畢馬威：2022年十大監管挑戰報告（27頁）.pdf

1、防范多米諾骨牌效應2022年十大監管挑戰目錄 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。22022年十大監管挑戰 快速變革保持專注緩釋風險公平與共融引言氣候與可持續發展加密與數字資產平臺與操守網絡與數據欺詐與金融犯罪估值風險第三方與云技術科技與韌性風險 “自滿”我非常高興代表畢馬威監管洞察中心發布

2、 2022 年十大監管挑戰 。 我們預計監管 “邊界” 將不斷擴大， 監管期望亦將迅速上升 （無論是否推出新規） 。 以下十大方面將構成監管挑戰， 監管和執法活動將顯著增加，金融服務公司應為此做好準備：快速變革 公平與共融 氣候與可持續發展 加密與數字資產 平臺與操守保持專注 網絡與數據 欺詐與金融犯罪 估值風險緩釋風險 第三方與云技術 科技與韌性 風險 “自滿”引言如果您希望更詳細地了解本報告聚焦的問題和行動， 或討論貴公司面臨的獨特挑戰， 歡迎隨時與我們聯系。謹致問候！ Amy Matsuo主管 ESG與監管洞察 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所，

3、 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有

4、， 不得轉載。32022年十大監管挑戰 鑒于投資者需求、 公眾意識、 社會動蕩以及政府當局的首要任務和指令等因素， 監管機構重點關注與消費者和投資者保護有關的監督和執法議題， 并將公平條款的適用范圍擴大到所有消費者觸點。公平與共融 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。42022年十大監管挑戰

5、 設定清晰且可衡量的多元化、 公平和共融目標； 制定指標用于衡量和監測進度， 并將其納入管理層工作目標。公眾要求金融服務機構促進種族平等和共融的呼聲越來越大， 這與投資者需求、 公眾意識、 社會動蕩以及政府當局的優先事項和指令相一致。 金融機構面臨的壓力勢必將會越來越大。加強投訴管理流程、 技術和數據分析； 匯總問題， 發現根源， 并部署簡單有效的響應措施。在監管機構評估企業合規管理體系時， 投訴管理是必不可少的方面， 因為它可能預示著潛在新風險、 管理或結構缺陷、 第三方供應商問題，或說明企業存在反復出現的問題或需要對產品或服務進行改進。實施集中化流程， 并簡化所有面向客戶的溝通。無論以何種

6、形式或渠道， 溝通應該清晰、 準確、 完整， 披露充分信息， 確保消費者了解相關信息、 備選方案和/或利益沖突。將公平考慮因素嵌入整個客戶旅程， 涵蓋產品/服務設計、 營銷/廣告、 信息披露、 服務和客戶互動 （包括投訴管理） ， 并將公平列為優先事項。公平概念不再局限于貸款條件和產品的公平， 而是涵蓋所有渠道和觸點。Todd Semanco 合伙人金融服務監管與合規風險Mike Sullivan主管金融服務監管與合規風險Mike Lamberth合伙人金融服務監管與合規風險， 銀行業 Rohit Chopra, CFPB總監， 2021年10月在上次危機中， 太多家庭的利益受損。 如果未來發

7、生新危機，我們必須避免算法歧視。52022年十大監管挑戰 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。監管機構高度關注的領域將包括： 消費者和投資者保護監管和執法活動數量和種類增加 【例如， 住房無保障 （止贖、 驅逐） 、 費用和開支、 最佳執行、冠狀病毒援助、 救濟和經濟安全法案（CARES）

8、條款】 。 聯邦應急方案 （如PPP） 和CFPB即將出臺的小企業數據采集規則之下小企業 （包括女性和少數族裔擁有的企業） 的融資渠道。 “最佳利益” 標準在零售投資和財富管理中的實施情況 （除信托和適宜性標準外， 還包括 “公平合理” 的營銷實踐） 。 使用人工智能和機器學習 （模型、 工具和/或數據） 實現個性化服務、 營銷/報價、 信用承保、 欺詐預防和其他運營時可能存在的偏見。 融資便利程度和普惠 （其是對于 “弱勢” 群體）【通過監管合規 （例如， ECOA、 FCRA、 FDCPA、 CRA、 UDAP/UDAAP、 適宜性、 ADA） 以及金融機構表現出的社區拓展/承諾/投資進行

9、評估】 。監管機構將采取以下行動： 審查信息披露和營銷材料中做出的聲明或聲明是否與實際做法一致， 以及術語的定義和使用是否一以貫之。 如金融機構錯報或遺漏重大事實， 或未能以 “公平合理” 的方式提供重大信息， 將視為潛在的欺詐或誤導。 要求金融機構從2022年11月開始遵守美國證券交易委員會的 投資顧問營銷規則 ； 投資顧問 （IA） 應進行準備情況評估和差距分析， 并針對存在的差距進行整改。 期望面向客戶的員工了解消費者和/或投資者保護政策， 并能夠以簡單的方式傳達政策。 預計監管部門將關注董事會和高級管理層承諾的證據； 受理/解決的文件； 政策與程序;追蹤;定期審計； 企業范圍內的交叉引

10、用； 第三方關系監測。多個監管機構已采取果斷行動， 將消費者保護調查和執法確定為工作重點并加快推進 （在很大程度上基于投訴數據） 。 CFPB聲明， CFPB在開展監督、 執法和制定規則時將消費者投訴以及企業的回應方式納入考慮。 企業的回應需及時、 完整且針對實質問題， 并且在不同消費者群體之間保持一致。 CFPB還在按人口特征和社會經濟群體分析消費者提交投訴的模式， 以指導政策制定。 FTC消費者保護局和SEC執法部近期獲得授權， 開展消費者/投資者侵害立案調查， 包括 “快速響應” 消費者對企業濫用或欺詐提出的指控。與多元化、 公平和共融相關的未來趨勢將包括： 預計SEC將擬定規則要求金融

11、機構披露董事會多元化和人力資本措施， 例如員工多元化、 人員流動、 技能與職業發展培訓、 健康和安全以及薪酬。 州監管機構將采取行動， 針對董事會和高級管理人員 （例如加州和紐約州制定的規則） 以及其他實體提出多元化要求， 例如納斯達克關于 “不多元化就解釋” 的上市規則。 監管機構將關注企業多元化、 公平和共融相關目標、 承諾和行動之間的一致性， 包括社區發展投資、 供應商選擇、 信貸活動和金融普惠戰略。 投資者和社交媒體日益關注企業董事會做出的承諾和披露 （包括通過股東/代理投票） ； 企業因此可能面臨聲譽風險。氣候與可持續發展在投資者的巨大需求以及各種自愿披露框架推動下， 金融服務公司正

12、在采取行動， 計量、 監測和緩釋氣候相關金融風險。 監管機構在這方面的期望發生了翻天覆地的變化。 這種趨勢將持續至2022年， 監管機構的管轄權限亦將擴大。 聯邦金融機構必須制定并執行相關戰略， 以量化、 披露和緩釋氣候變化對公共和私人資產造成的財務風險。 政府政策目標是推動金融機構以 “清晰、 一致、 準確、 易于理解且可比較的方式披露氣候相關金融風險” ， 并 “采取行動減輕風險及其驅動因素， 同時考慮如何解決氣候相關金融風險對弱勢群體和有色人種社區的不同影響。 ”妥善管理所有氣候和可持續發展報告 （財務和非財務） 的編制和發布以及已披露的指標和衡量標準， 確保一致性。如果沒有建立有效的氣

13、候治理結構， 企業可能難以在氣候風險的基礎上做出戰略決策， 管理氣候相關風險， 制定和跟蹤氣候相關指標和目標。 氣候風險問題同時帶來財務風險和機遇； 良好的企業治理應該包括有效的氣候治理。 然而， 對許多企業而言， 氣候相關金融風險是一個錯綜復雜的問題， 需要應對科學、 宏觀經濟和政策方面的不確定性， 時間跨度大， 而且可能超出董事會的職權范圍。制定定性和定量指標和目標； 確保業務部門、 風險職能和管理層對報告整合和ESG績效負責。在投資者等利益相關者呼吁企業提升報告可比性和標準化的背景下， 隨著企業紛紛承諾實現氣候相關目標， 并積極行動提供指標和信息披露的基礎數據， 氣候相關財務報告正在迅速

14、演變。 在短期內， 雖然美國監管機構正在制定更詳細的規定， 但目前已有多個 （自愿） 報告框架可以為企業制定指標和目標提供指引。 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。62022年十大監管挑戰 Adam Levy主管建模與估值Amy Matsuo主管ESG與監管洞察52%的美國首席執行官表示，

15、 根據他們的觀察， 利益相關者當前對ESG報告的需求日益增加， 并呼吁企業提高透明度報告與透明度資料來源：畢馬威 2021 年美國首席執行官展望調查72022年十大監管挑戰 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。監管機構期望企業： 建立企業范圍的治理架構， 以監督企業是否以清晰透明的方式開展內

16、外部監測和報告 （即指標和目標） 。 治理架構應包含來自廣泛業務領域和所有三道防線的成員： 各業務線、 風險、財務 （財資、 財務主管） 、 人力資源、 法律、 企業社會責任/綜合報告、 內部審計。 確保董事會成員、 高級管理層和其他相關員工擁有足夠的知識、 技能和經驗， 以就氣候相關威脅和機遇的重要性以及如何在企業范圍內部署氣候風險管理做出明智的決策。 識別和獲取內外部數據， 確保數據的完整性和準確性以及適當的數據沿襲， 以便用于外部報告。 數據系統必須具備適當的計量和審計能力。 企業在報告中披露的承諾和聲明必須符合實際做法。 使財務和非財務報告披露保持一致； 非財務報告流程應該 “可以審計

17、” ， 并與財務報告標準同樣穩健。SEC： 預計將發布擬議披露要求 （2021年底或2022年初） ， 其中將包括定性和定量披露 （包括披露數據， 支持企業在廣告宣傳中就業務運營和氣候相關目標進展所做的聲明） 。 聲明強制披露將提高信息披露的一致性和可比性。 在代理表決權和最佳利益、 業務連續性、 現行規則合規情況 （例如，2010年氣候指引 ） 和廣告宣傳 （例如， 名稱規則） 以及氣候相關風險披露中的重大差距或錯報涉及的不當行為等方面設定與氣候相關的審查重點。 以投資者保護為重點， 確保企業嚴格遵守其ESG聲明， 并確保投資者在選擇特定顧問、 基金、 策略或產品時清楚自己的權利。關于指標和

18、目標， 監管機構期望企業： 將氣候風險整合納入每個風險領域 （例如， 信用、 市場、 戰略、 運營、 法律和聲譽） ， 包括制定與現有企業風險偏好一致的氣候風險偏好聲明 （需可以量化） 。 將氣候/可持續發展融入業務部門戰略/增長以及風險管理 （勤勉盡職、 持續監控） ； 新的可持續發展概念產品/交付渠道/服務應該可衡量且可論證。 制定路線圖， 持續獲取第三方/交易對手排放數據 （即發生在報告公司價值鏈上游和下游的所有間接排放）（TCFD、 SASB、 CDP、 GRI等報告制度目前均有這項要求） 。 考慮將董事會和/或高級管理層的激勵和薪酬與氣候相關目標和相關績效掛鉤。氣候與可持續發展制定初

19、步氣候和可持續發展假設和模型， 包括氣候情景和/或壓力測試 （與轄區以及全球范圍內的義務保持一致） 。盡管美國監管機構尚未就氣候相關情景分析或壓力測試提出正式要求， 但毫無疑問的是， 它們希望金融機構建立適當的制度來識別、 衡量、 控制和監測重大風險 （包括氣候風險） 。 在全球范圍內， 氣候情景分析正在成為評估氣候相關風險對金融機構和金融穩定影響的重要工具。探討氣候風險導致嚴重影響的可能性， 覆蓋不同客戶/社區和/或地域和行業； 將結果納入戰略、 運營和風險管理。氣候風險相關影響以及各方為遏制此類影響所做的努力 （例如推進凈零排放目標和氣候韌性投資） 可能導致目前的弱勢群體/地區面臨的處境惡

20、化。 實體風險事件 （例如， 洪水、 火災、 風暴或海平面上升） 在地理上較為集中， 可能產生溢出效應， 導致弱勢群體、 企業和市政當局的負擔增加 （例如保費飆升） ； 房地產和基礎設施的價值和使用價值下降； 以及投資者離場。 轉型風險 （例如政策變化、 消費者行為偏好）可能會引發突然的重新定價， 并導致資產擱淺和價值受損。 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國

21、際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。82022年十大監管挑戰 政策制定者、 監管機構、 金融機構和行業團體正在探索各種選項， 例如： 將 “氣候公平” 和 “氣候公正” 納入關于氣候風險 （物理風險和轉型風險） 影響的討論之中。 企業應開發模型和指標來計量此類舉措的影響 （積極和消極） ， 并制定應對策略。 在滿足 LMI 社區的信貸和發展需求的同時， 調整 CRA 以納入和鼓勵支持氣候韌性的活動 （紐約金融服務局針對國有機構采用這一規則） 。 將氣候相關金融風險納入承保標準、 貸款條款和條件以及聯邦貸款政策和計劃的資產管理和服務程序。 與州級保險監管機構合

22、作， 研究在特別容易受氣候事件影響的地區私人保險承保范圍發生 “重大中斷” 的可能性。92022年十大監管挑戰 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。財政部和FRB均承認與構建氣候風險模型相關的學習曲線和數據鴻溝， 但認為這不是采取試探姿態的理由； 這一過程將是不斷迭代， 并將為后續建模、 數

23、據要求和披露提供信息。 信息披露被認為是彌合數據鴻溝的 “重要第一步” 。監管機構正在積極與國際組織和相關轄區合作， 為氣候相關風險管理制定氣候情景和最佳實踐； 其他司法轄區的實施經驗有助于美國監管機構制定預期。 FRB已發布氣候壓力測試模型研究論文， 預計將另外發布適用于大型金融機構的監管指引。氣候風險可以表現為傳統的微觀審慎風險， 包括信用、 市場、 運營、 法律和聲譽風險。 企業可以考慮的步驟包括： 對現有投資組合進行重要性評估， 識別急性風險 （即實體風險颶風、 野火、 干旱） 較高或受政策、 技術或行為變革影響 （即轉型風險） 的資產 （實體和客戶） 。 著手確定不同的氣候情景， 將

24、其納入目前的損失預測估計； 氣候情景應獨立于經濟或壓力測試情景， 并針對氣候影響。 雖然從長期來看， 轉型風險難以建模， 但FRB表示， 轉型風險的建模方式可能與政策變化的經濟建模方式大致相同； 企業應該開始了解經濟社會在2050年前向凈零排放轉型對其自身業務和客戶群體的影響。 起步階段關注定性輸入， 隨著可用數據增加 （且顆粒性更強）轉向更加量化/建模程度更高的方法。加密與數字資產隨著投資者、 企業以及部分央行使用加密和數字資產， 表明零售和機構層面對數字資產的興趣日益濃厚， 圍繞加密和數字資產的監管活動正在加強。 在市場擴張的同時， 美國的監管格局正在發生變化。 為了明確監管法規， 州和聯

25、邦監管機構和立法者正在審議不同的方案。 重要問題包括特許、 許可、 欺詐和金融犯罪風險， 以及消費者和投資者保護。制定企業/產品能力評估以及風險合規策略， 以適當方式許可、 發行和/或使用數字資產。當前， 加密和數字資產監管格局高度碎片化， 且正在快速演變。 視資產結構以及相關事實和情況的不同， 聯邦和/或州級層面可能有多個監管機構對交易擁有管轄權。 隨著市場的發展， 監管空白和重疊亦隨之產生； 加密科技公司正在接入傳統金融體系， 而受監管的銀行正在構建加密基礎設施 （例如托管服務） 。 確立適當的監管制度 （包括發放牌照和特許證的政府機構） ， 可能需要法律變更， 而這又可能改變相關市場。建

26、立/加強與數字資產和支付相關的內部風險政策、 程序和控制。監管機構聚焦消費者和投資者保護， 審視廣泛的風險領域， 包括欺詐、 網絡安全、 數據隱私、 不當行為、 結算、 流動性、 市場誠信、 市場波動、 透明度和洗錢/恐怖主義融資。 執法環境同樣復雜， 部分原因是政府當局高度重視應對網絡安全風險。 值得注意的是， 美國司法部成立了全國加密貨幣執法小組， 對濫用加密貨幣的犯罪行為進行調查和執法； SEC 和 CFTC 繼續在各自的管轄范圍內積極開展執法行動。編制實操性和相關性高的數字資產信息， 并向董事會匯報。監管機構希望董事會在充分的信息 （范圍、 細節和分析均應充分） 基礎上， 為企業戰略和

27、風險偏好設定一致、 清晰的方向， 以實現穩健決策并考慮潛在風險。 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。102022年十大監管挑戰 Mike Scarpa管理總監金融服務監管與合規風險Chris Seigle總監金融服務監管與合規風險 Gary Gensler, SEC 主席， 2021 年

28、11 月公開聲明穩定幣市場目前價值近 1,300 億美元， 在過去 20 個月中增長了 20 倍。112022年十大監管挑戰 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。 隨著國際、 聯邦和州層面針對穩定幣更新客戶盡職調查（KYC） 及反洗錢 （AML） 的相關規定以及稅收法規， MSB/MTL將需

29、要在數字支付框架內評估消費者和投資者標準。 加密貨幣交易所、 經紀人和其他市場參與者應建立框架，評估當前或擬發行的加密貨幣根據州和聯邦證券法規是否構成證券， 并采取措施避免交易未注冊的證券。 需要建立或加強內部合規政策和程序 （特別是針對托管職能） 。 企業應與監管機構 （包括SEC創新和金融科技戰略中心（FinHub） 和OCC創新辦公室） 建立持續對話， 在發行之前討論不斷演變的數字資產服務/產品。 企業應評估已發行的產品和服務， 確定是否需要額外許可和注冊， 包括在金融業監管局/美國證監會 （FINRA/SEC） 、 全國期貨協會/商品期貨交易委員會 （NFA/CFTC）和紐約金融服務局

30、 （NYDFS） 注冊以及獲得許可。 企業應持續將合規整合納入數字支付戰略中， 以提前評估監管要求以及測試相關控制。 企業將需要針對新技術和產品 （例如加密資產） 持續重新評估風險偏好和現有風險管理框架。鑒于加密和數字資產產品和市場趨勢的復雜性， 以下幾點對企業非常重要： 制定數字資產戰略， 納入清晰易懂的行動， 包括向董事會匯報。 及時向董事會提供清晰的產品和市場趨勢信息， 包括識別和評估當前和新興風險 （相關趨勢可能包括網絡威脅、產品/服務以及人才管理等） 。 持續為董事會成員和員工提供相關培訓。 一份跨機構報告建議國會考慮立法， 確保穩定幣和穩定幣安排統一受聯邦審慎框架全面約束； 還建議

31、將發行人資格限制為受保存款機構； 使開展穩定幣業務 （例如數字錢包） 的主體接受聯邦監督； 并限制發行人與商業實體之間建立附屬關系。 SEC和CFTC均表示有興趣獲得進一步授權， 按證券、 商品或衍生品對穩定幣進行監管。 FSB、 BCBS和FATF等國際標準制定者正在探索將現有標準和原則應用于穩定幣安排和其他加密資產。風險和合規策略可能受以下因素影響： 州或聯邦層面對 “虛擬貨幣” 的定義存在差異。（ 基礎設施投資與就業法案 引入了聯邦層面對 “數字資產” 的定義。 ） 數字資產或相關產品或服務在相關聯邦/州法律之下是否構成證券、 商品或衍生品存在不確定性。 遵守各州要求， 例如貨幣服務業務

32、/貨幣劃撥許可證持有人 （MSB/MTL） 根據全國跨州許可系統和登記處(NMLS)的要求獲得許可， 以及遵守 貨幣劃撥機構示范法（MoneyTransmitterModelLaw） 的要求 （視情形而定） 。 將數字資產戰略整合納入現有合規計劃中。 從2023年開始， 遵守IRS有關加密貨幣和其他數字資產交易的報告要求。平臺與操守科技的迅猛發展、 數字銀行活動的增加、 數據收集的日趨復雜以及社交媒體影響力的不斷上升， 正在以空前的方式重塑金融服務行業格局。 我們正處于前所未有的時代， 隨著新冠疫情引發的社會與經濟變化持續發酵， 企業積極行動加速提升消費者體驗與數據安全、 欺詐和利益沖突相關的

33、新風險隨之萌生。設計合規的數字平臺， 并嵌入可驗證且可計量的客戶體驗、 訪問、 公平和共融原則和指標。數字化提高了消費者對核心金融服務 （包括支付、 儲蓄、 貸款和投資） 便利性的期望。 一般而言， 他們希望企業提供功能強大、 直觀的個性化界面， 以便隨時隨地通過多種互聯渠道 （例如在線、 移動、 電話、 線下） 進行交易。 作為標桿， 社交媒體設定了消費者對個性化體驗的期望。 擁有大量數據的金融科技公司和大型科技公司正致力于在金融服務中滿足消費者的期望。評估利益沖突和市場行為風險， 做出必要的改變， 并積極監督和采取緩釋措施。長期存在以及部分新形成的市場慣例， 目前正在面臨更嚴格的審查， 因

34、為此類慣例可能導致經紀自營商、 交易所和批發商存在利益沖突， 并可能使投資者遭受不公正的市場行為。在工作流程中的關鍵數據交接時， 確保在數字平臺和監督機制之間建立數據質量和完整性控制， 以最大限度地提高市場行為監督的完整性。監管機構高度重視投資者保護和利益沖突， 將確保以下方面受到持續關注 （詳情請見下一頁內容） ： 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公

35、司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。122022年十大監管挑戰 Stefan Cooper主管金融服務監管與合規風險Chad Polen管理總監金融服務監管與合規風險 Lina Khan, FTC 主席， 2021 年 11 月FTC 正在加速行動， 改進相關程序， 以迅速將犯罪線索移交給刑事調查機關， 加強問責和威懾。132022年十大監管挑戰 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合

36、伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。 利益沖突信息披露和處理方式， 包括服務費、開支和補償安排。 付款方式， 包括與最佳執行有關的折扣、 回扣、服務費減免和/或抵免。 實時監測交易行為， 以識別、 記錄、 跟蹤和報告現有和潛在的利益沖突， 以進行評估并采取緩釋措施。監管機構接下來考慮的方面將包括：企業致力于直接或通過合作伙伴關系和附屬機構提供數字產品和服務來覆蓋未獲得銀行服務以及銀行服務不足的群體的情況。付款處理問題， 例如服務費金額、 收費頻率、 退款、 交易類型、 扣款順序、 第三方風險管理以及營銷和信息

37、披露。開放銀行計劃， 尤其是CFPB為促進消費者金融交易數據的可移植性而結合 多德-弗蘭克法案 第1033條制定的規則。 值得注意的是， 還有多個行業主導的舉措來建立數據共享網絡和促進API技術標準的采用。數據采集和使用。 CFPB正在積極審查大型科技企業支付系統的消費者數據收集政策和做法， 以及數據保護和使用情況； 調查結果可以為制定開放銀行和快捷支付相關舉措提供信息。 另外， 政府當局鼓勵FTC考慮制定規則， 打擊不正當的數據收集和監視行為以及主要在線市場中存在的不正當競爭?！坝螒蚧卑ㄐ袨樘崾?、 差異化營銷、 類似游戲的功能以及旨在與數字平臺上的零售投資者互動的其他元素或功能 遠程訪問

38、和數字活動的快速擴展使得客戶數據接入點數量增加， 繼而導致欺詐和金融犯罪風險顯著增加。 薄弱方面包括新市場平臺、 在線支付、 點對點支付應用程序、 在線開戶、 合成身份欺詐以及攻擊手法日益復雜的惡意行為者。 FFIEC的最新指引概述了有效的風險管理原則和實踐， 幫助企業解決訪問權限管理和身份驗證控制薄弱的問題。 數字化轉型對金融服務監管提出了挑戰。 隨著數字市場的快速演變和新進入者 （例如 “數字原生企業” ） 的加入， 僅依靠現場檢查等傳統監管工具已經無法滿足需要。監管機構的期望已經發生變化， 金融服務企業應該預見到監管機構將開發或整合相關工具，以利用數據和技術更有效地監督日益數字化的市場。

39、監管機構正在研究：訂單流付款(PFOF)。 SEC和FINRA均指出了訂單流付款引發利益沖突的可能性。 SEC建議， 由于市場不透明， 投資者有時可能無法獲得 “最佳價格” 。 解決訂單流付款問題的潛在措施可能包括發布禁令、 披露新信息、 更改最小報價單位 （ticksize） 或結算周期， 或制定有關數字參與行為的新規則。優化。 旨在增加收入、 數據收集或提升客戶參與的預測分析以及數字參與行為的其他功能可能導致平臺與投資者之間發生的利益沖突。數字參與行為和最佳利益。 與沒有數字參與行為的情況相比， 使用人工智能、 復雜算法和類似游戲的功能可能促使投資者進行更頻繁或更具風險的交易， 從而可能導

40、致通過招攬獲得的交易與非通過招攬獲得的交易之間的界限變得模糊。 如果決定采用數字參與行為推薦產品或提供投資建議， 則 最佳利益條例 規定的保護條款將適用。網絡與數據金融服務監管機構將網絡風險視為威脅金融穩定的首要風險而政府當局則稱網絡風險為難以消除且日益復雜的威脅， 對政府機構和金融服務企業均造成沉重壓力。 鑒于金融服務行業內部高度關聯且依賴關鍵第三方服務提供商， 金融體系的所有參與者都必須考慮網絡威脅的頻率和影響， 實施相應的風險緩釋和運營韌性計劃。 當前或新興的威脅包括惡意軟件 （例如勒索軟件） 、 供應鏈風險和復雜的分布式拒絕服務攻擊 （DDOS） 。改進客戶和企業身份和訪問權限管理方案

41、， 確保針對最新的帳戶接管威脅采取適當的預防措施。數據傳輸方式日益復雜， 拓寬了金融服務公司資產和消費者數據的入口點， 增加了惡意行為者的攻擊類型。 如果訪問權限管理和身份驗證控制薄弱， 網絡攻擊者就有機會利用泄露的登陸信息訪問機密資源和數據。精心設計， 使用自動化技術讓有限的網絡安全資源發揮最大效用， 提升響應速度。 法律和監管合規要求日益提高， 導致合規風險復雜化， 成為推動企業增強網絡安全能力的關鍵因素。 通過結合安全設計、 自動化和響應 (SOAR) 工具， 企業能從多個來源收集安全威脅數據， 通過有限的人工交互啟動響應， 并協調事后報告和信息共享。 優勢包括檢測和反應更快； 適用的威

42、脅情景更廣； 數據管理保護措施集成化； 以及成本更低這有助于企業在 2022 年應對監管機構對網絡和數據問題的關注， 包括 （詳情請見下一頁內容） ：通過嵌入 “隱私設計” 和實現數據保護自動化，（在數據管理生命周期中） 識別、 管理和保護企業信息資產。企業正在收集越來越多的客戶數據， 用于開展預測分析、 實現營銷活動個性化以及推出/改進產品和服務。 大多數消費者日益關注企業收集、 使用和保護消費者個人信息的方式這促使監管機構聚焦客戶數據隱私和保護?！半[私設計” 原則以防止隱私漏洞為目標， 通過將隱私嵌入新應用程序 （包括 IT 系統、 人工智能平臺和數字業務管理） 的設計、 操作和管理中，

43、為穩健的數據保護設定基準。 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。142022年十大監管挑戰 Matt Miller主管網絡安全服務Orson Lucas主管網絡安全服務86%86%的美國消費者對數據隱私表示擔憂資料來源：企業數據責任： 彌合消費者信任差距 ， 畢馬威， 2021 年 8 月4

44、0%40%的受訪者不相信企業會以合乎道德的方式使用他們的數據152022年十大監管挑戰 2022 畢馬威華振會計師事務所 （特殊普通合伙） 中國合伙制會計師事務所， 畢馬威企業咨詢 （中國） 有限公司 中國有限責任公司， 畢馬威會計師事務所 澳門特別行政區合伙制事務所， 及畢馬威會計師事務所 香港特別行政區合伙制事務所， 均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。 版權所有， 不得轉載。FFIEC發布的最新指引概述了訪問權限和身份驗證的有效風險管理原則和實踐， 包括： 監測、 記錄和報告活動， 以識別、 跟蹤、 響應和調查未經授權的活動或類似企圖。 實

45、施分層安全和多重控制， 彌補單一控制的弱點； 多因素身份驗證有利于保護賬戶免受威脅侵襲 （例如撞庫（credentialstuffing） 、 網絡釣魚攻擊和魚叉式釣魚攻擊） 。 實施訪問和交易控制， 包括賬戶維護； 交易金額、 頻率和時間； 登錄嘗試次數限制； 和應用程序超時設定。 在系統訪問前采用身份驗證解決方案， 包括基于設備的公鑰基礎設施(PKI)身份驗證、 一次性密碼(OTP)、 行為生物識別軟件以及設備識別和注冊等解決方案。 監管機構對美國總統關于要求改善美國網絡安全的第14208號行政命令 （2021年5月） 的響應。 該行政命令是美國政府為推動國家網絡防御現代化而采取的 “諸多

46、雄心勃勃的措施中的第一個” 。 相關規定涉及網絡安全標準（包括零信任架構） 、 供應鏈安全、 對網絡事件的標準響應以及設立網絡安全審查委員會。 聯邦銀行監管機構每年需要匯報其為加強金融服務部門網絡安全而采取的措施 （包括對金融機構和第三方服務提供商的監督和監管） 。 白宮的指導意見敦促私營部門為勒索軟件攻擊做好準備。 預計美國證券交易委員會將制定網絡安全風險治理披露規則， 還將加大針對網絡安全信息披露準確性和相關披露控制和程序的執法力度； 可能不必發生不利業務影響，即可將網絡安全事件定性為 “重大” 事件。 與勒索軟件和網絡安全控制相關的國家行動。 值得注意的是， 紐約金融服務局正在考慮在 網

47、絡安全條例 中補充新的控制， 并要求企業在內部網絡遭遇勒索軟件攻擊或機密賬戶被入侵的情況下進行報告。即將生效的數據和隱私保護監管規則預計將包括： CFPB擬定規則， 以促進消費者金融交易數據的可移植性。 FTC制定規則， 旨在應對影響競爭、 消費者自主權和消費者隱私的不正當數據收集和監控行為。 CFPB對大型科技公司支付系統與消費者數據收集、 使用和限制相關的做法進行審查。 SEC關注投資者保護、 預測性數據分析和數字參與實踐。 國家數據隱私和保護法規內容擴增。 值得注意的是， 從2023年1月起，加利福尼亞隱私權法案 (CPRA)將取代 加利福尼亞消費者隱私權法案 (CCPA)， 新增一系列

48、與GDPR類似的權利保護條款， 并重點關注以下領域： 記錄保留、 對數據收集的商業目的進行限制、 數據存儲和處理、 預測性人工智能模型詳情披露以及網絡安全審計。欺詐與金融犯罪隨著監管機構重視創新方法 （例如機器學習、 增強型數據分析） ， 采用創新技術來提高欺詐和金融犯罪風險管理的有效性， 已勢在必行。 從網絡安全到勒索軟件， 從加密貨幣到身份盜竊， 層出不窮的威脅風險均是由技術驅動。 政府當局已將許多此類問題列為重大國家安全問題， 調動整個政府協同應對； 重點關注的新興領域涉及透明度和 ESG。將自動化和分析技術整合納入客戶引導和維護流程， 降低合成身份欺詐風險。合成身份欺詐 (SIF) 是

49、美國增長最快的金融犯罪之一。 與傳統的身份盜竊相比， 合成身份欺詐同時使用真實和偽造信息， 創建新身份， 在一段時間內建立信用檔案因此， 僅使用傳統欺詐檢測模型難以發現可疑活動。 聯邦儲備委員會 (FRB) 指出了減輕合成身份欺詐風險的方法。淘汰過時的身份驗證技術， 加強防御實時支付中的帳戶接管和社會工程攻擊?？旖輰崟r支付縮短了金融交易清算時間， 增加了安全和欺詐風險的可能性， 企業因此更加需要利用最新的敏捷安全和欺詐檢測程序， 包括身份驗證和訪問協議。 需要重點防范的欺詐可能包括在線欺詐 （例如惡意軟件、 網絡釣魚） 、 第一方欺詐 （例如合成身份欺詐） 和虛假聲明。建立成熟的內部人員風險計

50、劃 （包括行為模型和情景分析） ， 降低員工行為和金融犯罪風險 （包括聲譽損害、 間諜活動、 貪污挪用、 市場和價格操縱） 。內部威脅因技術和人為風險結合而產生。 在數字環境中， 內部攻擊可能導致金融和知識產權盜竊、 資產受損以及企業范圍內的內部系統和客戶運營中斷。 然而， 由于內部人員熟悉企業系統并在訪問時受到信任， 因此難以預防和檢測； 需要人工參與分析， 發揮人類的智慧來解釋技術數據 （例如， 來自網絡安全工具的數據） 并識別異常內部行為。 內部人員的范圍應涵蓋董事、 員工、 承包商和第三方。隨著監管重點領域不斷變化， 加強相關控制。 FinCEN于 2021 年 6 月發布了政府范圍內