金融服务业：重新定义运营韧性.docx

金融服务业：重新定义运营韧性 01.向更全面的方案发展 运营韧性的监管虽已发展数十年，但不同地理区域及市场?板块的监管模式依然呈现碎?片化。不同辖区的发展速度不?同，但所有辖区均认为运营韧?性是优先考虑事项。网络韧性?框架已有效整合，但需持续监?控和更新以应对复杂程度不断?提升的威胁。随着运?营韧性的定义变得更加广泛和?复杂，监管机构正推出不同的?方案，从现行运营风险要求的?高层次原则到新运营韧性框架?的提出。 适用于银行的全球原则 BCBS的运营韧性原则是基于现行?运营风险原则以及有关公司治理、外?包及业务延续性的指引。BCBS还更?新了运营风险健全管理原则，在银行实施方面提供更多指引。 这些原则的主要目标是银行应致力于通过维持“在业务中断中交付关键?运营”的能力来实现运营韧性。在这?些原则的指引下，银行应能识别威胁?及潜在失效并保护自身免受损害，并?应对及适应业务中断事件，以及从中?恢复和吸取教训。?T关键运营的定义与金融稳定委员会?（FSB）制定的“韧性及解决方案”中使用的定义一致。当评估?运营韧性时，银行应审视其整体的风?险偏好、风险敞口和风险状况。银行?应通过协调现有管理架构并使其与?主要目标匹配以实现运营韧性。 运营韧性被视为是运营风险有效管?理的结果。?BCBS希望银行可以通过现行风险架?构纳入这些原则，同时计及整体风险?偏好、风险敞口和风险状况。BCBS不?建议银行针对韧性建立独立的架构。?BCBS原则不仅对银行业有用，亦适?用于其它更广泛行业，并可能构成一?项全球行动方案。证券委员会国际组?织（IOSCO）仅关注网络及外包。国际保险监理官协会（IAIS）?并未专门关注运营韧性。 新形势下的运营韧性 原则二：受监管实体应与各服务供应商签订有法律约束力的书面合?同。这些合同的性质和内容应与外包任务对受监管实体业务的重要?性或关键性相称。 02.?关注第三方风险 近年，机构与“一个广泛和多样化的第三方生态”?进行互动的范围和性质已取得发展，尤其是在科?技领域。金融板块近期对新冠疫情的响应突出了?管理金融机构与第三方互动带来的风险的裨益?以及挑战。疫情还可能加快了机构愈加依赖某些?第三方技术的趋势。 金融服务机构为了获得外包提供的成本、效率及专业性?方面的效益，已纷纷转用该类服务。多数金融机构并非基?础设施专家，虽然它们已实施大量项目以简化或重组现?有流程，但仍或多或少地受到旧有系统的掣肘。转型项目?对大型机构而言成本高昂且繁复，而小型机构则根本缺?乏内部的能力与资源以开发专属解决方案。?对它们而言，外包或会是一个具吸引力的选项，但第三方?关系也带来不少挑战。监管机构关注的是：供应商的集中度；?合同条款，包括退出条款和规划；数据安全；访问权和监督，包括治理、系统及控制；?第三方的韧性，包括BCP和灾后恢复；对与外包商的文化校准和融入性的合理考量；为客户输出的成果欠佳。 适用于投资机构的外包原则 基本准则涵盖外包定义、?重要性及关键性评估、关联实体上的?应用、分包处理以及跨境外包等事?项。七项原则涵盖以下领域：选择和监控服务供应商中的尽职调查；与服务供应商订立的合同； 信息安全、业务韧性、延续性和?灾后恢复；保密事项；外包安排的集中度；?对数据的获取、工作场所的进?入和人员的接触以及相关检查?权利；外包安排的终止。 国际证监会组织（IOSCO）外包原则 原则一：受监管实体应执行适当的尽职调查流程以选择合适的服务?供应商并持续监控其表现。 原则二：受监管实体应与各服务供应商签订有法律约束力的书面合?同。这些合同的性质和内容应与外包任务对受监管实体业务的重要?性或关键性相称。 原则三：受监管实体应采取合理措施以确保其与任何服务供应商建?立相关程序与控制以保护受监管实体的专有及客户信息和软件，并?确保服务供应商对受监管实体提供服务的延续性，包括灾后恢复计?划以及对备用设施的定期测试。 原则四：受监管实体应采取合理措施以确保服务供应商保护好受监?管实体及其客户的保密信息及数据，避免它们向第三方作出有意或?无意的未经授权披露。 原则五：当受监管实体需依赖单独的服务供应商以交付重要或关键?的外包任务，或当其知道某个服务供应商为包括其在内的多个受监?管实体提供重要或关键的外包服务时，该受监管实体应了解其中风?险并进行有效的风险管理。 原则六：受监管实体应采取合理措施以确保其监管者、审计师及自身?能在发出请求下立即获取合同合规及/或监管监督方面的外包任务信?息，包括在需要的情况下获得与外包任务相关的数据、访问相关IT系?统、进入服务供应商工作场所及接触有关人员。 原则七：受监管实体应在其与服务供应商之间的合同中加入外包任?务终止的有关书面条款，并确保已建立合理的退出策略。 系统性风险视角 随着从某个?第三方获取关键服务的金融机构的?