重新定义运营韧性(2021)..docx

重新定义运营韧性(2021)..docx

《重新定义运营韧性(2021)..docx》由会员分享，可在线阅读，更多相关《重新定义运营韧性(2021)..docx（17页珍藏版）》请在冰豆网上搜索。

目录

引言 04

01.向更全面的案发展 06

02.关注第三方风险 10

03.向更高级的数字化韧性迈进 14

04.主题上的变化 17

05.展望未来，吸取教训 19

限公司相关联的独立成员所全球性组织中的成员。

版权所有，不得转载。

©中国20有21限毕责马任威公华司振及会毕计马师威事会务计所师（特事殊务普所通—合香伙港）—合中伙国制合事伙务制所会，均计是师与事英务国所私,毕营马担威保企有业限咨公询司（—中国毕）马有威限国公际司有—

4 Acceleratingdigitalfinance

引言

机构运营及运作方式受到更多关注。

置，而当前的COVID-19更使其获得更大关注。

运财营务韧性在的过新去规数则十及年框一架的直是开监发管。

但焦在点过，但去2数0年08，年运金营融韧危性机已发上生升后到，监其管已议让程步的于首关要于位监术管引机导构的十业分务转清楚型，、金引融人机关构注乃的至业其务客中户断在事困件难以时及期对面金对融的体业系务的中相断互风关险联显性著的加承剧认使。

技

随着新形势的到来，金融监管机构认为银行与保险机构的运营韧性与财务韧性同等重要，运营韧性也是财务韧性的主要驱动因素；并且，恢复能力不足不但可能影响金融机构个体及更广泛的金融稳定性，还会导致重大客户损害。

对信托业务而言，运营韧性不足或对投资者回报及客户资产安全带来不利影响。

如今，监管机构的看法已发生切实改变。

它们正已全新的方式看待金融机构的恢复能力：

考虑的不仅是“如果”，还包括“何时”。

它们希望金融机构不仅思考业务中断发生时需面对的情况，还应准备相关的应对方案。

虽然金融机构已一直被要求管理好自身的运营风险、为意外事件做好准备并制定业务延续及灾难恢复计划，但在新形势下，运营韧性涵盖更广。

1安全。

一直以来，全球监管机构对恢复能力的关注重点是网络及ICT

这些方面目前仍是关键领域，尤其是在COVID-19疫情的压力下，技术加快应用以及外部不良因素愈加复杂。

金融机构必须考虑多个并发中断事件的可能性以及新威胁及缺陷点的出现。

气候变化带来的极端事件，包括洪水、山火到非预期的暴风雪，均会对实体运营带来冲击。

地缘政治事件或对运营模型带来影响。

譬如，因某些辖区的运营许可的丧失。

因创新或经济状况改变而不断变化的业务模式或会导致人才短缺。

监管机构已意识到采用一个范围更广—包含员工、流程、科技及信息等同等重要的组成部分—的运营韧性方案的必要性。

客户影响受到长期关注，治理和问责也是焦点所在。

拟定法规强调了识别严重但具一定合理性的个性化情境以及执行压力测试以揭露运营模式弱点的重要性。



韧性同等重与要它。

”的财务

F欧a洲bi央oP行a执ne行tt理a,事会成员

“个营金整韧融体性实的…体金以融及体们作系为的一运

金融机构务必界定它们愿意承受的业务中断次数，并监控并评估自身是否超出此等容忍度。

1InformationandCommunicationsTechnology（信息与通讯技术）

重新定义运营韧性 5

沟通战略？

需要更多及/或专业资源?

—我关们键是利否益建相立关与方客之户间及的其稳它健

措施？

—我应们对是能否力具及备技合能理风的险资？

是源否以

确时，定我性们？

可当以合/同将不会符采合取要什求么

同行支何持种弹工性作响以应提升？

我此们方正面进的

—我有们效能管否理保以证及第正三在方执关行系的的合

的识金别融并体记系录的我潜们在的影关响键角/重度

要/具决定性的业务服务？

—我透们明是度，否包具括备第点三对方点关的系服？

务

确？

—我户们的是潜否在从影自响身以机及构对、更对广客泛

部分？

—董机事构会内层部面职是责否是有否效划参分与明？

如何提升业绩增长？

—我重们点是和否业视务运战营略韧的性重为要业组务成

—运营韧性如何支持我们略的？

其业

机构应回答的问题

运营韧性–监管重点之一

点对点韧性

−供构应全链范韧围性适—用基于服务的机

−第三方韧性

−数字韧性

董事会参与及公司治理

−战略驱动

监管要求和指引

−个人责任

−监管预期

−监控、汇报及上报

融入业务战略的

−第三方/外包注册

−报告要求

运营韧性

流程

−关流键程/服要务/的具识决别定及性梳的理

−业务中断容忍度的界定

客户影响

−情境测试

−沟通

−响应时间

−损害最小化

运营韧性成为投资和业务战略的主要驱动力。

金融机构必须清晰了解自身的点对点流程，包括重要的相互依存关系以及业务中断将如何影响这些关系。

运营韧性的提升可增强监管机构、客户、员工及第三方等利益相关者之间的信任。

互联性是关键。

二十一世纪的金融服务业具备比以往更高的相互关联性和科技驱动性。

外包已受业界关注一段时间，但目前其规模是前所未有的，因金融机构寻求通过加大对第三方的依赖，降低停运成本和提升效率。

监管机构意识到少数大型的国际性技术及基础设施供应商的统治地位，并寻求相应地更新并扩大要求。

随着越来越多非金融机构为金融机构提供必要服务，监管边界正不断扩张。

目前，运营韧性意味着贯穿整条供应链的点对点韧性，这将带来不少

新挑战。

第三方的韧性以及与其相关的风险已受到监管机构的密切关注。

随着科技及数字化的持续发展，数字运营韧性的含义正变得更加广泛。

有关新冠疫情如何促进科技的快速应用及其对金融服务监管带来的影响，请见新形势系列刊

物“Acceleratingdigitalfinance”

（“加速数字金融”）。

6 重新定义运营韧性

01.向更全面的方案发展

运十营年，韧但性不的同监地管理虽区已域发及展市数场板片块化的。

不监同管辖模区式的依发然展呈速现度碎不同性，是但优所先有考辖虑区事均项认。

为网运络营韧韧性框控架和已更有新效以整应合对，复但杂需程持度续不监断提营升韧的性威的定胁（义见变第得3更章）加。

广随泛着和运复方杂案，监从管现机行构运正营推风出险不要同求的高的层提次出原。

则到新运营韧性框架

英国监管机构在2019年12月推出面向银行、保险机构、大型资产管理人和金融2，被市广场泛基视础为设在施此的方一面揽起子领咨头询作用。

相关咨询是基于2018年7月讨论稿提出的概念。

巴塞尔银行监管委员会（BCBS）也旨在通过其运营韧性原则（于2021年3月修订）实施全面

文件

的方案。

这两种方案将完全兼容，但

BCBS原则提供的是一个通用框架，英国的则是更为具体的表述。

BCBS的运营韧性原则

适用于银行的全球原则

3是基于现行

4，在银

运营风险原则以及有关公司治理、外包及业务延续性的指引。

BCBS还更新行了实运施营方风面险提健供全更管多理指原引则。

这些原则的主要目标是银行应致力于通过维持“在业务中断中交付关键运营”的能力来实现运营韧性。

在这些原则的指引下，银行应能识别威胁及潜在失效并保护自身免受损害，并应对及适应业务中断事件，以及从中恢复和吸取教训。

T关键运营的定义与金融稳定委员会

（FSB）制定的“韧性及解决方案”中

使用的定义一致（见第4章）。

当评估运营韧性时，银行应审视其整体的风险偏好、风险敞口和风险状况。

银行应通过协调现有管理架构并使其与主要目标匹配以实现运营韧性。

运营韧性被视为是运营风险有效管理的结果。

BCBS希望银行可以通过现行风险架构纳入这些原则，同时计及整体风险偏好、风险敞口和风险状况。

BCBS不建议银行针对韧性建立独立的架构。

BCBS原则不仅对银行业有用，亦适用于其它更广泛行业，并可能构成一项全球行动方案。

证券委员会国际组织（IOSCO）仅关注网络及外包（见第2、3章）。

国际保险监理官协会（IAIS）并未专门关注运营韧性，

2https:

//www.fca.org.uk/news/press-releases/building-operational-resilience-impact-tolerances-important-business-services

3https:

//www.bis.org/bcbs/publ/d516.pdf

4https:

//www.bis.org/bcbs/publ/d515.pdf

重新定义运营韧性 7

BCBS：

银行运营韧性的高层次原则

应.业治务理中–断银事行件应并利从用中现恢有复治及理吸架取构教建训立，、以监减督少及业实务施中一断个对有关效键的运营交韧付性的方影案，响使。

它们能应对并适

2内.部运威营胁风及险潜管在理失–效银，行及应时利评用估各关自键的运运营营的风弱险点管并理按职运能营，韧持性续方识案别管有理关由人此员而、流来程的和风系险统。

的外部及

3业.务业延务续延性续演性练计以划测及试测它试们–在银业行务应中制断定事业件务中延交续付性关计键划运，并营在的各能种力极。

端但可能发生的情景下执行

4必.需梳的理外相部互与关内联部性相及互依关存联关性系及–依银存行关识系别。

关键运营后，应梳理其按运营韧性方案交付关键运营所

5方.或第集三团方内依部赖实性体管的理关–系为。

交付关键运营，银行应管理它们对相互关系的依赖性，包括但不限于第三

6可.能事会件中管断理关–键银运行营应交根付据的自事身件的。

风银险行偏应好整及合中以断往事事件件容的忍经度验，，制持定续并提实升施事应件对应及对恢及复恢计复划计，划以。

管理

协助风险管理和决策流程，从而全面支持和促进银行关键运营的交付。

7侦.信测息、应和对通及讯恢技复术（程I序CT，）且包这括些网程络序安应全接–受银定行期应测确试保、I具CT备（合包理括的网情络景安认全）知富并有可韧及性时，传即达应相具关备信保息护、以

虽中然提其及在有“限系可统持性续风性险、的危全机面应架对构及”5管理以及服务干扰。

BCBS原则是高层次并具合理性，在缺乏其它指引的情况下，尽管有行业特定要求，非银行机构可利用这些原则指引并制定策略。

适用于所有机构的运营韧性架构

就重要业务7服务

英国监管机构将运营韧性定义为：

“机构、金融市场基础设施以及银行业作为一个整体以防止、适应和应对运营中断事件及从这些事件中恢复及吸取教训的能力”6以。

2及01外9年包咨及询第文三件方风险管理的影响容忍度提出期望。

英国方案力求“优先考虑重要事项”

以及“推进必要的改革”。

主要要求包括：

—治理：

运营韧性必须由董事会驱动，并为差异化的投资决策设立明确的、合理考量韧性的问责制度。

责任承担方很可能是高管层及认证体系下的首席运营职能角色。

—重要业务服务：

董事会及高管层应优先考虑“重要业务服务”的韧性—即那些若被中断将对英国金融业稳定性、机构安全及稳健性以及合理的投保人保护（对保险机构而言）构成风险的服务。

对多数机构而言，这将意味着摒弃过去只关注单独系统和

资源的韧性的思考方法，转向关注向客户或投保人提供的服务。

—影响容忍度：

机构必须界定各项重要业务服务可以承受的最大中断容忍水平，作为影响容忍度，并制定相关指标以监控和计

量机构能否保持在容忍度之内。

机构应阐明特定中断的最大限度，如它们在“严重但可能发生”的业务中断后能够恢复重要业务服务交付的时限。

5https:

//www.iaisweb.org/page/news/press-releases-prior-to-2014/file/87109/holistic-framework-for-systemic-risk

6http:

//www.bankofengland.co.uk/-/media/boe/files/prudential-regulation/publication/2021/building-operational-resilience-impact-tolerances-for-important-business-services.pdf

7https:

//www.bankofengland.co.uk/-/media/boe/files/prudential-regulation/consultation-paper/2019/cp3019.pdf

8重新定义运营韧性

—梳理：

机构为交付其最重要服务而调配的资源必须在技术、数据、人员、设施、供应商及关键从

属流程等方面予以识别和记录。

点对点供应链活动的韧性必须予以考量。

—测试：

机构应识别“严重但可能发生”的情景以测试自身在影响容忍度范围内作出响应及恢复的能力。

—沟通：

机构必须实施稳健的内部及外部沟通方案以管理极端中断事件过程中受到的影响，并重点确保所提供信息的及时性及准确性。

—恢复：

机构必须展示它们已采取果断、有效的措施以提升韧性，并已在机构文化中融入以恢复为中心的思维。

—为建立韧性而投资：

机构应对自身的运营韧性负责，并根据方案和投资对公共利益的影响对它们进行优先选择。

8已于2021年

运营韧性再次被视为保持金融稳定性的结果以及关键因素。

对支持良好的客户结果及有效管理行为风险而言，运营韧性也是关键。

相关方案旨在应对运营韧性面对的风险，包括由于金融系统的相互关联性以及机构运营所在的复杂及快速变化的环境

3导月致发的表风，险将。

于政2策02定2年稿3月31日生效，实施期长达三年。

工作进行中—美国及其它地区

9，美联储尚未正

2019年11月，在银行政策学会年度会议上，联邦储备委员会的大型机构监督协调委员会（LISCC）副主任J式o界hn定A运.B营ee韧b性e表的示定义，亦未制定相关政策。

但他提及银行在业务中断中

交付关键服务的能力以及人们熟悉的网络韧性概念，即识别、侦测及防御危机事件，并在事件发生时作出响应并恢复。

10

在此期间，相关工作已取得一定进为展：

。

“美在联任储何现危已险将导运致营的韧业性务定中义断事件中交付运营（包括关键运营及核心业务线）的能力。

机构必须具备有效的运营风险管理以及充足的财务及运营资源才能准备、适应和抵御业务中断并从中恢复。

”

2020年10月，美联储、联邦存款保险公司以及货币监理署联合发表了一份名为“提升运营韧性的良好实务”

11。

（“SoundPracticestoStrengthen此Op文er件at针io对na合lR并es资ili产en总ce值”）超的过文2件500亿元（或总资产及其他风险特征超过1000亿美元）的美国银行，并涵盖治理及运营风险管理、第三方风险、IT韧性、网络安全及情景开发等多个领域。

文件并未修改现有条例或提出新

规例，而是概述了从现有规例、指引、

声明及通用行业标准中提炼的实务方式来提升运营韧性。

该文件指出，此等实务方式“是基于有效的治理及风险管理方式、以及第三方风险和包含具恢复力的信息系统。

”

2020年12月，欧洲央行提出了期望，即主要欧洲银行将需在整体运营韧性方面取得发展，而不仅是网络方

面。

欧洲央行希望确保相关要求与英美监管机构的要求相协调。

12为“实体

从澳大利亚审慎监管机构（“APRA”）的运营风险团队在1999年成立以来，运营韧性一直是其重点关注领域抵抗。

A冲PR击A将并运从营中韧恢性复定的义能力”。

其表

示，冲击包括会威胁实体提供业务服

务的能力的事件以及已中断实体业务服务提供的事件。

在极端情况下，

这包括可能会损害实体持续生存能力的事件，如新冠疫情。

从1999年以来，APRA已发布有关外包、业务延续性管理（“BCM”）以及风险管理的审慎标准和有关疫情规

划、数据风险管理及信息安全（网络）的指引，并发表了一份有关云计算的参考文件。

运营韧性小组于2020年成立，有关BCM、外包及风险管理的审慎标准及指引的修订与更新也预期于2021年推出。

与此同时，进一步的运营韧性要求及/或指引也很可能同步发布。

了相关指引及公告以应对运营、科技

2020年6月，新加坡金融管理局发表13

及网络风险，但其发表的背景是针对疫情响应，而非新要求的制定。

8fihnttapnsc:

/ia/wl-swewct.obrasn-okopfeernagtiloannadl.-croes.uilkie/npcrued-deinsctiuasl-srieognu-plaatpioenr/publication/2018/building-the-uk-

9RhEttSpILs:

I/E/NbCpEi.c.podmf/wp-content/uploads/2020/01/112019-BPI-DEFINING-OPERATIONAL-

10https:

//www.federalreserve.gov/supervisionreg/topics/information-technology-guidance.htm



11https:

//www.federalreserve.gov/newsevents/pressreleases/files/bcreg20201030a1

12https:

//www.apra.gov.au/covid-19-a-real-world-test-of-operational-resilience13rhetstiplise:

n//cwe-wowf-t.mhea-sfi.ngaonv.csiga/l-rseegcutloartion/covid-19/ensuring-safe-distancing-and-operational-

重新定义运营韧性 9

2021年3月，其再发表一份关于“远

程工作14环境的风险管理及运营韧性”

该报告聚焦金融机构在运营、科技、信息安全、舞弊及员工不当行为等

对欧盟而言，稳健的ICT一直是业界焦点，金融实体的数字运营韧性现已

报告以进一步阐述此主题。

方面的潜在风险以及法律及及监管风险。

成为重中之重（见第三章）。

推化动的监动管力变

酬

报

续

与

与

新形势下的运营韧性

对监管重点有同样重要影响的动力。

风险。

此外，疫情还加快了科技应用及可持续金融需求的趋势，而跨境交易将面对新的挑战。

这三大趋势目前是

露了更多问题。

资本市场的波动使人们再度将目光转移到与计算机主导买卖策略及特定类型基金相关的系统性

影响监管重点的五大动力。

消费者保护和金融稳定是金融服务监管的堡垒，但疫情及因此而实施的封城措施暴

Environment.pdf

14Ihntftoprsm:

/a/wtiownw-P.mapaesr.gs/oRvi.sskg-/M-/amneadgeiam/MenAtS-/aNnedw-Os-paenrdat-iPounballi-cRaetisoilniesn/Mceo-nino-gar-aRpehmso-aten-dW-orking-

10重新定义运营韧性

02.关风注险第三方

F年S依B在赖2外02包0年及1其1月它指第出三，方金关融系机。

构但已其在也过表去示数，在十近进年行，互机动构的与“范一围个和广性泛质和已多取样得化发的展，第尤三其方是生在态科”技管领理域金融。

金机融构板与块第近三期方对互新动冠带疫来情的的风响险应的突裨出益了以第及三挑方战技术。

疫的情趋还势可。

能加快了机构愈加依赖某些

金融服务机构为了获得外包提供的成本、效率及专业性方面的效益，已纷纷转用该类服务。

多数金融机构并非基础设施专家，虽然它们已实施大量项目以简化或重组现有流程，但仍或多或少地受到旧有系统的掣肘。

转型项目对大型机构而言成本高昂且繁复，而小型机构则根本缺乏内部的能力与资源以开发专属解决方案。

对它们而言，外包或会是一个具吸引力的选项，但第三方关系也带来不少挑战。

监管机构关注的是：

—供应商的集中度

—合同条款，包括退出条款和规划

—数据安全

—访问权和监督，包括治理、系统及控制

—第三方的韧性，包括BCP和灾后恢复

—对与外包商的文化校准和融入性的合理考量

—为客户输出的成果欠佳

国际有限公司相关联的独立成员所全球性组织中的成员。

版权所有，不得转载。

©司2—02中1毕国马有威限华责振任会公计司师及事毕务马所威（会特计殊师普事通务合所伙—）—香中港国合合伙伙制制事会务计所师，均事是务与所英,毕国马私威营企担业保咨有询限（中公国司）—有毕限马公威

适用于投资机构的外包原则

则”进行咨询

。

这些新原则基于现

2020年5月，I1O5SCO就新的“外包原



国际证监会组织（IOSCO）外包原则

重新定义运营韧性11

有的2005及2009年原则，并进一步涵盖交易场所、自营市场参与者、信用评级机构和金融市场基础设施。

IOSCO表示，“运营韧性是指受

监管实体、服务供应商等其它机构以及作为一个整体的金融市场避免、应对运营中断、从中恢复及吸取经验的能力”。

经修改的原则包含一组基本准则和七项原则。

基本准则涵盖外包定义、重要性及关键性评估、关联实体上的应用、分包处理以及跨境外包等事项。

七项原则涵盖以下领域：

—选择和监控服务供应商中的尽

原供则应一商：

并受持监续管监实控体其应表执现行。

适当的尽职调查流程以选择合适的服务原同则。

这二些：

受合监同管的实性体质应和与内各容服应务与供外应包商任签务订对有受法监律管约实束体力业的务书的面重合要

性或关键性相称。

原立则相三关：

程受序监与管控实制体以应保采护取受合监理管措实施体以的确专保有其及与客任户何信服息务和供软应件商，建并确划保以服及务对供备应用商设对施受的监定管期实测体试提。

供服务的延续性，包括灾后恢复计

无意的未经授权披露。

原管则实四体：

及受其监客管户实的体保应密采信取息合及理数措据施，以避确免保它服们务向供第应三商方保作护出好有受意监或

职调查

—与服务供应商订立的合同

—信息安全、业务韧性、延续性和灾后恢复

—保密事项

—外包安排的集中度

原的则外五包：

任当务受，监或管当实其体知需道依某赖个单服独务的供服应务商供为应包商括以其交在付内重的要多或个关受键监管险实并体进提行供有重效要的或风关险键管的理外。

包服务时，该受监管实体应了解其中风

原则在六发：

出受请监求管下实立体即应获采取取合合同理合措规施及以/或确监保管其监督管方者面、审的计外师包及任自务身信

息统，、包进入括服在务需供要应的商情工况作下场获所得及与接外触包有任关务人相员关的。

数据、访问相关IT系

—对数据的获取、工作场所的进入和人员的接触以及相关检查权利

—外包安排的终止

系统性风险视角

16反映了许多机

FSB的《关于外包及第三方关系的规范构监正督面事对宜的》问讨题论和稿挑战。

讨论稿探讨了与外包及第三方关系有关的规范监督事宜，尤其关注云和云服务供应商的集中度问题。

业界存在一个疑虑，即某些向金融机构提供的外包及第三方服务的集中可能会引致系统性风险。

随着从某个第三方获取关键服务的金融机构的数量增加，这些风险将会增大。

当缺乏合理的缓释因素时，此类第三方的一个重大业务中断、