基于重大疫情的金融業務連續性管理研究(下)

董屹

摘要：《業務連續性的高級原則》對于金融業開展新冠肺炎疫情防控具有較大 的指導意義和參考價值。要使應對流行病暴發成為金融機構風險管理的有機組成部分，發揮 業務連續性管理對于提高金融行業危機應對能力和業務恢復能力的作用，為有序復工復 產提供堅強后盾。

關鍵詞：業務連續性管理 高級原則 危機應對能力

基于重大疫情的業務連續性管理（BCM）高級原則

2005年，巴塞爾銀行監管委員會（BCBS）、國際證監會組織（IOSCO）和國際保險監督官協會（IAIS）聯合發布了《業務連續性的高級原則》（以下簡稱“高級原則”）。2006年，國際貨幣基金組織（IMF）在此基礎上發布了《禽流感大流行對全球經濟金融的影響以及IMF的作用》。上述兩個文件將適合各行業的通用政策、標準和程序，聚焦到金融行業應對重大疫情（禽流感）上，對于當前新冠肺炎疫情防控具有較大的指導意義和參考價值。

（一）原則一：董事會和高級管理層的職責

原則一要求，金融管理部門和金融機構（以下簡稱“相關主體”）應采取有效和全面的措施進行業務連續性管理，并由董事會和高級管理層承擔最終落實責任。

1.業務連續性管理應成為全面風險管理的組成部分

相關主體應制定業務連續性管理策略、標準和流程，并將其嵌入關鍵操作中。業務連續性管理不僅涉及技術層面，還涉及人員層面。要認識到員工及其家人都會受到疫情影響，員工安全是業務連續性管理的首要考慮因素。

2.人事與團隊

相關主體應建立高級危機管理團隊，向董事會和高級管理層報告與業務連續性管理有關的事項，包括業務連續性管理的執行情況、事件報告、測試結果和行動計劃，以提升相關主體的應變能力或業務恢復能力。高級危機管理團隊的工作組應定期（每月一次或更多次）向高層管理小組報告。相關主體可以考慮聘請危機管理和衛生保健方面的外部專家、顧問來指導工作。

3.其他與頂層設計有關的事項

第一，確定可靠的信息來源，指定負責監測關鍵信息來源的部門，掌握準確的信息對于決策至關重要。第二，將市場風險分析納入戰略規劃和準備工作之中。進行業務連續性管理通常需要關注業務中斷后恢復的速度，而較少進行市場風險分析。第三，確定相關主體的準備工作應達到何種水平。通過成本效益分析來衡量相關主體各部門的盈利能力及所需開展的投資，根據疫情變化情況確定優先次序。

（二）原則二：重要業務運營中斷

原則二要求相關主體應將主要業務中斷的風險納入業務連續性管理，并制訂應對方案。原則二旨在解決疫情期間基礎設施中斷以及人員缺勤情況下的日常管理問題。這些措施包括流動性管理、維護支付系統運行、管理金融市場和交易對手風險敞口、保持自助取款機（ATM）正常運行等。

1.針對疫情的不同階段設計應對措施

第一階段：沒有出現人傳人。儲存重要用品，在關鍵領域設立工作團隊以便進行詳細規劃、協調和測試，應確保這項工作的籌備費用已列入常規預算。

第二階段：確定出現人傳人。應盡可能轉移到其他安全地點開展業務活動，工作人員也應從該地區撤離，但采取該措施的成本較高。

第三階段：在母公司所在國出現個別疫情。籌備工作應加快推進，工作人員開始分散，即便付出高昂的成本，也必須執行這些措施。

第四階段：疫情影響關鍵生產區域或關鍵設施。該機構的所有計劃都必須得到執行。

第五階段：在業務恢復期，員工復工，企業復產，需繼續監測疫情的控制情況，總結相關教訓。

2.確定核心活動或最低基本服務

相關主體可以確定其在每個階段停止提供服務或縮減活動的范圍，且根據疫情進展情況隨時進行調整。此外，應確定為這些關鍵服務提供支持的關鍵員工和用品。

3.創建關鍵員工的“雙團隊”

將關鍵員工分成兩個部門，在不同地點開展業務，培訓相關業務輔助人員（包括外包商和退休人員）。制訂人員配置計劃，確定必須在辦公室完成的工作和可以在家完成的工作。根據可能的缺勤率制定工作流程。

4.集中辦公及交通

相關主體應設立遠程設施和備份設施（包括交易室和財務部門）以滿足必要的集中辦公需要。如果上述設施位于人口密集地區，則應采取措施保護現場免受疫情影響。如果員工被轉移到遠程設施辦公，應確定他們是否需要往返于家和辦公場所之間。確定員工何時會被疏散，以及家屬是否會一同搬走。相關主體應定期對人員或遠程設施、設備和程序進行測試。

5.擴大網絡使用，確保安全的距離

保證網絡安全，提前考慮因使用不同地點的設備可能帶來的安全問題;檢查網絡帶寬對大規模線上作業的承載能力;確定是否有足夠的員工擁有遠程計算能力，包括訪問關鍵程序、所需數據和端口;通過兩班倒或三班倒的方式來減輕服務器的壓力。

6.合規

應明確員工訪問關鍵程序、數據、端口是否已得到授權;研究遠程計算監控技術，確保內部控制質量，必要時可以與監管機構討論對審慎監管規則進行修改，以確保在家工作符合要求（如進行交易報告等）。

7.業務模式受到沖擊時的應對

在可能發生運輸中斷的情況下，確定和維護關鍵物資的庫存。鑒于時間和儲存成本的不確定性，應考慮在關鍵服務提供商不可用時如何應對上述問題。在此情況下，客戶對現金的需求可能會急劇增加，金融機構應儲備現金，確定向分支機構和ATM提供現金的方式。如果業務發生轉移或范圍出現縮減，應明確如何通知客戶以及如何在遠程辦公地點為客戶提供服務。應針對支付系統故障或中央銀行無法提供關鍵服務的情況制訂應急方案。

（三）原則三：恢復目標

原則三要求相關金融業參與者（如金融基礎設施）制定恢復目標，以反映它們對金融系統運作（承擔或者可能造成）的風險。這些恢復性目標可與金融管理部門協商或由金融管理部門制定。為金融系統提供關鍵服務的市場參與者（如為大額支付系統和證券結算體系提供服務的機構）在發生重大業務中斷時，有更大的義務確保金融系統的運行彈性。金融管理部門應對這些參與者制定與其風險承擔能力相一致的恢復目標。

1.恢復目標的設定

金融基礎設施等關鍵參與者應設定最高的恢復目標，其他參與者可確定不太短的恢復時間。強烈建議金融管理部門考慮失敗交易、流動性混亂、償付能力問題和信心喪失等風險來評估恢復目標的合理性。

2.恢復水平和恢復時間

在確定恢復目標時，還應該確定實現這些目標的衡量標準，包括恢復水平和恢復時間。雖然這些目標并不是在任何情況下都能實現，但為金融業參與者提供了測試其業務連續性管理有效性的基準。

3.金融基礎設施（支付系統和證券結算系統）的特別要求

相關主體應確保支付系統和證券結算系統具有迅速和有效的恢復能力。應確定在缺勤率上升的情況下，為保證繼續提供付款和結算服務所需的最低限度的關鍵活動和最低數量的工作人員。確定可以通過遠程方式開展的活動，且需要在便攜式終端和通信技術方面做好準備，確保通信安全，在安全協議的范圍內考慮訪問數據以及遠程使用專有軟件。

（四）原則四：溝通

原則四要求相關主體應明確在發生重大業務中斷時的內外部溝通程序。原則四強調，在重大業務中斷期間，有必要進行清晰、定期的溝通，以管理危機并維持公眾信心。

1.建立溝通團隊

溝通團隊可能包括高級管理人員、公共事務人員、法律和合規顧問，以及負責實施業務連續性管理的人員。這個團隊應該能夠與位于獨立地點、分散在多個地點或遠離主要業務地點的人員進行溝通。

2.確定溝通方式

確定能夠充分溝通的方式，包括手機、衛星電話、固定電話和個人電子郵件。確定并及時更新與員工、供應商和客戶溝通的平臺和備份系統，以便及時進行聯系。

3.溝通事項

通知員工有關機構的基本業務守則，如何實施計劃，如何監督準備工作的開展，以及制定與交易對手（客戶）、監管機構溝通的政策。應建立并保持聯系名單。為了確保最小程度的業務中斷，交易對手應該能夠獲得關于機構將要提供什么服務、在什么條件下提供這些服務以及這些安排是否有變化的信息。明確供應商以及供應中斷時的應對策略。

4.制訂員工教育計劃

提醒員工洗手的重要性，培養健康的飲食習慣，注重體育鍛煉。處于高危狀況的員工需要得到特別照顧。強烈建議員工在感到不適時不要去上班。相關主體應為員工提供寬松的休假政策和非懲罰性的病假政策。

（五）原則五：跨境溝通

原則五要求在發生跨境重大業務中斷時，相關主體應與其他司法管轄區的金融管理部門進行溝通。由于全球金融市場的相互依賴程度不斷加深，重大業務中斷的影響越來越有可能帶來額外的復雜性，相關主體可提前簽署協議。

金融管理部門應在其業務連續性計劃中納入協議，以便在發生影響（或可能影響）國際金融系統運行的重大業務中斷時，與其他司法管轄區的金融管理部門進行溝通。這包括一套原則和程序，可在金融管理部門之間共享信息、意見和評估情況，以及制訂應急計劃，開展壓力測試和模擬演習。這些協議應該建立在現有的跨境關系和多司法管轄協議的基礎上，明確聯系人且定期更新。

鼓勵金融管理部門之間定期討論可能造成重大跨境影響的事件，包括各自市場中斷的影響及其傳染效應，主要市場的緊急關閉或暫停，變更交易時間或者清算結算周期，以及任何可能被延長的監管期限，等等。

（六）原則六：測試

原則六要求相關主體測試其業務連續性計劃，評估其有效性，并適時更新。這種測試應該定期進行，其范圍和頻率取決于業務功能的關鍵程度、機構在市場中的功能、外部環境的重大變化等。應聘請獨立機構，例如內部或外部審核機構，評估機構測試計劃的成效，檢視測試結果，并向高級管理層及董事會報告。

金融管理部門應鼓勵金融行業參與者在其備選地點與相關的關鍵市場參與者（如支付系統、證券結算系統等基礎設施）進行測試，評估市場彈性水平和個體參與者業務恢復的兼容性。

（七）原則七：金融管理部門對業務連續性管理進行審查

原則七要求金融管理部門對業務連續性管理進行審查和評估，確保其能夠反映原則一和原則三所確定的恢復目標。中央銀行和監管機構在危機管理和規劃中發揮著重要作用，應將業務連續性管理審查納入其對金融業參與者的評估框架，審查的范圍和頻率取決于監管要求，使疫情對支付、結算業務和其他金融市場的干擾最小化。

基于重大疫情的業務連續性管理方法一一檢查清單法

基于重大疫情的業務連續性規劃要把員工安全放在首位，明確關鍵人員的補充策略，在高缺勤率條件下保證關鍵業務正常運轉，盡量減少員工之間、員工與客戶的接觸，對制訂業務連續性計劃加強培訓和演練。疫情與地震、火災、恐怖襲擊等災難有很大的差別。第一，后者導致的破壞集中在硬件設備和設施上，因而重點關注場所、數據和設備的恢復方案;前者會導致人力資源的不斷損耗，應定位在人力資源的補充與儲備方面。第二，后者專注于針對一個短暫的事件來恢復基礎設施和關鍵功能，而對于前者，則很難預計其持續的時間和覆蓋的范圍，因此要細分場景，做好打持久戰的準備。第三，后者針對災難發生地，前者可能蔓延至整個地區，并發展成為全球性的災難，等等。在實踐中，檢查清單方法非常實用。例如，日本央行發布了《有效的業務連續性管理：檢查表和指導實踐》（2008）。以下參考美國國土安全部《大流感中核心基礎設施和關鍵資源的準備、響應和恢復指南》（2006），以疫情暴發前的規劃階段為例，針對幾個重點步驟予以示例。

第一，確定核心活動或最低基本服務（見表1）。

第二，確定人員補充計劃（見表2）。

第三，確定員工支持和保護（見表3）。

總結

在當前全球新冠肺炎疫情蔓延的嚴峻形勢下，將重大疫情納入全面的業務連續性管理是題中應有之義，具有重要性和緊迫性。疫情越是吃緊，就越需要金融行業發揮積極的作用。要使應對流行病暴發成為金融機構風險管理的有機組成部分，發揮業務連續性管理在提高金融行業危機應對能力和業務恢復能力中的作用，為有序復工復產提供堅強后盾。

責任編輯：印穎 鹿寧寧