Navegando pelo caminho para a resiliência operacional: um marco crítico para empresas financeiras
Antecedentes
O ambiente regulatório, conforme descrito em Supervisory SS1/21 (123 MONTAGENS: Toler de impacto: Toler de impacto, conforme descrito em Supervisory SS1/21 ((213 anos (MONTAGEMS: Capacidade de permanecer dentro das tolerâncias de impacto para todos os seus importantes serviços comerciais (IBS). Este artigo explora os principais elementos e desafios envolvidos no atendimento a esses requisitos de resiliência operacional. Em seguida, eles devem construir um plano claro para identificar e remediar vulnerabilidades que possam impactar a entrega de seus IBs. Isso envolve uma compreensão abrangente dos recursos necessários para cada SII e testes de execução usando cenários graves, mas plausíveis, para identificar qualquer vulnerabilidade. Os planos são então desenvolvidos para remediar essas áreas. As empresas devem considerar que as interrupções relacionadas a cibernéticas são destacadas como cenários essenciais para testes para garantir a capacidade de resistir e se recuperar de tais incidentes. De acordo com o SMF 24, o diretor de operações deve ter responsabilidade geral pela implementação de políticas de resiliência operacional (Autoridade de Regulação Prudential, março de 2021). Sua liderança é essencial para garantir que o plano não seja estabelecido apenas, mas efetivamente implementado e melhorado continuamente. As lições aprendidas com a resposta a interrupções operacionais, seja por incidentes cibernéticos ou outros desafios, são inestimáveis para refinar e fortalecer a estrutura geral de resiliência. As empresas devem considerar como demonstrarão a melhoria contínua na maturidade e na sofisticação de seus sistemas, processos e capacidades de gerenciamento de resiliência operacional. Isso significa que toda a área de uma empresa que apóia a entrega de IBSS precisa ser coberta por uma única abordagem de resiliência operacional uniforme e submetida a um nível apropriado de teste. A conformidade com a declaração de supervisão SS2/21 (terceirização e gerenciamento de riscos de terceiros) é crucial para mitigar os riscos associados a compromissos de terceiros, incluindo aqueles que fornecem ou utilizam recursos de computação em nuvem. As empresas devem notificar o Pra de arranjos materiais e considerar ativamente o impacto das relações de terceirização e de terceiros na SII, alinhando-se com as diretivas do SS1/21. Além disso, as empresas devem garantir que estão considerando a interação adequada entre os requisitos de SS1/21 e SS2/21, de modo que sua abordagem para gerenciar terceiros atenda aos requisitos de ambas as declarações de supervisão.
Building a clear plan
To prepare for the March 25 deadline, financial firms must create or review their list of IBS. Next they must build a clear plan to identify and remediate vulnerabilities that could potentially impact the delivery of their IBS. This involves a comprehensive understanding of the resources required for each IBS and running tests using severe, yet plausible scenarios to identify any vulnerabilities. Plans are then developed to remediate these areas. Firms must consider cyber-related disruptions are highlighted as essential scenarios for testing to ensure both the ability to withstand and recover from such incidents.
Role of boards and senior management
Boards and senior management play a pivotal role in overseeing the delivery of their firms’ operational resilience programmes. Under SMF 24 the chief operating officer should hold overall responsibility for implementing operational resilience policies (Prudential Regulation Authority, March 2021). Their leadership is essential in ensuring that the plan is not only established, but effectively implemented and continually improved. The lessons learned from responding to operational disruptions, whether through cyber incidents or other challenges, are invaluable in refining and strengthening the overall resilience framework.
Evolving maturity and sophistication
Over time it is anticipated that regulation in this area will become more prescriptive. Firms must consider how they will demonstrate the continued improvement in maturity and sophistication of their operational resilience management systems, processes and capabilities.
International collaboration
Recognising the global nature of the financial industry, the regulatory framework emphasises collaboration with home state supervisors for subsidiaries and branches. This means that all area of a business that support the delivery of IBSs need to be covered by a single, uniform operational resilience approach and subjected to an appropriate level of testing.
Third-party engagement
As financial firms increasingly rely on third-party providers (who may themselves have dependencies and undergo significant change), the importance of actively managing these relationships cannot be overstated. Compliance with supervisory statement SS2/21 (outsourcing and third-party risk management) is crucial in mitigating the risks associated with third-party engagements, including those providing or utilising cloud computing capabilities. Firms must notify the PRA of material arrangements and actively consider the impact of outsourcing and third-party relationships on IBS, aligning with the directives of SS1/21. Furthermore, firms must ensure that they are giving adequate consideration to the interplay between the requirements of SS1/21 and SS2/21 such that their approach to managing third parties meets the requirements of both supervisory statements.
RTGS Core Ledger Substituição
A substituição do Ledger de Liquidação bruta em tempo real (RTGS) programada para junho de 2024 adiciona outra camada de complexidade ao cenário de resiliência operacional. Todos os titulares de contas RTGS, principalmente os participantes dos esquemas de pagamento, devem gerenciar essas alterações adequadamente. A participação nos testes do Banco da Inglaterra e as atividades de Go-Live tornam-se imperativas para garantir uma transição perfeita. Ao abraçar os princípios descritos nas declarações de supervisão, gerenciando diligentemente, o gerenciamento de terceiros e navegando na próxima substituição do RTGS Core Ledger, as instituições financeiras podem solidificar sua resiliência operacional, protegendo sua capacidade de fornecer continuamente serviços comerciais cruciais. A colaboração entre reguladores, conselhos e gerência sênior será fundamental para moldar um futuro resiliente para o setor financeiro. Ele fornece informações sobre onde podem existir lacunas de resiliência operacional, destacando IBS que talvez ainda estejam fora das tolerâncias de impacto e onde há risco para a entrega. A ferramenta também fornece um roteiro para melhorar quaisquer lacunas. Março de 2021. "Resiliência operacional: tolerâncias de impacto para serviços comerciais importantes".
Summary
With the operational resilience deadline just over a year away, a proactive approach is essential for firms to meet regulatory requirements. By embracing the principles outlined in the supervisory statements, managing third-party engagements diligently, and navigating the upcoming RTGS core ledger replacement, financial institutions can solidify their operational resilience, safeguarding their ability to continually deliver crucial business services. The collaboration between regulators, boards, and senior management will be instrumental in shaping a resilient future for the financial sector.
For firms that are currently implementing SS1/21 Be UK have a proven health check tool which is typically executed in four to six weeks. It provides insight into where operational resilience gaps may exist, highlighting IBS that maybe still be outside impact tolerances and where there is risk to delivery. The tool also provides a roadmap to ameliorate any gaps.
Click here to download a copy
References
Prudential Regulation Authority, Bank of England. March 2021. “Operational resilience: Impact tolerances for important business services.” Declaração de supervisão | SS1/21 15.
Sobre os autores
George é um gerente experiente no setor bancário de varejo, tecnologia e riqueza privada que entregou projetos para o Reino Unido e os bancos europeus, 170, 170, 170, 170, 170, 170, 170, 170, 17h5, 170 = Zrevadores, gestores de patrimônio, gerentes de ativos e serviços de ativos e serviços de serviço do Reino Unido e do Reino Unido. Regulação
