BCM：灾备之外的思考

　　BCM应该是一种企业文化，需要银行高管在对业务连续性有了本质理解之后，在组织体系、管理体系等各方面进行相应的调整，随时保持同步。

　　近年来，我国银行业业务发展迅猛，大型银行的资本总额、开户数量、业务处理量已位居世界前列，经营范围遍及全国，并在海外快速扩张，一旦业务停顿，可能影响全行乃至整个金融体系的正常运转，影响社会稳定。

　　如何在日趋激烈的市场竞争中实现银行业金融机构的持续发展，如何在愈加恶劣的生存环境和更为复杂的技术应用条件下增强机构应对灾难、各种突发事件的能力，保障业务连续性，成为国内银行业金融机构面临的重点和难点问题。

　　近日，《CIO/insight信息方略》记者就有关银行业务连续性与IT系统建设等话题，采访了中国银行业协会系统服务部主任、中国金融CIO联盟专家、中国IT治理研究院特聘研究员张成刚先生。以下是经过编辑的对话。

　　被访者简介

　　张成刚

　　中国银行业协会系统服务部主任

　　中国金融CIO联盟专家

　　中国IT治理研究院特聘研究员

　　CIOI：能否请您先介绍一下我国BCM的发展？BCM（Business Continuity Management 业务持续性管理）是个新词汇，但实际上这个事情银行业一直在做。银行业BCM的演进，可以分为三个阶段。在上世纪80年代，银行关注的是资产安全。在这之后，强调的是业务保障。再之后，才是今天我们说的业务连续行管理。

　　在上个世纪80年代，银行的很多业务都跟技术风险挂钩。在技术手段比较少的时候，银行业很关注自身业务的稳定运行，大家关注更多的是资产安全。在这个时期，银行更多强调的是安防，以及内控为主的建设。银行的思路一直强调的是重要业务相关资产的分类管理，包括我们都经历过的“印、押、证”。有了这么几个要素，银行可以随时运行。同时，这些客户信息，一定是有备份的。也就是说从内部来看，银行一直都从安全的角度，在完成着BCM的工作。

　　在后来IT系统的发展过程中，银行的业务越来越依赖信息系统。从上世纪90年代开始，很多银行从业务保障的角度开始进行BCM的管理。在我供职时期，中国工商银行对于相关部门的称呼，就是技术保障部，这在当时是以业务为主的保障部门。在这个阶段，有关IT系统以及业务协同系统的保障上，一方面银行的信息化系统在建设，另一方面与信息化业务保障相关的业务建设也在推进。我觉得，这是银行机构在连续性管理方面的一个非常重要的实践。

　　下一个阶段，随着银监会监管政策的出台，银行进入以业务持续为特征的管理阶段。银监会明确提出银行要以业务持续为目标，把BCM纳入到全面管理体系。从IT角度来说，我们也看到一系列的政策法规演变。最早的时候，包括国务院、人民银行在内的行政管理部门，强调的是灾备体系。所有思路的演进，都是随着银行以及社会机构的信息化推进而发展的。在2002年数据大集中的时候，提出的就是稳健运行的思路。

　　CIOI：您理解的BCM对银行来讲有怎样的重要性？

　　讲到银行BCM的时候，一定要先说说银行的典型特征。银行的定位是什么？银行的核心是什么？在我看来，银行其实经营的是信用，管理的是风险。因此，这是一个非常强调社会责任以及经营秩序的行业。在这个前提下，银行靠什么生存？第一靠自己的信誉，第二靠自己的声誉。所以，信誉和声誉对银行来说非常关键。同时，银行又是一个窗口服务单位，对服务质量的要求也非常高。所以在这些大前提之下，银行对业务持续性管理需要有新的思考。

　　随着银行的IT发展，银行业务和信息科技的关系发生了比较大的变化。过去，IT部门是银行业务的保障部门，更多考虑的是如何保障业务稳健运行。而今天，银行强调IT的保障能力和业务的创新能力。在这两个维度上，不同发展阶段的银行会体现出不同的管理水平，采用不同的管理手段。

　　我国目前有接近3000多家银行机构，这应该是一个充分竞争的行业。从银行自身来说，随着技术的进步，特别是最近几年互联网、移动互联网进入银行业，催生了银行的许多业务创新，促使银行之间的竞争越来越激烈。在这个方面，对银行的持续性管理提出了严峻的挑战。同时，这几年，银行业务可以说是高度依赖信息系统，银行的文化可以说的风险文化。

　　业务连续性体现银行的风险管理能力。同时，业务连续性还关乎银行的声誉，以及金融安全和稳定。如果一家金融机构的业务连续性做得不够好的话，首先受到影响的是你的声誉，接着是你的业务。所以，从这个层面上来说，我认为业务连续性已经成为银行的核心竞争力之一。

　　现在，信息科技与业务已经高度融合、密切相关。银行在运营风险的过程中，包括信用风险、市场风险，都有反应时间。但信息科技风险是唯一一种能够使银行在瞬间瘫痪的风险。站在这个高度，我们来看BCM的实施就有着非常重要的意义。

　　CIOI：银行究竟应该怎么理解BCM？

　　我觉得在银行业务管理的过程中，对于BCM应该有两种理解。首先什么是业务？什么是持续性？什么是管理？我们对这个方面的管理叫做BCM。而实际上，BCM的本质保的是业务。那什么是业务？首先，你开一家银行，不管你服务的是实体经济，还是网络经济，银行是面向社会经营经济活动提供服务的，这样的服务主体，要求银行首先需要考虑经济活动的稳定。

　　那么，什么又叫连续性？可以从多重维度来理解。举个例子，随着银行业务发展需求的提高，业务服务水平的提高，出现了自助服务，典型的就是7X24小时银行。最开始的时候，银行在核心系统轧账的时候，首先关闭的一定是POS机和ATM机。ATM机本应是方便客户使用的，但却不能提供连续性服务。为了提高服务水平，后来出现了7X24小时的政策。但是怎么实现呢？对客户来说，需求是随时去，ATM机随时可以取款。但对银行来说，为了保证客户的这种服务体验，需要在主机轧账的时候，把信用记录表下载下来。以此来保证客户在访问ATM机时，业务并没有因为后台的系统信息维护而中断。做到这一点，银行靠的是调整内部的整个管理方式，通过信用管理保障业务连续性。

　　从另一个角度来看，虽然银行一直在业务连续性方面进行着管理和实践。但在业务保障阶段，随着信息系统大量的建设，银行机构发现灾备建设非常重要。灾备建设发展起来之后，随之而来的就是应急管理。再后来，从这个阶段又逐步发展到信息科技风险防范，以及综合保障体系的建设等等方面。银行在这个演进的过程中，一方面是对自身的业务持续性管理有了新的认知，另一方面技术水平和风险管理水平面临着一系列新的变化。

　　很多的中小型银行，认为业务连续性只与信息科技部有关。于是就把BCM交给了科技部门来做。科技部门就把BCM就做成了TCM，只保证了技术连续性，而不是业务连续性。虽然信息领域是对业务持续性管理影响最大的一部分，但BCM绝对不只是一个信息安全领域的事情。同时，很多机构在做业务连续性管理时，还停留在自身范围内的思考和实践阶段，没有综合考虑到外部结构，比如外包商管理、供应链管理，甚至社会公众的影响因素等等。

　　CIOI：在您看来，银行在进行BCM的过程中，还存在哪些问题和误区？

　　我国很多银行在BCM方面还处于起步阶段。很多机构还在强调应急管理和灾难恢复两个方面。我们的大行和股份制银行在资源建设方面，已经取得了非常好的成绩，但是绝大多数中小型机构，在这两方面都还有很大的差距，很多机构都还在做BCM相关的基础性工作。

　　很多银行并没有意识到，BCM是个组织层面的事情，而不是部门层面的事情。银行在认知层面对于BCM的理解非常不足。比较高的层次也就是部门老总来思考这个问题，对于业务连续性如何来做，并没有什么好的想法。但是，随着商业银行的考核压力越来越大，很多时候体系已经建立了，但是体系的有效性还有很多问题。

　　比如说一个很典型的问题，银行总是在进行各种应急演练。演练这个词，本身分为演和练两部分。很多银行喜欢演，演给监管部门看，因为这个时候关乎大家的乌纱帽。但是演完之后，真正的练却太少太少。演是在一个特定环境中进行的，往往容易流于形式。在我看来，练才是重于演的部分，因为在练的过程中，银行才能根据自身的经营环境发现问题。

　　银行在技术资源建设方面的投入是比较多的，但是配套资源建设，以及资源之间的协同建设都是不足的。对于银行来说，资源都有，但是整合到一起就无法有效利用。很多银行面临这样一种尴尬的境地，有资源、有技术、有场所、有人员，但是如果现在通知备用人员去备用场所开展工作，是根本不行的。

　　同时，很多银行机构的危机处理意识是非常薄弱的，在危机公关层面做得非常不够。业务连续性保障的是什么？是客户对银行业务的良好感受。而不是说银行的IT系统坏了，我赶紧去做个修复系统，保证电脑还在转。

　　BCM应该是一种文化，在企业文化建设层面上，银行的高层管理者应该有更多的思考。金融业务的线条非常复杂，分散在不同的部门，不同的职责体系中。同时，金融的创新活动非常多，这就要求银行在BCM实施过程中，对银行业务持续性要有一个本质上的理解，随之而来，需要在组织体系、管理体系等等方面进行相应的调整，随时保持同步。

　　王婉卿