盡管金融監管機構強力推動在各個層面嵌入這一概念,目前僅有少數金融機構遵守有關第三方風險管理的監管要求。
根據Escode和CeFPro的報告,僅有20.8%的金融專業人士報告稱,他們在大多數第三方協議中,包括與軟件供應商的協議中,設有壓力退出計劃。
隨著金融服務越來越依賴復雜的第三方IT生態系統,供應商中斷所帶來的風險也在增加。全球范圍內,從英格蘭銀行到貨幣監理署(OCC)等監管機構,均發布了嚴格的指南,以加強第三方風險管理,最終在金融行業中嵌入更好的運營韌性。
其中一個最深入的例子是歐盟的《數字運營韌性法案》(DORA),該法案倡導在所有ICT第三方許可協議中納入壓力退出計劃,以防止供應商失敗——從云中斷到軟件公司倒閉——嚴重擾亂金融服務行業。
盡管全球范圍內有這樣的監管推動——DORA預計將在2025年1月17日實施——新的調查顯示,行業準備不足。僅五分之一的全球專業人士報告稱,他們在76-100%的許可協議中設有壓力退出計劃,而近一半的受訪者表示,這些計劃僅適用于0-10%的協議,僅有18.7%的受訪者對當前的第三方壓力退出計劃表示“完全信任”。
這則消息傳出之際,金融機構因供應鏈失敗而遭受潛在的毀滅性物質影響。
就在一個多月前,由于谷歌云的一次“獨一無二的”配置錯誤,導致供應商的私人云賬戶被刪除,澳大利亞超級年金基金UniSuper的50萬名會員無法訪問賬戶。
金融行業正面臨一個鞏固其供應鏈管理實踐的關鍵時刻。監管壓力正在加劇,并且給機構及其客戶帶來了巨大挑戰。令人擔憂的是,在整個行業中,第三方治理方法仍存在相當大的差異——尤其是在CrowdStrike中斷事件的背景下。隨著這些機構越來越依賴數字技術,且通常依賴多個第三方供應商,必須采取措施來減輕供應鏈某一點中斷的影響。”Escode的監管合規解決方案負責人Wayne Scott表示。
“僅有一小部分機構擁有健全的壓力退出計劃,這確實令人擔憂。問題不在于忽視建議,而是需要更好的支持和教育來實施這些關鍵措施。無論是確保在供應商失敗期間獲取重要信息,還是通過嚴格的情景測試來識別弱點,亦或是在與軟件供應商合作時使用托管協議——這些都是監管機構在其建議中提到的‘積極考慮’事項,這一切都是為了采取預防和檢測措施——這最終是行業能夠應對日益復雜的風險環境的唯一途徑。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號