林登•尼尔森演讲 | 运营韧性 – 实践成果
林登•尼尔森演讲 | 运营韧性 – 实践成果 ——在UK Finance网络研讨会“运营韧性”上的发言
2021年5月5日发布
摘要:林登•尼尔森谈到了过去25年英国金融部门监管的变化。
然后,他转向了最近的运营韧性政策。他说,我们已经解决了一些企业在咨询中提出的问题,其中包括: 审慎监管局和金融行为监管局政策之间的关系; 与巴塞尔(一套国际银行业监管条例)的联系。
他接着研究了基于结果的运营韧性监管的优点。
演讲
星期五晚上很晚了。经过漫长的一周后,我在家待了大约一个小时。电话响了。我的老板问我明天是否可以来,因为我们正在召集一个小组调查一家银行正在出现的问题。时间是1995年2月24日,银行为巴林银行。
事实上,最近我一直在思考巴林银行,并不是为了这次演讲,而是应英格兰银行(Bank)金融历史团队的要求,他们收集事件的第一手资料,以便我们可以从这些事例中学习。今天我不打算仔细讨论那些教训,但25年后,我在准备关于巴林的思考时被触动了,自那次崩溃以来,监管发生了多么深刻的变化。对许多 巴林银行和大和银行的失败是激发灵感的火花,开始了第一次认真考虑操作风险 。当然,现在很多人会指出巴塞尔委员会和其它地方早些时候的讨论,但 毫无疑问,随着巴林银行倒闭,监管工作发生了变化。重点转向系统和控制,部分远离资本和流动性 。当然,正如我们从大金融危机中所知,忽视资本和流动性也不是一个好主意。
尽管我缺乏事后看来的清晰眼光,但我确实相信,3月29日发布的运营韧性最终政策文件将引发同样深刻的变化。如果确实如此,我们应该祝贺自己,我们做出这一改变是作为协商性政策制定过程的一部分,而不是为了应对危机。我将在第一部分讨论我们的政策和最常见的反馈领域。
方法
我们的政策方法与2018年7月发布的讨论文件非常接近。正如我们已经承认,我们在这一政策领域的方法截然不同。最重要的是,它是基于原则和结果的,也是与该领域的四个主要英国金融监管机构协调制定的第一个政策:金融政策委员会(Financial Policy Committee, FPC)、金融行为监管局(Financial Conduct Authority, FCA)、作为金融市场基础设施监管者和银行监管机构的英格兰银行(Bank),以及审慎监管局(PRA)。
在我们力所能及的范围内协调英国监管机构是一项重要的政策目标。我们从行业联系人那里听到并同意, 运营韧性和网络标准的爆炸式增长有可能将企业的努力转向监管合规性并远离风险管理 。此外,行业还向我们的待办事项清单中添加了来自多个地方的要求,要求制定协调的全球标准,不仅是监管,还有监督。目前,我可能会将其放在延伸目标的标题下,但我确实认为,当我们查看最新的巴塞尔运营韧性文本时,我们正在接近比许多人想象的更高的协调水平。虽然我们的政策团队有相当大的功劳,但我应该承认,来自业界的大量积极参与对这一结果做出了重大贡献。因此,英国或许可以宣称,拥有世界上最协调的运营韧性制度之一。
尽管如此,我们仍然收到由审慎监管局(PRA)和金融行业监管局(FCA)共同监管的机构的反馈,在语言和定义上存在差异。这是否意味着监管机构在寻求完全不同的东西?我想说清楚。我们的共同意图是运行相同的制度,这项政策不应该有任何隐藏的细微差别,也不应该在执行上有任何差异。为一个监管机构所做的工作可以而且应该被用来满足另一个监管机构的要求。是的,我们不得不使用不同的语言,但这只是为了符合每个监管机构的法律起草规范,并与各自的规则手册结构相一致。
当然,有一点不同的是,审慎监管局和金融行为监管局有不同的目标,企业显然应该专注这些不同的目标。可以影响安全性和稳健性或财务稳定性的扰断可能与可以导致客户伤害的的扰断不同。如果企业拥有保护审慎监管局和金融行为监管局目标的后备系统,那就太好了—但希望每个监管机构都要求企业证明这一点。
作为巴塞尔委员会成员,我对巴塞尔关于运营韧性的文本感到非常满意。等待委员会就这一重要问题发表意见已经太久了,但正如人们所料,委员会的意见是权威和深思熟虑的。当然,我们也有人对我们的政策与巴塞尔文本之间的语言差异有疑问。同样,差异主要是由于文件的风格和目的造成的。如果查看 这两种政策的关键特征,就会发现 : 明确区分操作风险(operational risk)和运营韧性(operational resilience) ; 作为结果的运营韧性; 财务稳定性、安全性和稳健性的运营韧性透镜(以及FCA的客户); 识别企业所做的事很重要; 一个扰断容忍度或影响容忍度的概念,以定义什么是可以接受的,和 使用场景测试来确保韧性。
我相信,我们的方法将把巴塞尔原则带到英国。
去年圣瓦伦丁节(St Valentine’s Day),我在UK Finance的活动上发言的很大一部分,内容是基于结果的监管:它的好处和挑战。虽然那些日子是远离大流行的世界,我只简单地提到掌握这种方法的重要性。 企业经常告诉我们,他们想要更多基于结果或原则的监管,因为它与市场相配合,并允许企业找到最经济、最高效和最有效的方式来满足要求 。当然,由于企业没有详细的规定来检查他们的方法,挑战是没有预先保证你正在满足要求。这显然让那些担心监管机构不合理的愤怒的企业感到担忧。
突然之间,令人窒息的规则显得更有吸引力了,我们看到大量要求提供详细指导的请求。我们是否应该成立一个运营韧性委员会?我们应该有多少重要的商业服务?我可以继续下去。我想请你们这些寻求这种指导的人停下来反思一下。在监管理论中,你实际上要求的是一个“安全港“。如果我们做了X,那么监管机构就不能碰我们。 监管机构通常不喜欢提供安全港 ,讨论其中的原因会很有意思。但这不是今天要讨论的问题。但我建议,即使提供了安全港,我也会向对你说,这应该不会带来什么安慰。这是一个不断演变的风险,我们需要避免僵化和过度规定的制度,而其中关键部分(例如网络风险)实际上有一个有意思的对手试图造成伤害。 拥有安全港可能会减少你的网络保险费,但对于降低你遭受运营事故的可能性没有多大作用 。
受访者面临的另一个问题是实施时间表。我读过一些文章,说当局正在打响发令枪,这开始了12个月的实施倒计时。确实,运营韧性是当局的首要任务,也是企业的首要任务。同样真实的是,在监管机构内部,没有什么意愿让企业推迟实施。但我们知道,我们必须采取适当的措施,这就是我们将要做的。政策文件中有一个词在这里起了很大作用,那就是“成熟度”——是的,我们要求并期望企业在2022年3月31日之前完成相当多的工作,,但最终会是我们期望企业做的所有事情吗?不。我们理解并期望绘图(mapping)和测试这样的任务会随着时间的推移而发展并变得更加成熟。因此,到2022年3月31日,我希望你们能够提出一个令人信服的差距分析。你会知道你的主要缺点在哪里,因此哪些方面需要更多的工作。
在相称性的问题上,我还想表明,我们已经取消了对所有企业设定财务稳定性影响容忍度的要求。因此,目前只有我们最大的企业会被要求这样做。
我们还谈到了更多我之前描述的“家谱”。就是运营韧性如何与其它运营概念,尤其是与审慎监管局处置政策中的运营连续性相联系的。这里的关键是,企业有自由以对其有意义的方式实施我们的政策— 如果一组运营资产对于交付重要的商业服务至关重要,那么绘图(mapping)应该是详细和细粒度的。如果不是,那么这样的粒度就是错误的做法。 不拘于规定和遵循基于结果的方法的好处之一是企业不会浪费时间。这种思维方式适用于其它政策,如外包和第三方使用—我们企业能够向我们表明,他们了解自己的风险,并将精力和资源用于解决这些风险。
未来
我们认识到,在实施这一政策的道路上,预计会有许多挑战,我想在剩下的时间里谈谈其中的一些挑战。
影响容忍度
第一个是影响容忍度,以及这些将如何在不同的监管机构之间发挥作用。事实上,现在说还为时过早,因为每个监管机构还没有确定他们的最终方法。审慎监管局的关键是FPC和FCA决定设定其容忍度的位置。对于FPC来说,这将提出一个问题,即审慎监管局需要在多大程度上插入FPC的容忍度,以便审慎监管局监管的企业对该容忍度的贡献与FPC寻求的结果一致。例如,如果FPC确定支付的容忍度,我们将采取端到端的方法是合理的。接下来可能出现的情况是,首先需要恢复支付系统本身的功能,然后才能向直接成员提供服务,然后再向间接成员和客户提供服务。
商业模式
另一个挑战是商业模式的转变性质。金融部门在很大程度上妥善处理了Covid-19大流行。 事实证明,大量的商业模式可能从场所损失中恢复过来,我从2020年3月突然出现的员工在家办公的4,000家银行分行中了解到,这种模式可能非常有效 。当然,这并没有证明该部门能够免受所有冲击的影响。大流行带来的风险与其它类型的风险,特别是网络风险,将遵循不同的节奏。
当我们允许自己思考未来如何更好地控制大流行时,我们显然可以思考这一可怕事件带来的好与坏的遗产。我相信,你们会和我们一样思考如何改变工作方式以适应新常态。对许多人来说,这意味着一些技术推广的加速。我们看到,提醒我们推进数字化战略计划的企业大量增加。这显然是可以理解的,因为客户已经要求金融部门提供更多此类服务。
这种速度变化的一个真正后果是,将功能迁移到云端的计划可能已经延长了超过了五年,但现在讨论的的时间框架要短得多。与此同时,我们发布了我们的运营韧性政策,我们还发布了关于外包和第三方风险管理的政策。这些方法是互补的。我们认识到云在实现可扩展IT基础设施方面的重要性,企业需要利用其他技术(如人工智能、机器学习或其他分析技术等)的优势。此外,如果配置正确,云采用对金融机构有明显的韧性收益。
当然,也有风险。其中一些问题源于技术的复杂性,而金融机构相关技能资源的短缺又加剧了这一问题。这可能导致云解决方案配置中的缺陷和监督不足。此外,公有云市场集中于少数不受监管的大型供应商,它们的服务越来越成为替代的关键,这引发了潜在系统性风险的问题。监管和监管机构面临的挑战是在这些风险和使企业能够利用云解决方案的好处之间找到适当的平衡。
正如我之前所说,金融机构外包和第三方依赖(不仅在英国,在世界各地)的金融监管的核心原则是金融机构、其董事会和高级管理层不能外包其最终追责和责任。尽管如此,机构有时会发现有效监督云服务提供商具有挑战性。这可能是由于主要云服务提供商的主导地位,这反过来又会限制机构协商适当的合同保障和实施有效的业务连续性计划和成本战略的能力。
运营韧性政策在这里有帮助。识别重要的商业服务,确定这些服务对扰断的最大容忍度,并采取措施,使企业够在合理的场景下保持在这些容忍度范围内,为云服务和可替代性很重要的地方给予适当的关注。
我们还对外包方法进行了现代化改造。在我看来,审慎监管局保持了技术中立的立场,我们已经解决了一些具体细微差别和涉及到外包给云服务提供商的挑战。例如,数据安全、分包商和供应链的管理(后者在过去一年中一直是一个关键的网络漏洞)以及测试稳健的业务连续性和应急计划的重要性得到了重新重视。考虑到金融机构在从云服务提供商处获得适当保证时可能面临的一些合同和实际困难,我们更新的政策还承认了一系列相应的保证机制。例如,使用所谓的“合并审计”(pooled audits),即由多家企业合作评估公共服务提供商的控制环境。
这一集体行动点是我今天想要赞扬并进一步加以阐述的最后一句话。 与财务韧性相比,运营韧性是一个非常不同的风险 。不仅仅是因为监管和中央银行处理问题的工具箱的规模。在财务韧性方面,我们有一个高度发展的工具包,可以广泛使用。显然,工具包的存在与使用它的意愿不同—士气受挫的风险是众所周知的。这与运营韧性形成对比。 如果你的企业因运营事故而无法运作,就没有救助选项 。针线街(Threadneedle Street,译注:英格兰银行所在地)没有最后经营者功能。因此,我们必须找到其他工具来使用。首先,企业将寻求自力更生,但我希望,对于许多(或许是所有)企业来说,他们越来越认识到,对集体行动投资是应对他们面临的许多挑战的更好方式。CMORG(跨市场运营韧性小组)、FSCCC(金融部门网络协作中心)和FS-ISAC(金融服务信息共享和分析中心)等权威机构以及其它小组的工作表明,当行业(通常与当局)合作时,可以做些什么。作为CMORG的联合主席,我可能有一点偏见,但我对目前所取得的进展和所做的工作非常满意。
因此,从那个周五晚上的电话到现在,26年过去了。相当的旅程。让我们希望,如果类似的电话在今天或几年后发生,接电话的人将能够制定他们的韧性计划,并在合理的时间范围内保持运作,因为今天许多听众将完成这些工作。
我要感谢Lee Elliot、Orlando Fernandez Ruiz、Amy Lee和Jon Sepanski在准备发言时提供的帮助。
原文发表于公众号”业务连续性+” | 原文链接