商业银行业务连续性管理的发展

国内业务连续性发展也起源于组织对信息系统中断风险的关注和信息系统灾难恢复建设，国内商业银行从2000年后开始建设信息系统灾备中心，逐渐过渡到全面的业务连续性管理，经历了十几年的发展。

我国的金融监管尤其是科技风险监管水平发展迅速。银监会的科技风险监管部门是近几年才设立的专项条线，在短短几年时间里，立足于我国银行业现状，聚焦行业风险，密集出台了一系列业务连续性监管工具，建立现场及非现场监管机制，大大推动了银行业业务连续性的发展。

纵观银行业的业务连续性管理发展过程，大致分为以下几个阶段：

1.信息化建设初期阶段

早期的国内商业银行信息系统运行模式与当前有很大不同。20世纪80年代，国内银行从手工记账向信息化发展。随着信息及网络技术的进步，国内银行信息化在20世纪80年代末，90年代初有突飞猛进的发展。与此同时，银行内通存通兑和银行间的资金流动需求日益增强，最终用户金融服务多样性和时效性要求不断提高，激烈的市场竞争使得商业银行开始投入巨资进行信息化基础建设。

信息化的快速发展也对商业银行提出了数据安全性以及信息系统健壮性要求。但当时由于应用系统一般由市县级分支机构自行开发维护，系统和数据基本上是分散式部署，分支机构有各自分户账余额打印机制，银行卡与电子服务渠道还处于起步阶段，银行存折和纸质票据盛行，在IT系统中断情况下银行还能够采用手工作业方式营业。因此，商业银行对业务连续性的要求并不高，或者说对信息系统的中断和数据丢失的容忍度不是十分敏感。

2.数据集中及灾备建设阶段

20世纪90年代末期，随着国家改革开放的深化，金融服务行业也迎来了飞跃式发展。国内商业银行不仅面临激烈的同业市场竞争，还面临外资银行即将大举进入的挑战，管理与业务变革势在必行。因此，商业银行开始剥离不良资产，尝试采用扁平化管理和集约化经营思路。新的管理理念需要由新兴技术来实现，这直接导致了银行信息系统颠覆性的调整，银行IT架构的设计、开发、部署与运维从分散模式走向了集中模式。2000年—2010年，国内大中小型商业银行逐渐完成了核心业务系统大集中建设，高速计算设备和大容量存储构建了逻辑集中的IT基础架构，新的应用则高度集成了业务处理流程，整合统一了分散的业务数据，为商业银行节约运营成本、提高服务质量、加速业务创新和强化风险管控奠定了坚实的基础。(www.xing528.com)

毋庸置疑，信息系统和数据的集中管理为商业银行创造了前所未有的价值，但同时也带来了新的风险集中，即数据中心灾难性事件可能造成全行范围内的业务中断、全行范围内的重要数据丢失，让商业银行蒙受巨大的经济和声誉损失，甚至发生银行破产、造成社会经济秩序极大混乱的恶劣后果。因此，大集中式的数据中心如何能够持续平稳运行成为商业银行管理层以及国家监管部门所关注的问题。

在大集中初期，银行科技部门主要关注IT故障的本地应急问题，通过数据中心IT基础架构的高可用设计，为重要设备进行冗余和集群化配置，对重要数据进行多重备份，加强应用软件测试、发布与变更管理，开发自动化监控平台，优化运维管理流程，建设和培训技术团队，最大限度地消除技术和管理隐患，大大提高了数据中心应急处置能力和持续运行的能力。但是，这些措施并不能防范和应对数据中心级别的灾难，如机房失火、区域地震等，这些灾难一旦发生，商业银行将遭受毁灭性的打击。

2002年，中国人民银行出台并下发了《中国人民银行关于加强银行数据集中安全工作的指导意见》（银发[2002]260号文件），明确提出商业银行要加强信息系统灾备建设。部分大型国有商业银行以及全国性股份制商业银行率先建立了同城或异地灾备中心，后来有更多的商业银行投入到灾备中心建设中，灾备范围也从核心系统、核心数据逐渐向其他外围重要系统扩展。

2008年，为保证奥运会的顺利举办，国家以及行业监管部门也纷纷对包括银行在内的金融、交通、能源等重要国家保障行业提出要求，加强奥运期间的保障工作，开展奥运应急演练工作。期间，国内奥运承办城市的商业银行纷纷响应国家号召，开展了不同形式的奥运应急保障演练，检验了各家银行信息系统突发事件应急管理的能力，针对发现的不足，各家银行积极改进，有效地提高了自身和行业的业务连续性管理水平。

3.业务连续性建设的全面开展阶段

2010年前后，银行业务全球化趋势愈加明显，无论国际战略投资者还是海外分行的属地监管，都要求商业银行遵从巴塞尔Ⅲ新资本协议，进行全面风险管理。我国银监会也对商业银行加大了全面风险监管的力度，并于2011年底发布了《商业银行业务连续性监管指引》（银监发[2011]104号），第一次对商业银行业务连续性管理工作提出全面的监管要求；银监会在2012年6月又发布了《商业银行资本管理办法（试行）》（银监发[2012]1号），其中也提及对商业银行业务连续性的要求。至此，商业银行业务连续性管理工作已经不单纯是科技部门应急和灾难恢复了，需要上升到企业治理的高度，是全面风险管理的重要环节。目前，全国性商业银行正在不同程度地推进业务连续性管理体系建设工作，在统一规划、应急组织架构、意识教育与培训、业务应急预案、演练和评估审计等方面做了许多有益的尝试。现在中小商业银行也开始关注业务连续性管理工作，纷纷着手搭建全行范围的业务连续性管理体系框架，但离监管要求还相差颇远。