摘要：多數(shù)金融機(jī)構(gòu)已建立業(yè)務(wù)連續(xù)性管理體系，但仍需加強(qiáng)風(fēng)險(xiǎn)管理、專業(yè)培訓(xùn)和審計(jì)實(shí)踐。中國計(jì)算機(jī)用戶協(xié)會(huì)信息科技審計(jì)分會(huì)在2021年發(fā)布團(tuán)體標(biāo)準(zhǔn)T/CCUA 012-2021《金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理能力模型與評估》，并在2024年1月正式發(fā)布了《2023年金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理能力建設(shè)調(diào)研報(bào)告》供金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性建設(shè)參考借鑒（后文簡稱報(bào)告）。報(bào)告內(nèi)容包括基本信息、治理情況、管理情況、評估與審計(jì)情況、行業(yè)服務(wù)需求等5大類44個(gè)問題。報(bào)告指出，目前金融機(jī)構(gòu)已在治理和管理層面采取了必要措施，并在提升自身能力方面取得進(jìn)展，但在對業(yè)務(wù)連續(xù)性概念的理解與資源投入上，仍存在進(jìn)一步提升的空間。

涉及關(guān)鍵詞：業(yè)務(wù)連續(xù)性管理、災(zāi)備應(yīng)急管理

01. 金融行業(yè)業(yè)務(wù)連續(xù)性管理能力調(diào)研

2011年，中國銀監(jiān)會(huì)發(fā)布《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》，要求商業(yè)銀行建立業(yè)務(wù)連續(xù)性管理體系。經(jīng)過多年發(fā)展，金融機(jī)構(gòu)已建立滿足業(yè)務(wù)需求的管理能力。2019年，信息科技分會(huì)舉辦工作會(huì)議，明確業(yè)務(wù)連續(xù)性管理能力建設(shè)的重要性。2021年，分會(huì)發(fā)布團(tuán)體標(biāo)準(zhǔn)，提出業(yè)務(wù)連續(xù)性管理能力成熟度模型和評估方法。2022年，分會(huì)啟動(dòng)評定服務(wù)工作，推動(dòng)行業(yè)高質(zhì)量發(fā)展。2024年發(fā)布《2023年金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理能力建設(shè)調(diào)研報(bào)告》。

參與調(diào)研的對象以金融機(jī)構(gòu)為主，包括政策性銀行、國有銀行、股份制銀行和城商行、農(nóng)商行等金融機(jī)構(gòu)，占比91.3%，其他金融機(jī)構(gòu)（包括財(cái)務(wù)公司、證券機(jī)構(gòu)、基金公司、 期貨公司、金融科技企業(yè)等）占比 8.70%，另外，有 1 家金融監(jiān)管單位也參與了本次調(diào)研。

02. 業(yè)務(wù)連續(xù)性管理能力結(jié)構(gòu)及建設(shè)現(xiàn)狀

1）業(yè)務(wù)連續(xù)性管理能力成熟度模型概述

業(yè)務(wù)連續(xù)性管理是金融機(jī)構(gòu)為應(yīng)對運(yùn)營中斷事件而采取的策略，確保關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)作。金融機(jī)構(gòu)通過能力指標(biāo)來衡量業(yè)務(wù)連續(xù)性管理的特定能力。這些能力分為組織與驅(qū)動(dòng)力、人員能力與文化、日常管理過程、應(yīng)急管理過程等四個(gè)能力域，每個(gè)能力域進(jìn)一步細(xì)分為子域和能力項(xiàng)。金融機(jī)構(gòu)的業(yè)務(wù)連續(xù)性管理能力成熟度分為五個(gè)等級：起始級、發(fā)展級、穩(wěn)健級、優(yōu)秀級和卓越級。能力指標(biāo)的評分分為狀態(tài)性和過程性兩種，各有三個(gè)評分等級，用于評估和提升業(yè)務(wù)連續(xù)性管理的成熟度。

2）治理能力建設(shè)情況

金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理正經(jīng)歷從外部強(qiáng)制驅(qū)動(dòng)向內(nèi)外部平衡驅(qū)動(dòng)的轉(zhuǎn)變，其中56.52%的機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理內(nèi)外部驅(qū)動(dòng)力均衡，而26.09%的機(jī)構(gòu)仍主要受外部因素驅(qū)動(dòng)，內(nèi)部驅(qū)動(dòng)的機(jī)構(gòu)占比較低，僅為17.39%。在治理結(jié)構(gòu)方面，73.92%的機(jī)構(gòu)明確設(shè)立了業(yè)務(wù)連續(xù)性管理委員會(huì)，通過該委員會(huì)，治理層和高級管理層能夠?qū)徸h關(guān)鍵的業(yè)務(wù)連續(xù)性規(guī)劃和策略，確保資源的有效配置。業(yè)務(wù)連續(xù)性的歸口管理部門主要是風(fēng)險(xiǎn)管理部門，占比達(dá)69.57%，其次是科技部門和內(nèi)控部門。這種設(shè)置有助于將業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理框架，利用風(fēng)險(xiǎn)管理的專業(yè)知識和經(jīng)驗(yàn)，實(shí)現(xiàn)跨部門的統(tǒng)一協(xié)調(diào)。在應(yīng)急管理方面，風(fēng)險(xiǎn)管理部門同樣承擔(dān)主要職責(zé)，占比47.83%，科技和辦公室部門也參與其中，確保了應(yīng)急管理與業(yè)務(wù)連續(xù)性管理在多個(gè)層面的協(xié)同一致性。

在業(yè)務(wù)連續(xù)性管理方面，絕大多數(shù)機(jī)構(gòu)（91.3%）已配置專職人員，其中78.26%的中小機(jī)構(gòu)擁有1-3名專職人員。大型機(jī)構(gòu)如股份制或國有銀行則配置5-10名專職人員，占13.04%。但仍有8.7%的機(jī)構(gòu)未配置專職人員。兼職人員配置占比69.57%，且與專職人員配置趨勢一致，數(shù)量與機(jī)構(gòu)規(guī)模成正比。盡管47.83%的機(jī)構(gòu)人員具有相關(guān)資質(zhì)，但資質(zhì)種類單一，主要依賴國外證書，國內(nèi)金融行業(yè)相關(guān)資質(zhì)和資源相對匱乏。專業(yè)培訓(xùn)參與度低，僅26.09%的人員接受過專業(yè)培訓(xùn)，培訓(xùn)渠道和類型有限。73.91%的機(jī)構(gòu)已制定業(yè)務(wù)連續(xù)性戰(zhàn)略或規(guī)劃，涵蓋原則、目標(biāo)、方針、影響分析、恢復(fù)目標(biāo)、策略和行動(dòng)方案等關(guān)鍵要素，顯示業(yè)務(wù)連續(xù)性管理已成為機(jī)構(gòu)戰(zhàn)略的一部分。

3）管理能力建設(shè)情況

在業(yè)務(wù)連續(xù)性管理方面，絕大多數(shù)機(jī)構(gòu)已經(jīng)實(shí)施了關(guān)鍵措施，95.65%的機(jī)構(gòu)完成了業(yè)務(wù)影響分析（BIA），86.96%進(jìn)行了風(fēng)險(xiǎn)評估（RA），78.26%制定了業(yè)務(wù)連續(xù)性計(jì)劃（BCP）。所有機(jī)構(gòu)都設(shè)定了恢復(fù)目標(biāo)（RTO/RPO）并制定了恢復(fù)策略，進(jìn)行了專項(xiàng)預(yù)案制定和演練。

盡管56.52%的機(jī)構(gòu)擁有完善的業(yè)務(wù)連續(xù)性管理制度流程，但仍有39.13%的機(jī)構(gòu)流程不夠完善。91.3%的機(jī)構(gòu)依賴內(nèi)部團(tuán)隊(duì)進(jìn)行BIA，這可能受到組織文化或內(nèi)部因素的干擾。建議引入外部專家團(tuán)隊(duì)以提升BIA的客觀性和能力。

73.91%的機(jī)構(gòu)在一年內(nèi)進(jìn)行了BIA，所有機(jī)構(gòu)在過去三年至少進(jìn)行了一次。34.78%的機(jī)構(gòu)每年進(jìn)行BIA，而43.48%每三年進(jìn)行一次。43.48%的BIA覆蓋了所有業(yè)務(wù)，47.83%覆蓋了所有重要業(yè)務(wù)，8.7%僅覆蓋部分重要業(yè)務(wù)。

所有機(jī)構(gòu)的BIA報(bào)告都能分析業(yè)務(wù)中斷影響，進(jìn)行恢復(fù)優(yōu)先級排序，確定恢復(fù)策略和關(guān)鍵資源識別。91.3%的機(jī)構(gòu)能基于內(nèi)外環(huán)境進(jìn)行業(yè)務(wù)流程和資源分析，78.26%能進(jìn)行風(fēng)險(xiǎn)識別和評估，95.65%能確定RTO/RPO。69.57%和65.22%的機(jī)構(gòu)能確定風(fēng)險(xiǎn)管理策略和管理行動(dòng)計(jì)劃。

60.87%的機(jī)構(gòu)在BIA過程中缺乏工具支撐，39.13%使用業(yè)務(wù)連續(xù)性管理平臺或系統(tǒng)。這表明機(jī)構(gòu)在業(yè)務(wù)連續(xù)性管理工具的使用上還有提升空間。

機(jī)構(gòu)在業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評估（RA）方面主要依靠內(nèi)部力量，占比82.61%。39.13%的機(jī)構(gòu)將RA與業(yè)務(wù)影響分析（BIA）同步進(jìn)行。開展頻率上，34.78%的機(jī)構(gòu)每年進(jìn)行RA，13.04%每兩年一次，8.70%每三年一次。所有機(jī)構(gòu)都對重要系統(tǒng)和網(wǎng)絡(luò)資源進(jìn)行了評估，78.26%評估了辦公場地，73.91%評估了崗位和人員以及數(shù)據(jù)和單據(jù)，69.57%評估了外包服務(wù)和外部合作方。風(fēng)險(xiǎn)評估正逐漸擴(kuò)展至非IT資源。在工具使用上，73.91%的機(jī)構(gòu)未使用任何工具，26.09%使用了工具，包括資產(chǎn)、威脅分析等。

所有機(jī)構(gòu)已完成“兩地三中心”建設(shè)，17.39%的機(jī)構(gòu)實(shí)現(xiàn)了運(yùn)營級雙活模式，56.52%的機(jī)構(gòu)重要業(yè)務(wù)系統(tǒng)可由多個(gè)中心承載，13.04%的機(jī)構(gòu)采用應(yīng)用級主備容災(zāi)模式。

機(jī)構(gòu)在制定專項(xiàng)預(yù)案時(shí)，主要采用兩種模式：按業(yè)務(wù)制定和按場景制定。按業(yè)務(wù)制定預(yù)案占比56.52%，更注重業(yè)務(wù)特點(diǎn)和需求，但可能存在適用場景模糊和內(nèi)容重復(fù)問題。按場景制定預(yù)案注重應(yīng)對具體危機(jī)，但可能忽略業(yè)務(wù)差異。機(jī)構(gòu)應(yīng)結(jié)合兩種模式，根據(jù)風(fēng)險(xiǎn)需求選擇合適模式。

在應(yīng)急預(yù)案管理上，有三種模式：43.48%的機(jī)構(gòu)各部門自行維護(hù)電子版與紙質(zhì)版預(yù)案；34.78%的機(jī)構(gòu)自行更新并由特定部門統(tǒng)一管理；21.74%通過系統(tǒng)線上統(tǒng)一管理。

在中斷事件發(fā)生時(shí)，26.09%的機(jī)構(gòu)能恢復(fù)全部業(yè)務(wù)，86.96%能恢復(fù)70%及以上業(yè)務(wù)，13.04%的機(jī)構(gòu)業(yè)務(wù)恢復(fù)低于60%。91.3%的機(jī)構(gòu)有單獨(dú)的應(yīng)急流程，8.7%的機(jī)構(gòu)需要加強(qiáng)。

業(yè)務(wù)連續(xù)性演練方面，系統(tǒng)災(zāi)備演練覆蓋率100%，86.96%的演練包括業(yè)務(wù)部門人員參與的突發(fā)事件和人員轉(zhuǎn)移。部分機(jī)構(gòu)演練局限于科技條線，但多數(shù)已提升至整個(gè)機(jī)構(gòu)層面。災(zāi)備演練主要采用真實(shí)演練，覆蓋率95.65%，輔以桌面演練和模擬演練。

機(jī)構(gòu)在進(jìn)行場地不可用和人員轉(zhuǎn)移的應(yīng)急場景演練時(shí)，采用真實(shí)演練、桌面演練和模擬演練三種模式。58.33%的機(jī)構(gòu)實(shí)施了真實(shí)的人員場地轉(zhuǎn)移演練，而75%和66.67%的機(jī)構(gòu)分別采用了桌面和模擬演練方式。對于業(yè)務(wù)中斷的應(yīng)急演練，75%的機(jī)構(gòu)業(yè)務(wù)部門采用桌面和模擬演練，65%采用真實(shí)演練。

在非典型中斷場景演練中，如重要外包中斷，大多數(shù)機(jī)構(gòu)采用模擬和桌面演練，僅有33.33%進(jìn)行真實(shí)演練。在業(yè)務(wù)連續(xù)性綜合演練控制上，39.13%的機(jī)構(gòu)使用微信群和線下會(huì)議的傳統(tǒng)溝通方式，而56.52%的機(jī)構(gòu)采用線上平臺，提高了演練的規(guī)范性和專業(yè)性。

65.22%的機(jī)構(gòu)結(jié)合業(yè)務(wù)測試和桌面演練等方式開展專項(xiàng)預(yù)案測試，但34.78%的機(jī)構(gòu)尚未進(jìn)行此類測試。專業(yè)測試對驗(yàn)證預(yù)案有效性、提高應(yīng)急響應(yīng)能力至關(guān)重要。在業(yè)務(wù)中斷上報(bào)方式上，95.65%的機(jī)構(gòu)通過電話、微信直接反饋，56.52%通過OA系統(tǒng)上報(bào)，34.78%建立線上平臺使用呼叫樹技術(shù)逐級上報(bào)，提高響應(yīng)速度和處理效率。

4）評估情況

近兩年，大部分機(jī)構(gòu)進(jìn)行了業(yè)務(wù)連續(xù)性管理審計(jì)，其中69.57%由內(nèi)部完成，26.09%聘請外部機(jī)構(gòu)，4.35%計(jì)劃聘請外部。56.52%的機(jī)構(gòu)進(jìn)行了能力評估，43.48%內(nèi)部完成，13.04%外部評估。39.13%未進(jìn)行評估，部分計(jì)劃外部評估。43.48%不了解評估服務(wù)。56.52%定期自評，17.39%委托第三方，34.78%有評估體系。43.48%用評估結(jié)果改進(jìn)管理。評估主要依據(jù)法規(guī)（91.3%）、內(nèi)部制度（73.91%）和相關(guān)標(biāo)準(zhǔn)（60.87%），少數(shù)依據(jù)經(jīng)驗(yàn)（17.39%）。

報(bào)告顯示，絕大多數(shù)機(jī)構(gòu)（95.65%）期望通過業(yè)務(wù)連續(xù)性管理能力評估識別薄弱環(huán)節(jié)，并有82.61%希望獲得提升方向。52.17%的機(jī)構(gòu)關(guān)注自身能力在行業(yè)內(nèi)的相對位置，43.48%希望了解歷年能力提升或下降的軌跡。73.91%的機(jī)構(gòu)面臨業(yè)務(wù)需求驅(qū)動(dòng)實(shí)施策略的問題，超過50%的機(jī)構(gòu)迫切需要強(qiáng)化業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)管理、運(yùn)行維護(hù)和危機(jī)管理。

47.83%擔(dān)心團(tuán)隊(duì)在業(yè)務(wù)中斷時(shí)不能積極恢復(fù)，39.13%關(guān)注持續(xù)改進(jìn)機(jī)制缺失，30.43%和26.09%分別擔(dān)心投資不足和風(fēng)險(xiǎn)管理意識缺乏。提升業(yè)務(wù)連續(xù)性管理能力的關(guān)鍵因素包括業(yè)務(wù)連續(xù)性計(jì)劃演練（95.65%）、遵循監(jiān)管指引和標(biāo)準(zhǔn)、業(yè)務(wù)風(fēng)險(xiǎn)管理等，多數(shù)占比超過70%。在預(yù)算投入方面，69.57%的機(jī)構(gòu)每年投入100萬元以內(nèi)，26.09%投入100~500萬元。

03. 建議與展望

隨著互聯(lián)網(wǎng)金融的發(fā)展，銀行信息系統(tǒng)需要支撐更加差異化和綜合化的服務(wù)，同時(shí)滿足國際化的監(jiān)管要求。新技術(shù)的應(yīng)用為金融機(jī)構(gòu)提供了提高業(yè)務(wù)連續(xù)性的機(jī)遇，例如通過云架構(gòu)實(shí)現(xiàn)資源的彈性供應(yīng)和快速響應(yīng)業(yè)務(wù)需求。業(yè)務(wù)連續(xù)性管理將與技術(shù)、業(yè)務(wù)、數(shù)據(jù)和風(fēng)險(xiǎn)管理更緊密地結(jié)合，形成更加綜合的管理框架。從管理層面，運(yùn)營韌性、SRE可靠性工程可以更多地應(yīng)用于業(yè)務(wù)連續(xù)性的保障；從工具層面，線下文檔化的預(yù)案管理、零星的災(zāi)備切換自動(dòng)化任務(wù)可以更多地通過平臺化的災(zāi)備應(yīng)急管理工具進(jìn)行統(tǒng)一管理，從事前、事中、事后進(jìn)行全面的技術(shù)支撐。