商业银行业务连续性管理评估实施结果

根据《商业银行业务连续性监管指引》的要求，商业银行可以自行开展自评估工作，也可委托第三方机构进行评估。但不论以何种形式开展评估工作，参考行业内的普遍做法，评估工作应包括确定评估的范围和目标、确定评估的目标、确定评估团队、构建业务连续性管理体系评估标准、开展业务连续性管理体系评估调研与分析、撰写业务连续性管理体系评估报告及向高级管理层汇报业务连续性管理体系评估情况等。

1.确定业务连续性管理体系评估的范围

在开展业务连续性管理体系评估之前，商业银行业务连续性主管部门应初步识别本行业务连续性建设工作开展情况来确定评估范围。

业务连续性管理工作涉及方方面面，涵盖商业银行的前中后台，几乎囊括全行所有机构，当前，各商业银行开展业务连续性建设工作的成熟度不尽相同，商业银行业务连续性主管部门应结合本行的实际情况、部门职责分工、人员的专业能力及评估侧重点来确定评估工作覆盖的机构范围。

例如，某全国股份制商业银行业务连续性主管部门在开展2014年度业务连续性管理评估工作时，考虑到本行业务连续性建设工作职责分工比较明确、体系建设趋于完善、评估侧重体系的有效性且通过委托第三方机构进行评估，因此，确定的机构评估范围如下：

（1）关键业务部门 包括财富管理部、公司金融部、金融市场部、零售银行部、零售信贷部、贸易金融部、票据中心、同业客户部、现金管理部、信用卡中心、运营管理部、资产负债部、资产管理部、资产托管部等。

（2）技术部门 包括总行信息技术部、数据中心（同城及异地）。

（3）保障部门 包括办公室、党群监保部、人力资源部等。

（4）分支机构 包括总行营业部、某一级分行。

2.确定业务连续性管理体系评估的目标

正如监管指引所强调的一样，商业银行应紧紧围绕验证业务连续性管理体系的完整性、合理性、有效性开展评估工作，通过评估识别差距并结合本行的实际情况及行业领先实践制定改进建议，这也是评估工作的核心目标。

商业银行在开展业务连续性管理评估的过程中，还应确保评估工作自身的完整性和准确性，否则，评估目标的达成将成为空中楼阁。

例如，某城市商业银行在开展2013年度业务连续性管理评估工作时的目标设定及其说明参考如下：

（1）验证业务连续性管理体系的完整性

1）专业领域的完整性：业务连续性管理建设工作是否涵盖组织架构及职责、业务影响分析、风险评估、业务连续性策略、业务连续性计划、业务连续性演练、业务连续性评估与改进、应急处置等。

2）机构落实的完整性：所有职责部门是否已各司其职开展落实业务连续性管理建设工作，包括高级管理层、主管部门、业务部门、技术部门、保障部门、分支机构等。

（2）验证业务连续性管理体系的合理性

1）关键业务的恢复指标（RTO、RPO）及恢复优先级是否合理。

2）业务恢复策略的制定是否充分合理。

3）业务连续性计划的构架及层次划分是否合理。

4）应急处置的流程及程序是否合理。

5）演练的方式及频次是否合理。

（3）验证业务连续性管理体系的有效性

1）是否在开发新业务产品、业务功能或关键资源发生重大变更时同步更新体系相关内容。

2）是否在运营中断事件处置工作后及时更新业务连续性计划等。

3）是否在业务连续性计划的演练后及时更新业务连续性计划等。

4）是否在业务连续性评估及审计后及时更新体系相关内容。

3.确定业务连续性管理体系评估团队

业务连续性管理评估工作一般周期较短，根据商业银行规模及业务复杂度的差异，一般持续6～12周左右。如果持续周期过长，将无法明确评估的时间基线，也无法关注当前评估的重点。因此，如何在较短周期内快速完成评估工作又能达成评估目标，成为了摆在业务连续性主管部门面前的一道难题。不管评估的内容和方法如何，最终都需要解决的一个问题——到底是由谁来评估？谁来评估决定了评估的公正性、可靠性和评估的成本。从成本和效率方面考虑，自身的评估是必要的；从公正性和客观性的角度考虑，则必须借助第三方的评估结果，此时第三方的专业性和公信力以及在行业里的影响力尤为重要。有效结合自评估和第三方评估，就可以更加明确自身的差距、行业中的位置及下一步应该如何改进。

考虑到商业银行在业务连续性管理评估工作的不同开展方式，评估团队的设置会略有不同。

（1）自评估 商业银行如果自行开展业务连续性管理评估工作，组建一支专业的业务连续性管理评估团队，是开展好评估工作的首要前提。通常来讲，评估团队主要由评估总体负责人、评估小组组长及评估小组成员组成。评估小组组组长负责在评估总体负责人的领导下组织各部门评估小组成员开展评估具体工作，组织撰写最终的评估报告并协助评估总体负责人向高级管理层汇报评估实施情况。

例如，某大型股份制商业银行在开展2013年度业务连续性管理评估工作时的评估团队组成及其职责参考如下：

1）评估总体负责人，由业务连续性主管部门负责人担任，主要的职责包括：

①全面负责业务连续性管理评估工作。

②确定业务连续性管理评估工作范围和目标。

③协调评估范围之内的各部门资源参加评估工作。

④对实施方案及评估总结报告进行决策。

⑤向高级领导层汇报评估结论及改进建议。

2）评估小组组长，由评估总体负责人指定，由业务连续性主管部门的业务连续性管理专员或业务专家担任，主要的职责包括：

①在评估总体负责人的领导下，制定评估工作实施方案及工作计划。

②组织开展评估工作的培训及宣导工作。

③组织各部门评估小组成员开展具体评估工作。

④组织汇总评估结论并撰写评估报告。

⑤协助评估总体负责人向高级管理层进行评估工作汇报。

3）评估小组成员，由评估范围内的各部门负责人指定，一般由本部门的业务骨干业务担任评估小组成员，主要的职责包括：

①协助评估小组组长细化实施方案及工作计划。

②参加开展评估工作的培训及宣导。

③开展本部门相关的业务连续性管理评估工作、汇总评估证据并形成正式的评估结论。

④配合评估小组组长完成评估报告并参与向评估总体负责人的汇报。

（2）委托第三方评估 商业银行如果缺乏专业的业务连续性管理评估人员，或业务连续性管理建设工作成熟度不高，导致自行开展业务连续性管理评估工作的难度较大，则委托第三方专业公司开展评估工作将是一个不错的选择。同时，由第三方专业公司团队主导并深度参与评估工作。商业银行则可根据行内的实际情况配备评估团队协助开展此项工作。评估团队可由行内评估总体负责人、评估小组组长、各部门协调员及乙方评估项目组组成。委托第三方评估，不但在很大程度上释放了评估范围内各部门参与人员的压力，同时专业性也可以得到保障。

例如，某股份制商业银行在开展2014年度业务连续性管理评估工作时引入了第三方开展评估工作，评估团队组成及其职责参考如下：

1）评估总体负责人，由业务连续性主管部门负责人担任，主要的职责与自评估方式下相近，包括：

①全面负责业务连续性管理评估工作。

②确定业务连续性管理评估工作范围和目标。

③协调评估范围之内的各部门资源参加评估工作。

④对实施方案及评估总结报告进行决策。

⑤向高级领导层汇报评估结论及改进建议。

2）评估小组组长，由评估总体负责人指定，由业务连续性主管部门的业务连续性管理专员或业务专家担任，主要的职责包括：

①在评估总体负责人的领导下，组织和领导第三方团队开展工作。

②组织人员参加业务连续性培训及宣导。

③协调第三方团队与各部门协调员的联络。

④审核汇总评估结论并撰写评估报告。

⑤协助评估总体负责人向高级管理层进行评估工作汇报。

3）评估小组成员，由评估范围内的各部门负责人指定，一般由本部门的业务骨干业务担任评估小组成员，主要的职责包括：(www.xing528.com)

①参与讨论实施方案及工作计划。

②参加开展评估工作的培训及宣导。

③配合开展本部门相关的业务连续性管理评估工作、提供评估证据。

④确认本部门相关的评估结论。

4）第三方团队，由项目经理及项目成员组成，主要的职责包括：

①制定评估工作实施方案及工作计划。

②准备培训及宣导材料并按照计划开展相关培训。

③在评估小组组长的领导下，完成评估访谈、调研、分析等评估工作。

④汇总评估结论并撰写评估报告。

⑤协助评估小组组长向评估总体负责人进行评估工作汇报。

4.构建业务连续性管理体系评估标准

评估的标准是衡量有关评估对象利弊优劣的指标或准则。对于业务连续性管理体系评估而言，没有适宜的评估标准就无法有效开展评估。因此，构建适宜的评估标准是开展业务连续性管理体系评估的起点，也是业务连续性管理评估的重要内容。

从业务连续性管理评估工作的实践来看，在操作过程中，包括商业银行在内的众多组织，普遍认同的业务连续性管理评估标准倾向于运用效果标准。业务连续性管理评估的效果标准主要衡量商业银行业务连续性管理建设工作实施后的结果。通过运用效果标准开展评估，商业银行可明确业务连续性管理体系建设的信息：一是业务连续性管理目标的总体效果状况，即预定的目标（不仅仅只针对监管达标）实现了没有，是全部实现了，还是只是其中的部分实现了？二是各业务连续性管理专项领域的实现情况，即是否已开展了业务连续性管理全生命周期的建设工作？三是各专业条线的实现情况，即各主管部门、执行部门、保障部门等均已有序开展工作，还是其中一些部门尚未开展相关工作。

一旦商业银行选择运用效果标准开展业务连续性管理评估工作，接下来，业务连续性管理评估团队应立足监管要求、结合本行的实际情况及行业的最佳实践，构建评估标准及评估规则。主要包括以下两部分内容：

（1）划分业务连续性管理评估领域 业界对业务连续性管理专业领域的划分不尽相同，如国际灾难恢复协会（Disaster Recovery Institute International，DRII）于2003年发布的业务连续性管理最佳实践中划分为10个专业领域，商业银行在确定评估的专业领域时可基于《商业银行业务连续性监管指引》，参考行业的最佳标准实践及本行的实际需求确定即可。

例如，某大型股份制商业银行在开展2013年度业务连续性管理评估工作时的一级评估领域划分如下：

1）业务连续性体系战略。

2）业务连续性管理组织。

3）业务影响分析。

4）风险评估。

5）业务连续性策略。

6）业务连续性计划。

7）业务连续性资源建设。

8）业务连续性演练。

9）运营中断事件应急处置。

10）业务连续性持续改进。

在确定了一级评估领域后，应根据监管要求、国际标准以及最佳实践将一级领域进一步细化，定制各分项领域的评估标准，设计关键评估指标，并明确各评估指标在总体评估结果中的比重，以确保准确、全面地反映出各领域乃至整个体系的成熟度。在定制指标时，还应当特别关注总行层面、分行层面以及部门层面的不同特质，设定差异化指标。

例如，某商业银行在选取评估领域时将业务影响分析定为关键评估领域之一，该行根据《商业银行业务连续性监管指引》中业务影响分析相关要求，将这一领域进行细分并明确评估要点和评估标准，见表10-1。

表10-1 评估标准示例

为了更好地配合评估工作的开展，业务连续性管理评估团队应考虑设计调研与访谈问卷辅助完成并对评估结果进行交叉验证。在设计调查问卷时，需要特别关注总分支行不同层面调研问卷之间的差异、问卷问题设置是否明确以及问卷与评估工具之间的衔接。问卷的设置是商业银行开展体系评估工作的基础和重要依据，也是商业银行进行业务连续性管理体系评估的难点之一。评估调研和访谈阶段结果形成纸质存档，以作为评估结果的重要依据。

例如，某商业银行在开展业务连续性管理评估时，在针对业务影响分析相关领域的评估要点和标准，分别对其所属的子领域设定了问题并抽取关键指标，见表10-2。

表10-2 问卷示例

业务连续性评估团队可以考虑基于已确定的评估标准构建业务连续性管理评估工具，以便标准化、流程化、自动化地开展成熟度评估工作。特别需要注意的是，工具的设计不应该仅基于一次评估范围和评估指标的选取，而应当注重其完整性、可用性和灵活性，以便长期使用。在评估工具初步设计完成之后，还应当针对工具的不同模块进行测试以验证其功能的可靠性以及结果输出的正确性。

（2）制定评估规则 在完成了业务连续性管理评估领域划分及各领域对应的评估指标后，业务连续性管理评估团队应确定针对评估指标项的评估规则，以便在评估小组内部达成一致标准，有序开展具体的评估工作。

在制定针对评估指标项的评估符合程度时，不同商业银行可以根据本行的实际情况进行不同等级的划分，如划分为三个等级（完全符合、部分符合和不符合）、五个等级（完全符合、大部分符合、部分符合、部分不符合和不符合）。同时应充分考虑针对某些特定的评估指标项可能会出现不适用某些部门的例外情况。

例如，某商业银行在开展业务连续性管理评估时，针对评估指标设置了三个等级的符合性评估规则，见表10-3。

表10-3 指标评估规则

5.业务连续性管理体系评估调研与分析

完成业务连续性管理体系评估标准的制定后，商业银行业务连续性管理评估团队接下来的重要工作就是针对评估范围内的总行各部门以及分支机构开展评估调研、访谈以及文档审阅工作，针对访谈结果并对照评估标准对评估各领域的单项指标进行初步分析，汇总所有单项指标的分析结论，逐级形成各专业领域乃至业务连续性管理总体的评估结果。

如果是首次进行评估工作，商业银行业务连续性管理评估团队需要针对评估范围内的总行各部门以及分支机构开展评估培训，就评估目的、评估方法、问卷的填写方法以及需要各部门及分支机构配合的事项进行讲解和培训，以确保问卷填写质量和信息收集的有效性。

调研和访谈工作往往不是一次性的工作，而是需要通过不断的沟通、解释和确认，从而对访谈对象业务连续性管理体系建设情况了解清晰、透彻。通常而言，在第一轮访谈过后还需要针对访谈中发现的问题进行进一步的确认和沟通，并将各指标特征评估内容与访谈对象进行沟通与确认。

此外，在访谈的基础上，还需要就评估关键点向访谈对象获取业务连续性工作管理类文档、业务连续性计划类文档、资源建设类文档、演练改进类文档及突发事件处置记录类文档等，以了解现有体系制度及流程设计的有效性和健全性，确认当前业务连续性体系存在的缺陷、现状与监管要求及行业最佳实践之间的差异。

在进行访谈的同时，商业银行需要回收调研问卷并对问卷填写质量情况进行评估，针对不符合要求的问卷进行记录并安排进行复查。在完成问卷汇总、分析和数据标准化后，将数据输入评估工具并自动生成评估结果，计算出关键评估领域与关键评估指标的分值，最终确定商业银行业务连续性管理体系的总体评估结果。需要特别注意的是，业务连续性体系建设是一个循序渐进的过程，因而在体系建设过程中，总行层面、分行层面以及部门层面的体系成熟度会存在一定的差异性。

为了便于理解和直观展现评估情况，可以考虑使用表格、图形等多种方式展示评估结果。例如，某商业银行在开展业务连续性管理评估时，为了展示全行的业务连续性管理建设全貌，采用了雷达图对各领域情况进行了直观展示，如图10-1所示。

图10-1 体系成熟度示例

6.撰写业务连续性管理体系评估报告并向高级管理层汇报

汇总、统计、分析并复核完评估结果后，商业银行业务连续性管理评估团队接下来的工作就是根据评估结果形成最终的评估报告。评估报告至少应从两个维度进行展开说明。

首先，商业银行业务连续性管理评估团队应客观描述现状，针对评估所选取的各个领域和子领域以及指标的评估情况进行详尽解读，如实描述各领域建设现状以及和监管要求以及同最佳实践的差距，并针对差距产生的原因进行深入分析。

此外，针对本行的业务连续性管理建设现状及所识别的差距，结合业务发展重点、资源投入情况及行业领先实践，有针对性地对后续业务连续性体系建设工作进行规划，提出建设管理工作的改进建议，明确后续业务连续性管理建设工作短期、中期、长期规划。普遍而言，规划内容需涉及总行、分行以及部门层面的工作计划与阶段目标，同时考虑到组织架构、资源建设、人员安排、知识宣贯、持续改进等多个领域。

根据《商业银行业务连续性监管指引》相关要求，评估结果将以评估报告的形式提交给管理层进行审阅和批示。评估报告一般包括但不限于以下内容：

1）概述。

2）评估目的。

3）评估范围。

4）评估局限性。

5）评估方法及流程。

6）评估结论。

7）改进建议。

8）附件。