更新时间:2024-07-05 10:46
合规风险(Compliance Risk),根据巴塞尔银行监管委员会发布的《合规与银行内部合规部门》,“合规风险”指的是:银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、以及适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。从内涵上看,合规风险主要是强调银行因为各种自身原因主导性地违反法律法规和监管规则等而遭受的经济或声誉的损失。这种风险性质更严重、造成的损失也更大。
1992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(InternaControl-IntegratedFramework)报告,即通称的COSO报告。该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。
COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。
根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》(也称“COSO内部控制框架”)。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。
2001年底发生的安然事件等一系列财务丑闻,暴露了美国核查体系的严重缺陷,而上述核查体系原本是用来保护公众公司的股东、养老金受益人和雇员的利益,并保护美国公众对资本市场的稳定、公正的信心的,安然等一系列事件无疑严重动摇了公众对会计师行业的信心。针对上述公司失败事件,美国国会在2002年出台了《萨班斯-奥克斯利法案》,该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制,并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的准确性。
在中国,2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委刚刚联合并发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
这一套控制规范被称为中国的“萨班斯法案”,自正式实施之日起,执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷,应当提示投资者、债权人和其他利益相关者关注。
这些法案的推出,让公众公司面临新的合规监管要求。合规管理部门需要在公司的内部控制和治理流程中,保证企业的经营行为能够与法律、法规、政策、最佳范例或服务水平协定保持一致。而若在经营中不符合必要的标准,公司可能将面临被罚款、要求赔偿等风险,降低公司价值,影响声誉及商业机会。
合规管理的内容
有效的合规管理有助于企业应对不确定性、风险和机会,有助于保护和增加股东价值,降低未预期损失和声誉损失的可能性。
合规管理制度建设、合规咨询、合规审查、合规检查、合规监测、法律法规追踪、合规报告、反洗钱、投诉举报处理、监管配合、信息隔离墙(监视清单与限制清单)、合规文化建设、合规信息系统建设、合规考核、合规问责等。而国际金融组织对合规的定义是:
一、合规(英文即compliance):使公司经营活动与法律、管治及内部规则保持一致;
二、与目标连用,具体指必须致力于遵守企业主体所适用的法律法规。
合规管理的三个维度
合规管理中讲的“合规”可以细分为三个层次:
一、规制,即遵守公司总部所在国和经营所在国的相关法律法规和行业准则;
二、规则,即遵守公司内部规章制度,包括企业价值观、商业行为准则;
三、规范,即遵守公司内部的规范流程,包括职业道德规范。强化合规管理,就要从这三个层次上探索创新。
在这三个层次中,遵守法律法规及行业准则对企业来说是必须满足的硬性要求。“萨班斯法案”、“COSO内部控制框架”以及国内的“企业内部控制配套指引”均对企业合规做了严格要求。
为了确保实现以上三个层次的合规管理,企业需要在自身的内控以及对经销商、供应商及其他第三方合作伙伴的合规审核方面加强管理,以适应政策监管的复杂环境和不确定性,从而降低企业可能遭受的财务及声誉损失。
合规管理是指企业通过制定合规政策,按照外部法规的要求统一制定并持续修改内部规范,监督内部规范的执行,以实现增强内部控制,对违规行为进行早期预警,防范、化解、控制合规风险的一整套管理活动和机制。合规管理的目的就是通过建立一套机制,使公司能够有效识别、评估、监测合规风险,主动避免违法违规行为发生,从而免受法律制裁或财务、声誉等方面的损失,防范操作风险。合规管理、业务管理与财务管理并称企业管理的三大支柱,合规管理实际是内控的一个重要方面,同时也是风险管理的一个关键环节。
第三方合规风险管理机构
由于合规管理的目标之一是需要面对政策监管进行自证清白,因此企业无论是在选择新的合作伙伴,还是在管理现有供应商、经销商、其他第三方合作伙伴或开展企业内控工作时,往往需要引入能给出独立审核建议的专业风险管理机构作为独立第三方来协助管理。而与第三方机构合作已成为国际上较通用的合规管理方式。
例如,在美国,邓白氏是全球历史最悠久的商业信息服务机构,也是现今美国企业征信领域的巨头。这家公司给企业提供的风险管理服务中就包括合规服务。资料显示,庞大的全球商业数据库是其核心竞争力。D&B的全球商业数据库是全世界最大的企业信用数据库,覆盖逾2.4亿家企业。这得益于其悠久的历史和全球化的发展战略,公司在19世纪后期便开始在澳大利亚、墨西哥等国设立分支机构。公司数据来源渠道广泛,包括当地商事登记部门、黄页、报纸和出版物、官方公报、互联网、银行和法庭,还通过拜访和访谈形式收集相关信息。
在中国,随着2013年葛兰素史克中国行贿事件被揭露,合规管理在国内尤其是在跨国企业中得到了空前的重视,特别在医药行业的影响力尤为广泛和持久。因此,外资背景的风险管理机构在中国的合规管理业务逐渐成为了热门。还拿邓白氏举例,他们在中国的子公司华夏邓白氏在2013年葛兰素史克事件(简称GSK事件)发生之前就已经在为许多外资企业提供合规报告,而GSK事件发生后,华夏邓白氏利用其母公司邓白氏在全球的数据库网络,提供的合规服务更是将核查范围覆盖到了国内外,不仅国内媒体及诉讼信息基本上都能查到,同时还能查询美国、英国、澳大利亚、欧盟、联合国安理会等多个国家及国际组织发布的制裁名单、政治敏感人物(PEP)等信息。许多外资企业都在通过邓白氏的合规报告来调查他们的供应商、经销商等第三方的合规情况。
除了通过合规报告调查合作伙伴的合规性,企业往往还会采取的方法之一就是对重点对象进行合规尽职调查,比如制度规章对标、流程评估优化等。另外,对于经销商管理中常常会出现的返利补偿金问题,以及对于医药企业而言经常会做的会议赞助活动中涉及到的合规管理问题,企业通常都需要通过第三方风险管理机构来提供专门的审核服务并出具独立意见,从而帮助企业监管内外部的合规问题。
广泛持续收集合规风险信息,进行必要的筛选,比较,分类,组合等,有效识别合规风险。合规风险信息应实施动态管理。
传统的银行风险包括信用风险、市场风险、操作风险三大风险,合规风险是基于三大风险之上的更基本的风险。合规风险与银行三大风险既有不同之处,又有紧密联系。其不同之处是:合规风险简单地说是银行做了不该做的事(违法、违规、违德等)而招致的风险或损失,银行自身行为的主导性比较明显。而三大风险主要是基于客户信用、市场变化、员工操作等内外环境而形成的风险或损失,外部环境因素的偶然性、刺激性比较大。其联系之处在于:合规风险是其他三大风险特别是操作风险存在和表现的重要诱因,而三大风险的存在使得合规风险更趋复杂多变而难于禁控,且它们的结果基本相同,即都会给银行带来经济或名誉的损失。 过去,商业银行通常把合规风险视同于操作风险,多注重于在业务操作环节和操作人员上去设关卡,其结果并不奏效,操作风险仍然在银行内部人员中大量存在并不断变换手法。这就说明,简单地把合规风险等同于操作风险的认识是不全面和不准确的。虽然大量的操作风险主要表现在操作环节和操作人员身上,但其背后往往潜藏着操作环节的不合理和操作人员缺乏合规守法意识。而银行合规风险在绝大多数情况下发端于银行的制度决策层面和各级管理人员身上,往往带有制度缺陷和上层色彩。因此,就现实情况而言,银行即使防范了基层机构人员操作风险的发生也未必能防范制度或管理上合规风险的发生。所以,对合规风险一定要格外重视,因为它有时造成的危害和损失比一般操作风险要大很多。
合规风险管理是指银行主动避免违规事件发生,主动发现并采取适当措施纠正已发生的违规事件,其岗位手册也是一个相关制度和相应做法持续修订的周而复始的循环过程。这一合规风险管理的过程,是构建银行有效的内部控制机制的基础和核心。
合规风险管理根据巴塞尔银行监管委员会关于合规风险的界定,银行的合规特指遵守法律、法规、监管规则或标准。传统的操作风险、信用风险和市场风险这三大类风险有可能对银行资本造成损失,但合规风险主要判别在于银行经营银行业的肤浅或缺失,“合规文化”的管理理念还远远没有浸润到银行的日常管理和决策中。
中国银监会上海监管局局长王华庆强调,当前商业银行“合规文化”建设的核心是合规机制的建设,组建相对独立的合规部门。必须改变长期以来的粗放式管理套路,尽快建设透彻的“合规文化”,在运营管理文化传统
国外商业银行大都设有合规部门,其职责包括合规风险的识别、监测、评估与报告,及时发现并制止风险产生以及由此造成的破坏;梳理整合银行的各项规章制度、合规培训、参与银行的组织构架和业务流程再造、为新产品提供合规支持。对国内大多数商业银行而言,构建合规风险管理机制任重而道远
2005年4月29日国际巴塞尔银行监管委员会发布了《合规与银行内部合规部门》的高级文件,提出了银行合规管理与合规部门建设的10项指导原则,可以说这是为国际银行业的合规管理确立了一个标准。
合规是银行业一项核心的风险管理活动,健全、有效的合规风险管理机制,是实施以风险为本监管的基础。商业银行可以从以下五方面构建合规风险管理机制。
一、树立主动合规意识,克服被动合规心理。合规是银行业稳健运行的基本内在需求,也是银行文化的重要组成部分。
1.在银行员工中树立合规人人有责、主动合规意识、合规创造价值等理念,让员工接触到每一笔业务时,就要想到必须进行合规风险的审查,倡导主动发现和暴露合规风险隐患或问题,以便及时整改。
2.合规文化是由一整套的制度、方法和工具支持的,这需要银行加强规章制度的后评价。针对发现的问题相应地在业务政策、行为手册和操作程序上进行适当的改进,以避免任何类似违规事件的发生和纠正已发生的违规事件,并对相关责任人给予必要的惩戒措施。如果发现了合规风险而隐瞒不报,一旦被内审部门或外部监管者查实,隐瞒不报者一定要受到更加严厉的惩罚;而对于主动报告问题或隐患的,则可以视情况减轻处罚,甚至免责乃至给予奖励。
3.要将绩效考核机制作为培育合规文化的重要组成部分,以充分体现商业银行倡导合规经营和惩处违规的价值观念。
二、制定合规政策,组建合规部门。合规部门是支持、协助银行高级管理层做好合规风险管理的独立职能部门,一线业务部门对合规负有直接的责任,高级管理层对银行合规经营负有最终的责任。构建商业银行合规风险管理机制,需要设立专职的合规部门,并且要确保合规部门不受干扰地发现、调查问题,让合规人员及时地参与到银行组织架构和业务流程的再造过程,使依法合规经营原则真正落实到业务流程的每一个环节乃至每一位员工。同时,要制定和核准一个符合商业银行自身特点且行之有效的合规政策,它是银行合规风险管理的纲领性文件;通过实践积累经验,摸索出一条有效管理合规风险的运行机制和治理操作风险的治本良策。但必须明确:切忌将合规部门的工作到位与否作为银行各业务部门和高级管理层推卸责任的借口,合规部门绝不能成为高级管理层和其他部门责任追究的“替罪羊”。
三、建立举报监督机制。要在员工中树起依法合规经营和控制合规风险的意识,必须建立举报监督机制,为员工举报违规、违法行为提供必要的渠道和途径,并建立有效的举报保护和激励机制。
四、建立风险评估机制。要尽快建立健全和完善风险识别和评估体系,认真借鉴国际先进经验,积极运用现代科技手段,建立健全覆盖所有业务风险的监控、评估和预警系统,重视早期预警,认真执行重大违约情况登记和风险提示制度。
五、将合规风险管理机制建立在“流程银行”基础之上。要彻底打破以往承传多年的在稳定和封闭的市场环境中、在金融产品单一的计划经济时期形成的“部门银行”体制,打破各部门条块分割、各管一段的部门风险管理模式,有效避免各自为政、相互扯皮现象,建立以客户需求为中心的统一封闭流程,以既服务好客户、又控制好包括合规风险在内的各种风险为原则,优化和精简业务流程。