内部控制与操作风险管理、合规管理三者在管理目标、工作机制等方面明显不同，但这三者体系架构基本一致，管理逻辑前后相继，具备合并管理的条件。借助监管部门对合规体系的强约束，以及操作风险纳入资本管理体系后的重视程度，以内控技术体系为基础做实合规、操作风险管理，建立“三合一”的管理体系，对于中小银行的风险管控第二道防线实务而言，是可行的途径。

（一）“三合一”架构的构想

国家金融监督管理总局分别于2023年6月、2024年12月发布了《银行保险机构操作风险管理办法》《金融机构合规管理办法》，对操作风险、法律风险、合规等相关概念进行了重新定义，并提出了新的管理规则，这里就不引用这两个监管规则的相关内容以节省篇幅。比较两者的内涵、外延以及与之前的变化，有三点值得注意：

一是操作风险新规首次在部门规章层面，对操作风险管理的三道防线作了明确界定：第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作；第二道防线包括各级负责操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作；第三道防线包括各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。同时，又规定法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源等专业管理部门除履行各自专业的一道防线职能外，还要为其他部门提供资源和支持，与COSO的内部控制三道防线框架基本保持一致。

二是明确了操作风险管理是全面风险管理体系的重要组成部分，而合规以及合规风险管理并没有被归入到全面风险管理体系中。这预示着监管部门将对银行的风险管理体系进行简化和结构性调整，各种类别风险的管理体系将归并到全面风险管理体系的框架内，全面风险管理体系、合规管理体系以及内部控制管理体系将成为银行风险管理架构的三大支柱，实现与国资委的风险管理体系并轨，为银行业以内部控制体系为基础，全面风险管理和合规管理体系为支柱进行融合提供了政策依据。

三是将法律风险的管理范围增加至违反监管规定而承担的刑事责任或行政责任，自然也归为操作风险管理范畴，这与《商业银行法》保持了一致，合规风险事实上已全部包含在操作风险范畴之内，合规风险是操作风险的溢出，即操作风险事件同时触发了违反监管规定的需要承担的损失后果。

早在2019年，国资委在《关于加强中央企业内部控制体系建设与监督工作的实施意见》中就提出“央企要建立健全以风险管理为导向，合规管理监督为重点，严格、规范、全面、有效的内控体系……实现‘强内控、防风险、促合规’的管控目标”，为建立内部控制、操作风险、合规管理“三合一”管理体系提供了政策依据。

相对于其他行业，银行业的风险管理架构还需要符合巴塞尔委员会（BCBS）相关规则，关于风险的定义、类别风险管理规则等都有明显不同。广义的风险包含了损失与收益两种结果，具体到BCBS的全面风险管理体系以及类别风险管理要求，则是集中在导致损失的风险领域，在此基础上建立的风险管控体系围绕防损减损止损来展开，而我国金融监管部门则是将法律风险归入操作风险管理范畴，无须单独建设法律风险管理体系。

巴塞尔协议Ⅲ（巴Ⅲ）通过强化资本管理、风险覆盖和内部控制的监管要求，以资本管理为核心，通过风险量化与内控执行，形成“资本约束风险、内控支撑管理”的闭环体系，构建了银行稳健运营的监管框架。巴Ⅲ要求银行建立全面风险管理体系，涵盖信用、市场、操作风险等，并通过内部控制落实。强调内控需覆盖风险识别、监控和报告全流程，如通过内部审计和合规管理确保资本计量（如内评法）的透明度，避免“模型操纵”。基于中小银行的管理实务，如何整合这三大体系还需要监管部门和金融机构的共同努力。

无论是风险管理体系，还是其他的管理体系，与现有的管理流程融合是基本要求。从这些风险管理体系在业务领域的作用机制来看，其管理对象都是且只是业务流程，只不过不同的管理体系是按不同的风险特征进行管理而已，企业需要解决的是如何让这些诸多管理体系标准和要求有序融入同一个业务流程的难题，而不是执行众多的体系让基层一线无所适从。

内部控制目标是通过各项业务、管理流程有效受控来实现的，制度是只提供了各项流程的作业标准和职责分配，并不能自动落实到执行过程中。尤其是各种体系林立的当下，各项管控要求应当在流程层面予以整合，方可在基层一线真正落地。合规规范包括3个方面：强制性义务（法律、法规、监管政策等）、承诺性义务（制度、合同、协议等）、宣示性义务（遵守比较高的道德标准，约相当于准则）。合规风险在业务条线最终均以操作风险事件来触发。

内部控制、操作风险管理、合规管理3项工作的性质、底层逻辑高度重合，相互之间高度重合的交叉关系决定了这三者在体系融合中遭遇的困难会小一些。相对来说，内控与业务的关系更密切一些，而操作风险管理、合规管理相对更务虚一些。适合中小银行的内部控制模式将是三位一体的模式，亦即以内部控制为基础，合规管理与操作风险管理融合的“三合一”模式。

监管规定调整为中小银行建设“三合一”体系提供了规则依据，在第二道防线层面将这三者纳入同一体系，交由同一团队实施，基于目前中小银行第二道防线资源不足的现状，是比较可行的现实选择。当然，随着银行经营规模扩大，三者也终将各自建立专业体系，以提升精细化管理水平和风控能力。

（二）以清单化管理为基础整合运行机制

风险管理体系旨在识别、评估和应对企业面临的各类风险，解决风险计量等管理问题；合规管理解决风险点，核心在于规范企业经营行为，使其符合国家法律法规、监管规则、行业准则以及企业内部规章制度；内部控制是全面风险管理和合规管理的基础，保障企业经营的稳定性，通过对企业内部流程的规范和监督，提高企业运营效率和管理水平。这3个体系看似独立，实则紧密相连，工作性质、底层逻辑高度重合，共同构成了企业管理的有机整体。

对于银行而言，风险管理体系包括了全面风险管理体系和各类别风险管理体系。其中，与内部控制职能最接近的综合性类别风险是操作风险管理体系。合规管理、操作风险管理体系与内部控制体系架构基本相同，在中小银行当下的风险管理环境中，操作风险管理体系率先完成与合规、内部控制管理体系的融合，参照内部控制体系运行的规则来统一管理，以此来推进与其他类别风险、全面风险管理体系的融合，是较为可行的实施路径。

从业务一线视角，检验任何管理体系落地成效最简单的标准，就是看能否降低各级业务部门主管在实施决策时的成本，而不是这些体系有多先进、多完善。对于以风险为经营目标的银行业，风险管理体系的落地尤为重要。要做到这一点，就需要让基层决策者在业务流程中充分、便捷地获得体系支持。在操作风险管理三大工具基础上，以风险清单、流程清单、职责清单3张清单为基础整合内部控制、操作风险管理、合规管理体系的标准、流程等运行机制，是较为可行、切合中小银行的融合路径。

经过监管部门的持续推进，现在每家银行基本上都有详略不一的风险清单，这是全面风险管理等各类体系的要求，也是制定风险偏好的基础。将风险清单确定的高风险领域控制措施落实形成流程清单，将各部门、岗位在流程中的控制职能履职要求编制职责清单，以此作为对流程控制节点的操作规程、作业标准进行符合性评价的参照，并作为对各部门、机构的履职评价主要依据。以合规风险作为编制风险清单的基础，所列举的风险点至少应包括向前推移若干年本行实际发生的被监管部门处罚，以及本行风险偏好文件中列示的所有风险点。相对而言，将这些列入风险点不容易有争议，董事会、监管部门关注程度高，同业数据容易获得，可作为管理的基础以及关注重点。

编制风险清单时，要区分属于定性风险，还是可量化的风险。以操作风险损失数据库（LDC）为基础，根据风险事件发生频率、发生后的危害程度，设定风险等级。计算发生频率可以是本行历史上已发生的风险事件次数，也可以同业的数据。风险的分类分级应与内部控制评价要求一致，应分为定性、定量2类，为便于管理，可设重大、重要、一般3级，在此基础上再进一步细分，与风险矩阵保持一致，并要考虑适合绘制风险地图需求，以实现风险分布可视化管理，便利上级决策参考。

组织编制和持续优化流程清单是内控部门主要工作职责，对风险清单中列举的所有风险点，整合操作风险矩阵，组织相关业务管理部门绘制流程图，简化操作节点，抓住关键控制节点，明确控制标准、文件化信息要求、不相容职责等关键控制措施，同时也可以为操作风险自评估（RCSA）提供技术支持。

职责清单是RCSA中控制措施有效性评估的重要依据，是对各部门、机构的履职评价主要依据。职责清单是根据流程清单界定的关键控制措施，按“上追两级、双线管理”原则界定经办人以及相关岗位职责，对于重大风险点可以“上追三级”，作为风险事件问责的基础，以PDCA循环形成闭环，并据此整合关键风险指标（KRI）和绩效考核，持续推动体系自我完善。

三张清单成型后，内部控制、操作风险管理和合规管理的主要工作内容就是验证清单中风险特征特异性、监测模型灵敏度、控制措施有效性、职责分配合理性等，工作模式会趋向标准化，为实现系统管理打好基础。

（三）以全流程管理提升内部控制效能

当前银行的各种风险管理系统较多，这些体系多数都要求与企业组织现有的管理过程融合，这里的过程实质上就是流程。只是，诸多的管理体系都是从不同类型的风险、不同的相关方要求进行分类的结果。如何让这些管理体系标准和要求有序地融入业务流程中，是管理者需要解决的难题。

中小银行要建立、优化符合企业实际、可操作性强的内部控制体系，应以全流程管理的思路，梳理内部控制流程，找到控制关键点，设计必要、够用的控制措施，在此基础上界定各控制点的作业标准、操作步骤并制度化，在流程层面实现各类风险管理体系的整合，是比较符合实际的做法。毕竟中小银行不像大银行那样管理链条长、内部分工复杂、产品多样化程度高，不需要有庞大的专业团队、充裕的时间、大量的资源投入才能完成。

所谓的全流程，就是要把业务、管理目标和控制策略的制定、落实，以及执行结果的监测、动态优化，亦即整个PDCA循环闭环均纳入内部控制第二道防线的管理视野。通常，合规风险主要出现在外规引入内规时的效率与质量，以及执行结果与外规的偏离程度上。操作风险高发于执行过程与控制策略的偏离。而内部控制则是以过程控制来实现执行结果与既定策略的全面性、符合性、有效性。

企业全体系融合管理，其实是企业各方面风险控制措施整合、一体化管理过程。只是在实践工作推进中，企业内部面临各种管理体系的建设，形成企业各管理体系丛林。基于业务流程的多管理体系大融合。建立对应的管理措施，合并同类、相同内容的管理措施，一并嵌入业务流程，形成新的业务控制规则。其他类别风险管理体系乃至全面风险管理体系的融合也可按这一模式实施，只不过相关控制节点的操作规程和作业标准有所区别而已。

内部控制体系运行成效往往不决定于技术体系如何精妙，而决定于内部控制环境，决定于体系内各级经办人与决策者，他们的行为习惯就是控制环境的主要内容。因此，将内部控制视野下的流程管理，从业务处理流程向上向下延伸，将规则设计与优化、检查监督、后果管理等都纳入内控监督范围内，有利于对内控环境进行常态化的监督评价，将非常有助于提升内部控制体系的效用。

全流程管理容易出现的一个问题是，规则设计者往往是银行管理总部人员，习惯从银行内部的产品流程入手，很容易将控制标准局限在业务条线部门的职责范围内，而不是以客户为导向，从客户视角来审视、整合流程。从业务实践来看，内部控制缺失多数会出现在条线的结合部，比如常规信贷业务中的内部控制风险点往往出现在客户与银行、授信条线与运营条线的交互节点上，客户准入以及退出等需要多个业务条线参与的控制节点容易被选择性忽视。当银行的一些内控规则从客户角度来审视，就会发现许多规则是不必要的，或者说是基于银行单方面的诉求。比如，以市场采购模式从事外贸的客户，其交易行为绝大多数在市场内完成，对银行账户的需求可能只是需要办理外汇、外币收付，但面对银行基于制裁风险管理需要出示一大堆详细资料，以证明其交易对象不会涉及被美国制裁的国家时，这种作业标准就会严重影响客户的服务体验。

这就要求内部控制主责部门强化自身能力建设，能从更高的视角、更宽的视野，通过流程分析以及内部控制体系健全性、符合性、有效性评估，及时发现流程管理中存在的问题，才能更有效地行使管理职能。以流程管理为基础实施管理，是内部控制部门有效履职的基本手段。

内部控制系统建设一方面是要把各项控制要求整合到业务系统中，另一方面要能及时把违背控制规则行为及时作出预警，基于确定的外部规则和监测指标，实现对业务的主动干预。在信息反馈与沟通功能上如何实现，需要相关业务部门与内部控制部门实现方法上的整合和系统上的融合。高质量的基础数据是内部控制系统的基础，应覆盖银行全部客户、全体员工，并能依据内部控制规则随时取数，以满足开展非现场检查、监测等需求。数据至少应包括客户身份信息、全量交易信息、发生的活动痕迹（包括未发生实际交易的活动，如各类申请、预授信、查冻扣等），同时还应建立足够的监测模型，包括前瞻指标和结果指标，定期呈现运行结果。

银行业务特点就是少量业务品种大量重复发生，如网上转账、贷款等。在海量数据面前，靠人工来及时获取内部控制规则执行信息已无可能，整合业务系统和数据平台，通过大数据系统及时发现执行与规则的偏离，精准定位风险信息，是内部控制体系建设中十分重要的工作。内部控制体系无须单独建立业务干预功能，而是要将内部控制要求融合合在每一个业务系统中，如何建一个符合设计定位和管理需求的内部控制系统，是困扰内部控制实务人员的难题。

（四）开发内控系统目标是解决信息不对称问题

一个功能完善的内部控制系统是建设内部控制体系所必须的，系统的重点应当是解决信息不对称问题，而不宜试图去解决业务流程中的内部控制功能发挥问题。

内控系统开发应当建立在各种风险管理体系融合基础上，而不是各自做一套系统，看似热热闹闹，实则劳民伤财。内控系统只需要按监管规则和业务管理部门需求，提供便捷的统计、监测等基本功能即可，把重点放在信息流转上。内控规则应当体现在业务系统中，将操作规程、作业标准嵌入业务系统，而不是在内控系统中自成一派。不然，内部控制系统的管理部门或将成为业务主管部门之外的第二个业务指挥中心，与业务系统的接口将会复杂无比，这显然不是内控部门所能够承担的职责。

开展充分的需求调研是启动内部控制系统建设前的主要工作。下列要素是系统开发应考虑的功能：

1．基础数据

高质量的基础数据是内部控制系统的基础，应建立符合高质量要求的基础数据库，应覆盖客户、全行员工，并能由内部控制内部控制条线依据设定的规则进行取数，以满足开展非现场检查、自评估等需求。内容至少应包括：

(1)身份信息。客户身份信息相关的内容，包括理财业务的审查、是否属于关联人、本行设定的限制措施等；

(2)交易信息。在本行发生的所有单笔交易信息，应穿透到实际交易对手；

(3)活动信息。在本行发生的活动，包括未发生实际交易的各类申请、预授信、查冻扣等。

需要强调的，接入的基础数据应当是标准化的、经过穿透后的数据，而不能是业务发生的原始数据。比如，接入的客户交易数据中交易对手应当经过穿透后的，而不能只是本行的对方账户。这就需要在全面风险管理框架下，统一反洗钱、监管报送、风险监测等数据标准后才能实现，不然就很容易让信息成为数据孤岛，系统重复投资还很难实现与其他系统的数据交换。

2．监测指标

基于预先设定的监测指标和模型，包括前瞻指标和结果指标，定期呈现运行结果。系统应能提供模型的维护功能，最好还能提供双线运行监测结果功能，就是内控部门可以采用与业务主管部门不同来源的数据独立进行监测。

监测指标绝非越多越好，要紧紧围绕全行的战略目标，而非仅是各业务条线的业绩目标。对于风险高发的领域，可以数量指标为主，以推进数量的迅速下降，比如新发生不良贷款笔数、金额等；对风险状况比较稳定在容忍度范围内的领域，可以质量指标为主，给予基层营业机构、业务主管部门以一定的灵活性，比如贷款不良率。

这项功能的实现应当建立在标准化数据的基础上，设定的监测指标要按SMART原则，尽可能避免监测指向不明确的指标，比如客户贷款满意度；也要避免可人为操作的指标，比如培训通过率。

3．可视化风险地图

经处理后的风险信息应以可视化方式在各类业务管理系统中呈现，实现信息共享，支持业务发展。内容应包括：

(1)作业过程信息。机构监测指标、考核指标、管理活动信息；

(2)执行结果信息。以客户和本行员工为维度的风险监测结果。

以图形方式呈现结果，远比以数据表单方式更有利于使用者发现问题，尤其是在历史数据比较方面，图表的优势更明显，使用者所能获取的信息量也更大。

系统应当能让高级管理人员迅速了解全行整体风险水平，各级管理也能从中了解本部门管理范围内的风险状况。要有能与任意设定的基期进行对比，上级可以很方便地查看下级的风险状况。同时还应有对数据进行细分的呈现，最底层的颗粒度应能到经办人、客户，使用者可以很方便地通过点击来获取本级和下级机构的图表、数据，充分满足各级管理者的需求。来源：互联网