Question

4.1.1　合规、内控、风险管理的关系

合规、内控、风险管理，是金融企业经常提到的三个关于合规建设的概念，这三者之间既有区别，又有关联。

·合规管理是最基础的层面，合规管理的目标是避免违反内外部法律法规、规章制度、流程规范，避免因不合规导致的风险。

·内控比合规管理更进一层，内控不但要求合规，还要审视“规”是不是完善，“规”有没有配备相应的执行点，执行“规”的过程是不是有效。

·风险管理，特别是全面风险管理，是风险管控的最高形式。风险按标准划分为市场风险、信用风险、流动性风险、操作风险、法律风险。而合规、内控只是操作风险管理的手段。大部分金融企业会设置首席风险官，属于公司高级管理层。

虽然从一般意义上说，风险管理>内控>合规，但由于企业习惯将风险管理及其所包含的内控、合规活动统称为内控合规管理，而且本书探讨的是企业信息安全管理，故本书所称的内控合规，特指 IT 内控合规，即围绕信息科技风险管理的一系列管理活动。

4.1.2　目标及领域

金融企业 IT 内控合规管理的目标是，通过建立有效的机制，实现对金融企业 IT 风险的识别、计量、监测和控制，对外保障 IT 活动符合监管机构各项管理要求，对内确保各项管理要求的落地和控制措施有效，最终实现 IT 风险可控。

在具体实践中，IT 内控合规管理的领域包括：信息科技风险管理、监督检查、制度和公文管理、业务连续性管理、信息科技外包管理、分支机构管理，以及其他一些工作。根据不同企业对 IT 内控合规的理解不同，管理的领域可能会有一些不同。

在很多金融企业中，IT 内控合规管理的岗位给人的印象就是“写报告”，这种说法比较通俗易懂，但失之偏颇。

其一，写报告只是展现方式，报告中的内容，需要各种学习、对标、检查、督促等大量的积淀。所谓“巧妇难为无米之炊”，可以说，先要有对风险的深度掌控这个“米”，才能做出一份好报告的“炊”。

其二，要写好一份报告，不是简单的文字堆砌，而是需要能力、知识、技能和逻辑架构的功底，需要很多年持之以恒的积累和丰富的技巧。针对不同的对象要有不同的报告，针对不同的要求要有不同的报告，针对不同的时期也要有不同的报告。所谓“运用之妙，存乎一心”，要写得非常熟练、自然、流畅，要合乎阅读对象、形势、场景、时间的需要，需要多年的积累，方可挥洒自如。

4.1.3　落地方法

笔者从 IT 内控合规管理工作的经历中，总结出一套落地方法，可以用一个简单的口诀表示——外规对内规，内规对检查，检查对整改，整改对考核。

·外规对内规。将外部规范要求分解成元要求，去重合并，和内部规范一一对应，每条元要求对应的结果为三者其一：1）满足要求；2）冲突；3）缺失。如果是 2）、3）两种情况，要么修订内部规范，要么增加内部规范，以满足外规要求。通过识别，外部规范（指中国人民银行、银监会、公安部等监管机构发布的规章）分解成 9 大类、52 个小类、1249 条元要求，去重合并后形成外规内规对应关系。在外规对内规的梳理过程中发现了部分外规元要求没有内规承接和冲突的情况。

·内规对检查。依据监管要求和外部标准梳理出内部规范后，建立一套适用的检查标准，并进行全面覆盖的检查，包括常规检查、专项检查和事件驱动检查。具体内容见 4.3 节“监督检查”。

·检查对整改。建立一套电子化系统，实现检查计划制订、检查实施、报告管理、问题跟踪等全过程的电子化管理。检查发现和整改情况纳入问题管理流程。

·整改对考核。将检查发现和整改情况纳入团队和个人当月和年度考核，实实在在地与个人收入挂钩，才可能引起重视，提高整改达成率。

较多的大型金融机构（如银行）均建立了外规条款数据库，并可以根据关键字进行快速检索查询，供内部使用，取得了不错的效果。

下文分别介绍 IT 内控合规管理的各个领域。