Operasjonell motstandskraft: Hva betyr det foreslåtte britiske CTP-regimet for firmaer, FMIer og tredjeparter?

Etter en joint
diskusjonspapir (3/22 – Operasjonell motstandskraft: Kritiske tredjeparter til den britiske finanssektoren) publisert i juli 2022, utstedte Bank of England (Banken), Prudential Regulation Authority (PRA) og Financial Conduct Authority (FCA)

felles forslag 7. desember 2023 for å øke motstandskraften til finanssektoren ved å føre tilsyn med kritiske tredjeparter, rådgiving om hvordan man kan overvåke og styrke motstandskraften til tjenester levert av kritiske tredjeparter (CTP) til finanstjenestefirmaer og finansmarkedsinfrastrukturenheter (FMIer).

Forslagene følger parlamentets vedtak av
Financial Services and Markets Act 2023, som ga HM ​​Treasury (HMT) makt til å utpeke visse tredjeparts tjenesteleverandører til britiske firmaer og FMIer som CTP-er og regulatorene fullmakter til å lage regler for og føre tilsyn med CTP-er utpekt av HMT. Høringsdokumentet (CP) bygger på diskusjonspapiret fra juli 2022, som redegjorde for regulatorenes planer om å føre tilsyn med de kritiske tjenestene som tilbys av CTPer til finanssektoren. CP gir detaljer om det nye regimet som vil gjøre det mulig for regulatorene å håndtere CTP-relaterte systemiske risikoer, samtidig som det lar firmaer og FMIer fortsette å dra nytte av teknologitjenestene de tilbyr.

Regulatorene er bekymret for at enkelte firmaer og FMI-er blir stadig mer avhengige av tredjeparts teknologileverandører for tjenester som cloud computing og dataanalyse som kan påvirke Storbritannias finansielle stabilitet hvis de skulle svikte eller bli forstyrret, og angir at dette krever " et passende, men forholdsmessig nivå av direkte regulatorisk tilsyn», særlig ettersom CTP-er fortsetter å være en konsentrert gruppe.

I DP3/22 anerkjente regulatorene de potensielle fordelene som tjenester levert av tredjeparter kan gi for firmaer og FMIer, og understreket regulatorenes støtte for sikker og bærekraftig bruk av disse tjenestene. Imidlertid uttrykte de også spesifikke bekymringer for at "feilen til visse tredjeparter, eller alvorlig forstyrrelse av de materielle tjenestene de leverer til firmaer og FMIer, kan utgjøre en risiko for den finansielle stabiliteten i Storbritannia, som ga en sak for regulatorisk intervensjon" .

Forslagene i CP forventes derfor å forbedre motstandskraften til de kritiske tredjepartstjenestene som finansfirmaer og deres kunder er avhengige av, støtte markedsintegritet og styrke Storbritannias konkurranseevne og vekst. Spørsmålet er hva "et hensiktsmessig, men forholdsmessig nivå av direkte regulatorisk tilsyn" av CTP-er vil bety i praksis. Mens finanstjenestefirmaer er ansvarlige for sin operasjonelle motstandskraft og er ansvarlige for sine egne ordninger med tredjeparts tjenesteleverandører, er de ikke i stand til å håndtere systemrisikoen som CTP-er kan utgjøre. Derfor går regulatorer inn med et regulatorisk rammeverk som retter seg mot tredjeparts motstandskraft.

Forslagene i CP fastsetter reglene og prinsippene som vil gjelde for alle tjenestene CTPs yter til britiske firmaer og FMIer. Regulatorenes foreslåtte tilnærming er avhengig av at CTP-er gir informasjon til tilsynsmyndighetene for å vurdere robustheten til materielle tjenester. Disse inkluderer detaljerte krav til operasjonell risiko og motstandskraft, som bare vil gjelde CTPs materielle tjenester til firmaer og FMIer, spesielt med hensyn til cyberresiliens, forsyningskjederisiko og hendelseshåndtering. Det foreslås at CTP-er sender inn sin første egenvurdering "innen tre måneder etter utpeking og årlig deretter" og fullfører sitt første kart over ressursene, inkludert eiendelene og teknologien som brukes til å levere, støtte og vedlikeholde hver materialtjeneste den tilbyr og versjon av deres spillbok for hendelseshåndtering i finanssektoren "innen de første tolv månedene etter utpekingen, og årlig deretter".

CP angir også det regulatoriske rammeverket som potensielle CTP-er vil bli identifisert gjennom, som inkluderer kriterier som antall og type tjenester de leverer til finansielle tjenestefirmaer og vesentligheten av disse tjenestene. Det bør imidlertid også bemerkes at de også klargjør at «en CTPs utpekte status vil ikke nødvendigvis bety at den iboende er mer motstandsdyktig, sikrere eller mer egnet å tilby en gitt tjeneste til et gitt firma eller FMI enn ikke-utpekte tredjeparter tilby samme eller lignende tjenester».

Regulatorene presiserer at de planlegger å anbefale tredjeparter for utpeking som CTPer "basert på deres vurdering av den potensielle innvirkningen som en svikt i, eller forstyrrelse av, disse tredjeparts tjenester kan ha på stabiliteten til, eller tilliten til, Storbritannia finanssystemet». I følge CP, før utpeking av en tredjeparts tjenesteleverandør som en CTP, vil HMT ta hensyn til «vesentligheten av tjenestene som tredjeparten yter til firmaer og FMIer for levering av viktige aktiviteter, tjenester eller operasjoner; og antall og type firmaer og FMIer som personen yter tjenester til». 

Regulatorene presiserer også at de også vil ta hensyn til "om firmaer og FMIer har rapportert i outsourcing- og tredjepartsregisteret at en tredjepart støtter deres leveranse av 'Viktige forretningstjenester' som definert under regulatorenes respektive operative motstandspolitikk". De forklarer videre at «det faktum at et firma eller FMI identifiserer eller ikke identifiserer en tredjepart som støtter leveringen av en viktig forretningstjeneste, vil ikke overstyre eller erstatte regulatorenes egen vurdering av om en tredjepart oppfyller «vesentlighets»-kriteriet ". Gjennom CP foreslår regulatorene videre å "behandle flere forskjellige tjenester levert av den samme tjenesteleverandøren til firmaer og FMIer som materielle samlet hvis de mener at deres kombinerte avbrudd eller svikt kan true stabiliteten til, eller tilliten til, det britiske finansnettverket. system".

Fra et overholdelsesperspektiv vil det foreslåtte CTP-regimet presse CTP-er i omfang for å demonstrere at de kan forbedre motstandskraften til sine egne operasjoner som støtter finansielle tjenestefirmaer. CP introduserer spesifikke tilsynskrav for CTP-er, som primært inkluderer regulatoriske innsendingskrav som vil varsle regulatorene om spesifikke forstyrrelser som kan ha en negativ innvirkning på tjenestene som tilbys, og som vil gi forsikring til regulatorene om deres evne til å tilby vesentlige tjenester i alvorlige, men plausible forstyrrelse gjennom en årlig egenvurdering og regelmessig scenariotesting.

Det er bemerkelsesverdig at de foreslåtte kravene vil gjelde for tjenester levert til firmaer og FMIer regulert av banken, PRA og/eller FCA, uavhengig av hvor de utføres. Dette betyr at forslagene er "agnostiske med hensyn til plasseringen av en CTP". Regulatorene presiserer at «det er ingen krav til en CTP for å etablere en britisk etablering (f.eks. et datterselskap) der en ikke allerede eksisterer. Denne foreslåtte tilnærmingen anerkjenner at CTP-er kan tilby tjenester fra flere jurisdiksjoner (som kan bidra til å forbedre effektiviteten og motstandskraften til disse tjenestene)». CP spesifiserer at "firmaene og FMIene som mottar tjenester fra CTPer kan operere i flere jurisdiksjoner. Denne foreslåtte tilnærmingen kan også redusere overholdelseskostnadene for CTP-er, firmaer og FMI-er sammenlignet med en tilnærming som krevde at CTP-er skulle lokalisere enheter, infrastruktur, personell eller tjenester i Storbritannia.

Forslagene er i tråd med Finanstilsynets (FSB)
nylig rapport om forbedring av tredjeparts risikostyring og tilsyn og den europeiske union

Digital Operational Resilience Act (DORA), som etablerte bindende regler for informasjons- og kommunikasjonsteknologi (IKT) risikostyring, hendelsesrapportering, motstandstesting og tredjeparts risikostyring (TPRM) i 2020, slik at veiledere kan føre tilsyn med kritiske IKT-tredjepartsleverandører (CTPP) inkludert skytjenesteleverandører ( CSPer). For eksempel, i tråd med FSB, anser ikke CP at konsentrasjon i levering av tredjepartstjenester til firmaer eller FMIer automatisk utgjør systemiske risikoer, og at "konsentrasjon kan gjenspeile kvaliteten, inkludert motstandskraften, til en tredjeparts tjenester ".

De foreslåtte kravene i CP tar sikte på å utfylle, men ikke overstyre det eksisterende regulatoriske ansvaret til finansielle tjenestefirmaer og FMIer med hensyn til deres operasjonelle motstandsdyktighet, og gi sårt tiltrengt klarhet om deres og CTPs forpliktelser. Gitt sitt fokus på tredjeparts risikostyring, er CP også relevant for

Tilsynserklæring SS2/21 Outsourcing og tredjeparts risikostyring publisert i 2021, som fastsetter PRA-forventningene til hvordan firmaer skal overholde regulatoriske krav og forventninger knyttet til outsourcing og tredjeparts risikostyring.

Til slutt bør det bemerkes at regulatorene minner om at "firmaer og FMIer vil forbli ansvarlige og ansvarlige for å vurdere vesentligheten og risikoene for hver av deres outsourcing- og tredjepartsordninger og utføre passende og forholdsmessig due diligence på potensielle tredjeparter". De spesifiserer videre at forslagene vil utfylle, men "ikke utviske, eliminere eller redusere ansvarligheten og ansvaret til firmaer, FMIer, deres styrer og toppledelse", inkludert "enhver enkeltperson som utfører seniorlederfunksjoner (SMFs) fra å fortsette å oppfylle sine eksisterende regulatoriske forpliktelser om operasjonell motstandskraft og tredjeparts risikostyring».

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.finextra.com/blogposting/25349/operational-resilience-what-does-the-proposed-uk-ctp-regime-mean-for-firms-fmis-and-third-parties?utm_medium=rssfinextra&utm_source=finextrablogs