关于商业银行业务连续性管理(BCM)架构体系的研究
金融业务连续性管理制度研究
金融业务连续性管理制度研究[摘要]业务连续性管理对维系金融机构生存和发展至关重要,英美国家在这方面拥有丰富的风险管理经验,并形成了良好的管理制度安排。
我国金融行业在业务连续性管理方面经验不足,通过比较研究英美两国在业务连续性管理方面的应急机制和制度安排,我国有必要从部门协调、国际合作、目标群体等几个方面完善金融业务连续性管理制度。
[关键词]业务连续性;金融系统;金融中心业务连续性管理(Business Continuity Management,简称BCM)是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。
在金融服务领域,业务连续性管理已经是金融风险管理的一部分,但这项工作在理论和实践中普遍缺乏重视和紧迫感。
人们普遍认为办公场所发生业务中断或地震、台风以及恐怖袭击等的概率很小,而很少对此进行专门研究和规划。
而此类事件一旦发生,其对金融系统的稳定将带来严重的影响。
我国要把上海建成为国际金融中心,更多核心的金融机构将聚集到上海,上海需要创设一个更为优越的法律环境。
[1]上海国际金融中心也需要建立一套完整的业务连续性管理制度,以应对突发事件,保障金融中心的连续运营。
我国金融行业起步晚,金融业务连续性管理制度,与英美国家以及国际标准相比,还存在很多不成熟的地方。
本文通过对国际国内金融业务连续性和应急机制的比较,并结合我国目前现有的相关BCM管理制度,探讨如何更好地推动BCM管理制度贯彻落实,从而保障我国金融行业业务的连续运行,实现国家经济可持续发展。
一、金融业务连续性管理制度的必要性(一)现实必要性分析以美国为例,根据福布斯统计美国证券交易所100 年的历史中,曾发生了10个重大事件使华尔街暂停运营。
比如“911事件”,恐怖分子袭击了纽约世界贸易中心,美国金融系统被迫关闭。
纽约银行声明恐怖袭击破坏了部分计算机系统,一些分支机构被迫关闭,其第三季度的利润因此下降了33%。
业务连续性管理(BCM)
南亚 地震海啸 飙风
地区 大灾害
Source : Gartner, BCM Today
现代社会的风险
黑天鹅舆论(Black Swan Theory)
大型损失, 不容预测, 稀有事件(Large-impact, Hard-to-predict, and Rare event)
2021/5/9
Source : Wikipedia
17
11. 商业恢复 (Biz Resumption) 战略
风险识别 业务停止设想
风险预防 业务恢复时需要的资源
受伤
代替人力 (People)
事业停止 危险因素
不可接近事业场 系统支援中断 重要资源损坏
事业设施 (Premises) 备份系统 (Technology) 重要信息 (Vital Records)
成功的BCM的附加效果
- 摩根史丹利的 危机管理系统受全世界瞩目 - 既有投资者的信赖和引起新投资者的关心 - 24小时以内以迅速地召开记者招待会换取友好的言论
Source20:2N1/Y5T/9imes(2002)
5
4. 营业中断的实时损失
能源 通信 制造 投资金融 保险 零售 制约 金融 交通 使用程序 医疗 媒体 平均
2021/5/9
12
10. 组织的 理解 ; BIA to RA
BIA (Business Impact Analysis ; 商务影响分析)
导出创造价值高的活动领域内的进程 ;
按照运营, 支援, 战略方面导出
进程的中断带给整个商务的影响度评价 ;
低频率, 高深度风险的影响推断(例: 地震,火灾 等)
摩根士丹利的 5大 危机管理计划
- 紧急式 对策(Contingency Plan) - 业务连续性 计划(Business Continuity Plan) - 危机管理 交流(Crisis Communication) - 财务危机 分散管理(Hedging & Insurance) - 早期警报系统(Early Warning System)
业务持续管理BCM概述及应用
THANKS
05
BCM 的挑战与解决方案
资金和资源不足
总结词
资金和资源不足是BCM实施过程中常见的问题,需要寻求多元化的资金来源和合理配 置资源。
详细描述
在BCM实施过程中,由于对业务持续管理的重视程度不够或者预算有限,可能会导致 资金和资源的不足。为了解决这个问题,组织可以寻求政府资助、合作伙伴的支持、或 者是通过风险转移的方式,将部分资金压力转移给保险公司等机构。同时,合理规划和
RTO表示组织能够承受的最长中断时间,而 RPO则表IA和恢复策略的基础上进行设定, 并应定期进行审查和更新。
04
设定合理的RTO和RPO有助于组织制定有效的恢复 计划,确保在发生中断时能够快速恢复运营并最小
化数据丢失。
测试和演练
测试和演练是验证BCM计划有效性 的关键步骤。
恢复策略应基于BIA的结果,并考虑 组织的业务目标、资源限制和风险承 受能力。
恢复策略应详细列出每一种潜在业务 中断的恢复计划,包括恢复时间目标 (RTO) 和恢复点目标 (RPO)。
恢复时间目标 (RTO) 和恢复点目标 (RPO)
01
02
RTO和RPO是衡量组织对业务中断的容忍度的 关键指标。
,对在BCM实施中表现优秀的部门和个人 进行表彰和奖励。
法律法规和合规性要求
要点一
总结词
法律法规和合规性要求是BCM实施的重要约束条件,需要 加强法律法规的宣传和遵守。
要点二
详细描述
业务持续管理需要遵守相关的法律法规和标准要求,如 ISO 22301等。组织需要加强法律法规的宣传和培训,确 保员工了解并遵守相关法律法规。同时,建立合规性审查 机制,定期对业务持续管理进行合规性检查,确保符合法 律法规要求。此外,与法律顾问保持密切联系,及时了解 最新法律法规动态,为组织提供专业的法律意见和建议。
业务连续性管理体系 指南
业务连续性管理体系指南英文回答:Business Continuity Management System (BCMS)。
Introduction.A Business Continuity Management System (BCMS) is a framework that helps organizations develop and implement plans to ensure the continuity of critical business operations in the event of a disruptive event. It provides a systematic approach to identifying, assessing, and mitigating risks to an organization's ability to operate effectively.Components of a BCMS.A BCMS typically includes the following components:Scope and Objectives: Defines the scope of the BCMSand establishes its objectives.Risk Assessment: Identifies and assesses potential risks that could disrupt critical business operations.Business Impact Analysis (BIA): Determines the potential impact of disruptions on business operations.Business Continuity Plan (BCP): Outlines the procedures for responding to and recovering from disruptions.Incident Response Plan (IRP): Provides guidance for responding to specific incidents that could disrupt business operations.Exercises and Training: Regularly tests and exercises the BCMS to ensure its effectiveness.Management Review: Periodically reviews the BCMS to ensure its continued effectiveness and alignment with the organization's strategic objectives.Benefits of a BCMS.Implementing a BCMS provides several benefits to organizations, including:Enhanced operational resilience and reduced downtime in the event of disruptions.Improved ability to recover quickly from disruptions, minimizing financial losses and reputational damage.Increased stakeholder confidence, demonstrating the organization's commitment to business continuity.Compliance with regulatory requirements for business continuity planning.ISO 22301 BCMS Standard.ISO 22301 is an international standard that provides guidelines for establishing, implementing, maintaining, andimproving a BCMS. It provides a common framework for organizations to ensure their business continuity arrangements are effective and aligned with best practices.Conclusion.A BCMS is an essential part of modern risk management and business planning. It helps organizations prepare for and recover from disruptions, ensuring the continuity of critical business operations and minimizing the impact of unforeseen events.中文回答:业务连续性管理体系(BCMS)。
加强商业银行业务连续性管理的分析与思考
加强商业银行业务连续性管理的分析与思考经济全球化和金融市场开放的加速,催生了更加激烈的国内外竞争格局,金融危机的洗礼使得国际、国内经济和金融环境变得愈加复杂,如何在日趋激烈的市场竞争中实现银行业金融机构的持续发展,如何在愈加恶劣的生存环境和更为复杂的技术应用条件下增强机构应对灾难和各种突发事件的能力,保障业务连续性运营,成为国内银行业金融机构面临的重点和难点问题。
一、形势与背景从国际上看,业务连续性管理(BCM)的发展依赖于灾害事件的驱动,灾难事件频繁发生促使各国提高防灾意识和推进BCM管理的主动性。
国外发达国家在此领域已有10年的发展历史,9.11事件之后,国际社会出台了一系列业务连续性相关的标准、政策,如英国标准协会BS25999、新加坡SS540业务连续性管理标准等,目的是指导企业以保障业务持续运营为目标,建立起覆盖整个企业的常态化、系统化管理机制,有效应对事故和灾难、快速恢复业务;美国、香港等国际银行业监管当局也相继发布了业务连续性监管要求。
我国的业务连续性与灾难恢复建设在本世纪刚刚起步,基本围绕应急管理和灾难复两个方面开展实践。
2003年的“SARS”、2008年的汶川地震等灾难事件,使我国政府部门和企业提高了对灾难应对、应急管理的重视和认识,国家用了5年左右的时间,基本建立了覆盖地震、卫生、电力、通信等一系列、全面应对灾害的应急管理机制,制定了从国家总体预案、部门预案、地方政府预案到重要企事业单位的较为全面的应急预案体系。
与此同时,随着信息技术的发展和社会基础设施对信息系统依赖度的提高,保障关键信息系统服务功能在灾难情况下尽快恢复显得尤为迫切,2005年国务院信息化工作办公室组织银行、证券、保险、电力、民航、铁路、海关、税务等8个国家重要信息系统所在行业,编制、发布了《重要信息系统灾难恢复指南》,有力地促进了国家重要行业信息系统的灾难恢复建设工作。
二、银行业务连续性管理的现状与问题近年来我国银行业业务发展迅猛,大型银行的资本总额、开户数量、业务处理量已位居世界前列,经营范围遍及全国并在海外快速扩张,一旦业务停顿,可能影响全行乃至整个金融体系的正常运转,并影响社会稳定。
业务连续性管理体系(bcms)相关标准介绍
标准咨询CHINA QUALITY AND STANDARDS REVIEW业务连续性管理体系(BCMS)相关标准介绍张旭刚(中国金融认证中心)韩少伟(内蒙古自治区公安厅)谢宗晓(中国金融认证中心)标 准 解 读1 概述随着自然灾害和人为事故的频繁发生,企业的业务连续性管理(Business Continuity Management,BCM)越来越受到重视,尤其是银行业,一旦发生核心业务中断,且在规定时间内1)未完成恢复,不仅会给银行的声誉和利益带来严重影响和损失,而且会影响社会稳定。
鉴于此,2011年12月,银保监会2)发布了《商业银行业务连续性监管指引》(银监发〔2011〕104号),正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。
2017年6月1日,《中华人民共和国网络安全法》正式实施。
其中第三十三条规定,“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”。
进一步又明确了重要系统的业务连续性在我国的法律地位。
通常容易将业务连续性管理(BCM)与灾难恢复(Disaster Recovery,DR)混淆。
在ISO 22301:2012《公共安全 业务持续性管理体系 要求》中,业务连续性管理(BCM)定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。
” 灾难恢复在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
”所以,严格地说,灾难恢复是恢复数据的能力,解决信息系统灾难恢复的问题。
而业务连续性强调的是组织业务不间断的能力,范围更大。
浅析商业银行“业务连续性管理体系”的构建
浅析商业银⾏“业务连续性管理体系”的构建当前世界所⾯临的风险有恐怖袭击、⿊客、⽹络侵袭、电脑病毒、⾃然灾害、⼤规模停电、罢⼯、环保、市场恶性竞争、企业倒闭等,近年来发⽣的“9.11”、“SARS”事件、印度洋海啸等给国家和企业带来重⼤的损失。
在⾦融领域,重⼤灾害事故亦不鲜见,2005年11⽉⽇本东京证券交易所由于系统故障,所有股票、可转换公司债、信托投资等共计2,520个品种暂停交易,整个上午⽆法进⾏主要交易;2005年6⽉17⽇,由于美国信⽤卡系统解决⽅案公司 CardSystems 的安全漏洞,导致4000万⽤户的银⾏资料被泄漏,其中包括 MASTER 公司的1390万⽤户、VISA 的2200万客户;2006年4⽉,银联全国跨⾏交易系统瘫痪6⼩时,国内⼤部分商户的POS机⽆法刷卡,所有银⾏的ATM终端⽆法跨⾏操作,造成了重⼤社会影响等等⼀系列的事件。
由此可见⾦融业务数据⼤集中的同时,客观上也把风险集中和放⼤起来根据权威机构统计,美国在近10年间遭遇过灾难事件的公司中,有55%的公司马上倒闭,因为数据丢失造成业务⽆法持续,有29%的公司在两年之内倒闭据Gartner Group统计,在经历⼤型灾难事件⽽导致系统停运的公司中,有2/5左右再也没有恢复运营,剩下的公司中也有接近1/3在两年内破产。
9.11事件中,1200家企业受灾,400家企业启动了灾难恢复计划,其中摩根⼠丹利公司⼏天后在新泽西州恢复营业,⽽⽆灾备能⼒的企业损失惨重 世界各国的案例表明,传统的业务管理⽅法及流程,在遭遇灾害事件时常常不堪⼀击。
越来越多的危机事件的影响使⼈们认识到,只有构建真正有效应对危机事件的管理体系,使管理科学化、⼿段现代化,才能保证业务的连续运⾏,实现企业的可持续发展。
在此背景下,业务持续管理 (BCM)应运⽽⽣。
BCM的重要性显著增加,在英国,拥有⾏之有效的业务持续计划,已成为企业上市的基本要求;美国企业法对业务持续管理的具体措施也有明确要求;新加坡已拥有多个保证业务连续性的标准流程和管理规范,其⾦融局已经制定了业务持续管理的指导规范和管理标准。
银行业务连续性管理体系建设方法研究
银行业务连续性管理体系建设方法研究作者:刘杰来源:《时代金融》2014年第05期【摘要】本文以某银行的业务连续性管理体系建设为研究背景,制定了覆盖全行总/分/支三级机构业务连续性管理的工作流程和管理体系;结合国内外具体实践基础上,通过深入分析,对业务连续性管理体系的具体建设分为3个模块和6个具体化执行阶段,成功高效地完成了业务连续性管理工作,为各银行同业提供了参照方法和工作思路。
【关键词】业务连续性管理现状调研业务影响分析风险评估一、引言银行业务连续性管理(简称BCM),是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序[1]。
将业务连续性管理纳入全面风险管理体系,能够建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
本文以国内某大型股份制银行客户为分析背景,对如何开展银行业务连续性管理体系建设方法作出了研究。
二、项目背景介绍及业务连续性管理体系建设实施措施本文研究的项目背景是某行《新资本协议实施规划项目》中的子项目;研究目的是在按照银监会某文件《商业银行业务连续性监管指引》(以下简称监管指引)和新资本协议的有关要求下,参考国外有关标准和国内外同业的实施经验,结合该行现状从而制定覆盖全行总/分/支三级机构业务连续性管理的工作流程和管理体系,以达到同业管理水平及新资本协议和监管指引的要求。
其具体建设措施为:业务连续性管理体系建设项目分为总体规划、总行实施和分行试点推广三大模块。
各个模块的主要工作为:总体规划阶段主要有:现状调研、方案计划制定、体系规划、业务连续性基础培训等;总行实施阶段:业务影响分析和风险评估、重要业务范围界定、制度规范建设、总体预案和专项预案建设、演练;分行试点推广阶段:试点分行调研、试点分行培训、试点分行业务连续性管理相关体系建设、试点分/支行的演练等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于商业银行业务连续性管理(BCM)架构体系的研究
随着经济全球化进程的不断加快,支撑全球经济活动的金融服务尤为重要,
金融服务的持续性和金融秩序的稳定性已经成为影响经济活动的最重要因素之一。
而随着银行业务对信息系统的高度依赖,以及银行数据大集中、业务集中处理等业务模式和系统架构的变化,使得银行数据中心成为支撑金融服务聚焦点,
一旦发生突发事件导致数据中心的IT系统瘫痪,将会造成银行金融服务的全面
中断。
因此加强银行的风险防范意识,建立银行的业务连续性管理体系已成为金融监管机构和商业银行高管的首要任务。
商业银行的业务连续性管理体系建设是一项复杂的系统工程,它不仅需要建立银行数据中心和信息系统的高可用技术平台,而且更需要建立覆盖银行所有业务的持续性管理体系。
论文将从银行的管理模式、业务需求和资源建设等多个视角全面理解业务连续性管理体系建设的深层次需求,并基于成熟、先进的SOA(面向服务的体系架构)体系架构提供一种清晰、简洁、高效、可扩展的业务连续性规划建设方法,这种方法具有以下优势:●需求调研无死角、无盲点由于银行的业务连续性管理需求来自于银行的管理层、业务层和IT层等多个层面,包括管理体系建设、业务恢复流程、业务数据保护、信息系统灾难恢复体系建设等。
为全面理解和准确把握上述各个层面的需求,本文将采取建立分类需求标签的方法,标识所有与业务连续
性管理相关的需求点,确保需求无死角、无盲点。
●服务的精细化与定制化论文采用了原子服务的设计理念,精细、准确地描述了满足各类需求的服务资源,同时结合本人多年在大型商业银行灾备系统建设及维护的管理经验,制定了一套标准、规范的服务匹配、编排和组合方法,实现对各类需求的服务定制。
●业务变化的快速适应能力银行的业务近几年发展非常迅速,而传统的灾备建设模式往往不能适应业务发展所带来的系统规模扩展和系统架构的变化,为此论文采用的服务定制化方法建立了业务需求、服务以及资源的对应关系,并解决了资源投入无法与业务变化相匹配的问题,同时通过服务的定制化快速地适应了业务的变化。
论文包括了以下几个部分:第一章绪论,全面阐述项目研究的背景与意义,
通过对银行业务连续性管理监管要求的解读及对我国商业银行业务连续性管理
体系现状的分析,提出本项目的主要内容。
第二章业务连续性管理规划方法,通过对商业银行业务连续性管理需求的分析,提出业务连续性管理规划方法。
第三章
业务连续性管理通用服务框架,按照业务连续性管理规划方法进行服务需求标签、服务资源库、服务规则库设计。
第四章某银行业务连续性服务方法,以某大型商业银行为例,阐述采用这种方法进行业务连续性管理体系建设的过程和取得的效果。
综上所述,论文以商业银行业务连续性服务体系建设为目的,重点解决了商
业银行在业务连续性管理体系建设过程中普遍存在的管理层不重视、业务部门不参与、资源投入不科学、体系建设无目标等问题。
论文基于SOA体系架构提出了需求标签设计、服务资源库的构造和服务规则库的设计方法,实现了对业务连续性服务需求的准确理解和对业务连续性服务方案的快速定制,并在某大型商业银行的业务连续性管理体系建设中得到了实际应用,收到了良好的效果,对其他商
业银行业务连续性管理体系建设有较高的参考价值和借鉴意义。