支付清算系统业务连续性管理机制研究范文目录/提纲: 一、系统运维风险概述 二、业务连续性管理和计划 三、建立支付清算系统BCM机制主要步骤和技术要点 3、研究制订解决方案研究资源和恢复时间需求 4、解决方案的规划执行危机管理 四、商业银行BCM实践启示 支付清算系统业务连续性管理机制研究 中国银行总行运营服务总部收付总监 通常提到的“运维风险”,主要是指操作风险《巴塞尔新资本协议》率先将操作风险的衡量和管理纳入金融机构的风险管理框架中,并将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”我国的支付清算体系作为支持国家经济发展、维护金融稳定的重要组成,由中央银行履行支付结算职能、商业银行为客户提供支付结算服务,其运维风险防范工作尤为重要,有必要对支付清算系统运维风险进行深入研究,并建立相应的风险防范机制一、系统运维风险概述1.支付清算系统运维风险影响因素 根据《巴塞尔新资本协议》对操作风险的定义,支付清算系统运维风险主要有以下四方面影响因素人员因素:银行员工内部欺诈;失职违规;知识技能匮乏;核心员工流失内部流程:流程设计不完善、缺失,甚至无效。
系统因素:由于信息科技部门或服务供应商提供的应用系统或设备发生故障或其他原因,银行不能正常提供服务或业务中断而造成损失外部事件:外部欺诈/盗窃;洗钱;监管规定;业务外包;自然灾害和恐怖威胁 2.运维风险划分类别 根据商业银行管理和控制操作风险的能力,可以将运维风险划分为四大类,即:可规避、可降低、可缓释、应承担的操作风险 BCM/BCP是除“保险”和“外包”外,针对可缓释操作风险的重要风险管理措施由于制定和执行BCP解决方案需要付出成本,某种程 施和技术 BIA要达到目的:①确定哪些业务职能与流程是绝对重要和必要的;②确定在影响变得严重之前关键职能或流程能够重新恢复营运所需时间;③确定哪些恢复策略与解决方案能够满足业务恢复时点要求;④确定将需要哪些恢复资源重新启动重大业务运转;⑤对需要恢复运营的业务职能、流程与资源进行优先排序 BIA的结果在呈现形式上将因业务复杂程度而不同,在初期建立BCP阶段,一般采取问答文件或电子数据表方式 3.研究制订解决方案 研究资源和恢复时间需求包括人员、技术、其他资源、恢复时间目标等需求整体恢复运营时间目标包括启动时间+基础设施恢复时间+应用恢复时间+数据恢复时间+业务处理恢复需要时间。
具体方案策略①业务恢复选择方案:确定危机管理控制备用地点;员工业务处理备用地点;现场恢复成本;使用距原现场较远的现有办公场所;依靠服务商管理还是自身管理②技术恢复选择方案IT数据中心备份设施;重大系统恢复;丢失数据与重要记录恢复;IT恢复场所需考虑的特殊因素③成本与风险权衡要根据银行实际情况选择确定平衡成本与风险的适宜方式④人员恢复选择方案转移职能:指本地职能需求在另一场所具有相兼容的职能,该场所在预先确定的时间框架内以及一定期间能够承担完整的职责将员工迁至其他场所:指将本地参与恢复行动的员工迁至另一生产办公场所,并在预设时间段承担关键业务流程职责在家工作:指参与恢复行动的本地员工在预设时间段在家办公本地恢复场所:指有选择地将本地员工迁至专门的本地恢复办公场所,并承担关键业务流程职责 4.解决方案的规划执行 危机管理①建立危机管理团队:一般由银行高管层与各部门代表组成,在危机发生时,能够尽快评估损失并做出应对危机的必要决策②危机管理团队工作内容:建立团队沟通渠道,确定团队进行危机控制管理的场所;明确团队成员职责,提供内外部沟通使用的有效联络信息;由IT、运营、前台与危机管理团队代表共同组成事件评估团队,对危机情况进行初步评估,提交危机管理团队进一步评估;一旦启动恢复计划,管理团队将全程负责危机的管理,包括向内外部信息传达、协调执行相关BCP计划、解决问题等,直至业务和技术彻底恢复。
业务恢复确保各项业务/各个部门的关键业务、员工及应用系统的恢复步骤,至少包括以下不同阶段:人员遣散>>>抵达恢复场所步骤>>>在恢复场所的业务恢复步骤>>>返回正常工作场所后的复原步骤 技术恢复确保基础设施、应用系统等恢复工作状态,包括明确IT部门要开展的具体恢复行动以及生产系统与相关恢复解决方案的说明等 5.测试演练 目的:①确保BCP计划行之有效,业务能够在目标时间框架内以确定的目标水平继续开展;②暴露现有BCP计划的任何问题,对BCP计划作出相应调整;③使员工熟悉BCP计划,以便在危机发生时能够明确其职责和应采取的行动 关键点:①测试并提升承担各项职能人员从容应对危机的能力,包括危机管理、业务恢复和技术恢复;②测试所有职能之间的协作配合程度 内容:①办公区人员疏散②部门呼叫树:提供树状结构的呼叫方式,使得业务中断或部门内部通知时具备有效的信息传导渠道③危机管理通知:向危机管理团队发出的人工或自动呼叫流程④前台至后台预演练习,要确保:各部门均理解自身与其他部门及IT系统的相互依赖性;各部门相互协作配合,支持整套BCM规划的实施⑤交易处理流程:评估数据在具有相关依赖关系应用系统之间的正常流动。
要求:①确定测试演练频率;②以业务为驱动,业务与IT部门密切配合;③确定测试范围以及各职能之间的依赖性;④更复杂的系统化测试要求采用项目管理方式进行 后评价:①测试结果是否符合BCP要求,例如RTO和RPO;②分析发现问题,调整完善BCP 6.报告和持续改善 通过不同类型的报告,如年度BIA报告、BCP测试演练报告、特殊事件的即时事后分析报告等,提高风险的透明度,为各类业务排优先级顺序,并提供评估权衡风险与解决方案成本的机制 对BCM和BCP进行持续的维护和完善,要确保:①BCP必须定期审查和更新,确保信息是最新且有效的;②测试演练是以业务为导向而不是以IT为导向;③业务管理部门最终对BCM和BCP负责 四、商业银行BCM实践启示 1.海外实践及启示 近年来各国监管部门对支付清算系统BCM工作要求日益严格,发达国家比较早就提出了BCP计划监管要求 以某商业银行设在美国的分行为例:该行应美国当地监管部门要求和本行运维风险防范需要,于2022年投资建设了支付清算系统的热备份系统,使该行清算业务处理实现了双机并行该行从BIA、人员培训、场所准备、IT基础规划等各方面制定了收付清算应急计划,并定期测试、检查、更新。
定期参加美国当地FEDWIRE和CHIPS两大支付系统的季度联机测试,大大加强了运 11。