合规与控制2.0：通过合规和质量控制活动释放潜力

麦肯锡风险工作论文，第33期合规与控制2.0通过合规性和质量控制活动释放潜力斯蒂芬·艾伯特·伯恩哈德·巴贝尔·丹尼尔·贝克尔乔治·卡尔滕布伦纳（Georg Kaltenbrunner）托马斯·波彭西克（Thomas Poppensieker）2012年6月©版权所有2012麦肯锡公司 .内容合规与控制2.0：通过合规和质量控制活动释放潜力四步走法（方框）5麦肯锡关于风险的工作文件介绍了麦肯锡目前在风险和风险管理方面的最佳思路。这些论文代表了广泛的观点，包括针对特定部门和跨领域的观点，旨在鼓励内部和外部的讨论。可以通过其他内部或外部渠道重新发布工作文件。请致函常务编辑罗伯·麦克尼什（Rob McNish）（rob_mcnish@mckinsey.com）。 1合规与控制2.0：通过合规和质量控制活动释放潜力从外围到中心近年来，随着人们越来越意识到操作和控制失败的代价可能非常高昂，银行合规性和质量控制与高级管理人员的关系越来越密切。更高的业务复杂性带来了新的合规性挑战，而正式的法规要求则加剧了这些挑战。遵从性和控制性仅用于遵守法律和遵守法规的既定作用现在已由对遵从性要求和标准的更为广泛的综合观点所取代。遵从性要求越来越多地来自新兴行业标准，内部业务或道德准则或对声誉风险的意识；它们还源于透明度要求以及对风险和财务等关键领域的治理，流程，方法，IT或基础架构的质量和控制的质量保证。特别是，我们观察到银行业的“事后合规性失败”，即几年前被视为标准市场惯例但如今仍与合规相关的行为（例如，监管性资本减免交易）的个人责任。图表1概述了银行机构合规和控制的关键领域。此外，对于具有广泛影响力的全球机构，因此面临众多当地法律，法规，监管机构，文化差异，语言，时区等的机构而言，如今的合规与控制任务变得更加复杂。我们估计，有效的合规与控制系统所消耗的利润是10年前的三到五倍（在某些情况下甚至更多）。另一方面，由于管理透明性有限或对治理，流程或系统的质量控制不足而导致的不合规或控制失败比过去更加昂贵。董事会董事和高层管理人员面临着越来越大的人身风险和罚款。失败通常会引起媒体的高度关注，并且数十年来的辛勤工作使公司声誉遭受了巨大损失。不合规或控制失误也可能导致核心客户业务大量亏损，使高级管理人员无法专注于他们的业务运营和关注客户的任务，并导致股票市场估值下降。反过来，这可能会带来巨大的，甚至威胁生存的成本。此外，越来越多的相关要求，标准和指南对合规性提出的挑战以及日益增加的业务复杂性已经通过加强监管来放大。尤其是，国家和国际各级的各种监管机构通过发布一系列新规则并继续收紧和更全面地审核现有要求来应对金融危机。例如，美国《多德-弗兰克法案》和欧盟范围内的法规以及国家法规出台的越来越多的消费者保护法规正在产生重大影响，这对于零售银行和金融机构产生了当务之急。投资产品，以重新设计其合规性工作。尽管有很多建议，例如新的巴塞尔协议三级法规仍在讨论中，很显然，银行机构将面临更加严格和广泛的法规，以及未来的更严格的监管。同样，许多监管者和监管者也开始对特定规则和法规施加自己的解释。他们的目的是在整个行业中设定最低标准，并在某些领域中，根据监管机构的经验或看法来定义“市场最佳实践”。例如，我们观察到监管机构现在正在采用第二支柱，特别是内部资本充足性评估程序（ICAAP），以加快巴塞尔协议III设定的关键资本要求的正式时间表。这种“非正式”法规的重要性可能会继续提高。 2操作商业广告企业内部可持续发展（企业社会责任，1货物和环境）服务支持风险管理（有效风险金融，管理，会计，首都IT和数据审计，税务要求）隐私▪数据保护/网络安全，例如：–数据盗窃–电子通讯风险–管理未经授权的活动▪银行保密▪文档和数据质量，例如，跨部门/地区的数据的一致性（例如，风险与财务之间的一致性）▪IT应用管理▪银行风险要求（例如，巴塞尔协议III）–风险建模–抵押品管理，库房–市场和信用额度–资本和流动性充足–国际民航组织4 文件资料–关键流程–最高贷款价值限制▪多德-弗兰克法案–发行证券化保留率为5％–沃尔克规则：禁止自营交易▪保护具有系统重要性的机构▪增加法定存款保险▪场外交易的迁移5 中央结算的衍生产品▪需要更复杂，更独立的预警功能▪财务规定▪资本市场法▪证券/证券交易法▪审计准则-OSJ3 分公司审计▪核数师独立性▪扩展公允价值会计，引入预期损失模型▪会计要求增加•内部监控，控制，报告▪外部报告•信托义务/消费者信息共享，例如：–收费结构的透明度–虐待顾客–复杂且难以理解的产品传单–给私人客户的投资建议–强制透支信息•防止客户欺诈•跨境要求，例如：–资本/贷款的跨境流动–国家环保总局2 倡议•广告限制•帐户可移植性▪价格限制•许多新法规以及缺乏用于合规的投资组合方法：–需要优先考虑主题–计划对合规解决方案的投资需求•合规性工作导致系统效率低下；高潜在节省•反应性而非主动性塑造：–对塑造监管环境的关注不足–从成本中心到利润中心的合规管理–断开合规/法规与策略之间的联系治理，行为准则，人力资源合规重点主题合规是银行业的核心。您不能选择监管重点。若干法规主题主张了压倒性的影响，例如风险管理（例如，巴塞尔协议III，多德-弗兰克法案）以及财务和会计（例如，IFRS）6 7，《萨班斯-奥克斯利法案》。随着诸如社交网络之类的新技术和新趋势增加脆弱性以及攻击者变得越来越老练，网络安全变得越来越重要。展览1银行合规和控制的关键领域包括销售和营销，财务和会计，风险管理以及IT和数据隐私。高危中等临界中等至低临界低临界销售和行销（消费者战略采购-信息公平权利和有关竞争，所有权责任销售贿赂）关键挑战1企业社会责任。 2单欧元支付区。3监督管理办公室（美国证券交易委员会）。 4内部资本充足率评估程序。5在柜台。6国际财务报告准则。合规与控制审查：错失良机我们认为，现在是领先的全球金融机构对（预期）监管要求进行合规工作的全面评估，并详细审查核心流程，治理和基础架构的质量控制的时候了。这些举措的成功将对未来的绩效产生重要影响，因为新要求的实施和质量控制要求越来越多的管理人员和银行资源分享。银行应将这次审查视为一个机会，以便为员工阐明明确的期望和行为准则，并确定向客户提供的产品和服务的质量和完整性。我们认为，采用卓越方法的机构可以将这项投资转化为可持续和强大的竞争优势。但是，对增加监管或对错误行为的直率反应往往是引入更多的官僚作风-另一套“基本”的操作清单，或者更糟的是，另一层控制导致整个组织职能的重复。纯粹旨在满足要求而不是法规精神的合规性和质量控制将无法做出旨在增强银行机构和整个行业的实质性改进。不详尽 3合规与控制2.0：通过合规和质量控制活动释放潜力我们称其为“盲目遵守和控制”；令人不安的是，最近的观察表明，这一趋势似乎正在上升。这种形式的合规性和质量控制的特点是以下发展：大量重叠，结构不良，甚至不一致的规则，规定和准则，通常难以阅读或理解没有明确目的和意图的要求仅在纸上存在的要求，或者根深蒂固或在机构中应用不善的要求规则，规章和准则被视为繁文，节，分散了核心任务以及费用或税金，而不是其价值来源具有讽刺意味的是，增加政策的数量或严格性，特别是当这些政策与企业现实脱节时，实际上可能会增加风险，因为员工诉诸于滴答作响，而没有考虑规则背后的意图和违反法规的潜在危险该机构。评估某些最重要法规的材料有效性的样本测试通常会得出较差的结果。在一家大型欧洲银行中，它对预警系统有外部监管要求，并且对锻炼单位有明确的移交标准的“监视列表”流程，这些关键风险管理要素仅存在于纸面上。与竞争对手相比，该预警系统充其量只是初步的，不合格的。此外，移交标准尚未广为人知，或者被忽略。所有这些启示震惊了高级管理人员，不仅是合规性失败，而且是业务失败。在另一家大型区域性银行中，全面的自我评估发现了信用风险策略与整体业务策略之间的系统不一致，从而导致不必要的风险敞口，并带来负风险。我们最近的观察结果还表明，尽管许多风险管理部门都在努力集中精力管理和控制风险，但最终他们过度劳累以关闭审计点，实施新法规并满足临时报告要求。同样，许多银行缺乏对组织中谁真正负责合规性的基本了解。在典型的组织结构中，合规性可能是一个独立的治理部门，与内部审计和法律部门并排放置，但在操作上与风险管理职能，IT，运营以及实际上执行合规性和控制活动的其他关键领域没有业务联系，包括一线业务。就像任命首席风险官可以使非风险员工对采取风险采取更随意的态度一样与许多银行一样，拥有首席合规官也要承担风险责任，这也可能导致机构对合规与控制的看法狭窄，而未能意识到其更广泛的重要性。正如风险管理一样，合规必须成为一种机构能力，而不仅仅是组织单位。但是，我们认为，将立法者，监管者和监管者的根本意图视为确保单个银行和整个行业的可持续发展的努力，这是错误的。规则，法规和准则的精神常常反映出这些良好的意愿。但是，要使银行从整体监管中受益，至关重要的是要抓住这种精神，而不是迷失方向。质量控制也是如此。很难反对确保足够高质量的治理，流程，方法，IT或基础架构，尤其是在诸如风险管理之类的关键领域。但是如何确保这些活动最大程度地改善物质呢？如何将监管和质量控制视为促进变革和促进卓越的机会，从而最终带来可持续的竞争优势？ 4确保不可协商的合规性和控制性，无论是通过书面规则还是通过行业和内部标准我们认为，在这种背景下，现在是重新审视合规性和质量控制的时机已经成熟。在以下各节中，我们概述了机构可以用来转变其合规性和质量控制活动的新的系统方法，将这些活动定位为成为力量和可持续竞争优势的真正来源。迈向合规与控制2.0我们认为，有效的合规和控制需要明确的战略考虑，最终目标是合规和质量控制，这些合规和质量控制不仅有效，而且高效，精明，最终能够增加战略价值（图2）。要避免盲目遵守和控制的陷阱，而要专注于将完美的监管风暴转变为创造竞争优势的机会，将需要一种系统化，纪律严明且有点创新的方法。1图2Compliance and Control 2.0渴望增加战略价值。更高的愿望水平有效高效智慧战略我们的方法看似简单，在最初实施后变得更加如此。它可以有效地将合规和控制活动从分散精力的琐事转变为机会，从而以系统的方式重新定义卓越的业务。中心思想是使合规性和控制权回到基础知识，做出有意识的决定，以遵守明智的做法，规则和法规，这些规则，规章和法规是安全，稳健的商业行为的基础。该方法侧重于实质性流程和基础设施的改进，以及法规的精神而不是文字。这可以显着提高有效性和效率，以及与业务目标的智能匹配。此外，该方法为战略性地制定需求提供了理想的平台通过与行业机构，监管机构和主管进行积极的利益相关者管理，而不是等待主管下达详细要求。进行四步自我评估Compliance and Control 2.0首先全面映射了金融机构打算遵守的所有市场最佳实践以及内部和外部的法规和准则。甚至可以包括口头监管要求或监管机构，审计师或内部审计的审计结果形式的“非正式”监管。然后，管理层做出有意识的决定，并致力于该机构如何遵守。接下来是分散的自我评估，以了解该机构打算实现的目标与实现这些内部定义的目标之前已实施的目标之间的差距，并找出根本原因。1本文是更广泛的计划（合规服务线）的一部分，该服务跨行业和地域。避免通过“盲目遵从”（例如，冗余和不一致）浪费金钱，时间和精力，并将资源重新集中在材料上合规与控制以及业务改进拥抱主动管理合规和控制要求通过强大的利益相关者管理和明确关注实质性改进通过关注法规和最佳实践的精神，将法规遵从和控制作为业务发展的推动力，使法规遵从和控制与业务目标保持一致总体风险和业务绩效 5合规与控制2.0：通过合规和质量控制活动释放潜力四步走法关于这种全面的实践和法规图，以下简称为“要求”，我们已开发了一个四步方法。1.第一步是设计一个目标遵从系统，方法是逐个主题地分析需求，逐项分析以创建完全透明性，然后将其汇总为带注释的版本，以备将来使用。该过程是多管齐下的：管理层应对需求的基本原理，精神或最初意图有清晰的了解。—为什么这组要求中