打造高质量监管数据治理体系.pdf

164凝心聚力 奋进新征程|热点话题探讨2022年以来，监管高度重视金融机构监管数据质量，利用业务监管、科技监管和数据监管一体化的监管模式，力促行业资金端及资产端良性发展。一方面，重处罚重问责，监管数据质量问题不仅问责到机构也要求问责到个人，监管数据质量的罚单接连创历史新高，金融机构的监管数据质量合规压力持续显现。另一方面，金融机构的数据治理随着技术升级和数据积累，拥有了新的转型动力和需求。为此，金融机构需要积极对标监管要求，立足管理现状，把握时机，加快开展重塑升级工作。6强监管趋势固化为常态，金融数据治理监管规则确立近年来，国际与国内监管改革与监管规则制定趋于完善，大数据、云计算、人工智能等技术成熟应用，金融科技已成为监管数字化转型的关键助力。2021年8月17日，中央财经委员会第十次会议提到要“提升金融系统干部队伍监管能力，提高监管数字化智能化水平”。在传统业务监管和科技监管之下，数据监管正发挥着愈加重要的作用，监管侧也在不断实践数据和业务的双向监查模式，“业务、科技、数据”三位一体监管趋势将是未来立体化监管科技的主要合力体现。数据采集明细化、统计高频化、管理常态化、全面透明化目前，结合银保监会、人民银行和外汇管理局等外部监管要求来看，银行监管数据报送范围逐步拓宽、各类报表要求不断迭代升级，整体要求日渐趋严：数据趋向明细化、统计高频化、管理常态化、全面透明化。追光逐日，重塑升级：打造高质量监管数据治理体系明细常态高频严格透明报表类型明细化报送内容明细化采集应用常态化治理规范常态化质量复核高频化监管检查高频化数据质量趋严化业务检查趋严化采集要求透明化业务过程透明化165凝心聚力 奋进新征程|热点话题探讨2022年，银保监会颁布了EAST5.0。EAST数据模型是银保监会设计的一套通用数据采集标准模型，用于采集银行全量的表内外业务明细数据、管理数据、账务数据、机构数据和员工数据，EAST数据可用于在监管侧开展监管合规风险点数据建模分析，是目前银保监会最为复杂的报送体系。EAST1.0最初在2012年开始以浙江5家试点银行系统数据结构用以辅助现场检查，历经十年发展，已成为防范金融风险、促进银行数据治理和合规发展的核心监管科技能力。2022年银保监会全面升级EAST5.0，全量采集银行端的客户明细、表内外业务明细和账务明细等，每月采集70张表，1,838个数据项，3,283条检核规则。随着党的二十大组建国家金融监督管理总局，深化金融监管机构改革的措施进一步落地，我们预计监管侧对于金融机构数据的采集除了日趋明晰化、高频化外，还将逐步呈现统一化的趋势。图1：EAST5.0全景图数据来源：德勤分析公共信息机构信息表员工表柜员表岗位信息表机构关系表股东及关联方信息表信贷管理信息授信信息表资产核销表信贷资产转让表资产转让关系表贷款五级形态变动资金交易信息表外授信业务金融工具信息表票据出票信息表汇率信息表保函与信用证表自营资金业务余额交易背景信息表自营资金交易信息委托贷款信息表即期及衍生品交易信息代理代销交易信息各项贷款信贷合同表个人信贷业务借据表对公信贷业务借据表受托支付信息表票据贴现表融资租赁业务表互联网贷款合同附加表票据转贴现表垫款登记表互联网贷款合作协议表项目贷款信息表银团贷款信息表贸易融资业务表信用卡信用卡信息表信用卡交易明细表信用卡授信情况表信用卡分期业务情况卡片信息借记卡信息表存折信息表收单商户信息表表内外担保信息表内外业务担保合同表表内外业务担保人表内外业务抵质押物客户信息个人基础信息表个人客户关系表对公客户信息表对公客户财务信息表集团客户表关联关系表对公信贷分户账明细记录内部分户账内部分户账明细记录个人信贷分户账个人信贷分户账明细记录对公信贷分户账会计记账信息总账会计全科目表内部科目对照表个人存款分户账个人存款分户账明细记录对公存款分户账对公存款分户账明细记录理财业务理财产品信息表理财产品状态表理财产品底层持仓信息表非标资产明细信息其他非标资产明细信息表理财产品资产交易信息表理财产品销售明细客户理财产品持有信息表EAST5.0变化项新增域166凝心聚力 奋进新征程|热点话题探讨36171311010203040漏报错报交叉验证问题整改不到位业务违规2023年2月，银保监会通报查处一批违法违规案件，对中国银行、民生银行、渤海银行、建设银行、渣打中国等五家金融机构及相关责任人员依法作出行政处罚决定，合计罚没人民币3.8亿元，其中案由包含统计数据相关问题。可以看到，对金融机构的强监管形势将固化为常态监管的重要内容，同时，我们也关注到，进入2023年以来，EAST和1104报表的常规数据质量稽核权限正逐步下放至属地监管，各属地银保监局正在将监管数据质量的排名、问题通报和问责固化为常规监管事项，金融机构的数据质量在监管侧的监管压力和合规风险将持续加大。图2：2022年21家银行业金融机构监管数据质量处罚问题分布图3：2023年2月监管处罚事项案由统计数据来源：银保监会，德勤整理数据来源：银保监会，德勤整理数据监管处罚力度持续加大2022年3月25日，银保监会公开最新处罚信息，依法查处21家银行业金融机构监管数据质量违法违规行为，涉及政策性银行、国有大型银行、股份制银行等21家银行机构，处罚金额合计人民币8,760万元，平均一家金融机构的处罚高达400万元左右。68类监管公布问题，按问题性质可简单分为五大类，具体包括：数据错报、数据漏报、EAST与1104报表交叉核验存在问题（不平）、检查问题整改不到位及业务违规问题。数据质量类问题业务类及其他类型问题处罚事项监管处罚事项 统计约占 12%小微企业贷款风险分类不准确 小微企业贷款统计数据不真实 将非小微企业划归统计口径 小微企业统计数据与事实不符、企业划型不准确，将大中型企业纳入小微企业统计错报总账会计数据 理财业务统计数据与事实不符167凝心聚力 奋进新征程|热点话题探讨图4：监管统计定义：银行保险机构为落实相关监管统计要求的综合性管理活动金融数据治理监管规则确立2022年12月25日，银保监会正式下发银行保险监管统计管理办法（以下简称“办法”）并于2023年2月1日正式施行，银行业监管统计管理办法（中国银行业监督管理委员会令2004年第6号）、保险统计管理规定（中国保险监督管理委员会令2013年第1号）同时废止，上述银行保险机构将遵循统一的监管统计管理要求。办法包括总则、监管统计管理机构、监管统计调查管理、银行保险机构监管统计管理、监管统计监督管理、附则共计六章、三十三条。1.办法明确监管统计资料是指依据银保监会及其派出机构监管统计要求采集的，反映银行保险机构经营情况和风险状况的数据、报告、报表。2.对银行保险机构而言，监管报送质量是监管统计管理的管理成果体现，反之，质量问题也可为监管统计管理的短板提供线索。3.监管报送结果亦是银行保险机构经营管理、合规风控的外在展现，而良好的企业级数据治理为监管统计质量管理提供有力内部保障。4.银行业监管统计工作是银行业金融机构内部控制的重要组成部分。办法明确监管统计资料是指依据银保监会及其派出机构监管统计要求采集的，反映银行保险机构经营情况和风险状况的数据、报告、报表。对银行保险机构而言，监管统计不是简单定义为数据计算和数据报送，而应视为一项以“保障高质高效数据报送”为目的的综合性管理活动。数据标准管理 数据质量管理 数据安全管理 元数据管理 统计调查 统计分析 统计信息服务 统计管理 统计监督检查 数据收集 数据加工 数据报送监管统计不是简单定义为数据计算和数据报送，而是一系列综合性的管理活动。数据治理 管理成果体现数据底座支持经营情况和风险状况的 数据、报告、报表I-企业级数据治理经营管理合规风控III-监管报送外在展现II-监管统计管理监管统计监管报送168凝心聚力 奋进新征程|热点话题探讨结合2018年颁布的银行业金融机构数据治理指引要求，以及监管2023年以来发布的各类问题和通报，可以看出监管已建立起了统一的监管统计管理要求，且希望通过对监管数据的高质量要求推动金融机构自身数据治理以及业务的合规发展，同时促进数据治理由“成本中心”向“价值中心”转变的决心。业务科技数据立体式监管配置充足的数据治理资源，严格落实数据管理主体责任，持续提升监管数据报送能力建立数据质量监控体系，形成 常态化的发现问题、整改问题、评估改进的工作机制，加强数据信息安全管理将数据治理纳入公司治理范畴。完善数据治理框架，明确“两会一层”数据治理职责分工加强风险管控、内部流程、业务经营的数据应用，开展内控合规数字化建设，推动数据治理由成本中心向价值中心转变加强数据治理制度建设，切实完善机制流程推动基础数据治理工作，形成统一的数据标准和技术底座，加强监管报送数据间的交叉核验，实现多系统数出同源数据来源：银保监会，德勤整理监管数据治理框架监管数据治理是一项基础性、系统性的工作，而一套设计完备、运转顺畅的治理架构是监管数据治理工作长期有效开展的重要先决条件。在阐述监管数据治理建设的难点与应对之前，有必要先行明确监管数据治理层所包含的要素。银行业金融机构数据治理指引视角2018年5月21日银保监会正式发布银行业金融机构数据治理指引（银保监发201822号）对银行业金融机构提出了数据治理的全面要求，其中第二章强调了数据治理架构的构成。至此，数据治理工作不再仅仅是监管报送部门或者信息科技部门的工作，而是上至董事会高管层、下至数据采集人员、录入人员的全行工作，需要做到人人有责，并通过数据文化引导依规用数、科学用数的职业操守。图5：2023年金融数据治理主要监管要求169凝心聚力 奋进新征程|热点话题探讨银行业金融机构数据治理指引数据治理架构数据管理数据质量管控数据价值实现1.总体要求2.董事会职责3.监事会职责4.高管层职责5.归口管理部门6.业务部门7.岗位设置8.团队建设9.数据文化建设1.制定数据战略2.数据管理制度3.监管统计制度4.数据标准5.信息统计6.监管统计系统7.数据共享8.数据安全9.资料存储10.应急预案11.自我评估机制12.数据治理问责机制1.质量控制要求2.业务制度-质量控制手段3.技术工具-质量控制手段4.日常监控5.检查制度6.考核评价7.整改制度8.监管数据报送9.监管数据质量监控1.数据价值实现要求2.风险管理有效性3.风险监控4.数据加总能力5.风险报告6.风险定价7.重大收购、资产剥离8.新产品评估9.客户营销10.业务流程优化11.业务创新12.内部控制评价制度图6：银行业金融机构数据治理指引监管统计数据质量治理视角2020年银保监会发布关于开展监管数据质量专项治理工作的通知（银保监办发202045号），开展了监管数据质量专项数据治理工作，各地银保监局随后下发的配套文件监管统计数据质量评估模板包含了五大评估要素，分别为1）组织架构；2）制度建设；3）系统保障和数据标准；4）数据报送存储和共享应用；5）数据质量控制，其中首当其冲的便是“治理”的相关要素，即组织架构、制度建设。通过评估要素项下各评估细则的具体要求，银行业金融机构对银保监会关于监管数据治理的具体要求有了更清晰的执行依据。图7：监管统计数据质量评估模板评估要素A.组织架构B.制度建设C.系统保障和 数据标准D.数据报送、存储和共享应用E.数据质量控制123456789101112131415161718组织领导部门职责岗位设置团队建设监管数据管理制度监管数据业务制度源头数据制度要求基础系统监管数据系统数据标准数据报送资料存储共享应用监管数据质量控制源头数据质量控制监督检查组织整改考核评价评估要素评估原则170凝心聚力 奋进新征程|热点话题探讨德勤视角监管数据治理是一项全行性的工作，有效的组织架构是监管数据治理成功与否的有力保证。为达到数据战略目标，建立体系化的组织架构、明确职责的分工、良好的文化氛围是非常必要的。德勤长期专注于金融行业数据治理、监管数据治理相关服务，积累了丰富的银行业金融机构监管数据治理经验，形成了一套行之有效的监管数据治理层设计框架和方法论。综合监管要求、行业实践经验及德勤方法论，德勤建议的监管数据治理层的组成要素包括：图8：德勤基于价值导向的监管数据治理框架监管数据治理顶层设计系统支撑监管统计数据管理监管政策解读预测数据应用主数据管理数据模型管理元数据管理数据质量管理数据资产管理数据安全管理数据标准管理数据架构与共享管理业务合规风险指标预警经营发展前瞻指导数据战略战略定位战略规划源系统建设统一监管数据集市统一监管报送管理门户数据责任数据职权数据责任数据文化数据文化团队建设组织架构组织领导岗位设置部门职责团队建设考核评价考核评价激励问责监督整改监管数据应用企业级数据治理制度建设监管数据管理制度监管数据业务制度源头数据制度要求数据标准源系统标准报送数据标准落标管理数据质量监管数据质量源头数据质量质量闭环管理报送存储数据报送资料存储统计归档数据安全数据分级分类数据脱敏171凝心聚力 奋进新征程|热点话题探讨各家金融机构可积极响应监管趋势，遵循以用促治的原则，以点带面，积水成渊，从监管统计数据着手拓展至机构全数据域，充分达成数据治理与监管统计管理双向赋能目标。监管数据治理是一项全行性的工作，有效的组织架构是监管数据治理成功与否的有力保证，为达到监管数据战略目标，建立体系化的组织架构、明确职责的分工是基础。但实践中，银行在如何设置监管数据治理架构、设置监管统计归口管理部门，以避免跨体系报表难治理、部门间职责推诿、优化工作流程和效率、解决资源投入不均等方面存在一些挑战。提升监管数据治理决策力度根据监管要求，法定代表人承担监管统计数据最终责任，监管数据治理与业务合规和发展有关，需要体系性决策。同业实践中，目前四大行、股份制银行及部分城商行都已建立了数据管理（治理）委员会或金融科技与数字化建设委员会承担相应数据治理工作审议事宜，主任委员由行长担任。我们认为，监管报送等重点数据应用场景和问题复杂繁多，监管数据治理与行内业务合规相关，需要构建体系性的决策机制、完善高管层的分级决策力度和决策机制。加大归口管理部门资源配置，建设监管统计专业人才团队监管统计工作被定义为银行保险机构为落实相关监管要求开展的各类统计活动，意味着监管统计归口管理部门被赋予综合性管理职责。归口部门应对本机构经营管理情况的资料进行调查、收集、整理、分析，对内外提供统计信息和统计咨询和统计监督意见。这对归口管理部门的综合能力与人员配置方面提出了较大的挑战，为满足监管统计要求，各银行保险机构应考虑针对监管统计归口管理部门和监管统计团队加大资源投入。确保归口部门对统计数据拥有知情权、调查权、检查权和分析权，赋予归口部门可进行考核、检查、参与绩效评估、实施问责激励的职责有助于其在监管统计管理方面发挥高质量保障作用。据观察，越来越多的银行选择独立设置一个数据部门，对数据相关的工作进行归口管理；当然还有一些由业务部门或技术部门作为“归口管理部门”也是银行实践方式之一。不同的设计方式下优劣势也各有不同，银行可以根据自身实际情况权衡利弊、得出最优解决方案，常见的归口管理部门设置方案及优劣势对比如下：高质量监管数据治理体系搭建建议图9：银行业监管数据归口管理部门设计方式优劣势对比 对业务侧的理解较深，对传统的监管数据统计工作较为熟悉 便于推动本部门和业务部 门的监管数据报送工作 科技部门推动监管报送系统建设工作等技术性较强的管理工作难度更小 对新技术、新管理方式接受程度更高 推动技术性强的管理工作难度较大 对数据应用的理解相对有限，更多局限于报表填制领域 科技部门对于监管报表业务逻辑、业务痛点的理解和推动解决难度较大 需要同时协调业务部门、科技部门配合工作，跨部门协调工作较多 对行内的数据文化意识要求 较高银行保险业监管统计归口管理部门设计方式优势劣势以计财为代表的管理部门科技部门独立的数据部门 同时设置数据治理、监管数据相关职能，满足监管指引要求 与提升行内数据效能相得益彰，避免重复建设工作 独立的数据部门可以体现数 据时代数据应用、监管报送、数据管理的重视171顶层设计：提升监管数据治理决策力度、统一总分机构的协同治理架构172凝心聚力 奋进新征程|热点话题探讨按需沟通按需沟通一般来说，归口管理部门设置的课题需要多长的决策过程与时间，很大程度上取决于决策层对于监管数据治理的决心，也就是说决策层应对此予以高度重视并匹配完善的资源；同时，一个行之有效、运转良好的归口管理部门往往需要一定时间的尝试、复盘、反思、调整，通过全行共同的努力而形成，并不能毕其功于一役。统一总分支层级监管数据管理的组织架构与规范职责，形成总分支协同机制另一个治理挑战，来自总分机构的协同。过去监管数据治理常常集中在总行或总部层面应对，各分支机构应对和治理经验不足，尚未形成统一的治理架构。由于监管检查频次不断趋向高频化，且深度下钻至各分支机构，这要求各分行层面也需按照监管统计管理办法的要求，制定建立分行层级监管数据管理的组织架构与规范职责，形成总分支协同机制。分行应加强与属地监管的主动沟通，建立自主深入分析和排查监管数据质量问题的能力，及时寻求总行协助支持，形成总分机构协同工作机制，固化数据质量监控与整改的闭环管理流程。图10：总分机构协同图谱 属地监管特色报送要求与检核规则协商 跨体系校验逻辑分析 与监管沟通官方话术 其他需协商的事项总行监管数据治理 联合工作组统计归口部门对接人信息技术部 对接人报送数据验证及修正报错原因分析总行各业务部门对接人总行业务系统开发团队分行监管数据治理工作组统计归口部门对接人信息技术部 对接人按需沟通分行各业务部门对接人分行业务系统开发团队172173凝心聚力 奋进新征程|热点话题探讨统一规范制度与流程各家金融机构应及时总结监管数据治理和统计报送管理过程中的各类经验和管理要求，逐步累积固化满足监管要求的监管统计内部管理制度和各监管报送体系的业务制度和管理流程。固化闭环高质量的监管报送管理建立监管数据质量全流程管理机制，涵盖数据源管理、日常监控、监督检查、问题整改和考核评价，明确各环节中相关部门的数据质量责任，强化事前、事中管控意识，实现监管数据质量闭环管理。各银行保险机构应将数据质量管控前置，覆盖数据产生的全链路，建立复合式质量检核点，覆盖内外部关键指标。目前较多机构将事后检测作为主要的数据质量控制手段，质量管理较为被动，难以形成质量提升闭环；应当采用监管统计数据与源头数据“两头抓”的方式，持续提升整体质量。图11：制度建设：满足监管要求的监管统计内部管理制度和业务制度图12：监管数据质量闭环管控管理制度应包括组织领导、部门职责、岗位人员、信息系统保障、数据编制报送、数据质量管理、检查评估、考核评价、问责与激励、资料管理、数据安全保护等方面。业务制度应全面覆盖常规监管统计数据要求，对统计内容、口径、方法、分工和流程等方面做出统一规定。管理制度业务制度企业级数据治理工作监管统计业务制度监管统计管理制度数据治理基本制度数据标准管理办法数据资产管理办法数据质量管理办法数据安全管理办法EAST报送业务制度客户风险报送业务制度1104报送业务制度优先银保监体系内报送体系，其他报送参照执行定规则以监管政策为基准，结合内部管理需要，编制数据检核规则并定期评估适用性测数据数据使用部门牵门部署规则，定期跑批，发掘数据质量问题评效果制定数据质量考核办法，对整改进度及效果进行考评析原因评估数据质量问题影响并分析成因，明确整改职责分工控质量更新校验规则，定期监测整改结果，防控新增问题改问题制定改进方案，纠正当前数据错误，预防未来数据错误源头管控报送管控数据加工 上下游 管控跨报送 体系管控定控测改析评监管数据管理：统一规范制度流程和考核评价、闭环高质量的监管报送管理173174凝心聚力 奋进新征程|热点话题探讨统一考核评价标准银行保险机构应结合自身管理现状及需要，拟定监管统计考核、问责与激励机制，建议建立定性、定量与加分指标综合加权平均分，考核到总行、分支机构部门和机构、负责人及个人。考核 指标中同时含有加分项与扣分项，同时起到激励与问责的作用，对于业务部门自主增加检核规则、自主提出数据质量提升建议，整改效果好的应采集适当的激励机制，改变监管数据光问责、人人怕担责的现象。固化数据资产管理体系围绕数据资产项，持续完善企业级数据资产项的数据标准、数据安全、数据质量、主数据和数据生命周期管理体系。为监管数据治理提供良好的基础与保障，并厘清监管报送数据上下游，溯本追源，维护一套全公司可信监管数据资产。科学基础数据资产确权数据资产的基础数据项因其定义、权威来源及管理和技术属性相对清晰，其认责相对于指标数据而言更易于开展。金融机构可以从基础数据项着手开展认责。数据主责部门的判定可以遵循“最有能力管理该数据的业务部门”，该业务部门通常是该基础数据项的产生部门，对其业务口径定义、系统录入、日常监控、问题治理具有最权威的业务解释权，能够对基础数据的问题进行最权威的解释。坚持源头数据治理根据监管要求，内部业务及管理基础系统等各类信息系统应覆盖监管统计所需各项业务和管理数据。而数据质量的问题根源解决在于源头系统，要坚持源头系统的自动化能力提升，将监管数据检核标准前置业务系统硬控制，强化监管数据标准的源系统落标和贯标工作，规范企业内数据要素的标准和质量，持续激活企业内数据要素流动效率。筑牢统一的监管数据和技术底座根据监管要求，金融机构应当建立满足监管统计工作需要的信息系统，提高数字化水平。实际管理中，部分金融机构各个报送系统目前仍是烟囱式建设，不仅底层基础数据未打通，报送系统端的管理功能也各不相同。我们建议金融机构应当在技术底座上，打通底层明细数据和指标数据，构建统一监管数据集市或数据平台，实现多系统同源，统一业务数据和账务数据，确保业财一致性的基础。在管理功能上，打造面向全行及总分支监管报送和数据管理人员的统一监管数据门户，实现监管数据确权、数据报送、数据质量管理、数据血缘溯源、问题管理、备案管理、监管指标监测等功能。174企业级数据治理：固化企业级数据资产管理、激活企业内数据要素流动效率技术支撑：筑牢统一的监管数据和技术底座、集约化监管数据日常运营175凝心聚力 奋进新征程|热点话题探讨集约化监管数据日常运营在监管数据日常运营中，我们也建议在监管数据开发、监管数据日常运营、监管数据质量管理、报送管理中引入AI等技术，整合分散化科技资源，集约化监管数据日常运营。充分发挥监管统计资料价值的要求，可引导监管统计从成本中心向价值中心转变。监管统计中所使用的数据拥有良好的数据管控、高度可复用性与可分析性，具备将数据转化为知识与规律的条件，可为银行保险机构经营管理、资产负债和合规风控的日常管理与预测的实施提供客观和科学的依据，引领银行保险机构作出优化决策。监管统计的价值实现亦会引导监管统计数据管理工作走向良性循环，为持续优化提升数据质量奠定基础。数据加工和整合：形成3大统一统一产品口径统一分析口径统一机构口径统一业财数据图13：统一高可信监管数据和技术底座统一监管数据平台统一监管数据集市智慧分析智能预警智能报表智能搜索质量溯源数据报送任务跟踪问题发现知识库自主需求监控指标全景监管数据报送4大条线银保监外管国资委人行证监32家分支机构6大分析维度示例业务明细产品明细账务明细打通业务和账务瓶颈保障业务数据与财务数据的一致提高数据粒度提高出数效率提高数据质量数据源头：集中全行数据，覆盖全行业务源头系统手工补录数据175监管数据价值实现：一体化监管数据分析应用能力，发挥监管数据价值176凝心聚力 奋进新征程|热点话题探讨从良好标准发布到银行业金融机构监管数据标准化规范出台,从数据治理指引到监管统计管理办法，德勤已陪伴多家国内外知名银行及保险金融机构走过监管数据从“溯源困难、管理无序”到“血缘清晰、高质有序”的旅程。我们运用多年服务过程中积累的丰富的实践经验、前瞻的行业洞见与专业见解，为客户量身定制解决方案，协助客户打下坚实的监管数据治理根基，构建体系和监管统计管理运营模式、落地监管数据标准、设计多层次数据质量检核规则、建设统一监管数据集市与平台，构建智慧监管数据应用，助力银行及保险金融机构实现监管统计工作的价值转型。作者曹樑德勤中国金融服务业数据风险咨询主管合伙人电话：+86 21 2312 7154电子邮件：蔡帼娅德勤中国金融服务业风险咨询总监电话：+86 21 2316 6368电子邮件：图14：一体化监管数据分析应用与建模贷款投向资金流向关联交易资本充足关联交易收费付费风险资产表外规模反欺诈反洗钱股权质押舆情风险监管标准化数据库不断完善被监管机构可通过监管数据分析应用，推进前置化管控示例 基础财务 信用风险 大额风险暴露 流动性风险 资本充足率 支持发展类 普惠涉农 大额交易报告 可疑交易报告 财务状况 贷款投向 中间业务 票据业务 财务数据 风险数据 关联方交易 存款余额和发生额 贷款余额和发生额 债券业务 股权与SPV投资EAST反洗钱人行 大集中1104信息 披露金融基础数据监管标准化数据库177凝心聚力 奋进新征程|热点话题探讨2008年全球金融危机2017年7月澳大利亚：关于业务连续性的APRA标准2018年12月EBA关于信息与通信技术及安全风险管理的指南2019年10月财政委员会报告2020年9月欧洲委员会数字化运营韧性法案2021年2月澳大利亚：更新了APRA的监管优先事项2022年3月监督声明有效性和自我评估可用性2012&2014年DCE-I&DCE-II (英国)2021年前2021-2025 实施期间2018年7月讨论文件发布2019年2月EBA关于外包管理的指引2019年12月征求意见稿发布 延申了征求意见稿中的细节，重点关注承受能力方面的内容 定期开展自我评价的要求2020年10月 美国：金融监管局公布了2021财年银行监管运作计划2021年3月 英国金融监管机构发布的运营韧性监管声明 新加坡：MAS发布了远程工作环境中的风险管理和运营韧性 巴塞尔委员会发布了运营韧性和风险原则2025年3月 全面实施运营韧性监管声明监管背景全球金融危机之后，监管机构开始关注金融机构运营模式在应对突发事件时如何实现更稳健的服务交付。新冠疫情的爆发使得运营韧性的重要性更加凸显，促使全球监管机构对运营韧性提出更明确的要求与指引。相比财务问题，监管机构对于运营中断事件可能对金融服务行业稳定性和稳健性带来严重威胁的风险更加警惕。有鉴于此，金融机构必须着手应对不断加强的运营韧性监管审查，金融服务运营模式亦须适应这种局面。2020年以来，不断有监管机构对运营韧性提出新的要求与原则，其核心目标在于帮助金融机构深入了解“严重但可能发生的”中断事件对于业务运营有何影响，并且推动金融机构采取行动提升重要或关键服务在面对此类威胁时的韧性，以适应不断变化的风险形势。7因时而变，随事而制：新场景下的银行业运营韧性的应对思路图1：2008年金融危机以来全球运营韧性格局演变及未来关键时间节点英国英国美国英国美国英国英国新加坡欧盟澳大利亚英国英国欧盟澳大利亚英国178凝心聚力 奋进新征程|热点话题探讨2020年9月，欧盟委员会（EC）发布了数字化运营韧性法案，对包括信贷机构、支付机构、电子货币机构、投资公司、投资基金经理和管理公司、保险和再保险企业、保险中介、信用评级机构等一系列受监管的经济实体的数字运营韧性管理进行规范，在治理、信息和通讯技术风险管理、信息通讯事件报告、数字运营韧性测试、信息通讯技术第三方风险、信息共享等方面提出了相应要求。2020年11月，美联储（Fed）、美国货币监理署（OCC）及联邦储蓄保险公司（FDIC）联合发布了机构间文件增强运营韧性的稳健实践，通过整合已有法规与指南的相关要求，寻求为金融机构提供在面对内部和外部运营风险时增强其运营韧性、制定全面运营韧性方案的方法。该文件强调了机构关键业务和核心业务线运营韧性的重要性，针对治理、操作风险管理、业务连续性管理、第三方风险管理、场景分析、安全与韧性的信息系统管理、监测和报告等领域的管理方案提出了具体的实践指导。2021年2月，澳大利亚审慎监管局（APRA）结合新冠疫情的影响，在新冠：一场真实的运营韧性测试一文中提出运营韧性能力建设的核心方案需要关注各类突发冲击应对管理机制的建立，针对运营控制有效性的监督、决策和规划以及保障运营控制设计和运行有效性的相关关键准则。2021年3月，英国审慎监管局（PRA）重点关注银行机构及金融市场基础设施机构向外部利益相关方（例如客户、交易对手或整个金融市场）交付重要业务服务所需的运营韧性，通过发布运营韧性监管声明明确了需要采取包括识别重要业务服务、内外部资源映射、设定扰乱容忍度、执行场景化压力测试、完成自评估共5个关键步骤，以实现运营韧性，并要求机构需要在2025年3月前满足相应要求。2021年3月，新加坡金融管理局（MAS）发布了远程工作环境中的风险管理和运营韧性，从控制环境变化、外包及其他第三方安排、业务连续性管理、信息治理、网络安全、信息科技资产管理、欺诈、员工不当行为、合规和监管、远程办公对人员与文化的影响等方面对远程工作模式带来的风险与运营韧性管理要求进行了阐述。2021年3月，巴塞尔银行监管委员会（BCBS）发布运营韧性原则，强调运营韧性管理须在治理、操作风险管理、业务连续性规划和测试、互联和互依赖映射、第三方依赖管理、事件管理及包括网络安全的信息与通讯技术等方面实施与机构韧性方案一致的管理举措，以实现机构整体的运营韧性提升。2021年10月，国际证监会组织（IOSCO）更新并发布了外包原则，新版原则阐述了金融机构对外包活动依赖性增加的情况，并设法解决新冠疫情对外包和运营韧性的影响。178179凝心聚力 奋进新征程|热点话题探讨2021年12月，香港金管局（HKMA）制定了基于操作 风险管理框架的运营韧性管理监管政策，监管政策手册模块OR-2运营韧性，规范了董事会及高管层职责、明确运营韧性参数、绘制关键运营的相互联系和相互依赖关系图、为关键运营的交付做准备并管理风险、测试在严峻但可接受的情景下提供关键运营的能力、应对事件并从中恢复等关键环节，并要求金融机构在2026年5月31日达到合规要求。总体来看，国际及香港地区监管环境演变有如下趋势值得关注：监管在关注以资本充足及流动性为重点的金融韧性的同时，开始强调由操作风险管理体系贯穿的运营韧性；金融危机之后多年来强调经营稳健，当前环境下更强调运营韧性。“经营”到“运营”，体现的是在持续经营前提下，须做到持续交付；危机冲击当下，除资本及流动性的恢复，应对措施延展到技术及第三方关系支撑，伴随而来的是对新形态风险的关注。近十年来，国内监管机构陆续出台了包括商业银行操作风险管理指引、商业银行信息科技风险管理指引、商业银行业务连续性监管指引、银行保险机构信息科技外包风险监管办法、银行业信息系统灾难恢复管理规范等在内的监管指引与行业标准，引导银行业金融机构逐步形成完善的风险管理体系，增强风险场景下的处置能力。近期发布的银行保险机构操作风险管理办法（第二次征求意见稿）第二十九条、第三十条中明确提出了业务连续性和运营韧性的要求，其目标是保持持续向客户提供关键服务的能力。图2：巴塞尔银行监管委员会运营韧性原则数据来源：德勤整理 持续识别内外部危险与潜在故障 多类风险管理框架相互协调驱动 合理开展内部控制与程序有效性 评估 内外部互联和互依赖关系映射 人员、技术、流程、信息、设施互联和互依赖关系映射 全业务范围、事件全生命周期管理覆盖 事件根本原因挖掘与解决 确保具有韧性的信息和通信技术 制定书面ICT政策 识别关键信息资产及其所依赖的基础架构 定期评估威胁状况、测试脆弱性 关注第三方运营韧性水平适配 业务连续性和应急规划程序以及退出策略制定 计划全面且运营韧性方案保持 一致 演练以测试关键运营交付能力 演练中考虑对员工运营韧性意识的支持 董事会：运营韧性方案审查与批准、扰乱容忍度设定 高级管理层：运营韧性方案实施、资源合理分配与保障、及时报告运营韧性状况治理操作风险管理业务连续性规划和测试互连和互依赖关系第三方依赖性管理事件管理信息和通讯技术180凝心聚力 奋进新征程|热点话题探讨德勤的运营韧性框架从国内外监管要求可以看出，运营韧性不是一套独立新建的管理体系，而是借助于有效的操作风险管理建设的能力。其中，业务连续性管理、第三方服务管理、基础技术架构管理、事件管理、网络安全等均为增强运营韧性时需考虑的重要因素。德勤建议，以机构全局统一视角提升整体运营韧性，构建治理内核一致、管理脉络清晰、业务韧性与技术韧性协同增益的运营韧性体系，确保现有风险管理框架、业务连续性计划和第三方依赖关系管理等在组织内得到一致实施。与此同时，无论是治理层面的一致性设计，还是管理层面的各项具体要素的落地，在内外部环境发生变化时，都需要考虑新的场景对运营韧性体系的影响以及应对措施，旨在形成因时而变、随事而制的管理闭环。在下文中，我们通过气候风险和信息技术应用创新两个典型场景，具体阐述对运营韧性体系进行更新的方法。气候风险世界经济论坛2022年-2023年全球风险认知调查显示，十年内全球10大风险严重程度估测，排名前4的风险为气候行动失败、气候适应失败、自然灾害及极端天气事件、生物多样性破坏和生态系统崩溃。显然，气候风险将对宏观环境造成巨大且深远影响。图3：运营韧性及其他管理领域关联运营韧性基于原则的一致性框架业务韧性技术韧性整体风险偏好下的 扰乱容忍度设定治理管理业务连续性计划事件与危机管理第三方依赖管理压力测试与 场景演练员工韧性网络及数据安全灾难恢复新型风险管理关键运营识别运营资源互联与 映射关系梳理运营资源关系视图180181凝心聚力 奋进新征程|热点话题探讨应对气候风险的运营韧性管理可聚焦压力测试这也是金融机构发挥现有宏观经济压力测试能力的极佳切入点。图4：气候风险影响图5：气候相关风险传导渠道数据来源：德勤整理数据来源：NGFS2020 气候变化导致生产过程中投入的可用量和定价发生变化。如零部件供应商受极端天气影响中断生产会直接导致下游制造商成本上升。转型风险 政策与监管 技术发展 消费者偏好 企业 恶劣天气导致的财产损失和业务中断 转型产生的搁浅资产和新增资本支出 需求和成本变化 法律责任（因未能缓解或应对风险而产生）家庭 收入损失（因天气干扰和健康影响、劳动力市场摩擦而产生）财产损失（因恶劣天气而产生）或限制（因低碳政策而产生）引致成本增加并影响估值物理风险 长期性（如气温、降水、农业生产力、海平面等）突发性（如热浪、洪水、旋风、山火等）急性及慢性实体影响都可直接影响到公司的运营和资产。如温室效应直接影响公司生产效能；极端天气事件导致房地产及其他实物资产受损。气候的长短期变化对市场需求有着重大的影响。如台风导致沿海地区旅游业受损；长期升温导致地方夏季用电负荷激增。急性实体影响：极端天气事件慢性实体影响：长期气候变化宏观经济财务风险宏观环境环境与气候相关风险供应链运营和资产经济传导渠道市场影响各国商品和服务（或GDP）的总产量供给冲击导致通胀压力及实际利率的变化地域的差异化影响 改变贸易平衡和汇率 信用风险 企业和家庭的违约行为 抵押物贬值市场风险 股票、固定收益、商品等重新定价运营风险 供应链中断 被迫关闭厂房承保风险 保险损失增加 保险缺口扩大流动性风险 流动性需求增加 再融资风险金融系统扩散环境与气候和经济反馈效应经济和金融系统反馈效应微观影响企业个体与家庭宏观影响整个宏观经济 资本贬值和投资增长 价格变动（因结构性变化和供给冲击而产生）生产力变化（因酷热、投资重点转移至风险缓解与应对、风险规避增强而产生）劳动力市场摩擦（因物理风险和转型风险而产生）社会经济变化（因消费模式改变、人口流动、摩擦而产生）对国际贸易、政府收入、财政空间、产出、利率的影响182凝心聚力 奋进新征程|热点话题探讨德勤以联合国环境署金融倡议的气候压力测试框架为基准，深入探索并进行改进与优化，形成一整套完整的气候风险压力测试实施方案。气候压力测试的关键环节主要包括以下方面：组合分析：德勤依托气候风险分析工具ClimWise对银行具体条线业务开展热图分析，对特定气候情景下的行业、地区和期限进行影响评估，展