1、1基于法律约束的合规机制及其完善牵头行:中国建设银行参与行:交通银行招商银行2目录一、合规的涵义二、合规管理在商业银行内控体系中的作用(一)加强合规管理有利于实现银行内控的目标(二)合规管理是健全内控体系的重要手段(三)合规管理有利于银行内部控制文化的培育三、法律约束与合规管理之间的关系四、基于法律约束的合规管理对操作风险的控制作用五、合规管理的机构设置和工作模式六、合规管理的现实选择(一)实施全面的合规管理。(二)提高银行运作行为的合法化程度。(三)法律优先于内部规则被遵守(四)在坚持法律约束前提下对合规管理部门进行优化3内容摘要合规机制是近年来商业银行用以完善内控和风险防范的主要手段,但事
2、实上,国内银行界对合规问题的研究并不充分,未能准确界定合规管理、法律约束及操作风险控制之间的关系。本课题通过一系列的调查和研究,对合规管理的涵义、应有职能进行了探索和论证,并结合我国银行业的实际状况,总结出了一些适合于我国银行管理现状的合规理论,认为合规管理是控制操作风险的重要机制,而对行为进行法律约束则是合规管理的实质,因此将外部法律约束内化为银行的风险控制机制是合规管理的主要内容。在此基础上,课题就商业银行合规管理的工作模式提出了一些建议,以期能对我国商业银行合规管理体制的完善起到促进作用。4基于法律约束的合规机制及其完善合规机制是近年来商业银行用以完善内控和风险防范的主要手段,多数规模较
3、大的商业银行都成立了合规部门或将合规部门与法律部门合为一个部门,承担全行的合规管理职能。从世界范围来看,随着 2005 年 4 月巴塞尔委员会合规与银行内部合规部门这一高级文件的出台,各国商业银行都将合规管理的职能提升到了一个前所未有的高度来对待。但事实上,我国银行界对合规问题的研究并不充分,缺乏这方面的调研和总结,多数商业银行未能准确界定合规管理、法律约束及操作风险控制之间的关系,导致合规管理工作在银行实务中流于反洗钱义务的履行,而且合规人员大多属非法律人员,合规管理的实践状况不容乐观。本课题通过一系列的调查和研究,对合规管理的涵义、应有职能进行了探索和论证,并结合我国银行业的实际状况,总结
4、出了一些适合于我国银行管理现状的合规理论,并在此基础上就商业银行合规管理的工作模式提出了一些建议,希望能对我国商业银行合规管理体制的完善起到促进作用。一、合规的涵义合规的概念来自于英文单词 Compliance,原意为“服从、遵从、遵守、顺从、听从” 。汉语中的“合规”一词,从字面理解,应为“合乎规则(规范) ”之意。在我国,对于商业银行合规的定义有着不同的意见。监管当局多着眼于确保银行的经营行为合乎外部监管规则的要求,因此将商业银行的合规定位为对外部约束的遵守。如,根据商业银行合规风险管理指引的定义,银行的合规系指使商业银行的经营活动与法律、规则和准则相一致;其中, “规”的涵义要广于普通意
5、义上的法律,包括适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。 1 上海银行业金融机构合规风险管理机制建设的指导意见则规定,合规是指使一家银行的活动与所适用的法律法规、监管规定、规则、自律性组1 参见商业银行合规风险管理指引第二条。5织制定的有关准则,以及适用于银行自身业务活动的规章制度和行为准则(以下统称“合规法律、规则和准则” )相一致。有的学者从银行经营运作的角度出发,认为合规是“银行在其经营过程中通过制定相关标准、规章制度及管理程序确保银行各机构(包括银行分支机构、附属机构及其全资或控股机构等)及其员工(雇员)遵守有
6、关国家的法律、法规、监管部门的要求及相关惯例等规定之行为的总称” ,并且强调,合规的涵义并不能等同于“使银行遵循自己的内部规章制度,或者指确保银行分行之机构按照总行制定的各种规章制度来经营运作” 。 2也有学者从强调目的、原则和标准等角度对商业银行合规的涵义进行界定,认为,商银行合规是指“商业银行为了避免可能遭受法律制裁、监管处罚、重大财物损失和声誉损失的风险,在其经营活动中高标准地遵循所适用的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为准则、和职业操守,以使其经营活动与上述法律、规则和准则相一致。 ”3我们认为,从商业银行经营管理角度来看,合规应当包括三个层
7、次的涵义。第一层次指银行在其经营运作中必须遵守国家法律、法规、规章(包括监管机构及其他政府机关发布的) 、自律公约、企业内部制度、行业惯例等一切规范性法律依据。第二层次是指银行必须根据各类规范性文件的变化而不断调适自身的经营运作行为,以确保与法规的同步,其主要内容实质上是确保法律及其他规范性文件在银行得到有效实施,并借此实现内控目标和监管目标。因此,在许多文件里,常常把合规风险和法律风险混同使用(compliance risk/legal risk) 。根据巴塞尔银行监管委员会合规与银行内部合规部门的表述,商业银行的合规还有第三层次的涵义,即银行的忠诚(integrity ) ,包括员工对银行
8、的忠诚和银行对客户以及交易对手的诚信,这正如法律上的诚实信用原则,其实质是对诚信、公序良俗等道义规范的自觉遵守。二、合规管理在商业银行内控体系中的作用(一)加强合规管理有利于实现银行内控的目标2 参见张炜:银行法律实务热点报告 ,第 3 页,中国金融出版社 2004 年版。3 参见聂明:商业银行合规风险管理 ,第 1617 页,中国金融出版社 2007 年版。6根据商业银行内部控制指引 ,商业银行内部控制体系是商业银行为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过程和机制;银行内部控制的目标在于确保国家法律规定和商业银行内部规章制
9、度的贯彻执行、确保商业银行发展战略和经营目标的全面实施和充分实现、确保风险管理体系的有效性,以及确保业务记录、财务信息和其他管理信息的及时、真实和完整。 4可以认为,商业银行内部控制的目标就包括确保银行合规。巴塞尔银行监管委员会也指出,商业银行遵守法律及管理条例的情况(合规性目标)是内部控制过程的主要目标之一,为了保护银行的权利和名誉,必须要实现这一目标。 5因此,加强商业银行的合规管理,强调对法律法规以及其他相应规范的遵守,不仅能够提高银行的合规水平,而且有利于内部控制目标的实现。(二)合规管理是健全内控体系的重要手段我们认为,全面的合规管理应当包括合“法”管理与合“规”管理两个层面,前者是
10、银行各项行为均与法律和监管要求相适应;后者指银行内部职能部门、分支机构、附属机构及员工的行为与内部管理各项规章相适应。事实上,银行内部规章的最终目的之一同样是为了确保银行行为合法。在这个意义上,合规管理的两个层面价值并不对等,后者为前者服务。而评价商业银行内控体系是否健全,其中很重要的一个原则就是合规性原则,亦即银行的过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。 6要达到这一原则的要求,必须经过强化全面的合规管理来实现。(三)合规管理有利于银行内部控制文化的培育巴塞尔银行监管委员会认为,有效的内部控制制度的一个基本因素就是强有力的控制文化;银行应使每一个雇员都意识到,应
11、有效履行其职责,并在发现违法违规行为时向相应的管理层报告。该委员会认为, “尽管具有一种强有力的内部文化并不能保证机构实现其目标,但缺乏这种文化将增大发现失误的难度和出现不当行为的可能性” 。 7商业银行内部控制评价试行办法也要求,4商业银行内部控制评价试行办法第三条、 商业银行内部控制指引第三条。5 巴塞尔银行监管委员会:银行机构的内部控制体系框架 (1998) 。6 商业银行内部控制评价试行办法第八条。7 巴塞尔银行监管委员会:银行机构的内部控制体系框架 (1998) 。7“商业银行应培育健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规
12、和实施内部控制的重要性,引导员工树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。 ”8而合规的第三个层次就是是构建合规文化,使员工形成一种合规价值理念和行为准则,做到真正从内心“不想”违规。从这一点上来说,加强合规管理中的合规文化建设,对于银行内部控制文化的培育,是极为有利的。三、法律约束与合规管理之间的关系合规管理包括对银行一切行为的监控,其内容极其宽泛,但实质却是银行经营行为的法律化,或者叫做完全规范化的问题。事实上,对银行行为的法律约束和缔造忠诚理念是合规管理的主要内容,因此,合规管理与法律约束是不可分割的(这也正是合规风险和法律风险之间的关系总被模糊界定的原因) 9,这
13、主要体现在以下几个方面:第一,合规管理依赖于一个良好的法律环境,要有完善而且真正能够有效调控交易行为的银行法律、法规、规章、内部管理制度及其他规范体系。第二,银行要建立一套完备的法律制度实施机制,确保各种规范要求得到落实,不会出现违规、越轨行为,以及能够迅速发现和控制违规行为。第三,银行要有高效率的人力资源和工作制度,随时了解外部法律制度的变化,并及时反馈到对银行内部规章制度的修订和操作流程的修改上,以确保内部制度与外部法律的始终一致,当然,银行也应当通过各种途径去影响外部法律的改变。第四,正如人们对法律的遵守是社会法律文化的重要组成部分一样,合规也应当成为银行企业文化的一个组成部分,应当强调
14、诚信与正直,并由高层做出表率,使自觉遵守各类规则成为企业的精神和理念。 10综上所述,合规管理需要大量的法律人员用法律分析的方法,也即界定权利义务关系的方法去不断评判银行的交易和自身管理行为以及每个员工的行为,以避免违法、违规、违纪、失信、不名誉等不良后果的出现,避免承担民事、8 商业银行内部控制评价试行办法第十五条条。9 参见张炜关于商业银行合规风险控制的若干问题 ,载于中国金融2004 年第 18 期。另参见有效银行监管的核心原则第四节。10 参见巴塞尔委员会合规与银行内部合规部门第 2、6 条。8行政和刑事责任。四、基于法律约束的合规管理对操作风险的控制作用根据巴塞尔新资本协议所给出的定
15、义,银行操作风险是指由于不完善或者失灵的内部控制、各种错误的行为、科技系统故障以及外部事件等给银行带来直接或间接损失的可能性。与信用风险和市场风险不同,操作风险的根源存在于内部,主要表现为银行及其员工的各种行为,这些行为可以是人的行为,比如签约行为;也可以是由机器或系统实施的行为,比如 ATM 机上的交易等。操作风险几乎涵盖了除信用风险和市场风险外的其它一切银行风险,属于残值风险的范畴。巴塞尔银行监管委员会于 1988 年制订的关于统一国际银行资本衡量和资本标准的协议 (旧资本协议)只强调资本充足率的重要性以提高银行应对信用风险的能力,而并不认为操作风险能给一个银行带来灾难。但资本充足率远高于
16、 8%的巴林银行却于 1995 年因为违规操作而倒闭,随之而来的则是金融风暴带给银行业致命的打击,巴塞尔银行监管委员会的风险防范理念因之修改。1997 年发布的有效银行监管的核心原则和 1998 年公布的关于操作风险管理的报告等文件将操作风险提到了与信用风险同等重要的地位上,巴塞尔银行监管委员会的资本充足率、外部监管和市场规制三大原则才得以确立。2004 年 6 月发布的资本计量和资本标准的国际协议:修订框架(新资本协议) 则对各种各样可能存在的操作风险都提出了资本要求,大大提高了银行资本对各类违规行为的敏感度。事实上,新资本协议提出的防范操作风险、控制违规行为的要求只是作为目标而存在,协议本
17、身并不提供实现这些目标的手段。所以,巴塞尔银行监管委员会另外发布了银行机构内部控制体系框架 (1998 年) 、 健全银行的公司治理 (1999 年) 、 操作风险管理和监管稳健做法 (2003 年) 、 银行的合规职能 (2003 年 10 月) 、 KYC 风险统一管理 (2004 年)等文件,美国 COSO则出台了全面风险管理框架 (2004 年) ,2005 年 4 月,巴塞尔委员会发布高级文件合规与银行内部合规部门 。在这些文件里,控制银行操作风险逐渐被9提到十分重要的地位,而加强合规管理和完善合规风险防范体系则被描述成为确保有效监管的前提和防范操作风险的主要手段, “合规风险” 甚
18、至已被视为银行业的核心风险和最基本的风险。 11在 2002 年以及更早的时候,根据巴塞尔委员有关文件的公布顺序,同时也由于违规经营行为的过多出现,加强内部控制一直被视为控制操作风险的核心手段,因为“最重大的操作风险在于内部控制及公司治理机制的失效” 。 12而当时的内部控制则主要依赖于审计和授权分责制度来实现。但随着银行以及监管部门对操作风险的认识的深入,内部控制越来越显得单一和片面,对法律调控风险和企业文化的强调显然不够,无法对应于操作风险的各个领域,因此,在操作风险领域, “内控”逐步被“合规”所取代, 银行的合规职能和合规与银行内部合规部门两份文件则正式确立了通过加强合规管理来控制操作
19、风险的理念。2005 年发布的中国银行业监督管理委员会关于加大防范操作风险工作力度的通知也明确要求加强对基层行的合规性监督。合规管理的实质是行为的规范化和忠诚理念的缔造,而操作风险正是由于行为的不规范和道德风险所致,防范操作风险与合规管理的过程大体上是统一的,可以统一到运用法律分析的方法去不断评判银行各类制度和各种行为所存在的缺陷及其可能带来的损失上来,同时还要努力建设以忠诚为基石的企业文化理念。加强合规管理、控制操作风险、强化法律约束是三位一体的。事实上,1997 年有效银行监管的核心原则在原则 15 里就已有近似的表述。 有效监管核心原则将操作风险和法律风险并列表述,是基于资本上的要求,而
20、并非基于有效的行为控制,在完善内控制度的过程中,操作风险和法律风险的界限越来越模糊, 13合规管理制度的出现和逐步完善一定程度上加快了操作风险和法律风险融合的速度。从上表的对应关系中也可以看出:操作风险控制手段和法律约束手段事实上是可以统一的,区别只在于操作风险控制更倾向于从资本的角度出发,而法律约束则仅仅基于各种行为而展开。随着对操作风险的理解逐渐向控制违规行为、加强合规管理方面转变,操作风险控制和法律约束的外延将会越来越接近。11 参见郦锡文合规管理是核心风险管理 ,载于 2005 年 7 月合规管理参考第一期。12 参见巴塞尔银行监管委员会有效银行监管的核心原则第四节 A 项。13 通常
21、认为操作风险有广义和狭义之分,法律风险属于广义操作风险中的一种。10新资本协议所提供的三种操作风险计量方法(基本指标法、标准法,高级衡量法) 提高了资本对于风险的反应灵敏度,使资本和操作风险的对应关系更为清晰。但风险计量方法解决的是对资本配置上的要求,而并不解决对于银行内部管理尤其是合规管理上的要求。事实上,从引致风险的行为和风险类别的角度出发,我们将操作风险、合规管理与法律约束进行对应,如下表: 14操作风险分类(初始标准)操作风险类别(标准2)合规性管理内容 法律结构未授权或错误行为 内部授权管理和业务操作流程的合法及执行监督员工代理权的合理分配与正当行使内部贪污或欺诈 授权管理、员工行为
22、制约、合规检查是否落实等内部人员的经济犯罪技术犯罪 计算机管理制度的执行内部人员的科技犯罪员工薪酬和待遇 劳动制度的合法性及其执行情况劳动法律与政策的贯彻保密和守约 保密制度和业务手册的执行保密法的贯彻及对保密条款的遵守不适法的行为 诚信意识的培养和执行不仅需要遵守法律的强制性规定,也不能违反法律原则。产品和服务缺陷 产品和服务标准的落实和执行合同标的物的瑕疵将会导致索赔人员/关系风险:员工行为,银行与客户、监管者等的正常关系破裂引发的风险客户选择 客户资信调查、信用评级制度的合理性及其执行慎重缔约、缔约过失和合同的拘束力。合适的交易操作 业务操作手册的合法性和执行程度业务操作流程必须能够保证
23、银行善意地履行法定义务监督和报告 对监管要求的满足情况正当履行行政义务必须符合客户约定和法律文件的完备法律文件合法与档案保存制度完善适当履行和保有充分的证据材料客户帐户的维护 帐户管理制度的落实 结算义务、协助执行义务的履行和存款关系的正常来自于日常运营过程中产生的错误和损失交易对手的诚信 索赔和权利维护制度的建立完善及时有效地主张法定权利14 风险分类参见田玲著, 德国商业银行风险管理研究 ,科学出版社 2004 年 5 月版,第 133138 页。11系统失灵产生的损失 系统失灵 应急机制和系统维护制度的执行应付和处理群体性索赔或侵害事件自然因素造成的损害 应急机制的建立和完善作为免责事由
24、的不可抗力及责任分担政治和政策原因导致的损害政策的适应性和法律变化的跟踪非由银行过错所导致的损失的处理和责任分配外力以及包括监管者在内的第三方行为所导致的损失外部非法行为导致的损失索赔、纠纷处理、保安制度的执行对第三人的诉讼、仲裁、举报目前,合规管理被认为是防范操作风险的核心机制,而对行为进行法律约束则是合规管理的实质。因此,如何将外部法律约束内化为银行风险控制机制就成为了商业银行合规管理的主要内容。如果仅仅从行为的角度进行分析,操作风险控制、合规管理和法律约束是三位一体、内在统一的,风险控制是目的,合规管理是形式,法律约束是手段,因此,合规管理应由法律人员根据既有法律的规定来进行。目前我国多
25、数商业银行采用的信贷人员进行合规管理的做法,有待改进。五、合规管理的机构设置和工作模式巴塞尔银行监管委员会合规与银行内部合规部门所设计的银行内部合规部门的职责应该是协助高级管理层有效管理银行面临的合规风险。所谓合规风险,系指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。 15根据合规与银行内部合规部门 ,合规部门应该协助高级管理层就合规问题对员工进行教育,并成为银行员工咨询有关合规问题的内部联络部门;应就合规法律、规则和准则的恰当执行,通过政策、程序以及诸如合规手册、内部行为准则和各
26、项操作指引等其他文件,为员工制定书面指引;应积极主动地识别、书面说明和评估与银行经营活动相关的合规风险,包括新产品和新业务的开发,新业务方式的拓展,新客户关系的建立,或者这种客户关系的性质发生重大变化所产生的合规风险等;应考虑各种量化合规风险的方法(例如,应用评价指标等) ,并运用这些计量方法加强合规风险的评估;应该评估银行各项合15 参见合规与银行内部合规部门 。12规程序和指引的适当性,立即深入调查任何已识别的缺陷,如有必要,还应系统地提出修改建议;应该通过实施充分和有代表性的合规测试对合规进行监测和测试,测试结果应依照银行内部风险管理程序并通过合规部门报告路线向上级报告。合规部门还可能承
27、担特定的法定职责(例如,承担反洗钱人员的职责等)并可能与银行外部相关人员保持联络,包括监管者、准则制定者以及外部专家等。商业银行合规风险管理指引进一步具体明确了银行合规部门的职责,规定:“合规管理部门应在合规负责人的管理下协助高级管理层有效识别和管理商业银行所面临的合规风险,履行以下基本职责:(一)持续关注法律、规则和准则的最新发展,正确理解法律、规则和准则的规定及其精神,准确把握法律、规则和准则对商业银行经营的影响,及时为高级管理层提供合规建议; (二)制定并执行风险为本的合规管理计划,包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等; (三)审核评价商业银行各项政
28、策、程序和操作指南的合规性,组织、协调和督促各业务条线和内部控制部门对各项政策、程序和操作指南进行梳理和修订,确保各项政策、程序和操作指南符合法律、规则和准则的要求; (四)协助相关培训和教育部门对员工进行合规培训,包括新员工的合规培训,以及所有员工的定期合规培训,并成为员工咨询有关合规问题的内部联络部门; (五)组织制定合规管理程序以及合规手册、员工行为准则等合规指南,并评估合规管理程序和合规指南的适当性,为员工恰当执行法律、规则和准则提供指导; (六)积极主动地识别和评估与商业银行经营活动相关的合规风险,包括为新产品和新业务的开发提供必要的合规性审核和测试,识别和评估新业务方式的拓展、新客
29、户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险; (七)收集、筛选可能预示潜在合规问题的数据,如消费者投诉的增长数、13异常交易等,建立合规风险监测指标,按照风险矩阵衡量合规风险发生的可能性和影响,确定合规风险的优先考虑序列; (八)实施充分且有代表性的合规风险评估和测试,包括通过现场审核对各项政策和程序的合规性进行测试,询问政策和程序存在的缺陷,并进行相应的调查。合规性测试结果应按照商业银行的内部风险管理程序,通过合规风险报告路线向上报告,以确保各项政策和程序符合法律、规则和准则的要求; (九)保持与监管机构日常的工作联系,跟踪和评估监管意见和监管要求的落实情况。 ”16而关于
30、合规部门的组织方式,各银行之间存在着重大差异:在规模较大的银行,合规人员可能位于各营运业务线,有些国际活跃银行可能还设有集团合规官和当地合规官;在规模较小的银行,合规部门的职员可能被放在一个部门;有些银行还为数据保护、反洗钱及反恐怖融资等专业领域设立了单独的部门。 17从国际银行业的实践来看,随着对合规管理重要性认识的逐步加深,合规部门的组织结构和报告路线也在不断完善。尽管不同银行合规部门的组织结构因银行规模、经营的复杂程度、银行业务的性质及其区域分布的不同而有所不同,但就整体而言,主要存在两种组织结构:一种是集中化的组织结构,即所有负责合规工作的职员都放在一个独立的合规部门体系之中;另一种则
31、是分散化的组织结构,即负责合规工作的职员分布在不同业务部门或业务条线,但一些国际性活跃银行一般还会设有集团合规部和首席合规官,以及区域或当地合规部和合规官。集中化模式的主要特点是在银行内部形成了一个独立的合规部门体系,即在总行设立正式的合规部门,直接领导银行各分支机构(或地区总部)的合规部门。这种模式有助于发现和有效处理跨部门的合规薄弱环节。这种模式下,总行的合规部门直接向银行高级管理层(总裁或董事会主席)报告,并有权直接向董事会或其下设委员会报告;银行分支机构的合规部门则存在着两种报告路线:一种是矩阵式报告路线,即在向上一级合规主管报告的同时向所在的分支机构行政主管报告;另一种是条线式报告路
32、线,即只向上一级合规部门主管报告。根据合规部门的独立性不同,又可将采用集中化模式的银行分为两类:一类是成立单一、完全独立的合规部,如荷兰银行、德意志银行、中16 商业银行操作风险管理指引第十八条。17参见合规与银行内部合规部门 。14银香港等;另一类则是合规职能与法律、安全事务或风险管理职能等合一,形成法律及合规部或风险管理与合规部等,如渣打银行、瑞士信贷第一波士顿银行等。分散化模式主要以汇丰银行和花旗银行为代表,主要特点是:在总行设立合规部门,但在分支机构层面并不一定设立独立的合规部门,而是在各分支机构或者业务条线上建立 BUCO(Business Unit Compliance Offic
33、er)体系,即在各分支机构以及业务条线上设立合规员的岗位,各部门(或机构)负责人或资深员工担任合规员,承担所属部门的合规职责。同时,还会根据不同国家或区域化管理的需要设立合规部门,如中国区或亚太区合规部等。在报告路线上,分散化的组织结构也存在矩阵式和条线式两类报告路线。其中,汇丰银行采取了分散化的组织结构和矩阵式的汇报路线,其合规政策强调:每一个员工对合规都负有责任;每一部门的负责人对本部门的合规负有责任;每一个分行的行长是分行的合规主任,负责就本地区的合规工作,并向区域的上级业务总监进行汇报;每一业务总监对下属业务条线的合规负责。如个人业务总监对个人金融业务的合规负责,工商业务总监对工商业务
34、的合规负责,中国业务总裁对整个中国区的合规负责。同时,财务会计和税收方面的合规由财务部负责,劳动用工和福利方面的合规由人力资源部负责,而安全保障方面的合规则由物业部负责。与汇丰银行相比,花旗银行合规员则主要以条线式汇报路线为主。 18从国内银行业的现状来看,各银行一般均设有专门处理法律事务的部门(岗位) 。从我国银行业目前的实际情况来看,存在三种模式:第一种为“法规合一” ,即法律与合规的职能由一个部门来统一行使,如中国建设银行、中国银行等银行的法律与合规职能均由一个部门行使;第二种为“法规分立” ,即将法律事务部门与合规部门各自单独设置,如中国工商银行、中国农业银行既有法律事务部门,也有合规
35、部门;第三种则为将法律和合规职能交由风险部统一行使,这种模式一般存在于规模较小的银行。六、合规管理的现实选择(一)实施全面的合规管理。根据合规管理的内容,违规行为可以分为形式违法行为和实质违法行为。18 参见上海银监局课题组:中资银行合规风险管理机制建设研究 ,载于新金融2005 年第 11 期。15前者指与现行法律、规章、制度、行业惯例、合同条款等相悖的行为,后者则指在执行规范性文件时,没有基于诚实信用原则而实施的行为,比如权利滥用行为、投机行为。无论哪一种违规行为,只要达到一定程度,并且导致损失产生,都要承担法律责任;即使经过事后补救措施,没有造成财产损失,也有可能会给银行带来声誉上的损失
36、。因此,合规管理并不是简单地将银行的行为与既有法律规范条文进行对照,还包括银行及其员工必须基于善意和忠诚的理念去开展经营活动。合规管理必须与塑造企业文化和推行“依法治行”的工作紧密结合,必须通过长远的、全方位的、潜移默化且始终如一的规范意识的培育,始能臻于理想境界。(二)提高银行运作行为的合法化程度。一方面,操作不当或关系的失常最终都表现为不合适的行为,如 ATM 机吞卡和“系统失灵” ,尽管银行认为其属于事件,但从法律的角度上讲,仍属于银行怠于支付行为,属于银行对客户违约。合规管理的实质正在于确保银行行为不给客户带来损害、符合合同约定和监管机构的要求,即每一个行为都要合法和诚信。另一方面,银
37、行的资产在资产负债表上是资产,而在法律上通常表现为一种权利,比如信贷资产在法律上就是民事债权。又如,作为法律上的行为和权利,不仅需要从损益的角度来进行考量,还应当从是否“有效”的角度来进行评断。一笔贷款可能在账务上代表着数千万的资产,但如果债权是无效的,有可能分文不值。能够招致操作风险的行为不只是那些可能会导致资产增或减的行为,也包括那些会导致权利无效的行为;不仅导致损失产生的行为属于违规,导致行为效力降低的行为同样应当属于违规,因此,必须在风险控制和合规管理方面引入“有效性”的概念。操作行为化,资产权利化,而行为和权利则应有效化,这个过程就是银行经营法律化的过程。(三)法律优先于内部规则被遵
38、守“风险”是“损失”的可能性, “损失”是基于法律责任和义务而需要支付的价值。也就是说,只有在出现法律上的否定性评价时,才会产生损失。商业银行的内部人经营行为违反银行内部规定,应当承担内部纪律方面的责任,但如果该违规行为并未导致银行之外的人受损,银行并不会因此而承担赔偿责任,也不会不造成损失。比如迟到是违规行为,但这种行为并不会导致银行承担责16任,是违反内部规定但并不违法的行为。银行之所以建立完备的内部管理制度和业务操作流程,其宗旨恰恰在于确保银行在国家和社会关系中所承担的各项义务得到履行,以使银行经营行为合法,声誉不受损害。所谓内部管理制度事实上就是一套只在企业内部有效的外部公共法律的实施
39、细则,因此,才必须要与外部法律一致,且随着法律的修订而不断调整。由此可见,合规管理、行为控制的终极目标并不是内部规章制度的落实,而在于公共法律义务的适当履行。管理技巧、流程设置和激励机制是必需的,但脱离于法律的单纯内部约束却并无必要,与法律相冲突的内部制度则是违法的制度,这种制度或合规要求只会束缚员工的主观能动性甚至直接招致风险,那些虽然违规却能有效规避法律风险的行为则是需要得到肯定的。因此,合规管理应当首先和主要从法律的角度进行,不能仅仅以内部制度为参照,要“重国法,轻家规” 。(四)在坚持法律约束前提下对合规管理部门进行优化我们认为,理想的商业银行合规管理人员不仅需要精通商业银行业务,还应
40、当具备法律学科的知识背景和工作经验,或是接受过相应的法律培训。在机构设置上,银行应当建立三位一体或同属一个委员会的内部控制、合规管理与法律事务处理银行内部机构,统一行使确保银行适当履行公共义务、规范各类经营行为的职能,以在风险、内控、内部规范、业务流程、接受监管、纠纷处理等管理和操作领域发挥重要作用。事实上,法律、合规以及内控的职能统一在我国商业银行的管理实践中已经得到一定范围的认同,同时也是完善商业银行风险控制机制的发展方向。不过,由于商业银行各业务跳线都存在操作风险的问题,因此操作风险管理不可能是某一个部门能够承担的,从目前的现状来看,只能是由某一个部门或委员会负责牵头组织、推进银行整体操作风险管理工作。课题组成员:中国建设银行:王 强、侯太领17
