业务恢复能力不是银行的选择-它表现在它们的开销上部分大银行每年单靠网络安全耗资数以亿计,自2015年以来,总和比2015年翻了一番多。近期内该轨迹很可能继续以约10%的年增长率增长(见图1)。相当大一部分将投向云安全,反映向云基商业模型转移

高开支的理论基础是消除数据破解,数据破解代价巨大并破坏对银行关系的信任网络服务兴起Covid-19加速了这一趋势,全球网络安全风险供资接近100亿美元。信任继续是银行业的一个关键因素,需要获取信任更广泛而言,恢复能力包含业务风险管理综合视角,植根于对银行战略优先级和技术议程的正确理解

图1

网络安全金融服务开支将继续上升

输入DORA

与大多数其他行业相比,金融机构已经在网络安全上花得更多很多。多有效提高网络安全开支成本效率每年只提高5%将是一个巨大契机提升底线并评价任何银行潜在损失可达数十亿美元, 恢复能力从防守性上讲也是有道理的

对欧洲金融机构而言,即时到来数字操作恢复能力法(DORA)可能给人带来挑战

一些欧洲银行会回调内向,视新规则为创新的障碍并指向它们已经花在满足监管需求上的大部分资金可能想尽量少做

视DORA为另一次守规行为将是一个错误相反,它可以促进战略努力有效提高恢复能力银行推出浪费和低效率风险守规程序,可更好地抵御从网络入侵到流行病到供应链故障等一系列冲击

与DORA合作,欧盟继续构建对银行信息和通信技术风险的监督框架,包括对关键第三方服务提供商的监督框架快速数字创新使金融服务客户受益,但也引入与高度连通供应商景观有关的新的操作风险和系统风险德意志央行执行董事Joachim Wuermeling表示,DORA的主要目标是“向云外看似无限天空提供一致规则和监督 ” 。DORA可作为一个规范模板供其他国家控制与数位运算增相关风险

其他国家应注意欧洲一直站在新风险类别监管前列,如数据保护与隐私、数据质量以及与气候和环境相关风险数位操作应变能力正在接受更多审查,DORA可成为世界其他地方调控的蓝图

DORA覆盖

DORA与欧盟内部现有数字恢复框架和标准相重叠并统一关键内容并增加新需求其目的是统一和提升标准,以提供一致性框架

举例说,DORA大大扩展欧洲银行管理局所覆盖风险定义,除信息系统外,明确强调网络和依赖技术工具或过程DORA授权金融实体由当局考虑“重大”实施威胁引导渗透测试(TLPT),超出基本测试程序TLPT需要准备,如与监管者商定假想和确保关键第三方参与

DORA将应用到整个金融服务业-不仅是放贷和信用机构,还有支付电子货币机构、投资公司、保险和再保险公司以及第三方服务提供商

金融机构往往外包大部分IT并处理复杂架构举个例子,欧洲大央监督机构高定制IT报告,它们将一大部分关键服务外包给第三方提供商(见图2)。DORA更加注重第三方风险管理突出表明,除内部流程和系统外,有必要采取更全面的方法

图2

大银行复杂IT架构外包很大一部分IT服务

DORA目前是一个协商草稿,预期2022年晚些时候正式通过,2024年最后实施由五大领域需求组成

• 信通技术风险管理操作风险广义上包括与银行人员、流程和技术相关的风险因素金融机构必须遵守DORA数字操作恢复能力,扩大并增加粒度风险定义,包括故障、能力过剩、故障、中断、缺陷、误用和损耗
• 信通技术事件报告金融机构已经必须收集并报告重大信通技术事件并采取行动监督反馈DORA下,它们必须扩展至关键第三方内部事件我们期望这一变化大大增加问题报告量
• 数字操作恢复测试金融机构将完成测试,更广泛的威胁引导渗透测试,包括第三方服务提供商,帮助评估网络安全是否适合目的鉴于威胁性质迅速变化,这需要不断审查
• 信通技术第三方风险管理关键第三方提供者必须负责提供与DORA一致的服务,DORA甚至可能要求金融机构重新谈判合同或改变供应商有可能某些提供商提高物价以补偿DORA所涉费用
• 信息情报分享DORA鼓励金融机构自愿分享全行业网络威胁情报

DORA从欧盟成员处收到了多项拟议修正案,总体上加强并加速大金融机构需求总体说来,已经在欧洲央行范围内的公司可能比其他公司有优势(见图3)。

DORA无疑是一个挑战,但金融机构真正的考量是如何处理它-作为守法演练或战略契机

图3

当前欧洲央行以外的公司面临DORA更严峻的挑战

三大战略姿态

银行对DORA守法有三个基本选项(见图4)。一些人可能选择紧留直到DORA产生效果,然后通过一切照旧过程管理任何变化常用原理是最小化当前支出并限制分心取舍可能包括更高的操作风险,更多接触监管行动,以及更高潜力复杂问题需要在监管者密切监督下解决,或许是在强制紧凑时段上解决-所有这一切都加在一起错失良机

图4

银行可对DORA采取三大方法

其它银行将在已知漏洞领域实施策略改变,如第三方风险管理这种方法可在业务恢复能力领域产生实实在在的改善,如果现在就启动,则将提供时间适当处理这些复杂领域问题。但它不全面处理DORA问题,留下一些需求短时处理,解决办法不理想

博尔德机构将选择利用这一契机解决更深层的底层问题,这些问题今日会增加风险和成本,并努力整顿零件或所有风险和守法程序,以构建一个更强、效率更高的组织诚然,广度将增加近期复杂性并暴露内部变换屏障然而,这一方法不仅确保业务恢复能力真正适合目的,而且还通过更有效和综合解决办法提供成本效益。

银行以前曾有类似情况管理举措,如通用数据保护规程和支付服务指令2一些金融机构视这些变化为技术达标实践,创新领导人则持更具战略眼光,使他们能够开发数据分析和平台商务模型的差分能力。和DORA一起,过去落后者可能落到同一个陷阱数字变换的长期战略利益大于风险,但前提是银行使用数字技术管理风险和提高总体恢复力,同时减少冗余和繁文缛节

不急判断

许多组织会发现,它们的风险和守法操作模型远未完全遵守DORA金融机构将不得不考虑如何促进数字操作恢复能力一种成份是建立使用自动化的精敏进程另一点涉及内部功能以及外部伙伴和技术商贩之间的协作

典型地说,银行逐步建立能力,对需求分层化需求,从而使生成的守法引擎有许多重叠、复杂和昂贵组件不仅效率低下,而且由此产生的科学怪人缝合机制的怪物难以实现真正的恢复力,漏洞难以发现,甚至更难消除。

举例说,一家大银行发现,它通过整合旨在确保各种规则得到遵守、精简基础平台和充分实现自动化的不同努力,可以在产品相关信通技术预算中节省20%以上。实现这些积分需要更多识别冗余启动敏捷团队联合处理数字变换的规划和执行

银行数字技术管理员、风险管理和守法主管以及前瞻性策略设计师等都对DORA有重大决策权,不久偏向于少做少做少想至少确信第三方提供方完全遵守即时规则网络安全和其他运行恢复措施的大量支出是否有效,

对于那些容易采取更多行动但焦点狭窄者来说,挑战在于确保他们专注于正确事物,没有遗漏任何重大隐蔽风险或机会-无论是组织内部或提供者间-

第三组将致力于减少复杂性和漏洞,采取更全面的方法,减少冗余,加速自动化并建设适用操作恢复和守法引擎台词将不仅帮助组织满足DORA需求,还提高组织应变能力和效率,大大增强业务风险管理能力

执行官应花时间从整体应变角度审查当前风险和遵规程序的有效性,中心应优先采取消除关键漏洞的举措,侧重于简化和提高有效性头一波此类举措将包括不归并移动,这些移动几乎不依赖DORA的进一步调整,因此可立即启动

****

缺乏应变能力可使当值银行和Fintech挑战者易受冲击,从而阻碍增长DORA当前努力帮助解决的应对基本恢复能力挑战,将为未来盈利增长打下基础。DORA不仅提出了挑战,而且还为银行和其他金融机构提供了巨大的契机,这些机构认识到在日益动态的市场中真正适用复原力的战略价值。