基層金融機構支付系統災備情況存在問題及建議

陳旭慧

（中國人民銀行烏海市中心支行，內蒙古 烏海 016000）

一、災難備援的重要性及必要性

災難備援，是指利用科學的技術手段和方法，提前建立系統化的數據應急方式，以應對災難發生。其內容包括數據備份和系統備份，業務連續規劃、人員架構、緊急事件響應等。災備分為數據級、應用級和業務級災備。數據級災備系統只保證數據的完整性、可靠性和安全性。應用級災備建立在數據級災備的基礎上，對應用系統進行復制，也就是在異地災備中心再構建一套應用支撐系統。支撐系統包括數據備份系統、備用數據處理系統、備用網絡系統等部分。應用級的支付系統災備只能保證非自然災害情況下系統故障且短時間無法恢復時的支付業務的連續。業務級災備做為最高級別的災備，它包括非IT系統，當發生大的災難時，用戶的辦公場所可能會被損壞，用戶除了需要原來的數據以外，還需要工作人員在一個備份的工作場所能夠正常地開展業務。完善的支付系統災備就是利用數據保護的基礎技術在幾十公里、數百公里甚至千里之外的系統中創建數據副本，實現生產系統和災備系統的數據同步，保證支付清算業務系統的連續性和各項數據的完整性、一致性。隨著支付清算第二代支付系統的推廣完成，第二代支付系統“一點接入、一點清算”模式下，支付系統安全穩定運行的風險更趨集中，支付系統對業務的連續性運行要求越來越高，因此，完善支付系統業務災備成為必然。

二、烏海轄內金融機構支付系統災備的基本情況

（一）支付系統數據級災備情況

數據級災備是容災級別較低的一種災備機制，各級金融機構作為業務日終處理的一個必經流程嚴格按照要求進行操作。轄內一級法人金融機構采取每日雙刻盤的方式異地保管。轄內二級法人機構因權限所限統一由其托管行內蒙古自治區農村信用社聯合社完成，轄內非法人機構也因權限所限由其上級行統一完成。

（二）支付系統應用級災備情況

1.法人機構的應用級災備系統。烏海轄內共15家金融機構，其中法人機構4家（一級法人金融機構1家，二級法人金融機構3家）。烏海轄內一級法人機構—烏海銀行以其擁有較為雄厚的科技人才隊伍完成自成體系的業務系統及應用級災備系統建設，成為轄內法人金融機構的佼佼者。烏海銀行的中心數據機房由網絡區、業務區、動力保障區構成，承擔烏海銀行包含其本行核心業務系統，銀行卡系統，現代化支付系統，網上銀行系統，網絡系統等重要業務系統的正常運轉功能。同時在阿拉善設置災備機房。機房均配備有供配電、防雷防浪涌、無管網消防、精密空調、接地、網絡設施、安全設施、監控系統、小型機、磁盤柜、服務器、機柜等，均有統一的的供配電系統、環境監控系統、安防系統。中心機房采取雙路不同供電局供電的方式實現供電冗余，同時采用2臺康明斯300KW發電機組實現應急電力供應。烏海銀行按照人民銀行對支付系統的管理要求制定了相應的支付系統運行管理辦法、支付系統危機應急處置預案。烏海市千里山河套村鎮銀行、烏海市烏拉特村鎮銀行為轄內二級法人機構，其支付系統托管于內蒙古自治區農村信用社聯合社與NPC支付系統連接，其支付系統災備以及應急處置措施均由內蒙古自治區農村信用社聯合社統一管理，本行無自成體系的應用級危機應急管理。

2.非法人機構的應用級災備系統。中國工商銀行烏海分行、中國農業銀行烏海分行等11家金融機構為非法人金融機構，均實現業務集中化管理。其支付系統運行維護、正常情況下的支付往來業務處理以及危機情況下的支付系統應急處置均由其上級行統一管理，本行無自成體系的應用級危機應急管理。

（三）支付系統業務級災備情況

從現場檢查情況看，轄內15家金融機構中11家非法人機構沒有適應本單位業務實際的支付業務級應急處置預案，其支付系統業務級應急處置完全依賴于其上級行統一組織、安排。4家法人機構業務重心均傾向于支付業務的正常、合規運行。一級法人機構支付業務應急處置預案傾向于支付系統應用級災難備援，無業務級災難備援。二級法人機構支付業務應急處置則依賴于其托管行，本行無應急處置措施。

三、存在問題及原因分析

從近幾年對轄內金融機構的現場檢查來看，轄內一級法人機構對支付系統的應用級災備建設比較完善，支付系統業務級災備或未建立或不完善。二級法人機構及非法人金融機構對支付系統的應用級災備建設和業務級災備的管理則完全依賴于其托管行或其上級行，本級機構按照其托管行或其上級行的相關制度規定操作，本行的支付系統業務級災備機制比較欠缺。2016年、2017年人民銀行烏海市中心支行共對轄內11家金融機構開展支付清算現場檢查11場次，發現問題10條，其中6條為支付系統業務應急預案方面的問題，占問題總數的60%。檢查的11家金融機構中4家金融機構的支付系統業務應急預案執行其上級行的應急預案，未制定自己行的支付系統業務應急預案；制定了本行支付系統業務應急預案，但應急預案存在問題的金融機構7家，占檢查機構總數的63.64%。

（一）基層金融機構對支付系統業務級災備的管理不足

在當前金融行業競爭激烈的情況下，逐利本能以及風險防控高壓態勢，使得基層金融機構缺乏對支付系統業務級災備的完善和管理，存在有應用級災備系統做備援就萬事大吉的錯誤思想。

（二）對支付系統業務災備認識不足

隨著金融機構業務集中程度不斷增強，只知其然不知其所以然的操作模式，使得業務人員形成一種惰性思維，對支付系統業務級災備認識不足。

（三）金融機構支付系統業務應急預案內容不具體

2017年對烏海市5家金融機構的支付清算現場檢查中發現有2家法人機構的支付系統業務應急處置預案中無應急處置組織機構，其中1家既無應急處置組織機構，也無應急業務處理流程。2家非法人金融機構直接使用其上級行的支付系統業務應急處置預案，無本行的業務應急處置組織機構。

（四）支付系統業務應急處置預案未落到實處

2016年、2017年現場檢查的11家金融機構中有7家制定了支付系統業務應急處置預案，但均未對業務人員進行應急業務培訓或有培訓從未進行過應急演練。各金融機構均無應急業務使用憑證。

四、幾點建議

一是建議人民銀行總行制定金融機構支付系統業務災備管理辦法，針對支付系統災備機制不完善的金融機構加大處罰的同時納入金融機構的年終綜合評級管理。

二是以人民銀行總行管理辦法為依托，基層人民銀行加大對轄內金融機構支付系統災備管理的監管力度。以此提升基層金融機構領導層對支付系統業務災備管理的重視程度，從而確保支付系統業務級應急預案的有效落實，并使其常態化。

三是金融機構增加年內支付系統業務應急演練的頻次，提高業務人員對支付系統業務災備的認識，使業務人員熟練掌握各種突發事件情況下支付系統業務的處理流程，提升業務人員對突發事件的業務應急處置能力，保證支付業務及時、準確、連續。