传统意义上搭建的风险、合规、内控体系往往是单独建设、独立运作,各有侧重、各有流程、各有归口。然而风险、合规、内控体系本身存在着较多同质点和连接点,独立建设和运行存在管理同质化、重点分散化、体系割裂化问题,容易造成管理重复、资源浪费,亦容易导致信息孤岛和数据孤立,影响企业对风险的全面把控和风控体系的落地执行。
随着监管要求强化、外部环境变化以及企业自身发展,经营风险及成本效率要求提高,越来越多的企业意识到需要将风险、合规、内控以及自身已有管理体系进行整合,建立融合的风控体系。
为什么要建设融合的风控体系
融合的风控体系是未来管理的发展趋势。世界一流企业基本上都建立了融合的风险控制体系,通常具备了前瞻性的、与战略高度融合的风险管理能力——一是具备基于风险的战略决策能力,二是风险管理与业务管理深度融合,三是不断优化风险管理技术。这种前瞻性的风险管理能力,可以帮助企业在经济大潮的冲击中,把那些生死攸关的风险,转化为转型、变革和发展的契机和驱动力。
融合的风控体系是提升管理效能的需要。第一,形成风险、合规、内控三者在体系内容上的匹配关联、运行机制上的整合协同,采取与企业现有管理体系统一的管理语言,建立统一的风控管理标准和流程,能够有效降低管理成本、提升管理效率。第二,融合的风控体系打破部门间信息壁垒,更全面呈现企业的风险、合规、内控现状,为公司决策层提供更全面、更准确的信息支持。
融合的风控体系是实现高质量发展的保障。主要体现在三个方面:通过风险信息的收集、识别、预警、评估、分析和控制,企业可以更加全面及时有效地防范应对各类风险挑战,变“遇见”为“预见”;通过合规底线融合、年度重大风险认定等工作,在全面梳理风险的基础上实现管控聚焦,提高资源利用效率;在公司管理体系中融合风控体系,促进企业持续改进升级管理标准,更好地适应监管、市场及企业自身变化。
如何建设“两个融合”风控体系
“两个融合”风控体系建设是指风险、合规、内控体系内的“小融合”以及风控体系与企业现有管理体系间的“大融合”。
在风险、合规、内控体系三者建设和内部“小融合”方面,通过调研访谈、流程梳理、制度诊断、合规识别及对标管理等,搭建风控框架、明确合规事项、完善内控标准,输出风险数据库、合规义务事项清单、风险控制矩阵等核心成果,分模块构建风险、合规、内控体系;基于“合规入风险,风险有控制,控制有标准”原则,完成合规体系与风险体系、风险体系与内控体系的两次匹配,建立三个体系成果之间的关联;通过整合协同风险识别、风险评估、风险应对、风险评价中的同质工作,统一收集风险信息(含合规风险),统一识别评估所有风险,统一风险应对策略,并统一评价风险信息收集、识别、评估、应对全流程,完成风险、合规、内控体系三者在运行层面的融合。
在风控体系与企业现有管理体系之间的“大融合”方面,运用“基于风险思维的RG-PDCA”及要素整合法,通过业务风控融合、标准(制度)融合、体系融合的路径,从制度设计、运行融合、改进融合等方面,使风控体系全面融入企业现有管理体系。在制度设计层面,通过与现有管理体系架构、逻辑、流程、方法对表,嵌入国家标准和规范要求,强调风控节点进流程、风控标准进制度、风控职责进岗位、风控要求进系统,全面贯通风控体系、管理体系及业务流程。在运行融合层面,设置常态化管控与重大风险专项管理的“双线管控”机制,全面、重点推进风控体系运行融合。在改进融合层面,从体系内审、管理评审、考核评价三个方面将风控体系与企业现有管理提升活动进行融合,实现风控体系的闭环管理和循环提升。
风控体系建设有关问题应对措施
初始阶段,员工对风控体系的理解和接受度不足,会直接影响风控体系的建设进度和效果。可通过组织广泛的、深入浅出的专业培训和风控文化宣贯,使员工更好地理解风控体系的重要性和运行逻辑;定期组织研讨会,及时了解员工的反馈,营造全员参与、群策群力的工作氛围,提高员工对新体系的认知和接受度。
建设过程中,可能会遇到IT系统与风控体系需求不完全匹配的问题。针对这一问题,组织信息技术部门与风控建设团队进行深入讨论与技术评估,对IT系统进行调整,以支持风险数据的整合分析与实时预警、风控工作流程线上化。
风控工作专业要求高,在各部门、各单位间协同开展、日常运行有难度。建议强化人才工作顶层设计,加大条线人才队伍建设力度,各个条线配备风控管理员,建立起一支覆盖各部门、各单位的风控“金种子”队伍。这支队伍全程参与风控体系建设及运行,持续储备理论知识、增强实战能力,支撑企业风控体系高效运转。