OSFI 的技术咨询:理解为金融业提供动力的技术固有的风险

介绍

2020年9月15日,金融机构监管办公室(OSFI)发布了有关金融部门技术风险的讨论文件。 Ťhe paper, 在数字世界中发展金融部门的应变能力:技术和相关风险的精选主题s,重点关注网络安全,数据分析,第三方生态系统和数据引起的数字风险。如今,技术和数据对于联邦监管实体(FRE)的运营至关重要。在本文中,OSFI专注于其中的一些,包括量子计算,人工智能,云计算和数据。 OSFI 在希望进一步调查的领域提出了问题,这可能表明OSFI希望与利益相关者合作以制定指导意见,以平衡加拿大金融业的“安全性和稳健性”与创新领域的需求。

纸张是不应掉以轻心或忽略的东西。 OSFI 已要求利益相关者在2020年12月15日之前对该文件发表评论。这些评论可能会成为OSFI提出任何坚定建议之前进一步磋商的基础。因此,OSFI提出的任何旨在规范“技术和相关风险”的新指南都可能对金融部门产生广泛的影响,包括以下方面:

  • OSFI asks whether its approach of principles-based regulation continues to be appropriate in the area of technology risk management, or whether more prescriptive, rules-oriented guidance is desirable. The rapid rate at which emerging technologies are progressing raises questions not only 关于 the appropriateness of prescriptive rules, but also the challenge of promulgating technologically neutral rules that can be operationalized, while not adversely stifling innovation in the financial sector. This is especially important as Canadian financial entities do business internationally. Canadian regulation has the potential to either help or hinder future competitiveness in the global market.  
  • OSFI 注意到影响数字技术使用的其他磋商会,包括《数字宪章》以及对各种隐私法的拟议改革,包括 皮派达. British Columbia, Ontario and Quebec are also proposing to amend their privacy laws. The convergence to modernize laws targeting evolving technologies raises questions 关于 whether reforms will be coordinated or result in a multiplicity of new and potentially inconsistent laws administered by multiple regulators.
  • 关于诸如人工智能之类的改变游戏规则技术的负责任使用方面,越来越多的新指导文件,标准和最佳实践。尚不清楚OSFI指南如何适合或利用所有有时相互冲突的文献。

长期以来,人们一直认为金融机构具有强大的实力,并依赖于各种各样的数字技术。金融机构在COVID-19大流行期间可靠地交付关键产品和服务的能力只是金融机构如何成功利用数字技术的力量来交付灵活,可靠和强大的产品和服务的最新实例。话虽如此,对数字技术的日益依赖可能触发或放大金融机构的运营和财务风险。 OSFI 表示正在评估针对技术和相关风险的操作弹性目标的优缺点,并认为有必要对操作风险管理和操作弹性进行全面了解。

此次磋商是OSFI早期工作的延续,该工作旨在确定和缓解数字技术带来的风险,包括:

  • 2019年发布的网络安全事件报告要求;
  • OSFI 于2016年发布的操作风险管理指南(此处与技术风险相关,因为技术风险是操作风险的子类别);
  • 2013年发布的《网络安全自我评估指南》;和
  • OSFI B-10关于业务活动,职能和流程外包的指南,该指南最初在2001年发布,影响了数字领域的外包。

OSFI 确定的优先技术风险领域

讨论文件重点关注与三个优先领域相关的原则:网络安全,高级分析和第三方生态系统。由于数据是这些领域中每一个领域的基础,因此讨论文件还单独讨论了数据风险。 OSFI 打算以这些原则为基础,在今后的这些领域中建立更具体的监管期望。

网络安全

网络安全原则侧重于 信息的机密性,完整性和可用性。这是基于OSFI与网络安全有关的现有工作,包括2013年《网络安全自我评估指南》,有关网络事件报告的2019年咨询以及情报公告和技术风险公告的持续发行,旨在补充OSFI的准则和咨询。 OSFI 指出,它继续观察到许多金融机构的网络安全政策,程序和功能方面的差距,并且存在许多改进的机会。

作为此原则的一部分,OSFI标记了两个特定的重点:

  • 加强与其他当局的合作 与网络弹性有关,包括加拿大政府的国家网络安全战略,加拿大金融部门弹性小组和加拿大网络安全中心;和
  • 为更广泛的采用做准备 量子计算 以及将量子计算作为一种新兴风险进行管理,尤其是量子计算给传统公钥密码术带来的风险,这种技术可能会破坏这种风险。

进阶分析

OSFI 指出,高级分析,尤其是人工智能(AI)和机器学习(ML)模型的使用,带来了一系列新颖的机遇和风险。 OSFI 打算利用从本讨论文件收到的利益相关者反馈来告知 development of regulatory and supervisory frameworks that 地址 the risks resulting from the use of AI and ML。 OSFI 已将健全性,可解释性和问责性确定为管理与高级分析(包括AI和ML)相关的高风险的核心原则。通过磋商,OSFI寻求有关这三个原则是否适当地捕获了这种升高的风险或是否应该考虑任何其他原则或风险的反馈。

第三方生态系统

OSFI 长期以来一直在寻求管理金融机构依赖第三方生态系统带来的风险,尤其是通过准则B-10。 OSFI 注意到,尽管准则B-10中的现有原则仍然适用,但仍需对这些准则和期望进行审查。需要特别注意的领域包括:

  • 管理有关的风险 广泛采用基于云的服务;
  • 地址ing concerns stemming from 依靠少数占主导地位和复杂的云服务提供商 ; 和
  • 与之相关的机会和风险 加强与第三方金融科技公司的合作.

OSFI 将进行与指南B-10中包含的期望有关的单独协商程序,该协商结果将作为参考。

数据

数据的总体概念是讨论文件涵盖的最后一个领域,尤其是如何在整个数据生命周期中维护合理的数据管理和治理。重点关注的领域是:

______________________

To stay up-to-date on this consultation as it develops, subscribe to 技术Lex at the bottom of this page. For more information regarding the impact of this discussion paper on your business or organization, please contact the 作家 and see our 技术 组页面。

s

订阅

保持联系

Get the latest posts from this 博客

Please enter a valid 电子邮件 地址