摘要：商業銀行在日常的經營活動中，面臨的更多還是業務連續性日常管理，建立完備的業務連續性日常管理機制，將業務連續性管理體系融入到企業文化中，并使其成為商業銀行日常運營的一部分，是銀行監管機構的要求，也是商業銀行提高自身服務水平的舉措。本文結合《商業銀行業務連續性監管指引》相關規定，從影響分析、風險評估、策略制定、業務連續性計劃、資源建設、演練和持續改進等方面描述了建立業務連續性日常管理機制的指導思想、建設重點和方法。

01 業務連續性日常管理簡介

《商業銀行業務連續性監管指引》第九條 商業銀行應當將業務連續性管理融入到企業文化中，使其成為銀行機構日常運營管理的有機組成部分。

根據《商業銀行業務連續性監管指引》的相關要求，在制定了業務連續性管理總體制度并且明確了業務連續性日常管理組織架構后，商業銀行業務連續性日常管理工作應當在商業銀行高級管理層、業務連續性管理委員會的統籌管控下，由業務連續性主管部門牽頭、組織、協調，業務連續性管理執行部門、保障部門以及內部審計部門根據本部門職責開展業務連續性相關工作。各分支機構也應當根據總行要求，以本分支機構的特點進行業務連續性管理體系要求的建設工作。

由于業務連續性管理是一項系統而煩雜的工作，而且要具備一定的專業知識，部分規模較小或人力資源較少的商業銀行可以聘請外部公司幫助商業銀行完成業務連續性管理的總體規劃，初步形成業務連續性管理體系，然后再由商業銀行的各個職能部門持續改進和完善相關工作。

商業銀行應當給全行上下都宣傳和貫徹業務連續性管理企業文化，使其成為銀行機構日常運營管理的組成部分，以提升組織的整體運行水平。

02 影響分析

《商業銀行業務連續性監管指引》第二十三條 商業銀行應當通過業務影響分析識別和評估業務運營中斷所造成的影響和損失，明確業務連續性管理重點，根據業務重要程度實現差異化管理，確定各業務恢復優先順序和恢復指標。商業銀行應當至少每三年開展一次全面業務影響分析，并形成業務影響分析報告。

根據《商業銀行業務連續性監管指引》第十三條和第十四條相關要求，業務影響分析應當在業務連續性主管部門的組織協調下，由商業銀行各業務部門執行。

《商業銀行業務連續性監管指引》中第二十三條明確規定了商業銀行開展業務影響分析的目的、和頻率。強調商業銀行應當至少每三年開展一次全面的業務影響分析，并形成業務影響分析報告，目的是為了梳理業務的重要程度（識別出重要業務），明確業務連續性管理重點，從而根據業務重要程度實現差異性管理，確定各業務恢復優先順序和恢復指標。

03 風險評估

《商業銀行業務連續性監管指引》第二十八條 商業銀行應當開展業務連續性風險評估，識別業務連續運營所需的關鍵資源，分析資源所面臨的各類威脅以及資源自身的脆弱性，確定資源的風險敞口。關鍵資源應當包括關鍵信息系統及其運行環境，關鍵的人員、業務場地、業務辦公設備、業務單據以及供應商等。

根據《商業銀行業務連續性監管指引》第十三條和第十四條相關要求，風險評估應當在業務連續性主管部門的組織協調下，由商業銀行各業務部門執行。

《商業銀行業務連續性監管指引》中第二十八條規定了商業銀行開展風險評估的目的和對象，值得注意的是風險評估的對象不是所有資源，而是關鍵資源（包括關鍵信息系統及其運行環境，關鍵的人員、業務場地、業務辦公設備、業務單據以及供應商等），風險評估的重點是識別出業務運營所需的關鍵資源以及關鍵資源所面臨的各類威脅和資源本身的脆弱性，綜合評價關鍵資源所面臨的各類風險敞口。

風險評估是基于關鍵資源、威脅以及資源自身脆弱性三個要素進行分析的，三個要素共同分析確定風險敞口，并根據損失大小將風險場景進行等級劃分，并作為業務連續性計劃撰寫的重要依據。

04 業務連續性策略制定

《商業銀行業務連續性監管指引》第三十條 商業銀行應當根據業務影響分析結果，依據業務恢復指標，制定差別化的業務恢復策略，主要包括關鍵資源恢復、業務替代手段、數據追補和恢復優先級別等。

《商業銀行業務連續性監管指引》中第三十條規定了商業銀行業務連續性策略制定的依據、重點和內容。制定業務連續性策略的依據包括業務影響分析結果、業務恢復指標和風險評估結果，商業銀行應當根據自身實際情況和特點，針對不同重要程度的業務、不同等級的風險場景，制定不同的業務恢復策略（策略內容主要包括關鍵資源恢復、業務替代手段、數據追補、業務恢復優先級別等）。

05 業務連續性計劃

《商業銀行業務連續性監管指引》第三十二條 商業銀行應當依據業務恢復目標，制定覆蓋所有重要業務的業務連續性計劃。

根據《商業銀行業務連續性監管指引》第十三條和第十四條相關要求，業務連續性計劃的制定應當在業務連續性主管部門的組織協調下，由商業銀行各業務部門執行。

《商業銀行業務連續性監管指引》中第三十二條規定了商業銀行業務連續性計劃制定的依據和范圍。商業銀行應當通過明確業務恢復RTO和RPO識別出重要業務（業務恢復RTO小于或等于4小時，且業務恢復RPO小于或等于0.5小時的業務），并對此類業務制定業務連續性計劃。

《商業銀行業務連續性監管指引》中第三十四條至第三十八條還規定了商業銀行需要建立業務連續性總體應急預案和專項應急預案，并就商業銀行業務連續性計劃與外部供應商、金融同業機構、外部金融市場、金融服務平臺和公共事業部門的業務連續性計劃之間的關系進行了要求。

06 業務連續性資源建設

《商業銀行業務連續性監管指引》第三十九條 商業銀行應當開展業務連續性計劃所需的資源建設，滿足業務恢復目標和重要業務持續運營的要求。

商業銀行應當根據業務連續性計劃中所識別出的關鍵資源（例如備用業務辦公場地、信息系統災備中心等）開展業務連續性關鍵資源建立，目的是滿足業務的恢復目標和重要業務持續運營的要求。根據《商業銀行業務連續性監管指引》中相關要求，商業銀行高級管理層負責最終確保配置足夠的資源，以保障業務連續性管理的實施。

07 業務連續性計劃演練

《商業銀行業務連續性監管指引》第四十七條 商業銀行應當開展業務連續性計劃演練，檢驗應急預案的完整性、可操作性和有效性，驗證業務連續性資源的可用性，提高運營中斷事件的綜合處置能力。第四十九條 商業銀行應當至少每三年對全部重要業務開展一次業務連續性計劃演練。在重大業務活動、重大社會活動等關鍵時點，或在關鍵資源發生重大變化之前，也應當開展業務連續性計劃的專項演練。

《商業銀行業務連續性監管指引》中第四十七條和第四十九條規定了商業銀行業務連續性計劃演練的目的和頻率。要求商業銀行至少每三年對全部重要業務開展一次業務連續性計劃演練，在關鍵時點或是關鍵資源發生重大變化之前，也應當開展業務連續性計劃的專項演練。目的是驗證應急預案的完整性、可操作性和有效性，驗證業務連續性資源的可用性，提高運營中斷事件的綜合處置能力。

08 業務連續性持續改進

《商業銀行業務連續性監管指引》第五十三條 商業銀行應當建立業務連續性管理體系持續改進機制。

《商業銀行業務連續性監管指引》中第五十三條對商業銀行建立業務連續性管理體系持續改進的必要性進行了規定。商業銀行應當通過建立業務連續性持續改進機制來保持體系的可用性、合理性和有效性，持續改進的方式包括評估、審計、文檔維護等。業務連續性主管部門應當建立持續改進機制，具體的持續改進工作則需要各個業務條線部門、信息科技部門以及保障部門負責實施。

說明：（1）本文內容參考了《商業銀行業務連續性管理》（張春林 陳小峰 編著）一書，該書是銀行業信息化叢書之一，用于幫助和指導商業銀行從事業務連續性管理相關工作的人員正確理解銀監會的監管要求。本文正是筆者在認真精讀此書的同時，將書中關于建設商業銀行業務連續性管理體系的重要理論、實際工作方法和成功案例加以整理，結合自身對銀監會發布的《商業銀行業務連續性監管指引》的理解以及筆者多年銀行信息化建設從業經驗總結而成。（2）文中的配圖大多來自互聯網上授權圖片提供商，并已獲得免費使用授權，如果文中內容或是圖片侵犯到您的權益，請及時告訴我。（3）由于時間有限，文中難免會出現各種錯誤，懇請您的批評和指正。