业务连续性日常管理机制（业务连续性日常管理机制有哪些）

摘要：商业银行在日常的经营活动中，面临的更多还是业务连续性日常管理，建立完备的业务连续性日常管理机制，将业务连续性管理体系融入到企业文化中，并使其成为商业银行日常运营的一部分，是银行监管机构的要求，也是商业银行提高自身服务水平的举措。本文结合《商业银行业务连续性监管指引》相关规定，从影响分析、风险评估、策略制定、业务连续性计划、资源建设、演练和持续改进等方面描述了建立业务连续性日常管理机制的指导思想、建设重点和方法。

01 业务连续性日常管理简介

《商业银行业务连续性监管指引》第九条 商业银行应当将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分。

根据《商业银行业务连续性监管指引》的相关要求，在制定了业务连续性管理总体制度并且明确了业务连续性日常管理组织架构后，商业银行业务连续性日常管理工作应当在商业银行高级管理层、业务连续性管理委员会的统筹管控下，由业务连续性主管部门牵头、组织、协调，业务连续性管理执行部门、保障部门以及内部审计部门根据本部门职责开展业务连续性相关工作。各分支机构也应当根据总行要求，以本分支机构的特点进行业务连续性管理体系要求的建设工作。

由于业务连续性管理是一项系统而烦杂的工作，而且要具备一定的专业知识，部分规模较小或人力资源较少的商业银行可以聘请外部公司帮助商业银行完成业务连续性管理的总体规划，初步形成业务连续性管理体系，然后再由商业银行的各个职能部门持续改进和完善相关工作。

商业银行应当给全行上下都宣传和贯彻业务连续性管理企业文化，使其成为银行机构日常运营管理的组成部分，以提升组织的整体运行水平。

02 影响分析

《商业银行业务连续性监管指引》第二十三条 商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失，明确业务连续性管理重点，根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析，并形成业务影响分析报告。

根据《商业银行业务连续性监管指引》第十三条和第十四条相关要求，业务影响分析应当在业务连续性主管部门的组织协调下，由商业银行各业务部门执行。

《商业银行业务连续性监管指引》中第二十三条明确规定了商业银行开展业务影响分析的目的、和频率。强调商业银行应当至少每三年开展一次全面的业务影响分析，并形成业务影响分析报告，目的是为了梳理业务的重要程度（识别出重要业务），明确业务连续性管理重点，从而根据业务重要程度实现差异性管理，确定各业务恢复优先顺序和恢复指标。

03 风险评估

《商业银行业务连续性监管指引》第二十八条 商业银行应当开展业务连续性风险评估，识别业务连续运营所需的关键资源，分析资源所面临的各类威胁以及资源自身的脆弱性，确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境，关键的人员、业务场地、业务办公设备、业务单据以及供应商等。

根据《商业银行业务连续性监管指引》第十三条和第十四条相关要求，风险评估应当在业务连续性主管部门的组织协调下，由商业银行各业务部门执行。

《商业银行业务连续性监管指引》中第二十八条规定了商业银行开展风险评估的目的和对象，值得注意的是风险评估的对象不是所有资源，而是关键资源（包括关键信息系统及其运行环境，关键的人员、业务场地、业务办公设备、业务单据以及供应商等），风险评估的重点是识别出业务运营所需的关键资源以及关键资源所面临的各类威胁和资源本身的脆弱性，综合评价关键资源所面临的各类风险敞口。

风险评估是基于关键资源、威胁以及资源自身脆弱性三个要素进行分析的，三个要素共同分析确定风险敞口，并根据损失大小将风险场景进行等级划分，并作为业务连续性计划撰写的重要依据。

04 业务连续性策略制定

《商业银行业务连续性监管指引》第三十条 商业银行应当根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。

《商业银行业务连续性监管指引》中第三十条规定了商业银行业务连续性策略制定的依据、重点和内容。制定业务连续性策略的依据包括业务影响分析结果、业务恢复指标和风险评估结果，商业银行应当根据自身实际情况和特点，针对不同重要程度的业务、不同等级的风险场景，制定不同的业务恢复策略（策略内容主要包括关键资源恢复、业务替代手段、数据追补、业务恢复优先级别等）。

05 业务连续性计划

《商业银行业务连续性监管指引》第三十二条 商业银行应当依据业务恢复目标，制定覆盖所有重要业务的业务连续性计划。

根据《商业银行业务连续性监管指引》第十三条和第十四条相关要求，业务连续性计划的制定应当在业务连续性主管部门的组织协调下，由商业银行各业务部门执行。

《商业银行业务连续性监管指引》中第三十二条规定了商业银行业务连续性计划制定的依据和范围。商业银行应当通过明确业务恢复RTO和RPO识别出重要业务（业务恢复RTO小于或等于4小时，且业务恢复RPO小于或等于0.5小时的业务），并对此类业务制定业务连续性计划。

《商业银行业务连续性监管指引》中第三十四条至第三十八条还规定了商业银行需要建立业务连续性总体应急预案和专项应急预案，并就商业银行业务连续性计划与外部供应商、金融同业机构、外部金融市场、金融服务平台和公共事业部门的业务连续性计划之间的关系进行了要求。

06 业务连续性资源建设

《商业银行业务连续性监管指引》第三十九条 商业银行应当开展业务连续性计划所需的资源建设，满足业务恢复目标和重要业务持续运营的要求。

商业银行应当根据业务连续性计划中所识别出的关键资源（例如备用业务办公场地、信息系统灾备中心等）开展业务连续性关键资源建立，目的是满足业务的恢复目标和重要业务持续运营的要求。根据《商业银行业务连续性监管指引》中相关要求，商业银行高级管理层负责最终确保配置足够的资源，以保障业务连续性管理的实施。

07 业务连续性计划演练

《商业银行业务连续性监管指引》第四十七条 商业银行应当开展业务连续性计划演练，检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。第四十九条 商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练。

《商业银行业务连续性监管指引》中第四十七条和第四十九条规定了商业银行业务连续性计划演练的目的和频率。要求商业银行至少每三年对全部重要业务开展一次业务连续性计划演练，在关键时点或是关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练。目的是验证应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。

08 业务连续性持续改进

《商业银行业务连续性监管指引》第五十三条 商业银行应当建立业务连续性管理体系持续改进机制。

《商业银行业务连续性监管指引》中第五十三条对商业银行建立业务连续性管理体系持续改进的必要性进行了规定。商业银行应当通过建立业务连续性持续改进机制来保持体系的可用性、合理性和有效性，持续改进的方式包括评估、审计、文档维护等。业务连续性主管部门应当建立持续改进机制，具体的持续改进工作则需要各个业务条线部门、信息科技部门以及保障部门负责实施。

说明：（1）本文内容参考了《商业银行业务连续性管理》（张春林 陈小峰 编著）一书，该书是银行业信息化丛书之一，用于帮助和指导商业银行从事业务连续性管理相关工作的人员正确理解银监会的监管要求。本文正是笔者在认真精读此书的同时，将书中关于建设商业银行业务连续性管理体系的重要理论、实际工作方法和成功案例加以整理，结合自身对银监会发布的《商业银行业务连续性监管指引》的理解以及笔者多年银行信息化建设从业经验总结而成。（2）文中的配图大多来自互联网上授权图片提供商，并已获得免费使用授权，如果文中内容或是图片侵犯到您的权益，请及时告诉我。（3）由于时间有限，文中难免会出现各种错误，恳请您的批评和指正。