欧宝体育链接

综合文章

专栏内容
首页  |  专栏内容  |  专题探讨 应对突发!摩根士丹利的始末谈明:金

专题探讨 应对突发!摩根士丹利的始末谈明:金

2021-10-08 198 分享
返回首页

  (1)摩根士丹利两次应对的经历告诉我们,金融机构的业务连续性管理至关重要。事实上,无论从宏观层面还是微观层面来看,业务连续性管理对于金融机构而言都有着非常重要的意义。

  (2)大部分金融机构都存在某种形式的业务连续性管理,如果能够形成明确、具体的计划,将在破坏性突发事件出现时提供更加清晰的指引,有利于保障业务连续性管理的效率和效果。对于尚未制定具体的业务连续性计划的机构而言,如果从最开始就试图制定一个最全面的计划,那么计划制定的进展可能会非常缓慢,可尝试采取分阶段法。

  (3)在业务连续性计划中,应该将关键业务功能保障作为重点,针对不同要素制定多种方案,有效运用各种内部资源和外部资源,同时还要注重计划的培训、演练和测试,以保证实际效果。

  疫情之下,很多企业的经营活动都受到不同程度的冲击。除了疫情之外,对企业正常运营带来挑战的事件还可能有很多,为了保障企业的生存与发展,企业必须时刻做好准备,应对这些难以预测、无法控制的突发事件。一旦业务中断,不仅会造成收入的减少,还可能会引发费用的上升。而且,有时候企业购买的保险并不能覆盖事件造成的全部成本,更无法补偿因业务中断而导致的客户流失。因此,保持企业的业务连续性至关重要。本报告以摩根士丹利两次应对的经历为例,阐述了金融机构业务连续性管理的必要性,着重对业务连续性管理的关键要素展开分析。

  一、摩根士丹利两次应对的线年,当袭击世界贸易中心时,摩根士丹利花了4个小时疏散员工,其中一些员工步行六十多段楼梯才到达安全地点。尽管摩根士丹利没有员工在这次袭击中丧生,但是公司的管理层认为其应对突发事件的计划还不够好,通过1993年的这次袭击事件吸取了教训。摩根士丹利仔细研究了其业务运营,分析了潜在的风险,并制定了多方面的应对计划。同样重要的是,他们开展频繁演练,目的就是为了在另一场灾难来临的时候可以有效的应对。2001年9月11日,摩根士丹利的计划与演练看到了实际的效果。在被劫持的飞机撞向世贸中心一号楼时,摩根士丹利的安全主管立即指挥该公司3800名员工从世贸中心二号楼和五号楼撤离,这次他们只花了45分钟就达到安全地点。摩根士丹利的工作不止于此,其对员工进行必要的心理辅导,同时采取有效的策略为管理层、员工、投资者和客户、监管机构和媒体等提供及时、适当的信息。摩根士丹利在9月11日不幸损失了13人,但是如果之前没有制定可靠的计划并不断演练,那么在这场灾难中可能还会有更多的人丧生。摩根士丹利在整个事件的应对过程中,竭力保护公司最有价值的资产,即人力资源,进而保障公司的持续运营,为公司稳定提供了坚实的基础。

  企业在经营过程中难免会遇到各种破坏性事件,可能是自然灾害,也可能是人为事故。如果应对不当,就容易导致企业运营中断。美国联邦应急管理局的数据显示,高达40%的企业在灾后无法重新开业;美国商业与家庭安全研究所的数据显示,大约有25%的企业在重大灾害之后未能重新开业。

  对于金融机构而言,经历破坏性事件后保障业务的连续性尤为重要。从宏观的角度来看,破坏性事件下,金融机构保持业务连续性,提供必不可少的金融服务,有助于维护受事件影响地区的正常经济秩序,保障受事件影响地区人们的经济活动。从金融机构自身的角度来看,如果因破坏性事件而导致经营中断,那么很可能会错失业务机会,导致收入规模的下降,进而影响金融机构的盈利水平;同时,运营中断对于金融机构来说也会对声誉造成负面影响,影响客户对机构的信任程度,削弱市场形象,对于金融机构的长期发展带来一定的负面作用;另外,一旦运营中断,恢复运营将会带来较大的管理难度,即便企业能够以较快的速度恢复,也需要付出额外的成本;最后,运营中断还有可能产生其他的成本,比如合同延迟履行的成本等,可能进一步加重经营负担。因而,无论从宏观层面还是微观层面来讲,金融机构面对各类破坏性事件时应当尽力保持业务连续,保障关键服务的提供能力和服务效果,这具有十分重要的意义。

  金融机构实施业务连续性管理,首先要展开业务影响分析和风险评估。其中,业务影响分析可采取调查问卷的形式,安排适当的人员填写问卷,收集信息,必要时可通过面谈来完善相关信息。

  在业务影响分析环节,金融机构识别其全部业务功能,并对业务功能按照关键顺序进行优先级排序,分析业务流程和系统之间的相互依存关系,并评估中断可能造成的影响,基于对上述信息的综合分析来确定业务恢复目标。不同类型的金融机构,其关键业务功能不同,关键业务功能的确定要建立在充分理解金融机构业务流程与结构的基础上。同时在业务影响分析过程中,还要盘点关键资产(包括人员、硬件、软件、数据、信息和资金等)和关键设施,包括第三方服务提供商提供的关键资产和关键设施。另外,破坏性事件的影响既包括运营影响、财务影响,也包括声誉影响。其中,运营影响可能包括服务水平下降、工作流程中断、商业计划延迟等,财务影响可能包括收入的下滑、成本的上升以及各类罚金等。

  在风险评估环节,金融机构需评估各类可能造成业务中断的事件、事件发生的可能性以及潜在影响,尤其是针对金融机构的关键业务功能,要重点识别和评估其风险敞口。首先,可能造成业务中断的事件大体上可以分为自然事件、人为事件和技术事件等几大类,在每个大类中又可以进一步细分,比如按照内部或外部、系统或非系统、有意或无意、有预警或无预警等标准进行细致分类。在风险评估过程中,需要考虑的因素很多,包括金融机构所处的地理位置,比如,有些金融机构的经营地点位于洪水多发地区、地震多发地区、台风多发地区或者可能是的袭击目标,这种情况下风险分析要特别考虑地理特征。在搜集相关信息时,分析人员可以借助于多种外部信息渠道,包括政府机构提供的灾害信息等。另外,很多情况下还要将第三方服务提供商可能面对的风险和威胁考虑在内,当金融机构本身与第三方服务提供商之间的联系非常紧密时,对方的风险可能会传递到金融机构,带来业务中断威胁。因此,金融机构应明确自身与第三方服务提供商之间的业务连接点,并对潜在风险做出评估。其次,金融机构还要评估破坏性事件的可能性和影响。有的事件发生概率高但影响小,有的事件发生概率低但影响大。一般来说,最难解决的问题是那些对金融机构影响大但发生概率低的风险。破坏性事件影响评估的结果可采取定量打分的方式,也可采取定性描述的方式。结合不同场景下的影响分析与当前的风险控制水平,金融机构可评估不同场景下的风险敞口,并根据自身的风险偏好来选择多样化的风险策略。

  为了降低业务中断风险,金融机构应提前制定业务连续性策略,以应对各类事件带来的冲击。业务连续性策略包括各类关键要素的恢复策略,同时也包括特殊情况下的沟通策略。在策略制定过程中,金融机构应考虑可用于业务保障的资源状况,另外还应从以往的经历中吸取经验教训。

  首先,人员保障是重中之重。从运营角度来看,为了维护关键业务功能,必须要求有足够的人力保障。历史经验表明,是否有足够的可用人员直接影响事件之后的恢复速度。例如,在疫情之下,人员缺勤率增加,金融机构必须为此提前制定好应对策略,合理保障关键岗位上的人员安排。第二,数据备份和重新创建对于中断情况下恢复关键业务功能非常重要。随着技术环境的不断发展,金融机构应根据实际情况制定安全可靠的数据备份与恢复策略。第三,办公设施、网络、通讯、能源以及第三方服务提供商等方面的保障策略,也应纳入到业务连续性策略当中。此外,同样重要的是,金融机构还应制定出专门的沟通策略,包括特殊情况下的沟通方式、沟通渠道、沟通频率等,这里需要根据沟通对象的不同而制定不同的策略,比如面向股东的沟通策略、面向客户的沟通策略、面向监管机构或行业协会的沟通策略等。

  业务连续性计划是业务连续性管理的重要组成部分。通常来说,一份业务连续性计划应当包括:机构人员和第三方服务提供商的角色、责任和必备技能;不同类型中断事件的解决方案;事件升级阀值;为了保护员工和客户并且将损害降至最低而应立即采取的措施;功能、服务、流程等恢复的优先级和程序;关键信息保护;救援地点人员的后期安排;网络设备、连接与通讯需求;备用地点的人员及安排;测试范围和测试频率;恢复业务流程的标准化状态等。金融机构业务连续性计划的复杂程度与金融机构规模及业务复杂度直接相关,所有业务部门均应委派代表参与业务连续性计划的制定。

  金融机构有必要根据自身的实际情况制定符合业务持续性管理目标的计划。以高盛的业务连续性与技术恢复计划为例,高盛该项计划的目标是确保公司拥有持续为客户提供服务的能力,保护客户资产以及公司员工与资产。即便在公司关键设施正常运营受到干扰的情况下,也提供合理的业务连续性保证。例如,如果一场风暴使一个或者多个业务部门无法运行,那么将由高盛的其他办公场所来执行相关关键职能,从而将影响降到最低;如果一个数据中心出现问题,服务器关闭,高盛将通过其他数据中心进行数据处理,将数据损失降到最低。另外高盛的计划还考虑到,当发生需要人员分散的事件时,通过使用安全的远程访问解决方案,工作人员可以在非高盛办公场所对业务运营进行支持。高盛安排专门的团队负责计划的创建与维护,负责实施、管理和监督公司的准备情况。高盛的业务连续性与技术恢复计划由六个部分组成,分别是危机管理、业务连续性要求、技术恢复、业务恢复方案、保障、流程改进或持续评估。

  需要说明的是,金融机构的业务连续性计划需要根据内外部变化进行必要的更新。比如美国金融业管理局第4370号规则要求,当受监管的公司在环境、结构、业务或者地点等方面发生变化时,必要情况下对业务连续性计划进行审核和更新。但是美国金融业管理局2019年度的检查结果发现,一些受监管的公司的业务连续性计划不能反映其所处的市场环境和业务模式,计划中存在关键业务系统不完整、运营变化未更新、联系信息过时等问题。同时,美国金融业管理局还推荐了一些有效的措施来帮助受监管的公司来完善其业务连续性计划,比如,将业务连续性测试纳入到公司年度检查中,并评估计划的有效性,尤其是关键任务体系和流程的功能性、关键人员的可用性以及应急地点的可用性。

  第一,应建立具体的业务连续性计划。现实中,大部分金融机构都存在某种形式的业务连续性管理,如果能够形成明确、具体的计划,将在破坏性突发事件出现时提供更加清晰的指引,有利于保障业务连续性管理的效率和效果,同时有利于对业务连续性管理展开绩效评估和考核。对于尚未制定具体的业务连续性计划的机构而言,如果从最开始就试图制定一个最全面的计划,那么计划制定的进展可能会非常缓慢,可以考虑尝试采取分阶段法,先制定一个基础性的计划来保障关键业务功能的连续,随后逐渐扩展形成一个更加全面的计划,为金融机构连续运营提供有效的保护。

  第二,将关键业务功能的保障作为重点。业务连续性管理应当围绕关键业务功能展开,每家金融机构的业务状况和经营战略不同,因而如何界定关键业务功能需要金融机构根据自身的特点具体分析。一旦发生可能造成业务中断的事件时,需确保关键业务功能得到保障,尤其是在人力、财力等资源有限的前提下,需要确定功能或流程恢复的优先顺序,保证满足恢复时间要求。

  第五,重视培训、演练、测试。完整的业务连续性管理还需要涵盖培训、演练、测试、维护与改进等工作。其中,针对各类人员的培训,有助于其了解本机构业务连续性管理的目标、策略和计划,有助于保障业务连续性管理的具体实施。同时,演练与测试的重要性不言而喻,一方面,通过对计划进行演练与测试,可以提前发现计划中的漏洞或者不足,予以弥补和完善;另一方面,通过演练与测试,还可以加强各个环节之间的协调与沟通,提升计划的实施效率。另外,维护与改进也不可或缺,金融机构应依据内外部变化适时调整业务连续性计划,定期对计划进行审核与更新。

推荐新闻

国金早报|北京持续5日无新增确诊

国金早报|北京持续5日无新增确诊

巨大升级华米科技Amazfit GTR 3 amp;

巨大升级华米科技Amazfit GTR 3 amp;

差异这么大?国内短平台份额告示

差异这么大?国内短平台份额告示

友情链接:

联系我们

欧宝体育链接

johnmoonjr.com

欧宝体育链接