Capitolul 1
O atenție sporită a autorităților de reglementare asupra rezilienței operaționale
Autoritățile de reglementare actualizează, consolidează și ridică standardele așteptărilor de supraveghere.
Atenția acordată de autoritățile de reglementare rezilienței nu este nouă, dar sfera sa de cuprindere și importanța acesteia au evoluat în timp ca răspuns la evenimentele disruptive, la schimbările infrastructurii pieței, la tehnologiile emergente și la transformarea priorităților de supraveghere.
Recenta atenție acordată de aceste autorități rezilienței trebuie văzută ca o evoluție continuă a standardelor și așteptărilor la nivel global în sensul asigurării siguranței, solidității și stabilității financiare a sectorului financiar.
Originea standardelor de reziliență
După atacurile teroriste de pe 11 septembrie, autoritățile de reglementare s-au concentrat inițial pe recuperarea și reluarea activității Infrastructurilor esențiale ale Pieței Financiare (FMI) pentru sistemele de plată en-gros de importanță sistemică. Sfera de cuprindere și întinderea acestor așteptări s-a extins treptat, incluzând o gamă mai largă de activități bancare (de exemplu, serviciile bancare pentru persoane fizice), precum și alte companii în afară de FMI.
Reformele post-criză
Criza financiară din 2008 a creat preocupări cu privire la reziliența și viabilitatea sectorului financiar de a rezista în condiții severe de stres și contagiune a pieței. În consecință, autoritățile de reglementare din lume s-au concentrat pe a asigura reziliența financiară – prin intermediul unei extinderi notabile a sferei de cuprindere și a rigurozității cerințelor de lichiditate, capital, recuperare și rezoluție – ca răspuns la amploarea și impactul sistemic al crizei.
Reziliența operațională și tehnologică în lumina reflectoarelor
Autoritățile de reglementare globale și-au concentrat din nou atenția pe reziliența operațională și tehnologică. Principalii factori includ: riscurile asociate cu complexitatea operațională creată de dependența din ce în ce mai mare a companiilor de tehnologiile emergente; întreruperile extrem de mediatizate ale firmelor de servicii financiare din SUA și UK și preocupările legate de vulnerabilitatea companiilor în fața atacurilor cibernetice.
Capitolul 2
Adoptarea de teme și abordări de reglementare comune
Riscurile asociate cu reziliența sunt variate, dinamice și interconectate.
Autoritățile globale de reglementare vor continua probabil să susțină principiile comune legate de reziliența întreprinderii. Diferențele de abordare există în principal pentru a incorpora riscurile efective și percepute în cadrul unei jurisdicții, și nu ca diferențe de obiective.
Riscurile asociate cu reziliența se distribuie pe mai multe dimensiuni ale riscului operațional, precum forța de muncă, procesele, tehnologia și terțele părți – creând provocări în ceea ce privește gestionarea standardelor și așteptărilor de supraveghere.
Autoritățile de reglementare din UK au adoptat o orientare mai holistică a rezilienței, pentru a acoperi această gamă largă de riscuri. Acestea au adoptat o abordare integrată, de sus în jos, care sintetizează componentele relevante ale rezilienței sub umbrela de „reziliență operațională” și o leagă mai explicit de obiectivele sale de stabilitate financiară.
În schimb, autoritățile de reglementare din SUA au adoptat o abordare mai degrabă de jos în sus, concentrată pe educație, care valorifică orientările existente și informațiile specifice la nivelul fiecărei companii pentru a înțelege practicile actuale din industrie și pentru a identifica ariile care necesită orientări suplimentare.
Capitolul 3
Șase arii afectate major de creșterea nivelului de supraveghere al autorităților de reglementare
Deși abordările și punctul de maxim interes sunt diferite, autoritățile de reglementare par să fie aliniate cu privire la principalele principii ale rezilienței.
Autoritățile de reglementare continuă să se concentreze pe a se asigura că riscurile cauzate de complexitatea operațională și interconectarea dintre o companie și ecosistemul mai larg nu se transmit pe piețele financiare, iar interesele clienților și ale participanților la piață sunt protejate în timpul întreruperilor de activitate. Cele șase arii afectate major de creșterea nivelului de supraveghere al autorităților de reglementare includ:
-
xxx
- Orientarea către servicii de afaceri complete. Autoritățile se așteaptă ca firmele să aibă o abordare de reziliență a serviciilor de afaceri care să prioritizeze reziliența celor mai importante servicii de afaceri, în loc de a se concentra pe sisteme și aplicații individuale. Criteriile pentru identificarea acestor servicii trebuie să ia în considerare impactul asupra clienților și asupra pieței și de asemenea interconectarea dintre companie și ceilalți participanți la piață.
xxx
- Toleranțe de impact bazate pe impactul asupra clienților și asupra pieței. Autoritățile se așteaptă ca firmele să stabilească toleranțe la impact, cu indicatori și rezultate clare, pentru cele mai importante servicii de faceri, pentru a cuantifica întreruperile care ar putea fi tolerate. Acestea doresc ca firmele să demonstreze că își pot respecta toleranțele la impact în variate scenarii.
xxx
- Alinierea unui set coerent de capacități. Autoritățile doresc ca firmele să depășească abordările tradiționale de gestionare a rezilienței pe silozuri și să treacă la un cadru la nivelul întregii întreprinderi, care să cuprindă o gamă cuprinzătoare de capacități necesare pentru a relua și a recupera serviciile de afaceri și pentru a îndeplini obiectivele la nivelul mai multor programe inter-relaționate (de exemplu, planul de continuitate a afacerii, planul de recuperare în caz de dezastru, managementul riscurilor cibernetice sau de terță parte).
xxx
- O abordare care să promoveze un răspuns coeziv în fața unei game variate de întreruperi. Autoritățile impun companiilor să demonstreze o mai bună integrare între protocoalele lor de managementul incidentelor și managementul crizelor și să implementeze o structură de managementul crizelor care să nu depindă de riscuri și care să poată răspunde la diferite tipuri de evenimente disruptive. Acestea se așteaptă ca firmele să crească viteza, transparența și promptitudinea comunicării cu clienții, cu piața, cu autoritățile de reglementare și cu părțile interesate interne pentru a reconstrui încrederea clienților și nivelul de încredere în piață în cazul unor întreruperi ale activității.
xxx
- O strategie și un cadru de testare integrate. Autoritățile de reglementare se așteaptă ca firmele să demonstreze reziliența completă a celor mai importante servicii de afaceri, inclusiv: oameni, procese, tehnologie, date și componente de terță parte. Firmele trebuie să poată să implementeze un cadru de testare integrat care crește treptat în ceea ce privește rigurozitatea, complexitatea și sfera de cuprindere a testelor realizate, ipotezele cheie ale testelor în condiții de stres și strategiile și care să permită îmbunătățirea continuă, prin includerea concluziilor cheie în planurile și capacitățile de reziliență.
xxx
- Supravegherea realizată de consiliul de administrație și de conducerea superioară. Autoritățile de reglementare vor ca atât consiliul de administrație, cât și conducerea superioară a unei companii să își asume un rol activ în stabilirea strategiei de reziliență a companiei, în conformitate cu strategia și apetitul la risc al companiei. Acestea se așteaptă ca atât consiliul, cât și conducerea superioară să primească rapoarte regulate privind profilul de risc de reziliență al companiei, inclusiv riscuri emergente și tendințe (specifice pieței sau specifice companiei) care pot reprezenta o amenințare pentru continuarea serviciilor esențiale de afaceri.
Capitolul 4
Pașii următori așteptați din partea autorităților de reglementare
Analiza de reglementare și accentul pus de autorități pe reziliența întreprinderii sunt preconizate a continua.
Companiile se pot aștepta la continuarea verificărilor autorităților de reglementare și la un accent tot mai mare pe reziliență. Industria așteaptă să vadă cum își vor actualiza autoritățile de reglementare din UK opinia despre reziliență în următoarea lucrare de opinie care se preconizează că va fi emisă în trimestrul IV 2019.
Autoritățile de reglementare din SUA se preconizează că își vor exprima așteptările privind reziliența sub forma unui feedback direct după verificări. Atunci când firmele răspund la întrebările autorităților de reglementare și își prezintă capacitățile actuale și viitoare preconizate, au oportunitatea de a modela agenda de reglementare și de a defini standardul cu privire la „cum arată o evaluare bună” a capacităților cheie și a domeniilor de interes.
Studiul grupului de lucru al Comisiei de Supraveghere Bancară Basel se preconizează că va articula principiile cheie ale rezilienței, care pot crea bazele pentru o abordare comună de reglementare cu privire la reziliență.
Cât de convergente vor fi autoritățile de reglementare globale cu privire la abordările rezilienței în viitor rămâne de văzut. Cu toate acestea, orice divergență a așteptărilor autorităților de reglementare ca urmare a diferențelor de jurisdicție trebuie reconciliată, în special pentru companiile globale, dată fiind natura trans-jurisdicțională a serviciilor de afaceri și a infrastructurii de sprijin.
Ce pot face companiile pentru a demonstra o mai bună reziliență a întreprinderii
Companiile pot lua aceste măsuri pentru a-și îmbunătăți și transforma cadrul și capacitățile existente:
- Evaluarea maturității: Realizarea unei evaluări a maturității capacităților actuale de reziliență, prin prisma așteptărilor autorităților de reglementare și a celor mai bune practici din industrie
- Strategie: Definirea unei strategii și a unui cadru de reziliență la nivelul întreprinderii
- Cartografierea traseului: Identificarea și cartografierea celor mai importante servicii de afaceri
- Testarea toleranței: Stabilirea și testarea toleranțelor la impact pentru cele mai importante servicii de afaceri
Rezumat
Având în vedere accentul din ce în ce mai mare pus de autoritățile de reglementare pe reziliența operațională, îmbunătățirea rezilienței întreprinderii este o cerință esențială pentru ca organizațiile să rămână competitive, să își mențină nivelul de încredere pe piață și să sprijine stabilitatea financiară. Întreprinderile trebuie să analizeze o gamă largă de abordări de reglementare în cel puțin șase domenii diferite afectate de controlul autorităților de reglementare.
