商业银行合规风险研究

商业银行合规风险研究

发布时间: 2009-08-28 【我要纠错】 【字号 大 中 小】【打印】【关闭】

周慧

【摘要】商业银行合规风险是市场全球化、金融复杂化和监管严格化共同作用，使法律风险凸显出来的一个分支。合规风险是指银行因违反有关外部性规则而产生财务损失、监管处罚、法律制裁和声誉损失的风险。这里，外部性规则指的是适用于商业银行的法律、法规、监管规定和行业准则。合规风险管理应始终置于“守法”这一大框架之下，重点是遵循监管要求。合规风险从属法律风险的性质，决定了商业银行将法律部门设为合规风险归口管理的部门，将实现法律资源的充分利用，有助于商业银行在决策与经营中正确理解和适用法律、法规、监管规则和行业准则，促进成本收益的平衡，有效实现合规风险管理的目标。

【英文摘要】Due to globalization of markets, complication of financial industry and enhancement of regulation, compliance risk is highlighted as a branch of legal risk. The compliance risk of commercial bank means breaches of the relevant laws, regulations, rules, codes of practice, etc., which are all outside provisions of the bank. The management of compliance risk should always be placed under the legal framework, with a focus on compliance with regulatory requirements. The nuture of compliance risk

which is subordinated to legal risk, determines the compliance function will be more efficiency and less-budget if it is set up under the legal department of commercial banks.

【关键词】商业银行；合规风险；法律风险；操作风险；内审稽核

【英文关键词】commercial bank; compliance risk; legal risk; operational risk; internal audit

【写作年份】2009年

【正文】

合规风险的有效管理除了能保障商业银行遵纪守法、审慎经营之外，更有助于商业银行维护良好声誉、提升自身品牌价值、增强核心竞争力。因此，各国监管机构和一些国际性组织都致力于促进商业银行建立有效的合规风险管理体系，国际银行业也高度重视合规风险管理机制的建设。目前我国商业银行的合规工作刚刚起步，对于合规风险的管理尚在探索之中，在认识上仍存在着许多混乱。而有什么样的风险认识，就有什么样的风险管理水平。为了构建高效的合规风险管理体系，有必要对合规风险进行准确界定，厘清合规风险与其他相关风险的关系，合理设置商业银行合规风险管理的组织架构。

一、商业银行合规风险诠释

（一）合规风险的提出

在我国，“合规”一词实为泊来品，是由英文“compliance”翻译而来，“compliance”的原意为“遵守、服从”，合规风险英文原为“compliance risk”。至于中文“合规”的肇始，尚有待于进一步的考证。权威的汉语词典中还尚未收录“合规”的相关条目，“合规”的提法只不过是众口相传而已。尽管我国商业银行在经营管理中经常提及“合规”一词，但并没有形成一个统一的认识，对它的理解往往是模糊和不严谨的，很多解释仅仅停留在表面。例如，有人将合规理解为银行及其分支机构的经营管理行为必须符合银行总行制定的规章制度；有人将合规简单地理解为合乎规定，而规定应包括哪些内容，应该限定到哪个层级，就不得而知了；还有些人将合规风险视为操作风险的一种，将合规风险管理职能与内审、稽核职能混同在一起。究其根源，前述认识误区的形成是由于对合规风险的理解不准确或不充分，不能恰当地定性合规风险。

（二）合规的源起

合规实际上最早发源于美国。1973年，美国总统尼克松因“水门事件”而下台，其竞选班底被查出将带有贿赂性质的非法政治捐款通过清洗变为合法的政治捐款，该洗钱行为成为人们关注的焦点。这之后美国企业走私、贿赂、舞弊的丑闻频频曝光，沉重打击了投资者对美国市场的信心。在这一背景下，美国的监管机构开始提出企业的合规问题以及对企业的反洗钱合规要求。

为了推动企业的合规风险管理，1987年的美国《联邦审判指南》首次将企

业犯罪的量刑与合规风险管理挂钩。根据《联邦审判指南》的规定，如果触犯法律的企业已经建有合规框架预防和监测合规风险，联邦法官在量刑或判决时，可以减轻对该企业刑罚，包括减少罚款、免于刑事诉讼等。企业高管人员在民事诉讼中还可将合规风险管理机制的建立作为抗辩事由，罚金甚至可以减少95%。

2001年“9.11”事件后，反恐融资成为合规风险监管的一个重要领域，美国国会迅速通过《爱国者法》，显著地增加了商业银行的反洗钱职责，扩大到了检测、终止（在可能的范围内）并报告恐怖分子的金融方案。如果不能充分地满足这些要求，就会显著地增加银行的合规风险，银行常常会因为“协助及教唆”、“有意蒙蔽”等指控而遭受沉重的罚金、侵入式外部监管甚至刑罚。

2002年美国安然与世通破产案中，摩根、花旗、美银、瑞信等国际银行均遭受了集体诉讼。投资者指控它们为其贷款客户安然与世通公司隐瞒债务、虚增盈利、财务欺诈、指使分析师发表不实股评报告，最后这些银行不得不向投资者支付了上百亿美元的赔偿金。因而为了强化合规风险监管，2002年7月美国颁布了《萨班斯—奥克斯利法案》，对在美国上市的公司设置了极为严苛的公司治理、财务和信息披露等多方面的合规门槛。这之后，合规风险普遍为各国监管机构所重视，国际商业银行也逐步加强对合规风险的管理。

（三）合规风险的界定

1. 巴塞尔委员会的解释。巴塞尔委员会2005年发布了《合规与银行合规职

能》，尝试着提出一个较为宽泛的合规框架和基本指引，供各国监管机构和各商业银行参考和选择适用。巴塞尔委员会将合规风险定义为，因银行未能遵守所有适用的法律、法规、监管规则、自律性组织的标准以及行为准则（简称为“法律、规则和标准”）等可能给银行带来的法律制裁、监管处罚、重大财务损失和声誉损失等风险。为了避免合规风险的定义过于宽泛而造成的合规虚无化，巴塞尔委员会特别指出，合规风险监管和管理的目的是力求商业银行遵循法律的规定以及法律的精神。可见，合规风险的监管与管理始终是被置于“守法”这一大框架之下的。

2. 各国监管机构的看法。美国联邦储备委员会对合规风险的界定与巴塞尔委员会大致相同（FED，2008）。英国金融服务局则特别强调监管规则对于合规风险的重要意义，他们认为合规风险并不限于银行因违反特定的法案而受到制裁的风险，还应当包括由于银行的经营被置于一定的监管目标之下而面临的风险（FSA，2007）。新加坡货币管理局没有直接使用合规风险一词，而是将合规风险纳入了法律风险的范围之内，特别指出法律风险包括金融机构因参与洗钱和恐怖融资活动的倾向而导致的风险。

3. 国际银行的理解。汇丰、花旗、摩根大通、德意志银行等诸多国际大银行对合规风险的描述大体相同，都是指由于银行没有充分遵循相关法律法规和监管要求可能引致法律制裁或监管处罚，最终产生财务损失或声誉损失的风险。也有一些国际银行没有对合规风险给出具体定义，但明确指出合规风险包含在法律风险之中，例如日本瑞穗金融集团。普遍的认识是，合规的重点在于确保商业银

行的业务和经营遵循各种监管规则，包括中央银行、银行监管部门、证券监管部门、财政部、司法部等机构颁布的监管规则。

4. 本文的定义。对合规风险明确恰当的界定，将有益于合规风险的识别与监测。通过考察合规的起源以及关于合规风险的各种解释，可以看出，合规的前提是守法，重点是遵循监管要求。巴塞尔委员会的原则和框架只是一种参考，各国际银行还是结合本国的监管实践和银行的实际情况因地制宜地具体界定合规风险。综上，本文认为，对合规风险的合理定义应是，商业银行因违反有关外部性规则而产生财务损失、监管处罚、法律制裁和声誉损失的风险。这里，外部性规则指的是适用于商业银行的法律、法规、监管规则和行业准则。其中，合规风险的一个重要来源是银行的业务经营违反了监管规则。这是因为现实当中合规是在监管机构的推动下诞生的，商业银行的合规风险管理与监管要求密切相关。

（四）误区的澄清

1. 合规风险≠操作风险。目前有一种倾向将市场风险和信用风险之外的所有风险都称为操作风险，操作风险简直是无所不包，合规风险也被视为操作风险的一种，这显然是不正确的。这一模糊的定义在实践中引起了许多冲突和分歧，不利于风险的有效识别、监测和管理。实际上，操作风险和合规风险有着本质的不同。操作风险是由于银行的流程、人员、系统、技术的不完善或失败等引发的风险，根源是银行内部控制及公司治理机制的失效。诸如员工责任心不强、产品流程漏洞、流程执行不严、软硬件故障等，都会带来操作风险。而合规风险则是

因为银行违反法律、法规、监管规则、行业准则等外部性规定而导致的风险，根源是银行战略、经营、业务的违法违规性。例如，银行的跨国战略受到的母国与东道国双重监管发生冲突，综合化经营涉及到不同监管机构之间的灰色监管地带，新产品和新服务在开发之初超越了既有的监管政策等，都会带来合规风险。

2. 合规≠遵循银行内部的规章制度。应当注意的是，不能将合规与遵循银行内部规章制度混为一谈。二者的区别为：前者是指商业银行及其人员遵循适用于商业银行的法律、法规、监管规则、行业准则等外部性要求；后者是指银行及其人员遵循流程管理、操作规程、业务指引及行为守则，或者是分支机构遵循总行制订的规章制度等银行的内部性规定（张炜，2004）。二者的联系在于，银行内部的规章制度是银行应自身的业务需要和内控要求制定的，要接受合规审核。银监会刘明康主席在上海银行业第二届合规年会上的讲话中就明确指出，合规管理人员的大量工作就是要确保内部规章制度的合规性，以体现外部的法律、规则和准则的要求；至于银行的管理者和员工是否遵守内部规章制度，则由内审、稽核人员来检查、督促。

3. 合规风险管理职能≠内审、稽核职能。目前国内个别商业银行将合规风险管理职能与内审、稽核职能混同在一起，实际上是混淆了二者的区别。合规风险管理职能负责银行业务经营、对外法律文件、内部规章制度的合规性审查，提供合规咨询，制定合规指引，进行合规培训，化解合规纠纷，管理合规风险。内审、稽核职能则负责对内检查监督各种内部规章制度的实施落实，建立和实施内部控制机制，管理操作风险（上海银监局课题组，2005）。正像巴塞尔委员会

2006年《加强银行公司治理》中指出的那样，内审、稽核部门的职能包括审查应法律合规要求而建立的各项制度是否得到遵循和执行，因此内审、稽核部门应当充分重视涉及银行业务活动的法律法规，以及监管当局发布的关于银行组织架构和经营管理的政策、原则、规则和指引。但这并不意味着内审、稽核部门要承担合规风险管理职能，二者应当分离。

4. 合规职能≠合规部门。巴塞尔委员会2005年的《银行合规与合规职能》被视为关于商业银行合规的重要指引，有些人将该文件中的合规职能理解为合规部门，这实际上是一种误读。该文件在其引言中明确指出，要求各银行构建的“compliance function”是指合规职能，而非特指单一的合规部门（Compliance Unit\Department\Division）。巴塞尔委员会建议，一家商业银行应当根据自身的风险管理策略和组织架构来设置其合规职能，管理合规风险。以何种模式实施巴塞尔委员会指引中的合规职能与原则将取决于多种因素，如银行的规模大小、经营的复杂程度、业务的结构和区域分布，以及银行营业所在地的法律框架和监管环境（郑柏林，2004）。

二、商业银行合规风险和法律风险的相互关系

（一）法律风险管理日趋成熟，合规风险管理刚刚起步

法律风险是商业银行最古老的风险之一，随着现代商业银行的发展已经过两百多年的时间，到今天为止不论是法律风险管理的理论还是实务都已经相当成

熟。国内外商业银行都累积了丰富的管理经验和方法，建立了系统的管理机制，主要包括如下几个方面：第一，法律风险的事前预警机制，定期评估外部法律环境，制定有关各业务条线的指引，提示经营风险，支持业务发展；第二，法律风险的事中防控机制，进行法律咨询审查，参与交易谈判，加强流程管理；第三，法律风险的事后化解机制，通过解决各种纠纷和违约事件，为银行选择最妥善的处理方案并提供法律支持。

而合规风险从最早提出到现在不过三十年的光景，商业银行开始关注它也就是近些年的事情，对于合规风险的认识目前还是很模糊，防控技术和管理手段也处于摸索阶段。各国监管机关的做法更是大相径庭：某些资本输出国出于维护本国税收和经济安全的需要，热衷于反洗钱、反避税层面的合规监管；一些新兴市场国家在市场开放和全球化的大环境下也随之提出合规目标，但暂时还停留在宣誓意义上。与法律风险稳定成熟的管理机制相比较，合规风险的管理尚处于“婴儿期”。

（二）合规风险从属于法律风险

1. 从渊源上看，“法律”是上位概念，“规”是下位概念。法律风险的中“法律”是指广义上的法，即具有强制性的社会规则。法具有多种表现形式，既包括制定法，又包括习惯法；既包括立法机关出台的法律法规、行政机关颁布的部门规章，还包括监管机构发布的监管规则、行业组织制定的标准准则；既包括法律原则，又包括司法判例、法律解释；既包括国内法，又包括外国法乃至国际

条约、国际惯例。因此，法律风险的渊源囊括了所有合规风险的渊源——狭义的法律[①]、法规、监管规则、行业标准。其中，作为合规风险核心内容的监管规则不过是法律众多形式中的一种，仅仅是指监管机构制定的规定、原则、指引等。所有监管机构发布的监管规则必须依法制定，监管机构的设立、职能的划分、职权的行使也必须严格依法进行，违反了上位法或者与上位法冲突的监管规则将是无效的。因此从渊源的角度来看，“法律”是上位概念，而“规”是下位概念，法的范畴要远大于规的范畴，法律风险也就相应地大于合规风险。

2. 从引发因素来看，法律风险的诱因广于合规风险。合规风险是银行的内生风险（聂明，2007），其诱因仅限于银行内部的违法违规行为，当银行业已遵循法律法规和监管规定时，不存在合规风险。银行内部的违法违规行为当然也会带来法律风险，但是，引发法律风险的因素却远不止于此，还包括来自银行外部的事件以及法律的不确定。换句话说，即便银行本身遵纪守法，但某些外部的因素或法律制度的缺失变化仍可能使银行暴露于法律风险之中。外部事件既有交易对手的违约行为，还有他方侵犯银行合法权益的行为[②]。这些都是典型的法律风险而非合规风险。法律本身具有的不确定性也会带来法律风险，当法律修订、新的法律产生或者法律缺失时，就会对银行的经营带来不确定性从而导致法律风险。因此，从风险源头来看，法律风险涵盖了合规风险。

3. 从范围上看，法律风险涉及的领域大于合规风险。法律风险涉及的范围非常广泛，可以说，从商业银行的决策、管理到运营，从设立、扩张到终止，从业务拓展到金融创新，从内部操作流程到与客户及政府关系，从母国到东道国，

法律风险无处不在（McCormick， 2006）。而合规风险涉及的领域则相对有限。常见的，各国监管机构关注的商业银行合规风险主要集中于以下三个方面：第一，反洗钱和反恐融资，这是各国特别是欧美国家在“9.11”以后重点监管的领域，要求银行严格遵循《反洗钱法》及相关监管规定。第二，关联交易和利益冲突的限制。银行在综合化发展的同时，必须按照法律、法规、监管要求和行业规则构筑防火墙，进行信息披露，保护客户的合法权益。第三，客户通过银行规避监管和进行违法交易的禁止。在遭到此番金融危机的重创之下，欧美国家的监管机构格外强调这一点，要求银行在为客户安排交易或筹划税务时必须严格遵循本国的税法等法律法规以及监管政策。[③]上述合规风险的几个领域当然属于法律风险的范围。

三、商业银行合规风险管理的组织架构

（一）总法律顾问的设置

总法律顾问制度的构建是国际优秀银行的共性。这一制度既是银行依法决策、管理和经营的重要组织保障，又是银行切实提高竞争力的制度保障。总法律顾问作为杰出的法律专家，同时又是卓越的领导者，全面领导和管理法律合规事务。在国际商业银行的总体战略中，总法律顾问被提到越来越重要的位置，不仅影响着它们对未来变化的预判能力，还对它们的决策方向起到至关重要的作用，帮助银行解决根本的公司治理问题。因此，总法律顾问一般都是银行高管，在对首席执行官负责的同时，有些同时是董事或高级副总裁（见表1）。全球企业法

律顾问协会的调查结果显示，2005年14%的调查对象反映其公司的总法律顾问是董事，2007年这个百分比上升为16.7%（全球企业法律顾问协会，2007）。目前，只有为数不多的商业银行设置了首席合规官。首席合规官一般不属于银行高级管理层成员，要向总法律顾问汇报工作，这也是由合规风险从属于法律风险的性质所决定的。全球企业法律顾问协会2007年的调查显示，规模较大的企业（即年营业额超过80亿美元的公司），合规官对总法律顾问负责的占65%（全球企业法律顾问协会，2007）。

表1：国际知名银行总法律顾问与首席合规官的设置

资料来源：各银行年报

（二）合规风险管理的机构设置

从已有的实践看，国内外商业银行的合规风险管理的机构设置主要存在四种模式（见表2、图1）：一是在原有的法律部门下设合规职能，称为“法律合规部”或仍称为“法律部”，如摩根大通、花旗、渣打、瑞银、巴克莱、建行、中国银行、交行等。二是将法律与合规事务、资本管理、公司治理等职能放在一个部门，形成“法律合规资本部”或“法律秘书部”，如德意志银行、苏格兰皇家银行等。三是设立“法律部”与“合规部”，将法律、合规职能分置于这两个部门，但法律部与合规部的负责人都向总法律顾问报告，如汇丰集团、三菱日联集团。四是分别设立“法律部”和“内控合规部”，将法律风险的管理职能放于法律部，将操作风险与合规风险的管理职能放于内控合规部，如工行和农行。

考察国内外各大银行的做法，绝大多数银行采用的是第一种模式。美国银行业协会的统计结果也表明：银行规模越大，越希望由在银行法律部门之下履行合规职责。为适应全球统一管理以及各个国家不同法律监管制度的需要，全能制银行和金融控股公司一般都在母公司或集团层面设立法律合规部，根据业务划分设大区法律合规部，在各分支机构和子公司分设法律合规部分派法律合规人员。在一些国际知名银行中，法律合规部门采用线型的报告和考评路径[④]。下级机构的法律合规人员向上级法律合规主管汇报，考评也由上级法律合规主管决定，不受所在分支机构行政主管的影响。各区域法律合规主管向集团总法律顾问汇报。

表2：国外大银行合规风险管理职能的设置

资料来源：各银行年报

图1：国内主要商业银行合规风险管理职能的设置

资料来源：各银行年报及公开披露资料

（三）法律部门作为合规风险归口管理部门的优越性和必要性

虽然目前合规风险管理的机构设置在实践中存在着多种模式，但以法律合规部的设置为主流做法，也是金融改革的趋势所向。这是因为，合规风险从属于法律风险的基本性质决定了，在法律部下设置合规风险管理职能，将法律部设为合规风险的归口管理部门，可更有效地实现合规风险管理的目标。

1. 提高合规风险管理的有效性。由于法律风险涵盖了合规风险，使得合规

和法律部门结合在一起成为很自然的事情。合规风险管理依托法律部门，有助于商业银行正确理解和解释法律法规、监管规则，熟悉和了解国内外监管环境，密切跟踪国内外监管立法动态。商业银行对于合规人员专业素质的要求与对法律工作人员的要求也是相类似的。巴塞尔委员会在《合规和银行合规职能》中明确指出，银行的合规人员应当具有与其职责履行相匹配的资质、经验和专业水准，能全面地理解法律、规则和标准对银行经营运作的实际影响，实时地把握所适用法律、法规、监管规则和标准的最新发展，准确对提出专业的合规审查意见。可见，银行迫切需要的合规人员不仅要拥有相应的金融背景，掌握一定的财务知识，最重要的是必须储备丰富的法律经验和技能。因此，要想做好合规风险管理，就一定要充分发挥长期存在的法律工作的积极作用和协同效应。

2. 促进成本收益的平衡。降低成本也是商业银行增强核心竞争力的重要条件。合规风险作为法律风险的一种表现形式，决定了在法律部门下设置合规风险管理职能，实现法律资源的充分利用，能有效促进成本收益的平衡，帮助商业银行找到长期发展与短期业绩的平衡点，提高各方利益相关者的满意度。而法律部门与合规机构分设，必然导致法律部门与合规机构的职能重叠，公司治理成本上升，法律资源浪费。例如，2005年，花旗集团设立了独立的政策合规评估部，从而出现了大量的交叉审查功能，这种风险管理的架构大大降低了花旗的竞争力。2006年花旗的成本增速高出收入增速一倍，引发了很多投资者的担心。因此，2007年花旗开始着手自10年前合并后的首次大规模重组，合规部门是重点审查合并的对象，职能交叉与重复设置的合规岗被大大削减。

3. 保持合规风险管理的独立性。法律部门作为合规风险的归口管理部门，可有效构筑商业银行防控合规风险的“三条防线”。第一条防线——法律部门，法律部门牵头组织建设商业银行的合规风险管理机制，为银行重大战略决策提供法律合规支持，评估和监测流程规章的合法合规性，对银行的产品和服务出具法律合规意见，审查业务经营的合法合规性，进行合规培训。第二条防线——业务条线，业务条线是防控合规风险的执行部门，对是否切实落实合规风险的防控负有首要责任，因为业务条线往往是合规风险产生的主要源头（刘红林，2008）。

第三条防线——内审、稽核部门，内审、稽核部门是合规监督部门[⑤]，既要对业务条线经营的合规性进行事后审计、定期与不定期的检查稽核，又要监督法律部门是否履行了合规风险管理职责。上述职责分工可有效地保障合规风险管理、业务经营与内审稽核之间的独立性，防止角色错位与利益冲突。

四、小结

随着商业银行发展的加速，在市场全球化、金融复杂化和监管严格化共同作用下，合规风险凸显出来。通过上述分析，不难得出，法律风险实际上涵盖了合规风险。正如同违约风险、侵权风险、诉讼风险一样，合规风险属于法律风险的一种表现形式，是法律风险进一步划分的亚风险。之所以在法律风险之外特别强调合规风险，原因是近年来国际上商业银行内部违法违规的多发势态一直未能得到有效遏制，由此造成的损失极其严重，给商业银行带来的打击甚至是毁灭性的，危及到商业银行健康稳定地发展。因此，合规风险的防控逐渐受到重视，但是这

并不意味着合规风险是独立于法律风险的一种新型的风险。合规风险本质上仍然从属于法律风险，忽视这一点必然导致合规职能的错配。

商业银行合规风险研究

发布时间: 2009-08-28 【我要纠错】 【字号 大 中 小】【打印】【关闭】

周慧

【摘要】商业银行合规风险是市场全球化、金融复杂化和监管严格化共同作用，使法律风险凸显出来的一个分支。合规风险是指银行因违反有关外部性规则而产生财务损失、监管处罚、法律制裁和声誉损失的风险。这里，外部性规则指的是适用于商业银行的法律、法规、监管规定和行业准则。合规风险管理应始终置于“守法”这一大框架之下，重点是遵循监管要求。合规风险从属法律风险的性质，决定了商业银行将法律部门设为合规风险归口管理的部门，将实现法律资源的充分利用，有助于商业银行在决策与经营中正确理解和适用法律、法规、监管规则和行业准则，促进成本收益的平衡，有效实现合规风险管理的目标。

【英文摘要】Due to globalization of markets, complication of financial industry and enhancement of regulation, compliance risk is highlighted as a branch of legal risk. The compliance risk of commercial bank means breaches of the relevant laws, regulations, rules, codes of practice, etc., which are all outside provisions of the bank. The management of compliance risk should always be placed under the legal framework, with a focus on compliance with regulatory requirements. The nuture of compliance risk

which is subordinated to legal risk, determines the compliance function will be more efficiency and less-budget if it is set up under the legal department of commercial banks.

【关键词】商业银行；合规风险；法律风险；操作风险；内审稽核

【英文关键词】commercial bank; compliance risk; legal risk; operational risk; internal audit

【写作年份】2009年

【正文】

合规风险的有效管理除了能保障商业银行遵纪守法、审慎经营之外，更有助于商业银行维护良好声誉、提升自身品牌价值、增强核心竞争力。因此，各国监管机构和一些国际性组织都致力于促进商业银行建立有效的合规风险管理体系，国际银行业也高度重视合规风险管理机制的建设。目前我国商业银行的合规工作刚刚起步，对于合规风险的管理尚在探索之中，在认识上仍存在着许多混乱。而有什么样的风险认识，就有什么样的风险管理水平。为了构建高效的合规风险管理体系，有必要对合规风险进行准确界定，厘清合规风险与其他相关风险的关系，合理设置商业银行合规风险管理的组织架构。

一、商业银行合规风险诠释

（一）合规风险的提出

在我国，“合规”一词实为泊来品，是由英文“compliance”翻译而来，“compliance”的原意为“遵守、服从”，合规风险英文原为“compliance risk”。至于中文“合规”的肇始，尚有待于进一步的考证。权威的汉语词典中还尚未收录“合规”的相关条目，“合规”的提法只不过是众口相传而已。尽管我国商业银行在经营管理中经常提及“合规”一词，但并没有形成一个统一的认识，对它的理解往往是模糊和不严谨的，很多解释仅仅停留在表面。例如，有人将合规理解为银行及其分支机构的经营管理行为必须符合银行总行制定的规章制度；有人将合规简单地理解为合乎规定，而规定应包括哪些内容，应该限定到哪个层级，就不得而知了；还有些人将合规风险视为操作风险的一种，将合规风险管理职能与内审、稽核职能混同在一起。究其根源，前述认识误区的形成是由于对合规风险的理解不准确或不充分，不能恰当地定性合规风险。

（二）合规的源起

合规实际上最早发源于美国。1973年，美国总统尼克松因“水门事件”而下台，其竞选班底被查出将带有贿赂性质的非法政治捐款通过清洗变为合法的政治捐款，该洗钱行为成为人们关注的焦点。这之后美国企业走私、贿赂、舞弊的丑闻频频曝光，沉重打击了投资者对美国市场的信心。在这一背景下，美国的监管机构开始提出企业的合规问题以及对企业的反洗钱合规要求。

为了推动企业的合规风险管理，1987年的美国《联邦审判指南》首次将企

业犯罪的量刑与合规风险管理挂钩。根据《联邦审判指南》的规定，如果触犯法律的企业已经建有合规框架预防和监测合规风险，联邦法官在量刑或判决时，可以减轻对该企业刑罚，包括减少罚款、免于刑事诉讼等。企业高管人员在民事诉讼中还可将合规风险管理机制的建立作为抗辩事由，罚金甚至可以减少95%。

2001年“9.11”事件后，反恐融资成为合规风险监管的一个重要领域，美国国会迅速通过《爱国者法》，显著地增加了商业银行的反洗钱职责，扩大到了检测、终止（在可能的范围内）并报告恐怖分子的金融方案。如果不能充分地满足这些要求，就会显著地增加银行的合规风险，银行常常会因为“协助及教唆”、“有意蒙蔽”等指控而遭受沉重的罚金、侵入式外部监管甚至刑罚。

2002年美国安然与世通破产案中，摩根、花旗、美银、瑞信等国际银行均遭受了集体诉讼。投资者指控它们为其贷款客户安然与世通公司隐瞒债务、虚增盈利、财务欺诈、指使分析师发表不实股评报告，最后这些银行不得不向投资者支付了上百亿美元的赔偿金。因而为了强化合规风险监管，2002年7月美国颁布了《萨班斯—奥克斯利法案》，对在美国上市的公司设置了极为严苛的公司治理、财务和信息披露等多方面的合规门槛。这之后，合规风险普遍为各国监管机构所重视，国际商业银行也逐步加强对合规风险的管理。

（三）合规风险的界定

1. 巴塞尔委员会的解释。巴塞尔委员会2005年发布了《合规与银行合规职

能》，尝试着提出一个较为宽泛的合规框架和基本指引，供各国监管机构和各商业银行参考和选择适用。巴塞尔委员会将合规风险定义为，因银行未能遵守所有适用的法律、法规、监管规则、自律性组织的标准以及行为准则（简称为“法律、规则和标准”）等可能给银行带来的法律制裁、监管处罚、重大财务损失和声誉损失等风险。为了避免合规风险的定义过于宽泛而造成的合规虚无化，巴塞尔委员会特别指出，合规风险监管和管理的目的是力求商业银行遵循法律的规定以及法律的精神。可见，合规风险的监管与管理始终是被置于“守法”这一大框架之下的。

2. 各国监管机构的看法。美国联邦储备委员会对合规风险的界定与巴塞尔委员会大致相同（FED，2008）。英国金融服务局则特别强调监管规则对于合规风险的重要意义，他们认为合规风险并不限于银行因违反特定的法案而受到制裁的风险，还应当包括由于银行的经营被置于一定的监管目标之下而面临的风险（FSA，2007）。新加坡货币管理局没有直接使用合规风险一词，而是将合规风险纳入了法律风险的范围之内，特别指出法律风险包括金融机构因参与洗钱和恐怖融资活动的倾向而导致的风险。

3. 国际银行的理解。汇丰、花旗、摩根大通、德意志银行等诸多国际大银行对合规风险的描述大体相同，都是指由于银行没有充分遵循相关法律法规和监管要求可能引致法律制裁或监管处罚，最终产生财务损失或声誉损失的风险。也有一些国际银行没有对合规风险给出具体定义，但明确指出合规风险包含在法律风险之中，例如日本瑞穗金融集团。普遍的认识是，合规的重点在于确保商业银

行的业务和经营遵循各种监管规则，包括中央银行、银行监管部门、证券监管部门、财政部、司法部等机构颁布的监管规则。

4. 本文的定义。对合规风险明确恰当的界定，将有益于合规风险的识别与监测。通过考察合规的起源以及关于合规风险的各种解释，可以看出，合规的前提是守法，重点是遵循监管要求。巴塞尔委员会的原则和框架只是一种参考，各国际银行还是结合本国的监管实践和银行的实际情况因地制宜地具体界定合规风险。综上，本文认为，对合规风险的合理定义应是，商业银行因违反有关外部性规则而产生财务损失、监管处罚、法律制裁和声誉损失的风险。这里，外部性规则指的是适用于商业银行的法律、法规、监管规则和行业准则。其中，合规风险的一个重要来源是银行的业务经营违反了监管规则。这是因为现实当中合规是在监管机构的推动下诞生的，商业银行的合规风险管理与监管要求密切相关。

（四）误区的澄清

1. 合规风险≠操作风险。目前有一种倾向将市场风险和信用风险之外的所有风险都称为操作风险，操作风险简直是无所不包，合规风险也被视为操作风险的一种，这显然是不正确的。这一模糊的定义在实践中引起了许多冲突和分歧，不利于风险的有效识别、监测和管理。实际上，操作风险和合规风险有着本质的不同。操作风险是由于银行的流程、人员、系统、技术的不完善或失败等引发的风险，根源是银行内部控制及公司治理机制的失效。诸如员工责任心不强、产品流程漏洞、流程执行不严、软硬件故障等，都会带来操作风险。而合规风险则是

因为银行违反法律、法规、监管规则、行业准则等外部性规定而导致的风险，根源是银行战略、经营、业务的违法违规性。例如，银行的跨国战略受到的母国与东道国双重监管发生冲突，综合化经营涉及到不同监管机构之间的灰色监管地带，新产品和新服务在开发之初超越了既有的监管政策等，都会带来合规风险。

2. 合规≠遵循银行内部的规章制度。应当注意的是，不能将合规与遵循银行内部规章制度混为一谈。二者的区别为：前者是指商业银行及其人员遵循适用于商业银行的法律、法规、监管规则、行业准则等外部性要求；后者是指银行及其人员遵循流程管理、操作规程、业务指引及行为守则，或者是分支机构遵循总行制订的规章制度等银行的内部性规定（张炜，2004）。二者的联系在于，银行内部的规章制度是银行应自身的业务需要和内控要求制定的，要接受合规审核。银监会刘明康主席在上海银行业第二届合规年会上的讲话中就明确指出，合规管理人员的大量工作就是要确保内部规章制度的合规性，以体现外部的法律、规则和准则的要求；至于银行的管理者和员工是否遵守内部规章制度，则由内审、稽核人员来检查、督促。

3. 合规风险管理职能≠内审、稽核职能。目前国内个别商业银行将合规风险管理职能与内审、稽核职能混同在一起，实际上是混淆了二者的区别。合规风险管理职能负责银行业务经营、对外法律文件、内部规章制度的合规性审查，提供合规咨询，制定合规指引，进行合规培训，化解合规纠纷，管理合规风险。内审、稽核职能则负责对内检查监督各种内部规章制度的实施落实，建立和实施内部控制机制，管理操作风险（上海银监局课题组，2005）。正像巴塞尔委员会

2006年《加强银行公司治理》中指出的那样，内审、稽核部门的职能包括审查应法律合规要求而建立的各项制度是否得到遵循和执行，因此内审、稽核部门应当充分重视涉及银行业务活动的法律法规，以及监管当局发布的关于银行组织架构和经营管理的政策、原则、规则和指引。但这并不意味着内审、稽核部门要承担合规风险管理职能，二者应当分离。

4. 合规职能≠合规部门。巴塞尔委员会2005年的《银行合规与合规职能》被视为关于商业银行合规的重要指引，有些人将该文件中的合规职能理解为合规部门，这实际上是一种误读。该文件在其引言中明确指出，要求各银行构建的“compliance function”是指合规职能，而非特指单一的合规部门（Compliance Unit\Department\Division）。巴塞尔委员会建议，一家商业银行应当根据自身的风险管理策略和组织架构来设置其合规职能，管理合规风险。以何种模式实施巴塞尔委员会指引中的合规职能与原则将取决于多种因素，如银行的规模大小、经营的复杂程度、业务的结构和区域分布，以及银行营业所在地的法律框架和监管环境（郑柏林，2004）。

二、商业银行合规风险和法律风险的相互关系

（一）法律风险管理日趋成熟，合规风险管理刚刚起步

法律风险是商业银行最古老的风险之一，随着现代商业银行的发展已经过两百多年的时间，到今天为止不论是法律风险管理的理论还是实务都已经相当成

熟。国内外商业银行都累积了丰富的管理经验和方法，建立了系统的管理机制，主要包括如下几个方面：第一，法律风险的事前预警机制，定期评估外部法律环境，制定有关各业务条线的指引，提示经营风险，支持业务发展；第二，法律风险的事中防控机制，进行法律咨询审查，参与交易谈判，加强流程管理；第三，法律风险的事后化解机制，通过解决各种纠纷和违约事件，为银行选择最妥善的处理方案并提供法律支持。

而合规风险从最早提出到现在不过三十年的光景，商业银行开始关注它也就是近些年的事情，对于合规风险的认识目前还是很模糊，防控技术和管理手段也处于摸索阶段。各国监管机关的做法更是大相径庭：某些资本输出国出于维护本国税收和经济安全的需要，热衷于反洗钱、反避税层面的合规监管；一些新兴市场国家在市场开放和全球化的大环境下也随之提出合规目标，但暂时还停留在宣誓意义上。与法律风险稳定成熟的管理机制相比较，合规风险的管理尚处于“婴儿期”。

（二）合规风险从属于法律风险

1. 从渊源上看，“法律”是上位概念，“规”是下位概念。法律风险的中“法律”是指广义上的法，即具有强制性的社会规则。法具有多种表现形式，既包括制定法，又包括习惯法；既包括立法机关出台的法律法规、行政机关颁布的部门规章，还包括监管机构发布的监管规则、行业组织制定的标准准则；既包括法律原则，又包括司法判例、法律解释；既包括国内法，又包括外国法乃至国际

条约、国际惯例。因此，法律风险的渊源囊括了所有合规风险的渊源——狭义的法律[①]、法规、监管规则、行业标准。其中，作为合规风险核心内容的监管规则不过是法律众多形式中的一种，仅仅是指监管机构制定的规定、原则、指引等。所有监管机构发布的监管规则必须依法制定，监管机构的设立、职能的划分、职权的行使也必须严格依法进行，违反了上位法或者与上位法冲突的监管规则将是无效的。因此从渊源的角度来看，“法律”是上位概念，而“规”是下位概念，法的范畴要远大于规的范畴，法律风险也就相应地大于合规风险。

2. 从引发因素来看，法律风险的诱因广于合规风险。合规风险是银行的内生风险（聂明，2007），其诱因仅限于银行内部的违法违规行为，当银行业已遵循法律法规和监管规定时，不存在合规风险。银行内部的违法违规行为当然也会带来法律风险，但是，引发法律风险的因素却远不止于此，还包括来自银行外部的事件以及法律的不确定。换句话说，即便银行本身遵纪守法，但某些外部的因素或法律制度的缺失变化仍可能使银行暴露于法律风险之中。外部事件既有交易对手的违约行为，还有他方侵犯银行合法权益的行为[②]。这些都是典型的法律风险而非合规风险。法律本身具有的不确定性也会带来法律风险，当法律修订、新的法律产生或者法律缺失时，就会对银行的经营带来不确定性从而导致法律风险。因此，从风险源头来看，法律风险涵盖了合规风险。

3. 从范围上看，法律风险涉及的领域大于合规风险。法律风险涉及的范围非常广泛，可以说，从商业银行的决策、管理到运营，从设立、扩张到终止，从业务拓展到金融创新，从内部操作流程到与客户及政府关系，从母国到东道国，

法律风险无处不在（McCormick， 2006）。而合规风险涉及的领域则相对有限。常见的，各国监管机构关注的商业银行合规风险主要集中于以下三个方面：第一，反洗钱和反恐融资，这是各国特别是欧美国家在“9.11”以后重点监管的领域，要求银行严格遵循《反洗钱法》及相关监管规定。第二，关联交易和利益冲突的限制。银行在综合化发展的同时，必须按照法律、法规、监管要求和行业规则构筑防火墙，进行信息披露，保护客户的合法权益。第三，客户通过银行规避监管和进行违法交易的禁止。在遭到此番金融危机的重创之下，欧美国家的监管机构格外强调这一点，要求银行在为客户安排交易或筹划税务时必须严格遵循本国的税法等法律法规以及监管政策。[③]上述合规风险的几个领域当然属于法律风险的范围。

三、商业银行合规风险管理的组织架构

（一）总法律顾问的设置

总法律顾问制度的构建是国际优秀银行的共性。这一制度既是银行依法决策、管理和经营的重要组织保障，又是银行切实提高竞争力的制度保障。总法律顾问作为杰出的法律专家，同时又是卓越的领导者，全面领导和管理法律合规事务。在国际商业银行的总体战略中，总法律顾问被提到越来越重要的位置，不仅影响着它们对未来变化的预判能力，还对它们的决策方向起到至关重要的作用，帮助银行解决根本的公司治理问题。因此，总法律顾问一般都是银行高管，在对首席执行官负责的同时，有些同时是董事或高级副总裁（见表1）。全球企业法

律顾问协会的调查结果显示，2005年14%的调查对象反映其公司的总法律顾问是董事，2007年这个百分比上升为16.7%（全球企业法律顾问协会，2007）。目前，只有为数不多的商业银行设置了首席合规官。首席合规官一般不属于银行高级管理层成员，要向总法律顾问汇报工作，这也是由合规风险从属于法律风险的性质所决定的。全球企业法律顾问协会2007年的调查显示，规模较大的企业（即年营业额超过80亿美元的公司），合规官对总法律顾问负责的占65%（全球企业法律顾问协会，2007）。

表1：国际知名银行总法律顾问与首席合规官的设置

资料来源：各银行年报

（二）合规风险管理的机构设置

从已有的实践看，国内外商业银行的合规风险管理的机构设置主要存在四种模式（见表2、图1）：一是在原有的法律部门下设合规职能，称为“法律合规部”或仍称为“法律部”，如摩根大通、花旗、渣打、瑞银、巴克莱、建行、中国银行、交行等。二是将法律与合规事务、资本管理、公司治理等职能放在一个部门，形成“法律合规资本部”或“法律秘书部”，如德意志银行、苏格兰皇家银行等。三是设立“法律部”与“合规部”，将法律、合规职能分置于这两个部门，但法律部与合规部的负责人都向总法律顾问报告，如汇丰集团、三菱日联集团。四是分别设立“法律部”和“内控合规部”，将法律风险的管理职能放于法律部，将操作风险与合规风险的管理职能放于内控合规部，如工行和农行。

考察国内外各大银行的做法，绝大多数银行采用的是第一种模式。美国银行业协会的统计结果也表明：银行规模越大，越希望由在银行法律部门之下履行合规职责。为适应全球统一管理以及各个国家不同法律监管制度的需要，全能制银行和金融控股公司一般都在母公司或集团层面设立法律合规部，根据业务划分设大区法律合规部，在各分支机构和子公司分设法律合规部分派法律合规人员。在一些国际知名银行中，法律合规部门采用线型的报告和考评路径[④]。下级机构的法律合规人员向上级法律合规主管汇报，考评也由上级法律合规主管决定，不受所在分支机构行政主管的影响。各区域法律合规主管向集团总法律顾问汇报。

表2：国外大银行合规风险管理职能的设置

资料来源：各银行年报

图1：国内主要商业银行合规风险管理职能的设置

资料来源：各银行年报及公开披露资料

（三）法律部门作为合规风险归口管理部门的优越性和必要性

虽然目前合规风险管理的机构设置在实践中存在着多种模式，但以法律合规部的设置为主流做法，也是金融改革的趋势所向。这是因为，合规风险从属于法律风险的基本性质决定了，在法律部下设置合规风险管理职能，将法律部设为合规风险的归口管理部门，可更有效地实现合规风险管理的目标。

1. 提高合规风险管理的有效性。由于法律风险涵盖了合规风险，使得合规

和法律部门结合在一起成为很自然的事情。合规风险管理依托法律部门，有助于商业银行正确理解和解释法律法规、监管规则，熟悉和了解国内外监管环境，密切跟踪国内外监管立法动态。商业银行对于合规人员专业素质的要求与对法律工作人员的要求也是相类似的。巴塞尔委员会在《合规和银行合规职能》中明确指出，银行的合规人员应当具有与其职责履行相匹配的资质、经验和专业水准，能全面地理解法律、规则和标准对银行经营运作的实际影响，实时地把握所适用法律、法规、监管规则和标准的最新发展，准确对提出专业的合规审查意见。可见，银行迫切需要的合规人员不仅要拥有相应的金融背景，掌握一定的财务知识，最重要的是必须储备丰富的法律经验和技能。因此，要想做好合规风险管理，就一定要充分发挥长期存在的法律工作的积极作用和协同效应。

2. 促进成本收益的平衡。降低成本也是商业银行增强核心竞争力的重要条件。合规风险作为法律风险的一种表现形式，决定了在法律部门下设置合规风险管理职能，实现法律资源的充分利用，能有效促进成本收益的平衡，帮助商业银行找到长期发展与短期业绩的平衡点，提高各方利益相关者的满意度。而法律部门与合规机构分设，必然导致法律部门与合规机构的职能重叠，公司治理成本上升，法律资源浪费。例如，2005年，花旗集团设立了独立的政策合规评估部，从而出现了大量的交叉审查功能，这种风险管理的架构大大降低了花旗的竞争力。2006年花旗的成本增速高出收入增速一倍，引发了很多投资者的担心。因此，2007年花旗开始着手自10年前合并后的首次大规模重组，合规部门是重点审查合并的对象，职能交叉与重复设置的合规岗被大大削减。

3. 保持合规风险管理的独立性。法律部门作为合规风险的归口管理部门，可有效构筑商业银行防控合规风险的“三条防线”。第一条防线——法律部门，法律部门牵头组织建设商业银行的合规风险管理机制，为银行重大战略决策提供法律合规支持，评估和监测流程规章的合法合规性，对银行的产品和服务出具法律合规意见，审查业务经营的合法合规性，进行合规培训。第二条防线——业务条线，业务条线是防控合规风险的执行部门，对是否切实落实合规风险的防控负有首要责任，因为业务条线往往是合规风险产生的主要源头（刘红林，2008）。

第三条防线——内审、稽核部门，内审、稽核部门是合规监督部门[⑤]，既要对业务条线经营的合规性进行事后审计、定期与不定期的检查稽核，又要监督法律部门是否履行了合规风险管理职责。上述职责分工可有效地保障合规风险管理、业务经营与内审稽核之间的独立性，防止角色错位与利益冲突。

四、小结

随着商业银行发展的加速，在市场全球化、金融复杂化和监管严格化共同作用下，合规风险凸显出来。通过上述分析，不难得出，法律风险实际上涵盖了合规风险。正如同违约风险、侵权风险、诉讼风险一样，合规风险属于法律风险的一种表现形式，是法律风险进一步划分的亚风险。之所以在法律风险之外特别强调合规风险，原因是近年来国际上商业银行内部违法违规的多发势态一直未能得到有效遏制，由此造成的损失极其严重，给商业银行带来的打击甚至是毁灭性的，危及到商业银行健康稳定地发展。因此，合规风险的防控逐渐受到重视，但是这

并不意味着合规风险是独立于法律风险的一种新型的风险。合规风险本质上仍然从属于法律风险，忽视这一点必然导致合规职能的错配。