业务连续性管理与保险

1. 引言

根据银监会《商业银行业务连续性监管指引》，业务连续性管理是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。商业银行实施业务连续性管理，既是自身应对运营中断事件的需要，也是对外履行社会责任的需要。

业务连续性管理旨在降低或消除由信息技术故障、外部服务中断、人为破坏、自然灾害等原因导致的业务中断的影响，快速恢复被中断业务。业务中断的影响带来的后果可以分为财务影响和非财务影响两类。财务影响主要指因业务中断导致的收入（利润）损失，非财务影响主要指因业务中断导致的声誉风险、监管处罚、法律诉讼等方面的影响。

应对业务中断风险可以采取的策略包括风险的降低、缓释、转移、接受等。当前，国内银行的业务连续性管理策略主要集中在风险的降低、缓释方面，少部分规模较小的银行甚至选择接受风险（风险自留），采取风险转移策略的不多。

从国内外的实践看，通常银行出现大范围、长时间的业务中断风险的可能性较低，但是损失严重程度较高。在损失机会很小，但潜在损失严重程度很高的情况下，通过购买保险转移风险是一种特别合适的风险处理方法 (刘子操, 以及其他人, 2012)。

因此，有必要介绍和分析营业中断保险及新出现的网络安全保险在业务连续性管理工作中的应用。

2. 保险与业务连续性管理

2.1. 营业中断保险

营业中断保险（Business Interruption Insurance）1797年起源于英国，已经有两百多年历史，是对被保险人物质财产收到承保风险损毁后，商业活动在一段时间内暂停或受到影响的间接经济损失及必要的费用支出提供保障的保险。在许多发达国家，营业中断保险已经成为企业避免营业中断损失、维护企业持续经营能力的一项重要风险应对措施。
在英国，大部分营业中断保险的承保范围包括因火灾、风灾或水灾导致生产经营场所或设备损坏导致的营业中断、因关键生产设备发生故障（breakdown of essential equipment）导致的业务中断。一些保单的承保范围还包括无法进入生产经营场所导致的营业中断、供应商或客户的生产经营场所损坏导致的营业中断。另有一些单独销售的专门保单（specialist policies），承保范围包括计算机系统的病毒感染、黑客攻击或其他的网络安全风险。保险费率一般是以标准的火灾保险费率乘以调整系数（陶存文，2008）。
在日本, 营业中断保险主要承保台风、洪水及地震等灾害导致的企业营业中断损失。另外通过“连带营业中断保险”，还可以覆盖因上游供应商、下游厂商发生意外事故,无法供应零、配件或采购商品以致连带引起企业无法继续营业的连带营业中断损失,或是企业因电力、水力等公共事业供应中断以致连带引起的营业中断。（陶存文，2008）
在我国，营业中断保险是财产保险的附加险种，作为财产保险的补充，扩展承保企业因保险事故发生导致的利润减少等间接损失，已有20多年的开办历史。目前国内的人保财险、平安保险、人寿财险等均开办有该项业务。它所承保的风险与企业财产保险所保风险是一致的，企业财产保险承保的是火灾、爆炸、雷击等自然灾害和意外事故，营业中断保险同样承保这些风险；但不同于主险，营业中断保险承保的是企业财产由于火灾及其他灾害事故的发生而遭受直接损失以后，企业在一定时期内停产、减产或营业中断所造成的间接经济损失，包括预期的利润损失和受灾后中断期间仍需支出的费用。

除针对上述火灾、爆炸、雷击等自然灾害和意外事故造成的营业中断风险外，我国保险公司也提供类似于日本“连带营业中断保险”的服务。根据平安保险公司的公开资料，其营业中断保险的附加条款中可以包括：附加供应商条款、附加购买商条款，承保由于上下游厂商导致的被保险人营业中断损失；附加通道堵塞条款，承保营业处所临近的财产遭受物质损失，造成营业处所无法使用或进出该营业处所的通道堵塞，使被保险人营业受到干扰或中断；附加公用事业条款，承保因供气或供水原因使被保险人营业受到干扰或中断；附加谋杀、传染病和污染条款，承保营业处所发生传染病、谋杀或自杀、食物中毒、排水设施缺陷等原因使营业受到干扰或中断。

业务连续性管理所针对的风险中，主要包括因外部电力、水力、通讯及外包商等第三方原因导致的运营中断风险，因地质灾害、气象灾害、火灾、水灾损毁、恐怖袭击的营业场所、机房、设备、业务单据等导致的运营中断风险，因公共卫生事件、环境污染导致的自身人员无法进入营业场所导致的运营中断风险，因黑客攻击导致的信息技术故障或者信息泄露，因信息系统故障导致的运营中断风险等。营业中断保险与银行业务连续性管理所针对的风险存在一定的一致性，所提供的保障也符合业务连续性管理中降低中断损失的目的。有学者（杨宝华，2011）认为业务连续性管理是企业风险防范的必要手段，营业中断保险是业务连续性管理的一个有力工具。

2.2 网络安全保险（Cyber Insurance）

任何依赖信息技术的企业都会面临由于信息系统或IT相关设备故障、损坏带来的收入损失、故障维修、声誉损害等风险。

英国政府调查结果显示，2014年81%的大型公司和60%的小型企业遭受过网络安全事件，大型公司应对这些事件的成本为60万到115万英镑，小型公司的成本也达到了6.5万到11.5万英镑。

越来越多的企业开始购买专门的网络安全保险作为他们现有保险的补充，特别是对于如下类型的企业：

• 掌握如姓名、地址、银行信息等敏感的客户信息
• 高度依赖信息技术开展业务
• 处理支付卡信息（payment card information）