文章
银行业金融机构运营韧性提升系列文章
运营韧性:银行业后疫情时代行稳致远之路
发布日期:2022年9月29日
一、前言
新冠疫情的爆发,使所有行业在这场突然打响的抗疫战争中迅速被推动着改变运营模式与工作方式。对银行业金融机构而言,其自身的风险管理能力与持续服务能力经历着远超预期的极端考验。得益于近十年来在加强资本管理和提升流动性方面持续不断的努力,以及数字化手段所支撑的运营模式调整,银行业金融机构在疫情影响下仍维持着自身的安全与稳健。
银行业金融机构在应对疫情挑战时将业务运营由传统线下模式迅速调整至线上模式,这一运营模式的改变使得银行业金融机构面临的战略风险、信用风险、流动性风险、操作风险、法律风险与系统性风险等传统风险变得更加复杂,科技风险、网络风险与数据安全等问题也日渐凸显。各类风险之间的传导和耦合增强,对银行业金融机构的全面风险管理能力提出了更高的要求。
后疫情时代,经济环境的复杂变化、机构自身的业务发展诉求及监管要求演变的不确定性,促使银行业金融机构在探索运营韧性能力建设时必须进行更全面、更深刻的思考。运营韧性是一种能力,是银行业金融机构应逐步形成并增强,以应对严重但合理的突发事件的能力,即在事件的性质、规模或范围超出预先考虑的恢复措施和假设的风险场景下,保证关键运营并从中恢复的能力。运营韧性方案需要同时考虑并满足数字化转型的业务发展要求、监管合规以及与现行风险管理框架的有效融合。
二、监管环境演变
全球金融危机之后,监管机构开始关注金融机构运营模式在应对突发事件时如何实现更稳健的服务交付。新冠疫情的爆发使得运营韧性的重要性更加凸显,促使全球监管机构对运营韧性提出更明确的要求与指引。相比财务问题,监管机构对于运营中断事件可能对金融服务行业稳定性和稳健性带来严重威胁的风险更加警惕。有鉴于此,金融机构必须着手应对不断加强的运营韧性监管审查,金融服务运营模式亦须适应这种局面。
2020年以来,不断有监管机构对运营韧性提出新的要求与原则,其核心目标在于帮助金融机构深入了解“严重但可能发生的”中断事件对于业务运营有何影响,并且推动金融机构采取行动以提升重要或关键服务在面对此类威胁时的韧性,以适应不断变化的风险形势。
欧盟委员会(EC)发布了《数字化运营韧性法案》,对包括信贷机构、支付机构、电子货币机构、投资公司、投资基金经理和管理公司、保险和再保险企业、保险中介、信用评级机构等一系列受联盟监管的经济实体的数字运营韧性管理进行规范,在治理、信息和通讯技术风险管理、信息通讯事件报告、数字运营韧性测试、信息通讯技术第三方风险、信息共享等方面提出了相应要求。
美联储(Fed)、美国货币监理署(OCC)及联邦储蓄保险公司(FDIC)联合发布了机构间文件《增强运营韧性的稳健实践》,以通过汇聚已有法规与指南的相关要求,寻求为金融机构提供在面对内部和外部运营风险时增强其运营韧性、制定全面运营韧性方案的方法。该文件强调了机构关键业务和核心业务线的运营韧性的重要性,在治理、操作风险管理、业务连续性管理、第三方风险管理、场景分析、安全与韧性的信息系统管理、监测和报告等领域的管理方案上给出了具体的实践指导。
澳大利亚审慎监管局(APRA)结合新冠疫情的影响,在《新冠:一场真实的运营韧性测试》一文中提出运营韧性能力建设的核心方案需要关注冲击管理机制的建立,针对运营控制有效性的监督、决策和规划以及保障运营控制的设计和运行有效性的关键准则。
国际证监会组织(IOSCO)更新并发布了《外包原则》,更新后的原则阐述了金融机构对外包活动依赖性增加的情况,并设法解决新冠疫情对外包和运营韧性的影响。
英国审慎监管局(PRA)重点关注银行机构及金融市场基础设施机构向外部利益相关方(例如客户、交易对手或整个金融市场)交付重要业务服务所需的运营韧性,通过发布《运营韧性监管声明》明确了需要采取包括识别重要业务服务、内外部资源映射、设定扰乱容忍度、执行场景化压力测试、完成自评估共5个关键步骤,以实现运营韧性,并要求机构需要在2025年3月前满足相应要求。
新加坡金融管理局(MAS)发布了《远程工作环境中的风险管理和运营韧性》,从控制环境变化、外包及其他第三方安排、业务连续性管理、信息治理、网络安全、信息科技资产管理、欺诈、员工不当行为、合规和监管、远程办公对人员与文化的影响等方面对远程工作模式带来的风险与运营韧性管理要求进行了阐述。
巴塞尔银行监管委员会(BCBS)《运营韧性原则》的发布,强调了运营韧性的管理须在治理、操作风险管理、业务连续性规划和测试、互联和互依赖映射、第三方依赖管理、事件管理及包括网络安全的信息与通讯技术等方面开展与机构韧性方案一致的管理举措,以实现机构整体的运营韧性提升。
总体来看,国际监管环境演变有如下趋势值得关注:
- 在疫情蔓延及经济低迷背景下,监管在关注以资本充足及流动性为重点的金融韧性的同时,开始强调由操作风险管理体系贯穿的运营韧性;
- 金融危机的阴影下,多年来强调经营稳健,当前环境下,强调运营韧性,“经营”到“运营”,体现的是在持续经营前提下,须做到持续交付;
- 危机冲击当下,除资本及流动性的恢复,应对措施延展到技术及第三方关系支撑,伴随而来的是对新形态风险的关注,如软件供应链安全、远程办公安全等。
近十年来,国内监管机构陆续出台了包括《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《银行保险机构信息科技外包风险监管办法》、《银行业信息系统灾难恢复管理规范》等在内的监管指引与行业标准,引导银行业金融机构逐步形成完善的风险管理体系,增强风险场景下的处置能力。但国内监管机构的风险管理要求与关注重点目前仍较为分散,尚未形成聚焦韧性建设的监管指导意见。
三、行业领先实践
与此同时,金融机构已在这场史无前例的环境巨变中逐渐意识到运营韧性是一个关键挑战,并正在采取措施以积极应对未来更多不确定的变化。
在德勤2021年亚太地区金融服务监管展望调研中,我们可以看到74%的亚太地区机构(北美:76%;欧盟:80%)认为,这场疫情的大流行已经显示出机构自身尚未做好抵御这场经济风暴的准备。在同一调研中显示,84%的亚太地区机构(北美:86%;欧盟:96%)已经或计划加强其已有的运营韧性计划,88%的亚太地区机构(北美:90%;欧盟:95%)已经或计划在未来6-12个月内进行更频繁的模拟演练。可见,全球各地金融机构均已经开始逐步启动运营韧性建设并逐步提高模拟演练的频率。
国内各银行业金融机构在遵循合规要求的基础上,不断探索符合自身发展情况与管理诉求的管理模式,在波动的经济环境下寻求生存与发展机会,但金融机构现行的风险管理框架的核心尚未聚焦于运营韧性能力的建设。国际上已有不少金融机构在德勤专业团队的帮助下,率先涉足运营韧性管理领域,以运营韧性管理建设为契机,寻求适应多变经济环境与后疫情时代业务发展要求的突破口。
对于国内银行业金融机构而言,当下是一个可以基于国际实践积极探索与学习,主动适应全球经济环境变化,建立更具前瞻性的运营韧性管理框架的好时机,亦是提升机构运营韧性的必要发展阶段。
四、德勤金融运营韧性方案——基于原则的一致性:现有重要管理领域的统筹运转
运营韧性不是一套独立新建的管理体系,而是得益于有效的操作风险管理而形成的能力, 其中,业务连续性管理、第三方服务管理、基础技术架构管理、事件管理、网络安全等均为增强运营韧性时考虑的重要因素。
参考巴塞尔银行监管委员会(BCBS)《运营韧性原则》,解构运营韧性加强要素发现,提升关键运营“对抗”扰乱的能力,攻坚点在于对现有重要管理领域间的融合贯通,达成机构整体的基于原则的一致性:
大流行病、网络事件、技术故障和自然灾害以高于历史的频率发生,未知风险不可避免,运营韧性正是提升机构面临“严重但可能发生”场景时的“抗扰乱”能力,“扰乱”场景涵盖“高频日常”及“低频极端”,动态的风险形态,也体现了对现有重要管理领域间的融汇贯穿的重要性,孤立单一的、针对某一管理领域的解决方案无法应对动态的事态发展。
德勤建议,以机构全局统一视角提升整体运营韧性,构建治理内核一致、管理脉络清晰的运营韧性机制。德勤方案框架如下图所示:
1. 建立基于原则的一致性框架
确保现有风险管理框架、业务连续性计划和第三方依赖关系管理等在组织内得到一致实施。
1.1 设定整体风险偏好下的扰乱容忍度
明确机构愿意接受的任何类型操作风险的扰乱程度,统一各管理领域的风险“感知”。当前各管理领域或设置容忍度、或设置阈值,割裂的“偏好”导致各管理领域只可“各司其职”,无法“有效联动”,贯穿、关联的容忍度是统一“感知”的关键:
1.2 “关键运营”识别
术语“关键运营”以联合论坛2006年业务连续性高级原则为基础。它包括金融稳定委员会(FSB)定义的“关键职能”,并扩展到包括活动、流程、服务及其相关支持资产,它们的扰乱对机构持续运营或其在金融体系中的作用产生重要影响。某运营是否“关键”取决于机构的性质及其在金融体系中的作用。机构的扰乱容忍度将应用到关键运营层面。明确“关键运营”,并达到机构整体层面的一致,是统一“视角”的关键,各管理领域韧性增强以保障“关键运营”为出发点。
1.3 运营资源互联与映射关系梳理
盘点“关键运营”关联的管理领域与所需运行资源(人员、技术、流程、信息、设施等),梳理管理领域与运营韧性方案的支撑关系,奠定运营韧性统筹角色;明确“关键运营”与内外部运行资源的互联和互依赖脉络,精细化管理关联资源,形成更具韧性的资源响应能力。
1.4 运营资源关系视图构建
“关键运营”的全局共识以及脉络清晰的管理领域与运行资源关系图谱,是完整“视图”的关键。在基于原则的一致性框架下,构建全局的管理关联关系视图,方可拥有全局观。
2. 自顶向下的运营韧性落地
以基于原则的一致性框架向下形成辐射效应,增强业务连续性计划、第三方依赖管理、员工韧性、事件与危机管理、压力测试与场景演练、灾难恢复、网络与数据安全、新型风险管理等重点要素的运营韧性。
运营韧性的建设并非一蹴而就,接下来我们将在本系列文章中持续分享德勤在运营韧性方案设计与能力建设方面的相关解决方案,详细介绍运营韧性建设的核心要点与银行业金融机构可相应采取的措施。下一篇文章,我们将分享运营韧性提升实践方案,敬请关注。