澳洲银行有个重要的部门,风控/风险合规部门。风控,顾名思义就是风险控制,风险管理,risk control。澳洲CBA 和Westpac银行的风控部门对应的名字如Risk and Control Advisory and Delivery, Risk and Control Enablement, Business Control and Monitoring。澳洲银行的风险合规部门到底是做什么的呢。
澳洲银行的风险管理基本采用Three Lines of Defence Model三道防线。
First Line(第一条防线) #
第一条防线由一线工作人员和业务管理层提供(front line staff and operational management)。第一道防线是Business Unit本身来构建的。每个BU基本都会有自己的risk team来管理某个产品或者服务所带来的风险。这是最忙的risk team。
日常工作内容包括:
Incident & Issue Management
日常事故和重大问题的处理。事故的类型很多,涉及的风险广泛。达到一定标准的事故就会被上报,在一定框架下处理,如客户隐私信息、欺诈、内部交易、反洗钱、借贷违规、系统技术故障等。
Control Testing/ Control Self-Assessment
银行内部有很多为了降低某个风险或为了符合某个监管要求所设计的control,可以人工完成manual control ,但目前的趋势是自动化Auto,对这些control进行规律的测试,以保证它们正常运行。
Risk Profile Refresh/ Risk Assessment
对business 所面临的风险进行分析。每个季度随大环境变化,需要看很多指标,如inherent risk, impact, possibility, control environment, residual risk, etc。
Second Line(第二条防线) #
第二道防线由风险管理和合规职能提供( risk management and compliance functions)。第二道防线就是指导First Line Risk 的Compliance team。很多在Compliance的Manager, Senior Manager都有丰富的Risk经验、法律背景或者在ASIC 等Regulator工作经验,门槛较高。
风险管理 #
日常工作内容 #
工作内容内容包括:Incident/ Issue/ Control Testing/Risk Profile/RCM 报告给外部监管机构等。识别出风险、法律法规/监管要求,提高风险意识, 并落实到商业实践。一个常见的incident是Privacy breach – 不小心泄漏了客户信息。
要确认具体泄漏了什么信息,工作流程有哪些问题,系统control是否有效,确认obligation, customer harm等。要确保信息被删除,确保unintended收件人不会传播,给客户道歉,为员工做培训。
下面简单列举几个常见的法规
📌RG209 Credit Licensing: Responsible lending conduct
📌RG271 Internal Dispute Resolution (which has replaced RG165) 适用于银行内部处理客户投诉
📌RG175 Licensing: Financial Product Advisers-Conduct and disclosure
📌Corporations Act (Legal)
Chapter 5- This captures the obligation in relation to financial services requirements
📌National Consumer Credit Protection Act 2009
This captures the obligation in relation to the provision of consumer credit
📌Reporting – risk dashboard, key indicator etc.
和风控相关的的数据报告和数据维护。
Compliance 合规(一个和各种法条、法规、外部监管机构打交道的team) #
日常工作内容 #
日常工作内容包括:
️Provide risk advisory services to stakeholders, including risk profiling, control assurance, oversight, compliance, incident management and knowledge governance.
向各个业务和风险团队提供全方位的风险合规的咨询建议。Line 1 Risk team不会的问题都会找Compliance询问。Compliance team 会和Legal法务打交道。
️Conduct compliance assessments
提供对于事故和重大问题合规评估。识别出具体的风险和监管要求,并按照相关的规则决定是否上报给外部的监管机构 e.g., ASIC, APRA, AUSTRAC etc.
️Developing and updating Compliance Manuals & Policies
更新相关的合规政策章程
️Governance & Reporting
向高管层/委员会报告合规准则的最新实践/整体运行情况,重大问题/近期热点风险/事故的报告和后续更近。
️Drive continuous improvement of the business control environment through risk improvements, thought leadership, insights, and reporting.
不断提升内部监管和风险控制(即不断发现风险、及时整改),通过领导力、洞察和报告营造更好的风险管理环境。
Third Line of Defence(第三条防线) #
澳洲银行风控管理的最后一道防线就是Internal Audit 内部审计。检查business在日常运营中风险的管理,看看control是不是都正常运行,平时处理事故是不是证据齐全,某个产品是不是合规发行等。
日常工作内容 #
日常工作包含如下内容:
️Review business processes and controls in line with the risk appetite.
审核业务流程和control是否和公司风险偏好一致。
️Deliver a risk-based internal audit (‘IA’) plan. Deliver clear and quality working papers.
制定针对风险相关的内部审计计划,有清晰高质量的审计报告/结构。
️Deliver concise and insightful internal audit reports, including findings and recommendations to key stakeholders.
向内部的领导层或者其他重点的相关人员提供内部审计报告 (发现总结和建议)
️Drive continuous improvement within the IA team and the areas being audited.
不仅仅停留在出具报告,还要监督公司内部针对的发现的问题不断改进。
️Contribute thought leadership to enable IA methodology development and integration with leading IA practice.
内部审计方法的改进和发展 【外部监管和行业趋势】
