基于重大疫情的金融业务连续性管理研究（上）

董屹

摘要：业务连续性管理是金融行业抵御灾难必不可少的保护机制。本文首先介绍了业务连续性管理理论中三个层面的标准和原则，其次分析了疫情对金融行业稳健运营的冲击，回顾了新冠肺炎疫情暴发以来国内国际金融领域的应对措施，最后探讨了将重大疫情纳入业务连续性管理的必要性。

关键词：业务连续性管理  重大疫情新冠肺炎应急管理

金融行业应具备抵御破坏的能力，能在发生一个或多个灾难时保持运转，或在中断后迅速恢复，避免金融体系陷入瘫痪。业务连续性管理（Business Continuity Management，BCM）正是金融行业必不可少的保护机制。可能造成金融行业重大运营中断的事件包括外部服务中断、黑客攻击、恐怖袭击等人为破坏，以及火灾、雷击、海啸、地震、重大疫情等自然灾害。实践中，金融机构的业务连续性管理侧重于防止建筑、设备、产品或服务被破坏，以及避免计算机故障、网络攻击、电力故障和交通中断等风险事件发生。近年来，金融业务连续性管理在以物理安全措施来提高市场韧性方面取得了长足进展。

然而，将重大疫情作为金融业务连续性管理（同时涵盖了灾备管理和应急管理）中的重要场景进行管理却一直是短板。2003年的SARS、2004年的禽流感、2009年的甲型H1N1流感、2012年的中东呼吸综合征（MERS）、2019年的非洲埃博拉病毒及2020年的新型冠状病毒等引发的疫情一再提醒我们，全面完善金融业务连续性管理刻不容缓。

文献综述

业务连续性管理是指包括应急响应、业务恢复和连续管理等在内的一项综合管理流程，可以帮助企业明确恢复业务所需的关键人员、资源、行动和任务，确保核心功能在任何环境下都持续发挥作用。自20世纪70年代以来，业务连续性管理理论在灾难恢复理论体系的基础上，结合风险管理、质量管理、供应链管理、人力资源管理等多门管理学科逐步完善。其框架体系包含通用标准（国际及国内）、国际金融行业的原则和各国经济金融当局的实践指导要求三个层面。

（一）通用标准（国际及国内）

2012年，国际标准化组织在英国标准协会BS25999标准的基础上，发布了《社会安全-业务连续性管理体系-要求》（ISO 22301：2012， Societal Security-Business Continuity Management systems-Requirements）和《社会安全  业务连续性管理体系  指南》（ISO 22313：2012，Societal Continuity Management systems-Guidance ）两项国际标准。

2004年7月，中国信息化推进联盟成立“BCM中国专业委员会”，标志着业务连续性管理正式进入中国。2013年及2015年，国家标准化组织采用国际标准，分别发布了《公共安全  业务连续性管理体系  要求》（GB/T 30146-2013）和《公共安全  业务连续性管理体系  指南》（GB/T 31595-2015）两项国家标准。需要指出的是，上述原则适用于各个行业，并不仅限于经济金融领域。

（二）国际金融行业原则——《业务连续性的高级原则》

2004年，金融稳定论坛（Financial Stability Forum）与英国央行联合主办了一个有关业务连续性问题的研讨会。根据此次研讨结果，金融稳定论坛决定由巴塞尔银行监管委员会（BCBS）、国际证监会组织（IOSCO）和国际保险监督官协会（IAIS）制定适用于全球金融体系的高级原则。

2005年，BCBS、IOSCO和IAIS联合发布了《业务连续性的高级原则》（以下简称《高级原则》），涵盖了有效的业务连续性管理计划应有的政策、标准和程序，并以2003年8月美国和加拿大的停电事件、2003年SARS在中国香港和加拿大暴发、2004年日本新泻地震、2005年英国伦敦恐怖袭击为例对《高级原则》的应用进行了说明。2006年，国际货币基金组织（IMF）在此基础上发布了《禽流感大流行对全球经济金融的影响及IMF的作用》 ，从应对禽流感这一场景阐释了《高级原则》中七条原则的内涵。

（三）各国（地区）经济金融当局实践指导要求

在通用标准和国际金融行业原则的基础上，很多国家（地区）的经济金融当局根据本国（地区）的情况出台了更为具体的实践指导要求。例如，日本央行发布了《日本银行的业务连续性规划》（2003）、《日本金融机构的业务连续性规划》（2003），新加坡金融管理局发布了《业务连续性管理指导方针》（2003），香港金融管理局发布了《关于SARS的业务连续性规划考虑》（2003）、《香港人类猪流感大流行的准备》（2009），等等。

2002年，中国人民银行发布《关于加强银行数据集中安全工作的指导意见》（银发〔2002〕260号）1，首次对“灾难备份和连续性计划”提出明确要求;2006年，银监会发布《银行业金融机构信息系统风险管理指引》;2009年，银监会印发《商业银行信息科技风险管理指引》，同时废止《银行业金融机构信息系统风险管理指引》;2011年，银监会参照国际规范和惯例，发布了《商业银行业务连续性监管指引》，是目前银行及相关行业业务连续性管理方面最主要的监管要求和执行依据。

将重大疫情作为业务连续性管理的重要場景刻不容缓

（一）重大疫情对金融行业稳健运营的冲击

疫情暴发与自然灾害或恶意破坏活动所造成的影响截然不同。自然灾害或恶意破坏活动造成的业务中断多与硬件设施有关，而疫情最大的危害就是它威胁人类生命以及破坏原有的运营模式。

1.直接影响

一是导致人力资源不足，出现严重的高缺勤率。员工缺勤主要是因为疾病、被要求隔离或自主隔离、照顾病人、学校关闭后照顾子女或者恐慌。2006年加拿大公共卫生署（PHAC）认为在特定地区暴发的流感，雇主应预估缺勤率在20%～25%，高峰期则高达40%。根据其模型，估计有450万～1060万加拿大人会出现临床疾病以致不能参加工作至少半天。22007年10月，美国金融服务关键基础设施保护和国土安全协调委员会（FSSCC）、财政部、国土安全部、证券业与金融市场协会（SIFMA）模拟进行流感流行演练，演练场景是设想缺勤率高达49%。3更复杂的是，流行疾病可能会随机出现在从首席执行官（CEO）到一线员工的任何人员身上。

二是现场办公环境面临严峻挑战。现场办公环境必须满足疫情防控要求，包括楼宇封闭管理、消毒防疫、维护秩序和加强宣传等方面，机构与机构之间也许会共享某些空间和设备。如果其中一个区域有人感染疾病，则有可能使整个办公区甚至整栋楼的人员都被隔离。

三是出现群体负面心理影响。大多数人在疫情暴发时会有不同程度的恐慌和焦虑情绪，对继续承担工作有抵触心理。如果同事或亲人染病，员工就更没心情工作了。

四是核心人员缺位。一旦暴发疫情，业务链条中的关键人物包括高管、部门负责人或者项目组长等也可能缺勤。如果关键业务的人员配备不足且不可替代，将导致业务组织和运行出现混乱。

五是外部业务链条可能中断。如果业务伙伴、客户或者同业处于同样境地，可能无法继续开展业务和履行合同。此外，在全国或全球布局的上下游供应链可能中断。

2.次生影响

宏观层面的无差别冲击可能导致上述问题相互影响且使局面进一步恶化。

一是疫情持续时间、蔓延范围无法预测。疫情持续的时间可能是几个月，也可能是几年。如果疫情在全球大范围暴发，那么金融机构的灾备地点也很可能会受到影响。

二是政策与社会的变化以及经济倒退带来的冲击。政府可能更改或暂时出台政策以控制疫情，包括：出境旅游限制、严格的卫生措施、隔离法令甚至宵禁并关闭交通线等。如果疫情仍得不到有效控制，政府采取更严格的措施，可能导致大规模的经济瘫痪。

三是可获得公共资源面临紧张甚至恶化。医疗设施在紧急情况下不堪重负，将严重影响基本卫生服务的供给。疫情可能会蔓延到其他关键基础设施领域，如电力、交通、通信、供水，甚至社会治安等。在极端情况下，疫情还会引起民众恐慌和哄抢生活用品，甚至导致社会动乱。

（二）新冠肺炎疫情暴发以来国内国际金融行业的应对措施

1.国内金融行业的应对措施

新冠肺炎疫情暴发以来，在各主管部门的部署下，金融机构通过错峰上班、弹性工作制、调剂带薪休假等多种方式，降低工作场所人员密度;建立健全日常清洁、消毒、通风、体温监测制度，采取分时错峰隔座就餐或盒饭送餐方式，确保食品安全;配备消毒液、体温枪等物资，配发口罩等防护用品，切实保障员工合法权益。

“远程+轮值”成为疫情期间金融机构的新办公方式。各金融机构引导客户通过电子商业汇票系统、个人网上银行、企业网上银行、手机银行、支付服务应用程序（APP）等电子化渠道在线办理支付结算业务，尽可能地利用金融科技将业务受理全过程线上化。各金融机构通过“线上+线下”“远程+现场”“虚拟+现实”的工作方式保障了业务的开展。“最低配置”“AB角轮岗”“极小化人员到岗”等都是较为常用的应急方案。银行线下网点基本采取轮流对外营业方式，金融市场基础设施也从工作机制、人员配备、办公场所、系统运维、技术支持等方面提升服务保障能力，确保发行、交易、清算、结算等业务正常运转，尽可能实施全流程、全链条线上操作。

在疫情发生前，很多处于疫区的金融机构就已在全国布局，如在京、沪建立了交易中心，在其他城市建立了灾备中心。因此疫情期间，这些机构除了在线远程办公、通过互联网办理业务外，还启动了异地灾备切换，或由京、沪条线开展业务。疫区的银行将柜台收取的现金以及自助设备回笼的现金，直接上交其总行金库进行消毒，并安排专人对公共区域及自助设备区域消毒。各机构还对处于疫区的员工返岗日程，以及员工本人或家属感染、疑似感染、发生不适症状相关情况分别进行统计，建立数据收集汇总和上报机制。

2.国际金融领域的应对措施

欧洲央行呼吁银行在工作场所采取适当的疾病感染控制措施，新加坡金融管理局要求金融机构实施安全距离措施，特别是客户接触点。金融稳定委员会（FSB）讨论了金融服务的关键性质，以及确保基本工作人员的重要性。英国审慎监管局建议，金融机构应识别可能导致实体经济或金融基本服务中断的活动、服务或操作，然后确定对于支持这些功能至关重要的员工。一些当局强调了与关键供应商协调的重要性。例如，欧洲央行建议银行与关键的服务供应商进行对话，以了解疫情期间如何确保服务的连续性。

（三）基于重大疫情的业务连续性管理的必要性

新冠肺炎疫情暴发以来，我国金融行业创新工作方式方法，保证了正常的金融秩序，防止疫情在金融市场引发次生风险。但整个过程仍然暴露了人员补充、风险管控、系统安全、数据保护、应急处置等方面存在的一些问题。例如，春节后债券市场开市时间由2020年1月31日延期到2月3日，延期开市涉及行业运营相关日期、计息规则、系统参数等方面的修改，很多机构措手不及;银行和基金公司返工人员不足导致2月3日银行间债券市场延迟闭市、大额支付系统延迟关闭、公募基金净值延迟公布;在非常态工作机制中如何做到合规，如基金经理远程下达投资指令是否合规，颇受监管部门和市场机构关注;由于远程办公人数大增，机构的虚拟专用网络（VPN）扩容，系统稳定性、数据安全性等问题突出。這些都凸显基于重大疫情的业务连续性管理的必要性。

1.流行性疾病对人类的影响在一定程度上难以避免

在流行性疾病发生的早期阶段，人类对新病毒没有自然免疫力，疫苗可能要在疫情暴发后很长一段时间才能研发出来并广泛运用。许多科学家认为，下一次传染病大流行的发生只是时间问题，无法预测其在何时、何地发生，也无法预测其影响是轻微还是严重。

2.历史上金融行业的人力资源没有经历过极端事件

2003年SARS暴发时，香港证券市场400多家证券公司员工、约100家期货经纪公司员工、数百名投资顾问和其他市场参与者中有少数人被隔离但未发病，金融行业未因疫情暴发而遭受重大影响。同时期暴发SARS的加拿大证券业也未遭受损失。类似于2001年美国的“911事件”、2003年美国和加拿大的大面积停电、2005年美国的卡特里娜飓风、日本历次的台风和地震等对金融行业造成的真实破坏没有在人力资源层面体现。

3.疫情期間金融机构的应急管理未将自身设定为受冲击对象

金融机构的应急管理只是确保本企业员工不受感染，采取无接触办公维持运营，尽量减少经济损失即可。这种受冲击的“代入感”缺失，导致行业对业务连续计划的概念和重要内涵认识不足。机构没有考虑到关键人员缺失导致业务中断可能对自身乃至整个社会造成的重要影响，未进行冲击分析和风险评估，也未预测可能带来的损失。

4.基于自然灾害或恐怖袭击的业务连续性管理不足以应对重大疫情

重自然灾害或恐怖袭击而轻重大疫情，这种情况在国际层面也很常见。以2003年日本央行制定的《日本银行的业务连续性规划》为例，其中列举了银行业务连续性面临的各种潜在威胁，如地震、台风等自然灾害，恐怖袭击、网络攻击等人为灾害，以及停电、系统故障等技术灾害，甚至设想了“东京总部能够运行，主计算机中心无法运行”“主计算机中心能够运行，东京总部不能运行”“东京总部和主计算中心都无法运行”的场景，但其中未包括重大疫情的情形。在面对重大疫情时，国际国内打的是一场无准备之战。

注：

1.此文件已被《中国人民银行公告〔2016〕第11号》废止。

2.Canadian Centre for Occupational Health and Safety. Business Continuity Plan-Infectious Diseases， 2006.

3.N. Eric Weiss. Banking and Financial Infrastructure Continuity， Pandemic Flu， Terrorism， and Other Challenges[R/OL].Congressional Research Service， 2009.

作者单位：中央结算公司统计监测部

责任编辑：罗邦敏  印颖

参考文献

[1]银行业信息科技风险管理高层指导委员会. 商业银行业务连续性管理[M]. 北京：机械工业出版社，2015.

[2]余绍强. 业务持续管理（BCM）理论与实践专栏之三：当流行性传染病爆发时[J]. 中国计算机用户，2006（19）.

[3]岳跃，梁虹. 金融机构远程办公大考[J]. 财新周刊，2020（6）.

[4]吴梦姗，田姣. 金融业复工：疫情下银行如何复工？拼科技实力的时候到了[N]. 南方都市报，2020-02-10.

[5]中央国债登记结算有限责任公司业务连续性管理规划报告[R].2017.

[6]Bank of Japan. Toward Effective Business Continuity Management：
A Check list and Instructive Practices， 2008.

[7]Basel Committee on Banking Supervision，International Organization of Securities Commissions， International Association of Insurances Supervisors，Bank of International Settlements. High-Level Principles for Business Continuity， 2005.

[8]Financial Services Sector Coordinating Council for Critical Infrastructure Protection and Homeland Security.Statement on Preparations for “Avian Flu”，2006.

[9]FSB. FSB members take action to ensure continuity of critical financial services functions，2020.