1.业务影响分析国际标准
在国际标准ISO 22313:2012中,业务影响分析的工作思路说明(ISO 22313:20128.2.2)如下:
a)识别支持组织交付关键产品和服务的活动——“关键”意味着这些产品和服务包含在BCMS的范围之内。
b)评估由不受控的非特定事件导致的中断随着时间推移给这些活动带来的潜在影响。评估影响时,组织宜主要考虑那些与业务目标和相关方有关的影响,可能包括:
1)对员工或公众权益的不利影响。
2)未尽到法律义务或未满足法规要求而产生的后果。
3)声誉的损害。
4)降低财务能力。
5)产品和服务质量的下降。
6)环境破坏。
注1:活动的中断可能会导致产品和服务的交付间接中断。例如,失去为供应商付款的能力可损害组织的声誉,导致供应商拒绝供货,组织产品生产或服务的交付。
注2:活动通常都有其日常变化和自然循环。它们通常会随季节变化,也可能会受周末、月末、年末或项目交付日期所带来的高峰期影响。假设中断发生在这些循环期间的最坏时间段,要确保最大可能的影响得到评估。
c)估算多久与组织活动中断相关的影响变得不可接受。
注3:影响达到不可接受程度的时间可能是几秒钟到几个月,这取决于活动的性质。对于具有时间敏感性的活动需要特定的准确度,如分钟或小时。对于时间敏感性较低的活动可以降低其精确性。
注4:影响时间变为不可接受可称为“最大可容忍中断时间”、“最大可容忍时间”或“最长可接受中断时间”。组织可接受的最低级别的产品或服务被称为最小业务连续性目标(MBCO)。
d)基于对潜在影响的评估,并考虑其他相关因素,在设定的最小可接受级别,为重新开始这些活动设定优先时间。
e)识别活动间的依赖关系。
f)识别每个活动所依赖的支持资源,包括供应商和其他相关方。
2.业务影响分析中需要关注的问题
在商业银行业务影响分析过程中,有一些理解误区需要大家予以关注。经常遇到的问题有如下几个。
1)业务重要程度与业务时间敏感性的关系。在实际评估工作中,经常看到参加业务影响分析的业务部门会强调自己部门所负责业务的重要性。例如,公司业务部往往会认为公司信贷业务最为重要,这类业务对于商业银行的财务贡献度高,在不少银行都占据了业务收入的半壁江山。对公信贷业务一般数额大,投入产出比和利润率都高,确实是商业银行的关键性业务。在业务影响分析时,我们会关注业务的重要程度,即关键性,更会关注这些关键业务对中断时间的敏感度。对公信贷业务属于流程性业务,在正常办理时从贷款人申请到放款一般均需要几天甚至几个月时间,当其中断几小时甚至一天,客户的容忍度较高,不会对银行造成严重损失,即可以说对公信贷业务虽然重要,但对中断时间的敏感度较低。通过这个例子,可以看到业务的重要程度和业务的时间敏感性之间的差别。重要程度高的业务一定是关键业务,但关键业务可能对中断时间敏感,也可能对中断时间不敏感。对时间敏感的关键业务一旦发生中断,相对时间不敏感的关键业务,其所造成的负面影响更大,因此其对恢复时间的要求更高(即恢复时间更短)。
2)业务数据和业务流程的恢复要求之间的关系。业务影响分析不仅要了解哪些是组织重要的业务流程,还要了解哪些是组织重要的业务数据。不同行业的业务属性不同,对于业务流程和业务数据有不同的要求。例如:在航空领域,对机场导航系统的要求是不能中断,若系统停顿一分钟便可能造成机毁人亡的惨剧,但导航系统的历史数据若有丢失,却对机场运营的影响不大,即导航系统的RTO要求很高,基本为零容忍,但RPO要求却不高,丢失一天的数据也可接受。而在银行业,客户等1h办理业务可以容忍,可一旦账务数据丢失,客户不能容忍自己刚存进的钱却查不到余额,商业银行也不能容忍客户取了钱却没有记账,即相较之下账务数据更为重要,其RPO要求更高。因此,在确定各类业务的恢复指标时,要具体问题具体分析。并非RTO要求高的业务,对RPO要求也高;反之,并非RPO要求高的业务对RTO要求也高。
3)RTO和RPO的细分概念。业务影响分析的两个重要指标RTO和RPO都有更细分的概念。RTO可细分为业务RTO、信息系统RTO、网络RTO(即NRO)。对于商业银行来讲,绝大多数业务均嵌入在信息系统当中,即业务高度依赖信息系统。在商业银行信息系统中断的灾难场景下,业务RTO通常比信息系统RTO要长,即表示业务恢复不仅包括对突发事件应急处置的时间、信息系统灾难恢复的时间,还包含了业务办公座席恢复、对账等业务恢复操作所需的时间,因此业务RTO决定了信息系统的RTO的最大值(见图4-4)。而商业银行的业务RPO虽然可决定信息系统RPO,但两者却不一定相同,这是因为商业银行业务流程一般贯穿多个信息系统,每个信息系统存储的数据性质不同,RPO自然不同。例如:本行的ATM取款业务RPO要求为0.5h,其数据流跨越ATMP(ATM前置系统)、ESB(综合前置系统)、核心业务系统等,其中ATMP和ESB系统中存储的均为交易流水数据,做备查使用,而其记账数据则在核心业务系统中,则核心业务系统RPO等于本行的ATM取款业务RPO,但ATMP和ESB的RPO要求则可降低不少。
3.业务中断对商业银行的负面影响
在做业务影响分析时,要全面考虑业务中断对组织的负面影响,分析各类中断影响的特性。
灾难性突发事件可能会造成的影响如下:(www.xing528.com)
1)对组织资产造成的损失,包括人力资源损失、物理资产的损失、信息资产的损失、无形资产的损失。
2)组织日常运作和服务的中断。
3)产生法律纠纷和违规问题。
4)有损于组织的公众形象。
图4-4 业务RTO与信息系统RTO的关系
对商业银行来讲,业务中断所造成的负面影响一般可分为财务影响和非财务影响。
(1)财务影响 指商业银行因为业务中断造成的各类经济损失,其数值可量化衡量。如:
1)商业银行各类财产的损失。
2)商业银行的收入损失。
3)商业银行签订的合同罚息。
4)商业银行面临的法律赔偿。
5)商业银行人员损失的赔偿。
6)商业银行恢复工作所增加的额外费用。
7)其他直接和间接财务损失。
(2)非财务影响 指业务中断对商业银行造成的除经济损失以外的各种负面影响。商业银行不仅是自负盈亏的企业性质,还担负着维护股东权益和公众资产安全、增进地方与国家税收的法律责任,以及维护国家金融秩序稳定和经济可持续发展的社会责任。因此,针对商业银行业务中断的非财务影响,也要进行研究和分析。非财务影响可分为以下几类。有些难以量化分析,则以定性分析为主。
1)对品牌和声誉产生负面影响,损害商业银行的公众形象。
2)降低其在金融行业的信用度。
3)不符合国家法律法规,以及不能满足行业监管要求。
4)降低客户满意度,甚至损害客户权益,造成优质客户流失。
5)核心员工的缺失,影响银行业务的恢复和正常开展。
6)运营中断事件造成的混乱可能触发员工的道德风险。
7)降低投资者信心和忠诚度,甚至出现撤资风险。
8)对商业银行上下游供应链上的合作机构产生负面影响。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。