基于商业银行重大突发事件下的安全与韧性管理研究

李民 蔡鹏远

[摘要]以商业银行业务连续性管理审计为例，通过审计重点解析、审计方法及案例分析，对内部审计促进组织在重大突发事件下改善业务连续性管理水平、提升安全运营能力效果进行了论证。研究认为，全面坚持总体国家安全观，商业银行内部审计通过业务连续性管理审计，可以帮助商业银行提升业务连续性管理水平，减少运营中断事件，提升业务运营稳定性和安全性。

[关键词]业务连续性管理   商业银行   内部审计   发展和安全

一、引言

统筹发展和安全，既是重大的理论问题，也是对实践的重要要求，更是商业银行实现高质量发展和高水平安全的必由之路。进入21世纪以来，我国商业银行快速发展，经营领域不断拓展，信息系统架构变化较大，业务运行复杂性持续上升。比如，随着科技发展，商业银行对信息系统依赖程度越来越高，各类新技术、软硬件的引入也对信息系统的稳定运行带来一定影响。与此同时，随着普惠金融拓展，线上支付交易、金融市场等业务使得商业银行业务连续性安全面临着更严峻的挑战。

二、政策制度概述

（一）国际组织对业务连续性的定义

2006年8月，巴塞尔银行监管委员会及国际证监会组织等国际监管组织发表了《业务连续性的高级别原则》（以下简称《原则》），在国际层面统一对商业银行业务连续性（Business Continuity，简称BC）提出了要求。《原则》详细说明了金融机构和金融体系确保业务连续性的重要意义，指出业务连续性是金融机构和金融监管机构一直以来的最高任务。《原则》认为，确保金融体系在重大突发事件之下仍能保持韧性是金融机构和金融监管机构共同利益所在。

国际清算银行（BIS）等监管组织认为，业务连续性是指业务连续的、不中断的持续运营状态。美国联邦金融机构检查委员会（FFIEC）认为，业务连续性管理（Business Continuity Management，简称BCM）是指金融机构为保护员工、客户利益以及产品服务不会中断而采取的提升韧性、连续性、危机响应等相关举措的管理流程。

国际标准化组织（ISO）于2019年10月发布了新修订的业务连续性管理体系标准，与2012年第一版相比，名称由“公共安全-业务连续性管理体系要求”更新为“安全与韧性-业务连续性管理体系要求”。由此可见，业务连续性管理国际化实践更加迎合了“韧性社会”的发展潮流，更加注重组织应对各类重大突发事件，并对脆弱性进行识别与管控，从而增强组织韧性以保持业务连续。

（二）国内对商业银行业务连续性管理要求

商业银行对业务连续性方面的要求近乎苛刻，采用业内最高标准进行系统的规划、设计和构建。近年来，国内银行发生的重大突发中断事件表明，尽管商业银行灾难恢复和数据保全方面已经较为完善，但仍不可避免发生中断事件，而业务连续性管理所解决的就是一旦发生重大突发事件，企业能够在多长时间内恢复多少业务的问题。

金融监管机构十分重视商业银行业务连续性管理体系建设。2010年，原银监会发布《商业银行数据中心监管指引》，已经提及了灾难恢复管理。2011年原银监会专门针对业务连续性管理下发《商业银行业务连续性监管指引》，这些足见我国监管机构对商业银行业务的连续性管理的高度重视。

三、商业银行业务连续性管理面临的挑战

当前，全球经济一体化，商业银行提供的金融服务包括支付结算服务、存贷款服务、转账服务和募集资金等投融资服务，对于促进社会经济稳定运行起到了重要作用，但商业银行同时也面临以下重要挑战：

1.境内外商业银行的耦合性日益紧密。随着社会资金周转速度加快，商业银行之间相互关联性也进一步增强。关联性的增强，使得结算风险、市场风险、信用风险、流动性风险在金融体系之中扩散风险加大。因此，即使是单个银行业务发生中断，也有可能将风险传导至其他商业银行。

2.商业银行清算和结算服务的重要性。比如，在突发事件中清算和结算服务发生中断，将可能导致重要参与者无法完成资金转移、难以偿付其应偿资金，从而对金融体系产生重大负面影响。

3.各类非传统安全风险和突发事件的概率有所提升。突发公共卫生事件、气候变化等因素的影响，对于商业银行保持业务连续性也提出了挑战。

4.信息系统架构转型带来的技术风险持续增加。在总体国家安全观背景下，商业银行正逐步以国产化软硬件替代国外同类产品。但从客观上分析，国产化产品在质量、性能和成熟度上还与国外产品存在一定差距，从而也对商业银行信息系统连续性管理造成了一定影响。

四、商业银行业务连续性管理审计有效实践

内部审计部门作为商业银行风险管理的第三道防线，有责任、有义务在业务连续性管理方面为组织统筹發展与安全提供风险确认和咨询服务。

（一）业务连续性管理审计要点分析

商业银行业务连续性管理审计主要包括以下五个领域：业务连续性组织架构、业务影响分析、业务连续性计划和资源建设、业务连续性演练与持续改进、运营中断事件应急处置。按审计对象可分为总部、科技中心、综合化子公司、全国业务集中处理中心、境内分行、境外机构等6个层面。

1.业务连续性组织架构。管理层对于业务连续性管理具有监督和审查等职责，其重视程度和应对策略判断会对机构业务连续性管理的执行起到决定性作用。管理层需要从宏观角度评估业务连续性的潜在风险，并设定长期和短期连续性目标，采取相关策略和计划来实现相应目标，增强业务的韧性，然后，根据培训、测试和监测的反馈结果来更新业务连续性目标、计划等一系列内容，审计重点见表1。

2.业务影响分析。商业银行业务连续性管理实际执行过程中，业务影响分析（Business Impact Analysis，简称BIA）是业务连续性管理的基石。业务影响分析是指对可能造成业务中断事件进行识别，并对其潜在冲击强度进行分析，包括关键业务职能识别、相互依赖性分析和中断影响，其结果直接决定对应信息系统恢复目标，审计重点见表2。

3.业务连续性计划和资源建设。作为业务连续性管理最为重要的部分，商业银行应根据机构规模和复杂性提前就业务连续性计划（Business Continuity Plan，简称BCP）设置足够细节化的安排，而且BCP应当是动态文件，定期根据组织架构和业务特性等内容进行更新。同时，商业银行业务应分配BCP所需资源，满足业务恢复目标和重要业务持续运营要求。对于商业银行，科技中心和业务部门的资源建设同样重要，审计重点见表3。

4.业务连续性演练与持续改进。商业银行应定期开展业务连续性测试和演练，以此来评估BCP等内容是否符合业务连续性目标。从演练模式上来看，可以分为三种：一是全面演练，全面演练可以充分监测所有可供使用的资源（包括人员和信息系统）是否可以在最大限度上帮助商业银行保持业务连续性。全面演练可以帮助管理层更为准确识别关键业务运营部门之间的关联性。二是有限规模演练。有限规模演练往往是针对特定业务环节或业务条线在特定环境下是否能保持业务连续性来进行的演练。三是桌面演练。桌面演练即为负责业务连续性的人员对其在特定情况下所应扮演的角色和应负责任的讨论，其目标在于确定业务连续性计划对于个人职责和相应目标安排的合理性。最为重要的目的是在其中发现业务连续性管理漏洞和潜在值得改进的地方，因此在进行演练和测试后，应进行针对性改进，确保业务连续性管理能够满足目标，审计重点见表4。

5.运营中断事件应急处置。处置重大运营中断突发事件是检验商业银行业务连续性管理水平高低的唯一标准。商业银行应对自身业务及信息系统运行建立日常监控体系，合理划定运营中断等级，并完善应急管理预案，强化应急保障管理和对外公关，在发生运行中断事件时全方位减少对组织的影响，审计重点见表5。

（二）审计方式及案例分析

业务连续性审计是对管理、业务、科技多个不同专业的综合性审计。针对业务连续性管理中的各个环节、领域和流程，评价其风险控制效果。内部审计部门可以通过现场或非现场方式，运用信息技术特别是大数据分析技术，及时准确把握风险热点。

1.开展专题分析，直击关键环节。商业银行不同业务和信息系统之间存在着复杂的调用关系，这些关系互相嵌套，对业务连续性的管理带来一定难度。业务连续性管理中的一大重点就是要对关键业务职能的识别进行相互依赖性分析和中断的影响评估。对于部分高灾备等级业务或系统需调用的低灾备等级业务，但出现底层业务或系统中断时，将直接影响调阅其的重要业务或系统的可用性。

案例1：重要信息系统灾难恢复调用基础应用存在不可用隐患。比如，某商业银行已将所有信息系统应急预案通过应急管理平台进行管理，不再维护纸质应急预案。但该平台灾备等级较低，对应的系统恢复时间和数据恢复点均为7天。在灾难环境下，上述应用将无法及时恢复，导致存储于上述应用的所有应急预案无法获取，如果此时再发生其他业务或信息系统等生产中断事件，将影响信息系统的应急处置工作，导致系统恢复时间延长。

2.强化数据分析，瞄准业务疑点。内部审计通过数据分析，建立审计分析模型寻找风险线索已是普遍的审计方式。通过模型分析，一是可以扩大审计样本量，实现全量审计;二是可以大幅降低审计成本，提高审计效率。审计人员通过对银行网点日均业务量分析，发现部分网点交易量存在异常，为商业银行基层机构连续性管理提供审计线索。

案例2：部分网点交易量较平均值大幅下降。通过对2020年以来某商业银行所有网点日均交易量的数据分析和建模，得到了一批工作日无交易量或交易量大幅下降的网点清单，通过进一步分析清除部分少数民族节假日、网点装修、市政计划内停电等干扰因素，最终确认了多家网点由于水患、疫情封锁等非正常原因造成运营中断，涉及多个省份。

3.吸取历史经验，比照开展审计。历史总是惊人的巧合，在业务连续性管理中也不例外，内部审计部门可以收集行业内外、国内外相关信息，从中提炼风险线索，对本机构相关管理现状开展审计。

案例3：业务应急预案部分场景不够极端。在2003年SARS疫情前，香港证券及期货事务监察委员会（SFC）在旧版业务连续性计划中，模拟的场景为部分员工由于突发事件无法前来上班，但是在面对SARS疫情时，出现由于单个员工被感染而导致整个部门被要求进行医学隔离的情况，因此以SFC为代表的金融监管部门和商业银行在此次事件后相应调整了其业务连续性计划。结合上述资料，内审部门在对商业银行部分机构开展审计时，也发现了存在类似情况，如某机构清算中心预案模拟就没有设计由于疫情或其他因素造成办公场地不可用、组织人员到备用场地开展业务的应急场景，同时在实际业务连续性资源建设中，也没有制定和安排清算中心的备份工作场地及配套資源。当发生此类运营事件时，将导致该机构的清算业务无法短时间恢复，造成业务中断。

4.利用穿行测试，发现执行漏洞。在审计过程中，内部审计人员可以通过对业务连续性计划和配套应急预案开展穿行测试，检验计划和预案内容的准确性、应急步骤的可操作性。

案例4：科技中心未掌握最新外部技术支持和合作方联系信息。外部技术支持和合作方联系信息是科技中心连续性计划中的重要信息。审计人员通过抽样拨打外部技术支持和合作方联系电话，发现存在XX家外部技术公司的XX名支持人员发生离职或换岗的情况。同时部分重要外部公司联系人及联系信息未纳入统一管理，如没有市政电力部门和发电机供油的外部公司联系人情况及联系信息。

五、审计效果与思考

（一）开展业务连续性管理审计取得的效果

以工商银行为例，通过近年来持续对业务连续性管理开展审计，发现了管理、业务、科技条线中的各种风险，提出有价值的建议，提升组织业务连续性管理水平和质量。虽然内外部连续性风险事件冲击不断，但未发生重大运营中断事件，特别是在新冠肺炎疫情期间，工商银行保持了国内、海外、疫区机构业务正常开展，提供了持续稳定的金融服务。

根据内部审计建议，工商银行不断完善自身业务连续性管理能力，将其从一个单一技术概念，发展成了一个涵盖公司治理、风险管理、业务监控、信息系统的复合型管理模式。2013年以来，工商银行未发生全辖范围内的运营中断事件，生产事件逐年降低，从2013年的20余起，逐渐降低到2020年的不足10起，降幅达到68%（见图1）。

實践证明，通过内部审计活动，可以帮助商业银行提升业务连续性管理水平，减少运营中断事件，提升业务运营稳定性和安全性。

（二）进一步完善业务连续性管理的四点思考

1.以业务连续性管理体系建设为指引，进一步提升商业银行安全运营能力。商业银行必须从长远战略考虑，梳理可能引发业务中断的各类突发事件，深入思考极端条件下银行如何安全稳健运行。从“既要高度警惕‘黑天鹅’事件，也要防范‘灰犀牛’事件”两个方面，不断优化业务连续性计划，并以此对照完善和检验各类应急预案的针对性与可操作性，不断促使技术预案与业务预案有机衔接。

2.按照业务连续性管理原理，开展商业银行全流程运营要素梳理。对引发业务运营中断的事件进行风险识别、评估与管控，按照“预警、处置、改进”3个环节，实现对安全运营全链条的系统管理。善于运用“底线思维”，做好最坏打算，运用技术手段加强风险监测，提前预警。科学、合理地对连续性风险分级分类，有针对性地做好预案与应急准备。

3.通过新技术、新工具，不断完善连续性事件的监控、预警、处置体系建设。商业银行作为信息化程度非常高的行业，要利用好新技术和新工具对业务连续性事件开展监控、预警和处置。通过建设运营安全监控体系，以数据分析和风险模型构建为基础，建设全机构、全过程、智能化、一体化安全运营监控体系和预警体系，确保商业银行各项业务安全稳定高效运行，并不断完善自动化应急处置工具和流程，减少连续性中断事件的响应时间，提高处置成功率。

4.坚持总体国家安全观，做好业务连续性管理标准建设、知识培训与推广实施。与传统安全管理理论实践及方法相比，业务连续性管理体系更加全面系统考虑组织与社会的关系，把企业安全运营纳入整个社会的公共安全体系。业务连续性管理从提出以来，其内涵及要求也在不断变化和完善，商业银行应该以业务连续性管理原理为基础，建立起与我国社会主义安全发展理念相适应的业务连续性管理体系运行模式，以总体国家安全观和公共安全体系建设来指导业务连续性管理实践。

（作者单位：中国工商银行内部审计局西安分局，邮政编码：710075，电子邮箱：43583904@qq.com）

3070500589251