商业银行业务连续性管理组织架构

商业银行在设计应急处置组织架构时，应充分考虑从日常管理组织架构向应急组织架构的平滑过渡。在运营中断事件应急处置过程中，应当根据事件级别启动不同级别的应急组织。应急组织虽然是根据运营中断事件的严重程度而进行调动的临时性组织，但其组织架构、人员构成、职责分工，却应事先在业务连续性管理基本制度和应急预案中明确规定。

《商业银行业务连续性监管指引》第二章第二节对业务连续性应急处置组织架构有明确的要求和规定。

《商业银行业务连续性监管指引》

第十八条 商业银行应当建立运营中断事件应急处置的组织架构，包括应急决策层、应急指挥层、应急执行层和应急保障层。

本条款明确规定了为应对运营中断事件，商业银行应建立应急处置组织架构。该架构包含应急决策层、应急指挥层、应急执行层以及应急保障层四个层次，其中决策、指挥、执行三个层次与国际标准ISO 22313：2012中有关战略层、战术层、执行层的规定是一致的。

《商业银行业务连续性监管指引》

第十九条 应急决策层由商业银行高级管理人员组成，负责决定应急处置重大事宜，包括：决定运营中断事件通报、对外报告和公告；批准启动总体应急预案等。

本条款规定了应急决策层由高级管理人员组成，并明确了其在应急处置中的职责。此处的高级管理人员即是业务连续性管理委员会中的高级管理人员。因此，如何落实该小组的具体职责，以及由谁来担任该小组的负责人是应急处置成败的关键。

《商业银行业务连续性监管指引》

第二十条 应急指挥层由商业银行的业务连续性管理主管部门、执行部门和保障部门负责人组成，负责运营中断事件处置应急指挥和组织协调，督导应急处置实施。

由此条款可以看出，业务连续性管理主管部门、执行部门和保障部门负责人共同组成了应急指挥层。注意，这与第3.2.1节中规定业务连续性主管部门仅由风险管理部或其他综合部门牵头有所不同，这说明在应急处置时，需要各业务条线和保障部门的负责人共同参与进行协调指挥。在实际工作中，由于参与的部门较多，如何进行分工和协调，是进行有效的指挥的难点。

《商业银行业务连续性监管指引》

第二十一条 应急执行层由商业银行业务连续性管理执行部门组成，负责业务条线与信息技术应急处置工作。

此条款明确规定了由各业务条线部门和信息科技部门组成应急处置执行层。这与第3.2.1节中关于业务连续性管理日常组织的规定是一致的。

《商业银行业务连续性监管指引》(www.xing528.com)

第二十二条 应急保障层由商业银行业务连续性管理保障部门组成，负责应急处置所需人力、物力和财力等资源的保障，应急处置对外报告、宣告、通报和沟通与协调，以及对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。

此条款明确规定了商业银行应急处置保障层的组成，这与第3.2.1节中关于业务连续性管理日常组织的规定也是一致的。

根据以上条款内容，可以编制出业务连续性应急处置组织架构简图（见图3-2），以帮助读者进一步理解银监会的监管要求。

图3-2 业务连续性应急处置组织架构简图

业务连续性应急处置组织的职责见表3-2。

表3-2 业务连续性应急处置组织的职责

与业务连续性日常管理组织不同，业务连续性应急处置组织只有运营中断事件发生后才会被调动。虽然应急处置组织在银行正常经营中并不会启用，但运营中断事件发生时，商业银行对该组织在整个应急过程中的决策、领导、执行等能力要求极高。此外，当银行人员处于烦琐的日常工作中时，他们的应急意识很容易懈怠，因此商业银行不仅需要在业务连续性管理制度中明确业务连续性应急处置组织架构、人员和职责，并且需要通过不断的演练来提高业务人员的应急意识和应对运营中断事件的能力。

商业银行应当基于监管要求，结合本行实际情况，构建业务连续性应急处置组织。在建立应急处置组织过程中需要考虑以下几点。

1）结合商业银行事件分级策略。应急处置组织的构建及其具体职责需要与商业银行事件分级标准相契合。例如，商业银行规定，发生重大运营中断事件时启动应急决策层及下属组织，那么应急决策层的具体职责应当囊括重大运营中断事件处理过程中面临的实际决策事宜，例如包含是否启用信息系统灾备中心、启用备用业务办公场地等决策职能。

2）应急处置组织的“临机决策”。应急处置是一个动态的、时刻变化的过程，突发事件处理过程中也有许多不确定因素，因而应急处置组织需要“随机而动”，不能“一成不变”。换句话说，制度中规定的应急处置职责是商业银行进行应急处置工作的重要依据，但各应急处置组织应当根据事件的具体情况而进行必要的“临机决策”。

3）重视分支行层面的应急处置组织建设。无论总行层面的应急处置组织建立得多么完善，如果缺少分支行的支撑则不能有效地把控应急处置过程。例如，个人或对公存取款、各种零售或对公等柜面业务，一旦业务中断，分支行将面临巨大的压力。此时，分支行的应急处置组织将承担起主要责任，而仅仅有总行层面的应急处置组织是远远不够的。