1992年Treadway委员会经过多年研究,针对公司
行政总裁
、其他高级执行官、董事、
立法部门
和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(InternaControl-IntegratedFramework)报告,即通称的
COSO报告
。该报告
第一部分
是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为
公司管理层
、董事会和
其他人员
提供评价其
内部控制系统
的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。
2001年底发生的
安然事件
等一系列财务丑闻,暴露了美国核查体系的
严重缺陷
,而上述核查体系原本是用来保护公众公司的股东、
养老金
受益人和雇员的利益,并保护美国公众对
资本市场
的稳定、公正的信心的,安然等一系列事件无疑严重动摇了公众对会计师行业的信心。针对上述公司失败事件,
美国国会
在2002年出台了《
萨班斯-奥克斯利法案
》,该法案为公众公司的外部
审计师
们创建了一个广泛的、新的监督体制,并将对财务报告的
内部控制
作为关注的具体内容。国会不仅要求
管理层报告
公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的
准确性
。
这一套控制规范被称为中国的“
萨班斯法案
”,自正式实施之日起,执行
企业内控
规范体系的企业,必须对本企业内部控制的有效性进行
自我评价
,披露年度自我评价报告,同时聘请具有证券期货业务资格的
会计师事务所
对其财务报告内部控制的有效性进行审计,出具
审计报告
。注册会计师发现在内部控制审计过程中注意到的企业非财务报告
内部控制重大缺陷
,应当提示投资者、债权人和其他
利益相关者
关注。
这些法案的推出,让公众公司面临新的合规监管要求。合规管理部门需要在公司的内部控制和治理流程中,保证企业的
经营行为
能够与法律、法规、政策、最佳范例或
服务水平
协定保持一致。而若在经营中不符合必要的标准,公司可能将面临被罚款、要求赔偿等风险,降低公司价值,影响声誉及商业机会。
合规管理的内容
有效的合规管理有助于企业应对
不确定性
、风险和机会,有助于保护和增加
股东价值
,降低未
预期损失
和声誉损失的可能性。
合规
管理制度建设
、合规咨询、合规审查、合规检查、合规监测、法律法规追踪、合规报告、反洗钱、
投诉举报
处理、监管配合、信息隔离墙(监视清单与限制清单)、
合规文化建设
、合规信息系统建设、合规考核、合规问责等。而
国际金融组织
对合规的定义是:
一、合规(英文即compliance)
:使公司
经营活动
与法律、管治及内部规则保持一致;
二、与目标连用,具体指必须致力于遵守企业主体所适用的法律法规。
合规管理的三个维度
合规管理中讲的“合规”可以细分为三个层次:
一、规制,即遵守
公司总部
所在国和经营所在国的相关法律法规和行业准则;
三、规范,即遵守公司内部的规范流程,包括
职业道德
规范。强化合规管理,就要从这三个层次上探索创新。
在这三个层次中,遵守法律法规及行业准则对企业来说是必须满足的硬性要求。“
萨班斯法案
”、“COSO内部控制框架”以及国内的“
企业内部控制配套指引
”均对企业合规做了严格要求。
为了确保实现以上三个层次的合规管理,企业需要在自身的内控以及对经销商、供应商及其他第三方合作伙伴的合规审核方面加强管理,以适应政策监管的复杂环境和不确定性,从而降低企业可能遭受的财务及声誉损失。
合规管理是指企业通过制定合规政策,按照外部法规的要求统一制定并持续修改内部规范,监督内部规范的执行,以实现增强内部控制,对违规行为进行早期预警,防范、化解、控制合规风险的一整套管理活动和机制。合规管理的目的就是通过建立一套机制,使公司能够有效识别、评估、监测合规风险,主动避免违法违规行为发生,从而免受法律制裁或财务、声誉等方面的损失,防范操作风险。
合规管理、业务管理与
财务管理
并称企业管理的三大支柱,合规管理实际是
内控
的一个重要方面,同时也是风险管理的一个关键环节。
由于合规管理的目标之一是需要面对政策监管进行
自证
清白,因此企业无论是在选择新的合作伙伴,还是在管理现有供应商、经销商、其他第三方合作伙伴或开展
企业内控
工作时,往往需要引入能给出独立审核建议的专业风险管理机构作为独立第三方来协助管理。而与
第三方机构
合作已成为国际上较通用的合规
管理方式
。
例如,在美国,
邓白氏
是全球历史最悠久的
商业信息
服务机构,也是现今美国
企业征信
领域的巨头。这家公司给企业提供的风险
管理服务
中就包括合规服务。资料显示,庞大的全球
商业数据库
是其核心竞争力。D&B的全球商业数据库是全世界最大的企业信用数据库,覆盖逾2.4亿家企业。这得益于其悠久的历史和
全球化
的
发展战略
,公司在19世纪后期便开始在
澳大利亚
、
墨西哥
等国设立分支机构。公司
数据来源
渠道广泛,包括当地
商事登记
部门、黄页、报纸和出版物、官方公报、互联网、银行和法庭,还通过拜访和访谈形式收集相关信息。
在中国,随着2013年
葛兰素史克中国行贿事件
被揭露,合规管理在国内尤其是在
跨国企业
中得到了空前的重视,特别在
医药行业
的影响力尤为广泛和持久。因此,外资背景的风险管理机构在中国的合规管理业务逐渐成为了热门。还拿邓白氏举例,他们在中国的子公司
华夏邓白氏
在2013年
葛兰素史克
事件(简称GSK事件)发生之前就已经在为许多外资企业提供合规报告,而GSK事件发生后,华夏邓白氏利用其母公司邓白氏在全球的数据库网络,提供的合规服务更是将核查范围覆盖到了国内外,不仅国内媒体及诉讼信息基本上都能查到,同时还能查询
美国
、
英国
、
澳大利亚
、欧盟、
联合国安理会
等多个国家及国际组织发布的制裁名单、政治敏感人物(PEP)等信息。许多外资企业都在通过邓白氏的合规报告来调查他们的供应商、经销商等第三方的合规情况。
除了通过合规报告调查合作伙伴的合规性,企业往往还会采取的方法之一就是对重点对象进行合规
尽职调查
,比如制度规章对标、流程评估优化等。另外,对于
经销商管理
中常常会出现的返利
补偿金
问题,以及对于
医药企业
而言经常会做的会议
赞助活动
中涉及到的合规管理问题,企业通常都需要通过第三方风险管理机构来提供专门的审核服务并出具独立意见,从而帮助企业监管内外部的合规问题。
合规风险
风险关系
传统的
银行风险
包括
信用风险
、
市场风险
、
操作风险
三大风险,合规风险是基于三大风险之上的更基本的风险。合规风险与银行三大风险既有不同之处,又有紧密联系。其不同之处是:合规风险简单地说是银行做了不该做的事(违法、违规、违德等)而招致的风险或损失,银行自身行为的主导性比较明显。而三大风险主要是基于客户信用、市场变化、员工操作等内外环境而形成的风险或损失,外部
环境因素
的
偶然性
、刺激性比较大。其联系之处在于:合规风险是其他三大风险特别是操作风险存在和表现的重要诱因,而三大风险的存在使得合规风险更趋复杂多变而难于禁控,且它们的结果基本相同,即都会给银行带来经济或名誉的损失。 过去,
商业银行
通常把合规风险视同于
操作风险
,多注重于在业务操作环节和操作人员上去设关卡,其结果并不奏效,操作风险仍然在银行内部人员中大量存在并不断变换手法。这就说明,简单地把合规风险等同于操作风险的认识是不全面和
不准确
的。虽然大量的操作风险主要表现在操作环节和操作人员身上,但其背后往往潜藏着操作环节的不合理和操作人员缺乏合规守法意识。而银行合规风险在绝大多数情况下发端于银行的制度决策层面和各级管理人员身上,往往带有制度缺陷和上层色彩。因此,就现实情况而言,银行即使防范了基层机构人员操作风险的发生也未必能防范制度或管理上合规风险的发生。所以,对合规风险一定要格外重视,因为它有时造成的危害和损失比一般
操作风险
要大很多。
巴塞尔银行监理委员会
合规风险管理根据
巴塞尔银行监管委员会
关于合规风险的界定,银行的合规特指遵守法律、法规、监管规则或标准。传统的
操作风险
、信用风险和
市场风险
这三大类风险有可能对
银行资本
造成损失,但合规风险主要判别在于
银行经营
过程是守法还是违法。近年来"曝光"的银行内部的一些案件,恰恰说明"合规文化"在我国
银行业
的肤浅或缺失,“合规文化”的
管理理念
还远远没有浸润到银行的日常管理和决策中。
中国银监会上海监管局局长
王华庆
强调,当前
商业银行
“合规文化”建设的核心是合规机制的建设,组建相对独立的合规部门。必须改变长期以来的
粗放式管理
套路,尽快建设透彻的“合规文化”,在
运营管理
的每个细节和环节上始终坚持以是否合规来判断和决策,进而逐步形成商业银行经营管理全新的"合规
文化传统
"。
国外商业银行大都设有合规部门,其职责包括合规风险的识别、监测、评估与报告,及时发现并制止风险产生以及由此造成的破坏;梳理整合银行的各项
规章制度
、合规培训、参与银行的组织构架和
业务流程再造
、为新产品提供合规支持。对国内大多数
商业银行
而言,构建合规风险
管理机制
任重而道远
。最明显的问题是没有单设的合规部门,或者其职能由审计部门、法律事务部或监察部门分担,而具体职能定位还只限于按照监管当局的要求进行的例行检查,对于如何建立有效的合规制度没有必要的准备。因此,商业银行培育"合规文化",建立合规风险管理机制势在必行。
合规风险管理
一、树立主动合规意识,克服被动合规心理。合规是银行业稳健运行的基本内在需求,也是银行文化的重要组成部分。
1.在银行员工中树立合规人人有责、主动合规意识、合规创造价值等理念,让员工接触到每一笔业务时,就要想到必须进行合规风险的审查,倡导主动发现和暴露合规风险隐患或问题,以便及时整改。
2.合规文化是由一整套的制度、方法和工具支持的,这需要银行加强规章制度的
后评价
。针对发现的问题相应地在业务政策、行为手册和操作程序上进行适当的改进,以避免任何类似违规事件的发生和纠正已发生的违规事件,并对相关责任人给予必要的惩戒措施。如果发现了合规风险而隐瞒不报,一旦被内审部门或外部
监管者
查实,隐瞒不报者一定要受到更加严厉的惩罚;而对于主动报告问题或隐患的,则可以视情况
减轻处罚
,甚至免责乃至给予奖励。
3.要将
绩效考核
机制作为培育合规文化的重要组成部分,以充分体现
商业银行
倡导合规经营和惩处违规的
价值观
念。
二、制定合规政策,组建合规部门。合规部门是支持、协助银行高级
管理层
做好合规风险管理的独立职能部门,一线
业务部门
对合规负有直接的责任,高级管理层对银行合规经营负有最终的责任。构建商业银行合规风险管理机制,需要设立专职的合规部门,并且要确保合规部门不受干扰地发现、调查问题,让合规人员及时地参与到银行
组织架构
和
业务流程
的再造过程,使依法合规经营原则真正落实到业务流程的每一个环节乃至每一位员工。同时,要制定和核准一个符合
商业银行
自身特点且行之有效的合规政策,它是银行合规风险管理的纲领性文件;通过实践积累经验,摸索出一条
有效管理
合规风险的
运行机制
和治理
操作风险
的治本良策。但必须明确:切忌将合规部门的工作到位与否作为银行各业务部门和高级管理层推卸责任的借口,合规部门绝不能成为高级管理层和其他部门责任追究的“替罪羊”。
三、建立举报
监督机制
。要在员工中树起依法合规经营和控制合规风险的意识,必须建立举报监督机制,为员工举报违规、
违法行为
提供必要的渠道和途径,并建立有效的
举报保护
和
激励机制
。
四、建立
风险评估
机制。要尽快建立健全和完善
风险识别和评估
体系,认真借鉴国际先进经验,积极运用现代科技手段,建立健全覆盖所有业务风险的监控、评估和预警系统,重视
早期预警
,认真执行重大违约情况登记和风险提示制度。
五、将合规风险管理机制建立在“
流程银行
”基础之上。要彻底打破以往承传多年的在稳定和封闭的
市场环境
中、在
金融产品
单一的
计划经济
时期形成的“
部门银行
”体制,打破各部门
条块分割
、各管一段的部门风险
管理模式
,有效避免各自为政、相互扯皮现象,建立以
客户需求
为中心的统一封闭流程,以既服务
好客户
、又控制好包括合规风险在内的各种风险为原则,优化和精简业务流程。
