雷切尔·泰勒,存商业弹性执行董事, 加入行业专家小组,讨论第三方供应商对运营弹性的影响, 业务连续性计划的变化以及国际监管和司法一致性的必要性.
虚拟会议的与会者包括来自弹性领域的高级技术领袖, 操作风险和网络弹性, 等.
存管连接 与Tyler坐下来讨论小组讨论的关键要点.
DC:第三方提供商是vnsr威尼斯城官网登入领域不可或缺的一部分. 同时, 大流行给企业提出了新的挑战,要求它们提高业务应变能力. 当企业使用第三方供应商时,他们会面临什么样的挑战?
RT: 第三方供应商是vnsr威尼斯城官网登入价值链的关键部分, 提供的服务和功能,个别公司可能无法最好地实现自己. 虽然这种关系可能有很多有效的原因, 将这些提供商引入到链中意味着必须考虑它们的弹性状态, 为了获得安慰,整个服务是有弹性的.
这一现实带来了一系列独特的挑战. 首先,该领域的供应商数量可能有限. 换句话说,在某些情况下,竞争很低,增加了集中的风险. 金融行业已经就限制这些集中度进行了广泛的对话,同时没有透露哪些公司使用特定的供应商.
另一个挑战是通常被称为第n个提供者的存在——第三方供应商使用的承包商和分包商. 第n个供应商使问题更加复杂,因为找到这些公司的信息很复杂,而且增加了额外的风险. 而公司可以使用合同来管理第三方, 他们可能无法根据机构的规模进行谈判, 合同的价值和供应商的集中度. 在许多情况下,这些第n家供应商不受直接监管. 因此,了解他们的测试和备份功能通常是一项挑战.
第三方供应商是vnsr威尼斯城官网登入价值链的关键部分, 提供的服务和功能,个别公司可能无法最好地实现自己.
DC:当这些服务由相关公司提供时,第三方关系有什么不同吗?
RT: 存和其他组织使用组内提供者, 与使用第三方供应商相比,哪些供应商提供了更高级别的保护,因为组内提供商了解他们提供服务的实体所需要的期望,并且通常与所提供的服务更一致. 集团内部的外包不会像外包给独立的供应商那样带来同样程度的风险, 通常允许受监管实体以保障实体安全和稳健的方式在全企业范围内有效地部署vns6060威尼斯城官网. 这可以通过服务级别协议和纳入风险和弹性治理结构来实现, 哪项审查和设定了团队的风险承受能力. 适用于集团内部安排的严格要求与这些安排带来的相关风险不成比例,可能会使受管制的实体与不受管制的竞争者相比处于竞争劣势.
DC:对运营弹性的关注将如何改变执行业务连续性测试的方式?
RT: 一般, 业务连续性计划及其相关的测试确保业务可以在中断的情况下运行,并覆盖地理分散的需要. 换句话说, 人员和技术是否到位,以确保在客户需要时提供服务?
执行业务影响分析和测试练习是任何业务连续性计划的关键要素. 公司通常通过灾难恢复演习和员工职责轮换来测试他们的能力. 根据最近的监管指导,这种类型的测试将继续进行,甚至可能增加频率.
然而, 当焦点转移到服务级别的操作弹性时, 公司可能需要改进他们的测试程序,而不是专注于单点故障, 评估整个服务的多个影响点,并同时强调它们. 这可以通过执行测试来完成,其中某些技术或流程部分同时失败,以及许多依赖关系受到影响. 而不是, 以更细粒度的方式查看重要的业务服务将有助于确定机会领域.
此外,需要更多的重点来进一步确定优先次序. 当业务中断时,需要先恢复哪些业务? 公司制定的复苏计划是否允许更细粒度的复苏? 从这些方面来看,与公司所依赖的第三方进行测试变得更加重要.
DC:企业应该如何将技术可用性的变化作为弹性规划的一部分?
RT: 企业如何应对技术可用性的变化是一个关键的调查领域. 例如, 在传统灾难恢复程序下测试多数据中心模型, 公司需要确保他们能够从一个数据中心转移到另一个数据中心,以继续提供服务. 在美国,这些故障转移测试也可能是法规所要求的.S.,这包括“加强运营弹性的良好实践”或SEC监管SCI. 然而, 当公司切换到一种模式时,应用程序或完整的基础设施组件将数据中心作为标准业务流程进行操作, 执行故障转移或区域丢失测试的概念没有什么价值. 从技术上讲, 系统和相关的技术堆栈已经按照设计在一定频率上执行此任务. 公司和监管机构都需要评估,由于技术设计和执行方面的这些变化,服务连续性测试需要如何进行调整.
DC:为什么为了实施成功的运营弹性计划需要国际协作?”
RT: 为了实施有效的运营弹性计划, 企业理解监管预期是至关重要的, 政策和指导方针中使用的定义为任何标准的有效应用提供了基础. 面向具有国际影响力的实体, 全球一致的分类集对市场参与者和监管机构都至关重要, 有助于形成公共和私营部门之间的持续预期,并减轻市场分化和监管套利的可能性.
一个共同的框架对于支持全球不同监管机构之间的系统性风险监控也至关重要. 允许这种共识也有可能减轻市场参与者对同一信息的多个请求作出反应的负担.
在网络方面, 协调和其他减少额外负担的努力将使公司能够在危机中集中精力保护客户, 同时也要恢复和确保机密性, 及时支持其服务的系统的可用性和完整性,而不会向市场引入更多风险.