商业银行合规风险管理研究

商业银行合规风险管理研究王刚 1、刘嘉 21 中国社科院金融研究所博士后流动站、中国银监会博士后科研工作站联合培养博士后，现就职于银监会政策研究局宏观审慎政策处。2 武汉大学经济管理学院金融系摘要：当前，金融全球化的迅速推进、现有业务范围和组织结构的日益复杂以及产品创新等因素，使银行面临巨大的合规风险。现代意义上的合规以健全、有效的银行风险管理机制为基础，包括外部合规性监管和内部合规风险管理两部分内容，合规风险不同于法律风险，已成为银行的一项核心风险. 针对我国银行合规管理体制存在的问题，应从以下几方面着手改进：一是推动“部门银行”向“流程银行”的转变，由被动合规转向主动合规；二是在业务创新过程中时刻注意保持“合规” ；三是监管部门应遵循“以银行为主”的理念，推动合规风险管理；四是完善规则本身的制定过程，使其更和谐地体现金融市场各利益相关方的诉求。关键词：合规， 合规风险，商业银行，风险管理Abstract：Now with the rapid progress in finance globalization, financial product innovation, complication of business range and structure of commercial banks, etc, commercial banks are confronted with tremendous compliance risk. The modern compliance is based with sound and effective risk management mechanism, including external compliance regulatory and internal compliance management. Compliance risk has become one core risk of commercial banks, and is different to legal risk. Corresponding to the shortcoming of the compliance risk management system in Chinese commercial banks, several suggestions are rendered. Firstly, to promote the transformation of commercial banks from “departmental banks” to “procedural banks”, and shift from passive compliance to voluntary compliance. Secondly, catch up with compliance in the process of innovation; thirdly, regulatory authority should follow the notion that “commercial banks are the center of compliance risk management”; to perfect the formulation process of regulations, to embody harmoniously the requirements of relative parties.Key Words: Compliance, Compliance Risk, Commercial Bank，Risk Management中图分类号：F830.5文献标识码：AThe research on the compliance risk management of commercial bank商业银行合规风险管理研究引言当前，银行业全球化的迅速推进、各国银行管理制度的差异、银行业务范围和组织结构的日益复杂化以及金融产品创新（特别是金融衍生产品）层出不穷等种种因素，使商业银行面临巨大的符合法律规定的风险。在传统的商业银行风险分类中，合规风险被视为操作风险的一部分，但由于操作风险背后隐藏着操作环节设计的不合理和操作人员缺乏合规意识，而银行合规风险大多源于银行的制度决策层面和各级管理人员。因此，就现实情况来看，即使银行能够及时有效地防范操作风险的发生，也未必能防范、控制从制度或管理层面上发生的合规风险 3。在中国，随着银行业“入世”过渡期的结束，中资商业银行面临外资银行的激烈竞争，以及混业经营趋势加强、股份制改造以及业务创新等多方面的挑战。从监管角度来看，新的银行业经营环境下如何有效地对商业银行实施“以风险为导向”的监管，降低我国境内银行业的合规风险，是一个全新的课题。一、 合规的概念1、 合规概念如前所述，合规风险最初包含在操作性风险范畴内。BCBS 4最初对操作性风险的定义是除信用风险和市场风险以外的所有其他风险，包括内控失效风险、流程失败风险、信誉风险、人力资源风险、法律风险、收购风险、系统和技术风险、税收风险、监管风险等。这样的定义导致从风险因子到风险损失的风险分析框架中，广义的操作性风险概念很难被纳入其中的风险分析框架 5。1999 年 6 月 BCBS 在新资本协议第一次征求意见稿中提出新资本协议框架将涵盖操作风险。在征求了英国银行家协会、国际掉期和衍生品交易协会、风险管理协会及普华永道咨询公司的意见后，BCBS 将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险，以上类别包括法律风险，但不包括声誉风险和战略风险 6”。这表明合规风险逐渐成为商业银行的核心风险之一，合规已经成为银行系统内风险管理的一个独特分支 7。不过，该定义使合规风险从属于监管风险的范畴，同时没有包括声誉风险，这主要是因为声誉风险的难以识别、测量和防范，所以暂时没有纳入监管范围 8。在 BCBS 分别于 1999 和 2002 年出台的巴塞尔新资本协议征求意见稿和管理和加强操作风险的稳健做法中采用了相同的定义。由于合规风险和声誉风险在银行经营中的重要性日益增加，BCBS 在巴塞尔新资本协议征求意见稿第三稿提出：尽管委员会其他风险如声誉风险和战略风险不易测量，委员会期望银行业进一步发展相关的风险管理技术。3 参见：金融理论与实践 ，李爱国等，2006 年第九期，总第 326 期，P77-78。4 Basel Committee on Banking Supervision（以后简写为 BCPS） 。巴塞尔委员会是在 1974 年底由十国银行行长发起建立的论坛，以促进成员国间的银行监管事务合作，减少监管合作中的漏洞。后来巴塞尔委员会的目的逐渐演变为改善世界银行业的监管水平。5 参见赵先信：银行内部模型和监管模型风险计量与资本分配 ，上海人民出版社，上海，2003，P397。6 See Jeffry M.Netter, Operational Risk in Financial Service Providers and the Proposed Basel Capital Accord: An Overview, http:/www.fs_. 转引自章彰：解读巴塞尔新资本协议 ，中国经济出版社，北京：2005，P89-93.7 参见：/press/p050429.htm ，2005 年 4 月 29 日新闻稿。8 2005 年 5 月美国货币监理署代理署长 Julie L. Williams 在演讲中谈到：声誉风险是当今最令人困惑、最难管理、也是最令人畏惧的风险。不仅导致许多银行经营管理者受到重创，不断遭受法律诉讼乃至控告，员工士气受挫，而且监管机构也因此加大了监管力度，银行遭受巨额罚款，一些战略举措被迫放弃或搁置。根据普华永道最近的一次调查，134 家银行的高级风险管理人员表示，总体上声誉风险是他们所面临的最大的风险。就对公司市场价值的影响而言，声誉风险排在第一位；就对收益的影响而言，声誉风险排在第六位。但是如果考虑到一些大型公司过去一年在合规方面的困境，声誉风险的排位会更高。参见：有效管理银行声誉风险的重大意义 ，该文是作者在芝加哥联邦储备银行银行结构与竞争会议上，就大银行的声誉风险管理问题发表的演讲。中文译文来自中国银监会：近几年，国际组织对合规风险的重视程度日益增加。如金融行动工作组（Financial Action Task Force）为应对日益复杂的洗钱技术，在 2003 年修改了其针对银行经营的相关建议。 BCBS 分别于 2001 年和 2004 年发布了文件银行客户尽职调查和KYC 统一管理 ，于 2003 年 10 月发布了银行内部合规功能咨询稿，将合规风险定义为“银行因违反法律或监管要求而受到制裁的风险、遭受金融损失的风险以及因银行未能遵守所有适用法律、法规、行为准则以及相关惯例标准（统称为“法律” 、 “规则”和“标准” ）而给银行信誉带来的损失等方面的风险。 ”这是国际组织试图将广义合规风险明确纳入银行组织管理层面的第一次努力。BCPS 在 2005 年 4 月发布了正式稿合规与银行内部合规功能 。将合规风险定义为“银行因未能遵循法律、监管规定、规则、自律性组织制定的关准则，以及适用于银行自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。 ”这极大地扩展了合规风险的内容，并使之成为一个独立的风险类别。合规风险管理的上述进展被纳入 2006 年新修订的银行监管核心原则。综上所述，当前我们讨论的合规概念，与以往的合规概念之区别主要在于：首先，当前的合规是以健全、有效的银行风险管理机制为基础，包含了外部合规性监管和银行内部的合规风险管理这两部分内容，以前的合规性监管一般是指合大规，如国家的政策、法律、法规，主要是约束银行经营行为在国家政策、法律法规允许的范围内，其着眼点更多的在于维护国家政策法规的严肃性 9；其次，目前中国银行业在全面开放的背景下，在国有商业银行上市和经营改革的宏观背景下，急需完善银行治理结构和组织框架，完成业务流程改造和风险管理机制的建设。如果将传统合规监管视为银行与监管部门的博弈，那么当前营造的合规风险管理机制则是将合规作为银行经营的一种风险类别和银行实施有效内部控制的基础，从监管角度看，合规风险管理机制构成了对银行实施有效监管的机构内部微观基础；再次，当前对合规风险的重视是基于金融全球化和银行业跨国经营的前提下，随着资金使用效率的提高，信用风险和市场风险的管理技术趋向完善，操作性风险的重要性凸显出来；与此同时由于外包业务的迅速发展，银行普遍适用风险降解技术降低资本要求同时却引致更多的其他风险 10，所以有必要将合规风险升级为商业银行的核心风险加以管理。2、 合规风险与法律风险的联系与区别法律风险是指企业因不遵守法律规定、监管规则或者因和交易对手产生合同纠纷而导致财务损失、被依法处罚或者产生诉讼纠纷的风险。对照合规风险的定义，合规风险与法律风险既有联系又有区别，二者存在重合的一面，当金融企业因从事业务遭到处罚时，其所面临的合规风险同时也是一项法律风险，故此业界常将“合规风险”与“法律风险”合并为“法律合规风险” 。但合规风险并不等同于法律风险而具有独立性。首先，合规风险的重要部分不能归入法律风险的范畴，如因不遵守诚实守信和道德行为的准则而遭受声誉乃至财务损失的风险只属于合规风险而非法律风险，与此相反，因合同不能得到执行或其他纠纷而导致损失的风险属于法律风险而非合规风险。其次，由于法律部门在金融企业多被定位为后台支持服务部门，故传统的法律风险管理往往是个案和被动的，而合规风险管理是一种全新的、制度化的、主动的管理模式，与传统的法律风险管理有很大不同。换言之， “规”不是简单的制度汇编，而是一个与各业务与管理活动和条线、各运作单元和岗位形成明确映射关系的管理系统，以及能够协调和平衡各业务管理活动实现经营业绩目标和合规管理目标关系的过程网络 11。值得指出的是，BCPS 所称的合规，与美国、英国等西方国家的实践有所区别。ROCA 是美联储针对外国银行分行评价的系统，其中的“C”是“Compliance”的首字母。根据美联储的解释， “Compliance”包括美国的法律和法规（Laws and regulations） 。这是因为 ROCA 是美联储采用的评价系统，其不可能采用9 参见：从“合规性监管”到“风险性监管”看我国银行业监管的转变 ，刘鹏飞，财经论坛，2005 年第 10 期，p118-119。根据刘鹏飞的定义，合规性监管是指通过行政手段，对银行执行有关法规、制度和规章等情况进行监管，以规范银行经营行为，维护银行业内秩序；风险性监管，则是通过对市场调节和法律规范，预防、回避、分散或转移风险，从而减少或避免经济损失，保证银行经营安全的一系列措施总和。按照这样的定义，当前中国银行业建立的合规风险管理体制，实际上属于风险性监管的范畴。10 参见 Sound Practices for the Management and Supervision of Operational Risk，BCPS, February 2003.同时，在巴塞尔银行监管委员会文件 Compliance and Compliance Function in Banks 中，也专门针对外包业务和跨境提供服务进行了规定。11 参见：建立合规风险管理机制，全面提升民生银行核心竞争力 ，邵平，2005。行业准则或者银行内部控制制度评价商业银行。后者是由银行业协会和银行内部控制体系完成的。在英国，compliance risk 叫做 regulatory risk，也不包括银行行业准则或者银行业务控制制度。与中国以往的合规监管范围一致，这些传统监管实践都可以归结为法律风险监管。3、 合规风险与三大风险的关系比照巴塞尔委员会的定义，合规风险不同于金融业界熟知的信用风险、操作风险和市场风险，合规风险简单讲是金融企业做了不该做的事（违法、违规或违反职业道德）而招致的风险与损失，企业自身行为主导特征明显。而三大风险主要基于客户信用、市场变化、员工操作等内外部环境而形成的风险或损失，与外部环境因素的影响与关联比较大。故此，巴塞尔委员会将合规风险界定为一种需要独特管理技术和专业技术人员管理的特殊风险，一项“银行内部的核心风险管理活动” 。另一方面，合规风险与三大风险有紧密联系。一定意义上，合规风险是其他三大风险尤其是操作风险存在和表现的重要诱因，三大风险的存在使合规风险更加复杂多变而难以控制，而它们的结果存在共性，都会给金融企业带来经济或声誉上的损失。国内金融界直到近几年才对合规风险引起重视，过去通常把合规风险视同为操作风险，注重在业务操作环节和操作人员方面加以控制，结果并不理想，操作风险仍大量存在且不断变换手法。尽管一定意义上合规风险可视为操作风险的子集，多数操作风险主要表现在操作环节和操作人员身上，但其背后往往隐藏着操作流程设计不合理和操作人员缺乏合规意识，而合规风险多数发端于金融企业的制度决策层面和各级管理人员身上，带有制度设计本身的缺欠和上层色彩。实践中，企业即使可以成功防范、控制人员操作风险的发生，也未必能防范、控制制度或管理层面上的合规风险的发生。持有额外的资本以覆盖合规风险并不能缓解风险，需要有其他方面的措施 12。有鉴于此，对合规风险的防范应引起格外重视，因为其危害与损失远远大于普通的操作风险。二、 中国银行业合规风险管理建设及其存在的问题在本部分主要评述国际上和国内有关合规风险管理的规定，如 BCBS 出台的合规与银行内部合规职能及其咨询文件（以下简称为“BCBS 文件” 、中国银监会出台的商业银行合规风险管理指引 （下文简称为“银监会指引” ）和上海银监局发布的上海银行业金融机构合规风险管理机制建设的指导意见 （下文简称为“上海指导意见” ）等 13。商业银行合规风险管理机制主要包括三个方面的内容，即董事会和高级管理层的职责、合规职能的独立性、与合规职能紧密相关的其他事项（跨境业务、外包等） 。本部分将分别针对这些方面的内容进行讨论。（一） 、董事会和高级管理层的职责BCBS 文件在阐述支撑银行合规部门的原则之前，首先阐明了银行董事会和高级管理层在合规方面的特定职责，规定合规应从高层做起，董事会对合规风险管理负责，高级管理层负责合规风险管理措施的具体实施。尽管合规与银行内部的每一位员工都相关，应被视为银行经营活动的组成部分，但是只有当这种准则由董事会和高级管理层作出表率时，合规才最为有效 14。1、 董事会和高级管理层的职能关于董事会和高级管理层的职能，银监会指引和上海指导意见进行了详细的定义。在具体职能方面，BCBS 文件是从决策职能上来限定的，没有将合规风险管理纳入监事会的职能。在银监会指引和上海指导意见中，监事会被赋予合规管理职能，但是没有明确其相关的责任。应该说，在监事会的职能和责任安排12 参见：银行如何面对合规性挑战 ，2006 年 3 月 16 日，阿诺施尔德（Arnold Schilder） ，巴塞尔委员会会计工作组主席，荷兰央行执行董事。该文是作者在 2006 年曼谷亚洲银行家峰会上以“银行与合规性挑战”为题所作的演讲。13 在地方银监局中，除上海指导意见外，厦门银监局制定了厦门市银行业金融机构合规管理指引 ，对银行业机构建设良好的合规文化、建立合规管理长效机制、指定合规负责人等问题进行了规定。本文限于篇幅，在地方银监局制订的合规管理文件中，仅对上海指导意见进行了讨论。14 目前国际银行界普遍认为，CEO 既是首席执行官（Chief Executive Officer） ，又是首席道德官（Chief Ethical Officer） 。这突出表明了高管的合规管理职能。上存在明显不足。这一方面反映了监事会在目前银行治理机构中的尴尬地位，另一方面反映了我国银行监管当局的合规监管法规、制度需要进一步完善。2、 董事会和高级管理层的责任在中国银监会颁布的商业银行合规风险管理指引中，总则中明确规定：“合规是商业银行所有员工的共同责任，并应从商业银行高层做起” ，同样突出了高层对于合规风险管理的重要性。董事会应对商业银行经营活动的合规性负最终责任，高级管理层负责有效管理商业银行的合规风险。不过，该指引同时规定，商业银行各业务条线和分支机构的负责人应对本条线和本机构经营活动的合规性负首要责任，这可能导致在执行中难以和最终责任明确区分，因为前者也有“主要”责任的含义。在上海指导意见中，规定：“各业务部门或业务条线对合规负有直接责任” ，这样更为恰当。任何合规方案和计划的最终执行部门和责任部门都是各个业务和管理部门，合规部门负责教育、指导、衡量、监督甚至警告，而对业务过程本身是否合规则不应当承担直接责任。同时，银监会指引中规定的最终责任在操作中有可能演变成为领导责任，从而在实践中难以真正落实。在银监会指引中，并未规定监事会的合规责任，仅仅规定监事会应监督董事会和高级管理层合规管理职责的履行情况。在上海指导意见中，规定“董事会和高级管理层对银行合规经营负有最终责任” ，所称银行高层是指银行的董事会、监事会和高级管理层。考虑到中国商业银行监事会目前的职责，其对合规经营同样负有最终责任并不合适。（二） 、合规职能的独立性不论一家银行如何组织其合规部门，该部门都应该是独立的，并有足够的资源支持。合规部门的职责应予以明确规定。在银监会于 2004 年 8 月颁布的商业银行内部控制评价试行办法 中，关于合规部门的独立性和董事会、高管合规责任并没有予以明确。在合规风险已经成为商业银行的一项核心风险后，如此规定有重大欠缺。银监会商业银行合规风险管理指引对此首次予以明确，这有助于商业银行合规风险管理水平的提高。1、 合规部门的独立性在 BCPS 文件“Compliance and compliance function in Banks”中，没有要求商业银行必须成立单独的合规部门 15，而是认为:“compliance function”是指履行合规职责的职员，并不特指某一特定的组织架构;不论一家银行如何组织其合规部门，该部门应还是独立的，并有足够的资源 16。从该文件使用“function”而非“department”来看，其重点在于银行内部需要执行此功能，而不是组建独立的部门 17。事实上，巴塞尔银行监管委员会咨询文件银行内部合规部门将“合规部门”定义为“识别、评估、通报、监控并报告银行合规风险的一个独立的职能部门。 ” 在正式文件发布时却取消了这样的定义，主要就是因为在银行合规部门的组织结构及其职责方面，各银行之间存在重大差异，很难说某种结构比其他结构效果更好 18。目前大多数国际银行普遍采取的方式是在总行设立合规部，分行则安排地区合规官。 银监会指引要求各银行应建立独立的合规管理部门，并在第三条规定：本指引所称合规管理部门，是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。上海指导意见也要求建立单独的合规管理部门，第六条第一款第三项规定：（高级管理层）负责组建一个常设的合规部门，并确保其有效运作，由此可以看出，上海指导意见比上述 BCBS 文件和银监会指引的要求都要严格，明确规定了设立专门15 参见刘晓勇：商业银行风险控制机制研究 ， 金融研究 ，2006 年第六期，总第 313 期。同时，作者在文中将巴塞尔文件 Compliance and compliance function in banks 译为合规与银行内部合规功能 。刘晓勇认为，合规功能是控制银行合规风险的专门技术，是控制银行信用风险、市场风险、操作风险等其它风险的基础和重要手段，对银行风险控制机制的有效性有重要影响。16 参见：合规与银行内部合规部门 ，巴塞尔银行监管委员会,2005 年 4 月 29 日。译文来自中国银监会网站：.17 根据剑桥国际英语词典的解释， “function”的相关含义有：功能，用途，职责等。18 在 BCPS 于 2006 年 10 月公布的 Core Principle Methodology 文件中，也对 Compliance Function 进行了解释，认为：合规职能并不表示一个组织单位，合规职员可以位于业务线或地区子行并向业务线管理者或地区管理者报告，只要合规职员可以向合规负责人报告即可。参见：BCPS, Core Principles Methodology, Oct 2006:.的合规部门，而排除了设立合规团队或岗位的可能性 19。目前中资银行的合规部，主要是从原来的法律部独立出来的，有的则是直接在法律部门中增加一个合规处，很难独立承担合规管理的职责。当前规定设立独立合规管理部门的要求，主要是为了避免合规虚设的问题。但是，由于各外资银行不存在类似的问题，而是在合规管理方面走在了前面，其是否需要建立独立的合规管理部门，是需要明确的问题。同时，中资银行国内分行也可考虑由其他职能部门承担合规职能，如内控部门。新加坡金管局对合规风险的规定放在内部控制的有关规定中，规定金融机构应明确合规职能的重要性，任命高级人员或一个适宜的部门来总揽合规事宜 20。在 2006 年新修订的巴塞尔银行监管核心原则中，BCPS 将合规风险管理放置在“内部控制和审计” 原则中，而不是监管方法、监管技术、监管报告等原则中。以上证据都说明，合规风险管理，重在职能的履行，而不是组织结构的设立。2、 合规风险管理与商业银行经营成本银行体系的成功建立在银行能够有效的降低交易成本并提供流动性服务。20 世纪 90 年代，美国银行家协会（the American Bankers Association）做了一项行业调查，结果表明：遵守联邦和州立法规的成本大约是 110 亿美元，占银行业利润的 60%21。受到萨班斯法案影响的包括中国移动、中国石化和中国人寿等在内的 44 家已在美国上市的中国企业，有数据显示，这 44 家在美上市的中国企业将为此共支付近 2 亿美元 22。事实上，近年纽约在全球资本市场上排名持续落后于伦敦和香港，已经引起了美国国内金融界和政府部门的反思，这促使美国在年出台的法规中放松了萨班斯法案的规定。在中国商业银行建设合规风险管理机制的过程中，以下因素很可能让合规风险管理职能沦为“成本中心”而不是“价值中心” 。一是对信息系统建设的大量投入但不能有效整合和运用；二是大量形式化合规项目的实施耗费金融机构大量的人财物资源。在实践中，合规风险管理是成为“成本中心”还是“价值中心” ，关键取决于合规风险管理是否有效，包括有效果和有效率两个方面。由此可见，尽管存在技术困难，但加强合规风险管理的有效性是确保合规风险管理对金融机构价值贡献的关键所在。（三） 、外资银行如何遵守上海指导意见从附表可以看出，国际银行业合规部门的组织结构主要有两种。一种是集中化的组织结构，主要特点是在银行内部形成了一个独立的合规部门体系，即总行设立正式的合规部门，直接领导银行各分支机构或地区总部的合规部门。第二种是分散化的组织结构，即在总行设立合规部门，但在分支机构层面并不一定设立单独的合规部门，而是在各分支机构或者业务条线上建立 BUCO（Business Unit Compliance Officer）体系，即在各分支机构以及业务条线上设立合规员的岗位，各部门或机构负责人或资深员工担任合规员承担所属部门的合规职责。同时还会根据不同国家或区域化管理的需要设立合规部门如中国区或亚太区合规部等。在外资银行集中的上海，上海指导意见中要求外资银行设立单独的合规部门 23。这样上述第二种组织结构实际上不符合该指导意见的要求。所以，已经在各分支机构或者业务条线上设立合规员岗位的外资银行是不是需要重新设立单独的合规部门，应该做出明确的解释。笔者认为，设立单独的合规部门，主要是针对外部监管，对于风险管理为基础的内部控制作用并不大；同时这与中国商业银行目前从“部门银行”向“流程银行”转变的路径目标相背 24。19 由于在上海指导意见第七条中规定：合规并不仅仅是合规部门或专业合规人员的责任，更是银行每一位员工的责任。可以理解为，指导意见中所指合规部门并不包括非部门组织形式的团队或岗位。20 参见新加坡金管局风险管理做法指引内部控制 。中文译文来自中国银监会网站：.vn。21 彼得.罗斯：商业银行管理 。22 每周电脑报 ，2006 年 7 月 24 日，p47。23 参见中资银行合规风险管理机制建设研究 ，上海银监局课题组， 新金融 ，2005 年第 11、12 期。在上海指导意见出台前，上海银监局进行的这项研究阐释了要求中资银行应在总行及分行设立独立或相对独立的合规风险管理部门，在分行下属机构可以设立合规部门或合规岗位等的原因。采取这样的组织结构主要基于四点考虑:一是中外资银行授权制度不同，中资银行一直是依据机构或部门功能授权，一般不存在因人而异授权或交叉授权，外资银行则更强调对个人授权。二是中外资银行岗位设置规则不同，中资银行岗位设置通常并没有科学的岗位设置评价，岗位的职责、权限不明确，更没有制度化，因人设岗的现象较为普遍，而外资银行正好相反。在此背景卜，采取分散化管理的组织结构，在各业务部门设立合规岗位，很难确立合规人员的独立性和权威性。二是中资银行伞型组织架构，使得机构负责人权限过大，制衡不足，向上级合规部门直接汇报，能够增强合规工作的独立性。四是目前中资银行普遍缺乏合格的合规人员，集中化管理模式，有利于知识互补和配合。不过，在上海指导意见中，设立独立合规部的要求被扩展到外资分行。对于外资分行来说，上述四点原因都不成立。（四） 、合规与规则制订在 BCBS 咨询意见稿中，合规风险的内容并没有包括银行因未能遵守行业行为准则以及相关惯例标准而遭受金融损失的风险，而在征求银行业意见后在正式稿中纳入。这实际上是认可了行业行为准则和惯例对银行业经营的重大影响。对于中国来说，合规风险管理建设中非常重要的一点是行业规则的制定和维护功能，当前主要包括行业准则和职业道德体系的建设。从以上的讨论可知，中国银监会和地方银监局制订的指引和办法都有需要改进的地方。2006 年 2 月 23 日，中国银行业协会颁布的中国银行业文明服务公约实施细则(试行)是行业协会制订的第一个行业规范，中国银行业从业人员资格认证制度则是从 2006年 11 月开始实施。所以，行业规范在中国银行业发展中相对落后 25，而行业惯例标准也有待于形成。中国作为转型期的新兴市场经济国家，近些年来银行业各类违法犯罪案件屡见不鲜，其中一个重要原因就是从业人员缺乏有效的职业操守 26。在我国银行业股份制改革的背景下，银行自身的公司治理、企业文化、组织结构、发展战略、人力资源、目标市场需求和竞争环境、业务复杂程度、绩效考核和激励机制等因素必须与市场竞争的客观需要相匹配，并且应随着上述因素的不断变化而动态的调整。中国建设银行颁布实施的合规政策和合规工作管理办法 ，为实现合规管理提供了制度保障 27，可供借鉴。在中国银监会指导意见和上海办法中，合规包括了对自律性组织制订的相关准则和适用于银行业务活动的行为准则，同时规定该指导意见和办法的执行评价、解释由银监会和上海银监局负责。不过，银监会和地方银监局是不是会执行由自律性组织制订的相关准则，这一问题亟待有关部门予以明确。（五） 、合规与银行业跨境业务和外包业务合规风险管理的规定根据巴塞尔委员会联合论坛 2005 年 2 月发布的金融服务外包报告，金融服务外包是指“接受监管实体持续地利用外包服务商（为集团内的附属实体或集团以外的实体）来完成以前由其自身承担的业务规定” 。金融服务离岸外包涉及三方当事人即金融机构、境外服务提供商和服务的最终用户。服务交付一般采用跨境的方式，以电子交付为主。在跨境外包的问题上，有关规定应确保既要注意与其他国家或地区监管机构的沟通与交流，又要保证维护东道国监管机构的独立性。跨境业务外包不能妨碍银行机构遵守所有适用的东道国法律法规，不能损害东道国监管机构对银行境内外运作的有效监管；不能妨碍监管机构要求获取外包安排涉及的信息以及审计资料。伴随着金融全球化的步伐，银行参与跨境业务和外包业务的范围、程度和相应的风险日益突出。但上海银监局颁布的文件对跨境服务和外包业务方面都没有规定。人民银行 1990 年 4 月发布的境外金融机构管理办法对此也未加规定。好在银监会 2006 年颁布的商业银行合规风险管理指引对这一问题进行了明确，规定董事会和高级管理层应对合规管理部门工作的外包遵循法律、规则和准则负责，商业银行应确保任何合规管理部门工作的外包安排都受到合规负责人的适当监督，不妨碍银监会的有效监管。三、 改进我国商业银行合规风险管理体系的建议24 参见加强合规建设，确保合规经营在上海银行业首届合规年会上的讲话 ，刘明康，2005 年 10 月 24 日。刘明康认为，当前几乎所有中资银行的业务流程都存在着重大弊端，仍只是“部门银行” ，而不是“流程银行” ，导致针对客户需求的服务、创新和风险防范等受到人为的限制，出了问题部门间相互推卸责任，难以查处。因此，合规机制需要建立在“流程银行”基础之上，而不是“部门银行”基础上。25 中国银行业协会（China Banking Association，CBA）成立于 2000 年 5 月，成员自愿申请加入。26 比如从业人员在一家银行或一个地方违法，他可以转到其他银行或另外一个地方重新在银行业工作。缺乏银行业从业人员从业经历的透明度，以及相应的行业规范，使银行在操作风险的防范上事倍功半。参见刘张君：积极促进中国银行业合规文化建设 ，该文是作者在“2006 年上海银行业合规年会（第二届）上的演讲稿。在地方银监局中，广东银监局在 2007 年初开始完善高管人员动态监控机制。一是进一步规范高管人员准入条件、日常行为管理、违法违规记录、任职资格退出流程。二是制订银行业金融机构从业人员违纪违规违法情况登记制度 ，建立高管人员持续监管档案。三是建立拟任高管人员任前约见谈话制度，把好高管人员准入关。四是对管理混乱、案件多发机构的高管人员开展履职检查，查堵漏洞，规范高管人员经营行为。27 参见苏文朋：我国银行业合规文化探析及其建设构想 ，中国金融界网，， 2006 年 6 月 14 日。1、 完成从部门银行到流程银行的改变，变被动合规为主动合规。当前合规管理的工具主要有,培训、监控、设计合规管理评估体系、制定政策和指引等,但实际上很关键的是激励与惩罚措施。目前各银行绩效考核仍然是重业务指标、轻内控管理，有些机构的关键绩效指标并无内控合规管理的内容。为使各地分行能够积极配合总行的合规管理,应该引进一种激励方法,把合规经营成果纳入到业绩考评体系,一旦出现不合规行为,则予以减分。现有的建立诚信举报热线等措施，实际上还是事后监督，不能起到事前预防的作用。2、 在中国银行业入世过渡期结束后、银行业竞争日益激烈的情况下，中资银行产品创新能力需要及时跟上。创新的过程中，合规是重要的内容。对于市场风险和信用风险，银行可以借助资产组合的多样化效果来降低整体风险，改善风险回报分布；对于合规风险，多样化不仅不能降低整体风险，反而会放大整体风险，因为银行的业务越是复杂，操作的环节越多，难度也越大。发生（合规）风险损失的可能性就越大。银行无法借助于多样化来规避操作性风险，只能求助于提高管理质量来降低风险损失 28。3、 合规风险管理建设应贯彻“以银行为主”的理念，银行监管当局应将工作重点放在确保银行完善自身治理上，而非仅仅是监管的合规性 29。监管理念必须从传统的法律观念转变到经济学效率观念，实际运作中，未被全新“合规”观念武装的旧的合规管理体制存在许多问题 30。监管部门同样应该从原来的合规监管观念中走出来，比如目前存在的银行监管部门随意任命、调换两个银行的高管等现象，就应该杜绝。4、 目前，中国商业银行中业务、法律、审计监察、财务、综合等部门分别承担了合规管理的部分职能，不成体系，彼此之间职责界定不清晰，协调配合不力 31。检查部门往往不独立于业务活动，难以保证合规管理的有效性 32。合规部门应有权力主动对所有可能存在合规风险的部门履行合规管理职责的情况进行检查，并可以随时就其检查中发现的违规及潜在违规行为向董事会和高级管理层报告。总的看来，我国金融企业的合规管理体制虽然在旧体制下实现了全员参与，但由于缺乏系统性和有效的组织保障和科学的运行程序，目前仍停留在模糊低效的初级运作方式基础上。5、 完善规则制定过程，推进我国金融企业合规建设。要促进金融企业由被动合规转变为主动合规从而大幅降低企业和行业层面的合规成本，监管当局在“规”的制定过程中积极主动听取行业意见很有益处，一是规则本身将更好地体现行业惯例和实践中的良好做法，符合激励相容原则，二是金融企业可以提前预知规则的修订、变化，早做准备，避免规则突然实施所带来的成本激增。由此考虑，应当在“规”的制定过程中进一步拓展思路，一是以适当方式听取另一市场主体-金融服务消费者的意见，后者直接承受金融服务，对自身效用和利益的敏感恐非监管部门所能完全体会，另一方面，消费者投诉是触发法院介入，导致金融企业被裁定、判决不合规的重要渠道，且是否、何时提起完全由消费者掌握，监管当局和金融企业28 参见赵先信：银行内部模型和监管模型风险计量与资本分配 ，上海人民出版社，上海，2003，P400。29 亚洲公司治理圆桌会议 ，亚洲银行公司治理工作小组政策摘要草案,2005 年 9 月.译文来自中国银监会网站. 同样的建议请参见： OECD, Policy Brief on Corporate Governance of Banks in Asia: Asian Roundtable on Corporate Government. June 2006。30 国际金融报, 推动法治金融建设 中资银行何时不再重视合规建设 ，2007 年 1 月 10 日。上海银行董事会办公室研究主管浦根祥博士也在接受采访时称，目前中资银行普遍将对合规风