行业研究公司研究宏观策略财报招股书会议纪要 seedance2.0 低空经济 DeepSeek AIGC 大模型

BCBS 239 2.0 复苏：加强风险管理和决策

信息技术 2024-12-06 麦肯锡我是传奇

主要内容与关键数据总结

1. 背景与挑战

标准背景: 2013年发布的BCBS 239旨在通过改进风险数据聚合和内部风险管理增强银行的风险管理能力。
合规期限: 全球系统重要性银行(G-SIBs)的强制合规期限为2016年1月，国内系统重要性银行(D-SIBs)则要求在其被指定为重要性银行后的三年内完成合规。
进展报告: 2013年至2023年间共发布七份报告，但大多数银行仍难以实现完全合规。

2. 监管压力与进展

欧洲与美国:
- 欧洲: 欧洲央行(European Central Bank, ECB)在其2023年12月和2024年5月的报告中指出银行监督存在的风险数据聚合和风险管理报告(RDARR)缺陷。
- 美国: 银行面临美国货币监理署(Office of the Comptroller of the Currency)和联邦储备委员会(Federal Reserve Board)的审查，包括管理监督评估(MRIs)、管理监督报告(MRs)，以及在严重情况下可能会受到合规协议的约束。
合规情况: 只有两家G-SIBs完全遵守标准，一些原先合规的银行已经被降级。

3. 成功指导原则

五个核心信念:
1. 将BCBS 239旅程视为一个商业影响故事。
2. 优先考虑关键信息并逐步扩展范围。
3. 寻找机会加速执行。
4. 确保董事会承担全部责任。
5. 与监管机构建立可见性和信任。
十个关键教训:
1. 设定现实目标并通过增量支出交付。
2. 平衡短期和长期计划。
3. 拥抱清晰的数据域框架。
4. 确保董事会承担全部责任。
5. 吸引和授权关键人才。
6. 实施设计原则。
7. 平衡监管和业务数据要求。
8. 确保企业也负责。
9. 花时间来构建和确定优先级。
10. 实施设计原则。

4. 实施建议

数据血缘关系: 映射数据从源头到消费点的数据血缘关系，评估现有数据控制措施的有效性。
数据治理框架: 实施全面的数据治理框架，确保最低限度的预防性、检测性和响应性的数据管理措施。
透明沟通: 以高度结构化的方式进行沟通，定期提供全面的进度报告。
工具与技术: 利用生成式AI等工具提高数据质量和合规性。

5. 结论

银行在BCBS 239合规旅程中面临的挑战和机遇并存，需要采取结构性且由高层领导推动的方法。
通过合理规划和有效执行，银行可以将合规要求转化为竞争优势，实现更高效的数字化转型和风险管理。

风险与弹性实践BCBS 239 2.0 复苏：加强风险管理和决策重新关注2013年数据风险管理监管标准带来了欧洲和美国银行的新挑战和机遇。实现合规将需要一种结构化且由高层领导推动的方法。这篇文章由Asin Tavakoli、Holger Harreis、Kayvaun Rowshankish和Stephen Reddin与CécilePrinsen、Elias Tsoukatos和Satyajit Parekh共同撰写，代表了麦肯锡风险管理与韧性实践部门的观点。巴塞尔银行监管委员会报告——在2013年至2023年间发布的七份报告——提供了额外的监管指导。第六份报告于2020年4月发布，呼吁将执法过渡到地方监管部门，随后大约暂停了三年时间。然而，这一暂停期间，银行实际上面临着日益增大的压力，以满足地方监管部门的期望。在欧洲，这包括欧洲央行（ECB）的函件、P2R附加条款和罚款。在美国，银行则面临美国货币监理署（Office of the Comptroller of the Currency）和联邦储备委员会（Federal Reserve Board）的审查，包括MRIs（管理监督评估）、MRs（管理监督报告），以及在严重情况下可能会受到合规协议的约束。（BCBS）在2013年发布了标准239（BCBS 239），距今近十多年，旨在通过改进风险数据聚合和内部风险管理来增强银行的风险管理能力。全球系统重要性银行（G-SIBs）的强制合规期限为近九年之前的2016年1月。对于国内系统重要性银行（D-SIBs），则要求在其被指定为重要性银行后的三年内完成合规。然而，许多机构仍难以实现完全合规；与此同时，监管机构正在重新关注，并采取更加有力的措施。监管范围也在扩大，包括对二级和三级机构的关注。评估也在各个领域（包括政策、能力和报告）变得更加深入和详细。在欧洲，这些措施表现为现场检查（OSI）、针对重点领域的目标审查，以及与监管报告相关的数据质量评估。这些行动通常会导致重大处罚，包括以欧洲中央银行（ECB）信函、支柱2要求（P2R）附加项、业务活动限制和罚款等形式传达的发现结果。在美国，评估涉及对银行数据管理实践的审查，以及对相关领域的评估，如监管报告、处置和恢复计划，以及特定报告审查（例如复杂机构流动性监控报告，或FR 2052a）。这些评估可能导致需要立即关注的事项（MRAs）和需要关注的事项（MRIs），在最严重的情况下，可能会导致同意令。在欧洲和美国，除了直接的处罚之外，还会有连锁的间接财务后果，例如在风险建模中增加保守性加码，例如内部评级法（IRB）模型中的保守性边际（MOC）。这一压力在2023年11月发布的最新报告中显著加剧，该报告强调了缺乏实质性进展，并对银行及其监管机构提出了重大期望。报告指出，BCBS 239计划资金不足且未得到高级领导层的关注，标准的重要性在能力提升方面也未得到充分认可。此外，报告还指出，在诸如巴塞尔IV/3.1等关键项目中未能将标准嵌入其中，导致进展缓慢。报告认为，一些银行采取了“一口吞下大海”的方法，缺乏对要求的优先级排序，并且在实施范围上存在失误。技术因素，包括由遗留系统造成的分散的IT生态系统，进一步增加了这一挑战。除了BCBS 239进展报告外，监管机构还注意到了相关问题。欧洲央行（ECB）在其2023年12月关于2024-26年监督优先事项的报告中指出了银行监督中存在的风险数据聚合和风险管理报告（RDARR）缺陷。同样，在2024年5月的报告中，欧洲央行也提到了类似的问题。有效风险数据汇总和风险报告指南(指南) 传达了多种指导信息，包括强调基本数据治理的重要性以确保金融机构发布的数字和报告具有可信度，明确界定各种维度下构成关键风险和财务信息的内容，优先考虑端到端的自动化血缘关系，并积极让高层管理参与其中。指南也首次提供了全面的实际实用指导，涵盖七个领域，确保没有疏漏。重新呼吁采取行动根据国际清算银行的数据，在31家全球系统重要性银行（G-SIBs）中，只有两家完全遵守了标准；此外，一些原先合规的银行已经被降级。一系列进展成功的指导原则采取措施剥离因风险度量及时性不足而设置的过度对冲和资本缓冲，或在保持风险建模划定边界的情况下减少保守性余量。我们意识到在有效管理风险相关数据时遇到的障碍。根据最新的BCBS 239进展报告，我们已经识别出了一系列需要解决的关键挑战。这些挑战包括让具有不同优先级和视角的组织合作、在数据遍布整个银行的背景下进行彻底的根本原因分析以识别数据问题，并使现有的激励结构与促进强大的数据管理文化相一致。我们有五个核心信念以及十个关键教训（详见侧栏“成功蓝图”），关于银行业机构如何在BCBS 239方面调整其思维方式。通过找到正确的标准态度，金融机构可以更好地采取有意义的行动。将这五个指导原则视为有效策略蓝图的基础，并将其作为蓝图的一部分，旨在为董事会和高级管理层提供频繁的进度报告，以增强可见性。 2. 从一开始就采取降低风险的方法领导者应当识别并优先考虑关键信息，首先针对这些领域采取措施以立即缓解最显著的风险。在优先确定范围后，可以从广度和深度两个方面进行扩展。例如，银行可以首先从选定的关键监管报告和管理指标入手，重点关注数据质量控制以及在聚合过程中高风险区域减少手动干预。随后，在适当的时间，优先范围可以扩展到涵盖更广泛的报告和指标，并在整个聚合过程中的更多点上实施数据质量控制。简而言之，这种方法涉及将范围分解为可管理的规模，并允许对关键输出的风险减少进行测量。 1. 从一开始就使其成为业务影响故事我们的经验表明，可以通过确保从项目开始就实现风险和金融的合作，并要求相关领域识别对其最为关键的信息来实现这一点。这些信息随后可以按照共同维度（如指标、关键数据元素[CDE]和基于中央指导方针的报告）进行传达。还应关注在指标之间共享/重用CDEs，以防止人口不必要的增长。它至关重要——并且真正有益——从一开始就将BCBS 239旅程视为一个商业影响故事。这意味着首席财务官（CFO）、首席信息官（CIO）和首席风险官（CRO）应积极地让业务领导者参与其中，并将努力与超出合规要求的具体商业目标联系起来。领导者应当突出及时数据和简化计算流程所带来的机遇，并优先考虑这些领域。改进的基础和交易数据可以解锁新的商业化机会。此外，改进的模型可解释性可以减轻监管审查的影响。领导者应当形成一种视角，关注如何将举措与现有的商业相关努力和项目进行关联和整合。 3. 寻找机会加速执行领导者应寻找机会加快执行第2条原则中描述的方法。生成式AI（gen AI）工具可以显著加速数据合规和开发工作。实际上，领先的企业正在大规模部署gen AI以解决数据质量问题，并超越基于规则的供应商产品，从而通过提高生产效率创造重大价值。我们的经验表明，这种做法的实际实施需要在一开始就采访企业领导人以识别主要的数据相关痛点并优先考虑相应的整改。这可能包括成功的蓝图第四课：确保董事会承担全部责任。确保激励方案（例如，奖金和薪酬）与目标的实现挂钩，并且成员具备或积累足够的知识和经验以应对风险数据聚合和风险管理报告相关话题（即，数据管理、信息技术、风险）。 5 个指导原则并发业务目标，如收入增长、客户满意度和运营效率。我们前面提到的作为基础，我们可以提出十个关键的经验教训，为一个成功的 BCBS 239 方法。第 8 课：拥抱一个清晰的数据域框架。使用数据领域框架作为组织数据的结构，包括授权来源、控制措施和负责所有者等元素。此外，建立严格的领域管理规则（例如，与账簿进行核对）和审慎的流程来优先推进各个领域的实施。第 1 课：确保企业也负责。创建信息——从最高层开始，明确业务也需要承担责任；此外，领导者应加强首席信息官（CIO）在资金决策中的角色，以确保与数据项目目标保持一致。第 5 课：与监管机构建立可见性和信任。透明度对于高级管理层而言不仅是必要的，对于银行与监管机构之间的关系也同样至关重要。通过沟通优先级和实施能力的方法来建立信任；同时，构建一种结构化的方法以定期报告进展情况。第 2 课：设定现实的目标，并通过增量支出附加组件交付。意识到在满足要求方面“必需项”与“可选项”的区别，并明确优先级，首先确保满足最低要求。尽可能地将优先级要求添加到现有的风险数据干预组合中，并适当增加预算。第九课：实施设计原则。要在改变运营方式方面取得成功，必须遵循设计原则。这些原则可能禁止单方面决策，例如，或者规定前台必须与其他职能部门使用相同的数据集。第六课：吸引和授权关键人才。配置具有适当技能、知识和经验的人来有效协调流程。例如，一位与关键风险数据相关的监管优先事项和项目保持密切联系的首席风险官（CRO），以及一位对业务数据有详细了解的首席数据官，都处于有利位置，能够推动成功。第 10 课：花时间来构建和确定优先级。制定风险管理与金融数据的整体蓝图，并按优先级分组高效地交付这些需求。第 3 课：平衡短期和长期计划。建立一个项目计划，使CFO、CIO或首席风险官（CRO）能够展示短期进展（例如，解决积压数据问题和影响监管资本模型的关键数据问题），同时开始长期努力，如采用新的端到端血统工具解决方案。第 7 课：平衡监管和业务数据要求。保持理解，虽然必须解决紧急的监管要求，但数据也必须支持我们观察到，作为起点，银行可以从有助于自动化数据血缘关系和透明度努力的工具中受益，以确保基本的合规水平。这种方法还将使银行能够清晰地了解其数据中的差距和问题。有了这些措施，银行可以采取针对性行动来解决数据问题。接下来，银行应考虑整个数据开发生命周期，以了解不同类型的数据需求和挑战。所需的各种工具和干预措施。例如，生成式人工智能（Gen AI）工具可以在数据治理阶段帮助集成数据隐私和保护解决方案。银行应考虑试验一系列工具以构建可部署的数据质量工作流——不仅关注哪些工具最能支持其开发需求，还关注哪些工具可以在更大规模下实现这一目标。沿端到端数据沿袭的关键数据的纠正数据质量控制要求。 4. 使用目标体系结构和操作模型在源处进行补救，以指导流程银行应尽可能在数据生命周期的上游修复数据，理想情况下，在数据源生成的点进行修复。理想状态下，它们应向依赖有限数量的授权配置点（APPs）或权威数据源（ADSs）的目标数据架构过渡。在数据处理早期实施一套强大的数据控制措施，最好是自动化和预防性的，对于下游消费者确保数据质量至关重要。严格强制使用APPs和ADSs以确保高质量数据源自最少的系统是非常重要的。如果现有数据源无法满足消费者需求，应对其进行升级，而不是创建新的冗余来源，因为这将需要额外的控制和治理来维持数据质量。 5. 在监管对话中保持透明和全面银行应保持与监管机构较强的前瞻性与透明度，确保监管机构将银行和BCBS 239计划视为开放性和前瞻性的一面旗帜。为了传达强大的控制感和监督感，重要的是以高度结构化的方式进行沟通，定期提供全面的进度报告，涵盖当前状态和即将开展的举措。尽可能地，银行应自主实施举措而非等待监管推动。这种做法将使银行能够自行设定节奏。在我们的经验中，这涉及早期沟通项目的范围以及愿景、雄心水平和执行方法（例如，决定首先对所有基础方面进行全面的横向修复，还是采用基于冲刺的方法）。之后，这还包括构建并利用结构化的模板来传达当前状态（例如，关键指标方面的差距）和即将开展的举措；同样地，这也包括定期报告进度和瓶颈。在可能的情况下，银行应以整合的方式向监管机构通报相关信息，例如将BCBS 239相关的举措和承诺作为巴塞尔IV/3.1计划的一部分进行沟通。经验告诉我们，大多数数据质量问题源于数据源中的上游系统以及数据的消费点。为解决这一问题，银行可以在其数据运营模型中映射数据从源头到消费点的数据血缘关系，从而评估现有的数据

点击免费查看完整报告