來源:魯政委世界觀
作者:陳昊, 魯政委(魯政委為中國首席經濟學家論壇理事,興業銀行首席經濟學家)
2020年1月底以來,新型冠狀病毒肺炎疫情對我國的日常生產生活造成了較大影響。不僅全國春節假期統一延長,部分地區還進一步延長了不得復工的日期。然而,正所謂「經濟是肌體,金融是血脈」[1],「肌體」或許可以短暫休息、暫停運動,「血脈」的流動和運轉卻一刻也不能中斷。因此,金融機構和金融基礎設施自2月3日以後便開始恢復運轉。本次疫情,不僅對正常的經濟生活進行了衝擊,各類企業也開始思考針對重大自然災害、疫情等突發事件的應對預案。作為經濟的「血脈」,金融體系面對各類突發事件不能終止關鍵金融服務,因而提前制定業務連續性計劃,確保各類情況下金融機構業務能夠連續進行成為了金融機構的「必修課」。本文將以美國監管機構對金融機構業務連續性管理要求為基礎,解構金融機構業務連續性管理的具體內容、必要性和運用案例。
一、金融機構制定業務連續性計劃的必要性
(一)金融機構業務連續的意義
根據國際清算銀行(BIS)等監管組織的定義,對於金融機構而言,業務連續性(Business Continuity)指的是業務連續的、不中斷的持續運營狀態。按照美國聯邦金融機構檢查委員會(FFIEC)的定義,業務連續性管理(Business Continuity Management)指的是金融機構為保護員工、客戶的利益以及產品服務不會中斷而進行韌性、連續性、危機響應等相關舉措的管理流程。
2006年8月,巴塞爾銀行監管委員會(Basel Committee on Banking Supervision)及國際證監會組織(IOSCO)等國際監管組織組成的聯合論壇(Joint Forum)發表了《業務連續性的高級別原則》(High-Level Principles for Business Continuity,以下簡稱「《原則》」),首次在國際層面統一對金融機構業務連續性提出了要求。《原則》詳細解釋了金融機構和金融體系確保業務連續性的重要意義,指出業務連續性是金融行業參與者和金融監管機構一直以來的最高任務(Ongoing Priority)。《原則》認為,確保金融體系在重大突發事件之下仍能保持韌性是金融機構和金融監管機構共同的利益所在,這主要是有以下幾個因素所導致的:
一是金融體系對經濟活動的重要支撐作用。在當前的全球經濟模式下,金融中介所提供的服務對於便利和促進經濟穩定運行起到了重要的作用,包括支付結算服務、存貸款服務、有效的轉帳服務和募集資金等投融資服務。
二是絕大多數金融體系裡清算和結算服務的集中性。如若在突發事件中金融體系的清算和結算服務發生了中斷,將可能導致金融體系的重要參與者無法完成資金轉移、難以償付其應償資金,從而對金融體系產生重大的負面影響。
三是境內外金融機構的關聯性日益緊密。隨著資金和證券交易速度的加快,金融機構之間的相互關聯性(Interdependencies)也進一步增強。關聯性的增強,使得結算風險、信用風險、流動性風險在金融體系之中擴散的風險加大。因此,即使是單一金融機構業務中斷,也有可能導致其他金融機構產生相應風險。更為嚴重的是,隨著金融市場的全球化,單一司法轄區(Jurisdiction)的業務中斷可能會導致全球金融市場的傳染性影響。
四是各類非傳統安全風險和突發事件的概率有所提升。隨著恐怖襲擊等非傳統安全因素風險的上升,金融體系基礎設施被作為襲擊目標的可能性也在上升。與此同時,隨著氣候變化等因素的影響,各類突發事件頻率的提升對於金融體系保持業務連續性也提出了挑戰。
五是金融體系穩定運轉對保持公眾信心的作用。如果金融體系經常發生故障或時間的中斷,那麼金融消費者對於金融體系乃至更廣泛體系的信心也會下降。這將有可能會導致境內外的金融市場參與者從該金融體系中撤出投資的資金。
值得注意的是,隨著金融體系的複雜性進一步上升,相應的操作風險也有所提升,因此保證金融體系具有一定熱韌性以確保業務連續性難度也進一步增大。例如,隨著科技的發展,金融體系對於電腦、自動化、信息系統的依賴程度越來越高,進而對於這些信息系統的第三方提供者物理基礎設施(如電力、電信網絡)的依賴也愈發嚴重。與此同時,隨著普惠金融惠及面的進一步拓展相比於以往,金融體系關鍵金融服務業務連續性也面臨著比以往更為嚴重的挑戰。
(二)金融機構業務連續的目標
隨著時代的變遷,金融機構所要應對的可能造成業務中斷的風險因素時刻在發生著變化。例如,恐怖襲擊等非傳統安全風險,使得此前單純應對自然災害等突發事件的業務連續性計劃無法充分應對。由此,金融機構業務連續性的目標也發生了相應的變化。2001年911事件發生之後,美國金融監管機構與金融機構就金融機構業務連續性的管理進行了討論,形成了《加強美國金融體系韌性的有效實踐》(Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System,以下簡稱「《有效實踐》」)。《有效實踐》指出,根據911事件後金融市場參與者與金融監管機構的討論,共同認為金融市場業務連續性有三個最為重要的目標:
一是當面對大範圍業務中斷(Wide Scale Disruption)時,關鍵業務職能(Critical Operations)能夠快速恢復並及時重新開始。
二是當面對一個或更多重要運營地點無法進入或損失該運營地點的職員後,關鍵業務職能(Critical Operations)能夠快速恢復並及時重新開始。
三是通過持續和有效的測試,來確保金融機構內外部業務連續性安排是高置信度有效和合適的。
聯合論壇(2006)認為,關鍵業務職能或服務(Critical Operation or Services)指的是:如若某職能或服務的中斷,會對其他金融行業參與者、金融監管機構或金融體系相關方業務持續運作(continued operation)產生實質性(material)影響,那麼該職能或服務則應被認定為關鍵業務職能或服務。在不同機構和金融市場環境之下,關鍵業務職能或服務的範疇也可能有所差異。一般而言,數據中心(Data Center)是絕大多數金融機構中的關鍵業務職能。除此之外,關鍵服務往往還包括了大額支付、交易清算和結算以及交易對帳等服務。
二、金融機構應該如何制定業務連續性計劃
為了更好地了解發達國家監管機構是如何要求金融機構制定業務連續性計劃,我們考察了美國聯邦金融機構檢查委員會(Federal Financial Institutions Examination Council,FFIEC)[2]最新發布的《業務連續性管理手冊》(Business Continuity Management,以下簡稱「《手冊》」)[3]。雖然,FFIEC發布《手冊》的主要目的只是為金融監管部門檢查各機構業務連續性管理時的重點進行指導,但是通過《手冊》的檢查重點,可以從側面了解監管部門對金融機構業務連續性管理的關注點和期望所在。
(一)業務連續性管理框架
《手冊》指出,金融機構的業務連續性管理流程應形成從設定目標、風險分析、構建業務連續性計劃、培訓與測試直至檢測與更新的有機閉環。《手冊》將業務連續性的管理分為了10個步驟,具體為:一是管理層對於金融機構整體業務韌性、業務連續性和應急響應能力的監督和執行。二是將業務連續性管理的各個要素與機構戰略目標等進行有機結合,使得業務連續性管理的目標、措施符合金融機構的特性和目標。三是通過業務影響分析(Business Impact Analysis)來確定關鍵業務職能(Critical Functions),分析與其他機構和企業的關聯性,並評估影響。四是通過風險評估來識別確定風險、評估不同風險造成的業務中斷的可能性和潛在影響。
五是構建有效的業務連續性策略(Business Continuity Strategy)來確保業務韌性和恢復目標的實現。六是在前期分析和研判的基礎上,基於業務連續性策略形成完備的業務連續性計劃(Business Continuity Plan),其中包括事件響應(Incident Response)、災害恢復(Disaster Recovery)以及危機管理(Crisis/Emergency Management)等組成部分。七是針對員工和其他利益相關方進行業務連續性的培訓。八是通過演練和測試確保業務連續性相關流程能夠有效支持此前建立的目標。九是對業務連續性策略、計劃等進行整體的審查和更新,以此來反映最新的業務和市場情況。十是監測並同時向管理層匯報業務連續性管理的整體情況。
通過上述的閉環動態過程,金融機構才能保證能持續確保其業務連續性管理有效且符合機構和金融市場的最新特徵。根據金融機構的複雜程度和整體的規模,金融機構可以針對可能產生業務中斷的不同風險制定單一或多項的具體業務連續性計劃方案。
(二)董事會、管理層責任以及審計要求
在業務連續性管理框架中,董事會、管理層對其具有管理職責,內部或外部的審計組織也應該充分對業務連續性管理的有效性進行審核。
董事會和管理層對於機構整體對業務連續性管理具有監督和審查等職責,其重視程度和應對策略判斷會對機構業務連續性管理的執行起到決定性作用。《手冊》指出,管理層需要從宏觀角度評估業務連續性的潛在風險,並設定長期和短期的連續性目標,採取相關策略和計劃來實現相應的業務連續性目標、增強業務的韌性,最後按照培訓、測試和監測的反饋來更新業務連續性目標、計劃等一系列內容。除此之外,管理層需要在設計批准新產品、新服務時充分考慮運營是否能保證相關業務連續性。
根據《手冊》要求,董事會(Board)的監督職責包括:一是布置業務連續性管理的總體責任和義務;二是針對業務連續性管理分配資源;三是將業務連續性管理總體要求與機構的業務策略和風險偏好結合統一;四是了解業務連續性潛在風險、可能採取的應對措施和政策;五是通過管理層的匯報、日常測試結果和審計結果來審查業務連續性管理執行情況;六是有效的對管理層的業務連續性管理進行質詢等獨立監督判斷。
管理層(Management)的監督管理職責包括:一是確定業務連續性管理各部門的角色、職責,以及相關方案;二是配置針對業務連續性管理的專職或兼職專業人員,並給予其充分的財務資源;三是確保相關人員了解其在業務連續性管理中的角色和責任;四是針對業務連續性的表現設立可以測度的目標,例如準備完成度、韌性目標等;五是設計和執行業務連續性執行戰略;六是確保業務連續性管理中的演練、測試、培訓等緩解足夠全面,並與業務連續性管理策略相一致;七是解決在演練、測試、培訓過程中暴露出來的超過公司風險承受能力的缺陷;八是設置業務連續性委員會(或協調人),並定期與其進行會議,討論業務連續性管理相關策略、計劃、演練、測試、培訓等環節的修改;九是持續評估和更新業務連續性策略和計劃,以期與公司最新的業務發展和市場環境相結合;十是與業務連續性管理的外部相關方(例如監管機構、第三方服務提供商等)定期進行協調。
《手冊》要求,金融機構的董事會和管理層需要要求內部審計人員或聘請外部審計對業務連續性計劃設計和執行的有效性進行審查。相關審計人員或單位應獨立於此前的業務連續性管理框架。審計的頻率和範圍取決於機構的複雜程度、風險偏好和業務經營變化情況,比如大型、複雜的金融機構需要對於不同部門的業務連續性管理進行多個審計。
《手冊》指出,審計人員應在審計業務連續性管理時做好以下幾方面內容:一是評估業務衝擊分析(Business Impact Analysis)和風險評估(Risk Assessment)的合理性、關鍵業務功能識別的準確性、不同事件的可能性以及對業務潛在衝擊的嚴重程度;二是評估機構是否具有可靠、充足和有效率的管控來保證業務連續且具有韌性;三是將機構實際具有的風險水平和風險緩釋措施與機構設定的風險偏好進行對比;四是檢查測試計劃是否取得了所希望的目標;五是監測業務連續性管理的測試,確保相關目標已經得到實現;六是評估業務連續性計劃執行的有效性。
(三)業務衝擊分析和風險評估
金融機構業務連續性管理的實際執行中,業務衝擊分析(Business Impact Analysis)和風險評估(Risk Assessment)是業務連續性管理的基石。業務衝擊分析(Business Impact Analysis)指的是對可能造成業務中斷事件的識別,並對其潛在衝擊的強度進行分析,包括關鍵業務職能的識別(Identification of Critical Business Functions)、相互依賴性分析(Interdependency Analysis)和中斷的影響(Impact of Disruption)。風險評估(Risk Assessment)指的是識別金融機構業務操作、機構資產、員工和其他組織風險的過程,包括了風險的識別(Risk Identification)、可能性和影響分析(Likelihood and Impact)。
《手冊》指出,管理層應當運用業務衝擊分析和風險評估來有效識別和監測金融機構業務連續性的潛在風險。一旦管理層確認某個因素成為金融機構業務連續性的潛在風險,其可以選擇四種應對方式:接受風險(Risk Acceptance)、風險緩釋(Risk Mitigation)、風險轉移(Risk Transference)或預防風險(Risk Avoidance)。在這其中,管理層的業務連續性管理應主要針對擬採取風險緩釋和預防風險進行應對的領域。除此之外,風險轉移的措施包括購買保險等,但是這並不意味著金融機構應該放鬆相關方面的風險管控。
業務衝擊分析(Business Impact Analysis)可以大體分為三大部分:首先是關鍵業務職能(Critical Business Functions)的識別。關鍵業務職能可以通過多種方式來進行識別,包括業務流程(Work Flow)、訪談(Interview)、組織結構圖(Organizational Charts)、網絡拓撲(Network Topologies)、數據流程圖(Data Flow Diagram)、後繼計劃(Succession Plan)等。關鍵業務職能不僅包括金融機構本身前中臺業務,也包括了其支持活動(Support Activities)、信息系統和外部第三方的交互關係等。管理層應對金融機構的關鍵財產(Critical Asset,包括人員、硬體、軟體、數據、信息、現金等)和基礎設施(Infrastructure,包括網絡連接、溝通渠道、設備、設施等)準備好庫存備份。
其次是相互依賴性分析(Interdependency Analysis)。通過業務衝擊分析,管理層可以了解金融機構內業務職能、系統和共享資源之間的相互依賴性,由於不同個體、組織或流程之間的相互依賴性和關聯性,單一的故障可能會產生潛在的「多米諾效應」風險。在分析的過程中,管理層應識別可能出現的單點故障(Single Point Failure),例如電信線路、網點之間的網絡連接、備用設施的損壞、過於依靠單一電力來源或在地理位置上過於靠近的數據中心,如果沒有提前培訓好作為相應崗位的B角,人員安排也可能成為單點故障的來源。管理層特別需要注意的相互依賴性風險包括內部系統及業務職能(例如客戶服務、生產過程、硬體、軟體、應用程式界面、數據、出於合規或其他需求對於關鍵記錄的保存)、第三方服務提供方(例如關鍵流程服務提供商、網上和移動銀行服務提供商、結算服務提供商、災害恢復業務提供商)、關鍵供應商(例如硬體、軟體和設備提供方)、業務夥伴等。
最後是中斷的影響(Impact of Disruption)。在業務衝擊分析的過程中,管理層應該評估潛在風險事件可能產生的影響,這些影響包括操作方面、財務方面以及聲譽方面等。充分分析中斷的影響之後,管理層應設置明確的恢復目標(Recovery Objectives)。一般用來測度恢復目標的有三個指標:恢復點目標(Recovery Point Objective,RPO),即為災難發生時可容忍的最大數據丟失,當超過最大可容忍的數據丟失時長後,則可將該故障稱為突發事件(Event)。恢復時間目標(Recovery Time Objective,RTO),即為預先設置的事件發生後,必須恢復數據的時長要求。對於恢復時間目標的設置將會影響到具體的技術和策略選擇。
當RTO的設置無法或難以實現時,管理層需要確認此前的RTO目標是否現實。最大可容忍業務中斷時間(Maximum Tolerable Downtime,MTD)指的是系統管理者或相關負責人可以接受的業務流程中斷時長,這段時間為RTO和為可能繼續中斷運營設置的冗餘恢復時間之和。MTD對於應急管理方案制定者選擇合適的恢復方式至關重要。若金融機構在實際運作中無法達到RPO、RTO、MTO目標,則將有可能造成操作衝擊(如業務中斷、證券違約、業務上線延遲等)和財務衝擊(如營收損失、費用增加、監管罰款等)。
風險評估(Risk Assessment)可以大體分為兩大部分:首先,是風險的識別(Risk Identification)。《手冊》指出,管理層在進行風險評估時,應該關注機構整體的韌性情況。具體的風險種類可以被分類為多種,FFIEC指出,在進行監管檢查時,檢查者應應特別注意金融機構是否已經將下列事件包括在了風險評估之中:一是自然災害,例如火災、洪水、極端天氣、空氣汙染和危險物質洩露。二是技術事件,例如通訊渠道中斷、電力中斷、設備和軟體故障、交通網絡中斷、供水系統中斷等。三是犯罪事件,例如欺詐、盜竊、敲詐、蓄意破壞、網絡攻擊和恐怖事件。四是國際事件,例如政治不穩定或經濟意外事件。
五是低概率但潛在影響巨大的事件,例如恐怖襲擊和流行性疾病。不過管理層可以針對不同風險的同類影響制定單一的業務連續性計劃,而不用針對每種特定風險都制定一個特別的計劃。此外,在風險評估中,FFIEC指出公司管理層有幾個特別需要注意的方面:一是管理層應評估公司所在地地理位置的潛在風險。例如若公司的位置位於洪水多發區、地震帶、颶風或龍捲風多發地帶、容易成為恐怖襲擊目標等。除了純地理的因素,管理層也應該注意潛在的地緣政治風險,例如在容易受美國制裁的國家展業可能造成附加的合規風險。二是管理層應統籌協調公司整體的風險評估。
金融機構內單一業務部門或條線應與其他部門進行充分協調來更準確的判斷對金融機構整體的潛在系統性風險。三是管理層應識別和評估網絡安全風險。網絡安全風險可能會對客戶信息的安全性產生危害,進而導致金融機構違反監管規定。四是管理層應與外部機構協調以充分獲取潛在威脅的信息。這些外部機構包括行業的信息分享機制、地方政府或政府部門的應急管理小組。而在金融機構內部充分的信息分享也可以幫助機構整體更為系統和準確的識別評估風險。五是管理層應關注與第三方服務商關聯過緊的潛在風險。如果金融機構與第三方服務商聯繫過於緊密(如依賴性很強),那麼當發生突發事件第三方服務商所受的影響可能會產生「多米諾效應」導致金融機構業務受到重大影響。
其次,是可能性和影響分析(Likelihood and Impact)。不同風險事件的可能性和影響不盡相同,例如短期的電力中斷是高可能性但低影響的事件,而流行性傳染病則是可能性較低但影響較大的事件,這其中最難應對的事件就是這些可能性較低但影響較大的事件。作為風險評估的重要部分,管理層應當定量的評估風險事件的潛在的財務等損失、定性的評估風險事件潛在對客戶、聲譽等的影響。除了評估金融機構本身遭遇風險事件的可能性和影響,管理層還應該評估重要的第三方服務提供商遭遇風險事件的可能性和影響。
(四)確定業務連續性策略
當進行完業務衝擊分析(Business Impact Analysis)和風險評估(Risk Assessment)之後,管理層需要制定相應的業務連續性策略(Business Continuity Strategy)。業務連續性策略應以風險為本(Risk-Based),並能充分應對可以預見的所有風險。業務連續性策略應將保證相應服務韌性和恢復目標的資源分配措施納入其中。同時,相關策略應保證在高峰工作流量情況下可行,例如當前情況下對於電子系統和技術的依賴使得完全依靠手工形式進行業務操作不再可行。
《手冊》指出,策略應將潛在衝擊對人力資源、業務流程、支持技術、設施和數據的影響充分進行考慮:一是人力資源方面的應對策略,包括運輸員工和物資的交通安排或安排員工在家辦公的預案。此外,機構應考慮當電信系統故障時與員工、客戶和外部服務商保持聯繫的方式。二是業務流程方面的應對策略,包括為不同業務條線和手工操作提前準備冗餘的工作場所。三是支持技術相關的策略,包括裝備齊整的備用數據中心或雲服務提供方。四是設施相關的策略,包括設置地理上距離較遠的災備中心或提前準備多個電力資源提供方,以避免單點故障造成嚴重後果。
五是數據保護策略,往往為對數據備份、復刻和儲存相應措施的結合,以此來確保業務的連續性。例如在當前的技術支持下,可以運用雲技術等先進技術支持的策略。《手冊》中特別強調了在業務連續性策略中考慮雲架構、虛擬化等其他先進技術的運用。《手冊》指出,雲技術的解決方案可以為金融機構提供低成本和高可利用率的環境,金融機構也可以考慮基於雲技術的災難服務作為整體業務連續性管理計劃的一部分。
業務連續性策略中最為重要的部分是保證金融機構的韌性(Resilience)。《手冊》解釋,韌性(Resilience)指的是金融機構準備和應對環境突變、承受短暫衝擊(例如蓄意攻擊、意外事故、自然災害等)並從其中快速恢復的能力。管理層應充分評估機構是否具有充足的資源(人力、財政、時間等)來保證機構整體具有韌性,並從過往的事件中充分吸取教訓。具體而言,金融機構的韌性可以分為以下幾個方面:一是實體韌性(Physical Resilience),實體韌性包括了IT架構、基礎設施、設備以及溝通方式的韌性。為了避免聯繫方式中斷的風險,金融機構應設立多樣化的通信線路,備足分支結構和數據中心之間的冗餘聯繫方式,設置備份系統、提前確定多種能源供給方,同時確保關鍵業務設施有不同地理位置的災備中心。
二是網絡韌性(Cyber Resilience)。網絡韌性的最大挑戰在實時變化的風險情況保證網絡系統具有韌性,隨著網絡攻擊的頻率和複雜性的加深,數據和信息系統的風險也進一步加大。例如,網絡攻擊有可能同時攻擊生產系統和備份系統,從而造成二者同時無法使用,亦或者攻擊方會在首次攻擊後在此發起二次攻擊等。因此在網絡韌性的範疇內,管理層應當充分考慮各種情況,提前建立相關安全和隱私政策來確保符合監管規定。三是數據備份和拷貝(Data Backup and Replication)。當遭遇業務中斷或數據丟失時,此前進行的數據備份和拷貝是恢復業務和數據的重要方式。數據拷貝(Data Replication)指的是拷貝數據的過程,其目標往往是為了確保在不同的地點(例如災備中心)保存相同的數據。一般而言,數據的拷貝可以有兩種形式,實時的(Synchronous)或非實時的(Asynchronous)。
實時的拷貝(Synchronous Replication)指的是當數據有任何變化時都快速的將其同時進行複製,但其對於帶寬等客觀因素要求較高,一般用於關鍵業務職能且對於數據丟失容忍度很低的業務使用。而與之相反非實時的拷貝(Asynchronous Replication)可能會導致數據丟失的增加,但是對於帶寬和數據佔用等的要求較低,同時也適合長距離的數據傳送。在此過程中,管理層應確保在數據的備份和拷貝過程中其保密性和隱私性。除此之外,管理層還應該提前明確相關數據的保存期(Retention Periods)。值得注意的是,與上文一致,《手冊》再次點出,雲技術和鏡像技術等先進技術可以為實施大量數據複製提供可能。四是人力資源韌性(Personnel Resilience)。
這是因為關鍵業務開展的韌性往往也取決於人力資源的多寡,當遭遇自然災害、極端氣候條件和流行性疾病時機構往往會面臨人員缺乏,因此金融機構需要提前為工作人員的缺席做好策略和計劃安排。在極端條件下,公共基礎設施和交通設施可能將無法運作,而電信系統也可能由於負擔過重無法正常運作。因此管理層應當提前考慮以下問題:需要保證業務連續性時可以獲取的人員及其具備的技能、安置流離失所業務人員(乃至家屬)的住宿條件、安置流離失所僱員的基本生活保障(例如水、食物、衣物等)、簡易醫療支持設備、移動指揮中心、當業務人員遠程工作時可靠的通訊方式、事先安排的應急處置人員等。
五是第三方服務的韌性(Third-Party Providers Resilience)。許多金融機構在運營關鍵業務環節時會使用第三方服務進行支持,這也就意味著第三方服務的潛在風險也會成為金融機構單點故障的來源。因此在進行業務連續性管理時也應該充分考慮第三方服務提供商的潛在風險、恢復能力,甚至考慮潛在的第三方服務商的替代者。
六是通信服務的韌性(Telecommunications Resilience)。考慮到通信服務的重要性,管理層應在公司層面設置通信基礎設施的一定冗餘。對於冗餘設置的具體細節,《手冊》指出,管理層應主要關注以下方面:在機構整體架構範圍內識別和緩釋單點故障的可能;建立和保持相應計劃來應對通信線路遭遇停電等事件;提前通過合約形式與電信第三方服務商保持冗餘線路,以確保在需要時可以切換至備用線路;審查第三方通信服務商的計劃,以確保其能在金融機構可以接受的時間內恢復正常運作;根據金融機構規模、業務複雜程度和風險特性提前制定指引,多樣化其通信線路,以緩釋通信系統故障的風險;評估通信服務「最後一公裡」的可靠性,以避免單點故障;檢測與通信服務第三方服務商的關係,以此降低潛在風險;了解通信服務第三方提供商線路鋪設的具體位置,確保其通信系統具有冗餘。七是電力的韌性(Power Resilience)。
金融行業的技術基礎設施和營業網點等需要依賴電力來維持員工的工作環境和接待客戶的必要條件。因此管理層需要在電力的韌性方面考慮以下內容:替代性的電力來源(例如自備發電機或接入多個電網)、燃料要求(包括儲備的發電用燃料以及在突發事件來臨時可以獲取的燃料來源)、自備電機的承載能力(包括運作時長、折舊年限等)、自備電機的日常維護和測試。除此之外,管理層還應當在業務連續性計劃中適當考慮管理層變動可能給業務連續性帶來的風險,提前做好計劃避免管理層的變動對金融機構業務產生負面影響。
值得注意的是,《手冊》還在業務連續性策略之中提到了應當對溝通渠道保證一定的韌性。這主要是因為在遭遇突發事件、自然災害甚至恐怖襲擊時,傳統的通訊系統可能也遭到了損害或無法使用。因此需要在事前提前準備好別用的通訊方式和聯繫人通訊錄,以此確保機構內部、與第三方服務商以及外部機構(包括監管機構、政府應急響應部門、法律強力機構、金融行業組織、重要客戶、信息共享組織)的聯繫。
(五)建立業務連續性計劃
作為業務連續性管理最為重要的部分,《手冊》指出金融機構應當根據機構的規模和複雜性提前就業務連續性計劃(Business Continuity Plan,BCP)設置足夠細節化的安排,而且BCP應當是一個動態的文件(Living Document),定期根據組織架構和業務特性等內容進行更新。對於小型機構而言,其可以設置一個單獨的BCP,但是對於大型的、複雜的機構而言可能需要根據業務內容、設施地點等內容設置不同的BCP。一個完善的BCP應當包含以下內容:一是金融機構員工和第三方服務提供商各自的角色、職責和所需技術;二是對於各類可以預見的突發事件的解決方案;
三是提升應對等級的明確界限條件;四是保護職工減小損害的具體步驟;五是恢復運作、服務等的優先級和流程;六是重要信息的保護方式;七是在備用設施開展業務時對員工的運輸和安置安排;八是網絡設施、通信需求和各類信息傳輸安排;九是在替代設施的人員安排;十是業務連續性計劃測試的範圍和頻率;十一是如何將業務流程從應急狀態恢復至正常狀態。一般而言,業務連續性計劃的建立可以分成幾個大塊:事件管理(Event Management)、 業務連續和恢復的安排(Continuity and Recovery)、基礎設施和設備的準備(Facilities and Infrasture)、支付系統的保障(Payment System)、流動性考慮(Liquidity Considerations)以及其他內容。
在事件管理(Event Management)方面。在BCP之中,需要提前明確多種情況下的事件(Events)、中斷(Disruptions)或者觸發事件(Trigger)。所謂事件,指的是對業務操作產生影響的環境突變或改變,其可以是實物的、網絡的或者二者合一的改變;所謂中斷,指的是造成業務操作超出可接受範圍降級或失效的事件;所謂觸發事件,指的是將會引發管理層響應的事件。在制定業務連續性計劃時需要提前確定好不同情況下應對升級的門檻(Threshold),以便施行不同的措施來應對突發事件。
除了事先需要詳細明確事件發生時的匯報路徑,事件發生時的響應措施也需要提前進行明確,具體的響應措施可以包括:當軟體升級失敗時,可以將運營轉換到備用的設施之中;當原設施所在地變得不安全時,將工作人員轉移到安全的備用地點;當突發事件造成運營中斷時,授權啟動替代的通信設施;當識別判定重大網絡攻擊時,啟動災難恢復程序;當颶風對特定地點產生威脅時,啟動應急響應程序。
在業務連續和恢復(Continuity and Recovery)的安排方面。管理層應事先建立相關業務連續性操作和系統恢復的草案,這些內容應包括:如何在業務暫時中斷時處理客戶服務要求、如何跟蹤監測每日的交易、如何調和總帳和分帳、如何記錄各類操作任務、如何在系統恢復後錄入帳簿、如何保存備份記錄的客戶帳戶信息等。在條件允許的情況下,BCP之中應納入關鍵業務手工操作的流程,例如後臺業務操作、貸款操作和客戶支持服務。《手冊》指出,BCP之中的操作流程應當清晰、明了且容易實施,可以採用檢查表(Checklist)式的操作手冊。值得注意的是,當遭遇突發事件或災害時,客戶可能受災丟失了身份證明文件以及個人帳戶的記錄,因此金融機構應當在BCP之中提前考慮其他客戶用於證實自己身份的方式,並警惕這一時期可能出現的金融欺詐等行為。
在基礎設施和設備(Facilities and Infrasture)的準備方面,《手冊》指出BCP應當提前確定好關鍵業務操作、設施、基礎系統、關鍵人員等方面的備選方案。在選取備用站點時,應當提前為其業務可擴充性(Scalability)進行規劃考慮,以避免事件造成備用站點長時間運營的潛在風險。同時,管理層應當確定備用站點可以保證以下關鍵業務的進行:核心流程、支票操作、現金管理、支付系統、郵寄傳真、客戶驗證等。具體到備用站點,一般分為兩類:備用數據中心(Data Center RecoveryAlternatives)和備用營業網點(Branch Relocation)。
備用數據中心可以根據其所服務業務和數據的重要性和實時性要求分為多種類別:一是冷站點(Cold Site),即為具有必須的電力和物理硬體設備的站點,但是還未裝備電腦等設備。一般這些站點只有在接受了電腦、人員和相應軟體調試之後才能運作,由於需要進行準備和調試的時間較長,難以短期內啟用,一般較少用於金融行業的備用站點。二是溫站點(Warm Site),即為在冷站點基礎上還裝備了部分信息系統和電信設備的站點,但是這些站點並沒有準備好運作所需的軟體和數據,也需要一定時間的裝載、導入和調試,因此採用這種站點時,可能會遭遇一定時間的業務中斷。
三是熱站點(Hot Site),即為在溫站點的基礎上還提前準備好了各類硬體、軟體的站點,但不一定具有實時更新的數據,其設置和維護較為複雜、成本較高,但是卻能保證業務切換到熱站點時幾乎不會中斷。四是鏡像數據恢復站點(Mirrored Data Recovery Site),在熱站點的基礎之上,其還具有實時更新和複製的數據。此外,這些站點之間應當是具有一定地理距離並採用不同的電力等一系列設備,以此避免同時失效。雖然這類站點的維護成本最高,但是卻可以在發生災害時實時進行切換。避免業務中斷。五是移動站點(Mobile Site),移動站點的硬體和軟體設備介於冷站點和溫站點之間,同時還具有可移動的電腦等設備來服務客戶。
六是租賃的設施(Colocation Facility),指的是可以為多個互不相關租戶提供空間、電力、設施、通信等服務的租賃場地。其使用風險在於噹噹地發生大範圍自然災害時,恐難以提供足夠的空間來服務不同的客戶。七是互惠協議(Reciprocal agreement),即為允許兩家機構之間互相作為對方備用設施提供方的協議。雖然這類協議可以幫助兩家機構節省成本,但其風險可能在於隱私保護和數據安全,因此這一類的互惠協議最多只能在短期內解決備用站點的問題,而無法成為長期解決方案。八是災備即服務系統(Disaster Recovery as aservice),即為可以為相關設置、硬體和數據提供雲備份和恢復服務的系統。備用營業網點則是在遭遇突發災害襲擊時元網點無法提供服務時,可以短期內替代原網點關鍵服務的網點,備用營業網點的設置和啟用還需要監管機構的具體批准。
在支付系統的保障(Payment System)方面。BCP應當考慮支付系統(例如ATM及其、資金交易、電子銀行等系統)發生故障時的替代方法,例如通過手工記帳等方式來進行支付結算,除此之外網頁系統或第三方軟體等也可以在部分支付系統故障時臨時承擔支付轉帳的職責。當突發事件發生時,現金需求或轉帳的需求也可能急劇增多,在此情況下BCP應當充分考慮相關業務的可擴容性。
在流動性考慮(Liquidity Considerations)方面。BCP應當提前考慮當遭遇負面衝擊時可能激增的現金和流動性需求。例如當遭遇自然災害時,由於電力和通信系統的故障,對於現金的需求可能激增。BCP之中事先設置的滿足現金和流動性需求的安排包括:緊急拆借通道、替代性的現金運輸保管方式、更高的貸記卡透支限額等。
除了以上的內容,管理層在制定業務恢復計劃是還應該提前考慮應急響應(Incident Response)、災害恢復(Disaster Recovery)和危機管理(Crisis Management)等。通過應急響應,管理層能夠較好的降低負面事件的不利影響。應急響應的優先程度排序為:保護生命、保全財產、穩定措施以及與相關方進行溝通,這些相關方包括客戶、第三方服務提供商、政府機構、監管方以及媒體等。
為了更好地消弭負面的影響,金融機構應當在遭遇負面事件時設立專職新聞發言人,向外主動提供信息,並監測輿情動態。而災害恢復指的是遭遇災害後對於IT基礎設施、數據和系統的整體恢復,在這一過程中應事先識別哪些業務和系統是應該首先進行恢復的(例如在災害發生時電子銀行、ATM等業務的恢復需求較高),並充分注意信息安全的保護。危機管理則指的是在遭遇災害等事件時管理、啟動BCP計劃的過程。並非所有事件都需要進行危機管理,因此需要相應的專業團隊和事先的計劃來判斷某個特定的事件是否需要進行相應的危機管理,並採取相應舉措。
(六)培訓、演練與測試
《手冊》要求,管理層應對相關人員進行韌性、業務連續性目標以及個人的角色和職責等內容進行培訓。具體的培訓內容可以包括:練習、當前風險和未來風險的普及、近期事件的闡述、新業務和新計劃的提前預告、此前突發事件所吸取的經驗等。培訓的範圍應該包括董事會、高管層、業務條線負責人以一線業務人員,具體的培訓內容也應該根據聽眾的類別進行個性化的設置。值得注意的是,對於董事會和高級管理人員的培訓應該更為頻繁,特別是當具體的業務流程、風險和BIA發生顯著變化時,董事會和高級管理層應當進行相應的培訓。具體的培訓形式包括以下類型:課程教育、網課訓練、親手實踐以及與其他機構合作等。
《手冊》指出,金融機構的董事會和高級管理人員應當設置適當的評估、測試和演練等,以此來評估業務連續性計劃等內容是否能切實符合業務連續性目標。所謂演練(Exercise)指的是需要人員參與的對於BCP及相關流程單方面或全方位的驗證。所謂測試(Test)指的是一種特定的演練形式,其旨在測試一定操作環境下系統的韌性、可靠性和具體表現。一般而言,演練和測試的主要差異在於演練主要關注人員的培養和測試,而測試則更多的關注系統的特定方面可靠性。
《手冊》要求應該針對演練和測試的頻率進行提前要求,特別是當新的風險被識別或者機構整體運營環境發生顯著變化時,應該針對這些事項進行演練和測試。從演練的模式上來看,可以大體分為幾種:一是全面演練(Full Scale Exercise),全面演練可以充分的監測所有可供使用的資源(包括人員和設備),是否可以在最大限度上幫助金融機構保持業務連續性。全面演練可以幫助管理層更為準確的識別關鍵業務運營部門之間的相關聯性。二是有限規模演練(Limited-Scale Exercise),有限規模演練往往是針對特定的業務環節或業務條線在特定環境下是否能保持業務連續性來進行的演練,因此有限規模演練並不能幫助管理層識別不同業務條線之間和不同部門之間潛在的相關聯性。
三是圖上作業演練(Tabletop Exercise)。圖上作業演練即為負責業務連續性的人員對其在特定情況下所應扮演的角色和應付責任的討論,其目標在於確定業務連續性計劃對於個人職責和相應目標安排的合理性。值得注意的是,演練和測試其最為重要的目的是在其中發現業務連續性管理的漏洞以及潛在值得改進的地方,因此在進行了演練和測試之後,管理層應針對演練和測試所展現出來的弱點進行針對性的改進,確保業務連續性管理能夠滿足相應的目標。
三、業務連續性計劃具體運用案例
從金融機構創設發端之初,業務連續性計劃的設置便成為金融機構所需要面對的課題。隨著歷史的進程,金融機構的運作方式也愈發的電子化、自動化,在這一過程中,業務連續性管理的內涵和要求也不斷地更新,各金融機構也通過不斷在實踐之中測試、啟用、改進業務連續性管理。下文將根據聯合論壇的匯總,簡述21世紀以來2次遭遇外部事件衝擊時金融機構業務連續性管理開展運作的經驗和教訓。
(一)2003年美國和加拿大金融機構應對大停電事故
2003年8月14日(星期四),美國東北部地區及加拿大安大略省東部地區的電力設施發生故障,導致了大範圍的停電,其影響時長長達2天以上。大範圍的停電不僅造成了照明系統和電腦、計算機系統的無法運轉,也造成了通信系統的問題。在事件發生之後,美國和加拿大的金融監管機構迅速啟動了應急溝通流程,一方面聯繫各大金融機構,了解其業務連續性計劃響應情況,確保其關鍵金融服務能夠繼續進行,金融市場不會產生大範圍的動蕩;另一方面與當地政府和供電機構進行聯繫,了解具體事故情況和恢復信息。同時,組織召開當地政府和金融機構都參與的會議,消除對於災害事故的不確定性恐慌,穩定金融市場情緒。
對於金融市場,由於停電的開始時間發生在下午4:11,即為金融市場交易完成之後,因此並沒有對當天金融市場產生較大衝擊,第二天各大交易所及主要金融機構也啟動了備用電源等一系列方式保證了運營的連續性,因此整體的影響較小。但是部分機構在啟用了備用電源之後還是出現了意外情況,全美證券交易所(American Stock Exchange, Amex)在8月15日的交易中心啟用了其原有交易場所的備用電源,因此並未切換到備用的場地,但是在當日交易過程中,負責機房空調供電的系統發生故障,因此無法保證機房能夠正常運轉,受制於此Amex只得縮短當日的交易時長,避免機房由於過熱產生故障。
對於零售業務而言,絕大多數銀行的在第二天啟用了備用能源,從而能保證大部分分支機構和零售客戶的服務需求。由於備用能源的及時啟用以及停電時間並未過分延長,因此大部分銀行業金融機構不需要啟用備用網點。但是部分ATM機由於缺少電力而無法運作。但總體而言,銀行通過啟動業務連續性計劃,對於客戶的正常零售業務需求還是能夠基本滿足。
除此之外,由於電力的暫停,各類公共運輸設施陷入停擺,各大金融機構的部分值班人員在其工作單位度過了當晚,以便第二天關鍵業務人員不會受制於交通問題無法返回工作地點,進而影響金融機構核心業務的運營。
根據聯合論壇(Joint Forum)在《業務連續性的高級別原則》中總結,本次事件帶給大家的經驗教訓,主要有以下幾個方面:一是金融機構應在業務連續性管理之中提前納入之前沒有遇到過的極端但可能的情景事件。隨著時代的進步,金融機構所運營的模式也發生了較大的改變,金融機構很可能會遇到此前並未遭遇過的新風險、新事件,因此金融機構在業務連續性管理的計劃、測試和更新之中應充分考慮這些新產生的極端但可能的事件。二是在突發事件發生時及時公開信息,進行有效的溝通極為重要。
停電事件發生之後,美國監管機構迅速聯繫了各大金融機構,並通過組織金融機構與當地政府應急響應部門聯合會議的方式,及時公開了突發事件信息,否認了恐怖事件的可能,穩定市場情緒和金融機構整體預期,方便金融機構準確研判事態發展,啟用合適的業務連續性計劃進行應對。三是在事前準備遭遇突發事件時的溝通規則和聯繫方式。當遭遇突發災害時,相關的電腦、通信系統可能會產生故障,在此情況下往往需要啟用備用的通訊渠道,此時事前準備的溝通規則和聯繫人目錄等材料就起到了舉足輕重的作用。
(二)2003年SARS疫情對中國香港證券市場的影響
2003年SARS疫情爆發,中國香港共發現病例1755例,並造成300例的死亡,同時引起了當地社區的普遍恐慌和焦慮。事實上,SARS疫情在中國香港的擴散並未直接在金融機構的僱員之中流行,但是金融監管機構和各大金融機構也採取了相應的措施來應對疫情的影響。
以香港地區的投資銀行機構為例,香港地區的投資銀行在疫情期間形成了以行業工會為渠道的信息溝通平臺,互相交流了所獲取的最新信息與此同時,各主要投資銀行還採取了以下措施來最小化疫情可能產生的影響:一是每日舉行業務連續性情況簡會。分享政府和各方面所了解到的有關疫情最新信息,並向所有員工發送郵件幫助僱員了解疫情最新情況和所需的防護措施。二是僱傭健康專業人員作為顧問。部分公司僱傭了專業的醫療人員為其辦公室工作的僱員提供健康和諮詢等服務。三是補貼需要乘坐公共運輸工具的員工的士費。通過為員工提供交通補貼的形式來避免員工搭乘公共運輸潛在的感染風險,與此同時,還採取了錯峰上班等措施來降低通勤期間感染的風險。四是減少出差。
僱員在疫情期間儘量減少外出出差的機會,甚至部分公司要求員工出差之前需要首先諮詢醫生的意見。除此之外,香港的監管機構也採取了儘量減少現場服務、避免聚集性會議、向僱員分發口罩、牽頭建立與金融機構溝通機制等形式來最小化疫情的潛在影響。
根據聯合論壇(Joint Forum)在《業務連續性的高級別原則》中總結,本次事件帶給大家的經驗教訓,主要有以下幾個方面:一是此前業務連續性管理中的部分假設可能不夠極端。例如在香港證券及期貨事務監察委員會(SFC)此前的業務連續性計劃中,其模擬的場景為部分員工由於突發事件無法前來上班,但是在面對SARS疫情時,很可能出現由於單個員工被感染而導致整個部門被要求進行醫學隔離的情況,因此以SFC為代表的金融監管部門和金融機構在此次事件後相應調整了其業務連續性計劃。二是本次事件使得各方更為重視信息的收集和公開。在SARS疫情在中國大陸剛剛爆發時,由於多方面原因,香港金融監管部門和金融機構所能收集到的公開信息較少,這影響了相關部門和機構的業務連續性響應的判斷。因此,此後相關監管機構和金融機構對於突發事件時信息收集和分享更為的重視。
參考文獻:
(1)Federal Reserve, OCC, SEC, April 2003, Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System, https://www.federalreserve.gov/boarddocs/srletters/2003/SR0309a1.pdf
(2)FFIEC, November 2019, FFIEC Information Technology Examination Handbook: Business Continuity Management, https://ithandbook.ffiec.gov/media/296178/ffiec_itbooklet_businesscontinuitymanagement.pdf
(3)Joint Forum, August 2006, High-Level Principles for Business Continuity, https://www.bis.org/publ/joint17.htm
註:
[1]2019年2月22日,習近平主持中共中央政治局第十三次集體學習新聞稿,http://www.gov.cn/xinwen/2019-02/23/content_5367953.htm
[2]FFIEC自1979年3月10日成立,其成員包括美聯儲理事會、金融消費者保護局(CFPB)、聯邦存款保險公司(FDIC)、國家信用合作社管理局(NCUA)、貨幣監理署(OCC)以及地方監管機構。旨在為金融機構檢查監管設定統一的標準。
[3]此前,FFIEC從20世紀末即開始公布《手冊》對金融機構業務連續性的監管要點進行明確,此後幾乎每隔5年左右即會根據最新的情況更新《手冊》內容,以便監管機構根據金融市場的發展調整監管重點。