FFIEC BCM检查手册v2019译后记
写在前面: 从2020年底准备招募业务连续性管理的爱好者们一起翻译《FFIEC BCM检查手册v2019》(下文简称为检查手册),直至上周完成译校稿,已过去半年。基于以下与检查手册相关的资料: 1. FFIEC BCM检查手册v2019中文简译第一部分 From 引言 To IV.B 沟通 2. FFIEC BCM检查手册v2019中文简译第二部分 From V 业务连续性计划 To IX 董事会报告 3. FFIEC BCM检查手册v2019中文简译第三部分 From 附录A 检查程序 To 附录D 参考资料 4. 陈昊鲁政委:《防患未然:金融机构业务连续性管理怎么做》 以及近两年巴塞尔银行监管委员会、英美金融监管机构关于运营韧性(OR,Operational Resilience)、操作/运营风险管理(Operational Risk Management)和业务连续性管理相关的文件,从3个方面简要谈谈我们对检查手册的理解。
一、FFIEC BCM检查手册v2019背景
美国的金融监管体系形成于过去的100多年。这个体系的特点是分散、宠杂,包括多个联邦银行业监管机构、专门的联邦证券监管机构、期货监管机构,以及包括联邦贸易委员会在内的其它监管机构,还有大量的行业自律组织和数以百计的州金融监管机构。历次金融危机和金融市场重大发展在美国金融监管体制的形成上扮演了关键的角色。
联邦金融机构检查委员会(FFIEC,Federal Financial Institutions Examination Council)于1979年3月10日根据《1978年金融机构监管和利率管制法》(Financial Institutions Regulatory and Interest Rate Control Act of 1978)的第X章公法95-630成立。委员会是一个正式的跨部门机构,有权为联邦储备委员会理事会(FRB)、联邦存款保险公司(FDIC)、国家信用社管理局(NCUA)、货币监理署(OCC)和消费者金融保护局(CFPB)提出建议,以促进对金融机构的统一监管。为鼓励州和联邦监管机构采用统一的检查原则和标准,2006年,州联络委员会(SLC,State Liaison Committee)作为有投票权的成员加入理事会。SLC包括来自州银行监管者会议(CSBS)、州储蓄监管者委员会(ACSSS)和州信用社监管者协会(NASCUS)的代表。
FFIEC检查人员教育办公室为成员机构的现场检查人员创建了《信息科技检查手册》,涉及审计、业务连续性管理、开发与采购、电子银行、信息安全、管理、运营、第三方服务提供者、以及支付系统等多个主题,其中2019年11月14日更新的《业务连续性管理》检查分册是信息科技检查手册的最近更新。
《业务连续性管理》(Business Continuity Management)检查分册2019年修订版为该主题的第3个版本,上一版是2015年的发布的《业务连续性规划》(Business Continuity Planning),这次修订主要包括: 更名为“业务连续性管理”,以反映对持续的、企业级的业务连续性和韧性的日益关注; 将“金融机构”(financial institutions)替换为“实体”(entities)*; 对NIST、FEMA和其它权威来源的更清晰的引用; 明确了全面风险管理(Enterprise Risk Management,ERM)与BCM的联系; 去除了多余的流行病规划(pandemic planning)部分;** 讨论与单点故障相关的供应链风险; 澄清了演练和测试之间的区别; 提升维护和改进作为BCM生命周期重要组成部分; 将附录J中的相关概念整合到分册正文中; 在适当时,将定义和术语与权威标准机构(如NIST和ISO)保持一致。
注1:实体包括存款类金融机构、非银行金融机构、银行控股公司和第三方服务提供商。 注2:2020年3月6日,FFIEC发布了《流行病准备重点指南》(FFIEC Highlights Pandemic Preparedness Guidance),强调指出“大流行病准备是金融机构业务连续性计划的重要组成部分”,该重点指南 “为委员会提供了审慎的期望,即受监管机构应定期审查相关风险管理计划,包括连续性计划,以确保它们有能力在各种情况下持续交付产品和服务,并将中断的影响降到最低”。
另外,需要指出的是,在中文简译稿中,我们将“Program”译为“项目”,因为业务连续性管理在实体的日常管理中,从项目管理角度看,它是典型的项目集/项目群(program)管理,为方便阅读,译文中简化为“项目”一词;另外,“Event”和“Incident”通常译为“事态”和“事件”(当然,也有其它译法如“事故”等),但为简化译文,我们将两者都译为“事件”,特此说明。
二、FFIEC BCM检查手册v2019简要介绍
《FFIEC BCM检查手册》v2019包括引言、9章及4个附录,下面分别予以简要介绍。
引言(Introduction)部分介绍了检查手册的由来、适用对象,重点提及了“附录A 检查程序”的应用;指出“检查手册讨论了BCM治理及其要素,包括韧性策略和计划编制,培训和意识,演练和测试,维护和改进,向包括董事会在内的所有级别管理层的报告等”;强调“ 业务连续性不宜只关注事发后恢复行动的规划过程,还宜包括持续维护系统以及对运营韧性的管理 ”,提出“业务连续性宜被纳入实体所有系统、流程和运营的风险管理生命周期中”。
第1章业务连续性管理(Ⅰ Business Continuity Management)给出了包括以下10个部分的业务连续性管理框架(如下图),分别是:
管理层对实体韧性、业务连续性和响应能力的监督和实施; 将业务连续性管理的各要素与实体的战略目标进行有机结合,使得业务连续性管理的目标、措施符合实体的特性和目标; 开展业务影响分析以确定关键功能(critical functions),分析与其它机构和企业的关联关系并评估影响; 进行风险评估来识别风险、评估不同风险造成的业务中断的可能性和潜在影响; 制定有效的业务连续性策略(business continuity strategies)以确保韧性和恢复目标的实现; 在前期分析和研判的基础上,基于业务连续性策略形成完备的业务连续性计划(business continuity plan),其中包括事件响应(incident response)、灾难恢复(disaster recovery)以及危机和应急管理(crisis/emergency management)等组成部分; 针对员工和其它相关方进行业务连续性培训和意识教育; 进行演练和测试确保业务连续性相关流程能够有效支持前期建立的目标; 对业务连续性策略、计划等进行整体的审查和更新,以反映当前的业务和市场情况; 监控并同时向管理层汇报业务连续管理的整体情况。 同时,该部分还指出,管理层在建立业务连续性管理项目时,要 考虑实体在整体金融服务行业中的角色以及对整体金融服务行业的影响 。
第2章业务连续性管理治理(Ⅱ Business Continuity Management Governance)明确了董事会、管理层的责任,内外部审计组织对业务连续性管理的作用(对其有效性进行审核)。检查手册明确了 董事会和管理层对于实体整体业务连续性管理具有监督和审查等职责,其重视程度和应对策略判断会对实体业务连续性管理的实施起到决定性作用 ,给出了董事会对业连续性管理的6项监督职责和管理层对业务连续性管理的10项职责。检查手册提出实体的董事会和管理层需要要求内部审计人员或者聘请外部审计对业务连续性计划设计和执行的有效性进行审查。
第3章风险管理(Ⅲ Risk Management)指出 BCM宜与实体的全面风险管理相结合,以识别和管理整个实体的风险 ,以及管理层在进行连续性和韧性规划时,应侧重于风险缓释(risk mitigation)和风险规避(risk avoidance),在适当时采取风险接受(risk acceptance)。 对于大型和系统重要性实体,宜将影响金融行业的中断情景纳入实体的业务连续性管理 。进一步,检查手册较为详细地给出了实体执行业务影响分析和风险评估的方式,其中业务影响分析主要涉及关键业务功能识别、相互依赖关系分析以及对中断影响的分析;风险评估涉及风险识别,以及可能性和影响分析。同时,检查手册还要求管理层评估实体所在地理位置的潜在风险,协调全实体的业务连续性风险识别工作,识别网络安全风险,协调外部来源的危险和威胁信息,将威胁情报流程和BCM相结合。
第4章业务连续性策略(Ⅳ Business Continuity Strategies)是 在业务影响分析和风险评估之后,为充分应对可以预见的所有风险,分配资源以实现韧性和恢复目标。 检查手册指出,策略宜将人员、流程、技术、设施和数据方面的应对策略纳入。业务连续性策略中最为重要的部分是保证实体的韧性(实体准备和适应不断变化的环境、承受(蓄意攻击、事故或自然发生的)威胁或事件并从中快速恢复的能力)。具体而言,实体的韧性可分为物理韧性(physical)、网络韧性(cyber resilience)、数据备份和复制、人员、第三方服务提供商、通信、电力以及变更管理等几个方面。检查手册还在业务连续性策略中提到了沟通的韧性安排。
第5章业务连续性计划(Ⅴ Business Continuity Plan)全面描述了业务连续性计划的重要组成部分。首先,检查手册提出,一个全面的业务连续性计划宜包括:一是实体员工和第三方服务提供商各自的角色、职责和必需的技能;二是对于各类可预见事件的解决方案;三是提升应对等级的明确界限条件;四是保护员工、客户减少损害的具体措施;五是恢复功能、服务和流程的优先顺序和流程;六是关健信息的保护方式;七是在恢复地点开展业务时人员的后勤安排;八是网络设备、连通性和通信需求;九是在备选设施的人员安排;十是业务连续性计划测试的范围和频率;十一是如何将业务流程从应急状态恢复到正常状态。随后,检查手册提出, 业务连续性计划的建立可分为:事件管理(event management)、连续性和恢复(continuity and recovery)的安排、基础设施和设备(facilities and infrastructure)的准备、支付系统(payment system)的保障、流动性考虑(liquidity considerations)以及其它内容方面 。最后,检查手册还强调,业务连续性计划可纳入事件响应、灾难恢复以及危机/应急管理,以最大程度地减少中断的影响。
第6章培训(Ⅵ Training)指出,管理层宜将培训作为业务连续性项目的一部分,对相关方进行韧性、业务连续性以及个人的角色和职责等内容进行培训。
第7章演练和测试(Ⅶ Exercises and Tests)指出,实体的董事会和高级管理层宜提供适当的演练和测试,以核实实体的业务连续性程序等是否能支持业务连续性目标。这一部分在检查手册中占了较大篇幅,从演练和测试项目集及其方针、策略、目标、计划安排、情景和方法(如全面演练、有限规模演练、桌面演练和测试),以及行业演练和韧性、第三方服务提供商测试、对核心和重要机构的测试、演练和测试后的行动等多个方面提出了要求。
第8章维护和改进(Ⅷ Maintenance and Improvement)指出,由于风险和技术经常变化,管理层宜定期和不定期的审查和更新业务连续性项目以反映当前的环境。
第9章董事报告(Ⅸ Board Reporting)指出,董事会宜建立对管理层业务连续性报告的期望,定期监测业务连续性和韧性活动,并向管理层提出可信挑战(credible challenges)。
附录A 检查程度(Appendix A Examination Procedures)从检查目标出发,给出了检查人员确定实体(或其特定业务线)业务连续性管理质量的有效性的相关示例,见下表。 检查目标 关联检查内容 检查点数量 目标1:检查范围和目标 4 目标2 董事会和高管层职责 Ⅱ.A 董事会和高管层职责 5 目标3:审计 Ⅱ.B 审计 5 目标4:业务影响分析 Ⅲ.A 业务影响分析 5 目标5:风险评估 Ⅲ.B 风险评估 5 目标6:韧性 Ⅳ.A 韧性 8 目标7:沟通 Ⅳ.B 沟通 1 目标8:业务连续性计划 Ⅴ 业务连续性计划 13 目标9:培训 Ⅵ 培训 4 目标10:演练和测试 Ⅶ 演练和测试 30 目标11:维护和改进 Ⅷ 维护和改进 4 目标12:董事会报告 Ⅸ 董事会报告 1 目标13:纠正措施和沟通 4 合计 89
附录B 术语表(Glossary)、附录C 缩写词(Abbreviations)和附录D 参考资料(References)分别给出了检查手册所使用的术语表、缩写词、以及相关的参考资料。
三、几个值得关注的动向
1.从业务连续性到运营韧性
检查手册采用了ISO 22300:2018中给出的业务连续性的定义:“组织在中断后以可接受的预定义水平持续交付产品或服务的能力”(该定义在ISO 22300:2021中被修订,但基本含义未发生变化),该定义强调了业务连续性是组织的一种能力(capability),同时,它是一种在中断发生后用到的能力。
检查手册在引言部分即强调指出:业务连续性不宜只关注事发后恢复行动的规划过程,它还宜包括持续维护系统以及对运营韧性的管理。在“第4章业务连续性策略”,检查手册又指出,韧性是“准备和应对环境变化,承受事件影响(如蓄意攻击、意外事故或然灾害等)并快速恢复的能力”;韧性超出了恢复能力的范围,它结合了降低运营和流程设计中破坏性事件风险的主动措施。也就是说,检查手册中所说的业务连续性已不再局限于中断事件发生后,它还结合了降低中断事件发生可能性的主动措施。
进一步,检查手册对业务连续性管理的定义是“管理层监督和实施韧性、连续性和响应能力以保护员工、客户以及产品和服务的流程”(这个定义与ISO 22313:2020中的定义“实施和保持业务连续性的流程”相同之处在于都强调了业务连续性管理作为“流程”的一面),这个定义也将其范围扩展到韧性、连续性和恢复能力,涵盖了中断事前、事发、事中和事后所采取的各种措施。
2.端到端的业务连续性管理
检查手册强调大型和系统重要性机构失败会引发广泛的金融混乱,因此,评估中断的影响时除了评估中断对组织自身的影响外,还要考虑中断对整个金融行业的影响。这方面的变化与巴塞尔银行监管委员会以及英国金融监管机构今年发布的关于运营韧性的相关原理和实践基本一致,即更强调端到端的业务连续性管理。
相应的,业务连续性策略全面转向了韧性策略,从实体(physical)、网络(cyber)、数据、人员、第三方服务提供商、通信、电力以及变更管理考虑确保韧性的策略,并强调了保持协调一致沟通的重要性。业务连续性计划也更加强调与相关事件响应、灾难恢复、以及危机和应急管理的整合。
在检查手册中,演练和测试部分所占篇幅居于各部门之首,检查点占比超过1/3(30项/89项)。由于演练和测试是为了确保业务连续性程序能够有效支持业务连续性目标,这代表了检查手册强调业务连续性程序的可核验性。
本公众号 (ID: bcmplus) 专注于业务连续性管理知识的传播和普及,关注应急、连续性和危机管理的朋友可关注本公众号。
由于公众号注册时正处于腾讯政策调整,未能开通留言功能,希望交流和讨论业务连续性管理问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(公众号1月只能发4次文章,也会有一些小观点直接在知识星球而不在公众号发布)。
原文发表于公众号”业务连续性+” | 原文链接