2019年全球银行 监管展望做好准备应对数字化时代监管2 | 2019年全球银行监管展望监督机构面临动态格局： 2019年监管环境银行和监管机构所处环境正在发生变动。在数字化格局不断变化的背景下，由于对新产品和新服务的监督方法不统一，各方对数据使用和所有权以及监管边界存在很多疑问。与此同时，地缘政治冲突也在加剧市场对信贷周期和未来增长和投资状况的焦虑情绪。1全球越来越多的银行监管机构正在将工作重点从金融危机后改革转向应对新的风险和优先事项。在此背景下，我们撰写了 2019年度银行监管展望。监管机构工作重点的转移，说明当下监管监督政策开始关注金融服务的数字化转型以及伴随技术创新、新市场参与者和不断变化的业务模式出现的挑战和风险。监管机构本身也在转型，尝试将新技术和数据整合到监督流程、监管报告和市场监管中。本年度监管展望探讨了银行和监管机构在不断发展的市场中解决遗留问题的同时所面临的新挑战。从当前的监管过渡可以看出，2019年银行需要重点关注人员、流程和科技，构建符合自身发展目标的21世纪数字化风险及合规框架。32019年全球银行监管展望 |监管标准和监管碎片化全球监督议程和政策议程始终悬而未决。监管机构正重新审视现行法律法规，意欲提高其适当性和透明度。正如金融稳定理事会（FSB ）主席在2018年11月致二十国集团的公开信提到，“保障进程并不表示要不惜一切代价捍卫改革的所有方面。金融稳定理事会评估哪些方面取得了预期效果并解决效率低下问题或预期外影响，目的是进行调整，而非一刀切。”1 但有迹象表明，全球监管机构就金融危机后目标所达成的共识正逐渐削弱。全球标准并未得到完整实施，且在各个管辖区的实施情况也不一致。某些管辖区已经计划对地方细则进行审议或修订（例如，美国联邦存款保险公司最近表示将考虑放宽对处置计划的相关要求）。但值得注意的是，调整地方细则往往是为了规避通用监管方法，使中小企业不必被迫执行针对全球系统重要性金融机构制定的规则。业务驱动力和新技术当前转型议程的速度之快，以及新市场参与者、产品、服务提供商与行业共享设施的不断涌现，均是前所未有的。安永全球监管网络在近期发布的关于监管和技术创新的文章中探讨了其中的部分影响。2监管机构和行业参与者将抓住开发新工具的重要机会，使用新工具管理风险及提高银行及市场效率、安全性与稳健性。全球和地方决策制定机构则面临新技术的开发、部署和运营方面的管控问题。然而，在当前的数字化环境中构建更稳健的控制框架的过程，也将带来许多新风险，我们将在本文中一一探究。发展中市场蕴藏机遇新兴市场参与者的发展重心有所不同，但其增长对全球市场的影响日益重大。在发展中经济体，新技术应用发展迅速，加之新市场参与者的助推，金融科技更被视为机遇而非挑战。中国即有金融科技得到迅速采用的实例，例如云技术的大规模应用、以电子支付替代现金支付等。亚洲监管机构对金融科技迅速落地的监管审查水平以及其对全球议程的影响程度引人关注。1 “布宜诺斯艾利斯峰会前夕金融稳定理事会主席向二十国集团领导人致函”，金融稳定理事会，2018年1月。2监管如何能跟上科技创新的快速发展？，安永，2018年7月。4 | 2019年全球银行监管展望选择困境：监管范围监督机构明白，全球金融危机后已经解决的系统性风险问题和透明度不足问题也可能会出现在金融体系的其他环节。当前市场的创新思维活力四射，很多没有经历过金融危机或市场动荡的新晋市场参与者，他们并没有受到金融市场传统机构同等水平的监督或监管预期，甚至可能完全处于现有监督范围之外。因此，政策制定机构必须评估现有监督框架，不仅要决定监管范围，还要明确未来的监管方法（见附文“下一步监管举措”）。监管机构需要回答以下问题： 对承担“类银行”风险的新型实体采用何种监管? 如何看待那些因具有登录银行系统权限而导致银行系统出现漏洞的外部实体，或者那些银行日益依赖的外部实体? 颠覆型机构是否应和传统机构一样，遵守同一套标准? 是否会根据实体类型或活动类型颁发牌照或予以授权?加密资产过去几年的发展也带来了一些监管挑战。监管机构一致认为，加密资产尚未构成整体系统性风险，但同样认为向公众发行此类资产会引起投资者保护和金融犯罪方面的问题，而这些问题必须得到解决。各管辖区尚未就此类金融工具的定义和处理达成一致，所以目前监管仍呈碎片化。监管机构可将监管沙箱的探索和测试经验与其他方法进一步结合，以得出一致可行的解决方案。不过，由于技术和市场应用发展迅速，监管机构和银行均处于艰苦学习的状态中。监管机构在针对新产品、服务和市场参与者制定标准时，不能像以往一样单方面制定规则，而应与行业展开合作。 政策制定机构不仅要确定监管范围，还要明确未来的监管方法。下一步监管举措监管机构必须像受监管的市场参与者一样，确定适应新格局的有效运作方法。金融危机后，全球监督机构的首要任务是解决全球各地市场的系统性问题，以及相关行政问责制度缺失问题。眼下，监管机构必须决定对新技术应用带来的新系统性风险、金融科技对金融服务行业的影响以及新晋非金融市场参与者的最佳监管方式。监管机构将着手解决监督机构的设立方式、监督方式和监督内容等一系列问题。最终的问题解决方案可能倾向于坚持采用端到端的供应链管理模式，以防止责任外包，也可能是修改监管范围。而监管范围是否发生变动要看市场商业模式发生的变化是否足以说明有重大业务活动超出现有监管范围。或者，是否可以采用基于市场活动的监管模式？监管范围往往取决于各国监管当局自身希望监控的金融机构的范围和类型。传统意义上的金融机构主要包括银行、经纪公司、保险公司、资产管理公司、咨询公司以及这些机构的各种组合形式。不过，当前金融行业参与者构成已经发生了范式转移，受监管和不受监管活动之间的界限也变得更加模糊，因此可能需要修改监管方法。以往，一些管辖区主要根据活动类型来确定监管范围，而这种模式通常需要配合按机构类型颁发牌照的制度。未来的监管制度将更加灵活、得当，适用规则可根据情况适当调整，可以开展活动的金融机构范围将更加广泛。对于新晋市场参与者而言，所适用的监管规则取决于他们是作为普通服务商还是作为传统机构的服务提供商的角色。例如，新的技术和数据巨头可能需要遵循以前只适用于传统金融业的某些行为、治理和透明度要求。 52019年全球银行监管展望 |6 | 2019年全球银行监管展望遗留问题：审慎议程和金融危机后的监管实施全球金融危机以来，全球大型银行的资本和流动性状况已得到明显改善。巴塞尔协议III仍处于最终定稿阶段，重点是评估其影响，而不是提出进一步的资本和流动性改革。不过，仍有许多工作要做。例如，交易账簿基本审查方面，市场风险模型和系统需要进行全面改革，而在最终结果不确定以及改革结果可能无法在主要管辖区统一实施的背景下，很难对成本进行量化。改革很可能需要投入大量的财力和人力，除了大型银行，其他金融机构可能会放弃模型化的方法。对于制度规模较小的小型机构，有关各方对“小型”和“较不复杂”概念的理解可能并不一致。在处置重大系统性风险问题和衍生工具市场透明度方面也取得了进展，但有些方面仍有待解决。2019年，总损失吸收能力和中央对手方清算仍将是对金融机构和市场构成挑战的结构性问题之一。政府和监管机构需要投入大量时间和精力去调整遗留风险议程，同时还要重点关注网络风险、经营弹性和数据隐私等新挑战，如何在二者之间取得平衡成为关键。如果银行仅仅专注于完成先前的风险议程，而忽略了新的风险议程，结果导致不可预见的重大颠覆性事件，则得不偿失。不断演变的风险：新问题银行需要管理和预测新型风险。虽然可借助数字化转型达到目的，但正如我们最新的年度风险调查所强调的，风险管理人员必须加快步伐采用和部署新技术。3 如果银行管理层和监督机构能够将新工具和流程嵌入数字化转型的总体业务流程，那么新工具和流程的使用效率将会大幅提高，从而加强风险监督。我们将在下文介绍银行在结构和流程、治理和控制、数据管理和保护、行为风险和可持续融资方面必须经历的一些其他过程。 新架构，新流程在根本性结构性监管改革措施基本到位的情况下，让恢复和处置方案在实践中发挥作用，并确保金融机构能够在处置状态下满足持续经营的预期是挑战所在。监管机构以前关注的是金融机构在极端情况下的恢复能力，但现在更多关注的是非极端的颠覆性事件，以及金融机构日常业务的弹性。行业参与者面临的挑战：遗留问题和不断演变的风险3安永与国际金融协会合作开展的第九次全球银行风险管理年度调查：加速推进数字化转型安永/国际金融协会，2018年10月272019年全球银行监管展望 |监督机构同时也在关注一些遗留问题，这些问题虽然已经引起注意，但尚未得出令人满意的结论，需要继续在新格局下解决。例如，入账模式一段时间以来一直都是争论的焦点。2018年，欧洲中央银行（European Central Bank; ECB）提出监管预期，4 要求银行梳理与经营弹性和业务连续性问题紧密相关的做法，例如，完成第三方实体或分支机构的远程入账。香港监管机构也在审查远程入账问题。改用替代参考利率（alternative reference rates; ARRs）是全球基准利率改革的一个基本构成部分。近几个月来，美国和英国的监管机构要求银行提供一份经董事会批准的评估概要，对停用银行间同业拆借利率（interbank offered rates; IBOR ）并逐步过渡到基准利率的主要相关风险加以说明。监管机构希望银行考虑广泛的情景和影响，包括量化银行间同业拆借利率风险敞口。对于银行间同业拆借利率相关产品和合同风险敞口较大的金融机构，未来几年的过渡需要投入大量精力。虽然这是一项特定的技术发展，但银行运营的许多方面都会受到影响，如前台、资金、贷款、估值和市场风险以及IT系统、会计、财务、法律及合规。构建更高效的架构入账模式方面，协调有关经营驱动因素是银行所面临的挑战，包括资本和流动性效率、税收考量、客户偏好、英国脱欧以及其他相关的结构性要求，譬如，采用中间控股公司架构模式，同时遵守法律实体治理义务和来自监管机构的外部审查。这样一来，银行必须消除监督机构的疑虑，证明其架构灵活、透明。基准利率方面，在从银行间同业拆借利率向替代参考利率过渡的过程中，银行需要在稳健治理的前提下对合同连续性和产品可行性风险进行管理，包括指定一名高级经理，对必要分析和过渡计划实施加以监督。54对入账模式的监督预期（Supervisory expectations on booking models），欧洲中央银行，2018年8月。5参见银行间同业拆借利率时代的终结：金融服务业的关键过渡挑战（End of an IBOR era: key transition challenges for the financial services industry），安永，2018年4月。8 | 2019年全球银行监管展望作为对现有规则和指引的补充，监管机构正在将重点转向具体的运营弹性强化措施。 治理与控制：加强框架治理与风险管理：随着全球金融危机后的监管格局不断变化，加强治理与风险管理框架成为近年的趋势： 某些管辖区强化实施高管问责措施 三道防线框架进一步演化，包括将风险所有权和管理责任转移到第一道防线 对风险文化的关注度加大 修订风险偏好方法，纳入非金融风险 在合规与风险监控中更多地使用数据管理、高级分析、人工智能（AI）和机器人技术因此，监管机构目前希望银行构建具备综合风险控制职能且允许第二道和第三道防线能独立提出可靠质疑的框架，结合更加成熟的内部审计职能，能够独立审查风险偏好框架和总体风险治理。6运营弹性和网络风险：多年来，监督机构针对系统和控制、业务连续性、应急计划、IT安全、网络安全等方面发布了多项规则和指引。但在数字化转型时代，网络攻击威胁的增加以及遗留IT系统升级或换代的内部挑战使上述问题更为突出。遗留IT系统和工作人员沿用不同的风险分类、不统一的风险措施，且无法完成数据加总，而新技术和产品则测试现有流程的有效性。作为对现有规则和指引的补充，监管机构正在将重点转向具体的运营弹性强化措施。美国货币监理署 (Office of the Comptroller of the Currency; OCC) 和美联储已将运营弹性和网络安全确定为2019年银行监督计划的优先事项。2018年12月发布的巴塞尔委员会报告将成为网络弹性未来标准的指引。7虽然风险管理框架通常主要关注具体系统和流程的弹性，但英国相关机构已经敦促银行改进关键业务服务（包括供应商弹性）的端到端映射方法，并更好地对应操作风险框架。8 在风险计量和评估方面，监管机构可能会关注压力测试标准的优化，将弹性、影响容忍度（包括对终端客户的影响）纳入考虑并改进绩效指标。6另见安永与国际金融协会合作开展的第九次全球银行风险管理年度调查：加速推进数字化转型，安永/国际金融协会，2018年10月。7网络弹性：实务系列（Cyber-resilience: range of practices），巴塞尔银行监管委员会（BCBS），2018年12月。8建立英国金融业的运营弹性（Building the UK financial sectors operational resilience），英格兰银行（BoE ）、审慎监管局（PRA ）和金融行为监管局（FCA ），2018年7月。92019年全球银行监管展望 |第三方风险管理：这是另一成为优先事项的问题。由于银行寻求缩减成本，外包以及供应商服务和云计算已日益成为银行运营的基本要素，银行比以往更加需要建立稳健的第三方风险管理框架。金融机构越来越依赖服务提供商来支持一些关键基础设施，多家金融机构使用相同的服务商以及云技术的广泛使用均令监管机构感到担忧。这是一种监督机构尚未全面应对的新的系统性集中度风险。近期，英国的一份文件9 透露了监督机构的未来预期，例如，要求外包商满足针对银行内部提供服务所设定的同等要求。预计欧洲银行管理局（EBA ）将在2019年提供有关银行外包的最终指引。109建立英国金融业的运营弹性（Building the UK financial sectors operational resilience），英格兰银行、审慎监管局和金融行为监管局， 2018年7月。10 欧洲银行管理局外包协议指引草案（EBA Draft Guidelines on Outsourcing Arrangements），欧洲银行管理局，2018年6月。年全球银行监管展望10 | 2019年全球银行监管展望加强治理并提高弹性在风险治理方面，前台工作人员需要接受更为全面的风险培训，而合规部门主管需要对第一道防线控制职能的发展提供建议和支持。第二和第三道防线的控制职能也必须改进，更好地利用新技术和新科技。我们在关于监管和技术驱动创新的系列文章中探讨了这些挑战，11 并会在2019年深入讨论对风险管理的影响。监管机构希望银行将运营弹性与财务弹性同时作为董事会优先事项。这有助于银行在弹性准备和监督方面取得更多自主权。董事会正在审议弹性问题，但尚未确定这一问题的广度和深度。董事会特别关注的方面通常是网络或技术弹性或第三方依赖关系。一些董事会尚未配备既具备必要技术和能力又能够提供监督和有效质疑的董事。董事会需要推动银行的文化转变，从而更全面地考虑弹性问题，并转向“未雨绸缪”的思维模式。加强内部运营弹性和使用第三方供应商（特别是提供网络风险服务的第三方服务商）运营弹性的关键措施包括：121. 建立适当的弹性治理框架，设置适当的问责机制和汇报关系2. 确定并评估潜在弹性威胁的影响和缓释措施3. 设计并维护应急计划，以应对任何突发问题4. 测试日常弹性以及压力条件下的流程/技术，包括应急计划的效力在第三方风险方面，银行仍然倾向于不将其可能依赖的关键第三方纳入弹性测试，但考虑到银行对外包服务或大型集团其他部门的依赖与日俱增，所以在测试时不应将第三方排除在外。许多新服务提供商在部分受监管或完全不受监管的领域内运营，他们的运营弹性究竟有多大? 从端到端业务服务的角度看待弹性问题是关键。管理层应充分了解端到端能力和运营环境中的漏洞，并定期向董事会汇报最新情况。11监管如何能跟上科技创新的快速发展?，安永，2018年7月。12另见严肃看待弹性问题：开启一项持续数年的历程（Getting serious about resilience: a multiyear journey ahead），安永，2018年。