1.调研问卷中的评估方法
调研问卷在业务影响分析工作中的作用至关重要,不论各部门填写、一对一访谈或研讨会,都需要按照调研问卷的思路实施,以便统一调研的尺度和评估的一致性。
一般调研问卷会涵盖三个方面的内容:
(1)业务现状调研与重要业务识别 调研内容包括:业务功能说明、业务办理时间与特点、办理渠道、客户规模、业务量、业务流程、业务利益相关方、重要业务数据等。
了解业务现状是为了识别商业银行的重要业务,识别标准可参照银监会《商业银行业务连续性监管指引》第三条:
《商业银行业务连续性监管指引》
第三条 本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
本条款简明扼要地说明了“重要业务”的三大属性:面向客户,涉及账务处理,时效性要求较高。这三种属性指出了商业银行业务连续性管理所关注的业务范围。而这类业务运营如果发生服务中断,则会带来三大影响:对商业银行产生较大经济损失,对商业银行产生较大声誉影响,对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响。
通过分析业务的属性及其中断所带来的影响,即可决定哪些是应该重点保护的“重要业务”,这正是业务影响分析所要解决的问题。
此外,通过调研,还需要根据商业银行业务实际情况确定重要业务数据范围,一般包括(但不限于):银行财务信息、客户信息、账户信息、合同协议信息、机构信息、柜员信息、渠道信息、重要凭证信息、资产信息、重要交易明细、重要业务参数、重要行政管理信息、重要人力资源信息等。
(2)业务中断影响评估 对于每类银行业务,所属部门都要进行中断影响评估,评估方法可以使用定量分析,也可以使用定性分析。以下是业务中断影响评估的样例表格。
1)财务影响评估表格(定量分析样例),见表4-1。
表4-1 财务影响评估表格
注:损失类别主要是指收入损失、罚息、法律赔偿等;损失值可以是具体金额,也可以是额度选项,如0~10万元、10万~50万元、50万~100万元等。
2)非财务影响评估表格(定性分析样例),见表4-2。
表4-2 非财务影响评估表格
注:影响类别主要是指声誉品牌影响、客户满意度、合规性等;影响值一般可分为高(3)、中(2)、低(1)、无(0)。在填写同一中断时间的影响时,若同时有两个或两个以上的影响类别,其影响值算法可选择较大值、平均值、加权平均值或者相加。
此外,各业务部门在做业务中断影响评估的基础上,还需要评估自身对所属业务可容忍的最低服务水平是什么,可容忍的最大中断时间是多少,可容忍的最大数据丢失量是多少。以下几条分析原则,是对商业银行业务特点和行业经验的归纳总结,供评估人员做业务时间敏感性评估时参考:
1)面向对外服务类业务中断影响往往高于内部业务。
2)单位时间内交易量大的业务,其中断影响高于交易量小的业务。
3)无替代手段的业务中断影响高于有替代手段的业务。
4)账务性交易的业务中断影响一般高于非账务性业务。
5)在线交易的业务中断影响高于流程处理型的业务。
(3)业务关联关系及所需资源 除了要了解业务现状、评估中断影响,对于每类业务,调研人员通常还要了解以下信息:
1)该业务与其他业务的相互关联关系。(www.xing528.com)
2)该业务依赖哪些信息系统,这些信息系统的关联关系是什么?这些信息系统对IT基础架构(服务器、存储、网络、安全设备等)的最小需求是什么?
3)该业务是否有外包服务?主要外包商是谁?依赖关系如何?
4)业务发生中断后,可以有哪些替代手段办理该业务?
5)当发生灾难时,在备用场地恢复该业务至少需要多少工作人员?要使用多大空间?
6)当发生灾难时,如果使用备用场地恢复该业务,需要什么通讯设备、办公设备、重要单证和其他必要资源?
7)当发生灾难时,恢复该业务前需要的关键操作或安全控制是什么?
8)当发生灾难时,恢复该业务需要哪些供应商或者合作机构的支持?
9)如果灾难造成业务数据丢失,是否有办法进行检查和追补?
2.整合分析
完整的业务影响分析是在各业务部门做出中断影响评估的基础上,进行调研数据的整合、梳理、比较和分析,最终得出结论。
业务影响分析结论通常包括如下内容:
1)各业务条线的恢复指标(RTO和RPO)。
2)从整个商业银行的角度,确定业务的恢复优先等级。
3)确定恢复优先等级高的业务所需最小资源,包括:信息系统、人力资源、场地、办公设备、印押证钱账库、通讯线路、外部供应商与合作伙伴等。
由于现代商业银行业务高度依赖信息系统,而信息系统基本都是集中管理模式,一旦总行数据中心发生重要业务运营中断事件,会对全行业务造成严重影响。因此,《商业银行业务连续性监管指引》还强调了通过业务影响分析确定信息系统的灾难恢复指标、恢复优先等级和恢复所需资源。
要得出信息系统的相关结论,商业银行还必须进行深入研究,如图4-5所示。
图4-5 信息系统恢复指标与资源需求分析
如图4-5所示,分析步骤如下:
1)分析业务与信息系统的依赖关系。
2)分析信息系统的相互关联关系。
3)由业务恢复指标(即业务RTO和业务RPO)确定信息系统的恢复指标(即信息系统RTO和信息系统RPO)。
4)确定信息系统的恢复优先等级。
5)分析信息系统对IT基础架构(服务器、存储、网络、安全设备等)的依赖关系。
6)确定重要信息系统恢复对IT软硬件资源的最小需求。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。