商业银行业务连续性管理说明

目前，商业银行的业务扩展迅速，种类繁多，业务流程高度依赖IT系统，规模大的商业银行系统数量高达二三百套，小的城市商业银行和农信社系统数量也有近百套之多，而IT系统之间关联关系复杂，外联单位众多，使得业务连续性管理体系建设难度加大。

商业银行不论是为了满足行业监管要求，还是提升自身核心竞争力、树立优良品牌和声誉，都需要投入资金精力建设业务连续性管理体系。因此，进行业务影响分析，梳理业务流程，分析业务流程与IT系统的依赖关系，分析IT系统间的关联关系，评估业务中断影响，确定业务及IT系统恢复指标和恢复优先等级，才能使商业银行能够制定满足自身发展要求的业务连续性目标，并寻求成本效益相平衡的差异化建设方案。可以说，业务影响分析是商业银行对自身业务连续性的需求评估，是商业银行进行业务连续性管理体系建设的必经之路。

因此，《商业银行业务连续性监管指引》中规定了商业银行必须周期性地开展业务影响分析（第二十三条），以指导业务连续性管理体系的持续改进。该文件提出了业务影响分析的基本方法（第二十四条～第二十六条），并明确了业务影响分析的输出要素（第二十七条）。《商业银行业务连续性监管指引》对业务影响分析的具体要求如下：

《商业银行业务连续性监管指引》

第二十四条 商业银行应当识别重要业务，明确重要业务归口管理部门、所需关键资源及对应的信息系统，识别重要业务的相互依赖关系，分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。

本条款指出了业务影响分析的路径和方法，即：

1）识别重要业务，分析业务间的相互关系。在《商业银行业务连续性监管指引》第三条中，已经给出重要业务的定义，但商业银行需要在此基础上制定适用的细划标准，例如：业务类别的划分原则、重要业务的衡量指标等。

2）重要业务所依赖的信息系统及其关联关系。信息系统是商业银行业务运营所依赖的关键性资源，梳理重要业务对应的信息系统就是要分析所需业务数据以及业务数据在信息系统中的流转路径和存储方式。(www.xing528.com)

3）重要业务中断可能造成的负面影响。负面影响除了按财务损失与非财务损失划分外，可以按照商业银行的利益相关方逐个进行分析和评价，例如：对客户的影响、对投资者的影响、对社会公共舆论的影响等。

《商业银行业务连续性监管指引》

第二十五条 商业银行应当综合分析重要业务运营中断可能产生的损失与业务恢复成本，结合业务服务时效性、服务周期等运行特点，确定重要业务恢复时间目标（业务RTO）、业务恢复点目标（业务RPO），原则上，重要业务恢复时间目标不得大于4h，重要业务恢复点目标不得大于半小时。

本条款解释了如何确定业务连续性的两个重要指标业务RTO和业务RPO。商业银行可根据中断影响、业务时效性、服务周期等要素建立两个指标的评估模型。另外，在这个条款中，银监会也给出了重要业务的业务RTO和业务RPO的最低要求，即业务RTO≤4h，业务RPO≤0.5h。

《商业银行业务连续性监管指引》

第二十六条 商业银行应当明确业务重要程度和恢复优先级别，并识别重要业务恢复所需的必要资源。

本条款要求商业银行对各类重要业务划分恢复优先等级，这是业务连续性差异化管理的基础。同时，商业银行还要按照业务的不同级别识别其关键资源需求。