直达原文:【灾备应急管理】《2023年金融机构业务连续性管理能力建设调研报告》解读(附下载)
摘要:多数金融机构已建立业务连续性管理体系,但仍需加强风险管理、专业培训和审计实践。中国计算机用户协会信息科技审计分会在2021年发布团体标准T/CCUA 012-2021《金融机构业务连续性管理能力模型与评估》,并在2024年1月正式发布了《2023年金融机构业务连续性管理能力建设调研报告》供金融机构业务连续性建设参考借鉴(后文简称报告)。报告内容包括基本信息、治理情况、管理情况、评估与审计情况、行业服务需求等5大类44个问题。报告指出,目前金融机构已在治理和管理层面采取了必要措施,并在提升自身能力方面取得进展,但在对业务连续性概念的理解与资源投入上,仍存在进一步提升的空间。
涉及关键词:业务连续性管理、灾备应急管理
金融行业业务连续性管理能力调研
2011年,中国银监会发布《商业银行业务连续性监管指引》,要求商业银行建立业务连续性管理体系。经过多年发展,金融机构已建立满足业务需求的管理能力。2019年,信息科技分会举办工作会议,明确业务连续性管理能力建设的重要性。2021年,分会发布团体标准,提出业务连续性管理能力成熟度模型和评估方法。2022年,分会启动评定服务工作,推动行业高质量发展。2024年发布《2023年金融机构业务连续性管理能力建设调研报告》。
参与调研的对象以金融机构为主,包括政策性银行、国有银行、股份制银行和城商行、农商行等金融机构,占比91.3%,其他金融机构(包括财务公司、证券机构、基金公司、 期货公司、金融科技企业等)占比 8.70%,另外,有 1 家金融监管单位也参与了本次调研。
业务连续性管理能力结构及建设现状
业务连续性管理能力成熟度模型概述
业务连续性管理是金融机构为应对运营中断事件而采取的策略,确保关键业务持续运作。金融机构通过能力指标来衡量业务连续性管理的特定能力。这些能力分为组织与驱动力、人员能力与文化、日常管理过程、应急管理过程等四个能力域,每个能力域进一步细分为子域和能力项。金融机构的业务连续性管理能力成熟度分为五个等级:起始级、发展级、稳健级、优秀级和卓越级。能力指标的评分分为状态性和过程性两种,各有三个评分等级,用于评估和提升业务连续性管理的成熟度。
金融机构业务连续性管理能力成熟度模型
治理能力建设情况
金融机构业务连续性管理正经历从外部强制驱动向内外部平衡驱动的转变,其中56.52%的机构业务连续性管理内外部驱动力均衡,而26.09%的机构仍主要受外部因素驱动,内部驱动的机构占比较低,仅为17.39%。在治理结构方面,73.92%的机构明确设立了业务连续性管理委员会,通过该委员会,治理层和高级管理层能够审议关键的业务连续性规划和策略,确保资源的有效配置。业务连续性的归口管理部门主要是风险管理部门,占比达69.57%,其次是科技部门和内控部门。这种设置有助于将业务连续性风险纳入全面风险管理框架,利用风险管理的专业知识和经验,实现跨部门的统一协调。在应急管理方面,风险管理部门同样承担主要职责,占比47.83%,科技和办公室部门也参与其中,确保了应急管理与业务连续性管理在多个层面的协同一致性。
在业务连续性管理方面,绝大多数机构(91.3%)已配置专职人员,其中78.26%的中小机构拥有1-3名专职人员。大型机构如股份制或国有银行则配置5-10名专职人员,占13.04%。但仍有8.7%的机构未配置专职人员。兼职人员配置占比69.57%,且与专职人员配置趋势一致,数量与机构规模成正比。尽管47.83%的机构人员具有相关资质,但资质种类单一,主要依赖国外证书,国内金融行业相关资质和资源相对匮乏。专业培训参与度低,仅26.09%的人员接受过专业培训,培训渠道和类型有限。73.91%的机构已制定业务连续性战略或规划,涵盖原则、目标、方针、影响分析、恢复目标、策略和行动方案等关键要素,显示业务连续性管理已成为机构战略的一部分。
管理能力建设情况
在业务连续性管理方面,绝大多数机构已经实施了关键措施,95.65%的机构完成了业务影响分析(BIA),86.96%进行了风险评估(RA),78.26%制定了业务连续性计划(BCP)。所有机构都设定了恢复目标(RTO/RPO)并制定了恢复策略,进行了专项预案制定和演练。
尽管56.52%的机构拥有完善的业务连续性管理制度流程,但仍有39.13%的机构流程不够完善。91.3%的机构依赖内部团队进行BIA,这可能受到组织文化或内部因素的干扰。建议引入外部专家团队以提升BIA的客观性和能力。
73.91%的机构在一年内进行了BIA,所有机构在过去三年至少进行了一次。34.78%的机构每年进行BIA,而43.48%每三年进行一次。43.48%的BIA覆盖了所有业务,47.83%覆盖了所有重要业务,8.7%仅覆盖部分重要业务。
所有机构的BIA报告都能分析业务中断影响,进行恢复优先级排序,确定恢复策略和关键资源识别。91.3%的机构能基于内外环境进行业务流程和资源分析,78.26%能进行风险识别和评估,95.65%能确定RTO/RPO。69.57%和65.22%的机构能确定风险管理策略和管理行动计划。
60.87%的机构在BIA过程中缺乏工具支撑,39.13%使用业务连续性管理平台或系统。这表明机构在业务连续性管理工具的使用上还有提升空间。
机构在业务连续性风险评估(RA)方面主要依靠内部力量,占比82.61%。39.13%的机构将RA与业务影响分析(BIA)同步进行。开展频率上,34.78%的机构每年进行RA,13.04%每两年一次,8.70%每三年一次。所有机构都对重要系统和网络资源进行了评估,78.26%评估了办公场地,73.91%评估了岗位和人员以及数据和单据,69.57%评估了外包服务和外部合作方。风险评估正逐渐扩展至非IT资源。在工具使用上,73.91%的机构未使用任何工具,26.09%使用了工具,包括资产、威胁分析等。
所有机构已完成“两地三中心”建设,17.39%的机构实现了运营级双活模式,56.52%的机构重要业务系统可由多个中心承载,13.04%的机构采用应用级主备容灾模式。
机构在制定专项预案时,主要采用两种模式:按业务制定和按场景制定。按业务制定预案占比56.52%,更注重业务特点和需求,但可能存在适用场景模糊和内容重复问题。按场景制定预案注重应对具体危机,但可能忽略业务差异。机构应结合两种模式,根据风险需求选择合适模式。
在应急预案管理上,有三种模式:43.48%的机构各部门自行维护电子版与纸质版预案;34.78%的机构自行更新并由特定部门统一管理;21.74%通过系统线上统一管理。
在中断事件发生时,26.09%的机构能恢复全部业务,86.96%能恢复70%及以上业务,13.04%的机构业务恢复低于60%。91.3%的机构有单独的应急流程,8.7%的机构需要加强。
业务连续性演练方面,系统灾备演练覆盖率100%,86.96%的演练包括业务部门人员参与的突发事件和人员转移。部分机构演练局限于科技条线,但多数已提升至整个机构层面。灾备演练主要采用真实演练,覆盖率95.65%,辅以桌面演练和模拟演练。
机构在进行场地不可用和人员转移的应急场景演练时,采用真实演练、桌面演练和模拟演练三种模式。58.33%的机构实施了真实的人员场地转移演练,而75%和66.67%的机构分别采用了桌面和模拟演练方式。对于业务中断的应急演练,75%的机构业务部门采用桌面和模拟演练,65%采用真实演练。
在非典型中断场景演练中,如重要外包中断,大多数机构采用模拟和桌面演练,仅有33.33%进行真实演练。在业务连续性综合演练控制上,39.13%的机构使用微信群和线下会议的传统沟通方式,而56.52%的机构采用线上平台,提高了演练的规范性和专业性。
65.22%的机构结合业务测试和桌面演练等方式开展专项预案测试,但34.78%的机构尚未进行此类测试。专业测试对验证预案有效性、提高应急响应能力至关重要。在业务中断上报方式上,95.65%的机构通过电话、微信直接反馈,56.52%通过OA系统上报,34.78%建立线上平台使用呼叫树技术逐级上报,提高响应速度和处理效率。
评估情况
近两年,大部分机构进行了业务连续性管理审计,其中69.57%由内部完成,26.09%聘请外部机构,4.35%计划聘请外部。56.52%的机构进行了能力评估,43.48%内部完成,13.04%外部评估。39.13%未进行评估,部分计划外部评估。43.48%不了解评估服务。56.52%定期自评,17.39%委托第三方,34.78%有评估体系。43.48%用评估结果改进管理。评估主要依据法规(91.3%)、内部制度(73.91%)和相关标准(60.87%),少数依据经验(17.39%)。
报告显示,绝大多数机构(95.65%)期望通过业务连续性管理能力评估识别薄弱环节,并有82.61%希望获得提升方向。52.17%的机构关注自身能力在行业内的相对位置,43.48%希望了解历年能力提升或下降的轨迹。73.91%的机构面临业务需求驱动实施策略的问题,超过50%的机构迫切需要强化业务连续性风险管理、运行维护和危机管理。
47.83%担心团队在业务中断时不能积极恢复,39.13%关注持续改进机制缺失,30.43%和26.09%分别担心投资不足和风险管理意识缺乏。提升业务连续性管理能力的关键因素包括业务连续性计划演练(95.65%)、遵循监管指引和标准、业务风险管理等,多数占比超过70%。在预算投入方面,69.57%的机构每年投入100万元以内,26.09%投入100~500万元。
建议与展望
随着互联网金融的发展,银行信息系统需要支撑更加差异化和综合化的服务,同时满足国际化的监管要求。新技术的应用为金融机构提供了提高业务连续性的机遇,例如通过云架构实现资源的弹性供应和快速响应业务需求。业务连续性管理将与技术、业务、数据和风险管理更紧密地结合,形成更加综合的管理框架。从管理层面,运营韧性、SRE可靠性工程可以更多地应用于业务连续性的保障;从工具层面,线下文档化的预案管理、零星的灾备切换自动化任务可以更多地通过平台化的灾备应急管理工具进行统一管理,从事前、事中、事后进行全面的技术支撑。