银行科技风险监管合规应对思路
一、法律合规案例
先看两篇前不久发生的新闻报道,第一篇是关于工商银行马德里分行的。
2月17日西班牙《国家报》消息,西班牙当局对中国工商银行马德里分行进行了搜查。据称,工行马德里分行涉嫌参与洗钱和偷税。银行员工帮助犯罪团伙非法从西班牙向中国转帐约3亿欧元(约合21.8亿元人民币)。
另外一篇是中国留学生施虐同学案。
参考消息网2月19日报道外媒称,3名来自中国的高中生因绑架并攻击另一名中国青少年17日被美国波莫纳法院判刑。据美国《洛杉矶时报》网站2月17日报道,根据与检方达成的协议,三人对绑架和攻击指控供认不讳。翟某获刑13年,杨某获刑10年,章某则被判处6年有期徒刑。
这两篇新闻报道是非常具有典型意义的,一个是企业法律合规案例,一个是个人法律合规案例。
但是,在国内这两篇新闻报道并没有产生太大的波澜,甚至很多人压根就没有在意这两篇新闻报道。然而,不得不承认的是,法律合规问题已经是影响企业业务连续性的一个重要风险,对于跨国企业更是如此。
二、合规应对思路
在各大行业中,银行所要遵守的合规要求是比较多的,详细的合规要求汇总参见笔者的另外一篇文章《商业银行法律法规与监管要求汇总》(回复监管要求查看),在这里不做累述了。
企业在进行内控建设与风险管理时,通常会有两个基本的输入项,这两个输入分别是:
-
风险评估:不这么做的风险是无法承受的,自身觉得应该这么做,即合理性。
-
监管要求:不这么做可能受到监管处罚,即使不情愿也不得不这么做,即合规性。
按原则来讲,所有的监管要求都是必须要满足的,但问题是银行监管发展太快,相对应的信息科技监管要求也非常的多,从监管要求发布到完全满足是需要一个过程的,这是一个现实存在的问题。
那么,对于银行自身来讲,如何处理监管要求与自身发展的关系呢?那么多的监管要求如何确定其优先级呢?
解决这个问题,需要将监管要求与风险评估一起进行考虑,即综合考虑信息科技风险管理措施(控制)的合理性与合规性。
如果监管要求与需要处置的风险重叠,这代表着无论从自身需求还是监管要求,都需要进行此项风险管理措施(控制),因此,优先级最高。
如果监管要求与需要处置的风险没有重叠,原则上当然是先满足监管要求,监管要求优先级要高于风险处置优先级;但是,如果监管要求实施缺乏可行性(技术、资源、时间限制),则监管要求优先级就会大大降低,而应该优先考虑需要进行处置的风险。
合规应对的宏观思路基本如此,在微观层面如何做好合规应对工作呢?通俗的说合规应对就是要自己证明自己已经满足了监管要求,这句话说起来容易做起来难,具体需要以下的几个步骤:
-
1)识别监管合规相关要求:识别需要合规的监管要求,并将监管要求条款按相关责任部门进行分解。(识别要求)
-
2)依据监管要求建立控制:相关责任部门按照监管要求条款,建立必要的制度、流程、技术控制。(建立规则)
-
3)落实监管合规控制措施:相关责任部门及岗位人员,按照已经建立好的合规控制进行整改、落实。(执行规则)
-
4)执行合规控制措施检查:运用检查手段,确认合规控制的落实情况,评估合规控制执行效果。(检查落实)
-
5)验证合规要求符合情况:将合规要求、合规控制、合规检查结果等进行对比,展示合规状态与结果。(证明合规)
三、总结
在长期缺乏规则意识与契约精神的环境里,大部分人对于法律合规问题是相当漠视的,在很多情况下甚至认为合规要求是一种负担。
但在日益市场化、国际化、互联网化的今天,法律合规问题对于任何企业都是无法逃避的。
最后我想说,如果企业是大海里航行的船只,监管要求就是海面上的风,我们不能改变风的方向,但我们可以调整自己的帆位置。
如果觉得作者文章内容不错,欢迎关注微信公共号(ID:WeYanXPJ)获得后续更新;如需阅读以前文章,请在公共号后台查看历史消息。