作者 | 黄晶 供职于中国人民银行长寿中心支行,黄兵涛 供职于中国人民银行巴南中心支行,何玲枢 供职于中国人民银行重庆营业管理部
责任编辑 | 杨琪
编者按:银行业金融机构(以下简称“银行机构”)作为重要的金融行业参与者,在金融体系中提供支付、转账等重要服务,其安全运营对金融稳定至关重要。本文对相关国际组织和欧洲、美国、英国、澳大利亚、新加坡、中国香港等国家和地区在银行业运营弹性管理的规则和做法上进行了研究,并对我国的银行业运营弹性管理提出相关建议。
01
银行业运营弹性管理的国际通用规则
银行机构的运营弹性受运营风险影响,如自然灾害、技术故障、网络攻击等,这些风险都将影响银行机构的稳健运营。常态化疫情防控以及银行机构对第三方机构(以下简称“第三方”)的日益依赖,更增加了银行机构的运营不确定性。
巴塞尔银行监管委员会于2021年3月发布了《运营弹性原则》,将运营弹性定义为银行在中断情况下提供关键业务的能力,并针对银行的运营弹性提出了七大原则:一是利用现有的治理结构,建立、监督和实施有效的运营弹性方法,使其能够应对和适应破坏性事件,并从中恢复和学习,以尽量减少破坏性事件对提供关键业务的影响;二是利用各自的运营风险管理职能,识别内外部威胁以及人员、流程和系统的潜在故障,及时评估关键业务的薄弱环节并管理由此产生的风险;三是制定业务连续性计划,并在一系列严重但合理的情况下进行业务连续性演练,以测试在中断情况下提供关键业务的能力;四是一旦确定了关键业务,应根据运营弹性方法,明确关键业务所需的内外部联系和相互依赖关系;五是对包括但不限于第三方或相关实体的依赖关系进行管理,以保障提供关键业务的能力;六是制定并实施应对和恢复计划,以根据风险偏好和中断容忍度,管理可能破坏关键业务的事件,并通过总结经验和吸取教训对该计划进行不断完善;七是确保网络安全领域在内的有弹性的信息通信技术(以下简称“ICT”)要定期进行测试,纳入态势感知(指大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展态势的顺延性预测,而最终目的是进行决策与行动),并为风险管理和决策过程及时传递相关信息,以充分支持和促进关键业务的运营。
02
各国及地区银行业运营弹性管理做法
确定金融机构关键业务,并设置中断容忍度。英国、澳大利亚、中国香港均要求金融机构要确定其自身关键业务,并对关键业务设置中断容忍度。英国发布运营弹性相关规定,要求金融机构要对重要业务服务(指金融机构提供服务,这些服务如果中断,可能会对金融机构安全性和稳健性构成风险,如果该机构是其他具有系统重要性机构(O-SII)或者由O-SII控制,还会对英国的金融稳定构成风险)设置冲击容限(指按时间指标和任何其他相关指标衡量的重要业务服务或重要集团业务服务的最大可容忍中断水平),冲击容限必须规定其重要业务服务中断所能容忍的时间长度或时间点,以及任何其他相关指标。在设置冲击容限时,金融机构应考虑到业务中断时可能出现的情况,可不考虑发生业务中断的原因或可能性,同时还要考虑一天和一年中不同时间点的运营情况或其他更广泛的因素,这些因素可能会导致重要业务服务中的活动明显增加。当为单个重要业务服务设定冲击容限时,金融机构应考虑到其他相关重要业务服务故障的影响。同时要求金融机构进行定期情景测试,来测试其在运营发生严重但合理的中断时保持每项重要业务服务的冲击容限的能力。
澳大利亚审慎监管局《运营风险管理草案》要求金融机构对关键业务设置容忍度,要从可容忍业务中断最长时间、因中断而接受的数据最大丢失程度、在中断期间根据替代安排运营时将保持的最低服务水平三方面内容来进行设置。审慎监管局是可以审查并更改金融机构关键业务的容忍度,当审慎监管局发现了高风险或重大弱点,其可以为金融机构设置容忍度。
中国香港金融管理局《运营弹性监管手册》要求金融机构在确定关键业务时考虑业务中断是否会影响金融机构的生存能力及在中国香港金融体系中作用,所确定的关键业务的数量要与机构业务的规模、性质、复杂性相称。对关键业务设置的中断容忍度应至少包括时间性指标,也可以包括其他定量指标(如交易量或价值)和定性指标(如声誉或法律影响)的组合。在设置中断容忍度时金融机构应考虑自身运营能力,要意识到在不同的商业周期或由于季节性因素,其运营能力可能会有所不同;同时,还应考虑到一系列严重但可能发生的影响其关键业务的情景。
关注金融机构远程办公的运营风险。新加坡金融管理局和新加坡银行协会联合发布《在远程工作环境中的风险管理和运营弹性》,以此减少金融机构在疫情流行的背景下采用远程办公而带来的运营风险。金融机构在远程办公过程中主要面临运营、技术和信息安全、欺诈和员工不当行为以及法律和监管方面等风险,针对以上远程办公风险,该文件提出了九项措施:一是金融机构应审查远程工作安排,以确定控制环境和程序变化带来的风险;实施补偿性控制,在董事会和高级管理层批准的风险偏好声明范围内管理已确定的风险;采用稳健的变更管理程序,使员工理解并按计划实施新的程序和控制。二是金融机构应评估外包或者其他第三方供应商在远程工作方面的风险状况变化,实施适当的保障措施和应急计划,以确保服务的连续性。三是金融机构应考虑员工在各地的大规模分布,加强业务连续性战略和程序。这包括为恢复小组成员实施应对策略,以迅速恢复职能。四是金融机构应评估远程办公过程中信息丢失的风险和影响,并要对此进行加强预防和检测控制。五是金融机构应实施控制措施,以确保工作人员的远程工作基础设施(包括个人设备)的安全。六是金融机构应继续采取稳健有力的技术风险管理措施,以管理为促进大规模远程工作而部署的硬件和软件。七是金融机构应及时了解远程工作中不断变化的欺诈类型,并实施适当的预防和检测控制,同时还要实施指导方针来确定在哪些情况下需要进行面谈、实地考察和对原始文件进行核实。八是金融机构应采用并传达适当的激励结构和后果管理框架,以推动工作人员在远程办公时保证其行为正确,同时,加强对高风险工作人员的活动和交易的监控。九是金融机构在制定远程工作实践指南时应考虑法律和监管方面的影响,这包括关于人力资源管理的做法和法律合同的制定,特别是在交易和活动涉及外国管辖区的情况下。同时,该文件在九项措施下提出了短期、中长期、预防等具体措施,以更好地指导金融机构提高远程办公的运营弹性。
制定运营弹性框架。中国香港金融管理局在2022年5月发布的《运营弹性监管手册》中要求,金融机构要制定运营弹性框架,以此识别和减轻可能威胁关键业务运行的风险,在发生运营中断后能够继续提供关键业务,及时恢复正常运营,并从中断事件中吸取经验教训,进而提高金融机构的运营弹性。运营弹性框架由设置运营弹性参数、确定关键业务相互联系和相互依赖的关系、准备和管理关键业务运行的风险、情景测试、应对中断事件并从中恢复等五个部分组成,金融机构的董事会及高级管理层应积极参与运营弹性框架的建立、实施和监督。此外,金融机构应积极运用从框架的实施和实际事件的管理中获得的经验来不断提高框架的有效性。
加强对第三方运营弹性的关注度。近年来,金融机构对第三方提供的技术服务日益依赖,其稳健运营也与第三方的运营弹性紧密相关。当第三方出现运营风险,若不及时处理,该风险有可能会迅速发酵,不仅会影响自身运营,也会对金融机构的运营造成消极影响。各国及地区采取了一系列措施减轻其对金融机构的影响。英国央行等监管机构制定《运营弹性:英国金融部门的关键第三方》,该文件提出了监管机构对关键第三方的潜在措施:识别潜在的关键第三方、制定关键第三方的最低弹性标准、以及对关键第三方进行弹性测试。
欧盟委员会发布《数字运营弹性法案》,以此来解决对关键的ICT第三方服务提供商(包括云计算服务、软件、数据分析和数据中心的提供商等)在金融行业中的突出作用可能引发的系统性风险的担忧。该法案为金融实体(包括信贷和支付机构、电子货币机构和加密资产服务提供商等)管理ICT和网络风险提供了一套非常具体的标准、模板和指示,主要包括ICT风险管理、ICT相关事件管理、分类和报告、数字运营弹性测试、ICT第三方风险管理、信息共享安排五个方面,以此让金融实体能够防范、应对和恢复ICT事件的影响,从而继续提供关键和重要的功能,并尽量减少对客户和金融系统的干扰。
中国香港金融管理局要求金融机构制定适当的业务连续性和应急计划程序和退出战略,以便在第三方发生故障或中断,并可能影响其提供关键业务时保持其运营弹性。美联储、货币监理署和联邦存款保险公司发布《加强运营弹性的良好实践》中提到金融机构(指合并资产总额超过2500亿美元的国内银行或总资产超过1000亿美元且具有其他风险特征的银行)在进行业务连续性测试时,应测试关键业务与核心业务线对第三方的依赖关系,并在可能的情况下,金融机构应参与与关键业务和核心业务线(指在金融机构看来,一旦失败会造成收入、利润或特许经营价值重大损失的业务线,包括相关的运营、服务、功能和支持)相关的第三方的灾难恢复和业务连续性测试。同时,也从七个方面指导金融机构加强对第三方的风险管理:一是应识别并分析关键业务和核心业务线的第三方风险;二是通过正式协议与第三方建立关系,根据其服务要求和对中断的容忍度来管理和监督第三方的表现;三是通过尽职调查、合同谈判、持续监控和终止合同等方式解决影响金融机构运营弹性的关键第三方问题;四是核实第三方是否有健全的风险管理做法和控制措施,来识别和减轻对运营的危害,并符合金融机构的中断容忍度;五是识别为其提供公共和关键基础设施服务的第三方的风险,具有管理这些服务中断的程序,并适时进行更新。六是如果当前的第三方无法继续提供服务,可确定其他可以提供帮助的第三方。七是定期审查系统和控制的报告以及测试结果的摘要或第三方的其他同等评估。
重点关注网络风险。网络攻击由于具有隐匿性、复杂性、快速传播性、持续性等特点,难以管理。一旦遭受网络攻击,不仅仅影响金融机构自身运营,还可能会影响金融系统,对金融市场的稳定造成威胁。因此,网络风险已成为金融机构运营弹性管理新的关注点,并需要采取一系列措施来提高金融机构的网络弹性。一是成立网络安全小组,制定关于网络风险管理的相关制度。如新加坡金融管理局在2017年9月成立了网络安全顾问小组,就应对不断变化的网络威胁环境的策略向新加坡金融管理局和新加坡金融部门提供建议。同时,新加坡金融管理局发布了《网络卫生通知》,规定了金融机构必须采取的措施,以减轻日益增长的网络威胁风险。二是对金融机构进行网络弹性测试,如英国央行的CBEST测试(指采用以情报为导向的渗透测试方法,模拟网络攻击者意图破坏重要业务服务以及提供这些服务的技术资产、人员和流程的行为),以及欧洲央行的欧洲红队测试框架(是一个通用框架,对实体的关键实时生产系统提供受控、定制、智能化的红队测试),以此增强金融机构识别和抵御网络攻击的能力。三是建立网络事件报告框架,对银行机构的网络弹性进行审查和检查。如欧洲央行对银行机构实施网络事件报告框架,要求机构在重大网络事件发生两小时内报告,同时,针对银行机构网络安全,会持续进行非现场监督和风险评估,对网络安全进行专题和横向审查以及有针对性地现场检查。此外,欧洲央行还将网络风险的管理纳入了2022年至2024年银行监管重点,并在监管重点中提到将逐步加强对银行网络抗风险能力的评估,并积极跟进在该领域存在重大缺陷的银行。
03
对国内银行机构加强运营弹性的建议
我国银行机构的运营较为稳定,但历史上曾出现因系统、演练、数据库故障等因素而造成运营中断事件。如,某银行可能由于系统升级的原因,造成了系统故障,故障发生时长较短,但因影响客户办理柜台业务,引发舆情关注;再如,某银行核心数据库出现故障,导致存取款、网银、ATM等多项业务中断长达30多个小时。可见,我国银行机构运营弹性管理有待加强,具体可从以下四个方面切入。
一是确定自身关键业务,设定中断容忍度。国内银行机构要对自身关键业务进行确认,并对其进行中断容忍度设置,在设置中断容忍度时要考虑可容忍业务中断最长时间、自身运营能力等相关因素,并根据中断容忍度采取合理措施,保证银行机构运营中断时对每项关键业务的影响能保持在其承受范围内。
二是设置运营弹性框架,重视远程办公对自身运营的影响。银行机构可根据自身情况,设置运营弹性框架,并根据执行情况和国内外中断事件的经验教训,对框架进行调整,以此来保证运营框架的有效性,提高银行机构的运营弹性。除此之外,在常态化疫情防控的背景下,国内银行机构要关注远程办公所带来的运营风险,将远程办公纳入运营弹性管理,并制定好具体措施。
三是加大对第三方运营弹性管理。一是制定相关规定,解决因第三方的运营问题对银行机构自身造成的运营中断问题。二是针对第三方发生故障或中断可能对提供关键业务产生影响的情况,银行机构要制定适当的业务连续性和应急计划程序和退出战略。三是银行机构可参与与关键业务相关的第三方的灾难恢复和业务连续性测试。
四是加强对网络风险的管理。当前,随着互联网以及云计算、大数据、人工智能、区块链等为代表的新一代信息技术的飞速发展,银行机构业务服务正在向数字化进行转型。银行机构在数字化转型的背景下,能更好提高自身运营效率,提升了金融服务经济发展的质效。然而,这也会给银行机构带来了网络安全问题。应加强对银行机构的网络风险管理,成立专题小组,制定相关措施,开发网络弹性测试工具,加大对银行机构的网络弹性测试,并对银行机构的网络弹性进行审查和检查,增强银行机构抵御网络攻击的能力,保证其运营弹性。
热门跟贴