灵活应对变局，重新平衡优先事项

安永与国际金融协会第十四次全球银行风险管理年度调查 目录 摘要 首席风险官在监督风险管理工作的效率和效力方面面临的压力与往年类似。为实现这一目标，首席风险官不仅要精准地管理团队，提高自身风险管理能力，还要在企业各个层面培养风险意识和文化。首席风险官应与企业各部门开展合作，深度参与企业的转型、创新和增长战略，这一需求比以往任何时候都更为迫切。 最后，我们的调查结果还揭示了不同地区、类型和规模的银行以及全球系统重要性银行（G-SIB）和非系统重要性银行在风险和转型优先事项方面的差异。某些差异相当明显，反映了不同市场的规律。换句话说，全球系统重要性银行的首席风险官面临的不仅仅是“类别相同但规模更大的问题”，而是由于大规模跨境业务所带来的特定问题和挑战。 安永全球组织与国际金融协会（IIF）在过去几年针对首席风险官（CRO）的年度全球银行风险管理调查结果发现，全球银行业正面临着具有波动性、广泛不确定性且日益加剧的金融风险和非金融风险。这一趋势在2024年度调查结果中仍然存在，且首席风险官面临的风险类型仍在增加。最严重风险似乎愈发严峻，而同时新风险持续涌现，其速度甚至超过了银行风险管理战略和战术的部署速度。 今年的调查结果显示，应对网络威胁依旧是首席风险官的首要工作事项，且更加重要。同时，地缘政治风险的优先次序大幅上升，主要金融风险的排序也重新洗牌。调查发现，地缘战略问题之所以受到首席风险官的关注，是因为该问题可能会带来广泛的影响，并进一步波及银行，从通胀加剧到运营韧性降低等。虽然传统风险类别之间的界限逐渐模糊且相互重叠，但运营韧性始终是各类风险中的一个重点关注事项。总体而言，我们的调查结果展示了首席风险官必须监控和应对的风险数量及类别。对此，我们认为银行应更加重视采取积极主动的风险管理策略，提高运营敏捷性，以便预见并规避风险，并更加灵活有效地应对风险。 我们去年的报告揭示了首席风险官在当下扮演的多种不同角色——从“火灾警戒人员”和预言家，到技术和数据专家，再到变革推动者和文化塑造者。基于今年的调查结果，我们可以肯定地说，首席风险官短期内不会卸下其中任何一项职责，尤其是在需以更具前瞻性的姿态面对更多问题和机遇的情况下。 关键要点 外部力量主导风险管理议程 今年调查结果显示，首席风险官和董事会的诸多风险优先事项存在一个共性，即它们都是由外部力量驱动的。这些外部力量包括网络威胁（目前仍是最为重要的风险优先事项）和运营韧性，这两者是首席风险官在未来一年的前两大优先事项，也是董事会识别的五大优先事项中的两项。地缘政治风险的次序在今年迅速上升，成为首席风险官的第三大优先事项和董事会的第二大优先事项，而去年该风险仅位列首席风险官和董事会短期风险优先事项的第12位。环境、社会和治理（ESG）风险，第三方风险以及金融犯罪风险均位列前十，同样是主要受到首席风险官无法控制的外部力量的影响。 反映了当今银行业务的特性——极度活跃且伴有较强波动性，为此，银行风险管理团队须密切关注全球范围内的各种外部力量和市场动态。除保持持续学习的思维模式外，首席风险官们还必须展现出坚定的领导力，并提升敏捷性，以快速响应环境变化。同时，首席风险官还需投入更多时间思考未来，以及如何引领机构及其风险管理团队应对当下充满变化且持续动荡的时期。 有任何金融风险进入议程前十，而去年则有四项。尽管如此，这些风险仍存在于整个行业以及许多机构中，并可能产生重大影响。 相较于新兴威胁和不太熟悉的威胁，首席风险官在这些传统风险的管理上，似乎更有信心。 市场对监管风险和银行实施必要变革以确保自身合规的能力上存有担忧，这一担忧也反映了外部环境的变化。继去年多个国家大选后，财政和外交政策以及监管监督方面存在诸多不确定性和不可预测性。贸易局势持续紧张，经营环境碎片化加剧，一体化程度降低，对跨国机构产生了影响。首席风险官还考虑了额外的监管要求和监管预期（例如，可持续性披露）的影响，银行既要满足这些额外要求，还要考虑对自身竞争力的影响。 金融风险同样反映了市场动态。批发业务信用风险是今年首席风险官的第11大优先事项，而流动性风险从去年的第4位下降到了第13位。去年，零售和消费信贷业务信用风险是首席风险官的第九大优先事项，今年下降到第14位。耐人寻味的是，今年没 总而言之，我们的调查结果与宏观经济和地缘政治环境的持续变化一致。首席风险官优先事项的变化 关键要点 首席风险官须兼顾转型机遇及风险 银行投入大量资金推动大型变革计划，其中许多计划由技术驱动完成。因此，首席风险官们自然将转型和创新战略的风险影响列为优先事项。人工智能（AI）虽然具有巨大的颠覆性潜力，但随着技术的日益普及，其也可能带来与创造价值相当的潜在风险，这推动了首席风险官对技术现代化和数据优化相关风险的认识。机器学习（ML）、云计算、量子计算及其他技术，以及这些技术之间的相互依赖性，也将在未来带来类似的风险和挑战。 在首席风险官看来，数据质量和来源仍然是数据使用中最重要的风险。企业领导者也肯定会认同这一点，完整、准确且及时更新的数据对于面向客户的流程和后台流程的顺利运行至关重要，同时也有助于新技术的成功采用。 首席风险官的人才优先事项中也体现了增长和创新战略的重要性。首席风险官正致力于加强情景建模和分析能力以及整体数字敏锐度。随着银行业务数字化水平的不断提高，提升这些领域的技能和知识储备必将有助于首席风险官为银行管理层提供建议或决策质疑。 首席风险官正在将人工智能和机器学习积极应用到风险团队和日常运营中，其中数据分析和文档自动化分析为最常见的应用场景。尽管首席风险官不再将人才视为应用人工智能和机器学习的主要限制因素，但在方法论和编程（例如，建模、运行模型并管理相关风险）方面，首席风险官仍然担忧技能缺口问题。 关键要点 3人才、关系和战略的一致性是优化风险管理架构的关键 去年，我们的报告强调了首席风险官所扮演的多种不同角色，包括“预言家”（模拟对未来业务有重大影响的场景）和“文化塑造者”（运用卓越的人际和领导技能，为高绩效团队吸引和留住人才）。在今年，这些角色仍然是首席风险官的优先事项，在此基础上，首席风险官还扮演着企业“关系管理者”和“战略顾问”的新角色。事实上，50%的首席风险官表示，他们比以往更加重视与企业合作，这一比例高于去年的35%。 在风险管理的关键职能方面，运营韧性仍是重中之重。做好这一点，要求首席风险官在网络、数据、技术和第三方风险（鉴于去年备受瞩目的IT中断事件带来的连锁反应，考量第三方风险也就不足为奇）等多个考量之间取得平衡。多种风险的存在提醒我们，传统的风险类别正日益重叠和交叉。在内控框架方面，首席风险官表示，相关实施和设计有待进一步成熟。 63% 的首席风险官关注数字敏锐度，特别强调生成式人工智能是聘用新员工时最优先考虑的技能。 吸引和留住人才一直是首席风险官长期关注的领域，他们表示，在招聘最亟需的技能（如网络、数据、人工智能和机器学习）时面临挑战。今年，首席风险官认为数字敏锐度，尤其是生成式人工智能，是最热门的技能组合，63%的首席风险官表示正在优先考虑招聘这类人才，高于去年的52%。人才风险排序与去年持平，但仍是主要关注点。 组织架构也是首席风险官关注的重点。银行风险管理界关于最佳运营模式的对话越来越多，是对关键核心服务进行集中管理，还是将更多能力直接嵌入到具体业务中。同样，一些银行正在创建区域中心，以便统一执行全球风险管理战略。 第一章 风险优先事项：首席风险官议程 与去年相比，首席风险官对地缘政治风险的担忧情绪大幅上升；36%的受访者将其列入今年最重要的五大优先事项，而去年和前年的这一比例分别为16%和28%。造成此担忧情绪巨大变化的因素是欧洲和中东的武装冲突以及全球贸易紧张局势。有关地缘政治风险的更多信息，请阅读第11页。金融犯罪去年未进入前15位，今年却成为首席风险官的第六大优先事项。 从今年的首席风险官和董事会优先事项中可以看出，部分风险的排序与往年类似，但也有往年优先级较低的风险，在今年变得更为紧迫，成为风险管理重点事项。网络安全仍然是首席风险官和董事会最优先考虑的问题，这反映出网络漏洞越来越多，攻击范围越来越大，攻击频率越来越高，复杂程度不断升级。另外，运营韧性和监管风险排序仍然靠前。 金融风险也随着市场变化而演变。流动性风险在首席风险官的优先事项中跌出前十（去年排序第4），而批发业务信用风险上升为最主要的金融风险，在首席风险官议程中位列第11。有关金融风险的更多信息，请阅读第13页。 36% 的受访者将地缘政治风险列入最重要的五大优先事项，高于去年的16%。 首席风险官认为其议程与董事会议程基本一致。主要例外是金融犯罪和欺诈风险（首席风险官的排序更高），以及环境、社会和治理（ESG），战略和商业模式风险（董事会的排序更高）。 未来12个月，首席风险官最需关注的五大风险管理问题是什么? 未来12个月，董事会最需关注的五大风险管理问题是什么？ 全球系统重要性银行首席风险官更倾向于优先考虑监管法规的实施。55%的全球系统重要性银行首席风险官表示这是前五大风险，而在所有首席风险官中这一比例为36%，在资产规模为5,000亿至1万亿美元银行的首席风险官中这一比例仅为14%。鉴于全球系统重要性银行的业务范围更广泛，需遵守更多法规，并且在许多司法管辖区，《巴塞尔协议III》仅适用于大型银行，这一点不足为奇。 您认为未来三年对贵行而言最重要的新型风险是什么？ 首席风险官预计，未来三年内，网络安全仍将是重点关注风险。数据可用性和人工智能等与技术相关的风险优先级次之。这符合当前整个行业的转型重点。事实上，从首席风险官对遗留系统、变革速度和范围以及新技术引发的行业颠覆的担忧上，也可以看出银行业务正在经历持续的数字化转型。 地缘政治和ESG风险位列前五。高达91%的全球系统重要性银行首席风险官将地缘政治局势列为未来三年最重要的五大风险之一，在该群体中，该比例甚至超过了网络安全风险。面对这两类风险，首席风险官应密切关注外部环境，制定风险缓释和应急计划，做好灵活应对准备。 91% 的首席风险官将地缘政治风险列为未来三年的五大风险之一。 在资产规模不小于1万亿美元的大型银行中，将网络威胁列为重要风险的首席风险官占71%，略低于首席风险官整体的86%。与北美（27%）和拉丁美洲（24%）的银行首席风险官相比，中东或非洲（73%）和欧洲（61%）的银行首席风险官更倾向于认为，未来三年地缘政治局势仍将是一项重大风险。此外，银行资产规模越大，地缘政治问题越有可能成为其最重要的议题：资产规模不超过500亿美元的银行中，仅有28%的首席风险官认为地缘政治局势是最重要的风险之一，而此比例在资产规模超5,000亿美元的银行中高达71%。 您认为贵行将通过哪些关键举措来管理未来三年不断变化的优先事项？ 面对多种多样的风险，风险管理应对措施也相应地涉及多个维度。尽管对数据和人工智能存在担忧，但首席风险官认为，到2027年，数据和人工智能对处理不断变化的风险优先事项至关重要。传统策略，包括加强治理、优化控制以及重视合规性，仍是首席风险官工具包的关键要素。其中，全球系统重要性银行和大型银行更加注重通过治理、控制和人工智能进行应对；82%的全球系统重要性银行受访者和86%的资产规模不低于1万亿美元的机构受访者将其列为前三大风险管理措施。有意思的是，76%的拉美银行首席风险官则将增加使用人工智能作为优先事项，而在所有受访者中，该比例仅为57%。 76% 的拉美银行首席风险官将加大人工智能应用作为优先事项，而在所有受访者中，该比例仅为57%。 第二章 地缘政治风险 对地缘政治问题的重视程度因地区和银行资产规模而异。全球系统重要性银行尤其关注地缘政治风险：64%的全球系统重要性银行受访者将其列为未来一年的前五大风险之一，而这一比例在所有受访者中占比为37%。与此类似，71%的大型银行首席风险官和60%的中东及非洲银行首席风险官表示，地缘政治风险将