導語：銀行合規風險探討論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

（一）合規風險的提出

在我國，“合規”一詞實為泊來品，是由英文“compliance”翻譯而來，“compliance”的原意為“遵守、服從”，合規風險英文原為“compliancerisk”。至于中文“合規”的肇始，尚有待于進一步的考證。權威的漢語詞典中還尚未收錄“合規”的相關條目，“合規”的提法只不過是眾口相傳而已。盡管我國商業銀行在經營管理中經常提及“合規”一詞，但并沒有形成一個統一的認識，對它的理解往往是模糊和不嚴謹的，很多解釋僅僅停留在表面。例如，有人將合規理解為銀行及其分支機構的經營管理行為必須符合銀行總行制定的規章制度；有人將合規簡單地理解為合乎規定，而規定應包括哪些內容，應該限定到哪個層級，就不得而知了；還有些人將合規風險視為操作風險的一種，將合規風險管理職能與內審、稽核職能混同在一起。究其根源，前述認識誤區的形成是由于對合規風險的理解不準確或不充分，不能恰當地定性合規風險。

（二）合規的源起

合規實際上最早發源于美國。1973年，美國總統尼克松因“水門事件”而下臺，其競選班底被查出將帶有賄賂性質的非法政治捐款通過清洗變為合法的政治捐款，該洗錢行為成為人們關注的焦點。這之后美國企業走私、賄賂、舞弊的丑聞頻頻曝光，沉重打擊了投資者對美國市場的信心。在這一背景下，美國的監管機構開始提出企業的合規問題以及對企業的反洗錢合規要求。

為了推動企業的合規風險管理，1987年的美國《聯邦審判指南》首次將企業犯罪的量刑與合規風險管理掛鉤。根據《聯邦審判指南》的規定，如果觸犯法律的企業已經建有合規框架預防和監測合規風險，聯邦法官在量刑或判決時，可以減輕對該企業刑罰，包括減少罰款、免于刑事訴訟等。企業高管人員在民事訴訟中還可將合規風險管理機制的建立作為抗辯事由，罰金甚至可以減少95%。

2001年“9.11”事件后，反恐融資成為合規風險監管的一個重要領域，美國國會迅速通過《愛國者法》，顯著地增加了商業銀行的反洗錢職責，擴大到了檢測、終止（在可能的范圍內）并報告恐怖分子的金融方案。如果不能充分地滿足這些要求，就會顯著地增加銀行的合規風險，銀行常常會因為“協助及教唆”、“有意蒙蔽”等指控而遭受沉重的罰金、侵入式外部監管甚至刑罰。

2002年美國安然與世通破產案中，摩根、花旗、美銀、瑞信等國際銀行均遭受了集體訴訟。投資者指控它們為其貸款客戶安然與世通公司隱瞞債務、虛增盈利、財務欺詐、指使分析師發表不實股評報告，最后這些銀行不得不向投資者支付了上百億美元的賠償金。因而為了強化合規風險監管，2002年7月美國頒布了《薩班斯—奧克斯利法案》，對在美國上市的公司設置了極為嚴苛的公司治理、財務和信息披露等多方面的合規門檻。這之后，合規風險普遍為各國監管機構所重視，國際商業銀行也逐步加強對合規風險的管理。

（三）合規風險的界定

1.巴塞爾委員會的解釋。巴塞爾委員會2005年了《合規與銀行合規職能》，嘗試著提出一個較為寬泛的合規框架和基本指引，供各國監管機構和各商業銀行參考和選擇適用。巴塞爾委員會將合規風險定義為，因銀行未能遵守所有適用的法律、法規、監管規則、自律性組織的標準以及行為準則（簡稱為“法律、規則和標準”）等可能給銀行帶來的法律制裁、監管處罰、重大財務損失和聲譽損失等風險。為了避免合規風險的定義過于寬泛而造成的合規虛無化，巴塞爾委員會特別指出，合規風險監管和管理的目的是力求商業銀行遵循法律的規定以及法律的精神。可見，合規風險的監管與管理始終是被置于“守法”這一大框架之下的。

2.各國監管機構的看法。美國聯邦儲備委員會對合規風險的界定與巴塞爾委員會大致相同（FED，2008）。英國金融服務局則特別強調監管規則對于合規風險的重要意義，他們認為合規風險并不限于銀行因違反特定的法案而受到制裁的風險，還應當包括由于銀行的經營被置于一定的監管目標之下而面臨的風險（FSA，2007）。新加坡貨幣管理局沒有直接使用合規風險一詞，而是將合規風險納入了法律風險的范圍之內，特別指出法律風險包括金融機構因參與洗錢和恐怖融資活動的傾向而導致的風險。

3.國際銀行的理解。匯豐、花旗、摩根大通、德意志銀行等諸多國際大銀行對合規風險的描述大體相同，都是指由于銀行沒有充分遵循相關法律法規和監管要求可能引致法律制裁或監管處罰，最終產生財務損失或聲譽損失的風險。也有一些國際銀行沒有對合規風險給出具體定義，但明確指出合規風險包含在法律風險之中，例如日本瑞穗金融集團。普遍的認識是，合規的重點在于確保商業銀行的業務和經營遵循各種監管規則，包括中央銀行、銀行監管部門、證券監管部門、財政部、司法部等機構頒布的監管規則。

4.本文的定義。對合規風險明確恰當的界定，將有益于合規風險的識別與監測。通過考察合規的起源以及關于合規風險的各種解釋，可以看出，合規的前提是守法，重點是遵循監管要求。巴塞爾委員會的原則和框架只是一種參考，各國際銀行還是結合本國的監管實踐和銀行的實際情況因地制宜地具體界定合規風險。綜上，本文認為，對合規風險的合理定義應是，商業銀行因違反有關外部性規則而產生財務損失、監管處罰、法律制裁和聲譽損失的風險。這里，外部性規則指的是適用于商業銀行的法律、法規、監管規則和行業準則。其中，合規風險的一個重要來源是銀行的業務經營違反了監管規則。這是因為現實當中合規是在監管機構的推動下誕生的，商業銀行的合規風險管理與監管要求密切相關。

（四）誤區的澄清

1.合規風險≠操作風險。目前有一種傾向將市場風險和信用風險之外的所有風險都稱為操作風險，操作風險簡直是無所不包，合規風險也被視為操作風險的一種，這顯然是不正確的。這一模糊的定義在實踐中引起了許多沖突和分歧，不利于風險的有效識別、監測和管理。實際上，操作風險和合規風險有著本質的不同。操作風險是由于銀行的流程、人員、系統、技術的不完善或失敗等引發的風險，根源是銀行內部控制及公司治理機制的失效。諸如員工責任心不強、產品流程漏洞、流程執行不嚴、軟硬件故障等，都會帶來操作風險。而合規風險則是因為銀行違反法律、法規、監管規則、行業準則等外部性規定而導致的風險，根源是銀行戰略、經營、業務的違法違規性。例如，銀行的跨國戰略受到的母國與東道國雙重監管發生沖突，綜合化經營涉及到不同監管機構之間的灰色監管地帶，新產品和新服務在開發之初超越了既有的監管政策等，都會帶來合規風險。

2.合規≠遵循銀行內部的規章制度。應當注意的是，不能將合規與遵循銀行內部規章制度混為一談。二者的區別為：前者是指商業銀行及其人員遵循適用于商業銀行的法律、法規、監管規則、行業準則等外部性要求；后者是指銀行及其人員遵循流程管理、操作規程、業務指引及行為守則，或者是分支機構遵循總行制訂的規章制度等銀行的內部性規定（張煒，2004）。二者的聯系在于，銀行內部的規章制度是銀行應自身的業務需要和內控要求制定的，要接受合規審核。銀監會劉明康主席在上海銀行業第二屆合規年會上的講話中就明確指出，合規管理人員的大量工作就是要確保內部規章制度的合規性，以體現外部的法律、規則和準則的要求；至于銀行的管理者和員工是否遵守內部規章制度，則由內審、稽核人員來檢查、督促。

3.合規風險管理職能≠內審、稽核職能。目前國內個別商業銀行將合規風險管理職能與內審、稽核職能混同在一起，實際上是混淆了二者的區別。合規風險管理職能負責銀行業務經營、對外法律文件、內部規章制度的合規性審查，提供合規咨詢，制定合規指引，進行合規培訓，化解合規糾紛，管理合規風險。內審、稽核職能則負責對內檢查監督各種內部規章制度的實施落實，建立和實施內部控制機制，管理操作風險（上海銀監局課題組，2005）。正像巴塞爾委員會2006年《加強銀行公司治理》中指出的那樣，內審、稽核部門的職能包括審查應法律合規要求而建立的各項制度是否得到遵循和執行，因此內審、稽核部門應當充分重視涉及銀行業務活動的法律法規，以及監管當局的關于銀行組織架構和經營管理的政策、原則、規則和指引。但這并不意味著內審、稽核部門要承擔合規風險管理職能，二者應當分離。

4.合規職能≠合規部門。巴塞爾委員會2005年的《銀行合規與合規職能》被視為關于商業銀行合規的重要指引，有些人將該文件中的合規職能理解為合規部門，這實際上是一種誤讀。該文件在其引言中明確指出，要求各銀行構建的“compliancefunction”是指合規職能，而非特指單一的合規部門（ComplianceUnit\Department\Division）。巴塞爾委員會建議，一家商業銀行應當根據自身的風險管理策略和組織架構來設置其合規職能，管理合規風險。以何種模式實施巴塞爾委員會指引中的合規職能與原則將取決于多種因素，如銀行的規模大小、經營的復雜程度、業務的結構和區域分布，以及銀行營業所在地的法律框架和監管環境（鄭柏林，2004）。

二、商業銀行合規風險和法律風險的相互關系

（一）法律風險管理日趨成熟，合規風險管理剛剛起步

法律風險是商業銀行最古老的風險之一，隨著現代商業銀行的發展已經過兩百多年的時間，到今天為止不論是法律風險管理的理論還是實務都已經相當成熟。國內外商業銀行都累積了豐富的管理經驗和方法，建立了系統的管理機制，主要包括如下幾個方面：第一，法律風險的事前預警機制，定期評估外部法律環境，制定有關各業務條線的指引，提示經營風險，支持業務發展；第二，法律風險的事中防控機制，進行法律咨詢審查，參與交易談判，加強流程管理；第三，法律風險的事后化解機制，通過解決各種糾紛和違約事件，為銀行選擇最妥善的處理方案并提供法律支持。

而合規風險從最早提出到現在不過三十年的光景，商業銀行開始關注它也就是近些年的事情，對于合規風險的認識目前還是很模糊，防控技術和管理手段也處于摸索階段。各國監管機關的做法更是大相徑庭：某些資本輸出國出于維護本國稅收和經濟安全的需要，熱衷于反洗錢、反避稅層面的合規監管；一些新興市場國家在市場開放和全球化的大環境下也隨之提出合規目標，但暫時還停留在宣誓意義上。與法律風險穩定成熟的管理機制相比較，合規風險的管理尚處于“嬰兒期”。

（二）合規風險從屬于法律風險

1.從淵源上看，“法律”是上位概念，“規”是下位概念。法律風險的中“法律”是指廣義上的法，即具有強制性的社會規則。法具有多種表現形式，既包括制定法，又包括習慣法；既包括立法機關出臺的法律法規、行政機關頒布的部門規章，還包括監管機構的監管規則、行業組織制定的標準準則；既包括法律原則，又包括司法判例、法律解釋；既包括國內法，又包括外國法乃至國際條約、國際慣例。因此，法律風險的淵源囊括了所有合規風險的淵源——狹義的法律[1]、法規、監管規則、行業標準。其中，作為合規風險核心內容的監管規則不過是法律眾多形式中的一種，僅僅是指監管機構制定的規定、原則、指引等。所有監管機構的監管規則必須依法制定，監管機構的設立、職能的劃分、職權的行使也必須嚴格依法進行，違反了上位法或者與上位法沖突的監管規則將是無效的。因此從淵源的角度來看，“法律”是上位概念，而“規”是下位概念，法的范疇要遠大于規的范疇，法律風險也就相應地大于合規風險。

2.從引發因素來看，法律風險的誘因廣于合規風險。合規風險是銀行的內生風險（聶明，2007），其誘因僅限于銀行內部的違法違規行為，當銀行業已遵循法律法規和監管規定時，不存在合規風險。銀行內部的違法違規行為當然也會帶來法律風險，但是，引發法律風險的因素卻遠不止于此，還包括來自銀行外部的事件以及法律的不確定。換句話說，即便銀行本身遵紀守法，但某些外部的因素或法律制度的缺失變化仍可能使銀行暴露于法律風險之中。外部事件既有交易對手的違約行為，還有他方侵犯銀行合法權益的行為[2]。這些都是典型的法律風險而非合規風險。法律本身具有的不確定性也會帶來法律風險，當法律修訂、新的法律產生或者法律缺失時，就會對銀行的經營帶來不確定性從而導致法律風險。因此，從風險源頭來看，法律風險涵蓋了合規風險。

3.從范圍上看，法律風險涉及的領域大于合規風險。法律風險涉及的范圍非常廣泛，可以說，從商業銀行的決策、管理到運營，從設立、擴張到終止，從業務拓展到金融創新，從內部操作流程到與客戶及政府關系，從母國到東道國，法律風險無處不在（McCormick,2006）。而合規風險涉及的領域則相對有限。常見的，各國監管機構關注的商業銀行合規風險主要集中于以下三個方面：第一，反洗錢和反恐融資，這是各國特別是歐美國家在“9.11”以后重點監管的領域，要求銀行嚴格遵循《反洗錢法》及相關監管規定。第二，關聯交易和利益沖突的限制。銀行在綜合化發展的同時，必須按照法律、法規、監管要求和行業規則構筑防火墻，進行信息披露，保護客戶的合法權益。第三，客戶通過銀行規避監管和進行違法交易的禁止。在遭到此番金融危機的重創之下，歐美國家的監管機構格外強調這一點，要求銀行在為客戶安排交易或籌劃稅務時必須嚴格遵循本國的稅法等法律法規以及監管政策。[3]上述合規風險的幾個領域當然屬于法律風險的范圍。

三、商業銀行合規風險管理的組織架構

（一）總法律顧問的設置

總法律顧問制度的構建是國際優秀銀行的共性。這一制度既是銀行依法決策、管理和經營的重要組織保障，又是銀行切實提高競爭力的制度保障。總法律顧問作為杰出的法律專家，同時又是卓越的領導者，全面領導和管理法律合規事務。在國際商業銀行的總體戰略中，總法律顧問被提到越來越重要的位置，不僅影響著它們對未來變化的預判能力，還對它們的決策方向起到至關重要的作用，幫助銀行解決根本的公司治理問題。因此，總法律顧問一般都是銀行高管，在對首席執行官負責的同時，有些同時是董事或高級副總裁（見表1）。全球企業法律顧問協會的調查結果顯示，2005年14%的調查對象反映其公司的總法律顧問是董事，2007年這個百分比上升為16.7%（全球企業法律顧問協會，2007）。目前，只有為數不多的商業銀行設置了首席合規官。首席合規官一般不屬于銀行高級管理層成員，要向總法律顧問匯報工作，這也是由合規風險從屬于法律風險的性質所決定的。全球企業法律顧問協會2007年的調查顯示，規模較大的企業(即年營業額超過80億美元的公司)，合規官對總法律顧問負責的占65%（全球企業法律顧問協會，2007）。

從已有的實踐看，國內外商業銀行的合規風險管理的機構設置主要存在四種模式（見表2、圖1）：一是在原有的法律部門下設合規職能，稱為“法律合規部”或仍稱為“法律部”，如摩根大通、花旗、渣打、瑞銀、巴克萊、建行、中國銀行、交行等。二是將法律與合規事務、資本管理、公司治理等職能放在一個部門，形成“法律合規資本部”或“法律秘書部”，如德意志銀行、蘇格蘭皇家銀行等。三是設立“法律部”與“合規部”，將法律、合規職能分置于這兩個部門，但法律部與合規部的負責人都向總法律顧問報告，如匯豐集團、三菱日聯集團。四是分別設立“法律部”和“內控合規部”，將法律風險的管理職能放于法律部，將操作風險與合規風險的管理職能放于內控合規部，如工行和農行。

考察國內外各大銀行的做法，絕大多數銀行采用的是第一種模式。美國銀行業協會的統計結果也表明：銀行規模越大，越希望由在銀行法律部門之下履行合規職責。為適應全球統一管理以及各個國家不同法律監管制度的需要，全能制銀行和金融控股公司一般都在母公司或集團層面設立法律合規部，根據業務劃分設大區法律合規部，在各分支機構和子公司分設法律合規部分派法律合規人員。在一些國際知名銀行中，法律合規部門采用線型的報告和考評路徑[4]。下級機構的法律合規人員向上級法律合規主管匯報，考評也由上級法律合規主管決定，不受所在分支機構行政主管的影響。各區域法律合規主管向集團總法律顧問匯報。

（三）法律部門作為合規風險歸口管理部門的優越性和必要性

雖然目前合規風險管理的機構設置在實踐中存在著多種模式，但以法律合規部的設置為主流做法，也是金融改革的趨勢所向。這是因為，合規風險從屬于法律風險的基本性質決定了，在法律部下設置合規風險管理職能，將法律部設為合規風險的歸口管理部門，可更有效地實現合規風險管理的目標。

1.提高合規風險管理的有效性。由于法律風險涵蓋了合規風險，使得合規和法律部門結合在一起成為很自然的事情。合規風險管理依托法律部門，有助于商業銀行正確理解和解釋法律法規、監管規則，熟悉和了解國內外監管環境，密切跟蹤國內外監管立法動態。商業銀行對于合規人員專業素質的要求與對法律工作人員的要求也是相類似的。巴塞爾委員會在《合規和銀行合規職能》中明確指出，銀行的合規人員應當具有與其職責履行相匹配的資質、經驗和專業水準，能全面地理解法律、規則和標準對銀行經營運作的實際影響，實時地把握所適用法律、法規、監管規則和標準的最新發展，準確對提出專業的合規審查意見。可見，銀行迫切需要的合規人員不僅要擁有相應的金融背景，掌握一定的財務知識，最重要的是必須儲備豐富的法律經驗和技能。因此，要想做好合規風險管理，就一定要充分發揮長期存在的法律工作的積極作用和協同效應。

2.促進成本收益的平衡。降低成本也是商業銀行增強核心競爭力的重要條件。合規風險作為法律風險的一種表現形式，決定了在法律部門下設置合規風險管理職能，實現法律資源的充分利用，能有效促進成本收益的平衡，幫助商業銀行找到長期發展與短期業績的平衡點，提高各方利益相關者的滿意度。而法律部門與合規機構分設，必然導致法律部門與合規機構的職能重疊，公司治理成本上升，法律資源浪費。例如，2005年，花旗集團設立了獨立的政策合規評估部，從而出現了大量的交叉審查功能，這種風險管理的架構大大降低了花旗的競爭力。2006年花旗的成本增速高出收入增速一倍，引發了很多投資者的擔心。因此，2007年花旗開始著手自10年前合并后的首次大規模重組，合規部門是重點審查合并的對象，職能交叉與重復設置的合規崗被大大削減。

3.保持合規風險管理的獨立性。法律部門作為合規風險的歸口管理部門，可有效構筑商業銀行防控合規風險的“三條防線”。第一條防線——法律部門，法律部門牽頭組織建設商業銀行的合規風險管理機制，為銀行重大戰略決策提供法律合規支持，評估和監測流程規章的合法合規性，對銀行的產品和服務出具法律合規意見，審查業務經營的合法合規性，進行合規培訓。第二條防線——業務條線，業務條線是防控合規風險的執行部門，對是否切實落實合規風險的防控負有首要責任，因為業務條線往往是合規風險產生的主要源頭（劉紅林，2008）。第三條防線——內審、稽核部門，內審、稽核部門是合規監督部門[①]，既要對業務條線經營的合規性進行事后審計、定期與不定期的檢查稽核，又要監督法律部門是否履行了合規風險管理職責。上述職責分工可有效地保障合規風險管理、業務經營與內審稽核之間的獨立性，防止角色錯位與利益沖突。

四、小結

隨著商業銀行發展的加速，在市場全球化、金融復雜化和監管嚴格化共同作用下，合規風險凸顯出來。通過上述分析，不難得出，法律風險實際上涵蓋了合規風險。正如同違約風險、侵權風險、訴訟風險一樣，合規風險屬于法律風險的一種表現形式，是法律風險進一步劃分的亞風險。之所以在法律風險之外特別強調合規風險，原因是近年來國際上商業銀行內部違法違規的多發勢態一直未能得到有效遏制，由此造成的損失極其嚴重，給商業銀行帶來的打擊甚至是毀滅性的，危及到商業銀行健康穩定地發展。因此，合規風險的防控逐漸受到重視，但是這并不意味著合規風險是獨立于法律風險的一種新型的風險。合規風險本質上仍然從屬于法律風險，忽視這一點必然導致合規職能的錯配。

[參考文獻]

張煒，2004.商業銀行合規風險控制[J].中國城市金融，（8）：7-9.

上海銀監局課題組，2005.中資銀行合規風險管理機制建設研究[J].新金融，（11）：6-11.

鄭柏林，2004.合規管理在美國銀行業監管和銀行經營中的作用[J].國際金融研究，（1）：62-66.

聶明，2007.商業銀行合規風險管理[M].北京：中國金融出版社.

劉紅林，2008.商業銀行合規風險管理實踐[M].北京：經濟科學出版社.

[①]2006年中國銀監會《商業銀行合規風險管理指引》第22條也明確規定：“商業銀行合規管理職能應與內部審計職能分離，合規管理職能的履行情況應受到內部審計部門定期的獨立評價，內部審計部門應負責商業銀行各項經營活動的合規性審計。”

[1]狹義的法律僅僅是指全國人民代表大會及其常委會制定頒布的法律，在商業銀行日常經營中經常提到的“遵循法律、法規、監管規定等”中的“法律”指的就是狹義上的法律。

[2]例如，商業銀行的商標權、專利權、版權等無形資產受到第三方侵犯。

[3]2008年以來美國政府兩次對瑞銀集團提出起訴就是典型的案例。瑞銀被控無照在美國境內開展私人理財業務，并協助美國公民利用海外賬戶逃稅漏稅，違反了美國稅法。2009年2月，瑞銀被迫向美國政府繳納7.8億美元罰金，大量美國客戶從瑞銀流出。

[4]這種高度集中、縱向貫通的法律合規管理模式，主要適用于業務相對集中、不同業務間關聯度大、實行總分行體制或有眾多全資子公司的大銀行。