風險管理－非常態(tài)下商業(yè)銀行業(yè)務連續(xù)性風險管控及應對策略

非常態(tài)下商業(yè)銀行業(yè)務連續(xù)性（BCM）風險管控及應對策略
梁力軍 副教授
一、培訓背景
業(yè)務連續(xù)性管理（Business Continuity Management，BCM）是一項綜合性的管理活動，通過識別組織所面臨的潛在風險，評估風險可能對組織造成的影響，建立一套組織、流程和資源相配合的體系，提升組織應對風險的能力，保障組織價值創(chuàng)造活動的持續(xù)進行，有效提升組織的品牌聲譽和相關方利益。
2011 年 12 月底，中國銀監(jiān)會曾發(fā)布《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》，指引中明確規(guī)定了商業(yè)銀行應當將業(yè)務連續(xù)性管理納入全面風險管理體系，建立與本機構戰(zhàn)略目標相適應的業(yè)務連續(xù)性管理體系。2020 年初，新冠肺炎在我國爆發(fā)。中國全民上下共同抗擊此次疫情。我國銀行業(yè)也積極響應，陸續(xù)調整金融政策和服務策略以便為中小微企業(yè)、零售客戶提供各類更為快捷、適當?shù)慕鹑谥С趾徒鹑诜?。在此背景下，各類商業(yè)銀行更應構建起真正有效的應對危機事件的業(yè)務連續(xù)性管理體系，使業(yè)務管理和系統(tǒng)管理實現(xiàn)科學化、快捷化、網(wǎng)絡化，這是保證銀行業(yè)務連續(xù)運行、可持續(xù)發(fā)展的重要依據(jù)。
隨著商業(yè)銀行業(yè)務和機構的不斷擴張，銀行系統(tǒng)及業(yè)務的信息化程度提升，而系統(tǒng)運行和業(yè)務經(jīng)營、金融環(huán)境也日益復雜。商業(yè)銀行在面連續(xù)性風險管控與應對、如何更加有效地進行商業(yè)銀行全面風險管理，從而保證國家金融安全穩(wěn)定發(fā)展，是我國金融監(jiān)管部門和銀行經(jīng)營管理者共同關心的重大課題。
二、培訓方案
Vuca－volatility（易變性），uncertainty（不確定性），complexity（復雜性），ambiguity（模糊性）
本培訓設計為一天（6 小時）。
第一天：業(yè)務連續(xù)性風險“規(guī)范標準篇”+“管控流程篇”
通過業(yè)務連續(xù)性風險事件視頻素材與態(tài)勢分析，引出實施金融業(yè)業(yè)務連續(xù)性風險管理的思考。
講解和剖析國內外金融業(yè)業(yè)務連續(xù)性風險管理的行業(yè)規(guī)范與標準，并提出適合于參訓機構、具可操作性的業(yè)務連續(xù)性風險管理規(guī)范與標準。
從戰(zhàn)略層面和三道防線層面講解國內外金融業(yè)業(yè)務連續(xù)性風險管理實施的流程，并提出適合于參訓機構的、具可操作性的業(yè)務連續(xù)性風險管控流程。
第二天：業(yè)務連續(xù)性風險“工具實踐篇”+“策略實施篇”
以銀行信息系統(tǒng)和金融數(shù)據(jù)、銀行業(yè)務的“生命周期”為主線，講解不同階段對應的業(yè)務連續(xù)性風險管理工具與方法，并比較不同工具與方法的優(yōu)劣。
講解國內外金融監(jiān)管機構的業(yè)務連續(xù)性風險監(jiān)管規(guī)范、監(jiān)管科技工具、監(jiān)管要求與要素等。
從監(jiān)管要求視角，講解商業(yè)銀行應如何進行業(yè)務連續(xù)性風險管控策略與方案的設計（BCP）等。
三、培訓要點
一是業(yè)務連續(xù)性風險管理規(guī)范標準。通過信息與資料梳理、視頻素材分析，解析國際和國內金融業(yè)在業(yè)務連續(xù)性風險控制、風險評級、信息安全和網(wǎng)絡安全、系統(tǒng)安全和數(shù)據(jù)安全、科技及業(yè)務項目管理、信息資產(chǎn)與基礎設施、信息科技外包管理等方面的管理框架、行業(yè)標準和最佳實踐，分析比較國際與國內金融業(yè)業(yè)務連續(xù)性風險管理方面的特點、趨勢和可借鑒之處。
二是業(yè)務連續(xù)性風險管控實踐。（1）從戰(zhàn)略層面、戰(zhàn)術層面和操作層面三個視角，分析國內外金融業(yè)信息科技治理結構的架構、信息科技管控流程的構建和信息科技系統(tǒng)管控的實施等；（2）從三道防線視角，即信息科技部門、業(yè)務連續(xù)性風險管理部門、信息科技審計（稽核）部門，分析國內外金融業(yè)如何進行業(yè)務連續(xù)性風險管控的有效協(xié)作、資源與信息共享、數(shù)據(jù)傳遞等；（3）從全面風險管控流程視角，分析國內外金融業(yè)如何實現(xiàn)對業(yè)務連續(xù)性風險的感知與識別、評估與計量、應對等。
三是業(yè)務連續(xù)性風險管控工具實踐。以銀行業(yè)務、金融數(shù)據(jù)和信息系統(tǒng)的“生命周期”為主線，從信息科技立項與需求分析、科技項目采購與招投標、項目開發(fā)、項目時間與質量管控、成本控制和資源管控、溝通管理、信息科技測試與運行等不同階段講解適用的各類業(yè)務連續(xù)性風險管控工具與方法；從業(yè)務連續(xù)性風險存在的不同載體——系統(tǒng)、設備、網(wǎng)絡、數(shù)據(jù)和人員等視角，講解防范信息系統(tǒng)單項風險和綜合風險的工具與方法。
四是業(yè)務連續(xù)性風險監(jiān)管與對應實施策略。講解國外金融業(yè)監(jiān)管機構（巴塞爾委員會、COSO）、國內金融業(yè)監(jiān)管機構（人民銀行、銀保監(jiān)會、證監(jiān)會）以及相關機構，實施業(yè)務連續(xù)性風險監(jiān)管的具體標準和規(guī)范、實施要素和要點等，從而提出針對商業(yè)銀行特點的業(yè)務連續(xù)性風險管理對應策略。
四、培訓特點
一是以業(yè)務、系統(tǒng)與數(shù)據(jù)的“生命周期”為剖析主線，邏輯清晰。
本培訓內容將針對公司治理、業(yè)務循環(huán)、系統(tǒng)循環(huán)和數(shù)據(jù)循環(huán)等不同階段和環(huán)節(jié)，系統(tǒng)性、動態(tài)性的分析業(yè)務連續(xù)性風險管理的特征與規(guī)律。
二是將業(yè)務連續(xù)性風險管理的理論與實踐相結合，理實結合。
本培訓系統(tǒng)性的分析業(yè)務連續(xù)性風險及風險管理的規(guī)范、行業(yè)標準、方法與工具、金融監(jiān)管的國際、國內前沿發(fā)展和最佳實踐，并結合業(yè)務連續(xù)性風險管理案例信息、視頻素材、數(shù)據(jù)資料進行剖析講解。
三是提出業(yè)務連續(xù)性風險管理的實施體系與建議，具指導性。
本培訓基于風險管理三道防線、 業(yè)務－數(shù)據(jù)－系統(tǒng)”生命周期，系統(tǒng)性提出金融機構實施業(yè)務連續(xù)性風險管理的實施體系與建議方案，具有可操作性、指導性。
五、培訓收益
本培訓通過系統(tǒng)講解金融業(yè)（包括人民銀行、銀保監(jiān)部門、商業(yè)銀行、證券業(yè)及保險業(yè)等）業(yè)務連續(xù)性風險管理體系與框架、信息管理科技風險特征與分布、業(yè)務連續(xù)性風險的生命周期追蹤、業(yè)務連續(xù)性風險管理具體技術及方法、業(yè)務連續(xù)性風險治理、業(yè)務連續(xù)性風險監(jiān)管等方面的最新發(fā)展和最佳實踐，提出適合于參訓機構實施業(yè)務連續(xù)性風險管理的實施方案和體系建議，有效提升參訓機構的業(yè)務連續(xù)性風險管理能力。工具、營銷策略，全面提升商業(yè)銀行零售金融的營銷能力。
六、授課對象
各類商業(yè)銀行、互聯(lián)網(wǎng)公司、類金融企業(yè)等機構的信息技術部、電子銀行部、網(wǎng)絡金融部、風控合規(guī)部、集中運營部、零售業(yè)務部和公司業(yè)務部等部門的管理者、技術人員和業(yè)務人員等。
七、授課形式
課件講授：制作培訓課件，并以課件作為授課主線。
視頻解析：通過播放業(yè)務連續(xù)性風險管理的相關視頻，引發(fā)并組織參訓人員對業(yè)務連續(xù)性管理進行思考和討論。
案例分析：通過對中外商業(yè)銀行的業(yè)務連續(xù)性管理真實案例，進行解讀和剖析，引發(fā)參訓人員思考。
情景設置與實戰(zhàn)演練：通過預設金融場景或引入真實場景，組織參訓人員進行業(yè)務連續(xù)性風險管理思維培訓，并設計出相應的敏捷銀行服務方案。
八、培訓內容
(一) 基礎認知篇
1. 視頻與案例素材剖析
國外*業(yè)務連續(xù)性風險事件視頻與案例剖析
國內*業(yè)務連續(xù)性風險事件視頻與案例剖析
2. 業(yè)務連續(xù)性管理內涵及發(fā)展
業(yè)務連續(xù)性管理的起源與內涵（BCM）
業(yè)務連續(xù)性風險內涵、種類與全域風險視圖
國內外業(yè)務連續(xù)性風險管理專業(yè)慣例
突發(fā)事件及應急對銀行業(yè)務連續(xù)性的影響
(二) 規(guī)范標準篇
1. 業(yè)務連續(xù)性國際實踐規(guī)范標準
BS 25999（2002；2005）
ISO 17799（2005）
信息安全管理：ISO27001
業(yè)務連續(xù)性管理：ISO22301
ISACA: COBIT5
IT 服務管理：ISO20000 和 ITIL V3
DRI:業(yè)務連續(xù)性管理
業(yè)務連續(xù)性國際實踐規(guī)范標準
人民銀行
《銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范》
《銀行集中式數(shù)據(jù)中心規(guī)范》
《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》
《金融行業(yè)信息系統(tǒng)信息安全等級保護》
銀保監(jiān)會
《商業(yè)銀行業(yè)務連續(xù)性風險管理指引》
《銀行業(yè)金融機構信息科技外包風險監(jiān)管指引》
《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》
《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應急管理規(guī)范（試行）》
《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》
《銀行業(yè)金融機構重要信息系統(tǒng)投產(chǎn)及變更管理辦法》
其他相關規(guī)范
網(wǎng)絡安全法
國家網(wǎng)信辦、公安部、國家保密局、國家密碼管理局
關鍵基礎設施風險評估
網(wǎng)絡安全等級保護
《中華人民共和國突發(fā)事件應對法》
GBT20988—2007《信息系統(tǒng)災難恢復規(guī)范》?
(三) BCM 風險管控流程篇      
1. 當前 BCM 存在的主要問題 ?
2. BCM 風險管控戰(zhàn)略/戰(zhàn)術/操作  
BCM 治理架構的構建與實施
BCM 管控流程的構建與實施
BCM 管控系統(tǒng)的構建與實施
3. BCM 風險管理三道防線
信息科技部門職責與協(xié)作
風險管理部門職責與協(xié)作
信息科技審計部門職責與協(xié)作
4. BCM 風險管控流程及系統(tǒng)
業(yè)務連續(xù)性風險感知與識別
業(yè)務連續(xù)性風險評估
業(yè)務連續(xù)性風險計量
業(yè)務連續(xù)性風險監(jiān)測
風險情境恢復與業(yè)務恢復（6R 模型）
業(yè)務連續(xù)性風險管理系統(tǒng)構建
5. BCM 風險管控國內外實踐
國外商業(yè)銀行 BCM 風險管控實踐
國內商業(yè)銀行 BCM 風險管控實踐
(四) 工具實踐篇
1. 業(yè)務-數(shù)據(jù)-系統(tǒng)(BDS)生命周期
銀行業(yè)務及產(chǎn)品生命周期管理
金融數(shù)據(jù)生命周期管理
信息系統(tǒng)/項目生命周期管理
全生命周期管理模式與工具
2. 各階段 BCM 風險管控工具與方法
BDS 需求與設計階段/案例解析
BDS 項目立項階段/案例解析
BDS 開發(fā)與測試階段/案例解析
BDS 運行與維護階段/案例解析
BDS 外包階段/案例解析
BDS 業(yè)務連續(xù)性管理/案例解析
單項與綜合 BCM 風險管控工具
系統(tǒng)與設備安全方面/案例解析
網(wǎng)絡安全方面/案例解析
數(shù)據(jù)安全方面/案例解析
人員與操作風險方面/案例解析
(五) 策略實施篇
1. 國內外 BCM 監(jiān)管實施情況.
巴塞爾委員會、COSO 監(jiān)管情況
人民銀行、銀保監(jiān)會等監(jiān)管情況
2. 國內外 BCM 審計實施情況
國外信息科技審計實施及案例
國內信息科技審計實施及案例
3. BCM 風險管控策略實施建議
公司治理與全面風險管理視角建議
經(jīng)營策略與業(yè)務模式建議
金融科技創(chuàng)新與應用建議
管理數(shù)據(jù)及業(yè)務數(shù)據(jù)管理建議
BCP 計劃編制與實施步驟建議

梁力軍老師的其它課程