风险与弹性实践 欧洲的新弹性制度:为 DORA做好准备的竞赛 麦肯锡的一项新调查显示,随着欧盟《数字运营弹性法案》的实施,金 融机构及其信息和通信技术提供商还有大量工作要做。 这篇文章是吉姆·博姆和塞巴斯蒂安·施耐德与弗洛里安·斯托尔的合作成果,LucyShenton和NilsMotsch代表麦肯锡的风险与弹性实践和麦肯锡数字的观点。 2024年6月 金融部门的数字化带来了巨大的好处,但也使企业面临不断上升的技术风险,包括网络攻击,系统中断以及第三方信息和通信技术(ICT)故障。为了确保金融机构(FI)在面对这些威胁时保持弹性,欧盟的数字运营弹性法案(DORA )为基于欧盟的FI制定了详细要求,以保护其关键业务流程 (请参阅边栏“DORA的范围”)。而DORA与其他法规(例如德国的BAIT和VAIT。1),这是同类监管中第一个关注整个欧洲金融生态系统数字弹性的监管。 随着DORA实施日期为2025年1月17日的临近(一些监管要求尚未最终确定),麦肯锡与欧洲主要金融机构和关键ICT第三方进行了一项调查,以了解其 实现DORA合规的进展。结果喜忧参半:大多数机构已经开始了这一旅程,但许多机构需要做更多的工作才能按时履行其义务。在本文中,我们探讨了调查中强调的一些最紧迫的问题,并反思了使一些机构走上比同行更有前途的DORA合规道路的步骤。 DORA实施:行业地位如何? 欧洲金融机构和关键ICT服务提供商仍有时间将其弹性能力与DORA要求保持一致-但窗口正在关闭。我们的调查发现,94%的金融机构完全参与了解立法的详细要求;大多数都是通过一个专门的DORA计划来做到这一点,DORA作为董事会级别的议程项目(参见侧栏“一家大型欧洲金融公司如何应对DORA挑战”)。 1BankaufsichtlicheAnforderungen是IT(BAIT)和VersicherungsaufsichtlicheAnforderungen是IT(VAIT)。 DORA的范围 DORA法规由五个主要内容章节组成,由两批监管技术标准(RTS)和实施技术标准支持。这些文件总共包含600多页和1100行与金融机构和ICT第三方相关的要求。最终文本的章节侧重于以下组成部分: —ICT风险管理需要内部风险管理框架和战略;风险承受能力;政策、程序和协议;以及独立的控制功能。 —ICT相关事件管理、分类和报告涉及定义 、建立、 并实施一个过程 管理和记录事件和网络威胁-并集中报告。 —数字化运营弹性测试要求对所有测试采用基于风险的方法,包括物理测试、应用程序测试、技术弹性(“切换”)测试和威胁导向渗透测试(TLPT)。 —第三方风险管理需要信息和通信技术风险管理框架、第三方登记、风险评估、集中风险分析和持续 监测和审计支持关键业务服务的ICT第三方服务提供商。 —信息共享安排允许金融机构交换网络威胁信息和情报,并要求它们通知主管当局信息共享安排。 一家大型欧洲金融公司如何应对DORA挑战 基于欧盟,在50多个国家开展业务的市场领先的金融机构刚刚在 2023andhadtorapidlyshifteffortstomeetDORArequirements.Inthefourthquarterof2023,theorganizationestablishedasmallDORAprogramfocusedoncompliancein 有几个明确的领域,但它缺乏以基于风险的方式在整个团队中扩展和执行的能力,考虑到高度复杂的内部和地理设置。此外,一些高级利益相关者缺乏关注,工作层面的团队不一致。 不想失去2023年非常成功的补救工作的动力,也不想知道要达到DORA的预期,该公司从2024年第一季度开始,加倍了DORA计划的努力,并设定了目标 到2025年1月达到法规的要求。它通过定义特定活动完全重新设计了计划 集群专注于每个法规的内容领域,重组治理和指导,以包括所有关键实体的业务和技术领导者,并在集中的工具解决方案中建立企业范围的进度和文档跟踪和报告。值得注意的是,它还将所有运营实体置于相同的程序编排保护伞下,以进行端到端支持和执行管理。该公司在这些活动中效率很高:它在一个月内实现了重新设计的计划结构(超过300名员工,完成了全面的计划和差距评估)。 现在有了更好、更全面的结构,它转向了激活计划 。 其成功激活的关键是强烈的责任感 公司将其交付领导者:活动集群领导者,加上每个运营实体的单一联系点。这种方法具有双重效果:当然,公司推动了与DORA相关的活动的强大执行;更重要的是,它在整个组织中创建了技术风险管理文化,同时培训和提高了全体员工的技能。 通过采取如此强大,积极的步骤-朝着中央,战略编排 计划并朝着面向行动,领导者驱动的交付问责制迈进-该公司已开始将技术风险管理视为不是“非功能性任务”,而是将其视为商业价值的关键驱动力。这种真正的战略,基于业务和风险的,整体的,结构化的方法使公司的DORA准备轨迹比欧洲同行更为陡峭。 截至2024年4月,大多数组织表示他们已经完成了差距分析,并正在进行 ofdesigningorrollingoutimplementationprogram.Nevertheless,everyorganizationreportssomeuncertainty—forexample,aroundthepreciserequirementsofthelegislation.Inparticular,respondentspointstotwochallenges: —关键项目范围的清晰度有限(例如,关键或重要职能[CIFs]和关键ICT第三方提供商的定义) —对实施时间表的担忧,考虑到两批欧洲监管机构监管技术标准(RTS)中的第二批将于2024年7月定稿,一些 监管要求(例如,更新所有相关的第三方合同)需要大量的实施准备时间 关于第一个挑战,一位首席信息安全官说:“鉴于主题广泛,DORA计划的广度是不可避免的。但是,选择的范围界定深度会极大地影响实现合规性所需的工作量。” Atsomeinstitutions,uncertaintyoverscopinghasledtoincreasedbudgetallocations(Exhibit1).Therypally,aninstitutionmighthavesparmed€5millionto €15millionforitsDORAprogramstrategy,planning,design,andorchestration.ButearlyestimatesforfullimplementationcostsarecominginatfivetotentimesthatonelargerFIreportedthatitsfinalplannedDORAimplementationspentacrossthe 集团总计近1亿欧元,在计划编排和技术控制升级之间分配。根据我们与其他金融机构的对话,我们预计整个金融行业都会有类似的倍数——特别是在大公司或那些努力采用基于风险的范围界定方法的公司。 附件1 大多数接受调查的机构计划在数字运营弹性法案战略、规划、设计和编排上花费500万 至1500万欧元。 符合数字运营弹性法案要求的计划支出,1 %的受访者(n=12) 30万欧元 25 58 17 1500万欧元 500万欧元 1达到合规性的一次性成本。 资料来源:麦肯锡关于数字运营弹性法案(DORA)计划准备情况的调查,来自欧盟领先金融机构以及信息和通信技术服务提供商的18位高管和DORA计划负责人,2024年3月麦肯锡公司 在DORA计划能力方面,约40%的金融实体和ICT提供商投入了超过7个全职等价物(FTE),而不到20% 还没有指派专门的FTE(图表2)。在我们的客户参与中,一些领先的组织表示,DORA要求的广泛范围意味着不同的功能领域正在推动可交付成果,尽管有中央协调。总而言之,这些因素往往会减少专门的FTE的数量。 程序转向是实施机器中至关重要的齿轮,但我们的研究几乎没有迹象表明该行业已经达到了标准化的方法。在大约50%的被调查机构中,IT组织推动DORA的实施,而在其余的集团中,业务和监督功能的组合更普遍地控制(图表3)。普遍存在的所有权分布表明,许多组织仍然将数字弹性视为“IT问题”,而不是整个组织关注的问题。 监管合规很少便宜, 大多数调查受访者认为,保持DORA合规性将产生持续的成本。 在我们的调查受访者中,70%的受访者表示,继续满足DORA要求将导致技术和技术控制的运行成本永久上升。 行业参与者和ICT服务提供商面临的挑战 在机构面临的众多挑战中,有一个 在我们的调查回应中脱颖而出的是ICT第三方风险管理(图表4)。管理 金融机构必须在两个方面做出重大努力:确保对所有ICT服务提供商及其相关风险进行全面监督,并积极管理与关键ICT第三方服务提供商相关的数字风险。为了以具有成本效益的端到端方式实现这些目标,领先的金融机构采取基于风险的整体方法,反过来需要专门的流程和技术。 附件2 公司将不同数量的全职员工投入到他们的数字运营弹性法案合规计划中。 18 24 18 41 致力于 数字运营弹性法案计划, %的受访者(n=17) ≥8 4–7 1–3 0 注:由于四舍五入,数字不等于100%。 资料来源:麦肯锡关于数字运营弹性法案(DORA)计划准备情况的调查,来自欧盟领先金融机构以及信息和通信技术服务提供商的18位高管和DORA计划负责人,2024年3月 麦肯锡公司 附件3 推动与《数字运营弹性法》保持一致的组织责任通常在IT职能中。 负责与《数字运营弹性法》保持一致的组织职能, %的受访者(n=18) 首席信息官领导下的 IT职能 44 一线安全功能 22 2线IT弹性功能6二线非金融风险函数 0Other1 28 1包括COO下的一线职能,二线非财务风险职能以及多种职能的组合等。 资料来源:麦肯锡关于数字运营弹性法案(DORA)计划准备情况的调查,来自欧盟领先金融机构以及信息和通信技术服务提供商的18位高管和DORA计划负责人,2024年3月 麦肯锡公司 附件4 第三方信息和通信技术风险管理被视为一项关键挑战。 数字运营弹性法案要实现的最复杂的要素,%的受访者(n=17) 第二章:信通技术1-风险管理0 第三章: ICT相关事件的管理、分类和报告 6 第四章:数字操作弹性测试 12 第五章第三方-ICT-风险管理 53 第六章:信息共享安排0 RTS2和ITS3 requirements 29 1信息和通信技术。 2监管技术标准。 3IT服务。 资料来源:麦肯锡关于数字运营弹性法案(DORA)计划准备情况的调查,来自欧盟领先金融机构以及信息和通信技术服务提供商的18位高管和DORA计划负责人,2024年3月 麦肯锡公司 再一次,一个关键变量是范围界定,我们与主要金融机构的讨论表明,对立法范围的理解存在很大差异-甚至在与类似数量的ICT供应商合作的公司之间也是如此。例如,在合同补救中,一些组织专注于尽可能少的 20个补救,而其他人则计划补救多达3,000个合同(请参阅侧栏“DORA补救活动的关键范围项目”)。 做出补救决策的一个重要因素是如何定义“关键”ICT第三方服务提供商。根据DORA第31条,考虑的标准包括对金融服务提供的稳定性,连续性和质量的系统性影响, 依赖于提供商的机构数量,以及机构之间的相互依赖关系。组织必须与法律顾问紧密合作,以确定该定义的哪种解释最佳地满足DORA要求并增强数字弹性。 在与第三方的接触方面,许多金融机构在与较小的实体谈判时报告了挑战。一个困难是较小的第三方通常缺乏足够的人才或资源来实现完全的DORA合规性,因此可能难以按时满足要求。组织之间能力的这种差异可能会延长某些实施方案