编者按
金融数字化发展联盟与《中国信用卡》长期关注中国银行卡行业发展,为展示行业在支付创新、数字化转型等方面的研究与实践成果,在《中国信用卡》创刊三十周年之际,金融数字化发展联盟联合《中国信用卡》推出创刊三十周年征文活动,邀请金融机构分享自身高质量发展经验,我们将陆续发布征得的优秀文章以飨读者。
作者
中国农业银行信用卡中心 王小波
2011年,我国原银监会印发了《商业银行业务连续性监管指引》(以下简称《指引》),对境内银行业机构如何开展业务连续性管理进行了规范。从信用卡业务近年来的实践来看,“业务连续性管理”一词已不再局限于《指引》所界定的“降低或消除因信息系统服务异常导致重要业务运营中断影响”的范畴,而是逐渐扩展到了“非信息系统”领域。总体上,我国信用卡业务连续性管理起步较晚,在业务影响分析、风险评估、预案建设及业务演练等环节仍存在不少问题,有待进一步研究解决。
一、业务影响分析
业务影响分析的目的就是识别出一旦运营中断就会造成严重影响的“重要业务”并评估这些业务的重要程度。“重要业务”是业务连续性管理的重点,《指引》将其定义为“面向客户、涉及账务处理、时效性要求较高”的银行业务,但并未明确业务影响分析的具体方法。结合当前实践,信用卡业务影响分析可以按照以下三个步骤实施。
1. 结合“重要业务”定义梳理业务清单
首先,依据“面向客户”的要求,聚焦于信用卡业务所提供的产品或服务,主要包括信用卡产品(以及依附于信用卡的分期产品)与收单产品两大类。
其次,依据“涉及账务处理”的要求,剔除产品的申办环节,仅保留产品申办成功后才可能发生账户资产变动或账务信息管理的交易环节。这些交易主要包括依托信用卡产品进行的消费、转账还款、现金存取款等金融类交易,以及账户查询、激活、挂失等非金融类交易。为便于表述,本文采取较粗的颗粒度划分,将上述两类交易合并称为“信用卡交易”,依托收单产品进行的各类线上线下、境内境外交易也不再进行拆分,合并称为“商户收单业务”。
最后,依据“时效性要求较高”的要求,审视针对产品开展的各项管理活动能否纳入“重要业务”清单。这些管理活动主要包括客户拓展、消费经营、商圈建设等营销管理活动,以及审查审批、风险监控、贷后催收等风险管理活动。相对于“信用卡交易”与“商户收单业务”,上述活动时效性要求不高,是否列入“重要业务”清单,应当综合考量当下的业务需要及业务连续性资源的保障能力。比如,风险管理活动中,为保障交易资金安全和管控信用风险敞口而实施的贷中监控业务难以忍受长时间中断,需要在极端情况下保持最低运转或尽量缩短中断时间,那么在保障资源允许的情况下,可将其视为“信用卡重要管理活动”而列入“重要业务”清单。
2. 评估“重要业务”的恢复优先级别
建议采用定量和定性相结合的量化评估法,对清单中的“重要业务”进行综合评分。客户数量、交易数量、交易金额、服务时效要求、经济损失、非经济损失(客户投诉、监管处罚、负面舆论传播)等定量或定性指标可以作为主要的评估维度。量化评估指对上述指标按照一定的评分标准分别进行打分,然后再汇总计算得到最终的综合加权评分。“重要业务”的重要程度由综合评分的高低决定。比如,如果“信用卡交易”的综合评分比“商户收单业务”高,那么“信用卡交易”的重要程度就高于“商户收单业务”,其恢复优先级别也就较高。
3. 开展业务关联关系分析,定位上游业务
信用卡“重要业务”及重要性等级确定后,需要甄别出与其存在相互依赖关系的其他金融服务(尤其是上游服务),并将其纳入相关业务主管部门的“重要业务”清单进行管理。比如,“信用卡交易”的连续性运营依赖掌银、网银、客服、柜面等对外服务渠道的畅通,因此这些渠道类服务均有必要列为“重要业务”,且重要程度评级应与“信用卡交易”相当。
二、风险评估与资源配置
风险评估的目的是为了识别维持业务连续运营的关键资源,并分析资源所面临的各类威胁。
就“信用卡交易”与“商户收单业务”而言,连续运营主要依赖于关联信息系统的正常运转,运营中断(包括渠道类服务中断)面临的威胁源于系统的服务中断。具体而言,中断既可能是系统自身的技术故障或配套设施故障导致,也可能是外部网络中断、电力中断、黑客攻击、自然灾害等原因导致。因此,应投入资源提高系统的可用率,尽力缩短系统服务异常时间,确保系统的抗灾能力、应急恢复能力与灾备恢复能力能够满足“重要业务”的恢复时间目标需求。
就“信用卡重要管理活动”而言,除了系统类中断事件(比如贷中监控系统宕机)外,由于集中作业程度较高,非系统类中断事件是导致其运营中断的主要原因,如办公场所因特殊情况无法开展贷中集中监控业务。因此,应投入资源落实集中作业场所、人员和设备的备份管理,必要时可开展远程办公系统或其他替代系统建设。各项资源可以通过建立“最低业务保障”资源清单予以明确,并根据实际情况进行动态调整。
三、预案建设
信用卡业务主管部门应当制定业务应急预案,对应急工作进行总体安排。业务应急预案应当就应急组织架构、业务连续性策略、中断事件分级与报告、应急响应处置流程等事项进行说明,并与系统主管部门制定的技术应急预案有效衔接。
预案衔接以业务主管部门与系统主管部门之间明确的职责分工为前提。大体上,系统类运营中断事件应由系统主管部门进行决策、指挥和处置;非系统类运营中断事件应由业务主管部门处理,以便于内外部资源的调度。比如,在发生系统类运营中断事件导致“信用卡交易”成功率下降明显、需要采取灾备恢复手段接管业务的场景下,业务应急预案应明确由系统主管部门负责组织实施系统异地切换,业务主管部门根据系统主管部门的指挥采取业务验证、数据补录等业务应急措施。发生非系统类运营中断事件导致办公场所无法开展发卡相关业务的场景下,则应由业务主管部门负责及时采取业务替代手段,派出人员进驻备份场地启动应急作业。
在业务应急预案下,可以根据需要制定商户收单业务应急预案、办公场所突发事件应急预案等子预案。子预案应当重点说明可能出现的应急场景,以及在该场景下为保障业务连续性可采取的应急措施或替代方案。比如,商户收单业务应急预案中应明确,在发生个别行POS银行卡交易报错的场景下,由信用卡业务主管部门内设的收单业务管理单元指导分行进行故障排查并做好应急处置,由消费者权益保护部门配合客服渠道做好客户的解释和安抚工作。
业务应急预案应当明确分支行在应急处置流程中的角色,确保分支行对运营中断事件的快速响应和有效应对。信用卡业务的系统类运营中断事件一般以总行处置为主,分支行主要负责执行总行决策事项在本级行的落地。属地行主要负责处置非系统类运营中断事件,并做好日常应急保障资源建设。比如,属地行可以建立与当地街道、公安、疾控、消防等部门的应急协调机制,以便在非系统类运营中断事件发生时,有效利用外部资源保障业务持续运营。分支行可将信用卡业务纳入分行的总体应急预案,不再单独制定信用卡业务应急预案。各级行开展制卡外包、催收外包等信息科技外包管理活动的,外包管理行还需要按照监管要求制定相应的外包业务应急预案,防范外包风险。比如,分行开展催收外包业务的,应当制定预案,明确外包专线网络故障、数据信息泄露等场景下的应急处置措施。信用卡业务应急预案体系如图1所示。
四、业务演练与应急处置
为了使应急处置人员能够熟练掌握预案,提高响应和处置运营中断事件的能力,信用卡业务主管部门、系统主管部门与关联业务部门应当以预案为基础定期开展演练。在不影响业务正常运营的前提下,应当优先开展实战演练或在测试环境下模拟实战演练。为提高演练质量,演练开始前应当制定演练方案,逐一确认演练的范围、时间、主体及流程,演练结束后应起草演练报告进行总结分析。
信用卡业务主管部门应当重点参与系统主管部门组织的信用卡系统灾备切换演练,并视情形参与系统相关基础设施、软件、硬件方面的技术演练。演练过程中,信用卡业务主管部门应重点演练总行跨部门的沟通协调、业务技术对接情况、总分行沟通与报告机制等处置内容。根据需要,信用卡业务主管部门可以自行开展非系统类运营中断事件演练,重点演练备用业务资源及场地的可用性。
一旦发生运营中断事件,应依托预案启动应急保障机制,按照设定流程开展各项处置工作。实务中,应急处置人员往往以迅速恢复业务为优先事项,容易忽视履行预案规定的中断事件报告职责。为避免迟报漏报所引发的监管处罚风险,建议严格按照预案既定路径在银行内部进行信息传递,并向国家有关部门进行报告。
(文章仅代表作者个人观点,与作者供职单位无关。)
(本文系《中国信用卡》“创刊三十周年征文”投稿)
本文刊于《中国信用卡》2024年第6期
相关推荐
