【金融控股公司监督管理试行办法（征求意见稿）】解读

中国人民银行会同相关部门于2019年7月26日起草并对外发布了《金融控股公司监督管理试行办法（征求意见稿）》（以下简称《办法》），从市场准入、股东资质、资金来源和运用、股权结构、公司治理、内部风险隔离等方面对金融控股公司提出了规范要求。

《办法》解读系列文章已在前十一期中，整体介绍了金融控股公司管理体系框架与数据管理建议。本篇作为《办法》解读的系列文章，将从系统建设与IT架构视角入手，探究金融控股集团应当如何通过系统化手段将管理工具进行落地。

一、金融控股公司管理系统建设理念

随着信息技术的高速发展，信息化已经深入到金融企业各项管理工作中，而金融控股公司由于旗下涉及多个监管主体下的多种业务形态子公司，其管理体系的有效落地必然依托于完善的信息化管理系统来实现。

《办法》中第三十一条明确指出：金融控股公司应当将风险管理要求嵌入集团经营管理流程和信息科技系统中，从而为管理体系的有效执行提供保障。此外，《办法》中提及的多项管理要求如统一风险敞口、统一授信协调以及信息共享也必须在信息化系统建设的基础上才可最终落地。因此风险管理信息化的建设是《办法》有效落地的承载，也是风险管理体系中重要的环节。

德勤建议金融控股公司可以从公共服务层、应用配置层、分析应用层三个层次搭建风险管理系统，根据自身IT水平与规划搭建适合的IT架构，并将新技术逐步应用于风险管理系统中，进一步提升管理效率与管理水平。

• 公共服务层：风险管理信息系统的基础，包括组织架构、人员维护、角色及权限管理、消息推送、日志管理、定时任务计划等；
• 应用配置层：风险管理体系信息化的支撑，包括风险体系要素信息、风险偏好设置、风险监控指标设置、限额与预警规则设置、源数据收集以及数据计算等；此外，应用配置层还需要与业务源数据及外部数据进行有效接入，通过接口、ETL工具等技术实现对于外围数据的收集。
• 分析应用层：各风险管理工具都将以应用的形式纳入风险管理系统中，涵盖风险、合规、内控、审计等多个管理领域，并通过应用间的勾稽调用与数据的共享形成联动机制，从而产出管理结果数据。基于所产出的管理结果数据，还应从阅读受众出发，以报表、仪表盘、驾驶舱等多种形式进行展示和分析。

在金融控股公司风险管理系统框架下，集团可根据管理定位和各管理工具所需数据要求制定统一的系统操作流程、数据收集标准、报告格式模板，要求各下级子公司按规范提供相应数据。同时，金融控股公司还应根据风险管理系统要求，充分考虑各子公司数据提供的实际情况，调整自身IT架构，以配合各相关管理应用的使用。有能力的公司还可充分考量和引入新技术及其应用场景，以提升管理水平和管理效率。

二、金融控股公司风险管理系统建设内容

金融控股公司在建设风险管理系统时可以采用自上而下的方式，从监管要求和自身管理诉求出发，通过梳理“管什么”和“如何管”来确定系统的边界和分析视图。从管理与监控内容的覆盖面、颗粒度以及时效性来确定各管理工具如何进行信息化、数据收集的范围、颗粒度以及频率，进而完善数据及基础层以形成有效支撑。

展示与分析

展示与分析是管理层了解企业风险管理现状，从而调整风险管理策略和应对方针的依据。

针对高级管理层的管理诉求，驾驶舱功能将主要展示风险监控、应对结果以及各项主要工作的完成情况。从内容上来讲，需要涵盖风险偏好限额管理情况、关键风险监测指标预警情况及变动趋势、各项管理工具执行情况及结果，并可根据不同业务形态的子公司和业务管理领域，进行多维度的钻取展示。

对于各管理职能部门，应建设管理仪表盘从而对专项管理领域进行展示和分析。在建设专项管理仪表盘时应从管理策略和管理诉求出发，突出管理重点并考察各工具之间的联动关系。

对于IT建设成熟度较高的公司，还可引入专业的BI分析工具，为管理人员提供可自行配置和分析的专业平台，从而加强综合分析能力，快速应对监管方向和管理策略的变化。

监控与报告

监控与报告是金融控股公司全面风险管理体系顶层设计的核心内容，也是公司与外部监管机构、总部与下级公司信息传导的桥梁。

监控本身可以依托于指标预警功能，在信息化建设时应充分考虑以下要求：

• 应根据监管要求和自身管理需要对不同风险管理领域设置监控指标。根据指标体系的设计，在系统中应体现监控指标的分类、层级；
• 以风险偏好为指导，在系统内为各类指标设定阈值区间，并设置预警应对的处置策略，包括提醒、生成应对计划任务并持续追踪，形成管理闭环；
• 应将风险传导体系机制在系统中进行实现，建立指标间的关联关系，形成联动机制，并在应对与分析时统一把控；
• 应充分考察金融控股公司及下属专业公司信息化水平，针对监控指标管理体系进行充分的调研和分析，对于重点监测和有条件实现自动化呈报的指标尽可能通过系统对接的方式进行自动化呈报，从而提升预警的时效性和自动化水平；
• 作为管理监控工具，监控指标应充分与各管理领域的系统工具进行勾稽，形成管理工作的映证机制，同时又可触发相应管理工具的开展（如专项风险报告及审计），实现有机的整体管理联动机制。

报送与报告作为日常例行的管理工具，将与监控预警共同承担起管理结果数据的流转。同时，报送功能还是金融控股公司与外部监管机构的主要信息披露桥梁。通过系统化的工作流、工作模板、任务提醒、计算分析、结果汇总，将大大提升报送与报告工作的效率。

在建设报送与报告系统功能模块时，应充分考量报送报告体系要求，做到以下内容：

• 灵活可配置的报告模板以及模板调整流程管理；
• 报送流程可配置，以适应不同类型报送报告的需求；
• 报送任务调度灵活可配，并与消息提醒及任务监控形成联动；
• 对于报送中重点关注内容进行比对及趋势分析，并通过相应主题的仪表盘进行展示；
• 根据信息化水平尽可能提升自动化报送水平，也可考虑借助流程自动化机器人（RPA）等技术工具，以提升报送时效性和准确性。

风险管理

风险管理工具是金融控股公司管理的核心，而体系工具在系统中的有效落地也是风险管理系统建设的重中之重。风险管理体系从风险分类出发，根据风险偏好的指导作用确定工具的建设思路，而在系统建设时，可根据其在系统中落地的形式来分步骤开展系统建设工作：

数据收集: 数据收集是各管理工具的信息来源，应针对收集的方式进行设计与实施：

• 定期收集型-包括用于风险敞口与授信计算的客户交易数据，各监测指标所需业财数据，流动性风险压力测试所需财务及业务预估数据等；
• 按需收集型-包括风险事件收集、声誉风险事件及特殊报送等。

系统应根据收集的方式、频率等进行搭建，满足各类数据收集要求。

风险评估：系统应通过表单、记分卡等方式为用户提供风险评估与管理评价的承载，支持灵活的表单配置及流程配置，以满足不同评估方式、评估工具的需求。

处理计算：系统应建立具有高适应性和可配置性的计算引擎，可同时满足指标监测、风险评估等工具所需的简单逻辑计算以及压力测试、集中度等工具需要的复杂模型计算。此外，对于计算的机制还可根据其数据量、复杂度等因素制定合理的计算策略。对于简单类型计算可采用实时的方式，而复杂的模型计算或大量数据汇总计算可采用定期跑批的方式来进行，从而达到管理诉求与系统响应的平衡。

处置应对：系统可通过消息通知、问题、行动计划等功能来实现风险的处置应对工作，需要支持可配置的触发条件、可配置的消息提醒、问题与行动计划的全流程管理。

合规内控管理

合规内控管理应根据金融控股公司企业文化和治理架构来指导工具的信息化落地。系统模块主要包括：

法规与制度管理：应维护和定期更新外部监管法规以及内部管理制度，将创建、更新、废止等流程进行系统化，并按阅读受众进行访问权限管理，从而为全集团及下属公司提供查询功能。同时法规、制度、内部控制等管理要素需要在系统内进行关联，形成有机整体。

合规检查与考核：为第二道防线提供流程化的线上操作工具，将合规审核、合规检查、合规考核、违规处罚问责与合规指标监控相结合，帮助公司守住红线。

内部控制管理：作为风险应对的核心组织部分，内部控制管理系统化在金融企业的普及度较高。而作为金融控股公司，应根据其管理定位进行优化，突出其对于内部控制管理的指导和组织功能，并通过系统有效打通和下级专业公司的信息沟通渠道，实现从内控体系更新、评价计划制定、评价工作实施、评估报告编制、缺陷整改与追踪的全流程线上操作功能。同时还应与其他管理工具模块工具进行对接，相互映证。

审计管理

作为企业最后一道管理防线，审计管理功能模块的使用可以规范审计作业程序、流程、过程及结果数据，同时对于审计资源进行优化配置，对审计档案进行有效管理，并对审计结果进行分析。审计管理的典型系统功能包括：

审计资源管理：维护审计人员档案、审计程序库、审计项目底稿以及审计过程中和完成后的文档。在建设中需要充分考虑数据的隔离和权限控制。

审计计划管理：从年初审计计划的制定、审计项目的拆解、项目启动、项目结束最后到计划关闭全流程的管理控制。

审计作业管理:  为审计过程中的流程管理、底稿标准、数据获取等提供线上化操作功能。

审计发现与报告管理: 通过系统化操作实现审计发现的下发、确认，并进行持续的行动计划跟踪，同时形成审计项目总结报告。

非现场与审计监测：通过自动化和规则模型等技术手段，对于重点审计领域的明细数据进行全量非现场规则检查，为现场审计提供前提依据，同时通过审计监测指标与业务明细数据规则计算相结合的方式，可进一步发现问题，并优化资源配置。

应用配置

应用配置层是管理体系及工具落地的第一步，其核心是将体系工具中的各个要素在系统中进行结构化装载，并建立相互关联关系。数据层的管理包括：

体系要素装载：体系要素包括风险偏好和限额控制、风险识别与控制识别（包含风险分类、风险点、流程、控制等）等内容，是管理工具有效落地的前提。在系统建设中应充分考虑要素的可扩展性以及要素间的相互关联关系，并根据监管要求和自身管理要求的变化进行更新。

工具要素装载：工具要素的装载需要根据所搭建的管理工具系统功能来进行，例如风险监测的指标及预警规则，统一客户视图中客户信息及关联方设置，资本充足率计算的口径参数等，这些要素同样需要保证一定的可扩展性并及时进行更新。

工具计算所需数据：为工具的使用定期提供数据，包括指标监测所需的元数据、风险敞口、客户交易与授信数据、财务等报表类数据及重要业务风险管理领域业务明细数据等。此类数据由于数据种类多，数据量大，来源系统多使得收集难度较大，因此需要统一规划，充分考察各专业子公司的信息化水平，逐步提高自动化的收集水平。对于此类数据的收集需要外围业务系统、数据仓库的支撑，也将会涉及明细数据汇总、数据口径转换等大量计算，此部分内容我们在本解读系列第11期金融控股集团数据管理及信息共享中做了深入和详细的探讨。

同时，应用配置层的建设还应根据公司及下属子公司的信息化系统建设水平，并综合考量对于外部数据的使用需求，做到与数据来源系统的打通，实现数据的收集、清洗、标准化、存储等功能，为各类管理工具的有效使用提供保障。

公共服务

系统公共服务层主要提供基础信息的设置和装载，功能包括了基础信息和基础设置两大部分，其中：

基础信息：包含组织架构、组织机构树、人员、角色及权限管理等。

基础设置：包括流程配置、定时任务调度配置、消息通知配置、系统安全及日志管理等。

公共服务相关内容应遵从监管机构对于系统安全性和数据保护的要求，可根据金融控股公司及下属企业实际情况进行搭建，同时该模块还需要和集团的办公系统、邮件系统、用户认证系统等进行对接，从而融入到整体IT架构中去，并适应整体IT管控要求。

三、金融控股公司风险管理系统架构及其他要求

金融控股公司风险管理工作需要确保满足其所控股金融机构所面临不同监管机构要求，还需关注各子公司的业务特征，在考虑各子公司实际管控成熟度基础上，对子公司实行差异化的管理，这就对金融控股公司搭建统一的风险管控平台提出了非常高的要求。从数据的获取、工具的落地、监控与报送的执行到结果的展示分析，除了设计和开发层面需要统一规划，对于系统底层的架构和所采用的技术也需要完善配套。

由于金融行业监管要求发布较早，行业内机构响应配合度高，很多金融机构若干年前就实施了风险管理系统。而彼时建设的系统，其基础及应用架构、组件、开发部署模式、数据处理能力乃至用户交互设计与现今流行的应用架构及开发模式有较大差距，从而使用户感到系统不够强，不好用，响应慢，而开发者和运维者也会受制于架构及应用的限制，感到力不从心。

对于金融控股公司，应抓住管控系统建设的契机，做好信息化成熟度调研，了解目前流行的技术组件和开发模式，依靠推动IT水平的提升来加强管控信息化能力。

在云平台和大数据大行其道的背景下，云部署、微服务、敏捷开发、快速迭代已经逐渐改变了系统开发部署的模式。通过云部署可以大幅节省硬件资源和运维成本，而微服务通过将各模块拆分成独立服务，有效分离、相互调用，配合敏捷开发可降低模块间的依赖关系，从而实现系统的快速迭代，迅速满足外部监管、内部管理体系及用户需求的变化。

在规划和设计风险管理系统技术架构时，应充分参考监管机构对于系统安全、数据安全、日志管理、档案管理等相关要求。

此外，金融控股集团在进行风险管理系统设计时，应充分考虑用户的诉求和使用习惯，对于用户交互和用户体验进行深入了解，为用户打造好用、易用的管理信息化环境，从而使用户专心于所负责的管理工作中。

最后，金融控股公司的技术部门还应与职能管理部门保持沟通，对于新技术的发展和新技术的使用有所了解，并选取合适的新技术应用于风险管理工作中去。例如，用流程自动化机器人替代人工重复工作及解决系统间对接问题，将爬虫与语义分析技术应用于声誉风险舆情管理及外部法规获取中，将大数据技术应用于大数据量明细交易的模型分析中等等，以持续提升公司的管理能力。

德勤建议/总结语

风险管理信息化建设作为金融控股公司风险管理体系的落地环节，是具有决定性意义的。轰轰烈烈的体系建设工作完成后，如果不能得到系统化落地的足够支持，必然会导致体系与执行出现“两张皮”的情况，从而使管理执行无法到位，管理效果大打折扣。而通过风险管理信息化的成功落地，可以做到管理语言、管理流程、管理分析三大统一，真正促进管理体系的平稳执行，使管理体系的每一位参与者受益。

金融控股公司在搭建风险管理系统时应充分考量集团与子公司的信息化水平，做好数据梳理，实现工具间的联动管理，借助技术手段持续提升风险管理水平，为公司的经营发展保驾护航。