【前沿新论】中小银行支付清算系统业务连续性管理措施的实践研究

    文   王晨姝 唐恒武


   人民银行支付清算系统是国家重要的金融基础设施,也是商业银行的核心基础设施。支付清算系统的安全稳定运行有效保障了社会资金的高效运转,关系着社会和谐与金融稳定,而确保支付清算系统的业务连续性则是防范支付清算系统运行风险的本质所在。


支付清算系统业务连续性管理起源发展


业务连续性管理(Business Continuity Management,BCM)是一项综合性管理活动,通过识别组织面临的潜在风险,评估风险可能对组织造成的影响,建立一套组织、流程和资源相互配合的体系,以提升组织对风险事件的应对能力和恢复能力,保障组织价值创造活动的持续进行,有效维护组织的品牌声誉和相关方利益。


业务连续性管理起源于20世纪的欧美国家,最早关注的重点只是信息系统的灾难备份和恢复。具体来说,其起步于20世纪70年代中期,源于美国中西部地区对电脑设施进行的备份。从1982年到1998年间,人们逐渐认识到数据备份虽然是组织业务恢复的基础,但还需要相应的备用数据处理系统和网络系统,灾备中心才能更快、更有效地接管生产持续运行,因此产生了应用级灾备的概念。1983年后,美国金融监管机构对信息系统正式提出了运行连续性的要求。这就对灾备系统建设提出了新的要求,不仅要恢复数据,还要支持在规定的时间内恢复业务。这是业务连续性要求的初期表述。


20世纪90年代末至21世纪初,一系列恐怖袭击事件对社会公共安全和组织正常运营造成了严重影响,业务连续性一词被频繁提及。业务连续性的概念不再局限于信息系统灾难恢复的范畴,而是扩展到了组织运营的方方面面。


“9·11”事件是BCM发展的重要里程碑。“9·11”事件发生后,世贸大厦里金融机构的大量数据化为乌有,这是对所有金融机构的重大挑战。人们深刻地认识到灾难恢复和业务连续性管理的重要性,对组织的业务连续性建设要求不仅仅来自组织本身,更包括组织间的联合机构、行业监管部门、政府机构。


2012年,国际标准化组织(ISO)正式发布了业务连续性管理国际标准ISO 22301:2012和ISO 22313:2012,标志着业务连续性管理发展进入新阶段。


中国人民银行大连市分行进行支付清算系统业务连续性管理要求及应急处置流程培训


   近年来,随着支付清算系统业务发展规模不断扩大,单点故障发生将产生大范围的影响,因此支付清算系统的业务连续性管理要求也在不断提高。目前,我国在支付清算系统业务连续性管理方面已经建立了较为完备的支付清算系统业务连续性法规制度框架、多层次业务连续性技术保障机制和支付清算系统业务连续性体系,对支付系统业务连续性的具体标准也予以明确。2020年,中国人民银行支付结算司下发了《关于进一步加强支付清算系统业务连续性管理工作有关事项的通知》,进一步明确了支付清算系统业务连续性的管理要求,涵盖了事件标准和责任界定,为各级机构和参与者的业务连续性管理提供了重要的方法和依据。


中小银行支付清算系统业务连续性管理实践探索



在复杂的生存环境和技术条件下增强应对灾难、各种突发事件的能力,保障支付清算系统业务连续性运营,成为中小银行的重点工作任务。结合实践,中小银行应强化以下几方面的内容:


一是要充分认识保障支付清算系统业务连续性的重要性。严格落实管理主体责任,明确管理职责,加强部门联动。应由支付清算系统业务管理牵头部门明确相关部门的职责分工及管理负责人,设置专岗、指定专人负责,相关人员设置要互相备份,确保随时到岗。


二是良好的组织架构是支付清算系统业务连续性管理工作有效运行的前提。应明确各级机构的管理职责和报告路线,包括支付清算系统业务连续性管理战略的审核和批准,支付清算系统业务连续性管理政策的制定、审查、监督和执行,支付清算系统业务连续性工作计划和报告的制定、审核和执行,风险评估、业务影响分析及业务连续性演练的组织,应急处置的决策和实施等工作。


三是完善的制度建设是支付清算业务连续性管理工作的基石。中小银行要不断深化业务连续性管理相关的制度建设,定期组织相关部门对各项制度进行自检,包括但不限于技术管理制度、业务管理制度和应急管理制度,及时更新和完善,确保制度的全面性和可执行性。同时,定期对执行情况进行自查,不断加大制度的执行力度,从制度建设和执行两方面保证支付清算系统业务连续性管理工作的有效实施。


四是先进的科技信息系统是支付清算业务管理的重要保障。中小银行应充分认识到科技信息系统管理对支付清算系统业务连续性的影响,强化风险意识,加强支付清算系统的运维管理和安全管理。


五是应急演练是检验应急预案可执行性和应急保障资源可用性、充足性的重要措施。中小银行应确保预案制定的合规性、有效性、完整性和可操作性,并在日常应急管理过程中定期进行评估,不断更新和完善,确保预案符合本行实际情况,保证在突发情况下预案的可实施性。中小银行至少每半年进行一次突袭式支付清算系统应急演练,包括实战化的信息系统演练和支付清算业务演练,要制定详细的演练计划,尽量多场景覆盖,注重针对性和实效性,演练完成后认真评估和总结。


六是专业的培训是提高中小银行支付清算系统业务连续性管理人员、技术人员和业务人员管理能力的重要手段。要定期组织支付清算系统业务连续性主管领导、相关部门负责人、业务人员和技术人员进行支付清算系统业务连续性管理要求和支付清算系统应急处置流程的培训。针对业务人员可以加强支付清算系统业务知识和业务管理方面的培训,针对技术人员可以加强支付清算系统运维管理方面的培训。


七是常态化的风险排查机制是支付清算系统风险防控的必要环节。中小银行要建立支付清算系统的业务连续性风险排查常态化机制,通过每日巡检、月度专项巡检、每季度深度巡检,建立一套完整的多维度的风险排查流程,主动识别风险隐患落实相关整改措施。应进一步提高业务连续性管理能力,形成科学、有效、反应迅速的应急响应及灾难恢复机制,将支付清算系统业务连续性管理与风险管理流程有机结合,提高风险管控能力,整体保障支付清算业务持续稳定、安全运行。


(作者供职于中国人民银行大连市分行)


声明:文字来源于网络,仅以传递信息为目的,侵权请联系删除,谢谢!