■中國農(nóng)業(yè)銀行內(nèi)控合規(guī)監(jiān)督部 李 林 劉麗芹

當前，強監(jiān)管、嚴監(jiān)管、深監(jiān)管呈常態(tài)化趨勢，銀保監(jiān)會密集出臺一系列“防風險、治亂象、補短板”的重大舉措，監(jiān)管處罰問責力度前所未有，商業(yè)銀行面臨巨大監(jiān)管壓力。隨著數(shù)字化轉型的深入推進，依托企業(yè)級業(yè)務架構建設，深入推進內(nèi)部控制、合規(guī)管理、案件防控、操作風險管理“四位一體”建設，構建適應新時期發(fā)展的集約化、共享化和智能化內(nèi)控體系，對商業(yè)銀行有效提升內(nèi)控合規(guī)管理水平，保障業(yè)務安全穩(wěn)健運行具有重要意義。

一、內(nèi)控、合規(guī)、操作風險、案防四者關系

（一）內(nèi)涵和淵源

1.內(nèi)部控制。企業(yè)內(nèi)部控制的產(chǎn)生源于委托代理機制。國際上關于內(nèi)部控制的理論研究，主要有COSO體系①，詳見表1。

表1 BASEL和COSO關于內(nèi)部控制的主要規(guī)定

國內(nèi)銀行業(yè)內(nèi)部控制最早見于1997年人行《加強金融機構內(nèi)部控制的指導原則》，2008年財政部、人行等五部委發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》，2014年銀監(jiān)會發(fā)布《商業(yè)銀行內(nèi)部控制指引》。2019年國資委發(fā)布《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》。銀監(jiān)會指引指出，內(nèi)部控制是商業(yè)銀行董事會、監(jiān)事會、高級管理層和全體員工參與的，通過制定和實施系統(tǒng)化的制度、流程和方法，實現(xiàn)控制目標的動態(tài)過程和機制。

2.合規(guī)。金融行業(yè)是一個嚴監(jiān)管行業(yè)，合規(guī)是銀行經(jīng)營管理的底線要求。合規(guī)和合規(guī)風險最早見于2005年巴塞爾委員會《合規(guī)與銀行內(nèi)部合規(guī)部門》，2006年銀監(jiān)會發(fā)布《商業(yè)銀行合規(guī)風險管理指引》。2018年，國務院國資委發(fā)布了《中央企業(yè)合規(guī)管理指引（試行）》，國家發(fā)改委、外交部等七部委聯(lián)合印發(fā)《企業(yè)境外經(jīng)營合規(guī)管理指引》。2019年銀保監(jiān)會下發(fā)《關于加強中資商業(yè)銀行境外機構合規(guī)管理長效機制建設的指導意見》。根據(jù)銀監(jiān)會定義，合規(guī)是指使商業(yè)銀行的經(jīng)營活動與法律、規(guī)則和準則相一致，合規(guī)風險是指商業(yè)銀行因沒有遵循法律、規(guī)則和準則可能遭受法律制裁、監(jiān)管處罰、重大財務損失和聲譽損失的風險，合規(guī)管理是商業(yè)銀行一項核心的風險管理活動。

3.操作風險。操作風險是巴塞爾資本協(xié)議劃分的三大風險之一。風險管理體系有巴塞爾委員會針對銀行業(yè)的以資本管理為核心的體系和COSO普遍適用于企業(yè)的全面風險管理體系，詳見表2。

表2 BASEL和COSO關于風險管理的主要規(guī)定

中國銀保監(jiān)會發(fā)布的《商業(yè)銀行操作風險管理指引》（2007年）、《銀行業(yè)金融機構全面風險管理指引》（2016年）對銀行業(yè)操作風險管理提出了監(jiān)管要求。銀保監(jiān)會定義的操作風險，是指由不完善或有問題的內(nèi)部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險，包括法律風險，但不包括戰(zhàn)略風險和聲譽風險。

4.案防。案件風險一直是我國銀行業(yè)特別重視的一項重要風險。加強案防工作，維護金融機構安全穩(wěn)健運行，也是監(jiān)管的重要職責。銀監(jiān)部門先后下發(fā)了《銀行業(yè)案防工作辦法》《銀行業(yè)金融機構案件風險排查管理辦法》等文件。降低案件發(fā)生率、防止大案要案發(fā)生，也是各家銀行經(jīng)營管理的重要考核目標。案件風險指本行員工獨立實施或參與實施的，或本行以外的單位和人員實施的，侵犯本行或客戶合法權益，已由公安、司法、監(jiān)察等機關立案查處的刑事犯罪案件或可能演化為刑事犯罪案件的事件引發(fā)的風險。

（二）相互關系分析

當前，業(yè)內(nèi)業(yè)外對內(nèi)部控制和風險管理關系的認識上還存在三個不足，即將全面風險管理等同于資本管理，將風險管理等同于內(nèi)部控制，將內(nèi)部控制等同于合規(guī)。相對應地產(chǎn)生三大問題：過度依賴資本在風險管理中的作用；銀行風險管理和內(nèi)部控制兩套體系存在職能重疊和割裂；銀行內(nèi)部控制體系弱化引發(fā)多類風險。筆者對這幾個概念嘗試區(qū)分如下：

一是內(nèi)部控制和風險管理之間的關系。按照COSO的全面風險管理理念，內(nèi)部控制是風險管理的基礎組成部分，也是風險管理最重要的基石。內(nèi)部控制主要處于全面風險管理體系的前端，并貫穿整個過程。巴塞爾資本協(xié)議的風險管理則強調(diào)風險吸收能力，偏向于結果導向。

二是內(nèi)部控制與合規(guī)管理關系。巴塞爾委員會《有效銀行監(jiān)管核心原則》中，明確二者關系：一是合規(guī)是內(nèi)部控制的目標之一，二是合規(guī)管理是內(nèi)部控制的必要組成部分。合規(guī)是銀行在日常經(jīng)營管理中必須堅守的底線，強調(diào)的是整個行為及活動過程都要符合內(nèi)外部規(guī)定，主要處于全面風險管理體系的前端（合規(guī)審核）和中端（合規(guī)檢查）。

三是操作風險與合規(guī)風險、案件風險的關系。操作風險事件可能引發(fā)合規(guī)風險。一些違反法律法規(guī)等強制性規(guī)定的行為直接構成金融犯罪，如反洗錢行為、非法集資、非法放貸、金融詐騙等行為，將會招致刑事調(diào)查和刑事處罰，構成案件風險。因此，案件是操作風險的極端表現(xiàn)形式。舉個例子，以保障人體健康來說，內(nèi)部控制指不僅要經(jīng)常檢查身體情況，注意飲食起居，防止外邪，以保證身體健康，還要加強鍛煉，強健體魄。風險管理更主要的是要籌措醫(yī)療費用、開展檢查和治療。合規(guī)是保證病人獲得最基本醫(yī)療保障和救治的基本醫(yī)保體系。案防則是如何防止人得大病重疾。四個方面雖各有側重，但相互關聯(lián)。

二、一體化管理趨勢

2019年國資委發(fā)布《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》，要求中央企業(yè)建立健全以風險管理為導向、合規(guī)管理監(jiān)督為重點，嚴格、規(guī)范、全面、有效的內(nèi)控體系，實現(xiàn)“強內(nèi)控、防風險、促合規(guī)”的管控目標，形成全面、全員、全過程、全體系的風險防控機制。該實施意見創(chuàng)新地將內(nèi)控、風險、合規(guī)有機結合了起來，強調(diào)全面風險防控，可總結為“三位一體、四全風控”。

圍繞“體系融合、風控賦能、智能系統(tǒng)、監(jiān)督閉環(huán)”思路，以內(nèi)控數(shù)字化建設為引領，以合規(guī)（含反洗錢制裁合規(guī)）經(jīng)營為底線，以案件防控為重點，以操作風險管理工具為主要手段，深入推進銀行業(yè)內(nèi)部控制、合規(guī)管理、案件防控、操作風險管理“四位一體”建設，有效發(fā)揮協(xié)同效應，提升集約化、共享化和智能化管理水平，保障全行業(yè)務安全穩(wěn)健運行。

（一）一體化管理的可行性

一是理論框架上的可行性。根據(jù)COSO框架，內(nèi)部控制通過適當?shù)目刂剖侄?，確保將各類風險（含操作風險、合規(guī)風險、案件風險）控制在合理限度，以實現(xiàn)內(nèi)部控制目標。內(nèi)控、合規(guī)、操作風險等體系框架，均以風險為導向，以制度及流程為基礎，以風險點與控制點的識別與評估為主要手段，通過管理工具的落地實現(xiàn)流程優(yōu)化、對重點領域實現(xiàn)風險管控。

從風險流程和內(nèi)部控制五要素來看，也具備理論整合的可行性，見圖1。

圖1 理論框架的可行性

二是監(jiān)管要求的一致性。銀保監(jiān)會、人民銀行就內(nèi)部控制、合規(guī)管理、操作風險管理、案件防控和反洗錢管理等監(jiān)管制度，管理思路相對一致，將操作風險、內(nèi)控、合規(guī)以及案件防控進行整合，符合監(jiān)管導向，也具備可行性。

三是工具方法的通用性。整合的方法是求同存異、合并同類項、厘清體系工作要素之間的相互關系，將原并行開展的多項工作，在一條流程上合理銜接并配套相應工作成果和工具表單，最終形成全流程、高效協(xié)作的一體化管理體系。

如將內(nèi)控、合規(guī)、操作風險的20項具體工作合并為9項主要工作，形成整合管理的基本框架。整合管理的主要事項包括流程梳理、風險控制識別與評估、關鍵風險指標、風險事件收集、檢查、問題整改、管理報告、考核評價以及信息系統(tǒng)等，詳見表3。

表3 工具方法的通用性

四是業(yè)務系統(tǒng)的通用性。在管理信息系統(tǒng)中，能夠實現(xiàn)以外規(guī)庫、內(nèi)規(guī)庫、風險庫、制度庫作為基礎，滿足操作風險自評估、內(nèi)控檢查、內(nèi)控評價、內(nèi)規(guī)檢查等需求，實現(xiàn)滿足各個檢查點的基礎信息檢索；以操作風險損失事件、內(nèi)控缺陷、案件庫等作為問責、考核和整改的信息來源，實現(xiàn)不同管理職能的信息共享與對稱；通過各類檢查發(fā)現(xiàn)的問題，形成面向各個管理職能的報告。

五是組織保障的協(xié)同性。近年來，銀行業(yè)內(nèi)部對合規(guī)和內(nèi)控管理也日益重視，合規(guī)和內(nèi)控在行內(nèi)績效考核中占比明顯提升，重要程度日漸提高。同時，國內(nèi)銀行業(yè)紛紛進行中后臺架構調(diào)整，一個重要的調(diào)整就是把原來放在風險管理條線的操作風險管理調(diào)整到合規(guī)條線。這為內(nèi)控合規(guī)及操作風險的一體化管理提供了組織保障。

（二）一體化實施建議

一體化管理是一個復雜的、系統(tǒng)的、長期的工程，需運用企業(yè)級業(yè)務架構思維與方法，從制度建設、流程標準、工具技術、檢查監(jiān)督、成果報告和信息系統(tǒng)等6個方面，整合內(nèi)控、合規(guī)、案防和操作風險管理體系。

一是梳理規(guī)章制度體系，做好外規(guī)內(nèi)化。制度是內(nèi)控、合規(guī)、案防和操作風險管理的起點。全面梳理優(yōu)化制度體系框架，明確制度層級和邏輯關系，修訂完善各項制度內(nèi)容，列出制度中的主要風險點和控制點，保證外部監(jiān)管要求均在內(nèi)部制度中體現(xiàn)。

二是解析風控關鍵流程，嵌入內(nèi)控合規(guī)管理要求。按照企業(yè)級業(yè)務架構建設的流程框架與規(guī)范標準要求，全面理順流程節(jié)點，優(yōu)化流程效率。建立業(yè)務流程圖、流程分析表、風險評估表、控制評估表，將這些風控工具作為共享業(yè)務組件，嵌入業(yè)務流程和信息系統(tǒng)，使得業(yè)務流程及其內(nèi)嵌的風控規(guī)則自動化執(zhí)行，實現(xiàn)風險識別、評估、實時監(jiān)測、自動預警、及時糾偏，解決傳統(tǒng)風險管理中的片面性、模糊性、主觀性和滯后性等問題，提升風控效率和效果。

三是構建“四大工具”，強化風險實時管控。在操作風險損失數(shù)據(jù)收集（LDC）、風險與控制自我評估（RCSA）、關鍵風險指標（KRI）基礎上，增加案防合規(guī)領域的大數(shù)據(jù)模型監(jiān)測工具，建立管理工具間相互銜接及成果應用機制，完善風險預警體系，有效管控風險。

四是推進檢查協(xié)同，健全多位一體大監(jiān)督體系。立足監(jiān)督體制機制創(chuàng)新，積極推進監(jiān)督資源整合，以“全覆蓋、深檢查、少交叉”為目標，通過計劃統(tǒng)籌、信息共享、成果互用、聯(lián)合整改等方式，促進形成“多位一體”大監(jiān)督格局，打造全方位監(jiān)督網(wǎng)絡。

五是強化報告統(tǒng)籌，提升數(shù)據(jù)分析價值。整合第一道防線上報的各種報告，減少重復報送內(nèi)容，形成包含風險評估、監(jiān)測與檢查、問題整改等內(nèi)容的綜合管理報告，并按照各取所需原則在第二道防線內(nèi)部共享使用。

六是建設企業(yè)級信息系統(tǒng)，夯實數(shù)據(jù)共享共用基礎?；谄髽I(yè)級業(yè)務架構方法論，構建標準化、組件化的業(yè)務架構，推動企業(yè)級的系統(tǒng)功能共用、數(shù)據(jù)共享、基礎統(tǒng)一，從而解決數(shù)據(jù)分割、信息“孤島”問題。運用ABCD（人工智能、區(qū)塊鏈、云計算和大數(shù)據(jù)）等新興技術，切入不同業(yè)務和應用場景，分析挖掘各類風險數(shù)據(jù)，打造數(shù)據(jù)整合共享、視圖統(tǒng)一完整、模型智能高效、風險分類管控的智能平臺。

三、數(shù)字化轉型帶來的挑戰(zhàn)及應對策略

（一）數(shù)字化轉型面臨的挑戰(zhàn)

隨著銀行業(yè)數(shù)字化轉型和科技創(chuàng)新，銀行業(yè)務運營模式呈現(xiàn)出四個方面的轉變：逐步由線下向線上化、移動化轉變，由分散化向集中化轉變，由面對面服務向遠程非接觸式服務轉變，由單一客戶營銷向場景和生態(tài)圈創(chuàng)建轉變。這些變化對銀行而言，在制度機制、數(shù)據(jù)安全、風險模型、金融科技人才隊伍建設等方面提出嚴峻挑戰(zhàn)。

一是線上業(yè)務風險體系有待進一步完善。線上業(yè)務配套的內(nèi)控合規(guī)政策、制度、流程和系統(tǒng)尚不健全，未能在系統(tǒng)全面梳理線上業(yè)務風險特征后對風控體系進行適應性改造。

二是數(shù)據(jù)安全風險有待進一步防控。生產(chǎn)交易系統(tǒng)資金安全風險增加，信息系統(tǒng)業(yè)務連續(xù)性風險不斷加大，危害金融關鍵信息基礎設施穩(wěn)定的大規(guī)模網(wǎng)絡攻擊日益頻繁，客戶信息泄露風險日趨嚴峻。

三是風控模型有待進一步完善。不同業(yè)務部門對同一風險領域分別設計不同的風控模型，缺乏統(tǒng)籌，風險模型的覆蓋面不足，模型驗證不夠及時，風險模型的迭代能力有待提升。

四是金融科技隊伍建設存在一定差距。非現(xiàn)場監(jiān)測和大數(shù)據(jù)分析成為內(nèi)控合規(guī)的主要手段。但內(nèi)控合規(guī)管理領域既懂金融科技又懂內(nèi)控合規(guī)管理的人才相對較少，同時缺少金融科技人才引進、培養(yǎng)機制，具備建模能力的內(nèi)控合規(guī)管理人員非常緊缺。

（二）數(shù)字化風控應對策略

通過加強數(shù)字化建設，推動組織體系、理念文化、風險數(shù)據(jù)和模型、信息系統(tǒng)的優(yōu)化完善，建立與數(shù)字化轉型相匹配的風控體系，適應運營模式“四個轉變”，實現(xiàn)內(nèi)控合規(guī)工作的“四個轉變”：從現(xiàn)場檢查為主向非現(xiàn)場監(jiān)測為主轉變，從屬地分散管理向集中式條線管理轉變，從重點抓基層合規(guī)操作向重點抓線上模型風險和數(shù)據(jù)安全轉變，從單一客戶行為分析向客戶產(chǎn)業(yè)鏈和生態(tài)圈特征分析轉變。

1.組織體系和理念文化再造。一是優(yōu)化組織架構。立足業(yè)務風險防控，按照能機控盡量機控、能集中盡量集中、能上收盡量上收、能外包盡量外包的“四盡”管控原則，在傳統(tǒng)總分行制、事業(yè)部制的基礎上，探索總行直接經(jīng)營和集中操作模式的風控新措施。二是重塑理念文化。牢固樹立規(guī)則約束理念，銀行經(jīng)營管理除了強化“資本約束、風險約束、財務約束”外，還要將規(guī)則約束理念貫穿業(yè)務全流程。探索建立全球合規(guī)管理體系，全球系統(tǒng)重要性銀行不僅要遵守中國法律法規(guī)和聯(lián)合國決議，也要充分考慮境外合規(guī)的復雜情況，不與東道國的法律法規(guī)發(fā)生沖突，保證全球銀行業(yè)監(jiān)管達標。借鑒“監(jiān)管沙盒”的理念，對新業(yè)務、新技術設立風險隔離機制，在可控范圍進行試點運行，成熟后再逐步推廣。建立創(chuàng)新風險容忍度機制，在風險可控的情況下，建立金融科技技術創(chuàng)新風險的容錯機制，嘗試推行盡職免責機制。

2.制度流程再造。一是完善制度。形成層次分明、覆蓋全面、效力規(guī)范的制度體系，能夠全面對接監(jiān)管要求和公司戰(zhàn)略。二是再造流程。建立并構造符合企業(yè)級業(yè)務架構的標準化模塊化通用型流程體系，減少企業(yè)產(chǎn)品壁壘和系統(tǒng)豎井。三是落實責任。明確各業(yè)務環(huán)節(jié)各操作步驟的責任人及各自責任，特別是新的業(yè)務模型業(yè)務流程各環(huán)節(jié)的責任人。四是強化考核。只有掛鉤績效考核體系，才能切實調(diào)動各級機構各個崗位的積極性。

3.風險數(shù)據(jù)再造。一是統(tǒng)一客戶風險視圖。以客戶為中心，歸集行內(nèi)客戶系統(tǒng)信息，解決行內(nèi)數(shù)據(jù)分割、信息“孤島”導致的不同機構、不同業(yè)務之間策略不一致、不協(xié)調(diào)等問題。二是強化外部數(shù)據(jù)、非結構化數(shù)據(jù)應用。引入工商、司法、海關、稅務、房產(chǎn)等官方數(shù)據(jù)，整合人臉識別、語音識別、圖像識別等技術，加強對非結構化數(shù)據(jù)的應用。三是改進數(shù)據(jù)挖掘技術。深化大數(shù)據(jù)、人工智能技術在信用風險、市場風險、操作風險等領域的應用，構建數(shù)據(jù)驅動式的智能風險分析、監(jiān)控、決策支持引擎。四是完善大數(shù)據(jù)風控體系。建立以大數(shù)據(jù)為基礎，以技術和模型為驅動，以企業(yè)級管理信息系統(tǒng)為載體，聚焦信貸管理、運營管理、科技案防、反洗錢、反欺詐等重點風控領域，通過金融科技賦能風險防控，實現(xiàn)業(yè)務管理和風險管控有機融合，提高風險管理的有效性、準確性、實時性和智能化水平。五是加強數(shù)據(jù)安全和客戶信息保護。加強數(shù)據(jù)源頭安全管控，推動GDPR等跨境數(shù)據(jù)安全合規(guī)項目落地建設。對標國內(nèi)外信息安全管理法律法規(guī)，利用信息安全技術手段，改進管理和技術上的薄弱環(huán)節(jié)，加強客戶信息保護，完善信息安全風險管理體系。如在數(shù)據(jù)全生命周期管理過程中，加強身份認證、訪問控制、數(shù)據(jù)加密等保障措施管理，防范數(shù)據(jù)篡改、泄露風險。

4.突出模型風險管理。一是構建覆蓋全流程的模型體系。包括風險評級、風險計量、風險監(jiān)測、隱性關系、傳導模型、壓力測試、情景分析等模型，完善模型的關聯(lián)關系。二是強化模型自適應、自學習能力。實現(xiàn)風險模型的快速更新和部署，全面提升風險管控智能化水平。三是模型風險驗證和評估。建立模型控制流程，持續(xù)監(jiān)測模型運行情況，定期對已運行模型效果進行驗證和評估，及時校準模型及其相關參數(shù)。

5.構建企業(yè)級智能風險管控平臺。一是加強智能工具應用。以“數(shù)據(jù)”和“模型”為創(chuàng)新驅動力，全面整合各領域風險識別、計量、監(jiān)測、報告及控制能力，運用人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術，強化系統(tǒng)對數(shù)據(jù)的獲取、分析與應用能力。二是推進智能系統(tǒng)建設。基于企業(yè)級業(yè)務架構建設，打造以風險監(jiān)測模型管控中心、風險數(shù)據(jù)挖掘平臺、風險數(shù)據(jù)集市為核心的企業(yè)級智能風險管控平臺，為各類產(chǎn)品提供能力歸一化、服務組件化、靈活配置化的風險管控服務，以前瞻性、智能化進行風險識別、監(jiān)測、預警、報告和管控，全方位提升風險管理數(shù)字化、智能化水平。

注釋

① 美國反虛假財務報告委員會下屬的發(fā)起人委員會。