金融組織面臨著非金融風險(網絡安全、模型、第三方和行為風險等)以及可能發生的經濟方面危機帶來的挑戰,這些都要求機構重新規劃其傳統的風險管理方法。德勤近日發布《全球風險管理調查第11版》,為2019年企業管理帶來啟示:顧慮網絡安全問題增長最快,解決數據和IT系統風險是首要任務,數字風險管理的潛力巨大。
這項報告是這個調查系列的最新版本,評估了行業的風險管理實踐及其面臨的挑戰。調查在2018年3月至2018年7月進行,由全球94家金融機構完成,這些機構總資產共29.1萬億美元。
企業風險管理迫切
儘管全球經濟相對平穩,但今天的風險管理面臨著一系列迫在眉睫的風險,需要金融服務機構重新思考傳統方法。全球經濟已經走強,但宏觀經濟危機仍然存在,美國、中國、歐盟等地區的變動可能導致貿易量下降,或者各司法管轄區之間關稅緊張等問題。
歐洲經濟增長乏力,中國經濟增長放緩,債務水平不斷上升,也導致全球經濟增長減速。由於歐盟與英國之間還沒有最終達成脫歐協議,這對許多公司的影響仍然有很大的不確定性。
雖然金融危機後,監管變化似乎已經引起關注,但金融服務機構還要準備有待最終確定的監管要求,並評估實施最近確定的監管要求會給公司帶來的全部影響。
與此同時,全球機構正面臨著各個司法管轄區越來越分散的監管環境。巴塞爾銀行監管委員會對《巴塞爾協議III》下資本充足率和其他要求的修訂,雖然已經最終確定,但尚未得到當地監管機構的通過和修訂。
而國際保險監督協會(IAIS)正在努力制定全球保險資本標準(ICS),其中許多問題仍未得到解決,包括確定估值基礎和明確內部模型在確定資本要求方面的作用。英國脫歐的最終協議仍在談判中,監管英國和歐洲的市場和金融機構、投資銀行的做法仍還沒有確定。
歐盟的一般數據保護條例(GDPR)在2018年5月生效,對擁有歐盟公民數據的所有金融機構規定了新的義務,以確保消費者的權利。而印度和中國也在開展增加數據隱私的舉措。在許多司法管轄區,人們更加關注行為風險,比如澳大利亞皇家委員會在銀行業、養老金和金融服務行業的不當行為。
近年來,金融機構已經提高了風險管理計劃的能力,以管理市場、信貸和流動性風險等傳統風險類型。對於監管機構和機構而言,管理非財務風險現在變得更加重要。在眾多非金融風險中,個人和國家日益所受到的複雜網絡攻擊讓網絡安全成為首要關注的問題。
在主要金融機構中發生的普遍不當行為,也強調了管理行為風險的重要性。金融機構合作的第三方引發的風險事件可能導致重大的財務損失和聲譽損害。
金融機構應考慮重新設計其風險管理計劃,以發展應對這些挑戰所需的能力,而一些機構已經開始努力加強這些計劃。
機構還應重新審查三道防線風險治理模型,以確認每條防線的責任,特別是構成第1道防線的業務單元和職能。許多機構的風險數據治理可能需要加強,提供可訪問性壓力測試、操作風險管理和其他應用程式所需的高質量且及時的數據。
金融機構還應考慮利用數位技術的力量,如RPA、機器學習、認知分析、雲計算和自然語言處理,來提高風險管理的效率和有效性。
這些工具可以通過自動執行人工任務(如開發風險報告或查看事務)來降低成本。他們還可以自動掃描內部和外部環境中的各種數據,以識別和響應新風險、新出現的威脅和不良行為者。
最後,風險管理需要融入戰略,這樣機構在制定戰略計劃和戰略目標過程中會把風險偏好和風險利用當成關鍵考慮因素。
以下是報告的主要發現:
網絡安全風險的重要性日益增加
人們普遍認為,網絡安全是增加最多的重要風險類型。67%的受訪者將網絡安全評為三種將在未來兩年內對其業務影響最多的重要風險之一,遠遠超過任何其他因素。然而,只有大約一半的受訪者認為他們的機構在管理這種風險方面取得非常有效的成果。
對於特定類型的網絡安全風險,受訪者通常認為他們的機構在管理破壞性攻擊(58%)、經濟損失或欺詐(57%)、客戶的網絡安全風險(54%)、敏感性數據損失(54%)以及破壞性攻擊(53%)方面非常有效。
至於受到國家層面的安全威脅(37%)或來自第三方提供商的網絡安全風險(31%)時,他們認為自己的機構不太可能有效應對。
在管理網絡安全風險時,受訪者通常認為在不斷變化的業務需求(例如,社交移動、分析和雲)(58%)和解決來自複雜參與者(例如,國家、高級黑客)(58%)的威脅方面極具挑戰性。
網絡安全風險意識日益增強,與上一次調查相比,受訪者認為幾個相關治理問題極具挑戰性:讓企業了解其在網絡安全風險中的作用(從去年的47%下降到31%)、設置董事會批准有效的長期網絡安全風險策略(從去年的53%下降到31%),還有確保持續的資金/投資(從去年的38%下降到18%)。
越來越關注非金融風險
幾乎所有受訪者都認為他們的機構在管理傳統金融風險方面極為有效或非常有效,如市場(92%)、信貸(89%)、資產和負債(87%)以及流動性(87%)方面。
相比之下,大約一半的受訪者表示同樣存在許多非金融風險,包括聲譽(57%)、運營(56%)、業務彈性(54%)、模式(51%)、行為和文化(50%)、戰略(46%)、第三方(40%)、地緣政治(35%)和數據完整性(34%)。金融機構應考慮採用整體方法來管理非金融風險。
解決數據和IT系統風險是首要任務
整個調查結果都有一個共同的主題——解決數據和IT系統風險的重要性。這對於金融機構和金融服務行業來說一直是持續存在的問題,同時也表明從源頭到許多系統和流程再到最終用戶都保證高質量數據非常困難。
而關於未來兩年內機構的風險管理優先事項,受訪者最常把提高風險數據的質量、可用性和及時性(79%)列為極高優先級或非常高優先級,之後是增強風險信息系統和技術基礎設施(68%)。
這跟結果一致,大約三分之一的受訪者認為他們的機構在數據治理(34%)和數據控制/檢查(33%)方面非常有效。
關於壓力測試中的挑戰,受訪者認為壓力測試計算的數據質量和管理極具挑戰性,而資本壓力測試(42%)和流動性壓力測試(30%)也非常具有挑戰性。
數字風險管理的潛力
一系列新興技術不斷進步,為大幅提升風險管理的效率和有效性提供了重要機遇。雖然大部分還有待實現;而且新興技術應用在風險管理的機構相對較少。
機構最常報告使用的技術是雲計算(48%)、大數據和分析(40%)以及業務流程建模(BPM)工具(38%)。儘管RPA可以在沒有人工參與的情況下自動執行重複性手動任務,來降低成本和提高準確性,但只有29%的受訪者表示他們的機構目前正在使用。RPA的使用在風險數據(25%)、風險報告(21%)和監管報告(20%)方面最為常見。
儘管採用率目前相當低,但受訪者認為新興技術將在許多領域帶來非常大的效益或巨大效益,例如提高運營效率/降低錯誤率(68%)、加強風險分析和檢測(67%)、及時改進報告(60%)。
解決三道防線風險治理模式中的挑戰
幾乎所有機構(97%)都報告使用了三道防線風險治理模型,但表示他們面臨重大挑戰。而三道防線主要組成包括:
第1道:業務部門自行管理風險
第2道:設立獨立風險部門來監督和應對風險
第3道:內部審計功能驗證風險和控制框架
最常被列為重要的挑戰包括第1道防線(業務部門),包括定義第1道(業務)和第2道防線(風險管理)(50%)之間的角色和職責、從第1道防線(業務)獲得支持(44%)、消除三道防線(38%)的重疊、在第1道防線擁有足夠的技術人員(33%),還有執行第1道防線的職責(33%)。
這些挑戰跟我們與金融機構的經驗一致,因為許多人已經或正在分清第一道防線和第二道防線的作用,努力提高三道防線模型的效率。
越來越依賴壓力測試
幾乎所有機構都報告使用資本(90%)和流動性(87%)壓力測試,並且更加依賴這類測試。
資本壓力測試更多被董事會和管理層當成關鍵工具來使用,而相比去年的調查,更多的受訪者表示他們在許多領域使用資本壓力測試包括:向董事會報告(從去年的46%升高到64%)、向高級管理層報告(從去年的49%升高到61%)、定義/更新風險資本容量要求(從去年的24%升高到47%),以及戰略和業務規劃(從去年的26%升高到38%)。
流動性壓力測試也在以下幾個方面得到更廣泛的應用:評估流動性是否充足性(從去年的39%升高到57%,高於)、滿足監管要求和預期(從去年的52%升高到65%),並設定流動性限制(從去年的44%升高到56%)。
加強董事會監督
調查結果反應了監管變化步伐放緩,只有28%的受訪者表示,跟兩年前相比,他們的董事會在風險管理上投入的時間更多,相比上次調查的44%有所下降。
許多機構也跟董事會監督的主要做法一樣,61%的受訪者表示風險監督的主要責任在於董事會的風險委員會,70%的人表示風險委員會完全(35%)或多數(35%)由獨立董事組成,而84%的人表示委員會由獨立董事擔任主席。
廣泛設立CRO職位
在調查過程中,設立CRO職位的潮流繼續擴大,95%的機構現在都設立了CRO。但是,CRO報告需要提交到執行長和董事會來看,這個職位仍有改進的空間。
四分之一的受訪者表示他們的CRO沒有向CEO提交報告,大約一半的受訪者表示CRO沒有向董事會或董事會委員會提交報告。
企業風險管理的採用率不斷提高
83%的受訪者表示,他們的機構實施了ERM計劃,比之前調查的73%更高,還有9%表示他們正在實施ERM計劃。
除了解決上述數據和IT系統問題之外,受訪者認為,業務部門與風險管理職能部門之間的協作(66%)、管理不斷增加的監管要求和期望(61%),以及在整個企業中建立和嵌入風險文化(55%)是機構企業風險管理計劃中具有極高優先級的問題。
本文來源前瞻網,轉載請註明來源。本文內容僅代表作者個人觀點,本站只提供參考並不構成任何投資及應用建議。(若存在內容、版權或其它問題,請聯繫:service@qianzhan.com) 品牌合作與廣告投放請聯繫:0755-33015062 或 hezuo@qianzhan.com