银行科技风险监管合规应对思路

监管合规系列：银行科技风险监管合规应对思路

■文 | 李鹏飞

一、法律合规案例

先看两篇前不久发生的新闻报道，第一篇是关于工商银行马德里分行的。

2月17日西班牙《国家报》消息，西班牙当局对中国工商银行马德里分行进行了搜查。据称，工行马德里分行涉嫌参与洗钱和偷税。银行员工帮助犯罪团伙非法从西班牙向中国转帐约3亿欧元(约合21.8亿元人民币)。

另外一篇是中国留学生施虐同学案。

参考消息网2月19日报道外媒称，3名来自中国的高中生因绑架并攻击另一名中国青少年17日被美国波莫纳法院判刑。据美国《洛杉矶时报》网站2月17日报道，根据与检方达成的协议，三人对绑架和攻击指控供认不讳。翟某获刑13年，杨某获刑10年，章某则被判处6年有期徒刑。

这两篇新闻报道是非常具有典型意义的，一个是企业法律合规案例，一个是个人法律合规案例。

但是，在国内这两篇新闻报道并没有产生太大的波澜，甚至很多人压根就没有在意这两篇新闻报道。然而，不得不承认的是，法律合规问题已经是影响企业业务连续性的一个重要风险，对于跨国企业更是如此。

二、合规应对思路

在各大行业中，银行所要遵守的合规要求是比较多的，详细的合规要求汇总参见笔者的另外一篇文章《商业银行法律法规与监管要求汇总》（回复监管要求查看），在这里不做累述了。

企业在进行内控建设与风险管理时，通常会有两个基本的输入项，这两个输入分别是：

• 风险评估：不这么做的风险是无法承受的，自身觉得应该这么做，即合理性。

• 监管要求：不这么做可能受到监管处罚，即使不情愿也不得不这么做，即合规性。

按原则来讲，所有的监管要求都是必须要满足的，但问题是银行监管发展太快，相对应的信息科技监管要求也非常的多，从监管要求发布到完全满足是需要一个过程的，这是一个现实存在的问题。

那么，对于银行自身来讲，如何处理监管要求与自身发展的关系呢？那么多的监管要求如何确定其优先级呢？

解决这个问题，需要将监管要求与风险评估一起进行考虑，即综合考虑信息科技风险管理措施（控制）的合理性与合规性。

如果监管要求与需要处置的风险重叠，这代表着无论从自身需求还是监管要求，都需要进行此项风险管理措施（控制），因此，优先级最高。

如果监管要求与需要处置的风险没有重叠，原则上当然是先满足监管要求，监管要求优先级要高于风险处置优先级；但是，如果监管要求实施缺乏可行性（技术、资源、时间限制），则监管要求优先级就会大大降低，而应该优先考虑需要进行处置的风险。

合规应对的宏观思路基本如此，在微观层面如何做好合规应对工作呢？通俗的说合规应对就是要自己证明自己已经满足了监管要求，这句话说起来容易做起来难，具体需要以下的几个步骤：

❶识别监管合规相关要求：识别需要合规的监管要求，并将监管要求条款按相关责任部门进行分解。（识别要求）

❷依据监管要求建立控制：相关责任部门按照监管要求条款，建立必要的制度、流程、技术控制。（建立规则）

❸落实监管合规控制措施：相关责任部门及岗位人员，按照已经建立好的合规控制进行整改、落实。（执行规则）

❹执行合规控制措施检查：运用检查手段，确认合规控制的落实情况，评估合规控制执行效果。（检查落实）

❺验证合规要求符合情况：将合规要求、合规控制、合规检查结果等进行对比，展示合规状态与结果。（证明合规）

三、总结

在长期缺乏规则意识与契约精神的环境里，大部分人对于法律合规问题是相当漠视的，在很多情况下甚至认为合规要求是一种负担。

但在日益市场化、国际化、互联网化的今天，法律合规问题对于任何企业都是无法逃避的。

最后我想说，如果企业是大海里航行的船只，监管要求就是海面上的风，我们不能改变风的方向，但我们可以调整自己的帆位置。

 

监管合规系列目录：

回复P2P监管查看☞新发布的P2P监管细则涉及哪些安全工作

回复监管要求查看☞商业银行法律法规与监管要求汇总

回复银行合规下载☞《商业银行法律法规与监管要求列表》

回复监管背景查看☞为什么银行科技监管要求变的越来越严格？

回复监管体系查看☞银行信息科技风险监管体系发展

 

回顾《监管合规系列》，请回复s02

原文始发于微信公众号（微言晓意）：银行科技风险监管合规应对思路