已有的回答写得都很棒,受教学习了。在此从个人工作经验的角度补充一点,并举一些通俗易懂的例子。分为三个板块来介绍吧。
简单说一个:内控是红绿灯/风控是方向盘/合规是加油站吧。(合规这个描述不是特别精准,大家看下文凑合理解吧)
注:因工作经历原因,此处主要写持牌机构、金融系公司;互联网公司、地产公司的不是特别清楚。(吐槽一句:目前国内为数不多能赚钱的几个行业:房地产、互联网、金融。排名分先后,是的,分先后.....!)
合规、内控、全面风险管理是三个不同的概念,工作内容大相径庭,大的持牌机构一般会将这三个内容放在三个部门。但内控这个概念真的很广泛,比如平安集团在控股集团总部(母公司)层面就有一个内控中心,这个中心包含了:法律合规部、风险管理部、稽核部、GISSI等等。 但在某些公司法律合规和风险是完全大相径庭的两个工作内容,所对的直线班子领导也是完全不同的背景。比如:法律合规对的文科法律的出身领导(以监管部门出身的最为受欢迎吧)、风控对的是数理模型方面的领导(业务出身在浪潮里大浪淘沙存活下来的业务大神也比较多)、内控——分情况不同差距很大。
合规顾名思义就是合乎规范,在英文里合规是Compliance;举个栗子:证监局要求,证券公司工作人员需要具备证券从业资格证。那么这就是一个外规,针对他的解读、落地、检查就是合规部的工作。但是现实工作中,合规的工作远远不会这么简单。就拿这个简单得人员资格来说吧。可以提出的问题起码有:是所有人都需要有吗?高管需要吗?第三方劳务派遣需要吗?建立了劳动关系的领导司机也需要吗?后勤负责人管仓库的呢?这些疑问需要合规部来解读,他们自己解读不来,就要咨询监管或者看看是否有了相关处罚;OK,对外规理解完毕,那么就是落地;以公司内部发文。而此处合规发文真的不是小事,真的不是发个文件:你们大家都去考证券从业啊,不然证监会会惩罚啊! 这么想就too young了。 因为公司情况特别复杂。首先要求在职的去考,多长时间要考过、考不过怎么办都是要想办法的;关系到人员资格,就要跟人力部门沟通,招聘的时候怎么办,没有资格放不放进来,彻底毙掉还是进来了给一段时间? 等等。(现在券商一般做法都是先进来,给3个月,不考过不能转正,6个月考不过只能解除劳动合同,还是建议学生党在学校把这个考了)
举上面的例子是告诉大家,合规的工作不仅仅是外规,它包含外规的解读、在公司的匹配、咨询监管、碰到监管因某些规定处罚公司时的申辩。 比如证券公司的经纪业务最近出了很对外规,复杂程度、要求之高真的超大的工作量。知乎盆友不一定能理解,此处不表。上面简单的例子够看了。 同时,现在监管越来越强的情况下,真的是合规为王的年代。证券公司为了保持A或者双A评级都在加强合规。 法律背景的小伙伴还有四大做内审的盆友们有机会了!
那么全面风险控制里面的合规风险中很大一部分是说 政策风险。政策风险怎么理解呢?举一个勉强算”合规风险“事件的东西吧:17年9月证监会发了一个规定,证券公司超过15人的业务部门和分支机构都要配合规专员。合规专员的任职要求也很高:3年以上金融工作经验、具备相关资格(证券从业、基金从业、司考 、注会、FRM肯定加分)。说最近各大券商在抢人,毫不为过。。。。因为真的很难招到匹配的人,但外规做不到,监管罚起来毫不手软,因此券商的合规领导明确表示这个稀缺资源很难找。 这种政策的不可预计性就是典型的政策风险。
内控字面意思是内部控制,从个人工作经验来看,绝大部分是说的流程控制、步骤控制、节点控制。(插一句,分享一句话给大家:权力体现在说“不同意”上。 如果你有一定的工作经验,相信可以深刻的理解这句话。)
先举个栗子:遵义会议大家都知道吧。是决定党的生死存亡的大会议,决定发展方向的节点。那么我理解,内控的工作就是在节点进行把控。在任何要做决策的时候,进行有效的控制。 哪么常规业务中哪些需要进行控制呢?
市场人员辛辛苦苦谈了个客户,可是根据内控规范一看,这客户真TM烂啊。法代大学文凭都没有还买私募壳儿;我擦,业务伙伴都是法代酒桌上的盆友;拟投资的企业一堆诉讼案件没解决。 能不能做呢? 这个时候回到那句话,谁能说不。
内控的工作寿险要建立一个体系,一个流程制度,来应对这个是否能做。并且将说不得能力赋予给适当得人。比如:不能给分管市场的领导/也不能全给后台否则无法制衡。
业务中任何决策,做于不做/怎么做,都要按照内外归定来。该留痕的资料留痕/该哪个领导批的到哪个领导;该报监管的报;该发提示函的发;为什么呢,因为这些都事以后手撕吵架的武器啊!! 有了这些,不仅保护公司/还保护部门/还保护了自己; 所以,内控之重要性真的是。(这一点是属于广义的全面风险管理领域的东西了,此处说了,后面不赘述)
上面举的两个内控的例子,比较单一,大家可做参考,也欢迎补充讨论。其实内控简而言之就是:让事情的开始/过程/结果全部按照“应该的”/“以后不会有问题的发放来进行与发生;内控人员不仅要搭建这个流程来控制,还要在制定了游戏规则后自己去当裁判。 所以,内控是”红绿灯“毫不为过。
内控做得很好得部门,不怕监管天天来进场。(当然,实际中又能有几个做得好呢。站着还想把钱赚了,常在河边走还能不湿鞋,是需要水平的。)
其实广义的全面风险控制是包括:内控风险/合规风险(我个人理解,前文已表)。但前面已经讲过了就不啰嗦了。实务中大部分公司的风控部(指大公司,有些野路子机构一个风控部2-3个人啥都管也是很正常的。或者是正经机构,但架构是扣着风控部的帽子,合规/内控/稽核/法律都在里面也正常)其实不太顾及合规以及内控。他们主要是对业务中的风险进行分析,研究,比对,指挥。如果说内控是红绿灯,风控部应该是方向盘。
(比如自营业务,买多少买谁要不要配资,啥时候建仓,各仓比例,风控部不点头,你能做?)那么业务领域的风险由哪些呢?(合规政策风险和内部控制风险就不谈了 前面讲了。)
(1)信用风险;这个不用讲了吧;我国现在市场里,简单粗暴的管理方法是:有不动产抵押就行,但一定要商业住宅不动产;什么商住楼/商铺/工业用地真的不好。
当然,信用风险也有高级别玩法,而真正把这里管控得好得,就能赚钱。平安普惠,精准定位了被银行排除得那批需要钱得客户,准确的判断,贷款给他们是能拿回钱的。于是在集团指导下布局小贷业务,赚得盆满钵满,是大陆金所架构下,唯一赚钱的子公司(2016年)。人家就是由数据/由模型/由定位找到了放出去能收回钱的客户。
当然,还有流氓玩法。所谓信用风险管理,不是踏踏实实研究数据,而是找接盘侠,接走我的风险;比如市场上的贷款机构都是要一个人由6个社保才贷款给他,好嘛,我就定位由3个月社保我就放款给他。而且就做3-6个月;万一这个人还不了钱,他到时候缴了6-9个月社保,可以找其他机构贷款还给我呀。甩锅之心,昭然若揭。
当然,还有大数据互联网玩法;支付宝的花呗,精准捆绑实体消费场景,针对每个人消费习惯/资信能力差别授信。这就是大数据+互联网玩法,已经是比传统银行的信用管理升了一个维度。
最后补一句:人行征信系统,依然是最核心最靠谱的信用管理信息来源;但前几年批的征信牌照,并且已经做大的 芝麻信用/前海征信也越来越好。中国未来健康的金融征信体系,离不开他们。
(2)市场风险;这个能理解吧。如果以股市来说,A股实在不理性。市场上的人们难以判断;如果以房市来说,当然就是预判哪里的好,或者预估最差到什么情况。然后结合资金情况做好准备咯。
(3)黑天鹅事件(非系统性风险):辉山乳业/扇贝游走了/乐视里由神仙/...........自行体会。无法预防/公关能力。 君不见,乐视复盘前,机构主要调估值到3.8.
(4)灰犀牛事件(系统性风险):其实我并不知道把系统性风险理解跟灰犀牛捆绑是否正确。个人观点是一致的,欢迎大家讨论。系统性风险是不可避免的,它始终潜在存在的,如果来了基本没什么办法的。
写累了..... 过年前一天还在上班,怒敲这么多字。。我要去干活了,下次接着写。
你通过什么来落实风险控制,你或者说你控制风险,进行风险管理的手段是什么呢?
制度执行到位与否,制度是否涵盖所有风险点,是否确实有效控制了风险?这些都需要专门的管理与动态评价。
通过管理手段监督推动风险管理机制的落实执行及动态调整,简言之曰 合规管理。
从风险管控的角度来说,我认为从低到高是合规管理-内部控制-全面风险管理。
首先,合规管理是最基础的层面。合规管理的本质并不聚焦于风险管理,它只是机械的避免违反内外部法律制度规范,从结果上看能够起到一定程度上控制操作风险的作用,但是这个作用有多大、够不够,并不是合规管理所关注的,自然也不是它能够解决的。
其次,以coso框架为代表的内部控制,是合规管理的终极版,也可以说是操作风险管理的终极版。内部控制不但要求合规,还要考察这个“规”是不是完善,“规”有没有配备相应的执行点,执行“规”的过程是不是有效。如果说合规管理更注重结果、只要结果合规就OK,那么内部控制就更重视过程,并在此基础上发展出整套完善的工具和方法。
最后,全面风险管理是风险管控的最高形式。在全面风险管理中,风险一般被分为市场风险、信用风险、操作风险、声誉风险、战略风险。刚才说了,内部控制是管理操作风险的终极手段,但是它对其他风险并没有效果。内控再严密,也无法衡量资本市场波动会给公司带来多大风险(市场风险),无法衡量交易对手赖账不给钱有多大风险(信用风险),更无法衡量公司战略方向错误、出了事被人骂的风险。
当然,全面风险管理的精髓,还不只是考虑了这5类风险——毕竟这些风险都不是新鲜玩意。传统上,市场风险归交易部门管,信用风险归信贷部门管,操作风险归合规部门管,剩下俩风险管理层拍脑袋管。这种方式非常自然:谁干的活谁管风险嘛。但是问题在于,干活的是不会真正关注风险的。交易失败无非没有奖金,交易成功就有大笔分红,谁会跟钱过不去呢?
所以,全面风险管理认为,必须把管理风险的职能提升到高级管理层这一级,必须有一个首席风险官和独立于交易部门的风险管理部门,来客观的衡量这些风险。而且从技术上讲,各个风险之间有分散作用,也必须由一个统一的部门来管理,才能真正考虑到这种分散作用。
合规的重点在于是否合乎规范。规范包括法律法规、监管规定、自律要求、内部各项制度及道德准则。关注的点在于某项事情是否合规上述规定,会带来的直接违规风险甚至包括声誉风险是什么。
内控的重点在于内部流程的控制。内部流程控制当然在合法合规的基础上,但又不限于此,比如一项工作它这么做是合规的,但那么做不见得就是不合规的(在内部规章制度不健全的基础上)。这就体现的内控的重要性,着力于工作流程在合规的前提下更有效率更全面的前提下合乎公司利益。
风控的重点在于风险的全面管理。重点在于全面和管理。意味着全面的数据收集和全面的分析,目的是从整体上予以评估得出指导性的意见方向,至于某个条线上的分析和某个点的问题那是内控和合规解决的事。
从实际情况上看,在保险领域合规和风控的分工是很明确的,风控部门一般内涵内控岗,基本上处理偿二代相关事项,联合精算和投资部门进行整体战略决策。其具体工作如内控检查、问题收集整改等都是奔着上述目的去的。此外的所有具体问题处理都是合规来做,此处为合规鸣个不平,莫名其妙的成了打下手的。
但你要说这三者有高低之分我作为合规人员是不服的。内控和风控的工作是建立在合规工作的基础上的,毕竟任何决定你只有在判定合规与否的基础上才能去谈内控和风控,就像做好了Word才能做好Excel以及PPT。内控岗和量化岗不要不服,不是说你们只会做Excel和PPT,而是论写监管报告,你们都是弟弟(开个玩笑,合规报告线)。
其实这三个概念都是风险控制必须提到的概念。具体而言,三者区别如下表所示:
从严厉程度而言,合规管理、内部控制、全面风险管理是层层递进的关系,但是想做好风控,三者相互交叉融合,相辅相成才能做到风险控制效果的最大化。
