德勤发布最新《全球风险管理调查》：企业最担忧网络安全 认可数字技术的潜力

金融组织面临着非金融风险（网络安全、模型、第三方和行为风险等）以及可能发生的经济方面危机带来的挑战，这些都要求机构重新规划其传统的风险管理方法。德勤近日发布《全球风险管理调查第11版》，为2019年企业管理带来启示：顾虑网络安全问题增长最快，解决数据和IT系统风险是首要任务，数字风险管理的潜力巨大。

这项报告是这个调查系列的最新版本，评估了行业的风险管理实践及其面临的挑战。调查在2018年3月至2018年7月进行，由全球94家金融机构完成，这些机构总资产共29.1万亿美元。

企业风险管理迫切

尽管全球经济相对平稳，但今天的风险管理面临着一系列迫在眉睫的风险，需要金融服务机构重新思考传统方法。全球经济已经走强，但宏观经济危机仍然存在，美国、中国、欧盟等地区的变动可能导致贸易量下降，或者各司法管辖区之间关税紧张等问题。

欧洲经济增长乏力，中国经济增长放缓，债务水平不断上升，也导致全球经济增长减速。由于欧盟与英国之间还没有最终达成脱欧协议，这对许多公司的影响仍然有很大的不确定性。

虽然金融危机后，监管变化似乎已经引起关注，但金融服务机构还要准备有待最终确定的监管要求，并评估实施最近确定的监管要求会给公司带来的全部影响。

与此同时，全球机构正面临着各个司法管辖区越来越分散的监管环境。巴塞尔银行监管委员会对《巴塞尔协议III》下资本充足率和其他要求的修订，虽然已经最终确定，但尚未得到当地监管机构的通过和修订。

而国际保险监督协会（IAIS）正在努力制定全球保险资本标准（ICS），其中许多问题仍未得到解决，包括确定估值基础和明确内部模型在确定资本要求方面的作用。英国脱欧的最终协议仍在谈判中，监管英国和欧洲的市场和金融机构、投资银行的做法仍还没有确定。

欧盟的一般数据保护条例（GDPR）在2018年5月生效，对拥有欧盟公民数据的所有金融机构规定了新的义务，以确保消费者的权利。而印度和中国也在开展增加数据隐私的举措。在许多司法管辖区，人们更加关注行为风险，比如澳大利亚皇家委员会在银行业、养老金和金融服务行业的不当行为。

近年来，金融机构已经提高了风险管理计划的能力，以管理市场、信贷和流动性风险等传统风险类型。对于监管机构和机构而言，管理非财务风险现在变得更加重要。在众多非金融风险中，个人和国家日益所受到的复杂网络攻击让网络安全成为首要关注的问题。

在主要金融机构中发生的普遍不当行为，也强调了管理行为风险的重要性。金融机构合作的第三方引发的风险事件可能导致重大的财务损失和声誉损害。

金融机构应考虑重新设计其风险管理计划，以发展应对这些挑战所需的能力，而一些机构已经开始努力加强这些计划。

机构还应重新审查三道防线风险治理模型，以确认每条防线的责任，特别是构成第1道防线的业务单元和职能。许多机构的风险数据治理可能需要加强，提供可访问性压力测试、操作风险管理和其他应用程序所需的高质量且及时的数据。

金融机构还应考虑利用数字技术的力量，如RPA、机器学习、认知分析、云计算和自然语言处理，来提高风险管理的效率和有效性。

这些工具可以通过自动执行人工任务（如开发风险报告或查看事务）来降低成本。他们还可以自动扫描内部和外部环境中的各种数据，以识别和响应新风险、新出现的威胁和不良行为者。

最后，风险管理需要融入战略，这样机构在制定战略计划和战略目标过程中会把风险偏好和风险利用当成关键考虑因素。

以下是报告的主要发现：

网络安全风险的重要性日益增加

人们普遍认为，网络安全是增加最多的重要风险类型。67％的受访者将网络安全评为三种将在未来两年内对其业务影响最多的重要风险之一，远远超过任何其他因素。然而，只有大约一半的受访者认为他们的机构在管理这种风险方面取得非常有效的成果。

对于特定类型的网络安全风险，受访者通常认为他们的机构在管理破坏性攻击（58％）、经济损失或欺诈（57％）、客户的网络安全风险（54％）、敏感性数据损失（54％）以及破坏性攻击（53％）方面非常有效。

至于受到国家层面的安全威胁（37％）或来自第三方提供商的网络安全风险（31％）时，他们认为自己的机构不太可能有效应对。

在管理网络安全风险时，受访者通常认为在不断变化的业务需求（例如，社交移动、分析和云）（58％）和解决来自复杂参与者（例如，国家、高级黑客）（58％）的威胁方面极具挑战性。

网络安全风险意识日益增强，与上一次调查相比，受访者认为几个相关治理问题极具挑战性：让企业了解其在网络安全风险中的作用（从去年的47％下降到31％）、设置董事会批准有效的长期网络安全风险策略（从去年的53％下降到31％），还有确保持续的资金/投资（从去年的38％下降到18％）。

越来越关注非金融风险

几乎所有受访者都认为他们的机构在管理传统金融风险方面极为有效或非常有效，如市场（92％）、信贷（89％）、资产和负债（87％）以及流动性（87％）方面。

相比之下，大约一半的受访者表示同样存在许多非金融风险，包括声誉（57％）、运营（56％）、业务弹性（54％）、模式（51％）、行为和文化（50％）、战略（46％）、第三方（40％）、地缘政治（35％）和数据完整性（34％）。金融机构应考虑采用整体方法来管理非金融风险。

解决数据和IT系统风险是首要任务

整个调查结果都有一个共同的主题——解决数据和IT系统风险的重要性。这对于金融机构和金融服务行业来说一直是持续存在的问题，同时也表明从源头到许多系统和流程再到最终用户都保证高质量数据非常困难。

而关于未来两年内机构的风险管理优先事项，受访者最常把提高风险数据的质量、可用性和及时性（79％）列为极高优先级或非常高优先级，之后是增强风险信息系统和技术基础设施（68％）。

这跟结果一致，大约三分之一的受访者认为他们的机构在数据治理（34％）和数据控制/检查（33％）方面非常有效。

关于压力测试中的挑战，受访者认为压力测试计算的数据质量和管理极具挑战性，而资本压力测试（42％）和流动性压力测试（30％）也非常具有挑战性。

数字风险管理的潜力

一系列新兴技术不断进步，为大幅提升风险管理的效率和有效性提供了重要机遇。虽然大部分还有待实现；而且新兴技术应用在风险管理的机构相对较少。

机构最常报告使用的技术是云计算（48％）、大数据和分析（40％）以及业务流程建模（BPM）工具（38％）。尽管RPA可以在没有人工参与的情况下自动执行重复性手动任务，来降低成本和提高准确性，但只有29％的受访者表示他们的机构目前正在使用。RPA的使用在风险数据（25％）、风险报告（21％）和监管报告（20％）方面最为常见。

尽管采用率目前相当低，但受访者认为新兴技术将在许多领域带来非常大的效益或巨大效益，例如提高运营效率/降低错误率（68％）、加强风险分析和检测（67％）、及时改进报告（60％）。

解决三道防线风险治理模式中的挑战

几乎所有机构（97％）都报告使用了三道防线风险治理模型，但表示他们面临重大挑战。而三道防线主要组成包括：

第1道：业务部门自行管理风险

第2道：设立独立风险部门来监督和应对风险

第3道：内部审计功能验证风险和控制框架

最常被列为重要的挑战包括第1道防线（业务部门），包括定义第1道（业务）和第2道防线（风险管理）（50％）之间的角色和职责、从第1道防线（业务）获得支持（44％）、消除三道防线（38％）的重叠、在第1道防线拥有足够的技术人员（33％），还有执行第1道防线的职责（33％）。

这些挑战跟我们与金融机构的经验一致，因为许多人已经或正在分清第一道防线和第二道防线的作用，努力提高三道防线模型的效率。

越来越依赖压力测试

几乎所有机构都报告使用资本（90％）和流动性（87％）压力测试，并且更加依赖这类测试。

资本压力测试更多被董事会和管理层当成关键工具来使用，而相比去年的调查，更多的受访者表示他们在许多领域使用资本压力测试包括：向董事会报告（从去年的46％升高到64％）、向高级管理层报告（从去年的49％升高到61％）、定义/更新风险资本容量要求（从去年的24％升高到47％），以及战略和业务规划（从去年的26％升高到38％）。

流动性压力测试也在以下几个方面得到更广泛的应用：评估流动性是否充足性（从去年的39％升高到57％，高于）、满足监管要求和预期（从去年的52％升高到65％），并设定流动性限制（从去年的44％升高到56％）。

加强董事会监督

调查结果反应了监管变化步伐放缓，只有28％的受访者表示，跟两年前相比，他们的董事会在风险管理上投入的时间更多，相比上次调查的44％有所下降。

许多机构也跟董事会监督的主要做法一样，61％的受访者表示风险监督的主要责任在于董事会的风险委员会，70％的人表示风险委员会完全（35％）或多数（35％）由独立董事组成，而84％的人表示委员会由独立董事担任主席。

广泛设立CRO职位

在调查过程中，设立CRO职位的潮流继续扩大，95％的机构现在都设立了CRO。但是，CRO报告需要提交到首席执行官和董事会来看，这个职位仍有改进的空间。

四分之一的受访者表示他们的CRO没有向CEO提交报告，大约一半的受访者表示CRO没有向董事会或董事会委员会提交报告。

企业风险管理的采用率不断提高

83％的受访者表示，他们的机构实施了ERM计划，比之前调查的73％更高，还有9％表示他们正在实施ERM计划。

除了解决上述数据和IT系统问题之外，受访者认为，业务部门与风险管理职能部门之间的协作（66%）、管理不断增加的监管要求和期望（61％），以及在整个企业中建立和嵌入风险文化（55％）是机构企业风险管理计划中具有极高优先级的问题。