尽管金融监管机构强力推动在各个层面嵌入这一概念,目前仅有少数金融机构遵守有关第三方风险管理的监管要求。
根据Escode和CeFPro的报告,仅有20.8%的金融专业人士报告称,他们在大多数第三方协议中,包括与软件供应商的协议中,设有压力退出计划。
随着金融服务越来越依赖复杂的第三方IT生态系统,供应商中断所带来的风险也在增加。全球范围内,从英格兰银行到货币监理署(OCC)等监管机构,均发布了严格的指南,以加强第三方风险管理,最终在金融行业中嵌入更好的运营韧性。
其中一个最深入的例子是欧盟的《数字运营韧性法案》(DORA),该法案倡导在所有ICT第三方许可协议中纳入压力退出计划,以防止供应商失败——从云中断到软件公司倒闭——严重扰乱金融服务行业。
尽管全球范围内有这样的监管推动——DORA预计将在2025年1月17日实施——新的调查显示,行业准备不足。仅五分之一的全球专业人士报告称,他们在76-100%的许可协议中设有压力退出计划,而近一半的受访者表示,这些计划仅适用于0-10%的协议,仅有18.7%的受访者对当前的第三方压力退出计划表示“完全信任”。
这则消息传出之际,金融机构因供应链失败而遭受潜在的毁灭性物质影响。
就在一个多月前,由于谷歌云的一次“独一无二的”配置错误,导致供应商的私人云账户被删除,澳大利亚超级年金基金UniSuper的50万名会员无法访问账户。
金融行业正面临一个巩固其供应链管理实践的关键时刻。监管压力正在加剧,并且给机构及其客户带来了巨大挑战。令人担忧的是,在整个行业中,第三方治理方法仍存在相当大的差异——尤其是在CrowdStrike中断事件的背景下。随着这些机构越来越依赖数字技术,且通常依赖多个第三方供应商,必须采取措施来减轻供应链某一点中断的影响。”Escode的监管合规解决方案负责人Wayne Scott表示。
“仅有一小部分机构拥有健全的压力退出计划,这确实令人担忧。问题不在于忽视建议,而是需要更好的支持和教育来实施这些关键措施。无论是确保在供应商失败期间获取重要信息,还是通过严格的情景测试来识别弱点,亦或是在与软件供应商合作时使用托管协议——这些都是监管机构在其建议中提到的‘积极考虑’事项,这一切都是为了采取预防和检测措施——这最终是行业能够应对日益复杂的风险环境的唯一途径。”
企业网D1net(www.d1net.com):
国内主流的to B IT门户,旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号