键信息系统及其运行环境、关键人员、业务场地、业务办公设备、业务单据以及供应商。值得注意的是，风险评估针对的并不是所有资源，而是关键资源，也就是说，风险评估的重要步骤之一是识别业务运营所需关键资源，在明确关键资源之后才能够进行后续的分析工作。

风险评估是识别业务关键资源所面临的各类威胁以及资源自身脆弱性，综合评价业务关键资源所面临的各类风险敞口的过程。也就是说，风险评估是基于关键资源、威胁以及资源自身脆弱性三个要素进行分析的，三个要素共同分析确定风险敞口。根据损失大小将风险场景进行等级划分，并作为业务连续性计划撰写的重要依据。

2.业务连续性策略制定

《商业银行业务连续性监管指引》中第三十条对商业银行业务连续性策略制定的依据、特点、内容等进行了规定。

《商业银行业务连续性监管指引》

第三十条 商业银行应当根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。

制定业务连续性策略的依据包括业务影响分析结果、业务恢复指标以及风险评估结果。商业银行应当根据自身特点、业务重要程度以及风险评估结果，针对不同重要程度的业务、不同等级的风险场景，制定不同的业务恢复策略。策略的具体内容包括但不限于关键资源恢复、业务替代手段、数据追补、业务恢复优先级别等。

3.业务连续性计划开发(www.xing528.com)

《商业银行业务连续性监管指引》中第三十二条对商业银行业务连续性计划制定的依据、范围等进行了规定。

《商业银行业务连续性监管指引》

第三十二条 商业银行应当依据业务恢复目标，制定覆盖所有重要业务的业务连续性计划。

根据《商业银行业务连续性监管指引》第十三条和第十四条相关要求，业务连续性计划的制定应当在业务连续性主管部门的组织协调下，由商业银行各业务部门执行。商业银行应通过明确业务恢复时间目标和业务恢复点目标，识别重要业务，即“面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务”。业务恢复时间目标小于或等于4h并且业务恢复时间点目标小于或等于0.5h的业务，商业银行应对此类重要业务制定业务连续性计划。

此外，《商业银行业务连续性监管指引》中第三十四条～第三十八条还明确规定了商业银行需要建立业务连续性总体应急预案和专项应急预案，并就商业银行业务连续性计划与外部供应商、金融同业机构、外部金融市场、金融服务平台和公共事业部门的业务连续性计划之间的关系进行了要求。

4.业务连续性资源建设

《商业银行业务连续性监管指引》中第三十九条对商业银行资源建设的依据和目的进行了规定。

《商业银行业务连续性监管指引》

第三十九条 商业银行应当开展业务连续性计划所需的资源建设，满足业务恢复目标和重要业务持续运营的要求。

商业银行应当依据业务连续性计划中所标识出的关键资源，如备用业务办公场地、信息系统灾备中心等，开展业务连续性关键资源建设。业务连续性资源建设的目的是满足业务恢复目标和重要业务持续运营的要求。商业银行应积极开展配套资源建设工作，以确保在事件发生后，各部门、分支机构可以借助备用资源有效开展运营中断事件处置工作，唯有保证在运营中断事件发生后资源能够及时到位，才能够确保达到业务恢复目标。根据《商业银行业务连续性监管指引》中相关要求，高级管理层负责最终确保配置足够的资源保障业务连续性管理的实施。

5.业务连续性计划演练

《商业银行业务连续性监管指引》中第四十七条和第四十九条对商业银行业务连续性计划演练的必要性、目的和频率等进行了规定。

《商业银行业务连续性监管指引》

第四十七条 商业银行应当开展业务连续性计划演练，检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。

第四十九条 商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练。

商业银行至少每三年对全部重要业务开展一次演练；在关键时点或者关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练。演练的目的是验证应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。商业银行通过业务连续性演练工作能够查找差距并进行有针对性的改进，同时也是为了加强全员的业务连续性管理意识，提高应对运营中断事件的综合能力。

6.业务连续性持续改进

《商业银行业务连续性监管指引》中第五十三条对商业银行建立业务连续性管理体系持续改进机制的必要性进行了规定。

《商业银行业务连续性监管指引》

第五十三条 商业银行应当建立业务连续性管理体系持续改进机制。

商业银行应当通过建立业务连续性持续改进机制来保持体系的可用性、合理性和有效性。持续改进的方式包括评估、审计、文档维护等。业务连续性主管部门应当建立持续改进机制，具体的持续改进工作则需要各个业务条线部门、信息科技部门以及保障部门负责实施。