耐力比拼: 未来十年十大风险 带来生存与发展考验 - ey · 2020-01-08 ·...
TRANSCRIPT
耐力比拼: 未来十年十大风险 带来生存与发展考验
安永与国际金融协会合作开展的
第十次全球银行风险管理年度调查
目录
2 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
摘要 4
一个十年,两个阶段 5
近期和中期风险管理挑战 10
未来十年需要管理的十大风险 14
1. 安全度过潜在金融衰退期 16
2. 在不断扩张的生态系统中运营 19
3. 保护隐私,维护信任 22
4. 打一场银行和全系统参与的网络战 24
5. 银行业云技术过渡势在必行 27
6. 以可控方式实现银行业数据分析工具
产业化 30
7. 为客户和市场提供无中断服务 33
8. 适应快速变化的地缘政治对银行及
客户的影响 36
9. 应对气候变化对银行和社会的影响 39
10. 满足客户新需求,提供定制的全生命周期
产品和服务 43
十年后的头条就是我们今天所关注的事项 46
研究方法和参与机构 48
联系人 50
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 3
敞口。这将是对所有银行风险管理的水平和影响力的一
次考验。
行业领导者和监管人士已经注意到了未来十年内需要强
大的风险管理框架来应对的诸多其他重大风险。银行需
要考虑日益依赖由第三方、第四方甚至第五方构成的复
杂网络所带来的影响,同时还要考虑网络和隐私风险正
变得越来越具挑战性这一事实。银行业在深度数字化战
略、商业模式和业务转型过程中也面临新风险,例如,
银行对机器学习(ML)和人工智能(AI)的全面产业化
应用或在银行运营中采用云技术所带来的风险。调整风
险及合规方法,打造满足不同的客户需求和客户偏好的
新业务模式、产品模式和定价模式并非易事,尤其是同
时还要提高运营弹性。除这些挑战外,与气候变化和地
缘政治相关的一些结构性变化对银行业的影响也将更甚
于以往。
应对上述任何一项风险都将是对风险管理的巨大考验。
如果这些风险同时出现,则风险管理职能需要:
• 管理更广泛、更复杂的系列风险,每项风险变化的速
度都相当之快
• 衡量和管理风险需更具创造力和创新性,包括更具前
瞻性
• 风险管理需兼具效率和效力
未来十年很值得关注,风险管理将会面临挑战。银行在
管理诸多风险时没有经验可以借鉴,只有保持耐力和敏
捷性,才能生存和发展。
摘要
安永和国际金融协会已连续十年对全球银行业的风险管
理战略变化进行观察并发布相关报告。过去十年,变革
进展显著。
金融风险一直是引发市场对银行业担忧的原因之一。如
今,全球银行的资本水平和流动性都得到巨大改善,银
行对短期融资的依赖性已明显降低。银行不仅化解了资
产负债风险,降低了杠杆,而且对全球金融危机前数年
业务快速增长所积累的非核心资产和业务加以精简。另
外,监管机构推动的全行业稳健压力测试帮助银行完善
了资本和流动性方面的风险管理。同时,会计变更使银
行能够针对未来预期信用损失建立逆周期资本缓冲(请
参阅第13页的“信用损失会计处理“章节)。上述改革
基本都是通过力度空前的全球监管合作来完成的。
风险负责人及其团队持续开发创新方法,应对新型或近
期被重点关注的非金融风险。首先是网络风险,它毫无
疑问是令诸多董事会和首席风险官(CRO)寝食难安的
头号风险。对待行为、合规和舞弊以及金融犯罪和洗钱
风险也需要新的思维方式和操作模式。其中任何一种风
险一旦处理不当,都会使银行面临严峻的声誉风险。
从好的方面看,过去十年的风险管理举措让银行运营比
金融危机前更为健康。这要归功于首席风险官及其团
队,同时还要归功于所有帮助银行加强三道防线和治理
的人员。业务职能(第一道防线)在业务风险管理方面
发挥着更加重要的作用。
可是长远来看,情况则不那么乐观。在某种程度上,过
去十年为加强风险管理而采取的策略相对简单直接。管
理层只要指出需要实施的特定监管和监督要求就可以得
到预算和其他资源。当然,满足这些监管监督要求也并
非易事,完成起来并不轻松,甚至需要承担一定压力。
毕竟,监管机构给银行预留的落实期限通常很短,但寄
予的期望却很高,而在实践中,银行所实施的诸多变革
只是基础性变革。
未来十年的风险管理可能会更具挑战。首先,未来几个
月或几年,金融行业可能会出现某种程度的衰退。首席
风险官及其团队必须证明,在银行被迫寻求资本和流动
性支持之前,他们有能力带领银行有效管理下行风险及
4 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
一个十年,两个阶段
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 5
从安永与国际金融协会过去十年开展的全球风险管理调查中可看出,自上次金融危机后,全球银行业风险管理已
经走上转型历程(图1)。
在这十年转型的前半段,银行最初关注的是金融风险:
资金、流动性、交易对手方风险以及相关问题,例如压
力测试和模型风险管理。治理得到了初步改进,董事会
的参与度有所提高,首席风险官(及其团队)的角色和
地位逐渐得到强化。工作重点进而变成组建强大、独立
的第二道防线风险管理职能,该职能的领导者需拥有充
分权力,并且可以随时接触董事会。这些变化都要求银
行尽早关注角色和职责,使银行踏上建立有效三道防线
运行模式的十年历程。
过去几年中,银行和监管机构认识到了建立和实施有效
风险偏好框架(risk appetite frameworks, RAFs)的重
要性。这些风险偏好框架迅速成为加强企业层面风险管
理的基石。由于大多数银行首次引入风险偏好框架,因
此要先明确银行面临的主要风险,并要在董事会与高级
管理层之间达成一致,即,他们愿意承担风险并能够在
一定程度上接受关键风险领域存在的风险敞口。虽然从
某一层面上看,风险偏好框架是一个简单的概念,但却
彻底改变了银行的风险管理。银行仍在努力研究如何以
最佳方式将董事会的风险偏好指引转化为机构内部高度
可行的决策。
图图11:风险管理转型的十年:风险管理转型的十年
2018
2015
2012
2011
2014
2013 2017
2016
2019
2010
在十年变革的中期,银行将主要精力放在风险文化上。
新能力和现有能力的强化帮助银行优化了风险管理。人
们最终认识到风险文化的重要性,因为文化是支持适
当、适度和明智承担风险以及(必要时)上报风险的行
为基础。严重的行为不当事件频发,引发了人们对行为
风险的关注,银行不得不开始制定新的风险策略来影响
员工行为。相关工作直至今天仍在继续,因为许多银行
仍未形成适当的风险文化。
如图2和图3所示,在十年转型期的后半段,银行的工作
重点发生了实质性转变,从金融风险转向非金融风险。
当然,这并不表示金融风险已经消失,相关监管改革仍
在继续,各管辖区的重点都放在全球准则的最终确定和
实施上,但银行在风险管理方面将主要精力都投入到多
年来一直被归类为操作风险的一系列风险中,从最初关
注合规、行为和欺诈,到后来关注网络安全等IT风险。
如今,首席风险官的主要优先事项包括增强运营弹性、
隐私性和云技术,以及向数字化的转型等。在此过程
中,董事会高度关注业务模式风险,体现了其在监督长
期战略和可持续竞争地位方面的核心作用。
第第11年:恢复、适应、年:恢复、适应、
发展发展
金融危机的余波影响尚
存,关注重点是监管变
革、新的风险治理模型
以及角色和职责。
第第22年:大步改进年:大步改进
重点提升金融风险管
理,尤其在资本、流动
性和压力测试方面。
新的风险治理模型主
要围绕董事会和首席
风险官的角色。
第第33年:取得进展年:取得进展
建立新的风险偏好框
架以及提升风险职能
的技能和水平成为工
作重点。
第第44年:金融危机后第年:金融危机后第
一个五年一个五年
改变风险文化必须能
够为技术和人员改变
提供支持。金融风险
管理显著改善,但仍
有很多不足。
第第55年:转移重点年:转移重点
尽管巴塞尔议程仍在构
想中,但已将行为和文
化改革作为重点。嵌入
风险偏好,尤其是针对
非金融风险的偏好,挑
战凸显。
第第66年:重新思考风险年:重新思考风险
管理管理
加强三道防线框架成为
重点,尤其是加强第一
道防线的问责制。在非
金融风险中,行为风险
值得关注。
第第77年:绘制制胜蓝图年:绘制制胜蓝图
尽管取得了实质性进
展,但风险管理转型尚
未完成,明显仍处于
历时十五年的转型过
程中。
第第88年:重塑信任、理性年:重塑信任、理性
求变、优化方法求变、优化方法
风险管理迎来关键转折
点,从理性求变阶段,
逐渐过渡到机构层面的
方法优化。网络风险已
成为重中之重,直至今
天仍是如此。
第第99年:加速推进数字年:加速推进数字
化转型化转型
随着变革速度加快和变革
规模扩大,风险在影响和
塑造数字化转型方面的作
用变得十分关键。
第第1010年:耐力比拼年:耐力比拼
为确保下一个十年仍可
取得成功,风险管理职
能必须帮助银行积极管
理十大行业风险。
6 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
图例
金融风险
监管资本管理
信用
流动性
市场风险
模型
监管实施
压力测试
非金融风险
业务模式
合规
行为
文化
网络安全
数据隐私
全面风险管理
操作
运营弹性
声誉
风险偏好
风险控制
风险技术架构
数字化战略过渡
图图22:首席风险官:首席风险官1212个月中的风险优先事项,个月中的风险优先事项,20122012至至20192019年年
图图33:董事会:董事会1212个月中的风险优先事项,个月中的风险优先事项,20132013至至20192019年年**
CRO priorities 2012 to 2019
Rank 2012 2013 2014 2015 2016 2017 2018 2019
1
2
3
4
5
6
7
8
9
10
CY
CRE
DIG
REG
CON
OR
CUL
PRI
RES
MO
CY
CRE
REG
OR
TECH
CON
RA
BM
CUL
STR
CY
REG
CON
CRE
OR
CUL
TECH
ERM
RA
STR
REG
CY
CRE
RA
OR
TECH
STR
CON
CUL
ERM
REG
RA
CRE
OR
CAP
LIQ
TECH
STR
MR
CY
CRE
RA
OR
REG
RC
CAP
MR
LIQ
STR
TECH
CRE
RA
REG
OR
LIQ
CAP
MR
STR
TECH
RC
CRE
LIQ
RA
MR
REG
TECH
STR
CAP
RC
OR
* CROs’ views of boards’ priorities
Board priorities 2013 to 2019*
Rank 2013 2014 2015 2016 2017 2018 2019
1
2
3
4
5
6
7
8
9
10
CY
CRE
DIG
CON
REG
OR
OR
BM
RES
RA
CY
CRE
REG
CON
RA
BM
CUL
CAP
CY
REG
CRE
CUL
RA
STR
REG
CY
CRE
RA
CON
CUL
TECH
RA
CRE
CAP
LIQ
STR
RA
REG
OR
LIQ
CAP
ERM
STR
CUL
REP
COM
CUL
CON
OR
TECH
CAP
STR
OR
BM
CUL
CON
REPREP
ORTECH
RA
COM
OR
REP
CON
CUL
ERM
STR
CAP
LIQ
排名
排名
* 首席风险官眼中的董事会优先事项
CAP
CRE
REG
LIQ
MR
MO
BM
CY
OR
RA
RC
STR
COM
CON
PRI
ERM
RES
TECH
REP
DIG
CUL
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 7
率都开始接近10%%至15%%。净资产收益率最初严重下滑的
银行的经济状况缓慢改善,而那些保证更高收益的银行则
感受到了来自监管议程的压力,其经济活动受到了影响。
但是,行业趋同的背后隐藏着巨大的地区间差异。从净资
产收益率来看,不同地区差异巨大。如今,位于拉丁美洲
以及中东和非洲的银行利润丰厚,其中大约一半(分别为
44%和58%)银行的净资产收益率预计超过15%。北美银
行资产情况也很健康,仅有6%%的银行无法实现不低于10%的收益。而相比之下,欧洲银行的增长和业绩仍相当低
迷:44%的银行认为其净资产收益率仍无法超过10%,更
没有一家银行的净资产收益率有望高于15%。
图图44:首席风险官和监管机构未来五年的主要关注点:首席风险官和监管机构未来五年的主要关注点
着眼未来一年、五年或更长时间,银行将更加关注非金
融风险。从图4可看出,首席风险官和监管机构对政治
动荡、气候变化和行业颠覆等长期风险的关注度较高。
全球趋同背景下,仍存在大量地域差异全球趋同背景下,仍存在大量地域差异
在某种程度上,过去十年是一个监管不断趋同的过程。
监管改革议程可能尚未在全球范围内得到统一实施,且
很可能永远无法实现统一实施,但总体而言,该议程使
监管要求趋同达到了前所未有的水平,尤其是在审慎事
项(例如,资本和流动性)、董事会和内部治理以及风
险管理领域。趋同普遍缩小了全球银行的战略和业务模
式差异,带动了非核心或高风险业务以及低流动性资产
的出售转让。
如图5所示,趋同的净效应是,行业的目标净资产收益率
(ROE)越来越低(尽管可能无法保证持续性)。全球
金融危机前普遍保证净资产收益率达到20%至25%的时代
已经过去。银行目标净资产收益率大幅下降,但不包括
最初监管改革要求较宽松的地区或本地市场有所增长的
地区的银行。过去十年中,全球银行的目标净资产收益
48%
51%
51%
52%
53%
56%
59%
60%
65%
69%
Concerns to CROs
Industry disruption dueto new technologies
Pace or breadth of changefrom digitalization
Geopolitical risk
Use of machine learning (ML) orartificial intelligence (AI)
IT obsolescence or legacy systems
Data privacy
Environmental risk or climatechange
Data integrity or destruction
Availability of data
Model risk related to ML or AI38%
27%
53%
35%
69%
31%
51%
32%
48%
46%
Concerns to regulators*
*CROs’ views of regulators’ concerns
未来还会出现与隐私风险、数据可用性以及数据完整性
等新风险相关的多种数据挑战。
* 首席风险官眼中的监管机构关注重点
监管机构的关注重点* 首席财务官的关注重点*
新兴技术带来的行业颠覆
数字化变革的速度和广度
地缘政治风险
机器学习或人工智能的使用
IT技术过时或遗留系统
数据隐私
环境风险或气候变化
数据完整性或数据销毁
数据可用性
与机器学习或人工智能相关的模型风险
8 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
2013 20172014 2015 2016 2018
2019 by regionMiddle East and Africa
2013 to 2019
Above 20%
16% − 20%
11% − 15%
5% − 10%
Under 5%
33%
37%
13%
11%
6%
20%
52%
9%
15%
4%
29%
49%
20%
2%
22%
57%
15%
4%
2%
18%
49%
7%
25%
1%
21%
52%
6%
16%
4%
2019
16%
53%
6%
25%
Asia-Pacific
North America
5%
62%
33%
Europe
56%
44%
29%
36%
29%
7%
Latin America
33%
33%
11%
22%
61%
6%
33%
图图55:银行之后三年的目标收益率:银行之后三年的目标收益率
过去几年,各地首席风险官的主要关注点各有不同。亚
太区银行面临的问题较多,包括监管机构对市场和消费
者行为的密切关注、地缘政治紧张局势以及最近的全球
贸易战的本地影响。欧洲银行持续面临充满挑战的经济
状况:从主权债务危机,到经济增长停滞,再到始终无
法达成协议的英国脱欧谈判,这些都使市场参与者持续
面临持续不确定性。拉丁美洲的许多国家则面临着国内
的政治动荡。而中东和非洲部分地区的政局不稳,但某
些地区的经济却取得增长。北美地区的监管议程(尤其
是在美国)覆盖较广,对银行的影响要早于许多其他国
家(英国可能除外)。
除了监管新规(包括部分地方法规以及更广泛的巴塞尔
议程的其他内容)外,监督机构还对资本和流动性管理
等一系列领域形成了要求较高的新预期,其中许多预期
都涉及到了风险管理,但实际上,不同地区的实施进度
并不一致。
因此,尽管各地区的银行都开始加强风险管理,但在过
去十年中,每个地区的主要关注点却千差万别。
2013至2019年 2019年各地区统计
20%以上
16%至20%
11%至15%
5%至10%
5%以下
亚太区 欧洲 拉丁美洲 中东及非洲 北美
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 9
近期和中期风险管理挑战
10 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
Financial risks Nonfinancial risks
Liquidity management 11% 35%
Capital management 1% 2% 12% 33%
Risk identification 2% 17% 21%
Stress testing 1% 3% 24% 23%
Recovery planning 1% 5% 26% 38% 29%
Resolution planning 11% 10% 16% 39% 24%
Model risk management 3% 17% 33% 35% 11%
Early stages Fully complete
54%
52%
60%
49%
Operational risk 5% 29% 13%
Information security risk 9% 8%
Cyber risk 13% 4%
Conduct risk 2% 13% 3%
Technology risk 1% 15% 2%
Operational resilience 2% 12% 32% 5%
Privacy risk 8% 13% 24% 7%
Third-party risk 3% 19% 28% 3%
52%
44%
42%
40%
40% 43%
40%
41% 41%
48%
48%
46%
Early stages Fully complete
风险管理质量无疑得到了提高。风险专业人士指出了各
类金融风险和非金融风险中实施风险管理的不同程度的
进展,反映了从金融风险到非金融风险的转变。如图6所示,对金融风险的管理水平通常处于高级阶段(或者已完
善)。相比之下,对非金融风险的管理仍有很大的提升空
间。例如近年来的网络风险,银行一直在积累自己的专门
技术和方法。对于首席风险官及其团队来说,真正的挑战
是构建能够同时适用于金融和非金融风险的管理方法。
图图66:实施风险管理流程的进程:实施风险管理流程的进程
虽然监管变化繁多,但首席风险官对整体影响持有相当积
极的态度。一名首席风险官在谈到审慎监管时表示:“在
压力测试、资本管理和流动性管理方面加强约束对整个行
业来说是一件好事。”另一位首席风险官在谈到消费者保
护和行为监管的影响时表示:“针对一个特定的产品,现
在人们对这些问题的思考程度是十年前不可想象的。当今
消费者对产品的考虑因素之多令人吃惊。”
效力更佳,但不一定效率更高效力更佳,但不一定效率更高
尽管风险能力总体上已经成熟,但大多数银行都是根据新
的监管规定或监管发现设计的风险管理方法,且是在短时
间内完成的。因此,此类管理提升措施通常采用高度手动
的流程和未经优化的方法,其中许多操作既麻烦又昂贵,
特别是在成本要求仍然较高的环境中。
因此,银行正在寻找机会,通过理顺流程及提升自动化水
平来提高效率。这样,不仅提高了效率,而且促进了流程
Financial risks Nonfinancial risks
Liquidity management 11% 35%
Capital management 1% 2% 12% 33%
Risk identification 2% 17% 21%
Stress testing 1% 3% 24% 23%
Recovery planning 1% 5% 26% 38% 29%
Resolution planning 11% 10% 16% 39% 24%
Model risk management 3% 17% 33% 35% 11%
Early stages Fully complete
54%
52%
60%
49%
Operational risk 5% 29% 13%
Information security risk 9% 8%
Cyber risk 13% 4%
Conduct risk 2% 13% 3%
Technology risk 1% 15% 2%
Operational resilience 2% 12% 32% 5%
Privacy risk 8% 13% 24% 7%
Third-party risk 3% 19% 28% 3%
52%
44%
42%
40%
40% 43%
40%
41% 41%
48%
48%
46%
Early stages Fully complete
和方法的可持续性。近四分之三(73%)的银行希望在未
来三年内提高风险管理效率。其他优先事项包括:
• 提高风险管理能力,为决策提供信息(56%)
• 整合控制职能的所有风险活动:风险、合规和审计
(55%)
• 完成治理、风险和控制技术的实施(55%)
• 加强董事会(24%)和高级管理层(22%)的监督
金融风险
流动性管理
资本管理
风险识别
压力测试
恢复计划
处置计划
模型风险管理
早期阶段 彻底完成
非金融风险
操作风险
信息安全风险
网络安全
行为风险
技术风险
运营弹性
隐私风险
第三方风险
早期阶段 彻底完成
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 11
改变人才战略也将是重点关注领域。大多数(69%)银行
希望增加专业技术人才,几乎同样多的银行(62%)打算
获取合适的技能组合。正如一位风险主管所说:“我们将
更加关注机器学习、数据隐私、信息技术、数据安全、气
候变化议程等方面的技能。这会带来不同的思路和方法。
针对变更和干扰的管理方式将从传统的线性项目管理方法
演变为更灵活的、能够随机应变的方法”。图7显示了未
来几年银行最需要的技能。
“我们正在审视自己的员工队伍,考虑对现有员工进行新技能培训,还是招聘具备新技能组合的新人才。
— 风险高管
图图77:银行认为当下仍然需要的专业技术人才:银行认为当下仍然需要的专业技术人才
51%
28%
Third party
46%
23%29%
Operational resilience
77%
Areas where banks need to add financial risk experience …
Model risk management(MRM) of AI or ML
… and nonfinancial risk experience
16%
Stresstesting
TraditionalMRM
Financialrisks***
Cybersecurity
***Market, credit and liquidity risks
Information security Technology
Operational
16%23%73%
伦敦银行同业拆放利率转型:从不当行为伦敦银行同业拆放利率转型:从不当行为到市场流动性不足到市场流动性不足
一小部分个别机构的操纵银行间利率事件或许是最令人
震惊的行业不当行为之一。尽管金融危机爆发时占据头
条新闻的许多所谓不当行为发生在危机之前,但危机之
后几年操纵利率的行为仍在继续。这震惊了所有人。
起初的不当行为很快转变成为市场流动性问题。金融危
机后,银行间市场的交易量急剧下降,而具有讽刺意味
的是,这导致市场开始高度依赖基于专家判断的银行报
价,而银行担心承担法律或声誉风险,越来越不愿提交
报价。流动性继续枯竭,人们开始担心,遗留合同中的
后备条款普遍不够有力,在伦敦银行同业拆放利率永久
停用的情况下可能会严重扰乱金融市场。
因此,政策制定机构、监管机构和行业参与者多年来一
直在共同努力,向替代性参考利率过渡。然而,仍有许
多工作要做。尽管银行(尤其是大型金融机构)普遍比
一年前更清楚这个问题,但仍存在重大障碍。不同管辖
区的做法不同,增加了问题的复杂性1。考虑到伦敦银行
同业拆放利率是超过400万亿美元合同金额的参考利率,
为了确保各方利益,过渡必须成功。过渡所面临的挑战
包括:
• 提供充足的资源,如关键人员或预算(46%)
• 证实日常业务数据和时间序列管理流程能够支持新的
无风险利率(45%)
• 识别新的风险因子并建模(39%)
• 将新风险纳入端到端风险管理流程(37%)
• 调整关键的机构层面预测活动,包括压力测试(25%)
在转型期间需要管理一系列风险(见图8)。2
图图88:在伦敦银行同业拆放利率过渡期间最难以管理的:在伦敦银行同业拆放利率过渡期间最难以管理的
风险 风险
1《伦敦银行同业拆借利率转型:取得进展,但挑战犹存》(Libor transition: progress but challenges remain);国际金融协会关于伦敦银行同业拆放利率的研究 https://www. iif.com/portals/0/Files/private/cmm_aug18_vf.pdf。 2 《伦敦银行同业拆放利率转型:是必然,而非选择》(Libor transition: A certainty not a choice),安永网站,https://www.ey.com/Publication/ vwLUAssets/ey-ibor-transition-a-certainty-not-a-choice/$File/ey-ibor-transition-a-certainty-not- a-choice.pdf。
银行需要增加金融风险管理经验的领域……
人工智能或机器学习模型
风险管理(MRM)
压力测试 传统
模型风险管理金融风险***
……以及银行需要增加非金融风险经验的领域
网络安全 信息安全 技术
运营弹性 第三方管理 操作
*** 市场、信用和流动性风险
定价 基础 法律 操作 声誉 行为
12 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
图图77:银行认为当下仍然需要的专业技术人才:银行认为当下仍然需要的专业技术人才 图图99:贷款市场最可能受到的重大影响:贷款市场最可能受到的重大影响信用损失会计处理信用损失会计处理
除了监管改革,全球各地的银行还一直在应对预期信
用损失确认会计准则的变更。采用国际财务报告准则
(IFRS)的银行要比其他银行早几年采用IFRS 9,后
者将采用美国财务会计准则委员会(FASB)发布的
当前预期信用损失(CECL)模型。
对于新规可能对风险管理和贷款定价产生的长期影
响,各银行意见不一。预测未来影响更大的银行和预
计影响有限的银行几乎一样多。事实上,五分之一的
受访银行(19%)预计影响会非常大。
受访银行还指出了若干增加计量和报告减值复杂性的
领域,如建模(72%)、预测和压力测试(68%)、
投资组合监控和报告(44%)。约三分之一的银行预
计,数据管理和定价方法将受到影响。因此银行可能
需要在短期内提高能力,且在新会计准则生效后,银
行还需要更加标准化和简化的管理方式。
确定全部影响将需要一定的时间,部分原因在于很难
评估信用风险会计准则与近期资本要求变化之间可能
存在的相互影响。图9展示了银行认为贷款市场可能
受到的影响。
49%
38%
30%
21%
18%
16%
Loan pricing
Loan duration or lifetime
Underwriting standards
Target customer mix
Product structure orconditions
Limit availability
贷款定价
贷款期间或期限
承销标准
目标客户组合
产品结构或条件
限额可用性
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 13
未来十年需要管理的十大风险
14 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
下文将对每个问题进行讨论,着眼于这些问题所带来的具
体挑战和不确定性、管理这些风险的一些不断发展的方
法,以及最重要的——第二道防线风险管理的作用。其他
职能,尤其是第一道防线,负有管理这些风险的更多责
任。但第二道防线风险管理的突出作用在于帮助银行将这
些风险提上议程,并成功引航未来十年乃至更长时间的历
程,实现长期生存。
针对上一次全球金融危机的研究已经十分深入,造成这一
危机的风险也已众所周知。例如,当时个人和公司债务已
达到前所未有的水平;自有住房所有权的融资是不可持续
的,至少在美国如此;结构性金融产品变得过于复杂;监
管和货币政策都过于宽松;董事会的治理也很薄弱。这样
的例子不胜枚举。
虽然事后说得容易,每个人本来就应该预见到这些问题
交织在一起不会产生好的结果,其实这些问题没有一个
是隐藏起来看不见的。风险并不是未知的,只是没有被
理解或解决。
未来十年十大风险和问题包括:未来十年十大风险和问题包括:
1. 抵御潜在金融
2. 在不扩张的生态系统中运营
3. 保护隐私,维护信任
4. 打一场银行和整个系统的网络战
5. 引导银行业完成必要的云技术过渡
6. 以受控制的方式实现银行业的数据分析工具产业化
7. 无中断为顾客、客户和市场提供服务
8. 适应快速变化的地缘政治对银行及其客户的影响
9. 应对气候变化对银行和社会的影响
10. 满足客户新需求,提供定制的综合生命周期产品和服务
鉴于预测风险和预先管理风险的重要性,安永和国际金融
协会在全球银行风险管理调查进行十周年之际,提出了未
来十年将对银行风险管理形成重大考验的十大风险。这些
问题与上一次金融危机之前银行业内外许多人遗漏或低估
的问题类似。这些都是众所周知的关键问题,银行将需要
像现在解决资本和流动性问题一样处理这些问题。这些都
不是未知的未知。
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 15
安全度过潜在金融衰退期1
16 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
毫无疑问,与大约十年前相比,全球银行业现已能够更
有效地应对金融衰退。十年前,银行严重依赖于商业模
式和收入多样化,将前者作为驱动盈利能力和提高机构
实力的机制,而后者显而易见能够实现风险在整个系统
内的广泛分布以缓解集中度。资本是背景因素。确实,
银行的信用评级显示,资本水平和信用评级之间存在反
比关系(银行规模越大,评级机构要求其持有的资本比
例越低)。所有人都记得后果如何。
风险高管们很快表示,全球监管改革议程总体上是积极
的。一位风险高管指出:“在压力测试、资本管理和
流动性管理方面加强约束,对整个行业来说是一件好
事。”虽然地区差异仍然存在,但总体而言,银行的资
本和流动性水平远高于过去几十年的水平,尤其是那些
具有系统重要性的大型银行。正如一位首席风险官所
述,银行“对经济下滑有了更好的准备,他们对资本的
使用考虑得更周全,对信用集中度和交易对手方在压力
下的行为有了更好的了解。”
虽然准备充分,但严重的经济下滑仍可能虽然准备充分,但严重的经济下滑仍可能暴露问题暴露问题
尽管全球各地的央行和政策制定机构做出努力,但几乎
可以肯定,几年后会发生下一次金融衰退。通过更严格
的监管、更强力的央行审慎权力和更积极的利率管理,
下滑周期可能已经改变,但经济周期的趋势是不可逆转
的。
一如既往,问题不在于是否存在,而在于何时发生以及
有多严重。的确,今天的情况则预示着未来的经济挑
战。一位高管很好地总结了当前的形势:“在宏观经济
环境方面,我们看到全球化程度越来越低,去全球化的
程度越来越高,各方面的经济环境都更加严峻。”低利
率或负利率让银行的日子更加难过。
正如图10所示,银行对自己安全度过经济下滑的能力相
对乐观。从风险的角度来看,过去十年奠定的基础让风
险主管觉得在管理风险阈值和限制方面准备相对充分,
因为已经建立了在外部条件转变的情况下应对变化的机
制。同样,总体而言,银行认为自己已经做好准备动态
调整增长目标、预算和投资,以及并购活动。这种灵活
性一旦发挥作用,一定至关重要。
“我们的董事会成员没有管理层的经验——上次金融危机时大多数人还不在这里。业务也有了很大的变化。 — 风险高管
Adaptability of bank to an economic downturn
Ability to recalibrate tolerances or limits
3% 13% 24%
Ability to incorporate into risk appetite
1% 4% 16% 24%
Flexibility in growth targets*
6% 17% 19%
Flexibility in changing budgets, investments and operations
8% 23% 19%
Flexibility in M&A or divestitures
3% 7% 25% 22%
Quality of playbooks if severe downturn
10% 36% 9%
Flexibility in variable cost structure
1% 19% 39% 33% 8%
Weak Strong
60%
54%
43%
57%
51%
45%
然而,严峻的经济形势变化可能会对银行构成挑战。监
管机构的压力测试模型表明,银行能够承受严重的经济
冲击,但当被问及该问题时,一些受访银行对自己针对
严重下滑制定的计划质量缺乏信心。这些银行还承认其
成本结构相对不够灵活。银行最好现在就重新审视自己
的计划,并进行必要的改进。
图图1010: 银行对经济下滑的适应性: 银行对经济下滑的适应性
重新校准容差或范围
的能力
结合风险偏好的能力
增长目标的灵活性
改变预算、投资和运营
的灵活性
并购或资产剥离的灵
活性
针对严重经济下滑的计
划的质量
可变成本结构的灵活性
薄弱 强大
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 17
预测未来:一组领先指标和滞后指标预测未来:一组领先指标和滞后指标
风险管理者在加强经济下滑准备方面发挥着重要作用。
职责以内,他们必须证实风险监控能够及早发现新出现
的风险,从而为决策提供信息。他们还可以评估风险工
具,检查这些工具是否能在指标开始变为负值时,对风
险阈值和范围进行足够快的更改。
风险主管还可以对全行层面和业务线层面的战略和计划
进行压力测试。这些计划是否能够持续地充分捕捉到宏
观经济风险,以及它们是否具有足够的灵活性以适应这
些风险? 这不仅仅是一种“检查”。必须确保这些计划
能够应对经济下滑,因为全行层面和业务线层面上很多
决策都是由这些计划推动做出的。
一个值得关注的问题是首席风险官应该监控哪些指标?
图11中最突出的指标是滞后指标,例如实际GDP增长
放缓和失业率急剧上升。首席风险官会查看消费者信心
调查结果,但较少关注企业信心,而企业信心其实意义
重大。也就是说,关注收益率曲线倒置是非常可以理解
的,至少在一些发达国家的市场上,如果历史可以借
鉴,收益率曲线会是一个非常重要的指标。
建议首席风险官复核其使用的一系列宏观经济指标,验
证适当组合了领先指标和滞后指标。否则,重新调整风
险阈值和范围的工作可能会不够快,特别是当经济下滑
比预期严重时。经济学专业更加注重使用更多实时数据
捕捉和建模,能够提供洞见。
图图1111:首席风险官使用的用于识别潜在严重经济下滑的主要指标:首席风险官使用的用于识别潜在严重经济下滑的主要指标
* 定期调查
14%Economic model
42%Inversion of yield risk
20%Sharply rising interest rates
27%Decrease in consumer confidence*
4%Deflation
36%Sharply rising unemployment
22%Decrease in business confidence*
8%Rising inventory
8%Rising inflation
20%Surveys of economists
58%Slowing real GDP growth
21%Decrease in manufacturing production
Economic indicators Sentiment surveys and models经济指标 情绪调查及模型
实际GDP增长放缓
收益风险倒置
失业率急剧上升
存货增加通货膨胀
加剧
通货紧缩
利率急剧上升
消费者信心
下降* 制造业生产
下降
对经济学家的
调查
企业信心下降*
经济模型
18 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
2 在不断扩张的生态系统中运营
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 19
第三方风险管理过去已经存在。长期以来,金融服务业
一直依赖从复杂的外部供应商网络获取核心和外围服
务。银行面临的经济压力,加上管理层专注于核心竞争
力的决策,已促使许多银行将关键业务活动外包。尽管
如此,银行目前对第三方的依赖程度和未来相比仍然很
低。随着银行业价值链的分解,外延的,或者说,“具
有超级连通性的”第三方生态系统将不断扩张,可能会
呈指数级增长。
因此,当银行展望未来几十年时,第三方、第四方和第
五方风险的规模将会大为不同。正如一位高管总结的那
样:“我们必须给予第三方和第四方更多的关注。我们
一直在严格与第三方供应商进行沟通,询问他们最依赖
的供应商。”
风险无处不在风险无处不在
多数银行预计,由于他们对第三方的依赖增加,其风险
状况也将发生重大变化。总体而言,整体依赖、集中风
险、数据和技术相关问题以及外包等因素的影响将最为
显著(见图12)。3
风险管理可以带来改变风险管理可以带来改变
银行业从采购到供应商管理再到第三方风险管理的十年
转型历程突出了第二道防线风险管理的作用。
如今,近半数(47%)的银行通过第二道防线而不是第
一道防线来设定政策框架,大约同样比例(52%)的银
行对第一道防线如何实施银行的第三方风险管理框架提
出了质疑。
大型银行比小型银行更重视第二道防线的职能,这表明银
行业正在向成熟模式发展,即随着银行规模的扩大,第二
道防线的重要性将随之增加。大约四分之一(28%)银行
的第二道防线职能侧重于识别与第三方相关的新风险和
趋势,而几乎相同比例的银行围绕这些风险制定了机构
层面的风险偏好声明(23%)和指标(22%)。
一小部分风险职能,尤其是在小型银行中,将主要精力放
在了关键第三方上,评估实际供应商(15%),或用于确
定供应商关键程度的因素(14%)。随着银行越来越重视
加强机构层面弹性,这方面的工作也会相应加强。
对这些风险的管理将颇具挑战性。一位高管指出:“随
着金融科技公司的崛起及其对第四方、第五方和第六方
的依赖性越来越强,维持有效控制越来越难。”确实,
有时银行“发现我们许多供应商的核心服务供应商都是
Factors
67%
36%
46%
58%
61%
34%
16%30%
Core technologies
Core business processes
Transition core services to public or
hybrid cloud
Use or access to bank’s data
In a specific location
Fourth or fifth parties
On third parties, in general
Dependence on third parties supporting
core business services
图图1212:将在未来三到五年对银行风险状况产生重大影响:将在未来三到五年对银行风险状况产生重大影响
的第三方因素的第三方因素
图图1313:主要第三方风险:主要第三方风险
3 《全球金融服务第三方风险管理调查》(Global financial services third-party risk management survey),安永网站,https://www. ey.com/Publication/ vwLUAssets/ey-global-financial-services-third-party-risk-management- survey/$File/ey-global-financial-services-third-party-risk-management-survey.pdf。
35%56%
Cybersecurity
Privacy
4%Location of third party
54%
Information security
28%
Regulatory and
compliance
2%Strategic
48%
Business continuity and
resilience
23%
Operational
2%Geopolitical
31%
Reputational
13%
Fourth- and fifth-party
concentration
1%Financial
同一家,所以实际上第四方对我们的重要性可能高于第
三方。所以,您你要如何确保他们部署了必要的控制、
安全级别等,以确保不会让您你受到攻击?”图13列出
了与第三方相关的最主要风险。
依赖第三方支持核心业务服务
核心技术
核心业务流程
将核心服务牵制至公共云或混合云
通常依赖第三方
第四方或 第五方
在特定地点
使用或访问 银行数据
因素
依赖性
外包
集中
度
技术和数据
网络安全 信息安全 业务连续性和弹性
声誉
隐私 监管与合规 操作 第四和第五方集中
4% 第三方的地理
位置
2% 战略
2% 地缘政治
1% 金融
20 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
管理关键第三方管理关键第三方
并非所有第三方都是相同的。有些第三方对于银
行的重要性要远大于其他第三方。因此,几乎所
有(97%)银行都持有一份关键第三方清单。在
过去的10到15年里,对第三方关键性的确定标
准发生了变化。最初,标准偏重第三方的总支出
和财务影响。如今,关键性的决定因素包括对机
构弹性策略的影响(66%)、访问的数据和系统
的类型(61%)和所使用数据的敏感性(54%)。
关键第三方的识别越来越困难。为增强弹性,银
行现在必须确定其最关键的服务,然后再确定支
持这些服务的流程、技术、人员和第三方。有时
银行内部很难就哪些业务服务具有关键性达成一
致,因此识别关键第三方就更加困难。
如果上述识别流程算是具有挑战性,那么实际管
理这些关键第三方就难上加难。确保第三方遵守
服务水平协议中的条件是管理第三方的主要手段
(71%),同时还要确保制定适当的合同条件,如
审计权(40%)或实地视察权(28%)。挑战在
于持续监控和使用何种工具。令人惊讶的是,仅
有不到五分之一(18%)的银行将问题管理作为
一种监控技术,而仅有不到十分之一(8%)的银
行使用外部风险数据或评级,尽管通过这些方法
可以有效地识别特定供应商的潜在问题。如果管
理关键供应商是持续交付和不能持续交付关键业
务服务的区别所在,那么现状肯定需要改变。
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 21
3 保护隐私,维护信任
22 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
五年前,公众对于隐私的关注度还很低。银行并未轻视
隐私,他们知道自己有义务保护客户的隐私信息,并根
据当时的需要建立了相应的机制来支持隐私承诺。
然而,近年来银行处理的个人数据量大幅增加,大型网
络安全事件频发,隐私问题被推上银行政策议程。五
年前,1,000万个人账户的丢失还被视为重大新闻。如
今,公众对数亿账户的丢失也已见怪不怪。
银行意识到隐私保护十分紧迫。四分之一(23%)的银行
将隐私列为未来12个月的首要风险,二分之一(53%)的银行将隐私视为未来5年的主要新风险。银行对隐私的
重视说明,隐私不仅仅是一项技术问题,还关系到维护
客户对银行乃至整个系统的信任。正如一位风险专业人
士所述:“我们最担心的是,如果客户数据遭到黑客攻
击,会影响银行的声誉。作为银行,我们向客户销售的就
是信任。如果我们不能保护他们的个人数据,这种信任
就会消失。”
泄露与不合规性泄露与不合规性
如图14所示,大规模的数据泄露仍是银行的主要担忧。
受访银行认识到,无论是哪一行业的机构,只要承认发
生了重大的数据泄露和丢失,声誉都会受到损害。数据
泄露应对措施的质量和速度固然重要,但都无法挽回泄
露的事实。在银行业,许多情况下,泄露数据的都是第
三方,而不是银行,但造成的声誉损害可能是相同的。
客户通常会指责银行。
监管机构和政府部门对隐私问题的关注带来了额外的新
风险。银行担心是否能满足各种规定,特别是与数据泄
露报告相关的规定,并为互为冲突的本地和国际要求所
带来的复杂性感到担忧。越来越多的监管规定将数据控
制权交还给客户,尽管在预料之中,但也给数据的获
取、使用、移动和删除带来了新的挑战。
图图1414:最受关注的隐私风险:最受关注的隐私风险
Large-scale data breach
1% 3% 12% 38%
Third party creates material privacy risk event
2% 6% 15% 33%
Being non-compliant with laws and regulations
1% 15% 24% 33% 27%
Meeting legal or regulatory requirements for breach reporting
5% 16% 30% 23% 26%
Conflicting privacy laws across jurisdictions
3% 26% 23% 35% 13%
Fragmentation of privacy laws across jurisdictions
3% 23% 29% 31% 14%
Meeting customer demands to delete their data
4% 22% 32% 28% 14%
Not concerned Highly concerned
46%
43%
4 《GDPR对金融服务机构的影响》(How GDPR impacts financial services organizations),
安永网站, https://www.ey.com/en_us/financial-services/6-ways-to-maximize-value-from-your-cloud-migration。 5 《公共政策聚焦:演变中的数据隐私格局》(Public policy spotlight: the evolving data privacy landscape),安永网站, https://www.ey.com/Publication/vwLUAssets/Ey-public-policy-spotlight-evolving-data-privacy- landscape/$FILE/Ey-public-policy-spotlight-evolving-data-privacy-landscape.pdf。《<加州消费者隐私法案>与欧盟<一般数据保护条例
>对比》(How The California Consumer Privacy Act compares to the EU GDPR),安永网
站,https://consulting. ey.com/california-consumer-privacy-act-compares-eu-gdpr/。
将隐私纳入广泛的风险框架将隐私纳入广泛的风险框架
许多机构在适应欧盟《一般数据保护条例》(GDPR)时
意识到,有关隐私的新条例比以前要严格得多,事实确实
如此4。全球政府部门对隐私的关注将突出立法需求。5
很多银行在重新评估其隐私计划是否充分后,得出结论
认为还需要做更多的工作,才能将隐私完全融入日常运
营和风险管理活动。只有约四分之一(28%)的银行认
为他们已将隐私风险充分嵌入了全面风险管理(ERM)
框架。大多数银行还在进行方法优化,其中一些优化是
实质性的。在未来三年内,近五分之三(57%)的银行
预计会提高隐私嵌入企业风险管理的程度,构建更强大
的数据分析,并建立更稳健的控制框架。几乎同样多的
银行(54%)希望实现流程自动化。
第二道防线风险管理起着至关重要的作用,要建立正确
的风险框架(65%),或大范围影响隐私风险框架或为
隐私风险框架提供信息(49%)。第二道防线需要对第
一道防线的风险防范方法提出质疑(68%),确认从产
品设计到营销和分销,都认真对待隐私问题。真正的挑
战是确定管理层中由谁对隐私风险承担责任。如图15所示,目前,放眼整个行业,隐私风险的主要负责部门或
高管多种多样。
图图1515:隐私风险的主要负责部门或高管:隐私风险的主要负责部门或高管
39%
16%14%
8%
7%
9%4%3%
Other
CRO
Chief dataofficer
Chief privacyofficer
Compliance
No executivedesignated
Chief informationofficer
Primary owner
Legal
大规模数据泄露
第三方造成重大隐私风险事件
违反法律法规
遵守数据泄露报告的法律或监管要求
不同管辖区的隐私法规冲突
各管辖区的隐私法规碎片化
满足客户删除数据的需求
不关注 高度关注
主要负责人
无指定负责部门或高管
首席风险官
首席信息官
首席数据官
法务部
其他
合规部
首席隐私官
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 23
24 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
4 打一场银行和全系统参与的网络战
毫无疑问,网络风险是首席风险官和董事会的首要议
程。五年前,也就是2014年,网络安全甚至还没有进入
首席风险官和董事会优先事项的前十名。到目前为止,
网络风险是最严重的风险,并已连续三年位居榜首。没
有其他风险可以与之相提并论。
行业层面的系统性风险行业层面的系统性风险
曾经几年,最受关注的是直接网络风险对银行的危害程
度。后来,关注点转向了最薄弱的环节——金融服务
生态系统中哪家银行或第三方给全行业带来了最大的风
险。
防范直接网络风险仍然很重要。然而,不良行为者,特
别是某些国家,已经显示出破坏性(不仅仅是犯罪)行
为的倾向,这意味着现在的焦点已经转移到会波及整个
行业的系统性风险。如今,五分之四的银行认为,在未
来五年内可能会发生一场行业层面的全系统范围攻击或
重大事件,近三分之一(29%)的银行认为这种可能性
很大。
最主要的(68%)担忧仍然是银行自己的系统或数据遭
到破坏,并因此造成了系统性的行业问题。此外,第三
方、其他具有系统重要性的金融机构,甚至是另一个关
键基础设施行业(如电信或云供应商)受到的攻击也是
银行担忧的问题。这些担忧解释了为何监管机构和银行
业各方高度关注银行业应对网络攻击的准备程度和多机
构模拟演习。
真正的噩梦:丢失数据和运营真正的噩梦:丢失数据和运营
考虑到隐私和网络安全问题交织在一起,银行十分担心
客户数据丢失(如图16所示)就不足为奇了。然而,银
行越来越担心的是数据的访问权限和完整性——大约有
二分之一(51%)的银行认为这些问题将成为未来五年
的关键新风险。
网络攻击对运营弹性的影响正在迅速成为高管和董事会
议程上的优先事项;超过一半的银行(53%)担心在遭
受攻击后恢复运营的能力,三分之一的银行担心客户能
否获得服务6。事实上,银行领导人将网络战视为中国
日益上升的全球影响力以外的又一全球最大地缘政治风
险。
第二道防线风险管理在网络风险管理的三道防线防御方
法中起着核心作用。它在建立整体框架(54%)和将网
络风险纳入风险偏好(60%)和指标(63%)框架方面
发挥了重要作用。董事会希望第二道防线能够就银行的
漏洞和威胁(51%)以及第一道防线有效管理这些风险
的能力(71%)提供独立观点。
这是一个组织层面的挑战。正如一位首席风险官所评论
的那样,“目前网络安全是最大的问题之一,尤其是在
涉及到内部组织安排时。由谁对什么负责?第二道防线
的作用是什么?回答这些问题很重要,因为这是找到具
有适当胜任能力的适当人员的关键。”
图图1616:首要网络安全风险:首要网络安全风险
23%
18%
12%
18%
13%
Data destruction
Data integrity
Loss or disclosure
67%
33%
11%
Customer data loss
Loss of confidence in banking system or bank
Proprietary data loss
Threats and vulnerabilities
Critical third party attacked
Inability to …
53%
33%
15%
Recover operations after attack
Give customers access to services
Access core IT systems
Manipulation of data
Security risks associated with cloud
Insider threat
6 《改善监管碎片化,支持全球金融服务业的网络弹性》(Advancing regulatory fragmentation to support a cyber/resilient global financial services industry),国际
金融协会关于网络弹性的研究:https://www.iif.com/portals/0/Files/private/iif_cyber_ reg_04_25_2018_final.pdf。
数据完整性
数据被销毁
数据篡改
客户数据丢失
对银行业系统或银行失去信心
专有数据丢失
丢失或被披露
关键第三方被攻击
内部威胁
与云相关的安全风险
威胁与漏洞
在遭受攻击后恢复运营
为客户提供服务
访问核心IT系统
无法
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 25
网络职能需要更快成熟起来网络职能需要更快成熟起来
银行管理网络风险的方式多种多样。因此,各银行在这
方面的能力成熟程度存在很大差异。
从积极的一面来看,如图17所示,银行相信他们已经传
达了机构层面网络意识文化的重要性,并增强了识别风
险和漏洞的能力。银行还认为第一道防线(其次是第二
道防线)网络报告和指标已经成熟,尽管也承认还有很
长的路要走。许多银行在谈话中承认,他们仍然依赖于
关键绩效指标(例如,计量防范攻击的百分比,而不考
虑严重性),而不是关键风险指标(例如,计量防范最
严重攻击的百分比)。7
银行在数据备份和恢复、身份和访问权限管理等领域最
为艰难,而身份和访问权限管理对于巩固稳健的网络安
全级别至关重要。在风险计量方面,银行难以适当地量
化网络风险,并将其纳入资本压力测试。
最大的挑战(尤其是对中小型银行而言)是评估银行在
网络安全方面的投资回报。投资显著增加,但银行真的
得到了他们所期望的回报吗?
7《网络安全报告的五大考虑事项》(Five considerations for cybersecurity reporting),安
永网站,https://www.ey.com/en_gl/financial-services/5-considerations-for-cybersecurity-reporting。
“随着当今科技的飞速发展,银行也在不断加强网络安全措施。
— 首席风险官
Cyber reporting to board
4% 12% 23% 18%
First-line cyber metrics
7% 16% 32% 39% 7%
Second-line cyber metrics
16% 17% 27% 38% 3%
Ability to articulateand document cyber risk appetite
9% 18% 34% 37% 2%
Quantification of cyber risks
10% 27% 34% 28% 1%
Ability to incorporate cyber risks into capital stress testing
27% 18% 28% 18% 8%
Ability to track return on investment in cybersecurity
35% 21% 27% 12% 4%
Initial Repeatable Defined Managed Efficient
42%
*Initial (i.e., ad hoc and undocumented); repeatable (i.e., documented and globally respected); defined (i.e., defined as standard business process); managed (i.e., quantitatively managed using agreed-upon services); and efficient (i.e., allows for deliberate optimization)
图图1717:网络风险报告能力的成熟度:网络风险报告能力的成熟度**
向董事会提交网络报告
第一道防线网络指标
第二道防线网络指标
阐明和记录网络风险偏好的能力
网络风险量化
将网络风险纳入资本压力测试的能力
跟踪网络安全投资回报的能力
初始 可重复 已定义 已管理 充分有效
* 初始(即,临时的,未做记录);可重复(即,已记录并受到全球重视);已定
义(即,定义为标准业务流程);已管理(即,使用商定服务进行定量管理);及
充分有效 (即,允许审慎性优化)
26 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
5 银行业云技术过渡势在必行
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 27
了解和管理云技术过渡风险了解和管理云技术过渡风险
从根本上切换到云技术并非没有风险。如图18所示,银
行最担心有关客户或银行数据的风险,并认为监管机构普
遍同样关注这一点。风险不仅仅包括数据丢失,维护数据
的完整性和可用性也是值得关注的问题。与监管机构相
比,银行更关注声誉风险,而监管机构更关注数据和数据
服务器的地理位置(鉴于监管本质是司法管辖)。监管机
构如何处理云集中和数据位置问题值得关注。
出于种种原因,银行业正日益向云技术转移,但迄今为
止,只有少数银行将全部业务移至云端。8大多数银行已
通过支持企业资源计划(ERP)、人力资源或其他此类
服务的第三方服务提供商向云端迁移。
形势正在迅速改变。由于云技术的优点极具吸引力——
能够实现成本效益,提高可靠性和弹性,赋予银行利用
高度复杂的分析工具的能力以及加快软件部署,如果
银行有效落实云技术,就能加强信息和网络安全保障能
力。如果银行继续自己维护数据和备份功能,则很难实
现上述目标。
银行认识到,仅靠私有云无法取得规模效益,必须进一
步利用混合云(公共云和私有云)或公共云的能力。
8《将向云技术迁移的价值最大化的6种方法》(6 ways to maximize value from your cloud migration),安永网站,https://www.ey.com/ en_us/financial-services/6-ways-to-maximize-value-from-your-cloud-migration。
图图1818:与全行业范围采用云技术相关的问题:与全行业范围采用云技术相关的问题
30%
53%
43%
43%
55%
57%
33%
60%
61%
59%
74%
87%
33%
36%
47%
48%
57%
61%
62%
62%
63%
63%
77%
92%
Concern to regulators* Concern to CROs
Security of customer data
Security of bank data
Customer data integrity or destruction
Bank data integrity or destruction
Compliance or legal risk
Reputational risk
Concentration of cloud providers
Impact on operational resilience
Cloud provider exit strategy
Limited knowledge of third-partydependence on cloud
Geographic location of data or servers
Insufficient second-linerisk management involvement
*CROs’ views of regulators’ concerns
监管机构的关注重点*
客户数据的安全性
银行数据的安全性
客户数据完整性或是否被销毁
银行数据完整性或是否被销毁
合规或法律风险
声誉风险
云供应商集中
对运营弹性的影响
云服务提供商的退出策略
对第三方对云的依赖程度了解有限
数据或服务器的地理位置
第二道防线风险管理参与度不足
首席风险官的关注重点
*首席风险官眼中的监管机构关注点
28 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
银行应警惕维持向客户提供服务的能力受到的影响。尽
管从理论上讲,云技术提高了银行的运营弹性,尤其是
当银行利用区域内和区域外服务时,由于云服务提供商
大量集中,这一问题变得十分复杂。在银行提供的直接
服务方面,这并不会构成问题,但是如果银行的第三方
和第四方也面临相同的集中风险但不具备相同水平的云
弹性,情况就不同了。一位高管表示:“董事会同意我
们多使用云技术,但是他们希望我们确保不会承担过度
的弹性风险,一旦出现问题,能拿出备份计划。你必须
针对所有方面制定备份计划。”
三分之一的银行担心,他们的第二道防线未充分了解大
规模过渡到云技术的风险。第二道防线可以发挥重要作
用,对第一道防线的方法提出质疑(62%),制定机构
层面战略(31%)以及监控企业层面云技术风险的风险
偏好/风险指标(40%)。对于第三方风险,少数银行利
用第二道防线对测试提出质疑(28%)并评估云服务提
供商的重要性(25%)。
风险可能影响云技术风险响应能力风险可能影响云技术风险响应能力
通常,风险专业人士最关心的是如何针对云技术调整风
险响应能力(60%)和文化(58%)。他们知道需调整
其安全风险响应能力(50%),并投入资源来解读和满
足不断发展的监管要求(36%)。
如图19所示,相对于其他风险,银行对于将核心能力整
合至云战略的程度相当苛刻。即使在有望顺利完成整合
的领域,例如业务连续性、身份和访问权限管理和数据
隐私,受访银行的回答也表明并非所有银行都像人们预
期的那样充满信心。在系统开发和基础设施资产管理等
领域,他们承认银行的信心水平较低。
弥合这些能力差距将是使董事会、监管机构和其他利益
关联方同意将整个行业大规模转向云技术的关键因素。
毫无疑问,这将要求各个银行共同执行行业层面的流
程。
图图1919:对将核心能力整合至云战略的信心水平:对将核心能力整合至云战略的信心水平
Business continuity or disaster recovery
2% 14% 35% 38% 11%
Identity and access management
5% 14% 34% 39% 8%
Availability or capacity management
4% 16% 35% 37% 8%
Data protection or privacy
2% 14% 38% 32% 13%
Legal or regulatory management
4% 12% 39% 5%
Security operations management
2% 18% 38% 34% 8%
IT operations 2% 11% 36% 6%
Threat and vulnerability management
2% 21% 32% 5%
Systems development and operations
4% 17% 29% 6%
Third-party management
7% 14% 29% 5%
Infrastructure asset management
6% 17% 28% 6%
Change or configuration management
4% 17% 24% 8%
Not very confident Very confident
40%
45%
40%
45%
45%
43%
47%
.
.
.
业务连续性或灾后恢复
身份和访问权限管理
可用性或能力管理
数据保护或隐私
法律或法规管理
安全运营管理
IT运营
威胁与漏洞管理
系统开发与运营
第三方管理
基础设施资产管理
变更或配置管理
不自信 非常自信
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 29
6 以可控方式实现银行业数据分析工具产业化
30 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
21%
77%
Automation of operational tasks
Improved compliance efficiency
30%
90%
14%
56%
Front-office monitoring and surveillance
28%
76%
Data quality and anomaly detection
38%
85%
Model validation and reviews
Better client credit decisioning
44%
86%
Automated analysis of historical documents
30%
79%
Automation of audits and testing
More robust financial crimes monitoring
50%
90%
Better credit extension decisioning
22%
81%
81%72% 71% 71%
70% 69% 69%
68%
Improved controls in marketing materials
67% 59% 52%64%
94%
20%
74%
Using now
Will be using in five years
Expect substantial increase in use in five years
Key:
最初,银行着眼于最明显的目标,即较易实现的目标——
实现操作性任务的自动化(例如,金融犯罪监控警报)。
一些银行在此类领域仍存在自动化空间。
但是,如图20所示,下一个发展领域可能是实时决策(例
如信贷决策)或具有一定难度的自动化(例如合规和审计
领域的自动化)。在此类领域,较为复杂的人类判断能通
过算法得到优化。
多年来,银行业一直对机器学习和人工智能的潜力充满
期待,但现在仍是期望大于现实。可以肯定的是,银行
一直在识别、测试和试验相关概念验证,用例很多,包
括:反洗钱、舞弊、行为监控和信贷决策等,但是,只
有部分试验转化为成果,在银行业全面投入使用。
推动决策,而不仅仅是运营推动决策,而不仅仅是运营
正如去年第九次全球银行风险管理年度调查所指出的,
银行业正处于变革的风口浪尖,正在逐步向全行层面实
现机器学习和人工智能产业化发展,尤其是在第一道防
线运营方面。
扩展机器学习和人工智能应用可能会带来扩展机器学习和人工智能应用可能会带来风险风险
机器学习和人工智能潜力巨大,银行业尚不清楚这些分
析技术将在多大程度上使银行运营方式发生根本改变。
但是,风险专业人士、监管机构和政策制定机构非常关
注扩展此类技术应用可能带来的风险。银行的风险团队
已经在发现新风险(64%)和选择适当人才来管理风险
(59%)方面面临挑战。
图图2020:现在和五年内机器学习和人工智能的使用情况:现在和五年内机器学习和人工智能的使用情况
另外,缺乏这些模型在不同市场条件下的运行方式的历
史数据(54%)和不确定的监管预期(47%)同样是银
行眼中的挑战所在。
机器学习和人工智能也引发了广泛的社会和政治关注。
公众讨论焦点是“道德人工智能”,即,更加依赖机器
人和人工智能带来的道德或伦理影响。9这些问题远远
超出了金融服务或科技问题范畴。一位首席风险官表
示:“我们试图在风险分析部门采用一种更加集中的方
法,但是这就需要安排一些人制定符合监管机构所有要
求的监管模型,而这与希望考虑采用不适合这种监管
模型新方法的人存在冲突,因此这其实是一种文化冲
突。”9《如何将信任的价值观灌输给人工智能? 为什么从一开始就嵌入信任将有助于公司获得人
工智能的回报》(How do you teach AI the value of trust? How embedding trust from the start can help companies reap AI’s rewards),https://www.ey.com/en_us/digital/how-do-you-teach-ai-the- value-of-trust。
提升合规效率 优化信用展期决策 加强金融犯罪监控力度 实现审计和测试自动化
自动分析历史记录 改进客户信用决策 进行模型验证和复核
实现运营任务自动化 进行数据质量和异常检测 进行前台监控 完善营销材料控制
正在使用
未来五年内将使用
预计五年内使用量将大幅增长
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 31
模型风险管理模型风险管理2.02.0
在过去十年中,模型的广泛采用一直是全球监管改革议
程的重点。监管机构一直对内部模型持怀疑态度,认为
各银行内部模型的结果过于多样,不利于形成通用资本
和流动性准则。最近的监管举措表明,监管机构倾向于
规范风险管理方法。银行对模型的关注自然促使其大幅
提升了模型风险管理(MRM)的方法和能力。
但是,银行意识到机器学习相关风险和人工智能相关风险
不同。约五分之三的银行(59%)将在未来五年内此类数
据技术使用范围的不断扩大视为一种新的风险,近二分之
一(48%)的银行则特别指出了相关的模型风险。银行承
认,负责任的创新需要在扩展机器学习和人工智能的使
用之前(而不是在此之后)对相关治理和风险管理进行投
资。毕竟,如果很难管理与基于人工智能的模型相关的风
险,可能会阻碍此类模型的使用和采纳率。
制定出解决方案的银行仍在少数。不到十分之一(8%)的银行认为他们已经制定了针对这些风险的完善治理流
程,但其中大多数银行承认自己在合规和数据风险等风
险管理方面存在缺口。因此,许多银行目前正在评估是
否需要制定新的治理框架(占36%)或正在实施新的治
理框架(占28%)。
当前的模型风险管理框架也可能不足以减轻与机器学习
和人工智能相关的风险。一位高管表示:“(这样做)
可能有价值,但继续创造价值很难。我们本身经验不
足,连说服自己都难,更何况说服监管机构了。”可想
而知,绝大多数银行(93%)期望在图21列出的一系列
领域增强其模型风险管理框架。10银行正在招募专业人
才,并将有关机器学习和人工智能的模型风险管理经验
列为最亟需的金融风险技能(73%的银行希望增加具备
此类经验的员工,而只有16%的银行希望增加传统模型
风险管理经验的员工)。
最后,获得政府机构认可和消费者认可的关键因素是透明
度。客户想知道人工智能何时使用他们的数据(43%),
以及银行何时使用人工智能与客户进行互动(29%)。银
行还必须留意数据集中是否可能存在导致错误结果的隐藏
偏见或未知偏见(46%),对员工进行人工智能局限性方
面的培训(37%),并时刻了解公众和政府关注点并据此
调整(38%)。
图图2121:预计银行在未来三年内为应对机器学习和人工智:预计银行在未来三年内为应对机器学习和人工智
能相关风险而采取的模型风险管理改进措施能相关风险而采取的模型风险管理改进措施
10《建立适当的人工智能/机器学习治理模型:银行如何识别和管理风险以建立信任并加速模
型的采用》(Building the right governance model for AI/ML: How banks can identify and manage risks to build trust and accelerate adoption)https://go.ey.com/30lfRgw
75%Model risk assessment
51%Model change management
63%Ongoing model monitoring
51%Policies and procedures
42%Model conceptual soundness
35%Model inventory framework
27%Issues management
25%Vendor risk management
34%Model definition
持续的模型监控
政策和程序
模型存货框架
供应商风险管理
模型风险评估
模型变更管理
模型在概念上的合理性
问题管理模型定义
32 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
7 为客户和市场提供无中断服务
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 33
鉴于过去十年中金融风险管理工作取得显著改善,首席
风险官将注意力转移到非金融风险的管理上。事实上,
正如安永/国际金融协会的调查结果所示,网络、隐私和
第三方风险以及与新兴技术相关风险无疑已成为首席风
险官关注的焦点。
可以说,近年来,监管和监督重点基调最重大的改变是
从金融弹性到运营弹性的转变。主管机构(以及越来越
多的客户和其他利益关联方)不仅关注银行在严重金融
危机期间继续作为市场媒介并为客户提供服务的能力,
而且还关注银行在自身业务严重受到干扰期间继续作为
市场媒介并向客户提供服务的能力。
从“如果”到“何时”:范式转变从“如果”到“何时”:范式转变
过去,运营弹性主要是说银行抵御物理干扰的能力和恢
复特定系统、应用程序和职能的能力。
但时代变了。近年来,全球主要银行和基础设施提供商
经历了一系列运营中断。导致中断的干扰有很多,但较
为突出的包括恶劣天气事件、网络事件、第三方中断和
遗留系统故障等。给银行造成的实际影响和声誉影响都
很大。银行管理层必须向客户、监管机构以及某些政府
官员承认出现故障。
监管机构已迅速重新设置了如何在企业层面实现弹性的
基础。监管机构正在评估,如果一定会受到干扰,银行
继续作为市场媒介向客户提供服务的能力。弹性活动的
范围也受到了质疑,主管机构希望了解银行防范、应对
中断(不管导致中断的威胁或漏洞是什么)以及从中恢
复和吸取经验教训的能力。
如图22所示,作为银行,他们自然会关注造成中断的
因素。自去年以来,银行对于一些方面的关注度有所提
高,尤其是数据访问和可用性以及IT技术过时和遗留系
统。
在过去的一年中,银行最关注的方面是遗留系统和IT技
术过时。一位风险高管总结道:“我们内部正在讨论,
鉴于技术变革的速度之快,我们是否应该放弃修复和升
级笨拙的系统,而找到一种方式建立全新的银行。 [遗
留系统]十分混乱,一直很难使用。”鉴于产品和服务变
革的速度之快和规模之大,依靠复杂的遗留系统将会越
来越困难。
图图2222:最受关注的弹性风险领域:最受关注的弹性风险领域
9%
16%
25%32%
39%
34%
64% 56%
64%60%
41%
67%
Cyber risks Data access and availability Prolonged IT outage
IT obsolescenceand legacy systems
Critical third-partyoutage
Financialresilience*
Critical data destroyed Prolonged outageof systemic player
Dependence on cloudservice
* For example, liquidity, capital and collateral
80%
94%
2018 2019
39%59%
32%42%
专注治理专注治理
考虑到可能会造成干扰的因素很多,首席风险官开始重
点关注实现机构层面的弹性治理。在某种程度上,这反
映了董事会监督和质疑银行弹性策略和框架的方式,但
实际上,这反映了管理层如何在全行层面实现运营弹
性。如图23所示,许多机构开始专注于加强运营弹性
的各个方面。11
图图2323:整合各项职能以增强运营弹性:整合各项职能以增强运营弹性
11《增强机构层面弹性的十种方法》(Ten ways to enhance firmwide resilience)https://www.ey.com/en_gl/financial-services/ten- ways-to-enhance-firmwide-resilience。
网络风险 数据访问和可用性 长时间IT故障
IT技术过时和遗留系统
关键第三方运营故障
金融弹性*
关键数据被毁 系统播放器长时间故障
对云服务的依赖
*例如,流动性、资本和抵押品
27%行业层面的举措****
40%测试***
52%RRP活动**
58%技术事件响应
70%网络事件响应(IR)
68%灾备
66%跨业务单位的业务连续性计划*
61%危机管理
58%危机沟通
**复苏和清算计划***包括模拟及桌面推演****例如,美国的“避风港”网络弹性倡议或行业层面的网络模拟
34 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
加大对弹性风险的关注力度加大对弹性风险的关注力度
第二道防线风险管理必须加大对弹性风险的关注力度,
这通常会突出一系列现有(但经常是孤立的)限制中的
问题,例如网络安全、IT风险、恶劣天气事件或物理安
全风险。在很多银行,第二道防线已经开始发挥重要作
用。二分之一的银行制定了机构层面的弹性策略和框
架(49%),验证了风险框架和分类标准中是否包含弹
性(52%),并设置了机构层面的弹性指标(49%)。
值得关注的是几乎一半(46%)的银行管理危机管理计
划,而不是第一道防线12。
在质疑第一道防线的弹性方法(61%的银行利用第二道
防线负责该工作)时,第二道防线风险管理必须侧重于
防范、响应干扰以及从中恢复并汲取经验教训的核心能
力,而不同银行核心能力的成熟程度有所不同。从受访
银行的反馈来看,与灾后恢复和数据备份相关的能力相
对成熟,而在危机管理和事件响应框架方面的能力的成
熟程度不一。银行最需要增强的是机构层面治理和战略
方面的能力、计划管理和报告方面的能力,以及阐明干
扰偏好或容忍度的能力(尤其重要,鉴于英国监管机构
重点定义并实施了所谓的“影响容忍度”13)。
“整合端到端风险管理与核心操作流程仍然是维持银行弹性的最大挑战 — 风险主管
12《应对危机:做好准备最为关键》(Managing through crises: preparation is key)
https://www.ey.com/en_gl/financial-services/ten-ways-to-enhance-firmwide-resilience。 13 英国监管机构建议,机构应明确影响容忍度,即,在假设会发生中断的前提下,界定其对
某些业务服务中断的最大容忍度,这不同于包含概率要素的风险偏好声明或恢复时间目标。
参见EY/UK Finance,《观点:金融服务的运营弹性》(Perspectives: Operational resilience in financial services),2019年6月,(https://www.ey.com/Publication/vwLUAssets/ey-perspectives-operational-resilience-in-financial-services/$FILE/ey-perspectives-operational- resilience-in-financial-services.pdf)。
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 35
8 适应快速变化的地缘政治对银行及其客户的影响
36 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
受访银行很快表示已经承受了多年的政治压力和地缘政治
风险。多家银行指出,他们已经运营了数十年或数百年。
政治问题起起落落,银行通常会设法解决。
从某种程度上来说,是这样的。过去的几十年中,银行长
期一直受到直接或间接的政治变革或压力的影响。近些年
来,有人可能会认为,过去十年的全球监管议程或2009年
欧洲主权债务危机表明,政治和监管压力的界线有时会很
模糊。然而,大多数银行都做出了应对。
地缘政治影响地缘政治影响
如今,政治压力似乎有所不同。政治权力的分布正在转
移,特别是在东西方之间。技术变革正在加速,使世界之
间的联系更加紧密。当今的问题,例如移民和气候变化,
是跨管辖区的全球事务。现在五分之三的银行将地缘政治
或国内政治问题视为未来五年内银行业的主要新风险,这
在意料之中。
图24显示了银行最担心的政治风险。其中一些风险的影
响通常是无形的,难以辨别,例如中国、俄罗斯和美国的
角色变化,或者民主国家民粹主义的兴起。还有一些看得
见的风险,例如遭受单一民族国家网络战或英国脱欧对英
国和欧盟的影响。14
尽管如此,银行认为,政治问题将在未来几年对银行及其
客户产生更大的影响。五分之四的受访银行预计,在未来
十年中,影响将是较大(58%)或大得多(22%)。银行
认为,他们受到的影响可能包括全球或国内需求受到整体
影响(78%)、市场意外波动(74%)以及客户需求受到
影响(41%)。银行直接受到不利影响的方面包括公司客
户的供应链(32%),或者银行第三方或交易对手的运营
或财务实力(10%)可能会受到一定程度的影响。
14《为何需要战略方法来应对政治风险》(Why you need a strategic approach to political risk)https://www.ey.com/en_gl/geostrategy/why-you-need-a-strategic-approach-to-political-risk。
图图2424:未来十年将影响银行的主要地缘政治风险:未来十年将影响银行的主要地缘政治风险
36%Rise of populism
47%Escalating cyber warfare
47%China and US relationship
42%Changes to global trading environment
22%Changing US role
26%EU instability
23%Elongated Brexit fallout
18%Emerging-market volatility
12%Middle East instability
11%China’s rising global influence
3%Russia’s changing role
10%Push to account for climate change
不仅仅是猜测的问题不仅仅是猜测的问题
对于许多高管而言,评估复杂的地缘政治趋势更像是艺术
而非科学。他们需要具有领悟现象背后本质的能力,并对
潜在的政治结果及其与银行的广泛相关性做出大胆但具有
高度推断性的预测。14
然而,尽管银行很快意识到未来他们将更易遭受政治风险
的影响,但他们承认需要提高风险意识,并更好地适应这
些风险。五分之四的银行表示需要加深对政治风险的了解
或提高适应风险变化的能力。
网络战不断升级
中美关系
全球贸易环境的变化
民粹主义兴起
欧盟不稳定性
美国角色变化 英国脱欧长期推迟的后果
新兴市场波动 中国全球影响力提升
中东不稳定性
俄罗斯角色变化
应对气候变化的举措
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 37
不是只有政策专家才进行地缘政治分析。银行也必须建
立强大的能力来评估政治风险并确定应对已识别风险的
潜在措施。15如图25所示,银行表示非常关注(二阶)
宏观经济状况,也重视将政治考虑因素纳入他们所接触
的市场、部门或客户或其开展业务的市场。除了围绕市
场的决策,在资本压力测试情景、年度战略计划流程和
业务连续性计划中考虑政治问题也很重要。
第二道风险防线的一个重要作用是,将政治直觉和考虑
转化为决策。正如一位风险高管所描述的:“风险职能
的职责是帮助制定框架,注入规则,并与第一道防线管
理部门合作并对其工作提出质疑。”很大一部分银行
(75%)使用第二道防线来监控政治对银行风险状况的
影响,并对业务线计划,或者国家或部门计划如何结合
对政治风险的考虑(分别为47%和39%)提出质疑。
在这种情况下,将分析转化为行动非常重要。一位首席
风险官说明了其所在银行在进行管理决策时考虑政治风
险的一系列方式:“我们首先研究国家风险,看某些国
家的风险是否增加,这可能会影响我们决定是否在某些
地点展开运营或继续运营。我们还考虑第三方所在地。
最后,我们研究信用风险和直接风险(检查我们的投资
组合及其对某些部门的影响),以及如何在我们特定部
门压力测试活动的情景中考虑这些风险。”任重而道
远。正如她指出的那样,到目前为止,“我们所做的大
部分工作是中期调整。”
气候变化已纳入公共和政治议程。众所周知,全球刚刚
经历了有史以来最炎热的夏天。黄金时段的电视新闻播
放着巴西和加利福尼亚的大火或亚洲和中美洲的飓风实
况。这是最真实的现实。气候变化似乎已经从深奥的学
术性争论(尤其是关于原因和严重程度的争论)迅速发
展为全球的政治和社会问题,尤其是气候变化往往对全
球那些最贫穷的国家影响最大。
图图2525:银行用来分析地缘政治风险影响的方式:银行用来分析地缘政治风险影响的方式
30%
40%
48%
51%
52%
55%
57%
62%
75%
77%
Ongoing analysis of economic conditions
Determining exposure to markets, sectors or clients
Risk indicator monitoring
Determining which markets to operate in
Capital stress testing scenario development
Annual strategy planning process
Identification of opportunities and risks
Business continuity plans
We factor geopolitical risks into …
Risk appetite framework
Operational risk management
我们将地缘政治风险管理分为……
对经济状况的持续分析
确定市场、部门或客户风险
风险指标监控
资本压力测试情景开发
确定开展业务的市场
年度战略规划流程
机会和风险识别
业务连续性计划
风险偏好框架
操作风险管理
15《所见:地缘战略前景》(What we are watching: geostrategic outlook)https://assets.ey.com/content/dam/ey-sites/ey- com/en_gl/topics/geostrategy/ey-geostrategic-outlook-february-2019.pdf。
38 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 39
9 应对气候变化对银行和社会的影响
An endurance course | 39
“气候变化是我们职业生涯中需管理的最重大的风险之一
— 银行风险主管
银行愈发认识到这个问题的重要性。超过一半(52%)的银行将环境和气候变化问题视为未来五年内的主要新
风险,而一年前这一数据仅为三分之一(37%)。
可是,对于所受潜在影响(例如,对信用违约或公司贷
款的影响)的了解程度,各银行不同,各大洲也不同。
一些银行已经承诺遵守联合国最近发布的《负责任银行
原则》(Principles for Responsible Banking),并将气
候变化承诺深植于组织之中,另一些银行更关注其环境
足迹和更好的披露。银行不仅必须在运营中应对气候变
化风险,还必须了解该风险如何影响其客户服务以及如
何影响其资产负债表和资金。鉴于公众愈加强烈地要求
作为,未来几年银行还必须加快其行动步伐。
身处环境可持续性的中心位置身处环境可持续性的中心位置
因此,银行必须考虑气候变化风险以及更大范围的环境
和社会风险,承受的压力越来越大。的确,一位银行风
险主管称,“越来越高的监管要求和更广泛的社会预
期,以及我们机构自身的愿望和目标”已经将这些风险
推上议程优先事项。
某种程度上,银行发现自己身处环境可持续性的中心位
置。许多银行都开展了重要的资产管理业务,在管理
工作中,银行正在推动其投资的公司来解决可持续性
问题,并借此确定和管理气候变化的影响。在某种程
度上,这反映了银行对可持续商业惯例和金融的更广
泛机构承诺,也反映了银行需要将环境、社会和治理
(ESG)问题纳入考虑,以吸引日益关注这些问题的零
售和机构投资者。
不要猜测,要分析不要猜测,要分析
有趣的是,在保险公司根据气候变化更改其财产承保政
策和定价时,银行也意识到,需要考虑气候变化如何对
其产生影响这一事实。一些银行正在对机构层面的气候
变化战略进行大量投资。
银行认识到,在涉及这样一个政治敏感问题时,需要进
行深入分析。一位首席风险官指出:“以一种不带感情
色彩的方式解决这个问题很重要。”也许令人惊讶的
是,已经有五分之四(79%)的银行将气候变化纳入其
风险管理方法。 一半(51%)的银行已将其纳入对新风
险的扫描中,而五分之二(41%)的银行已对受影响的
业务采取了措施。
可是,银行也是出于更多更广泛的商业和实践原因而关
注气候变化风险。如图26中所示,银行承认气候变化将
直接影响其客户以及客户自身的业务。一些国家(例如
英国)的监管机构指导银行了解并报告气候变化带来的
风险和机遇,指出将出现新的商业机遇。
46%Financial needs of certain corporate sectors
30%Commercial opportunities in energy
53%Higher default or credit risk in certain corporate sectors
23%Own environmental impact
19%Residential real estate or mortgage portfolio 11%
Commercial real estate portfolio
10%Impact on
critical third parties
20%Business continuity plans
8%Catastrophic or other
insurance policies
5%Repricing of securities and derivatives
2%Repricing of
sovereign debt
Products, customers and assets
Bank’s operations
3%Own real estate portfolio(e.g., branches)
图图2626:气候变化可能产生的最重大影响:气候变化可能产生的最重大影响
产品、客户和资产
银行运营
某些公司部门违约或信用风险较高
自身环境影响
住宅房地产或抵押贷款组合
巨灾保单或其他保单对关键第三方的影响
主权债务的重新定价
某些公司部门的金融需求
能源商机
业务连续性计划
商业房地产投资组合
证券和衍生品的重新定价
自有不动产投资组合(例如,分支机构)
40 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
获得优质数据来推动决策制定将至关重要。诸如金融稳定
委员会气候相关金融信息披露工作组等官方部门的举措以
及在绿色金融体系网络中的各中央银行的活动将促进提高
公众信息披露的质量和统一度。大量私营部门机构也致力
于气候变化风险或ESG评级,但是,如今气候变化或ESG数据仍不够成熟。正如一位高管指出的那样:“现在,最
重要的是获取适当的数据供银行建模和管理风险。”另一
位高管表示同意,“收集适当的数据很难。对于许多ESG相关措施,数据质量问题仍未明确。”
分之一的银行设有机构层面(9%)和业务部门(8%)层面的气候变化相关风险指标。
• %几乎三分之一(32%)的受访银行正在评估对预期信用
损失的影响,超过四分之一(26%)的受访银行在确定
对资本的影响,五分之一(21%)的受访银行关注资产
负债表对气候变化相关外部条件变化的敏感性。
最有远见的银行已开始将气候变化风险纳入其核心风险
管理职能:
• %超过三分之一(36%)的受访银行已评估了重大信用
业务的固有风险,将近四分之一(23%)的受访银行
已将其纳入压力测试情景规划中。
• %大约四分之一银行已将气候变化风险纳入企业风险框
架(27%)和风险分类标准(23%),尽管只有大约十
16《今天如何为明天的气候做准备?》(How can you prepare for tomorrow’s climate, today?)https://www.ey.com/en_gl/banking-capital-markets/how-can-you-prepare-for-tomorrows-climate-today。
图图2727:将气候变化风险纳入企业风险管理的方法:将气候变化风险纳入企业风险管理的方法
51%
27%
23%
36%
23%
14%
12%
41%
10%
9%
8%
Scanning of emerging risks
Enterprise risk management framework
Risk taxonomy
Within scenario adoption or stress testing
Inherent risks in material credit exposures
Potential transition risks*
Potential physical risks
Policies for impacted businesses
Enterprise-level risk metrics
Business-line risk metrics
Climate changeis embedded in:
We quantitivelyassess
We have
*Transition risks of moving to low-carbon economy
Controls in place to monitor risks
各银行将气候变化分析融入决策制定过程的情况差异很
大16。一位高管表示:“我们通过投资组合分析以及针
对受影响地区制定的政策和指示来应对风险。在缓释气
候变化风险时,考虑了物理风险和过渡风险。总体上,
对气候变化风险的处理与任何其他风险类别无异,即,
将其纳入信用决策,确立情景建模等。目前,正在逐个
部门、逐个客户地解决这一风险。”
关键在于简单披露以外的更多选择。超过一半的银行
(55%)依靠外部披露来创建必要的治理方案,但是越
来越多的银行在提高董事会和高层管理人员对气候变化
和更广泛的ESG问题的监督质量。少数银行(8%)甚至
将气候变化纳入补偿计划。
将气候变化嵌入
我们定量评估
我们具备
新风险扫描
企业风险管理框架
风险分类标准
重大信用业务的固有风险
情景设置有效性或压力测试
潜在过渡风险*
潜在物理风险
针对受影响业务的政策
监控风险的控制
企业层面风险指标
风险指标
*转向低碳经济的过渡风险
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 41
先是气候变化,然后呢?先是气候变化,然后呢?
一些银行意识到,气候变化只是风险管理的冰山一角。
银行还将需要处理更多的环境或社会问题。
气候变化并不是唯一需要关注的环境问题。以水资源短
缺为例,一位担心运营弹性以及某些地区对共享服务
依赖性的风险高管将弹性与更广泛的环境问题联系在一
起:“水资源短缺问题日趋严重。我们也许可以让员工
去上班,但是如果他们没有直接的饮水渠道怎么办? 这不会影响我们业务连续性计划的可行性吗?”
除了环境问题,还有一些存在争议的社会问题。首席风
险官们指出,尽管当前气候变化可能是最主要的ESG风险,但可以说,社会风险给银行带来了更大的挑战性。
一位北美首席风险官提到了枪支管制问题——银行可能
能够确定、隔离以及停止为枪支制造商提供资金,但是
他们要同样对待出售枪支的商店吗? 同样,考虑到公众
对移民问题乃至拘留问题的关注,银行是否要停止为商
业监狱提供资金?
42 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
10 满足客户新需求,提供定制的全生命周期产品和服务
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 43
消费者对金融产品和服务的偏好和购买行为在不断变
化。安永NextWave金融服务研究显示,普通消费者的行
为逐渐由拥有和购买转向租赁和使用。相应地,银行可
能从特定产品和服务的交付和定价,转向产品、服务和
增值功能的捆绑组合的交付和定价。
定价可能变为基于认购的模型(即,金融产品通常与非
金融产品捆绑销售,消费者以定期认购的形式购买),
或基于固定费用的模型(即,消费者按每笔交易或活动
购买金融产品)。捆绑组合产品、服务和功能将更加适合
人生关键事件(如,结婚生子)17,整体满足一系列复杂
的金融需求。
这一为满足消费者需求而发生的模式转变会影响银行运
营的方式,银行需要找到新方法来管理固有风险。
17《NextWave消费者金融服务:金融产品服务认购时代即将来临》(NextWave Consumer Financial Services: financial subscriptions are coming)https://cdn.foleon. com/upload/3941/nextwave_cfs_research_report_final_april_2019.67be3d331ef6.pdf。
“我们正在努力改变业务模式,以满足客户未来的需求和预期
— 首席风险官
对产品和运营的重大影响对产品和运营的重大影响
尽管金融业还处于彻底转向基于认购的迥异业务和服务
模式的起步阶段,但风险专业人士已经直观地意识到这
一转变带来的影响。
图图2828:就满足新的消费者需求而言,受影响最大的领域:就满足新的消费者需求而言,受影响最大的领域
9%Insurance products
7%Auto loan portfolios
14%Personal loan portfolios
27%Residential real estate and mortgage portfolio
24%Branches
13%Creditcard portfolio
25%Technology
16%Investment products
5%Home equity loan or line portfolio
7%Cash management portfolios
16%Third-party ecosystem
37%Payments products
45%Digital footprint
23%Deposit and savings products
Products and services Bank’s operations
图28显示了银行可能受影响最大的领域。支付相关产品
和服务以及住宅房地产会最先受到影响,这是意料之中
的,毕竟非银行或金融科技竞争对手的崛起对这两个领
域产生了最大的影响。存款、储蓄和投资产品也会受到
影响,但首席风险官们认为影响不大。
银行运营也会受到影响,尤其是数字运营或在线运营,
以及其科技战略和分支机构网点。
产品和服务 银行运营
支付产品
存款和储蓄产品
信用卡组合
现金管理组合
保险产品
房屋净值贷款或业务线产品组合
汽车贷款组合
个人贷款组合
投资产品
技术 分支机构
第三方生态系统
数字化布局
住宅房地产和抵押贷款组合
44 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
迎接挑战迎接挑战
对银行的分析影响在某种程度上很难预测。向基于认购
的模式(或其他类似模式)转型,银行风险高管必须就
未尝试过的业务模式提供全新风险建议。确实,一位高
管认为:“个性化这一概念可能会打开风险的‘潘多拉
魔盒’。如果未能以‘适当’方式提供产品和服务,则
这些产品和服务是否存在差别化对待情况?”
然而,超过五分之二(44%)的风险专业人士意识到,
最紧迫的挑战将是对服务进行适当定价,而三分之一的
受访银行认为,对生命周期较长的捆绑产品和服务定价
将更具挑战性。一些受访银行注意到了内嵌风险,如合
规相关风险(25%)和产品相关风险(23%)。因此,
一些银行提到了对客户保持投资定价透明(26%)和风
险透明(24%)方面的挑战。正如一位首席风险官所
说:“风险在升高是因为客户的容忍度在降低。两年前
可以接受的东西现在已经不能接受了。”
未来将需要新的或增强的风险能力未来将需要新的或增强的风险能力
如图29所示,以完全不同的方式满足客户需求将需要
增强风险能力或获取新的风险能力。首先,必须应用数
据分析,找到方法建立产品或服务综合生命周期内的客
户价值模型并发现跨产品或相关业务的风险。银行将需
要将这种分析纳入经修订的新产品审批流程。风险监控
范围必须扩大,可帮助风险高管更快地做出更明智的决
策。风险相关培训也要适应人才的新需求。
62%
60%
59%
55%
48%
40%
39%
31%
New or more advanced data and technology capabilities
More integrated risk platforms to accelerate decision-making
Revised new-product approval process
More sophisticated risk modeling to capture cross product and business risks
More sophisticated risk modeling to evaluate customer lifetime value
Revised risk governance to provide real-time risk monitoring
Revised talent and training model
Revised risk framework to align with life-event-based customer value propositions
图图2929:可能需要的风险能力变化:可能需要的风险能力变化
如一位首席风险官所述,以新方式向客户交付新价值的
风险维度凸显了很多问题:“如何确保客户以适当的方
式购买产品? 如何确定银行以适当的方式销售产品? 如何确保客户一般会阅读且理解产品或服务的条款和条
件?”
新型或更先进的数据和技术能力
更为综合型的风险平台可加快决策制定
经修订的新产品审批流程
评估客户的生命周期价值的更复杂风险建模
识别跨产品和跨业务风险的更复杂风险建模
提供实时风险监控的经修订风险治理
经修订人才和培训模型
符合人生事件导向客户价值定位的经修订风险框架
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 45
十年后的头条就是我们今天所关注的事项
46 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
回顾过去十年,我们可以轻松地坐下来,令人信服地说
着银行风险管理已经比危机前要好得多。无论是被强制
改革以符合法律或监管及监督规则还是自愿改革,总体
来说都是好的。
每个人都记得大约十年前的头条。媒体不断报道金融业
的负面新闻。每周都有新的畅销书上架,讲述这场危机
蔓延的故事,描述在危机爆发的最初几周和几个月中,
管理是如何不当。
没有任何金融从业者能免受苛责。政客们支持以增长为
导向的财政政策和其他政策,并不断敦促提高住房拥有
率,尤其是在美国。监管机构奉行轻触式监管。银行董
事会对对管理层的治理不足。高级管理层存在自利性,
薪酬仅与增长挂钩。信用评级机构与金融机构串通一
气,授予复杂难懂的结构化金融产品最高评级。会计行
业的职责模糊不清。
距离那时,我们已经走过了很长一段路。
展望未来,以后十年关于银行业的头条会是什么样的?
会是正面的吗? 如“银行家帮助遏制气候变化”;“尽
管全球经济动荡已达数月,但银行仍为小型企业提供支
持”。
还是负面的? 如“银行让位高科技融资机构”;“人工
智能令人失望——银行承认代码方面行为不当问题严
重”;“昨日,网络攻击者使全球金融体系陷入停顿状
态”。
只有时间能给出答案,但是,不夸张地说,风险管理将
发挥重要作用,能够决定更有可能出现哪些结果。
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 47
研究方法和参与机构
48 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
116%
2 to 310%
21 to50
19%
4 to 2045%
Above 5010%
Number of countriesoperated in
Global SIFI20%
Domestic SIFI53%
Not a SIFI27%
Systemically importantfinancial institution (SIFI) status
$1t or more14%
$100b to $499b41%
$500b to$999b
16%
Under$100b
29%
Asset size (US$)
Other5%
Primarilyinvestment
banking3%
Primarily retail andcorporate banking
43%
Universalbank49%
Type of bank
Asia-Pacific
24%
Europe28%
LatinAmerica
9%
Middle Eastand Africa
15%
North America24%
Region of headquarters
从总部所在地区来看,这些银行分别来自亚太(21家)、
欧洲(25家)、中东和非洲(14家)、拉丁美洲(10家)
和北美洲(23家)各区,其中,19家为全球系统重要性银
行,49家被指定为国内系统重要性银行。本报告中的数据
来自92家银行完成的定量调查,所述洞察来自对其中一些
银行和其他银行的定性采访。如图30所示,参与银行在资
产规模、地理覆盖范围和银行类型方面都相当多样化。
值得注意的是,还有21家其他金融机构以非正式的形式参
与了调查。这部分数据未包含在本调查报告中,但在一定
程度上确实为本报告的叙述提供了信息。
研究方法和参与机构研究方法和参与机构
2019年6月至2019年9月,安永在国际金融协会(IIF)的配合下对国际金融协会成员机构和全球各地其他银行
进行了调查(包括少量在其国内排名前五的银行的重要
子公司)。参与银行的首席风险官或其他高级风险管理
人员参与了安永的访谈和/或完成了在线调查。
共计来自43个国家的94家机构(2018年为74家)参与
了本次调查。
图图3030:参与机构:参与机构
总部所在地区 业务覆盖国家数量
北美洲
亚太
中东和非洲
欧洲
拉丁美洲
50个以上1个
2至3个
4至20个
21至50个
系统重要性金融机构(SIFI)状况 资产规模(美元)
非SIFI全球SIFI
国内SIFI
1,000亿美元以下
1万亿美元或以上
1,000亿美元至4,999亿美元
5,000亿美元至9,999亿美元
银行类型
全能银行
其他
主营投资银行业务
主营零售和公司银行业务
安永与国际金融协会合作开展的第十次全球银行风险管理年度调查 | 49
50 | 安永与国际金融协会合作开展的第十次全球银行风险管理年度调查
联系人
联系我们联系我们
领导团队领导团队
忻怡忻怡
安永大中华区金融服务首席合伙人
安永亚太区金融科技与创新首席合伙人
+86 21 2228 [email protected]
蔡鉴昌蔡鉴昌
安永亚太区金融服务审计服务主管
+86 10 5815 [email protected]
梁尚文梁尚文
安永大中华区金融服务咨询服务主管
+86 10 5815 [email protected]
林安睿林安睿
安永大中华区金融服务审计服务主管
+86 21 2228 [email protected]
梁成杰梁成杰
安永大中华区金融服务银行及资本市场主管
+86 10 5815 [email protected]
其他联系人其他联系人
北京北京
许旭明许旭明
安永大中华区金融服务
+86 10 5815 [email protected]
上海上海
严盛炜严盛炜
安永大中华区金融服务
+86 21 2228 [email protected]
深圳深圳
张秉贤张秉贤
安永大中华区金融服务
+86 755 2502 [email protected]
广州广州
赵雅赵雅
安永大中华区金融服务
+86 20 2881 [email protected]
香港香港
涂珮施涂珮施
安永大中华区金融服务
+852 2846 [email protected]
An endurance course | 51
EYEY 安永安永 | Assurance 审计 | Tax 税务 | Transactions 交易 | Advisory 咨询
关于安永关于安永
安永是全球领先的审计、税务、交易和咨询服务机构之一。我们的深刻洞察和优质服务有助全
球各地资本市场和经济体建立信任和信心。我们致力培养杰出领导人才,通过团队协作落实我
们对所有利益关联方的坚定承诺。因此,我们在为员工、客户及社会各界建设更美好的商业世
界的过程中担当重要角色。
安永是指Ernst & Young Global Limited的全球组织,也可指其一家或以上的成员机构,各成员
机构都是独立的法人实体。Ernst & Young Global Limited是英国一家担保有限公司,并不向客
户提供服务。请登录ey.com/cn/zh/home/privacy,了解安永如何收集及使用个人信息,以及
个人信息法律保护下个人所拥有权利的描述。如欲进一步了解安永,请浏览ey.com。
关于安永的全球银行和资本市场行业中心关于安永的全球银行和资本市场行业中心
在目前全球竞争激烈和监管要求十分严格的环境下,有效管理风险而同时符合众多不同利益关
联方的要求是银行和证券机构的主要目标。安永全球银行和资本市场行业服务团队结合安永全
球各地的专业人员,协助贵公司取得成功。该行业服务团队在提供审计、税务、交易及咨询服
务等方面拥有丰富的专业经验,致力预测市场发展趋势,探讨其影响,并对相关业内事项提供
专业意见,让我们可协助贵公司实现目标和提高竞争力。
© 20%20 安永,中国 版权所有。
APAC No.ED None 03009619
本材料是为提供一般信息的用途编制,并非旨在成为可依赖的会计、税务或其他专业意见。请向您的顾问获取具体意见。
ey.com/bankingrisk
关于国际金融协会关于国际金融协会
国际金融协会(IIF)是金融业的全球协会,包括来自70个国家的近500名成员。其使命是支
持金融业谨慎管理风险;制定健全的行业惯例;并倡导符合其成员广泛利益并促进全球金融
稳定和可持续经济增长的监管、金融和经济政策。国际金融协会成员包括商业和投资银行、
资产管理公司、保险公司、主权财富基金、对冲基金、中央银行和开发银行。
国际金融协会(IIF)地址:美国1333 H St NW, Suite 800E Washington, DC 20005-4770 USA
电话:+1 202 857 3600传真:+1 202 775 1430
www.iif.com [email protected]