金融服务业(金融服务业发展趋势)

当事人/作者:毕马威中国)

核心观点:

运营弹性已成为投资和业务战略的主要驱动力。金融机构必须清楚地了解其点对点流程，包括重要的相互依赖关系，以及业务中断将如何影响这些关系。运营弹性的提高可以增强监管机构、客户、员工和第三方等利益相关方之间的信任。

性是关键。21世纪，金融服务业的关联度和科技驱动力比以往更强。外包一段时间以来引起了行业的关注，但目前其规模是前所未有的，因为金融机构寻求通过增加对第三方的依赖来降低停机成本和提高效率。监管机构意识到少数大型国际技术和基础设施供应商的主导地位，并寻求相应地更新和扩大要求。随着越来越多的非金融机构为金融机构提供必要的服务，监管边界不断扩大。目前，运营弹性意味着整个供应链的点对点弹性，这将带来许多新的挑战。监管机构一直密切关注第三方的弹性及其相关风险。随着技术和数字化的不断发展，数字化运营弹性的含义越来越广泛。

1.向更全面的计划发展

尽管操作弹性监管已经发展了几十年，但不同地理区域和市场部门的监管模式仍然是碎片化的。不同管辖区的发展速度不同，但所有管辖区都将运营弹性视为优先事项。网络弹性框架已得到有效整合，但需要不断监测和更新，以应对日益复杂的威胁。随着操作弹性的定义变得更加广泛和复杂，监管机构正在引入不同的方案，从当前操作风险要求的高级原则到新操作弹性框架的提议。

适用于银行的全球原则

BCBS的运营弹性原则基于当前的运营风险原则以及关于公司治理、外包和业务连续性的准则。BCBS还更新了操作风险稳健管理原则，并对银行实施提供了更多指导。

这些原则的主要目标是，银行应通过保持“在业务中断期间交付关键运营”的能力，努力实现运营弹性。在这些原则的指导下，银行应该能够识别威胁和潜在故障，保护自己免受损害，应对和适应业务中断事件，并从中恢复和学习。关键业务的定义与金融稳定委员会制定的“弹性和解决方案”中使用的定义一致。在评估运营弹性时，银行应检查其整体风险偏好、风险敞口和风险状况。银行应协调现有的管理结构，并将其与主要目标相匹配，以实现运营弹性。

运营弹性被认为是有效管理运营风险的结果。BCBS希望银行能够通过现有的风险框架纳入这些原则，同时考虑到整体风险偏好、风险敞口和风险状况。BCBS不建议银行建立独立的弹性框架。BCBS原则不仅对银行业有用，也适用于其他更广泛的行业，并可能构成一项全球行动计划。国际证券委员会组织(IOSCO)只关注网络和外包。国际保险监管者协会(IAIS)不特别关注运营弹性。

新形势下的经营韧性

原则2:受监管实体应与每个服务提供商签署具有法律约束力的书面协议。这些合同的性质和内容应与受监管实体业务外包任务的重要性或关键程度相称。

2.注意第三方风险

近年来，机构间互动的范围和性质以及“广泛和多样化的第三方生态”有所发展，特别是在科技领域。金融部门最近对新冠肺炎疫情的反应凸显了管理金融机构和第三方之间互动带来的风险的好处和挑战。疫情还可能加速机构越来越依赖某些第三方技术的趋势。

金融服务机构为了获得外包提供的成本、效率和专业效益，纷纷转向此类服务。大多数金融机构不是基础设施专家。尽管他们已经实施了大量的项目来简化或重组现有的流程，但他们仍然或多或少受到旧系统的限制。对于大型组织来说，转型项目既昂贵又复杂，而小型组织则完全缺乏开发专有解决方案的内部能力和资源。对他们来说，外包可能是一个有吸引力的选择，但第三方关系也带来了许多挑战。监管机构关注的是:供应商的集中；合同条款，包括提款条款和计划；数据安全；准入和监督，包括治理、制度和控制；第三方复原力，包括BCP和灾难恢复；合理考虑文化校准和与外包商的整合；对客户的输出不好。

适用于投资机构的外包原则

基本标准涵盖外包定义、重要性和关键性评估、在相关实体中的应用、分包和跨境外包。七项原则涵盖以下领域:选择和监测服务提供者的尽职调查；与服务提供商的合同；信息、业务弹性、连续性和灾难恢复；机密事项；外包安排的集中；获取数据、进入工作场所、与人接触和相关检查权；外包安排的终止。

国际证券委员会组织外包原则

原则1:受监管实体应实施适当的尽职调查程序，以选择合适的服务提供商并持续监控其绩效。

原则2:受监管实体应与每个服务提供商签署具有法律约束力的书面协议。这些合同的性质和内容应与受监管实体业务外包任务的重要性或关键程度相称。

原则3:被监管实体应采取合理措施，确保其与任何服务提供商建立相关程序和控制，以保护被监管实体的专有和客户信息及软件，并确保服务提供商向被监管实体提供的服务的连续性，包括灾难恢复计划和备份设施的定期测试。

原则4:被监管实体应采取合理措施，确保服务提供者保护被监管实体及其客户的机密信息和数据，并防止他们有意或无意地向第三方进行未经授权的披露。

原则5:当被监管实体需要依赖单一服务提供商交付重要或关键的外包任务时，或者当其知道服务提供商为包括自身在内的多个被监管实体提供重要或关键的外包服务时，被监管实体应了解风风险并进行有效的风险管理。

原则6:被监管实体应采取合理措施，确保其主管、审计人员和自身能够应要求立即获得外包任务在合同合规性和/或监管方面的信息，包括获得与外包任务相关的数据、访问相关IT系统、进入服务提供商的工作场所以及在必要时联系相关人员。

原则7:受监管实体应在与服务提供商的合同中包含终止外包的书面条款，并确保已制定合理的退出策略。

系统风险视角

随着从第三方获得关键服务的金融机构数量的增加，这些风险将会增加。在没有合理缓释因素的情况下，此类第三方的重大业务中断、关闭或故障可能导致单点故障，对金融稳定和/或多个金融机构的安全稳定可能产生潜在的负面影响。金融机构、相关监管机构和清算机构获取、核实和获取第三方信息的合同权利可能难以讨论和实施，特别是在多辖区背景下。在金融机构应对新冠肺炎疫情冲击的背景下，分包商和供应链管理也是重点之一。作为金融技术行动计划的一部分，欧盟委员会打算为外包协议制定标准合同条款。

欧洲方案形成

2019年2月，欧洲银行管理局(EBA)公布了外包安排指导方针的最终版本，其中包括早期关于云外包的建议。关键是外包不会减轻管理层的责任，管理层必须保留对外包业务活动进行决策的能力。

或者关键职能的外包安排受到更严格的要求。该机构必须保存所有最新外包安排的记录，这些安排必须在次级合并和合并级别执行，并应国家监管机构的要求提供给它们。该方案提供了详细的外包流程指引，从外包前分析到风险评估和尽职调查、面谈、信息和核实权、终止权、外包职能监管以及合同阶段的退出策略。

2020年2月，欧洲保险和职业养老金管理局(EIOPA)在同样的16个主题下发布了外包给云服务提供商的最终引文。这些准则还要求详细的风险评估、尽职调查和外包前分析。如果关键或重要的运营职能或活动需要外包，保险机构应在其自身风险和偿付能力评估(ORSA)中的风险状态中反映该信息。考虑到相称性原则，该机构还应向监管机构提供书面解释。

保险机构需要具体登记云外包安排，包括近期已经终止的。合同应明确规定保险机构和云服务提供商各自的权利和义务。合同应包括可用性(包括检查权)、服务可用性、完整性、保密性、数据隐私和安全性、性能监控等条款。就核实权而言，当与其他客户对同一服务提供商进行审计或多个客户指定第三方进行审计时，保险机构可考虑使用云提供商提供的第三方认证或内部审计报告和/或合并审计。指导方针还提到了终止权、对外包职能的监督和退出战略。

2020年6月，欧洲证券和市场监管局(ESMA)要求对云服务提供商进行全面审计，并公布了云服务提供商外包指南的最终版本。ESMA要求组织为每项云外包服务实施具体的策略，包括合理的治理安排和更严格的网络安全措施。在指定供应商之前，应进行外包前分析和尽职调查。一般来说，合同必须包含关于访问和验证权利以及分包的具体条款。组织在指定供应商之前需要考虑退出策略。

尽管英国不再受欧空局的监管，但英国审慎监管局(PRA)已将许多欧空局准则纳入其关于外包和第三方风险管理的建议和最终政策。但是PRA的要求比ESA的要求更广更深。例如，ESA侧重于外包安排，而PRA讨论所有重要的第三方安排。PRA还要求组织在确定重大外包决策前给予通知，并对与强制退出计划和退出计划的场景测试相关的退出和应急计划制定了更进一步、更详细的要求。PRA已经计划了后续咨询，并在在线门户网站上提出了详细的建议。所有组织都需要通过这个在线门户提交关于外包和第三方安排的信息。

对第三方安排的要求越来越苛刻。治理、监督和记录方面的准则和规范可能会对小型组织构成挑战。由于特定外包或云战略的交付或超出了某些组织的能力，这些组织将需要寻求外部指导。

主要机构考虑:治理和记录；评估重要性和固有风险；签署前尽职调查；面向风险的合同条款；和安全数据控制；持续风险评估；访问和验证权利；管理分包商风险；退出计划和应急；联系运营弹性项目。

03.迈向更高的数字弹性

长期以来，网络复原力一直是复原力项目的支柱，并将在未来继续发挥重要作用。但在新形势下，行业的关注点正在向更广泛的ICT风险环境拓展。与此同时，欧盟提出了技术驱动的“数字运营弹性”定义。

网络信通技术弹性——基本要素

网络韧性和信通技术风险作为保障金融业业务连续性的基础，一直是业界重点关注的问题。在疫情爆发前的四年里，已经发布了许多框架和指南，这些框架和指南正在更新和扩展。大多数网络规范与行业无关，但已经制定了更具体的金融服务规定。NIS将扩展到更多行业，并对“重要实体”提出更严格的要求，包括金融服务以及云和数据服务提供商。作为信通技术监管审查和评估过程的一部分，欧盟银行也需要遵循具体要求。

国际公认的准则:董事会和高级管理层重视稳健的网络治理的重要性；网络攻击后快速安全恢复业务运营的能力；需要使用高质量的威胁情报和严格的测试；逐步建立网络风险意识，持续评估和提升组织内部各个层面的网络韧性；网络韧性是整个生态系统的集体努力。

2017年，金融稳定委员会发布了《金融网络安全法规和准则及监管实践总结报告》，以促进跨境合作。随后，《网络词典》于2018年出版，收录了约50个与金融行业网络安全和网络韧性相关的核心术语。FSB于2020年10月发布的金融机构工具包，包含了治理、规划与准备、分析、缓释、恢复与恢复、协调与沟通、推广七大部分共49条有效的网络事件响应与恢复实践。作为2021年工作计划的一部分，FSB还讨论了网络事件监管报告的衔接范围以及修订FSB网络词典的必要性。

2018年5月，欧盟提出TIBER-EU框架(基于信息伦理的威胁红队框架)，由欧洲央行和欧盟国家银行共同制定，适合(超级)国家机构和实体作为核心金融基础设施的一部分。英国的大型受监管机构都要接受CBEST渗透测试。这项测试是由英格兰银行创建的，并得到了道德安全测试委员会的支持。

2018年底，欧洲央行发布了对金融市场基础设施的网络韧性监管预期；美国证券交易委员会于2020年1月发布了《网络安全和弹性观察》。欧盟还发布了一些信通技术风险指标。2017年5月，EBA根据监管审查和评估程序发布了《信通技术风险评估最终指南》。2019年11月，发布了信通技术和安全风险管理的最终准则。对于保险机构，EIOPA关于信通技术安全和治理的公众咨询于2020年3月结束。在国家层面，德国监管机构的“BAIT”和荷兰央行的IT原则定义了当地的监管预期，为机构实施IT风险管理的最低要求提供了框架。

更广阔的视角——多拉之路

欧盟委员会发布了金融业数字运营弹性规范的初稿。该草案基于当前对运营弹性的监管预期，但侧重于从技术角度构建、保证和评估运营完整性的机制的能力。朵拉将建立一个全面的欧盟结构，包括适用于所有受监管金融机构的规则。它将:通过以下手段简化和完善现有的财务条例，对不足之处提出新的要求:更好地将机构的业务战略与信通技术风险管理相协调，从而加强对信通技术风险的整体管理，确保机构能够评估自身防范和恢复措施的有效性，发现信通技术缺陷；根据机构规模、业务和风险情况合理应用测试要求；加强机构监督，确保对第三方信通技术的适当监督；；通过信息共享，包括允许机构交流网络威胁信息和情报，提高信通技术风险意识，减少风险传播。通过以下方式建立更加连贯一致的事件报告机制，减轻机构行政负担，提高监督效率:协调和简化信通技术相关事件的报告；让监管者获得相关信息，以提高他们对威胁和事件的理解。

未来可能会有挑战。

DORA的目的无可非议，但各方远未就该提案达成一致，该计划在欧盟内部的实施也可能面临挑战。目前，已经出现了几个潜在的问题，特别是DORA需要与其他指南和法规交互或共存。目前，还不清楚如何实施这些互动和修订，特别是在现有准则已经商定但尚未充分实施的情况下。另外，涉及的范围很广。涉及30多种金融实体，所提供的比例优惠非常有限。信通技术风险管理提案(包括第三方风险管理)的实施将非常复杂。重大事件报告和实施过程需要进一步澄清。欧空局将发布的详细规则和准则预计将澄清一些关键点，但不太可能消除所有挑战。

数字运营弹性是指金融实体直接或间接利用信通技术第三方供应商的服务，从技术角度建立、保证和评估其运营完整性的能力，以确保金融实体实现支持金融服务持续供应和质量的网络和信息系统安全所需的所有信通技术相关能力。

欧空局几位主席在2021年2月发出的联名信同意多拉的主要原则和建立全面欧盟结构的必要性。在信中，他们还表示支持加强欧盟内部和国际机构之间协调与合作的呼吁。然而，欧空局对监测“主要第三方供应商”(CTTP)的拟议作用提出了质疑，特别是在欧空局的具体权限内监测跨行业的CTTP所面临的挑战。他们还提到授予他们的权利不匹配——一旦欧空局提出建议，有关当局将负责后续行动和执法行动。这些行动包括要求受监管的金融实体暂停CTPP服务或终止与CTPP的合作。最后，他们表示，他们需要足够的资源来履行新的职责，提高执行的合理性。朵拉很可能在通过欧盟立法程序后做出改变。最终版本预计将在18至24个月内发布。与此同时，金融实体和信通技术服务提供商应关注业务弹性监管要求即将发生的重大变化，并应开始评估这些变化将如何影响其信通技术风险管理框架。

4.主题的变化

一个统一的全球观点肯定会有助于简化机构决策和规划，特别是对于需要遵循多辖区机制的跨国机构而言；不过，我们可以预期，不同监管机构、不同地区或司法管辖区的方案和分类会有所不同。

措辞上的差异

不同文件中使用的措辞不同。BCBS使用“关键业务”，而英国是“重要的商业服务”。“关键运营”是源于2006年联合论坛的业务连续性高级原则，它借用了“弹性和解决方案”中使用的术语。它包含了FSB定义的“关键职能”，并将定义扩大到“将对银行持续经营或其在金融体系中的作用产生重大影响的活动、流程、服务和相关辅助资产”。在英国，“商业服务”是组织向外部最终用户或参与者提供的服务。当商业服务的失败可能对消费者或市场参与者造成不可容忍的损害，损害市场的完整性，或威胁到投保人的保障、机构的安全和稳定或金融的稳定时，这种商业服务可以被视为“重要的”。在美国，FRB对“关键业务”和“核心业务线”的定义如下:第一类是指其失败或中断将威胁美国金融稳定的业务；二是指经营失败将导致收入、利润或特许经营价值严重损失的业务。

美国或欧盟的提案中没有影响力容忍的概念，这是英国方案的基石。英国计划将影响容忍度定义为“在某项业务服务将被中断的假设下，组织对业务中断的容忍度”。英国监管机构强调，冲击容忍度不同于风险偏好指标。但最重要的是，各方对运营弹性的定义大致相同——BCBS强调“从业务中断中恢复的能力”，而英国监管机构则要求机构“应对和适应业务中断，从中恢复并从中学习。”

相同的目标，不同的视角

不同行业和地区对外包和第三方风险的监管要求已经高度对应。在更广泛的业务弹性问题上，监管机构和行业实体关注共同目标，例如:加强问责制和责任归属以及自上而下的管理；明确定义组织的关键业务活动；了解交付这些活动所需的主要依赖关系；测试应力状态下的韧性；确定有意义的指标，以量化弹性并评估对业务中断的容忍度；确保与客户、投保人或投资者进行及时合理的沟通。

BCBS提出了许多高层次的原则，如治理、业务连续性和事件管理。已经明确指出，运营弹性要求管理和降低风风险，以确保关键运营的连续性。然而，国家当局需要决定是否采用一个更具强制性的计划。

英国选择制定更为详细的操作弹性框架，包括对机构提出更为具体的要求，并对监管机构的后续监管提出明确预期。英国监管机构关注消费者损害和运营弹性失效导致行为问题的可能性，这可能反映了英国的双重监管方案。根据英国方案的交付也适用于根据BCBS原则的交付。

在欧盟和美国，关于运营弹性的讨论往往局限于风险职能。在某些情况下，具体职责应该属于风险部门。然而，对于将运营弹性的责任分配给首席运营职能部门而不是首席风险职能部门，英国计划并未明确规定应由哪条防线负责。相反，在这个日益数字化的世界中，目标应该是加强科学和技术的作用，鼓励减少观点之间的相互孤立，以便各组织能够真正基于服务来看待其最重要的活动。第三方风险管理也是如此。过去一般认为是一种购买活动，但目前已经成为很多金融服务机构持续经营的基础。

抓住要点

在制定运营弹性计划时，组织必须注意定义的差异。这种差异更有可能反映不同管辖区之间在如何制定法规和/或法规如何演变方面的差异，而不是表现出差异。过于关注语言和格式的差异意味着组织采用了过于注重合规性的计划。如果一个组织只关注一个职位是否比另一个职位更清晰或更优越，那它就会错过重点。无论监管机构的具体监管要求或定义是什么，其真正目的都是为了让金融服务业更能抵御经营中断，从而降低风险传导的范围、降低金融不稳定的可能性以及对终端客户的损害。

展望未来，从中学习

BCBS原则和朵拉包含了从新疫情中吸取的教训，而英国的咨询计划是在疫情之前公布的。然而，英国提出的所有概念在最终的政策声明中都没有被削弱，全球监管机构也继续宣传运营弹性的重要性。该组织正在努力应对一系列实施挑战，包括如何更好地:

通过建立长期可扩展和可持续的运营模式、建立真正的问责制度和培养复原力文化，实现短期监管合规和战略复原力；全球一致性和本地特定要求之间的平衡-当运营弹性的所有方面不能同等适用于集团中的所有受监管实体时，如何管理？实现狭义和广义服务定义、完整性和粒度之间的合理平衡；校准不可容忍的损坏和冲击容限——行业接受这样的新概念需要一段时间；展望未来，利用数字弹性的潜力；监管者已经意识到监管碎片化的危险，并尽可能地进行合作。英国央行正在领导金融稳定委员会的外包安排工作，并参与制定BCBS原则。欧洲央行和PRA已承诺相互合作，并与FRB协调，以确保实施适当协调的监管计划。监管者也面临着挑战，尤其是如何确保自己拥有合适的专业人员，以实现新技能需求下的有效监管。

一些主要问题仍然存在，例如:既然不是所有机构都采用相同的结构，那么“好”的标准是什么？监管机构将如何使用他们收集的数据？资金占用和强制性韧性压力测试最终会实施吗？这种测试会导致对表现不佳者的惩罚吗？潜在的声誉影响是什么？如何或应该将监管范围扩大到包括所需范围内的其他实体？

几年前，所有的讨论都是关于网络弹性的。如今，组织不仅在讨论网络，还在讨论疫情、气候事件等业务中断因素影响下的恢复能力。该行业需要做更多的工作，以确保整个系统具有必要的弹性来应对所有可能对金融系统构成风险的潜在威胁。监管机构或许能够更好地确定需要通过持续合作进一步深化全球标准和趋同的领域。

监管要求可能是严格和广泛的，但从根本上说，它们传达的信息是一样的--运营弹性对组织的成功和可持续性至关重要，监管机构已将其视为董事会的一项议程。组织必须立即采取行动，提高运营弹性，为未来做好准备。

(本文仅供参考，不代表我们的任何投资建议。相关信息请参考原始报告。

精选报告来源:【未来智库官网】。

了解有关报告评论的更多信息0

下一篇：如何发送电子邮件（如何发电子邮件到邮箱去）
上一篇：多尔衮电视剧（多尔衮是哪部电视剧的人物）