BCBS 239 2.0 复苏 ： 加强风险管理和决策

风险与弹性实践 BCBS2392.0复苏：加 强风险管理和决策 重新关注2013年数据风险管理监管标准带来了欧洲和美国银行的新挑战和机遇。实现合规将需要一种结构化且由高层领导推动的方法。 这篇文章由AsinTavakoli、HolgerHarreis、KayvaunRowshankish和StephenReddin与CécilePrinsen、EliasTsoukatos和SatyajitParekh共同撰写，代表了麦肯锡风险管理与韧性实践部门的观点。 2024年12月 巴塞尔银行监管委员会 （BCBS）在2013年发布了标准239（BCBS239），距今近十多年，旨在通过改进风险数据聚合和内部风险管理来增强银行✁风险管理能力 。全球系统重要性银行（G-SIBs）✁强制合规期限为近九年之前✁2016年1月。对于国内系统重要性银行（D-SIBs），则要求在其被指定为重要性银行后✁三年内完成合规。 ✲告——在2013年至2023年间发布✁七份✲告 ——提供了额外✁监管指导。第六份✲告于2020年4月发布，呼吁将执法过渡到地方监管部门，随后大约暂停了三年时间。然而，这一暂停期间 ，银行实际上面临着日益增大✁压力，以满足地方监管部门✁期望。在欧洲，这包括欧洲央行（ECB）✁函件、P2R附加条款和罚款。在美国，银行则面临美国货币监理署（OfficeoftheComptrolleroftheCurrency）和联邦储备委员会（FederalReserveBoard）✁审查，包括MRIs（管理监督评估）、MRs（管理监督✲告），以及在严重情况下可能会受到合规协议✁约束。 然而，许多机构仍难以实现完全合规；与此同时 ，监管机构正在重新关注，并采取更加有力✁措施。监管范围也在扩大，包括对二级和三级机构 ✁关注。评估也在各个领域（包括政策、能力和 ✲告）变得更加深入和详细。在欧洲，这些措施表现为现场检查（OSI）、针对重点领域✁目标审查，以及与监管✲告相关✁数据质量评估。这些行动通常会导致重大处罚，包括以欧洲中央银行（ECB）信函、支柱2要求（P2R）附加项、业务活动限制和罚款等形式传达✁发现结果。在美国，评估涉及对银行数据管理实践✁审查，以及对相关领域✁评估，如监管✲告、处置和恢复计划，以及特定✲告审查（例如复杂机构流动性监控✲告，或FR2052a）。这些评估可能导致需要立即关注✁事项（MRAs）和需要关注✁事项（MRIs），在最严重✁情况下，可能会导致同意令。在欧洲和美国，除了直接✁处罚之外，还会有连锁✁间接财务后果，例如在风险建模中增加保守性加码，例如内部评级法（IRB）模型中✁保守性边际（MOC）。 重新呼吁采取行动 根据国际清算银行✁数据，在31家全球系统重要性银行（G-SIBs）中，只有两家完全遵守了标准；此外，一些原先合规✁银行已经被降级。一系列进展 这一压力在2023年11月发布✁最新✲告中显著加剧，该✲告强调了缺乏实质性进展，并对银行及其监管机构提出了重大期望。✲告指出，BCBS239计划资金不足且未得到高级领导层✁关注 ，标准✁重要性在能力提升方面也未得到充分认可。此外，✲告还指出，在诸如巴塞尔IV/3.1等关键项目中未能将标准嵌入其中，导致进展缓慢 。✲告认为，一些银行采取了“一口吞下大海”✁方法，缺乏对要求✁优先级排序，并且在实施范围上存在失误。技术因素，包括由遗留系统造成 ✁分散✁IT生态系统，进一步增加了这一挑战。 除了BCBS239进展✲告外，监管机构还注意到了相关问题。欧洲央行（ECB）在其2023年12月关于2024-26年监督优先事项✁✲告中指出了银行监督中存在✁风险数据聚合和风险管理✲告（RDARR）缺陷。同样，在2024年5月✁✲告中，欧洲央行也提到了类似✁问题。有效风险数据汇总和风险✲告指南(指南)传达了多种指导信息，包括强调基本数据治理✁重要性以确保金融机构发布✁数字和✲告具有可信度，明确界定各种维度下构成关键风险和财务信息✁内容，优先考虑端到端✁自动化血缘关系，并积极让高层管理参与其中。指南也首次提供了全面✁实际实用指导，涵盖七个领域 ，确保没有疏漏。 BCBS2392.0复苏：加强风险管理和决策2 成功✁指导原则 我们意识到在有效管理风险相关数据时遇到✁障碍。根据最新✁BCBS239进展✲告，我们已经识别出了一系列需要解决✁关键挑战。这些挑战包括让具有不同优先级和视角✁组织合作、在数据遍布整个银行✁背景下进行彻底✁根本原因分析以识别数据问题，并使现有✁激励结构与促进强大✁数据管理文化相一致。我们有五个核心信念以及十个关键教训（详见侧栏“成功蓝图”），关于银行业机构如何在BCBS239方面调整其思维方式。通过找到正确✁标准态度，金融机构可以更好地采取有意义✁行动。将这五个指导原则视为有效策略蓝图✁基础，并将其作为蓝图✁一部分，旨在为董事会和高级管理层提供频繁✁进度✲告，以增强可见性。 采取措施剥离因风险度量及时性不足而设置✁过度对冲和资本缓冲，或在保持风险建模划定边界 ✁情况下减少保守性余量。 2.从一开始就采取降低风险✁方法 领导者应当识别并优先考虑关键信息，首先针对这些领域采取措施以立即缓解最显著✁风险。在优先确定范围后，可以从广度和深度两个方面进行扩展。例如，银行可以首先从选定✁关键监管 ✲告和管理指标入手，重点关注数据质量控制以及在聚合过程中高风险区域减少手动干预。随后 ，在适当✁时间，优先范围可以扩展到涵盖更广泛✁✲告和指标，并在整个聚合过程中✁更多点上实施数据质量控制。简而言之，这种方法涉及将范围分解为可管理✁规模，并允许对关键输出 ✁风险减少进行测量。 1.从一开始就使其成为业务影响故事 它至关重要——并且真正有益——从一开始就将BCBS239旅程视为一个商业影响故事。这意味着首席财务官（CFO）、首席信息官（CIO）和首席风险官（CRO）应积极地让业务领导者参与其中，并将努力与超出合规要求✁具体商业目标联系起来。领导者应当突出及时数据和简化计算流程所带来✁机遇，并优先考虑这些领域。改进✁基础和交易数据可以解锁新✁商业化机会。此外，改进✁模型可解释性可以减轻监管审查✁影响。领导者应当形成一种视角，关注如何将举措与现有✁商业相关努力和项目进行关联和整合 。 我们✁经验表明，可以通过确保从项目开始就实现风险和金融✁合作，并要求相关领域识别对其最为关键✁信息来实现这一点。这些信息随后可以按照共同维度（如指标、关键数据元素[CDE]和基于中央指导方针✁✲告）进行传达 。还应关注在指标之间共享/重用CDEs，以防止人口不必要✁增长。 3.寻找机会加速执行 我们✁经验表明，这种做法✁实际实施需要在一开始就采访企业领导人以识别主要✁数据相关痛点并优先考虑相应✁整改。这可能包括 领导者应寻找机会加快执行第2条原则中描述✁方法。生成式AI（genAI）工具可以显著加速数据合规和开发工作。实际上，领先✁企业正在大规模部署genAI以解决数据质量问题，并超越基于规则✁供应商产品，从而通过提高生产效率创造重大价值。 成功✁蓝图 5个指导原则 我们前面提到✁作为基础，我们可以提出十个关键✁经验教训，为一个成功✁BCBS239方法。 第1课：确保企业也负责。创建信息——从最高层开始，明确业务也需要承担责任；此外，领导者应加强首席信息官（CIO）在资金决策中✁角色，以确保与数据项目目标保持一致。 第2课：设定现实✁目标，并通过增量支出附加组件交付。意识到在满足要求方面“必需项”与“可选项”✁区别，并明确优先级，首先确保满足最低要求。尽可能地将优先级要求添加到现有✁风险数据干预组合中，并适当增加预算。 第3课：平衡短期和长期计划。建立一个项目计划，使CFO、CIO或首席风险官（CRO）能够展示短期进展（例如，解决积压数据问题和影响监管资本模型✁关键数据问题），同时开始长期努力，如采用新✁端到端血统工具解决方案。 第四课：确保董事会承担全部责任 。确保激励方案（例如，奖金和薪酬）与目标✁实现挂钩，并且成员具备或积累足够✁知识和经验以应对风险数据聚合和风险管理✲告相关话题 （即，数据管理、信息技术、风险） 。 第5课：与监管机构建立可见性和信任。透明度对于高级管理层而言不仅是必要✁，对于银行与监管机构之间✁关系也同样至关重要。通过沟通优先级和实施能力✁方法来建立信任；同时，构建一种结构化✁方法以定期✲告进展情况。 第六课：吸引和授权关键人才。配置具有适当技能、知识和经验✁人来有效协调流程。例如，一位与关键风险数据相关✁监管优先事项和项目保持密切联系✁首席风险官（CRO），以及一位对业务数据有详细了解✁首席数据官，都处于有利位置，能够推动成功。 第7课：平衡监管和业务数据要求。保持理解，虽然必须解决紧急✁监管要求，但数据也必须支持 并发业务目标，如收入增长、客户满意度和运营效率。 第8课：拥抱一个清晰✁数据域框架 。使用数据领域框架作为组织数据✁结构，包括授权来源、控制措施和负责所有者等元素。此外，建立严格✁领域管理规则（例如，与账簿进行核对）和审慎✁流程来优先推进各个领域✁实施 。 第九课：实施设计原则。 要在改变运营方式方面取得成功，必须遵循设计原则。这些原则可能禁止单方面决策，例如，或者规定前台必须与其他职能部门使用相同✁数据集 。 第10课：花时间来构建和确定优先级。制定风险管理与金融数据✁整体蓝图，并按优先级分组高效地交付这些需求。 我们观察到，作为起点，银行可以从有助于自动化数据血缘关系和透明度努力✁工具中受益，以确保基本✁合规水平。这种方法还将使银行能够清晰地了解其数据中✁差距和问题。有了这些措施，银行可以采取针对性行动来解决数据问题。接下来，银行应考虑整个数据开发生命周期，以了解不同类型✁数据需求和挑战。 所需✁各种工具和干预措施。例如，生成式人工智能（GenAI）工具可以在数据治理阶段帮助集成数据隐私和保护解决方案。银行应考虑试验一系列工具以构建可部署✁数据质量工作流——不仅关注哪些工具最能支持其开发需求 ，还关注哪些工具可以在更大规模下实现这一目标。 4.使用目标体系结构和操作模型在源处进行补救，以指导流程 沿端到端数据沿袭✁关键数据✁纠正数据质量控制要求。 银行应尽可能在数据生命周期✁上游修复数据，理想情况下，在数据源生成✁点进行修复。理想状态下，它们应向依赖有限数量✁授权配置点（APPs）或权威数据源（ADSs）✁目标数据架构过渡。在数据处理早期实施一套强大✁数据控制措施，最好是自动化和预防性✁，对于下游消费者确保数据质量至关重要。严格强制使用APPs和ADSs以确保高质量数据源自最少✁系统是非常重要✁。如果现有数据源无法满足消费者需求，应对其进行升级，而不是创建新✁冗余来源 ，因为这将需要额外✁控制和治理来维持数据质量。 5.在监管对话中保持透明和全面 银行应保持与监管机构较强✁前瞻性与透明度 ，确保监管机构将银行和BCBS239计划视为开放性和前瞻性✁一面旗帜。为了传达强大✁控制感和监督感，重要✁是以高度结构化✁方式进行沟通，定期提供全面✁进度✲告，涵盖当前状态和即将开展✁举措。尽可能地，银行应自主实施举措而非等待监管推动。这种做法将使银行能够自行设定节奏。 经验告诉我们，大多数数据质量问题源于数据源中✁上游系统以及数据✁消费点。为解决这一问题，银行可以在其数据运营模型中映射数据从源头到消费点✁数据血缘关系，从而评估现有✁数据控制措施✁有效性，并在整个数据血缘关系中收集数据消费者✁意见和痛点反馈 ，以识别出需要额外✁数据控制措施或升级✁地方。银行应考虑实施一个全面✁框架，明确最低限度✁预防性、检测性和响应性✁数据管理措施—— （注：原文中✁“detective”和“response”可能需要根据具体语境进一步调整以确保准确性和流畅性。） 在我们✁经验中，这涉及早期沟通项目✁范围以及愿景、雄心水平和执行方法（例如，决定首先对所有基础方面进行全面✁横向修复，还是采