商业银行业务连续性管理现状及组织架构

某外资银行是世界主要金融机构之一，分支及附属机构遍及世界各地。这家机构全面风险管理经验丰富，完备的业务连续性管理体系使其在“9·11事件”中表现出色，赢得了客户和投资者的好评。目前该机构在中国有六家分支机构，其业务连续性管理现状如下：

1.业务连续性管理组织架构

（1）日常管理组织架构 该机构集团董事会对业务连续性管理承担主要责任，包括政策制定、监督以及确保政策的有效落实。管理层将具体监督工作交由集团业务持续管理委员会（GRC）负责。GRC向集团董事会下属的集团运营委员会汇报工作，并定期举行季度会议对业务连续性管理工作进行回顾。

各业务部门的首席运营官负责在本部门内对业务连续性政策及标准进行具体落实。企业安全及业务连续性部负责制订业务连续性管理工作框架、流程及相应系统，并确保其符合集团及本地的监管要求，具体协调与业务部门开展具体工作，同时负责跟进监督具体工作的进度并汇报相应风险。

各业务部门指定的业务连续性协调员具体负责协调及完成本部门所有与业务连续性相关的工作。

各业务部门指定的审批经理具体负责对本部门所有与业务连续性相关的工作进行审批，包括业务连续性计划，确保有效管理及降低本部门的业务连续性风险。

在该集团中国公司，董事会对业务连续性管理政策的有效落实和监管承担责任，具体工作交由运营委员会和风险管理委员会落实。

（2）应急处置组织架构 该机构按照应急处置组织架构（见图12-8）处理突发及应急事件，应急处置组织架构分为三个层级。

1）战略层（黄金级别）

①由Crisis Manager，Business Crisis Managers，Chief of Staff组成。

②提出危机处理的战略，负责危机处理的领导工作。

③为区域或业务条线做出集团级别的决策。

2）战术层（白银级别）

①由Silver Chair，Information Manager，Infrastructure Groups（CSBC，CRES，GT，HR，Travel，Comms，Sourcing）组成。

②评估危机影响，并向战略层提出参考建议。

③负责战术协同。

(www.xing528.com)

图12-8 应急处置组织架构

3）操作层（青铜级别）

①负责事件识别，初始通知/事件升级。

②负责现场管理。

③执行战略层和战术层下达的决策。

④执行业务连续性计划。

2.业务连续性管理规划

该机构中国公司按照集团内部及本地监管部门的要求，通过制定和落实一系列的业务连续性管理制度（业务连续性管理测试，危机管理，系统测试及持续改进）来主动管理业务连续性风险。其业务连续性管理周期计划明确了业务连续性管理工作中的最低要求，其中包括业务连续性计划及其测试，并确保员工充分了解自己在业务连续性计划中的责任。业务连续性管理周期计划必须在该机构的eBCM系统中备案，该系统是机构为业务连续性管理工作专门开发的管理系统。

业务连续性规划包括了业务流程分析、业务影响分析、业务恢复策略以及相应的恢复业务所需的资源和策略等内容，其中业务恢复策略包含了在业务中断后，为恢复到业务可接受阶段所需要的恢复方式、资源等。各业务部门通过业务影响分析并根据自身的业务特点制定业务连续性计划。每个部门每年必须对业务连续性计划进行更新，如果其业务流程发生重要变化，则需要随时更新。业务连续性管理的培训和相应测试也需要每年进行，同时紧急呼叫测试需要每半年测试一次。

3.业务连续性制度与流程

该机构业务连续性日常管理制度主要为《业务连续性管理政策》以及《业务连续性管理标准》。

该机构按照危机管理的工作架构处理突发及应急事件。其危机处理流程覆盖了所有业务部门以及支持部门。所有的应急反应都包括通过危机小组做出的决定。分支机构的工作人员发现危机事件时，要按照《危机小组紧急联系卡》的规定和联络方式进行报告。

4.业务连续性资源建设

该机构中国公司设置了业务灾备场地，即上海的灾备中心。上海灾备中心配备了专门的办公室设备以确保各业务部门中的核心业务可以及时恢复。

该机构中国公司的数据中心位于上海，是按业界最高标准（ANSI/TIA-942 Tier 4）建造的。机房的外来电力与电信供应方面都是双路由设计。主要应用系统均已建立灾备环境，为同城灾备中心加香港异地灾备中心。在生产与同城灾备服务器之间的数据同步方面，除了国际收支系统是每15min抄送一次外，其他都是实时同步。重要系统的RTO均少于4h、RPO少于30min。