摘要
几十年来,金融机构(FI)使用了一系列第三方服务。许多国家和地区都针对此类服务制定了监管政策,这些政策通常将责任在金融中介机构与第三方服务机构间进行分配,以化解相关的风险。然而最近,随着云计算和数据服务在一系列金融机构功能中的应用,金融监管部门可能会面临新的问题。这些问题源于云计算提供的服务的规模之大,以及全球范围内为数不多的那些主要企业。本报告评估了FSB迄今为止在该领域中的研究,概述了金融稳定性的考虑因素以及可供国际讨论的议题。这也是对该领域早期分析的延续。目前,FSB已明确:金融机构使用云服务尚不会带来立即的金融稳定风险。
本报告利用了与公共机构和私营部门(银行、保险公司、资产管理公司、云服务供应商)的交流,以及学术、公共资源和专有数据。全球个不同规模金融机构的调查数据表明,受访者更倾向于依赖少数主要云服务供应商。尽管受访者指出其平均至少使用两个供应商——使用了不同的供应商,可能是出于需要使用不同的应用程序和风险管理目的,但在全球范围内的调查中最常被使用的,还是只有四个供应商。这四个供应商,也是在北美、拉丁美洲、欧洲以及亚太地区被受访者提及最多的供应商。其他一些供应商被认为具有区域重要性。然而,值得注意的是,这些数据没有显示金融机构依赖云服务的规模或关键程度,并且FSB也未分析金融机构或云服务供应商的风险缓解措施,以限制企业或金融系统的风险。与金融机构的交流表明,金融机构“核心”或关键系统对云服务的使用量相对较低,但使用率有所提高。然而,一些论文强调,即使是部分迁移到云,也可能会成为现有金融机构数字化转型过程中的一个里程碑。
与以前的技术(例如数据中心本地化)相比,云服务可能会带来许多收益。通过创建地理位置分散的基础架构,并在安全性上增加投入,云服务供应商可以为单个机构提供算力的弹性化的提升。通过降低初始投资成本,并使机构摆脱其自身基础设施的更换周期,第三方云服务可使机构更迅速地扩大规模、提高自动化程度并更加灵活地运营。云服务供应商还将从规模经济中获益,并最终降低客户的成本。
同时,使用第三方服务供应商(包括云服务)的金融机构可能会有风险。第三方服务供应商的操作事故,可能会导致服务的临时中断,从而影响金融机构;而新工具的错误配置,也可能会导致数据泄露。由于金融机构和监管部门在访问权限、审计要求和信息管理方面的限制,其在评估服务交付是否符合法律和监管要求时,以及研判接受第三方服务的公司的风险承受能力时,其评估的准确性可能会下降。此外,一些法律限制也可能使监管部门无法访问第三方持有的关键数据,从而使其监管能力下降。
例如,如果关键的银行数据系统位于第三方系统中,则监管当局在银行清算结业时,在行使逐级深入的监管介入权(译者注:监管部门有权基于银行的资本充足率采取逐级介入的监管措施)时可能会遇到困难。如果没有很好地阐明和理解共同的任务,则可能导致金融机构在降低和监管风险方面出现投资不足的情况。此外,如果金融机构未在公司层面适当地管理第三方风险,那么在大规模经营失败或破产的情况下,第三方服务的集中度可能会导致系统性影响。在这一方面,与其他重要的第三方服务供应商类似,全球性的云服务可能会带来金融稳定性风险。
最后,在供应商的监管和系统性风险管理中,存在许多跨境问题。由于使用云服务不会减少金融机构的责任,因此,监管部门和金融机构应确保在进行任何重大改变之前,他们了解第三方提供的云服务的特征,并在使用它们时维持良好的治理。与此同时,数据跨境应用时,还应当考虑本地化规则的影响,并为监管和合规所需要的数据留出访问接口。
许多现有的适用于外包和第三方服务的国际标准,也都适用于云服务。标准制定机构(SSB)在这一领域正在做进一步的工作。展望未来,各监管部门将就解决这些问题的现行方法进行进一步的讨论。下一步值得评估的内容有:(i)监管标准和监督措施是否足够;(ii)在考虑金融机构使用云服务时,监管机构间进行协调与合作的能力,以及互相共享信息的可能;以及(iii)关于云环境中的交互操作性和数据可移植性的标准化工作。
1.介绍
金融机构(FI)使用一系列第三方服务。实际上,金融机构以及监管部门使用外包服务的现象比较普遍,并且许多国家和地区都制定了有关此项服务的政策,这些政策通常强调外包活动、职能和服务并不能免除金融机构承担的管理风险和履行监管义务的责任。并且国际机构就与第三方服务供应商相关的风险(包括网络风险和弹性)也提供了指导。同时有其他的行业标准和国际标准适用于云服务。最近,云计算和数据服务的第三方服务供应商对金融机构的重要性迅速增强。
金融稳定委员会(FSB)先前的工作强调,这种增长可能给当局带来新的挑战。管理来自第三方供应商的经营风险是FSBFinTech问题组报告中确定的三个问题之一。FSB在-年期间进行了进一步分析,作为其市场结构报告的一部分。总体而言,这项工作着重指出,虽然越来越依赖第三方供应商的服务可能会带来关键的好处并降低单个公司层面的经营风险(异质性风险),但它可能会增加金融体系层面的风险,尤其是在第三方风险没有在公司层面妥善处理的情况下。每个金融机构都不会考虑其行动带来的额外风险,也不会充分发展业务连续性、制定应急计划和退出策略,从而导致负外部性。金融机构和监管部门可能同时在降低风险和监督方面投资不足,例如,没有充分开发人力资本来应对这些挑战。尤其是在市场集中度较高同时在公司层面无法适当管理风险的情况下,某些关键的第三方基础设施的大规模经营失败或破产可能会导致整个系统范围的中断和系统性影响。此外,在评估这些第三方供应商的控制措施是否充足时,对所需的技术专业知识的潜在缺失,可能会给监管者确保金融机构的系统稳定性和风险管理有效带来新的问题,
在年9月的FSB脆弱性评估常务委员会(SCAV)和监管合作常务委员会(SRC)的联席会议上,参会成员表示有必要进一步开展工作以更好地了解这些问题,包括此类活动的规模、市场集中度,以及对于金融稳定性的收益和风险。一些成员特别要求就跨境和监管边界问题进行后续研究。
年2月,SCAV对云服务基础架构的弹性、供应商集中度和锁定风险提出进一步的问题。
本报告利用过去几个月包括公共机构和私营部门(银行、保险公司、资产管理公司、云服务供应商)的交流,以及学术、公共资源和专有数据,概述了金融稳定的收益和依赖云服务的风险。特别的是,本报告调查了云服务、当前金融机构云服务供应商市场(基于新数据),以及包括锁定、集中风险、跨境问题以及金融机构和云服务供应商采用的降低风险实践在内的收益和风险。还根据FSB监督与管理协会常务委员会(SRC)正在进行的工作,为其提供适用于第三方风险的标准和条例的实践信息。
金融机构使用云服务的趋势可能会导致当局考虑对公司、基础设施和活动进行微观和宏观审慎监管的新方法。在某些国家和地区中,他们还可能向FSB成员提出有关其应对第三方风险方法的问题,并增加金融当局与非传统合作伙伴(如负责IT和安全的合作伙伴)之间合作的潜在可能。这些问题可以在SRC和标准制定机构(SSB)中得到有效解决。
2.第三方依赖性的类型
与金融机构相关的第三方服务供应商可以根据不同的标准进行分类。尽管最近的讨论重点是数字服务和云服务,但是对其他第三方服务(例如物理硬件、电信、电力等)的破坏也可能引发严重的业务连续性事件。事实上,传统数据中心比新的服务更容易受到物理干扰。
附件中的表格总结了重要的第三方数字服务以及金融机构采用这些服务对金融稳定性的影响。这包括数据通信、数据中心管理、实时数据提供和云服务。该表中显示出一个重要特性,即第三方依赖关系网络的复杂性。尽管过去已经存在这样的供应商关系网,但是可能会出现新的相互依赖性。例如,金融机构通常将诸如客户关系管理、人力资源和财务会计等功能外包,而这些领域的第三方服务供应商本身可能依赖于云服务。这可能使得在单个金融机构和系统层面上的集中风险识别变得更加不透明。
这种复杂性甚至意味着第三方供应商(“第四方”)之间存在相互依赖性。因此,金融机构可能依赖于非常不同的服务的聚合或网络,尤其是当金融机构通过“应用程序编程接口(API)”与倾向于依赖云服务而不是维护本地基础设施的初创企业合作时。
围绕这些第三方依赖性的风险平衡非常复杂。从理论上讲,关键第三方供应商的失败可能会引发金融不稳定,尤其是在公司层面没有适当地管理风险的情况下。但是,如果在危机期间可以快速有序地转移破产供应商的服务,则可以大大减轻对金融稳定的影响。例如,为关键系统建立冗余或互操作性可以帮助减轻或转移风险(如供应商破产引发的数据中心事故风险、系统过期风险)。
鉴于第三方服务供应商网络的复杂性,对第三方依赖性的正确评估和监督需要金融机构(主要负责管理第三方风险)和监管机构的高技能人员。雇用和保留这样的人才可能是一个挑战。特别是对于中小型金融机构,这可能也不合算。相关风险管理、客户管理和法律角色方面的专家稀缺也可能是一个问题。
3.云服务市场和模型的特征
企业软件和服务上的支出大体上正在快速增长。Gartner估计,在所有行业中,从年到年,全球在数据中心、企业软件和服务上的IT支出将以每年7%的速度增长,达到1.万亿美元。公共云服务的支出增长速度甚至更快,年的预期增长率为17.5%。Gartner预计全球公共云服务收入将从年的亿美元增长到年的3,亿美元。
根据IDC的数据,在金融服务领域,年在硬件、软件、IT服务和内部IT上的支出应达到约4,亿美元,预计到年将增长到近5,亿美元。花旗银行在一份报告中指出,银行业的IT支出已经比其他任何行业都高(约占收入的9%),几乎是其他主要行业的2到3倍。这笔支出中越来越多的份额将用于云服务。
IDC预测,年银行在公共云服务上的支出为亿美元,五年累计平均增长率为23%。如表1所示,这包括许多不同类型的云服务模型,从云中提供的基础设施组件(IaaS)到托管客户端拥有的应用程序的软件平台(PaaS)、完整的应用程序在云中运行并作为服务提供(SaaS),甚至是在云中管理和交付的一系列应用程序和流程(BPaaS)。
软件即服务(SaaS)是所有行业中收入最多的云服务模型,但Gartner预测,到年,基础架构即服务(IaaS)的增长速度最快。
除了这四种主要部署类型影响软件和基础架构组件在云中使用程度外,公司还可以选择如何向其交付云服务,表2中列出了三种部署模型。
表1:云服务模型
资料来源:AbhinavGarg(),“金融服务行业的云计算”,SapientGlobalMarkets;Gartner(b),“Gartner预测年全球公共云收入将增长17.3%”,9月;Gartner(年)。
表2:部署类型
云技术在金融服务行业中的部署仍处于初期阶段,大约70%的金融服务公司在最近的一项调查中报告说,它们仅处于初始或试用和测试阶段。在进行部署的公司,可用信息表明,针对金融机构的“核心”或关键系统,特别是对其业务必不可少的所谓“皇冠之珠”系统和数据,使用云服务的程度相对较低。某些通用业务系统(例如电子邮件或风险建模)被认为是至关重要的,但云部署的优势被认为超过了风险,这是一个例外。一些私营机构的受访者认为,在研发部门的云部署最快,因为这种部门的计算需求大且多变。并且在与现存软件系统没有紧密联系的部门,云部署也更快。各行业受访者指出,云部署正在迅速扩展,他们预计未来将有更多的活动在公共云中进行。
少数供应商主导着公共云服务市场。在所有行业中,排名前五的公共云公司的收入超过公共云基础设施总收入的四分之三。
年,ForresterResearch对家计划开始或扩大其对公共云供应商使用程度的金融服务和保险公司进行了调查。样本公司来自多个国家和地区以及不同领域和规模的金融服务和保险行业。这些公司总共使用或计划使用32个不同的公共云供应商,其中的20个被至少10%的受访者多次提到。这代表了服务供应商某种程度上的多样性-尽管数据不能提供有关哪些云服务被金融机构用于特定功能的信息。平均而言,受访者指出其至少使用了两个供应商,这可能是出于需要使用不同的应用程序和风险管理的目的。总体而言,很大一部分受访者正在使用或计划将最大的供应商用于至少某些服务。虽然样本中使用某项服务的受访者比例不能被解释为市场份额,但调查表明,与所有行业的总体市场相比,某些供应商在金融服务行业可能更为重要。
占主导地位的公共云服务已遍布全球。在Forrester的全球调查中,金融机构最常使用的四家供应商,也是北美地区(名受访者)、拉丁美洲(14名受访者)、欧洲(86名)和亚太地区(43名)中使用率最高的供应商。其他一些供应商在区域内具有重要意义,至少有20%的受访者在至少一个地区中提到他们。在某些国家和地区中,金融服务公司在很大程度上依赖国内供应商。这些管辖区中有一些具有限制在国外处理数据的法律或法规(请参阅下面的4.2.1节)。
根据调查,在内部(或本地部署)私有云和托管私有云服务中,相同的大型供应商往往占主导地位。同样,大型供应商在各个地区也占主导地位。
调查表明,金融机构在云服务方面可以选择,但在很大程度上依赖于同一小部分云服务供应商。此现象可能有多种原因。例如,在与FSB成员的一次对话中,一位金融机构受访者指出,与较小的供应商相比,较大的供应商可能具有更好的安全性和更低的破产风险。此外,许多云供应商采用基于使用量的分级定价,这使公司倾向于使用具有客户可用范围最广的应用程序的云供应商(例如在数据分析、人工智能工具中)。
4.潜在的收益和风险
使用第三方提供的云服务对金融机构和金融系统而言是收益与风险并存的,本节依次讨论其收益与潜在风险。
4.1云服务的潜在收益
表3概述了使用云服务的优势。
表3:云服务的优势概述
以下各节重点介绍使用云服务时的两类收益:(i)成本和竞争,以及(ii)安全性和弹性。
4.1.1成本与竞争
云服务可以降低进入壁垒并降低金融服务成本,因此寻求在不断变化的金融服务领域保持竞争力的实体就必然开始转向基于云的IT架构。使用云服务使金融机构可以免于购买和维护某些昂贵的IT基础架构,从而极大地节省成本;此外,用户不必建立成本高昂的本地数据中心来保障峰值计算负担,他们可以灵活地使用云服务以适应计算需求的季节性波动。许多云服务提供商所提供的规模经济效应可以使公司自动化改进。通过利用云计算的灵活性,企业还可以按需满足多变的工作负载,并把新的可用资源转向针对消费者的服务和功能。他们可以迅速开展例如金融科技类服务实验这样的新活动。
云服务还有益于行业范围内的竞争。替换旧的IT基础架构所需的时间和费用可能会限制公司及时提高服务质量或将新应用程序推向消费者市场的能力,从而可能限制与数字化和金融技术相关的活力。中小型企业(SME)可能缺乏必要的资本来投资基础设施以快速扩展新服务。对于金融科技公司和其他初创企业而言,云计算可能是将新服务或产品快速推向市场的唯一可行选择,由此可见,云计算可能会降低市场准入壁垒并提高金融包容性。
就其云计算部署和服务模型而言,其通常具有灵活性、可扩展性、优化的网络安全性以及数据保护功能,为公司和机构提供了获取必要的能力和熟悉云计算的途径。因此,公司可以根据需要适时开发“原生云”或将旧企业系统迁移到云中。云计算还可以支持公司使用新的人工智能和机器学习服务。这些工具可以提供预测性分析或大数据解决方案,以帮助公司更有效地管理风险,从而潜在地提高财务稳定性。
德勤在一项跨行业的研究报告中发现,在云服务上每投资1美元,平均净回报就高达2.5美元,这主要是因为使用云服务后,IT资本支出平均减少了19%,每位员工每周平均节省了2-3个小时的时间。此外,德勤指出,接受调查的公司中有70%已使用云来开发新产品、服务或业务模型,进入新市场或实现其他产品或服务创新。
4.1.2安全性和弹性
为金融机构提供弹性信息技术服务需要技术和治理架构,该架构具有管理风险并应对不良事件的能力。这包括:
·强大的IT风险监督和治理功能;
·有利于增强弹性的技术特征,包括冗余,地理多样性和消除单点故障;
·先进的事件响应功能以保护业务连续性并允许快速恢复。
从技术角度来看,大型公共云提供商提供的IT环境至少与单个金融机构自己创建的IT系统一样强大。规模经济可以使云提供商低成本地实现高冗余,地理多样性以及高级安全性和工程设计。例如,较小的金融机构可能无法负担在多个地理位置上建立自己的冗余数据中心的费用,而使用公共云则可以以较低的成本获益。
他们还可以利用具有前沿技能和知识的IT人员,提高其在准备和应对新型威胁方面的灵活性。公共云提供商可以采用开发专有的硬件和软件等解决方案,以减少在现成的IT组件中发现的软件漏洞。这些远远超出了大多数金融机构使用内部IT所能实现的功能。
但是,仅迁移到公共云本身并不能提高弹性。必须采取适当的监督,治理和程序以促进安全性和弹性,否则风险可能会增加。在一项调查中,80%的IT和安全专业人员报告说,其云基础架构配置错误会导致安全和合规事件风险。关于云的经验和专业知识有限,意味着金融机构可能需要额外获取专业知识才能在云中创建安全且具有弹性的IT基础架构。例如,在公共云中设置服务的简便可能会促使各种业务线盲目部署云服务而忽视各种风险。行业内跨机构统一的云治理流程对于控制此风险至关重要。公共云提供商在管理关键金融机构工作负载中存在的风险方面经验也很有限。为了解决这个问题,公共云行业目前正在采取行动来制定行为准则,以确保在云供应商在(客户)转移供应商时,关于数据保护和数据可迁移性保证方面做出实施公有云可信弹性策略的最低共同承诺标准。
保护弹性的责任在云基础架构中是共同的,但是由各主体独立承担的。尽管现实中金融机构和第三方服务提供商之间始终存在一定程度的责任分担,但金融机构认为传统的专用数据中心应承担对关键IT基础架构更多的控制和责任。公共云安排明确要求将共享控制和责任作为一项核心功能。明确概述的合同和运营责任对于保护弹性至关重要,通过明确这些责任,各方可以确定在正常时间和事件期间如何交换信息以及如何实现协调。对于金融机构而言这并不是一个全新的问题,金融机构具有管理风险和协调多种类型的外包安排的经验。但是,当将关键IT流程外包到公共云时又可能会出现新的复杂性问题。例如,一些软硬件可将某金融机构应用程序与其他云用户隔离,但金融机构检查软件和硬件的能力有限。此外,可能难以测试云提供商响应事件的效率,而如果公共云要提供高弹性,则金融机构需要评估和管理这些风险。他们还必须化解监管机构在有关使用公共云服务的网络问题方面的担忧。主管部门也仍需提高监管能力,以应对风险管理中责任共担的复杂安排。
4.2云服务的潜在风险
尽管使用云技术可以节省成本、提高网络安全性并增加运营弹性收益,但相应的潜在风险和责任仍由金融机构承担。外包安排可能会挑战金融机构有效管理风险的能力(请参阅第5节)。此外,一些云提供商报告称他们对解释共享责任模型大量投资,但是包括金融机构在内的客户对此理解力有限。例如,一项调查将调查对象扩展至比金融机构更广泛的公司,调查结果显示:受访者在任意给定时间,平均运行至少14个配置错误的IaaS事件,每月平均发生次配置错误事件。技术的进步可能会导致在外包监督和缓解措施技术投资不足的金融机构与云提供商之间的知识不对称程度加大,从而进一步挑战金融机构保持有效监督的能力以及当局对受监管者进行有效监督的能力。
在某些国家和地区,使用云可能会要求金融机构和相关机构有新形式的访问,审查和信息权限。任何信息透明度或第三方监督的削弱都可能损害公司和当局有效管理公司的法定监管义务,风险承受力或合同协议的能力。如果关键的银行数据系统保存在第三方系统中,则对访问权限的不当限制也会降低授权机构行使介入解决权限的能力。
尽管云技术可能会带来安全性和运营弹性上的优势,并且金融机构拥有一系列可最小化可用性风险的选择,但涉及金融机构的数据泄露和临时断电已有发生。虽然由于云服务提供商的高技术和物理弹性,不太可能出现重大故障,但这也并不是绝对的。大型云提供商已报告存在给多个客户和区域产生影响的断电事件。虽然技术故障极少持续很长时间,但是由于法律或财务方面的压力,云提供商在提供服务时也可能面临挑战。不过许多云供应商都可在几乎不会对客户造成影响时及时恢复。尽管可能存在法律或其他机制来确保服务的连续性,供应商破产仍可能导致持续的可用性损失。在某些特定情况下,第三方的操作失败可能会损害数据的完整性或保密性,从而可能影响快速恢复的能力或按照数据保护规则会被处以巨额罚款。
在集中的云服务市场中,如果金融机构增加核心业务对其服务的依赖,那么这些风险可能会进一步放大,有可能导致整个系统范围内的混乱甚至带来稳定性风险。金融机构本身和权力机构可能都不清楚这些提供商的覆盖率。此外,对于由技术,法律或财务问题引起的云提供商停机问题,金融机构做了何种程度的准备尚不清楚。至关重要的是,公司需要评估其访问数据的能力以及将IT基础架构从出现故障的提供商转移到另一个云提供商或内部基础架构的计划时间表。
大多数云服务提供商针对这些担忧提供了解决方案,以解决围绕可用性,数据隐私,集中度风险,网络安全,运营弹性和锁定风险的问题,而这是许多考查金融服务中云使用情况的机构共同关心的关键问题。云服务提供商允许并建议客户加密数据,然而尽管在云服务层面采取了此类安全措施,数据泄露仍然可能存在。由于客户可以选择保留责任,提供商无需控制数据访问权限的加密密钥。
如果高度依赖公共云供应商的金融机构发生故障,这些供应商的存在对机构的工作而言可能有利有弊。一方面,必须先由金融机构完成IT系统的转换,然后才能够将其移至公共云基础架构,这可能意味着在清算结业过程中,“生前遗嘱”(译者注:系统重要性金融机构需要准备有序地清算结业的计划)规定的实施可能会更容易执行。另一方面,公共云解决方案设计不佳或对供应商的服务水平协议管理不善,缺乏针对极端情况的技术和法律规定等问题,均可能会使解决流程变得极为困难(例如,由于法律上的限制,无法在不同国家和地区之间转移敏感数据)。
4.2.1市场集中度对竞争的影响(锁定风险)
在某些国家和地区,可能难以评估金融机构使用云提供商面临的集中度风险的高低。市场集中度的提高可能意味着定价能力的增强和市场有效竞争的削弱。考虑这些问题的经济影响主要是竞争监管机构的问题。但是,一个与金融稳定性可能有关的问题是市场集中度是否会导致锁定,从而使企业由于合同条款限制,缺乏可行的替代方案或技术功能而无法轻易更改其云提供商。
锁定是否影响金融稳定性首先取决于在云上执行的活动或经济功能,以及该活动的规模。在两种情况下,锁定可能产生重要影响::
1.在外包协议终止的情况下,如果其阻止了金融机构的活动有序转移到另一个云提供商或FI的直接管理。
2.在云提供商严重中断的情况下,如果实践安排和合同约定破坏了金融机构维持其服务连续性的能力。
减轻这些风险的一种选择是采用多供应商方法,使服务可在多个提供商之间复制。
但公司可能会承担运行相同服务的额外费用,并因而会影响效率。另外,如果供应商使用专有的安全标准和协议,那么多供应商也可能会放大配置错误的风险。这些问题表明,金融机构需要在众多潜在的权衡之间进行取舍,例如在效率和弹性。
云服务提供商和标准制定组织的共同努力也可能有助于确保托管的应用程序和数据在提供商之间更容易转移。另外,根据其所需要使用的服务,金融公司也可能被迫放弃一个提供商特有的的某些效率或创新收益,以确保转移的便利性。
4.2.2跨境风险
云计算通常通过地理区域和专有软件进行划分。实际上,云服务提供商试图在地理上使数据中心多样化,并确保每个中心内有足够的冗余,以保证某一事件的影响不会引起系统规模的溢出。金融机构仍然有责任遵守相关法律要求,包括风险管理流程,应急计划,信用评估以及第三方关系的跨部门协调。例如,容器化,多供应商策略,备份和冗余都有助于控制单点故障风险。
跨境提供云服务也可能会带来法律挑战。例如,在相关银行的财务生存能力受到威胁时,根据外国法律,跨境运营的第三方服务提供商在数据访问和使用或继续提供服务方面的义务可能存在不确定性。确保决议的操作连续性仍然很重要。
部分司法辖区已经或准备采取一些措施,要求金融服务提供商和云服务提供商在本地存储和处理其数据,其措施包括要求“镜像”本地服务器上的数据和防止交叉访问。这些措施可能旨在保护国家安全,客户数据的机密性或监控数据访问。另外,它们也可能旨在降低监督的复杂性,因为在面临破产清算的情况下,只有通过法律援助才能访问存储在另一个司法辖区的关键数据,这可能会使本应迅速而有序的清算或重组变得复杂。
因此,尽管管理部门在特定情况下有合理的顾虑,但数据本地化还会增加成本,造成其他效率低下(例如,由于数据湖可能因位置不同而产生偏差),在系统安全性方面产生薄弱环节,并使市场参与者难以进行全球风险管理和合规计划。最后,一些主管部门指出,需要考虑如何通过跨境访问监督和管理数据协调此类规则。
从金融稳定性的角度来看,至关重要的是,金融监管机构需要跨境访问信息以履行其监管职责。想要解决与金融服务中的数据本地化要求相关的风险,必须认识到无论在何处存储或处理信息,跨境访问都是必不可少的。
5.盘点适用于第三方风险的标准和惯例
使用云服务对金融稳定的总体影响还取决于不同公共部门机构适用于外包和第三方风险的监管标准和监督实践。本节将基于SSB48对一份简短调查问卷的回答,简要概述他们的行动。
5.1涵盖外包和第三方关系的一般准则
当前,针对受监管实体的一系列国际标准和高级原则适用于外包和第三方关系。联合论坛(BCBS,IAIS和IOSCO)在年2月《金融服务外包》的论文中将外包的概念定义为“受监管实体持续地利用第三方(为集团内的附属实体或集团外的实体)来完成原本由自身现在或未来从事的业务”。此概念(或其变体)以及第三方关系或依赖的概念在一系列其他相关工作中被使用。FSB和CPMI-IOSCO并未为外包或第三方关系提供正式的定义,但提及了由外包和第三方依赖关系引起的风险。例如,CPMI-IOSCO金融市场基础设施原则(PFMI)包括了金融市场基础设施提供商(FMI)将某些业务外包给另一家FMI或第三方服务提供商(包括关键服务提供商)的标准,以及其治理安排、运营风险、相互依赖性,和当局对这些关键服务提供商的期望。PFMI还提到FMI通常也依赖于电力和电信公司等公用事业的充分运作。同时,IOSCO在其年2月的IOSCO《针对市场中介机构的金融服务外包原则》中将“外包”定义为“一个事件,即受监管的外包公司就有关本公司受监管或不受监管的职能的任何方面,与服务提供商签订合同,而这些职能原本可以由实体本身承担”。其他报告中也使用了类似的概念。
BCBS,CPMI,FSB,IAIS和IOSCO都提供了某种方式上涵盖外包的指南。年联合论坛的论文为外包活动提供了适用于银行业,保险业和证券业的高级原则。这些原则侧重于为外包活动建立一致的政策和风险管理计划,并确保公司的高级管理层仍应对外包活动负责。同时讨论了草拟合同和应急计划时要考虑的问题,还设立了一些广泛的原则以帮助主管将外包部分纳入公司的定期风险评估。
对于保险公司而言,IAIS在其《保险核心原则》(ICPs)中强调了重大活动的外包。ICP8(风险管理和内部控制)要求保险公司对外包的活动或职能保持监督并承担责任。ICP2(主管)要求,无论将监督职能外包给任何第三方,主管都要设定预期,评估其能力和经验,监督其绩效并确保其独立性。
IOSCO在许多准则和报告中都谈到了外包。例如,年2月的IOSCO《针对市场中介机构的金融服务外包原则》要求公司对其外包的所有职能承担全部法律责任和过失责任。这些原则有利于促进对服务提供商进行选择和监控时的尽职调查、签订强有力的合同、维护信息安全和业务连续性、增强客户保密性以及在外包功能集中或终止的情况下保持稳定性。
国际证监会组织《职能委托》报告着眼于资产管理行业中对第三方的职能委托。通过履行其规定的此类职能下放的一般原则,可以确保对投资者的保护,即确保市场是公平、高效和透明的,并降低系统风险。例如,将功能委派给第三方的方式应不致使投资者和/或监管机构丧失以识别对所委派的职能负有法律责任的公司的手段。应采取预防措施以减轻利益冲突的可能性,并且集体投资计划(CIS)运营商不应整体地委派核心业务。该报告还强调了加强监管机构之间合作的重要性。对于资产管理,FSB在年1月提出了针对资产管理活动中结构脆弱性的建议,FSB还建议当局应对资产管理者提出要求或指导,以使其拥有全面而稳健的风险管理框架和执行,尤其是有关业务连续性计划和过渡计划。具体来说,该建议要求资产管理者在向其他市场参与者提供服务或自己依赖第三方服务时考虑运营风险或挑战。
国际证监会组织的《市场外包的原则》规定了市场(交易所)在决定是否外包以及向谁外包、外包流程、服务或职能时应考虑的因素。此原则还旨在协助市场主管部门监督这些安排。国际证监会组织还发布了其他有关受监管实体外包的指南。例如,其年12月的报告《交易场所有效管理电子交易风险的机制和业务连续性计划》提出了若干可行做法,以应对外包产生的风险,尤其是与关键系统有关的风险。
对于FMI,除其他要求外,CPMI-IOSCOPFMI还规定FMI应该识别、监督和管理主要参与者、其他FMI以及服务和公用事业提供商可能对其运营造成的风险。若FMI依赖于或将其某些业务外包给其他FMI或第三方服务提供商(例如,数据处理和信息系统管理),应确保这些操作与在内部提供时满足相同要求。FMI应该具备强有力的安排来选择和替代此类提供者,具备及时的渠道来获取所有必要信息,以及适当的控制和监管工具。PFMI指出,某些服务提供商可能很关键(例如,那些具有环境相关性的服务提供商,如财务消息传递提供商),并指出“FMI与关键服务提供商之间应建立合同关系,以允许FMI和相关官方机构对必要信息有完全访问权限”。合同应强制性地确保关键服务提供商必须在获得FMI的批准之后,才可以将其提供给FMI的服务的实质要素外包,并且在这种安排下,应保留对必要信息的完全访问权限。这些准则有助于促进FMI与关键服务提供商之间定期和强有力的沟通。将运营外包给关键服务提供商的FMI还应向参与者披露这种依赖的性质和范围,并且FMI应告知有关当局其对关键服务提供商和公用事业的任何依赖情况,并采取措施使这些当局能够得知这些关键服务提供商和公用事业公司的绩效。CPMI和IOSCO还发表了对关键服务提供商的一系列监督上的期望。
最后,FSB提供《指导原则》以帮助当局和公司评估当公司进入决议时,服从决议计划要求的公司是否具有适当的外包安排。为此,FSB将关键共享服务定义为“由内部部门,组内单独法律实体或外部提供者执行的活动、功能或服务”以帮助评估哪些服务至关重要。
5.2涵盖云服务的准则
目前,只有BCBS公布了专用于云服务的外包或第三方关系的健全实务准则。BCBS在其《关于金融科技发展对银行和银行监管机构的影响的健全实务准则》报告中指出,使用云计算等技术的银行应确保其具有有效的治理结构和风险管理流程,监管机构应确保银行采用了风险管理流程和控制环境。CPMI-IOSCO的PFMI并未专门提供云服务的标准。但是,由于PFMI是基于原则的,上述有关外包和第三方关系的指导原则也适用于FMI的相关云外包。IOSCO尚未发布专门针对云服务的报告,但已发布了关于实际上由云服务引起的风险的报告。例如,其年12月的报告《有效管理电子交易风险的交易场所机制和业务连续性计划》特别确定了数据中心作为核心系统,可以将其外包并提供一些稳健实践。FSB没有与云外包相关的特定准则,但是已经发布了第三方依赖关系对金融稳定性影响的分析。68IAIS没有提供具体指导。
5.3当前和将来在外包、第三方关系和云服务方面的工作
当前在SSB,有关外包,第三方关系和云服务的许多特定或间接相关的举措正在进行中。年6月,BCBS同意就金融技术开展进一步的工作,包括有关银行对不受监管的第三方的依赖,以及银行对现有外包监管制度的影响的工作。CPMI没有计划发布有关外包和云外包的进一步准则。CPMI和IOSCO继续鼓励FMI增强其网络弹性,其中包括监管第三方关系。
IAIS目前正在对保险公司的控制职能进行监督,其中可能包括与控制职能外包有关的问题。它还正在酝酿一份最佳实践文件,有关保险公司对专业技术提供商的依赖和接触,其中或许包括云提供商。
国际证监会组织理事会已批准一项任务,以处理与使用第三方服务提供商有关的风险,并根据最近的发展情况更新国际证监会组织关于外包的原则,为此还成立了一个包含二级市场,市场中介机构,信用评级机构和衍生产品的工作组。工作内容为:编写一份报告,以说明外包和第三方服务提供商使用方面的最新趋势;酌情更新国际证监会组织的外包原则;并考虑在受监管实体将关键服务或重大活动外包给不受监管的第三方服务提供商的情况下应用这些原则。这项工作还专门研究了云和相关的IT开发以及脆弱性。
最后,FSB目前正在开发与金融机构对网络事件的响应和从中恢复有关的有效做法,这里的事件也包括公司与第三方服务提供商的关系。
6.启示
展望未来,监管机构之间就以上问题的现有方法进行的讨论将很有建设性。特别是以下三个领域可以从进一步的工作中受益:
(i)有关外包安排的现行监管标准和监管惯例的信息,以及是否需要进一步评估金融中介机构使用公共云服务风险的系统性维度,以及在适当的情况下让SSB更新当前框架。SRC目前正在处理此任务;
(ii)在考虑金融机构使用的云服务时,探索在当局之间进行更好的协调、合作与信息共享的可能性;
(iii)关于云环境中互操作性和数据可移植性的标准化工作(例如,通过ITU-T、NIST、ISO/IEC等主要组织审查进一步举措)以及权威机构在现行工作中可以发挥的作用。
术语表
本术语表定义了本报告中使用的术语。如经济咨询委员会(ECC)数字创新特设小组的术语表中所述,以下定义与FSB、巴塞尔银行监管委员会(BCBS)、国际清算银行全球金融系统委员会(CGFS)、支付与市场基础设施委员会(CPMI)、金融行动特别工作组(FATF)、BIS市场委员会(MC)和国际证券委员会组织(IOSCO)的先前报告保持一致。一些定义来自美国国家标准技术研究院(NIST)。
·业务流程即服务(BPaaS):从云服务交付的自动化业务流程。BPaaS通常具有含义明确的界面,可以轻松地被不同的企业使用。
·云计算:一种计算上的创新,允许使用托管处理器的在线网络(“云”),以增加计算能力的规模和灵活性。
·灾难恢复即服务(DRaaS):一种云计算和备份服务模式,该模式使用云资源来保护应用程序和数据免受灾难造成的破坏。它为组织提供了完整的系统备份,可以在系统故障时实现业务连续性。
·混合云:将公共和私有云资源结合在一起的服务,其技术允许它们之间共享数据和应用程序。
·基础架构即服务(IaaS):一种云服务模式,为客户提供IT基础架构,并通过按使用量付费的方式在网络上提供和管理,例如服务器和存储。
·外包:受监管实体持续地利用第三方(为集团内的附属实体或集团外的实体)来完成原本由其自身现在或未来从事的业务。
·平台即服务(PaaS):一种云服务模式,其中为客户提供按需环境,以通过网络开发、测试、交付和管理软件应用程序。
·私有云:仅由单个组织使用计算资源的服务,既可以物理地位于公司的现场数据中心(本地)中,也可以通过外部的第三方提供商(托管的私有云)。在这两种情况下,在网络上都无法访问,甚至无法公开看到服务。
·公共云:第三方提供商通过公共网络提供的服务,包括通用计算和/或软件资源。尽管任何愿意订阅这些服务的实体都可以使用这些服务,但是访问控制功能可确保合法实体根据与第三方提供商的合同协议合理地使用这些服务。
·弹性:准备并适应不断变化的条件,抵御干扰并迅速从中恢复的能力。弹性包括抵御故意攻击、事故或自然发生的威胁或事件,并从中恢复的能力。
·可伸缩性:衡量根据数量变化、或通用计算或网络需求变化而增加或降低服务性能的能力。
·服务水平协议(SLA):公司与服务提供商之间的合同协议,其中规定了共享责任,服务级别,优先级以及有关时间,可用性,性能以及所交付服务的其他关键方面的保证。
·软件即服务(SaaS):一种云服务模式,允许客户在订阅的基础上通过网络连接和使用基于云的应用程序。
·供应商锁定:由于合同条款,缺乏合宜的替代供应商,或技术功能而导致企业无法轻易更改其云提供商的情况。