毕马威中国 2021年 十大监管挑战 监管未来：观点变革引言 3 8 监管挑战 气候与 ESG 消费者/投 资人保护 我很高兴在此代表毕马威监管洞见期刊，发布本年度金融服务十大监 管挑战。本年度期刊将展望2021年，为您提供我们的监管洞见，以及 聚焦不同监管挑战领域的毕马威专家的专业见解。我们希望您能与我们 接触以了解更多我们在本期十大监管挑战中提出的事宜或探讨贵公司面 对的独特挑战。 2020年各行业出现的颠覆性变革将重塑金融服务业。其中最显著的变革包括在线及数字技术的加速应 用、远程办公模式的长期采用以及业界对有关气候及其它ESG相关金融风险的业务及风险战略的需求。 这些变革将影响金融服务企业实体及战略运营的所有方面及其技术系统与数据安全、产品与服务、客 户互动及第三方关系/从属关系。随着这些变革而来的是各种监管及公共政策的挑战和关注，它们将于 2021年揭示“监管未来：观点变革”。 因此，毕马威认为，2021年十大监管挑战将是： 1. 变革管理 2. 信用风险与LIBOR改革 3. 气候与 ESG 4. 核心风险管理 5. 运营韧性与网络安全 6. 合规风险 7. 舞弊与金融犯罪 8. 消费者/投资人保护 9. 支付 10.监管权扩大 Amy Matsuo 毕马威美国， 监管洞见 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威会计师事务所 澳门合伙制事 务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载金融服务督导委员会 Peter Torrente 全国行业主管， 银行业与资本市场 电邮： Peter 是毕马威银行业及资本市场全国行业主管。他在与高管及审计委 员会就当前业务、会计、审计及行业问题进行合作、沟通和汇报上拥 有丰富经验。 Joe Hargrove 主管， 税务市场与服务 电邮： Joe 是毕马威税务市场与服务主管，曾与多家投资银行和国际企业合作， 在经济扩张和不景气时期为它们提供协助。他拥有三十多年为客户的复 杂税务问题提供咨询服务的经验，对金融工具税收、国际税、并购和资 产剥离有着深入见解。 Kalpana Ramakrishnan 主管， 金融服务业 电邮： Kalpana 致力于推动创新以迎合金融服务业当前及未来的市场需求， 并促进业界团结以使我们的团队实现最佳表现。她在统一客户的业务 战略与信息技术战略以持续提升股东价值方面有着丰富经验。 Ed Chanda 合伙人， 全国行业主管，保险业 电邮： Ed 是毕马威保险业全国行业主管，领导毕马威美国的保险业审计、税务 及咨询业务。他拥有30年的保险业（财险和寿险）服务经验。他还协助领 导毕马威美国有关财务会计准则委员会（FASB）和国际会计准则理事会 （IASB）的保险合同项目的工作，以及毕马威执业技术部的部分工作。 Amy Matsuo 主管， 监管洞见美国主管 电邮： Amy 是毕马威监管洞见及合规转型主管。作为全国公认的客户服务交 付专家，她在为企业、风险、高管、治理委员会及董事会提升价值上 具备丰富经验。Amy是美国金融服务高级监管合伙人，工作涵盖风险 与合规的所有领域，也是美国可持续金融及ESG风险解决方案高级监 管合伙人。她的公共政策与监管洞见被公认为是行业内的领先指标和 实务。 二零二一年十大监管挑战 3 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载变革管理 Amy Matsuo 主管， 金融服务监管与合规风险 电邮： Amy是一名主管以及毕马威监管 洞见及合规转型主管，因向大型 国内及全球企业提供监管驱动变 革服务而获得全国认可。凭借27 年的直接风险及监管工作经验， 她领导着领先思维及客户服务领 域工作，主要涉及政策、监管、 合规以及执法驱动变革等方面， 通过设计与嵌入稳健、可持续内 部控制、自动化与科技、数据分 析和测试以及公平、负责任的风 险与合规实务，协助机构预测及 降低潜在影响。 挑战 贯穿2020年的动荡预计将继续在2021年存在，迫使金融服务企业在变革管理流 程中展现敏捷能力。许多企业在应对新冠疫情中必须作出变化，如暂时规则改变 和延期偿付，将是暂时性的。已在执行中的变革，如数字化转型和ESG考量因素 的应用，则取得显著加速。某些预期之外的变化，如远程办公要求和有限的亲身 客户访问，让金融公司（及消费者）看到了以另一种全新运营模式的可能性，并 将可能变革金融服务的未来。这些变革的执行以及为使它们生效而需要的各种政 策与程序、技术、产品与服务、合作伙伴和联盟、风险模型和业务策略将经受 众多利益相关者（监管机构、投资人、竞争对手和客户）的审视。监管机构将关 注企业有案可查及稳健的变革管理，且须与其治理架构保持一致，以及对法律法 规（包括消费者保护法）的持续遵循。 同样，监管机构也被迫调整自身运营，并在急剧的变革下继续对金融机构进行频 繁、持续的质询。监管审查活动将包括同业及特定企业审查（包括针对性及全范 围审查），根据的是企业规模、复杂性、风险状况及其客户的行业及业务焦点。 对多数企业而言，监管审查将保持显著提升。为应对加剧的变革，除了数据及事 项治理、网络安全、企业风险管理、舞弊及金融犯罪、消费者保护及建模/情景 分析等领域的更广泛审查外，监管机构还会在特别关注领域执行“简化审查”。 （详见本期2021年十大监管挑战的其它章节。） 尤其是，监管机构正更广泛 地采用监管技术，包括机器学习和自然语言处理，以管理受监管机构提交的具 有新型趋势的文档，并协助提升监管审查流程的效率。 变革管理流程的常见挑战： 捕捉变革 组织变革以及决定需监督或处理哪些事项 追溯过去相关时点的具体要求 追踪及获取业务、流程、政策、程序及控制所受影响的审计线索 在三道防线之间就相关影响进行沟通 监管压力 OCC已将“重大运营变革的变革管理”纳入其2021年银行监管战略中。其中 关注领域将包括： 新技术创新和执行的治理，包括云计算、人工智能、风险管理流程数字化以 及新产品和服务 战略方案变革 紧急刺激计划的执行 新冠疫情相关运营情况的应对 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载监管机构也被迫调整自 身运营，并在急剧的变 革下继续对金融机构进 行频繁、持续的质询。 监管审查活动将包括同 业及特定企业审查 1 监管机构就企业应对新冠疫情而作出的临时运营及合规变更而提供的通融 措施也是暂时性的，但随着远程工作及经济困难的持续时间不明确，监管 机构开始希望企业充分调整它们在急剧运营转变期内建立的政策和流程， 以确保安全、合理的运营以及对消费者保护法律及法规的遵循。 在新冠疫情期间，监管机构正通过监管科技应用（包括机器学习和自然语言处 理）来提升监管流程，并已改变某些应用的用途以提升监管流程的效率与效力， 包括对机构的持续监控。 业界对数据问题数据搜寻、质量、储存和隐私以及创新技术应用的透明度 和反垄断问题的关注，正使监管审查聚焦于第三方收购、第三方关系以及新产 品和服务。 下一步工作 鉴于持续和不断演变的变更触发因素，金融服务企业需要建立企业治理和例行管理 实务，以展示它们有效的流程能识别及降低新冠疫情带来的转变有关的风险。这些 流程虽然是在企业承受高压和运营影响的时期内确立，但也应与企业治理架构保持 一致。 有效整合组织变更的关键步骤包括： 识别驱动因素和适用性：执行水平扫描以跟踪变更驱动因素，如新供应 商、产品、交付渠道和监管义务等；确定业务线及/或产品的变更适用性； 识别变更并将它们与现有业务及风险数据进行关联。 评估影响：就新的或经修订的监管义务的变更考量进行评估；寻找覆 盖范围或一致性上的差距，识别趋同机会；分析对人员、流程及技术构 成的下游效应。 设计策略：识别短期及长期目标；制定变更要求，包括受影响利益相关者 的培训及沟通计划；设计仪表盘报表及管理协议。 执行变更：更新和改进政策与程序，制定模板、流程、RCSA和测试项目；改 进现有技术基础设施；通告变更预期及执行项目。 持续监督与提升：执行监督与测试程序；审核变更成功KPI/KRI和评估投诉数 据；确定提升机会和已识别问题的矫正措施；持续精简业务运营。 二零二一年十大监管挑战 5 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载信用风险与 LIBOR改革 Adam Levy 主管， 建模及估值 电邮： Adam 在交付金融风险管理服务方 面具备近20年经验。他的专业经 验领域包括消费者及商业借贷行业、 压力测试和信用损失拨备。他还在 模型风险管理方面具备丰富经验， 包括模型开发、校正和验证。 挑战 当前疫情已对所有市场板块构成迫切性并提升了影响着这些板块的信用风险 的严重程度，而其中某些板块承受更大影响。新冠疫情的不确定性以及影响 的严重程度和持续时间继续是信用风险讨论的主要话题。机构在努力协助客 户和社区应对新冠疫情带来的经济影响的过程中面临各种挑战，同时需应对 不断增加的运营支出、信用及其它风险和快速变化的客户及员工期望，同时 还要变更运营与交付模型，所有这些均在一个持续低利率的环境中进行。 联邦政府项目（如根据CARES 法案确立的相关项目）以及不断变化的客户行为 使金融机构难以估计自身机构受到的信用冲击。与上次经济衰退相比，当期危 机的影响来得更快，并同时影响消费者和商业投资组合。如OCC在“2020年春 季半年度风险视角”中所述 - “银行资产负债表上几乎每个资产类别已经或很 可能将受到影响”。在依然存在的不确定下，此问题将使业界在2021年继续聚焦 于信用风险管理流程。此外，在机构被鼓励与借款人合作并执行贷款修改以缓 释新冠疫情影响的同时，监管机构仍然会审查这些修改的理由以及困难债务重 组（TDR）分类、风险评级、计提状态、拨备充足性以及上述事项对银行资本 的影响。 监管压力 CECL的采用。 违法行为频发和信用损失加剧在2021年继续是市场的主要问题。 监管机构需评估机构能否从会计角度评估损失以及它们能否有效地识别和管理 已加剧的风险以降低损失，因此，业界对CECL的关注仍会是头等事项。CECL 的采用已造成一定的断裂，因某些机构已降低了它们对传统信用风险实务（如 信贷审核）的关注，转而更注重生命周期贷款损失估计。但不要误会，从安全 和合理角度，监管机构将继续关注信用风险管理实务。 监管优先考虑事项。 如OCC的“2021年银行监督财务运营方案”中所述， “OCC将在本财政年度内根据具体情况调整监管策略，以应对新兴风险和监管优先 考虑事项。” OCC提出，由于经济环境不佳，信用风险管理仍将是重点关注领域， 并强调审查人应关注：“商业和零售信用风险控制职能，包括组合管理和风险管 理、及时风险识别、独立贷款审核、风险评级准确度、政策豁免追踪、抵押估值、 压力测试和收款/筹划管理。” 其它关注点包括房地产集中度和集中风险管理 （零售和商业），以及其它“集中度较高，尤其是受疫情重创的行业”的投资组 合。FRB同样要求其监管者关注这些领域。 Chris Long 主管， 金融服务解决方案，咨询 电邮： Chris 领导着毕马威全球IBOR项 目，协助客户和市场参与者就从 IBOR到备选参考利率的过渡制定 战略、规划及执行。Chris 已发表 多篇文章并在有关此过渡的行业 座谈会上发表讲话，也是备选参 考利率委员会（ARRC）客户外联 与沟通下属工作小组成员。 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载信贷质量：虽然2020年“共享国民信贷项目”的结果尚未公布，但2019年报告 的某些信息或有助我们了解该市场的未来状况。2019年报告指出，信用风险（尤 其是杠杆贷款）与去年相比有所提升，且“这些杠杆贷款中大部分结构不佳，” 以及大部分这些特征（ “包括高杠杆、激进的偿付假设、弱化的契约和借款人提 取额外资金的能力”）是竞争市场状况的结果，并未在以往经济衰退期显著存在。 这些发现反映了新冠疫情开始前，风险及监管关注已在增加，并将很可能仍是贯穿 2021年的首要关注点。近期监管报告提出，专属救济和指定项目的提供以及相关 刺激性措施可能掩饰了信贷质量问题。信用风险将根据援助项目周期以及失业率 等经济性因素而演变。 LIBOR 过渡。随着LIBOR预计从2021年末到2023年六月中分阶段终止，监管机构 对LIBOR风险敞口巨大的机构和流程较不成熟的机构的关注将增加。监管机构希 望所有机构均建立合理流程以识别和降低自身的LIBOR过渡风险，这些风险与机构 敞口的规模和复杂性相当。监管者希望机构“立即”确定合理的替代参考利率， 包括信贷敏感的替代利率（考虑到它们的资金成本和客户需求）。监管者期望， 从2021年末开始，新合同将不再参考美元LIBOR。此外，在LIBOR停用后，所有 新合同应使用LIBOR以外的参考利率，或纳入备用条款以列明替代参考利率。联 邦银行机构表示，SOFR的应用是自愿性的，它们不会评论其它利率，包括信贷敏 感的贷款利率。机构在利率变更前应向信贷客户作出披露，以缓释消费者保护和 合规风险。 接近零利率环境。当前的零利率环境和经济不确定性可能最终令负利率（如负 回报率、负隐含利率和某些情况下的负利率央行政策）在美国成为可能。负利率 会对不同机构产生不同影响，取决于它们的业务模型和风险敞口，但不同规模的 金融服务企业均可能希望通过更新框架来适应，包括带利率敞口（如LIBOR）的 产品和合同以及需依赖利率的模型和系统（内部及第三方）。 下一步工作 当前疫情已对所有市场板块 构成迫切性并提升了影响着 这些板块的信用风险的严重 程度，而其中某些板块承受 更大影响。新冠疫情的不确 定性以及影响的严重程度和 持续时间继续是信用风险讨 论的主要话题。 2 利用有助了解风险增加的内部数据和市场数据，而不是仅依赖滞后的信息。 为CRE等贷款组合建立早期预警指标，这些组合受到新冠疫情的冲击或特 别严重。 确保贷款风险评级与当前环境的风险相当；从第一偿还源头转移到第二或第三 偿还源头的贷款应作相应评级。 考虑重估信贷集中度及风险偏好以适应与新冠疫情有关的风险增加以及2021 年可能出现的潜在损失；分析和主动管理集中度风险。 关注风险控制、风险评级准确性和定期风险评估以评价、监控和测量不同组合 的潜在风险。 了解本地、区域及全国市场；未来收益受到的可被感知的影响；驱动借款人偿 还贷款的基本因素以及不断变化的市场状况对抵押物估值的影响。 关注信用风险基本因素；维护稳固的信贷文化；主动监控信用恶化情况，包括 识别早期预警迹象。 二零二一年十大监管挑战 7 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载气候与ESG Steve Arnold 主管， 金融服务解决方案 电邮： Steve 是毕马威数据管理与金融服 务咨询业务的一名主管。他曾为众 多复杂机构提供金融服务和解决客 户挑战，包括数据供应链和储存、 质量（包括控制和认证框架）以及 保护和隐私。他还具备金融和风险 运营经验，包括压力测试、 CCAR/DFAST（综合指标分析与审 查/Dodd-Frank 法案压力测试）、 诠释复杂的监管要求和创建目标运 营模型以协调监管与企业风险管理； 近期，他致力于将数据和风险原则 应用于ESG和相关主题。 挑战 目前，国际论坛、央行、学术机构和私营部门利益相关方已制定多种标准和框架 以计量和报告ESG风险。它们大部分是自愿性的，不具备直接可比性，使利益相 关方（包括金融服务企业、监管机构和投资人）难以客观地评估企业、产品及/或 投资的ESG风险和承诺。行业顾问团体强烈建议美国金融服务监管机构应用标准 化的框架和一致的分类法。但正如行业本身一样，监管机构也是刚刚开始了解 ESG风险和探索如何监控、测量和报告这些风险。2021年，监管焦点显然落在气 候变化上（“环境”因素下的一个子元素），但多样性（属“社会”因素）和企 业宗旨（属“治理”因素）也会纳入考量。 如今，金融服务监管机构拥有为应对金融气候相关风险和更广泛的ESG风险而制 定监管期望的司法权，不再需要额外的规章制定。广泛而言，这些职权涵盖系统 性金融风险监督、特定市场和金融机构的风险管理、披露与投资者保护以及金融 行业公共设施的保障。随着监管机构开始提出期望，企业开始公布它们在投资战 略、尽职调查和风险流程中的ESG政策承诺，并积极鼓励其它企业效仿。 范例包括： 承诺降低对化石燃料和相关产品的依赖 推广遵循SASB和TCFD的ESG披露 承诺通过金融产品和投资应对种族不平等问题 扩大符合ESG预期/标准的产品供应 发行针对社会平等和环境可持续性的债券 承诺应用世界经济论坛的国际商业理事会发布的衡量利益相关方资本主义 （ Measuring Stakeholder Capitalism ）中提出的指标和披露 制定策略以降低对不符合某些ESG标准的客户的风险敞口 监管压力 业界将ESG问题纳入考量的趋势是明确无误的，虽然美国金融服务监管机构曾被 视为“不情愿的参与者”，他们实际上也接触了国际上的某些ESG相关项目，如 FSB的TCFD和BCBS的TFCR。FRB和CFTC已特别将气候变化视为对美国金融稳定 性带来严重的潜在威胁，包括可能会使金融体系中与气候变化无关的脆弱点恶化 的溢出效应。 监管机构的注意力指向披露、报告和公司政策和程序等事项；监管机构在以下方 面承受着越来越多的压力： 充分参与国际项目以建立ESG准则和指标，初步工作重点是就气候变化风险 制定统一的全球措施 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载将ESG相关风险管理（尤其是气候风险）纳入银行和非银行监管与合规架 构；在这些架构下，监管者应拥有相关权力，包括系统性金融风险监督、 风险管理和披露及投资者保护 澄清“重要性”的定义，包括定性与定量因素，以符合监管机构有关识别、 测量、追踪与控制重大风险的期望以及公开披露要求 要求银行与非银行金融服务企业通过现有风险管理及治理架构（包括压力测试 （针对气候，这包括根据一系列一致、通用的广泛风险情景、指引和假设进行 评估）和资本要求）来应对气候风险和ESG问题 制定在金融及非金融报告中使用的通用分类法（就“环境”、“社会”和“治 理”因素）和相关定义、风险数据和数据收集、分析工具和金融产品，以实现 标准化、可比及可靠披露 了解组织内和金融产品与服务交付中的种族、社会和经济差异和不平等的根源， 并实施变革 下一步工作 明确在战略、政策、实务和规定方面，机构就气候风险和ESG问题采用的方 案和承担的责任，包括客户和第三方关系；制定纳入气候风险与ESG决策和 报告的目标与时间表。 制定路线图和战略以计量和评估所有关键风险领域（如运营、声誉、信用、合 规、流动性、战略、模型、市场和尽职调查）的气候及ESG相关影响。 评估各个资产类别的实体及过渡风险敞口并确定这些敞口如何影响气候与 ESG风险管理的战略规划。 识别及获取所需数据集以预测实体风险；纳入银行系统、情景分析、经济模 型和压力测试。 根据不断变化的监管分类学调整机构内部定义，以纳入气候风险与ESG相 关影响（如“ESG”包含什么、“绿色”和“可持续”的定义）。 随着全球标准不断变化，关注气候风险和ESG相关财务数据和控制（正如 SOX）的完整性。 在业务和风险管理流程中建立政策和控制以及时缓释气候与ESG相关声誉风 险，并实施主动监控和识别。 实施本地及全球披露与报告框架，以符合企业根据SEC法规、TCFD标准、 SASB标准和其它适用标准制定的ESG规定/政策。 如今，金融服务监管机构拥 有为应对金融气候相关风险 和更广泛的ESG风险而制定 监管期望的司法权，不再需 要额外的规章制定。 3 8 二零二一年十大监管挑战 9 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载核心风险管理 Tim Phelps 主管， 金融服务咨询主管 电邮： Tim 具备20多年客户咨询服务经验， 目前担任金融服务咨询业务线主管。 Tim 负责建立金融服务战略并与毕 马威团队合作，根据我们的银行业、 资本市场和保险业重点客户的需求 开发相关咨询服务。 Cameron Burke 执行总监， 运营与合规风险 电邮： Cameron 在向金融服务业交付风险 咨询服务方面具备丰富经验；他多 次协助客户执行针对企业/运营风险 管理、风险评估趋同、业务合并与 分拆和数据转型的大型项目，同时 在转型过程中致力降低风险和对机 构的影响。 挑战 金融服务企业需协调多项重点工作，如不断增加的风险效率、科技现代化、效率 提升和建立可扩展和富韧性的项目，同时维持监管合规，使核心风险管理的职责 不断演变。此外，核心风险管理正受到越来越多的监管关注，这可导致严重或可 能公开的法律诉讼（包括如主体性、普遍性、系统性风险问题被识别并被分类为 风险管理不善时产生的巨额罚款）。及时采用和实施相关措施以校正已识别的风 险问题是风险管理监管重视增强的主要组成部分。 常见挑战包括： 展示风险管理效力和对控制环境的充分监督 随着金融机构的快速变化，风险在持续变化，控制环境也在不断改变。若生态 系统中的系统、流程和人员持续变化，机构可能难以知悉、监控和合理应对风 险。在说明控制环境的效力时，这或会带来挑战。此外，除了三道防线中明确 定义的测试角色外，监管者还关注测试项目的效力，包括方法、测试技术、覆 盖范围和频率。 保持或提升效力的同时执行成本削减及效率提升计划 当金融机构探索效率杠杆（包括替代性采购策略、冗余风险职能及/或方法的整合、 基础风险数据合理化、科技及自动化应用整合以及其它风险导向的范围测定方法） 以提升效率时，它们必须仔细维持风险质量输出的同时，识别和应对风险管理效 力的下降。 建立具适应力、韧性和考虑最新监管关注领域的风险架构 随着企业成功应用另类/全新业务运营模型和渡过非预期或严重事件，同时通过 收购、新产品和服务的发行和新的或不断变化的监管预期的整合寻求战略增长， 企业核心风险管理架构的适应力和韧性受到越来越大的监管关注。（与运营韧 性和网络安全有关的监管预期继续演变，我们将在“运营韧性及网络安全”一节 作进一步探讨。） 向数据驱动评估转型 金融服务企业越来越察觉到传统、基于判断的风险测量及管理方法的局限。总体 而言，企业正寄望于运用数据的力量以增大它们的能力、强化风险管理方案并通 过更有效的风险分析提升业务价值。但多数机构已发现，在实施这些数据驱动技 术前，它们除了需评估和补充数据质量控制（如需）以维持评估输入以外，还需 进行大范围的数据提升/清理以提高数据/输入的质量。 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载复杂性增加 大型机构拥有的高度复杂的数据和技术生态体系可导致系统性风险和可被利用 的弱点。一旦这些弱点被触发，相关风险可产生失控效应，带来多重、严重的 后果。 此外，为了实现企业层面目标，机构正采用新的创新技术方案和颠覆性技术， 但或缺乏充分的技术风险管理流程，这可能会带来新的风险和业务中断。 监管压力 展示风险管理效力，不仅是校正活动 注重综合的风险管理方法，涵盖重大风险类别和风险数据谱系、输出和报 告 协调成本削减计划同时满足核心风险管理要求 对内部控制环境的充分监控、治理和监督 审核者关注行为、运营韧性以及产品生命周期风险管理 调整核心风险管理活动的范围以适应增长、收购或外部环境变化 监管层对稳健的核心风险管理实务的不断变化的期望 过渡到数据驱动和定量支持的风险及控制评估 改进管理层及董事会报告以提升透明度和风险数据消耗 下一步工作 及时采用和实施相关措施 以校正已识别的风险问题 是风险管理监管重视增强 的主要组成部分。 4 评估现有核心风险管理活动、框架和覆盖范围的效力和潜在冗余。 识别及评估预期中或预期外的结果以及成本削减及效率提升计划以确保符合 或超越监管责任要求。 评估现行风险架构的可扩展性以支持企业战略及增长目标。 审核业务运营模型的近期变动以确保风险库存/档案中以充分考虑新的或 提升了的风险。 评估现行内部控制环境方案、范围、覆盖及责任，并根据具体情况弥补差距、 潜在风险敞口或处理上报事项。 实现数据相互操作性。数据及技术目标状态应实现关键风险类别之间的风险 数据共享/联系、支持数据合并、消除源头系统的冗余或重叠并为报告目的 提供单一数据源（ single source of truth ）。 复核、储存及清理（如需）现有数据及数据质量以支持数据驱动评估。 将技术风险管理能力与更广泛的风险战略整合，并匹配在技术、数据的 应用及专业技术风险人员支持下的企业和运营风险要务。 二零二一年十大监管挑战 11 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载运营韧性与 网络安全 Brian Hart 主管， 金融服务监管与合规风险 电邮： Brian 是毕马威金融服务监管与合 规风险网络主管，曾协助客户实 施运营风险管理及合规转型以优 化客户成本与价值，同时执行新 能力以显著提升客户管理非金融 风险的能力，包括机器学习技术 的运用和风险/合规趋同。 Anand Desai 主管， 技术风险管理 电邮： Anand 专注于金融服务业所有防线中 的技术风险管理。他能提供贯穿整个 技术风险管理生命周期的各种服务， 从监管及合规、控制鉴证到风险优化。 他专注于风险管理职能及流程的数字 化和自动化以实现机构的转型目标。 挑战 新冠疫情、社会动荡、严重的市场错位和前所未有的政府干预等近期事件，连 同监管重点变化和网络威胁加剧，使企业需了解多重、会聚的尾部事件的可能 性以及它们对运营韧性带来的潜在影响，并对此作出规划。企业需特别关注及 规划的事项包括：了解单项资产如何助长金融服务企业提供点到点关键服务的 能力以及该价值链上的任何裂变对企业持续提供这些关键服务的能力意味着什 么？ 旧有风险评估框架的缺点使企业有必要改进自身的运营韧性及网络安全架构，以 有效应对这些有着广泛影响的事件和适应监管重点变化及致命威胁的增加。监管 焦点将落在治理的传统风险管理领域的改进、运营风险、业务延续性、第三方风 险、情景分析、信息系统和网络风险以及监督与报告。 当前环境对运营韧性带来的常见挑战包括： 对运营韧性负责：高管和董事会层面缺乏对运营韧性的问责。服务的职责分 工及问责性尚未明确；人们对高管及董事会是否充分胜任存疑。 服务管理与执行： 点对点服务交付模型的概念与当前的业务管理方式之间存 在明显的断裂。机构存在多个不关联及/或冗余的服务、流程、风险与控制分 类。此外，国际机构往往缺乏与法律实体之间的协调。 影响容忍度校准： 企业将需建立并测试服务水平影响容忍度。这些容忍度 声明旨在阐明外部利益相关方对服务中断的容忍度以及当利益相关方是客 户、对手或市场参与方时的关联损害。影响容忍度仅是主观、合计的度量， 作为外部损害的粗略估计。 韧性评估范围： 现有业务延续性/灾难恢复及应急事件管理职能与可运用于点 对点服务中更为注重恢复的框架之间存在差距。 报告、投资与服务改进： 高级管理层较少具备必要的见解深度与广度。多 数企业尚未合理考虑韧性风险的完全影响。 工具及数据要求：多数机构存在具体程度不一的多个数据源，导致损失 数据、事件及情景等方面的重大数据局限。 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载第三方挑战：第三方带来的损害运营韧性的挑战包括集中度风险及第四方风险 的监控及管理不足、金融产品价值链上第三方之间的相互依存性缺乏透明度、 范围狭窄或不合理的灾难恢复及业务延续性计划以及在进行业务关键技能及职 能外包时的战略目标不足。 监管关注度增加：监管机构对运营韧性不同方面的关注有所增加。迄今为 止，我们看到的是对逐个方面采取的零敲碎打的方式，重点是系统韧性，而 不是业务延续性。 回归工作：回归工作场所模式和工作模式改变存在不确定性。机构需要应用 一个具适应力及风险导向的模式以回归工作或延长远程工作模式。机构也需 考虑自身为实现大范围远程登录或技术部署而承担的风险，以及这些风险符 合银行对业务中断的风险偏好/风险容忍度。 测试及情景分析：机构需要执行经改进的桌面测试、情景分析和模拟，从而 为尾部事件提供更多洞见，尤其是能协助未来规划和准备的多重事件持续运 营中断情景。 监管压力 监管机构对整合提升和运营韧性改善的期望，包括网络风险管理 过时的风险评估和韧性框架 与董事会及业务职能更紧密的合作以战略性地协调工作计划 重视平台、数据和应用的现代技术韧性 数字平台应用增加导致的网络及弱点威胁加剧 监管机构对自有数据、客户数据、核心流程和第三方风险敞口的重视 新技术与工具的可用性；对IT资产管理的关注度提升；及对IT资产作完整、准 确审视的需要 网络风险管理与企业风险管理的整合提升 下一步工作 内嵌运营韧性作为所有管理决策和业务活动的关键指标。 建立一种模式，其中各项服务的影响容忍度的相对校准相比绝对一次性校 准更被重视以及跨越不同报告周期的持续、长期校准。 对关键业务服务而言，除了情景执行和影响容忍度外，考虑评估“如常营 业”服务韧性以及所有威胁载体的服务水平评估。 考虑根据频率和损失程度，应用FAIR方法以定量评估网络和企业风险。 评估风险，然后复核相关阈值和权限（从高风险到低风险）以确保已设置 合理阈值。 需加以管控的主要技术风险 软件开发 过时技术 系统与数据安全 人员与技能 第三方技术和服务 失效的技术战略 服务及可用 新兴技术 数据质量与管理 监管与合规 5 二零二一年十大监管挑战 13 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香港合伙制事务所，均是与英国私营担保有限公司 毕马威国际有限公司相关联 的独立成员所全球性组织中的成员。版权所有，不得转载合规风险 Todd Semanco 合伙人， 金融服务监管及合 规风险 电邮： Todd是合伙人，担任毕马威美国银 行业监管及合规风险业务全国主管。 他致力于协助管理层和董事会实现 战略目标同时满足监管预期，并在 此方面拥有23年经验。作为一名合 规科技主管，Todd负责设计和实施 转型方案，并嵌入自动化与分析工 具以优化合规。 Damian Plioplys 执行总监， 金融服务监管及合规风险 电邮： Damian拥有超过15年专业服务经验， 深入了解当前不断变化的金融服务及 消费者保护监管环境，包括银行及非 银行实体，如金融科技企业、非银行 借贷机构、收账机构和非银行金融企 业。 挑战 从2020年开始的业务中断对合规部门的运营及风险带来了难以抵挡的转变。 但人们对新冠疫情后续浪潮的预期以及更多经济刺激措施推出的可能性将在 2021年继续对合规人员和治理流程构成压力。到目前为止，最主要的挑战包括： 根据迫切运营需求重新配置资源；根据运营需求的迫切性，提供高度豁免/例 外。 由于快速涌现及不断变化的裂变风险以及资源紧张（如加速培训延迟、测试/ 审计时间表和远程工作人员） ，调整合规活动的优先次序。 快速推出复杂的政府刺激计划，并实现持续迭代变更和市场交付加速。 合规风险（由于新出现的风险使某些风险评估模式变得过时，要求机构采 用新模式来评估风险及运用数据/技术实现实时风险分析）和行为不当风险 （如内幕交易、个人可识别信息（PII）的应用、舞弊和钓鱼）增加。 提供额外/全新沟通、培训以及监督/数据分析以维持对新法规及监管预期 的遵循。 尽管市场出现裂变，或许正是因为这些裂变，监管机构更重视合规项目的效力。 它们期望合规项目应持续接受评估、技术赋能（应用自动化分析/人工智能、数字 化数据与流程）、与企业风险管理挂钩并根据相关运营数据、信息以及“经验教 训”进行修改。监管机构还希望企业进一步向合规职能投入充足的资源，以满足 不断变化/提升技能的需求，包括人员配备、培训、结构和声誉。 监管压力 与企业风险管理的监管聚焦相似，合规风险领域将持续接受评估以确保机 构合规管理系统的合理建立、应用和效力。 公共政策的变动（部分源于政府变动）可能会显著改变先前的监管通融措施、风 险与合规（如ESG/气候）这两个具体领域的监管预期以及整体合规管理系统。机 构领导及方向变动很可能激化监管及执法。 鉴于以下因素，与新冠疫情应对相关的业务中断的特性将使监管焦点转向为满足 适用法律法规而制定的相关政策与程序的全面、准确实施，以及贷款发放、新账 户开立、客户活动监控、交易处理、贷款修改、贷款偿还和客户沟通方面的消费 者保护： 与高失业率、未来潜在的营业停止以及潜在刺激措施的未知规模/构成相关的持 续经济不明朗与消费者财务不安全 2021 毕马威华振会计师事务所(特殊普通合伙) 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 中国有限责任公司，毕马威 会计师事务所 澳门合伙制事务所及毕马威会计师事务所 香