文 / 中国农业银行 刘刚 王鹏 王天航
数字化时代,金融行业进一步扩大开放、银行业监管要求日趋严格,农业银行信息科技工作面临强监管严问责、保障生产运行与网络安全、提升IT治理水平、加强合规管理能力等内外部新挑战,亟需建立适应新形势的信息科技合规管理体系。
本研究借鉴ISO 37301:2021《合规管理体系要求及使用指南》(Compliance management systems—Requirements with guidance for use)和PDCA理念,设计了合规依据、合规控制、合规检查、合规改进的合规管理闭环体系,并将体系管理活动固化到合规管理系统,通过理论研究、实践落地、系统建设等方式,构建了整个信息科技合规管理的新体系。经过近4年探索实践,科技条线合规意识明显增强、合规依据体系日益完善、管理技控手段逐步丰富、合规风险有效压降,基本实现了构建总分合规共同体的目标。
研究思路及实施路径
1.总体思路。本研究以“构建总分合规共同体”为目标,以“问题导向、对标监管、以查促改”为指导方针,以“制度标准、合规防范、尽职检查、问题整改”为核心,以“团队、系统、考评”为支撑,以“按序推进”为策略,开展合规体系改革,设计并实践了适应数字化时代、贴合农业银行信息科技工作实际的合规管理体系,推进实现总分行科技条线措施共商、风险共享、检查共施、责任共担、问题共治。
2.合规框架。本研究基于“制度标准、合规防范、尽职检查、问题整改”核心内容,构建了“合规依据、合规控制、合规检查、合规改进”合规闭环。同时,打造合规团队、建设信息化系统、量化考核指标,在人员、系统、考评等三方面对合规闭环形成重要支撑(见图1)。
本框架共包含3个工作模型和3个支撑模块,即:标准化检查工作模型、合规计量模型、治理成熟度模型、合规团队模块、合规系统模块、合规评价模块。
3.实施路径。通过三步走,按照每年“设计一项、实践一项、试点一项”的方式,逐步完成合规管理新体系构建(见图2)。
第一,启动改革。确定合规管理体系改革方向,形成自上而下改革共识。第二,迈好第一步。从合规检查入手,建标准、建队伍、出政策,启动全面非现场检查试点。第三,走稳第二步。开展当年全覆盖检查,试点问题整改,初步打通全面检查与问题整改。第四,深化整改。全面推进问题整改,试点“制度+标准+系统+工具”新制度体系。第五,走实第三步。推广新制度体系,实现制度越写越薄、标准越建越丰富、系统越做越完善、工具使检查越来越轻松。
信息科技合规体系
基于合规闭环体系,在合规团队、合规系统、合规评价的支撑下,形成合规管理良性循环。
1.合规依据,夯实合规闭环规则基础,筑牢科技合规管理依托基石。优化科技制度体系(见图3),完善“4层级(纵向)、10领域(横向)”矩阵叠加体系架构,纵向分为政策制度层、规定办法层、规程细则层、手册指导书层;横向构建组织与人员、规划与计划、IT架构管控、科技项目管理与研发、生产运行管理、网络安全与风险管理、科技资源管理、基础设施管理、基础管理、评价与奖惩十大工作领域。同步形成了编制指导、宣贯培训、评价与动态维护的一整套保障机制,促进了合规依据良好运行。
2.合规控制,推动“人防+技防”,实现对流程的合规管控。设计“人工管控(人防)+系统防控(技防)”的标准化控制机制。在人防方面,各问题的整改措施应明确核验职责、核验规则及核验周期,全面压实人防责任,推进“管理机制+管理流程”的人工核验;在技防方面,推进各领域管理系统实现自动化核验与控制。
3.合规检查,构建标准化检查工作模式,持续验证合规工作效果。设计构建“四统一”标准化检查模型(见图4),建立了统一检查点、统一检查方法、统一信息采集资料和统一违规判定规则的尽职检查基础,并通过“三化五维”的检查组织方式(见图5),可比同业中,首次实现了非现场、标准化、覆盖全机构和全领域的尽职检查。
4.合规改进,构建多维度、全层级问题整改机制,实现问题整改有实效。设计了基于存量、增量、个案性、系统性四个维度的根源整改思考模型(见图6),提出并实施了制度标准、合规人防、合规技防、检查工具与方法四层级整改成熟度模型,将问题整改工作模式推上一个新阶梯,实现了整改措施逻辑的完整和填写内容有据可依,避免整改措施随意裁剪,推进问题的根源性整改,有效防范屡查屡犯、此查彼犯。
5.合规评价,构建系统性指标,充分发挥评价的指挥棒作用。建立制度标准、检查结果、整改成效等计划性、过程性和结果性指标。一是设计合规风险评价模型,测算出领域和机构合规分值,用数值评价风险程度,形成有针对性的合规建议和指导;二是利用合规管理系统,量化评价并线上公开评价结果,提升合规管理流程的精细化和数字化水平。
6.合规团队,打造合规管理队伍支撑,构建合规管理的人才宝库。合规管理需要“人”发挥重要作用,结合合规工作管理和技术属性,组建由“总行+分行”构成的组织架构,通过专业培训、考试遴选、检查日例会、总结复盘会、质量审查会机制,实现“学、赛、练”一体的合规团队培养路径(见图7),打造了一支有能力、有技术的全条线合规团队。
7.合规系统,全流程系统化支撑合规工作,助力合规管理工作站立数字时代前沿。合规工作需要一个线上化的系统(见图8)实现对其的支撑。一是构建功能模块,将合规管理闭环的各环节嵌入系统;二是构建全流程管控,在制度、检查、问题等环节实现流程化管理;三是推进数据分析,可以多角度、多维度对检查、整改等工作开展数据分析;四是构建逻辑关联,推进“制度标准—检查点—检查问题—治理整改—合规分析”联动,推动条线合规管理与信息化管理水平的提升,全面的合规依据和丰富的管理数据能够为条线合规管理、评价、决策提供强大的数据支撑。
合规管理体系实践效果
2019年至今,合规管理工作取得了显著成效。一是科技制度逐步完善,并进入常态化管理;二是合规检查、合规改进成效“双提升”,发现问题数量实现大幅压降,相比2021、2022、2023年条线问题数量下降61.8%、76.5%,连续两年问题整改率达到100%;三是合规管理能力提升明显,合规团队组织框架已经成型,团队专业水平有效提升,合规系统基本功能全部上线;四是科技合规标准化体系初步成型,形成了标准化的工作模式,构建了“四统一”标准化的非现场检查机制、“四层级”问题整改标准化模型等;五是全条线合规意识显著提升,合规文化已形成浓厚氛围,“合规共同体”目标基本达成。
(此文刊发于《金融电子化》2024年8月下半月刊)
