#頭條創(chuàng)作挑戰(zhàn)賽#

當前，強監(jiān)管、嚴監(jiān)管、深監(jiān)管呈常態(tài)化趨勢，銀保監(jiān)會密集出臺一系列“防風險、治亂象、補短板”的重大舉措，監(jiān)管處罰問責力度前所未有，商業(yè)銀行面臨巨大壓力，為了更好地應(yīng)對這一監(jiān)管要求的變化，需要將之前的“被動合規(guī)"轉(zhuǎn)向”主動合規(guī)"，銀行業(yè)開始思考如何借助科技創(chuàng)新和監(jiān)管新要求，對內(nèi)控、合規(guī)、操作風險和審計等方面進行了進一步的拓展和整合的機會。

本文從銀行內(nèi)控合規(guī)、操作風險和審計本身的業(yè)務(wù)范圍為著手點，探尋三者之間關(guān)系的同時，分析三者之間是否可形成統(tǒng)一的內(nèi)控合規(guī)服務(wù)中臺，成為商業(yè)銀行內(nèi)控合規(guī)服務(wù)中臺底層，在底層之上，建立各類內(nèi)控合規(guī)、操作風險、內(nèi)部審計的個性化業(yè)務(wù)的同時，通過數(shù)據(jù)融合、智能分析，提供各類銀行內(nèi)控合規(guī)服務(wù)，幫助銀行主動把控內(nèi)控合規(guī)風險。

壹

銀行內(nèi)控合規(guī)、操作風險

和內(nèi)部審計主要職責范圍

1.商業(yè)銀行的內(nèi)控合規(guī)

一是內(nèi)控管理，銀行董事會、監(jiān)事會、高級管理層以及全行員工共同參與的一個管理事項，通過制定各類制度、業(yè)務(wù)流程和實施方法，有效實現(xiàn)控制目標的動態(tài)過程和機制；

二是合規(guī)管理，指使銀行的經(jīng)營活動與法律、規(guī)則和準則相一致，當銀行因沒有遵循法律、規(guī)則和準則可能遭受法律制裁、監(jiān)管處罰、重大財務(wù)損失和聲譽損失的合規(guī)風險。

由此可見，內(nèi)控管理是指的內(nèi)部控制，是一種過程管理，合規(guī)管理是銀行的基石底線；內(nèi)控作為一種過程管理，通過在關(guān)鍵點設(shè)定相關(guān)的控制與檢查，從而有效保證合規(guī)管理的底線不被打破，從而降低銀行合規(guī)風險。

2.商業(yè)銀行的操作風險

作為巴塞爾資本協(xié)議劃分出的三大風險之一，商業(yè)銀行的操作風險是指由不完善或有問題的內(nèi)部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險，包括法律風險，但不包括戰(zhàn)略風險和聲譽風險。

從這個定義不難看出，操作風險管理的主要重點在于以內(nèi)部過程控制為基礎(chǔ)，對關(guān)鍵領(lǐng)域、環(huán)節(jié)和崗位進行評估和監(jiān)控，即時排查風險事件，有效把控總體風險，并通過收集各類損失事件，計量銀行可存在的操作風險，幫助銀行施加合適的風險緩釋。

3.商業(yè)銀行的內(nèi)部審計

內(nèi)部審計是銀行管理的第三道防線，商業(yè)銀行的內(nèi)部審計是指銀行內(nèi)部獨立、客觀的監(jiān)督、評價和咨詢活動，通過運用系統(tǒng)化和規(guī)范化的方法，審查評價并督促改善商業(yè)銀行業(yè)務(wù)經(jīng)營、風險管理、內(nèi)控合規(guī)和公司治理效果，促進商業(yè)銀行穩(wěn)健運行和價值提升。

內(nèi)部審計通過評估、計量和報告總體風險，推動銀行實施風險管理，最大限度地防范和化解可預(yù)見的風險，在商業(yè)銀行風險管理中發(fā)揮著越來越重要的作用。

貳

內(nèi)控合規(guī)、操作風險、和

內(nèi)部審計三者聯(lián)系和關(guān)系

當前，在整個商業(yè)銀行領(lǐng)域，內(nèi)控合規(guī)、操作風險作為二道防線，通過牽頭對各類法規(guī)政策的解讀和制定，并協(xié)助一道防線完善內(nèi)控過程管理、把控合規(guī)底線的同時，監(jiān)督各個業(yè)務(wù)條線內(nèi)控合規(guī)管理、操作風險管理落實情況，并形成各類匯總報告，向銀行高層反饋總體操作風險情況和內(nèi)控合規(guī)管理情況；而內(nèi)部審計作為第三道防線，以更加獨立的方式，對銀行內(nèi)部開展的各類業(yè)務(wù)進行有效稽核檢查，評估整體業(yè)務(wù)經(jīng)營策略執(zhí)行情況和一、二道防線整體風險管控有效性的情況下，也同時通過檢查分析內(nèi)部控制管理的是否到位、合規(guī)底線是否有效把控。

雖然，二、三道防線的整體體系是一個非常完善、層層相扣的有效地、獨立地管理體系；但是，從整個“內(nèi)控合規(guī)”這個領(lǐng)域來看，三者之間其實存在一定的關(guān)聯(lián)關(guān)系：

1 合規(guī)

合規(guī)是銀行在日常經(jīng)營管理中必須堅守的底線，強調(diào)的是整個行為及活動過程都要符合內(nèi)外部規(guī)定，主要處于全面風險管理體系的前端（合規(guī)審核）和中端（合規(guī)檢查）。

于此，可以提出，合規(guī)性是內(nèi)部控制管理的重要標準之一，為了達成這個目標，內(nèi)部控制必須要將合規(guī)管理作為整體核心組成部分之一。

2 操作風險

操作風險是建立在內(nèi)部控制之上的一種風險管控管理措施，內(nèi)部控制主要處于操作風險管理體系的前端，并貫穿整個過程，巴塞爾資本協(xié)議的操作風險管理則強調(diào)風險吸收能力，偏向于結(jié)果導(dǎo)向，如未即時制止操作風險事件可能引發(fā)合規(guī)風險，另外銀行的各類法律訴訟、行政處罰事件，也是作為計量操作風險的主要基礎(chǔ)數(shù)據(jù)之一。

3 審計

審計在獨立稽核的過程中，主要對整體的外部政策法規(guī)和內(nèi)部制度要求，對銀行的內(nèi)控合規(guī)管理，又以第三方視角形成獨立評估，有效把控整個銀行的內(nèi)控合規(guī)情況。所以，可認為是內(nèi)控合規(guī)管理體系的最后一道防線，如果在審計過程中還無法發(fā)現(xiàn)潛在的內(nèi)控合規(guī)問題，則可能將這些風險暴露到監(jiān)管面前。

總結(jié)來說，無論是內(nèi)控合規(guī)管理、操作風險管理還是內(nèi)部審計，都需要基于政策法規(guī)要求開展一系列的控制、檢查、評估，而對于政策法規(guī)的收集，都主要在內(nèi)控合規(guī)管理中進行主要實現(xiàn)，因此如果能夠?qū)崿F(xiàn)以外規(guī)庫、內(nèi)規(guī)庫、風險庫作為基礎(chǔ)，提供各類操作風險自評估、內(nèi)控檢查、內(nèi)控評價、內(nèi)規(guī)檢查開展過程中的政策制度依據(jù)；以操作風險損失事件、內(nèi)控缺陷、訴訟事件庫等作為問責、考核和整改的信息來源，實現(xiàn)不同管理職能的信息共享與對稱，也為后續(xù)的審計、內(nèi)控合規(guī)管理提供了一些基礎(chǔ)數(shù)據(jù)和指標；將審計發(fā)現(xiàn)的問題、操作風險管理中發(fā)現(xiàn)的問題以及內(nèi)控合規(guī)性檢查中發(fā)現(xiàn)的問題積累到一起，通過各類檢查發(fā)現(xiàn)的問題，形成面向各個管理職能的報告。

叁

銀行建立合規(guī)中臺的必要

性和可行性討論

當前政府監(jiān)管對銀行內(nèi)控合規(guī)管理的要求日益嚴格，2019年國資委發(fā)布《關(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見》，要求中央企業(yè)建立健全以風險管理為導(dǎo)向、合規(guī)管理監(jiān)督為重點，嚴格、規(guī)范、全面、有效的內(nèi)控體系，實現(xiàn)“強內(nèi)控、防風險、促合規(guī)”的管控目標，形成全面、全員、全過程、全體系的風險防控機制。該實施意見創(chuàng)新地將內(nèi)控、風險、合規(guī)有機結(jié)合了起來，強調(diào)全面風險防控，可總結(jié)為“三位一體、四全風控”。

《關(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見》

為此不得不引起筆者的思考，在過去的十幾年甚至幾十年中，銀行大多數(shù)將內(nèi)控合規(guī)、操作風險管理、審計以獨立業(yè)務(wù)進行開展，另外行業(yè)內(nèi)有些銀行將操作風險和內(nèi)控合規(guī)管理雖然合并成一個系統(tǒng)，但并沒有從全行層面建立一個內(nèi)控合規(guī)服務(wù)中臺，這大多數(shù)是考慮到三塊業(yè)務(wù)的獨立性，但是從長遠來看，卻存在政策制度要求無法形成集中服務(wù)、監(jiān)管動向捕捉后缺少后續(xù)的立足點在二、三道防線都開展檢查、也缺少各類內(nèi)部問題的整合分析形成完整屢查屢犯問題。

于此，筆者大膽提出一種假設(shè)，是否可以在商業(yè)銀行內(nèi)部建議一個內(nèi)控合規(guī)服務(wù)中臺（如下方圖1所示），在這個中臺中：

一是融合各類內(nèi)控合規(guī)數(shù)據(jù)，對外提供各類內(nèi)控合規(guī)業(yè)務(wù)領(lǐng)域數(shù)據(jù)服務(wù)，二是提供相同的內(nèi)控合規(guī)統(tǒng)一工具平臺，對外提供各類內(nèi)控合規(guī)業(yè)務(wù)領(lǐng)域工具服務(wù)。通過內(nèi)控合規(guī)、操作風險與監(jiān)管審計的融合形成三位一體的合規(guī)服務(wù)中臺，圍繞“體系融合、合規(guī)賦能、智能系統(tǒng)”的思路，深入推進內(nèi)控合規(guī)管理、操作風險管理以及監(jiān)管審計管理，有效發(fā)揮協(xié)同效應(yīng)，提升集約化、共享化和智能化管理水平。

▲ 圖1：內(nèi)控合規(guī)、操作風險與審計所形成的合規(guī)服務(wù)中臺思路

在這個數(shù)據(jù)中臺中，通過提供工具服務(wù)方式達到整體合規(guī)服務(wù)的數(shù)字化、智能化，這里提供的服務(wù)，主要包括兩個方面：

一是提供統(tǒng)一的模型市場非現(xiàn)場檢查，在目前銀行的審計和操作風險管理過程中，通過模型開展的非現(xiàn)場檢查已經(jīng)比比皆是，但對于內(nèi)控合規(guī)領(lǐng)域仍不常見，因此可通過這個工具服務(wù)的共享，幫助內(nèi)控合規(guī)部門有更好的智能化、數(shù)字化手段挖掘合規(guī)風險線索，另外，作為數(shù)字化創(chuàng)新轉(zhuǎn)型的一個重要體現(xiàn)，通過建立工具上的共享，并基于工具上的數(shù)據(jù)輸出與各類管理工具進行銜接，完善二三道防線的預(yù)警體系，有效幫助二三道防線的業(yè)務(wù)人員管控風險。

二是提供統(tǒng)一的分析平臺，無論是內(nèi)控合規(guī)管理、操作風險管理還是審計管理，都需要通過各類分析平臺，形成相關(guān)指標的監(jiān)控，最終形成儀表盤，于此，可以考慮建立統(tǒng)一工具，基于統(tǒng)一的數(shù)據(jù)集市，抽取數(shù)據(jù)形成相關(guān)指標、儀表盤，促進整體內(nèi)控合規(guī)服務(wù)的數(shù)字化。

在數(shù)據(jù)中臺中，通過融合各個領(lǐng)域的數(shù)據(jù)，提供統(tǒng)一的數(shù)據(jù)服務(wù)于二三道防線業(yè)務(wù)之中，具體可形成的數(shù)據(jù)服務(wù)包括：

1.行內(nèi)基礎(chǔ)的合規(guī)要求：內(nèi)部制度、外部制度

2.問題庫：內(nèi)部一二道防線發(fā)現(xiàn)的問題庫、審計發(fā)現(xiàn)的問題庫、監(jiān)管發(fā)現(xiàn)問題庫

3.監(jiān)管信息庫：監(jiān)管處罰信息、同業(yè)處罰信息、監(jiān)管近期動向信息

4.員工行為檔案：員工違規(guī)信息、員工被重點關(guān)注信息

通過這些數(shù)據(jù)服務(wù)，可以對外應(yīng)用到以下合規(guī)服務(wù)場景中，幫助銀行更好地把控內(nèi)控合規(guī)風險：

1.對業(yè)務(wù)部門內(nèi)部的各種分析、檢查、報告，提供各類數(shù)據(jù)源頭

2.基于各種動態(tài)邏輯，組合獲得對應(yīng)業(yè)務(wù)、產(chǎn)品的制度數(shù)據(jù)信息

3.基于各種動態(tài)邏輯，抽取對應(yīng)的內(nèi)部員工風險信息

4.基于各種動態(tài)邏輯，抽取各類業(yè)務(wù)、產(chǎn)品、條線、部門的重大重要問題或?qū)也閷曳竼栴}，推送各場景下目前已發(fā)現(xiàn)問題情況

5.基于各種動態(tài)邏輯，抽取各種監(jiān)管動態(tài)信息，包括處罰、檢查，推送各場景下監(jiān)管關(guān)注重點

6.基于各種動態(tài)邏輯，抽取相關(guān)的KRI指標，形成對應(yīng)的風險指標提示

總結(jié)來講：從數(shù)據(jù)共享，方法工具共享，API服務(wù)打通，更多依賴EAST數(shù)據(jù)報送的高質(zhì)量數(shù)據(jù)，加快和更加依賴非現(xiàn)場檢查方法。從監(jiān)管的視角統(tǒng)一標準，以監(jiān)管罰單和監(jiān)管檢查發(fā)現(xiàn)問題為導(dǎo)向，建立常態(tài)化的大數(shù)據(jù)監(jiān)控平臺，提供數(shù)據(jù)分析工具和模型市場提高跨部門協(xié)同工作效率。

如果你喜歡我們的文章，請幫忙“點贊 關(guān)注”?；蜿P(guān)注公眾號“和合信諾”。