商业银行合规管理与案件防控

2022-08-03 12:13 来源：读者提供作者：网友发布浏览：0

核心提示请点击上方关注，点击下方“在看”文/杜强供职于中国建设银行股份有限公司内控合规部，2020年4月—2021年11月援建蒙商银行期间担任蒙商银行内控合规部总经理孙玲蒙商银行内控合规部中心经理本文载于《中国银行业》杂志2022年第6

请点击上方关注，点击下方“观看”。

文/杜强曾就职于中国建设银行股份有限公司内控合规部，2020年4月至2021年11月任银行内控合规部总经理。

孙玲尚萌银行内控合规部中心经理

本文发表于《中国银行》杂志2022年第6期。

导语:基于内部控制与合规的关系，研究发现商业银行内部控制与合规管理有三种模式:内控与合规分离、内控主导合规、合规主导内控。考虑监管要求、经济形势、人力资源配置、信息系统支持现状等。，建议城商行贯彻合规引领内控理念，夯实风险管理基础，在合理界定部门职责的前提下提高管理效率，构建“目标驱动的内控管理”和“对违规零容忍的合规管理”相结合的管理模式。

近年来，城市商业银行是防范和化解重大金融风险的重要战场。城商行经营不善，往往可以从内控薄弱和合规管理上找到原因。因此，加强内部控制和合规管理是城商行防范和化解经营风险的基础工程。城商行内控合规管理体系应该如何建设和发展？在此，笔者结合援建经验和工作实践，给出一些探索思路，供业内人士参考。

梳理内部控制与合规的关系

关于内部控制。内部控制隐含着一个投资者的视角，即控制和监督管理层各司其职，降低代理成本，减少舞弊，实现组织的一个或几个目标。因此，目标导向是内部控制管理的第一个显著特征。没有目标，内部控制无从谈起。业内对内控的理解可以分为小内控和大内控。“小内部控制”的目标是财务报告及相关信息真实完整。“大内控”不仅涵盖“小内控”，还包括合理保证合法合规、资产安全、提高经营效率和效益、促进发展战略的实现。

内部控制的目标是通过构建与业务、流程、产品和系统相适应的内部控制体系，统一业务标准和规范，持续改进内部控制环境、风险评估、控制活动、信息与沟通以及监控活动来实现的。内部控制管理只提供合理的保证，而不是绝对的保证。所以主张适度控制，而不是过度控制。

关于合规。从巴塞尔银行监管委员会的定义和我国《商业银行合规风险管理指引》的表述来看，合规是指商业银行的经营活动符合法律、规则和标准。

因此，合规是合规管理最本质的特征。对于商业银行而言，合规通过以下三个层面实现:一是银行系统对法律、规则和标准的合规性；二是银行流程与银行制度的合规性；第三，银行系统与银行流程的合规性。在实践中，我们可以将“制度-流程-制度-法律、规则和标准”的自下而上的遵循过程称为“合规”，将“法律、规则和标准-制度-流程-制度”的自上而下的实施过程称为“合规”，详见图1。

图1:法规遵从性管理最重要的特征是法规遵从性。

符合以上三个层次是合规管理的逻辑基础。可见，合规管理不是靠合规部一个部门的努力，而是靠所有机构的共同努力。

内部控制与合规管理的关系。内控管理和合规管理在提供帮助和服务以改善风险管理方面是统一的，两者都需要高水平的基调。没有高级管理层的自觉认可和积极合规，内控管理和合规风险管理都无法向前推进。但是，从以下几个方面来看，它们之间有明显的区别:

从认知的角度来说。首先，内控管理从企业经营偏离控制目标的角度描述风险，合规风险管理从风险的来源、来源、成因的角度描述风险。其次，内控管理是对控制目标的合理保证而非绝对保证，而合规风险管理是底线思维，理想的合规风险管理为违规行为的不发生提供了绝对保证。最后，它们与企业绩效的相关性不同。内控管理好不一定经营业绩好，但合规风险管理指标好的结果背后，必然有稳健的经营管理状态。

偏爱和宽容。内部控制具有偏好性和容忍度。内部控制目标背后的偏好和容忍度反映了不同时期、不同经营环境和监管环境下股东对具体发展目标的不同追求。合规风险存在于经营、管理、运营的各个环节，很难用一定的标准和分类方法对其进行重点关注，即合规风险没有偏好。一个法规或行为要么合法，要么非法，在“合规”和“违规”之间没有中间状态，即合规风险管理没有容忍度。

内部控制与合规风险管理的结合。在城商行内控体系中，组织层级越高，内控管理覆盖面越广，而在合规风险管理体系中，组织层级越低，其管理领域的标准要求和粒度越多。因此，建议内控管理重点解决公司治理问题，合规管理向下发力，实现主动管理，实现管理行为在各个领域和环节的有机嵌入，加强对一线的反映能力，切实改变城商行被动应对监管多、主动努力少的局面。

商业银行内控合规管理模式及建议

基于对内控与合规的理解，目前商业银行内控与合规管理有三种管理模式:内控与合规分离、内控主导合规、合规主导内控。

内控分离模式。在这种模式下，董事会下设内控与风险管理委员会和内控管理办公室。合规管理部门应设置在管理层，各司其职，各负其责。该模式的主要管理意图是在内控管理中突出财务报告内部控制的有效性，合规管理部门与公司高层的衔接需要通过自身路径解决。优点是满足了内控的高基调，缺点是内控没有“腿”可以在全行推行，容易形成空中的城堡。

引领内控合规模式。即“大内控，小合规”。该模式遵循内部控制制度，将法律合规作为内部控制五大目标之一，纳入内部控制目标整体管理，形成以董事会及其专门委员会为首要驱动力、目标驱动的内部控制合规管理。内控管理部设置在公司层面，按照内控工作流程在内控部设置办公室。这种模式可以称为“大内控，小合规”。合规是大的内部控制中的一个小目标。其优点是更好地体现了内部控制管理的全局性、全时性和全过程，强调内部控制嵌入流程和制度；缺点是内控需要一个高层次的基调，内控管理反映的问题大多是综合性、全局性的。很多问题需要其他部门的大力配合才能解决。所以在这种模式下，内控部门很难履行职责，很容易陷入大而无用的局面。

合规引领内控模式。即“大合规，小内控”。这种模式从高层基调上强调内部控制，但在实践中，更多的精力投入到做大做强合规风险管理的关键业务板块。内部控制注重财务报告的真实性，同时兼顾其他目标。合规管理部设置在公司层面，通过在合规管理部下设立内控部或二级部门，将内控作为一个模块嵌入合规工作体系。这种模式可以称为“大合规，小内控”。优势在于内控合规管理与银行体系非常契合。内控管理可以借助合规管理的“腿”开展工作，基层银行可以快速找到重点，优化人力资源配置，突出重点领域的内控。

考虑监管要求、经济形势、人力资源配置、信息系统支持现状等。，建议城商行贯彻合规引领内控理念，夯实风险管理基础，在合理界定部门职责的前提下提高管理效率，构建“目标驱动的内控管理”和“对违规零容忍的合规管理”相结合的管理模式。“目标驱动型内控管理”是指在满足财务报告有效性底线要求的同时，积极落实股东和董事会的意愿，兼顾其他内控目标，实施目标驱动型、聚焦型内控管理，既能有效避免组织力量不足，又能有效防止两头抓的工作局面。“对违规行为零容忍的合规管理”是指充分尊重合规风险的非偏好特性，突出底线是高压线，将合规风险意识作为人员上岗的必要条件，让业务人员确切知道流程中哪些是绝对不能碰的。两者的结合是两个管理单元在实际操作中可以相互借鉴:“目标驱动的内控管理”需要一级分行以下合规条线人力资源的配合；“对违规行为零容忍的合规管理”需要将合规评价纳入内控评价，以评价促改革。

图1:法规遵从性管理最重要的特征是法规遵从性。

城市商业银行内控合规管理的基础和重点

面对新时代高质量发展的要求，城商行需要在内控合规方面有较大突破。以下几点可视为城商行内控合规管理的基础和重点。

基本点一:做好主动内控和合规管理。合规是底线，但合规风险管理不仅仅是踩刹车，而是寻找各种合法合规的方式、方法和手段，最大限度地拓展业务。你可以有立场，尤其是商业银行的第二道防线。“主动”是一种态度。要积极践行合规管理理念，积极建立健全规章制度体系，积极推进内控合规管理长效机制建设。传统的内控合规管理就是挖个壕沟，藏在里面，出了事再出来反击。现在要转变观念，主动冲出战壕，打一场歼灭战，找出问题，解决问题。

基本点二:把握角度和力度。内部控制扩展为聚焦，重点是思考如何对董事会和高级管理层负责。合规管理的倒逼是强化执行，重点是配合机制和考核。如果把握不好这个力度和角度，内控合规管理很容易走入一个误区，就是上报太多，检查太多，落地难，落实少，最终陷入雷声大雨点小的窘境。

基本点三:体现深度范围。关键是内控合规管理要体现全流程，即覆盖所有业务、所有员工和业务流程前、中、后的全过程。

基本点4:做好自己的角色。第一，“预警”的作用。像雷达一样检测风险，警惕风险，关注政策动向，保持敏锐。第二，“免疫力”的作用。要做到防患于未然，提高银行的免疫功能。比如，加强系统合规审查，是城商行的第一道免疫屏障。第三，“体检”的作用。做好合规检查，尤其是重点风险领域的合规检查，做到及时发现，防早防小。第四，“手术”的作用。要抓好责任追究，推动责任部门进行根源整改。

基本点五:找准切入点。内控管理要找准部门、分支机构、流程、系统、子公司等五个方面的切入点，实现不同维度的有序有机嵌入。要严守刚性底线和柔性边界，拓展创新空空间；要内化于心，外化于形；不仅要保证过程符合制度，制度符合过程，还要避免无效或过度控制。需要强调的是，将内控合规管理嵌入子公司并不干涉子公司独立法人的经营管理，而是有助于引导子公司在风险偏好和业务行动上与总行实现协同。

要点1:将管理行为从人的控制提升到机器的控制。为了顺应大数据时代的必然要求，赶超国内先进同业，城商行必须将内控合规管理行动嵌入信息系统，减少或消除人为操纵因素，减少管理空白点和盲点。具体包括:一是信息数据的数字化。打通数据采集的途径，对系统的数据采集能力进行调查和规划，通过对各管理职能的工作流、信息流、数据流的数据分解、整合、分析判断，建立多维数据模型。二是数据治理的智能化。展示数据交叉核对和关联，对数据分析结果进行分类，实现智能风险度量，形成不同视角的风险画像，推断业务、产品、环境的整体风险状况。第三，预警调查高效。通过对异常操作、异常交易、异常客户关联的量化评估，如财务损失、违规频率等。，可以有效挖掘风险疑点，进而建立监控和评估体系。第四是风险监控的可视化。通过时间序列图、趋势图、热度图的可视化呈现，建立了数据到可视化的映射。

要点二:推动系统运行从封闭走向开放。内控管理系统平台不同于核心业务系统。一方面容易受到开发设计、预算约束、接口权限等因素的影响。，甚至成为不连接生产系统的“鸡肋”系统，手动数据录入，手动指令选择，模型输出。另一方面，它必须是一个开放的系统，能够对数据流、信息流、数据流进行分解、整合、分析和判断。实现对关键业务领域、关键流程环节和关键岗位的实时监控、风险识别、分析、评估和报告，在识别、监控、评估、测试、监测、检查、整改等关键节点实现早期干预和应对，增强合规反馈能力。

要点三:推动合规文化从有形走向无形。合规文化是城市商业银行企业文化的核心组成部分。对于城商行来说，打造“制度先行、违规零容忍、合规建设与业务发展、风险管理并重、经营目标与社会责任目标相统一”的合规文化具有重要意义。文化建设必须是看得见摸得着的，才能接地气，才能孕育和快速成长。城市商业银行经过由表及里的吸收和积累，再由里及外的作为和作为，被赋予了无形的气质。这种气质不仅体现在视觉触觉层面，还会潜移默化地植入到所有员工的内心和行为中，尤其是在业务发展和合规要求发生冲突时，是否以合规为代价追求短期利益。

城市商业银行内控合规管理应处理好的几个辩证关系。

“加”和“减”的关系。城市商业银行普遍具有包容性，愿意吸收同业的先进经验。但简单地照单全收，并不能有效提升城商行的内控和合规管理水平。反而增加了管理成本，导致本末倒置，对与同行对标产生持久的、隐性的不利影响。因此，要根据自身的管理特点，做好同业内控合规管理实践的筛选、提炼、比较、分析、吸收和改进，最终形成自己的最佳实践。

“进”与“出”的关系。内部控制管理工作和行动是选择直接走向市场进行操作和执行，还是选择适当跳出流程进行指导和监督，都应该随着经营环境、业务需求和管理政策的调整而不断变化。“事前”可以避免内控合规管理与业务的分离，具体体现为内控合规部门参与重要的审批机制，在经济责任审计、选拔任用、评价表彰奖励、离岗离职等重要管理事项上出具合规意见。“出”强调合规的独立性，具体体现在保证合规负责人的独立性、合规部门的独立性和合规机制的独立性。

事前、事中、事后的关系。内部控制的合规管理在管理过程的事前、事中和事后阶段都有应对措施。在事前阶段，表现为制度规范的制定和执行，以及经营管理各项要求的审查和预警；在过程阶段，表现为加强过程监控、开展检查活动、发布结果和报告；在事后阶段，通过调查违规、认定责任、追究责任、评估合规风险管理的有效性来表现。从全行来看，内控合规管理的全流程覆盖，不是内控合规管理部一个条线单位就能完成的，而是全行各领域、各机构所有岗位的整体运作和配合来实现的。

“上下左右”关系。明确界定内控合规管理部、总监、监事、高及其办公室、第一道防线、第二道防线、第三道防线等部门之间的责任边界，是处理好“上、下、左、右”关系的基础。一线部门要自觉夯实内控合规管理第一责任人的主体责任；内控管理部门也要做好制度审查和合规风险预警工作。第二道防线，内控合规管理部门应与风险管理部门确定责任认定的职能边界，如风险管理部门应主动承担不良信贷资产责任认定和关联交易审批职能，内控合规管理部门应主动承担问责委员会办公室和关联方关系确认职能。在三道防线中，内控合规管理部门要与审计部门确定牵头整改的职能边界。比如审计发现的问题由审计部牵头整改，内控合规管理部牵头整改违规等发现的问题。此外，内控合规部应与纪检监察部门在案件预防、违法违规问题线索移交、责任追究等方面建立清晰顺畅的对接机制。