中国银行浙江省分行法律与合规部 施克林总经理
(浙江大学金融管理高级研修中国银行班学员)
摘要:商业银行合规风险管理作为一项专门的风险管理活动,已在全球同业得到普遍认同,我国各主要商业银行在吸收国际银行先进做法的基础上,也积极实践,加快了合规风险管理机制的建设步伐,将合规风险纳入银行的全面风险管理框架之中。但由于国内没有成熟的模式可以借鉴,如何建立、完善银行的合规风险管理体系和运行机制,已成为我国商业银行亟待解决的一个重大课题和现实问题。因此,本文对如何加强合规风险管理做了一些思考和探讨。
关键词:商业银行 合规风险 风险管理
一、引言
近年来,商业银行合规风险管理作为一项专门的风险管理活动,已在全球同业得到普遍认同,我国各主要商业银行在吸收国际活跃银行先进做法的基础上,积极实践,加快了合规风险管理机制的建设步伐,逐步将合规风险与其他风险一起纳入银行的全面风险管理框架之中。但由于国内没有成熟的模式可以借鉴,如何建立、完善银行的合规风险管理体系和运行机制,已成为我国商业银行亟待解决的一个重大课题和现实问题。本文对如何加强合规风险管理做了一些思考和探讨。
二、商业银行合规风险管理工作的紧迫性和必要性
合规风险管理作为一项风险管理技术,始于欧美一些大型跨国银行集团。20世纪90年代以来,特别是巴林银行因交易员违规操作引发银行最终破产事件后,基于对一系列类似重大违规风险事件的深刻反省,国际银行业和理论界开始认识到了合规风险管理的特殊性、专门性和重要性,纷纷创新管理,逐渐形成了一整套专门的合规风险管理方法。2005年,巴塞尔银行监管委员会发布《合规与银行内部合规部门》,提出了银行合规管理与合规部门建设的10项指导原则,为国际银行业的合规风险管理确立了一个比较权威的标准。
在国内,近年来随着对合规风险管理认识的深入,监管机构也先后出台了相关指导性文件,为商业银行开展合规风险管理活动提供有益的指导。2006年10月,中国银监会发布了《商业银行合规风险管理指引》,商业银行在推进合规风险管理建设中有了法规层面上的依据。但在实践中,如何解决商业银行内在合规风险管理动力等问题,真正处理好商业银行依法合规经营和业务发展、市场竞争之间的关系,还需要行业内统一认识。
(一)加强合规风险管理是商业银行发挥特殊职能的需要
商业银行的经营管理活动之所以有别于其他商业机构,在于商业银行不仅是一种投融资运作方式,而且是一种国民经济体系有效运行的控制方式,银行可以通过管理行为间接传递、控制并影响着国民经济的平稳运行。而银行要发挥好这一特殊职能,自身必须具备良好的内部控制能力和社会声誉。从微观机制看,商业银行小资本高负债的资产负债结构实际已表明,银行虽是一部有效运行的精密机器,但在抵御风险时明显存有脆弱性,如果银行不能有效管理风险,保证自己严格地依法合规经营,就有可能失控和丧失社会声誉。同时,银行业是特许经营行业,国家通过一系列专门立法保护银行业的安全运营,也对银行业实施严格的监管,保护和监管相辅相成,银行只有严格依法合规才意味着取得了安全经营的法律保证,任何有意无意突破监管底线的行为,也是对自身保护的自我放弃。
(二)加强合规风险管理是商业银行稳健发展的需要
由于银行业的特殊性,理论界和金融监管当局一般会更加关注银行间的无序或过度竞争可能招致的对社会的破坏,而不是片面提倡银行间的竞争。银行的持续发展能力不仅靠银行的资本充足程度、资产规模和盈利能力,而且要靠银行的内部控制和风险管理水平。没有后者,前者要么得不到,要么很容易得而复失。违规必然带来法律或监管惩罚、财务损失或信誉损失等风险。无数教训反复证明,建立在违规基础上的业绩回报只是暂时的,违规经营侥幸带来的所谓业绩,终将难以抵消未来可能引致的数倍或无法估算的损失。任何违规行为都会破坏银行发展过程中的控制能力,甚至危及银行的生存。
(三)加强合规风险管理是商业银行不断提升综合实力的需要
依法合规经营实质上体现的是规模和质量并重,更加关注质的理念,也是一种摒弃短视和浮躁的企业文化,保证银行能沿着持续经营的目标有序持久地发展。
银行加强自身的合规建设,有利于从根本上改善公司治理机制,完善内部规章制度和操作规程,改善业务创新手段和创新机制,加强风险管理和内部控制。因此,银行合规管理绝不能被认为是负担,而是银行经营过程中既能够保证业绩真实提高,又能够改善经营管理水平的唯一选择。
(四)加强合规风险管理是银行业国际化发展趋势的需要
随着经济的全球化,银行业已逐步全面对外开放。银行在国际化的进程中必然参与激烈竞争,而银行自身固有的脆弱性并不会因此而发生根本改变。像巴林银行这种百年老店因违规操作而顷刻瓦解的教训并不少见。国际化给银行带来了新的风险和新的问题,必然导致各国监管当局和银行的国际行业性机构对银行界密切关注,银行必然面临更严格、更规范和更审慎的监管。经济全球化导致银行国际化,也必将导致监管的跨国化。此外,上市银行还要接受来自银行业以外的证券业、保险业等多元化和多角度的监管,面对投资人、证券市场、社会公众和各种媒体等全方位的监督。加强自身的合规建设已成为银行十分紧迫的重要任务。
综上所述,合规风险管理是现代银行内部控制和整体风险管理的重要组成部分,是一种不可或缺而必须特别凸显的管理职能。
三、商业银行合规风险管理工作的基本内容
现今银行业内对合规的定义一般包括两方面:一是公司的各项内部管理制度和业务操作符合法律法规、监管规定和行业准则;二是内部管理制度得到实际的执行并控制良好。
关于合规风险,巴塞尔银行监管委员会做如下定义:“合规风险是指银行因未能遵循法律、监管规定、规则、自律性组织制订的有关准则,以及适用于银行自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。”而合规风险管理,就是按照风险管理的基本原理、方法和程序管理合规风险,即对合规风险进行持续性的识别、评估、监测、报告和控制。因此,合规风险管理的目标就是通过建立一套机制,使银行能够有效识别、评估、监测合规风险,主动避免违法违规行为发生,从而免受法律制裁或财务、声誉等方面的损失。实际上,合规风险管理既是银行内部控制工作,也是一项专业的风险管理活动。其具体内容应包括:
1.董事会制订并适时修订全行统一的《合规政策》,管理层配套制订合规工作管理办法和实施守则,协调各相关业务和管理部门制订并适时修订银行各岗位的《合规手册》及规范内部员工操守行为的《员工守则》和《违规处罚规定》等。以上所述的内部政策和规定构成银行合规管理的基本制度。其中,董事会制订的《合规政策》代表了商业银行高层的合规态度,反映了商业银行对待合规风险管理的认识水准。笔者所在中国银行的《合规政策》对合规管理工作就有如下高要求表述:“本公司郑重承诺:严格遵守本政策,全力奉行忠实、诚信的价值理念,亦要求董事会成员、各级管理者及全体员工遵守本政策。所有员工无论为创造业绩、提高竞争力,还是应上级命令或客户要求,均应忠实、诚信并恪守职业道德,不能在遵守本政策方面存在任何妥协。”除此之外,其他合规基本制度则对银行全员的合规职责和行为规范具有约束力和强制性。
2.统一规范业务规章制度管理,规范对外签约和合同管理,规范新产品、新业务管理,对上述管理内容均应设定严格的合规审查程序,以保证银行经营行为的源头合规。其意义体现了银行对合规风险的最低控制要求,以防止银行在经营管理过程中因法律及监管环境的变化,内部规章制度及操作程序不健全,协议、授权书等法律文件不完善,新产品、新业务不符合法律及监管要求,或因员工职业道德问题、疏忽或对法律法规及监管要求认识不足,而引发对合规风险失控的情况。
3.主动严格对外履行银行各类合规义务,保证银行合规义务在所有工作岗位和业务环节中得到可靠落实,如反洗钱义务、重要信息披露、关联交易控制、股权披露、经营范围或场所变动、高管人员准入资格等。避免为法律禁止的任何贸易和交易行为提供金融服务;避免所从事的业务引发不正当竞争和垄断方面的指控;避免所从事的业务侵害消费者权益;避免侵犯他人知识产权;遵守有关劳动关系的法律法规,为员工提供公平工作机会和安全、健康的工作环境;不通过违规经营手段获得绩效。
4.全面持续评估和分析银行合规风险管理现状,定期向高级管理层提出报告和建议,向业务经营单位及其管理部门提供日常咨询服务。主动跟踪与银行利益相关的法律、法规及监管要求的更新情况,及时接收外部监管要求,评估相关合规风险并做出风险提示。对一定时期内存在的普遍性违规问题发出合规风险预警,对发生频繁、影响面大或性质严重的违规情况制订专门措施,实施重点治理,以实现对合规风险的分类管理。
5.建立合规风险信息监测系统,对合规风险信息实施统一的归集和识别。重点工作要从有效归集风险信息着手:①建立完善银行经营损失数据库,通过专业手段把银行因合规风险造成的各类财务损失数据按标准进行搜集归类;②建立完善专门的系统和流程缺陷问题库,由各业务管理条线部门将日常业务辅导检查中发现的及基层机构报告发现的IT系统缺陷、流程问题、制度冲突及时分类录入问题库;③建立完善内外审部门、监管部门独立检查发现的问题整改库,将要求银行整改的违规问题全面入库管理。通过风险信息的有效归集,形成对具体风险类型分布、频度、影响、规律的基本认识,实时把握全行各类合规风险敞口。实现对合规风险全方位的识别、评估和监控。
6.开展各类合规培训和教育,营造良好的企业合规文化。培育商业银行良好合规文化的行为是合规管理工作的一项重要内容。应通过全面持续开展合规培训和教育工作,不懈地提高商业银行全体员工的合规意识,并使这种意识在潜移默化中转化成银行员工的日常行为。银行应建立合规培训管理规范,为各级管理层及员工提供多方面多层次的培训,实施岗位合规培训、管理层合规培训、新员工合规培训和员工上岗前合规培训等强制培训制度,明确各级管理层及员工应接受的相应合规培训和教育。在我国商业银行中建设稳定的企业合规文化实际上不是一件容易的事情,需要通过长期的传承努力才有可能逐步形成企业合规文化,只有坚持把银行倡导的合规理念全面贯穿渗透于经营管理中,在全员中反复进行合规意识教育警示,良好的合规文化才能在企业中植根。
四、商业银行合规风险管理机制的建设重点
(一)有效合规风险管理机制必须遵循的原则
合规风险管理机制的建设是银行在一定的合规管理组织架构下,有效避免违规事件发生、主动识别已发生的违规事件、主动采取各项纠正措施和适当的惩戒措施、持续修订相关政策和详尽描述良好的操作规程、有效管理合规风险的周而复始的循环过程。实际上,合规风险管理机制的建设就是银行内部主动管理合规风险的动态过程。但是,合规风险管理工作应该从哪里做起,遵循怎样的模式?合规管理与业务发展到底是怎样的一种关系?合规是否仅意味着下级简单地服从和执行上级的指令?合规工作是否会造成宁可牺牲业务发展,墨守成规,明哲保身,不合作不创新,视银行自身经营活力而不顾的局面呢?对此,必须正确理解银行的合规风险管理原则:
1.从高层做起原则。合规风险管理应十分强调从银行的高层抓起。无论是倡导和推行诚信正直的道德行为、规范的合规文化,还是确立银行宗旨和核心价值观念,银行高层都必须做到自身言行与要求相一致,并在全行上下推行合规人人有责、合规创造价值等理念,使每个层面和全体员工都能感受到合规是本银行真实的内在需求,而不是仅停留在口头上的表面文章。各级管理层对可能出现的合规问题,应倡导注重自上而下查找原因,注意从制度、流程、系统、教育层面寻求解决方案,而不是头痛医头、脚痛医脚、怨天尤人、责任下推。
2.主动合规原则。合规风险管理倡导主动发现和暴露合规风险的隐患与问题,要求及时纠正已发生的违规事件,并改进相应的业务政策、规章制度和操作流程,以避免任何类似违规事件的发生。对主动报告和被动发现问题的相关责任人给予有区别的奖惩措施,形成鼓励主动报告合规风险的基调。
3.互动性原则。合规风险管理应强调“有效互动”的合规文化,倡导通过合规与监控的有效互动,解决过去检查者与被检查者相互博弈的问题,纠正“猫鼠游戏”
的传统做法。互动性原则主要体现在三个方面:①“上下互动”,如规章制度的出台应广泛征求基层、业务一线的意见,充分听取各方面的意见,使规章制度更具操作性,更符合银行稳健经营的实际需求;②“横向互动”,体现了银行内各部门主动寻求合规信息和沟通协调的合规操作;③“内外互动”,即银行除了主动遵守和接受法律法规与外部监管的规范和要求外,也必须积极主动地争取和利用在相关法律、规则制订过程中的话语权,有针对性地提出自己的意见和需求,主动争取有利于银行未来发展和业务创新的外部政策。可以这样说,合规不仅仅是强直僵化地执行规章制度,被动消极地接受监督检查,而是要主动合规、有效合规、科学合规,实现合规主体与监控行为的良性互动。
4.职能独立原则。为保障银行合规部门及其工作人员独立地履行其合规管理职责,应通过建立自成体系、职责明晰、独立调查、对高层负责的风险管理组织体系和运行机制,确保合规风险管理的组织及其成员具有高度的独立性和权威性,使合规风险管理工作不易受到外部因素的各种干扰。同时还需对合规工作人员的兼职作出明确界定和规定,避免和业务管理工作职能发生边界混淆而出现职能冲突。
5.鼓励创新原则。合规风险管理要与时俱进,在鼓励业务大胆创新的基础上,不断改善和创新合规基础工作并使其得到升华,在创新平台上达到更高质量和更有效益的合规。可以说,合规不能也不会扼杀创新的动力,但业务创新绝不能脱离合规这一基本前提。
(二)影响合规风险管理机制建设的主要因素
当前影响商业银行合规风险管理机制建设和运行的因素很多,主要体现在以下方面:
1.董事会和高级管理层在绩效观以及银行持续经营特点认识上的偏差,实际左右着高层对银行合规工作的真实态度。这种时隐时现的实用主义、投机心态会对全行上下产生不健康的导向。一般在这样的单位里,业务发展和合规管理之间的关系就不可能得到很好的处理,合规风险管理往往停留在表面。
2.内部规章制度的管理存有较大问题。主要体现为:制订规章制度没有统一管理规定,职责不清、政出多门、相互冲突;规章制度制订的权限不明确,层层出制度、条条出政策、制度繁多、上下一般粗,给基层带来执行难的问题;制度清理不及时,补丁打补丁,执行时效模糊;制度出台前未经严格的合规审查,存有合规隐患;由于制度管理的缺陷,银行就无法通过政策和程序的持续修订,有效传承银行经营活动过程中所积累的风险管理经验,制约银行合规管理水平的提升。
3.有效的合规风险管理机制应建立在“流程银行”基础之上。国内商业银行长期处于稳定和封闭的市场环境中,传承了多年的“部门银行”体制,形成了部门条块分割、各管一段的风险管理模式和业务运作方式,导致针对客户需求的服务、创新和风险防范等受到人为割裂和限制,银行内部相互制衡的机制难以有效发挥作用。
由于业务流程和组织结构没有及时整合、优化、精简,难以有效避免画地为牢、各自为政的现象,也就无法形成以客户需求为中心的统一的封闭流程,包括合规风险在内的各种风险的控制难度也会相应提高。
4.全员推崇合规文化需做极大努力。合规文化作为企业文化的一个重要组成,对合规工作的推进产生着重要影响,它是银行员工全员参与、主动合规的工作基础。但当前我国的传统文化基础仍然较大程度地左右着各色社会人群,也难免要渗透到银行内部,“人情大于原则,习惯代替制度,信任放弃监督”,违规经营、违规操作、屡纠屡犯的现象在国内商业银行仍有较大程度的存在。文化障碍不解决,合规管理就等于缺少了群众基础和民间环境。
(三)推进合规风险管理机制建设的主要做法
我们往往把组织架构和运作模式作为一种管理机制存在的基本内容,为此,可以对商业银行合规风险管理机制建设主要工作阐述如下:
1.按照要求设立独立的合规职能部门。要从全行风险管理战略角度设置单独的合规管理职能部门,并明确合规部门独立履行合规工作的职责和权限,确保合规部门的超脱性、独立性和权威性,要配备具有必要资质、经验、专业水准和个人素质的合规专职人员,以使他们能够有效地行使职责。
在各银行合规组织架构的搭建中发现,国内商业银行的合规风险管理组织必须和该银行的内控与全面风险管理体系的建设工作统筹考虑,鉴于合规风险与信用风险、市场风险特别是操作风险之间的相关程度很高,用纯粹独立的组织和人员及其单独的工作目标来界定合规风险管理工作内容往往比较难。笔者所在中国银行正在实践的内部控制体系的三道防线建设就比较科学地解决了这一问题。
2.奠定规章制度管理基础,逐步完善形成一套管用的好制度。银行有序维护的规章制度体系,是合规风险管理机制有效运行的重要基础。逐步完善形成一套管用的好制度,客观地为合规风险管理搭好了一个工作平台。首先,要有一个具有高度权威的规章制度管理办法,来规范各类规章制度立、改、废的各个环节,并从源头上保证制度的合规质量。其次,各项业务和产品出台都要保证做到制度先行,不仅要有管理制度,还要有操作规程。再者,要保证规章制度的可操作性,从明确各级的职责做起,谁负责管理办法的制订、谁负责实施细则的制订都要明确,不能出来的制度都上下一般粗,基层无法操作也难以执行。
同时,银行要有基本职业操守的制度要求,如制订《员工守则》、《员工违规处罚规定》,以及与岗位配套供个人使用的操作手册和合规手册,明确本岗位能干什么,不能干什么,清晰每一位员工的尽职、问责和免责认定标准。应建立包括全部生效制度在内的制度库,并能通过计算机系统在制度具体运用上实现前端人员直接人机对话。
3.形成全面有效的重大系统性合规风险控制关口。这是需要合规专门部门直接发挥合规管理职能的工作领域,包括各类交易数据的反洗钱采集和可疑交易报告形成;上市公司各类关联交易分析审核;各类业务合同的合规审查;全行授权体系和行为的动态维护;规章制度的合规审查;诉讼行为的统一把控;新业务新产品合规审查等。同时,还必须要求合规专门部门和相关业务条线部门主动识别和评估与经营活动相关的合规风险,评估内部各项政策和流程的适当性,及时跟进任何在政策规定和流程方面已被发现的缺陷,并提出改进意见。上述合规职能作用的发挥,是银行控制重大系统性合规风险的必要手段,也是合规管理机制得以可靠运行的重要保证。
4.建立有效的合规管理评价考核和违规惩处制度。科学设置合规管理考核事项,量化、细化考核指标,实行定性与定量相结合的考核制度,客观评价各部门、业务条线和分支机构管理人员合规风险管理的能力和内部风险状况。要把合规评价结果作为内部绩效考核的重要指标,与相关人员的奖惩挂钩,充分体现倡导合规和惩处违规的价值观念。借助于具有威慑力的合规责任追究制度,惩处违规行为,落实合规责任,并及时纠正错误,规范经营管理行为,充分体现银行的合规价值取向。
5.以确立合规理念为基础,不断推进企业合规文化建设。当前,商业银行的合规文化建设仍普遍处于初始阶段,缺乏坚实清晰的理念基础,也缺乏与银行核心价值体系的有机联系,发展和合规难以融为一体,业务经营活动走捷径、搞变通及行为短期化在银行基层十分普遍,员工自我保护意识较差,往往把合规操作仅当成是上级的要求,管理部门要改变这一状况必须下大力气。因此,有必要在银行经营管理活动中引进并强化有益的合规理念,如“合规从高层做起”、“主动合规”、“合规风险所有人”、“合规风险零容忍”、“合规是银行一项核心的风险管理活动”、“合规人人有责”等,通过长期努力,逐步输入新的文化血液,营造合规氛围。要把合规文化作为企业文化建设的重要组成部分,使合规文化理念与企业文化所倡导的核心价值观念相一致,以充分体现合规文化在企业文化中的基础性作用,让合规文化逐步渗透到经营管理的每个层面和决策的每个环节,成为一种强大的自我激励和约束力量。