商业银行业务中断影响评估方法

1.调研问卷中的评估方法

调研问卷在业务影响分析工作中的作用至关重要，不论各部门填写、一对一访谈或研讨会，都需要按照调研问卷的思路实施，以便统一调研的尺度和评估的一致性。

一般调研问卷会涵盖三个方面的内容：

（1）业务现状调研与重要业务识别 调研内容包括：业务功能说明、业务办理时间与特点、办理渠道、客户规模、业务量、业务流程、业务利益相关方、重要业务数据等。

了解业务现状是为了识别商业银行的重要业务，识别标准可参照银监会《商业银行业务连续性监管指引》第三条：

《商业银行业务连续性监管指引》

第三条 本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

本条款简明扼要地说明了“重要业务”的三大属性：面向客户，涉及账务处理，时效性要求较高。这三种属性指出了商业银行业务连续性管理所关注的业务范围。而这类业务运营如果发生服务中断，则会带来三大影响：对商业银行产生较大经济损失，对商业银行产生较大声誉影响，对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响。

通过分析业务的属性及其中断所带来的影响，即可决定哪些是应该重点保护的“重要业务”，这正是业务影响分析所要解决的问题。

此外，通过调研，还需要根据商业银行业务实际情况确定重要业务数据范围，一般包括（但不限于）：银行财务信息、客户信息、账户信息、合同协议信息、机构信息、柜员信息、渠道信息、重要凭证信息、资产信息、重要交易明细、重要业务参数、重要行政管理信息、重要人力资源信息等。

（2）业务中断影响评估 对于每类银行业务，所属部门都要进行中断影响评估，评估方法可以使用定量分析，也可以使用定性分析。以下是业务中断影响评估的样例表格。

1）财务影响评估表格（定量分析样例），见表4-1。

表4-1 财务影响评估表格

注：损失类别主要是指收入损失、罚息、法律赔偿等；损失值可以是具体金额，也可以是额度选项，如0～10万元、10万～50万元、50万～100万元等。

2）非财务影响评估表格（定性分析样例），见表4-2。

表4-2 非财务影响评估表格

注：影响类别主要是指声誉品牌影响、客户满意度、合规性等；影响值一般可分为高（3）、中（2）、低（1）、无（0）。在填写同一中断时间的影响时，若同时有两个或两个以上的影响类别，其影响值算法可选择较大值、平均值、加权平均值或者相加。

此外，各业务部门在做业务中断影响评估的基础上，还需要评估自身对所属业务可容忍的最低服务水平是什么，可容忍的最大中断时间是多少，可容忍的最大数据丢失量是多少。以下几条分析原则，是对商业银行业务特点和行业经验的归纳总结，供评估人员做业务时间敏感性评估时参考：

1）面向对外服务类业务中断影响往往高于内部业务。

2）单位时间内交易量大的业务，其中断影响高于交易量小的业务。

3）无替代手段的业务中断影响高于有替代手段的业务。

4）账务性交易的业务中断影响一般高于非账务性业务。

5）在线交易的业务中断影响高于流程处理型的业务。

（3）业务关联关系及所需资源 除了要了解业务现状、评估中断影响，对于每类业务，调研人员通常还要了解以下信息：

1）该业务与其他业务的相互关联关系。(www.xing528.com)

2）该业务依赖哪些信息系统，这些信息系统的关联关系是什么？这些信息系统对IT基础架构（服务器、存储、网络、安全设备等）的最小需求是什么？

3）该业务是否有外包服务？主要外包商是谁？依赖关系如何？

4）业务发生中断后，可以有哪些替代手段办理该业务？

5）当发生灾难时，在备用场地恢复该业务至少需要多少工作人员？要使用多大空间？

6）当发生灾难时，如果使用备用场地恢复该业务，需要什么通讯设备、办公设备、重要单证和其他必要资源？

7）当发生灾难时，恢复该业务前需要的关键操作或安全控制是什么？

8）当发生灾难时，恢复该业务需要哪些供应商或者合作机构的支持？

9）如果灾难造成业务数据丢失，是否有办法进行检查和追补？

2.整合分析

完整的业务影响分析是在各业务部门做出中断影响评估的基础上，进行调研数据的整合、梳理、比较和分析，最终得出结论。

业务影响分析结论通常包括如下内容：

1）各业务条线的恢复指标（RTO和RPO）。

2）从整个商业银行的角度，确定业务的恢复优先等级。

3）确定恢复优先等级高的业务所需最小资源，包括：信息系统、人力资源、场地、办公设备、印押证钱账库、通讯线路、外部供应商与合作伙伴等。

由于现代商业银行业务高度依赖信息系统，而信息系统基本都是集中管理模式，一旦总行数据中心发生重要业务运营中断事件，会对全行业务造成严重影响。因此，《商业银行业务连续性监管指引》还强调了通过业务影响分析确定信息系统的灾难恢复指标、恢复优先等级和恢复所需资源。

要得出信息系统的相关结论，商业银行还必须进行深入研究，如图4-5所示。

图4-5 信息系统恢复指标与资源需求分析

如图4-5所示，分析步骤如下：

1）分析业务与信息系统的依赖关系。

2）分析信息系统的相互关联关系。

3）由业务恢复指标（即业务RTO和业务RPO）确定信息系统的恢复指标（即信息系统RTO和信息系统RPO）。

4）确定信息系统的恢复优先等级。

5）分析信息系统对IT基础架构（服务器、存储、网络、安全设备等）的依赖关系。

6）确定重要信息系统恢复对IT软硬件资源的最小需求。