​金融控股公司内控合规管理体系概述

金融控股公司内控合规管理体系概述

金融控股公司的内部控制及合规管理作为全面风险管理的重要组成部分，是维护公司正常经营、缓释及规避风险、实现公司战略目标的重要保障。同时，《办法》中强调有效的内部控制制度是金融控股公司设立的重要条件之一，这对金融控股公司的内部控制及合规管理提出了明确的要求。作为金融控股公司，旗下涉及多个监管主体下的多种业务形态子公司，所面临的内控及合规管理要求不尽相同，因此金融控股公司在集团层面建立“理念统一、工具统一、评价统一"的内控合规管理体系尤为重要。"理念统一”即统一全员的内控合规管理理念，提升内控合规文化:“工具统一”即建立统一的内控合规管理工具，支持管理工具间的相互支持:“评价统一”即统一内控合规检查和评价手段，提升管理效率。通过功能上的相互强化、信息上的有效整合、机制上的协同共享，促进金融控股公司资源整合、提高工作效率、实现信息交互与共享、增强价值传递。

金融控股公司可以从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面搭建内控合规管理体系，以发展战略为指导方针，以国际内部控制基本框架、企业内部控制指引及法律法规要求为依据，以同业领先实践为参照，构建晨级化的内控合规管理架构。

内部环境:公司实施内部控制与合规管理的基础，包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等

风险评估:公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略;

控制活动:公司根据风险评估结果，采取相应的控制措施，将风险控制在可承受的范围之内信息与沟通:公司及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部，公司与外部之间进行有效沟通

内部监督:公司对内部控制及合规管理的建立与实施情况进行监督检查，评价内部控制及合规管理的有效性，识别内部控制缺陷，并及时加以改进。

在金融控股公司内控合规体系的框架下，对其所控股金融机构的内控合规管理可以采取差异化的管控方式
(一)金融控股公司通过设计统一的评估标准、采取定性加定量的方式来评估所控股金融机构的内控及风险管理情况: 
(二)金融控股公司与其所控股金融机构共同搭建内控及风险管理体系，实现自上而下穿透式管理。

金融控股公司内控合规管理体系建设内容
金融控股公司需要统一内控合规管理理念、明确内控合规管理思路、构建内控合规管理工具、强化内控合规管理标准。
完善的公司治理架构是保证内控合规管理体系在集团内真正实现落地实施的基础，公司治理架构设计应符合公司整体战略方向，以分工制衡为关键，以职能为核心通过富有弹性的设计，平衡规模和范围，明确管控范围、实现专业化分工，达到决策和运营支持的目标。

金融控股公司治理架构设计原则
针对内控及合规管理，金融控股公司应符合公司文化并遵循人力资源政策设立内控合规管理岗位，明确内控合规管控职责，优化内控合规治理架构。不同于一般金融机构，金融控股公司在设计其治理架构的过程中，除了需明确各层级关于内控合规管理的职责以外，还应通过差异化管控手段、审查评价工具等对集团内所控股金融机构进行管控明确内抢金规职素:建议金融控股公司服确董事明确控台规职责:建议金限控股公司明确重会、监事会、经营管理层关于内控合规的职责。同时，加强内部审计监督，对内部控制及合规管理的有效性进行监督检查
·加强内控合规文化建设:建议金融控股公司加强关于内控合规的企业文化建设，培育积极向上的价值观和社会责任感，树立现代管理理念，强化风险意识;
实现差异化管控手段:建议金融控股公司综合其所控股金融机构的股权情况、公司规模及盈利水平业务复杂程度、战略定位差异、外部监管要求、内部风险管理成熟度以及风险管理评价情况等对其进行差异化管控;
建立审查评价机制:建议金融控股公司定期对其所控股金融机构进行内控评价和合规审查，并考虑将审查评价结果纳入对其所控股金融机构的考核。

内部控制管理
金融控股公司需要遵循COSO中内部控制的核心理念及《企业内部控制基本规范》相关要求，加强金融控股公司内部环境建设，建立三道防线、完善内部控制体系。金融控股公司较少直接参与业务经营活动，因此其较为关注公司治理、管理流程等内部控制建设，包括关联交易管理、统一风险敞口及授信协调管理、信息沟通与报告管理等。同时，金融控股公司亦需要强化其控股子公司在集团层面的内部控制体系建设，形成自上而下统一的管理机制。
此外，金融控股公司需定期对内部控制的有效性进行监控评价，包括:
内部控制评价计划制定:制定内控评价计划。
明确评价的主体范围、时间及人员安排、工作方法、评价程序等，并经过适当的内部审批:

内部控制评价工作实施: 
组织开展内控评价工作方案的实施，金融控股公司启动内评工作，通过自我评价和内部控制独立测试相结合的方式，评估内部控制活动的设计有效性和执行有效性情况:

·内部控制评价报告编制:甚于内控自评结果和内控独立测试结果，编制内控评价报告，并对内控评价过程中发现的缺陷进行重点分析，提出改进建议。

内控评价报告经过适当的内部审批:
内部控制缺陷整改落实:根据内控自评所发现的问题，制定整改计划，并追踪整改方案的落实情况进行定期报告;
·内部控制评价结果应用:基于内控评价方法基础上设定指标与评分标准，纳入部门的绩效考核范围并对发现的内控缺陷进行责任追究等。

金融控股公司对其所控股金融机构的内部控制管理可分为两种模式:
·模式一金融控股公司采取自评价的方式，通过统一评估标准及定性定量相结合的方式来评价所控股金融机构的内部控制及风险管理的设计与运行情况。评价工作通过下发和收售各子公司的内部控制及风险管理检查表及相关支持性材料的方式开展记录执行评价的相关内容并进行审阅、核查与分析。

结合各子公司的业务特点及监管要求，按照"内部环境”、“风险评估”、“控制活动”、“信息与沟通"“监督活动”五个模块设计对应的评估要素展开评价工作，评价要素包括且不限于"政策制度与流程建设"、"组织架构与人员配备”"风险识别评估与计量”“信息沟通与上报”以及“持续监控与缓释"等，同时对评价要素设置不同的评分等级及四配的分值，在此基础上实现对其控股子公司综合评价结果的量化。

通过上述评价方式，金融控股公司可了解各子公司的内部控制及风险管理情况，并就评价期间所发现的薄弱环节及风险事件进行跟踪处理，同时将其与子公司的考核问责挂钩。

模式二:金融控股公司采取垂直化管控方式，要求其所控股金融机构基于其所属外部监管机构要求及自身业务特点，搭建内控及风险管理体系，并由集团统一开展内控及风险管理评估工作。

金融控股公司旗下所控股金融机构涉及多种业态且对应的监管机构所适用的监管要求也不尽相同因此金融控股公司在要求其所控股子公司搭建内控管理体系时需要充分考量自身特点，例如商业银行在搭建体系讨程中实现内部控制与操作风险管理的整合、证券公司在搭建体系过程中需要重点关注外部监管对证券业务的特殊要求，例如投行内控指引等。

此外，金融控股公司还应考虑其所控股金融机构自身内部管理的成熟度，对于内部管控相对成熟的控股金融机构可沿用其自身的管理体系，对于内部管控相对薄弱的控股金融机构，金融控股公司需要求子公司在原有基础上进行优化或重新搭建管理体系。

合规管理
合规管理是金融控股公司全面风险管理的一项重要内容，也是实施有效内部控制的一项基础工作，满足合规要求是公司持续经营及风险管理的底线要求。

金融控股公司的合规管理建议从集团层面出发，建立统一的合规管理语言和合规管理方法，自上而下强化合规管理文化的建设，在构建统一方法论过程中考虑所控股金融机构的合规管理差异性:
(1)金融控股公司旗下所控股金融机构业态众多，对于合规管理要求的程度和广度差异化较大;
(2)金融控股公司旗下所控股金融机构所处的行业及公司性质不同，所面临的监管机构不同。

因此对应的监管要求也存在差异性合规管理，应以有效防控合规风险为目的，以公司和员工经营管理行为为对象，开展包括合规管理架构建设合规审核，合规检查，合规风险监测，合规考核及问责、合规培训、合规报告等工作，预防、识别、评估、报告和应对合规风险。

合规管理工具
合规审核:金融控股公司应定期对公司的相关事项进行合规审核，包括重要的内部规章制度和规程、财务行为、资金运用行为和子公司管理行为等，及时对不合规的内容提出修改建议:

合规检查:金融控股公司应根据内外规要求，定期开展内部合规专项检查，对合规管理的有效性进行评估，及时发现并解决合规管理中存在的问题:完善对接监管机构的管理流程，配合监管机构的不定期合规检查，针对发现的合规问题采取有效措施及时应对处置