对此,《指引》总则中第九条规定“商业银行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分”。并且,在其后各个章节的内容中提出了具体的文化、意识建设要求,如在第五章“业务连续性演练与持续改进”中对周期性BCM演练的计划、执行、评估和改进进行了明确。
银行通过建立、改进和融入BCM文化,使得其成为核心价值和有效管理的一部分,并让利益相关方对组织应对中断事件的能力具备信心。诚然,BCM文化的培养可能会是一个相对较长的过程,可能会遇到一定程度不能预期的阻力。管理层应在发展BCM文化方案时,充分考虑到银行企业文化现状,并通过多种途径逐步推进。比如,管理层参与BCM文化的宣讲或座谈;BCM组织架构的梳理和相应部门人员的职责分配;定期针对全员进行BCM意识贯宣和提示;定期针对全员进行BCM技能培训;定期对已经制定的业务连续性计划(BCP),灾难恢复计划(DRP)和危机管理计划(CMP)的进行演练和评估等。
3. BCM职责不明确,业务部门参与程度不足
部分人员存在一种偏颇的观念,认为可能导致业务中断的风险只来源于信息系统,BCM就是IT容灾(DRP),仅是信息科技部门的工作职责。部分银行已经建立了一系列的信息系统应急处置机制,通过不断加强IT基础设施建,建立同城、异地的灾备中心等技术手段,提高IT服务的可用性和可靠性。但在整个BCM日常管理过程中业务部门的参与程度远远不够,并且往往未能结合业务的不断发展针对所涉及的业务进行周期性的业务影响性分析(Business Impact Analysis,BIA)和风险评估,没能够清晰、完整地识别关键的业务活动和关键资源。其常见的问题表现形式有两种,其一,部分业务部门缺乏完整的针对所涉及的关键业务BCM计划或预案,也不能为业务设定合理的最大可容忍中断时限(Maximum Tolerated Period of Disruption, MTPD)和恢复时间点目标(Recovery Point of Objective, RPO);其二,部分业务部门对所涉及的关键业务的连续性要求过高,将MTPD和RPO皆设定为“0”(即不允许其业务出现中断),显然多数情况下,这样的要求与业务实际需求不相符合,同时也没能够兼顾BCM中的成本效益原则。
此类问题的存在,使得业务部门和信息科技部门的BCM计划和预案不能够有效地进行结合和联动,也不能够保证IT部门的资源投入满足业务所需的连续性要求。这种从资源投入到业务需求的反向而非整体性规划的最终结果往往是投入成本巨大但收效不佳,即不能保证在中断事件发生时,相关的计划能够切实辅助于关键资源的补充以及关键业务活动运行的维系。
对此,《指引》第二章第一节内容中,规定了以下职责:
“第十条 董(理)事会是商业银行业务连续性管理的决策机构,对业务连续性管理承担最终责任。
第十三条 商业银行应当指定风险管理部门或其他综合管理部门为业务连续性管理主管部门,组织开展全行业务连续性管理工作,指导、评估、监督各部门的业务连续性管理工作;组织制定业务连续性计划,协调业务条线部门,汇总、确定重要业务的恢复目标和恢复策略;组织开展业务连续性计划的演练、评估与改进;开展业务连续性管理培训等。
第十四条 商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。”
在BCM中,日常工作和业务中断时的处理工作内容繁多,涉及的部门和岗位众多。BCM是一项需要银行治理层、高级管理层及各层级员工参与的活动。清晰的组织架构和部门人员职责是BCM体系有效运行的重要基础之一。其目的在于明确各相关岗位和相应的职责,保证BCM工作的正常开展和目标达成。
德勤的BCM方法论
德勤深知不同行业、规模及业务复杂程度的企业对BCM方法项目有着特定的要求。尤其针对银行业,由于其业务的性质所致,对BCM的需求更为迫切。
借助对业界最佳实务的不断研究,以及依靠德勤遍布在世界各地的BCM专家在这个领域几十年项目经验不断的积累,德勤形成了框架模块化的BCM管理框架及方法论,以便能够调整以满足不同行业,尤其是银行业客户的特定需求。
我们的方法论将BCM生命周期分为四个阶段。
分析。了解企业的BCM的强壮度及持续经营的能力。包括:
企业目前的业务现状及BCM准备的状态;业务连续性面临的风险;主要的但未预料到,或者可能导致的负面的商业影响等。
开发。协助企业设计相应的治理架构、策略和计划以达到持续性目标。包括:
为企业规划适当的业务连续性管理和治理;改进恢复策略,提升业务持续性能力,增进强壮度;制定应急响应、危机管理和恢复行动计划,以便员工在遭遇危机情形时明确自己的目标、职责和行动。
实施。协助企业贯彻在开发阶段形成的战略。包括:
获得和落实用于恢复主要业务流程的备用站点和解决方案;建立一个结合计划、执行和事后评估一体的检验机制,以便验证所选战略的恢复能力;制定培训和宣传项目,以便将业务的连续性融入到企业文化之中。
持续改进。随着企业业务需求的不断变化,BCM方案也需要不断的改进。包括:
持续的规划评估、改进项目方法及其能力;通过分析不足之处,找出潜在问题的根源,以防问题的重复发生;为了保证目标的质量,建立定期审核的责任制度;整合持续准备状态的变更控制。
BCM项目实施步骤
BCM项目实施一般分为以下六个阶段展开。
阶段一:现状评估/差异分析
了解业务环境,获取现有BCM相关的制度和文件;
完成现状评估问卷调查;
通过访谈了解银行BCM目标并进行差异分析;
出具BCM现状评估报告并由银行确认。
阶段二:业务影响性分析
通过访谈,了解银行的各业务处理流程;
分析业务中断及IT中断的财务影响及非财务影响;
与银行沟通,确定RTO和RPO及所需最低关键资源指标;
出具BIA报告并经银行确认。
阶段三:风险评估
与银行确定风险列表及关键资源;
对风险进行评估,确定业务影响分析范围;
设计最坏情景演示并分析其对关键资源的影响;
出具风险评估报告并经银行确认。
阶段四:治理框架开发
协商确定BCM过程中的职责分配;
制定BCM治理框架相关的制度或政策文件。
阶段五:业务恢复战略制定
协商确定银行的业务目标清单;
确定业务目标适用的恢复战略选项;
进行恢复战略选项的成本效益分析;
出具战略选项分析报告。
阶段六计划编写及制定
阶段六:计划编写及制定(包括危机管理计
划、业务连续性计划、灾难恢复计划)
制定突发事件应急预案;
制定危机管理计划;
制定灾难恢复计划;
制定业务连续性计划。
通过以上各个阶段的工作,银行将能够完成以下工作:
BCM现状评估报告;
风险列表;
关键资源列表;
风险评估报告团;
各业务部门、业务流程、应用程序、数据等的RTO和RPO列表;
业务影响分析报告;
BCM架构图;
BCM制度;
业务恢复战略选项;
危机管理计划;
灾难恢复计划;
业务持续性计划。
其后,银行可以通过有效的BCM生命周期管理,不断改进现有的BCM体系,用以契合不断变化的业务需求。
BCM发展的最新动态
国际标准化组织(InternationalStandardOrganization, ISO)预计将会于2012年第二季度发布针对BCM的新国际标准。新标准将会被命名为ISO22301。
目前,标准的起草已经进入最后阶段,征求意见稿仅向少数参与编写委员会的成员免费开放,或通过英国标准化组织(British Standard Institution, BSI)的在线商店销售。对于多数感兴趣的读者,建议您等到2012年第二季度最终标准发布后,通过ISO网站获取。
和早前BSI发布的BS 25999-2类似,ISO 22301也将基于长期以来BCM领域积累的最佳实践。但两者的内容之间不会存在一一对应关系。按照惯例,BS 25999-2将在ISO 22301发布后被BSI废止。
与BSI做法类似,ISO也将针对ISO 22301发布对应的实施规范,此规范将被命名为ISO 22313。此规范计划于2012年底或2013年初发布。
德勤将一如既往地持续关注新国际标准发布的进程以及其他的BCM发展动态,并不断分享在相关领域的研究成果。