加速推进数字化转型：风险管理四大举措.pdf

安永与国际金融协会合作开展的第九次全球银行风险管理年度调查 加速推进数字化转型风险管理四大举措Section head目录摘要 21. 适应快速、剧烈变化的风险环境和风险状况 42. 以风险管理为抓手，实现业务转型和持续增长 103. 风险管理需兼顾效率和效力 164. 驾驭、摆脱颠覆影响 21结语：向数字化未来转型，推进风险管理 24研究方法和参与机构 25摘要加速推进数字化转型 | 2上一年度发布的安永与国际金融协会合作开展的第八次全球银行风险管理年度调查重塑信任、理性求变、优化方法：实现银行风险管理的根本转变1重点探讨了银行业风险管理的重大转型历程。全球金融危机后最初的几年，银行业重点关注行业的重塑：重构资本和流动性缓冲，重建三道防线模型，重塑公众对金融机构的信任。当前银行业处于“理性求变”这一中间阶段，重点是精简法人实体结构和流程，为未来的数字化转型做好准备。而未来第三阶段优化举措，则重点关注那些驱动业务流程、运营模式和控制发生实质性变化的重塑活动、颠覆元素和科技手段。未来几年银行可能迈入“优化”阶段是上一年度调查所阐述的核心信息。虽然已有部分银行加速转型，走在转型进程的前列，但大多数银行仍处于理性求变期，正努力建立必要的转型基础。而时隔一年，地缘政治、宏观经济和社会议题发生重大变化，银行业的数字化转型以及持续的颠覆性竞争似乎快于预期。面向客户的转型势头正猛。从前台到后台，一些更具实质性的、全行范围的转型也同样处于加速中。第九次全球银行风险管理年度调查加速推进数字化转型：风险管理四大举措是安永和国际金融协会的又一合作成果。本次调查受访者来自 29个国家的 74家银行机构。该调查重点指出，尽管业内银行仍处于重塑信任、理性求变、优化方法历程的不同阶段，但各家银行将很快顺利完成自身重塑。在数字化转型中，风险管理的作用至关重要。本次调查列举了银行董事会、高级管理层、首席风险官（ CRO）和其他主要高管为成功实现数字化转型目标所必须采取的四大必要举措：21. 适应快速、剧烈变化的风险环境和风险状况： 银行需通过风险管理来提升快速应对短期风险的能力，更好地应对3至5年内出现的风险，并定期评估未来 10至 20年内潜在变化所带来的影响。2. 以风险管理为抓手，实现业务转型和持续增长： 风险管理专业人士需要更好地平衡其双重职责：帮助银行做出明智的风险 决 策（ 如 ：管 理 下 行 风 险 ），并 支 持 盈 利 和 可 持 续 增 长（ 如 ：识 别 上 行 风 险 ）。3. 风险管理需兼顾效率和效力： 风险管理同银行其他职能一样要注重效率。这需要设计出新的运营和人才模型，从根本上利用新技术开展工作。不过，在保证高效的同时还应保持或提升效力，二者之间需要平衡。4. 驾驭、摆脱颠覆影响： 人们逐渐认识到，业务中断发生的频率会越来越高，影响越来越大（如：网络攻击、供应中断或技术故障，或其他与极端天气相关的事件）。风险管理对于制定更为完整、广泛的战略和方法以实现运营和财务弹性而言至关重要。1“银行风险管理变革的五大挑战”（ Five challenges for banks as they evolve risk management）， ey/en_gl/banking- capital-markets/five-challenges-for-banks-as-they-evolve-risk-management， 2017年。2请参阅安永报告“从模拟到数字化：风险管理的新范例”（ Moving from analog to digital: a new paradigm for risk management）适应快速、剧烈变化的风险环境和风险状况1 加速推进数字化转型 | 4风险管理人员既要立足当下，密切关注市场或银行状况的即时变化，还要放眼未来，识别短期（未来 3至 5年）和长期（未来 10至 20年或更长远）的风险和机遇。他们必须对现有和可能在未来出现的金融和非金融风险保持高度敏感。风险管理是银行管理中的一个独特职能，可能只有风险管理职能有责任和能力适当考虑这些更广泛的变化以及其对经济、客户、顾客、行业，尤其是对银行自身的影响。过去 9年间的全球银行风险管理调查表明，短期风险每年都在变化。 2018年也不例外。而近几年的变化呈现两大趋势： 网络安全一直是董事会和首席风险官议题的优先考虑事项，其优先程度远高于第二大重要风险。 新监管规定的实施或监管预期仍为议题中的重要事项，但其优先程度持续下降（见第 6页，“监管仍为重要议程”）。董事会的关注重点与首席风险官略有不同，从中可以看出银行战略重点与管理重点的差异（见图 1）。对董事会而言，行为、文化与声誉都更为重要。各地区也存在差异。欧洲银行相比其他地区同业，对业务模式和模型风险的关注程度明显更高，这反映出此类议题在欧盟统一监管议程中的重要性。北美银行则更重视操作风险、 IT风险管理基础架构和行为风险等非金融风险。除网络安全外，各地区首席风险官对优先考虑风险的排序也不尽相同，从中可以看出各银行及各区域资本市场的成熟度以及各地区和地方的市场状况，调查结果为：亚太区信用风险和流动性风险（均为 58%）、拉丁美洲风险偏好（ 62%）、非洲和中东地区新监管规定的实施和监管预期（ 86%）、欧洲业务模式风险和新监管规定的实施和监管预期（均为 56%），以及北美洲的操作风险（不包括网络安全）和风险技术基础架构（均为 65%）。图 1：未来 12个月优先考虑的风险首席风险官 较 2017年的百分比变化较 2017年的百分比变化董事会 *443% 1546% 741% 739% 830% 1184% 2739% 1342% 339% 1539% 1535% 26* 不包括网络安全* 代表风险管理部门对董事会风险排序的观点；调查对象不包括董事会成员。 81%网络安全风险信用风险监管实施操作风险 *风险技术基础架构行为风险网络安全监管实施风险偏好信用风险行为风险操作风险 *Section head监管仍为重要议程过去几年中，监管和与之相关的政治环境发生了重大变化。虽然新监管要求的实施和监管预期对董事会和首席风险官而言仍为首要风险，但新监管要求发布速度已经放缓，一位风险高管表示“监管议程中没有新事项。”全球系统重要性银行（G-SIB）对全球监管碎片化以及银行在这样的环境中高效运营的能力表示担忧，尤其是考虑到不同地方和区域在规则实施和解释方面呈现差异。巴塞尔协议III（Basel III）的最终确定巴塞尔银行监管委员会有关巴塞尔协议III的未完成议程（特别是关于交易账户根本审查（FRTB）的部分）仍处于有待最终确定阶段，一些商定事项有待实施。各银行在巴塞尔协议III最终要求的影响评估方面进展不一。不过，和预期一样，全球系统重要性银行动作最快。已完成评估的银行列举了他们预计会受到重大影响的几个关键领域： 修订操作风险应对方法 53% 修订标准化风险权重 50% 内部评级法的资本产出下限 40% 内部评级法参数下限（违约概率（PD）、违约损失率（LGD ） 34% 修订交易对手方信用风险计量的标准方法（SA-CCR） 29%鉴于可能造成的影响，银行继续推动最终法规修订工作。超过五分之二（43%）的银行称，其首要行动事项是游说立法机构和监管机构放宽法规要求。如果游说未能成功，他们可能计划采取以 下行动： 变更业务或产品组合 36% 做出运营层面的变更 36% 除法规修订要求外，对资本方法做出更多变更（例如，将内部评级法应用于部分标准化产品组合） 13% 改变法律实体风险状况 7%银行间同业拆借利率（IBOR）过渡金融服务业将银行间同业拆借利率作为可变利率金融工具的参考利率已四十年有余，如今，伦敦银行间同业拆借利率（LIBOR）和其他银行间同业拆借利率正被替代参考利率（ARR）所取代。目前，使用伦敦银行间同业拆借利率的合同金额已达300万亿美元。这一过渡预计将迫使过度依赖伦敦银行间同业拆借利率产品和合同的金融服务机构和市场参与者大举转型。银行间同业拆借利率的过渡安排将会给整个行业带来巨大风险。此前发生的伦敦银行间同业拆借利率丑闻已经给行业造成了严重破坏。但如能实现合理过渡，银行业则可以此证明其有能力实现自我管理。2018年夏，监管机构和行业组织如预料开展了大量活动，所传达的信息非常明确：变革即将到来，且快于预期；行业自身需对此加以管理，否则监管机构将会介入。受访银行指出了其最为关注的与银行间同业拆借利率过渡有关的若干主要潜在风险：3 扩大客户服务辐射范围，包括合同的重新编制和协商 64% 为市场所采纳以及替代参考利率衍生工具的流动性 58% 运营、数据和技术变化 54% 伦敦银行间同业拆借利率未来存在潜在不确定性 51% 估值、模型和风险管理 46%监管与创新相协调尽管整个金融市场的科技进步已给行业参与者和消费者带来了显而易见的实惠，但围绕与之相匹配的有效监管的一些基本问题也随之出现。当前，银行业正经历全球金融危机后的改革阶段，金融科技公司的崛起又给整个行业带来了新的挑战。此时，金融机构和相关监管机构应该思考：如何构建一个适合数字化未来的监管环境? 4银行在考虑如何实施数字化转型时需要的是确定性，他们识别了监管机构和监督机构促进新技术应用的诸多方式： 确保部署新技术的监管和监督确定性 66% 确保金融系统的安全和稳健性 56% 明确关于新技术的风险管理预期 54% 明确关于新技术的隐私/信息安全预期 51% 为传统机构同新晋机构和竞争者建立公平的竞争环境 50% 明确关于新技术的第三方风险管理预期 44% 确保符合法律、法规和监管规定 41% 明确关于新技术的网络风险预期 40%3“同业拆借利率过渡：避免模棱两可”（IBOR transition: a certainty not a choice），ey/Publication/vwLUAssets/ey-ibor-transition-a-certainty-not-a-choice/$File/ey-ibor-transition-a-certainty-not-a-choice.pdf，2018年。4监管如何能跟上科技创新的快速发展？（How can regulation keep up as technological innovation races ahead?），ey/ en_gl/banking-capital-markets/how-can-regulation-keep-up-as-technological-innovation-races- ahead，2018年8月1日。加速推进数字化转型 | 6新风险：数据和颠覆风险管理职能在管理短期风险和优先事项的同时，还要关注新型风险。此类风险可以是全新风险，也可以是那些之前不重大或之前已知风险因影响加大而需要进一步分析和考虑的风险。由于本年度风险威胁形势变化非常之快，银行特别关注那些操纵或破坏数据的网络攻击（ 79%）以及数据可用性（ 56%）。由于自身存在大量遗留系统，银行有可能在未来几年内将信息技术更新换代的议程优先度提高（见第 18页，“云应用需安全、可靠”）。五分之二的银行将此视为首要新风险。全球监管机构在加大运营弹性监管范围和监管力度的同时，必将提升对此类问题的关注（见第21页，“驾驭、摆脱颠覆影响”）。新技术或新晋市场参与者带来的行业颠覆仍是银行和监管机构所关注的问题。银行认为，与去年相比，监管机构对电子交易风险的关注度加大，这反映出他们对市场完整性和稳定性的更为广泛的担忧。风险高管强调“宏观环境和政治不确定性是主要担忧”，具体而言，“全球范围内正在发生的贸易战是令银行担忧的一个新风险，因为银行是新兴市场参与者，因而受影响的程度可能最大，”一位受访高管指出。 这些社会政治因素对银行经济活动的影响可能十分重大，因此，风险管理职能需发挥积极作用。另一位高管补充道，“宏观经济条件通常受政治和外部环境的影响，而这种环境又影响银行的整体信贷情况。风险管理流程和实务需要保护银行的生存能力” （见第 8页，“英国脱欧：产生不同影响的新风险”）。银行除了需要考虑未来 3到 5年内的风险变化外，还必须考虑在更长时间范围内的风险演变趋势。毕竟许多金融服务机构都是以 20至 30年的时间范围安排其资产投资和提供保险服务。风险管理职能可能考虑的变化包括以下对客户的金融产品和服务需求形成潜在长期影响的因素：气候变化、传感器技术与物联网、城镇化、人口增长和大规模的人口迁移、人工智能（ AI）和虚拟现实技术的广泛使用以及劳动力模式。长期影响可能十分深远，如果忽略大的发展趋势，仅从短期出发制定解决方案，很可能产生重大问题。正如一位风险高管所说：“这就是声誉风险和可持续性如此重要的原因，以及为什么需要参考风险管理职能的意见做出长期投资决策的原因。”监管机构 *银行地缘政治风险科技对行业的颠覆数据可用性新晋市场参与者受到的行业颠覆IT更新换代模型风险环境风险或气候变化数据完整性和数据销毁 79%79%64%63%64% 49%56% 40%50%47%44%37%36%30%56%26%图 2：未来 5年的新风险 英国脱欧：产生不同影响的新风险5英国计划于2019年 3月正式脱离欧盟，鉴于伦敦在全球资本市场中举足轻重的作用，欧洲乃至全球都对此事及其关注。英国脱欧最终协议的性质或者是对协议未达成情况下脱欧的担心成为银行业每日热议和争论的话题。英国脱欧俨然已成为最受关注的新风险。本年度受访的银行中，有超过半数（56%）受到英国脱欧的直接影响，但受到的具体影响差异很大。这些银行中近半数（47%）预计风险管理挑战将会更复杂，有略多于五分之二的银行则认为员工人数将会增加。预计会引入新型人才的银行大部分提到以下各方面：合规（73%）、监管风险管理和沟通（67%）以及信用风险管理（60%）6。四分之一（24%）的银行预计英国脱欧后，银行将会越来越难以留住具有多技能的复合型顶尖人才，近三分之一（29%）的银行预计将会不得不增加支持英国和欧盟27国业务的资本金额。不过，也有一些银行预计不会受到英国脱欧的影响。其中有近三分之一预计不会受到直接影响，仅有3%的受访银行预计将不得不退出特定产品或业务线。没有银行预计会因英国脱欧而退出特定国家。 说到底，尽管英国即将脱离欧盟，但英国和欧盟仍是全球银行的重要市场。 英国脱欧对银行入账模式的影响也不尽相同。认为会受到英国脱欧影响的受访银行中有一半认为其入账模式方法并不会受到影响，而有34%则认为需要对其全球入账模式做出重大设计修改的主要原因就是英国脱欧。北美银行对英国脱欧影响入账模式的担忧程度最低。部分银行的财务来源将会受到重大影响，受英国脱欧影响的受访银行中约有六分之一（16%）预计会因交易对手方风险加大而大幅增加资本，约十分之一（11%）预计，英国与欧盟之间确立的额外监管要求会导致全球业务线内的流动性显著降低。近四分之一（26%）预计法律风险会大大增加（例如，由于尚未就长期衍生工具的会计处理达成一致）。确定可行指标，改善非金融风险管理近年来，银行十分重视非金融风险的管理，这是可以理解的。一位高管解释说：“虽然抵御金融风险是我们的首要任务，但迫于来自董事会和监管机构越来越大的压力，我们开始关注广泛的非金融风险。网络安全固然最重要，但我们也要关注声誉风险和模型风险。”其他利益关联方，如机构投资者和非政府组织，同样关注这些内在风险。然而，在风险识别、计量、监控和缓释方面，每项风险（供应商、IT、网络、行为、合规等）都存在独特的挑战。董事会和高级管理层一直在努力更加深入地了解银行非金融风险的情况，以及银行在管理这些风险方面的成功之处。然而，银行提交董事会的关于非金融风险的报告相对来说仍不成熟。正如一位高管所说，“董事会每月会收到风险状况报告，报告中会标注红色、黄色和绿色。金融风险中绿色居多，而非金融风险则以黄色和红色为主。”董事会需要制定更加复杂的方法来真正了解银行面临的操作风险。由于非金融风险关乎更好地计量风险以便根据风险偏好做出更加明智的决策，非金融风险领域的创新将会持续。这将有助于董事会和管理团队了解他们愿意并能够接受的风险等级，确定风险缓释措施的程度和成功程度。但是，非金融风险的计量和报告仍然具有挑战性。一位风险高管表示：“我们希望制定更好的指标以及可用来管理网络安全、数据、隐私、洗钱等非金融风险的合理指标。由于风险及其影响难以计量，因此指标即成为风险管理的关键工具。”7百分比与五级重要性等级中的前两位总和相关。 5“英国脱欧和金融服务：达成协议”（Brexit and financial services: navigating the negotiations），ey/gl/en/industries/financial-services/fso-insights-brexit-and-financial-services-navigating-the-negotiations，2017年。6部分银行预计将增加流动性风险管理（27%）、市场风险管理（20%）、操作风险管理（20%）和第三方风险管理（13%）职能的员工人数。加速推进数字化转型 | 8 战略和行为风险方面遭遇的挑战更多；非洲和中东的银行 认为量化声誉、网络安全和战略风险最具挑战性。全球系统重要性银行在行为、合规、洗钱和制裁风险方面比其他公司遇到的困难更多，而非全球系统重要性银行在网络安全、信息安全和第三方风险方面遭遇的挑战更多。银行正寻找全新的、富有洞见的指标来支持董事会和高管报告 （见图3：非金融风险指标）。除指标外，银行也在力图提高风险管理能力，但这需要大量投资。“要想保持增长，就必须在网络、数据和隐私方面进行更大规模的投资，以管理正在扩大的非金融风险，”一位高管表示。难以计量的风险包括声誉风险（66%）、网络安全风险（54%）、战略风险（39%）、技术风险（26%）、行为风险（26%）和信息安全风险（23%）。风险专业人士利用整个组织的现有调查结果确定风险量级，并依赖监管发现（86%）、重复问题（76%）、合规调查结果（76%）、质保或控制问题（67%）和已发现控制问题整改所需时间（66%）7。非金融风险量化方面存在的挑战各地区不同。亚太区的网络安全风险量化结果略低于北美；欧洲银行发现，与北美同业相比，其网络安全、弹性及合规指标的量化难度更大；亚太区银行受洗钱和制裁风险的影响程度更大；与难以量化网络安全和声誉风险的拉美银行相比，欧洲银行在网络安全 行为风险声誉风险77%70%68%64%52%87%76%72%67%67%69%66%64%57%55%* 服务水平协议 第三方风险管理（ TPRM） 安全事件外部威胁活动等级数据丢失预防事件漏洞扫描覆盖范围隐私泄露遵守第三方风险管理制度 第三方对服务等级协议（SLA）的执行*第三方提供的关键服务集中第三方服务的服务类型集中度通过安全控制识别的漏洞84%63%63%56%59%负面新闻报道客户满意度调查结果客户投诉量 诉讼与和解社交媒体评价客户投诉量按审计、合规或风险划分的行为风险评估发现举报投诉量投诉集中度重复投诉量图 3：非金融风险指标9 | 安永与国际金融协会合作开展的第九次全球银行风险管理年度调查