国际上，巴林银行因内部管控缺乏而最终走向破产，法国兴业银行因交易员的虚假交易而造成49亿欧元的巨额损失，很多知名银行频频上镜，爆出欺诈、洗钱、隐瞒债务等丑闻。而在国内，类似的事件也接连发生，山西7?28金融诈骗案、哈尔滨1?06金融诈骗案、山东“票据”诈骗案等发人深省。

这些案情所暴露出的一个共性问题就是银行内控合规的风险管理缺位，直接反应出银行对操作、合规风险的弱视。近日，银监会在向下辖金融机构发布的《关于进一步推进改革发展加强风险防范的通知》中明确要求，各商业银行等金融机构要对六大风险进行相应的风险提示，其中与内控合规密切相关的操作风险就位列其中。

风险防范要向内看

正如华夏银行行长所说：“银行经营的就是风险，并在经营风险的过程中实现利润。”银行是风险的众矢之的，风险管理的核心是确保风险和收益的合理匹配。但在当前金融风险防范的实际工作中，大多数银行都习惯于把目光向外看，重视外部风险，而往往疏忽了内部风险。由于银行内部经营管理不当，或是内部人员、机构的主观行为所造成的风险涉及层面十分广泛，包括了银行内部机构、制度、规定、管理、人员等各个方面，这些方面的疏漏都可能为内在风险提供“潜伏”之机。而大量事实表明，很多严重的风险损失往往是由于内部疏漏而导致的。

依照银监会的定义，“银行内部控制”是银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。强有力的内部控制，可以帮助银行实现三个方面的目标：第一保证财务报表与管理报告的可靠性、完整性和及时性；第二确保银行遵守相关的法律、管理条例、政策、计划以及内部管理制度及程序，降低发生损失、损害信誉的风险；第三是实现经营效果、效率以及保护银行资产的重要保障机制。“

对此，来自金融服务一线，提供内控管理咨询的神州数码融信软件的专家也剖析了银行内控合规的重要性——”内控合规风险是银行操作风险和信誉风险发生的一个重要诱因，也是银行全面风险管理的基础环节。当前，国内银行的全面风险管理由于缺乏合规风险管理过程的有效支撑，银行的风险管理制度以及合规文化往往难以确立，因此，全面风险管理也就无法真正落实。“

内控暴露的共性问题

银行内控合规的加强重在管控操作风险和合规风险，而要确保银行的一切操作行为均符合有关政策法规也绝非易事。巴塞尔委员会会计工作组主席Arnold Schilder就曾说：”发展和实施合规风险管理的挑战不亚于实施巴塞尔新资本协议所面临的挑战“。

通过如上案件的总结分析，业界专家对目前国内银行在内控合规管理方面存在的主要问题也已形成共识。第一，内控制度尚不健全，控制不足。目前我国商业银行业务发展仍以信贷规模扩张为主，受不良贷款的现实制约，内控机制建设主要围绕着信用风险而展开，强调资产负债比例管理、审贷作业分离、贷款五级分类和资本充足率达标等。相对而言，合规风险、操作风险以及信誉风险等尚未引起国内银行的足够重视，导致出现了风险控制的一些真空地带。神州数码融信指出：”相继发生一些违规操作和违规经营的问题和案件，其深层次原因就在于合规风险管理机制的不完善。“
第二，内控执行不足，控制分散。这方面主要表现在规章制度数量众多，但多分散于各部门、各岗位和各项业务中，缺少整合。现在，国内很多商业银行都建立了”三道防线“的内控风险管理思路，但三道防线所涉及的各类信息和数据比较零乱、分散，没有进行整合分析，也因此三道防线的威力没有得到充分的发挥。

第三，对分支、基层机构的检查评估不足。内部控制不仅要求银行建立相关的制度与流程，还要经常监督检查这些制度和流程是否得到了执行。一些银行内部审计不足，对内部控制的检查频率和深度往往与风险程度不匹配。因此，分支机构不严格执行内控制度的现象也确实存在。

第四，科技对业务发展缺乏有利的支持。如银行账户管理系统与同城票据交换系统、支付系统缺乏联系，就容易导致支付结算管理系统安全系数较低。再如一些大额资金与异常支付的管控鉴别也需要信息数据的及时采集和共享，及时进行整理分析，这就对各银行之间信息的交流畅通和数据共享提出了要求。

第五，内控文化未真正落地。神州数码融信软件认为：”银行内部控制是需要董事会、高级管理层和各级人员共同努力才能实现的过程，银行内部的每一个工作人员都要参与这一过程。“也只有这样，内控文化方能从上到下真正落实，从而有效地规避风险。当前一些银行已建立起”防风险“与”业务发展“的双重考核机制，以期提升全员的风险防范意识。

构建合规风险管理的有效机制

当前，加强内控治理已成为银行落实全面风险管理的重要一步。但做好内控治理仅有意识是不够的，如何加强执行、真正杜绝风险才是银行所期望的结果。神州数码融信软件曾经历时四年为国内一大型银行实施了内控管理咨询及系统，达到了业内先进水平。在接受采访时，神州数码融信的专家明确指出：”银行亟需构建有效的合规风险管理机制，这是解决合规风险与操作风险频发的一个重要的治本之策。“

合规风险管理机制是银行主动识别合规风险，主动避免违规事件发生，主动采取各项纠正措施以及适当的惩戒措施，持续修订相关制度流程和具体做法而形成的岗位手册，可以有效地管理合规风险，确保银行的合规稳健运行，实现周而复始的良性循环。

对银行而言，这一机制的建立将使银行合规工作不再局限于简单满足监管部门的监管要求，或者与监管部门进行博弈，而是将合规作为银行经营发展的一种特殊风险，以风险管理的理念和方法，推进银行内部制度和流程的建设及持续改进，从而提高制度和流程的执行力。

银行构建合规风险管理机制需要强调四个方面：第一，合规是银行内部的一项核心风险管理活动，也是银行实施内部控制的一项基础性工作。第二，”合规应从高层做起“，通过完善公司治理和培育良好的合规文化来加强合规风险管理。第三，在银行内部组建一个常设的、独立有效的专职合规部门，支持和协助银行高级管理层有效管理合规风险，实现银行的稳健经营。第四，进行事前的风险识别和预警，事中的风险控制以及主动的合规风险管理，确保合规风险管理与银行制度和流程的评估处于持续改进的良性循环之中。

”合规风险管理可以成为银行进行内部控制的基础、‘抓手’或载体，内控由此不再是不可触摸的，而是实实在在的日常工作。“融信专家如是说。而内控合规风险管理系统的建设是支持这一目标落地的必要举措。神州数码融信是目前国内从事银行合规风险系统建设的唯数不多的厂商，他们的体会是：系统可以帮助银行初步建立起内部控制的立体管理体系：首先，通过系统实现信息集中和风险评估后，银行能够正确了解所处的风险环境，从而将管控的重点放在有重大影响的关键风险上；其次，系统可以完善第二道防线的检查制度，不仅提升内控工作质量也能改进工作效率，实现内控管理流程的标准化和模块化；第三，系统可加强基层网点的综合治理，实现一线的自查、自训、自纠，并对营业经理派驻制进行管理，对基层网点员工进行风险管理；第四，系统可实现稽核的再监督职能，如检查中发现的问题，可在内控系统中得以验证并进行预警。

另一方面，银行通过构建内控管理系统，可提升内控管理水平和科技水准，实现合规或操作风险管理的规范化、标准化和内控信息管理的集约化。例如可提高内控的可验证性，强化内控过程控制，提升内控风险的统计分析水平，实现内控的连续纠偏和持续整改。

所以，随着内控合规管理的加强，国内银行新一轮内控合规管理信息系统的建设已迫在眉睫。