#頭條創(chuàng)作挑戰(zhàn)賽#

當前，強監(jiān)管、嚴監(jiān)管、深監(jiān)管呈常態(tài)化趨勢，銀保監(jiān)會密集出臺一系列“防風險、治亂象、補短板”的重大舉措，監(jiān)管處罰問責力度前所未有，商業(yè)銀行面臨巨大壓力，為了更好地應對這一監(jiān)管要求的變化，需要將之前的“被動合規(guī)"轉向”主動合規(guī)"，銀行業(yè)開始思考如何借助科技創(chuàng)新和監(jiān)管新要求，對內控、合規(guī)、操作風險和審計等方面進行了進一步的拓展和整合的機會。

本文從銀行內控合規(guī)、操作風險和審計本身的業(yè)務范圍為著手點，探尋三者之間關系的同時，分析三者之間是否可形成統(tǒng)一的內控合規(guī)服務中臺，成為商業(yè)銀行內控合規(guī)服務中臺底層，在底層之上，建立各類內控合規(guī)、操作風險、內部審計的個性化業(yè)務的同時，通過數據融合、智能分析，提供各類銀行內控合規(guī)服務，幫助銀行主動把控內控合規(guī)風險。

壹

銀行內控合規(guī)、操作風險

和內部審計主要職責范圍

1.商業(yè)銀行的內控合規(guī)

一是內控管理，銀行董事會、監(jiān)事會、高級管理層以及全行員工共同參與的一個管理事項，通過制定各類制度、業(yè)務流程和實施方法，有效實現控制目標的動態(tài)過程和機制；

二是合規(guī)管理，指使銀行的經營活動與法律、規(guī)則和準則相一致，當銀行因沒有遵循法律、規(guī)則和準則可能遭受法律制裁、監(jiān)管處罰、重大財務損失和聲譽損失的合規(guī)風險。

由此可見，內控管理是指的內部控制，是一種過程管理，合規(guī)管理是銀行的基石底線；內控作為一種過程管理，通過在關鍵點設定相關的控制與檢查，從而有效保證合規(guī)管理的底線不被打破，從而降低銀行合規(guī)風險。

2.商業(yè)銀行的操作風險

作為巴塞爾資本協(xié)議劃分出的三大風險之一，商業(yè)銀行的操作風險是指由不完善或有問題的內部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險，包括法律風險，但不包括戰(zhàn)略風險和聲譽風險。

從這個定義不難看出，操作風險管理的主要重點在于以內部過程控制為基礎，對關鍵領域、環(huán)節(jié)和崗位進行評估和監(jiān)控，即時排查風險事件，有效把控總體風險，并通過收集各類損失事件，計量銀行可存在的操作風險，幫助銀行施加合適的風險緩釋。

3.商業(yè)銀行的內部審計

內部審計是銀行管理的第三道防線，商業(yè)銀行的內部審計是指銀行內部獨立、客觀的監(jiān)督、評價和咨詢活動，通過運用系統(tǒng)化和規(guī)范化的方法，審查評價并督促改善商業(yè)銀行業(yè)務經營、風險管理、內控合規(guī)和公司治理效果，促進商業(yè)銀行穩(wěn)健運行和價值提升。

內部審計通過評估、計量和報告總體風險，推動銀行實施風險管理，最大限度地防范和化解可預見的風險，在商業(yè)銀行風險管理中發(fā)揮著越來越重要的作用。

貳

內控合規(guī)、操作風險、和

內部審計三者聯(lián)系和關系

當前，在整個商業(yè)銀行領域，內控合規(guī)、操作風險作為二道防線，通過牽頭對各類法規(guī)政策的解讀和制定，并協(xié)助一道防線完善內控過程管理、把控合規(guī)底線的同時，監(jiān)督各個業(yè)務條線內控合規(guī)管理、操作風險管理落實情況，并形成各類匯總報告，向銀行高層反饋總體操作風險情況和內控合規(guī)管理情況；而內部審計作為第三道防線，以更加獨立的方式，對銀行內部開展的各類業(yè)務進行有效稽核檢查，評估整體業(yè)務經營策略執(zhí)行情況和一、二道防線整體風險管控有效性的情況下，也同時通過檢查分析內部控制管理的是否到位、合規(guī)底線是否有效把控。

雖然，二、三道防線的整體體系是一個非常完善、層層相扣的有效地、獨立地管理體系；但是，從整個“內控合規(guī)”這個領域來看，三者之間其實存在一定的關聯(lián)關系：

1 合規(guī)

合規(guī)是銀行在日常經營管理中必須堅守的底線，強調的是整個行為及活動過程都要符合內外部規(guī)定，主要處于全面風險管理體系的前端（合規(guī)審核）和中端（合規(guī)檢查）。

于此，可以提出，合規(guī)性是內部控制管理的重要標準之一，為了達成這個目標，內部控制必須要將合規(guī)管理作為整體核心組成部分之一。

2 操作風險

操作風險是建立在內部控制之上的一種風險管控管理措施，內部控制主要處于操作風險管理體系的前端，并貫穿整個過程，巴塞爾資本協(xié)議的操作風險管理則強調風險吸收能力，偏向于結果導向，如未即時制止操作風險事件可能引發(fā)合規(guī)風險，另外銀行的各類法律訴訟、行政處罰事件，也是作為計量操作風險的主要基礎數據之一。

3 審計

審計在獨立稽核的過程中，主要對整體的外部政策法規(guī)和內部制度要求，對銀行的內控合規(guī)管理，又以第三方視角形成獨立評估，有效把控整個銀行的內控合規(guī)情況。所以，可認為是內控合規(guī)管理體系的最后一道防線，如果在審計過程中還無法發(fā)現潛在的內控合規(guī)問題，則可能將這些風險暴露到監(jiān)管面前。

總結來說，無論是內控合規(guī)管理、操作風險管理還是內部審計，都需要基于政策法規(guī)要求開展一系列的控制、檢查、評估，而對于政策法規(guī)的收集，都主要在內控合規(guī)管理中進行主要實現，因此如果能夠實現以外規(guī)庫、內規(guī)庫、風險庫作為基礎，提供各類操作風險自評估、內控檢查、內控評價、內規(guī)檢查開展過程中的政策制度依據；以操作風險損失事件、內控缺陷、訴訟事件庫等作為問責、考核和整改的信息來源，實現不同管理職能的信息共享與對稱，也為后續(xù)的審計、內控合規(guī)管理提供了一些基礎數據和指標；將審計發(fā)現的問題、操作風險管理中發(fā)現的問題以及內控合規(guī)性檢查中發(fā)現的問題積累到一起，通過各類檢查發(fā)現的問題，形成面向各個管理職能的報告。

叁

銀行建立合規(guī)中臺的必要

性和可行性討論

當前政府監(jiān)管對銀行內控合規(guī)管理的要求日益嚴格，2019年國資委發(fā)布《關于加強中央企業(yè)內部控制體系建設與監(jiān)督工作的實施意見》，要求中央企業(yè)建立健全以風險管理為導向、合規(guī)管理監(jiān)督為重點，嚴格、規(guī)范、全面、有效的內控體系，實現“強內控、防風險、促合規(guī)”的管控目標，形成全面、全員、全過程、全體系的風險防控機制。該實施意見創(chuàng)新地將內控、風險、合規(guī)有機結合了起來，強調全面風險防控，可總結為“三位一體、四全風控”。

《關于加強中央企業(yè)內部控制體系建設與監(jiān)督工作的實施意見》

為此不得不引起筆者的思考，在過去的十幾年甚至幾十年中，銀行大多數將內控合規(guī)、操作風險管理、審計以獨立業(yè)務進行開展，另外行業(yè)內有些銀行將操作風險和內控合規(guī)管理雖然合并成一個系統(tǒng)，但并沒有從全行層面建立一個內控合規(guī)服務中臺，這大多數是考慮到三塊業(yè)務的獨立性，但是從長遠來看，卻存在政策制度要求無法形成集中服務、監(jiān)管動向捕捉后缺少后續(xù)的立足點在二、三道防線都開展檢查、也缺少各類內部問題的整合分析形成完整屢查屢犯問題。

于此，筆者大膽提出一種假設，是否可以在商業(yè)銀行內部建議一個內控合規(guī)服務中臺（如下方圖1所示），在這個中臺中：

一是融合各類內控合規(guī)數據，對外提供各類內控合規(guī)業(yè)務領域數據服務，二是提供相同的內控合規(guī)統(tǒng)一工具平臺，對外提供各類內控合規(guī)業(yè)務領域工具服務。通過內控合規(guī)、操作風險與監(jiān)管審計的融合形成三位一體的合規(guī)服務中臺，圍繞“體系融合、合規(guī)賦能、智能系統(tǒng)”的思路，深入推進內控合規(guī)管理、操作風險管理以及監(jiān)管審計管理，有效發(fā)揮協(xié)同效應，提升集約化、共享化和智能化管理水平。

▲ 圖1：內控合規(guī)、操作風險與審計所形成的合規(guī)服務中臺思路

在這個數據中臺中，通過提供工具服務方式達到整體合規(guī)服務的數字化、智能化，這里提供的服務，主要包括兩個方面：

一是提供統(tǒng)一的模型市場非現場檢查，在目前銀行的審計和操作風險管理過程中，通過模型開展的非現場檢查已經比比皆是，但對于內控合規(guī)領域仍不常見，因此可通過這個工具服務的共享，幫助內控合規(guī)部門有更好的智能化、數字化手段挖掘合規(guī)風險線索，另外，作為數字化創(chuàng)新轉型的一個重要體現，通過建立工具上的共享，并基于工具上的數據輸出與各類管理工具進行銜接，完善二三道防線的預警體系，有效幫助二三道防線的業(yè)務人員管控風險。

二是提供統(tǒng)一的分析平臺，無論是內控合規(guī)管理、操作風險管理還是審計管理，都需要通過各類分析平臺，形成相關指標的監(jiān)控，最終形成儀表盤，于此，可以考慮建立統(tǒng)一工具，基于統(tǒng)一的數據集市，抽取數據形成相關指標、儀表盤，促進整體內控合規(guī)服務的數字化。

在數據中臺中，通過融合各個領域的數據，提供統(tǒng)一的數據服務于二三道防線業(yè)務之中，具體可形成的數據服務包括：

1.行內基礎的合規(guī)要求：內部制度、外部制度

2.問題庫：內部一二道防線發(fā)現的問題庫、審計發(fā)現的問題庫、監(jiān)管發(fā)現問題庫

3.監(jiān)管信息庫：監(jiān)管處罰信息、同業(yè)處罰信息、監(jiān)管近期動向信息

4.員工行為檔案：員工違規(guī)信息、員工被重點關注信息

通過這些數據服務，可以對外應用到以下合規(guī)服務場景中，幫助銀行更好地把控內控合規(guī)風險：

1.對業(yè)務部門內部的各種分析、檢查、報告，提供各類數據源頭

2.基于各種動態(tài)邏輯，組合獲得對應業(yè)務、產品的制度數據信息

3.基于各種動態(tài)邏輯，抽取對應的內部員工風險信息

4.基于各種動態(tài)邏輯，抽取各類業(yè)務、產品、條線、部門的重大重要問題或屢查屢犯問題，推送各場景下目前已發(fā)現問題情況

5.基于各種動態(tài)邏輯，抽取各種監(jiān)管動態(tài)信息，包括處罰、檢查，推送各場景下監(jiān)管關注重點

6.基于各種動態(tài)邏輯，抽取相關的KRI指標，形成對應的風險指標提示

總結來講：從數據共享，方法工具共享，API服務打通，更多依賴EAST數據報送的高質量數據，加快和更加依賴非現場檢查方法。從監(jiān)管的視角統(tǒng)一標準，以監(jiān)管罰單和監(jiān)管檢查發(fā)現問題為導向，建立常態(tài)化的大數據監(jiān)控平臺，提供數據分析工具和模型市場提高跨部門協(xié)同工作效率。

如果你喜歡我們的文章，請幫忙“點贊 關注”?；蜿P注公眾號“和合信諾”。