灾备与内控，理念殊途同归
 

    灾备对保险企业并不陌生，包括中国人寿、中国平安、中英人寿、丰泰保险等保险企业都建立、健全了灾备建设。简单来说，灾备建设水平和范畴可以分为信息系统灾难恢复（即IT备份与恢复）、业务连续规划（BCP）、业务连续管理（BCM）三部分。相对而言，目前，保险企业在信息系统灾难恢复层面付出的努力和精力相对较多，对业务连续规划和业务连续性管理建设相对较弱。当然，也有少部分保险企业已经进入业务连续规划阶段，比如，中英人寿在2007年上半年就开始进行BCP建设，在GDS万国数据的帮助下，目前，中英人寿已建成公司整体的BCP预案，涵括了应急响应和灾难恢复和策略、通知响应流程以及人员和资源要求等等。
 

    保险企业要想真正做到7x24小时业务连续，最基础的应该是进行信息系统的备份和恢复。在这个基础上，如果考虑到灾备所需要的各种恢复资源，考虑到对这些资源的合理利用、管理，考虑到整个灾难恢复的流程，就构建了一个灾难恢复、规划体系。在这个基础上，如果考虑到整个组织所面临的风险，所受到的影响以及要进行灾难恢复时，整个人员、组织架构、保障体系，恢复的策略、目标的话，就构建了业务连续性计划。在这个基础上，如果考虑到对紧急事件应急的处置、响应，对企业和部门在这种紧急情况下的危机管理等，就是业务连续性管理（见图1）。

图1：业务连续性管理范围

    对企业灾难备份、恢复建设，近年来，政府监管机构也非常重视，2005年，中央办公厅、人民银行、证监会、保监会、国税总局、海关总署、铁道部、民航总局、国家电网公司等重点行业及北京、上海、广东三地政府代表就共同制定了《重要信息系统灾难恢复指南》，2007年6月，该指南正式成为国家标准（GB/T 20988-2007《信息系统灾难恢复规范》）。2008年3月底，保监会也发布了《保险业信息系统灾难恢复管理指引》，与此前银监会、证监会以及其它主管行业机构所颁发的相关灾难备份、恢复法律、法规所不同的是，此次，保监会所印发的《指引》第一次对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求——保险机构应统筹规划信息系统灾难恢复工作，自《指引》生效起五年内至少达到《指引》规定的最低灾难恢复能力等级要求。
 

    就项目实施而言，内控管理与灾备管理面临的问题有很多共通之处：比如，在内部环境方面，都面临如何明确各分支机构职责分工？在风险分析方面，均需研究究竟面对何种风险，各种风险对企业的影响是什么等问题。
 

    而就灾备管理和企业内控管理内容而言，两者也有很多异曲同工之处，比如，在内部环境方面，内控管理需要对组织机构进行设置与权责分配，明确公司治理结构等；灾备管理需要进行战略规划，明确各分支机构、各部门的分工及职责。在风险评估方面，内控管理需要设定目标、识别、分析以及应对风险；灾备管理则需要进行战略规划，明确目标，分析风险，分析技术恢复资源和业务恢复资源，分析业务影响，制定业务连续策略等。