从审计视角关注商业银行业务连续性管理（BCM）.docVIP

从审计视角关注商业银行业务连续性管理（BCM） 　　摘 要：历史上，《左传》曾提到“居安思危，思则有备，有备无患，敢以此规。”对于现代社会中企业的持续、稳定运营，这句话仍然有较大的借鉴意义。而作为现代经济社会运转重要枢纽的商业银行，其业务连续性关系重大，逐步被纳入到各商业银行的经营管理策略和内部控制体系之中。本文将从审计的视角，关注业务连续性管理的演变和发展，在解读《商业银行业务连续性监管指引》过程中，分析现状和存在问题，提示风险并提供对应的解决方法。 　　关键词：业务连续性管理；灾难恢复；全面风险管理；企业文化 　　2011年12月，银监会就商业银行业务连续性管理（BCM）发布《商业银行业务连续性监管指引》（以下简称《指引》），突出强调了业务连续性管理在商业银行治理与风险管理体系中的重要地位，要求各商业银行根据自身发展的总体目标、经营规模以及风险控制的基本策略和风险偏好，确定适当的业务连续性管理战略。 　　面对更高的监管要求，商业银行如何从 “以资产为核心的传统风险管理模式”向“以业务持续发展为目标的风险管理模式”转变，值得关注。 　　一、商业银行业务连续性的定义 　　业务连续性是一种计划和执行组成的策略，目的在于保证企业信息流能维持业务持续运行，对在经营过程中依赖客户信息、产品信息以及其他管理信息的企业具有普遍的重要意义，不独针对商业银行而言。根据《指引》，商业银行业务连续性被定义为“商业银行通过对突发事件的规划和响应，使得重要业务得到有序、快速恢复，实现持续、稳定运行的能力”。业务连续性管理则指“商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体”。 　　二、业务连续性管理的意义和监管要求 　　当前，商业银行所面临的风险早已不再局限于信用风险或市场风险，随着商业银行业务信息化程度的不断提高、银行业务系统日益复杂，给银行业务运营带来了新的挑战和风险。商业银行业务连续性管理是构建全面风险管理体系的重要组成部分。商业银行对其完整性、合理性和有效性应有效评估、持续监督和定期检查。 　　在巴塞尔新资本协议中包括了对业务中断和系统失败的风险控制要求，即保持业务持续运作。国内各监管部门也顺应信息技术、金融业务发展，陆续制定了监管指引和要求，主要条例如下表： 　　从监管的发展演变不难看出：从最初的仅关注灾难恢复到当前的业务连续性管理，体现了从具体操作到系统管理，从局部控制到整理规划的发展。适应了国内金融行业形势发展，也越来越趋同于国际上较为成熟的规范。 　　三、商业银行业务连续性管理的理想架构 　　依据《指引》，商业银行业务连续性管理关系结构应自上而下，由董（监）事会、高管层、主管部门和执行部门组成，应将业务部门纳入管理架构中，具体职责分配如下图1： 　　对应的，商业银行应当由上图中的干系人搭建日常管理组织架构和应急管理组织架构，如下图2： 　　四、国内商业银行业务连续性管理发展状况 　　业务连续性管理作为行业信息化发展的现实需要，一直处于发展、完善过程中。其起源于20世纪60年代，最初以一种对计算机连续运营中单点故障采取的冗余措施的形式出现，关注的主要是灾难事件本身造成的直接损失。70年代，初步出现了容灾恢复的理念，银行和保险公司建立起数据的后备点。80年代后，企业对信息技术的依赖愈加强烈，进而对数据及信息系统的安全提出了新的要求。催生了新技术灾难恢复（Disaster Recovery，简称DR），而灾难恢复的最终目的是业务连续（Business Continuity，简称BC）。由此，业务连续性计划的理论和方法得到了广泛的研究和重视。从DR到BC的演进，其实质是从单一技术手段到系统性策略管理的升华，而国内商业银行大都还处于DR阶段，或是从DR向BC逐步转变阶段。 　　有趣的是，国内对商业银行BCM的研讨主要来自于外部机构，尤以四大会计师事务所最为热衷，2012年先后对BCM管理单独出版刊物，表达了积极进入这一领域的愿望，究其原因，一方面是国外在BCM管理方面较为成熟的管理经验，而国内银行还处于摸索、学习阶段，另一方面是国内越来越规范、严格的监管要求和银行自身风险管理水平的提高所产生的需求。根据安永（Ernst Young）调研资料表明：中国银行业BCM建设状况中，国有四大银行、国开行DR成熟，BC趋于待完善；股份制商业银行DR趋于成熟，BC待完善；城市商业银行DR起步，基本无BC。 　　中国工商银行在2001年前，在开始数据大集中工程时同步开始了灾备规划和建设。2003年，该行核心业务系统的灾备系统已经建成。目前工行建成的灾难备份体系是本地数据实时备份，异地灾难备份，在北京和上海两个数据中心之间跨1200公里的距离建立灾备体系。工行业务连续性规划