金融服务业研究报告-重新定义运营韧性.doc

该【金融服务业研究报告-重新定义运营韧性 】是由【老狐狸】上传分享，文档一共【12】页，该文档可以免费在线阅读，需要了解更多关于【金融服务业研究报告-重新定义运营韧性 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。,但不同地理区域及市场板块的监管模式依然呈现碎片化。不同辖区的发展速度不同,但所有辖区均认为运营韧性是优先考虑事项。网络韧性框架已有效整合,但需持续监控和更新以应对复杂程度不断提升的威胁。随着运营韧性的定义变得更加广泛和复杂,监管机构正推出不同的方案,从现行运营风险要求的高层次原则到新运营韧性框架的提出。适用于银行的全球原则BCBS的运营韧性原则是基于现行运营风险原则以及有关公司治理、外包及业务延续性的指引。BCBS还更新了运营风险健全管理原则,在银行实施方面提供更多指引。这些原则的主要目标是银行应致力于通过维持“在业务中断中交付关键运营”的能力来实现运营韧性。在这些原则的指引下,银行应能识别威胁及潜在失效并保护自身免受损害,并应对及适应业务中断事件,以及从中恢复和吸取教训。T关键运营的定义与金融稳定委员会,FSB,制定的“韧性及解决方案”中使用的定义一致。当评估运营韧性时,银行应审视其整体的风险偏好、风险敞口和风险状况。银行应通过协调现有管理架构并使其与主要目标匹配以实现运营韧性。运营韧性被视为是运营风险有效管理的结果。BCBS希望银行可以通过现行风险架构纳入这些原则,同时计及整体风险偏好、风险敞口和风险状况。BCBS不建议银行针对韧性建立独立的架构。BCBS原则不仅对银行业有用,亦适用于其它更广泛行业,并可能构成一项全球行动方案。证券委员会国际组织,IOSCO,仅关注网络及外包。国际保险监理官协会,IAIS,并未专门关注运营韧性。新形势下的运营韧性原则二,受监管实体应与各服务供应商签订有法律约束力的书面合同。这些合同的性质和内容应与外包任务对受监管实体业务的重要性或关键性相称。,机构与“一个广泛和多样化的第三方生态”进行互动的范围和性质已取得发展,尤其是在科技领域。金融板块近期对新冠疫情的响应突出了管理金融机构与第三方互动带来的风险的裨益以及挑战。疫情还可能加快了机构愈加依赖某些第三方技术的趋势。金融服务机构为了获得外包提供的成本、效率及专业性方面的效益,已纷纷转用该类服务。多数金融机构并非基础设施专家,虽然它们已实施大量项目以简化或重组现有流程,但仍或多或少地受到旧有系统的掣肘。转型项目对大型机构而言成本高昂且繁复,而小型机构则根本缺乏内部的能力与资源以开发专属解决方案。对它们而言,外包或会是一个具吸引力的选项,但第三方关系也带来不少挑战。监管机构关注的是,供应商的集中度,合同条款,包括退出条款和规划,数据安全,访问权和监督,包括治理、系统及控制,第三方的韧性,包括BCP和灾后恢复,对与外包商的文化校准和融入性的合理考量,为客户输出的成果欠佳。适用于投资机构的外包原则基本准则涵盖外包定义、重要性及关键性评估、关联实体上的应用、分包处理以及跨境外包等事项。七项原则涵盖以下领域,选择和监控服务供应商中的尽职调查,与服务供应商订立的合同,信息安全、业务韧性、延续性和灾后恢复,保密事项,外包安排的集中度,对数据的获取、工作场所的进入和人员的接触以及相关检查权利,外包安排的终止。国际证监会组织,IOSCO,外包原则原则一,受监管实体应执行适当的尽职调查流程以选择合适的服务供应商并持续监控其表现。原则二,受监管实体应与各服务供应商签订有法律约束力的书面合同。这些合同的性质和内容应与外包任务对受监管实体业务的重要性或关键性相称。原则三,受监管实体应采取合理措施以确保其与任何服务供应商建立相关程序与控制以保护受监管实体的专有及客户信息和软件,并确保服务供应商对受监管实体提供服务的延续性,包括灾后恢复计划以及对备用设施的定期测试。原则四,受监管实体应采取合理措施以确保服务供应商保护好受监管实体及其客户的保密信息及数据,避免它们向第三方作出有意或无意的未经授权披露。原则五,当受监管实体需依赖单独的服务供应商以交付重要或关键的外包任务,或当其知道某个服务供应商为包括其在内的多个受监管实体提供重要或关键的外包服务时,该受监管实体应了解其中风险并进行有效的风险管理。原则六,受监管实体应采取合理措施以确保其监管者、审计师及自身能在发出请求下立即获取合同合规及/或监管监督方面的外包任务信息,包括在需要的情况下获得与外包任务相关的数据、访问相关IT系统、进入服务供应商工作场所及接触有关人员。原则七,受监管实体应在其与服务供应商之间的合同中加入外包任务终止的有关书面条款,并确保已建立合理的退出策略。系统性风险视角随着从某个第三方获取关键服务的金融机构的数量增加,这些风险将会增大。当缺乏合理的缓释因素时,此类第三方的一个重大业务中断、停运或失效便可能会导致单点失效,并对金融稳定及/或多个金融机构的安全及稳健带来潜在负面影响。金融机构、相关监管者以及清算机构访问、核查及获取第三方信息的契约性权利或难以商讨及行使,尤其是在一个多辖区背景下。在金融机构应对新冠疫情影响的背景下,分包商和供应链管理也是其中一个焦点。作为《金融科技行动方案》的一部分,欧盟委员会有意为外包协议制定标准合同条款。欧洲方案成形欧洲银行业管理局,EBA,于2019年2月发表了最终版的外包安排指引,其中纳入了有关云外包的早前建议。重点是,外包并不会解除管理层的责任,管理层必须保留就外包业务活动进行决策的能力。关键或重要职能的外包安排适用更严格的要求。机构必须对所有最新的外包安排做好记录,记录必须在分支合并,sub-consolidated,及合并层面进行,且在国家监管机构要求下应向其提供。方案提供了详尽的外包流程指引,从外包前分析到合同阶段的风险评估和尽职调查、访问、信息及核查权、终止权、外包职能监督以及退出策略。2020年2月,欧洲保险和职业养老金管理局,EIOPA,发表了相同16个标题下的向云服务供应商外包的指引最终版。这些指引同样要求详尽的风险评估、尽职调查和外包前分析。若关键或重要运营职能或活动需被外包,保险机构应在其自有风险及偿付能力评估,ORSA,中的风险状况中反映此信息。在考虑相称原则的情况下,机构还应向监管机构提供书面说明。保险机构需对云外包安排进行专门登记,包括近期终止的安排。合同要求需明确列明保险机构和云服务供应商各自的权利和义务。合同应包含可获取性,包括核查权,、服务可用性、完整性、保密性、数据隐私和安全以及绩效监控等条款。就核查权而言,当与其他客户一起对同一服务供应商进行审计时或由多个客户委派一名第三方进行审计时,保险机构可考虑使用有云供应商提供的第三方认证或内部审计报告及/或合并审计。指引还提及终止权、外包职能监督以及退出策略。2020年6月,欧洲证券与市场监管局,ESMA,要求对云供应商进行全面审计,并发表云服务供应商外包指引的最终版。ESMA要求机构应为各项云外包服务实施具体策略,包括合理的治理安排和更严格的网络安全措施。外包前分析以及尽职调查应在委任供应商前执行。合同一般须包含有关访问及核查权及分包的具体条款。机构需在委任供应商前考虑退出策略。虽然英国不再属于ESA的监管范围,但审慎监管局,PRA,在其有关外包及第三方风险管理的建议书及最终政策中纳入许多ESA的指引。但PRA的要求比ESA的更广泛和深入。譬如,ESA主要关注外包安排,而PRA探讨了所有重要的第三方安排。PRA还要求机构在确定重大外包决定前作出通知,并就受压退出计划相关的退出及意外规划以及退出计划的情景测试制定了更进一步、更详尽的要求。PRA已计划进行后续咨询,并提出了有关在线门户的详细提案。所有机构将需通过此在线门户提交外包及第三方安排的信息。有关第三方安排的要求正变得愈加繁重。治理、监管及记录方面的指引及规范或对小型机构带来挑战。由于特定外包或云战略的交付或在某些机构的能力范围之外,这些机构将需寻求外部指引。机构的主要考量,治理及记录,评估重要性和内在风险,签约前尽职调查,风险导向合同条款,安全及数据控制,持续风险评估,访问及核查权,管理分包商风险,退出计划及或有事项,与运营韧性项目的联系。,网络韧性一直是韧性项目的支柱,并将继续在未来保持重要性。但在新形势下,业界关注正向更广泛的ICT风险环境扩展。同时,欧盟已提出了“数字化运营韧性”这一技术驱动型定义。网络与ICT韧性–基本元素作为确保金融行业的业务延续性的基础,网络韧性和ICT风险一直是业界的重点关注。在疫情发生前四年内,许多框架和指引已发表,这些框架和指引正被更新和扩展。多数网络规范是不分行业的,但更针对金融服务的条款已被制定。NIS将被扩展以涵盖更多行业并对“重要实体”提出更严格要求,其中包括金融服务及云和数据服务供应商。作为ICT监管审核及评估流程的一部分,欧盟银行亦需遵循特定要求。国际公认指引,董事会及高管层关注稳健网络治理的重要性,在遭受网络攻击后快速、安全地恢复业务运营的能力,利用质量良好的威胁情报及严格测试的需求,逐步建立网络风险认知,并持续评估和提升组织内各个层面的网络韧性,网络韧性作为整个生态体系的集体努力。2017年,FSB发表了《金融业网络安全规例和指引及监管实务汇总报告》以促进跨境合作。随后,《网络辞典》于2018年发布,包含约50个与金融业网络安全及网络韧性有关的核心术语。FSB于2020年10月发表的金融机构工具包包含了以下七个部分的49项有效网络事件应对及恢复实务,治理、计划与准备、分析、缓释、复原及恢复、协调和沟通以及提升。作为2021年工作计划的一部分,FSB还探讨了网络事件监管报告的趋同范围以及对FSB网络辞典进行修订的需要。欧盟在2018年5月提出TIBER-EU框架,威胁基于情报道德的红队框架,,由欧洲央行和欧盟国家银行联合制定,适用于作为核心金融基础设施的构成部分的,超,国家机构和实体。英国的大型受监管机构需接受CBEST渗透测试。此测试由英格兰银行创建,并获得道德安全测试员理事会,CREST,的支持。在2018年末,欧洲央行发布了其对金融市场基础设施的网络韧性监管期望,而美国证券交易委员会则于2020年1月发表了《网络安全及韧性观察》。欧盟还出台了多项ICT风险指引。2017年5月,EBA发布了监管审核及评估流程下的《ICT风险评估最终指引》。2019年11月,ICT及安全风险管理最终指引出台。对保险机构而言,EIOPA关于ICT安全及治理的公开咨询在2020年3月结束。在国家层面,德国监管机构的“BAIT”和荷兰中央银行的IT原则明确了当地监管预期,为机构提供了一个框架以执行IT风险管理的最低要求。更广泛视角–通向DORA之路欧盟委员会发布了一份针对金融业的涵盖广泛的数字运营韧性规范初稿,DORA,。此初稿是基于目前对运营韧性的监管预期,但重点关注机构从技术角度建造、保证及评估运营完整性的能力。DORA将建立一个全面的欧盟架构,包含适用于所有受监管金融机构的规则。其将,通过以下手段,简化及提升现有金融法规并对不足之处提出新的要求,更好地将机构的业务战略与ICT风险管理协调一致,从而提升ICT风险的全面管理,并确保机构能评估自身预防及恢复措施的效力并识别ICT缺陷,根据机构规模、业务及风险状况,合理应用测试要求,加强机构监管并确保妥善监管第三方ICT,通过信息分享提升ICT风险意识和减低风险扩散,手段包括允许机构交换网络威胁信息和情报。通过以下手段,建立更连贯、一致的事件报告机制,以减少机构的行政负担和提升监管效率,协调和简化ICT相关事件的报告,通过让监管者获取相关信息,提升它们对威胁及事件的了解。前路或有挑战DORA的宗旨是无可非议的,但各方还远未能就建议达成一致,方案在欧盟内部的执行也可能存在挑战。目前,数个潜在问题已浮现,尤其是DORA需与其他指引及法规相互影响或共存。目前尚不明确这些相互影响及修订将如何执行,尤其是当现行指引已达成一致但尚未完全实施时。此外,涉及的范围十分广泛。超过30类金融实体牵涉其中,而提供的相称性让步十分有限。ICT风险管理建议书,包括第三方风险管理,的执行将十分复杂。重大事件报告及执行流程需作进一步澄清。ESA将发布的详细规则及指引有望明确某些要点,但不大可能消除所有挑战。数字化运营韧性是指金融实体通过直接或间接地使用ICT第三方供应商服务,以确保为实现金融实体需利用的、支持金融服务的持续供应及其质量的网络及信息系统的安全所需的各项ICT相关能力,从而从技术角度建立、保证及评估其运营完整性的能力。多个ESA主席在2021年2月发出的联名信同意DORA的主要原则以及建立一个全面欧盟架构的需要。他们在信中也对增强欧盟内部及国际机构之间的协调和合作的呼声表示支持。但ESA提出了它们对在监督“关键第三方供应商”,CTTP,中承担的拟定角色的疑虑,尤其是在ESA的单个行业特定职权范围内监督跨行业CTTP存在的挑战。它们还提及赋予它们的权利的错配—一旦ESA发布一项建议,相关主管机关将负责跟进和采取执法行动。此类行动包括要求受监管金融实体暂停CTPP服务或终止其与CTPP的合同。最后,它们表示需要充足的资源以履行新的职责以及提升执行上的合理性。DORA在通过欧盟的立法流程时很可能会作出改变。最终版本有望在未来18至24个月发布。同时,金融实体和ICT服务供应商应留意即将发布的运营韧性监管要求的重大变更,并应开始评估这些变化将如何影响它们的ICT风险管理架构。,尤其是对需遵循多个辖区机制的跨国机构而言,但我们可预期的是,不同监管机构以及不同地区或辖区的方案及分类法将有所差异。措辞差异不同文件中使用的措辞各不相同。BCBS使用“关键运营”,“criticaloperations”,,而英国则是“重要商业服务”,“importantbusinessservices”.,。“关键运营”是源于联合论坛的2006年业务延续性高层次原则,并借用“韧性与解决方案”中使用的术语。其包含FSB定义的“关键职能”,“criticalfunctions”,,并对定义进行扩充以涵盖“中断会对银行的持续运营或其在金融体系中的角色产生重大影响的活动、流程、服务及相关辅助资产”。在英国,“商业服务”是机构提供给外部终端用户或参与者的服务。当商业服务的失效可导致消费者或市场参与者承受不可容忍的损害、使市场完整性受损或威胁到投保人的保障、机构安全及稳健或金融稳定时,此类商业服务可被视为“重要”。在美国,FRB对“关键运营”和“核心业务线”,“corebusinesslines”,作如下定义,第一个是指其失效或中断将对美国的金融稳定构成威胁的运营,第二个是指其失效会导致机构收入、利润或特许权价值严重流失的业务。美国或欧盟的建议书中没有影响容忍度这个概念,而这是英国方案的基石。英国方案将影响容忍度定义为“在某项商业服务将发生业务中断的假设下,机构对业务中断的容忍度”。英国监管机构强调,影响容忍度不同于风险偏好指标。但最重要的是,各方对运营韧性的定义大致相同–BCBS强调“从中断事件恢复的能力”,而英国监管机构则要求机构“应对并适应业务中断事件,并从中恢复并吸取经验。”相同目标,不同视角不同行业及地区的外包及第三方风险的监管要求已高度对应。在更广泛的运营韧性问题上,监管机构及行业实体关注共同的目标,如,更强的问责及责任归属以及自上而下的管理,机构关键业务活动的明确定义,了解交付这些活动所需的主要依存关系,测试压力情景下的韧性,确定有意义的指标以量化韧性及评估对业务中断的容忍度,确保与客户、投保人或投资者进行及时、合理的沟通。BCBS已提出多项高层次原则,如治理、业务延续性及事件管理。其已明确表明,运营韧性将要求管理和降低风险以确保关键运营的持续性。但国家机关需决定是否采取更具指令性的方案。英国已选择制定更详细的运营韧性框架,包含为机构提供更具体的要求,并为监管者的后续监控提供清晰预期。英国监管机构重点关注消费者损害以及运营韧性失效导致行为问题的可能,这或反映了英国的双重监管方案。按英国方案的交付也适用于按BCBS原则的交付。