2013年6月23日上午,某银行出现大面积系统故障,波及北京,上海,广州等多个大中型城市。6月24日,另外一家银行转账全面暂停,网银、柜台均无法操作。
接连发生的两大银行系统短暂“罢工”,引发了民众对银行支付违约的恐慌与担忧。人们开始担心银行等金融系统是否像他们对外宣称的那样牢不可破,让人安心!
系统故障背后的灾备与风险管理
7月初,某银行就6·23事件式内部通报指出,故障原因是由于供应商提供的主机版本内存清理机制存在缺陷引发的。小概率,高风险的系统故障再一次将银行灾备与风险管理的重要性凸显出来,也让业务连续性管理(BCM)这一普通人觉得陌生的术语浮出水面。
银行业信息系统承载着金融机构核心业务和金融服务的稳定运行,一个环节出现问题,就可能引发“多米诺骨牌”式的传递效应,引发系统性金融信息安全风险,巨大的经济损失尚且可估算,但对银行社会声誉的巨大损失甚至容易引发全社会的恐慌所带来的巨大冲击则是不可估量的。
美国911事件中,德意志银行和纽约银行在业务连续性管理上的差异所导致的迥然不同的结局给全球金融业带来了深远的影响。欧美,日本等发达国家迅速发布了一系列的指导性文件,针对金融业尤其是银行业的业务连续性管理的相关规范和标准相继出台,包括巴塞尔银行监管委员会发布的《业务连续性高级原则》则将其提升到了全球商业银行管理原则规范的高度。
从70年代萌芽的BCM经过几十年的发展,从最初的数据中心灾难恢复发展到对业务的连续性和可用性进行保障,经历了若干天灾人祸的洗礼而日渐成熟。BCM也渐渐从金融业扩展到能源,运输,政府管理等方方面面,这些与百姓生活息息相关的行业也开始树立针对突发灾难的风险意识,从源头做起,建立风险管控机制,完善风险管理。
银行业风险管控意识亟需升级
显然,在6月多家银行系统故障频发的现实证明我国银行业风险管控意识亟待升级。我国银行业IT应用早已步入集中时代,但在数据和业务系统的连续性管理上,大多金融机构起步较晚,中小型金融机构更是如此。
2008年,现任银监会副主席郭利根曾就多起国内银行信息科技风险事件发表讲话。他指出,基础建设滞后、软硬件及核心技术受制于人和系统管理粗放是当时银行业信息科技建设存在的主要问题,特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面,存在明显的“短板”。
从思路上,当前国内银行业信息化建设应该树立围绕生产中心、灾备中心、运维中心、测试中心、IT作业中心等多中心的数据中心的统一运维、统一管理思路;建立从被动建设灾备中心,到主动建设的思路;建立从确保核心业务灾备能力到逐步深入确保所有业务灾备能力的思路。银行的高级管理者必须对风险管理的认识水平从简单的灾备提升到全面的风险管理层面,从业务连续性角度去看待这个问题。
美国911事件后,我国的BCM建设全面进入了建设快车道,业务连续性管理不仅和银行的操作风险紧密相连,同时还涉及到银行的市场风险、信用风险和法律风险,无论是巴塞尔协议在内的国际商业银行间风险管控要求,还是国内央行,银监会、保监会等金融业监管机构越来越重视业务连续性与灾难恢复建设,纷纷明确要求,各商业银行进行更严格,更主动的风险管理,以保障银行持续稳定运营,维护金融业的持续稳定。一系列对业务可持续性管理及其相关的信息安全、应急管理、灾难恢复等领域的监管规范和指引相继发布。2011年,中国银监会发布的《商业银行业务连续性监管指引》首次成为强制性措施,并定期进行检查。
从银行信息化大集中角度看,业务连续性管理贯穿银行服务始终。从业务战略层面,统一应急管理工作保障制度、规范应急体系和流程、完善应急管理体系整体规划、完善信息系统和基础设施应急预案及必要的演练等业务连续性管理措施银行业务保障的基础;规范与业务连续性管理相配套衔接的服务流程,保障管理措施的规范执行是银行主管部门、执行部门、保障部门都应重视的重要内容;建立预案体系、演练体系和应急体系,明确突发危机场景、技术、手册等方面的预案,通过积极演练和科学的应急体系维护业务连续性;在IT层面,除了设立科学合理的异地灾备与应急体系外,还需建设BCM平台,全面覆盖风险分析、业务影响度分析、预案开发和管理、应急演练、应急响应、应急恢复等领域,形成一套完整的IT业务连续性管理闭环。另外,在企业文化方面,也需强调、培训业务连续性和危机保障的重要性。
BCM,既是业务需要,更是规范要求
中金数据作为国内最早涉足业务连续性管理领域咨询服务的专业企业,在金融领域积累了大量的项目经验和成功案例,先后参与了建设银行、交通银行、农业银行等国有大行的BCM咨询与建设,还参与了银监会相关BCM的监管规范的制定,并在2008年推出了自主研发的一体化的业务连续性管理流程软件CeBCM(中金业务持续和应急管理软件),为银行提供了一个方便的、可靠的、流程化的工具,为银行业务的稳定,安全运行保驾护航。
中金数据系统的CeBCM能够帮助银行用户实现业务持续管理和应急管理工作的电子化、流程化、智能化。其具备以下特点:通过完整的预案体系、辅助完成预案演练、电子化的过程管理和工作流、语音、视频、短信、邮件等渠道进行信息传递帮助客户实现有效应急保障;内置国家法律法规库和行业监管机构监管规范、智能填报助手和标准化专业服务和内置工作流引擎帮助客户实现外部监管要求和内部持续改进;风险评估报告、业务影响分析报告和完整详实的风险知识库和问卷库等完善的报告编制功能,有效帮助客户全面预防风险,同时解决银监会合规等外部压力问题。
针对企业演练不足,没有灾难复原经验等问题,中金数据提供全程演练支持,在5月30日,中金数据协助农行完成总行及分行信息系统灾难恢复演练,提高了农总行和各分行应对灾难性突发事件的能力,业务验证成功率为99.94%。正如农行总行信息科技部相关领导所指出的,通过演练,提高了全行的灾备意识,验证了灾难恢复组织指挥体系的有效性,提高了全行信息系统的应急响应能力,促进了总行部门之间,总、分行之间的协同合作。同时,演练也达到了银监会关于业务连续性演练的监管要求。
中金数据咨询服务部总经理尹晖认为,6月末集中爆发的银行故障对于国内金融BCM行业的发展来说是挑战,更是发展的契机,相信这将有力的推动中国银行业的BCM向前发展。