操作弹性原则 ## 8211; 执行摘要

业务弹性原则-执行摘要 《操作韧性原则》（POR）于2021年发布，并以巴塞尔银行监管委员会《操作风险稳健管理原则》（PSMOR）为基础 ，该原则最初于2011年发布，2014年修订，并与POR的发布同时进行了第二次修订。 虽然PSMOR建立了操作风险管理的原则，但POR寻求促进基于原则的方法来提高操作弹性，以有效管理可能因流行病，自然灾害，网络攻击或技术故障等中断而产生的操作风险。1POR采用的方法反映了银行在新冠肺炎大流行期间的经验，以及它们在提供金融服务方面对第三方的依赖程度越来越高。 POR将运营弹性定义为银行在面临中断时交付关键业务的能力。这种能力应该使银行能够识别和保护自己免受威胁和潜在故障。此外，它应该允许银行应对、适应、恢复和学习破坏性事件，以减少它们在面临中断时对关键业务交付的影响。2银行应该假设中断会发生，并相应地定义其整体风险偏好和“中断容忍度”。POR将中断容忍度定义为银行愿意接受的一系列严重但合理的情况下任何类型的运营风险的中断水平。 POR应在与巴塞尔框架范围一致的合并基础上在整个组织中一致应用，并适当考虑银行的恢复和解决计划。 POR的七项原则 POR的七个原则如下： 治理:银行应利用其现有的治理结构来建立、监督和实施有效的运营弹性方法，使其能够应对和适应破坏性事件，并从中恢复和学习，以最大程度地减少其对通过中断交付关键业务的影响。 银行董事会的作用包括批准银行的运营弹性方法，该方法应考虑银行的风险偏好和对关键运营中断的容忍度。在制定银行对中断的容忍度时，董事会应考虑银行的运营能力，考虑到可能影响其关键运营的各种严重但合理的情况。 高级管理层负责实施银行的经营韧性方法，沟通清晰，资源适度配置。 1PSMOR确立的12项原则涵盖治理、风险管理环境、信息和通信技术(信通技术)、业务连续性和披露的作用。 2关键业务一词基于联合论坛的2006年业务连续性高级原则，其中包括巴塞尔银行监管委员会（BCBS），国际证券委员会组织（IOSCO）和国际保险监督协会（IAIS）。该术语涵盖金融稳定委员会定义的关键职能，并扩大到包括活动、流程、服务及其相关支持资产，这些活动的中断将对银行的持续运营或其在金融系统中的作用产生重大影响。 1/3 操作风险管理：银行应利用各自职能对操作风险进行管理，持续识别人员、流程和系统的外部和内部威胁和潜在故障，及时评估关键业务的脆弱性，并按照其操作应变能力的方法管理由此产生的风险。 银行的操作风险管理职能将与其他相关职能相协调，例如第三方依赖管理以及恢复和解决计划。 银行应具有识别和评估威胁的控制措施和程序，并在可能的范围内防止其影响关键业务。应定期评估这些控制措施和程序，特别是针对其关键业务的任何基本组成部分的变化以及事件发生后的经验教训。 业务连续性规划和测试：银行应制定业务连续性计划，并在一系列严重但合理的情况下进行业务连续性练习，以测试其通过中断交付关键业务的能力。 业务连续性计划应确定关键运营和关键依赖关系，内部决策过程应基于前瞻性触发因素和中断评估。 业务连续性计划应确定管理运营中断的角色和职责，并在发生影响关键人员的中断时，就权力继承提供明确的指导。 角色和职责，包括关键人员的继任计划，应加以界定。 映射互连和相互依赖关系：一旦银行确定了其关键业务，银行应根据其业务弹性方法，绘制交付关键业务所必需的内部和外部互连和相互依存关系。 映射意味着识别和记录与关键操作相关的人员、技术、流程、信息和设施，包括依赖第三方的操作。 应利用恢复和解决计划来定义关键操作。 映射的方法和粒度级别应足以使银行识别漏洞并支持测试其在面临中断时交付关键业务的能力。 第三方依赖管理：银行应管理其对关系的依赖关系，包括但不限于第三方或集团内实体的依赖关系，以交付关键业务。 在进入第三方安排之前，银行应进行风险评估和尽职调查，并验证第三方是否至少具有同等水平的运营弹性。 应制定业务连续性和应急计划程序以及退出策略，以便银行在第三方中断影响关键业务时能够保持其业务弹性。 银行应评估关键第三方的可替代性，包括恢复内部选择。 突发事件管理:银行应制定和实施响应和恢复计划，以根据银行的风险偏好和对中断的容忍度来管理可能中断关键业务交付的事件。银行应通过吸收以前事件的经验教训，不断改进其事件响应和恢复计划。 银行应保持事件响应和恢复资源的库存。 事件报告应记录事件的生命周期，并评估严重程度和事件报告。 应定期审查事件响应程序，以防止连续复发。 事件管理应反映从过去事件中吸取的教训和其他人吸取的教训。 信息和通信技术（ICT），包括网络安全：银行应确保具有弹性的ICT，包括受保护，检测，响应和恢复计划约束的网络安全，这些计划（i）定期进行测试，（ii）纳入适当的态势感知，以及（iii）及时传达相关信息，以进行风险管理和决策过程，以全力支持和促进银行关键业务的交付。 记录在案的信通技术政策应涵盖所有相关方面，包括治理和风险所有权。 银行应确定关键信息资产及其依赖的基础设施。 银行应制定计划并实施控制措施，以保持关键信息的完整性。 银行应评估其关键信息资产的威胁概况并测试漏洞。 本执行摘要和相关教程也可在国际清算银行的在线学习工具FSIConnect中获得。