2008年的全球金融危机(GFC)之后,市场和技术的变化推动了金融部门监管的重大变革。2020年,COVID-19疫情推动金融部门监管的进一步转变。近年来,数据的收集、验证、存储、处理和传播成本大幅下降,导致许多技术变得容易获得,并在监督的出现中开启了新的篇章——这被称为"监督技术"或"SupTech"。中国人民大学金融科技研究所(微信ID:ruc_fintech)对此进行了编译。
来源 | The World Bank
作者 | The World Bank
编译 | 路钰秾
引言
即便在COVID-19危机爆发之前,全球金融业监管也正在经历重大变革。这些转变——其中一些发生在2008年全球金融危机之后——由两个主要因素推动。第一个因素是市场的变化,导致商业模式的变化,金融部门的风险状况随之发生变化,进而导致监管调整和加强。第二个因素是能够促进和支持监督进程的技术、计算能力和数据的日益普及。
几年前许多可以支持监管的关键技术被开发出来,例如大数据、人工智能、机器学习甚至是区块链。但由于成本高昂及缺乏计算能力,这些技术在发展中国家和低收入国家中仍然遥不可及。所幸近年来,数据收集、验证、存储、处理和传播的成本急剧下降,导致许多技术变得可访问,并开启了监管新篇章——这被称为“监督技术”或”SupTech”,在本文中,我们借鉴了巴塞尔银行监管委员会(BCBS)中对SupTech的定义,从监管当局的角度将SupTech定义为使用技术来促进和加强监管过程。
发达国家和发展中国家的早期经验表明,使用SupTech解决方案来增强监管具有巨大潜力。英国的金融行为监管局(FCA),墨西哥银行(Banxico),荷兰中央银行(DNB)和意大利银行(BoI)只是一小部分证明SupTech可以发挥多大作用的监管机构。SupTech可帮助监管机构更快、更大量地处理信息,自动化和简化流程,识别趋势并分析关键风险以及其他功能。最终结果是更加有效的决策,走向预测性监管和风险识别,以及提高实现金融稳定和完整监管目标的能力。
这些SupTech解决方案如何在资源和基础设施有限的低收入国家(国际开发协会-IDA分类)工作?为了回答这个问题,本文探讨了IDA国家面临的主要监管挑战,特别是在资源和能力需求方面。介绍了在多个司法管辖区使用SupTech工具的案例,以及从这些经验中获得的经验教训;提供了详细的路线图,包括在有效实施SupTech工具的过程中要解决的关键问题。目的是在决策者踏上SupTech旅程时,为他们的决策过程提供支持。
监管周期
基于风险的监管(RBS)逐渐成为全球金融机构进行监管的主导方式。它是一种结构化的系统,评估受监管的金融机构构成的风险,并根据这些风险按比例优先分配监管资源。被持牌实体的监管分为两个层次,一个是针对公司的微观审慎监管,另一个是以更广泛的制度和整个金融市场为重点的的宏观审慎监管。大多数监管者采用苏格兰皇家银行的方法来组织和执行其关键活动,即许可证发放、微观审慎(公司级别)监管、反洗钱/打击资助恐怖主义或金融犯罪监管、行为监管和宏观审慎监管。
借助RBS系统,可以对实体进行监控,以确保其合规性、风险管理以及保持在监管机构预先定义的风险承受能力之内的能力。RBS流程的各个方面均受数据支持,并具有从数据中提取含义的能力。随着全球数据量的增加,SupTech工具可以支持监管机构分析数据,不仅可以提高效率简化流程,而且还可以识别以前可能遗漏的趋势和异常值。
图1 支持有效RBS框架
上图说明了有效RBS框架的基本功能。从基础层面开始,RBS框架的有效性取决于及时、充分和准确的数据管理,它涵盖了金融机构数据的各个方面以及有关市场和经济的相关宏观数据。这要求:(1)一个有效且用户友好的数据收集系统——用于内部和外部数据;(2)全面的数据管理功能,涵盖数据验证、存储、整合、分析可视化和传播系统,这些系统可能同时适用于结构化和非结构化数据。
数据被输入到支持可靠风险评估框架的软件工具中,使监管机构能够对其监管的金融机构做出准确的风险预测。这种风险评估框架的核心组成部分包括风险类别、潜在驱动因素、风险承受能力和经校准的风险评分量表,该量表将确定每个受监管机构的风险状况。在规定的风险承受能力范围内,这些风险状况被用作任何监管行动和监管资源分配的基础。
国际开发协会(IDA)国家面临的挑战
数据质量
在IDA国家进行的28项巴塞尔核心原则(BCP)评估分析中,只有3个国家获得了“监督报告”的“符合”等级(图2)。这表明IDA国家在为审慎监管目的收集及时且足够详细的信息方面面临严峻挑战。世界银行国家项目负责人还指出,数据质量是一个主要领域,可以通过使用SupTech解决方案来提高其质量。这个问题对其他BCP原则具有连锁效应;监管机构无法确保数据报告的质量和深度,危害其有效识别和评估风险(信贷,流动性,集中度等)的能力,并且几乎不可能过渡到有效的RBS体系。
图2 在IDA国家进行的BCP评估结果
能力和资源
世界银行项目负责人和BCP正式评估都认为,监管当局的能力是一项关键挑战。半数以上接受评估的IDA国家在原则2:“独立性、问责制、资源配置和对监督者的法律保护”上评分不符合或严重不符合。造成这种情况的原因多种多样,其中最常见的原因之一是财政资源有限:许多IDA国家在公共机构获得财政资源方面面临着严重的限制。这是由于持续的宏观经济和财政挑战,例如高公共赤字和债务、通货膨胀以及本国货币贬值。在这种情况下,即使监管机构具有允许财务自主权的授权,对于监管人员来说,也常常很难获得所需的财务资源。
廉洁性
根据FATF披露的信息,在IDA国家中,AML/CFT监管的有效性甚至可能低于审慎监管。所有IDA国家/地区均在FATF“即时成果3”上获得“中等水平的有效性”或“低水平的有效性”评级,该评估旨在评估监管机构是否适当地履行其监督职能、是否对金融机构、指定的非金融业务和专业(DNFBP)进行监督和规范、是否使虚拟资产服务提供商(VASP)以符合与其风险相对应的AML/CFT要求,这表明有必要提高监督的有效性。系统的自动化和SupTech工具的使用可以缓解诚信问题和政治干扰,提高监管职能的独立性。
分析工具
由于金融部门提供的金融科技(FinTech)等产品和服务的复杂性不断提高,以及新的风险因素的识别,监管机构收集的信息量和力度不断增长。此外,2008年全球金融危机(GFC)等市场变化导致监管机构要求的数据增加。根据2017年一项研究发现,全球金融危机导致发达市场在2008年至2015年间的监管变化几乎增长了5倍。全球金融危机明确表示需要进行更深入的监管和风险评估。由于全球COVID-19大流行,我们可能会看到主管人员的数据请求将进一步增加。数据收集量的增加给监管人员施加了巨大的压力,他们需要及时找到分析收集的信息的方法,并在必要时快速确定补救或恢复措施。
但是,即使在发达国家,收集到的信息量也大大超过了监管人员手动处理和分析信息的能力。实际上,收集到的数据已经达到了详细、庞大、复杂的程度,因此通常被称为“大数据”。使用分析型SupTech解决方案至关重要,特别是考虑到监管人员收集的大量非结构化信息(电子邮件、信函、报告、内部程序、新闻、管理信息,包括董事会报告和其他来源)。涉及人工智能/机器学习(AI/ML)的SupTech工具通过分析大数据支持关键风险识别过程,增强监管机构的分析能力并随后支持RBS的实施。
根据从世界银行项目负责人收集的信息,并通过FSAP的调查结果证实,IDA国家的分析能力存在很大差距。此外,在IDA国家中,使用分析工具来处理从受监管实体收集的信息的情况受到限制。应该注意的是,分析非结构化数据并不需要结构良好的数据仓库,因此IDA国家可能有大量机会受益于非结构化数据分析。与用于结构化信息的工具相比,使用分析工具处理非结构化信息的时间要晚得多,但是近年来的技术发展(例如云计算、人工智能和机器学习)已经使处理和分析非结构化工具成为可能。
SupTech用例分类
自动数据报告(ADR)
ADR系统可以包含定量和定性数据,并可用于定期和特别报告。ADR通常包括一个安全的基于web的接口,用于检查提交数据有效性的简单验证工具,以及用于存储验证数据的基于云的数据库。报告工具也包括在各种技术(大数据、AI/ML或神经网络)的支持下,为主管的风险分析或决策准备数据。
ADR系统可以以适合IDA主管的需求和预算限制的方式实施。在实现一个系统之前,重要的是要考虑它的可伸缩性和与现有遗留系统交互的能力;有了正确的设计特性,新系统的范围可以在以后的阶段根据不断变化的需求进行扩展。一个基本系统将包括收集、验证和存储金融机构通过数据推送或数据拉取方法报告的定量数据(如金融或风险数据)的能力。更先进的系统可能包括增值功能,例如收集定性数据(例如管理信息甚至社交媒体信息)或专题审查的特别数据,同时还使用高级分析和可视化。
数据推送方法。最常用的方法是数据推送方法,该方法涉及报告实体通过平台自动将数据从其数据库“推送”到管理机构使用的数据收集系统中。基本的ADR将涉及受监管金融机构通过安全的Web门户将数据手动输入为在线界面中出现的数字形式。例如,迪拜金融服务管理局(DFSA)使用的ADR解决方案具有安全的Web界面,该界面根据适用的报告规则为每个受监管实体提供一组预定义的表格。这些表格中的每一个都包括一组预定义的数据元素,这些数据元素根据适用的规则和指南由公式填充,要求报告实体手动填写。提交完成的表格后,原始数据将由DFSA的内部数据库收集并验证。然后,通过一套分析工具提取经验证的数据,以提供有关财务状况、风险趋势或合规性/违约数据的见解。这可以以最小的成本对其进行补充,以允许以excel或其他数据文件格式进行上传,从而进一步减轻了受监管实体所面临的监管报告负担和数据提交过程中操作错误的范围。
数据提取方法。另一种方法是数据提取方法,该方法要求监管机构直接从受监管实体的IT系统“提取”数据。卢旺达国家银行(BNR)基于数据提取方法实施了ADRSupTech解决方案;BNR可以访问受监管实体的IT系统,并根据其要求从该实体的IT系统中提取所需的数据。实施该方法的目的是减少时间和成本、报告延迟以及增加数据的范围、质量和可靠性。但是,应注意的是,基于数据抽取方法的ADR解决方案要求受监管实体承担更高级别的资源承诺,因为每个受监管实体都将被迫投资以准备其IT系统和数据结构,以符合监管机构开发的数据提取方法的规范。
信用风险评估
COVID-19大流行是一个发展快速的全球危机,导致许多金融机构在流动性管理方面面临重大挑战,全球金融危机期间也是如此。流动性危机源于期限错配,以及由此产生的现金和流动性资产缺乏。业务中断和信贷服务枯竭加剧了这种情况,使流动性管理变得困难。监测市场流动性的变化对于防止诸如全球金融危机后出现银行挤兑等情况而造成许多银行倒闭的情况很重要。监管机构的职责是否定和管理市场环境变化导致的流动性风险,因此要求金融机构更频繁地提供流动性风险指标。监管机构要求频繁提交流动性或信贷风险数据,以及金融机构持有的有关资本缓冲的信息,最初是为了监测其政策决策的直接影响,后来是为了监测危机后阶段的复苏过程。每日观察流动性风险已成为新标准,这使得监管机构必须分析的数据量大为增加。这将影响全球的监管者,因为他们需要适应不断变化的环境。能力严重受到限制的IDA国家,尤其会被大量的数据淹没。
Suptech可以提高风险报告的效率。它可以根据内部方法或监管定义自动识别监控风险,并在达到预定风险水平时创建警报并触发自动操作。由于自动化、人工智能、认知分析和其他Suptech工具被用于转换原始数据以进行认知和分析处理,因此可以在更短的时间内对大量更复杂的数据进行风险分析。发达市场和新兴市场的证据表明,通过大数据技术创新,SupTech的应用可以在信用风险评估流程中发挥变革作用。
已经使用创新的SupTech应用程序进行风险评估的国家包括意大利银行(BoI)、荷兰银行(DNB)、俄罗斯联邦中央银行(CBR)、中国银行和保险监督管理委员会(CBIRC)以及泰国银行(BOT)。意大利银行探索了贷款违约预测如何从ML算法中受益,并为此目的合并了不同的数据源(例如中央信用登记册、非金融公司的资产负债表数据和其他公司级别的数据);将此混合输入到ML工具中,该工具会生成贷款违约的预测,以便与标准模型进行比较。另一个例子是CBIRC,其中通过使用简单的指标分析(例如时间序列、横断面或对等组分析)来分析所收集的数据来进行异地监视(不仅限于信用风险);然后通过交通信号灯显示器机型描述,以便于消费。
工作流程管理
充分有效地管理工作流是任何组织的重要组成部分。自动化的工作流程大大减少了响应时间,减少了对纸质活动的需求,并提供了对监管机构以往记录和数据以及外部数据的引用功能。支持此功能的SupTech解决方案是监管信息和工作流管理系统(RIS)系统。
RIS上的工作流可用于自动化几个关键的监管活动,包括:许可证发放、异地监管、现场监管、金融机构合规性监管、审慎报告的跟踪、管理信息生成以及执法过程的支持。典型的RIS解决方案的模块化结构意味着可以通过多种途径来连接各种不同的工具,实现从限于一个功能区域到整个实体范围的解决方案。例如,监管机构可以选择仅实施许可工作流程解决方案,如旧金山联邦储备银行和葡萄牙银行采用的解决方案。该工作流程可自动执行新实体的许可流程的一部分,简化手动任务并确保满足所有必要的阈值要求,相关部门都可以实时获取信息,减少了工作重复。RIS能够处理不同类型的程序步骤,包括审批权限、保密控制和分类级别,以及记录和维护审计追踪的功能。
RIS包括一个可生成预定义报告和临时报告的报告应用程序,以及可为主管提供数字仪表盘的可视化工具。考虑到它们的集成结构,RIS解决方案使监管机构的各个部门或职能部门能够无缝协调流程,并使用公用数据池和工具来实施必要的控制和安全协议。一个适当设计的RIS也有助于监管者改进其人力资源规划和利用、任务安排以及员工绩效分析。
SupTech战略与决策
应用SupTech解决方案的方法
应用SupTech解决方案的方法可能有所不同。一些主管采用自上而下的方法,由管理层定义SupTech战略和重点领域,而其他主管则采用自下而上的方法,使用来自各个部门甚至个人的需求驱动模型。在机构内实施SupTech也可以采用临时的、基于项目的方法,这些方法不一定会渗透到组织的其他部分。
自上而下的方法。中央战略领导力是这种方法的关键组成部分,在德意志联邦银行、兰邦金融监管局和BOT等机构中都可以看到这一点。用例和工作范围是在全面的转换计划下预先定义的,并向董事会或理事报告。董事会制定战略目标,例如提高监管的有效性和效率,开发新的工具和方法、增强数字化以及提高支持职能的效率。基于这套战略目标,制定了不同运营领域的分析、工作计划和目标。此后,专门部门或新成立的职能部门负责实施该战略。尽管自上而下的方法强调了仔细的计划和监督,可能会扩大运营范围并提高效率,但它也可能无法捕获特定SupTech工具的适合用途的功能,或者无法识别对组织的运作层更为明显地“低效成果”。
自下而上的方法。分散领导通常是这种方法的组成部分,受到英格兰银行和OeNB(奥地利)的青睐。自下而上的渐进的方法鼓励各个运营部门提出和追求创新;各个运营部门会确定与行动最接近的问题和机会,并且该策略由“众包”用例构成。一些中央资源,如技术专长、项目资金以及与外部合作伙伴的协调,可用于具体的倡议。这种治理的主要好处是,它可以进行更多的试验和敏捷性,并且对整个组织中需要的东西有更好的感觉,让部门“在游戏中脱颖而出”。但是,可能需要让高级管理层相信SupTech解决方案的价值,以便调动资源并为更广泛的亦称提供信息,从而使该方法更加耗时。此外,这种方法可能导致在机构中实施部分SupTech战略,随后可能会产生额外的成本和效率低下的问题,例如冗余流程、兼容性问题和重复性工作。在这种类型的治理下,使用专注于成果的已定义的总体SupTech策略来协调工作和课程的共享是成功的关键。
基于项目的(临时)方法。这种方法在墨西哥的CNBV等司法管辖区中出现过,通常不涉及广泛或相关的SupTech战略。单个用例被设置为具有明确的基于需求的目标的项目,通常是在部门级别。运营部门通常会提前与外部供应商接触,以探索潜在的解决方案。除了灵活性之外,这种方法的好处是可以及时满足各个部门的特殊需求。此外,它可能会鼓励其他并行项目并获得董事会的更广泛支持。但是,与此同时,基于项目的方法于项目的方法也存在着这样的风险,即在不清楚它们如何与系统的其他部分相联系的情况下执行不同的计划。可能需要加强部门之间以及与董事会之间的协调,以避免效率低下,并确保所有权和后续行动。
实施SupTech解决方案的障碍
监管机构可以利用以上三种方法的任意组合来应用SupTech策略。但是,无论采用哪种方法,监管机构在追求SupTech时可能会遇到障碍。对于IDA国家而言,由于缺乏资源、能力和技术知识,包括缺乏可参考的案例或指南,这些障碍的强度可能会更大。这一点尤其正确,因为在全球范围内,尚未就SupTech的最佳实践达成广泛共识。
SupTech策略设计
对于成功的SupTech战略,应考虑以下主要方面。
愿景:IDA国家监管机构面临的挑战的数量和复杂性要求针对数据驱动和技术驱动的未来状态建立清晰、简洁和敏捷的愿景。监管者应小心,不要被纯粹的话题分散注意力,分配资源的最终目的是支持RBS原则,无论是通过自上而下的监管流程改革,还是基于自下而上的需求分析的更有针对性的用例。如果未能建立以结果为中心的全面战略,则可能导致数据冗余、实施、维护和工作人员培训的高成本,以及缺乏协调的零散解决方案。利益相关者的参与:监管机构应确保利益相关者从一开始就广泛参与组织,包括重要的IT和法务部门,以及关键的外部机构。由于缺乏整个组织的支持,无法与市场内部或外部的其他系统集成,SupTech实施的有效性可能会低于预期,或者会大大延迟。受监管实体可能面临直接或间接的增加的监管负担或合规成本。当局应清楚了解SupTech实施将对其受监管实体产生的影响。分析:为了制定正确的策略和路线图,应与组织的所有领域保持一致,需要对需求、内部运营和能力进行分析,同时进行财务分析。监管人员可以利用多种方法,如:差距分析,关注当前状态和目标条件之间的差距;成本效益分析以确定监督效果;或风险分析以考虑潜在风险(例如与SupTech实施相关的网络安全、IT风险、黑匣子风险)。无论分析的类型如何,其范围都应涵盖整个金融市场,而不仅限于监管当局。路线图:在规划路线图时,监管机构应注意以下方面:需求定义、约束和程序。需求定义包括在实施SupTech项目之前,识别并定义所有必不可少的需求。明确定义需求使所有相关部门和利益相关者可以有效地参与和协作。约束通常受限于可以分配给特定SupTech项目的预算和时间,这对于许多战略决策而言非常重要,包括:如何在单个项目中分配资源,是自行开发还是外包,如何进行事后管理。程序需要非常详细,并逐步确定。明确的程序不仅可以防止成本和时间超支,而且可以减轻人员变动带来的破坏性影响。
实施SupTech战略
成功实施的要素清单始于SupTech的愿景和战略,它为将既定目标转化为已实现的结果提供了必要的动力。SupTech项目实施的每个组件都必须执行得当才能使项目成功。下面将详细描述这3个主要组件。
资源是所需的基本要素。如果要成功进行更改,则需要调整正确的资源。这意味着需要重新调整人员,财务和数据资产,以使组织在合适的位置拥有合适的人员,并拥有切合实际的预算和正确的能力来进行成功且可持续的变革。如果这些项目中的任何一个未对准,则成功完成SupTech实施计划的可能性将大大降低。归根结底,这可以被视为一个公理:没有适当的资源分配,就不可能实现可持续的实施。
推动因素有可能影响SupTech战略的实施是否成功。经验教训表明,由于缺乏特定的推动力,某些拥有适当资源的项目未能成功。有合适的促成因素可以推动目标的实现。同时,必须从相互联系的角度考虑它们,因为每个人都需要其他人的投入才能充分发挥作用。例如,监管流程需要良好的数据管理能力,而好的数据管理又需要适当的技能和专业知识,清晰的策略、工具、流程等。正确的高层领导、清晰的视野和严谨的方法可以成功实施SupTech项目。
行动决定了SupTech战略的最终成败,因为没有行动,该战略的目标仍然无法实现。计划和项目管理至关重要,对行动的支持来自一个全面而有纪律的计划,并具有强有力的项目管理实践。为了获得预期的利益,核心行动是必不可少的:使用标准化的项目和计划管理实践;参与和管理利益相关者的期望;建立和管理有效的沟通计划;彻底执行项目计划;识别,衡量和传达变更的预期收益。
软件实施项目必须经过精心设计和执行。图9指出了成功的SupTech实施项目应考虑的六个关键阶段,即:
阶段1.项目的设置-此阶段包括为新的软件实施项目做准备。有关实施策略,实施团队,时间表和预算的所有关键计划步骤和决策都在此阶段进行。阶段2.设计需求–在这一阶段中,愿景和目标转变为关键设计功能和特定解决方案需求,解决所有相关组件。阶段3.与供应商的合作伙伴关系-考虑到SupTech战略涉及的技术的复杂性和多样性,通常与合作伙伴和第三方合作以获取定制或“现成的”解决方案。在这一阶段,将提出采购过程或招标要求,并商定合同协议。阶段4.原型和构建-与供应商建立组织和项目安排后,该阶段着重于将设计思想转变为原型,供早期用户在全面部署之前进行评估。根据获得的反馈并建立进一步的增量,到此阶段结束时,应准备测试约定的功能。阶段5.测试和实验-此阶段的目的是确保最终解决方案将满足监管机构正式制定的所有标准。在此阶段,应建立测试计划,并准备所需的环境来测试单个和集成的解决方案组件,包括监督过程、性能和容量、安全性、内部控制、操作实践、数据质量、隐私要求以及工作量。阶段6.部署和运营-此阶段首先要进行充分的准备,以根据组织变更管理标准,将最终接受的解决方案、新的业务流程、基础结构和其他支持服务从测试转移到生产或实际环境中。
除此策略外,采用一套指导原则以帮助主管做出正确的决定也非常重要。在实施过程中面临新的挑战和充满不确定性的情况时,指导原则可以帮助使实施与组织的使命,有价值的行为和所需的文化保持一致。以下是可以针对特定国家情况量身定制的建议关键原则:
正确的平衡—以SupTech战略目标为目标,以在利益相关者的期望,风险因素,主管的经验和动力以及技术之间获得最佳平衡、最大化协同效应和收益的机会。设计思维作为创新策略—力争先制造出正确的东西,然后再以正确的方式制造它。设计思维的心态将有助于探索解决方案的影响,并将创新带入传统的监督方式。整合监管者和受监管实体的需求,技术的可能性以及业务目标可以导致有效的监管和健全的金融部门。交付的敏捷性-采用迭代和适应性方法,通过增加收益来不断改进。这也是通过提供可证明的、可持续的进步和收益实现而与利益相关者建立信任的最佳方法。易于使用的工具-主管对底层技术的了解越多,主管的生产力就越低。这就是为什么应该要求SupTech应用程序具有共同的“外观”,直观和支持用户友好界面的原因。集成环境-开发集成信息环境,替换孤立的系统以完成企业集成信息环境之外的任务。高效的数据管理和改进的分析功能-考虑现有监管模型的成熟度和成熟度,以从数据模型和确保高效、安全的方式管理数据资产的方式转变为数字范式的能力。要处理的信息量将不断增加,每条信息对于确保监管决策的合理性至关重要。这意味着需要大量的精力来收集,理解和清除各种数据源,以便可以在各种数据之间建立正确的连接。内置的安全性-在开放式协作环境中,敏感数据要求安全性是新SupTech环境各个方面的组成部分;数据安全性和加密,服务安全性以及应用程序设计中的安全性至关重要。
以下为部分文章截图
……
获取完整论文