總部位於倫敦的跟踪和分析金融服務監管的智囊團 JWG 的一篇新論文稱,新監管將從根本上改變大型科技公司的格局,尤其是雲提供商。

“管理數字基礎設施風險:通向金融服務安全的協作之路”,可從 JWG 在線獲取。 它的分析基於 2022 年的 287,897 頁新規定,為那些需要在巨額罰款開始實施之前定義“什麼是好的”的公司敲響了警鐘。

該公司使用自然語言處理器來梳理法規。 Di Giammarino 說:“我們已經對我們知道監管機構談論的所有術語進行了建模,我們挖掘了我們不理解的主題,並試圖了解它們是如何組合在一起的。”

新法規將涵蓋信息和通信技術 (ICT) 風險管理、第三方風險管理戰略、情景規劃、運營彈性和技術治理。 當然,歐盟、英國和美國的要求會有所不同,更不用說亞洲了。

JWG 首席執行官 PJ Di Giammarino 說,這變得非常複雜。 “我們在亞洲、美國和歐洲之間已經存在很大分歧。 歐洲以客戶為中心,並通過監管來保護個人。 美國保護公司和做生意的權利,同時也為人民提供一點保護,而中國完全是國家權利。”

他補充說,這可能會增加一個全新的複雜性和成本水平。

“總結過去 18 年的監管工作,這完全取決於誰交易什麼。 現在這裡發生的是另一個對話——如何? 這在今天無處不在,一點點 reg 正在蠶食 HOW。 除非你自上而下地做,否則你會死於大量的剪紙和罰款。”

歐洲中央銀行高級顧問弗朗西斯格羅斯表示,該行業必須迅速採取行動。 他以個人身份表示:“給人的感覺是,行業和監管機構需要一起快速學習,了解什麼技術最適合競爭,什麼技術最適合集體行動,超越今天的孤島。”

報告稱,歐洲的公司將被要求向歐洲中央銀行提供所有外包合同的完整清單,其中包括每份合同的 32 個數據字段以及被視為關鍵或重要的額外 19 個數據字段。

Red Hat 副總裁兼全球金融服務主管 Richard Harmon 表示:“這項 JWG 研究概述了我們行業正在經歷的轉型,數字基礎設施風險管理從後台辦公室轉移到董事會會議室。” “現在,董事會比以往任何時候都更需要花時間了解商業模式、監管要求、技術和銀行供應鏈之間的相互依存關係。”

Di Giammarino 表示,金融服務公司將不得不改變他們傳統上各自為戰的方式——監管要求將需要一種整體方法。

“這一切都變得非常部落化。 即使在風險中,你也有市場風險和信用風險,他們可能不會關注操作風險。 現在您還擁有運營彈性。 大多數控件都是隨著時間的推移而開發的,有點像 IT 基礎架構的開發方式。 現在,公司面臨著圍繞我們擁有哪些控制措施以及它們是否符合新規則目的的大型內務管理工作。”

儘管 The Finanser 的克里斯·斯金納 (Chris Skinner) 和幾本關於數字金融的有見地書籍的作者經常抱怨董事會缺乏足夠的具有深厚技術知識的董事,但迪賈馬里諾 (Di Giammarino) 認為他們現在在技術方面有很好的基礎。

“董事會上的這些人現在非常精通技術,”他說。 “如果他們不到 40 歲,他們是在一個完全基於科技的市場中長大的。 我認為董事會的問題與其說是那裡的人是否精明,不如說是第二道防線如何協同工作。 每個組織都可能有不同的人接替。它可能是將財務、合規和風險結合在一起的首席行政職能部門,或者銀行可能只是將其交給風險部門或運營部門和技術部門。”

JWG 建議在與法規和標準相關聯的當前框架的基礎上開發一個全面的風險管理框架。 但從 JWG 的文件中可以清楚地看出,正在討論的法規將很廣泛,並且需要對現有的雲服務進行檢查。 例如,歐盟的公司可能必須展示如何從現有供應商處移除 ICT 服務並將其轉移到不同的供應商或將其引入內部。 報告稱,監管機構將對供應鏈的相互依存關係有一個獨特的了解,並能夠首次識別集中風險。

監管機構還將關注人工智能,了解基礎設施、數據和應用程序的處理方式。

“雖然歐盟承擔的義務最多,因此似乎處於領先地位,但英國仍然緊隨其後,與美國合作的可能性很大……不幸的是,我們發現許多本應團結起來的風險社區之間沒有太多聯繫這些舉措的背後。 合規性、運營風險、數據和技術部落似乎往往各自為政,儘管已經出現了一些最佳實踐,但目前還沒有整體或統一的方法來進行整體控制。 總的來說,這是未來 3 年非常複雜、令人沮喪且代價高昂的秘訣。”

像大多數大型金融機構一樣跨轄區開展業務的公司必須通過重疊的監管制度找到出路。

“例如,一家美國金融機構如何證明其在英國託管的信貸申請為意大利客戶提供符合歐盟人工智能法案要求的人工智能服務,包括需要在歐盟當局註冊的設計、數據、測試和控制?

報告警告說,該部門有一個很短的窗口來創建一套統一的控制措施。

“實施工作是分散的,需要冗餘的映射工作。 巨大的行政負擔可能會增加技術成本和鉛筆創新。”