商业银行合规风险研究(一)

商业银行合规风险研究(一)

合规风险的有效管理除了能保障商业银行遵纪守法、审慎经营之外，更有助于商业银行维护良好声誉、提升自身品牌价值、增强核心竞争力。因此，各国监管机构和一些国际性组织都致力于促进商业银行建立有效的合规风险管理体系，国际银行业也高度重视合规风险管理机制的建设。目前我国商业银行的合规工作刚刚起步，对于合规风险的管理尚在探索之中，在认识上仍存在着许多混乱。而有什么样的风险认识，就有什么样的风险管理水平。为了构建高效的合规风险管理体系，有必要对合规风险进行准确界定，厘清合规风险与其他相关风险的关系，合理设置商业银行合规风险管理的组织架构。

（一）合规风险的提出

在我国，“合规”一词实为泊来品，是由英文“compliance”翻译而来，“compliance”的原意为“遵守、服从”，合规风险英文原为“compliancerisk”。至于中文“合规”的肇始，尚有待于进一步的考证。权威的汉语词典中还尚未收录“合规”的相关条目，“合规”的提法只不过是众口相传而已。尽管我国商业银行在经营管理中经常提及“合规”一词，但并没有形成一个统一的认识，对它的理解往往是模糊和不严谨的，很多解释仅仅停留在表面。例如，有人将合规理解为银行及其分支机构的经营管理行为必须符合银行总行制定的规章制度；有人将合规简单地理解为合乎规定，而规定应包括哪些内容，应该限定到哪个层级，就不得而知了；还有些人将合规风险视为操作

风险的一种，将合规风险管理职能与内审、稽核职能混同在一起。究其根源，前述认识误区的形成是由于对合规风险的理解不准确或不充分，不能恰当地定性合规风险。

（二）合规的源起

合规实际上最早发源于美国。1973年，美国总统尼克松因“水门事件”而下台，其竞选班底被查出将带有贿赂性质的非法政治捐款通过清洗变为合法的政治捐款，该洗钱行为成为人们关注的焦点。这之后美国企业走私、贿赂、舞弊的丑闻频频曝光，沉重打击了投资者对美国市场的信心。在这一背景下，美国的监管机构开始提出企业的合规问题以及对企业的反洗钱合规要求。

为了推动企业的合规风险管理，1987年的美国《联邦审判指南》首次将企业犯罪的量刑与合规风险管理挂钩。根据《联邦审判指南》的规定，如果触犯法律的企业已经建有合规框架预防和监测合规风险，联邦法官在量刑或判决时，可以减轻对该企业刑罚，包括减少罚款、免于刑事诉讼等。企业高管人员在民事诉讼中还可将合规风险管理机制的建立作为抗辩事由，罚金甚至可以减少95%。

2001年“9.11”事件后，反恐融资成为合规风险监管的一个重要领域，美国国会迅速通过《爱国者法》，显著地增加了商业银行的反洗钱职责，扩大到了检测、终止（在可能的范围内）并报告恐怖分子的金融方案。如果不能充分地满足这些要求，就会显著地增加银行的合规风险，银行常常会因为“协助及教唆”、“有意蒙蔽”等指控而遭

受沉重的罚金、侵入式外部监管甚至刑罚。

2002年美国安然与世通破产案中，摩根、花旗、美银、瑞信等国际银行均遭受了集体诉讼。投资者指控它们为其贷款客户安然与世通公司隐瞒债务、虚增盈利、财务欺诈、指使分析师发表不实股评报告，最后这些银行不得不向投资者支付了上百亿美元的赔偿金。因而为了强化合规风险监管，2002年7月美国颁布了《萨班斯—奥克斯利法案》，对在美国上市的公司设置了极为严苛的公司治理、财务和信息披露等多方面的合规门槛。这之后，合规风险普遍为各国监管机构所重视，国际商业银行也逐步加强对合规风险的管理。

（三）合规风险的界定

1.巴塞尔委员会的解释。巴塞尔委员会2005年发布了《合规与银行合规职能》，尝试着提出一个较为宽泛的合规框架和基本指引，供各国监管机构和各商业银行参考和选择适用。巴塞尔委员会将合规风险定义为，因银行未能遵守所有适用的法律、法规、监管规则、自律性组织的标准以及行为准则（简称为“法律、规则和标准”）等可能给银行带来的法律制裁、监管处罚、重大财务损失和声誉损失等风险。为了避免合规风险的定义过于宽泛而造成的合规虚无化，巴塞尔委员会特别指出，合规风险监管和管理的目的是力求商业银行遵循法律的规定以及法律的精神。可见，合规风险的监管与管理始终是被置于“守法”这一大框架之下的。

2.各国监管机构的看法。美国联邦储备委员会对合规风险的界定

与巴塞尔委员会大致相同（FED，2008）。英国金融服务局则特别强调监管规则对于合规风险的重要意义，他们认为合规风险并不限于银行因违反特定的法案而受到制裁的风险，还应当包括由于银行的经营被置于一定的监管目标之下而面临的风险（FSA，2007）。新加坡货币管理局没有直接使用合规风险一词，而是将合规风险纳入了法律风险的范围之内，特别指出法律风险包括金融机构因参与洗钱和恐怖融资活动的倾向而导致的风险。

3.国际银行的理解。汇丰、花旗、摩根大通、德意志银行等诸多国际大银行对合规风险的描述大体相同，都是指由于银行没有充分遵循相关法律法规和监管要求可能引致法律制裁或监管处罚，最终产生财务损失或声誉损失的风险。也有一些国际银行没有对合规风险给出具体定义，但明确指出合规风险包含在法律风险之中，例如日本瑞穗金融集团。普遍的认识是，合规的重点在于确保商业银行的业务和经营遵循各种监管规则，包括中央银行、银行监管部门、证券监管部门、财政部、司法部等机构颁布的监管规则。

4.本文的定义。对合规风险明确恰当的界定，将有益于合规风险的识别与监测。通过考察合规的起源以及关于合规风险的各种解释，可以看出，合规的前提是守法，重点是遵循监管要求。巴塞尔委员会的原则和框架只是一种参考，各国际银行还是结合本国的监管实践和银行的实际情况因地制宜地具体界定合规风险。综上，本文认为，对合规风险的合理定义应是，商业银行因违反有关外部性规则而产生财

务损失、监管处罚、法律制裁和声誉损失的风险。这里，外部性规则指的是适用于商业银行的法律、法规、监管规则和行业准则。其中，合规风险的一个重要来源是银行的业务经营违反了监管规则。这是因为现实当中合规是在监管机构的推动下诞生的，商业银行的合规风险管理与监管要求密切相关。

（四）误区的澄清

1.合规风险≠操作风险。目前有一种倾向将市场风险和信用风险之外的所有风险都称为操作风险，操作风险简直是无所不包，合规风险也被视为操作风险的一种，这显然是不正确的。这一模糊的定义在实践中引起了许多冲突和分歧，不利于风险的有效识别、监测和管理。实际上，操作风险和合规风险有着本质的不同。操作风险是由于银行的流程、人员、系统、技术的不完善或失败等引发的风险，根源是银行内部控制及公司治理机制的失效。诸如员工责任心不强、产品流程漏洞、流程执行不严、软硬件故障等，都会带来操作风险。而合规风险则是因为银行违反法律、法规、监管规则、行业准则等外部性规定而导致的风险，根源是银行战略、经营、业务的违法违规性。例如，银行的跨国战略受到的母国与东道国双重监管发生冲突，综合化经营涉及到不同监管机构之间的灰色监管地带，新产品和新服务在开发之初超越了既有的监管政策等，都会带来合规风险。

2.合规≠遵循银行内部的规章制度。应当注意的是，不能将合规与遵循银行内部规章制度混为一谈。二者的区别为：前者是指商业银