业务连续性的相关文章

1. 业务连续性的相关文章

银监会BCM指引解读及落地123作者：BSI 毛宇众所周知，银行业务对业务连续性方面的要求近乎苛刻，需要采用业内最高标准进行系统的规划，设计和构建。但近期发生的多次银行业务中断事件表明，尽管银行业的灾难恢复和数据保全方面已经非常完善，仍然不能避免业务中断事件的发生，而业务连续性管理所解决的就是“一旦灾难发生，企业能够在多长时间内恢复多少业务”的问题。银监会对业务连续性方面的关注也从其陆续发布的系列指引可见一斑。早在2010年4月银监会发布的《商业银行数据中心监管指引》中，就已经提及了灾难恢复管理，并指出重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》 中定义的灾难恢复等级第5级(含)以上的要求；2011年12月28日银监会更是专门针对业务连续性管理下发了《商业银行业务连续性监管指引》（以下简称：指引），足见银行业对业务连续性的重视。从该指引的结构上来看，其主要要求覆盖了BS 25999标准中的全部主要内容，并针对银行业的具体情况对相关方面进行了量化的规定。指引主要分为八个章节，其中第一章到第五章基本上与BS25999的3到6能够完全对应。第六章描述了所建立的业务连续性管理体系如何在中断事件中应用，第七章则提出了银监会在业务连续性方面的监管要求。指引要求的落地，可以考虑参考被业界广泛认可的来自业务连续性协会BCI的《业务连续管理良好实践指南》,并基于BSI的业务连续管理生命周期模型来实现，共分为六部分工作。一、方针和方案管理：推动组织实施业务连续性管理需要组织在实施初期启动一个业务连续性Program，这一阶段的初始目的是成功的完成一个BCM的生命周期，但是BCM方案管理的长期目标是提高组织的BCM能力，并因此通过实现连续的BCM生命周期循环，加强组织的运营弹性。一旦实施，如果BCM方案有效，则应制定持续改善的周期对其进行管理，在指引中明确规定了持续改善的周期是3年。二、将BCM融入组织文化：指引第九条指出，商业银行应当将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分。实现文化融入的方法和途径在BS 25999的3.3有明确的叙述。三、理解组织：理解组织主要由业务影响分析BIA，风险评估RA和连续性资源分析CRA三部分组成。由于指引针对的是银行这个特定行业，因此在指引中也具体规定了“重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。”的具体要求。四、确定BCM策略：在商业银行具体实施指引过程中要求根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。五、制定和实施BCM响应：指引中要求商业银行应该制定覆盖所有重要业务的业务连续性计划，并建立制定总体应急预案和重要业务专项应急预案。同时还强调了应当要求重要业务及信息系统的外部供应商建立业务连续性计划，证明其业务连续性计划的有效性，其业务恢复目标应当满足商业银行要求。另外根据银行业同业间的特点，特别强调了商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接问题。六、演练、保持和评审:指引强调商业银行应当开展业务连续性计划演练，以检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。商业银行应当将外部供应商纳入演练范围并定期开展演练；同时，应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练，确保应急和协调措施的有效性。指引要求商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。指引的最后部分强调指出了银监会对业务连续性管理的监管要求。指引中要求商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告，包括上一年度业务连续性管理的评估报告与审计报告。此类报告的完成可以自行完成，但考虑到专业性和公信力的问题，银行也可以考虑请BSI这样对标准有深入理解，对行业有丰富经验的专业第三方公司或组织来进行。今年5月15日第一个业务连续性管理国际标准ISO 22301 正式发布，该标准是BSI对行业的再一个重大的贡献。作为行业的领先者BSI目前已经在100多个国家进行了ISO 22301的前身BS 25999相关服务的推广，并在43个国家开展了BS 25999的认证业务。借助BSI在业务连续性管理方面丰富的经验，必将为提升银行业业务连续性能力做出贡献。

2. 如何保证银行的业务连续性？

行业监管不手软
银行业的运营高度依赖于信息系统，系统资源和金融数据也趋于集中化处理，这给银行连续性经营带来很大风险。一旦出现业务运营中断，其后果将导致单一银行业务停顿，极端情况下甚至产生可能诱发全行业的业务中断，所产生的损失不可预估。
为此，《指引》从行业监管的角度提出了商业银行应当建立业务连续性管理体系的战略规划，拓展了商业银行全面风险管理体系的理论和实践的内涵与外延，并从四个方面对我国商业银行建立业务连续性管理的体系和流程做出规定和论述。
首先，明确地指出了我国商业银行业务连续性组织架构的跨部门和多部门全力协作的统筹特征，设立专门的业务连续性管理委员会，将高级管理层和各业务条线部门、风险管理部门等有关业务连续性的业务单元进行统筹管理。
其次，明确了业务连续性计划的“系统性”特征。业务连续性计划是灾难事故的预防和反应机制，是一系列事先制定的策略和计划，提供了银行应对中断事件之弹性预防准备与快速应急响应、及时恢复重启的流程，包含危机沟通计划、安全、撤离计划、恢复计划等。
第三，强化计划的演练、维护和持续改进。明确商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练；在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练等硬性要求。
最后，开发最坏情境假设，提高商业银行巨灾下灾难恢复和业务连续性的能力。目前，国内银行的业务连续性管理主要集中在系统故障、人员操作和电力中断等大概率事件上，对遭受自然灾害、传染病流行等小概率大破坏的巨灾缺乏应有的计划和尚未建立完善，对巨灾情境开发和应对准备程度不够，这些因素将成为制约商业银行业务连续性的瓶颈。
居安思危常演练
“业务连续性管理是个跨界的工作，不仅需要基于IT系统的灾难备份和恢复，更需要企业不同层级人员共同参与，各类资源协同工作，建立以危机管理为核心的全面业务连续性管理体系。”中金数据系统公司咨询服务部总经理尹晖告诉记者。目前，中金数据已经为建设银行、交通银行等多家国有大型商业银行及城商行提供BCM管理和咨询服务。
尹晖透露说，目前银监会对于商业银行业务连续性管理的监管重点，除了银行IT基础设施环境、灾备建设、应急管理和业务连续性体系建设外，还对演练的频度、类型进行了明确要求，其中商业银行需要开展多形式、跨部门、跨地域演练和实地演练，这对银行提出了更高要求。
为此，中金数据在中金业务持续管理软件CeBCM3.0版中增加了“应急和演练”功能，根据实际环境去检验、修正紧急预案的功能，通过演练，强化员工在发生紧急情况时进行应对的方法，并提高处理突发事件的能力。中金数据咨询服务部副总经理李可说，对于行业用户来说，灾备管理和多种情况的演练非常重要，生产和灾备的切换更应该多次演练。
测试和演练是验证银行业务连续性管理计划的有效性、完整性和可操作性，确保资源的可用性的必要保障和基础环节。通过对各种相关计划定期的进行测试和演练，根据发现的问题、变化了的人员、资源以及环境，不断对计划进行更新和维护，从而确保这些计划能够在中断事件中成功的实施。
2011年9月建设银行总行风险管理部协调总行安保部、总务部、营运管理部、电子银行部、公关部、个人存款与投资部、信息技术管理部等7个部门，先后前往四川、广西等省，组织分行开展了以地震、洪灾、火灾为场景的业务连续性综合演练，重点的内容包括极端灾难场景下的备用场地恢复、人员救治和疏散、手工业务恢复和替代以及媒体应对和危机公关等，实现其业务连续性管理体系贯穿总行、分行和支行各个层面。
此外，在演练中业务系统和灾备系统之间的切换是管理的重点和难点。李可告诉记者：“切换时有风险的，尤其是系统回退。”为了解决这个问题，交通银行在BCM项目中引入了面向日常演练和应急保障的业务持续性管理平台和相关资讯服务，提高了风险评估和业务影响分析的工作效率，改进了应急预案质量。
交通银行数据中心总经理高君表示：“我们开发的数据中心持续性管理系统，重点完成了应急演练和应急处理等功能，将传统的桌面演练变成了一个可记录模拟演练，并可进行事后评估。同时，让我们的工作人员可以按照固定周期进行演练，熟练演练过程和内容，提高了演练的有效率。”
目前，交通银行已经实现了大规模系统灾备切换的自动化，并且在国内银行中首次实现了数据中心与同城备份中心之间的业务系统切换运行和回切，业务恢复时间仅1.5小时，并做到了零数据丢失（RPO为0），达到了国际先进水平。

3. 如何实现银行业务的连续性管理

这正是业务连续性计划派上用场的地方。为了确保企业应对灾难，你需要部署一个可行的经过测试的计划，如果没有制定这种计划，不只是意味着你可能需要花更长的时间来从事故或事件中恢复过来，这甚至可能意味着你的企业永远无法恢复。
业务连续性计划和灾难恢复计划有何不同
业务连续性(BC)是指在发生重大中断的情况下，维持业务功能或者快速恢复功能，无论中断是源自火灾、水灾、流行性疾病还是互联网恶意攻击。业务连续性计划需要描述在面对这些灾难时，企业必须遵守的程序和指令，并且，它还改了业务流程、资产、人力资源、业务合作伙伴等各个方面。
很多人认为灾难恢复计划与业务连续性计划是同一件事情，但事实上，灾难恢复计划主要侧重于在灾难后恢复IT基础设施和业务，这只是完整的业务连续性计划的一个组成部分，业务连续性计划关注的是整个企业的连续性。在灾难发生后，你能否有办法让人力资源、生产制造、销售和支持团队保持正常运作，以确保公司可以继续赚钱?
例如，你的客户服务代表所在的建筑被龙卷风夷为平地，这些客户服务代表应该如何处理客户来电?他们能否暂时在家里办公，或者在备用场地办公?SunGard等公司专门向这些遭遇灾难性事故的企业出租隔间，其中包括桌子、电话和计算机，以及基于服务和设备的灾难恢复服务。
请注意，业务影响分析(BIA)是业务连续性计划的另一个组成部分。BIA能够确定突然失去业务功能带来的影响，它通常会量化这种影响。这种分析也可以帮助你评估你是否应该外包业务连续性计划中非核心业务。基本上，BIA可以帮助你查看整个企业的流程，并确定哪些流程是最重要的。
为什么业务连续性计划这么重要
无论你运营的是小型企业还是大型企业，你都需要不断保持竞争力。从这一点来看，留住现有客户以及增加客户群是至关重要的，因此，你必须确保业务的连续性。
对于大多数企业而言，恢复IT是关键，现在有很多灾难恢复解决方案。你可以依赖于IT来部署这些解决方案。但其余企业功能呢?你的企业的未来取决于你的员工和流程。能够有效地处理任何事故将对你企业的声誉和市场价值有着积极的作用，并且可以增加客户对你企业的信心。
首先创建一个业务连续性计划
如果你的企业还没有一个业务连续性计划，你可以先评估你的业务流程，确定哪些领域容易受到影响，以及如果这些流程出现问题(一天、几天或者一个星期)，企业会有什么影响，这基本上是业务影响分析。下一步，制定一个计划。你可以使用网上的免费模板，或者找到与你企业相似的企业的现有的计划，然后根据自己的需要进行修改。
创建业务连续性计划一般涉及下面六个步骤：
1. 确定该计划的范围。
2. 确定关键的业务领域。
3. 确定关键功能。
4. 确定各个业务领域和功能之间的依赖关系。
5. 确定每个关键功能的可接受的停机时间。
6. 创建一个计划来维持运营。
一个常见的业务连续性规划工具是一个清单，其中包括物质和设备、数据备份的位置和备份站点，紧急救援人员联系方式、主要人员和备份站点供应商等。
请记住，灾难恢复计划是业务连续性计划的一部分，所以请与你的IT部门确保他们已经有或者正在积极制定灾难恢复计划。
当你创建计划时，你可以询问企业中成功走出灾难的关键人员，他们通常都会乐于分享这种“灾难故事”以及帮助他们化险为夷的步骤和技术(或者巧妙的构思)。他们的见解将帮助你制定一个坚实的业务连续性计划。
测试你的业务连续性计划
你需要对业务连续性计划进行严格的测试，以确保这个计划的完整性以及它能够实现其与其目的。很多企业测试业务连续性计划的频率是一年两到四次，这个频率取决于你的企业类型、关键人员的流动率、业务流程的数量以及自最后一轮测试以来IT发生的变化。
常见的测试包括桌面演练、结构化穿行测试和模拟测试。测试团队通常包括恢复协调员以及来自每个部门的成员。
桌面演练通常发生在会议室内，各团队研读该计划，寻找计划中的问题，确保所有业务部门都参与其中。
在结构化穿行测试中，每个团队成员详细描述其计划来找出问题。通常情况下，在进行这种测试时，各团队会假设一个特定的灾难事件。一些企业在结构化穿行测试中还加入了演练和角色扮演。在测试中发现的任何错误都应予以纠正，并将更新的计划分发到所有相关人员。
企业每年至少执行一次全面的紧急疏散演练，这种测试类型让你可以确定你是否需要特别的安排来帮助身体不便的人员撤离。
最后，灾难模拟测试应该每年进行一次。对于这个测试，企业可以创建一个模拟实际灾难的环境，涉及所有设备、物质和人员(包括业务合作伙伴和供应商)等。这种模拟测试的目的是确定你在灾难事件中是否能够保持关键业务功能的运行。
在业务连续性测试的每个阶段，应该涵盖测试团队的一些新员工，“新鲜的眼睛”能够找出有经验的团队成员忽略的问题或者失效的信息。
最后审查和改善你的业务连续性计划
企业需要付出很多努力来制定计划以及初步测试计划。在完成这两项工作后，一些企业就开始“坐以待毙”，不再对计划进行改进，当发生这种情况时，计划可能会很快失效，在需要的时候无法发挥作用。
技术正在日新月异，人员也来来去去，计划当然也需要不断更新。企业应该至少每年对计划进行审查，并讨论需要修改和完善的部分。
在这种审查之前，征求员工对该计划的反馈意见。询问所有部门或业务但闻的意见来审查计划，包括分支机构或者其他远程单元。如果你不幸遭遇了灾难，并将计划付诸行动，请确保一定要从中吸取经验教训，并整合到计划中。很多企业通过结合桌面演习和结构化穿行测试来审查计划。
如何确保业务连续性计划的支持、意识
如果你对这种计划的重要性抱着漫不经心的态度的话，你的企业无法成功执行该计划。企业各个部门都应该支持业务连续性计划，这意味着高层管理人员必须参与计划的制定和改进;没有人可以将这种职责委托给下属。此外，如果高级管理人员提供足够的时间来审查和测试计划的话，这种机会将更加可行。
管理也是提高用户意识的关键。如果员工不知道这个业务连续性计划，当灾难发生时，他们如何能够做出正确的反应?虽然计划分配和培训可以有业务部门经理或者人力资源人员进行，企业高层管理人员也应该参与到培训中，这会对所有员工有着更大的影响，让他们意识到该计划的可信性和紧迫性。

4. 兴业银行业务连续性是否率先获国际认证及大奖？

2018年8月10日报道，近日，英国标准协会 (British Standards Institution)2018年客户交流会在上海举行。会上，中国银行业首家通过ISO22301业务连续性管理体系国际标准认证的兴业银行数据中心，荣获2018年度“运营韧性卓越奖”，标志着兴业银行的业务连续性管理水平再度获得国际标准权威机构的认可，也彰显该行为客户提供持续高质量服务的实力。


据了解，今年6月，兴业银行数据中心以“零不符合项”顺利通过了ISO22301业务连续性管理体系国际标准认证，成为中国银行业首家获得该证书的数据中心。此前，该中心还先后通过ISO20000 IT服务管理体系国际标准认证、ISO27001信息安全管理体系国内国外双证认证和数据中心服务能力优秀级认证。诸多标准认证的通过，反映了该行IT运维服务与和信息安全的流程化规范化管理水平，这也是系统安全稳定的基石。
据悉，ISO22301是业务连续性管理体系(Business Continutity Management System)的国际标准，是国际标准化组织于2012年5月15日正式发布的。该体系认证旨在明确组织面对重大灾难时，在技术、服务、运营、对外沟通、公关等职能及部门间的协调能力以及资源调配、快速恢复业务的能力和机制。它提供了一种完整通用的业务连续性管理方法和语言，是一套为全球接受的业务可持续发展的国际级方法论，也代表了银行业乃至各个行业的管理趋势。

金融行业的业务连续性管理能力，向来被金融消费者、投资者高度关注，因为一旦遭遇自然灾害与人为事故等突发情况导致业务中断，将损失巨大。兴业银行拥有辐射全国、面向境外的机构体系和业务网络，业务需求和信息系统日益复杂，特别是随着兴业银行香港分行的成立，兴业银行成为国内首家将海外分行核心业务系统直接部署在内地的银行，对数据中心运维服务的可靠性、安全性、可持续性提出了更高的要求。该行数据中心引入ISO22301国际标准，通过业务影响性分析、风险评估、内部审核及管理评审等体系维护工作，提升危机突发时的自我恢复能力，以减少风险突发对全行和集团内各子公司整体业务运行的影响， 为客户提供安全、可靠、可持续的服务。

5. 兴业银行业务连续性获得国际认证吗？

近日，英国标准协会2018年客户交流会在上海举行。会上，中国银行业首家通过ISO22301业务连续性管理体系国际标准认证的兴业银行数据中心，荣获2018年度“运营韧性卓越奖”，标志着兴业银行的业务连续性管理水平再度获得国际标准权威机构的认可，也彰显该行为客户提供持续高质量服务的实力。

据了解，今年6月，兴业银行数据中心以“零不符合项”顺利通过了ISO22301业务连续性管理体系国际标准认证，成为中国银行业首家获得该证书的数据中心。此前，该中心还先后通过ISO20000 IT服务管理体系国际标准认证、ISO27001信息安全管理体系国内国外双证认证和数据中心服务能力优秀级认证。诸多标准认证的通过，反映了该行IT运维服务与和信息安全的流程化规范化管理水平，这也是系统安全稳定的基石。

据悉，ISO22301是业务连续性管理体系的国际标准，是国际标准化组织于2012年5月15日正式发布的。该体系认证旨在明确组织面对重大灾难时，在技术、服务、运营、对外沟通、公关等职能及部门间的协调能力以及资源调配、快速恢复业务的能力和机制。它提供了一种完整通用的业务连续性管理方法和语言，是一套为全球接受的业务可持续发展的国际级方法论，也代表了银行业乃至各个行业的管理趋势。

金融行业的业务连续性管理能力，向来被金融消费者、投资者高度关注，因为一旦遭遇自然灾害与人为事故等突发情况导致业务中断，将损失巨大。兴业银行拥有辐射全国、面向境外的机构体系和业务网络，业务需求和信息系统日益复杂，特别是随着兴业银行香港分行的成立，兴业银行成为国内首家将海外分行核心业务系统直接部署在内地的银行，对数据中心运维服务的可靠性、安全性、可持续性提出了更高的要求。该行数据中心引入ISO22301国际标准，通过业务影响性分析、风险评估、内部审核及管理评审等体系维护工作，提升危机突发时的自我恢复能力，以减少风险突发对全行和集团内各子公司整体业务运行的影响， 为客户提供安全、可靠、可持续的服务。
据介绍，在业务连续性管理建设方面，兴业银行向来不遗余力。兴业银行数据中心自2001年成立以来，目前已在福州、上海、成都多地建设机房，建成了以上海张江机房、上海外高桥机房和福州中山机房为主的核心业务系统主备机与同城灾备、异地灾备相结合的三位一体灾备体系，同时为该行总行和集团内各子公司提供运维服务，并通过“一键式”切换脚本实现了分钟级别的主备切换和灾备切换。此外，该行重要信息系统灾难恢复等级已达到第五级(最高六级)，为践行社会责任、维护正常的运营秩序和公众信心提供了强有力的保障。

6. 风险管理和业务连续性管理哪个好

随着经济、金融全球化和信息技术的加速发展，国内外竞争愈趋加剧，金融危机使得金融环境变得日趋复杂。在当前经济社会中，商业银行在国民经济中起着“中流砒柱”的作用，各项业务连续运营会对经济、金融形势产生深刻影响，也关乎社会稳定。为防止由于突发事件、技术缺陷、管理不到位等而导致业务中断，建立一套以风险管理为核心的风险管理体系，是确保商业银行业务连续运营和健康发展的重要途径，这也是商业银行面临的重点和难点工作。
一、商业银行风险管理的形势与背景
从国际上来看，商业银行风险管理的发展依赖于突发事件的驱动，突发事件的频繁发生促使了风险意识的提高，并推进了风险管理的快速发展，例如，911事件加速了美国商业银行风险管理的完善进程。
从国内情况来看，商业银行风险管理起步于本世纪初，基本围绕应急管理和突发事件恢复两个方面开展。汉川地震、南方雪灾等自然灾害和2006年4月银联跨行交易系统故障等突发事件提升了商业银行对风险管理的认识和重视，随着风险管理对信息技术依赖度的提升，保障信息系统服务功能在突发事件发生时能够快速恢复显得尤为迫切。
2005年国务院信息化工作办公室发布了《重要信息系统灾难恢复指南》，有力地促进了商业银行应对灾难恢复系统的建设。2011年12月银监会发布了《商业银行业务连续性监管指引》，明确要求商业银行重要业务恢复时间不得大于4小时、重要业务恢复点不得大于半小时。根据监管要求和商业银行内部风险管理需要，部分商业银行成立专门机构着手开展业务连续性规划设计工作，但风险管理工作对商业银行来说是全新领域，各商业银行对此项研究仍处在“摸着石头过河”阶段，在资源投入、管理体系、灾难恢复等多方面存在较大差异且进展缓慢。
二、商业银行风险管理的价值与意义
据权威机构统计，美国近10年来因遭遇突发事件导致数据丢失，造成业务无法连续开展的公司中有55%立刻倒闭，29%两年之内倒闭。
据评估机构对我国商业银行业务影响的评估，判定若一家商业银行发生全行业务中断8小时，所造成的直接财物损失不低于2亿元，若中断24小时，损失超过5亿元。2006年4月银联全国跨行交易系统瘫痪6个小时，国内大部分商户的POS无法正常刷卡消费，所有ATM终端无法跨行交易，造成的经济损失无法估计，社会影响重大且深远。
因此，对商业银行来说业务中断是致命的，声誉、竞争力、财务等都会因此而遭受惨重损失，需要花费若干倍的代价才能挽回。商业银行切实提升业务连续性风险管控能力，全力保障各信息系统的安全稳定运行，才能更好地推动各项业务的健康、快速发展。
从长远来看，商业银行风险管理的价值并非仅仅在于应对突发事件和提高生存能力，许多发达国家的商业银行风险管理已成为其改善经营管理、承担社会责任的重要保障，是提高风险防控能力、持续开展各项业务、保持竞争优势的重要基础。可以说，商业银行风险管理直接关系到商业银行的国际竞争力，对其长期、可持续、健康发展具有深远的战略意义。
三、商业银行风险管理的现状与问题
近年来，我国商业银行客户数量、交易量、交易金额均增加迅猛，一旦突发事件造成业务中断，可能影响商业银行乃至整个金融体系的正常运转，并殃及社会稳定。商业银行正在积极推进风险管理并初见成效，为防范业务中断起到了积极作用。
1.主要成绩
(1)商业银行正在积极构建应急管理体系，确立了应急管理组织架构，加强了内部各职能部门的协调配合，形成统一的应急响应流程和通知报告机制，规范了第三方技术提供者行为，增强了突发事件的应对处置能力。
(2)商业银行正在积极提升应急处置能力，积极开展应急演练、灾备恢复演练，加强内部部门之间以及银行与通讯、电力、银联等外部机构之间的联防协作，提高了应对信息系统突发事件的能力和信心。
(3)商业银行正在积极开展灾备系统建设，积极推进“两地三中心”(同城互备、异地灾备)建设，可以有效应对城区内事故(建筑物倒塌、社区电力或通信设施毁坏等)、区域性突发事件(地震、洪灾、战争等)。划分了信息系统灾备等级，明确了不同等级系统灾备要求。
大多数商业银行建立了同城灾备系统，保障核心业务数据安全，在突发事件发生时确保核心业务快速恢复，例如，四大银行的灾备系统基本成熟，业务连续性方案建设有待完善;股份制银行的灾备系统趋于成熟，业务连续性方案建设有待加强;城市商业银行的灾备系统处于起步阶段，业务连续性方案建设有待发展;外资银行的部分灾备系统及业务连续性方案已经完善。
2.存在主要问题
商业银行在风险管理方面依然存在一些不足之处，需要进一步加强风险管理力度。
(1)部分商业银行对风险管理的重要性和价值认识不足，尚未形成有效的风险管理体系，对风险管理缺乏必要的理解，特别是高层管理人员，认为“投入大、收益小”。大部分风险管理参与人员来自IT部门，业务连续性计划仅作为突发事件处理的应急预案，未建立风险管理的组织体系。
(2)部分商业银行风险管理的应急预案体系不够完善，业务应急机制缺乏，外部应急协调不足。没有业务层面应急管理机制的开发和演练，场地应急、人员应急等风险管理重要环节缺乏实质性的建设。业务连续性演练仅停留在信息系统层面，缺乏涵盖业务、技术和后勤保障等多方面的全行性协同演练，导致应急和灾备恢复能力的有效性无法得到验证。在信息系统应急演练中，业务部门配合不足、业务人员参与力度不大、业务覆盖不全，一旦出现意外，应急预案可能无法发挥作用，与外部机构的协作联动也明显不足。
(3)部分商业银行的灾备环境建设缓慢，“两地三中心”尚处在建设阶段，无法投入使用，一旦发生突发事件，无法启动灾备环境。灾备中心只停留在核心账务数据保护层面，一旦发生突发事件，很难实现重要交易的快速恢复、重要客户及交易数据的快速恢复。
(4)部分商业银行应对突发事件的业务恢复目标不明确，灾备资源的有效性保障不足，灾备系统建设覆盖面不够。存在缺乏风险评估、业务影响分析、交易有效梳理、开放系统数量庞大、交易路径过于复杂、灾备系统覆盖不足等现象。虽然部分商业银行建立了灾备中心，但业务分类分级、差异化的业务恢复目标不明确。灾备切换演练未能真正贴近实战，在灾备人员配置、应急演练有效性验证等方面存在不足。
四、商业银行风险管理的建议与意见
为了更好地防控业务连续性操作风险，确保各项应急措施能在突发事件、技术缺陷等因素所导致的风险发生时起到积极作用，确保全行业务连续稳定运行的能力，
建议商业银行做好以下几项工作:
(1)商业银行要进一步提升对风险管理的认识，建立常态化评估维护机制，企业层形成风险管理文化，管理层加强风险管理认知，员工层提高风险防控意识，自觉自愿地参与风险管理的各流程中，将其提升到全行战略层面。
(2)商业银行要进一步加快建立和完善风险管理体系，积极推进《商业银行业务连续性监管指引》的贯彻落实，充分借鉴和引进国际先进实践案例和标准规范。
建立完善的突发事件恢复组织体系和突发事件应急恢复流程。科学制定业务连续性计划，系统推进应急体系、灾备系统建设。成立灾备应急组织，包括应急领导小组、业务恢复小组、应急恢复小组、技术支持小组、行政支持小组等。
加快集中式营运中心共享场地建设，各个中心之间实行互备运行，当一个办公场地发生场地级的突发事件后，其承担的业务自动并迅速转发到其他共享场地，从而保持业务连续性。加强组织队伍建设，明确责任、落实职责。
(3)商业银行要进一步建立有效的多部门应急协作联动机制。
虽然商业银行多个部门建立了应对突发事件的应急预案和组织机构，但部门间的条块分割管理使协调较为困难，难以形成合力，极大地影响了应急效能。应充分借鉴国外先进经验，对内，要深入推动有效的应急联动处置机制建设，制定联合应急预案，成立跨业的应急处置小组，加强信息沟通、资源共享、统一协调，提高处置能力;对外，要加强商业银行与电力、电信、公安等部门的信息交流，建立风险监测预警机制，整合资源，积极开展风险分析和预警。制定商业银行与其他政府部门的跨业应急预案，提高商业银行应对突发事件能力和水平。
(4)商业银行要进一步加大力度推进应急演练工作，积极开展行业性应急演练和金融跨业应急演练，鼓励风险管理的演练活动，组织协调由金融管理部门、基础设施供应商、多金融机构的联合演练，持续提高风险管理的实践能力，增强我国商业银行整体业务连续性能力。
为了确认连续性计划的正确性和有效性，不断完善和优化突发事件恢复流程，应定期安排不同级别的突发事件恢复应急演练。根据突发事件恢复演练的不同级别和参与范围，组织系统级突发事件恢复演练、应用级突发事件恢复演练、业务级突发事件恢复演练(或称“灾备总体恢复演练”)，级别最高的业务级突发事件恢复演练，主要是为了验证全行突发事件恢复应急处理能力，演练范围涉及全行境内外所有机构。
(5)商业银行要进一步加快灾备环境体系建设，形成真正可以承担突发事件的灾备体系方案。
第一，加快灾备环境建设。“两地三中心”模式可以满足突发事件场景下的恢复要求，实现更灵活的风险应对。在架构布局上，同城双中心采取双活模式运行，具备并行的、基本相同的业务处理能力，通过高速链路实时数据同步。同城双活中心用于区域级突发事件恢复，当出现社区突发事件导致某个中心失效时，可在基本不丢失数据的情况下进行双中心间的应急切换，保障业务连续运营。异地灾备中心用于同城双中心的突发事件恢复，当出现大范围自然灾害等原因导致同城双活中心同时失效时，可以用灾备系统接管重要业务。
第二，加快核心业务灾备系统建设。商业银行核心业务系统灾备架构由同城双活生产系统和异地灾备系统组成，同城双活生产系统数据采用同步复制技术。正常情况下，核心业务运行在两个中心的核心业务上，当一个中心核心业务发生突发事件时，可以无缝地将业务切换到另一中心的核心业务上运行，并确保数据零丢失。异地灾备系统采用异步复制技术实现磁盘数据镜像，当同城双活核心系统同时发生突发事件时，由灾备中心的专职人员实施突发事件恢复系统应急切换工作，系统可以在2小时内接管全行核心业务，最大数据丢失时间控制在2分钟以内。
第三，加快开放平台灾备系统建设。商业银行针对开放平台应用种类繁多、系统数量庞大、突发事件恢复需求差异大等特点，以业务影响分析为基础，制定了应用系统灾备等级标准，可以分为E)个层级的应用等级划分并实施差异化配置标准。在等级划分上，注重对柜面业务、ATM,POS、电子渠道等关键业务实现端到端的高等级灾备保护，即当某应用系统被“高等级”应用系统实时调用，则其灾备等级要保持和“高等级”应用系统一致。
第四，加强分支机构灾备系统建设。商业银行减少分行、分支机构机房部署的系统，减轻营业网点与数据中心的通信网络的依赖性，必要时可以直接连接总行数据中心。分行机房一旦发生突发事件，通过通信部门及时切换直接连接总行数据中心，确保分行辖内业务的连续运行。
(6)商业银行要进一步建立风险管理的评估机制，要建立对监管部门、商业银行的风险管理计划和活动的评估维护程序，发现问题、持续改进、提高质量。
要研究建立商业银行业务连续性管理的成熟度模型，促使商业银行的业务连续运营能力从初级阶段达到高级阶段，具体表现为高度协调、可衡量，具备高度成熟、能应对百年一遇甚至更高标准突发事件的能力。
商业银行风险管理是持续改进的过程，将业务连续性管理提升至银行战略发展高度，加强管理层面的操作流程梳理，包括危机预测、危机管理、应急管理以及制定业务连续性计划。循序渐进地推进业务连续性建设，建立流程化、体系化、平台化的业务连续性管理框架，通过专业培训、桌面演练等多种形式不断加强和改进业务连续性管理。

7. 商业银行应指定什么作为内控管理职能部门

商业银行内部控制指引
　　第一章 总 则
　　第一条
　　为促进商业银行建立和健全内部控制，有效防范风险，保障银行体系安全稳健运行，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。
　　第二条
　　中华人民共和国境内依法设立的商业银行适用本指引。
　　第三条
　　内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。
　　第四条
　　商业银行内部控制的目标：
　　（一）保证国家有关法律法规及规章的贯彻执行。
　　（二）保证商业银行发展战略和经营目标的实现。
　　（三）保证商业银行风险管理的有效性。
　　（四）保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。
　　第五条
　　商业银行内部控制应当遵循以下基本原则：
　　（一）全覆盖原则。商业银行内部控制应当贯穿决策、执行和监督全过程，覆盖各项业务流程和管理活动，覆盖所有的部门、岗位和人员。
　　（二）制衡性原则。商业银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制。
　　（三）审慎性原则。商业银行内部控制应当坚持风险为本、审慎经营的理念，设立机构或开办业务均应坚持内控优先。
　　（四）相匹配原则。商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进行调整。
　　第六条
　　商业银行应当建立健全内部控制体系，明确内部控制职责，完善内部控制措施，强化内部控制保障，持续开展内部控制评价和监督。
　　第二章 内部控制职责
　　第七条
　　商业银行应当建立由董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门组成的分工合理、职责明确、报告关系清晰的内部控制治理和组织架构。
　　第八条
　　董事会负责保证商业银行建立并实施充分有效的内部控制体系，保证商业银行在法律和政策框架内审慎经营；负责明确设定可接受的风险水平，保证高级管理层采取必要的风险控制措施；负责监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。
　　第九条
　　监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会、高级管理层及其成员履行内部控制职责。
　　第十条
　　高级管理层负责执行董事会决策；负责根据董事会确定的可接受的风险水平，制定系统化的制度、流程和方法，采取相应的风险控制措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行；负责组织对内部控制体系的充分性与有效性进行监测和评估。
　　第十一条
　　商业银行应当指定专门部门作为内控管理职能部门，牵头内部控制体系的统筹规划、组织落实和检查评估。
　　第十二条
　　商业银行内部审计部门履行内部控制的监督职能，负责对商业银行内部控制的充分性和有效性进行审计，及时报告审计发现的问题，并监督整改。
　　第十三条
　　商业银行的业务部门负责参与制定与自身职责相关的业务制度和操作流程；负责严格执行相关制度规定；负责组织开展监督检查；负责按照规定时限和路径报告内部控制存在的缺陷，并组织落实整改。
　　本指引所称商业银行业务部门是指除内部审计部门和内控管理职能部门外的其他部门。
　　第三章 内部控制措施
　　第十四条
　　商业银行应当建立健全内部控制制度体系，对各项业务活动和管理活动制定全面、系统、规范的业务制度和管理制度，并定期进行评估。
　　第十五条
　　商业银行应当合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。
　　商业银行应当采用科学的风险管理技术和方法，充分识别和评估经营中面临的风险，对各类主要风险进行持续监控。
　　第十六条
　　商业银行应当建立健全信息系统控制，通过内部控制流程与业务操作系统和管理信息系统的有效结合，加强对业务和管理活动的系统自动控制。
　　第十七条
　　商业银行应当根据经营管理需要，合理确定部门、岗位的职责及权限，形成规范的部门、岗位职责说明，明确相应的报告路线。
　　第十八条
　　商业银行应当全面系统地分析、梳理业务流程和管理活动中所涉及的不相容岗位，实施相应的分离措施，形成相互制约的岗位安排。
　　第十九条
　　商业银行应当明确重要岗位，并制定重要岗位的内部控制要求，对重要岗位人员实行轮岗或强制休假制度，原则上不相容岗位人员之间不得轮岗。
　　第二十条
　　商业银行应当制定规范员工行为的相关制度，明确对员工的禁止性规定，加强对员工行为的监督和排查，建立员工异常行为举报、查处机制。
　　第二十一条
　　商业银行应当根据各分支机构和各部门的经营能力、管理水平、风险状况和业务发展需要，建立相应的授权体系，明确各级机构、部门、岗位、人员办理业务和事项的权限，并实施动态调整。
　　第二十二条
　　商业银行应当严格执行会计准则与制度，及时准确地反映各项业务交易，确保财务会计信息真实、可靠、完整。
　　第二十三条
　　商业银行应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产和重要凭证及时进行盘点。
　　第二十四条
　　商业银行设立新机构、开办新业务、提供新产品和服务，应当对潜在的风险进行评估，并制定相应的管理制度和业务流程。
　　第二十五条
　　商业银行应当建立健全外包管理制度，明确外包管理组织架构和管理职责，并至少每年开展一次全面的外包业务风险评估。涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包。
　　第二十六条
　　商业银行应当建立健全客户投诉处理机制，制定投诉处理工作流程，定期汇总分析投诉反映事项，查找问题，有效改进服务和管理。
　　第四章 内部控制保障
　　第二十七条
　　商业银行应当建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统，及时、准确记录经营管理信息，确保信息的完整、连续、准确和可追溯。
　　第二十八条
　　商业银行应当加强对信息的安全控制和保密管理，对各类信息实施分等级安全管理，对信息系统访问实施权限管理，确保信息安全。
　　第二十九条
　　商业银行应当建立有效的信息沟通机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保相关部门和员工及时了解与其职责相关的制度和信息。
　　第三十条
　　商业银行应当建立与其战略目标相一致的业务连续性管理体系,明确组织结构和管理职能,制定业务连续性计划,组织开展演练和定期的业务连续性管理评估，有效应对运营中断事件,保证业务持续运营。
　　第三十一条
　　商业银行应当制定有利于可持续发展的人力资源政策，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，保证从业人员具备必要的专业资格和从业经验，加强员工培训。
　　第三十二条
　　商业银行应当建立科学的绩效考评体系、合理设定内部控制考评标准，对考评对象在特定期间的内部控制管理活动进行评价，并根据考评结果改进内部控制管理。
　　商业银行应当对内控管理职能部门和内部审计部门建立区别于业务部门的绩效考评方式，以利于其有效履行内部控制管理和监督职能。
　　第三十三条
　　商业银行应当培育良好的企业内控文化，引导员工树立合规意识、风险意识，提高员工的职业道德水准，规范员工行为。
　　第五章 内部控制评价
　　第三十四条
　　商业银行内部控制评价是对商业银行内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估等系统性活动。
　　第三十五条
　　商业银行应当建立内部控制评价制度，规定内部控制评价的实施主体、频率、内容、程序、方法和标准等，确保内部控制评价工作规范进行。
　　第三十六条
　　商业银行内部控制评价应当由董事会指定的部门组织实施。
　　第三十七条
　　商业银行应当对纳入并表管理的机构进行内部控制评价，包括商业银行及其附属机构。
　　第三十八条
　　商业银行应当根据业务经营情况和风险状况确定内部控制评价的频率，至少每年开展一次。当商业银行发生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化，或其他有重大实质影响的事项发生时，应当及时组织开展内部控制评价。
　　第三十九条
　　商业银行应当制定内部控制缺陷认定标准，根据内部控制缺陷的影响程度和发生的可能性划分内部控制缺陷等级，并明确相应的纠正措施和方案。
　　第四十条
　　商业银行应当建立内部控制评价质量控制机制，对评价工作实施全流程质量控制，确保内部控制评价客观公正。
　　第四十一条
　　商业银行应当强化内部控制评价结果运用，可将评价结果与被评价机构的绩效考评和授权等挂钩，并作为被评价机构领导班子考评的重要依据。
　　第四十二条
　　商业银行年度内部控制评价报告经董事会审议批准后，于每年4月30日前报送银监会或对其履行法人监管职责的属地银行业监督管理机构。商业银行分支机构应将其内部控制评价情况，按上述时限要求，报送属地银行业监督管理机构。
　　第六章 内部控制监督
　　第四十三条
　　商业银行内部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责，应根据分工协调配合，构建覆盖各级机构、各个产品、各个业务流程的监督检查体系。
　　第四十四条
　　商业银行应当建立内部控制监督的报告和信息反馈制度，内部审计部门、内控管理职能部门、业务部门人员应将发现的内部控制缺陷，按照规定报告路线及时报告董事会、监事会、高级管理层或相关部门。
　　第四十五条
　　商业银行应当建立内部控制问题整改机制，明确整改责任部门，规范整改工作流程，确保整改措施落实到位。
　　第四十六条
　　商业银行应当建立内部控制管理责任制，强化责任追究。
　　（一）董事会、高级管理层应当对内部控制的有效性分级负责，并对内部控制失效造成的重大损失承担管理责任。
　　（二）内部审计部门、内控管理职能部门应当对未适当履行监督检查和内部控制评价职责承担直接责任。
　　（三）业务部门应当对未执行相关制度、流程，未适当履行检查职责，未及时落实整改承担直接责任。
　　第四十七条
　　银行业监督管理机构通过非现场监管和现场检查等方式实施对商业银行内部控制的持续监管，并根据本指引及其他相关法律法规，按年度组织对商业银行内部控制进行评估，提出监管意见，督促商业银行持续加以完善。
　　第四十八条
　　银监会及其派出机构对内部控制存在缺陷的商业银行，应当责成其限期整改；逾期未整改的，可以根据《中华人民共和国银行业监督管理法》第三十七条有关规定采取监管措施。
　　第四十九条
　　商业银行违反本指引有关规定的，银监会及其派出机构可以根据《中华人民共和国银行业监督管理法》有关规定采取监管措施。
　　第七章 附则
　　第五十条
　　银监会负责监管的其他金融机构参照本指引执行。
　　第五十一条
　　本指引自印发之日起施行。

8. 二手房按揭，户已经过了，怎么银行还要做评估报告呢

因为银行需要了解资金流向，调整前后比较表。
资产委托方和占有方须应对本企业因进行资产评估而组织开展的资产及负债清查的情况和结果作出说明，主要应包括下列内容：
1、列入清查范围的资产及负债的种类、账面金额，产权状况，实物资产分布地点及特点；
2、清查工作的组织，时间计划、实施方案；
3、清查核实所采取的措施，待处理、待报废，高、精、尖设备和特殊建筑物以及毁损、变质存货检测、鉴定的情况；
4、清查中发现的盘盈、盘亏、毁损、报废、呆坏账、无需偿付的负债情况及其原因分析；
5、根据有关规定对发现问题进行账务调整的情况，并列示调整前后比较表。

扩展资料按揭进程：
第1日 递交材料，提出申请
买卖双方带齐相关材料，前往银行。领取并填写二手房个人借款申请表，填完后将所有材料交给工作人员审阅。
工作人员会就材料做出初步评估，给出大致贷款额度和年限。最后三方约定时间，由银行联系指定的房地产评估机构前去验房做评估。
第2-7日 评估
根据约定时间，房地产评估机构到房源处进行评估。完成后，评估机构向银行出具评估报告。这一阶段耗时会依据约定情况而定，一般3-5个工作日内即可完成。交易方需交纳500元评估费。
{这一步正常事可以省略的，评估费也不用出}
第8-10日 银行审批
银行对贷款申请人的资质进行审核，符合条件后，银行根据房屋评估价格，综合贷款人的资质进行贷款额度、期限等方面的审批。审批过程一般在5个工作日左右，但民生银行中关村支行与贷款审批部门在同一个写字楼办公，报批速度快，每单业务审批时间1-2天即可完成。
参考资料来源：百度百科--资产评估报告