【研讨会整理稿】第二部分:邹阳、何乃煜和王曙的对谈和分享
2024年5月16日19:00–20:30,集中取款事件无脚本实战演练在线研讨会成功举办。在这次研讨会上,王曙和邹阳、何乃煜共同分享了对集中取款事件和无脚本实战演练的实践和思考,并就行业演练现状、情景构建方法未来可能的发展和应用进行了交流。以下是研讨会图文整理稿,供关注这些话题的朋友们参考。
研讨会嘉宾:
对话嘉宾:邹 阳 郑州银行风险管理部 信息科技风险负责人 对话嘉宾:何乃煜 浦发银行风险管理部 信息科技风险负责人 分享嘉宾:王 曙 新常安公司业务连续性管理专家 兼主持人
感谢傅盛同学用kimi整理出了研讨会文字稿,约28000多字,我在此基础上整理出20000字左右的图文稿,因整体篇幅过长,故分为两部分(各1万字左右)发出(因内容过长,我在尽量不曲解内容原意的基础上进行了大量裁剪和改写,强烈建议感兴趣的朋友们到知识星球下载研讨会视频自行观看,可能会发现不少本文略去的信息): 第一部分 集中取款事件无脚本演练案例分享; 第二部分 邹阳、何乃煜和王曙的对谈和分享。
以下为研讨会资料整理第二部分:邹阳、何乃煜和王曙的对谈和分享
王曙:关于演练案例分享已完毕,接下来,我想请邹总、何总一起先聊聊对这个案例的看法,然后,我们一起就集中取款事件、行业中的演练现状,以及情景构建方法的运用等话题展开一些讨论。我们先邀请邹总来谈谈。
邹阳:好的,王老师。实际上,我们作为一家中小银行,从演练角度讲的话,没有那么专业,也没有搞无脚本演练。就演练这一块,年年都在做,监管也要求年年做,然后监管年年也在反映问题,比如说演练过程中,一些业务替代方式不够,还有跟IT演练的分离等,各种问题都有在说。
所以说听了王老师的专业介绍后,结合银行的实际情况来讲,我觉得这个目标还是比较高的。因为有一个基本的事实,就是像我们银行的演练,一般是由风险管理部牵头全行的综合演练,演练的参与者是各个业务部门或者是各个相关的资源保障部门,或者是网点。演练的内容也很多,但不管是各业务部门也好,其他部门的人员也好,他们事实上是没有经过这种专业训练,也没有完整的业务演练和业务连续性相关知识,应急方面基本也比较弱,所以说能演都不错了,这个是实际情况。所以说现在这种无脚本演练,我们部门一直在跟踪、研究这些东西,之后也会去推动去做。
就演练这一块,前面说到正向逻辑和反向逻辑。我们发现演练做不好的一个原因,就出在正向逻辑上,即没有识别出合理的演练目标。比如说我们知道要演练某些主题,但是我们不清楚具体要演练哪些薄弱环节。再往上说的话,它的核心问题可能就是出在演练目标的设计上,也就是BIA和风险评估这一块。业务影响分析做得不到位,设计的演练目标不合理,那演练的成功很难保证。所以说下一步的话,我们想的是如果要把演练工作做好,不管是这种无脚本演练,还是其它实战演练,可能还是会从业务影响分析这一段来着手。
另外,演练方面,IT演练是比较好做的,因为IT演练还是有脚本的,它们都是程序化的东西。业务方面的话,我听完之后是这个想法,以后业务演练这一块,我觉得可能就是这种无脚本演练。接下来我们还是会把业务影响分析和风险评估做扎实,把业务以及支持它的关键资源进行充分识别,这样的话才能够掌握这种专业的方法,然后通过一些培训、演练向业务部门进行传导,这是我们的思路。
王曙:邹总很谦虚啊,我知道你们那边在做一些很有意义的探索,也已经做了一些东西。同时我觉得邹总刚才提出一个很重要的观点,我觉得特别好。其实业务影响分析在我看来是一个不算完整、但是包含大部分重要要素的情节构建工具。为什么这么说呢,我简单分析一下,前面我说过,情景构建最主要是分析清事件两个方面的情况,一个是事件的发生发展过程,首先是事件发生的机理,然后是发展演化的过程是什么?这是一个方面。另一个方面,就是这个事件它带来的后果和影响什么。
我们看业务影响分析做了什么,业务影响分析会把业务之间、业务及其所依赖的关键资源之间的相互依赖关系分析清,在这些分析清之后,我们就大致可以搞清楚运营中断事件的发生发展过程了。接下来运营中断事件带来的后果和影响,本来就是业务影响分析做的事。所以说在我看来,业务影响分析就是一个很早,在上个世纪80年代,就提出来的一个特别用于业务连续性管理领域的,与现在突发事件应急管理中提出来情景构建方法很相近的一个分析工具。所以说,我觉得邹总很敏锐。其实在银行业,特别是业务连续性管理方面,业务影响分析做得好,后续的很多业务连续性管理工作就有很好的基础了。
另一方面,突发事件管理方面则比较麻烦,因为我们现在做风险评估,很多时候大家都在用矩阵法。矩阵法的好处是可以很简单地就帮助我们识别出了需要处置的中高风险事件,但它也只是识别出这些事件。这些事件的发生机理是什么,发展演化过程如何?又会带来什么样的后果和影响,并没有进行分析。那后续怎么编制预案?也就是说在风险评估和预案编制之间有一个巨大的空档,这也就是为什么这几年在突发事件应急管理领域,对情景构建特别推崇的重要原因,因为情景构建可以填补这一空档。
而在业务连续性管理领域,情况会好一些,因为我们有业务影响分析这个工具。我觉得邹总把这个指出来,抓住业务影响分析这条线认真做,对银行业做好业务连续性管理实践很重要。
好的,那接下来我们来听听浦发何总的看法。何总,我知道你们演练做得比较早,也比较多,有些还比较好玩。甚至我知道你近期还在做一些更新类型的演练,请你给我们讲讲你的观点和看法。
何乃煜:好的,从无脚本演练来说吧。我们这边是这样,风险管理部组织的业务连续性演练全都是无脚本演练,我们出场景,然后我们负责记录,做导调,演练人员限时提交材料。刚才王总这边介绍的演练也比较好,因为有更多的人员参与,还是在现场做,我们基本上是在会议室里面,做桌面演练。
15、16和17年做得比较好。那时候主管行领导把行长叫过来一起参加演练,他做决策,所有部门老总,所有部门的业务人员都参与演练。然后要求用现有的BCP,依据BCP来做。我们的无脚本演练是这样的。我们在演练结束会做评价,之后行长也会做点评。我们的评价会给他,他会依据这个做一个总的点评。
这两年做得少,我们下周二,会做一个勒索软件攻击的无脚本演练。设计的场景大概是持续4到5天,每半小时假设为一天,过程中我们会做记录,对演练人员要求也是一样,每半小时要提供应对措施。那你的预案是什么?你没有预案的话,你准备怎么做?一般要求是能提供预案就要事先准备好,没有的话,当场就要去写预案,也就是只有半小时来做。还要包括危机处置,我们一般每次演练,应对危机的公关稿是当场要写的。
基本上我们主要是无脚本演练,而科技这边主要是”演”了。王总前面分享的演练会比较好,因为是在现场做,我们是在会议室做,气氛可能没有在现场做得这么好。现在我不敢做现场演练,决策演练做得会比较多一点,然后是恢复阶段的演练做得多一点,另外演练的前期组织也会比较简单一些,王总这边你们做得比较细致,准备的文档比我们充分一些。
第二个是谈一下演练场景,挤兑现在是这样的,传统挤兑是柜面挤兑,现在其实更大的挤兑是通过互联网,是通过转账形式的挤兑,这个是目前对银行来说真正的危及生命线的挤兑。因为假如是现金挤兑的话,情况可能会比较严重一些,但不会影响银行的生存。但是通过互联网,通过手机银行、网上银行来进行的挤兑,就像去年的硅谷银行,它的破产就是因为转账挤兑造成的。
再扩展一下,假如我来设计的话,可能会把RRP的第一个R一起演练进去。要验证流动性的应对,可能要卖一些资产,看能不能够卖掉,从这个角度来做。所以我觉得挤兑场景的话,要做得比较好,更多要通过互联网的方式来做,会比较贴近于现实情况。因为现在的场景,跟过去传统的有些不一样了,现在威胁更大的是通过手机银行。
第三个就是说关于情景分析这一块,从我们操作风险来看,SA是操作风险的一个工具。大家可能做过情景分析,但是没有把它和业务连续性演练结合过,这是一个很好的启发。后面我也会看看能不能把SA用在演练中,因为SA的工具可能会比较大一些,通常分5步走,会产生很多东西,工作量也比较大,它怎么跟演练结合,是一个很好的课题,我们去研究一下,以后也会跟大家一起来交流这个SA和演练结合来去做这个事。
王曙:好的,多谢何总。我先和何总预约一下,等你的勒索软件攻击演练做完,我们再安排一次活动,因为我近期对这件事特别感兴趣我,我觉得这里面有很多可以深挖的东西。接下来我想对何总刚才的想法简单说一下,我觉得15、16、17年做无脚本演练,在国内不只是银行业,把它放到所有行业里面,都是比较先进的,我了解的情况是这样的,到今天为止,在许多行业中,还是以脚本式演练为主,银行业的情况并不算落后。
关于集中取款事件,特别是转账式集中取款,我们近期在和一家互联网银行沟通的时候,发现他们也特别关注这一点。另外,一般是规模比较大的银行关心这种集中取款事件,因为对规模比较大的银行,刚才何总也提到,其实传统的柜面集中取款影响没那么大。我们在调研中发现,大量的现场集中取款这种情况,主要发生在600亿以下的村镇银行或者其它农村金融机构。资金规模超过1000亿以上的银行,受到这种传统的集中取款事件的影响就比较小了。对于更大型的银行的话,它主要受到年轻人的这种转账型的集中取款事件的影响。对于转账型集中取款事件,对银行的要求也不一样了,比如,你要有信息系统支撑吧?你要有相应的监测系统和监测指标吧,还得有相应的岗位和职责分工。据我了解虽然监管机构开始有要求,但很多银行目前是没有相关的信息系统、监测指标统和人员角色和流程来支撑。
另外何总刚才提到流动性问题,我补充一些信息,2020年左右我去西部一家机构培训时,了解到当地有银行在实战演练中,真得要卖出1亿的票据。值得大家注意的是,2020年西部就有银行做到了这一步,所以说我觉得在管理层面,有时候并不一定是东部的机构做得更好,这方面做的好坏,更多与银行的敏感度、紧迫度以及和领导的决心有更大关系。
对了,邹总,你是不是对刚才的话题还有想说的?
邹阳:对,我也让参会的朋友们,更多了解这3个关键词的情况。首先就是集中取款事件,因为监管一直对银行有要求,演练方面也有要求,并下发了一些预案,我也做了一些研究和思考,这里面有几个概念,如集中取款,挤兑和流动性。最开始时,就我个人认识来讲,他们可能是同义词,但我现在来看,就不大一样了。如集中取款,我认为它是个现象,就是网点人比较多,大家都在进行现金取款这种现象;而流动性,它更多是一个结果,就是银行的流动性出问题了。那么挤兑,它是结合集中取款现象,又结合流动性结果,两者共同结合起来后的一个东西。监管方面,并没提挤兑,而是说集中取款。
那么这里面又有一个关系,就是挤兑的可能原因有很多,流动性出问题的原因也很多,它们有交集也有不相交的部分。从我个人角度看,对于集中取款这种现象,主要要注意两个方面,一个方面是网点的现场处置能力,另外一个就是舆情,或者说事件后面的舆情管控能力。对集中取款现象,重要关注这两方面就够了。如果再往后发展的话,如果集中取款没有控制好恶化了,接下来可能会出现一些更多的网点的蔓延,或者说甚至引发流动性问题,就会造成这种结果,这是我对于这些概念的认识。
在日常工作中,这三个方面可以简化为两块,挤兑没有专门部门负责。比如说在我们银行,集中取款事件由我们风险管理部负责,流动性一般由资负部门管理,从职责上也是分离的。对这个概念的理解统一后,工作上也好衔接和配合,这是我们银行的具体情况和我的认知。
王曙:邹总我觉得你刚才对这3个概念的辨析很有意思,和你们行的职责分工结合得也很好。我的理解有些不大一样,我觉得整个行业不愿意提挤兑这个词儿,是不是因为大家对挤兑这个词比较敏感,然后就用集中取款这个词来代替挤兑。当然,这只是我个人的看法,可能理解不对。那何总,你是怎么理解集中取款、挤兑和流动性这三者之间的关系?
何乃煜:我的理解是,资负部门管流动性,肯定是跑不掉的。但是他们的手伸不到支行,所以网点作为一个应对方,他要处理一些事情,但他自己又没能力。所以在总行还是要找一个部门来牵头,网点层面主要是一线的现场处置。而资负更多是关于后台资金筹措,或者资金监控,它是一些更重要的事情。从实操层面来看的话,我个人觉得邹总的理解,就是把集中取款理解成是现象级的,如果再往下面发展的话,就到流动性了,那就是各做各的。我觉得这个从我个人来看,这两个还是能够很好的配合和衔接。
王曙:邹总,我再追问一个问题,那你觉得做了集中取款事件预案之后,是否还要再做一个挤兑预案呢?因为如果它是不同的事儿的话。
邹阳:是的。我们行是有两个预案,一个集中取款预案,一个流动性预案。
王曙:好的,邹总。那何总你的看法,针对这块,你们是怎么做的?
何乃煜:我们这边是这样的,我们有一整套应急预案。一开始事件发生后,事发单位要组织信息进行报告,他要维持秩序,他要做信息处置,然后他马上报告。因为这不是他能够去解决的,根不在他这儿。我们在接收到报告后,会把情况汇总,然后向突发事件应急领导小组报告,然后启动应急体系。这个时候已经不是一个部门能解决的。
我们在应急时,不是以实体部门形式而是跨部门来解决的,领导会以跨部门的方式来做应对。一般而言,假如有部门的话,部门之间有壁垒,可能导致有很多事处理起来很麻烦。所以一定要上升到一个跨部门的组织,而且这个领导是一个能决策的领导。因为这个时候是很紧急,需要能决策。
我们把流动性管理作为重要事务,我们把对外的叫业务,对内的叫事物。流动性管理是一个重要事物,所以你评估的时候就要告诉领导,已经产生了重要事物,现在受到影响是否要启动预先编制的预案,还是领导有新的决策。也可以按新的方式来去做,就是你可以用预先编制的预案,也可以由决策者进行其它决策,他要承担这个责任,也有这个权利,因为最终责任是由他全部承担的。我们这边是这样来去做的。
王曙:何总,我觉得你把决策细节和责任也讲出来,这个讲得很好。那我接下来再问一下,还是何总这边,目前咱们浦发银行针对流动性和舆情这些相关的,包括指挥部演练做得多吗?
何乃煜:所有的演练我们都要求有危机,有危机部分的,舆情应对是一定要参与的。每个阶段他们都有他们的任务,他跟业务是分开的,但是所有事情都要知晓,就像发言人一样。他要出他的公关稿、公告,包括董秘办那边需要的上市公司发的公告也是由他来写,然后交给董秘办,因为他是做文字的。
领导决策,我们是有一整套要求的,到什么程度启动哪一层的领导来决策,这个是事先都定好的,一般来说,如果部门级的话,比如说我们是运营部来去决策,他可以把这个都做掉,但也是运营部来决策。运营部其实不是单一部门了,他是跨部门的,他可以叫其他部门做。但假如运营部觉得我已经叫不动其他部门了,就跨很多部门了,会提交到更高一层的行领导。然后分管行领导可能觉得我这个我也不是我能沟通的了,就由行长来做组长,我们是这样的一层一层升级的。
通常报告的时候,我们要求行长要知晓他可能并没有参与的事情,每一层都得告诉他。因为我们的原则就是尽量多报告,让所有人知道,不要事件升级到他他才知道。一开始,我们要求的是事发单位也是尽快报告,向各个部门都报告。有部门专门负责收集这个,他会再去报告,我们有这样的要求。
王曙:我插一句,这种情况大家一般叫做共享的态势感知,就是一定要让参与决策的所有人都知道。好的,何总你接着说。
何乃煜:差不多了。
王曙:好的,接下来我把这个问题同样交给邹总,对咱们郑州银行,现在流动性和舆情,以及相关的指挥部演练,咱们做得多吗?情况怎么样呢?
邹阳:我们的情况是这样的,首先说这些都在做,但整体而言,我们分为两大块,一块是业务连续性,另一块是突发事件,这些演练都在做。
但是还是最初我说的,就是像我们这些中小银行里面,从专业性来说,包括我们牵头部门的专业性,以及我们相关参与部门的专业性都弱一些,这些工作都在做。另外,我们的规模放在这里,平常真的出啥事直接就到领导那里了,所以说反而导致在日常演练过程不一样,领导参与的指挥部演练进行比较少,更多还是在各个业务负责部门,他们按自己的方式来做演练。
但对中小银行来说,真得面临什么情况,基本上一个决定做下来,不管怎么安排,很快就能到达每个人,所以说指挥部演练的需求也没有大行那么多。至少从领导的认知来讲的话,演练的重点还在执行部门。
王曙:好的,邹总,那我接着问邹总一个问题。对集中取款或者说挤兑演练,如果要做的话,它主要的驱动力来自哪儿?是监管推动还是机构主动要去做?如果两者都有的话,大致的比例是什么情况?
邹阳:监管驱动。当然监管不会说有流动性这块,他会有一些具体要求。我们部门也会组织,组织完之后这些工作都在做,然后监管也会有一些反馈,比如说你做的哪些方面做得好或者不好,我们也一直在改进,进行迭代。当然监管说得比较多了,我们也会主动得去研究一些新的东西。
但是象今天说的把领导层拉进来进行演练倒是没有。对于流动性这一块,我们会对资负部门提一些要求,说你不能只是做资金这一个方面,你也要从整个事态的角度来看,要有全局性,比如说你的监测系统,与其它方面的各种衔接关系,我们也会按照顺序,把监管的要求传递给他们,我们推动工作开展,主要是这种方式。
王曙:好的,我把这个问题也问一下何总。何总,你觉得对于规模比较大的银行,大家更关心的是转账型集中取款,那针对这类事件,咱们做过演练吗?如果做过,演练情况怎么样?
何乃煜:基本上我们没有做过流动性的演练,因为我们觉得流动性风险发生的概率比较低。从我们角度来说,流动性是作为重要事物来做的,有一整套怎么处置资产的顺序,但是没有演练过,也没验证过。这次倒是给我们一个提示,我们可以做一下。不过下周二我们的演练里面,会有一块影响到流动性。
王曙:好的,谢谢何总的信息。那我接下来还有几个问题,我会尽快抛出来,那还是何总吧。我接着来问一下你关于演练方面的问题,一般情况下,银行都是一年进行一次综合性的实战演练,那这种年度的综合实战演练,咱们主要是什么类型的事件?
何乃煜:我们每年做的综合性演练,都是比较大型的,比如从网点开始,由部分网点慢慢扩展,一直到整个区域都出了问题,包括数据中心都出了问题,我们会逐步扩大事件的范围。
关于触发事件,有时会比较特殊,比如因为我们数据中心的旁边有一个很特殊的,大家可能不会有的场景。我们会选择这个物殊场景引起的,慢慢波及到数据中心。再比如,事件前期发生在网点,我就举个例子,有一次我这边假定的是网点有人受伤,因为受伤是在属于我们的场地发生的,这些本质上都属于操作风险。然后,网点开始有人员受伤,包括有我们的员工受伤,那网点是否要封锁?由于特殊场景的因素,应急部门可能会把整个区域封锁,然后逐步会扩大。类似的场景,可能与暴恐相关,反正就是这样逐步去扩大。
通常我们都是以半小时为一天的方式来做,时间跨度会比较久的,也可能半小时模拟2个小时、3个小时这样的,我们一般会做的时间比较长。人员参与方面,总行各部门加上上海分行,上海分行会纳入到现场来做是因为他们比较配合,我们会让分行再带上支行,又因为我们有三层的架构,分行有分行的指挥体系,然后支行是执行机构,他得知晓。我们通常考察他是否知晓,包括你能不能拿到文档,你的那个BCP的文档你有没有知晓,在哪里,你能不能执行,我们会看你的BCP的执行,你的操作手册执行,你知道不知道?你不熟悉也不要紧,但是你得知晓文档在哪里,你的角色告诉你用哪一套文档,你能找到吗?我们是这样来考察的。
王曙:好的,那我把这个问题同时回来又问到邹总。邹总,咱们这边的年度综合演练,大概会是什么样的场景,或者是以什么样的方式来触发的呢?
邹阳:我们基本上每年会组织做一次综合演练,但我们的作法可能跟浦发不太一样。
像我们前两年做的一个场景是下暴雨,然后引起支行断电,再然后发电机断网,科技部临时去给他们换无线路由器。还有就是下雨的话,我们的系统出了故障,要切灾备。我们在这个演练里面把话机,也全部切了一遍,就是生产环境全部给切了。整个花了一两个小时,把所有话机的配置全部给人为配了一遍。
像这种综合演练,单独看其中每个演练的话,可能关系不是太大,但是因为有共同的背景,进行综合演练后,提高了演练科目的集中度,大家在一起进行。那次也邀请了行领导和监管部门的人员观摩,也收到一些建议。所以我觉得那次做完之后,影响是比较好的。不管在全行也好,还是说在监管的影响是比较好的,对我们郑州银行的氛围有一定的积极作用,所以说后面的话我们每年基本上会做一个。现在我们想的就是,监管也一再说业务跟IT融合的演练,明确地说,业务跟IT的融合演练,我们做的还不多。这方面的演练由风险管理牵头组织,这相当于监管上给了我们的一个命题。我们还在想如何组织,我觉得可能是一个有脚本的和无脚本怎么去结合的问题,这个还要研究。
王曙:邹总,其实你刚才提到的场景是大型城市内涝造成的,在河南很有现实意义,也很有针对性。因为前两年刚发生过一些事儿,这方面大家重视度比较高,我觉得这个很好。另外,你刚才提到的IT与业务结合,我觉得刚才何总他们有一个很好的思路,就是勒索软件攻击场景,以后有机会咱们再去看看,这个场景就是IT和业务紧密结合的场景,会造成很多具体问题。
何乃煜:刚才王总打断了,我刚才那个问题再补充一些信息。就演练场景设计而言,15到18年我们做的那个演练场景,经过疫情,我们发现其实存在一些问题。通过在场景中考虑中断因素时,通常是以小时来计算的,但在疫情中有可能造成中断的因素可能持续很长时间。所以也跟大家可能提示一下,在设计场景的时候可能需要摆脱按小时来算,可能要设计更长期的场景,比如10天、20天,过程中根据响应者的应对给出一些新的情况。进一步,也可以看到,目前的BIA做得可能有缺陷,需要去改进,像我们下周二做的演练,这个场景会持续很长时间。对勒索软件攻击,如果我不付赎金,从头恢复可能会需要很长时间,肯定不是2、3天的能够全部解决的。所以场景设计,要与时俱进,不要一直局限于短时间的影响因素,可能要考虑长时间的影响。
王曙:我觉得何总这个补充得很好。我还是建议大家多看看情节构建方法,要从典型事件上出发,分析这类事件它到底是怎么发生的,它可能持续多长时间,我觉得借鉴典型事件,再加上一些合理推理和分析,这样的典型事件建立起来可能会比较有意义。
我看研讨会快到结束时间了,我最后的问题是无脚本演练在整个行业,不只是银行业,现在整体做得是比较少的,我想问一下何总和邹总,你们觉得是什么原因造成的?后续如果大家认为它比较重要的话,有什么方法来做一些改善呢?这个问题先给何总。
何乃煜:我们这边做无脚本演练这种方式,是因为我们一开始做演练,更早在我们内部培训时,就一直强调演跟练我们要侧重于练,所以我们一直要求用这种方式。有脚本的话,演练人员可能会准备得很好,但实际上练的效果就不是太好。
我们在做无脚本演练时,场景是当时公布的,事先不会告知,只有这样才能够提升演练人员真正的应急能力。如果事先都准备好了,他可能演得很好,但真正发生事件时,基本上我很少看到银行是起灾备的,都是抢修。因为平时都是演的,都是按脚本去做的。在演练前可能花了一个月,反复做了很多次,但实战意义就不大了。你到实战的时候,你会发现我还是不敢切换,没有这个信心。但假如通过无脚本去做这个,你就会有很强的信心,因为你平时就这样练了。
王曙:何总提得很好,其实就是说还是首先要意识到这样做的价值,核心问题是要理解演练不是为了解决合规而是要解决实际问题。好的,邹总,我把这个问题重复一遍,就是无脚本演练在行业里比较少的主要原因是什么?未来需要怎么能够改变这种情况?或者怎么改善这种情况?
邹阳:我觉得对我们这些中小银行来讲的话,我觉得无脚本演练还是比较遥远的。
从我个人的角度,首先是做无脚本演练的能力,大家还不具备。无脚本演练,方法上没问题,但在工作中,谁去分析,谁是那个火车头?得有这个火车头,然后带着后面的人,那些部门的人按这个方法去推进,这是一个机制建设的问题。所以说首先要找那个火车头,像我们这些中小银行,牵头部门要做这个火车头都有一定的难度,然后更加不要说后面的车厢了。
但是,这个方向肯定是没问题的,刚才何总也说了,关键是要解决我们遇到突发事件或者问题的时候,能够应对得了。所以说这个火车头要去试探,要去实践。
另外对于我们来讲,我的重点还是要解决如何可能将业务和IT融合这一块,当然会有实战也有桌面演练。业务层面的演练,我觉得很多时候还在等IT恢复,之前的场景基本都是因为IT故障,故障期间他业务替代方法用得还不多。我觉得根源还是在在业务影响分析上,没有识别出业务所依赖的关键资源,识别不全面,不知道有什么关键资源。演练过程中也没有去思考,就不会去演练。所以说不管是有脚本还是无脚本,他都不会去演练。
所以说我觉得首先第一步是要解决业务影响分析和关键资源识别的问题。从目前我们这边来看,我觉得可能还要一两年左右,两年之后才会慢慢去实践这些方法。
王曙:我觉得邹总讲得很实在,业务影响分析是基础,有专家把它叫做业务连续性管理的龙头,这个龙头做对了,后续一切做起来会才有可靠的基础。
好的,今天时间已经到了,大家如果有问题,可以通过公众号或其它方式跟我们联系,如果有问题需要向邹总、何总提问也可以通过我们中转。今天这个研讨会就是想建立一个平台,在行业里多做一些交流,未来也会多邀请一些行业的大咖来与大家交流。今天就到这里,谢谢邹总,谢谢何总,谢谢在线参会的朋友们,谢谢各位专家,咱们下次研讨会再见!
原文发表于公众号”业务连续性+” | 原文链接