进行风险评估,首先要明确研究的对象“风险”是什么?《现代汉语词典》对“风险”的解释是“可能发生的危险”。无论对于个人和家庭,还是组织和国家,风险一旦发生,会造成或大或小的损失。
在国家标准GB/T 24353—2009《风险管理 原则与实施指南》和GB/T 30146—2013《公共安全 业务连续性管理体系 要求》中,对风险一词的定义如下:
风险是对目标的不确定性影响。
注1:偏离预期目标的——正面的或负面的。
注2:目标可以有不同方面(如财务、健康和安全以及环境目标),也可以应用在不同的层次(如战略、组织范围、项目、产品和过程)。
注3:风险通常被描述为潜在事件和后果,或它们的组合。
注4:风险通常被描述为事件(包括环境的变化)后果和发生的可能性。
注5:不确定性是指完全或部分缺乏有关某事项事态的了解或认识(包括其后果和发生可能性)信息的状态。
从上述定义可以看出,风险是不可预期的和非计划的突发事件后果,具有不确定性。
在实践当中,大家往往对商业银行业务连续性管理中谈到的风险概念存在歧义,争论最多的问题包括:业务连续性管理是否属于操作风险?业务连续性管理的场景主要是信息系统运营中断事件等。那么商业银行业务连续性管理的风险场景究竟如何界定?业界确实存在不同的理解。按照字面含义,业务连续性管理的风险概念可以是指所有造成或可能造成商业银行重要业务运营中断或服务水平严重降低的突发事件及其后果,这与商业银行多种风险的定义,如:操作风险、信用风险、市场风险、声誉风险、流动性风险等均有交集。然而,按照目前商业银行的业务连续性实践经验来看,工作关注点在于支持商业银行重要业务的必要资源所面临的风险,尤其是对信息系统、作业场地和人员有严重影响的突发事件。银监会在充分调研和探讨后,在2011年出台的《商业银行业务连续性监管指引》中,对于商业银行业务连续性管理所应对的风险场景给出了明确的定义:
《商业银行业务连续性监管指引》
第四条 本指引所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括:
(一)信息技术故障:信息系统技术故障、配套设施故障。
(二)外部服务中断:第三方无法合作或提供服务等。(www.xing528.com)
(三)人为破坏:黑客攻击、恐怖袭击等。
从该条款的文字可以看出,商业银行业务连续性风险评估所要重点关注的风险事件范围,即导致信息系统服务异常、重要业务停止运营的事件为主要研究对象,这些事件不仅包括信息系统故障,还应包括其他非信息系统的原因(如外部服务中断、人为破坏、自然灾害等)。
《商业银行业务连续性监管指引》也明确了业务连续性风险评估的开展路径及方法:
《商业银行业务连续性监管指引》
第二十八条 商业银行应当开展业务连续性风险评估,识别业务连续运营所需的关键资源,分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等。
该条款明确提出了风险评估是商业银行业务连续性管理工作的组成部分。《商业银行业务连续性监管指引》没有单独设立一章说明风险评估,而是将其放在了业务影响分析章节中描述,是因为风险评估和业务影响分析之间存在着紧密联系:风险评估的对象是支持商业银行重要业务运作的关键资源,而关键资源的识别由业务影响分析来完成,是业务影响分析的输出要素之一。
在这个条款中提到的威胁和脆弱性,是风险评估方法中所需要的两个主要要素。威胁来自关键资源外部环境,是引发潜在风险的可能因素;脆弱性则来自关键资源内部,是关键资源在设计、建设和维护过程中形成的,容易被威胁所利用的缺陷和漏洞。在第二十八条中,还明确指出了关键资源所涵盖的范围,即人员、业务场地、办公设备、单证资料及外部供应商等。
此外,《商业银行业务连续性监管指引》还要求商业银行针对风险敞口要制定事前管控方案,具体如下:
《商业银行业务连续性监管指引》
第二十九条 商业银行应当根据风险敞口制定降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施。
该条款要求商业银行不仅要考虑事后的应急处理,还要在事前对一切可能的风险进行管控,提出适合自身实际情况的管控策略和方案,规避或降低潜在风险发生的可能性和影响。
《商业银行业务连续性监管指引》实际上是将风险评估作为业务影响分析的一部分来进行的,这也符合国际惯例,尤其是高度依赖信息系统的银行业。风险评估主要解决需要防范哪些风险(威胁)事件,而业务影响分析主要解决需要保护哪些重要业务。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
