引論:我們為您整理了13篇銀行應急演練總結范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
隨著我國金融市場不斷發展,信息系統建設已成為商業銀行核心競爭力之一,信息系統安全直接關乎商業銀行自身利益,甚至影響國家金融安全和社會穩定。要確保信息系統安全穩定運行、保障業務連續性,就必須不斷加強商業銀行信息系統應急管理,提高應急能力。作為應急管理的重要環節,應急演練能夠全方位檢驗商業銀行應急管理能力,驗證應急預案有效性、應急資源完備性及應急人員的適應性。
鑒于此,國家相關部門、各商業銀行高度重視信息系統應急演練工作,銀監會對銀行業信息系統應急演練提出明確要求,涵蓋演練范圍、組織保障、優化改進等多方面[1];各主要國有行業銀行、股份制商業銀行及各地方銀行,都定期開展分重點、分層次、分系統、分階段的信息系統應急演練工作,查找問題,提高處置能力;蘇忠運對大型國有商業銀行一級分行信息系統應急演練工作方法進行探討,提出應急演練策略、工作要求和工作評價方法[2];王鋼對金融信息系統應急演練中的信息管理、資源共享、預案更新等問題進行研究,提出分級響應策略等[3];任長清將銀行災難恢復應急演練分為預警、啟動、恢復、解除和回切等五個階段,提出災難恢復組織、指揮機構、實施原則、演練案例、演練方案和演練培訓等六個重要事項[4];任長清還提出三點估算法,對商業銀行災備組織人員的到位時間進行評估[5]。綜上所述,業內專家和學者在商業銀行信息系統應急演練方面,已開展大量的工作,但這些研究仍存在進一步改進的地方和問題,如應急演練組織有待進一步細化、應急演練結果評價量化等。
二、組織流程
商業銀行信息系統應急演練組織流程如圖1所示,主要包括準備、演練、總結等3個階段。在準備階段,根據演練總體要求及各商業銀行信息系統現狀,做好人員構成、演練范圍、流程規劃、演練環境、故障場景、技術保障等方面的準備工作,做到安全可控前提下,確保盡量逼近真實[2];在演練階段,首先由應急值班人員向應急人員系統預警,通知人員到處置現場進行集結,人員集結后由技術專家向其宣布故障場景,處置人員根據故障場景,按照日常應急預案進行應急處置,處置過程中,考評小組對處置流程、處置方法、處置結果等進行量化打分,并形成演練評估報告;在總結改進階段,要對演練過程、演練結果進行深入總結分析,形成總結報告,對參加演練的應急處置人員進行表彰或提出改進意見,根據演練效果對應急預案做進一步優化。
圖1 應急演練組織流程
(一)準備階段
作為應急演練的組織方,在籌備演練過程中,首先要根據相關法律法規、規章制度以及銀行內部相關規定、管理辦法,綜合參考信息系統應急預案,擬定應急演練工作方案初稿,同時召開應急演練討論會,聽取管理、業務、安全及技術等部門的意見,形成應急工作方案,報上級領導審批同意后形成正式的應急演練工作方案,下發相關干系人。應急演練工作方案要明確演練組織機構、時間地點、參與人員、應用系統、演練流程等要素,明確分工,明晰責任。
構建高效的、完備的組織結構(表1)是演練成功的關鍵因素,通過高層領導推動演練資源準備、實現演練權威性,通過技術專家確保演練演練有效性和可靠性,通過設立工作小組實現演練有序開展,達到演練目標。
表1 應急演練組織結構表
相對機房環境、網絡、操作系統等方面而言,由于銀行業務種類繁多,各信息系統之間應用邏輯復雜、關聯性強,應用級應急演練更具緊迫性。在眾多應用系統中,要選擇以下三類應用系統作為演練的“故障”系統:(1)關鍵業務系統(2)近期有重大變更的系統(3)近期出現生產問題的系統。
評估小組根據應用系統歷史問題、關鍵程序、關鍵路徑制定演練場景,演練場景是各應用系統的“故障”描述,詳細記錄應用系統故障時間、故障部位、故障狀態、故障表現等,這些應用場景所描述故障一旦真實發生,將極大影響生產安全,甚至對業務造成重大影響。同時為確保安全可控,演練場景和相應處置方式對生產不能造成實質性影響,可采取的策略包括:系統維護時間窗口、交易量相對較少時間段、利用備份環境。
技術準備方面,在參加演練人員多、涉及環節復雜情況下,可采用應急短信作為應急通訊方式,及時高效發送應急集結、應急處置通知。應急短信可采用企業專有短信號碼,通過批量短信發送工具發送,應急人員通過短信進行反饋,由信息系統進行智能統計,形成報表。演練環境方面,設立演練各組織結構場地標示,通過投影等方式及時將處置現場傳輸到指揮中心。
(二)演練階段
1.系統預警和人員集結。為全面檢驗應急資源的就緒狀態,盡量做到演練突然性,盡量接近真實狀態,應以系統故障來通知各應急人員盡快趕到故障現場進行應急處置。應急通訊暢通、及時響應能力是應急工作的重要組成部分,需作為演練考評指標之一,由評估小組詳細記錄各應急處置人員的響應時間(表2)。在演練開始后,通過“公告板”等方式實時通報演練進展,營造應急處置的嚴肅、緊張氛圍,逼真模擬故障現場。
2.應急處置。應急人員抵達演練現場后,由技術專家向其說明預設的故障場景,按相關要求進行及時處置。評估小組的技術專家要全程觀察應急處置過程,判斷應急處置是否符合應急預案要求,是否對生產系統產生影響,并采取及時有效措施避免生產事故。在應急處置后,評估小組按照事先擬定規則,對各應急處置模塊進行量化打分。
表2 應急演練各項指標記錄表(樣例)
3.演練評估。演練結束后,評估小組對演練進行綜合評估,應急演練綜合評價方法(Emergency Drill Comprehensive Evaluate Method,EDCEM)就是評估小組對應急演練中的各關鍵項進行綜合評價,通過EDCEM可以得到演練評價結果(Emergency Drill Indicator,EDI),其計算方法如式1所示。其中,xi(xi>0)為各指標項的指標值,響應時間、集結時間、處置情況等;ψi(0?燮ψi(xi)?燮1)為指標值量化關系函數,如對響應時間進行量化,1分鐘以內為100,超過1分鐘為50,超過2分鐘為0;(0?燮ω■?燮1,■ω■=1)為各指標項在評價結果中的權重,權重越大,其在評價結果中所起作用越大。
EDI=100×■ω■Ψ■(x■) (式1)
(三)總結階段
評估小組對應急演練進行綜合評估并報應急領導小組同意后,公布考評結果。由應急領導小組將對演練進行全面總結,對演練整體情況進行點評,對在關鍵方面(如集結時間、處置時間等)表現較好的人員、部門進行表揚,對存在不足之處提出意見。在演練結束后,工作小組要對演練總結形成問題跟蹤表,及時跟進各部門改進不足之處,保障生產安全。
三、實踐
某商業銀行(下稱“A行”)為大型國有商業銀行,A行軟件開發部門(下稱“該部門”)現有員工1300余人,每年承擔200多個應用項目研發,還承擔幾百個業務系統的運維保障工作,在信息系統應急方面具有重要作用,由于涉及人員多、系統多、機構多,該部門的應急演練主要驗證應急組織協同性和應急流程的有效性,確認應急聯絡暢通性和應急集結時效性,提升應對突發事件的應急響應與處置能力。
近期,該部門組織開展了重要生產系統應急演練,依據事先制定的《重要生產系統應急支持工作規程》并結合有重要變更、容易出現生產問題來選擇參加演練的應用系統,演練由該部門負責人現場全程主持,A行風險管理部門、科技主管部門相關負責人作為觀摩小組成員參加演練,相關技術骨干作為應急人員具體實施應急處置工作,技術保障部門相關運維骨干根據應用系統歷史問題并綜合近期運維重點制定預設應急場景,相關部門一線管理人員、技術骨干組成評估小組和工作小組,承擔演練綜合評價、組織協調工作,參加演練的領導和技術人員超過50人。演練中,各項應急處置工作均能按照應急方案正確開展,達到相關應急處置規定要求,演練取得圓滿成功。
據統計,演練中各系統應急處置人員通訊順暢,平均集結時間為18分鐘,達到應急處置關于時間的規定要求,部分應用系統由于人員配置不合理、距離較遠、交通擁堵等客觀原因,在接報后超過30分鐘抵達處置現場,同時還有個別人員未及時響應應急電話,鑒于此,演練工作小組形成信息通報,督促對相關系統應急處置人員做適當調整,以符合應急處置時間規定,進一步加強應急意識,避免此類事情再次發生。
四、總結
本文對銀行信息系統應急演練組織流程進行討論,提出應急演練綜合評價方法,并在大型商業銀行應急演練中進行實踐,驗證應急組織協同性和應急流程的有效性,提升應對突發事件的應急響應與處置能力。本文所提出方法在部門級(一級部)進行實踐,應用范圍有待進一步擴大,其通用性、規模性還有待加強,同時由于管理、業務和技術等方面的原因,涉及全行的模擬真實故障的應急演練較難開展,應急演練組織方法的進一步研究存在困難。
參考文獻
[1]中國銀行業監督管理委員會.銀行業重要信息系統突發事件 應急管理規范(試行).2008年04月23日.
[2]蘇忠運.分行信息系統應急演練工作方法探討[J]中國金融電腦,2005(05):32-33.
[3]王鋼.金融信息系統應急響應及演練[J]計算機安全,2009(08):75-78.
篇2
二、業務連續性管理體系建設重、難點解決措施
在業務連續性管理體系建設實踐中,組織架構、業務連續性計劃、業務連續性應急預案等工作實施難度較低,難點在于業務影響分析、總分行資源建設、業務連續性演練等工作,本文著重介紹上述難點的建設過程。
(一)業務影響分析
業務影響分析的主要目標是幫助銀行通過識別和評估業務運營中斷造成的影響,明確業務連續性管理重點,根據業務重要程度進行差異化管理,制定不同業務的恢復目標、恢復次序、確定支持重要業務對應的信息系統的恢復目標,其主要工作包括2個方面的內容,一方面是現狀調研,另一方面是業務影響分析和風險評估。
在現狀調研階段,由于該項工作涉及全行所有業務以及大部份部門,可采取培訓、訪談、召開研討會、調查問卷等方式,逐步推進工作開展,初步梳理出重要業務清單。
在業務影響分析和風險評估階段,結合國內外先進實踐經驗,采取財務影響和非財務影響兩個維度對初步梳理出來的各項業務進行風險評估。財務影響和非財務影響均采用評分制,其中,財務影響主要評估該項業務中斷一個工作日給銀行帶來的收入損失,可根據銀行自身業務收入水平設置分值,該項指標是較為客觀的估值;非財務影響則綜合評估該項業務中斷可能給銀行帶來的影響,如:監管負面影響、聲譽損失、客戶負面情緒、投資者信心/忠誠度降低、法律/訴訟風險、國家金融秩序穩定等,該項指標具有一定的主觀因素,為避免主觀因素影響程度過大,可采取兩種方式降低影響:一是擴大調查問卷的樣本量,二是對非財務影響的各個要素設置權重值,對財務影響及非財務影響設置綜合評分規則。特別地,對于后臺運營類、渠道類業務(比如:自助銀行業務),雖然不直接產生業務收入,但它是其他業務產生收入的必要條件之一,對于此類業務計算該渠道所承載的各業務種類收入之和作為該渠道的業務收入。
在確定各項業務的財務影響和非財務影響指標基礎上,采取矩陣模型分析法進一步確定業務恢復的優先順序。在確定業務恢復的優先順序的基礎上,進一步確定該業務對應的信息系統恢復目標,以指導關鍵信息系統的資源建設。《指引》要求,“原則上重要業務的RTO不得大于4小時,重要業務的RPO不得大于半小時”,在信息系統資源建設中,關鍵信息系統的恢復能力應滿足重要業務RTO、RPO的時效要求。
(二)總、分行資源建設
業務連續性資源建設屬于“硬件”設施范疇,主要涉及總行同城、異地災備中心以及分行機房設備的建設。
在總行層面,同城、異地災備中心應建立重要信息系統的備份,在日常工作中應加強對災備中心機房的巡檢,確保系統正常運行。在分行層面,應從供電、網絡、系統建設等方面實現全方位的應急措施,比如在供電環節,分行除配置雙線路供電外,還要配備不間斷電源(UPS)和應急發電機;在網絡連接環節,不僅要配置不同運營商的網絡線路,還要配置無線設備,確保在極端情況下仍能保障重要業務持續運營。
(三)業務連續性演練
篇3
早在2008年,現任銀監會副主席郭利根就曾經指出,國內銀行業存在著信息技術基礎建設滯后、軟硬件及核心技術受制于人、系統管理粗放等問題,特別是在業務連續性規劃、業務恢復機制、風險化解和轉移措施、技術恢復方案等方面存在著明顯的短板。時至今日,頻繁發生的銀行服務中斷事件再次提醒我們,形勢仍不容樂觀,加快商業銀行業務連續性管理建設迫在眉睫。
一、業務連續性管理及其重要意義
業務連續性管理是一項綜合管理過程,不僅包括對業務活動和業務恢復的持性管理,還涉及到相關培訓、演練和評估等環節,是商業銀行全面風險管理體系中的重要組成部分。國際業務連續性協會將業務連續性管理界定為:能夠識別出可能的潛在威脅,以及這些威脅發生時對業務運營帶來的負面影響,同時提供一套有效的反饋和恢復體系,從而對股東利益、公司聲譽和價值創造活動進行有效的保護。國內《商業銀行業務連續性監管指引》則進一步明確為:商業銀行為有效應對重要業務運營中斷事件,建設應急響應、恢復機制和管理能力框架,保障重要業務持續運營的一整套管理過程,包括策略、組織架構、方法、標準和程序。以此觀之,建立完善的業務連續性管理,將有利于商業銀行的持續運營,有益于保障重要業務的快速恢復、降低損失和消除影響,增強競爭力和可持續發展能力。
在商業銀行的生命周期中,銀行業務運營會隨時受到來自內外各種因素的影響,嚴重的甚至會造成重要業務的非正常中斷。重要業務意外中斷,不僅意味著商業銀行須為此付出沉重的代價和承擔嚴重的后果,如果處置不當,還可能發酵成一場可怕的災難。有關研究資料顯示,以每小時業務中斷所造成的損失進行比較,銀行業的損失遠居各行業之首;如果發生業務中斷兩周內仍無法恢復,75%的企業將因此而停業,43%的企業將無法再開展業務,災備措施不完善的企業將在2~3年內破產。因此,為保障業務的持續穩定運營,商業銀行尤其需要行之有效的業務連續性管理。銀監會的《商業銀行業務連續性監管指引》,對商業銀行業務連續性管理的組織架構、業務影響分析、業務連續性計劃與資源建設、業務連續性演練與持續改進、運營中斷事件應急處置等相關體系建設和工作內容提出了明確的監管要求,將促進商業銀行進一步加強風險管理,有效履行社會責任,對維護公眾信心和提高商業銀行業務持續運營能力將發揮積極的引領作用。
二、國內商業銀行業務連續性管理發展狀況和存在的問題
業務連續性管理在國外發展較早,其歷史可追溯到上世紀60年代,國內雖然起步較晚,但發展很快。通過國家連續《銀行業信息系統突發事件應急管理規范》、《商業銀行數據中心管理規范》、《商業銀行操作風險管理指引》、《商業銀行信息科技風險管理指引》等一系列指導性文件,國內銀行業對業務連續性管理的認識不斷深入,尤其是國有大型商業銀行在業務連續性管理的信息系統技術方面已經較為成熟,基本接近國際先進水平。如,2008年汶川發生大地震后,震后三天工商銀行即在都江堰災區建立了應急帳篷銀行,僅一臺ATM在幾天內就成功辦理了76萬元對公結算和20筆取款業務。
隨著《商業銀行業務連續性監管指引》的,國內商業銀行愈加重視和積極推進業務連續性管理的建設。
一是初步構建了應急管理體系,確立了組織管理架構,加強了職能部門的協調配合,形成了統一的應急響應流程和通知報告程序,增強了應對突發事件的處置能力。
二是加快了災備建設,建立了同城/異地災備中心,積極推進“兩地三中心”的建設,對核心業務數據和核心系統恢復的保障能力進一步增強。
三是開展了應急響應和災難恢復演練,與通訊、電力等外部機構的聯動協作有所強化,應對突發事件、危機管理的能力有了提高。
盡管如此,與國外先進銀行相比,國內商業銀行還有較明顯的差距,主要存在以下幾個方面的問題:
(一)認識尚有差距,系統建設的主動投入略顯不足
由于對業務連續性管理的研究運用時間較短,商業銀行對其重要性還缺乏具體形象的認識,停留在為了滿足監管要求和信息系統災備恢復等較粗淺的層次上,沒有真正意識到業務連續性管理對提升銀行競爭力和價值創造的積極作用。具體表現為部分商業銀行,尤其是中小股份制商業銀行還普遍存在著業務連續性管理“投入大、收益小”的認識偏差,主動推進的意愿不強。
(二)管理尚有差距,未將之完全融入企業文化之中
缺乏足夠的認識,缺少了管理層和相關部門強有力的支持,一方面導致商業銀行將全行性的業務連續性管理工作僅僅只落實到個別部門身上,沒有做到全員性參與,極易形成管理上的盲點;另一方面,忽視了通過必要的流程開展全員風險意識教育和技能培訓,遇到業務中斷事件,既便有了應急計劃和預案,也會由于缺少必要的教育培訓、相關人員未能充分理解掌握操作要求,從而導致既定的流程和機制難以發揮預期作用。
(三)風險識別尚有差距,業務影響分析不充分,資源保障和災難恢復的有效性不足
一是缺乏對各項業務和業務系統的全面科學評估,業務分類、事件分級以及由此而制定的業務恢復目標還不盡合理,在應急預案設計、備用資源保障和人員配置等方面存在不足;二是偏重對設備設施、數據信息和業務運營的保護,對員工安全、企業聲譽等其他重要資產的保護和重視程度不夠,存在低估風險的傾向,風險緩釋和預防應對措施針對性不強。
(四)預案體系建設尚有差距,應急響應的合理性和可操作性不強
商業銀行業務多樣、管理復雜,業務連續性管理的建設難度大、周期長,需要針對可能的風險或潛在的影響進行事前縝密的分析,才能結合實際科學論證和制定預案。即使是規模較小的商業銀行,要建立起能夠全面?蓋重要風險、相對完整的預案體系,也需要制定出不少于幾千份的各類預案。在國有商業銀行當中,目前預案建設最為完備的是建設銀行,達到了4000多份。但相比國外先進銀行,如美國銀行預案就多達7000余份,國內商業銀行在預案體系建設上還任重道遠、差距較大。
(五)持續改進尚有差距,預案演練的針對性和有效性不足
一是對業務連續性預案的日常演練不充分或流于形式,不能全面有效地檢驗其操作性和有效性,難以做出具有針對性的完善和改進;二是偏重對信息系統的災備演練,針對業務、流程和人員方面的演練不充分,一定程度上還存在著重建設、輕維護的現象;三是盡管多數國內商業銀行業務系統已實現了“同城雙活”,并開始向“兩地三中心”發展,但由于業務連續性管理尚存諸多的不完善,欠缺足夠的經驗積累,未能針對業務系統的實際切換開展必要的演練,在災難發生時難以保證重要業務的正常切換和回退。
三、加快業務連續性管理建設的幾點建議
(一)繼續深化認識,切實將業務連續性管理作為改善經營、提升競爭力的有效途徑
首先,應清醒地認識到,商業銀行肩負著保障金融安全和社會穩定的重要責任,能否從容應對突發事件,迅速控制不良影響和防災減損,既體現了商業銀行的風險管控水平,也是履行社會責任、展現銀行價值的實際體現;其次,商業銀行激烈的市場競爭,伴隨著各種難以逆料的風險,來自于各項業務活動的運營風險、操作風險不斷拷問銀行的管理能力。完備而健全的業務連續性管理,可以使商業銀行更好地適應瞬息萬變的市場環境,更有效地提高預防風險、應對風險的能力,能夠大幅提升銀行的持續運營水平和競爭力。
(二)積極落實《商業銀行業務連續性監管指引》,健全適應業務發展的管理政策和體系
一是按照監管指引要求,持續完善業務連續性管理的政策、制度,健全高效運行的組織管理架構,落實部門管理職責,明確責任;二是依照監管指引的規范標準,科學建設,加快應急響應及業務系統建設,建立常態化管理評估維護機制,健全業務連續性管理體系;三是從業務角度出發,以業務連續為目標,強化系統性設計,形成各個部門協調統一的管理體系。
(三)將業務連續性管理融入企業文化,使之成為經營管理的有機組成部分
充分結合銀行文化環境特點,制定長期的業務連續性管理文化融入計劃,通過多種途徑、多種方式持續推進。一方面依靠管理層,通過管理層對業務連續性管理宣講或座談的參與來積極推動;另一方面,制定詳細的人員培訓計劃,將責任分解落實到各部門,定期開展全員性的業務連續性管理意識教育和技能培訓,將其真正融入到企業文化中,使業務連續性管理成為員工主動參與的自覺行為。
(四)提高風險評估、業務分析水平,加快預案體系建設,提升持續運營的保障能力
篇4
我支行始終貫徹以行長為第一責任人,嚴格領導,確保落實為主旨,確保支行安全保衛5個委員會的建立和職責完善,認真落實安全保衛目標管理和領導責任制,將安全保衛工作納入全年工作計劃。支行行長與分行簽訂了安全保衛目標管理責任書,做到誰主管、誰負責,并根據分行要求和每位員工都簽訂了安全保衛目標責任書,做到一級抓一級,分工到位、職責明確、相互配合、層層落實。
二、年度安全保衛(安全生產)重點工作任務完成情況。
我支行按分行工作進度要求,認真組織落實防搶、消防及防電信詐騙演練,并通過演練強化員工對應急預案的熟悉,取得良好效果。認真完成各項專項活動,已完成的有xx銀行北京xx支行20xx年安全生產月專項活動、xx支行關于開展銀行業金融機構第六輪安全評估的工作、20xx年今冬明春火災防控工作、xx支行開展“防風險保平安迎大慶”消防安全執法檢查專項行動等。結合總分行關于安全評估的工作指導,今年順利完成安全評估工作,支行最后得分97.5分。配合分行安排的滅火器排查,保障支行物防設備的正常使用。
三、不斷健全內控外防機制,切實落實各項規章制度。
1、做好日常安全保衛基礎工作。積極組織全行員工認真學習分行下發的各種文件,加強全行員工安全保衛意識。截至目前支行今年共組織員工安全培訓7次,召開安全保衛工作會4次。同時組織全體員工進行防搶防盜及防電信詐騙綜合演練一次、消防演練二次,消防桌面推演一次,使員工熟練掌握有關安全保衛操作要領,明確突發事件時的應急處理流程。
2、每月堅持由行政及營業主管雙人對支行進行全行大檢查,包括現金區、機房、加鈔間、重要憑證室等部位,對檢查中暴露出來的問題及時認真整改,消除隱患,不斷完善內控機制,建立長效機制。要求每位員工下班后關閉自己的計算機及電源,保安員設防前統一檢查支行電路關閉情況。目前按照分行要求完善改進門禁管理并出臺xx支行門禁管理辦法下發落實。
3、強化我行各項規章制度的全面落實,不定時對重點部位、重點崗位和重要環節執行規章制度情況的檢查,對發現有違規違法行為嚴厲查處,及時整改。對各項安全工作的管理落實到崗、到人,強化報告制度,及時掌握本系統的安全保衛情況,努力防范案件事故的發生。
篇5
一、商業銀行信息科技風險
在信息技術與銀行業務深度融合的今天,信息科技風險事件往往涉及范圍廣、客戶多、金額大,在給銀行造成經濟損失的同時,也會帶來很大的聲譽損失。銀監會前主席劉明康曾表示:“如果銀行系統中斷1小時,將直接影響該行的基本支付業務;中斷1天,將對其聲譽造成極大傷害;中斷2~3天以上不能恢復,將直接危及其他銀行乃至整個金融系統的穩定。”因此,可以毫不夸張地說信息科技安全運行和健康發展是銀行業務正常開展的重要保障和基本前提, 關乎銀行聲譽、金融安全和社會穩定。表1顯示了近年來商業銀行發生的幾起典型信息科技風險事件。
根據中國銀監會的《商業銀行信息科技風險管理指引》,信息科技風險是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。在巴塞爾新資本協議體系中,信息科技風險被視為操作風險的一種。它具有區別于一般操作風險的特殊性:(1)風險因素復雜,大量使用外包和新技術使得風險控制的復雜度大幅提高。(2)潛伏性、偶發性和不確定性突出。比如,通過充分風險論證的生產系統,短期內無風險隱患,而隨著生產環境的壓力逐步擴大, 系統的脆弱性就會逐步暴露;一個具有很高安全性的電子銀行,隨著病毒的不斷變種,黑客技術的提高,新的安全問題就會出現。(3)信息科技風險一般不直接造成經濟損失,其造成的間接損失難以計量且極可能引發聲譽風險。(4)影響范圍廣。單個信息系統的故障就可能影響銀行多項業務。 在銀行數據大集中的形勢和背景下,信息科技風險也趨于集中,成為惟一能使銀行瞬間癱瘓的風險。
從國內的監管導向看,筆者認為信息科技風險管理有兩個重要的目標:一是保證銀行業務的穩定和連續;二是保護客戶信息安全。如果不能實現這兩個目標,則可能引發直接或間接的經濟損失以及聲譽風險和法律風險。
二、信息科技風險的影響因素
從前述信息科技風險管理的兩個目標出發,可以通過分析影響目標實現的因素來了解引致信息科技風險的原因。影響銀行業務的穩定和連續的因素主要有軟硬件故障、人員誤操作、關鍵人員離崗、系統超負荷運行、網絡癱瘓、電力中斷、病毒傳播、應用系統及版本出現異常、數據缺失或丟失、外包服務不到位、自然災害或人為損壞設備、缺少業務連續性計劃、災備基礎設施不健全、日常應急演練不充分,等等。影響客戶信息安全的因素主要有內部人員利用流程、權限漏洞盜用客戶數據;外部人員運用技術手段侵入系統盜用客戶信息;內外勾結盜用客戶信息、外包服務商泄密等等。
以上這些因素在巴塞爾新資本協議中也有相關的描述。巴塞爾新資本協議對操作風險的損失事件形態分為7個類型,吳博(2010)將其中與信息科技風險的損失事件有關的三個類型整理后大致覆蓋了引發信息科技風險的因素,見表2。
當然,上述這些影響信息科技風險管理目標實現的因素仍只是引發信息科技風險的中間變量,其本身也可被視作信息科技風險的表現形式。透過這些表現可以很容易發現管理不到位才是導致信息科技風險的最根本原因。
從實踐來看,近年來信息科技快速發展有力支持了商業銀行各項業務的快速擴張。但同時,管理、運行維護跟不上的矛盾也日漸突出,“重建設、輕管理、重開發、輕運維”的現象較為普遍。有監管部門研究表明,近年來發生的信息科技風險事件中,多數事件發生都源于制度不健全、流程不完善、落實不到位,很少有純粹技術原因引發的事件。因此,可以說管理到位是防范信息科技風險的關鍵。
三、信息科技風險管理措施
信息科技風險管理應貫穿于信息科技工作的全流程,涉及到信息科技風險管理的“三道防線”,需要由信息科技部門和各業務部門共同完成。具體管理措施如下:
1. 完善風險治理架構,各司其職。構建和完善信息科技風險管理的三大防線,即信息科技管理、信息科技風險管理、信息科技風險審計,從三個不同角度、不同緯度,對風險進行立體防控。需要注意的是三大防線的安排不應是簡單的對應信息科技風險管理的事前、事中、事后三階段,風險管理部門、審計部門應積極參與到業務連續性計劃制定、應急演練、系統開發、外包管理等信息科技日常風險管理工作中,實現風險管理的前移。
2. 健全管理制度體系,重在執行。建立、健全信息科技管理制度和業務操作流程并認真執行。制度建設要從新產品上線或新系統投產前開始,要建立完善的上線或投產方案以及上線或投產后相關的管理制度和業務流程,并制定回退機制或應急預案以應對意外情況。同時,要積極研究各類信息安全風險案例,總結歸納新的風險點,有針對性地完善制度。要建立制度執行的監督評價機制,商業銀行的董事會、監事會、高級管理層以及審計部門要切實監督評價信息科技各項制度的執行情況,對制度執行不到位的責任人要進行問責或處罰。
3. 合理規劃系統資源, 未雨綢繆。(1) 縱向規劃發展進度。在系統規劃設計階段就要評估能否滿足未來較長時間的業務需求,合理安排系統升級、版本切換等工作。(2)橫向匹配系統資源。在系統資源短期內不變的情況下,合理分配資源,通過系統分級,將資源優先分配給等級高的系統以保障重要系統的穩健運行。
篇6
1、報警與接警;
2、初期火災的撲救;
3、人員的逃生、自救、疏散和重要物品的轉移;
4、火災現場的安全保衛。
二、消防演練的階段劃分:
1、進行學習動員。在全行進行一次消防安全大教育活動,組織員工學習《中華人民共和國消防法》、《中國建設銀行消防安全管理暫行規定》和《中國建設銀行辦公樓安全管理辦法》,提高員工的消防安全意識。由各部門為單位在支行分管領導和安全員的組織指導下,認真學習和模擬演練我行制訂的消防應急預案,熟悉在消防突發事件中各自的職責和任務,熟練掌握每一種消防器材的性能和用途,掌握火災中基本的自救和逃生方法,保障自身和國家財產的安全。
2、成立消防演練領導組織機構,明確責任,嚴格組織實施演練活動,確保演練活動順利完成,達到預期效果。
指揮組:
滅火組:
接水組:搶救組:
警戒組:
保障組:
3、組織演練。請縣公安和消防部門的同志來行,講解消防知識及演練過程中的注意事項,并在消防隊的指導下進行演練。全體人員都要參加,把演練當成實戰,認真對待;擔任警戒任務的員工要提高警惕,防止在演練當中不法分子趁火打劫。
4、總結匯報。演練結束后,各部門要對演練進行總結,針對演練中出現的問題要及時上報并進行整改,總結情況按要求上報支行辦公室,辦公室整理后上報市分行安全保衛部。
三、演練要求:
1、加強領導,確保演練工作達到預期目的。在支行的統一部署下,全行人員要高度重視,提高認識,積極參加,確保演練效果。
篇7
中國現代化支付系統是中國人民銀行根據我國支付清算業務的需要,利用現代計算機技術和通信網絡自主開發建設的,能夠安全、高效的處理各銀行間異地、同城支付清算業務的公共支付清算平臺,是人民銀行發揮其金融服務職能的重要核心支持系統。支付系統的安全穩定運行。對國家經濟金融活動的有序開展至關重要。
人民銀行支付系統包含國家處理中心(NPC)、城市處理中心(CCPC)、商業銀行前置系統(MBFE)三級結構。支付系統直接參與者(以下簡稱參與者)主要包括銀行業金融機構及第三方服務組織等。它是整個支付清算系統重要的組成部分。參與者業務系統的安全性、穩定性不僅僅關乎到其自身的利益,也會對支付清算系統中相關各方的利益產生影響,甚至會造成經濟秩序混亂和重大經濟損失。因此,識別參與者生產運行中的系統風險,做好風險的規避和應對就顯得尤為重要。
一、天津市支付系統運行現狀
自2002年大額支付系統試點上線以來,中國人民銀行陸續開發建設了包括小額支付系統、支票影像交換系統等多個應用系統,系統運行至今穩定。支付系統的建設對加快天津市資金周轉,提高支付清算效率,促進經濟健康平穩發展發揮了重要作用。目前,天津市投入生產的支付清算系統包括大額支付系統、小額支付系統、網銀系統、支票影像交換系統等6個重要核心業務系統和多個輔助信息系統,各業務系統的直接參與者眾多,其中大額、小額直接參與者各50家,網銀系統直接參與者5家,支票影像交換系統直接參與者26家。電子商業匯票系統參與者12家,支付信息查詢系統參與者31家。支付系統各直接參與者均有一定的風險意識,并根據人民銀行的管理辦法和規章制度制定了自身的應急預案及相關管理制度,支付清算各系統基本上由各自總行進行統一部署,從主機設備、網絡設備、防火墻設備以及網絡線路方面均有備份措施,符合支付系統上線運行工作要求,基本保證了支付系統業務的正常運行。隨著我國支付清算體系不斷完善,支付清算系統也得到了快速的發展,各系統業務量快速增長,這也給直接參與者做好系統的安全穩定運行工作提出了更高的要求,需要參與者對做好支付系統的安全穩定運行工作進行更多的思考,識別新形勢下支付系統運行的風險,加強風險的監控。做好風險的應對。
二、參與者運行風險分析
(一)重視程度不足
2003年4月份天津市大額支付系統上線,考慮到支付系統的重要性,人民銀行天津分行在2003年初專門為支付系統搭建了天津市金融城域網。在整個網絡及系統建設中。天津人行多次組織直接參與者召開系統上線協調會,確保系統順利上線。但大部分參與者一直認為支付清算類的業務系統是人民銀行部署的系統,支付系統前置機的軟件、配置都應該由人民銀行負責。多年來隨著各個支付清算業務系統的陸續上線,這種觀念在逐步改變,但仍有部分參與者不能夠對支付系統工作加以足夠認識。尤其是業務量較少的參與者,總是覺得系統發生故障中斷一會沒什么關系,只要系統修復好以后業務都處理完就可以了,并沒有系統需要7*24小時穩定運行的概念,也并沒有考慮到中斷對實時類業務的影響,雖然人民銀行出臺了各類業務運行管理辦法,參與者自身也制定了相關規章制度,但從實際情況來看參與者的重視程度仍舊不夠,出現問題時也不能嚴格按照應急管理辦法來緊急修復系統、執行報告制度、啟動應急預案。
(二)制度不完善,執行力欠缺
隨著人民銀行推廣上線的系統越來越多,參與者在制度建設和制度更新上不能與系統發展及時保持同步,跟上支付清算系統建設的步伐。大部分參與者雖然能夠按照人民銀行各類業務管理辦法制定相關制度,但制定的制度基本都是依據人民銀行下發的管理辦法制定的一個大的框架,各類系統的管理制度、操作規范大同小異,甚至均為一個模板。制定的制度并未針對自身情況進行調整和細化,也未根據系統的變化和發展及時的進行相應的完善和調整,這樣往往會造成在實際工作中風險控制和管理的無據可依。
制度有但執行力不足也會使制度的效果大打折扣,造成制度形同虛設,對系統的運行產生一定的風險。在實際工作中經常會出現參與者未按制度做好維護工作導致的系統故障。以及未按制度對系統進行實時監控導致的故障發現和處理滯后,業務長時間中斷的現象。
(三)人員風險
1.人員素質風險。人員技術水平不高、能力不足,大部分工作依靠外包,這樣往往會造成日常維護工作不到位、系統風險不能及時發現、系統故障后處置能力較弱等問題,對業務正常運行產生較大的影響。
2.人員流失風險。在金融行業中,尤其是IT人員,流動性較大。流動性較大首先會造成人員沒有歸屬感,不會也不愿意接受企業文化,心浮氣躁,責任意識差。另一方面,流動性大也會造成信息資料的不完整、隱性知識的缺失。資料缺失、顯性知識未交接、隱性知識未轉化,這些普遍存在的現象會對系統穩定運行產生較大的風險。
3.人員操作風險。人員操作風險主要體現在人員安全意識上,對工作內容不夠重視、沒有風險意識。日常工作中的操作維護制度沒有得到有效執行,操作權限管理不嚴格,操作步驟不規范。
4.人員數量不足風險。參與者沒有一個合理的人員管理計劃,工作中經常會出現某個崗位僅有A角沒有B角,或者有B角形同虛設的現象。尤其是在小型金融機構中,往往只有一名技術人員,這名技術人員有時還要兼職其它崗位,這樣一方面會增加技術人員工作的壓力,另一方面也會對系統的安全穩定產生一定的風險。
5.服務商人員風險。支付系統中大部分參與者都有嚴格的服務商人員管理制度,對于網絡、系統、應用、線路、環境等服務商進入機房、登錄系統都有規范要求,但在實際工作中,往往會因為重視程度不足,僅靠信任感來忽略掉相關的制度。服務商對系統提供服務一般都需要使用超級權限并對系統關鍵部件進行操作,因此服務商人員的安全意識、責任意識、技術水平等也會對系統產生一定的風險。
(四)設備風險
1.設備陳舊。天津市大部分參與者自2003年支付系統上線后,已逐步對相關服務器、網絡設備進行了更新換代,但部分參與者仍在使用系統上線時的設備,例如防火墻、存儲等。這些設備的產品備件、服務等大多數廠家已不再提供支持,而且從性能、安全性方面均已不能滿足業務發展的需要,已經基本進入到設備故障多發期。設備的帶病運行將給系統帶來極大的隱患。
2.設備非專用。部分參與者的網絡、安全設備均為參與者自身的多個涉外系統共用的設備。支付系統對安全性、實時性要求極高,多系統共用一套設備,一方面會給系統帶來潛在的安全風險,另一方面也會造成加大各系統之間相互影響。當某一個業務系統出現中斷時,就需要對共用設備進行重起、維護和切換,而設備上運行的所有其他正常運行的系統也將同時發生中斷。受到影響。
3.設備維護保養不到位。設備的健康運行與定期的維護保養是分不開的。設備維護保養中的問題主要有兩方面。一是部分參與者由于沒有制定完善的維護保養制度、也沒有相關的維護保養經驗,因此生產設備長期處于未保養狀態。二是雖考慮到了維保工作的重要性,并對相關工作進行了外包。但由于自身沒有任何基本保養常識,并且在外包合同中也未能將相關工作、責任進行明確和細化,因此不能有效對服務商的維保工作進行有力監督,也不能夠對風險隱患及時發現、及時處置,規避相關風險。
(五)系統風險
1.系統環境風險。信息系統項目的穩定運行涉及的環境因素是多方面的,主要包括:電源供應、溫度、濕度、通訊線路等。這些環境因素對于一個系統的健康穩定運行來說是非常重要的。在支付系統中,參與者對于系統環境的保障和應對能力也不盡相同。對于中大型金融機構。一般都有自己的辦公樓,因此在大樓施工前就已經做好了各項規劃工作,能夠為支付系統提供一個安全穩定的運行環境,對于外部環境風險也具備一定的應對能力。而小型金融機構中大部分沒有自己的獨立辦公樓,場地也大多為租借獲得,因此無法為系統提供穩定運行的環境。沒有任何對抗外部風險的能力。例如一些參與者辦公場地是租借的寫字樓,因寫字樓條件和投資考慮,不能建設標準機房,因此每次只要寫字樓的電力、通訊進行維護和調整都會導致支付系統出現中斷,有時甚至會因為大樓內其他單位施工的誤操作導致系統中斷。
2.系統熱備能力風險。根據支付系統管理辦法要求,各參與者對網絡、主機等關鍵設備均配置了備份設備。但由于參與者對系統備份的理解和自身的要求不一,因此往往會造成系統的備份能力不足,無法實現全方位的系統熱備。例如:網絡線路雖有主用、備用,但備用線路的帶寬與主用線路相差較大,一旦主用線路故障備線接管后仍舊不能滿足業務運行的需要;服務器雖有主機、備機,但備份形式是冷備,從發現主機故障到手工啟動備機。再到業務正常運轉,整個過程所需的時間較長。不能實現系統的高可用性;防火墻雖有主機、備機,但由于備機平時始終保持備份狀態,備機的故障不易被發現,而當主機發生故障需要被接管時備機卻無法正常起用。
3.系統安全策略風險。隨著接人支付系統的參與者越來越多,大部分參與者能夠能夠認識到系統安全問題。能夠根據等級保護標準和行內自身的工作要求制定安全策略。但也存在部分參與者對安全策略認識不足,認為建立了防火墻、入侵檢測、防病毒系統等多種硬件安全產品。計算機系統就安全了,缺乏科學、完善的安全策略和安全監測、評估機制。如果缺乏正確的安全策略管理或者沒有在正確的安全策略指導下進行安全工作,必然會降低安全投資的效率和對信息系統整體安全性的預期效果。
(六)應急處置能力不足
1.應急預案不完善。目前大多數參與者制定的應急預案主要依賴于總行和上級行應急預案的模板,預案同質性情況比較廣泛。盡管預案制度形式完整、要素健全,但與其自身的系統實際運行情況結合不緊密,科目不完整,具體職責分工不明確、各環節銜接困難,突發性事件發生時將難以得到高效處置。
2.應急演練不充分。多數參與者并沒有制度化的年度演練計劃,演練項目較少,演練程度也不深入。有的參與者一年中任何科目應急演練均未做過,有的參與者沒有自己的演練計劃。僅僅依靠上級部門的組織進行單科目的應急演練,有的參與者應急演練的科目較為完整。但演練工作結束后,未及時對演練工作進行總結。并完善演練方案和風險再評估。這些問題一方面說明應急管理制度制定的不完整,另一方面說明單位內部審計、監督工作不到位。應急演練工作的缺失將會降低參與者自身的應急處置能力,面對各種突發事件、問題不能及時處置、高效應對。
三、參與者風險應對策略
(一)提高重視
篇8
一、商業銀行業務系統營運模式
商業銀行業務系統的營運模式按數據集中的程度可分為兩種,一種是分散模式,一種是集中模式。
(一)分散模式
分散模式是指商業銀行各家分行的業務系統相互獨立,業務數據的處理分散在分行,并由各家分行自行管理。這種模式的特點是業務系統獨立、數據處理分散,分行間業務處理的差異化較大。這種模式由于業務系統相互獨立,點狀分布,突發故障的影響范圍較小,不會造成大面積癱瘓,因此商業銀行對突發故障的風險可控性較強。
(二)集中模式
集中模式又可細分為統一集中模式和區域集中模式,是指商業銀行業務系統的數據處理集中在總行或區域中心,由總行或區域中心集中管理。各家分行沒有獨立的業務系統,全部使用集中業務系統的終端進行業務處理。集中模式業務系統的諸多優勢克服了分散模式業務的弊端,隨著風險防控技術和方法的日臻完善,這種模式的采用也越來成為商業銀行的發展趨勢。但由于其后臺處理集中,業務終端網狀分布,系統架構為“金字塔”型,故障的發生往往會造成大面積癱瘓,商業銀行業務應急保障策略的制訂也凸顯重要。
二、商業銀行業務系統應急保障策略類型
分散模式業務系統由于其故障發生的影響范圍較小,應急保障的實施也比較簡單,同時也可借鑒集中模式業務系統應急保障策略的部分內容,在此不作贅述。本文著重探討集中模式業務系統的應急保障策略。集中模式業務系統一般為“金字塔”型架構,其架構為總行(或區域中心)、分行、網點三層。總行(或區域中心)為后臺,是業務系統的主機;分行為,是業務系統的前置服務器,橋接網點與總行的業務處理;網點為前臺,是業務系統的操作終端。“塔尖”為總行(或區域中心)主機,“塔身”為分行前置服務器,“塔基”為網點終端。基于此種結構,商業銀行應根據不同故障類型建立相應的應急保障策略。
(一)設備故障的應急保障策略
設備故障是指主機、前置服務器、終端等硬件設備由于設備自身原因或其他外部因素而損壞,業務系統不能正常運行,導致商業銀行無法向客戶提供金融服務的情況。設備故障的影響范圍各有不同,主機故障影響范圍最大,前置服務器次之,終端再次之。由于設備故障(尤其是主機設備故障)很容易導致業務數據的損壞或丟失,因此其風險度和危害性非常大。對于設備故障,商業銀行應建立備機策略。所謂備機策略,是指為主機、前置服務器、終端等設備設立備用設備,一旦設備發生故障,即可及時切換至備機進行業務處理。
對于主機設備,商業銀行應建立異地備機策略。所謂異地備機策略是指在主機生產設備所在城市以外的地方設立備用主機設備,以此來防范外部因素導致的設備故障。在建立異地備機中心后,商業銀行應將主機備用設備視同生產主機設備一樣進行日常維護和升級變更,同時應將業務數據實時備份至備用設備,保證主機備用設備上業務系統的正常運行。
對于前置服務器設備,商業銀行可采用總行集中設立前置服務器備用設備的的備機策略。此策略即可滿足分行前置服務器發生故障時的應急保障,又可避免分行各自設立備機設備的重復投入。同時,前置服務器備用設備由總行統一管理和維護,又可減少分行對設備維護的人力成本。
對于終端設備,其故障影響范圍很小,商業銀行應做好終端設備庫存量的匡算和技術支持,在終端發生故障時能夠盡快修復或更換,保證柜面的金融服務。
(二)通訊故障的應急保障策略
通訊故障也稱網絡故障,是指由于網絡異常而導致業務系統通訊中斷,業務系統無法正常運行的情況。集中模式業務系統架構為總行、分行、網點三層分布,通訊故障的發生有兩種類型,一種是總行與分行之間的通訊故障;另一種是分行與網點之間的通訊故障。前者的影響范圍要大于后者。
通訊故障會導致網點無法使用業務系統為客戶進行業務處理,但對業務數據的損壞或丟失沒有影響。由于通訊故障的恢復時間取決于網絡修復的快慢,此不確定性因素往往會造成較長時間無法對客戶提供服務,因此,商業銀行對通訊故障的應急保障應采用應急支付策略,保證對客戶的緊急支付。所謂應急支付策略,是指商業銀行業務系統在無法正常運行時,采用特殊方式為客戶提供緊急現金支付和憑證掛失等服務。由于應急支付無法正常操作業務系統,對客戶密碼等信息也無法進行核對,因此存在較大的資金風險。商業銀行采用應急支付策略,必須制訂完善的應急支付制度,規范應急支付行為,有效防控應急支付操作風險。
應急支付是為客戶提供緊急服務,因此商業銀行應盡量縮小應急支付的業務范圍。對于商業銀行的柜面服務,緊急支付的壓力往往來自個人客戶,對公客戶緊急支付的要求較個人客戶要低一些,因此建議商業銀行應急支付的業務范圍以個人客戶為主。
(三)系統故障的應急保障策略
系統故障是指業務系統主機程序出錯或數據量壓力瞬時過大而導致業務系統無法正常運行或部分業務無法處理的情況。系統故障發生后的影響范圍一般為全行或較大范圍內的分行。系統故障一般與分行前置服務器和網點終端無關。
業務系統如因系統程序故障而導致所有業務無法處理時,商業銀行可根據實際情況參照設備故障或通訊故障的應急保障策略,啟動備機切換方案或應急支付方案。如因系統故障導致業務系統部分業務無法正常處理時,商業銀行可采用分級保障策略。所謂分級保障策略,是指商業銀行根據業務種類的性質和分行所在地對客戶影響度等因素,對業務和分行進行重要度分級。對重要度高的業務和分行,應重點保障,故障排查和系統恢復都應優先于其他業務和分行。分級保障策略可有效降低對業務處理的影響,減小故障對客戶服務的波及面。
三、商業銀行業務系統應急保障策略的組織和實施
基于業務系統故障的特點,商業銀行應建立完善的應急保障組織體系,提高突發故障處置響應與協調應對能力,最大程度地預防突發故障的發生和減少突發故障造成的損失。
(一)建立完善的應急保障組織體系
商業銀行要加強對業務系統故障應急處置工作的組織領導,建立健全日常工作機制,合理調配人員力量。要明確日常應急管理的指揮機構、辦事機構及其職責,健全主要負責同志負總責、分管領導具體抓、相關部門分工協作的工作責任制,努力構建統一指揮、分級負責、各司其職、協調有序、運轉高效的組織體系。
商業銀行應針對業務系統故障的類型和特點,制訂完善的業務應急預案,預案的內容應包括:業務應急保障的組織指揮體系及職責分工、預防與預警指標控制與措施、應急響應與處置安排、后期處置要求,以及應急管理保障措施等內容。
(二)加強應急保障動態管理
篇9
銀行業務連續性管理(簡稱BCM),是指商業銀行為有效應對重要業務運營中斷事件,建設應急響應、恢復機制和管理能力框架,保障重要業務持續運營的一整套管理過程,包括策略、組織架構、方法、標準和程序[1]。將業務連續性管理納入全面風險管理體系,能夠建立與本機構戰略目標相適應的業務連續性管理體系,確保重要業務在運營中斷事件發生后快速恢復,降低或消除因重要業務運營中斷造成的影響和損失,保障業務持續運營。本文以國內某大型股份制銀行客戶為分析背景,對如何開展銀行業務連續性管理體系建設方法作出了研究。
二、項目背景介紹及業務連續性管理體系建設實施措施
本文研究的項目背景是某行《新資本協議實施規劃項目》中的子項目;研究目的是在按照銀監會某文件《商業銀行業務連續性監管指引》(以下簡稱監管指引)和新資本協議的有關要求下,參考國外有關標準和國內外同業的實施經驗,結合該行現狀從而制定覆蓋全行總/分/支三級機構業務連續性管理的工作流程和管理體系,以達到同業管理水平及新資本協議和監管指引的要求。
其具體建設措施為:業務連續性管理體系建設項目分為總體規劃、總行實施和分行試點推廣三大模塊。各個模塊的主要工作為:
總體規劃階段主要有:現狀調研、方案計劃制定、體系規劃、業務連續性基礎培訓等;總行實施階段:業務影響分析和風險評估、重要業務范圍界定、制度規范建設、總體預案和專項預案建設、演練;分行試點推廣階段:試點分行調研、試點分行培訓、試點分行業務連續性管理相關體系建設、試點分/支行的演練等。
本項目中該行在成立了業務連續性管理組織、初步建立了業務連續性管理相關制度和部分應急預案的基礎上,業務連續性管理體系建設的思路應為自上向下,采取分階段的實施方法開展業務連續性管理體系規劃和建設的相關工作。其項目管理框圖如圖1所示:
三、項目階段化及具體工作描述
基于上述實施方法,本文根據工作的先后順序,將業務連續性管理體系規劃和建設的相關工作劃分為6個階段,各個階段工作為:
第一階段是現狀調研階段,其階段目標是了解該行業務連續性管理現狀,并對比監管要求和國內外最佳實踐,通過問卷調查和業務部門訪談,梳理出全行業務產品分類,為業務連續性管理體系規劃和建設工作奠定基礎[2]。
實際經驗表明:為保證形成的業務分類表能準確地根據業務流程或其他特點將業務進行分類、合并,該過程中應重點關注各部門填寫的問卷是否準確、全面;訪談應盡量全面、清晰地掌握各部門業務情況,其好處是能夠明確區分業務是產品或者活動,同時將各部門的活動梳理全面,夯實下階段進行業務影響分析和風險評估基礎。
第二階段是業務影響分析和風險評估階段,其階段目標是確認重要業務及所需關鍵資源,并評估業務資源面臨的風險,為業務恢復策略和資源規劃建設提供依據。
風險評估主要從業務層面和科技層面進行分析。業務層面對重要業務相關部門進行資源調研與風險評估研討會,收集業務活動所需資源,以及這些資源可能產生的風險。科技層面針對重要業務所需信息資源進行調研,了解信息系統現有的恢復能力,以及系統架構中可能存在的風險。最后,基于分析明確關鍵業務活動恢復需求與風險。
該過程中應明確與相關部門共同進行業務影響分析的關注指標,業務層面的資源調研與風險評估工作應重點關注參與人員就業務所需資源以及其可能面對的威脅、管理狀況填寫的完整性和準確性,科技層面的資源調研與風險評估工作應關注現場評估結果與最后確認問卷與匯總數據的完整性和準確性。
第三階段是業務恢復策略和資源規劃建設階段,其目標是根據業務影響分析結果,依據業務恢復目標,確定業務恢復策略;評估重要業務資源建設和災備管理現狀,根據業務恢復策略建立業務連續性管理資源建設規劃[3]。
本階段的業務恢復策略,主要包括:業務受理策略、業務恢復順序、業務流量控制策略、數據核對與補錄策略、業務風險管控策略、信息系統恢復策略、危機溝通策略等。根據評估結果并結合業務恢復策略開展業務連續性資源建設規劃,主要包括:備用業務和辦公場地建設、備用信息系統運行場所建設、備用信息技術資源建設、備用人力資源建設以及電力、通訊、消防、安保等資源建設。該階段的實施過程中應重點關注業務恢復策略與資源建設規劃內容的全面性。
第四階段是業務連續性管理體系建設階段,其目標是根據業務恢復目標和業務恢復策略制定業務連續性計劃、總體應急預案和專項應急預案,定期開展應急預案演練等。
在本階段,需更新相關部門職責,并將分行業務連續性管理組織架構和職責納入其中,建立全行統一的業務連續性管理組織。其業務連續性計劃的主要內容包括:業務連續性管理組織、應急管理組織、重要業務及關聯關系、業務恢復優先次序、重要業務所需關鍵資源、應急指揮和危機通訊程序、各類預案維護管理要求、應急資源管理等。
第五階段是分行試點和推廣階段,其目標是為確保業務連續性管理體系在分行落地。這需要選取有代表性的分行作為試點,針對分行特點開展業務連續性工作,經過試點分行總結經驗后,推廣至全行實施。最終正式實施的試點分行需要具有代表性。
試點分行確定后,項目組對分行業務連續性管理現狀進行調研。其范圍包括分行業務連續性組織、業務連續性計劃、應急預案、特色業務、資源建設等方面。試點分行工作結束后,項目組根據試點分行體系建設經驗制定分行推廣計劃及修訂工作指引,提出對分行業務連續性體系建設的要求和落實時間。
第六階段是業務連續性管理體系評估和改進階段,其目標是實施全行聯動演練,確保總/分/支行聯通方案暢通可行,方案有效;同時,完成年度業務連續性管理體系自評估,推動業務連續性管理體系可持續性發展和改進。
該階段需制定總/分/支行聯動演練方案、業務連續性管理體系自評估計劃。首先需要對業務連續性管理體系自評估以及監管機構的年度檢查整改情況進行跟進,然后根據執行現狀,在治理、人員、流程、技術等方面擬定業務連續性管理持續改進規劃,推動業務連續性管理體系可持續性發展和改進。
四、項目實施總結
本文通過將銀行業務連續性管理體系建設劃分為3大模塊,以及按照工作的先后順序劃分為6個階段,經過實踐驗證,其成功高效、順利地完成了該行開展的業務連續性管理工作,以滿足新資本協議中操作風險管理相關達標要求,降低重要業務中斷風險,提高業務風險應對能力;同時滿足了銀監會《商業銀行業務連續性監管指引》的要求,并為該行今后的業務連續性管理工作奠定了良好的基礎,并提供了全面、細致的工作指導。
參考文獻
[1]中國銀監會.商業銀行操作風險管理指引[Z].
篇10
什么是信息科技風險?在網上檢索,能輕松找到幾件近年來商業銀行發生的典型信息科技風險事件(見表1)。
表1
信息科技風險事件案例
從以上這些案例我們可以看到在信息技術與銀行業務深度融合的今天,信息科技風險事件往往涉及范圍廣、客戶多、金額大,在給銀行造成經濟損失的同時,也會帶來很大的聲譽損失。銀監會前主席劉明康曾表示:“如果銀行系統中斷1小時,將直接影響該行的基本支付業務;中斷1天,將對其聲譽造成極大傷害;中斷2~3天以上不能恢復,將直接危及其他銀行乃至整個金融系統的穩定。”因此,可以毫不過分地說信息科技安全運行和健康發展是銀行業務正常開展的重要保障和基本前提,關乎銀行聲譽、金融安全和社會穩定。
根據中國銀監會的《商業銀行信息科技風險管理指引》,信息科技風險,是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。在巴塞爾新資本協議體系中,信息科技風險被視為操作風險的一種。但它又有區別于一般操作風險的特殊性:
一是風險因素復雜,大量使用外包和新技術使得風險控制的復雜度大幅提高。
二是潛伏性、偶發性和不確定性突出。比如,通過充分風險論證的生產系統,短期內無風險隱患,而隨著生產環境的壓力逐步擴大,系統的脆弱性就會逐步暴露出來;一個具有很高安全性的電子銀行,隨著病毒的不斷變種,黑客技術的提高,新的安全問題就會暴露出來。
三是信息科技風險一般不直接造成經濟損失,其造成的間接損失難以計量且極可能引發聲譽風險。
四是影響范圍廣。單個信息系統的故障就可能影響銀行多項業務。在銀行數據大集中的形勢和背景下,信息科技風險也趨于集中,成為唯一能使銀行瞬間癱瘓的風險。
從國內的監管導向看,筆者認為信息科技風險管理有兩個重要的目標:一是保證銀行業務的穩定和連續;二是保護客戶信息安全。如果不能實現這兩個目標,則可能引發直接或間接的經濟損失以及聲譽風險和法律風險。
二、信息科技風險的影響因素
從前述信息科技風險管理的兩個目標出發,我們可以通過分析影響目標實現的因素來了解引致信息科技風險的原因。
影響銀行業務的穩定和連續的因素主要有軟硬件故障、人員誤操作、關鍵人員離崗、系統超負荷運行、網絡癱瘓、電力中斷、病毒傳播、應用系統及版本投產異常、數據缺失或丟失、外包服務不到位、自然災害或人為損壞設備、缺少業務連續性計劃、災備基礎設施不健全、日常應急演練不充分等。
影響客戶信息安全的因素主要有內部人員利用流程、權限漏洞盜用客戶數據;外部人員運用技術手段侵入系統盜用客戶信息;內外勾結盜用客戶信息、外包服務商泄密等。
以上這些因素在巴塞爾新資本協議中也有相關的描述。巴塞爾新資本協議對操作風險的損失事件形態分為7個類型,吳博(2010)將其中與信息科技風險的損失事件有關的三個類型整理后大致覆蓋了引發信息科技風險的因素(見表2)。
表2
有關信息科技風險的損失事件形態
資料來源:吳博:《操作風險管理視角下的商業銀行信息科技風險管理研究》,載《新金融》,2010(9),32頁。
當然,上述這些影響信息科技風險管理目標實現的因素仍只是引發信息科技風險的中間變量,其本身也可被視做信息科技風險的表現形式。透過這些表現,我們可以很容易發現管理不到位才是導致信息科技風險的最根本原因。
從實踐來看,近年來信息科技有力地支持了商業銀行各項業務的快速擴張,但同時信息化建設大干快上和管理、運維跟不上的矛盾也日漸突出,“重建設、輕管理、重開發、輕運維”的現象較為普遍。有監管部門研究表明,近年來發生的信息科技風險事件中,多數事件發生都源于制度不健全、流程不完善、落實不到位,很少有純粹技術原因引發的事件。因此,可以說管理到位是防范信息科技風險的關鍵。
三、信息科技風險管理措施
信息科技風險管理應貫穿于信息科技工作的全流程,涉及信息科技風險管理的“三道防線”,需要由信息科技部門和各業務部門共同完成。在前文分析的信息科技風險的影響因素的基礎上,我們可以進一步探討如何通過采取相應的管理措施來防控信息科技風險。
一是完善風險治理架構,各司其職。構建和完善信息科技風險管理的三大防線,即信息科技管理、信息科技風險管理、信息科技風險審計,從三個不同角度、不同維度,對風險進行立體防控。需要注意的是三大防線的安排不應是簡單地對應信息科技風險管理的事前、事中、事后三個階段,風險管理部門、審計部門應積極參與到業務連續性計劃制訂、應急演練、系統開發、外包管理等信息科技日常風險管理工作中,實現風險管理的前移。
二是健全管理制度體系,重在執行。建立健全信息科技管理制度和業務操作流程并認真執行。制度建設要從新產品上線或新系統投產前就開始,要建立完善的上線或投產方案以及上線或投產后相關的管理制度和業務流程,并制定回退機制或應急預案以應對意外情況。同時,要積極研究各類信息安全風險案例,總結歸納新的風險點,以針對性地完善制度。要建立制度執行的監督評價機制,商業銀行的董事會、監事會、高級管理層以及審計部門要切實監督評價信息科技各項制度的執行情況,對制度執行不到位的責任人要進行問責或處罰。
三是合理規劃系統資源,未雨綢繆。縱向規劃發展進度,在系統規劃設計階段就要評估能否滿足未來較長時間的業務需求,合理安排系統升級、版本切換等工作。橫向匹配系統資源,在系統資源短期內不變的情況下,合理分配資源,通過系統分級,將資源優先分配給等級高的系統以保障重要系統的穩健運行。
四是密切監測系統運行,防患于未然。通過技術平臺對信息系統的運行狀況進行全程監控。一二級骨干網是否暢通、網點終端和自助設備是否運行正常、應用系統是否正常服務、是否有異常交易、網絡是否遭到非法入侵等必須納入實時監控范圍,以確保在第一時間發現問題和風險點,及時采取應對措施,防患于未然。
五是落實業務連續計劃,加強演練。要在全行層面建立和完善可操作性強、覆蓋各信息科技系統的業務連續性計劃和應急預案,包括業務恢復機制、風險化解和轉移措施、數據備份以及應對媒體的統一策略等;針對新發生的突發事件以及新發現的薄弱環節,要及時對預案進行總結更新;加強應急預案演練,以保障銀行在突發重大事件面前,能從容應對,迅速恢復生產運營,盡可能降低損失。
六是推進科技隊伍建設,提升能力。首先,要明確崗位職責,因崗定人,崗位匹配,并落實崗位制衡。其次,要完善激勵約束機制,以激發員工的主觀能動性,并使科技隊伍保持基本穩定。最后,要加強培訓,培養員工風險防范意識和風險防范能力,提高員工的信息科技業務水平。
參考文獻
[1]閻慶民:《操作風險管理“中國化”探索:中國商業銀行操作風險研究》,中國經濟出版社,2012。
篇11
如果火勢嚴重,身上著火了,來不及脫衣,也可臥倒在地上打滾,把身上的火苗壓熄。如果有其他人在場,可用濕麻袋、毯子等把身上著火人包裹起來,就能使火撲滅;或者向著火人身上澆水,或者幫助將燒著的衣服撕下。遇到火災,有的人不知道周圍失火,來不及迅速撤離火場。遇到這種情況,站著向外呼救,聲音被煙火阻擋,外面的人是聽不到的。怎么辦呢?必須臥在地上呼吸,因為火勢順著空氣上升,在低矮的地方,可燃物已經燃盡或還沒有燒著,呼救的聲音從這些空隙里傳出去,就能及時得到外界的營救。
如果火勢小,就用濕毛巾、濕毛毯披在身上沖出去,逃出去時。要逆風而行,并彎腰爬出去,用濕毛巾捂住口鼻,以免中毒。如果火勢大,可以利用房屋的陽臺、下水道或其他接地牢固的物件逃生。也可以用繩索或床單撕成條狀接起,一端一端拴在固定物件上,再順著往下滑,即可逃生。如果萬分情急決定跳樓出逃時,可先往地下拋出一些衣物棉被等,以增加緩沖,然后手扶窗臺往下滑,以縮小跳落高度,并盡力保持雙腳著地,盡可能地保全性命。“隱患險于明火,防范勝于救災,責任重于泰山”。不錯,只要每人做到“人人關心消防、處處注意防火”的群防群治的局面這樣,火災會少得的多,那么我們的明天也會給加美好!
生命只有一次,它對每個人都是公平的,只有珍惜生命,注意安全,我們才能平平安安的度過一生,人的生命是有限的,同時也是脆弱的,“一不留神”它都有可能給你的生命一個終結。天地把生命給予了我們,它便由你我掌控,你給它保險,它邊給你幸福,你傷害了它,它便讓你終生后悔。它對我們付出了太多太多了。而我們唯一可以做的事就是盡一切力量去愛護它,脆弱的它好比是個手無縛肌之力的人,而我們就是它身邊永遠的、忠實的保鏢!生命是一曲優美的交響曲,是一片華麗經典的詩章,是一次經歷挫折與艱難的遠航,生命誠可貴!我們歌頌聲明,因為生命是寶貴的,他只有一次;我們熱愛生命,因為生命是美好的,他令我們的人生煥發出光彩!在這個世界上最蓬勃旺盛和美好的就是人的生命!保護生命,保護你美好的前程!珍惜生命,珍惜人生的點點滴滴吧!讓安全伴我們快樂成長吧!
請記住:珍愛生命,關注安全。讓我們攜起手來,呵護著文明之花,讓我們遠離傷痛珍愛彼此的生命吧!為彼此的生命撐起一片安全的天空。我們要把平安的種子灑播進自己的心田,當它發芽開花,長成參天大樹時,我們必將收獲更多的祥和、幸福和安寧。
消防活動的個人總結范文2
為確保中國人民暨世界反法西斯戰爭勝利70周年紀念活動和夏季消防安全,按照市政府統一部署,XX鎮政府迅速部署開展工作。
一、 高度重視、加強領導
鎮黨委、政府充分認識做好這一時期消防安保工作的重要性,深知責任重大,全力以赴做好各項消防安全工作。成立了以鎮長黃志剛為組長的消防安保領導小組,制定了《XX鎮抗戰勝利70周年紀念活動消防安保工作方案》,召開了由全體機關干部、各村街書記、主任參加的會議,安排部署消防安保工作。
二、 精心組織、落實責任
向社會《關于抗戰勝利70周年紀念活動消防安全自查工作的公告》,以村街為單位,深入開展消防安全大檢查,實行“網格化”排查,以人員密集場所、易燃易爆單位、勞動密集型企業、物流倉儲等單位場所為重點,認真檢查,填寫檢查登記表,由村委會蓋章,村書記主任簽字,包村干部簽字,交鎮安監站存檔。各村街開展一次滅火和疏散逃生演練,進行一次徹底的衛生大清理,排除火災隱患,清理可燃雜物。召開由重點企業負責人和管理人員參加的會員,強調當前消防安全的重要性,動員他們對照標準進行自查,并對他們進行消防安全培訓。
目前,全鎮范圍內的勞動密集型企業(服裝加工企業、鑄造企業等)已全部停工、停產,非法加油站全部查封,合法加油站派專人負責,非法煙花爆竹零售點全部取締,合法煙花爆竹零售點全部停業,包村干部駐村,包片領導巡查。
三、加強督查、確保實效
由安監站、派出所對轄區內所有單位進行監督檢查,尤其是重點企業、重點場所,采取暗訪、執法檢查等形式,對檢查的單位、場所逐一登記,建立臺賬,如實記載檢查人員姓名、檢查時間、發現問題和提出的整改意見,對發現的問題立即整改,拒不整改的,依法從嚴查處,始終保持高壓震懾消防違法行為態勢。
消防活動的個人總結范文3
我部為提高全員消防意識,增強員工在緊急情況下的應變能力,自我防護能力,使每個員工掌握一定的消防知識。消除火災隱患。學習有關消防知識和消防器材的使用方法,并掌握消防逃生技能及注意事項等。檢驗項目部《火災應急救援預案》的可行性,各救援組在緊急情況下的到位及時性以及在救援過程中如何確保救災中人員和設備的安全。我部以消防月為楔機,圍繞全民關注消防,生命安全至上為主題。我部在20_年_月_日消防日舉行了防火演練。邀請了業主桂工、監理孟工觀摩。防火演練總結如下:
一、取得的成績
全體項目員工的安全意識有所提高,對消防安全常識有了進一步了解。對應對突發事件的應急能力有所提高,演練現場大多數員工能有效組織、迅速對火災事故警報做出反應,大部分救援小組負責人能有效組織本組組員疏散、警戒和投入滅火行動中。對今后應對突發事件有一定的提高。
演練前我部組織了消防預案演練培訓,使現場人員掌握一定的消防知識,增強員工在緊急情況下的應變能力,自我防護能力,學習了有關消防知識和消防器材的使用方法,并掌握消防逃生技能及注意事項等。項目部利用張貼標語的形式大力宣傳消防安全的重要性。
演練過程中,員工們的團隊凝聚力得到了升華。應急領導小組的組織能力、指揮能力和應急應變能力也得到了鍛煉。基本上達到了防火演練的目的。
二、不足之處
少數員工安全意識不夠強,責任心不強,演練不夠認真。個別救援組負責人對本組組員對本次演練的重要性宣傳力度不夠,表現在行動緩慢、紀律松散、不夠嚴肅。救護組的演練不夠到位,滅火組的演練不夠真實,整體演練效果不是太好。
三、后續工作安排
減少事故給公司帶來的損失是每個員工義務和責任。公司員工和各級管理人員都必須密切配合處理突發事件,一旦接到處理突發事件的指令后,在確保自身安全的情況下要義不容辭的快速執行。不得以任何借口推托責任或拒絕執行。這樣我們的公司才是一個大家庭,一個有戰斗力和執行力的集體。
因此項目部在今后的工作和應急活動中對以上的不足之處加以改進,進一步加強應急工作的培訓宣傳工作。增強應急預案的可行性。確保各救援組在今后緊急情況下的到位及時性以及在救援過程中如何確保救災中人員和設備的安全。
消防活動的個人總結范文4
今年以來,我行積極落實從嚴治行的方針,做好安全保衛工作,完善內控程度,強化內部管理,切實防范金融風險,杜絕案件事故的發生,取得了較好的成效,保證了我行安全穩健高效經營。
一、加強組織領導,落實工作責任制。
我行成立了支行安全保衛、綜合治理(創安、禁毒、普法和依法治行)領導小組,認真落實安全保衛目標管理和領導責任制,將安全保衛工作納入全年工作計劃,與支行營業部、各分理處負責人都簽訂了安全保衛目標管理責任書,做到誰主管、誰負責。并根據市人行要求和本行實際制定印發了樂清工行200*年創建金融安全區工作意見&&,明確各級負責人安全保衛工作職責,做到一級抓一級,分工到位、職責明確、相互配合、層層落實。
二、不斷健全內控外防機制,切實落實各項規章制度。
篇12
二、操作風險類型
操作風險存在于公司各種業務的自然過程之中,操作風險涵蓋內容非常復雜。巴塞爾委員會按照銀行損失事件的類型對操作風險進行了七種類型的劃分,結合財務公司實際情況,我公司操作風險可按以下四種風險分類:人員風險、流程風險、系統風險和外部事件風險。
三、操作風險的特點
操作風險相對于信用風險、市場風險有其顯著特點,主要體現在以下幾個方面:
(一)廣泛性
操作風險的覆蓋面非常廣泛,幾乎包括所有部門,幾乎覆蓋公司經營管理所有方面,操作風險不僅存在于業務流程中,也存在于風險管理本身實施過程中。
(二)內生性
除自然災害及不可預測的意外事件外,操作風險的風險因素絕大多數由公司內部不合格的操作因素引起,而且單個操作風險因素和操作風險損失之間不存在清晰的、可以定量界定的數量關系。
(三)不對稱性
操作風險的發生頻率和損失嚴重程度不對稱,有兩類情況:一是可能經常發生,但發生后損失程度較低的操作風險;二是發生頻率很低,但一旦發生后果卻非常嚴重的操作風險,這使得操作風險在分布上呈現出肥尾的不對稱性。
(四)計量的復雜性
一是操作風險成為當前最難以計量的風險,其原因在于:涉及領域寬廣,涵蓋公司業務方方面面,相當分散;二是形成原因復雜。操作風險成因有外部事件影響,而大部分是內部制造,其表現形式和形成原因依賴于前后關聯的事件,而這些事件又往往不容易辨別。三是損失具有不確定性,既包括發生頻率很高,損失較小或無損失的操作失誤性風險,也包括發生頻率很低,損失巨大的意外風險。
(五)高危害性
操作風險無處不在,隨時隨地都有可能發生,一旦發生損失嚴重的操作性風險事件,造成的后果不可估量。
(六)可轉化性
在實踐中,操作風險還通常可以轉化為市場風險和信用風險。
四、操作風險管理現狀
(一)初步建立了符合公司經營模式的操作風險管理組織體系和制度體系
目前,中國電力財務有限公司風險管理組織體系是以董事會為風險管理最高決策權利機構的三級架構體系,三級層次分別是公司總部、分公司、業務部。風險管理組織體系具體包括懂事會、公司風險管理委員會、總部風險管理部和相關業務部門、分公司風險管理委員會、分公司風險內控部和相關職能部門、業務部風險管理小組、業務部專責風險師、業務部各部門。在該體系中,各機構職能明確,責任清晰,確保了公司風險管理工作的順利開展。
在制度體系上,公司制定了《風險管理辦法》、《操作作風險管理政策》、《操作風險管理細則》,《流動性風險管理細則》、《信用風險管理細則》、《重大風險事件管理辦法》、《莛發事件應急預案》等一系列風險管理制度,保證了公司操作風險管理工作的具體落實。
(二)逐步建立操作風險識別、評估、監測、控制和風險報告工作程序
1 識別關鍵操作風險點,明確風險控制措施。分公司根據公司《操作風險管理細則》,結合營業業務流程和環節,把營業業務劃分為存款開銷戶業務、支付結算、信貸業務核算、重要空白憑證及有價單證管理、營業印章管理、客戶賬戶管理、網上銀行管理、電子銀行類業務、資金池賬戶管理等幾大類,梳理羅列營業操作關鍵風險點,并對這些風險點所對應的風險崗位、應采取的風險控制措施作了詳細標注。
2 理順報告路線,建立風險管理報告制度。分公司建立了風險管理報告制度,對風險事件的報告時間、報告路線及報告和處置流程作了明確規定,確保風險事件能夠在發生后第一時間向上級業務管理部門和風險管理部門報告,從而有效控制重大風險事件的負面影響。
3 編制應急預案,開展應急預案演練,加強應急管理。加強應急管理是有效控制操作風險的一項具體措施。分公司于年末制定次年各項應急管理工作年度計劃,每年要求各業務部組織不少于兩次風險事件應急預案演練,并且要制定演練方案,演練結束后要對演練情況和反映的問題進行文字總結。
五、操作風險管理存在的問題
(一)員工風險意識不強
公司部分員工法制觀念淡薄,風險意識不強,沒有充分認識到防范操作風險的重要性,只要是領導命令,就唯命是從,重業務拓展,輕風險管理,在日常操作中,經常存在以信任代替制度,制約流于形式的現象。
(二)管理方法和技術滯后
操作風險定量風險分析手段缺乏,在風險識別、度量、監測等方面客觀性、預見性不夠。與國際性大銀行采用數理統計模型、金融工程等先進手段相比,我們操作風險管理方法相對落后。目前公司系統雖然可以通過授權復核等手段,對業務操作應有的風險控制點及操作權限進行有效控制,但由于系統的監測預警能力尚不完善,無法通過信息技術在流程上對所有已存在的風險點進行實時監測,尚不具備異常業務預警和阻止業務違規操作的功能,致使許多違規操作行為只能靠相對滯后的人工稽核檢查等方式來發現。
(三)監督檢查不到位
(四)信息系統存在一定缺陷
公司業務運營系統經過不斷優化完善,在營業結算、資金管理、信貸管理方面有了明顯改進,但由于系統框架的設計上對管理控制的需求考慮不足,加上新業務、新產品陸續上線,系統改造和優化不能經過充分測試和運行,使得系統存在一定的控制缺陷和空白。
(五)人類資源管理和業務發展不相適應
1 人員儲備不足。近幾年來特別是最近兩年,分公司人員增長遠遠落后于規模增長和業務量增長。隨著業繾增加,員工工作壓力加大,時常超負荷工作得不到適當的休息調整,容易造成精神疲勞,容易出錯。
2 人員結構不合理。人員結構不合理是造成營業操作風險加大的重要因素。分公司營業臨柜人員年齡偏大,業務部男女比例失調,有些業務部面臨女員工生育高峰問題,營業結算在崗人員小于實際
人員數,人員不足、人員定崗問題加大操作風險控制難度。
3 人員培訓力度不足。雖然公司每年都有員工培訓計劃,但培訓計劃的業務針對性不強,而且參與培訓的人數和時間也有限,所以大部分基層工作人員參與培訓機會很少,加上隨著日常工作壓力的增加,員工利用業余時間參加培訓的時間就會相應減少,員工普遍感覺培訓力度不足。
(六)風險控制和業務發展的矛盾
作為國家電網公司的集團財務公司,在監管政策允許的前提下,盡可能為集團成員單位提供全方位的金融服務品種。為了不斷滿足國家電網公司財務集約化管理需要,同時擴展財務公司的生存空間,近幾年不斷推出新業務、新產品,由于有些新業務沒有進行充分的風險評估,制定流程時缺乏實踐經驗,客觀上誘發了違規操作風險。
六 加強操作風險防范控制體系的措施
(一)培育完善的企業風險文化
建立科學發展觀、風險觀,培育重在細節和執行力的合規文化。企業經營成敗與否,最終的決定因素是良好的企業文化,良好的企業文化可以改善人的態度和執行力,良好的企業文化是操作風險管理的基礎。細節決定成敗,要加大全體員工合規經營意識、全面風險意識、職業道德和行為習慣上等多個方面培育良好的風險合規文化,創造風險管理人人有責的合規氛圍。
(二)加大培訓力度
(三)加強崗位輪換、實施強制休假制度
對重要崗位實行不定期輪崗和強制休假制度,可在輪崗和休假時進行全面稽核,形成明確制度規定。
(四)加強信息科技系統建設
信息科技系統是公司開展各項業務的基礎平臺,目前,隨著財務集約化不斷深入推進,資金池賬戶搭建工作已完成,資金結算系統的上線,業務交易量和交易總額成倍上升,對業務系統、網絡暢通、硬件設備的穩定性能和安全性能要求都更高。
(五)優化業務流程
篇13
本預案所稱金融機構突發事件是指金融媒介(如銀行、證券公司、保險公司等)、金融市場(如股票市場、證券市場等)和市場基礎設施(如支付體系等)突然發生的、無法預期或難于預期的、嚴重影響或可能嚴重影響本行政區域金融穩定、需要立即處置的金融事件。
1.2編制依據
《中華人民共和國中國人民銀行法》、《中華人民共和國商業銀行法》、《中華人民共和國銀行業監督管理法》、《中華人民共和國證券法》、《中華人民共和國保險法》、《期貨交易管理暫行條例》、《中華人民共和國外匯管理條例》、《國家金融突發事件應急預案》、《河北省金融突發事件應急預案》。
1.3適用范圍
(1)國內或省、市內發生重大事件引發的危及本縣行政區域內金融穩定的金融突發事件。
(2)因自然災害、事故災難、公共衛生事件或社會安全事件引發的危及金融穩定的金融突發事件。
(3)因本縣行政區域內一家金融機構出現大規模擠提、擠兌或退保,而引發該金融機構所屬系統或全縣金融系統擠提、擠兌情況的金融突發事件。
(4)因大規模非法集資、非法設立金融機構、非法開辦金融業務以及金融機構違法違規經營和犯罪等引起的其他嚴重危害金融穩定的金融突發事件。
1.4工作原則
1.4.1統一領導,分級負責。*縣金融突發事件應急處置工作由縣政府統一領導,縣人民政府和縣有關部門按照市政府和本預案的要求,具體負責本行政區域及本系統突發金融風險的防范和處置工作。
1.4.2各司其職,團結協作。縣有關部門要按照職責分工,積極籌劃落實各項防范化解風險的措施,相互協調配合,共同做好金融突發事件的處置工作。
1.4.3區別對待,分類處置。對各類金融機構的預期風險和總體風險進行具體分析與判斷,針對不同成因、不同風險程度,研究制定相應的處理方案。
1.4.4及早預警,及時處置。對金融突發風險要做到早發現、早報告,并采取果斷措施,及時控制和化解,防止風險擴散和蔓延,盡可能將危害和損失降到最低限度。
1.4.5依法處置,穩妥縝密。要把一切金融風險處置工作納入規范化和法制化軌道,堅持依法有序處置、積極穩妥縝密的原則,力爭避免對社會造成嚴重的負面影響。
2組織體系與職責分工
2.1應急組織體系
成立*縣金融穩定協調領導小組,負責對全縣金融突發事件應急的組織、協調和領導。
組長:縣政府主管領導。
副組長:對口分管金融工作的縣政府辦公室副主任、縣銀監辦事處主任、縣人行行長。
成員單位:縣銀監辦事處、縣人行、縣委宣傳部、縣人民法院、縣人民檢察院、縣司法局、縣公安局、縣農發行、縣各國有商業銀行、縣農村信用聯社。
各成員單位應指定聯絡員負責有關聯絡事宜。成員單位組成可根據事件情況做適當調整。
領導小組下設辦公室,辦公室設在縣銀監辦。
2.2相關部門職責
2.2.1領導小組的主要職責
(1)決定啟動、終止本預案;
(2)統一領導、指揮全縣重大金融突發事件的應急處置工作;
(3)分析、研究全縣金融突發事件的有關信息,制訂應急措施;
(4)確定全縣有關部門在應急處置過程中的具體職責分工,并協調實施應急措施;
(5)針對被關閉金融機構的個人債權,根據有關規定制訂具體的兌付和補償措施;
(6)根據需要協調、指導有關金融機構的重組、關閉和破產事宜;
(7)及時向市政府報告事件動態及處置情況。
2.2.2領導小組辦公室的主要職責
(1)根據領導小組的決定組織召集相關會議;
(2)接收、整理、上報有關金融突發事件的信息資料,并向有關部門通報;
(3)督促、檢查、指導全縣有關部門落實應急措施情況;
(4)做好檔案資料的收集、保管和事后移交工作;
(5)提出修改預案的建議;
(6)組織有關部門做好政策宣傳和解釋工作;
(7)完成領導小組交辦的其他事項。
2.2.3領導小組成員單位主要職責
(1)縣銀監辦事處對各金融機構通報的金融突發事件的風險程度做出評估,及時啟動本部門處置金融突發事件應急預案,負責處理本部門職責范圍內的事項;向縣政府報告有關信息,提出是否啟動本預案的建議。
(2)縣人行及時啟動《中國人民銀行*縣支行處置金融突發事件應急預案》,負責處理人民銀行職責范圍內的事項;按照上級行授權,保證資金及時足額到位,滿足風險處置工作的需要;向縣政府報告有關信息,提出是否啟動本預案的建議。
(3)縣委宣傳部協調有關部門制訂有關新聞工作預案,協助有關監管部門制定宣傳口徑,組織全縣媒體播發相關新聞;根據金融突發事件的嚴重程度或其他需要組織新聞會;及時搜集縣內外輿論情況,正確引導社會輿論,做好辟謠工作;加強全縣媒體和互聯網的管理和引導,防止有害信息傳播。
(4)縣公安局制訂相關的工作預案,依法參與或指導、協調各派出機構參與金融突發事件的應急處置工作;對有關犯罪嫌疑人進行調查取證,必要時采取強制措施,查處犯罪行為;協助縣政府和金融突發事件發生單位維護運行秩序,防止風險擴散和出現,保證處置工作順利開展。
(5)其他成員單位按照領導小組的工作部署,充分發揮應急處置工作中的聯動作用,履行各自的各種職責,配合金融突發事件的處置工作。
3預防預警
3.1預防預警機制
3.1.1縣銀監辦事處、縣人行要建立本系統重大問題、敏感問題的定性、定量預警監測指標體系,加強跟蹤、監測、分析,及時向社會金融風險提示信息。
3.1.2縣人行要加強對監管部門通報的有關信息的匯總和分析,注重對影響金融穩定的省內外、市內外、縣內外金融突發事件的跟蹤研究。重大事件要及時上報縣政府和上級行。
3.1.3各金融部門之間應加強信息溝通。縣銀監辦事處每季度向縣政府通報本系統的金融風險狀況,對全縣金融體系的風險因素進行綜合評估。
3.2預防預警行動
3.2.1縣銀監辦事處應將其監管職責范圍內發生的重大金融突發事件及時(最遲不超過2小時)向縣政府、本系統上級機關提出預警報告。
3.2.2各部門應對本部門的預警支持系統進行定期的演練和維護,定期對本部門的應急預案進行修改和完善。
4金融突發事件的分級
當金融突發事件等級指標有交叉,難以判定級別時,按較高一級突發事件處理,防止風險的擴散;當金融突發事件的等級隨著時間的推移有所上升時,應按升級后的級別程序處理。
4.1特別重大金融突發事件(Ⅰ級)
有下列情況之一的,為Ⅰ級事件:
(1)國內、省內出現的,已經影響或極有可能影響邯鄲市行政區域內金融穩定的金融突發事件;
(2)金融各行業已出現或將要出現連鎖反應,需要各有關行業主管部門協同配合,共同處置的金融突發事件;
(3)具有全市性影響的金融突發事件;
(4)其他需要按Ⅰ級事件對待的金融突發事件。
4.2重大金融突發事件(Ⅱ級)
有下列情況之一的,為Ⅱ級事件:
(1)對多個金融行業或多個縣(市)區產生影響,但未造成全市性影響的金融突發事件;
(2)所涉及金融監管部門或縣人民政府不能單獨應對,需跨部門或跨縣(市)協調的金融突發事件;
(3)其他需要按Ⅱ級事件對待的金融突發事件。
4.3較大金融突發事件(Ⅲ級)
有下列情況之一的,為Ⅲ級事件:
(1)所涉及金融監管部門能夠單獨應對,不需要跨部門協調的金融突發事件;
(2)所涉及縣人民政府能夠單獨應對,不需要跨縣(市)協調的金融突發事件;
(3)其他需要按Ⅲ級事件對待的金融突發事件。
5應急響應
5.1Ⅰ級響應
由邯鄲市金融穩定工作領導小組啟動預案開展處置工作,縣政府及有關部門按照要求做好相關工作。
5.2Ⅱ級響應
5.2.1由事件所涉及的部門和縣人民政府共同協商制訂處置方案。縣人民政府負責縣內的社會穩定工作。
5.2.2經協商不能達成一致意見的,由各相關部門報請市政府,由市領導小組辦公室進行協調。
5.3Ⅲ級響應
5.3.1響應程序
(1)金融突發事件發生后,縣有關部門要迅速核實情況,立即啟動本部門的應急預案,開展本系統內的應急處置工作,及時報告縣領導小組辦公室和本系統上級部門。
(2)領導小組辦公室報請領導小組決定啟動本預案開展處置工作。
5.3.2決策及緊急措施
(1)各部門立即按照本部門應急預案要求,指導本部門處置工作,及時切斷風險源,防止風險進一步擴散。
(2)領導小組召開成員單位會議,分析研究金融突發事件的基本情況、性質、成因,提出處置方案,報縣政府和本系統上級主管部門批準后實施。
處置方案的主要內容包括:金融突發事件的基本情況、事件的性質和嚴重程度、影響范圍、成員單位會議的討論意見以及協調處置方式、方法和所要采取的具體措施等。
(3)領導小組視情況設立專家咨詢組、信息組、治安維護組、風險處置組、法律咨詢組,分別負責各個專業范圍內的工作事宜。
(4)在處置金融突發事件過程中,有關政府部門應建立新聞發言人制度,做好宣傳、解釋工作,加強輿論引導。
(5)縣銀監辦事處、縣人行以及風險涉及部門應根據上級部門的授權和職責分工,加強協調配合,共同維護金融秩序。
5.3.3落實措施
(1)正式處置方案經縣政府和本系統上級機關批準后,由領導小組辦公室督促有關部門和單位組織實施。
(2)對經批準給予人民銀行再貸款支持的,按照《中國人民銀行關于收購個人債權和彌補客戶證券交易結算資金缺口使用再貸款操作程序的通知》、《中國人民銀行緊急再貸款管理暫行辦法》、《地方政府向中央專項借款管理規定》以及其他有關規定,由人民銀行負責辦理發放再貸款的有關手續、監督再貸款的使用和收回。
(3)對需要采取撤銷(關閉)形式退出金融市場的,應當按照《中華人民共和國銀行業監督管理法》、《中華人民共和國證券法》、《中華人民共和國保險法》、《期貨交易管理暫行條例》、《中華人民共和國外匯管理條例》、《金融機構撤銷條例》的有關規定,由金融監管部門依據其監管職責和權限對外撤銷(關閉)公告,并由有關部門成立清算組進行清算。
(4)在處置金融突發事件過程中,對發現涉嫌犯罪的事實,公安機關應依法立案偵查,并采取積極有效措施,嚴防犯罪嫌疑人潛逃,有關部門應積極配合。對債權人、被保險人等的宣傳、解釋、說服工作,由縣人民政府負責組織相關部門實施。
5.4信息報送
5.4.1金融突發事件發生時,發生事件的單位應立即(最遲不超過2小時)向其上級主管部門、相應的金融監管部門報告,同時通報縣人民政府。
5.4.2特別重大(Ⅰ級)和重大(Ⅱ級)金融突發事件發生后,縣銀監辦事處和縣人民政府,在接到報告后最遲不超過2小時上報市政府和本系統上級機關,并在保密的原則下,根據情況需要與有關部門實現信息共享。
5.4.3報告的內容應包括:發生金融突發事件的機構名稱、地點、時間;事件的原因、性質、等級、可能涉及的金額及人數、影響范圍以及社會穩定情況;事態的發展趨勢、可能造成的損失;已采取的應對措施及擬進一步采取的措施;其他與本事件有關的內容。
6后期處置
6.1善后工作
按照分級響應程序的職責分工,分別由有關部門負責落實。具體包括:
6.1.1對被關閉的金融機構的印章、業務檔案妥善保管并進行清理,對被關閉的金融機構的個人債權進行核實,落實兌付和補償措施。
6.1.2對金融突發事件的全過程進行徹底調查,查清事件的原因,追究相關人員的責任。
6.1.3對因金融突發事件而發生的直接損失和間接損失進行評估。
6.2評估與總結
6.2.1金融突發事件處置完畢后,參與處置的有關金融監管部門應對處置工作進行總結,報縣人民政府,同時抄送縣人行。
6.2.2領導小組辦公室應對事件的發生、應急處置、處置結果及損失進行全面評估和總結,將總結報告上報縣人民政府和上級機關。
6.2.3金融監管部門應對處置工作進行總結,針對處置過程中暴露出的問題及國家法律法規的相關變化,進一步完善有關監管措施、風險監測和預警指標體系、風險提示和防范手段及應急預案,提出修訂地方相關法規的意見和建議。
6.2.4參與處置的有關部門應針對協同處置金融突發事件過程中暴露出的有關問題,提出修訂本預案的意見和建議。
6.3獎勵與處罰
6.3.1對參與處置工作表現突出的人員,有關單位可按有關規定給予表彰和獎勵。
6.3.2對參與工作不負責任、辦事不力、扯皮推諉,造成嚴重后果的人員,有關單位應依法追究其責任。
6.4檢查與審計
6.4.1審計部門依法對金融突發事件處置工作中所動用的公共資金的使用情況進行檢查。
6.4.2縣人行根據有關規定對再貸款的使用情況進行檢查。
7應急保障
7.1通信保障
7.1.1各成員單位之間應確保至少一種通信方式的穩定暢通。
7.1.2各成員單位與縣人民政府要保持必要的聯系。
7.1.3領導小組辦公室與領導小組成員單位之間應建立信息共享平臺,互通信息。
7.1.4所有通信及信息共享應符合有關保密規定。
7.2文電運轉保障
領導小組、領導小組辦公室及有關部門要根據各自職責規定,確保文電運轉的高效、迅速、準確,不得延誤。
7.3技術保障
7.3.1各有關部門應確保本系統計算機設備及網絡系統有足夠的軟硬件技術支持保證,有關信息有計算機備份。
7.3.2核心賬務數據應實現異地備份,建立數據備份中心。
7.3.3要害崗位,至少有兩名人員備用、替換,確保在任何情況下不因人員缺崗而影響整個系統的正常運行。
7.3.4加強事故災難備份中心的建設與完善,做好事故災難備份中心的維護和管理。
7.4安全保障
各有關部門應確保工作場所的安全性和保密性,確保有關工作人員的人身安全。
7.5人力資源保障
