支付清算系统业务连续性管理机制研究

目录/提纲：……
一、系统运维风险概述
二、业务连续性管理和计划
三、建立支付清算系统BCM机制主要步骤和技术要点
3、研究制订解决方案（1）研究资源和恢复时间需求
4、解决方案的规划执行（1）危机管理
四、商业银行BCM实践启示
……
支付清算系统业务连续性管理机制研究
中国银行总行运营服务总部收付总监

通常提到的“运维风险”，主要是指操作风险。《巴塞尔新资本协议》率先将操作风险的衡量和管理纳入金融机构的风险管理框架中，并将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。我国的支付清算体系作为支持国家经济发展、维护金融稳定的重要组成，由中央银行履行支付结算职能、商业银行为客户提供支付结算服务，其运维风险防范工作尤为重要，有必要对支付清算系统运维风险进行深入研究，并建立相应的风险防范机制。

一、系统运维风险概述

1.支付清算系统运维风险影响因素
根据《巴塞尔新资本协议》对操作风险的定义，支付清算系统运维风险主要有以下四方面影响因素。（1）人员因素：银行员工内部欺诈；失职违规；知识技能匮乏；核心员工流失。（2）内部流程：流程设计不完善、缺失，甚至无效。（3）系统因素：由于信息科技部门或服务供应商提供的应用系统或设备发生故障或其他原因，银行不能正常提供服务或业务中断而造成损失。（4）外部事件：外部欺诈/盗窃；洗钱；监管规定；业务外包；自然灾害和_威胁。


2.运维风险划分类别
根据商业银行管理和控制操作风险的能力，可以将运维风险划分为四大类，即：可
……（新文秘网https://www.wm114.cn省略869字，正式会员可完整阅读）……
看全文方法：付费极速开通 投稿换积分(积分可提现) 注册 登陆 用订单找账号　
规划、基本框架统一。


2.业务影响分析（简称BIA）
制订BCP最重要的原则是基于影响，而非基于起因。BIA是一个识别和衡量（定量和定性）业务中断对业务流程造成的影响或损失的过程，用于确定恢复的优先事项、资源需求，并帮助制定BCP。


（1）BIA至少包括：风险影响评估：通过对各类风险发生概率与影响程度的评估取得对总体风险的相对估量。时间紧迫性排序：优先即时响应的重大业务流程、应用系统与数据；目标业务量、作业能力水平；需要采取的措施和技术。


（2）BIA要达到目的：①确定哪些业务职能与流程是绝对重要和必要的；②确定在影响变得严重之前关键职能或流程能够重新恢复营运所需时间；③确定哪些恢复策略与解决方案能够满足业务恢复时点要求；④确定将需要哪些恢复资源重新启动重大业务运转；⑤对需要恢复运营的业务职能、流程与资源进行优先排序。
（3）BIA的结果在呈现形式上将因业务复杂程度而不同，在初期建立BCP阶段，一般采取问答文件或电子数据表方式。


3.研究制订解决方案
（1）研究资源和恢复时间需求。包括人员、技术、其他资源（如办公设备）、恢复时间目标等需求。整体恢复运营时间目标包括启动时间+基础设施恢复时间+应用恢复时间+数据恢复时间+业务处理恢复需要时间。


（2）具体方案策略。①业务恢复选择方案：确定危机管理控制备用地点；员工业务处理备用地点（要考虑场地距离、往返时间、场地地理位置，避免场地之间共用基础设施）；现场恢复成本（冷站点与热站点）；使用距原现场较远的现有办公场所（分开生产与恢复地点）；依靠服务商管理还是自身管理。②技术恢复选择方案。IT数据中心备份设施；重大系统恢复；丢失数据与重要记录恢复；IT恢复场所需考虑的特殊因素。③成本与风险权衡。要根据银行实际情况选择确定平衡成本与风险的适宜方式。④人员恢复选择方案。转移职能：指本地职能需求在另一场所具有相兼容的职能，该场所在预先确定的时间框架内以及一定期间能够承担完整的职责。将员工迁至其他场所：指将本地参与恢复行动的员工迁至另一生产办公场所，并在预设时间段承担关键业务流程职责。在家工作：指参与恢复行动的本地员工在预设时间段在家办公。本地恢复场所：指有选择地将本地员工迁至专门的本地恢复办公场所，并承担关键业务流程职责。


4.解决方案的规划执行
（1）危机管理。①建立危机管理团队：一般由银行高管层与各部门代表组成，在危机发生时，能够尽快评估损失并做出应对危机的必要决策。②危机管理团队工作内容：建立团队沟通渠道，确定团队进行危机控制管理的场所；明确团队成员职责，提供内外部沟通使用的有效联络信息；由IT、运营、前台与危机管理团队代表共同组成事件评估团队，对危机情况进行初步评估，提交危机管理团队进一步评估；一旦启动恢复计划，管理团队将全程负责危机的管理，包括向内外部信息传达、协调执行相关BCP计划、解决问题等，直至业务和技术彻底恢复。


（2）业务恢复。确保各项业务/各个部门的关键业务、员工及应用系统的恢复步骤，至少包括以下不同阶段：人员遣散>>>抵达恢复场所步骤>>>在恢复场所的业务恢复步骤>>>返回正常工作场所后的复原步骤。


（3）技术恢复。确保基础设施、应用系统等恢复工作状态，包括明确IT部门要开展的具体恢复行动以及生产系统与相关恢复解决方案的说明等。


5.测试演练
（1）目的：①确保BCP计划行之有效，业务能够在目标时间框架内以确定的目标水平继续开展；②暴露现有BCP计划的任何问题，对BCP计划作出相应调整；③使员工熟悉BCP计划，以便在危机发生时能够明确其职责和应采取的行动。


（2）关键点：①测试并提升承担各项职能人员从容应对危机的能力，包括危机管理、业务恢复和技术恢复；②测试所有职能之间的协作配合程度。


（3）内容：①办公区人员疏散。②部门呼叫树：提供树状结构的呼叫方式，使得业务中断或部门内部通知时具备有效的信息传导渠道。③危机管理通知：向危机管理团队发出的人工或自动呼叫流程。④前台至后台预演练习，要确保：各部门均理解自身与其他部门及IT系统的相互依赖性；各部门相互协作配合，支持整套BCM规划的实施。⑤交易处理流程：评估数据在具有相关依赖关系应用系统之间的正常流动。


（4）要求：①确定测试演练频率；②以业务为驱动，业务与IT部门密切配合；③确定测试范围以及各职能之间的依赖性；④更复杂的系统化测试要求采用项目管理方式进行。


（5）后评价： ……（未完，全文共4832字，当前仅显示2441字，请阅读下面提示信息。收藏《支付清算系统业务连续性管理机制研究》）