商业银行业务连续性管理-风险评估与技术选择

1.风险评估依据及技术选择的原则

风险评估首先要确定评估依据，作为后续工作的基线参照。评估依据可以是：

1）现行的国际标准、国家标准以及行业标准规范。

2）中国银行业监督管理委员会和中国人民银行所发布的针对商业银行的要求和制度。

3）商业银行的重要利益相关方提出的要求和相关协议。

4）商业银行自身业务发展需求和战略规划。

5）目标资源设计、建设和维护的行业惯例和经验等。

在业务连续性管理领域，针对各类目标资源有不同的风险评估技术可供选择，选择原则一般如下：

1）适用性：所选的评估技术能满足商业银行实际需求，并适合商业银行自身实际情况。

2）准确性：所选的技术能够得出相对准确的评估结果，并且该结果是可追溯、可重复和可验证的。

3）可用性：评估结果能够加深商业银行对风险的认识，可作为风险管理的依据，并能够支持管理层决策。

4）可比性：选择多种技术和方法进行风险评估时，所得成果是可比较的。

2.风险评估思路

目前，国际标准组织发布了一系列相关标准规范，如ISO 31000风险管理系列标准、ISO 27000信息安全管理系列标准等。中国标准化管理委员会也有相应的国家标准发布，其中《GB/T 27921—2011风险管理风险评估技术》《GB/T 20984—2007信息安全技术 信息安全风险评估规范》《GB/T 27910—2011金融服务 信息安全指南》三份标准中均对风险评估技术的种类和方法做了详细说明。

在上述标准文件中，风险评估原理大致分为以下两种思路：

思路一：风险值R（Risk Value）由风险后果C（Consequence）和风险发生的可能性L（Likelihood）决定[8]。即R=F（C，L），其中F为计算函数；风险后果C代表了风险事故造成的严重程度和损失；可能性L则代表风险事故发生的机会有多大，也可以用发生概率P（Probability）来取代。

思路二：风险值R由资产价值A（Asset Value）、威胁T（Thread）和脆弱性V（Vulnerability）三要素决定[7]。即R=F（A，T，V），其中F为计算函数。这种思路在GB/T 20984—2007中有详细介绍，一般在信息安全风险评估中采用较多。思路二在沿袭了思路一的基础上，将风险要素做了细分，即风险事故后果C由资产价值A与脆弱性V决定，风险事故发生的可能性L由威胁T和脆弱性V决定。上述风险计算公式见表5-2。风险评估思路如图5-2所示。

表5-2 风险计算公式

(www.xing528.com)

图5-2 风险评估思路

无论采用哪种思路，风险的计算函数都有多种，需要对具体问题具体分析后，确定适用的计算模型。当风险要素能够得到量化数据时，如可以获得风险事故的具体经济损失和事故发生概率时，其风险值=损失∗概率；当组织拥有足够的历史事件数据库时，可以根据历史数据构建风险计算模型；当风险要素难以获取量化数据时，则采用定性问题定量计算方式，常用的计算公式有以下三种：

1.Z=X+Y 说明：结果为两个要素值相加。

2.Z=aX+bY 说明：结果为两个要素值加权重后相加。

3.Z=X∗Y 说明：结果为两个要素值相乘。

注：上述公式中Z代表风险值；X代表风险造成的损失；Y代表风险发生的概率；a代表损失的权重；b代表概率的权重。

3.风险评估技术分类

（1）专家访谈法 专家访谈是请具有丰富经验的专业人员分析目标资源信息，发挥个人能动性，提出个人观点，并通过充分和反复的研讨、发现问题、整理归纳，最终形成一致性和可靠性高的评估意见。这种做法可以是头脑风暴（即自由讨论），可以是结构化或半结构化访谈（即事先准备问题清单），也可以是德尔菲法（即专家独立、匿名表达各自的观点）。这种方法对专家工作经验和个人素质要求较高，一般采用定性分析为主，可能会带有主观性。为避免一言堂所造成的片面性，建议专家的选择要具有广泛性和代表性。

（2）检查表法 根据评估依据和行业经验设计检查表，分析目标资源的现状信息，逐项进行差距分析，对风险要素进行识别。检查表重在设计，需要汇聚行业最佳实践。好的检查表可以在后续评估过程中降低对风险评估人员的经验要求，实施人员只要具备基础知识即可。这种方法有助于分析的全面性和完整性。

（3）风险矩阵法 风险矩阵法是通过对风险要素（后果和可能性）进行组合排序，最终判定风险等级的方法（见图5-3）。这种方法可以定性分析，也可以定量分析，还可以定性与定量相结合。风险矩阵法可以使用表格和图形方式表示，具有直观性的特点，易于判断风险容忍程度。

图5-3 风险矩阵法

（4）业务影响分析 通过业务影响分析，可以确定风险事故对业务运营所造成的影响，评估业务恢复优先等级、业务恢复时间以及恢复业务所需资源。具体可见业务影响分析章节。在风险评估中，风险要素后果可由业务影响分析结论确定。

上述每种方法在风险评估过程中的适用性见表5-3。

表5-3 风险评估技术适用性

商业银行可根据实际情况来选择一种或几种风险评估技术。具体到每次的风险评估活动，实施负责人需要充分认识到各种局限条件，如实施成本、时间要求、数据获取难易程度、实施人员的经验能力等，并综合考虑决策层的具体需求以及目标资源的属性特点，确定适用的风险评估思路与技术。