合規風險

1992年Treadway委員會經過多年研究，針對公司行政總裁、其他高級執行官、董事、立法部門和監管部門的內部控制進行高度概括，發佈《內部控制一整體框架》（InternaControl－IntegratedFramework）報告，即通稱的COSO報告。該報告第一部分是概括；第二部分是定義框架，完整定義內部控制，描述它的組成部分，為公司管理層、董事會和其他人員提供評價其內部控制系統的規則；第三部分是對外部團體的報告；是為報告編制報表中的內部控制的團體提供指南的補充文件；第四部分是評價工具，提供用以評價內部控制系統的有用材料。

COSO報告提出內部控制是用以促進效率，減少資產損失風險，幫助保證財務報告的可靠性和對法律法規的遵從。COSO報告認為內部控制有如下目標：經營的效率和效果（基本經濟目標，包括績效、利潤目標和資源、安全），財務報告的可靠性（與對外公佈的財務報表編制相關的，包括中期報告、合併財務報表中選取的數據的可靠性）和符合相應的法律法規。 ^[1] 

根據薩班斯法案第404節條款以及美國證券交易委員會（SEC）的相應實施標準，要求公眾公司的管理層評估和報告公司最近年度的財務報告的內部控制的有效性。2004年3月9日，PCAOB發佈了其第2號審計標準：“與財務報表審計相關的針對財務報告的內部控制的審計”，並於6月18日經SEC批准。SEC對該標準的認同等於從另外一個側面承認了1992年COSO公佈的《內部控制—綜合框架》（也稱“COSO內部控制框架”）。這也表明COSO框架已正式成為美國上市公司內部控制框架的參照性標準。

2001年底發生的安然事件等一系列財務醜聞，暴露了美國核查體系的嚴重缺陷，而上述核查體系原本是用來保護公眾公司的股東、養老金受益人和僱員的利益，並保護美國公眾對資本市場的穩定、公正的信心的，安然等一系列事件無疑嚴重動搖了公眾對會計師行業的信心。針對上述公司失敗事件，美國國會在2002年出台了《薩班斯-奧克斯利法案》，該法案為公眾公司的外部審計師們創建了一個廣泛的、新的監督體制，並將對財務報告的內部控制作為關注的具體內容。國會不僅要求管理層報告公司對財務報告的內部控制，而且要求外部審計師證實管理層報告的準確性。

在中國，2010年4月26日，財政部、證監會、審計署、銀監會、保監會等五部委剛剛聯合併發布了《企業內部控制配套指引》 ^[2]  。該配套指引包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，連同此前發佈的《企業內部控制基本規範》，標誌着適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規範體系基本建成。

為確保企業內控規範體系平穩順利實施，財政部等五部門制定了實施時間表：自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎上，擇機在中小板和創業板上市公司施行；同時，鼓勵非上市大中型企業提前執行。

這一套控制規範被稱為中國的“薩班斯法案”，自正式實施之日起，執行企業內控規範體系的企業，必須對本企業內部控制的有效性進行自我評價，披露年度自我評價報告，同時聘請具有證券期貨業務資格的會計師事務所對其財務報告內部控制的有效性進行審計，出具審計報告。註冊會計師發現在內部控制審計過程中注意到的企業非財務報告內部控制重大缺陷，應當提示投資者、債權人和其他利益相關者關注。

這些法案的推出，讓公眾公司面臨新的合規監管要求。合規管理部門需要在公司的內部控制和治理流程中，保證企業的經營行為能夠與法律、法規、政策、最佳範例或服務水平協定保持一致。而若在經營中不符合必要的標準，公司可能將面臨被罰款、要求賠償等風險，降低公司價值，影響聲譽及商業機會。 ^[1] 

合規管理的內容

有效的合規管理有助於企業應對不確定性、風險和機會，有助於保護和增加股東價值，降低未預期損失和聲譽損失的可能性。

合規管理制度建設、合規諮詢、合規審查、合規檢查、合規監測、法律法規追蹤、合規報告、反洗錢、投訴舉報處理、監管配合、信息隔離牆（監視清單與限制清單）、合規文化建設、合規信息系統建設、合規考核、合規問責等。而國際金融組織對合規的定義是：

一、合規（英文即compliance） ^[3]  ：使公司經營活動與法律、管治及內部規則保持一致；

二、與目標連用，具體指必須致力於遵守企業主體所適用的法律法規。 ^[1] 

合規管理的三個維度

合規管理中講的“合規”可以細分為三個層次：

一、規制，即遵守公司總部所在國和經營所在國的相關法律法規和行業準則；

二、規則，即遵守公司內部規章制度，包括企業價值觀、商業行為準則；

三、規範，即遵守公司內部的規範流程，包括職業道德規範。強化合規管理，就要從這三個層次上探索創新。

在這三個層次中，遵守法律法規及行業準則對企業來説是必須滿足的硬性要求。“薩班斯法案”、“COSO內部控制框架”以及國內的“企業內部控制配套指引”均對企業合規做了嚴格要求。

為了確保實現以上三個層次的合規管理，企業需要在自身的內控以及對經銷商、供應商及其他第三方合作伙伴的合規審核方面加強管理，以適應政策監管的複雜環境和不確定性，從而降低企業可能遭受的財務及聲譽損失。 ^[1] 

合規管理是指企業通過制定合規政策，按照外部法規的要求統一制定並持續修改內部規範，監督內部規範的執行，以實現增強內部控制，對違規行為進行早期預警，防範、化解、控制合規風險的一整套管理活動和機制。合規管理的目的就是通過建立一套機制，使公司能夠有效識別、評估、監測合規風險，主動避免違法違規行為發生，從而免受法律制裁或財務、聲譽等方面的損失，防範操作風險。 ^[3]  合規管理、業務管理與財務管理並稱企業管理的三大支柱，合規管理實際是內控的一個重要方面，同時也是風險管理的一個關鍵環節。 ^[3] 

第三方合規風險管理機構

由於合規管理的目標之一是需要面對政策監管進行自證清白，因此企業無論是在選擇新的合作伙伴，還是在管理現有供應商、經銷商、其他第三方合作伙伴或開展企業內控工作時，往往需要引入能給出獨立審核建議的專業風險管理機構作為獨立第三方來協助管理。而與第三方機構合作已成為國際上較通用的合規管理方式。

例如，在美國，鄧白氏是全球歷史最悠久的商業信息服務機構，也是現今美國企業徵信領域的巨頭。這家公司給企業提供的風險管理服務中就包括合規服務。資料顯示，龐大的全球商業數據庫是其核心競爭力。D&B的全球商業數據庫是全世界最大的企業信用數據庫，覆蓋逾2.4億家企業。這得益於其悠久的歷史和全球化的發展戰略，公司在19世紀後期便開始在澳大利亞、墨西哥等國設立分支機構。公司數據來源渠道廣泛，包括當地商事登記部門、黃頁、報紙和出版物、官方公報、互聯網、銀行和法庭，還通過拜訪和訪談形式收集相關信息。

在中國，隨着2013年葛蘭素史克中國行賄事件被揭露，合規管理在國內尤其是在跨國企業中得到了空前的重視，特別在醫藥行業的影響力尤為廣泛和持久。因此，外資背景的風險管理機構在中國的合規管理業務逐漸成為了熱門。還拿鄧白氏舉例，他們在中國的子公司華夏鄧白氏在2013年葛蘭素史克事件（簡稱GSK事件）發生之前就已經在為許多外資企業提供合規報告，而GSK事件發生後，華夏鄧白氏利用其母公司鄧白氏在全球的數據庫網絡，提供的合規服務更是將核查範圍覆蓋到了國內外，不僅國內媒體及訴訟信息基本上都能查到，同時還能查詢美國、英國、澳大利亞、歐盟、聯合國安理會等多個國家及國際組織發佈的制裁名單、政治敏感人物（PEP）等信息。許多外資企業都在通過鄧白氏的合規報告來調查他們的供應商、經銷商等第三方的合規情況。

除了通過合規報告調查合作伙伴的合規性，企業往往還會採取的方法之一就是對重點對象進行合規盡職調查，比如制度規章對標、流程評估優化等。另外，對於經銷商管理中常常會出現的返利補償金問題，以及對於醫藥企業而言經常會做的會議贊助活動中涉及到的合規管理問題，企業通常都需要通過第三方風險管理機構來提供專門的審核服務並出具獨立意見，從而幫助企業監管內外部的合規問題。 ^[1] 

廣泛持續收集合規風險信息，進行必要的篩選，比較，分類，組合等，有效識別合規風險。合規風險信息應實施動態管理。

傳統的銀行風險包括信用風險、市場風險、操作風險三大風險，合規風險是基於三大風險之上的更基本的風險。合規風險與銀行三大風險既有不同之處，又有緊密聯繫。其不同之處是：合規風險簡單地説是銀行做了不該做的事（違法、違規、違德等）而招致的風險或損失，銀行自身行為的主導性比較明顯。而三大風險主要是基於客户信用、市場變化、員工操作等內外環境而形成的風險或損失，外部環境因素的偶然性、刺激性比較大。其聯繫之處在於：合規風險是其他三大風險特別是操作風險存在和表現的重要誘因，而三大風險的存在使得合規風險更趨複雜多變而難於禁控，且它們的結果基本相同，即都會給銀行帶來經濟或名譽的損失。 過去，商業銀行通常把合規風險視同於操作風險，多注重於在業務操作環節和操作人員上去設關卡，其結果並不奏效，操作風險仍然在銀行內部人員中大量存在並不斷變換手法。這就説明，簡單地把合規風險等同於操作風險的認識是不全面和不準確的。雖然大量的操作風險主要表現在操作環節和操作人員身上，但其背後往往潛藏着操作環節的不合理和操作人員缺乏合規守法意識。而銀行合規風險在絕大多數情況下發端於銀行的制度決策層面和各級管理人員身上，往往帶有制度缺陷和上層色彩。因此，就現實情況而言，銀行即使防範了基層機構人員操作風險的發生也未必能防範制度或管理上合規風險的發生。所以，對合規風險一定要格外重視，因為它有時造成的危害和損失比一般操作風險要大很多。

合規風險管理是指銀行主動避免違規事件發生，主動發現並採取適當措施糾正已發生的違規事件，其崗位手冊也是一個相關制度和相應做法持續修訂的週而復始的循環過程。這一合規風險管理的過程，是構建銀行有效的內部控制機制的基礎和核心。

合規風險管理根據巴塞爾銀行監管委員會關於合規風險的界定，銀行的合規特指遵守法律、法規、監管規則或標準。傳統的操作風險、信用風險和市場風險這三大類風險有可能對銀行資本造成損失，但合規風險主要判別在於銀行經營過程是守法還是違法。近年來"曝光"的銀行內部的一些案件，恰恰説明"合規文化"在我國銀行業的膚淺或缺失，“合規文化”的管理理念還遠遠沒有浸潤到銀行的日常管理和決策中。

中國銀監會上海監管局局長王華慶強調，當前商業銀行“合規文化”建設的核心是合規機制的建設，組建相對獨立的合規部門。必須改變長期以來的粗放式管理套路，儘快建設透徹的“合規文化”，在運營管理的每個細節和環節上始終堅持以是否合規來判斷和決策，進而逐步形成商業銀行經營管理全新的"合規文化傳統"。

國外商業銀行大都設有合規部門，其職責包括合規風險的識別、監測、評估與報告，及時發現並制止風險產生以及由此造成的破壞；梳理整合銀行的各項規章制度、合規培訓、參與銀行的組織構架和業務流程再造、為新產品提供合規支持。對國內大多數商業銀行而言，構建合規風險管理機制任重而道遠。最明顯的問題是沒有單設的合規部門，或者其職能由審計部門、法律事務部或監察部門分擔，而具體職能定位還只限於按照監管當局的要求進行的例行檢查，對於如何建立有效的合規制度沒有必要的準備。因此，商業銀行培育"合規文化"，建立合規風險管理機制勢在必行。

2005年4月29日國際巴塞爾銀行監管委員會發佈了《合規與銀行內部合規部門》的高級文件，提出了銀行合規管理與合規部門建設的10項指導原則，可以説這是為國際銀行業的合規管理確立了一個標準。

合規是銀行業一項核心的風險管理活動，健全、有效的合規風險管理機制，是實施以風險為本監管的基礎。商業銀行可以從以下五方面構建合規風險管理機制。

一、樹立主動合規意識，克服被動合規心理。合規是銀行業穩健運行的基本內在需求，也是銀行文化的重要組成部分。

1.在銀行員工中樹立合規人人有責、主動合規意識、合規創造價值等理念，讓員工接觸到每一筆業務時，就要想到必須進行合規風險的審查，倡導主動發現和暴露合規風險隱患或問題，以便及時整改。

2.合規文化是由一整套的制度、方法和工具支持的，這需要銀行加強規章制度的後評價。針對發現的問題相應地在業務政策、行為手冊和操作程序上進行適當的改進，以避免任何類似違規事件的發生和糾正已發生的違規事件，並對相關責任人給予必要的懲戒措施。如果發現了合規風險而隱瞞不報，一旦被內審部門或外部監管者查實，隱瞞不報者一定要受到更加嚴厲的懲罰；而對於主動報告問題或隱患的，則可以視情況減輕處罰，甚至免責乃至給予獎勵。

3.要將績效考核機制作為培育合規文化的重要組成部分，以充分體現商業銀行倡導合規經營和懲處違規的價值觀念。

二、制定合規政策，組建合規部門。合規部門是支持、協助銀行高級管理層做好合規風險管理的獨立職能部門，一線業務部門對合規負有直接的責任，高級管理層對銀行合規經營負有最終的責任。構建商業銀行合規風險管理機制，需要設立專職的合規部門，並且要確保合規部門不受干擾地發現、調查問題，讓合規人員及時地參與到銀行組織架構和業務流程的再造過程，使依法合規經營原則真正落實到業務流程的每一個環節乃至每一位員工。同時，要制定和核準一個符合商業銀行自身特點且行之有效的合規政策，它是銀行合規風險管理的綱領性文件；通過實踐積累經驗，摸索出一條有效管理合規風險的運行機制和治理操作風險的治本良策。但必須明確：切忌將合規部門的工作到位與否作為銀行各業務部門和高級管理層推卸責任的藉口，合規部門絕不能成為高級管理層和其他部門責任追究的“替罪羊”。

三、建立舉報監督機制。要在員工中樹起依法合規經營和控制合規風險的意識，必須建立舉報監督機制，為員工舉報違規、違法行為提供必要的渠道和途徑，並建立有效的舉報保護和激勵機制。

四、建立風險評估機制。要儘快建立健全和完善風險識別和評估體系，認真借鑑國際先進經驗，積極運用現代科技手段，建立健全覆蓋所有業務風險的監控、評估和預警系統，重視早期預警，認真執行重大違約情況登記和風險提示制度。

五、將合規風險管理機制建立在“流程銀行”基礎之上。要徹底打破以往承傳多年的在穩定和封閉的市場環境中、在金融產品單一的計劃經濟時期形成的“部門銀行”體制，打破各部門條塊分割、各管一段的部門風險管理模式，有效避免各自為政、相互扯皮現象，建立以客户需求為中心的統一封閉流程，以既服務好客户、又控制好包括合規風險在內的各種風險為原則，優化和精簡業務流程。