城商行内控合规管理初探和反思.docx

城商行内控合规管理初探和反思导语：基于对内控与合规的关系梳理，研究发现，目前商业银行内控合规管理存在着内控和合规分立、内控统领合规、合规统领内控等三种模式。综合考虑监管要求、经济形势、人力资源配置、信息系统支撑能力现状等因素，建议城商行贯彻合规统领内控的理念，以夯实风险管理基础为宗旨,以合理界定部门职责为前提，提高管理效能，构建“目标驱动的内控管理”和“对违规零容忍的合规管理”相结合的管理模式。近年来，城商行是防范化解重大金融风险的一个重要战场。城商行的经营不善往往能够从内控合规管理薄弱上找到原因。因此，强化内控合规管理是城商行防范化解经营风险的一项基础性工程。城商行的内控合规管理体系应如何建设和发展？在此，笔者结合援建经历及工作实践，给出一些探索思考，供业界参照。对内控与合规关系的梳理关于内部控制。内部控制（以下称内控）暗含了一个投资人的视角，即控制与监督管理经营层尽职负责，降低或减少代理成本，减少舞弊行为，实现组织的一个或几个目标。因此，目标导向是内控管理的第一鲜明特征。离开目标，内控无从谈起。业界对内控的理解有小内控和大内控之分。“小内控”追求的目标是：财务报告及相关信息真实完整。“大内控”不仅涵盖了“小内控。还包括合理保证合法合规、资产安全，提高经营效率和效果，促进实现发展战略等目标。内控目标是通过构建与业务、流程、产品、系统相适应的内控体系，统一业务标准和规范等途径，持续完善内控环境、风险评估、控制活动、信息和沟通、监控活动等五要素来实现的。内控管理提供的只是合理的保证，而非绝对的保证，因此，它倡导的是适度控制，而不是过度控制。关于合规。从巴塞尔银行监管委员会的界定和我国商业银行合规风险管理指引的表述来看，合规是指商业银行的经营活动与法律、规则和准则相一致。因此，遵循性是合规管理的最本质特征。对商业银行来说，遵循性通过以下三个层级来实现：一是本行制度对法律、规则和准则的遵循性，二是本行流程对本行制度的遵循性，三是本行系统对本行流程的遵循性。在具体实践中，我们可以将“系统-流程-制度-法律、规则和准则”这种自下而上的遵循过程称为“合规。将“法律、规则和准则-制度-流程-系统”这种自上而下的贯彻过程称为“规合”。对以上三个层级的遵循，是合规管理工作的逻辑基础。由此可见，合规管理依靠的不是合规部门一个部门的努力，而是全部机构共同的努力。内控管理与合规管理的关系。内控管理与合规管理都统一于为提升风险管理助力和服务，都需要高层基调。没有高级管理层的自觉认同和主动遵守，无论是内控管理，还是合规风险管理，都寸步难行。但从以下几个方面二者则体现出明显的差异性：风险认知角度方面。首先，内控管理是从企业运行偏离控制目标的角度出发去描述风险，合规风险管理则是从风险的源头、来源和成因的角度去描述风险的。其次，内控管理是对控制目标的合理保证而非绝对保证，而合规风险管理是底线思维，理想的合规风险管理是对违规行为不发生提供绝对的保证。最后，二者与经营业绩相关性不同。好的内控管理，未必有好的经营结果，而良好合规风险管理指标结果背后，一定是稳定的经营管理状态。偏好和容忍度方面。内控管理有偏好、有容忍度。隐藏在内控目标背后的偏好和容忍度，体现了股东对企业不同时期、不同经营环境、监管环境下的具体发展目标的差异性追求。合规风险存在于经营、管理、运行各方面，难于用一定的标准和分类方法对其聚焦，即合规风险无偏好。一项规定、行为要么合法合规，要么违法违规，不存在“合规”与“违规”的中间状态，即合规风险管理无容忍度。内控管理与合规风险管理的结合点。城商行在内控体系中，机构层级越高，内控管理的覆盖范围就越宽越广，而在合规风险管理体系中，机构层级越下沉，对其管理领域规范要求和颗粒度就越多越细。因此，建议内控管理要侧重从解决公司治理问题的角度去大力拓展，合规管理要向下发力，实现主动管，实现管理动作在各个领域和环节的有机嵌入，强化对一线的反射能力，切实改变城商行被动应付监管多、主动发力偏少的局面。商业银行内控合规管理模式及建议基于对内控与合规的认识，目前商业银行内控合规管理存在着内控和合规分立、内控统领合规、合规统领内控等三种管理模式。内控合规分立模式。该模式下，董事会下设内控与风险管理委员会、内控管理办公室；经营层设立合规管理部，各司其职、各负其责。该模式主要管理意图是，在内控管理上突出财务报告内控有效性，合规管理部门和公司高层之间的联系需要从自身的路径解决。优点是满足了内控高基调的特征，缺点是内控在全行没有层层落实的“腿”，容易形成空中楼阁。内控统领合规模式。即“大内控，小合规:该模式遵从内控体系，把合法合规作为内控的五个目标之一，纳入内控总体目标统筹管理，形成以董事会及其专门委员会为首要推动力、目标驱动的内控合规管理。公司层面设立内控管理部,在内控部内根据内控的工作过程设置处室。该模式可称为“大内控，小合规”。合规是大内控中的小目标，优点是较好地体现了内控管理的全面、全员和全过程，强调内控嵌入流程和系统；缺点是内控需要高层基调，内控管理反映的问题大多具有全面性、全局性，很多问题解决需要其他部门的大力配合，因此，这种模式下，内控部门的履职难度比较大，容易陷入大而无当的境地。合规统领内控模式。即“大合规，小内控”。该模式从高层基调上强调内控，但实际执行上投入较多的力量做大做强合规风险管理的重点业务板块。内控管理重点关注财务报告的真实性，同时兼顾其他目标。公司层面成立合规管理部,通过在合规管理部下成立内控处室或者二级部，把内控作为一个模块嵌入到合规工作体系中去。该模式可称为“大合规,小内控”。优点是内控合规管理与银行体系的拟合度比较好,内控管理能够借助合规管理的“腿''开展工作，基层行能够很快找到着力点，能够优化人力资源配置，突出关键领域的内控。综合考虑监管要求、经济形势、人力资源配置、信息系统支撑能力现状等因素，建议城商行贯彻合规统领内控的理念，以夯实风险管理基础为宗旨，以合理界定部门职责为前提，提高管理效能，构建“目标驱动的内控管理”和“对违规零容忍的合规管理”相结合的管理模式。“目标驱动的内控管理”是指做好财务报告有效性底线要求的同时，积极贯彻股东层面、董事会的意志，兼顾内控其他目标，执行基于目标驱动的、有侧重的内控管理，既有效规避条线力量不足，又切实防止出现胡子眉毛一把抓的工作局面。“对违规零容忍的合规管理”是指充分尊重合规风险无偏好特性，突出强调底线就是高压线，把合规风险认知作为人员上岗的必要条件，使业务人员对流程中哪些绝对不能触碰做到心中有数。两者的结合点在于实际运行中两个管理单元可以相互借力：”目标驱动的内控管理''需要一级分行以下合规条线的人力资源给予配合;“对违规零容忍的合规管理”需要把合规工作考评纳入内控评价，实现以评促改。面对新时代高质量发展要求，城商行亟待在内控引领、合规立行等方面取得较大突破。以下几点可分别作为城市商业银行内控合规管理的基本着力点和关键着力点。基本点一：做好主动内控合规管理。合规是底线，但合规风险管理不是一味地踩刹车，而应该为最大限度地实现业务拓展，去寻找各种合法合规的途径、方法和手段。有为才能有位，商业银行二道防线尤其应该如此。“主动”是态度，要主动践行合规经营理念，主动建立健全规章制度体系，主动推进内控合规管理长效机制建设。传统常规的内控合规管理是挖好战壕，藏在里面，出了问题再露头反击。现在要转变观念，主动冲出战壕，打一场歼灭战，找出问题，解决问题。基本点二：把握好角度和力度。内控管理向上拓展是为了聚焦，重点是思考怎样对董事会、高级管理层负责。合规管理向下发力是为了强化执行，重点是要有机制和考核的配合。不把握好这个力度和角度，内控合规管理很容易走进一个误区，即向上报告多、应付检查多，向下落地难、执行少，最终陷入雷声大，雨点小的窘境。基本点三：体现出纵深幅度。关键是内控合规管理要体现出全面、全员、全过程，即全面覆盖所有业务，全面覆盖所有员工，全面覆盖业务流程的事前、事中、事后的全过程。基本点四：履行好角色。其一，"预警''的角色。要像雷达一样探测风险，警觉风险，关注政策动向，保持敏锐性。其二，"免疫''的角色。要防病于未然，提高银行的免疫功能，例如，把强化制度合规性审查作为城商行的第一道免疫屏障。其三，“体检”的角色。做好合规检查，特别是做好对重点风险领域的合规检查，及时发现，防早防小。其四，“手术”的角色。要做好做实责任追究，推动责任部门开展根源性整改。基本点五：找准切入点。内控合规管理要在部门、分行、流程、系统、子公司等五个方面找准切入点，实现不同维度的有序有机嵌入。既要严守刚性底线，又要遵循柔性边界,拓展创新空间；既要内化于心、又要外化于形；既要保证流程对制度的遵循性、系统对流程的遵循性，又要避免控制不力或过度控制。需要强调的是，内控合规管理嵌入子公司不是干扰子公司独立法人的经营管理，而是帮助引导子公司在风险偏好和经营行动上与总行实现协同。关键点一：推动管理动作从人控走向机控。为顺应大数据时代必然要求，赶超国内先进同业，城商行必须将内控合规管理动作嵌入信息系统，减少或消除人为操纵因素、减少管理空白和盲点。具体包括：一是信息数据数字化。开拓数据采集途径，调研并规划系统可实现的数据获取能力，通过对各项管理职能的工作流、信息流和数据流进行数据分解、融合整合、分析判断，建立多维度数据模型。二是数据治理智能化。展示数据勾稽、关联关系，归类数据分析结果，实现智能风险计量，形成不同视角的风险画像，推演业务、产品、环境的整体风险状况。三是预警排查高效化。通过对异常操作、异常交易、异常客户关联造成资金损失、违规频率等进行量化评估，有效挖掘风险疑点，进而建立监测评估体系。四是风险监控可视化。通过对时间序列图、趋势图、热度图等可视化的呈现，建立从数据到可视化的映射。关键点二：推动系统运行从封闭走向开放。内控合规管理系统平台不同于核心业务系统，一方面易受到开发设计、预算限制、接口权限等因素的影响，甚至成为一个不连接生产系统，数据录入靠手工、筛选指令靠人工、模型输出做苦工的“鸡肋”式系统，另一方面它又必须是一个开放的系统，对工作流、信息流和数据流能够进行数据分解、融合整合、分析判断，实现对重点业务领域、关键流程环节、关键岗位的实时监测、风险识别、分析、评估和报告，在识别、监测、评估、测试、监测、检查、整改等各关键节点，实现提前介入与反应，增强合规反哺一线的能力。关键点三：推动合规文化从有形到无形。合规文化是城商行企业文化的核心组成部分，着力打造“制度先行、违规零容忍，合规建设与业务发展、风险管理并重，经营目标与社会责任目标相统一”的合规文化，对于城商行形成高效稳健的内部环境具有重大意义。合规文化建设要先有形，才能接地气，才能快速孕育和成长。而经过由外而内的吸收、积淀,再由内而外的行动、作为，城商行就被赋予了无形的气质。这种气质不仅仅体现在视觉触及的层面上，还将潜移默化地植入到全体员工的心里和行为之中，特别是集中体现在业务发展和合规要求发生冲突时，是否追求以牺牲合规为代价换取短期利益。城商行内控合规管理应处理好几组辩证关系“加”和“减”的关系。城商行普遍具有良好的包容性，乐于吸收同业先进经验，但简单的照单全收无法有效提升城商行的内控合规管理水平，反而增加管理成本，导致本末倒置,为与同业对标而对标产生持久性、隐蔽性的不良影响。因此,要根据自身经营管理特点，做好对同业内控合规管理实践的甄别、提炼、比较、分析、吸收和改良，最后形成适合自身的最佳实践。“进，和“出，的关系。内控合规管理工作和动作是选择直接入场操作、执行，还是选择适当跳出流程去引导、监督,应随着经营环境、业务需求和管理政策的调整而不断变化。“进”能避免内控合规管理脱离业务，具体形式体现在内控合规部门参与重要审议审批机制、在经济责任审计、干部员工选聘、任用、考评、表彰奖励、离岗离职等重要管理事项中出具合规意见等；“出”强调的是合规独立性，体现在保证合规负责人独立、合规部门独立、合规机制独立等方面。事前、事中、事后的关系。内控合规管理在管理流程的事前、事中和事后等阶段都有反应，在事前阶段表现为制定并执行制度规范，对经营管理各项要求进行审查预警；在事中阶段表现为强化过程监控、开展检查活动、出具结果并报告；在事后阶段表现为对违规行为开展调查、责任认定、进行责任追究、对合规风险管理有效性进行评价等。从全行视角看，内控合规管理的全过程覆盖也不是由内控合规管理部门一个条线单元完成的，而是由全行各机构各领域各岗位整体运作和协作来实现的。“上下左右”的关系。清晰界定内控合规管理部门与董、监、高及其办事机构、一道防线、二道防线、三道防线以及其他部门的职责边界，是处理好“上下左右”关系的基础。一线部门应自觉夯实内控合规管理第一责任人的主体责任；内控合规管理部门也要做好制度审查、合规风险预警。在二道防线，内控合规管理部门应与风险管理部门确定责任认定的职能边界，比如风险管理部门主动承担信贷不良资产责任认定、关联交易审批等职能，内控合规管理部门应主动承担问责委员会办公室、关联关系确认等职能。在三道防线，内控合规管理部门应与审计部门确定牵头整改职能边界，比如审计部门应牵头审计发现问题的整改，内控合规管理部门要牵头违规以及其他发现问题的整改等。此外，内控合规部门还应该在案防、违法违规线索交接、责任追究等方面和纪检监察部门建立清晰流畅的对接机制。