保障操作韧性 ： 宏观审慎视角

FSI简报 编号 17 保障操作韧性：宏观审慎视角 JermyPrenio和FernandoRestoy August2022 FSI简报由国际清算银行（BIS）金融稳定研究所（FSI）的工作人员撰写，有时与其他专家合作。它们是关于监管和监督主题的简短说明，具有技术性。其中表达的观点是作者的观点，不一定是国际清算银行或基于巴塞尔的标准制定机构的观点。 该出版物可在BIS网站（www.bis.org）上找到。要与BIS媒体和公共关系团队联系，请发送电子邮件至press@bis.org。您可以在www.bis.org/emailalerts.htm上注册电子邮件警报。 ©BankforInternationalSettlements2022.Allrightsreserved.Briefexcerptsmaybereplicatedortranslatedprovidedthesourceisstated. ISSN2708-1117（在线） ISBN978-92-9259-593-7（在线） 保障操作韧性：宏观审慎视角1 亮点 金融公司对技术的依赖增加，以及技术给金融生态系统带来的额外复杂性和相互联系不仅对单个机构，而且对金融体系的运营弹性构成风险。 许多权威机构选择了与风险管理，业务连续性管理和第三方管理相关的单独政策或指南，以实现运营弹性，而一些机构则将所有这些放在一起，以提出整体的运营弹性政策。 在那些具有运营弹性政策的公司中，重要运营/服务的定义采用宏观审慎观点，但为这些运营/服务设定弹性标准并根据这些标准进行测试则留给各个公司。 运营弹性政策的范围应明确说明执行系统级评估、监测和测试的必要性。 鉴于它们对系统级业务弹性的影响，可能有理由让关键技术提供商接受监督框架，如果相关，应在国际上进行协调。 鉴于大型科技集团在金融系统价值链中的重要性日益增加，这些大型科技集团开展各种活动，并受到重要的内部相互依存关系的影响，考虑为这些实体建立集团范围内的运营弹性要求也很有价值。 1.Introduction 近年来，金融系统中出现了新技术和更擅长这些技术的新参与者。大流行突显了在提供金融服务中对新技术的重要性和依赖。2同时，这些技术产生了新的商业模式。3特别是，开放式金融现在使不同的参与者能够“即插即用”并为客户提供金融服务。另一方面，基于平台的商业模式使金融公司能够根据他们拥有的许可证提供服务，而前端客户平台由技术公司拥有。与此同时，去中心化金融的目标是在没有中介机构的情况下提供金融服务，使用分布式账本技术和智能合约支持的自动化协议来促进交易。4 1杰米·普雷尼奥（杰米。preio@bis。org）和费尔南多·雷斯托（费尔南多。restoy@bis。org)，国际清算银行。作者感谢那些提供有用评论的人，包括StefaHohl和TaaoMiyamoto，以及TheodoraMapfmo的行政支持。本文以作者为英格兰银行宏观审慎政策会议（伦敦，2022年7月7日至8日）准备的演讲为基础。 2Crisanto和Prenio（2020年）。 3BCBS（2018a）。 4金融稳定委员会（2019a）。 由于大科技与金融系统的互动不同，大科技的出现也导致了许多技术的相互联系和相互依赖。大科技公司可以提供面向客户的平台，不同的金融公司可以提供服务，或者大科技公司可以直接提供服务。大型技术公司还可以与金融公司合作特定的产品或服务，或为公司和金融市场基础设施（FMI）提供第三方服务。5 公司对技术的依赖增加以及技术给金融生态系统带来的额外复杂性和相互联系不仅对单个机构而且对金融系统都构成了运营风险。 这些事态发展突出了提高当局从系统角度评估和解决技术环境发展带来的运营风险的能力的重要性。 本文从宏观审慎的角度审视了操作弹性。第2节考察了在开发操作弹性框架方面的进展，并比较了已经发布的主要准则。第3节解释了操作弹性的宏观审慎问题，并提供了一些关于如何解决这些问题的想法。第4节总结。 2.制定业务复原力框架的进展 运营弹性政策基本上与风险管理（包括网络安全）、业务连续性管理和第三方管理政策相关。简而言之，运营弹性政策的目标是确保金融公司和FMI能够通过中断保持运营，特别是在提供重要或关键服务方面。 与运营弹性的每个不同组成部分相关的单独政策或指导方针可以有助于实现相同的目标。然而，一些当局选择将所有这些东西放在一起，以提出一个整体的运营弹性政策。 在国际层面，巴塞尔银行监管委员会（BCBS）于2021年3月发布了其运营弹性原则。6顾名思义，这些是旨在加强银行运营弹性的高级原则，主要源自于BCBS或国家监管机构发布的现有指南。BCBS原则希望银行确定其关键业务 ，在相关情况下，这些业务应与其恢复和解决计划保持一致；根据其风险偏好，定义其对这些业务中断的容忍度；并对其进行测试。 在国家或区域一级，三项举措值得一提的是： 在英国，英格兰银行（BoE）和金融行为监管局（FCA）于2021年3月发布了关于运营弹性的联合政策。7TheUKpolicyrequiresfirmstoknowwhichoftheirservicesforendusersaremostimportantandunderstandhowtheyaredelivered(theapproachisthereforeiscustomer-centrate).ThiswasfollowedbyapolicystatementfromtheUKHMTreasuryoncriticalth8这反过来又是英国央行/FCA关于运营弹性和关键第三方的讨论文件的基础。9 5Crisanto等人(2022)。 6BCBS（2021年）。 7运营弹性：重要业务服务的影响容忍度，并附有审慎监管局，FCA和英国央行发布的单独政策文件。 8英国HM财政部（2022年）。 9英国央行/FCA（2022年）。 在美国，联邦储备系统理事会、联邦存款保险公司和货币主计长办公室于2020年10月发布了一份关于业务弹性的联合文件。10本文重点关注关键运营（如BCBS方法）和核心业务线（其中断可能导致收入，利润或特许经营价值的实质性损失）。 在欧盟，数字运营弹性法案（DORA）草案11于2020年9月发布，预计将于2022年第三季度定稿和采用。顾名思义，DORA专注于公司管理和保持抵御信息和通信技术（ICT）风险的能力。它建立在现有的欧洲银行管理局（EBA）关于外包、ICT和安全风险管理的指导方针的基础上。 比较不同的操作弹性指南 就范围而言，BCBS和美国准则针对银行。英国和欧盟的准则更广泛地针对金融公司，不仅包括银行，还包括保险公司，投资公司，支付机构和金融市场基础设施。 BCBS，英国和美国的方法非常相似。金融公司基本上被期望确定哪些重要的运营/服务应该具有弹性;了解这些运营/服务是如何交付的;为这些运营/服务设定弹性标准;对它们进行测试;并解决已识别的漏洞或弱点（图1）。因此，他们着眼于运营中断的所有潜在原因-无论是内部还是外部，还是由于人员，流程或系统。 业务框架弹性图1 资料来源：基于一般框架的FSI插图，并遵循本文研究的准则。 另一方面，DORA仅关注与ICT相关的中断。它不要求金融公司明确确定重要的业务/服务，而是要求公司识别 、分类和充分记录所有与信通技术相关的业务职能。但是，在管理与ICT相关的事件时，DORA要求公司根据事件的优先级以及受影响服务的严重性和重要性对事件进行分类。 表1提供了不同准则的关键要素的广泛比较，这些将在下面进一步解释。 所有四个指南都要求映射内部和外部的互连和相互依赖关系。在BCBS、英国和美国指南的情况下，这涉及确定交付重要运营/服务所需的人员、流程、技术和信息。鉴于 10联邦储备系统理事会等(2020)。 11EC（2020）。 DORA的重点是支持ICT相关业务功能的信息资产以及ICT系统配置以及与内部和外部ICT系统的互连。 在设定弹性标准方面，英国指南要求公司定义其影响容忍度，即对重要业务服务的最大可容忍中断水平。英国当局表示，影响容忍度不同于风险偏好。前者假设特定的风险已经成为现实，因此需要对其造成的破坏进行管理。后者侧重于管理运营风险发生的可能性。然而，BCBS，美国和欧盟的指导方针并没有完全将公司的“对中断的容忍度”（或DORA的风险容忍度）与他们的风险偏好分开。 BCBS，英国和美国的指南提到了“严重但合理的”中断情况。美国指南规定，这些情景应包括公司运营风险管理职能确定的运营事件、独立审计、业务连续性管理以及恢复和解决计划活动。英国的指导方针更进一步，规定金融部门以及其他部门和司法管辖区的先前事件和险些失误也应包括在内。另一方面，DORA要求公司具有与其ICT相关的业务功能和信息资产相关的风险情景。 在针对已定义场景的弹性测试标准方面，BCBS和US指南更侧重于测试业务连续性计划。另一方面，英国的指导方针鼓励公司利用现有的测试安排，无论测试是由其他政策领域要求还是由商业利益驱动。例如，这些可以包括与信通技术安全、业务连续性和运营风险有关的测试。同时，DORA要求公司制定数字运营弹性测试计划。该计划中包含的测试类型将取决于公司的规模，业务和风险状况，范围从漏洞评估和扫描到威胁主导的渗透测试。 操作韧性的广泛比较指导方针表1 指导方针 What 这些如何 的标准 测试针对 地址 操作或 操作或 弹性 这些韧性 已识别 服务需要 服务是 这些 标准 漏洞 具有弹性 已交付 操作或 服务 or 弱点? BCBS：原则 Critical 映射的 公差 突发事件响应 Yes 用于操作 Operations 内部和 中断 和恢复 弹性 外部 风险线 程序 互连 食欲 审查和 and 已测试 相互依存 欧盟：数字 所有与ICT相关的信 映射的 风险承受能力 数字化运营 Yes Operational 息和通信技术业务 互连 符合风险 弹性测试 复原力法案 函数 与内部和 食欲 基于方案 外部ICT 根据公司的规模， 系统 业务与风险配置文件 英国：运营 重要 映射的 影响 鼓励公司 Yes 弹性: 商业服务 内部和 公差 利用一个 影响 外部 的整个范围 公差 互连 现有测试 重要 and 安排 商业服务 相互依存 US:声音 Critical 映射的 公差 测试业务 Yes 实践 Operations 内部和 中断 连续性计划 加强 外部 风险线 Operational 互连 食欲 弹性 and 相互依存 资料来源：FSI分析。 准则的其他重要内容 所有四个准则的一个重要元素是第三方管理。该指南希望公司对第三方的运营弹性（或ICT安全标准，在DORA的情况下）有一个保证流程，包括退出计划。英国准则进一步规定，公司应在材料外包安排方面行使其访问，审计和信息权。DORA希望公司与ICT第三方服务提供商的合同中包含相同的规定，并希望提供商与金融公司的主管当局和解决机构充分合作。英国的指导方针已经明确认识到公司，特别是规模较小的公司，在进行这一保证过程时面临的挑战。例如，如果公司在认证等第三方上的保证工作之间存在协同作用，他们鼓励行业解决方案。他们还承认，对于某些公司来说，对大型第三方提供商进行复杂的测试可能不合适。如果是这种情况，公司应该寻求其他方法来确保其运营弹性，例如桌面测试。 DORA和最近发布的英国央行/FCA讨论文件明确规定了对关键ICT第三方服务提供商的监督框架。对于DORA ，关键的第三方服务提供商将由欧洲监管机构（ESA）指定。这些服务提供商将接受监督，包括现场检查和持续监督。金融公司只能使用在欧盟建立的关键第三方服务提供商提供的服务。如果无法解决或无法解决关键ICT第三方提供商带来的风险，主管当局可能会要求金融公司暂停或终止使用该提供商提供的服务。在这种情况下，要求ESA促进