合规管理模式的变迁路径及其启示
2006-09-29肖远企
肖远企
从20世纪90年代初开始,不少发达国家和地区的监管机构先后出台了有关银行业机构内部合规管理的规定。2003年10月,巴塞尔银行监管委员会发布了《银行内部合规部门》的咨询文件;2005年4月29日,巴塞尔银行监管委员会又发布了《合规与银行内部合规部门》的高级文件。至此,国际社会基本确立了银行业合规管理的新模式。至为关键的问题是,这种国际动向对于银行业合规管理模式而言意味着什么本质性的变化?为什么这种变化会从20世纪90年代初开始并迅速发展?我们应该如何创新性地借鉴有关国际经验,推动我国银行业合规风险管理模式改革?
美国的合规管理模式变迁
20世纪30年代的大萧条之后,美国为了确保银行系统的稳定,银行业作为受到了非常严格的监管。银行监管的核心内容主要集中在合规监管方面,即银行是否忠实执行了监管部门制定的法律法规和规章制度。从大萧条结束到20世纪70年代,严格的合规监管有效地维护了银行的稳定。从1944年到1974年,美国银行倒闭的数目从大萧条时期最高的4000家下降到了个位数。
但是,随着市场利率上升超过了管制利率(Q条例规定的存款利率),合规监管开始变相受到挑战。规避管制的金融创新日益盛行,商业银行通过金融工具(如货币市场存单、可转让定期存单等)的创新绕开了利率管制对银行带来的不利影响。但是,由于管制所造成的金融效率的损失和金融市场的扭曲也日益凸现。
20世纪80年代,以《1980年存款机构放松管制和货币控制法》为标志,美国率先启动了放松管制的进程。遗憾的是,在放松管制的过程中,由于缺乏一套完整的监管制度与机制来弥补合规监管放松之后形成的真空,金融风险日益突出。80年代,美国每年银行倒闭的数目上升到了三位数。美国经历了储贷协会等银行危机后,日益深刻地认识到,仅仅是放松管制,虽然能够带来金融效率的短暂提高,金融系统的稳定性却在同时被迅速降低。这种背景之下,通过有效的风险计量工具测算银行风险,估算银行潜在损失,并要求银行通过补充资本和计提拨备的方式防范银行风险,成为了重要的监管准则。正因为如此,20世纪90年代中期,巴塞尔协议所具有的监管功能——弥补合规监管放松带来的监管薄弱地带,被提高到了非常重要的地位。此即西方监管中提到的资本监管阶段。
然而,东南亚金融危机再次敲响了警钟。在监管机构层面,风险监管的理念逐步得以形成和发展。资本充足率要求经过多年的探索已成雏形;外部监管经过多年的实践,基本框架和理念日趋成熟;市场自律强调了如何强化银行自身的自我约束意识与行为。特别是在安然、世通等世界性大公司出现严重欺诈行为之后,强化银行等市场参与主体的自我约束已经迫在眉睫。在这种背景之下,具有合规管理特征的《萨班斯法案》应运而生,为美国银行进一步加强自我约束指明了方向。
审视其他国家银行合规管理的历史,也大抵如此。总体来看,合规管理模式变迁的基本逻辑是:通过放松外部管制,减轻银行被动合规的压力,减少银行业被动合规导致的效率损失和成本增加,以提高金融效率;通过制定强制性的内部合规管理法规,以促进银行强化内部主动合规管理以求得风险与效率的有机平衡。
合规管理模式变迁的基础审视
从合规管理变迁的历史来看,大致经历了“管制缺乏导致风险严重——为应对风险实施严格管制——为促进金融效率放松管制——为防范新的风险,强调外部监管与内部自我约束并重”的历史变迁轨迹。主要原因如下:
首先,市场风险日益凸现,严格的外部合规监管并不能实现对风险的有效管理。
随着发达国家的政府不再充当某些风险的保险人或者管理者,市场风险日益突出。在20世纪50年代,随着美国放弃固定利率,美国银行面临的利率环境出现了越来越大的波动。在20世界50年代前,银行利率在很长一段时间里保持稳定;在50年代里,美国3个月起的国库券利率一般在1%到3.5%之间波动;70年代的波动幅度扩大到了4%到11.5%之间;80年代的波动幅度继续扩大,到了5%和15%之间。再如,随着布雷顿森林体系的解体,汇率政策向浮动汇率转变导致了汇率的巨幅波动。
随着经济金融全球化的深化,银行业面临的风险出现了复杂化和复合强化的特征。在这种背景之下,全球经济没有防火墙。更为严重的是,行为金融学研究表明,人们面临风险时的决策往往存在反应过度现象,而对风险的过度敏感甚至恐慌,将可能导致原有的风险以加速的方式在全球范围内放大和扩散,从而出现全球化之后,风险的复杂程度和复合强化系数呈几何级数增长。
在这种情况下,银行作为市场的参与者,需要借助金融市场的特殊工具来为“新”的风险提供保险。而银行所选择的这些特殊工具,将因为银行的业务涉及的地理领域、业务品种范围、风险偏好、资产规模等因素的不同而不同。由此衍生出相互区别的风险管理模式,并最终内生出不同的合规要求。在这种背景之下,银行合规管理一方面需要满足同业共同遵守的最低要求,更重要的是需要建立能够很好管理其风险的内部合规机制和模式。总体来看,越是政府担保风险弱化、市场风险突出、金融风险管理工具市场发达的地区,银行的内部合规风险管理的重要性和迫切性越突出。如2005年,设立合规部的国家和地区几乎全是经济金融较为发达的国家和地区(见表1)。
其次,信息技术的发展,使得风险具有更大的综合性,对于风险的管理和防范更强调时效性。
信息技术的发展极大地提高了信息交换的效率。与此同时,也增加了风险传染与综合的概率,导致风险具有更大的复杂性,为风险和计算机传播的“蝴蝶效应”提供了传导通道。如,因为有了相当发达的信息技术,国际“热钱”的增长速度远远超过国际贸易的增长速度,使得一些商业银行在风险预警、检测与防范方面“捉襟见肘”。监管机构更难于对单个机构的风险进行跟踪监测和防范。这时候,监管机构通过监控银行系统的稳定性和好银行的最佳做法,而抛弃“事必躬亲”的合规监管原则,应该是合理且较为科学的模式。另外,目前的银行业务在很大程度上依赖于这种技术方式,而制定有效内部管理规则以确保在运用这种技术的过程中犯错或者误解的概率最小化,是极为重要的基础设施。这一任务,必须由商业银行根据行情和自己的信息化水平进行相应的管理和控制。
第三,银行合规风险呈现出新的发展趋势。
随着市场风险的多元化、复杂化,合规风险不仅仅是违反有关法律法规而受到有关当局的处罚和制裁,更多地体现为履行风险管理职能的银行由于没有遵守内部规章和操作规程而导致重大财务损失。随着风险的变化,监管机构将允许银行在满足最低要求的情况下,制定出更高的、更为有效的风险管理规则和操作指南,形成银行内部具有特色的规章制度。从而使得合规具有了双重含义。一是公司的内部管理制度和业务规则符合法律法规、监管规定和行业准则;二是内部管理制度得到实际执行,其中的“规”主要包括立法机构和监管机构发布的基本法律、规则和准则,市场惯例,行业协会制定的行业标准和规则,以及适用于银行职员的内部行为准则等。
实践表明,遵守银行内部规章制度对于防范道德风险和操作风险具有越来越重要的意义。如,相继发生的重大操作风险案和银行洗钱案等风险丑闻,大多是由银行自身合规风险管理失控所致。值得一提的是,随着监管实践的深入,监管机构越来越认识到,让富有经验的银行在构建风险管理体系方面发挥更大的作用具有非常重要的意义,而且部分监管机构已经将角色开始转向对富有经验的银行的内部风险管理体系的监控。
随着银行业务的日益多元化、复杂化和国际化,各国监管当局意识到,监管机构要持续跟踪单个机构的风险变得日益困难,外部合规性监管不应该、事实上也不可能替代银行内部的合规风险管理,有效的合规性监管必须以健全、高效的银行合规风险管理机制为基础,加强银行合规风险管理机制建设更是日显重要,而监管者应将更多的精力放在监管银行的内控制度及其执行情况上。
强化内部合规管理的基本内涵
为满足上述功能要求,银行内部合规管理至少具有如下内涵:
强化内部合规管理是从银行风险管理的现实需要中内生出来的。在整体经济金融国际化程度较低、风险较小,特别是存在政府对风险进行担保的情况下,实行严格的外部合规监管还是强化内部合规管理并未显得特别重要。相反,随着经济和金融国际化程度的加深,银行面临的经济金融风险日益突出,而政府逐渐退出对利率、汇率等风险的担保的情况下,强调银行强化内部合规管理就具有日益重要的意义。
高度重视内部合规管理的专业化。在监管机构进行严格合规监管的时代,合规管理是通过监管机构这一专业机构专门实施的。在合规管理转向银行内部的时候,如果不能建立专业化的合规管理机制,一方面会导致银行内部合规管理与银行监管机构之间的信息交流与沟通机制难以顺畅;另一方面,还会导致合规管理人员与部门难以胜任合规管理的基本要求,毕竟内部合规管理要求银行的合规管理水平比外部合规监管时的管理水平更高;此外,合规管理作为监管职责向银行内部转移,在合规管理过程中,与银行追求利润最大化目标,特别是追求当期利润最大化目标将会产生冲突,如果没有专业的管理机制,将导致合规管理的弱化和失衡。这种专业化的管理机制包括专业的合规管理人员,专门的合规管理部门与职责,专门的合规管理报告与反馈路线,并且要避免合规管理人员的合规职责与其所承担的其他职责之间出现利益冲突。
沟通机制的重要性越发突出。强化内部合规管理能否取得成效的一个重要条件是,监管机构所制定的法律法规是否能够确保其具有正向激励功能。因为合规管理转向商业银行内部之后,外部既不可能也没有必要对商业银行的合规情况进行频繁的、“地毯式”的监管与核查。那么,给予银行执行有关法律法规的正向激励,使得银行合规管理目标与监管目标尽可能一致,就显得非常重要。而要达到这样的要求,就需要监管机构和银行在法律法规制定过程中形成充分互动的良性机制。一方面,银行合规管理部门要充分研究即将出台的法律法规,提示最新的法律、法规变化对业务的影响,向管理层提出建议,并结合本行的实际情况和发展趋势,对法律法规提出建设性意见和建议。争取在法律法规制定过程中,充分表达自己的意见和要求。另一方面,监管机构要充分征求和考虑银行对于法律法规的意见和建议。这种征求和考虑意见的过程可能比较漫长,有的可能还要进行多次,以求达成共识。
合规管理必须是一个持续性过程。合规管理内部化的主要目的是提高银行管理、防范和控制风险的能力。银行作为经营风险的企业,每时每刻都面临着风险,都需要管理风险。因此,合规管理必须是一个持续性过程。相应地,与内部审计部门定位于“定期控制部门”不同,合规部门应该是一个“持续控制部门”,在银行业务管理中应定位于中台角色,持续履行以下内部管理职能。
在法律法规执行层面,就适用法律、规则和标准等向管理层提出建议;为业务部门提供有关法律、监管法规的指导;为员工恰当执行法律、规则和标准等制定书面指导意见;对业务操作人员提供合规咨询;评估内部各项程序和指引的适当性,实时跟进任何在政策和程序方面已被发现的缺陷并提出修改建议;制定与监管法规、内控、声誉风险管理相关的政策,如员工行为准则、反洗钱政策与内控流程、敏感岗位强制休假制度、员工与公司利益冲突解决政策等。
在业务风险管理方面,在新产品和新业务的开发和拓展、新客户关系的建立或这种客户关系的性质发生重大变化时积极主动地对合规风险进行识别、评估、量化、监控、测试和报告;协助业务部门针对合规风险,设定恰当的内控流程和标准;参与新产品、流程的审批;对产品销售宣传材料、销售渠道选择等方面提供合规建议;在合规风险暴露之后加强对危机的管理和及时处置。
内部合规管理必须全员参与。因为银行的风险管理涉及到银行经营管理的各个环节和众多人员,并且必须有很好的风险管理文化,才可能有好的风险管理体系与机制。因此,内部合规管理必须全员参与,高度重视。一是合规管理必须从高层做起。高级管理层直接领导合规风险管理部。如,董事会主席直接领导合规部;董事会或其下设委员会每年至少对银行的合规政策及其执行情况进行一次评审;董事会或董事会下设的委员会每年至少与合规负责人进行一次面谈。同时,高级管理人员要率先垂范,不仅要树立合规意识,更要在行动上以身作则,保持言行与银行的宗旨和价值观念相一致,为全体员工作出表率。二是必须设立独立的合规管理部门。主要包括:合规管理部门应在银行内部享有正式地位;应有一名高级管理人员全面负责合规风险管理;合规管理部门职员为履行职责,应能获取必需的信息,并能接触相关人员。三是必须推行全员合规理念。合规并不仅仅是合规管理部门或合规人员的职责,更是全行每一位员工的责任。商业银行需要倡导合规“人人有责”的理念,使全体员工树立“我们要合规”的意识。此外,还应建立鼓励每个员工监督和举报他人不合规问题的机制。
对我国银行合规管理的启示
从前面的分析,结合我国经济金融形势,我们可以得出如下启示:
我国需要尽快强化银行内部合规管理。随着我国金融领域即将全面开放,利率市场化改革正在逐步深入推进,有管理的浮动汇率制度正在健全和完善,银行商业化改革进程加速,经济金融环境已经提出了合规管理向银行内部转移的需求。目前已经成功实现合规管理向银行内部转移的国家的实践经验表明,合规管理与银行的成本及风险控制、资本回报等核心经营绩效指标有正相关关系。强化合规管理向银行内部转移,既是健全银行监管机制,完善风险监管模式的重要内容之一,也是银行在复杂的风险环境下实现利润最大化的重要手段之一。
要大力推动银行内部合规管理机制建设。从国际监管历史看,推动银行完善风险管理体系的动力主要来自于监管者,而不是来自于银行内部机构。在我国目前银行的市场退出机制不很健全的情况下,就更是如此。由于强化银行内部合规管理涉及银行的高级管理层和银行内部组织架构的调整,此项工作要在综合考量、深思熟虑的基础上,作为全局性的、整体性的工作来推进。当然,推进过程不能“一刀切”,那些参与国际经济金融市场程度较深、受全球经济金融风险影响较大的银行可先行探索,而规模较小、业务范围局限于个别地区、特别是不发达地域的银行类金融机构,则根据实际情况区别对待。
银行内部合规管理必须建立垂直管理模式。银行合规管理强调对业务合规的支持、咨询和监督。在以分行为利润中心的管理模式下,如果不确保合规管理的垂直管理,将无法保证合规管理的权威性和有效性。但是,一旦合规管理沦为“橡皮图章”,银行将处于“无人防守”的危险境地。
内部合规管理机制建设要与业务管理流程改革联动。合规风险的识别、量化、评估、监测和报告过程,实质是银行评价规章制度执行力,审视业务流程优化程度的过程。因此,要搞好内部合规管理,有效防范合规风险,就需要认真研究探索内部合规管理机制建设与银行管理流程改革的联动,打破各部门条块分割、“各管一段”的部门风险管理模式,以既服务好客户、又控制好风险为原则,优化、精简业务流程。
尽快完善信息系统。合规管理是一个实时动态的互动过程,必须有一个强有力的信息发布平台支持合规风险的动态及时监测、评估和分析,合规信息的及时发布与实时更新,实现管理层与员工的互动交流,保障合规管理的时效性和有效性。但是,到目前为止,不少银行的管理信息系统都未考虑银行合规风险管理的需要,无法对合规风险管理提供系统支持。因此,健全和完善信息系统,开发出对合规风险进行动态的、持续的监测、评估和分析功能,为合规风险管理提供管理信息系统支持,将是股份制商业银行IT建设的重要内容之一。
督促银行加强合规文化建设。一是董事会及高级管理层应担负起合规机制建设的职责,革除“重经营、轻管理,重业务发展、轻风险防范”的落后理念。国际上现在普遍认为,CEO 既是首席执行官,也是首席道德官(chief ethical officer),负有有效管理银行合规风险的责任。因为只有银行董事会切实承担起在全行推行诚信与正直的价值观念的责任,银行的合规政策才能得以有效实施。二是必须有清晰的合规风险责任界限。一线业务部门对合规负有直接的责任,高级管理层对银行合规经营负有最终的责任。切忌将合规管理部门的工作到位与否作为银行各业务部门和高级管理层推卸责任的借口,合规管理部门绝不能成为高级管理层和其他部门责任追究的“替罪羊”。三是要加强“自我合规”意识教育。只有当一家银行的文化强调全行上下都严格遵守高标准的道德行为准则时,该银行的合规风险管理才是最为有效的。所以,必须通过教育,提高认识,提高全体员工的思想道德准则,以确保合规风险管理切实有效。
要高度重视建设合规管理的再监督机制。合规风险管理具有相当强的独立性,且拥有合规风险报告的“绿色通道”,可能更有机会拿到“尚方宝剑”。因此,对合规风险管理的监督机制建设,对于合规风险管理的持续有效性非常重要。合规风险管理的监督机制主要包括以下几个方面。一是设计科学的监督考核标准,对合规风险管理的有效性进行持续地考核评价,重点是检查和评估合规管理部门为保证银行遵守相关法律、规则及标准而实施的措施是否有效。二是内审部门加强对合规管理部门的审计监督,保证内审部门对合规管理部门的工作进行独立的监督与考核。三是将合规管理状况作为外部审计的重要内容之一。四是及时进行合规风险管理成效的同质、同类机构比较,以寻找差距,发现问题。五是监管机构在监管过程中,及时对合规管理状况进行全面、客观地评价。
尽快培养合规管理的专门人才。专业知识是合规风险管理的起点,专业人才是合规风险管理的基础。人才将最终决定合规管理的效力和效率。合规工作涉及银行不同层次、不同业务的经营管理,需要熟悉法规和立法意图(KYA,know your authority)、了解经营业务(KYB,know your business)及客户(KYC,know your customer)的复合型人才。目前,我国这方面的人才相当匮乏。如何利用各种渠道发掘人才和培养人才,将是合规风险管理的关键所在。
(作者系中国银监会监管二部副主任)
责任编辑:柯 丹