汪琪：管理操作风险 保障业务连续

　　2005中国国际金融论坛于12月15日至16日在上海国际会议中心召开。本次论坛主题为“开放合作、创新发展与风险监管——中国金融迎接2006年”。论坛主要活动包括开幕式暨中国金融改革与发展主题报告和金融产业、中国证券市场峰会、企业与金融、金融与区域经济发展等专题论坛和新浪网友“最信赖银行”及“最满意银行卡”颁奖等。新浪财经对本次论坛进行全程图文直播。以下为GDS万国数据服务有限公司副总经理汪琪在论坛上的精彩发言：

　　汪琪：谢谢，刚才徐博士非常精采的讲了社保方面的问题，我今天讲的问题可能跟我们的保险业务有一定的相关性，但是是从另一个层次讲风险问题。先自我介绍一下，我叫汪琪，是GDS公司的首席顾问，今天我的讲演的题目叫“管理操作风险，保障业务连续”。

　　大家也清楚在我们一个企业经营的时候，我们面临的多种风险包括我们的保险公司面临着市场风险，我们面临着信用风险、投资风险，同时还有一部分我们称之为操作风险，也叫经营风险。这种操作风险和经营风险定义是在操作程序上，由于人员、系统不足的失误而由外部事件导致的直接和间接损失存在的，这个风险我们把它归纳为几个团队：核心的操作团队、财务管理团队、支持保障团队。应用这些风险我们要建立自己的业务连续的管理体制，和业务连续的管理计划，以及要对我们利益相关者明确管理风险的目标，从这个角度上我们谈到操作风险很大一部分是要保证业务的连续运动，保监会在2004年也发出了一个《关于做好重要信息灾难系统备份工作的通知》，是由保监会的保险行业监管提出来的，另外一方面在国家27号文国家网络与安全小组在保障业务连续防范打击方面都做出过具体的要求，这也是在整个企业规避操作风险特别需要强调的。

　　同时随着各家保险公司，我们有外资保险公司、外资参与保险公司和纯融资保险公司，塞班斯法案例如美国的这个责任是落到了董事和董事会一级，凡是在美国上市公司在中国具有投资的这部分的保险公司，实际上他与美国公众的持股人的关系都是相关的，也就是随着我们保险业对外的开放和引入外资进一步的加深，也渗透到国外的公司。

　　作为各个保险公司的经营者、领导者和所有者我们都需要考虑这方面的问题。

　　说到这些风险，我们来看一下在“911”事件中，当时在纽约世贸中心三座大楼倒塌，Empire Blue Cross是在美国内领先的

　　类似的这种案例如果是在中国发生的话，包括上次上海地铁4号线铁路坍塌，包括深圳看到的社保方面系统的限制造成了屡次医保服务的停机等等，这些都是需要我们来未雨绸缪的。

　　这副图是从整个企业的角度为大家诠释一下，到底我们面临这些风险怎么去区别，怎么分类？对企业来讲，我们面临着像危机管理、应急响应、业务连续管理三个大的运营风险，他们相互之间有旁带，也有不同的地方，我举个简单的例子，比如说保险公司这栋办公大楼，今天三楼食堂或者餐厅着火了，这是什么事件呢，这是一个紧急事件，需要我们进行应急响应，着火了我们首先要发现火源在哪，要灭火，疏散人员，请消防队过来，这些都是减少伤亡、减少损失、控制灾场、进行补救，没有影响整体保险公司的运作，这是属于应急响应如果这场火没有得到有效的控制，烧到计算中心主要生产业务的部门，这时候就会影响我们整个的业务连续，要应对这种情况，火灾的发生涉及到了我们的业务连续管理，怎么去防范呢？我们需要有实现对信息系统的备份，对IT一旦出现了问题切换的备份，有我们的业务恢复的系统，有我们的人员流程、组织架构和资源一旦发生问题，我们怎么在异地重新建立起这套经营的班子，这些是属于我们可持续的管理的范畴。

　　如果这场火我们没有办法控制，我们异地的灾难备份的场所又没有起来，或者是我们没有做这方面的工作，以至于我们不得不对公众停止服务，上报保监会，我现在的公司因为遭受灾难打击对外停顿了，告诉股东对不起我们对外停顿了，企业现在已经处于生死危机关头，媒体过来采访，这就是我们的危机管理。危机管理就是我们整个企业一旦出现了不利的传闻，出现了财务危机，出现了人事的异常，我们怎么让企业尽量减少损失，能够安然度过这个打击，能够让我们的投资人、我们的客户重新对我们充满信心，怎么样让我们监管机构对我们放心，那就是危机管理方面。所以他们是相辅相成的。

　　从业务连续的角度讲，我们说平常要考量这十个方面的内容，对于整个企业组织要对业务连续的运作和连续管理要有培训，要建立这种机构，对自己所面临的风险进行分析和评估，对自己的业务，比如说我是一个寿险公司，我的团险的业务、个人险的业务等，每一项业务如果一旦发生问题停顿的话，我停顿四个小时损失是多少？12小时、24小时又是多少的损失，我到底可以忍受多长时间的业务停顿，根据这种分析得出一个制订业务连续的策略，我希望在灾难发生的时候，比如说要在48小时恢复第一等级的业务，72小时内恢复第二等级的业务，一周内恢复第三等级的业务，把这种策略建立出来，建立应急响应、危机管理的机制。我们要制定一整套的业务连续管理计划，一旦出现问题我们到异地进行恢复，地方在哪儿，需要哪些资源、业务人员和IT资源的支持，我们为了保证企业的健康发展，能够抵御灾难的打击，我们应该怎么样做？我们要对这个计划进行演练、培训，跟公众当局和公众关系协调准备一旦灾难发生媒体的发言人稿件，事先经过法律人员和媒体公关部认可。

　　整个流程来讲，就像我刚才说的，包括整体的规划系统，建立组织架构，对风险和业务进行分析，制订策略，对业务的恢复和IT恢复预案，建设应急响应的体制，对整套系统和预案体系进行维护，持续的推广培训、测试演练，业务连续管理不是一个项目投一笔资备份就可以万事大吉，不是的，需要每年不段进行维护、评估、修正和演练，让企业内形成一整套灵活、长期存在的机制。

　　从一个大的方向来讲，一个企业建立连续业务管理，规划可以从公司最核心的业务系统的IT部分，因为对金融公司来说，IT是其中最重要的环节，所有的数据都我们的财富，要建设我们自己的备份，接下来设计的可能是IT部门数据中心、核心业务系统，如果是只恢复了IT系统，没有各个部门切换到异地，人员怎么切换、业务流程怎么恢复，需要哪些资源，你的业务一定是恢复不起来，这是我们要做的第二件事，接下来是周边的业务和管理系统，比如说我们跟各个银行之间的渠道，我们的外围系统、各个运行中心和业务中心要进行一个备份。再接下来对整个企业范围内的分支机构，公司职能和各个信息系统进行备份。

　　最后是