商业银行合规风险管理的困境与突破

刘红林

自2005年上海银监局要求在沪中资商业银行开展合规风险管理以来，经过监管机构和商业银行的共同努力，中资商业银行的合规风险管理已取得了长足进步。但与期望相比，部分商业银行的合规风险管理状况不甚理想；特别是随着合规风险管理的深入发展，遇到越来越多的困境急需突破。

商业银行合规风险管理目前的困境

合规风险管理的定位不清晰

合规风险管理与业务发展的关系难以摆正。“依法合规经营”是许多商业银行的经营要求，甚至是部分商业银行的办行宗旨。这充分反映了商业银行在价值追求上对合规风险管理的重视。但由于合规风险管理不能直接创造利润，不能当期产生价值，甚至可能会放弃一些业务机会和短期利益，而其本身又需要一定的成本。由此，在实践中，属于长期内功修炼的合规风险管理往往屈从于当前的发展压力。其结果就是在文件上、在制度上、在会议上，都高调强调、严格规定、大讲特讲合规风险管理的重要性、必要性和操作性，但在实际的经营管理中，却屡屡漠视规则，甚至明知违规而为之。

合规风险管理与操作风险管理、内部控制管理的关系难以理清。近几年，监管机构先后推出了《商业银行内部控制指引》、《商业银行合规风险管理指引》、《商业银行操作风险管理指引》等文件。这些文件为提高商业银行内部管理水平和效果发挥了非常重要的作用，但并没有规定这些文件所针对的风险管理之间的关系。由此，导致商业银行在落地实施各类风险管理时，无法准确、清晰的区分这几种风险管理各自的内涵、职能和边界，也就无法有效的处理这几种风险管理的关系，结果是不同的商业银行，或同一个商业银行内部因为总行或分行主要行领导的不同，内控管理、合规风险管理和操作风险管理的贯彻执行程度等都相互不同。带有较大的随意性和人治色彩。

合规组织条线在商业银行公司治理结构中的地位难以独立。鉴于有效实施合规风险管理的难度，巴塞尔《合规与银行内部合规部门》，中国银监会《商业银行合规风险管理指引》都强调合规部门的独立性。但问题是，独立性存在形式独立和实质独立的区别，而实质独立性是有效开展合规风险管理的基本前提。要实现实质独立，需要处理好合规部门的上级领导与其同级行领导之间的关系，需要处理好合规部门与同级部门之间的关系，需要处理好上下级合规部门之间的关系。在中国这样一个崇尚权力的文化背景下，要真正处理好这些关系是非常不容易的。

合规部门与操作、内控、稽核、纪检监察等部门的职责难以分清。由于合规风险管理的职能不清晰，内涵和外延也不明确，导致合规部门与操作、内控、稽核、纪检监察等部门的职责无法完全分清。这种状况，导致在各部门履行职责时，会存在一定的重叠，其结果是对一些事情，或者是多部门共同管理，或者是各部门相互推诿。一些商业银行为解决这个问题，或是合并设置相应主管部门，如设置合规与操作风险管理部、内控合规部；或是合并一些部门的职责，如合规部承担内部检查、内部监察等职责。这种变通处理，可以解决一些问题，但与风险管理的三道防线原则、与合规部门独立性原则等风险管理基本规则是相矛盾的。

合规风险管理的规则不明确

合规风险管理如何开展的规则不具体。一方面，在我国商业银行界，作为一种独立的风险管理，合规风险管理还是源于监管机构的推动。上海银监局2005年《上海银行业金融机构合规风险管理机制建设的指导意见》拉开了中资商业银行合规风险管理的序幕，中国银监会2006年《商业银行合规风险管理指引》则推动中资商业银行合规风险管理进入了主戏。但在这两个文件之后，再没有制订具有操作性的，指引商业银行开展合规风险管理的相应法规。这如同一场缺乏推动进入高潮剧段的戏剧。在没有适合的“规”可依的情况下，各商业银行对合规风险管理也只能大胆规划、小心行事，而无法可依的状况始终是一把达摩克利斯之剑，是合规风险管理的“短板”。另一方面，根据2005年“十一五规划”纲要，我国将“稳步推进金融业综合化经营试点”的规划。目前国内大部分商业银行都在积极朝综合化经营方向努力，并已略有成效。但由于目前金融监管的格局是中国银监会、中国证监会、中国保监会三足鼎立，随着综合经营的全面深入发展，如不改进现有的监管机制，监管标准的协调一致很难达成，这无疑也加重综合化经营商业银行合规风险管理的负担。

合规风险管理事项所涉及的制度依据部分比较模糊。由于种种原因，我国的法律法规常常是言而不尽，对一些事项要么是规定的比较模糊，要么是干脆就不作规定。同时，对是“法不禁止即允许”，还是“法无规定允许即禁止”也没有明确态度。这种情况，给商业银行的合规风险管理带来许多难题。特别在一些业务创新领域，国家立法仍是处于空白状态或只有不成体系、不尽明确的规定，都给新业务、新产品的合规性论证工作带来了困难。

合规风险管理的技术相对落后

金融市场开放步伐和金融工具创新步伐不断加快，对合规风险管理技术提出了更高的要求。但目前商业银行合规风险管理技术和工具还比较落后，不能对有限的信息资源进行技术处理，难以对合规风险管理形成有效的支撑。表现在：事后被动处理多，事前主动防范少；定性分析多，定量分析少；静态分析多，动态分析少；立足局部分析多，站在全局分析少；手工操作多，系统处理少。这种缺乏先进的风险管理技术来科学规避风险的状况，既影响了合规风险管理的深入有效开展，又无法实现合规风险防范和业务发展的动态平衡。

商业银行合规监管的突破方向

要实现合规风险管理“主动合规”、“人人合规”、“事事合规”的目标，需要监管机构和商业银行的共同努力。离开监管机构的推动，商业银行的合规风险管理将难成气候；离开商业银行的探索，监管机构的合规风险管理将会是无本无源、难以发展。

监管机构应推动合规监管，创造环境

进一步清晰合规风险管理的定位。建议监管机构明确规定，在商业银行风险管理体系中合规风险管理作为一种独立的风险管理，同时也是一种必须强制性开展的风险管理，以加大商业银行合规风险管理的力度。

进一步明确合规风险管理的要求。建议监管机构明确规定商业银行合规负责人的地位。如《保险公司合规管理指引》中就规定了“合规负责人是公司高级管理人员”。明确规定合规条线的人员配备要求。如《银行业金融机构内部审计指引》就明确规定了内审人员应占银行员工总数1％的配备。明确规定合规风险管理在商业银行内部的考核要求，使此考核棒有效引导合规风险管理的实施。

进一步强化合规风险管理的监管。《商业银行合规风险管理指引》规定了：将商业银行合规风险管理状况作为分类监管的依据。但这一规定过于原则，建议应进一步细化，付诸操作，以体现监管机构的态度。

进一步引导合规风险管理的发展。合规风险管理是一种新型的风险管理，商业银行没有经验，也没有借鉴，靠自己摸索，成本高效益低。建议监管机构通过组织研讨、培训，发布指引等多方式，引导商业银行合规风险管理的发展和走向，避免走弯路。

进一步推动金融法制建设。建议完善《商业银行合规风险管理》，使其更具有可操作性。完善与商业银行经营管理有关的其他法律法规，尽量做到法规和谐、法条详实、法意确定、要求具体。监管机构可以先从自身制订的规范性文件开始，再逐步影响其他的立法部门。在法律法规的完善尚难到位时，对商业银行个别事项的请示，及时给予准确、具体的答复。

商业银行需务实探索，抓出实效

根据目前的金融环境，商业银行合规风险管理建设的重点还是集中在以下五个方面：在理念上，要推动各机构、各员工由被动要求合规管理转变为主动实施合规管理；在架构上，要推动合规风险管理体系从局部管理转变为全面管理；在机制上，要推动合规风险管理机制从单纯目标管理转变为过程管理；在技术上，要推动合规风险管理技术从定性管理转变为定量管理，从手工管理转变为IT管理；在团队上，要打造专业化、专家化的合规风险管理团队。具体而言，主要体现在以下几个方面：

有能促进合规风险管理持续发展的长远规划。合规风险管理是一个慢功夫，需要长期的坚持、长期的积累，这就需要商业银行有一个明确的目标，科学的规划，持续的发展。目前，有些商业银行为推动合规风险管理长远发展，分别制定了《三年计划》、《五年纲要》等类似文件。这些文件大多数都是有利于促进合规风险管理长期持续发展的。

当然，这些文件的真正有效，需要满足以下条件：符合监管政策；符合本行发展目标和发展思路；满足本行风险管理需要；措施得当且有连续性；获得主要行领导的认同；合规部门特别是部门负责人长期坚持。

获得内部各机构、员工最广泛的支持。合规风险管理涉及面广，一些工作还可能会影响到部分机构的当期利益，这些都给合规风险管理的带来一定的负面影响。这就要求合规风险管理，必须做出看得见摸得着的实效，从而获得最广泛的支持。

要获得大多数部门和大多数员工的真正支持，需要合规部门认真处理好合规风险管理与业务发展的关系。合规管理与业务发展如同肌肤。没有皮肤，肉不成肉；没有肌肉，皮是干皮。没有业务的发展，合规风险管理是空对空；没有合规风险管理，业务发展将变成洪水泛滥，后果不堪设想。合规风险管理与业务发展的这种关系，要求合规部门在处理两种的关系时，应坚持以下两个准则：其一是合规风险管理应全覆盖、全过程、全员。合规性目标是商业银行自身实现其战略目标、经营目标、信息披露报告目标的基础，覆盖风险管理的所有方面。商业银行内部各项经营及管理活动的全过程都须符合法律法规的要求。其二是合规风险管理应控制风险、促进发展。风险管理的根本目标是规范发展而不是限制发展。因此，合规风险管理不能为了控制风险而控制风险，而应把握好容忍度。这就要求我们：一是合规风险管理应立足于帮助企业规范、有序发展。合规部门应认识到，合规风险管理和业务部门不是对立的，不是事事都要求、命令或阻止业务部门；而是应多站在业务部门的角度，帮助业务部门分析问题，解决问题。二是应做好风险等级分类，对于红线类的应坚决禁止，对于黄色类的应有取有舍、积极规范，对于绿色类的应日常监测，防范操作风险。三是在提出风险管理措施时，应既要能够控制风险，又要便于操作。这个“度”的把握，对合规风险管理条线来说，是一个很高的要求，需要合规部门和合规人员努力实现。

融入本行的主流活动、主流业务。商业银行是企业，追求利润是资本的本性也是生存发展的必需。这就决定了创利部门、创利条线以及直接服务于创利的部门和条线是商业银行的主流。合规风险管理应全面覆盖到商业银行的经营管理，但在不同的时期，一家商业银行有不同的重点、不同的主流，合规风险管理要有敏感性，要能服务于、支持于主流。如此，才能有效体现合规风险管理的价值。

持续推出能推动管理进步的有效措施。监管机构的支持、管理层的重视、相关机构的配合，都是合规风险管理成功的外在条件；要真正搞好合规风险管理，更需要合规管理部门要有思路、有方法、有措施，推动合规风险管理一步步发展、一步步成熟。

扎实提高合规风险管理技术。在提高管理技术方面，商业银行大有可为。如：梳理经营管理活动的各项流程，促使合规风险管理嵌入经营管理流程之中，提高管理的及时性。制订管理标准，明确各机构合规风险管理的职责和要求，提高管理的明确性。抓好合规风险管理数据，及时了解合规风险管理的分布和变化，提高管理的针对性。开发合规风险管理IT系统，提高管理的科技性。

（作者单位：中国民生银行法律与合规事务部）