• 快捷搜索
  • 全站搜索

新加坡金融业BCM 调查报告管窥

2014-12-04 17:43:19作者:深圳市安宇安全管理咨询有限公司高级BCM顾问 Richard编辑:金融咨询网
业务连续性管理(Business Continuity Management,BCM)在许多国家备受其金融监管机构的推广。中国银监会2011年发布了104 号文,开启了中国银行业与国际接轨、增强竞争力的一个新起点。

业务连续性管理(Business Continuity Management,BCM)在许多国家备受其金融监管机构的推广。中国银监会在2011 年发布了104 号文(银监发[2011]104 号),对BCM 的实施细则进行了规范指引,但如今对于BCM 在银行业的实际“落地”比例还有待考证。

        BCM 的实质,除了提供一个科学和统一的管理结构以外,更强调一种思维模式或者企业文化,这种思维或文化应该随着市场需求而进化。

        新加坡作为亚太区的主要金融中心之一,早在2003 年6 月,就通过其金融管理局(MAS)发布了第一套BCM指引。2006 年,要求金融机构对流感疫情与安防提供保护措施,之后又针对禽流感疫情分发了预备性信息白皮书。内容以关键机构所采用的良好惯例为指导案例。为了更好地推广行业抗冲击的预备性,新加坡金融管理局同时协办了全国行业性的BCM 演练,这一连串的举措体现了BCM可以并需要在不断快速变化的环境中进行适应和优化,事件应对的思维模式需要深深嵌入企业文化中并能够灵活地适应当前的运行环境。

        新加坡金融管理局在2012 年5~7 月间进行了一项金融行业BCM 调查,目的是寻找并洞察BCM 在金融机构中的现状、提供对行业有用的信息、共享调查结果中所强调的良好惯例并建议弥补潜在的缺陷。调查结果发布于2013年12 月。

图片1.jpg

金融行业的BCM 调查内容

        调查内容包含了企业BCM 实践中的10 项:治理、风险评估、业务影响分析、业务连续性规划、确认关键业务功能(CBF)并进行优先分级、认知与培训、危机管理与通讯、恢复目标与策略、测试及物理安防与疫情威胁。 

        访问企业总数为371 家,具体分布如下表。

 图片2.jpg

        调查显示,金融行业广泛认可并接受业务连续预备性的重要性。这体现在所有受访企业都采用了基本BCM 实践,绝大部分拥有BCM 计划并在BCM 框架中采用其核心组成部分。

        相较保险、再保险和CMS 等企业而言,银行机构、金融公司和获批准的交易平台都体现出了较高的BCM 成熟度,这表现在它们采用了核心BCM 组成部分并提供更为详细的危机管理计划文档。这些企业的共同点在于,高度资金融通并需要与大范围的利益相关群体进行复杂来往沟通,这导致了客户的高期望值,对企业的抗冲击能力要求也相对提升。因此,更需要细致地解决BCM 方面的问题。

BCM 实践方面的调查结果

        1. 治理。高管层的BCM 相关职责是得到较好的植入,但是BCM 鉴证流程的采用需要持续提高。大部分受访者表示,企业业务连续预备性方面拥有最终职责的在于高管层,高管层在推广BCM 中的角色认可、且企业也积极与高管层在BCM 活动方面进行活跃协作。

        虽然大部分受访企业表明其拥有正规的BCM 鉴证流程,但是有些企业却没有制定这方面的流程,而是以通过高管层所参与BCM 的讨论为替代流程。鉴证流程是一个正规流程,并包含适当细节内容以确保BCM 所需的承诺。

        2. 风险评估。大部分受访企业在风险评估中虽然已经确认了内部与外部威胁,如物理与网络攻击,但是有一些企业并没有跟进这些威胁的相关控制措施,如物理设施的固化和防火墙的安装。因此,企业应该采用一体化管理模式中的“威胁与控制”评估方法以促进清晰确认任何残余风险。

        3. 业务影响分析(BIA)。在遭遇中断事件的时候,企业同时恢复所有业务功能并不太实际。企业评估受影响的业务如法规、财务、商誉与信誉各方面,其功能在中断事件中可能受到冲击,业务影响分析(BIA)可让企业根据评估结果确认关键业务功能并进行优先分级,在中断事件发生时进行对应的快速恢复。

        大部分关键机构的受访者对所有业务功能都进行了BIA。但是,有些机构却没有做过BIA,或只对某些功能进行BIA。又有些企业采用了“快道”方法进行BIA 流程,而这种方式是通过管理层的判断,预定了CBF 并只对这些功能进行分析来证实这些功能属于关键功能。

        4. 恢复目标。对企业和它的利益相关方而言,恢复时间目标(RTO)是一项关键规划参数。RTO 是衡量一项业务功能运作的速率,因此也是企业在遭遇中断事件的时候力求恢复的时限。这参数也会凸显在所有外部的服务水平协议中,以求达到企业的恢复目标,所以,对RTO 建立一个清晰和统一的定义是至关重要的。许多受访的关键机构定义RTO 的起点为中断发生点,然而,有些企业则定义RTO 的起点为业务连续计划的启动点。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章