重新定义运营韧性.pdf

重新定义 运营韧性 新形势刊物系列 2021年6月 新系列刊物 欧洲、 中东与非洲 （EMA） 金融服务监管洞察中心 （RIC） 欣然推出全新领先思维系 列 金融服务业： 新形势下的监管 的第七份刊物。 随着政府和商界将注意力焦点逐步从应对新型冠状病毒肺炎(COVID-19) 疫情转 到恢复能力及新形势下的复苏， 预计金融服务监管机构也将进入调整和支持的新 阶段。 本刊将探讨有关运营韧性的监管视角将如何发展？ 监管环境如何因COVID-19 而 产生变化以及目前金融服务机构可执行哪些工作以增强它们在复苏期及以后的 运营韧性？ 我们还分析了新兴监管方案的异同点， 以及它们对未来的运营韧性监 管议程而言意味着什么。 请关注本系列的最后一份刊物， 聚焦针对零售行为问题而不断变化的监管方式。 Financial services: regulating the new reality （ “金融服务业： 新形势下的监 管 ”） Remote governance and controls （ “远程治理和控 制 ”） Delivering sustainable finance （ “实现可持续 金 融 ”） Financial resilience in banking: a balancing act ( “银行业财务韧 性： 权衡之道 “) Accelerating digital finance （ “加速数字金 融 ”） Ensuring stable capital markets （ “确保资本市场 稳 定 ”） 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载目录 引言 04 01. 向更全面的案发展 06 02. 关注第三方风险 10 03. 向更高级的数字化韧性迈进 14 04. 主题上的变化 17 05. 展望未来 ， 吸取教训 19 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有 限公司相关联的独立成员所全球性组织中的成员。 版权所有， 不得转载引言 运营韧性在过去数十年一直是监管焦点， 但2008年金融危机发生后， 其已让步于关于 财务韧性的新规则及框架的开发。 但在过去数年， 运营韧性已上升到监管议程的首要位 置， 而当前的COVID-19 更使其获得更大关注。 监管机构十分清楚， 金融机构乃至其客户在困难时期面对的业务中断风险显著加剧。 技 术引导的业务转型、 引人关注的业务中断事件以及对金融体系的相互关联性的承认使 机构运营及运作方式受到更多关注。 随着新形势的到来， 金融监管机构认 为银行与保险机构的运营韧性与财 务韧性同等重要 ， 运营韧性也是财务 韧性的主要驱动因素； 并且， 恢复能 力不足不但可能影响金融机构个体 及更广泛的金融稳定性， 还会导致重 大客户损害。 对信托业务而言， 运营 韧性不足或对投资者回报及客户资 产安全带来不利影响。 如今， 监管机构的看法已发生切实改 变。 它们正已全新的方式看待金融机 构的恢复能力： 考虑的不仅是 “如果” ， 还包括 “何时” 。 它们希望金融机构不 仅思考业务中断发生时需面对的情 况， 还应准备相关的应对方案。 虽然 金融机构已一直被要求管理好自身 的运营风险、 为意外事件做好准备并 制定业务延续及灾难恢复计划， 但在 新形势下， 运营韧性涵盖更广。 一直以来， 全球监管机构对恢复能 力的关注重点是网络及ICT 1 安全。 这些方面目前仍是关键领域， 尤其 是在COVID-19 疫情的压力下， 技术 加快应用以及外部不良因素愈加复 杂。 金融机构必须考虑多个并发中断 事件的可能性以及新威胁及缺陷点 的出现。 气候变化带来的极端事件， 包括洪 水、 山火到非预期的暴风雪， 均会对 实体运营带来冲击。 地缘政治事件或 对运营模型带来影响。 譬如， 因某些 辖区的运营许可的丧失。 因创新或经 济状况改变而不断变化的业务模式 或会导致人才短缺。 监管机构已意识到采用一个范围更 广包含员工、 流程、 科技及信息等 同等重要的组成部分的运营韧性 方案的必要性。 客户影响受到长期关 注， 治理和问责也是焦点所在。 拟定法规强调了识别严重但具一定 合理性的个性化情境以及执行压力 测试以揭露运营模式弱点的重要性。 金融机构务必界定它们愿意承受的 业务中断次数， 并监控并评估自身是 否超出此等容忍度。 “金融实体以及作为一 个整体的金融体系的运 营韧性与它们的财务 韧性同等重要。 ” Fabio Panetta, 欧洲央行执行理事会成员 1 Information and Communications Technology （信息与通讯技术） 4 Accelerating digital finance 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载运营韧性成为投资和业务战略的主 要驱动力。 金融机构必须清晰了解自 身的点对点流程， 包括重要的相互依 存关系以及业务中断将如何影响这 些关系。 运营韧性的提升可增强监管 机构、 客户、 员工及第三方等利益相 关者之间的信任。 互联性是关键。 二十一世纪的金融服 务业具备比以往更高的相互关联性 和科技驱动性。 外包已受业界关注一 段时间， 但目前其规模是前所未有 的， 因金融机构寻求通过加大对第三 方的依赖， 降低停运成本和提升效 率。 监管机构意识到少数大型的国际 性技术及基础设施供应商的统治地 位， 并寻求相应地更新并扩大要求。 随着越来越多非金融机构为金融机 构提供必要服务， 监管边界正不断扩 张。 目前， 运营韧性意味着贯穿整条 供应链的点对点韧性， 这将带来不少 新挑战。 第三方的韧性以及与其相关 的风险已受到监管机构的密切关注。 随着科技及数字化的持续发展， 数字 运营韧性的含义正变得更加广泛。 有关新冠疫情如何促进科技的 快速应用及其对金融服务监管 带来的影响， 请见新形势系列刊 物“ Accelerating digital finance” （ “加速数字金融” ） 。 机构应回答的问题 运营韧性如何支持我们的业 务增长议程及客户战略？ 其 如何提升业绩增长？ 我们是否视运营韧性为业务 重点和业务战略的重要组成 部分？ 董事会层面是否有效参与？ 机构内部职责是否划分明 确？ 我们是否从自身机构、 对客 户的潜在影响以及对更广泛 的金融体系的潜在影响角度 识别并记录我们的关键/重 要/具决定性的业务服务？ 我们是否具备点对点的服务 透明度， 包括第三方关系？ 我们能否保证第三方关系的 有效管理以及正在执行的合 同支持弹性响应？ 我们正进 行何种工作以提升此方面的 确定性？ 当合同不符合要求 时， 我们可以/将会采取什么 措施？ 我们是否具备合理的资源以 应对能力及技能风险？ 是否 需要更多及/或专业资源? 我们是否建立与客户及其它 关键利益相关方之间的稳健 沟通战略？ 点对点韧性 供应链韧性基于服务的机 构全范围适用 第三方韧性 数字韧性 监管要求和指引 监管预期 第三方/外包注册 报告要求 客户影响 沟通 响应时间 损害最小化 流程 关键/重要/具决定性的 流程/服务的识别及梳理 业务中断容忍度的界定 情境测试 董事会参与及公司治理 战略驱动 个人责任 监控 、 汇报及上报 融入业务战略的 运营韧性 运营韧性 监管重点之一 5 重新定义运营韧性 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载01. 向更全面的方案发展 运营韧性的监管虽已发展数 十年， 但不同地理区域及市场 板块的监管模式依然呈现碎 片化。 不同辖区的发展速度不 同， 但所有辖区均认为运营韧 性是优先考虑事项。 网络韧性 框架已有效整合， 但需持续监 控和更新以应对复杂程度不断 提升的威胁 （见第3章） 。 随着运 营韧性的定义变得更加广泛和 复杂， 监管机构正推出不同的 方案， 从现行运营风险要求的 高层次原则到新运营韧性框架 的提出。 英国监管机构在2019年12月推出面 向银行、 保险机构、 大型资产管理人 和金融市场基础设施的一揽子咨询 文件 2 ， 被广泛视为在此方面起领头 作用。 相关咨询是基于2018年7月讨 论稿提出的概念。 巴塞尔银行监管委 员会 （BCBS） 也旨在通过其运营韧性 原则 （于2021年3月修订） 实施全面 的方案。 这两种方案将完全兼容， 但 BCBS原则提供的是一个通用框架， 英国的则是更为具体的表述。 适用于银行的全球原则 BCBS的运营韧性原则 3 是基于现行 运营风险原则以及有关公司治理、 外 包及业务延续性的指引。 BCBS还更 新了运营风险健全管理原则 4 ，在 银 行实施方面提供更多指引。 这些原则的主要目标是银行应致力 于通过维持 “在业务中断中交付关键 运营” 的能力来实现运营韧性。 在这 些原则的指引下， 银行应能识别威胁 及潜在失效并保护自身免受损害， 并 应对及适应业务中断事件， 以及从中 恢复和吸取教训。 T关键运营的定义与金融稳定委员会 （FSB） 制定的 “韧性及解决方案” 中 使用的定义一致 （见第4章） 。 当评估 运营韧性时， 银行应审视其整体的风 险偏好、 风险敞口和风险状况。 银行 应通过协调现有管理架构并使其与 主要目标匹配以实现运营韧性。 运营韧性被视为是运营风险有效管 理的结果。 BCBS希望银行可以通过现行风险架 构纳入这些原则， 同时计及整体风险 偏好、 风险敞口和风险状况。 BCBS不 建议银行针对韧性建立独立的架构。 BCBS原则不仅对银行业有用， 亦适 用于其它更广泛行业， 并可能构成一 项全球行动方案。 证券委员会国际组 织 （IOSCO） 仅关注网络及外包 （见第 2、 3章） 。 国际保险监理官协会 （IAIS） 并未专门关注运营韧性， 2 fca.uk/news/press-releases/building-operational-resilience-impact-tolerances-important-business-services 3 bis/bcbs/publ/d516.pdf 4 bis/bcbs/publ/d515.pdf 6 重新定义运营韧性 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载向更全面的方案发展 资源的韧性的思考方法， 转向关 注向客户或投保人提供的服务。 影响容忍度： 机构必须界定各项 重要业务服务可以承受的最大 中断容忍水平， 作为影响容忍 度， 并制定相关指标以监控和计 量机构能否保持在容忍度之内。 机构应阐明特定中断的最大限 度， 如它们在 “严重但可能发生” 的业务中断后能够恢复重要业 务服务交付的时限。 以及 “推进必要的改革” 。 主要要求包括： 治理： 运营韧性必须由董事会驱 动， 并为差异化的投资决策设立 明确的、 合理考量韧性的问责制 度。 责任承担方很可能是高管层 及认证体系下的首席运营职能 角 色 。 重要业务服务： 董事会及高管层 应优先考虑 “重要业务服务” 的 韧性 即那些若被中断将对英 国金融业稳定性、 机构安全及稳 健性以及合理的投保人保护 （对 保险机构而言） 构成风险的服 务。 对多数机构而言， 这将意味 着摒弃过去只关注单独系统和 虽然其在 “系统性风险的全面架构” 5 中提及有限可持续性、 危机应对及 管理以及服务干扰。 BCBS原则是高 层次并具合理性， 在缺乏其它指引 的情况下， 尽管有行业特定要求， 非 银行机构可利用这些原则指引并制 定策略。 适用于所有机构的运营韧性架构 英国监管机构将运营韧性定义为： “ 机构、 金融市场基础设施以及银行业 作为一个整体以防止、 适应和应对运 营中断事件及从这些事件中恢复及 吸取教训的能力” 。 2019年咨询文件 就重要业务服务 6 以及外包及第三方 风险管理 7 的影响容忍度提出期望。 英国方案力求 “优先考虑重要事项” BCBS： 银行运营韧性的高层次原则 1. 治理 银行应利用现有治理架构建立、 监督及实施一个有效的运营韧性方案， 使它们能应对并适 应业务中断事件并从中恢复及吸取教训， 以减少业务中断对关键运营交付的影响。 2. 运营风险管理 银行应利用各自的运营风险管理职能， 持续识别有关人员、 流程和系统的外部及 内部威胁及潜在失效， 及时评估关键运营的弱点并按运营韧性方案管理由此而来的风险。 3. 业务延续性计划及测试 银行应制定业务延续性计划， 并在各种极端但可能发生的情景下执行 业务延续性演练以测试它们在业务中断事件中交付关键运营的能力。 4. 梳理相互关联性及依存关系 银行识别关键运营后， 应梳理其按运营韧性方案交付关键运营所 必需的外部与内部相互关联性及依存关系。 5. 第三方依赖性管理 为交付关键运营， 银行应管理它们对相互关系的依赖性， 包括但不限于第三 方或集团内部实体的关系。 6. 事件管理 银行应根据自身的风险偏好及中断事件容忍度， 制定并实施应对及恢复计划， 以管理 可能会中断关键运营交付的事件。 银行应整合以往事件的经验， 持续提升事件应对及恢复计划。 7. 信息和通讯技术 （ICT） 包括网络安全 银行应确保ICT （包括网络安全） 富有韧性， 即应具备保护、 侦测、 应对及恢复程序， 且这些程序应接受定期测试、 具备合理的情景认知并可及时传达相关信息以 协助风险管理和决策流程， 从而全面支持和促进银行关键运营的交付。 5 iaisweb/page/news/press-releases-prior-to-2014/file/87109/holistic-framework-for-systemic-risk 6 bankofengland.co.uk/-/media/boe/files/prudential-regulation/publication/2021/building-operational-resilience-impact-tolerances-for-important-business-services.pdf 7 bankofengland.co.uk/-/media/boe/files/prudential-regulation/consultation-paper/2019/cp3019.pdf 7 重新定义运营韧性 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载梳理： 机构为交付其最重要服务 而调配的资源必须在技术、 数 据、 人员、 设施、 供应商及关键从 属流程等方面予以识别和记录。 点对点供应链活动的韧性必须 予以考量。 测试： 机构应识别 “严重但可能 发生” 的情景以测试自身在影响 容忍度范围内作出响应及恢复 的能力。 沟通： 机构必须实施稳健的内部 及外部沟通方案以管理极端中 断事件过程中受到的影响， 并重 点确保所提供信息的及时性及 准确性。 恢复： 机构必须展示它们已采取 果断、 有效的措施以提升韧性， 并已在机构文化中融入以恢复 为中心的思维。 为建立韧性而投资： 机构应对自 身的运营韧性负责， 并根据方案 和投资对公共利益的影响对它 们进行优先选择。 运营韧性再次被视为保持金融稳定 性的结果以及关键因素。 对支持良好 的客户结果及有效管理行为风险而 言， 运营韧性也是关键。 相关方案旨 在应对运营韧性面对的风险， 包括由 于金融系统的相互关联性以及机构 运营所在的复杂及快速变化的环境 导致的风险。 政策定稿 8 已于2021年 3月发表， 将于2022年3月31日生效， 实施期长达三年。 工作进行中 美国及其它地区 2019年11月， 在银行政策学会年度 会议上， 联邦储备委员会的大型机 构监督协调委员会 （LISCC） 副主任 John A. Beebe表示 9 ， 美联储尚未正 式界定运营韧性的定义， 亦未制定相 关政策。 但他提及银行在业务中断中 交付关键服务的能力以及人们熟悉 的网络韧性概念， 即识别、 侦测及防 御危机事件， 并在事件发生时作出响 应并恢复。 在此期间， 相关工作已取得一定进 展。 美联储现已将运营韧性定义 10 为： “在任何危险导致的业务中断事 件中交付运营 （包括关键运营及核心 业务线） 的能力。 机构必须具备有效 的运营风险管理以及充足的财务及 运营资源才能准备、 适应和抵御业务 中断并从中恢复。 ” 2020年10月， 美联储、 联邦存款保险 公司以及货币监理署联合发表了一 份名为 “提升运营韧性的良好实务” （ “Sound Practices to Strengthen Operational Resilience” ） 的文件 11 。 此文件针对合并资产总值超过2500 亿元 （或总资产及其他风险特征超过 1000亿美元） 的美国银行， 并涵盖治 理及运营风险管理、 第三方风险、 IT 韧性、 网络安全及情景开发等多个领 域。 文件并未修改现有条例或提出新 规例， 而是概述了从现有规例、 指引、 声明及通用行业标准中提炼的实务 方式来提升运营韧性。 该文件指出， 此等实务方式 “是基于有效的治理及 风险管理方式、 以及第三方风险和包 含具恢复力的信息系统。 ” 2020年12月， 欧洲央行提出了期望， 即主要欧洲银行将需在整体运营韧 性方面取得发展， 而不仅是网络方 面。 欧洲央行希望确保相关要求与英 美监管机构的要求相协调。 从澳大利亚审慎监管机构 （ “APRA” ） 的运营风险团队在1999年成立以 来， 运营韧性一直是其重点关注领 域。 APRA将运营韧性定义 12 为“ 实 体 抵抗冲击并从中恢复的能力” 。 其表 示， 冲击包括会威胁实体提供业务服 务的能力的事件以及已中断实体业 务服务提供的事件。 在极端情况下， 这包括可能会损害实体持续生存能 力的事件， 如新冠疫情。 从1999年以来， APRA已发布有关外 包、 业务延续性管理 （ “BCM” ） 以及 风险管理的审慎标准和有关疫情规 划、 数据风险管理及信息安全 （网络） 的指引， 并发表了一份有关云计算的 参考文件。 运营韧性小组于2020年成立， 有关 BCM、 外包及风险管理的审慎标准 及指引的修订与更新也预期于2021 年推出。 与此同时， 进一步的运营韧 性要求及/或指引也很可能同步发 布。 2020年6月， 新加坡金融管理局发表 13 了相关指引及公告以应对运营、 科技 及网络风险， 但其发表的背景是针对 疫情响应， 而非新要求的制定。 8 bankofengland.co.uk/prudential-regulation/publication/2018/building-the-uk- financial-sectors-operational-resilience-discussion-paper 9 RESILIENCE.pdf 10 federalreserve.gov/supervisionreg/topics/information-technology-guidance.htm 11 federalreserve.gov/newsevents/pressreleases/files/bcreg20201030a1 12 apra.gov.au/covid-19-a-real-world-test-of-operational-resilience 13 mas.gov.sg/regulation/covid-19/ensuring-safe-distancing-and-operational- resilience-of-the-financial-sector 8 重新定义运营韧性 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载2021年3月， 其再发表一份关于 “远 程工作环境的风险管理及运营韧性” 报告 14 以进一步阐述此主题。 该报告聚焦金融机构在运营、 科技、 信息安全、 舞弊及员工不当行为等 方面的潜在风险以及法律及及监管 风险。 对欧盟而言， 稳健的ICT一直是业界 焦点， 金融实体的数字运营韧性现已 成为重中之重 （见第三章） 。 新形势下的运营韧性 批 发 市 场 监 管 报 告 运 营 韧 性 操 守 薪 酬 技 术 买 卖 与 投 资 策 略 个 人 问 责 数 据 管 理 及 数 字 化 数 据 与 透 明 度 流 程 与 控 制 网 络 安 全 与 反 洗 钱 / 反 恐 融 资 基 础 设 施 组 织 与 文 化 韧 性 与 解 决 方 案 压 力 测 试 流 动 性 资 本 充 足 财 务 韧 性 业 务 持 续 性 规 划 基 准 与 C R A s （ 信 用 风 险 评 估 ） 数 据 伦 理 陷 入 困 境 的 客 户 分 销 与 建 议 产 品 治 理 与 价 值 披 露 与 交 流 文 化 与 操 守 零 售 市 场 治 理 人 员 与 场 所 系 统 性 风 险 技 术 创 新 消 费 者 保 护 跨 境 活 动 可 持 续 金 融 推动监管变 化的动力 Recovery & resolution Stress testing Liquidity Capital/solvency Financial resilience: 影响监管重点的五大动力。 消费者保护和金融稳定是金融服务监管的堡垒， 但疫情及因此而实施的封城措施暴 露了更多问题。 资本市场的波动使人们再度将目光转移到与计算机主导买卖策略及特定类型基金相关的系统性 风险。 此外， 疫情还加快了科技应用及可持续金融需求的趋势， 而跨境交易将面对新的挑战。 这三大趋势目前是 对监管重点有同样重要影响的动力。 14 mas.gov.sg/-/media/MAS/News-and-Publications/Monographs-and- Information-Papers/Risk-Management-and-Operational-Resilience-in-a-Remote-Working- Environment.pdf 9 重新定义运营韧性 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载02. 关注第三方 风险 金融服务机构为了获得外包提供的成本、 效率及专业性 方面的效益， 已纷纷转用该类服务。 多数金融机构并非基 础设施专家， 虽然它们已实施大量项目以简化或重组现 有流程， 但仍或多或少地受到旧有系统的掣肘。 转型项目 对大型机构而言成本高昂且繁复， 而小型机构则根本缺 乏内部的能力与资源以开发专属解决方案。 对它们而言， 外包或会是一个具吸引力的选项， 但第三方 关系也带来不少挑战。 监管机构关注的是： 供应商的集中度 合同条款， 包括退出条款和规划 数据安全 访问权和监督， 包括治理、 系统及控制 第三方的韧性， 包括BCP和灾后恢复 对与外包商的文化校准和融入性的合理考量 为客户输出的成果欠佳 FSB在2020年11月指出， 金融机构已在过去数十 年依赖外包及其它第三方关系。 但其也表示， 在 近年， 机构与 “一个广泛和多样化的第三方生态” 进行互动的范围和性质已取得发展， 尤其是在科 技领域。 金融板块近期对新冠疫情的响应突出了 管理金融机构与第三方互动带来的风险的裨益 以及挑战。 疫情还可能加快了机构愈加依赖某些 第三方技术的趋势。 10 重新定义运营韧性 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公 司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威 国际有限公司相关联的独立成员所全球性组织中的成员。 版权所有， 不得转载适用于投资机构的外包原则 2020年5月， IOSCO就新的 “外包原 则” 进行咨询 15 。 这些新原则基于现 有的2005及2009年原则， 并进一步 涵盖交易场所、 自营市场参与者、 信用评级机构和金融市场基础设 施。 IOSCO 表示， “运营韧性是指受 监管实体、 服务供应商等其它机构以 及作为一个整体的金融市场避免、 应 对运营中断、 从中恢复及吸取经验的 能 力 ”。 经修改的原则包含一组基本准则和 七项原则。 基本准则涵盖外包定义、 重要性及关键性评估、 关联实体上的 应用、 分包处理以及跨境外包等事 项。 七项原则涵盖以下领域： 选择和监控服务供应商中的尽 职调查 与服务供应商订立的合同 信息安全、 业务韧性、 延续性和 灾后恢复 保密事项 外包安排的集中度 对数据的获取、 工作场所的进 入和人员的接触以及相关检查 权利 外包安排的终止 系统性风险视角 FSB的 关于外包及第三方关系的规 范监督事宜 讨论稿 16 反映了许多机 构正面对的问题和挑战。 讨论稿探讨 了与外包及第三方关系有关的规范 监督事宜， 尤其关注云和云服务供应 商的集中度问题。 业界存在一个疑虑， 即某些向金融机 构提供的外包及第三方服务的集中 可能会引致系统性风险。 随着从某个 第三方获取关键服务的金融机构的 数量增加， 这些风险将会增大。 当缺乏合理的缓释因素时， 此类第三 方的一个重大业务中断、 停运或失效 便可能会导致单点失效， 并对金融稳定及/或多个金融机构的 安全及稳健带来潜在负面影响。 鉴于 此依赖关系的跨境属性， FSB表示， 监管机构和第三方可通过增加这方 面的对话而获益。 FSB表示， 此讨论 稿将促进业界对外包及第三方风险 管理的现行监管方式的讨论。 国际证监会组织 （IOSCO） 外包原则 原则一： 受监管实体应执行适当的尽职调查流程以选择合适的服务 供应商并持续监控其表现。 原则二： 受监管实体应与各服务供应商签订有法律约束力的书面合 同。 这些合同的性质和内容应与外包任务对受监管实体业务的重要 性或关键性相称。 原则三： 受监管实体应采取合理措施以确保其与任何服务供应商建 立相关程序与控制以保护受监管实体的专有及客户信息和软件， 并 确保服务供应商对受监管实体提供服务的延续性， 包括灾后恢复计 划以及对备用设施的定期测试。 原则四： 受监管实体应采取合理措施以确保服务供应商保护好受监 管实体及其客户的保密信息及数据， 避免它们向第三方作出有意或 无意的未经授权披露。 原则五： 当受监管实体需依赖单独的服务供应商以交付重要或关键 的外包任务， 或当其知道某个服务供应商为包括其在内的多个受监 管实体提供重要或关键的外包服务时， 该受监管实体应了解其中风 险并进行有效的风险管理。 原则六： 受监管实体应采取合理措施以确保其监管者、 审计师及自身 能在发出请求下立即获取合同合规及/或监管监督方面的外包任务信 息， 包括在需要的情况下获得与外包任务相关的数据、 访问相关IT系 统、 进入服务供应商工作场所及接触有关人员。 原则七： 受监管实体应在其与服务供应商之间的合同中加入外包任 务终止的有关书面条款， 并确保已建立合理的退出策略。 15 iosco/library/pubdocs/pdf/IOSCOPD654.pdf 16 fsb/2020/11/regulatory-and-supervisory-issues-relating-to-outsourcing-and-third-party-relationships-discussion-paper/ 11 重新定义运营韧性 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载FSB指出， 金融机构、 相关监管者以 及清算机构访问、 核查及获取第三方 信息的契约性权利或难以商讨及行 使， 尤其是在一个多辖区背景下。 在 金融机构应对新冠疫情影响的背景 下， 分包商和供应链管理也是其中一 个焦点。 作为 金融科技行动方案 的 一部分， 欧盟委员会有意为外包协议 制定标准合同条款。 欧洲方案成形 欧洲监管局(ESA)对外包指引采取了 一个大体上协调的方案。 欧洲银行业管理局 （EBA） 于2019年 2月发表了最终版的外包安排指引 17 ， 其中纳入了有关云外包的早前建议。 重点是， 外包并不会解除管理层的责 任， 管理层必须保留就外包业务活动 进行决策的能力。 关键或重要职能的外包安排适用更 严格的要求。 机构必须对所有最新的 外包安排做好记录， 记录 （如适用） 必 须在分支合并 （sub-consolidated） 及合并层面进行， 且在国家监管机构 要求下应向其提供。 方案提供了详尽 的外包流程指引， 从外包前分析到 合同阶段的风险评估和尽职调查、 访 问、 信息及核查权、 终止权、 外包职能 监督以及退出策略。 2020年2月， 欧洲保险和职业养老金 管理局 （EIOPA） 发表了相同16个标 题下的向云服务供应商 18 外包的指 引最终版。 这些指引同样要求详尽的 风险评估、 尽职调查和外包前分析。 若关键或重要运营职能或活动需被 外包， 保险机构应在其自有风险及偿 付能力评估 （ORSA） 中的风险状况 中反映此信息。 在考虑相称原则的情况下， 机构还应 向监管机构提供书面说明。 保险机构需对云外包安排进行专门 登记， 包括近期终止的安排。 合同要 求需明确列明保险机构和云服务供 应商各自的权利和义务。 合同应包 含可获取性 （包括核查权） 、 服务可 用性、 完整性、 保密性、 数据隐私和 安全以及绩效监控等条款。 就核查权 而言， 当与其他客户一起对同一服务 供应商进行审计时或由多个客户委 派一名第三方进行审计时， 保险机构 可考虑使用有云供应商提供的第三 方认证或内部审计报告及/或合并审 计。 指引还提及终止权、 外包职能监 督以及退出策略。 17 eba.europa.eu/sites/default/documents/files/documents/10180/2551996/38c80601-f5d7-4855-8ba3-702423665479/EBA revised Guidelines on outsourcing arrangements.pdf 18 eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/guidelines_on_outsourcing_to_cloud_service_providers_en.pdf 12 重新定义运营韧性 2021毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所,毕马威企业咨询 (中国) 有限公司 中国有限责任公司及毕马威会计师事务所 香港合伙制事务所， 均是与英国私营担保有限公司 毕马威国际有限公司相关联的独 立成员所全球性组织中的成员。 版权所有， 不得转载2020年6月， 欧洲证券与市场监管 局 （ESMA） 要求对云供应商进行全 面审计， 并于2020年12月发表了云 服务供应商外包指引的最终版 19 ，从 2021年7月起实施。 ESMA的九项指 引与EBA及EIOPA的指引大致相同， 同时考虑到欧盟委员会在2020年9 月发布的数字运营韧性规范建议书 （见第3章） 。 ESMA要求机构应为各 项云外包服务实施具体策略， 包括合 理的治理安排和更严格的网络安全 措施。 外包前分析以及尽职调查应在 委任供应商前执行。 合同一般须包含 有关访问及核查权及分包的具体条 款。 机构需在委任供应商前考虑退 出策略 （包括计划并测试机构如何 迁移到另一家供应商； 并不断更新外 包登记信息， 并在监管机构要求下向 其提供。 虽然英国不再属于ESA的监管范围， 但审慎监管局 （PRA） 在其有关外包 及第三方风险管理的建议书 20 及最 终政策 21 中纳入许多ESA的指引。 但PRA的要求比ESA的更广泛和深 入。 譬如， ESA主要关注外包安排， 而PRA探讨了所有重要的第三方安 排。 PRA还要求机构在确定重大外包 决定前作出通知， 并就受压退出计 划相关的退出及意外规划以及退出 计划的情景测试制定了更进一步、 更 详尽的要求。 PRA已计划进行后续咨 询， 并提出了有关在线门户的详细提 案。 所有机构将需通过此在线门户提 交外包及第三方安排的信息。 有关第三方安排的要求正变得愈加 繁重。 治理、 监管及记录方面的指引 及规范或对小型机构带来挑战。 由于 特定外包或云战略的交付或在某些 机构的能力范围之外， 这些机构将需 寻求外部指引。 机构的主要考量： 治理及记录 评估重要性和内在风险 签约前尽职调查 风险导向合同条款 安全及数据控制 持续风险评估 访问及核查权 管理分包商风险 退出计划及或有事项 与运营韧性项目的联系 19 esma.europa.eu/sites/default/files/library/esma50-157-2403_cloud_guidelines.pdf 20 bankofengland.co.uk/-/media/boe/files/prudential-regulation/consultation-paper/2019/cp3019.pdf 21 bankofengland.co.uk/-/media/boe/files/prudential-regulation/consultation-paper/2021/march/ps721.pdf 13 重新定义运营韧性 2021毕马威