2022年十大监管挑战：防范多米诺骨牌效应

十大监管挑战 防范多米诺骨牌效应 我非常高兴代表毕马威监管洞察中心发布《2022 年十大监管挑战》。我们预计监管“边界”将不断扩大，监管期望亦将迅速上升（无论是否推出新规）。以下十大方面将构成监管挑战，监管和执法活动将显著增加，金融服务公司应为此做好准备： 气候与可持续发展 如果您希望更详细地了解本报告聚焦的问题和行动，或讨论贵公司面临的独特挑战，欢迎随时与我们联系。 鉴于投资者需求、公众意识、社会动荡以及政府当局的首要任务和指令等因素，监管机构重点关注与消费者和投资者保护有关的监督和执法议题，并将公平条款的适用范围扩大到所有消费者触点。 将公平考虑因素嵌入整个客户旅程，涵盖产品/服务设计、营销/广告、信息披露、服务和客户互动（包括投诉管理），并将公平列为优先事项。 公平概念不再局限于贷款条件和产品的公平，而是涵盖所有渠道和触点。 实施集中化流程，并简化所有面向客户的沟通。 无论以何种形式或渠道，沟通应该清晰、准确、完整，披露充分信息，确保消费者了解相关信息、备选方案和/或利益冲突。 加强投诉管理流程、技术和数据分析；汇总问题，发现根源，并部署简单有效的响应措施。 在监管机构评估企业合规管理体系时，投诉管理是必不可少的方面，因为它可能预示着潜在新风险、管理或结构缺陷、第三方供应商问题，或说明企业存在反复出现的问题或需要对产品或服务进行改进。 设定清晰且可衡量的多元化、公平和共融目标；制定指标用于衡量和监测进度，并将其纳入管理层工作目标。 公众要求金融服务机构促进种族平等和共融的呼声越来越大，这与投资者需求、公众意识、社会动荡以及政府当局的优先事项和指令相一致。金融机构面临的压力势必将会越来越大。 在投资者的巨大需求以及各种自愿披露框架推动下，金融服务公司正在采取行动，计量、监测和缓释气候相关金融风险。监管机构在这方面的期望发生了翻天覆地的变化。这种趋势将持续至2022年，监管机构的管辖权限亦将扩大。联邦金融机构必须制定并执行相关战略，以量化、披露和缓释气候变化对公共和私人资产造成的财务风险。政府政策目标是推动金融机构以“清晰、一致、准确、易于理解且可比较的方式披露气候相关金融风险”，并“采取行动减轻风险及其驱动因素，同时考虑如何解决气候相关金融风险对弱势群体和有色人种社区的不同影响。” 妥善管理所有气候和可持续发展报告（财务和非财务）的编制和发布以及已披露的指标和衡量标准，确保一致性。 如果没有建立有效的气候治理结构，企业可能难以在气候风险的基础上做出战略决策，管理气候相关风险，制定和跟踪气候相关指标和目标。气候风险问题同时带来财务风险和机遇；良好的企业治理应该包括有效的气候治理。然而，对许多企业而言，气候相关金融风险是一个错综复杂的问题，需要应对科学、宏观经济和政策方面的不确定性，时间跨度大，而且可能超出董事会的职权范围。 制定定性和定量指标和目标；确保业务部门、风险职能和管理层对报告整合和ESG绩效负责。 在投资者等利益相关者呼吁企业提升报告可比性和标准化的背景下，随着企业纷纷承诺实现气候相关目标，并积极行动提供指标和信息披露的基础数据，气候相关财务报告正在迅速演变。在短期内，虽然美国监管机构正在制定更详细的规定，但目前已有多个（自愿）报告框架可以为企业制定指标和目标提供指引。 制定初步气候和可持续发展假设和模型，包括气候情景和/或压力测试（与辖区以及全球范围内的义务保持一致）。 尽管美国监管机构尚未就气候相关情景分析或压力测试提出正式要求，但毫无疑问的是，它们希望金融机构建立适当的制度来识别、衡量、控制和监测重大风险（包括气候风险）。在全球范围内，气候情景分析正在成为评估气候相关风险对金融机构和金融稳定影响的重要工具。 探讨气候风险导致严重影响的可能性，覆盖不同客户/社区和/或地域和行业；将结果纳入战略、运营和风险管理。 气候风险相关影响以及各方为遏制此类影响所做的努力（例如推进净零排放目标和气候韧性投资）可能导致目前的弱势群体/地区面临的处境恶化。实体风险事件（例如，洪水、火灾、风暴或海平面上升）在地理上较为集中，可能产生溢出效应，导致弱势群体、企业和市政当局的负担增加（例如保费飙升）；房地产和基础设施的价值和使用价值下降；以及投资者离场。转型风险（例如政策变化、消费者行为偏好）可能会引发突然的重新定价，并导致资产搁浅和价值受损。 政策制定者、监管机构、金融机构和行业团体正在探索各种选项，例如： —将“气候公平”和“气候公正”纳入关于气候风险（物理风险和转型风险）影响的讨论之中。企业应开发模型和指标来计量此类举措的影响（积极和消极），并制定应对策略。 —在满足 LMI 社区的信贷和发展需求的同时，调整 CRA 以纳入和鼓励支持气候韧性的活动（纽约金融服务局针对国有机构采用这一规则）。 —将气候相关金融风险纳入承保标准、贷款条款和条件以及联邦贷款政策和计划的资产管理和服务程序。 —与州级保险监管机构合作，研究在特别容易受气候事件影响的地区私人保险承保范围发生“重大中断”的可能性。 随着投资者、企业以及部分央行使用加密和数字资产，表明零售和机构层面对数字资产的兴趣日益浓厚，围绕加密和数字资产的监管活动正在加强。在市场扩张的同时，美国的监管格局正在发生变化。为了明确监管法规，州和联邦监管机构和立法者正在审议不同的方案。重要问题包括特许、许可、欺诈和金融犯罪风险，以及消费者和投资者保护。 制定企业/产品能力评估以及风险合规策略，以适当方式许可、发行和/或使用数字资产。 当前，加密和数字资产监管格局高度碎片化，且正在快速演变。视资产结构以及相关事实和情况的不同，联邦和/或州级层面可能有多个监管机构对交易拥有管辖权。随着市场的发展，监管空白和重叠亦随之产生；加密科技公司正在接入传统金融体系，而受监管的银行正在构建加密基础设施（例如托管服务）。确立适当的监管制度（包括发放牌照和特许证的政府机构），可能需要法律变更，而这又可能改变相关市场。 建立/加强与数字资产和支付相关的内部风险政策、程序和控制。 监管机构聚焦消费者和投资者保护，审视广泛的风险领域，包括欺诈、网络安全、数据隐私、不当行为、结算、流动性、市场诚信、市场波动、透明度和洗钱/恐怖主义融资。执法环境同样复杂，部分原因是政府当局高度重视应对网络安全风险。值得注意的是，美国司法部成立了全国加密货币执法小组，对滥用加密货币的犯罪行为进行调查和执法；SEC 和 CFTC 继续在各自的管辖范围内积极开展执法行动。 编制实操性和相关性高的数字资产信息，并向董事会汇报。 监管机构希望董事会在充分的信息（范围、细节和分析均应充分）基础上，为企业战略和风险偏好设定一致、清晰的方向，以实现稳健决策并考虑潜在风险。 科技的迅猛发展、数字银行活动的增加、数据收集的日趋复杂以及社交媒体影响力的不断上升，正在以空前的方式重塑金融服务行业格局。我们正处于前所未有的时代，随着新冠疫情引发的社会与经济变化持续发酵，企业积极行动加速提升消费者体验——与数据安全、欺诈和利益冲突相关的新风险随之萌生。 设计合规的数字平台，并嵌入可验证且可计量的客户体验、访问、公平和共融原则和指标。 数字化提高了消费者对核心金融服务（包括支付、储蓄、贷款和投资）便利性的期望。一般而言，他们希望企业提供功能强大、直观的个性化界面，以便随时随地通过多种互联渠道（例如在线、移动、电话、线下）进行交易。作为标杆，社交媒体设定了消费者对个性化体验的期望。拥有大量数据的金融科技公司和大型科技公司正致力于在金融服务中满足消费者的期望。 在工作流程中的关键数据交接时，确保在数字平台和监督机制之间建立数据质量和完整性控制，以最大限度地提高市场行为监督的完整性。 评估利益冲突和市场行为风险，做出必要的改变，并积极监督和采取缓释措施。 长期存在以及部分新形成的市场惯例，目前正在面临更严格的审查，因为此类惯例可能导致经纪自营商、交易所和批发商存在利益冲突，并可能使投资者遭受不公正的市场行为。 监管机构高度重视投资者保护和利益冲突，将确保以下方面受到持续关注（详情请见下一页内容）： 金融服务监管机构将网络风险视为威胁金融稳定的首要风险——而政府当局则称网络风险为难以消除且日益复杂的威胁，对政府机构和金融服务企业均造成沉重压力。鉴于金融服务行业内部高度关联且依赖关键第三方服务提供商，金融体系的所有参与者都必须考虑网络威胁的频率和影响，实施相应的风险缓释和运营韧性计划。当前或新兴的威胁包括恶意软件（例如勒索软件）、供应链风险和复杂的分布式拒绝服务攻击（DDOS）。 改进客户和企业身份和访问权限管理方案，确保针对最新的帐户接管威胁采取适当的预防措施。 数据传输方式日益复杂，拓宽了金融服务公司资产和消费者数据的入口点，增加了恶意行为者的攻击类型。如果访问权限管理和身份验证控制薄弱，网络攻击者就有机会利用泄露的登陆信息访问机密资源和数据。 精心设计，使用自动化技术让有限的网络安全资源发挥最大效用，提升响应速度。 法律和监管合规要求日益提高，导致合规风险复杂化，成为推动企业增强网络安全能力的关键因素。通过结合安全设计、自动化和响应(SOAR) 工具，企业能从多个来源收集安全威胁数据，通过有限的人工交互启动响应，并协调事后报告和信息共享。优势包括检测和反应更快；适用的威胁情景更广；数据管理保护措施集成化；以及成本更低——这有助于企业在 2022 年应对监管机构对网络和数据问题的关注，包括（详情请见下一页内容）： 通过嵌入“隐私设计”和实现数据保护自动化，（在数据管理生命周期中）识别、管理和保护企业信息资产。 企业正在收集越来越多的客户数据，用于开展预测分析、实现营销活动个性化以及推出/改进产品和服务。大多数消费者日益关注企业收集、使用和保护消费者个人信息的方式——这促使监管机构聚焦客户数据隐私和保护。“隐私设计”原则以防止隐私漏洞为目标，通过将隐私嵌入新应用程序（包括 IT 系统、人工智能平台和数字业务管理）的设计、操作和管理中，为稳健的数据保护设定基准。 随着监管机构重视创新方法（例如机器学习、增强型数据分析），采用创新技术来提高欺诈和金融犯罪风险管理的有效性，已势在必行。从网络安全到勒索软件，从加密货币到身份盗窃，层出不穷的威胁风险均是由技术驱动。政府当局已将许多此类问题列为重大国家安全问题，调动整个政府协同应对；重点关注的新兴领域涉及透明度和 ESG。 将自动化和分析技术整合纳入客户引导和维护流程，降低合成身份欺诈风险。 合成身份欺诈 (SIF) 是美国增长最快的金融犯罪之一。与传统的身份盗窃相比，合成身份欺诈同时使用真实和伪造信息，创建新身份，在一段时间内建立信用档案——因此，仅使用传统欺诈检测模型难以发现可疑活动。联邦储备委员会 (FRB) 指出了减轻合成身份欺诈风险的方法。 淘汰过时的身份验证技术，加强防御实时支付中的帐户接管和社会工程攻击。 快捷实时支付缩短了金融交易清算时间，增加了安全和欺诈风险的可能性，企业因此更加需要利用最新的敏捷安全和欺诈检测程序，包括身份验证和访问协议。需要重点防范的欺诈可能包括在线欺诈（例如恶意软件、网络钓鱼）、第一方欺诈（例如合成身份欺诈）和虚假声明。 建立成熟的内部人员风险计划（包括行为模型和情景分析），降低员工行为和金融犯罪风险（包括声誉损害、间谍活动、贪污挪用、市场和价格操纵）。 内部威胁因技术和人为风险结合而产生。在数字环境中，内部攻击可能导致金融和知识产权盗窃、资产受损以及企业范围内的内部系统和客户运营中断。然而，由于内部人员熟悉企业系统并在访问时受到信任，因此难以预防和检测；需要人工参与分析，发挥人类的智慧来解释技术数据（例如，来自网络安全工具的数据）并识别异常内部行为。内部人员的范围应涵盖董事、员工、承包商和第三方。 随着监管重点领域不断变化，加强相关控制。 FinCEN于 2021 年 6 月发布了政府范围内与反洗钱/打击恐怖融资有关的首要任务，包括腐败；网络犯罪（包括网络安全和虚