■中国农业银行内控合规监督部 李 林 刘丽芹
当前,强监管、严监管、深监管呈常态化趋势,银保监会密集出台一系列“防风险、治乱象、补短板”的重大举措,监管处罚问责力度前所未有,商业银行面临巨大监管压力。随着数字化转型的深入推进,依托企业级业务架构建设,深入推进内部控制、合规管理、案件防控、操作风险管理“四位一体”建设,构建适应新时期发展的集约化、共享化和智能化内控体系,对商业银行有效提升内控合规管理水平,保障业务安全稳健运行具有重要意义。
(一)内涵和渊源
1.内部控制。企业内部控制的产生源于委托代理机制。国际上关于内部控制的理论研究,主要有COSO体系①,详见表1。
表1 BASEL和COSO关于内部控制的主要规定
国内银行业内部控制最早见于1997年人行《加强金融机构内部控制的指导原则》,2008年财政部、人行等五部委发布《企业内部控制基本规范》,2014年银监会发布《商业银行内部控制指引》。2019年国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》。银监会指引指出,内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。
2.合规。金融行业是一个严监管行业,合规是银行经营管理的底线要求。合规和合规风险最早见于2005年巴塞尔委员会《合规与银行内部合规部门》,2006年银监会发布《商业银行合规风险管理指引》。2018年,国务院国资委发布了《中央企业合规管理指引(试行)》,国家发改委、外交部等七部委联合印发《企业境外经营合规管理指引》。2019年银保监会下发《关于加强中资商业银行境外机构合规管理长效机制建设的指导意见》。根据银监会定义,合规是指使商业银行的经营活动与法律、规则和准则相一致,合规风险是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险,合规管理是商业银行一项核心的风险管理活动。
3.操作风险。操作风险是巴塞尔资本协议划分的三大风险之一。风险管理体系有巴塞尔委员会针对银行业的以资本管理为核心的体系和COSO普遍适用于企业的全面风险管理体系,详见表2。
表2 BASEL和COSO关于风险管理的主要规定
中国银保监会发布的《商业银行操作风险管理指引》(2007年)、《银行业金融机构全面风险管理指引》(2016年)对银行业操作风险管理提出了监管要求。银保监会定义的操作风险,是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。
4.案防。案件风险一直是我国银行业特别重视的一项重要风险。加强案防工作,维护金融机构安全稳健运行,也是监管的重要职责。银监部门先后下发了《银行业案防工作办法》《银行业金融机构案件风险排查管理办法》等文件。降低案件发生率、防止大案要案发生,也是各家银行经营管理的重要考核目标。案件风险指本行员工独立实施或参与实施的,或本行以外的单位和人员实施的,侵犯本行或客户合法权益,已由公安、司法、监察等机关立案查处的刑事犯罪案件或可能演化为刑事犯罪案件的事件引发的风险。
(二)相互关系分析
当前,业内业外对内部控制和风险管理关系的认识上还存在三个不足,即将全面风险管理等同于资本管理,将风险管理等同于内部控制,将内部控制等同于合规。相对应地产生三大问题:过度依赖资本在风险管理中的作用;
银行风险管理和内部控制两套体系存在职能重叠和割裂;
银行内部控制体系弱化引发多类风险。笔者对这几个概念尝试区分如下:
一是内部控制和风险管理之间的关系。按照COSO的全面风险管理理念,内部控制是风险管理的基础组成部分,也是风险管理最重要的基石。内部控制主要处于全面风险管理体系的前端,并贯穿整个过程。巴塞尔资本协议的风险管理则强调风险吸收能力,偏向于结果导向。
二是内部控制与合规管理关系。巴塞尔委员会《有效银行监管核心原则》中,明确二者关系:一是合规是内部控制的目标之一,二是合规管理是内部控制的必要组成部分。合规是银行在日常经营管理中必须坚守的底线,强调的是整个行为及活动过程都要符合内外部规定,主要处于全面风险管理体系的前端(合规审核)和中端(合规检查)。
三是操作风险与合规风险、案件风险的关系。操作风险事件可能引发合规风险。一些违反法律法规等强制性规定的行为直接构成金融犯罪,如反洗钱行为、非法集资、非法放贷、金融诈骗等行为,将会招致刑事调查和刑事处罚,构成案件风险。因此,案件是操作风险的极端表现形式。举个例子,以保障人体健康来说,内部控制指不仅要经常检查身体情况,注意饮食起居,防止外邪,以保证身体健康,还要加强锻炼,强健体魄。风险管理更主要的是要筹措医疗费用、开展检查和治疗。合规是保证病人获得最基本医疗保障和救治的基本医保体系。案防则是如何防止人得大病重疾。四个方面虽各有侧重,但相互关联。
2019年国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》,要求中央企业建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,实现“强内控、防风险、促合规”的管控目标,形成全面、全员、全过程、全体系的风险防控机制。该实施意见创新地将内控、风险、合规有机结合了起来,强调全面风险防控,可总结为“三位一体、四全风控”。
围绕“体系融合、风控赋能、智能系统、监督闭环”思路,以内控数字化建设为引领,以合规(含反洗钱制裁合规)经营为底线,以案件防控为重点,以操作风险管理工具为主要手段,深入推进银行业内部控制、合规管理、案件防控、操作风险管理“四位一体”建设,有效发挥协同效应,提升集约化、共享化和智能化管理水平,保障全行业务安全稳健运行。
(一)一体化管理的可行性
一是理论框架上的可行性。根据COSO框架,内部控制通过适当的控制手段,确保将各类风险(含操作风险、合规风险、案件风险)控制在合理限度,以实现内部控制目标。内控、合规、操作风险等体系框架,均以风险为导向,以制度及流程为基础,以风险点与控制点的识别与评估为主要手段,通过管理工具的落地实现流程优化、对重点领域实现风险管控。
从风险流程和内部控制五要素来看,也具备理论整合的可行性,见图1。
图1 理论框架的可行性
二是监管要求的一致性。银保监会、人民银行就内部控制、合规管理、操作风险管理、案件防控和反洗钱管理等监管制度,管理思路相对一致,将操作风险、内控、合规以及案件防控进行整合,符合监管导向,也具备可行性。
三是工具方法的通用性。整合的方法是求同存异、合并同类项、厘清体系工作要素之间的相互关系,将原并行开展的多项工作,在一条流程上合理衔接并配套相应工作成果和工具表单,最终形成全流程、高效协作的一体化管理体系。
如将内控、合规、操作风险的20项具体工作合并为9项主要工作,形成整合管理的基本框架。整合管理的主要事项包括流程梳理、风险控制识别与评估、关键风险指标、风险事件收集、检查、问题整改、管理报告、考核评价以及信息系统等,详见表3。
表3 工具方法的通用性
四是业务系统的通用性。在管理信息系统中,能够实现以外规库、内规库、风险库、制度库作为基础,满足操作风险自评估、内控检查、内控评价、内规检查等需求,实现满足各个检查点的基础信息检索;
以操作风险损失事件、内控缺陷、案件库等作为问责、考核和整改的信息来源,实现不同管理职能的信息共享与对称;
通过各类检查发现的问题,形成面向各个管理职能的报告。
五是组织保障的协同性。近年来,银行业内部对合规和内控管理也日益重视,合规和内控在行内绩效考核中占比明显提升,重要程度日渐提高。同时,国内银行业纷纷进行中后台架构调整,一个重要的调整就是把原来放在风险管理条线的操作风险管理调整到合规条线。这为内控合规及操作风险的一体化管理提供了组织保障。
(二)一体化实施建议
一体化管理是一个复杂的、系统的、长期的工程,需运用企业级业务架构思维与方法,从制度建设、流程标准、工具技术、检查监督、成果报告和信息系统等6个方面,整合内控、合规、案防和操作风险管理体系。
一是梳理规章制度体系,做好外规内化。制度是内控、合规、案防和操作风险管理的起点。全面梳理优化制度体系框架,明确制度层级和逻辑关系,修订完善各项制度内容,列出制度中的主要风险点和控制点,保证外部监管要求均在内部制度中体现。
二是解析风控关键流程,嵌入内控合规管理要求。按照企业级业务架构建设的流程框架与规范标准要求,全面理顺流程节点,优化流程效率。建立业务流程图、流程分析表、风险评估表、控制评估表,将这些风控工具作为共享业务组件,嵌入业务流程和信息系统,使得业务流程及其内嵌的风控规则自动化执行,实现风险识别、评估、实时监测、自动预警、及时纠偏,解决传统风险管理中的片面性、模糊性、主观性和滞后性等问题,提升风控效率和效果。
三是构建“四大工具”,强化风险实时管控。在操作风险损失数据收集(LDC)、风险与控制自我评估(RCSA)、关键风险指标(KRI)基础上,增加案防合规领域的大数据模型监测工具,建立管理工具间相互衔接及成果应用机制,完善风险预警体系,有效管控风险。
四是推进检查协同,健全多位一体大监督体系。立足监督体制机制创新,积极推进监督资源整合,以“全覆盖、深检查、少交叉”为目标,通过计划统筹、信息共享、成果互用、联合整改等方式,促进形成“多位一体”大监督格局,打造全方位监督网络。
五是强化报告统筹,提升数据分析价值。整合第一道防线上报的各种报告,减少重复报送内容,形成包含风险评估、监测与检查、问题整改等内容的综合管理报告,并按照各取所需原则在第二道防线内部共享使用。
六是建设企业级信息系统,夯实数据共享共用基础。基于企业级业务架构方法论,构建标准化、组件化的业务架构,推动企业级的系统功能共用、数据共享、基础统一,从而解决数据分割、信息“孤岛”问题。运用ABCD(人工智能、区块链、云计算和大数据)等新兴技术,切入不同业务和应用场景,分析挖掘各类风险数据,打造数据整合共享、视图统一完整、模型智能高效、风险分类管控的智能平台。
(一)数字化转型面临的挑战
随着银行业数字化转型和科技创新,银行业务运营模式呈现出四个方面的转变:逐步由线下向线上化、移动化转变,由分散化向集中化转变,由面对面服务向远程非接触式服务转变,由单一客户营销向场景和生态圈创建转变。这些变化对银行而言,在制度机制、数据安全、风险模型、金融科技人才队伍建设等方面提出严峻挑战。
一是线上业务风险体系有待进一步完善。线上业务配套的内控合规政策、制度、流程和系统尚不健全,未能在系统全面梳理线上业务风险特征后对风控体系进行适应性改造。
二是数据安全风险有待进一步防控。生产交易系统资金安全风险增加,信息系统业务连续性风险不断加大,危害金融关键信息基础设施稳定的大规模网络攻击日益频繁,客户信息泄露风险日趋严峻。
三是风控模型有待进一步完善。不同业务部门对同一风险领域分别设计不同的风控模型,缺乏统筹,风险模型的覆盖面不足,模型验证不够及时,风险模型的迭代能力有待提升。
四是金融科技队伍建设存在一定差距。非现场监测和大数据分析成为内控合规的主要手段。但内控合规管理领域既懂金融科技又懂内控合规管理的人才相对较少,同时缺少金融科技人才引进、培养机制,具备建模能力的内控合规管理人员非常紧缺。
(二)数字化风控应对策略
通过加强数字化建设,推动组织体系、理念文化、风险数据和模型、信息系统的优化完善,建立与数字化转型相匹配的风控体系,适应运营模式“四个转变”,实现内控合规工作的“四个转变”:从现场检查为主向非现场监测为主转变,从属地分散管理向集中式条线管理转变,从重点抓基层合规操作向重点抓线上模型风险和数据安全转变,从单一客户行为分析向客户产业链和生态圈特征分析转变。
1.组织体系和理念文化再造。一是优化组织架构。立足业务风险防控,按照能机控尽量机控、能集中尽量集中、能上收尽量上收、能外包尽量外包的“四尽”管控原则,在传统总分行制、事业部制的基础上,探索总行直接经营和集中操作模式的风控新措施。二是重塑理念文化。牢固树立规则约束理念,银行经营管理除了强化“资本约束、风险约束、财务约束”外,还要将规则约束理念贯穿业务全流程。探索建立全球合规管理体系,全球系统重要性银行不仅要遵守中国法律法规和联合国决议,也要充分考虑境外合规的复杂情况,不与东道国的法律法规发生冲突,保证全球银行业监管达标。借鉴“监管沙盒”的理念,对新业务、新技术设立风险隔离机制,在可控范围进行试点运行,成熟后再逐步推广。建立创新风险容忍度机制,在风险可控的情况下,建立金融科技技术创新风险的容错机制,尝试推行尽职免责机制。
2.制度流程再造。一是完善制度。形成层次分明、覆盖全面、效力规范的制度体系,能够全面对接监管要求和公司战略。二是再造流程。建立并构造符合企业级业务架构的标准化模块化通用型流程体系,减少企业产品壁垒和系统竖井。三是落实责任。明确各业务环节各操作步骤的责任人及各自责任,特别是新的业务模型业务流程各环节的责任人。四是强化考核。只有挂钩绩效考核体系,才能切实调动各级机构各个岗位的积极性。
3.风险数据再造。一是统一客户风险视图。以客户为中心,归集行内客户系统信息,解决行内数据分割、信息“孤岛”导致的不同机构、不同业务之间策略不一致、不协调等问题。二是强化外部数据、非结构化数据应用。引入工商、司法、海关、税务、房产等官方数据,整合人脸识别、语音识别、图像识别等技术,加强对非结构化数据的应用。三是改进数据挖掘技术。深化大数据、人工智能技术在信用风险、市场风险、操作风险等领域的应用,构建数据驱动式的智能风险分析、监控、决策支持引擎。四是完善大数据风控体系。建立以大数据为基础,以技术和模型为驱动,以企业级管理信息系统为载体,聚焦信贷管理、运营管理、科技案防、反洗钱、反欺诈等重点风控领域,通过金融科技赋能风险防控,实现业务管理和风险管控有机融合,提高风险管理的有效性、准确性、实时性和智能化水平。五是加强数据安全和客户信息保护。加强数据源头安全管控,推动GDPR等跨境数据安全合规项目落地建设。对标国内外信息安全管理法律法规,利用信息安全技术手段,改进管理和技术上的薄弱环节,加强客户信息保护,完善信息安全风险管理体系。如在数据全生命周期管理过程中,加强身份认证、访问控制、数据加密等保障措施管理,防范数据篡改、泄露风险。
4.突出模型风险管理。一是构建覆盖全流程的模型体系。包括风险评级、风险计量、风险监测、隐性关系、传导模型、压力测试、情景分析等模型,完善模型的关联关系。二是强化模型自适应、自学习能力。实现风险模型的快速更新和部署,全面提升风险管控智能化水平。三是模型风险验证和评估。建立模型控制流程,持续监测模型运行情况,定期对已运行模型效果进行验证和评估,及时校准模型及其相关参数。
5.构建企业级智能风险管控平台。一是加强智能工具应用。以“数据”和“模型”为创新驱动力,全面整合各领域风险识别、计量、监测、报告及控制能力,运用人工智能、大数据、区块链等新技术,强化系统对数据的获取、分析与应用能力。二是推进智能系统建设。基于企业级业务架构建设,打造以风险监测模型管控中心、风险数据挖掘平台、风险数据集市为核心的企业级智能风险管控平台,为各类产品提供能力归一化、服务组件化、灵活配置化的风险管控服务,以前瞻性、智能化进行风险识别、监测、预警、报告和管控,全方位提升风险管理数字化、智能化水平。
注释
① 美国反虚假财务报告委员会下属的发起人委员会。
猜你喜欢 合规风险管理流程 吃水果有套“清洗流程”今日农业(2021年10期)2021-07-28对企业合规风险管理的思考现代经济信息(2020年34期)2020-06-08外贸企业海关合规重点提示中国外汇(2019年20期)2019-11-25GDPR实施下的企业合规管理中国外汇(2019年16期)2019-11-16加强小额贷款企业风险管理与防范探讨活力(2019年22期)2019-03-16房地产合作开发项目的风险管理商周刊(2018年23期)2018-11-26违反流程 致命误判劳动保护(2018年5期)2018-06-05四川省高考志愿填报流程简图高校招生(2017年7期)2017-06-30析OGSA-DAI工作流程办公自动化(2016年18期)2016-08-20发达国家商业银行操作风险管理的经验借鉴现代企业(2015年6期)2015-02-28