大卫•贝利 | 运营韧性:审慎监管局监管路线图的下一步
大卫•贝利 | 运营韧性:审慎监管局监管路线图的下一步 ——在UK Finance网络研讨会“运营韧性:超越”的发言 2022年4月28日发布
摘要:大卫•贝利谈到了我们与英国银行和互助会所做的增强他们应对运营扰断的韧性的工作。他研究了这些企业在该领域实施审慎监管局政策的情况。然后,他列出了PRA监管路线图的后续步骤。
引言
大家早上好,我要感谢UK Finance的同行今天邀请我发言,这是我去年9月在审慎监管局担任英国存款机构监管部执行董事后第一次有机会在UK Finance的活动上发言。
有鉴于此,我将重点介绍我们目前最高的监管重点之一,运营韧性(Op Res)。这是讨论这个话题的特别及时的时刻,因为我们的运营韧性政策发布刚过12个月。从那时起,各企业一直在向着刚过去的3月底的最后日期迈进,以识别其重要商业服务(IBS,Important Business Services),设定影响容忍度(impact tolerances),并开始绘图(mapping)和测试,以确保它们能够保持在这些影响容忍度范围内。
从2018年7月的初步讨论文件,到2019年12月咨询文件的后续行动,以及去年在实施方面的密切合作,我要感谢UK Finance及其成员对这项政策的公开参与。在审慎监管局,我们发现这种双向对话对于指导运营韧性政策的制定很有价值,本着这种精神,我今天的发言旨在让大家了解运营韧性路线图的下一步。
关注这一主题的必要性从未如此迫切。自从我们最初的讨论文件:Covid大流行;服务不断向云迁移;以及最近在乌克兰发生的可怕事件,都给(金融)部门的整体运营韧性带来了新的挑战。这包括需要在短时间内转向远程工作,解决依赖服务和第三方提供商(包括位于世界上高度混乱地区的供应商)所带来的风险,并强调越来越需要关注网络韧性。
好消息是,迄今为止,(金融)部门已显示出在面对这些挑战时的韧性。然而,尽管已经取得了明显进展,但要让整个部门的企业达到我们预期的运营韧性水平,还有很长的路要走。各种运营扰断仍然频繁发生,例如支付中断、应用程序和网站故障,以及第三方提供商的事件,突显了这一点。这些事件往往会引起客户和媒体的高度关注,强调需要有明显的韧性来支撑金融部门更广泛的信心。
今天,我想重点关注以下几个领域: • 首先,我将简要回顾我们的运营韧性政策,包括我们对企业的期望以及与其它关键政策的联系,如外包和关键第三方(CTP); • 其次,我将根据我们迄今为止对英国银行和互助会的监管工作,与大家分享一些对企业进展的初步评估;和 • 最后,我将介绍运营韧性路线图的下一步内容;这包括我们对企业应该做什么的期望,以及审慎监管局将采取的监管步骤。
审慎监管局的运营韧性政策
从这些要点中的第一点开始,我将简要回顾一下我们在运营韧性政策中对企业的期望。我会简短一些,因为我知道你们中的许多人已经非常熟悉我们的期望。
特别地,我将提出三个具体的政策期望。
i) 重要商业服务
首先是要求企业识别其IBS。在这里,我们期望企业采取整体的方法,考虑其业务的所有部分,以识别他们提供的全套服务,然后确定哪些服务应被视为“重要”。 “重要性”的定义应基于向外部最终用户提供的服务,并且在发生扰断时有可能威胁监管目标 。
ii) 影响容忍度
第二是要求企业为其IBS设定影响容忍度。在这里, 我们期望企业假设IBS将发生扰断,然后设定明确定义的、基于时间的指标和定义良好(界限清楚)的阈值,在这些指标下,扰断将威胁监管目标 。
iii) 绘图和测试
第三个方面是,在识别IBS并设定影响容忍度之后,我们期望企业进行绘图和测试,以便能够证明其保持在影响容忍度范围内的能力。企业的测试策略应包括他们在极端但合理可信场景下将面临的风险和脆弱性,然后展示他们将如何及时补救任何扰断。从这一测试中获得的经验可以帮助企业监控其运营韧性的风险,并提高其整体流程的成熟度。
政策互动
在最近的2022年3月最后期限内,各企业必须满足前两个要素,即识别IBS和设定影响容忍度。展望下一个关键的最后期限,即2025年,各企业必须证明自己能够保持在他们设定的影响容忍度范围内,这也是从高质量测试中获得保证的关键所在。
我还想强调这些期望与审慎监管局的外包和第三方风险管理政策的相互作用,这些政策与运营韧性政策同时发布。我的前同事Lyndon Nelson去年发表了一次演讲,阐述了这两项政策中的方法如何相互补充。在他的讲话中,他非常明确地强调,虽然企业可以外包服务,但其董事会和高级管理层不能外包其最终追责和对韧性的责任。
我们的运营韧性政策进一步强调了这一点。 识别IBS,确定这些服务的最大可容忍扰断水平并采取措施,使企业能够在极端但合理可信的场景下能够保持在这些容忍度范围内 ,这意味着各企业及其董事会需要详细评估他们对其他方的依赖关系。
- 我们对企业进展的初步监管评估
在简要总结了政策之后,我想分享一些关于英国银行和互助会(企业)在满足我们期望方面取得的进展的初步反馈。我们在分析和与企业接触方面仍处于相对较早的阶段,距离我们收到企业的初步回复还不到一个月。因此,我想强调的是,这一初步反馈是初步的,在现阶段,我们无法说出政策各个方面的“同类最佳”是什么样子。然而,在我们对董事会批准的IBS清单和影响容忍度的审查中,已经出现了一些重要的主题。
关于重要商业服务识别的发现
关于IBS,我们目前的观点是,企业在识别这些服务方面总体上取得了积极进展,超出了我们的预期。这很好地反映了整个部门。我们还知道,企业在确定IBS的粒度方面采取了各种各样的方法。
为了说明这一点,我将使用几个我们已经看到的不同方法的示例。这些只代表了企业提交的IBS的一小部分,但我认为这说明了这一点。因此,以支付服务为例,我们看到一些企业将所有类型的支付识别为一个统一的商业服务,而其它企业则将划分出不同类型的支付(例如通过单个系统进行的支付,包括BACS、CHAPS和快速支付)。其他企业则朝着不同的方向发展,例如区分信用卡支付服务与借记卡交易服务。
我们在其他领域也看到了类似的主题,例如与贷款相关的服务。在这方面,一些企业采取了细粒度的方法,例如列出“获得贷款”等服务和区分不同类型的贷款,而其他企业通过识别不同类型的产品和/或交易前和交易后执行之间的分割,将其IBS保持在更高的水平或朝着不同的方向发展。
重要商业服务识别指导
考虑到这种方法上的分歧,你可能有理由问我,这些分歧是否合理,“正确”的答案是什么,以及为什么监管机构不具体指明它是什么?作为回应,我认为重要的是要认识到,我们有意在政策中加入一些灵活性,以允许企业以最适合其特定商业模式的方式识别IBS。因此,完全可以预期会有一定程度的差异。
随着我们继续开展监管工作,我们将要求各企业澄清其如何纳入政策要点,明确 IBS应: • 向可识别的外部用户提供特定的结果或服务。这意味着如果结果不止一个,或者无法识别用户,那么粒度太高; • 足够细化,以区别于作为服务集合的业务线; • 处于可以为每个监管目标设定一个影响容忍度的水平; • 不在内部服务级别(粒度太低);和 • 达到董事会可以制定优先顺序和投资决策的水平。
我们期望这些设定IBS的指导方针能够让企业思考,并且随着时间的推移,方法上的差异会缩小。UK Finance等机构在促进和鼓励企业间信息共享方面也可以发挥重要作用,这反过来可能有助于在适当情况下提高一致性。最终,如果我们发现企业采取了与政策目标不一致的做法,那么我们肯定会让这些企业知道。
关于影响容忍度的发现
在影响容忍度方向,我们的工作表明,虽然再次取得了进展,但企业发现这比识别IBS更具挑战性。这在一定程度上是由于 为不同的监管目标(客户伤害或市场诚信与安全性和稳健性)定义容忍度的复杂性,对于最大的企业来说,还有财务稳定性 。
例如,我们已经看到,一些企业提交的IBS附带了客户伤害或市场诚信的影响容忍度,但没有包括安全性和稳健性,并且更高的数字不包括财务稳定性方面的影响容忍度。这些都是我们期望企业优先填补的空白。
我们还注意到, 企业定义IBS的粒度影响了他们随后定义的容忍度 。以我之前使用的付款示例,再次作为更广泛趋势的一个示例,我们看到: • 如果企业将BACS支付与其他支付类型分开,则他们为客户伤害或市场诚信以及安全性和稳健性定义的影响容忍度均在一个工作日内; • 将CHAP和快速支付列为单独IBS的企业通常将24小时作为客户伤害或市场诚信的影响容忍度,但安全性和稳健性的影响容忍度范围从两天到两周不等; • 对于国际支付,我们看到的客户伤害或市场诚信影响容忍度为24至48小时,安全性和稳健性的影响容忍度为24小时至两周;和 • 如果企业识别IBS的范围比单个支付系统更广,那么他们设定的容忍度必然更通用。
作为多年的监管人员,我经历过各种运营事件,并看到了它们对客户、市场信心、安全性与稳健性以及最终财务稳定性的影响。基于此,我的初步印象是,为支付相关IBS提交的影响容忍度范围似乎出人意料地广泛。
因此,当我们在来年进行监管审查时,我们的团队将敦促企业证明其判断的合理性,我们将在同行群体中进行更详细的比较。我认为,在这一领域,行业中的对话将有助于分享关于建模和设定影响容忍度的各种方法的信息。这将有助于个别企业了解他们在异常值的位置,并考虑这是否合适和合理。随着时间的推移,正确处理这一问题将是支持稳健情景分析以及最终支持企业韧性的关键。
关于绘图和测试的发现
我们的政策还设定了一个预期,即到今年3月底,企业将对识别IBS和设定影响容忍度完成足够的绘图和测试,但我们并未期望绘图和测试框架会得到充分发展。从我们迄今为止关于这个主题的对话来看,企业在这个阶段通常利用了现有的框架和工具。同样明显的是,企业在这些领域的思维成熟度差异很大。这可能是可以理解的,因为企业在2025年3月的最后期限之前还有时间,但这表明,在未来三年中,企业需要进行大量的进一步的工作,以融入完全一致的绘图和测试框架。
初步监管审查的总结
因此,综上所述,基于我们最初的监管工作,我们的观点是,在2022年3月的第一个截止日期之前,企业在发展其运营韧性能力方面取得了有意义的进展。但是,需要进一步的分析和发展,才能达到我们预期的标准:一个完全成熟的运营韧性框架,在该框架中,企业知道其所有IBS的影响容忍度是多少,并且知道在极端但合理可信的场景下,它们可以保持在其范围内。
- 那么,接下来怎么做?
展望监管路线图的下一步,我希望各企业能够将这些反馈纳入其运营韧性能力的持续发展中。
此外,随着我们进一步展望不迟于2025年3月底全面实施该政策的各个方面,我们预计各公企业将积极发展和改进他们的绘图和测试方法。根据这一点,企业还需要进行必要的投资,以修复通过测试发现的漏洞,确保它们能够保持在其影响容忍度范围内。
监管参与
在这段时间内,我们将确定企业参与的监管方法,因为我们将更详细地查看我们已经收到的以及即将收到的企业提交的意见。它将包括通过我们与企业和有关利益相关方的常规会议安排,以及行业范围的圆桌会议或研讨会(如本次),在跨企业的基础上讨论问题。这建立在我们迄今为止享有的双向对话的基础上,UK Finance等行业机构也有机会在促进信息共享和跨行业专业知识建设方面发挥关键作用。
在推进这项工作的过程中,我们将继续以我们迄今为止与其他监管机构采取的密切合作方式为基础;无论是在国内与金融行为监管局(FCA),还是在国际上,通过巴塞尔委员会等标准制定机构、监管联席会议以及我们与其他监管机构的双边接触。我们认识到各企业在这一主题上对协调方法的重视。
其它即将到来的相关政策的影响
最后,我还想强调对运营韧性有影响的其它正在进行的工作领域。特别是英格兰银行(银行)的网络压力测试,以及该银行、FCA和PRA与英国财政部就解决关键第三方(CTP)风险的潜在方法开展的工作。
我们在FPC 2022年3月的记录中公布了其中第一项信息,即网络压力测试。虽然这与我今天概述的主题截然不同,但我们预计这些发现将证明更广泛地思考运营韧性很有价值。
关于第二个主题,即CTP,这是一个复杂的主题,为了确保我们的想法充分了解行业前景,FCA、(英格兰)银行和审慎监管局计划在2022年发布一份关于CTP的联合讨论文件。这将是我们对运营韧性(包括第三方风险管理)整体思考的一个关键发展。它还将为这一专题的不断演变的跨部门和国际辩论提供信息。
- 结论
正如我在发言开始时所概述的那样,各企业正在努力达到我们在一年多前发布的最终政策中规定的运营韧性水平。
这一旅程已经有了一个积极的开端,我想再次感谢大家在此过程中所进行的开放和直接的参与。在企业应对下一段旅程时,在此基础上再接再厉将非常重要。根据我今天的发言,在最迟于2025年3月底实现政策成果的最后期限之前,需要有明显的发展。
您可以预期审慎监管局将继续与企业合作,既可以直接通过企业特定的监管对话,也可以通过这样的行业级活动。我们还将继续发展自己的监管和政策方法,以确保其支持这一行业级的努力。
我要感谢你们今天抽出时间,我期待着你们所有人的持续参与,包括通过今后的讨论,共同推动这项工作。
我要感谢Helen Stone和Harry Grantham-Hil在准备这些发言时提供的宝贵帮助。
原文发表于公众号”业务连续性+” | 原文链接