构建商业银行合规、操作风险和审计内控合规数字化服务中台（银行发展业务和合规内控）

#头条创作挑战赛#

当前，强监管、严监管、深监管呈常态化趋势，银保监会密集出台一系列“防风险、治乱象、补短板”的重大举措，监管处罚问责力度前所未有，商业银行面临巨大压力，为了更好地应对这一监管要求的变化，需要将之前的“被动合规"转向”主动合规"，银行业开始思考如何借助科技创新和监管新要求，对内控、合规、操作风险和审计等方面进行了进一步的拓展和整合的机会。

本文从银行内控合规、操作风险和审计本身的业务范围为着手点，探寻三者之间关系的同时，分析三者之间是否可形成统一的内控合规服务中台，成为商业银行内控合规服务中台底层，在底层之上，建立各类内控合规、操作风险、内部审计的个性化业务的同时，通过数据融合、智能分析，提供各类银行内控合规服务，帮助银行主动把控内控合规风险。

壹

银行内控合规、操作风险

和内部审计主要职责范围

1.商业银行的内控合规

一是内控管理，银行董事会、监事会、高级管理层以及全行员工共同参与的一个管理事项，通过制定各类制度、业务流程和实施方法，有效实现控制目标的动态过程和机制；

二是合规管理，指使银行的经营活动与法律、规则和准则相一致，当银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的合规风险。

由此可见，内控管理是指的内部控制，是一种过程管理，合规管理是银行的基石底线；内控作为一种过程管理，通过在关键点设定相关的控制与检查，从而有效保证合规管理的底线不被打破，从而降低银行合规风险。

2.商业银行的操作风险

作为巴塞尔资本协议划分出的三大风险之一，商业银行的操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。

从这个定义不难看出，操作风险管理的主要重点在于以内部过程控制为基础，对关键领域、环节和岗位进行评估和监控，即时排查风险事件，有效把控总体风险，并通过收集各类损失事件，计量银行可存在的操作风险，帮助银行施加合适的风险缓释。

3.商业银行的内部审计

内部审计是银行管理的第三道防线，商业银行的内部审计是指银行内部独立、客观的监督、评价和咨询活动，通过运用系统化和规范化的方法，审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果，促进商业银行稳健运行和价值提升。

内部审计通过评估、计量和报告总体风险，推动银行实施风险管理，最大限度地防范和化解可预见的风险，在商业银行风险管理中发挥着越来越重要的作用。

贰

内控合规、操作风险、和

内部审计三者联系和关系

当前，在整个商业银行领域，内控合规、操作风险作为二道防线，通过牵头对各类法规政策的解读和制定，并协助一道防线完善内控过程管理、把控合规底线的同时，监督各个业务条线内控合规管理、操作风险管理落实情况，并形成各类汇总报告，向银行高层反馈总体操作风险情况和内控合规管理情况；而内部审计作为第三道防线，以更加独立的方式，对银行内部开展的各类业务进行有效稽核检查，评估整体业务经营策略执行情况和一、二道防线整体风险管控有效性的情况下，也同时通过检查分析内部控制管理的是否到位、合规底线是否有效把控。

虽然，二、三道防线的整体体系是一个非常完善、层层相扣的有效地、独立地管理体系；但是，从整个“内控合规”这个领域来看，三者之间其实存在一定的关联关系：

1 合规

合规是银行在日常经营管理中必须坚守的底线，强调的是整个行为及活动过程都要符合内外部规定，主要处于全面风险管理体系的前端（合规审核）和中端（合规检查）。

于此，可以提出，合规性是内部控制管理的重要标准之一，为了达成这个目标，内部控制必须要将合规管理作为整体核心组成部分之一。

2 操作风险

操作风险是建立在内部控制之上的一种风险管控管理措施，内部控制主要处于操作风险管理体系的前端，并贯穿整个过程，巴塞尔资本协议的操作风险管理则强调风险吸收能力，偏向于结果导向，如未即时制止操作风险事件可能引发合规风险，另外银行的各类法律诉讼、行政处罚事件，也是作为计量操作风险的主要基础数据之一。

3 审计

审计在独立稽核的过程中，主要对整体的外部政策法规和内部制度要求，对银行的内控合规管理，又以第三方视角形成独立评估，有效把控整个银行的内控合规情况。所以，可认为是内控合规管理体系的最后一道防线，如果在审计过程中还无法发现潜在的内控合规问题，则可能将这些风险暴露到监管面前。

总结来说，无论是内控合规管理、操作风险管理还是内部审计，都需要基于政策法规要求开展一系列的控制、检查、评估，而对于政策法规的收集，都主要在内控合规管理中进行主要实现，因此如果能够实现以外规库、内规库、风险库作为基础，提供各类操作风险自评估、内控检查、内控评价、内规检查开展过程中的政策制度依据；以操作风险损失事件、内控缺陷、诉讼事件库等作为问责、考核和整改的信息来源，实现不同管理职能的信息共享与对称，也为后续的审计、内控合规管理提供了一些基础数据和指标；将审计发现的问题、操作风险管理中发现的问题以及内控合规性检查中发现的问题积累到一起，通过各类检查发现的问题，形成面向各个管理职能的报告。

叁

银行建立合规中台的必要

性和可行性讨论

当前政府监管对银行内控合规管理的要求日益严格，2019年国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》，要求中央企业建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制。该实施意见创新地将内控、风险、合规有机结合了起来，强调全面风险防控，可总结为“三位一体、四全风控”。

《关于加强中央企业内部控制体系建设与监督工作的实施意见》

为此不得不引起笔者的思考，在过去的十几年甚至几十年中，银行大多数将内控合规、操作风险管理、审计以独立业务进行开展，另外行业内有些银行将操作风险和内控合规管理虽然合并成一个系统，但并没有从全行层面建立一个内控合规服务中台，这大多数是考虑到三块业务的独立性，但是从长远来看，却存在政策制度要求无法形成集中服务、监管动向捕捉后缺少后续的立足点在二、三道防线都开展检查、也缺少各类内部问题的整合分析形成完整屡查屡犯问题。

于此，笔者大胆提出一种假设，是否可以在商业银行内部建议一个内控合规服务中台（如下方图1所示），在这个中台中：

一是融合各类内控合规数据，对外提供各类内控合规业务领域数据服务，二是提供相同的内控合规统一工具平台，对外提供各类内控合规业务领域工具服务。通过内控合规、操作风险与监管审计的融合形成三位一体的合规服务中台，围绕“体系融合、合规赋能、智能系统”的思路，深入推进内控合规管理、操作风险管理以及监管审计管理，有效发挥协同效应，提升集约化、共享化和智能化管理水平。

▲ 图1：内控合规、操作风险与审计所形成的合规服务中台思路

在这个数据中台中，通过提供工具服务方式达到整体合规服务的数字化、智能化，这里提供的服务，主要包括两个方面：

一是提供统一的模型市场非现场检查，在目前银行的审计和操作风险管理过程中，通过模型开展的非现场检查已经比比皆是，但对于内控合规领域仍不常见，因此可通过这个工具服务的共享，帮助内控合规部门有更好的智能化、数字化手段挖掘合规风险线索，另外，作为数字化创新转型的一个重要体现，通过建立工具上的共享，并基于工具上的数据输出与各类管理工具进行衔接，完善二三道防线的预警体系，有效帮助二三道防线的业务人员管控风险。

二是提供统一的分析平台，无论是内控合规管理、操作风险管理还是审计管理，都需要通过各类分析平台，形成相关指标的监控，最终形成仪表盘，于此，可以考虑建立统一工具，基于统一的数据集市，抽取数据形成相关指标、仪表盘，促进整体内控合规服务的数字化。

在数据中台中，通过融合各个领域的数据，提供统一的数据服务于二三道防线业务之中，具体可形成的数据服务包括：

1.行内基础的合规要求：内部制度、外部制度

2.问题库：内部一二道防线发现的问题库、审计发现的问题库、监管发现问题库

3.监管信息库：监管处罚信息、同业处罚信息、监管近期动向信息

4.员工行为档案：员工违规信息、员工被重点关注信息

通过这些数据服务，可以对外应用到以下合规服务场景中，帮助银行更好地把控内控合规风险：

1.对业务部门内部的各种分析、检查、报告，提供各类数据源头

2.基于各种动态逻辑，组合获得对应业务、产品的制度数据信息

3.基于各种动态逻辑，抽取对应的内部员工风险信息

4.基于各种动态逻辑，抽取各类业务、产品、条线、部门的重大重要问题或屡查屡犯问题，推送各场景下目前已发现问题情况

5.基于各种动态逻辑，抽取各种监管动态信息，包括处罚、检查，推送各场景下监管关注重点

6.基于各种动态逻辑，抽取相关的KRI指标，形成对应的风险指标提示

总结来讲：从数据共享，方法工具共享，API服务打通，更多依赖EAST数据报送的高质量数据，加快和更加依赖非现场检查方法。从监管的视角统一标准，以监管罚单和监管检查发现问题为导向，建立常态化的大数据监控平台，提供数据分析工具和模型市场提高跨部门协同工作效率。

如果你喜欢我们的文章，请帮忙“点赞 关注”。或关注公众号“和合信诺”。