劉紅林

自2005年上海銀監(jiān)局要求在滬中資商業(yè)銀行開展合規(guī)風險管理以來，經過監(jiān)管機構和商業(yè)銀行的共同努力，中資商業(yè)銀行的合規(guī)風險管理已取得了長足進步。但與期望相比，部分商業(yè)銀行的合規(guī)風險管理狀況不甚理想；特別是隨著合規(guī)風險管理的深入發(fā)展，遇到越來越多的困境急需突破。

商業(yè)銀行合規(guī)風險管理目前的困境

合規(guī)風險管理的定位不清晰

合規(guī)風險管理與業(yè)務發(fā)展的關系難以擺正。“依法合規(guī)經營”是許多商業(yè)銀行的經營要求，甚至是部分商業(yè)銀行的辦行宗旨。這充分反映了商業(yè)銀行在價值追求上對合規(guī)風險管理的重視。但由于合規(guī)風險管理不能直接創(chuàng)造利潤，不能當期產生價值，甚至可能會放棄一些業(yè)務機會和短期利益，而其本身又需要一定的成本。由此，在實踐中，屬于長期內功修煉的合規(guī)風險管理往往屈從于當前的發(fā)展壓力。其結果就是在文件上、在制度上、在會議上，都高調強調、嚴格規(guī)定、大講特講合規(guī)風險管理的重要性、必要性和操作性，但在實際的經營管理中，卻屢屢漠視規(guī)則，甚至明知違規(guī)而為之。

合規(guī)風險管理與操作風險管理、內部控制管理的關系難以理清。近幾年，監(jiān)管機構先后推出了《商業(yè)銀行內部控制指引》、《商業(yè)銀行合規(guī)風險管理指引》、《商業(yè)銀行操作風險管理指引》等文件。這些文件為提高商業(yè)銀行內部管理水平和效果發(fā)揮了非常重要的作用，但并沒有規(guī)定這些文件所針對的風險管理之間的關系。由此，導致商業(yè)銀行在落地實施各類風險管理時，無法準確、清晰的區(qū)分這幾種風險管理各自的內涵、職能和邊界，也就無法有效的處理這幾種風險管理的關系，結果是不同的商業(yè)銀行，或同一個商業(yè)銀行內部因為總行或分行主要行領導的不同，內控管理、合規(guī)風險管理和操作風險管理的貫徹執(zhí)行程度等都相互不同。帶有較大的隨意性和人治色彩。

合規(guī)組織條線在商業(yè)銀行公司治理結構中的地位難以獨立。鑒于有效實施合規(guī)風險管理的難度，巴塞爾《合規(guī)與銀行內部合規(guī)部門》，中國銀監(jiān)會《商業(yè)銀行合規(guī)風險管理指引》都強調合規(guī)部門的獨立性。但問題是，獨立性存在形式獨立和實質獨立的區(qū)別，而實質獨立性是有效開展合規(guī)風險管理的基本前提。要實現實質獨立，需要處理好合規(guī)部門的上級領導與其同級行領導之間的關系，需要處理好合規(guī)部門與同級部門之間的關系，需要處理好上下級合規(guī)部門之間的關系。在中國這樣一個崇尚權力的文化背景下，要真正處理好這些關系是非常不容易的。

合規(guī)部門與操作、內控、稽核、紀檢監(jiān)察等部門的職責難以分清。由于合規(guī)風險管理的職能不清晰，內涵和外延也不明確，導致合規(guī)部門與操作、內控、稽核、紀檢監(jiān)察等部門的職責無法完全分清。這種狀況，導致在各部門履行職責時，會存在一定的重疊，其結果是對一些事情，或者是多部門共同管理，或者是各部門相互推諉。一些商業(yè)銀行為解決這個問題，或是合并設置相應主管部門，如設置合規(guī)與操作風險管理部、內控合規(guī)部；或是合并一些部門的職責，如合規(guī)部承擔內部檢查、內部監(jiān)察等職責。這種變通處理，可以解決一些問題，但與風險管理的三道防線原則、與合規(guī)部門獨立性原則等風險管理基本規(guī)則是相矛盾的。

合規(guī)風險管理的規(guī)則不明確

合規(guī)風險管理如何開展的規(guī)則不具體。一方面，在我國商業(yè)銀行界，作為一種獨立的風險管理，合規(guī)風險管理還是源于監(jiān)管機構的推動。上海銀監(jiān)局2005年《上海銀行業(yè)金融機構合規(guī)風險管理機制建設的指導意見》拉開了中資商業(yè)銀行合規(guī)風險管理的序幕，中國銀監(jiān)會2006年《商業(yè)銀行合規(guī)風險管理指引》則推動中資商業(yè)銀行合規(guī)風險管理進入了主戲。但在這兩個文件之后，再沒有制訂具有操作性的，指引商業(yè)銀行開展合規(guī)風險管理的相應法規(guī)。這如同一場缺乏推動進入高潮劇段的戲劇。在沒有適合的“規(guī)”可依的情況下，各商業(yè)銀行對合規(guī)風險管理也只能大膽規(guī)劃、小心行事，而無法可依的狀況始終是一把達摩克利斯之劍，是合規(guī)風險管理的“短板”。另一方面，根據2005年“十一五規(guī)劃”綱要，我國將“穩(wěn)步推進金融業(yè)綜合化經營試點”的規(guī)劃。目前國內大部分商業(yè)銀行都在積極朝綜合化經營方向努力，并已略有成效。但由于目前金融監(jiān)管的格局是中國銀監(jiān)會、中國證監(jiān)會、中國保監(jiān)會三足鼎立，隨著綜合經營的全面深入發(fā)展，如不改進現有的監(jiān)管機制，監(jiān)管標準的協(xié)調一致很難達成，這無疑也加重綜合化經營商業(yè)銀行合規(guī)風險管理的負擔。

合規(guī)風險管理事項所涉及的制度依據部分比較模糊。由于種種原因，我國的法律法規(guī)常常是言而不盡，對一些事項要么是規(guī)定的比較模糊，要么是干脆就不作規(guī)定。同時，對是“法不禁止即允許”，還是“法無規(guī)定允許即禁止”也沒有明確態(tài)度。這種情況，給商業(yè)銀行的合規(guī)風險管理帶來許多難題。特別在一些業(yè)務創(chuàng)新領域，國家立法仍是處于空白狀態(tài)或只有不成體系、不盡明確的規(guī)定，都給新業(yè)務、新產品的合規(guī)性論證工作帶來了困難。

合規(guī)風險管理的技術相對落后

金融市場開放步伐和金融工具創(chuàng)新步伐不斷加快，對合規(guī)風險管理技術提出了更高的要求。但目前商業(yè)銀行合規(guī)風險管理技術和工具還比較落后，不能對有限的信息資源進行技術處理，難以對合規(guī)風險管理形成有效的支撐。表現在：事后被動處理多，事前主動防范少；定性分析多，定量分析少；靜態(tài)分析多，動態(tài)分析少；立足局部分析多，站在全局分析少；手工操作多，系統(tǒng)處理少。這種缺乏先進的風險管理技術來科學規(guī)避風險的狀況，既影響了合規(guī)風險管理的深入有效開展，又無法實現合規(guī)風險防范和業(yè)務發(fā)展的動態(tài)平衡。

商業(yè)銀行合規(guī)監(jiān)管的突破方向

要實現合規(guī)風險管理“主動合規(guī)”、“人人合規(guī)”、“事事合規(guī)”的目標，需要監(jiān)管機構和商業(yè)銀行的共同努力。離開監(jiān)管機構的推動，商業(yè)銀行的合規(guī)風險管理將難成氣候；離開商業(yè)銀行的探索，監(jiān)管機構的合規(guī)風險管理將會是無本無源、難以發(fā)展。

監(jiān)管機構應推動合規(guī)監(jiān)管，創(chuàng)造環(huán)境

進一步清晰合規(guī)風險管理的定位。建議監(jiān)管機構明確規(guī)定，在商業(yè)銀行風險管理體系中合規(guī)風險管理作為一種獨立的風險管理，同時也是一種必須強制性開展的風險管理，以加大商業(yè)銀行合規(guī)風險管理的力度。

進一步明確合規(guī)風險管理的要求。建議監(jiān)管機構明確規(guī)定商業(yè)銀行合規(guī)負責人的地位。如《保險公司合規(guī)管理指引》中就規(guī)定了“合規(guī)負責人是公司高級管理人員”。明確規(guī)定合規(guī)條線的人員配備要求。如《銀行業(yè)金融機構內部審計指引》就明確規(guī)定了內審人員應占銀行員工總數1％的配備。明確規(guī)定合規(guī)風險管理在商業(yè)銀行內部的考核要求，使此考核棒有效引導合規(guī)風險管理的實施。

進一步強化合規(guī)風險管理的監(jiān)管?！渡虡I(yè)銀行合規(guī)風險管理指引》規(guī)定了：將商業(yè)銀行合規(guī)風險管理狀況作為分類監(jiān)管的依據。但這一規(guī)定過于原則，建議應進一步細化，付諸操作，以體現監(jiān)管機構的態(tài)度。

進一步引導合規(guī)風險管理的發(fā)展。合規(guī)風險管理是一種新型的風險管理，商業(yè)銀行沒有經驗，也沒有借鑒，靠自己摸索，成本高效益低。建議監(jiān)管機構通過組織研討、培訓，發(fā)布指引等多方式，引導商業(yè)銀行合規(guī)風險管理的發(fā)展和走向，避免走彎路。

進一步推動金融法制建設。建議完善《商業(yè)銀行合規(guī)風險管理》，使其更具有可操作性。完善與商業(yè)銀行經營管理有關的其他法律法規(guī)，盡量做到法規(guī)和諧、法條詳實、法意確定、要求具體。監(jiān)管機構可以先從自身制訂的規(guī)范性文件開始，再逐步影響其他的立法部門。在法律法規(guī)的完善尚難到位時，對商業(yè)銀行個別事項的請示，及時給予準確、具體的答復。

商業(yè)銀行需務實探索，抓出實效

根據目前的金融環(huán)境，商業(yè)銀行合規(guī)風險管理建設的重點還是集中在以下五個方面：在理念上，要推動各機構、各員工由被動要求合規(guī)管理轉變?yōu)橹鲃訉嵤┖弦?guī)管理；在架構上，要推動合規(guī)風險管理體系從局部管理轉變?yōu)槿婀芾恚辉跈C制上，要推動合規(guī)風險管理機制從單純目標管理轉變?yōu)檫^程管理；在技術上，要推動合規(guī)風險管理技術從定性管理轉變?yōu)槎抗芾?，從手工管理轉變?yōu)镮T管理；在團隊上，要打造專業(yè)化、專家化的合規(guī)風險管理團隊。具體而言，主要體現在以下幾個方面：

有能促進合規(guī)風險管理持續(xù)發(fā)展的長遠規(guī)劃。合規(guī)風險管理是一個慢功夫，需要長期的堅持、長期的積累，這就需要商業(yè)銀行有一個明確的目標，科學的規(guī)劃，持續(xù)的發(fā)展。目前，有些商業(yè)銀行為推動合規(guī)風險管理長遠發(fā)展，分別制定了《三年計劃》、《五年綱要》等類似文件。這些文件大多數都是有利于促進合規(guī)風險管理長期持續(xù)發(fā)展的。

當然，這些文件的真正有效，需要滿足以下條件：符合監(jiān)管政策；符合本行發(fā)展目標和發(fā)展思路；滿足本行風險管理需要；措施得當且有連續(xù)性；獲得主要行領導的認同；合規(guī)部門特別是部門負責人長期堅持。

獲得內部各機構、員工最廣泛的支持。合規(guī)風險管理涉及面廣，一些工作還可能會影響到部分機構的當期利益，這些都給合規(guī)風險管理的帶來一定的負面影響。這就要求合規(guī)風險管理，必須做出看得見摸得著的實效，從而獲得最廣泛的支持。

要獲得大多數部門和大多數員工的真正支持，需要合規(guī)部門認真處理好合規(guī)風險管理與業(yè)務發(fā)展的關系。合規(guī)管理與業(yè)務發(fā)展如同肌膚。沒有皮膚，肉不成肉；沒有肌肉，皮是干皮。沒有業(yè)務的發(fā)展，合規(guī)風險管理是空對空；沒有合規(guī)風險管理，業(yè)務發(fā)展將變成洪水泛濫，后果不堪設想。合規(guī)風險管理與業(yè)務發(fā)展的這種關系，要求合規(guī)部門在處理兩種的關系時，應堅持以下兩個準則：其一是合規(guī)風險管理應全覆蓋、全過程、全員。合規(guī)性目標是商業(yè)銀行自身實現其戰(zhàn)略目標、經營目標、信息披露報告目標的基礎，覆蓋風險管理的所有方面。商業(yè)銀行內部各項經營及管理活動的全過程都須符合法律法規(guī)的要求。其二是合規(guī)風險管理應控制風險、促進發(fā)展。風險管理的根本目標是規(guī)范發(fā)展而不是限制發(fā)展。因此，合規(guī)風險管理不能為了控制風險而控制風險，而應把握好容忍度。這就要求我們：一是合規(guī)風險管理應立足于幫助企業(yè)規(guī)范、有序發(fā)展。合規(guī)部門應認識到，合規(guī)風險管理和業(yè)務部門不是對立的，不是事事都要求、命令或阻止業(yè)務部門；而是應多站在業(yè)務部門的角度，幫助業(yè)務部門分析問題，解決問題。二是應做好風險等級分類，對于紅線類的應堅決禁止，對于黃色類的應有取有舍、積極規(guī)范，對于綠色類的應日常監(jiān)測，防范操作風險。三是在提出風險管理措施時，應既要能夠控制風險，又要便于操作。這個“度”的把握，對合規(guī)風險管理條線來說，是一個很高的要求，需要合規(guī)部門和合規(guī)人員努力實現。

融入本行的主流活動、主流業(yè)務。商業(yè)銀行是企業(yè)，追求利潤是資本的本性也是生存發(fā)展的必需。這就決定了創(chuàng)利部門、創(chuàng)利條線以及直接服務于創(chuàng)利的部門和條線是商業(yè)銀行的主流。合規(guī)風險管理應全面覆蓋到商業(yè)銀行的經營管理，但在不同的時期，一家商業(yè)銀行有不同的重點、不同的主流，合規(guī)風險管理要有敏感性，要能服務于、支持于主流。如此，才能有效體現合規(guī)風險管理的價值。

持續(xù)推出能推動管理進步的有效措施。監(jiān)管機構的支持、管理層的重視、相關機構的配合，都是合規(guī)風險管理成功的外在條件；要真正搞好合規(guī)風險管理，更需要合規(guī)管理部門要有思路、有方法、有措施，推動合規(guī)風險管理一步步發(fā)展、一步步成熟。

扎實提高合規(guī)風險管理技術。在提高管理技術方面，商業(yè)銀行大有可為。如：梳理經營管理活動的各項流程，促使合規(guī)風險管理嵌入經營管理流程之中，提高管理的及時性。制訂管理標準，明確各機構合規(guī)風險管理的職責和要求，提高管理的明確性。抓好合規(guī)風險管理數據，及時了解合規(guī)風險管理的分布和變化，提高管理的針對性。開發(fā)合規(guī)風險管理IT系統(tǒng)，提高管理的科技性。

（作者單位：中國民生銀行法律與合規(guī)事務部）