引论:我们为您整理了13篇银行应急演练总结范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
随着我国金融市场不断发展,信息系统建设已成为商业银行核心竞争力之一,信息系统安全直接关乎商业银行自身利益,甚至影响国家金融安全和社会稳定。要确保信息系统安全稳定运行、保障业务连续性,就必须不断加强商业银行信息系统应急管理,提高应急能力。作为应急管理的重要环节,应急演练能够全方位检验商业银行应急管理能力,验证应急预案有效性、应急资源完备性及应急人员的适应性。
鉴于此,国家相关部门、各商业银行高度重视信息系统应急演练工作,银监会对银行业信息系统应急演练提出明确要求,涵盖演练范围、组织保障、优化改进等多方面[1];各主要国有行业银行、股份制商业银行及各地方银行,都定期开展分重点、分层次、分系统、分阶段的信息系统应急演练工作,查找问题,提高处置能力;苏忠运对大型国有商业银行一级分行信息系统应急演练工作方法进行探讨,提出应急演练策略、工作要求和工作评价方法[2];王钢对金融信息系统应急演练中的信息管理、资源共享、预案更新等问题进行研究,提出分级响应策略等[3];任长清将银行灾难恢复应急演练分为预警、启动、恢复、解除和回切等五个阶段,提出灾难恢复组织、指挥机构、实施原则、演练案例、演练方案和演练培训等六个重要事项[4];任长清还提出三点估算法,对商业银行灾备组织人员的到位时间进行评估[5]。综上所述,业内专家和学者在商业银行信息系统应急演练方面,已开展大量的工作,但这些研究仍存在进一步改进的地方和问题,如应急演练组织有待进一步细化、应急演练结果评价量化等。
二、组织流程
商业银行信息系统应急演练组织流程如图1所示,主要包括准备、演练、总结等3个阶段。在准备阶段,根据演练总体要求及各商业银行信息系统现状,做好人员构成、演练范围、流程规划、演练环境、故障场景、技术保障等方面的准备工作,做到安全可控前提下,确保尽量逼近真实[2];在演练阶段,首先由应急值班人员向应急人员系统预警,通知人员到处置现场进行集结,人员集结后由技术专家向其宣布故障场景,处置人员根据故障场景,按照日常应急预案进行应急处置,处置过程中,考评小组对处置流程、处置方法、处置结果等进行量化打分,并形成演练评估报告;在总结改进阶段,要对演练过程、演练结果进行深入总结分析,形成总结报告,对参加演练的应急处置人员进行表彰或提出改进意见,根据演练效果对应急预案做进一步优化。
图1 应急演练组织流程
(一)准备阶段
作为应急演练的组织方,在筹备演练过程中,首先要根据相关法律法规、规章制度以及银行内部相关规定、管理办法,综合参考信息系统应急预案,拟定应急演练工作方案初稿,同时召开应急演练讨论会,听取管理、业务、安全及技术等部门的意见,形成应急工作方案,报上级领导审批同意后形成正式的应急演练工作方案,下发相关干系人。应急演练工作方案要明确演练组织机构、时间地点、参与人员、应用系统、演练流程等要素,明确分工,明晰责任。
构建高效的、完备的组织结构(表1)是演练成功的关键因素,通过高层领导推动演练资源准备、实现演练权威性,通过技术专家确保演练演练有效性和可靠性,通过设立工作小组实现演练有序开展,达到演练目标。
表1 应急演练组织结构表
相对机房环境、网络、操作系统等方面而言,由于银行业务种类繁多,各信息系统之间应用逻辑复杂、关联性强,应用级应急演练更具紧迫性。在众多应用系统中,要选择以下三类应用系统作为演练的“故障”系统:(1)关键业务系统(2)近期有重大变更的系统(3)近期出现生产问题的系统。
评估小组根据应用系统历史问题、关键程序、关键路径制定演练场景,演练场景是各应用系统的“故障”描述,详细记录应用系统故障时间、故障部位、故障状态、故障表现等,这些应用场景所描述故障一旦真实发生,将极大影响生产安全,甚至对业务造成重大影响。同时为确保安全可控,演练场景和相应处置方式对生产不能造成实质性影响,可采取的策略包括:系统维护时间窗口、交易量相对较少时间段、利用备份环境。
技术准备方面,在参加演练人员多、涉及环节复杂情况下,可采用应急短信作为应急通讯方式,及时高效发送应急集结、应急处置通知。应急短信可采用企业专有短信号码,通过批量短信发送工具发送,应急人员通过短信进行反馈,由信息系统进行智能统计,形成报表。演练环境方面,设立演练各组织结构场地标示,通过投影等方式及时将处置现场传输到指挥中心。
(二)演练阶段
1.系统预警和人员集结。为全面检验应急资源的就绪状态,尽量做到演练突然性,尽量接近真实状态,应以系统故障来通知各应急人员尽快赶到故障现场进行应急处置。应急通讯畅通、及时响应能力是应急工作的重要组成部分,需作为演练考评指标之一,由评估小组详细记录各应急处置人员的响应时间(表2)。在演练开始后,通过“公告板”等方式实时通报演练进展,营造应急处置的严肃、紧张氛围,逼真模拟故障现场。
2.应急处置。应急人员抵达演练现场后,由技术专家向其说明预设的故障场景,按相关要求进行及时处置。评估小组的技术专家要全程观察应急处置过程,判断应急处置是否符合应急预案要求,是否对生产系统产生影响,并采取及时有效措施避免生产事故。在应急处置后,评估小组按照事先拟定规则,对各应急处置模块进行量化打分。
表2 应急演练各项指标记录表(样例)
3.演练评估。演练结束后,评估小组对演练进行综合评估,应急演练综合评价方法(Emergency Drill Comprehensive Evaluate Method,EDCEM)就是评估小组对应急演练中的各关键项进行综合评价,通过EDCEM可以得到演练评价结果(Emergency Drill Indicator,EDI),其计算方法如式1所示。其中,xi(xi>0)为各指标项的指标值,响应时间、集结时间、处置情况等;ψi(0?燮ψi(xi)?燮1)为指标值量化关系函数,如对响应时间进行量化,1分钟以内为100,超过1分钟为50,超过2分钟为0;(0?燮ω■?燮1,■ω■=1)为各指标项在评价结果中的权重,权重越大,其在评价结果中所起作用越大。
EDI=100×■ω■Ψ■(x■) (式1)
(三)总结阶段
评估小组对应急演练进行综合评估并报应急领导小组同意后,公布考评结果。由应急领导小组将对演练进行全面总结,对演练整体情况进行点评,对在关键方面(如集结时间、处置时间等)表现较好的人员、部门进行表扬,对存在不足之处提出意见。在演练结束后,工作小组要对演练总结形成问题跟踪表,及时跟进各部门改进不足之处,保障生产安全。
三、实践
某商业银行(下称“A行”)为大型国有商业银行,A行软件开发部门(下称“该部门”)现有员工1300余人,每年承担200多个应用项目研发,还承担几百个业务系统的运维保障工作,在信息系统应急方面具有重要作用,由于涉及人员多、系统多、机构多,该部门的应急演练主要验证应急组织协同性和应急流程的有效性,确认应急联络畅通性和应急集结时效性,提升应对突发事件的应急响应与处置能力。
近期,该部门组织开展了重要生产系统应急演练,依据事先制定的《重要生产系统应急支持工作规程》并结合有重要变更、容易出现生产问题来选择参加演练的应用系统,演练由该部门负责人现场全程主持,A行风险管理部门、科技主管部门相关负责人作为观摩小组成员参加演练,相关技术骨干作为应急人员具体实施应急处置工作,技术保障部门相关运维骨干根据应用系统历史问题并综合近期运维重点制定预设应急场景,相关部门一线管理人员、技术骨干组成评估小组和工作小组,承担演练综合评价、组织协调工作,参加演练的领导和技术人员超过50人。演练中,各项应急处置工作均能按照应急方案正确开展,达到相关应急处置规定要求,演练取得圆满成功。
据统计,演练中各系统应急处置人员通讯顺畅,平均集结时间为18分钟,达到应急处置关于时间的规定要求,部分应用系统由于人员配置不合理、距离较远、交通拥堵等客观原因,在接报后超过30分钟抵达处置现场,同时还有个别人员未及时响应应急电话,鉴于此,演练工作小组形成信息通报,督促对相关系统应急处置人员做适当调整,以符合应急处置时间规定,进一步加强应急意识,避免此类事情再次发生。
四、总结
本文对银行信息系统应急演练组织流程进行讨论,提出应急演练综合评价方法,并在大型商业银行应急演练中进行实践,验证应急组织协同性和应急流程的有效性,提升应对突发事件的应急响应与处置能力。本文所提出方法在部门级(一级部)进行实践,应用范围有待进一步扩大,其通用性、规模性还有待加强,同时由于管理、业务和技术等方面的原因,涉及全行的模拟真实故障的应急演练较难开展,应急演练组织方法的进一步研究存在困难。
参考文献
[1]中国银行业监督管理委员会.银行业重要信息系统突发事件 应急管理规范(试行).2008年04月23日.
[2]苏忠运.分行信息系统应急演练工作方法探讨[J]中国金融电脑,2005(05):32-33.
[3]王钢.金融信息系统应急响应及演练[J]计算机安全,2009(08):75-78.
篇2
二、业务连续性管理体系建设重、难点解决措施
在业务连续性管理体系建设实践中,组织架构、业务连续性计划、业务连续性应急预案等工作实施难度较低,难点在于业务影响分析、总分行资源建设、业务连续性演练等工作,本文着重介绍上述难点的建设过程。
(一)业务影响分析
业务影响分析的主要目标是帮助银行通过识别和评估业务运营中断造成的影响,明确业务连续性管理重点,根据业务重要程度进行差异化管理,制定不同业务的恢复目标、恢复次序、确定支持重要业务对应的信息系统的恢复目标,其主要工作包括2个方面的内容,一方面是现状调研,另一方面是业务影响分析和风险评估。
在现状调研阶段,由于该项工作涉及全行所有业务以及大部份部门,可采取培训、访谈、召开研讨会、调查问卷等方式,逐步推进工作开展,初步梳理出重要业务清单。
在业务影响分析和风险评估阶段,结合国内外先进实践经验,采取财务影响和非财务影响两个维度对初步梳理出来的各项业务进行风险评估。财务影响和非财务影响均采用评分制,其中,财务影响主要评估该项业务中断一个工作日给银行带来的收入损失,可根据银行自身业务收入水平设置分值,该项指标是较为客观的估值;非财务影响则综合评估该项业务中断可能给银行带来的影响,如:监管负面影响、声誉损失、客户负面情绪、投资者信心/忠诚度降低、法律/诉讼风险、国家金融秩序稳定等,该项指标具有一定的主观因素,为避免主观因素影响程度过大,可采取两种方式降低影响:一是扩大调查问卷的样本量,二是对非财务影响的各个要素设置权重值,对财务影响及非财务影响设置综合评分规则。特别地,对于后台运营类、渠道类业务(比如:自助银行业务),虽然不直接产生业务收入,但它是其他业务产生收入的必要条件之一,对于此类业务计算该渠道所承载的各业务种类收入之和作为该渠道的业务收入。
在确定各项业务的财务影响和非财务影响指标基础上,采取矩阵模型分析法进一步确定业务恢复的优先顺序。在确定业务恢复的优先顺序的基础上,进一步确定该业务对应的信息系统恢复目标,以指导关键信息系统的资源建设。《指引》要求,“原则上重要业务的RTO不得大于4小时,重要业务的RPO不得大于半小时”,在信息系统资源建设中,关键信息系统的恢复能力应满足重要业务RTO、RPO的时效要求。
(二)总、分行资源建设
业务连续性资源建设属于“硬件”设施范畴,主要涉及总行同城、异地灾备中心以及分行机房设备的建设。
在总行层面,同城、异地灾备中心应建立重要信息系统的备份,在日常工作中应加强对灾备中心机房的巡检,确保系统正常运行。在分行层面,应从供电、网络、系统建设等方面实现全方位的应急措施,比如在供电环节,分行除配置双线路供电外,还要配备不间断电源(UPS)和应急发电机;在网络连接环节,不仅要配置不同运营商的网络线路,还要配置无线设备,确保在极端情况下仍能保障重要业务持续运营。
(三)业务连续性演练
篇3
早在2008年,现任银监会副主席郭利根就曾经指出,国内银行业存在着信息技术基础建设滞后、软硬件及核心技术受制于人、系统管理粗放等问题,特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面存在着明显的短板。时至今日,频繁发生的银行服务中断事件再次提醒我们,形势仍不容乐观,加快商业银行业务连续性管理建设迫在眉睫。
一、业务连续性管理及其重要意义
业务连续性管理是一项综合管理过程,不仅包括对业务活动和业务恢复的持性管理,还涉及到相关培训、演练和评估等环节,是商业银行全面风险管理体系中的重要组成部分。国际业务连续性协会将业务连续性管理界定为:能够识别出可能的潜在威胁,以及这些威胁发生时对业务运营带来的负面影响,同时提供一套有效的反馈和恢复体系,从而对股东利益、公司声誉和价值创造活动进行有效的保护。国内《商业银行业务连续性监管指引》则进一步明确为:商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。以此观之,建立完善的业务连续性管理,将有利于商业银行的持续运营,有益于保障重要业务的快速恢复、降低损失和消除影响,增强竞争力和可持续发展能力。
在商业银行的生命周期中,银行业务运营会随时受到来自内外各种因素的影响,严重的甚至会造成重要业务的非正常中断。重要业务意外中断,不仅意味着商业银行须为此付出沉重的代价和承担严重的后果,如果处置不当,还可能发酵成一场可怕的灾难。有关研究资料显示,以每小时业务中断所造成的损失进行比较,银行业的损失远居各行业之首;如果发生业务中断两周内仍无法恢复,75%的企业将因此而停业,43%的企业将无法再开展业务,灾备措施不完善的企业将在2~3年内破产。因此,为保障业务的持续稳定运营,商业银行尤其需要行之有效的业务连续性管理。银监会的《商业银行业务连续性监管指引》,对商业银行业务连续性管理的组织架构、业务影响分析、业务连续性计划与资源建设、业务连续性演练与持续改进、运营中断事件应急处置等相关体系建设和工作内容提出了明确的监管要求,将促进商业银行进一步加强风险管理,有效履行社会责任,对维护公众信心和提高商业银行业务持续运营能力将发挥积极的引领作用。
二、国内商业银行业务连续性管理发展状况和存在的问题
业务连续性管理在国外发展较早,其历史可追溯到上世纪60年代,国内虽然起步较晚,但发展很快。通过国家连续《银行业信息系统突发事件应急管理规范》、《商业银行数据中心管理规范》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》等一系列指导性文件,国内银行业对业务连续性管理的认识不断深入,尤其是国有大型商业银行在业务连续性管理的信息系统技术方面已经较为成熟,基本接近国际先进水平。如,2008年汶川发生大地震后,震后三天工商银行即在都江堰灾区建立了应急帐篷银行,仅一台ATM在几天内就成功办理了76万元对公结算和20笔取款业务。
随着《商业银行业务连续性监管指引》的,国内商业银行愈加重视和积极推进业务连续性管理的建设。
一是初步构建了应急管理体系,确立了组织管理架构,加强了职能部门的协调配合,形成了统一的应急响应流程和通知报告程序,增强了应对突发事件的处置能力。
二是加快了灾备建设,建立了同城/异地灾备中心,积极推进“两地三中心”的建设,对核心业务数据和核心系统恢复的保障能力进一步增强。
三是开展了应急响应和灾难恢复演练,与通讯、电力等外部机构的联动协作有所强化,应对突发事件、危机管理的能力有了提高。
尽管如此,与国外先进银行相比,国内商业银行还有较明显的差距,主要存在以下几个方面的问题:
(一)认识尚有差距,系统建设的主动投入略显不足
由于对业务连续性管理的研究运用时间较短,商业银行对其重要性还缺乏具体形象的认识,停留在为了满足监管要求和信息系统灾备恢复等较粗浅的层次上,没有真正意识到业务连续性管理对提升银行竞争力和价值创造的积极作用。具体表现为部分商业银行,尤其是中小股份制商业银行还普遍存在着业务连续性管理“投入大、收益小”的认识偏差,主动推进的意愿不强。
(二)管理尚有差距,未将之完全融入企业文化之中
缺乏足够的认识,缺少了管理层和相关部门强有力的支持,一方面导致商业银行将全行性的业务连续性管理工作仅仅只落实到个别部门身上,没有做到全员性参与,极易形成管理上的盲点;另一方面,忽视了通过必要的流程开展全员风险意识教育和技能培训,遇到业务中断事件,既便有了应急计划和预案,也会由于缺少必要的教育培训、相关人员未能充分理解掌握操作要求,从而导致既定的流程和机制难以发挥预期作用。
(三)风险识别尚有差距,业务影响分析不充分,资源保障和灾难恢复的有效性不足
一是缺乏对各项业务和业务系统的全面科学评估,业务分类、事件分级以及由此而制定的业务恢复目标还不尽合理,在应急预案设计、备用资源保障和人员配置等方面存在不足;二是偏重对设备设施、数据信息和业务运营的保护,对员工安全、企业声誉等其他重要资产的保护和重视程度不够,存在低估风险的倾向,风险缓释和预防应对措施针对性不强。
(四)预案体系建设尚有差距,应急响应的合理性和可操作性不强
商业银行业务多样、管理复杂,业务连续性管理的建设难度大、周期长,需要针对可能的风险或潜在的影响进行事前缜密的分析,才能结合实际科学论证和制定预案。即使是规模较小的商业银行,要建立起能够全面?盖重要风险、相对完整的预案体系,也需要制定出不少于几千份的各类预案。在国有商业银行当中,目前预案建设最为完备的是建设银行,达到了4000多份。但相比国外先进银行,如美国银行预案就多达7000余份,国内商业银行在预案体系建设上还任重道远、差距较大。
(五)持续改进尚有差距,预案演练的针对性和有效性不足
一是对业务连续性预案的日常演练不充分或流于形式,不能全面有效地检验其操作性和有效性,难以做出具有针对性的完善和改进;二是偏重对信息系统的灾备演练,针对业务、流程和人员方面的演练不充分,一定程度上还存在着重建设、轻维护的现象;三是尽管多数国内商业银行业务系统已实现了“同城双活”,并开始向“两地三中心”发展,但由于业务连续性管理尚存诸多的不完善,欠缺足够的经验积累,未能针对业务系统的实际切换开展必要的演练,在灾难发生时难以保证重要业务的正常切换和回退。
三、加快业务连续性管理建设的几点建议
(一)继续深化认识,切实将业务连续性管理作为改善经营、提升竞争力的有效途径
首先,应清醒地认识到,商业银行肩负着保障金融安全和社会稳定的重要责任,能否从容应对突发事件,迅速控制不良影响和防灾减损,既体现了商业银行的风险管控水平,也是履行社会责任、展现银行价值的实际体现;其次,商业银行激烈的市场竞争,伴随着各种难以逆料的风险,来自于各项业务活动的运营风险、操作风险不断拷问银行的管理能力。完备而健全的业务连续性管理,可以使商业银行更好地适应瞬息万变的市场环境,更有效地提高预防风险、应对风险的能力,能够大幅提升银行的持续运营水平和竞争力。
(二)积极落实《商业银行业务连续性监管指引》,健全适应业务发展的管理政策和体系
一是按照监管指引要求,持续完善业务连续性管理的政策、制度,健全高效运行的组织管理架构,落实部门管理职责,明确责任;二是依照监管指引的规范标准,科学建设,加快应急响应及业务系统建设,建立常态化管理评估维护机制,健全业务连续性管理体系;三是从业务角度出发,以业务连续为目标,强化系统性设计,形成各个部门协调统一的管理体系。
(三)将业务连续性管理融入企业文化,使之成为经营管理的有机组成部分
充分结合银行文化环境特点,制定长期的业务连续性管理文化融入计划,通过多种途径、多种方式持续推进。一方面依靠管理层,通过管理层对业务连续性管理宣讲或座谈的参与来积极推动;另一方面,制定详细的人员培训计划,将责任分解落实到各部门,定期开展全员性的业务连续性管理意识教育和技能培训,将其真正融入到企业文化中,使业务连续性管理成为员工主动参与的自觉行为。
(四)提高风险评估、业务分析水平,加快预案体系建设,提升持续运营的保障能力
篇4
我支行始终贯彻以行长为第一责任人,严格领导,确保落实为主旨,确保支行安全保卫5个委员会的建立和职责完善,认真落实安全保卫目标管理和领导责任制,将安全保卫工作纳入全年工作计划。支行行长与分行签订了安全保卫目标管理责任书,做到谁主管、谁负责,并根据分行要求和每位员工都签订了安全保卫目标责任书,做到一级抓一级,分工到位、职责明确、相互配合、层层落实。
二、年度安全保卫(安全生产)重点工作任务完成情况。
我支行按分行工作进度要求,认真组织落实防抢、消防及防电信诈骗演练,并通过演练强化员工对应急预案的熟悉,取得良好效果。认真完成各项专项活动,已完成的有xx银行北京xx支行20xx年安全生产月专项活动、xx支行关于开展银行业金融机构第六轮安全评估的工作、20xx年今冬明春火灾防控工作、xx支行开展“防风险保平安迎大庆”消防安全执法检查专项行动等。结合总分行关于安全评估的工作指导,今年顺利完成安全评估工作,支行最后得分97.5分。配合分行安排的灭火器排查,保障支行物防设备的正常使用。
三、不断健全内控外防机制,切实落实各项规章制度。
1、做好日常安全保卫基础工作。积极组织全行员工认真学习分行下发的各种文件,加强全行员工安全保卫意识。截至目前支行今年共组织员工安全培训7次,召开安全保卫工作会4次。同时组织全体员工进行防抢防盗及防电信诈骗综合演练一次、消防演练二次,消防桌面推演一次,使员工熟练掌握有关安全保卫操作要领,明确突发事件时的应急处理流程。
2、每月坚持由行政及营业主管双人对支行进行全行大检查,包括现金区、机房、加钞间、重要凭证室等部位,对检查中暴露出来的问题及时认真整改,消除隐患,不断完善内控机制,建立长效机制。要求每位员工下班后关闭自己的计算机及电源,保安员设防前统一检查支行电路关闭情况。目前按照分行要求完善改进门禁管理并出台xx支行门禁管理办法下发落实。
3、强化我行各项规章制度的全面落实,不定时对重点部位、重点岗位和重要环节执行规章制度情况的检查,对发现有违规违法行为严厉查处,及时整改。对各项安全工作的管理落实到岗、到人,强化报告制度,及时掌握本系统的安全保卫情况,努力防范案件事故的发生。
篇5
一、商业银行信息科技风险
在信息技术与银行业务深度融合的今天,信息科技风险事件往往涉及范围广、客户多、金额大,在给银行造成经济损失的同时,也会带来很大的声誉损失。银监会前主席刘明康曾表示:“如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2~3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。”因此,可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提, 关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。
根据中国银监会的《商业银行信息科技风险管理指引》,信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中,信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性:(1)风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高。(2)潜伏性、偶发性和不确定性突出。比如,通过充分风险论证的生产系统,短期内无风险隐患,而随着生产环境的压力逐步扩大, 系统的脆弱性就会逐步暴露;一个具有很高安全性的电子银行,随着病毒的不断变种,黑客技术的提高,新的安全问题就会出现。(3)信息科技风险一般不直接造成经济损失,其造成的间接损失难以计量且极可能引发声誉风险。(4)影响范围广。单个信息系统的故障就可能影响银行多项业务。 在银行数据大集中的形势和背景下,信息科技风险也趋于集中,成为惟一能使银行瞬间瘫痪的风险。
从国内的监管导向看,笔者认为信息科技风险管理有两个重要的目标:一是保证银行业务的稳定和连续;二是保护客户信息安全。如果不能实现这两个目标,则可能引发直接或间接的经济损失以及声誉风险和法律风险。
二、信息科技风险的影响因素
从前述信息科技风险管理的两个目标出发,可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分,等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据;外部人员运用技术手段侵入系统盗用客户信息;内外勾结盗用客户信息、外包服务商泄密等等。
以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,吴博(2010)将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素,见表2。
当然,上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量,其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。
从实践来看,近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时,管理、运行维护跟不上的矛盾也日渐突出,“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明,近年来发生的信息科技风险事件中,多数事件发生都源于制度不健全、流程不完善、落实不到位,很少有纯粹技术原因引发的事件。因此,可以说管理到位是防范信息科技风险的关键。
三、信息科技风险管理措施
信息科技风险管理应贯穿于信息科技工作的全流程,涉及到信息科技风险管理的“三道防线”,需要由信息科技部门和各业务部门共同完成。具体管理措施如下:
1. 完善风险治理架构,各司其职。构建和完善信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计,从三个不同角度、不同纬度,对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段,风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中,实现风险管理的前移。
2. 健全管理制度体系,重在执行。建立、健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前开始,要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程,并制定回退机制或应急预案以应对意外情况。同时,要积极研究各类信息安全风险案例,总结归纳新的风险点,有针对性地完善制度。要建立制度执行的监督评价机制,商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况,对制度执行不到位的责任人要进行问责或处罚。
3. 合理规划系统资源, 未雨绸缪。(1) 纵向规划发展进度。在系统规划设计阶段就要评估能否满足未来较长时间的业务需求,合理安排系统升级、版本切换等工作。(2)横向匹配系统资源。在系统资源短期内不变的情况下,合理分配资源,通过系统分级,将资源优先分配给等级高的系统以保障重要系统的稳健运行。
篇6
1、报警与接警;
2、初期火灾的扑救;
3、人员的逃生、自救、疏散和重要物品的转移;
4、火灾现场的安全保卫。
二、消防演练的阶段划分:
1、进行学习动员。在全行进行一次消防安全大教育活动,组织员工学习《中华人民共和国消防法》、《中国建设银行消防安全管理暂行规定》和《中国建设银行办公楼安全管理办法》,提高员工的消防安全意识。由各部门为单位在支行分管领导和安全员的组织指导下,认真学习和模拟演练我行制订的消防应急预案,熟悉在消防突发事件中各自的职责和任务,熟练掌握每一种消防器材的性能和用途,掌握火灾中基本的自救和逃生方法,保障自身和国家财产的安全。
2、成立消防演练领导组织机构,明确责任,严格组织实施演练活动,确保演练活动顺利完成,达到预期效果。
指挥组:
灭火组:
接水组:抢救组:
警戒组:
保障组:
3、组织演练。请县公安和消防部门的同志来行,讲解消防知识及演练过程中的注意事项,并在消防队的指导下进行演练。全体人员都要参加,把演练当成实战,认真对待;担任警戒任务的员工要提高警惕,防止在演练当中不法分子趁火打劫。
4、总结汇报。演练结束后,各部门要对演练进行总结,针对演练中出现的问题要及时上报并进行整改,总结情况按要求上报支行办公室,办公室整理后上报市分行安全保卫部。
三、演练要求:
1、加强领导,确保演练工作达到预期目的。在支行的统一部署下,全行人员要高度重视,提高认识,积极参加,确保演练效果。
篇7
中国现代化支付系统是中国人民银行根据我国支付清算业务的需要,利用现代计算机技术和通信网络自主开发建设的,能够安全、高效的处理各银行间异地、同城支付清算业务的公共支付清算平台,是人民银行发挥其金融服务职能的重要核心支持系统。支付系统的安全稳定运行。对国家经济金融活动的有序开展至关重要。
人民银行支付系统包含国家处理中心(NPC)、城市处理中心(CCPC)、商业银行前置系统(MBFE)三级结构。支付系统直接参与者(以下简称参与者)主要包括银行业金融机构及第三方服务组织等。它是整个支付清算系统重要的组成部分。参与者业务系统的安全性、稳定性不仅仅关乎到其自身的利益,也会对支付清算系统中相关各方的利益产生影响,甚至会造成经济秩序混乱和重大经济损失。因此,识别参与者生产运行中的系统风险,做好风险的规避和应对就显得尤为重要。
一、天津市支付系统运行现状
自2002年大额支付系统试点上线以来,中国人民银行陆续开发建设了包括小额支付系统、支票影像交换系统等多个应用系统,系统运行至今稳定。支付系统的建设对加快天津市资金周转,提高支付清算效率,促进经济健康平稳发展发挥了重要作用。目前,天津市投入生产的支付清算系统包括大额支付系统、小额支付系统、网银系统、支票影像交换系统等6个重要核心业务系统和多个辅助信息系统,各业务系统的直接参与者众多,其中大额、小额直接参与者各50家,网银系统直接参与者5家,支票影像交换系统直接参与者26家。电子商业汇票系统参与者12家,支付信息查询系统参与者31家。支付系统各直接参与者均有一定的风险意识,并根据人民银行的管理办法和规章制度制定了自身的应急预案及相关管理制度,支付清算各系统基本上由各自总行进行统一部署,从主机设备、网络设备、防火墙设备以及网络线路方面均有备份措施,符合支付系统上线运行工作要求,基本保证了支付系统业务的正常运行。随着我国支付清算体系不断完善,支付清算系统也得到了快速的发展,各系统业务量快速增长,这也给直接参与者做好系统的安全稳定运行工作提出了更高的要求,需要参与者对做好支付系统的安全稳定运行工作进行更多的思考,识别新形势下支付系统运行的风险,加强风险的监控。做好风险的应对。
二、参与者运行风险分析
(一)重视程度不足
2003年4月份天津市大额支付系统上线,考虑到支付系统的重要性,人民银行天津分行在2003年初专门为支付系统搭建了天津市金融城域网。在整个网络及系统建设中。天津人行多次组织直接参与者召开系统上线协调会,确保系统顺利上线。但大部分参与者一直认为支付清算类的业务系统是人民银行部署的系统,支付系统前置机的软件、配置都应该由人民银行负责。多年来随着各个支付清算业务系统的陆续上线,这种观念在逐步改变,但仍有部分参与者不能够对支付系统工作加以足够认识。尤其是业务量较少的参与者,总是觉得系统发生故障中断一会没什么关系,只要系统修复好以后业务都处理完就可以了,并没有系统需要7*24小时稳定运行的概念,也并没有考虑到中断对实时类业务的影响,虽然人民银行出台了各类业务运行管理办法,参与者自身也制定了相关规章制度,但从实际情况来看参与者的重视程度仍旧不够,出现问题时也不能严格按照应急管理办法来紧急修复系统、执行报告制度、启动应急预案。
(二)制度不完善,执行力欠缺
随着人民银行推广上线的系统越来越多,参与者在制度建设和制度更新上不能与系统发展及时保持同步,跟上支付清算系统建设的步伐。大部分参与者虽然能够按照人民银行各类业务管理办法制定相关制度,但制定的制度基本都是依据人民银行下发的管理办法制定的一个大的框架,各类系统的管理制度、操作规范大同小异,甚至均为一个模板。制定的制度并未针对自身情况进行调整和细化,也未根据系统的变化和发展及时的进行相应的完善和调整,这样往往会造成在实际工作中风险控制和管理的无据可依。
制度有但执行力不足也会使制度的效果大打折扣,造成制度形同虚设,对系统的运行产生一定的风险。在实际工作中经常会出现参与者未按制度做好维护工作导致的系统故障。以及未按制度对系统进行实时监控导致的故障发现和处理滞后,业务长时间中断的现象。
(三)人员风险
1.人员素质风险。人员技术水平不高、能力不足,大部分工作依靠外包,这样往往会造成日常维护工作不到位、系统风险不能及时发现、系统故障后处置能力较弱等问题,对业务正常运行产生较大的影响。
2.人员流失风险。在金融行业中,尤其是IT人员,流动性较大。流动性较大首先会造成人员没有归属感,不会也不愿意接受企业文化,心浮气躁,责任意识差。另一方面,流动性大也会造成信息资料的不完整、隐性知识的缺失。资料缺失、显性知识未交接、隐性知识未转化,这些普遍存在的现象会对系统稳定运行产生较大的风险。
3.人员操作风险。人员操作风险主要体现在人员安全意识上,对工作内容不够重视、没有风险意识。日常工作中的操作维护制度没有得到有效执行,操作权限管理不严格,操作步骤不规范。
4.人员数量不足风险。参与者没有一个合理的人员管理计划,工作中经常会出现某个岗位仅有A角没有B角,或者有B角形同虚设的现象。尤其是在小型金融机构中,往往只有一名技术人员,这名技术人员有时还要兼职其它岗位,这样一方面会增加技术人员工作的压力,另一方面也会对系统的安全稳定产生一定的风险。
5.服务商人员风险。支付系统中大部分参与者都有严格的服务商人员管理制度,对于网络、系统、应用、线路、环境等服务商进入机房、登录系统都有规范要求,但在实际工作中,往往会因为重视程度不足,仅靠信任感来忽略掉相关的制度。服务商对系统提供服务一般都需要使用超级权限并对系统关键部件进行操作,因此服务商人员的安全意识、责任意识、技术水平等也会对系统产生一定的风险。
(四)设备风险
1.设备陈旧。天津市大部分参与者自2003年支付系统上线后,已逐步对相关服务器、网络设备进行了更新换代,但部分参与者仍在使用系统上线时的设备,例如防火墙、存储等。这些设备的产品备件、服务等大多数厂家已不再提供支持,而且从性能、安全性方面均已不能满足业务发展的需要,已经基本进入到设备故障多发期。设备的带病运行将给系统带来极大的隐患。
2.设备非专用。部分参与者的网络、安全设备均为参与者自身的多个涉外系统共用的设备。支付系统对安全性、实时性要求极高,多系统共用一套设备,一方面会给系统带来潜在的安全风险,另一方面也会造成加大各系统之间相互影响。当某一个业务系统出现中断时,就需要对共用设备进行重起、维护和切换,而设备上运行的所有其他正常运行的系统也将同时发生中断。受到影响。
3.设备维护保养不到位。设备的健康运行与定期的维护保养是分不开的。设备维护保养中的问题主要有两方面。一是部分参与者由于没有制定完善的维护保养制度、也没有相关的维护保养经验,因此生产设备长期处于未保养状态。二是虽考虑到了维保工作的重要性,并对相关工作进行了外包。但由于自身没有任何基本保养常识,并且在外包合同中也未能将相关工作、责任进行明确和细化,因此不能有效对服务商的维保工作进行有力监督,也不能够对风险隐患及时发现、及时处置,规避相关风险。
(五)系统风险
1.系统环境风险。信息系统项目的稳定运行涉及的环境因素是多方面的,主要包括:电源供应、温度、湿度、通讯线路等。这些环境因素对于一个系统的健康稳定运行来说是非常重要的。在支付系统中,参与者对于系统环境的保障和应对能力也不尽相同。对于中大型金融机构。一般都有自己的办公楼,因此在大楼施工前就已经做好了各项规划工作,能够为支付系统提供一个安全稳定的运行环境,对于外部环境风险也具备一定的应对能力。而小型金融机构中大部分没有自己的独立办公楼,场地也大多为租借获得,因此无法为系统提供稳定运行的环境。没有任何对抗外部风险的能力。例如一些参与者办公场地是租借的写字楼,因写字楼条件和投资考虑,不能建设标准机房,因此每次只要写字楼的电力、通讯进行维护和调整都会导致支付系统出现中断,有时甚至会因为大楼内其他单位施工的误操作导致系统中断。
2.系统热备能力风险。根据支付系统管理办法要求,各参与者对网络、主机等关键设备均配置了备份设备。但由于参与者对系统备份的理解和自身的要求不一,因此往往会造成系统的备份能力不足,无法实现全方位的系统热备。例如:网络线路虽有主用、备用,但备用线路的带宽与主用线路相差较大,一旦主用线路故障备线接管后仍旧不能满足业务运行的需要;服务器虽有主机、备机,但备份形式是冷备,从发现主机故障到手工启动备机。再到业务正常运转,整个过程所需的时间较长。不能实现系统的高可用性;防火墙虽有主机、备机,但由于备机平时始终保持备份状态,备机的故障不易被发现,而当主机发生故障需要被接管时备机却无法正常起用。
3.系统安全策略风险。随着接人支付系统的参与者越来越多,大部分参与者能够能够认识到系统安全问题。能够根据等级保护标准和行内自身的工作要求制定安全策略。但也存在部分参与者对安全策略认识不足,认为建立了防火墙、入侵检测、防病毒系统等多种硬件安全产品。计算机系统就安全了,缺乏科学、完善的安全策略和安全监测、评估机制。如果缺乏正确的安全策略管理或者没有在正确的安全策略指导下进行安全工作,必然会降低安全投资的效率和对信息系统整体安全性的预期效果。
(六)应急处置能力不足
1.应急预案不完善。目前大多数参与者制定的应急预案主要依赖于总行和上级行应急预案的模板,预案同质性情况比较广泛。尽管预案制度形式完整、要素健全,但与其自身的系统实际运行情况结合不紧密,科目不完整,具体职责分工不明确、各环节衔接困难,突发性事件发生时将难以得到高效处置。
2.应急演练不充分。多数参与者并没有制度化的年度演练计划,演练项目较少,演练程度也不深入。有的参与者一年中任何科目应急演练均未做过,有的参与者没有自己的演练计划。仅仅依靠上级部门的组织进行单科目的应急演练,有的参与者应急演练的科目较为完整。但演练工作结束后,未及时对演练工作进行总结。并完善演练方案和风险再评估。这些问题一方面说明应急管理制度制定的不完整,另一方面说明单位内部审计、监督工作不到位。应急演练工作的缺失将会降低参与者自身的应急处置能力,面对各种突发事件、问题不能及时处置、高效应对。
三、参与者风险应对策略
(一)提高重视
篇8
一、商业银行业务系统营运模式
商业银行业务系统的营运模式按数据集中的程度可分为两种,一种是分散模式,一种是集中模式。
(一)分散模式
分散模式是指商业银行各家分行的业务系统相互独立,业务数据的处理分散在分行,并由各家分行自行管理。这种模式的特点是业务系统独立、数据处理分散,分行间业务处理的差异化较大。这种模式由于业务系统相互独立,点状分布,突发故障的影响范围较小,不会造成大面积瘫痪,因此商业银行对突发故障的风险可控性较强。
(二)集中模式
集中模式又可细分为统一集中模式和区域集中模式,是指商业银行业务系统的数据处理集中在总行或区域中心,由总行或区域中心集中管理。各家分行没有独立的业务系统,全部使用集中业务系统的终端进行业务处理。集中模式业务系统的诸多优势克服了分散模式业务的弊端,随着风险防控技术和方法的日臻完善,这种模式的采用也越来成为商业银行的发展趋势。但由于其后台处理集中,业务终端网状分布,系统架构为“金字塔”型,故障的发生往往会造成大面积瘫痪,商业银行业务应急保障策略的制订也凸显重要。
二、商业银行业务系统应急保障策略类型
分散模式业务系统由于其故障发生的影响范围较小,应急保障的实施也比较简单,同时也可借鉴集中模式业务系统应急保障策略的部分内容,在此不作赘述。本文着重探讨集中模式业务系统的应急保障策略。集中模式业务系统一般为“金字塔”型架构,其架构为总行(或区域中心)、分行、网点三层。总行(或区域中心)为后台,是业务系统的主机;分行为,是业务系统的前置服务器,桥接网点与总行的业务处理;网点为前台,是业务系统的操作终端。“塔尖”为总行(或区域中心)主机,“塔身”为分行前置服务器,“塔基”为网点终端。基于此种结构,商业银行应根据不同故障类型建立相应的应急保障策略。
(一)设备故障的应急保障策略
设备故障是指主机、前置服务器、终端等硬件设备由于设备自身原因或其他外部因素而损坏,业务系统不能正常运行,导致商业银行无法向客户提供金融服务的情况。设备故障的影响范围各有不同,主机故障影响范围最大,前置服务器次之,终端再次之。由于设备故障(尤其是主机设备故障)很容易导致业务数据的损坏或丢失,因此其风险度和危害性非常大。对于设备故障,商业银行应建立备机策略。所谓备机策略,是指为主机、前置服务器、终端等设备设立备用设备,一旦设备发生故障,即可及时切换至备机进行业务处理。
对于主机设备,商业银行应建立异地备机策略。所谓异地备机策略是指在主机生产设备所在城市以外的地方设立备用主机设备,以此来防范外部因素导致的设备故障。在建立异地备机中心后,商业银行应将主机备用设备视同生产主机设备一样进行日常维护和升级变更,同时应将业务数据实时备份至备用设备,保证主机备用设备上业务系统的正常运行。
对于前置服务器设备,商业银行可采用总行集中设立前置服务器备用设备的的备机策略。此策略即可满足分行前置服务器发生故障时的应急保障,又可避免分行各自设立备机设备的重复投入。同时,前置服务器备用设备由总行统一管理和维护,又可减少分行对设备维护的人力成本。
对于终端设备,其故障影响范围很小,商业银行应做好终端设备库存量的匡算和技术支持,在终端发生故障时能够尽快修复或更换,保证柜面的金融服务。
(二)通讯故障的应急保障策略
通讯故障也称网络故障,是指由于网络异常而导致业务系统通讯中断,业务系统无法正常运行的情况。集中模式业务系统架构为总行、分行、网点三层分布,通讯故障的发生有两种类型,一种是总行与分行之间的通讯故障;另一种是分行与网点之间的通讯故障。前者的影响范围要大于后者。
通讯故障会导致网点无法使用业务系统为客户进行业务处理,但对业务数据的损坏或丢失没有影响。由于通讯故障的恢复时间取决于网络修复的快慢,此不确定性因素往往会造成较长时间无法对客户提供服务,因此,商业银行对通讯故障的应急保障应采用应急支付策略,保证对客户的紧急支付。所谓应急支付策略,是指商业银行业务系统在无法正常运行时,采用特殊方式为客户提供紧急现金支付和凭证挂失等服务。由于应急支付无法正常操作业务系统,对客户密码等信息也无法进行核对,因此存在较大的资金风险。商业银行采用应急支付策略,必须制订完善的应急支付制度,规范应急支付行为,有效防控应急支付操作风险。
应急支付是为客户提供紧急服务,因此商业银行应尽量缩小应急支付的业务范围。对于商业银行的柜面服务,紧急支付的压力往往来自个人客户,对公客户紧急支付的要求较个人客户要低一些,因此建议商业银行应急支付的业务范围以个人客户为主。
(三)系统故障的应急保障策略
系统故障是指业务系统主机程序出错或数据量压力瞬时过大而导致业务系统无法正常运行或部分业务无法处理的情况。系统故障发生后的影响范围一般为全行或较大范围内的分行。系统故障一般与分行前置服务器和网点终端无关。
业务系统如因系统程序故障而导致所有业务无法处理时,商业银行可根据实际情况参照设备故障或通讯故障的应急保障策略,启动备机切换方案或应急支付方案。如因系统故障导致业务系统部分业务无法正常处理时,商业银行可采用分级保障策略。所谓分级保障策略,是指商业银行根据业务种类的性质和分行所在地对客户影响度等因素,对业务和分行进行重要度分级。对重要度高的业务和分行,应重点保障,故障排查和系统恢复都应优先于其他业务和分行。分级保障策略可有效降低对业务处理的影响,减小故障对客户服务的波及面。
三、商业银行业务系统应急保障策略的组织和实施
基于业务系统故障的特点,商业银行应建立完善的应急保障组织体系,提高突发故障处置响应与协调应对能力,最大程度地预防突发故障的发生和减少突发故障造成的损失。
(一)建立完善的应急保障组织体系
商业银行要加强对业务系统故障应急处置工作的组织领导,建立健全日常工作机制,合理调配人员力量。要明确日常应急管理的指挥机构、办事机构及其职责,健全主要负责同志负总责、分管领导具体抓、相关部门分工协作的工作责任制,努力构建统一指挥、分级负责、各司其职、协调有序、运转高效的组织体系。
商业银行应针对业务系统故障的类型和特点,制订完善的业务应急预案,预案的内容应包括:业务应急保障的组织指挥体系及职责分工、预防与预警指标控制与措施、应急响应与处置安排、后期处置要求,以及应急管理保障措施等内容。
(二)加强应急保障动态管理
篇9
银行业务连续性管理(简称BCM),是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序[1]。将业务连续性管理纳入全面风险管理体系,能够建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。本文以国内某大型股份制银行客户为分析背景,对如何开展银行业务连续性管理体系建设方法作出了研究。
二、项目背景介绍及业务连续性管理体系建设实施措施
本文研究的项目背景是某行《新资本协议实施规划项目》中的子项目;研究目的是在按照银监会某文件《商业银行业务连续性监管指引》(以下简称监管指引)和新资本协议的有关要求下,参考国外有关标准和国内外同业的实施经验,结合该行现状从而制定覆盖全行总/分/支三级机构业务连续性管理的工作流程和管理体系,以达到同业管理水平及新资本协议和监管指引的要求。
其具体建设措施为:业务连续性管理体系建设项目分为总体规划、总行实施和分行试点推广三大模块。各个模块的主要工作为:
总体规划阶段主要有:现状调研、方案计划制定、体系规划、业务连续性基础培训等;总行实施阶段:业务影响分析和风险评估、重要业务范围界定、制度规范建设、总体预案和专项预案建设、演练;分行试点推广阶段:试点分行调研、试点分行培训、试点分行业务连续性管理相关体系建设、试点分/支行的演练等。
本项目中该行在成立了业务连续性管理组织、初步建立了业务连续性管理相关制度和部分应急预案的基础上,业务连续性管理体系建设的思路应为自上向下,采取分阶段的实施方法开展业务连续性管理体系规划和建设的相关工作。其项目管理框图如图1所示:
三、项目阶段化及具体工作描述
基于上述实施方法,本文根据工作的先后顺序,将业务连续性管理体系规划和建设的相关工作划分为6个阶段,各个阶段工作为:
第一阶段是现状调研阶段,其阶段目标是了解该行业务连续性管理现状,并对比监管要求和国内外最佳实践,通过问卷调查和业务部门访谈,梳理出全行业务产品分类,为业务连续性管理体系规划和建设工作奠定基础[2]。
实际经验表明:为保证形成的业务分类表能准确地根据业务流程或其他特点将业务进行分类、合并,该过程中应重点关注各部门填写的问卷是否准确、全面;访谈应尽量全面、清晰地掌握各部门业务情况,其好处是能够明确区分业务是产品或者活动,同时将各部门的活动梳理全面,夯实下阶段进行业务影响分析和风险评估基础。
第二阶段是业务影响分析和风险评估阶段,其阶段目标是确认重要业务及所需关键资源,并评估业务资源面临的风险,为业务恢复策略和资源规划建设提供依据。
风险评估主要从业务层面和科技层面进行分析。业务层面对重要业务相关部门进行资源调研与风险评估研讨会,收集业务活动所需资源,以及这些资源可能产生的风险。科技层面针对重要业务所需信息资源进行调研,了解信息系统现有的恢复能力,以及系统架构中可能存在的风险。最后,基于分析明确关键业务活动恢复需求与风险。
该过程中应明确与相关部门共同进行业务影响分析的关注指标,业务层面的资源调研与风险评估工作应重点关注参与人员就业务所需资源以及其可能面对的威胁、管理状况填写的完整性和准确性,科技层面的资源调研与风险评估工作应关注现场评估结果与最后确认问卷与汇总数据的完整性和准确性。
第三阶段是业务恢复策略和资源规划建设阶段,其目标是根据业务影响分析结果,依据业务恢复目标,确定业务恢复策略;评估重要业务资源建设和灾备管理现状,根据业务恢复策略建立业务连续性管理资源建设规划[3]。
本阶段的业务恢复策略,主要包括:业务受理策略、业务恢复顺序、业务流量控制策略、数据核对与补录策略、业务风险管控策略、信息系统恢复策略、危机沟通策略等。根据评估结果并结合业务恢复策略开展业务连续性资源建设规划,主要包括:备用业务和办公场地建设、备用信息系统运行场所建设、备用信息技术资源建设、备用人力资源建设以及电力、通讯、消防、安保等资源建设。该阶段的实施过程中应重点关注业务恢复策略与资源建设规划内容的全面性。
第四阶段是业务连续性管理体系建设阶段,其目标是根据业务恢复目标和业务恢复策略制定业务连续性计划、总体应急预案和专项应急预案,定期开展应急预案演练等。
在本阶段,需更新相关部门职责,并将分行业务连续性管理组织架构和职责纳入其中,建立全行统一的业务连续性管理组织。其业务连续性计划的主要内容包括:业务连续性管理组织、应急管理组织、重要业务及关联关系、业务恢复优先次序、重要业务所需关键资源、应急指挥和危机通讯程序、各类预案维护管理要求、应急资源管理等。
第五阶段是分行试点和推广阶段,其目标是为确保业务连续性管理体系在分行落地。这需要选取有代表性的分行作为试点,针对分行特点开展业务连续性工作,经过试点分行总结经验后,推广至全行实施。最终正式实施的试点分行需要具有代表性。
试点分行确定后,项目组对分行业务连续性管理现状进行调研。其范围包括分行业务连续性组织、业务连续性计划、应急预案、特色业务、资源建设等方面。试点分行工作结束后,项目组根据试点分行体系建设经验制定分行推广计划及修订工作指引,提出对分行业务连续性体系建设的要求和落实时间。
第六阶段是业务连续性管理体系评估和改进阶段,其目标是实施全行联动演练,确保总/分/支行联通方案畅通可行,方案有效;同时,完成年度业务连续性管理体系自评估,推动业务连续性管理体系可持续性发展和改进。
该阶段需制定总/分/支行联动演练方案、业务连续性管理体系自评估计划。首先需要对业务连续性管理体系自评估以及监管机构的年度检查整改情况进行跟进,然后根据执行现状,在治理、人员、流程、技术等方面拟定业务连续性管理持续改进规划,推动业务连续性管理体系可持续性发展和改进。
四、项目实施总结
本文通过将银行业务连续性管理体系建设划分为3大模块,以及按照工作的先后顺序划分为6个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的业务连续性管理工作,以满足新资本协议中操作风险管理相关达标要求,降低重要业务中断风险,提高业务风险应对能力;同时满足了银监会《商业银行业务连续性监管指引》的要求,并为该行今后的业务连续性管理工作奠定了良好的基础,并提供了全面、细致的工作指导。
参考文献
[1]中国银监会.商业银行操作风险管理指引[Z].
篇10
什么是信息科技风险?在网上检索,能轻松找到几件近年来商业银行发生的典型信息科技风险事件(见表1)。
表1
信息科技风险事件案例
从以上这些案例我们可以看到在信息技术与银行业务深度融合的今天,信息科技风险事件往往涉及范围广、客户多、金额大,在给银行造成经济损失的同时,也会带来很大的声誉损失。银监会前主席刘明康曾表示:“如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2~3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。”因此,可以毫不过分地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提,关乎银行声誉、金融安全和社会稳定。
根据中国银监会的《商业银行信息科技风险管理指引》,信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中,信息科技风险被视为操作风险的一种。但它又有区别于一般操作风险的特殊性:
一是风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高。
二是潜伏性、偶发性和不确定性突出。比如,通过充分风险论证的生产系统,短期内无风险隐患,而随着生产环境的压力逐步扩大,系统的脆弱性就会逐步暴露出来;一个具有很高安全性的电子银行,随着病毒的不断变种,黑客技术的提高,新的安全问题就会暴露出来。
三是信息科技风险一般不直接造成经济损失,其造成的间接损失难以计量且极可能引发声誉风险。
四是影响范围广。单个信息系统的故障就可能影响银行多项业务。在银行数据大集中的形势和背景下,信息科技风险也趋于集中,成为唯一能使银行瞬间瘫痪的风险。
从国内的监管导向看,笔者认为信息科技风险管理有两个重要的目标:一是保证银行业务的稳定和连续;二是保护客户信息安全。如果不能实现这两个目标,则可能引发直接或间接的经济损失以及声誉风险和法律风险。
二、信息科技风险的影响因素
从前述信息科技风险管理的两个目标出发,我们可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。
影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本投产异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分等。
影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据;外部人员运用技术手段侵入系统盗用客户信息;内外勾结盗用客户信息、外包服务商泄密等。
以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,吴博(2010)将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素(见表2)。
表2
有关信息科技风险的损失事件形态
资料来源:吴博:《操作风险管理视角下的商业银行信息科技风险管理研究》,载《新金融》,2010(9),32页。
当然,上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量,其本身也可被视做信息科技风险的表现形式。透过这些表现,我们可以很容易发现管理不到位才是导致信息科技风险的最根本原因。
从实践来看,近年来信息科技有力地支持了商业银行各项业务的快速扩张,但同时信息化建设大干快上和管理、运维跟不上的矛盾也日渐突出,“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明,近年来发生的信息科技风险事件中,多数事件发生都源于制度不健全、流程不完善、落实不到位,很少有纯粹技术原因引发的事件。因此,可以说管理到位是防范信息科技风险的关键。
三、信息科技风险管理措施
信息科技风险管理应贯穿于信息科技工作的全流程,涉及信息科技风险管理的“三道防线”,需要由信息科技部门和各业务部门共同完成。在前文分析的信息科技风险的影响因素的基础上,我们可以进一步探讨如何通过采取相应的管理措施来防控信息科技风险。
一是完善风险治理架构,各司其职。构建和完善信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计,从三个不同角度、不同维度,对风险进行立体防控。需要注意的是三大防线的安排不应是简单地对应信息科技风险管理的事前、事中、事后三个阶段,风险管理部门、审计部门应积极参与到业务连续性计划制订、应急演练、系统开发、外包管理等信息科技日常风险管理工作中,实现风险管理的前移。
二是健全管理制度体系,重在执行。建立健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前就开始,要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程,并制定回退机制或应急预案以应对意外情况。同时,要积极研究各类信息安全风险案例,总结归纳新的风险点,以针对性地完善制度。要建立制度执行的监督评价机制,商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况,对制度执行不到位的责任人要进行问责或处罚。
三是合理规划系统资源,未雨绸缪。纵向规划发展进度,在系统规划设计阶段就要评估能否满足未来较长时间的业务需求,合理安排系统升级、版本切换等工作。横向匹配系统资源,在系统资源短期内不变的情况下,合理分配资源,通过系统分级,将资源优先分配给等级高的系统以保障重要系统的稳健运行。
四是密切监测系统运行,防患于未然。通过技术平台对信息系统的运行状况进行全程监控。一二级骨干网是否畅通、网点终端和自助设备是否运行正常、应用系统是否正常服务、是否有异常交易、网络是否遭到非法入侵等必须纳入实时监控范围,以确保在第一时间发现问题和风险点,及时采取应对措施,防患于未然。
五是落实业务连续计划,加强演练。要在全行层面建立和完善可操作性强、覆盖各信息科技系统的业务连续性计划和应急预案,包括业务恢复机制、风险化解和转移措施、数据备份以及应对媒体的统一策略等;针对新发生的突发事件以及新发现的薄弱环节,要及时对预案进行总结更新;加强应急预案演练,以保障银行在突发重大事件面前,能从容应对,迅速恢复生产运营,尽可能降低损失。
六是推进科技队伍建设,提升能力。首先,要明确岗位职责,因岗定人,岗位匹配,并落实岗位制衡。其次,要完善激励约束机制,以激发员工的主观能动性,并使科技队伍保持基本稳定。最后,要加强培训,培养员工风险防范意识和风险防范能力,提高员工的信息科技业务水平。
参考文献
[1]阎庆民:《操作风险管理“中国化”探索:中国商业银行操作风险研究》,中国经济出版社,2012。
篇11
如果火势严重,身上着火了,来不及脱衣,也可卧倒在地上打滚,把身上的火苗压熄。如果有其他人在场,可用湿麻袋、毯子等把身上着火人包裹起来,就能使火扑灭;或者向着火人身上浇水,或者帮助将烧着的衣服撕下。遇到火灾,有的人不知道周围失火,来不及迅速撤离火场。遇到这种情况,站着向外呼救,声音被烟火阻挡,外面的人是听不到的。怎么办呢?必须卧在地上呼吸,因为火势顺着空气上升,在低矮的地方,可燃物已经燃尽或还没有烧着,呼救的声音从这些空隙里传出去,就能及时得到外界的营救。
如果火势小,就用湿毛巾、湿毛毯披在身上冲出去,逃出去时。要逆风而行,并弯腰爬出去,用湿毛巾捂住口鼻,以免中毒。如果火势大,可以利用房屋的阳台、下水道或其他接地牢固的物件逃生。也可以用绳索或床单撕成条状接起,一端一端拴在固定物件上,再顺着往下滑,即可逃生。如果万分情急决定跳楼出逃时,可先往地下抛出一些衣物棉被等,以增加缓冲,然后手扶窗台往下滑,以缩小跳落高度,并尽力保持双脚着地,尽可能地保全性命。“隐患险于明火,防范胜于救灾,责任重于泰山”。不错,只要每人做到“人人关心消防、处处注意防火”的群防群治的局面这样,火灾会少得的多,那么我们的明天也会给加美好!
生命只有一次,它对每个人都是公平的,只有珍惜生命,注意安全,我们才能平平安安的度过一生,人的生命是有限的,同时也是脆弱的,“一不留神”它都有可能给你的生命一个终结。天地把生命给予了我们,它便由你我掌控,你给它保险,它边给你幸福,你伤害了它,它便让你终生后悔。它对我们付出了太多太多了。而我们唯一可以做的事就是尽一切力量去爱护它,脆弱的它好比是个手无缚肌之力的人,而我们就是它身边永远的、忠实的保镖!生命是一曲优美的交响曲,是一片华丽经典的诗章,是一次经历挫折与艰难的远航,生命诚可贵!我们歌颂声明,因为生命是宝贵的,他只有一次;我们热爱生命,因为生命是美好的,他令我们的人生焕发出光彩!在这个世界上最蓬勃旺盛和美好的就是人的生命!保护生命,保护你美好的前程!珍惜生命,珍惜人生的点点滴滴吧!让安全伴我们快乐成长吧!
请记住:珍爱生命,关注安全。让我们携起手来,呵护着文明之花,让我们远离伤痛珍爱彼此的生命吧!为彼此的生命撑起一片安全的天空。我们要把平安的种子洒播进自己的心田,当它发芽开花,长成参天大树时,我们必将收获更多的祥和、幸福和安宁。
消防活动的个人总结范文2
为确保中国人民暨世界反法西斯战争胜利70周年纪念活动和夏季消防安全,按照市政府统一部署,XX镇政府迅速部署开展工作。
一、 高度重视、加强领导
镇党委、政府充分认识做好这一时期消防安保工作的重要性,深知责任重大,全力以赴做好各项消防安全工作。成立了以镇长黄志刚为组长的消防安保领导小组,制定了《XX镇抗战胜利70周年纪念活动消防安保工作方案》,召开了由全体机关干部、各村街书记、主任参加的会议,安排部署消防安保工作。
二、 精心组织、落实责任
向社会《关于抗战胜利70周年纪念活动消防安全自查工作的公告》,以村街为单位,深入开展消防安全大检查,实行“网格化”排查,以人员密集场所、易燃易爆单位、劳动密集型企业、物流仓储等单位场所为重点,认真检查,填写检查登记表,由村委会盖章,村书记主任签字,包村干部签字,交镇安监站存档。各村街开展一次灭火和疏散逃生演练,进行一次彻底的卫生大清理,排除火灾隐患,清理可燃杂物。召开由重点企业负责人和管理人员参加的会员,强调当前消防安全的重要性,动员他们对照标准进行自查,并对他们进行消防安全培训。
目前,全镇范围内的劳动密集型企业(服装加工企业、铸造企业等)已全部停工、停产,非法加油站全部查封,合法加油站派专人负责,非法烟花爆竹零售点全部取缔,合法烟花爆竹零售点全部停业,包村干部驻村,包片领导巡查。
三、加强督查、确保实效
由安监站、派出所对辖区内所有单位进行监督检查,尤其是重点企业、重点场所,采取暗访、执法检查等形式,对检查的单位、场所逐一登记,建立台账,如实记载检查人员姓名、检查时间、发现问题和提出的整改意见,对发现的问题立即整改,拒不整改的,依法从严查处,始终保持高压震慑消防违法行为态势。
消防活动的个人总结范文3
我部为提高全员消防意识,增强员工在紧急情况下的应变能力,自我防护能力,使每个员工掌握一定的消防知识。消除火灾隐患。学习有关消防知识和消防器材的使用方法,并掌握消防逃生技能及注意事项等。检验项目部《火灾应急救援预案》的可行性,各救援组在紧急情况下的到位及时性以及在救援过程中如何确保救灾中人员和设备的安全。我部以消防月为楔机,围绕全民关注消防,生命安全至上为主题。我部在20_年_月_日消防日举行了防火演练。邀请了业主桂工、监理孟工观摩。防火演练总结如下:
一、取得的成绩
全体项目员工的安全意识有所提高,对消防安全常识有了进一步了解。对应对突发事件的应急能力有所提高,演练现场大多数员工能有效组织、迅速对火灾事故警报做出反应,大部分救援小组负责人能有效组织本组组员疏散、警戒和投入灭火行动中。对今后应对突发事件有一定的提高。
演练前我部组织了消防预案演练培训,使现场人员掌握一定的消防知识,增强员工在紧急情况下的应变能力,自我防护能力,学习了有关消防知识和消防器材的使用方法,并掌握消防逃生技能及注意事项等。项目部利用张贴标语的形式大力宣传消防安全的重要性。
演练过程中,员工们的团队凝聚力得到了升华。应急领导小组的组织能力、指挥能力和应急应变能力也得到了锻炼。基本上达到了防火演练的目的。
二、不足之处
少数员工安全意识不够强,责任心不强,演练不够认真。个别救援组负责人对本组组员对本次演练的重要性宣传力度不够,表现在行动缓慢、纪律松散、不够严肃。救护组的演练不够到位,灭火组的演练不够真实,整体演练效果不是太好。
三、后续工作安排
减少事故给公司带来的损失是每个员工义务和责任。公司员工和各级管理人员都必须密切配合处理突发事件,一旦接到处理突发事件的指令后,在确保自身安全的情况下要义不容辞的快速执行。不得以任何借口推托责任或拒绝执行。这样我们的公司才是一个大家庭,一个有战斗力和执行力的集体。
因此项目部在今后的工作和应急活动中对以上的不足之处加以改进,进一步加强应急工作的培训宣传工作。增强应急预案的可行性。确保各救援组在今后紧急情况下的到位及时性以及在救援过程中如何确保救灾中人员和设备的安全。
消防活动的个人总结范文4
今年以来,我行积极落实从严治行的方针,做好安全保卫工作,完善内控程度,强化内部管理,切实防范金融风险,杜绝案件事故的发生,取得了较好的成效,保证了我行安全稳健高效经营。
一、加强组织领导,落实工作责任制。
我行成立了支行安全保卫、综合治理(创安、禁毒、普法和依法治行)领导小组,认真落实安全保卫目标管理和领导责任制,将安全保卫工作纳入全年工作计划,与支行营业部、各分理处负责人都签订了安全保卫目标管理责任书,做到谁主管、谁负责。并根据市人行要求和本行实际制定印发了乐清工行200*年创建金融安全区工作意见&&,明确各级负责人安全保卫工作职责,做到一级抓一级,分工到位、职责明确、相互配合、层层落实。
二、不断健全内控外防机制,切实落实各项规章制度。
篇12
二、操作风险类型
操作风险存在于公司各种业务的自然过程之中,操作风险涵盖内容非常复杂。巴塞尔委员会按照银行损失事件的类型对操作风险进行了七种类型的划分,结合财务公司实际情况,我公司操作风险可按以下四种风险分类:人员风险、流程风险、系统风险和外部事件风险。
三、操作风险的特点
操作风险相对于信用风险、市场风险有其显著特点,主要体现在以下几个方面:
(一)广泛性
操作风险的覆盖面非常广泛,几乎包括所有部门,几乎覆盖公司经营管理所有方面,操作风险不仅存在于业务流程中,也存在于风险管理本身实施过程中。
(二)内生性
除自然灾害及不可预测的意外事件外,操作风险的风险因素绝大多数由公司内部不合格的操作因素引起,而且单个操作风险因素和操作风险损失之间不存在清晰的、可以定量界定的数量关系。
(三)不对称性
操作风险的发生频率和损失严重程度不对称,有两类情况:一是可能经常发生,但发生后损失程度较低的操作风险;二是发生频率很低,但一旦发生后果却非常严重的操作风险,这使得操作风险在分布上呈现出肥尾的不对称性。
(四)计量的复杂性
一是操作风险成为当前最难以计量的风险,其原因在于:涉及领域宽广,涵盖公司业务方方面面,相当分散;二是形成原因复杂。操作风险成因有外部事件影响,而大部分是内部制造,其表现形式和形成原因依赖于前后关联的事件,而这些事件又往往不容易辨别。三是损失具有不确定性,既包括发生频率很高,损失较小或无损失的操作失误性风险,也包括发生频率很低,损失巨大的意外风险。
(五)高危害性
操作风险无处不在,随时随地都有可能发生,一旦发生损失严重的操作性风险事件,造成的后果不可估量。
(六)可转化性
在实践中,操作风险还通常可以转化为市场风险和信用风险。
四、操作风险管理现状
(一)初步建立了符合公司经营模式的操作风险管理组织体系和制度体系
目前,中国电力财务有限公司风险管理组织体系是以董事会为风险管理最高决策权利机构的三级架构体系,三级层次分别是公司总部、分公司、业务部。风险管理组织体系具体包括懂事会、公司风险管理委员会、总部风险管理部和相关业务部门、分公司风险管理委员会、分公司风险内控部和相关职能部门、业务部风险管理小组、业务部专责风险师、业务部各部门。在该体系中,各机构职能明确,责任清晰,确保了公司风险管理工作的顺利开展。
在制度体系上,公司制定了《风险管理办法》、《操作作风险管理政策》、《操作风险管理细则》,《流动性风险管理细则》、《信用风险管理细则》、《重大风险事件管理办法》、《莛发事件应急预案》等一系列风险管理制度,保证了公司操作风险管理工作的具体落实。
(二)逐步建立操作风险识别、评估、监测、控制和风险报告工作程序
1 识别关键操作风险点,明确风险控制措施。分公司根据公司《操作风险管理细则》,结合营业业务流程和环节,把营业业务划分为存款开销户业务、支付结算、信贷业务核算、重要空白凭证及有价单证管理、营业印章管理、客户账户管理、网上银行管理、电子银行类业务、资金池账户管理等几大类,梳理罗列营业操作关键风险点,并对这些风险点所对应的风险岗位、应采取的风险控制措施作了详细标注。
2 理顺报告路线,建立风险管理报告制度。分公司建立了风险管理报告制度,对风险事件的报告时间、报告路线及报告和处置流程作了明确规定,确保风险事件能够在发生后第一时间向上级业务管理部门和风险管理部门报告,从而有效控制重大风险事件的负面影响。
3 编制应急预案,开展应急预案演练,加强应急管理。加强应急管理是有效控制操作风险的一项具体措施。分公司于年末制定次年各项应急管理工作年度计划,每年要求各业务部组织不少于两次风险事件应急预案演练,并且要制定演练方案,演练结束后要对演练情况和反映的问题进行文字总结。
五、操作风险管理存在的问题
(一)员工风险意识不强
公司部分员工法制观念淡薄,风险意识不强,没有充分认识到防范操作风险的重要性,只要是领导命令,就唯命是从,重业务拓展,轻风险管理,在日常操作中,经常存在以信任代替制度,制约流于形式的现象。
(二)管理方法和技术滞后
操作风险定量风险分析手段缺乏,在风险识别、度量、监测等方面客观性、预见性不够。与国际性大银行采用数理统计模型、金融工程等先进手段相比,我们操作风险管理方法相对落后。目前公司系统虽然可以通过授权复核等手段,对业务操作应有的风险控制点及操作权限进行有效控制,但由于系统的监测预警能力尚不完善,无法通过信息技术在流程上对所有已存在的风险点进行实时监测,尚不具备异常业务预警和阻止业务违规操作的功能,致使许多违规操作行为只能靠相对滞后的人工稽核检查等方式来发现。
(三)监督检查不到位
(四)信息系统存在一定缺陷
公司业务运营系统经过不断优化完善,在营业结算、资金管理、信贷管理方面有了明显改进,但由于系统框架的设计上对管理控制的需求考虑不足,加上新业务、新产品陆续上线,系统改造和优化不能经过充分测试和运行,使得系统存在一定的控制缺陷和空白。
(五)人类资源管理和业务发展不相适应
1 人员储备不足。近几年来特别是最近两年,分公司人员增长远远落后于规模增长和业务量增长。随着业缱增加,员工工作压力加大,时常超负荷工作得不到适当的休息调整,容易造成精神疲劳,容易出错。
2 人员结构不合理。人员结构不合理是造成营业操作风险加大的重要因素。分公司营业临柜人员年龄偏大,业务部男女比例失调,有些业务部面临女员工生育高峰问题,营业结算在岗人员小于实际
人员数,人员不足、人员定岗问题加大操作风险控制难度。
3 人员培训力度不足。虽然公司每年都有员工培训计划,但培训计划的业务针对性不强,而且参与培训的人数和时间也有限,所以大部分基层工作人员参与培训机会很少,加上随着日常工作压力的增加,员工利用业余时间参加培训的时间就会相应减少,员工普遍感觉培训力度不足。
(六)风险控制和业务发展的矛盾
作为国家电网公司的集团财务公司,在监管政策允许的前提下,尽可能为集团成员单位提供全方位的金融服务品种。为了不断满足国家电网公司财务集约化管理需要,同时扩展财务公司的生存空间,近几年不断推出新业务、新产品,由于有些新业务没有进行充分的风险评估,制定流程时缺乏实践经验,客观上诱发了违规操作风险。
六 加强操作风险防范控制体系的措施
(一)培育完善的企业风险文化
建立科学发展观、风险观,培育重在细节和执行力的合规文化。企业经营成败与否,最终的决定因素是良好的企业文化,良好的企业文化可以改善人的态度和执行力,良好的企业文化是操作风险管理的基础。细节决定成败,要加大全体员工合规经营意识、全面风险意识、职业道德和行为习惯上等多个方面培育良好的风险合规文化,创造风险管理人人有责的合规氛围。
(二)加大培训力度
(三)加强岗位轮换、实施强制休假制度
对重要岗位实行不定期轮岗和强制休假制度,可在轮岗和休假时进行全面稽核,形成明确制度规定。
(四)加强信息科技系统建设
信息科技系统是公司开展各项业务的基础平台,目前,随着财务集约化不断深入推进,资金池账户搭建工作已完成,资金结算系统的上线,业务交易量和交易总额成倍上升,对业务系统、网络畅通、硬件设备的稳定性能和安全性能要求都更高。
(五)优化业务流程
篇13
本预案所称金融机构突发事件是指金融媒介(如银行、证券公司、保险公司等)、金融市场(如股票市场、证券市场等)和市场基础设施(如支付体系等)突然发生的、无法预期或难于预期的、严重影响或可能严重影响本行政区域金融稳定、需要立即处置的金融事件。
1.2编制依据
《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》、《中华人民共和国证券法》、《中华人民共和国保险法》、《期货交易管理暂行条例》、《中华人民共和国外汇管理条例》、《国家金融突发事件应急预案》、《河北省金融突发事件应急预案》。
1.3适用范围
(1)国内或省、市内发生重大事件引发的危及本县行政区域内金融稳定的金融突发事件。
(2)因自然灾害、事故灾难、公共卫生事件或社会安全事件引发的危及金融稳定的金融突发事件。
(3)因本县行政区域内一家金融机构出现大规模挤提、挤兑或退保,而引发该金融机构所属系统或全县金融系统挤提、挤兑情况的金融突发事件。
(4)因大规模非法集资、非法设立金融机构、非法开办金融业务以及金融机构违法违规经营和犯罪等引起的其他严重危害金融稳定的金融突发事件。
1.4工作原则
1.4.1统一领导,分级负责。*县金融突发事件应急处置工作由县政府统一领导,县人民政府和县有关部门按照市政府和本预案的要求,具体负责本行政区域及本系统突发金融风险的防范和处置工作。
1.4.2各司其职,团结协作。县有关部门要按照职责分工,积极筹划落实各项防范化解风险的措施,相互协调配合,共同做好金融突发事件的处置工作。
1.4.3区别对待,分类处置。对各类金融机构的预期风险和总体风险进行具体分析与判断,针对不同成因、不同风险程度,研究制定相应的处理方案。
1.4.4及早预警,及时处置。对金融突发风险要做到早发现、早报告,并采取果断措施,及时控制和化解,防止风险扩散和蔓延,尽可能将危害和损失降到最低限度。
1.4.5依法处置,稳妥缜密。要把一切金融风险处置工作纳入规范化和法制化轨道,坚持依法有序处置、积极稳妥缜密的原则,力争避免对社会造成严重的负面影响。
2组织体系与职责分工
2.1应急组织体系
成立*县金融稳定协调领导小组,负责对全县金融突发事件应急的组织、协调和领导。
组长:县政府主管领导。
副组长:对口分管金融工作的县政府办公室副主任、县银监办事处主任、县人行行长。
成员单位:县银监办事处、县人行、县委宣传部、县人民法院、县人民检察院、县司法局、县公安局、县农发行、县各国有商业银行、县农村信用联社。
各成员单位应指定联络员负责有关联络事宜。成员单位组成可根据事件情况做适当调整。
领导小组下设办公室,办公室设在县银监办。
2.2相关部门职责
2.2.1领导小组的主要职责
(1)决定启动、终止本预案;
(2)统一领导、指挥全县重大金融突发事件的应急处置工作;
(3)分析、研究全县金融突发事件的有关信息,制订应急措施;
(4)确定全县有关部门在应急处置过程中的具体职责分工,并协调实施应急措施;
(5)针对被关闭金融机构的个人债权,根据有关规定制订具体的兑付和补偿措施;
(6)根据需要协调、指导有关金融机构的重组、关闭和破产事宜;
(7)及时向市政府报告事件动态及处置情况。
2.2.2领导小组办公室的主要职责
(1)根据领导小组的决定组织召集相关会议;
(2)接收、整理、上报有关金融突发事件的信息资料,并向有关部门通报;
(3)督促、检查、指导全县有关部门落实应急措施情况;
(4)做好档案资料的收集、保管和事后移交工作;
(5)提出修改预案的建议;
(6)组织有关部门做好政策宣传和解释工作;
(7)完成领导小组交办的其他事项。
2.2.3领导小组成员单位主要职责
(1)县银监办事处对各金融机构通报的金融突发事件的风险程度做出评估,及时启动本部门处置金融突发事件应急预案,负责处理本部门职责范围内的事项;向县政府报告有关信息,提出是否启动本预案的建议。
(2)县人行及时启动《中国人民银行*县支行处置金融突发事件应急预案》,负责处理人民银行职责范围内的事项;按照上级行授权,保证资金及时足额到位,满足风险处置工作的需要;向县政府报告有关信息,提出是否启动本预案的建议。
(3)县委宣传部协调有关部门制订有关新闻工作预案,协助有关监管部门制定宣传口径,组织全县媒体播发相关新闻;根据金融突发事件的严重程度或其他需要组织新闻会;及时搜集县内外舆论情况,正确引导社会舆论,做好辟谣工作;加强全县媒体和互联网的管理和引导,防止有害信息传播。
(4)县公安局制订相关的工作预案,依法参与或指导、协调各派出机构参与金融突发事件的应急处置工作;对有关犯罪嫌疑人进行调查取证,必要时采取强制措施,查处犯罪行为;协助县政府和金融突发事件发生单位维护运行秩序,防止风险扩散和出现,保证处置工作顺利开展。
(5)其他成员单位按照领导小组的工作部署,充分发挥应急处置工作中的联动作用,履行各自的各种职责,配合金融突发事件的处置工作。
3预防预警
3.1预防预警机制
3.1.1县银监办事处、县人行要建立本系统重大问题、敏感问题的定性、定量预警监测指标体系,加强跟踪、监测、分析,及时向社会金融风险提示信息。
3.1.2县人行要加强对监管部门通报的有关信息的汇总和分析,注重对影响金融稳定的省内外、市内外、县内外金融突发事件的跟踪研究。重大事件要及时上报县政府和上级行。
3.1.3各金融部门之间应加强信息沟通。县银监办事处每季度向县政府通报本系统的金融风险状况,对全县金融体系的风险因素进行综合评估。
3.2预防预警行动
3.2.1县银监办事处应将其监管职责范围内发生的重大金融突发事件及时(最迟不超过2小时)向县政府、本系统上级机关提出预警报告。
3.2.2各部门应对本部门的预警支持系统进行定期的演练和维护,定期对本部门的应急预案进行修改和完善。
4金融突发事件的分级
当金融突发事件等级指标有交叉,难以判定级别时,按较高一级突发事件处理,防止风险的扩散;当金融突发事件的等级随着时间的推移有所上升时,应按升级后的级别程序处理。
4.1特别重大金融突发事件(Ⅰ级)
有下列情况之一的,为Ⅰ级事件:
(1)国内、省内出现的,已经影响或极有可能影响邯郸市行政区域内金融稳定的金融突发事件;
(2)金融各行业已出现或将要出现连锁反应,需要各有关行业主管部门协同配合,共同处置的金融突发事件;
(3)具有全市性影响的金融突发事件;
(4)其他需要按Ⅰ级事件对待的金融突发事件。
4.2重大金融突发事件(Ⅱ级)
有下列情况之一的,为Ⅱ级事件:
(1)对多个金融行业或多个县(市)区产生影响,但未造成全市性影响的金融突发事件;
(2)所涉及金融监管部门或县人民政府不能单独应对,需跨部门或跨县(市)协调的金融突发事件;
(3)其他需要按Ⅱ级事件对待的金融突发事件。
4.3较大金融突发事件(Ⅲ级)
有下列情况之一的,为Ⅲ级事件:
(1)所涉及金融监管部门能够单独应对,不需要跨部门协调的金融突发事件;
(2)所涉及县人民政府能够单独应对,不需要跨县(市)协调的金融突发事件;
(3)其他需要按Ⅲ级事件对待的金融突发事件。
5应急响应
5.1Ⅰ级响应
由邯郸市金融稳定工作领导小组启动预案开展处置工作,县政府及有关部门按照要求做好相关工作。
5.2Ⅱ级响应
5.2.1由事件所涉及的部门和县人民政府共同协商制订处置方案。县人民政府负责县内的社会稳定工作。
5.2.2经协商不能达成一致意见的,由各相关部门报请市政府,由市领导小组办公室进行协调。
5.3Ⅲ级响应
5.3.1响应程序
(1)金融突发事件发生后,县有关部门要迅速核实情况,立即启动本部门的应急预案,开展本系统内的应急处置工作,及时报告县领导小组办公室和本系统上级部门。
(2)领导小组办公室报请领导小组决定启动本预案开展处置工作。
5.3.2决策及紧急措施
(1)各部门立即按照本部门应急预案要求,指导本部门处置工作,及时切断风险源,防止风险进一步扩散。
(2)领导小组召开成员单位会议,分析研究金融突发事件的基本情况、性质、成因,提出处置方案,报县政府和本系统上级主管部门批准后实施。
处置方案的主要内容包括:金融突发事件的基本情况、事件的性质和严重程度、影响范围、成员单位会议的讨论意见以及协调处置方式、方法和所要采取的具体措施等。
(3)领导小组视情况设立专家咨询组、信息组、治安维护组、风险处置组、法律咨询组,分别负责各个专业范围内的工作事宜。
(4)在处置金融突发事件过程中,有关政府部门应建立新闻发言人制度,做好宣传、解释工作,加强舆论引导。
(5)县银监办事处、县人行以及风险涉及部门应根据上级部门的授权和职责分工,加强协调配合,共同维护金融秩序。
5.3.3落实措施
(1)正式处置方案经县政府和本系统上级机关批准后,由领导小组办公室督促有关部门和单位组织实施。
(2)对经批准给予人民银行再贷款支持的,按照《中国人民银行关于收购个人债权和弥补客户证券交易结算资金缺口使用再贷款操作程序的通知》、《中国人民银行紧急再贷款管理暂行办法》、《地方政府向中央专项借款管理规定》以及其他有关规定,由人民银行负责办理发放再贷款的有关手续、监督再贷款的使用和收回。
(3)对需要采取撤销(关闭)形式退出金融市场的,应当按照《中华人民共和国银行业监督管理法》、《中华人民共和国证券法》、《中华人民共和国保险法》、《期货交易管理暂行条例》、《中华人民共和国外汇管理条例》、《金融机构撤销条例》的有关规定,由金融监管部门依据其监管职责和权限对外撤销(关闭)公告,并由有关部门成立清算组进行清算。
(4)在处置金融突发事件过程中,对发现涉嫌犯罪的事实,公安机关应依法立案侦查,并采取积极有效措施,严防犯罪嫌疑人潜逃,有关部门应积极配合。对债权人、被保险人等的宣传、解释、说服工作,由县人民政府负责组织相关部门实施。
5.4信息报送
5.4.1金融突发事件发生时,发生事件的单位应立即(最迟不超过2小时)向其上级主管部门、相应的金融监管部门报告,同时通报县人民政府。
5.4.2特别重大(Ⅰ级)和重大(Ⅱ级)金融突发事件发生后,县银监办事处和县人民政府,在接到报告后最迟不超过2小时上报市政府和本系统上级机关,并在保密的原则下,根据情况需要与有关部门实现信息共享。
5.4.3报告的内容应包括:发生金融突发事件的机构名称、地点、时间;事件的原因、性质、等级、可能涉及的金额及人数、影响范围以及社会稳定情况;事态的发展趋势、可能造成的损失;已采取的应对措施及拟进一步采取的措施;其他与本事件有关的内容。
6后期处置
6.1善后工作
按照分级响应程序的职责分工,分别由有关部门负责落实。具体包括:
6.1.1对被关闭的金融机构的印章、业务档案妥善保管并进行清理,对被关闭的金融机构的个人债权进行核实,落实兑付和补偿措施。
6.1.2对金融突发事件的全过程进行彻底调查,查清事件的原因,追究相关人员的责任。
6.1.3对因金融突发事件而发生的直接损失和间接损失进行评估。
6.2评估与总结
6.2.1金融突发事件处置完毕后,参与处置的有关金融监管部门应对处置工作进行总结,报县人民政府,同时抄送县人行。
6.2.2领导小组办公室应对事件的发生、应急处置、处置结果及损失进行全面评估和总结,将总结报告上报县人民政府和上级机关。
6.2.3金融监管部门应对处置工作进行总结,针对处置过程中暴露出的问题及国家法律法规的相关变化,进一步完善有关监管措施、风险监测和预警指标体系、风险提示和防范手段及应急预案,提出修订地方相关法规的意见和建议。
6.2.4参与处置的有关部门应针对协同处置金融突发事件过程中暴露出的有关问题,提出修订本预案的意见和建议。
6.3奖励与处罚
6.3.1对参与处置工作表现突出的人员,有关单位可按有关规定给予表彰和奖励。
6.3.2对参与工作不负责任、办事不力、扯皮推诿,造成严重后果的人员,有关单位应依法追究其责任。
6.4检查与审计
6.4.1审计部门依法对金融突发事件处置工作中所动用的公共资金的使用情况进行检查。
6.4.2县人行根据有关规定对再贷款的使用情况进行检查。
7应急保障
7.1通信保障
7.1.1各成员单位之间应确保至少一种通信方式的稳定畅通。
7.1.2各成员单位与县人民政府要保持必要的联系。
7.1.3领导小组办公室与领导小组成员单位之间应建立信息共享平台,互通信息。
7.1.4所有通信及信息共享应符合有关保密规定。
7.2文电运转保障
领导小组、领导小组办公室及有关部门要根据各自职责规定,确保文电运转的高效、迅速、准确,不得延误。
7.3技术保障
7.3.1各有关部门应确保本系统计算机设备及网络系统有足够的软硬件技术支持保证,有关信息有计算机备份。
7.3.2核心账务数据应实现异地备份,建立数据备份中心。
7.3.3要害岗位,至少有两名人员备用、替换,确保在任何情况下不因人员缺岗而影响整个系统的正常运行。
7.3.4加强事故灾难备份中心的建设与完善,做好事故灾难备份中心的维护和管理。
7.4安全保障
各有关部门应确保工作场所的安全性和保密性,确保有关工作人员的人身安全。
7.5人力资源保障