商业银行业务连续性管理现状

由于历史原因和自身发展特点不同，国内各家商业银行业务连续性管理体系建设现状差异较大。以下按照大型国有商业银行、全国性股份制商业银行、中小型商业银行三个类别介绍业务连续性管理现状。

1.大型国有商业银行

大型国有银行包括：中国工商银行、中国建设银行、中国银行、中国农业银行、交通银行、中国邮政储蓄银行。由于这些商业银行规模巨大、部门及分支机构众多，业务连续性管理工作的复杂程度和建设难度相对于其他银行来讲也更高。

从目前所搜集的信息来看，六大国有银行基本上建立了全行性的业务连续性管理组织架构，日常管理的牵头部门却稍有不同，有三家以风险管理部门或内控合规部门作为主管部门；另三家则以风险管理部门或内控合规部门和科技管理部门共同作为业务连续性管理的主管部门。

由于六大国有银行业务覆盖广泛，运营历史悠久，国内分支机构众多，海外业务的拓展也领先于其他商业银行，因此其经历的风险事件更多，风险事件的影响更大，这也使得大行在突发事件的应急管理上积累了更多的经验，风险抵御能力相对更强些。

但是就业务连续性管理体系建设的统一规划和日常管理来讲，各大行却差别颇大。有的早在六年前就抽调专职人员组建业务连续性管理处室，在全行范围内开展风险评估、业务影响分析和业务连续性管理体系规划工作，对典型业务条线和试点分支机构进行了业务连续性计划开发，组织演练进行验证，并在此基础上持续推广和改进；有的则因为专业专职人员缺乏等因素导致业务连续性管理工作开展相对滞后，目前正在考虑制定全行范围内的统一规划。

国有银行在业务连续性计划开发方面也各有特色，有的注重信息系统应急管理和灾备建设，其IT业务连续性计划相对完善；有的则在网点业务连续性建设上做得更为出色，制定了灾难场景丰富且实用的网点应急预案。

在应急资源建设方面，有的已经或正在建设两地三中心的高可用数据中心架构，有的在过去几年还成功实施了灾备中心真实切换演练，有效地验证了数据中心业务持续运作的能力。另外，部分银行还对集中作业中心（如信用卡、清算等）进行了灾备建设，当这些办公场地发生灾难时，业务人员能够迅速转移到备用场地，快速恢复业务办理。

2.全国性股份制商业银行

全国性股份制商业银行主要是指资产规模在万亿以上的商业银行，包括：招商银行、上海浦东发展银行、兴业银行、中信银行、中国民生银行、中国光大银行、中国平安银行、华夏银行、广发银行、北京银行等。这些银行组建时间比大型国有商业银行要短，少有历史包袱，运营体制更为灵活，从管理理念上也更能接受新鲜事物。这些银行的业务连续性管理体系建设复杂度低于国有银行，规划的实施落实相对更具效率。(www.xing528.com)

根据调研数据，上述银行业务连续性管理的日常主管部门大多为风险管理部门或法律合规部门。这些银行在银监会发布《商业银行业务连续性监管指引》（银监发[2011]104号）前，业务连续性管理工作多为科技部门负责，往往更加注重IT的应急和灾难恢复体系建设。由于日常生产压力巨大，推动其他部门尤其是业务部门执行业务连续性工作的力量较为薄弱。而风险管理部门或法律合规部门从全面风险管理的层面接手业务连续性管理，在建立全行范围的体系框架和合规性把握方面相对具有优势。

目前大多数银行在最近几年进行了风险评估和业务影响分析工作，为本行的业务连续性管理规划提供需求输入。各家股份制银行主管部门均对业务连续性管理体系建设进行了规划，规划的细致程度和可执行性各有不同。有的利用业务连续性管理体系成熟度评估工具，在对现状进行差距评估的基础上，对体系建设的实施阶段进行了详细规划，明确了每个阶段所要完成的任务以及要达到的目标和标准。

在业务连续性计划开发方面，大多数股份制商业银行在过去的几年中形成了覆盖关键业务条线的业务连续性计划，如储蓄业务、信用卡业务、第三方存管业务、资金业务、电子银行业务等。这些业务连续性计划是否有效可行，还需要经过演练的验证。

在应急资源建设方面，股份制商业银行均拥有信息系统灾备中心（大多数为两地三中心模式），灾难恢复体系基本覆盖了关键业务系统，通过每年进行的灾备技术切换演练和持续改进，为本行的业务连续性能力建设奠定了技术基础。有的银行甚至建设完成同城双活中心，有效地提升了业务处理能力和数据中心高可用性。在办公应急资源建设方面，部分股份制商业银行已经对集中作业中心进行了异地灾备建设或者建立了中心之间互为备份机制，有效地解决了业务风险过于集中的问题。

3.中小型商业银行

中小型商业银行包括众多的城市商业银行、农村商业银行和农村信用合作联社。资产规模较大的中型商业银行（千亿以上的银行），由于经济实力和风险意识较强，几年前已经开始进行业务连续性管理体系建设；而资产规模较小的商业银行，由于经济实力和人员能力有限，业务连续性管理体系建设处于起步阶段。

根据部分商业银行反馈的调研数据，中小型商业银行业务连续性管理日常牵头部门多为风险管理部门或法律合规部门。个别商业银行对业务连续性管理体系建设做了详细规划，并正在按照规划实施。

多数中型商业银行目前关注的重点仍然是信息系统的灾备中心建设，建成或正在建设同城灾备中心和异地灾备中心，而业务连续性预案也多为信息系统应急及灾难恢复预案，演练工作往往围绕技术切换展开。部分银行针对关键业务条线开发了业务连续性计划，但缺少演练验证。

总体来看，中型商业银行具备了一定的业务持续运作水平和风险抵御能力，但小型商业银行还缺乏对信息系统应急管理和灾难恢复体系的深度研究，应急资源建设落后，缺乏业务条线业务连续性计划，应对风险事件的能力较低。