新冠疫情的爆发,使所有行业在这场突然打响的抗疫战争中迅速被推动着改变运营模式与工作方式。对银行业金融机构而言,其自身的风险管理能力与持续服务能力经历着远超预期的极端考验。得益于近十年来在加强资本管理和提升流动性方面持续不断的努力,以及数字化手段所支撑的运营模式调整,银行业金融机构在疫情影响下仍维持着自身的安全与稳健。
银行业金融机构在应对疫情挑战时将业务运营由传统线下模式迅速调整至线上模式,这一运营模式的改变使得银行业金融机构面临的战略风险、信用风险、流动性风险、操作风险、法律风险与系统性风险等传统风险变得更加复杂,科技风险、网络风险与数据安全等问题也日渐凸显。各类风险之间的传导和耦合增强,对银行业金融机构的全面风险管理能力提出了更高的要求。
后疫情时代,经济环境的复杂变化、机构自身的业务发展诉求及监管要求演变的不确定性,促使银行业金融机构在探索运营韧性能力建设时必须进行更全面、更深刻的思考。运营韧性是一种能力,是银行业金融机构应逐步形成并增强,以应对严重但合理的突发事件的能力,即在事件的性质、规模或范围超出预先考虑的恢复措施和假设的风险场景下,保证关键运营并从中恢复的能力。运营韧性方案需要同时考虑并满足数字化转型的业务发展要求、监管合规以及与现行风险管理框架的有效融合。
2020年以来,不断有监管机构对运营韧性提出新的要求与原则,其核心目标在于帮助金融机构深入了解“严重但可能发生的”中断事件对于业务运营有何影响,并且推动金融机构采取行动以提升重要或关键服务在面对此类威胁时的韧性,以适应不断变化的风险形势。
欧盟委员会(EC)发布了《数字化运营韧性法案》,对包括信贷机构、支付机构、电子货币机构、投资公司、投资基金经理和管理公司、保险和再保险企业、保险中介、信用评级机构等一系列受联盟监管的经济实体的数字运营韧性管理进行规范,在治理、信息和通讯技术风险管理、信息通讯事件报告、数字运营韧性测试、信息通讯技术第三方风险、信息共享等方面提出了相应要求。
国际证监会组织(IOSCO)更新并发布了《外包原则》,更新后的原则阐述了金融机构对外包活动依赖性增加的情况,并设法解决新冠疫情对外包和运营韧性的影响。
新加坡金融管理局(MAS)发布了《远程工作环境中的风险管理和运营韧性》,从控制环境变化、外包及其他第三方安排、业务连续性管理、信息治理、网络安全、信息科技资产管理、欺诈、员工不当行为、合规和监管、远程办公对人员与文化的影响等方面对远程工作模式带来的风险与运营韧性管理要求进行了阐述。
巴塞尔银行监管委员会(BCBS)《运营韧性原则》的发布,强调了运营韧性的管理须在治理、操作风险管理、业务连续性规划和测试、互联和互依赖映射、第三方依赖管理、事件管理及包括网络安全的信息与通讯技术等方面开展与机构韧性方案一致的管理举措,以实现机构整体的运营韧性提升。
与此同时,金融机构已在这场史无前例的环境巨变中逐渐意识到运营韧性是一个关键挑战,并正在采取措施以积极应对未来更多不确定的变化。
在德勤2021年亚太地区金融服务监管展望调研中,我们可以看到74%的亚太地区机构(北美:76%;欧盟:80%)认为,这场疫情的大流行已经显示出机构自身尚未做好抵御这场经济风暴的准备。在同一调研中显示,84%的亚太地区机构(北美:86%;欧盟:96%)已经或计划加强其已有的运营韧性计划,88%的亚太地区机构(北美:90%;欧盟:95%)已经或计划在未来6-12个月内进行更频繁的模拟演练。可见,全球各地金融机构均已经开始逐步启动运营韧性建设并逐步提高模拟演练的频率。
国内各银行业金融机构在遵循合规要求的基础上,不断探索符合自身发展情况与管理诉求的管理模式,在波动的经济环境下寻求生存与发展机会,但金融机构现行的风险管理框架的核心尚未聚焦于运营韧性能力的建设。国际上已有不少金融机构在德勤专业团队的帮助下,率先涉足运营韧性管理领域,以运营韧性管理建设为契机,寻求适应多变经济环境与后疫情时代业务发展要求的突破口。
对于国内银行业金融机构而言,当下是一个可以基于国际实践积极探索与学习,主动适应全球经济环境变化,建立更具前瞻性的运营韧性管理框架的好时机,亦是提升机构运营韧性的必要发展阶段。
运营韧性不是一套独立新建的管理体系,而是得益于有效的操作风险管理而形成的能力,其中,业务连续性管理、第三方服务管理、基础技术架构管理、事件管理、网络安全等均为增强运营韧性时考虑的重要因素。
参考巴塞尔银行监管委员会(BCBS)《运营韧性原则》,解构运营韧性加强要素发现,提升关键运营“对抗”扰乱的能力,攻坚点在于对现有重要管理领域间的融合贯通,达成机构整体的基于原则的一致性:
大流行病、网络事件、技术故障和自然灾害以高于历史的频率发生,未知风险不可避免,运营韧性正是提升机构面临“严重但可能发生”场景时的“抗扰乱”能力,“扰乱”场景涵盖“高频日常”及“低频极端”,动态的风险形态,也体现了对现有重要管理领域间的融汇贯穿的重要性,孤立单一的、针对某一管理领域的解决方案无法应对动态的事态发展。
德勤建议,以机构全局统一视角提升整体运营韧性,构建治理内核一致、管理脉络清晰的运营韧性机制。德勤方案框架如下图所示:
确保现有风险管理框架、业务连续性计划和第三方依赖关系管理等在组织内得到一致实施。
明确机构愿意接受的任何类型操作风险的扰乱程度,统一各管理领域的风险“感知”。当前各管理领域或设置容忍度、或设置阈值,割裂的“偏好”导致各管理领域只可“各司其职”,无法“有效联动”,贯穿、关联的容忍度是统一“感知”的关键:
盘点“关键运营”关联的管理领域与所需运行资源(人员、技术、流程、信息、设施等),梳理管理领域与运营韧性方案的支撑关系,奠定运营韧性统筹角色;明确“关键运营”与内外部运行资源的互联和互依赖脉络,精细化管理关联资源,形成更具韧性的资源响应能力。
“关键运营”的全局共识以及脉络清晰的管理领域与运行资源关系图谱,是完整“视图”的关键。在基于原则的一致性框架下,构建全局的管理关联关系视图,方可拥有全局观。
以基于原则的一致性框架向下形成辐射效应,增强业务连续性计划、第三方依赖管理、员工韧性、事件与危机管理、压力测试与场景演练、灾难恢复、网络与数据安全、新型风险管理等重点要素的运营韧性。
FullwidthSCC.Donotdelete!Thisbox/componentcontainsJavaScriptthatisneededonthispage.Thismessagewillnotbevisiblewhenpageisactivated.