作者|许振慧「 中国建设银行(6.490, -0.05, -0.76%)内控合规部」
当前,打赢新型冠状病毒感染肺炎疫情防控阻击战是一切工作的重中之重,疫情防控工作涉及医疗救治、物质保障、疫苗研发、信息披露、交通运输、科研攻关、公众管理、宣传教育、对外联络等多个方面,是一项系统性工程。对于金融行业来讲,进一步加强金融机构业务连续性管理,抓实抓细金融行业连续性管理是迫在眉睫的课题,同时也是完善金融治理体系、防范系统性金融风险的重要内容之一。
金融机构业务连续性运行的基本架构涵盖重大金融基础设施、商业银行、证券、保险等金融服务、非银行机构服务、网络供应商网络服务、科技公司技术支持、电力供应等多个方面,涉及面广泛,与经济稳定运行、人民生活同样息息相关,而且对整合性运行效率要求也比较高。近几年,金融监管机构高度重视业务连续性管理,出台了多项业务连续性管理的政策文件,各家金融机构也基本建立了相应的管理体系,基本管理架构是健全的,各类应急预案也是较为完整的。但是,金融机构应急体系尚未经历大的考验,如大面积地震、洪水、海啸等自然灾害的考验,尚未经历重大信息科技突发事件的考验,如主要网络瘫痪、重大数据丢失、大范围计算机病毒传染、严重网络攻击等人为因素造成的重大突发事件。特别是随着信息技术的快速发展、广泛应用,有效防范人为因素造成的重大黑天鹅事件,对金融机构业务连续性管理提出了更高要求。
当前金融业务连续性管理需关注的主要短板与不足
业务预案与技术预案的衔接尚不够紧密。当前金融机构业务处理都是IT化的,重要业务系统一般都建立了应急预案,包括业务应急与技术应急。发生重大突发事件,更多地依赖技术应急处理,对于业务与技术应急如何衔接、如何进行应急业务处理,往往缺乏更有效更细致的应急措施,一旦技术难以及时恢复,业务处理基本处于瘫痪状态。对于基础台账信息留存与管理、数据备份、业务对账、客户回应等与技术应急的衔接与恢复都需要进一步细化和加强。
跨机构、跨系统联动性应急演练不足。金融机构业务系统互联互通更为紧密,系统运行既涉及本机构基础数据库、重要业务系统,又涉及为金融机构提供基础保障的重大基础设施,如大小额支付系统、银联系统、债券登记系统、证券交易系统等,同时涉及网络供应商等外部基础设施,目前的应急演练更多地侧重单一系统、单一机构的应急演练,涉及互联互通性的更高层级、更大范围的应急演练不足,联动性应急演练不足,一旦发生联动性计算机病毒植入,如何进行风险隔离,如何联动进行应急处理都需要更为深入的演练。
应对大范围网络攻击、计算机病毒植入的技术储备管理体系尚需完备。由于业务处理的联动性、耦合性,金融机构间风险传染更为直接。目前金融机构尚未建立有效的防范计算机病毒或网络攻击的联合性技术应对组织,更多地是单一机构的单一应对,建立国家层面的金融业务连续性管理治理应急体系,组建特定专家团队,模拟重大突发事件,形成快速技术攻关,防范大范围计算机病毒植入和网络攻击的准备还存在不足。特别是联动各家金融机构的重大基础设施,其系统健壮性、系统防攻击能力、系统连续性运营能力将直接关系金融服务稳定性,作为中间枢纽,一旦出现系统中断,影响面巨大,且容易成为业务恢复与连续运营的瓶颈。
客户信息保护应急处理面临严峻挑战。近几年,大量的第三方支付、大量的网络平台、大量的APP应用工具形成了巨大的客户信息泄露风险敞口,客户基础信息与金融信息的联动性也越来越强。普通金融消费者无力保护自身信息,或为了相关服务,无奈放弃信息保护。及早健全完善客户信息保护,已成为金融消费者权益保护的重要内容和亟待加强管理的风险隐患,目前,相关的管理机制与控制措施还不够完善。
重大突发事件的监测预警不足。目前,各金融机构对于重大突发事件,特别是针对信息系统运营风险的监测预警机制还需要持续完善,相对而言,更注重业务产品的系统开发,对系统稳定运营监测的科技投入不够。信息科技风险及重大突发事件监测预警的手段、工具还存在一些短板,各机构监测预警能力参差不齐,快速反应能力参差不齐。
重大突发事件的信息共享不足。虽然监管机构组织建立了金融机构重大突发事件报告机制,但金融机构间缺乏信息共享的平台和机制化的沟通渠道,由于担心出现事故与丑闻,单一机构一般会自我保护、自我封闭信息,相关机构难以举一反三,及时排查隐患或组织应对。应对重大突发事件信息共享的方式、渠道、内容、范围还有待进一步明确。与重大突发事件相关的舆情信息处理也需要进一步统筹,机构间的舆情沟通和信息共享也需要同步完善,以避免引起金融消费者群体性恐慌。
加强金融机构业务连续性管理的策略建议
加强金融机构业务连续性管理是一项系统工程,需要监管机构、重大金融基础设施机构、金融企业、信息科技公司、网络运营商等通力合作,建立整合性预防运行机制,防患于未然。
进一步重检完善重要业务系统应急预案,管理更精细。各成员主体、市场主体都需要进一步重检应急预案,重点解决有原则无规则,有规则无执行的形式化预案,补充细化相关内容,提高应急预案完备性。重点补充完善技术预案与业务预案的有机衔接,形成互动;重点补充完善总部预案与基层机构应急预案的有机衔接,补充完善内部系统与外部系统的应急衔接。建立规范化的应急预案重检时限,定期不定期重检,形成常态化的重检修订工作机制。强化应急预案的实际可操作性论证与实施,连续性管理更为精细化。
进一步加强应急演练,场景更具体。应急预案演练是有效检验预案完备性的重要手段,应急演练是增强应急意识、提高应急效率和能力的基础保证。重大业务系统必须进行应急演练,首先保证单一系统的应急处理。加强系统间联动性演练,必要时,由金融机构监管部门统一协调,组织大规模的金融机构间、重要金融基础设施联动应急演练,查找短板和不足,进一步落实应急管理责任,完善管理措施。不断加强应急演练的监督检查,对于应急演练流于形式的,进行违规处置和必要的监管处罚。各金融机构应急演练要模拟更为具体化的突发事件场景,如系统数据库瘫痪、大范围计算机病毒传染、严重黑客入侵等,实施分类演练,综合演练,内外联动演练,使应急演练更具针对性、有效性、实操性。
进一步完善金融机构应急治理和管理体系,联防联控更紧密。从监管层面将金融业务连续性管理纳入金融治理体系与治理能力现代化管理的范围,进一步提升金融信息科技风险管理层级。组织市场主体、金融机构完善治理架构和管理体系,完善应急处理内容、流程、工具与方式。规范细化金融机构间、机构主体间联防联控工作机制,明确责任主体、监督主体与责任范围,进一步细化和丰富联防联治工作措施和应急手段,形成体制、机制与措施的有力保障。
进一步加强重大突发事件监测的科研投入,预警更及时。各金融机构要进一步加大对系统运营管理的科技投入,在人员配备、科技研发、工具创新等方面强化IT系统运营风险监测预警。充分运用新技术手段加强风险监测,提前预警。进一步规范重要业务系统开发文档、技术文档、开发人员的连续性管理,避免由于人员变动、系统迁移形成断档,避免由于系统升级或优化,对底层架构、基础数据库缺乏有效的连续性管理。系统运营管理要与系统开发形成互动,有机衔接,对关键风险控制节点要预设预警功能,增强对系统早期风险信号的敏感性,提升预警处理的及时性。
进一步完善政策引导,加强灾备基础设施建设和人才培养,应急管理更超前。近几年,金融机构不断加大信息技术投入,但针对灾备建设还存在短板,灾备建设标准较低或规范性不足,相关政策配套支持较少。中小金融机构的灾备建设更是存在先天不足和诸多问题。从监管层面和财政政策层面,建议对金融机构灾备建设预算投入能够单独核批,出台相应配套政策支持,在有限的财务资源中安排必要的灾备建设资金,加大灾备基础设施建设。在风险拨备中明确信息科技风险拨备覆盖,引导金融机构对小概率大风险事件建立储备资金。灾备建设要明确建设标准,进行必要的切换演练,形成真正管用的灾难应急。
监管机构、金融机构要组织加强信息安全人才队伍建设和培养,形成梯队,形成组合。要建立机构间的人才信息共享、技术联合开发等机制,持续加强信息科技风险安全防控软硬件的研发,跟进新技术、新工具的应用与发展,不断创新,筑牢应对重大突发事件的业务与技术防线,全面提升风险防控与风险化解能力。