作者|許振慧「 中國建設銀行內控合規部」
當前,打贏新型冠狀病毒感染肺炎疫情防控阻擊戰是一切工作的重中之重,疫情防控工作涉及醫療救治、物質保障、疫苗研發、信息披露、交通運輸、科研攻關、公眾管理、宣傳教育、對外聯絡等多個方面,是一項系統性工程。對於金融行業來講,進一步加強金融機構業務連續性管理,抓實抓細金融行業連續性管理是迫在眉睫的課題,同時也是完善金融治理體系、防範系統性金融風險的重要內容之一。
金融機構業務連續性運行的基本架構涵蓋重大金融基礎設施、商業銀行、證券、保險等金融服務、非銀行機構服務、網絡供應商網絡服務、科技公司技術支持、電力供應等多個方面,涉及面廣泛,與經濟穩定運行、人民生活同樣息息相關,而且對整合性運行效率要求也比較高。近幾年,金融監管機構高度重視業務連續性管理,出臺了多項業務連續性管理的政策文件,各家金融機構也基本建立了相應的管理體系,基本管理架構是健全的,各類應急預案也是較為完整的。但是,金融機構應急體系尚未經歷大的考驗,如大面積地震、洪水、海嘯等自然災害的考驗,尚未經歷重大信息科技突發事件的考驗,如主要網絡癱瘓、重大數據丟失、大範圍計算機病毒傳染、嚴重網絡攻擊等人為因素造成的重大突發事件。特別是隨著信息技術的快速發展、廣泛應用,有效防範人為因素造成的重大黑天鵝事件,對金融機構業務連續性管理提出了更高要求。
當前金融業務連續性管理需關注的主要短板與不足
業務預案與技術預案的銜接尚不夠緊密。當前金融機構業務處理都是IT化的,重要業務系統一般都建立了應急預案,包括業務應急與技術應急。發生重大突發事件,更多地依賴技術應急處理,對於業務與技術應急如何銜接、如何進行應急業務處理,往往缺乏更有效更細緻的應急措施,一旦技術難以及時恢復,業務處理基本處於癱瘓狀態。對於基礎臺賬信息留存與管理、數據備份、業務對賬、客戶回應等與技術應急的銜接與恢復都需要進一步細化和加強。
跨機構、跨系統聯動性應急演練不足。金融機構業務系統互聯互通更為緊密,系統運行既涉及本機構基礎數據庫、重要業務系統,又涉及為金融機構提供基礎保障的重大基礎設施,如大小額支付系統、銀聯繫統、債券登記系統、證券交易系統等,同時涉及網絡供應商等外部基礎設施,目前的應急演練更多地側重單一系統、單一機構的應急演練,涉及互聯互通性的更高層級、更大範圍的應急演練不足,聯動性應急演練不足,一旦發生聯動性計算機病毒植入,如何進行風險隔離,如何聯動進行應急處理都需要更為深入的演練。
應對大範圍網絡攻擊、計算機病毒植入的技術儲備管理體系尚需完備。由於業務處理的聯動性、耦合性,金融機構間風險傳染更為直接。目前金融機構尚未建立有效的防範計算機病毒或網絡攻擊的聯合性技術應對組織,更多地是單一機構的單一應對,建立國家層面的金融業務連續性管理治理應急體系,組建特定專家團隊,模擬重大突發事件,形成快速技術攻關,防範大範圍計算機病毒植入和網絡攻擊的準備還存在不足。特別是聯動各家金融機構的重大基礎設施,其系統健壯性、系統防攻擊能力、系統連續性運營能力將直接關係金融服務穩定性,作為中間樞紐,一旦出現系統中斷,影響面巨大,且容易成為業務恢復與連續運營的瓶頸。
客戶信息保護應急處理面臨嚴峻挑戰。近幾年,大量的第三方支付、大量的網絡平臺、大量的APP應用工具形成了巨大的客戶信息洩露風險敞口,客戶基礎信息與金融信息的聯動性也越來越強。普通金融消費者無力保護自身信息,或為了相關服務,無奈放棄信息保護。及早健全完善客戶信息保護,已成為金融消費者權益保護的重要內容和亟待加強管理的風險隱患,目前,相關的管理機制與控制措施還不夠完善。
重大突發事件的監測預警不足。目前,各金融機構對於重大突發事件,特別是針對信息系統運營風險的監測預警機制還需要持續完善,相對而言,更注重業務產品的系統開發,對系統穩定運營監測的科技投入不夠。信息科技風險及重大突發事件監測預警的手段、工具還存在一些短板,各機構監測預警能力參差不齊,快速反應能力參差不齊。
重大突發事件的信息共享不足。雖然監管機構組織建立了金融機構重大突發事件報告機制,但金融機構間缺乏信息共享的平臺和機制化的溝通渠道,由於擔心出現事故與醜聞,單一機構一般會自我保護、自我封閉信息,相關機構難以舉一反三,及時排查隱患或組織應對。應對重大突發事件信息共享的方式、渠道、內容、範圍還有待進一步明確。與重大突發事件相關的輿情信息處理也需要進一步統籌,機構間的輿情溝通和信息共享也需要同步完善,以避免引起金融消費者群體性恐慌。
加強金融機構業務連續性管理的策略建議
加強金融機構業務連續性管理是一項系統工程,需要監管機構、重大金融基礎設施機構、金融企業、信息科技公司、網絡運營商等通力合作,建立整合性預防運行機制,防患於未然。
進一步重檢完善重要業務系統應急預案,管理更精細。各成員主體、市場主體都需要進一步重檢應急預案,重點解決有原則無規則,有規則無執行的形式化預案,補充細化相關內容,提高應急預案完備性。重點補充完善技術預案與業務預案的有機銜接,形成互動;重點補充完善總部預案與基層機構應急預案的有機銜接,補充完善內部系統與外部系統的應急銜接。建立規範化的應急預案重檢時限,定期不定期重檢,形成常態化的重檢修訂工作機制。強化應急預案的實際可操作性論證與實施,連續性管理更為精細化。
進一步加強應急演練,場景更具體。應急預案演練是有效檢驗預案完備性的重要手段,應急演練是增強應急意識、提高應急效率和能力的基礎保證。重大業務系統必須進行應急演練,首先保證單一系統的應急處理。加強系統間聯動性演練,必要時,由金融機構監管部門統一協調,組織大規模的金融機構間、重要金融基礎設施聯動應急演練,查找短板和不足,進一步落實應急管理責任,完善管理措施。不斷加強應急演練的監督檢查,對於應急演練流於形式的,進行違規處置和必要的監管處罰。各金融機構應急演練要模擬更為具體化的突發事件場景,如系統數據庫癱瘓、大範圍計算機病毒傳染、嚴重黑客入侵等,實施分類演練,綜合演練,內外聯動演練,使應急演練更具針對性、有效性、實操性。
進一步完善金融機構應急治理和管理體系,聯防聯控更緊密。從監管層面將金融業務連續性管理納入金融治理體系與治理能力現代化管理的範圍,進一步提升金融信息科技風險管理層級。組織市場主體、金融機構完善治理架構和管理體系,完善應急處理內容、流程、工具與方式。規範細化金融機構間、機構主體間聯防聯控工作機制,明確責任主體、監督主體與責任範圍,進一步細化和豐富聯防聯治工作措施和應急手段,形成體制、機制與措施的有力保障。
進一步加強重大突發事件監測的科研投入,預警更及時。各金融機構要進一步加大對系統運營管理的科技投入,在人員配備、科技研發、工具創新等方面強化IT系統運營風險監測預警。充分運用新技術手段加強風險監測,提前預警。進一步規範重要業務系統開發文檔、技術文檔、開發人員的連續性管理,避免由於人員變動、系統遷移形成斷檔,避免由於系統升級或優化,對底層架構、基礎數據庫缺乏有效的連續性管理。系統運營管理要與系統開發形成互動,有機銜接,對關鍵風險控制節點要預設預警功能,增強對系統早期風險信號的敏感性,提升預警處理的及時性。
進一步完善政策引導,加強災備基礎設施建設和人才培養,應急管理更超前。近幾年,金融機構不斷加大信息技術投入,但針對災備建設還存在短板,災備建設標準較低或規範性不足,相關政策配套支持較少。中小金融機構的災備建設更是存在先天不足和諸多問題。從監管層面和財政政策層面,建議對金融機構災備建設預算投入能夠單獨核批,出臺相應配套政策支持,在有限的財務資源中安排必要的災備建設資金,加大災備基礎設施建設。在風險撥備中明確信息科技風險撥備覆蓋,引導金融機構對小概率大風險事件建立儲備資金。災備建設要明確建設標準,進行必要的切換演練,形成真正管用的災難應急。
監管機構、金融機構要組織加強信息安全人才隊伍建設和培養,形成梯隊,形成組合。要建立機構間的人才信息共享、技術聯合開發等機制,持續加強信息科技風險安全防控軟硬件的研發,跟進新技術、新工具的應用與發展,不斷創新,築牢應對重大突發事件的業務與技術防線,全面提升風險防控與風險化解能力。
閱讀更多 中國金融雜誌 的文章
