JP Management Development Ltd.
遠見管理發展有限公司
Tel       :  +852-35116253  Mobile +852-69088682
email jpmgthk8@outlook.com

© 2019 by JP Management Development Ltd.

從國際視野看銀行合規管理核心構成及其相互關係 2017-12-14

        合規風險是指銀行因未能遵循法律、監管規定、規則、自律性組織制定的有關準則,以及適用於銀行自身業務活動的行為準則而可能遭受法律制裁或監管處罰、重大財務損失或聲譽損失的風險。從內涵上看,合規風險主要是強調銀行因為各種自身原因主導性地違反法律法規和監管規則等而遭受的經濟或聲譽的損失。這種風險性質更嚴重、造成的損失也更大。合規法律、規則和準則所涉的內容包括:遵守適當的市場行為準則,管理利益衝突,公平對待消費者,確保客戶諮詢的適宜性等。同時,還特別包括一些特定領域,如反洗錢和反恐怖融資,也可能擴展至與銀行產品結構或客戶諮詢相關的稅收方面的法律。如果一家銀行故意參與客戶用以規避監管或財務報告要求、 逃避納稅義務等的交易或為其違法行為提供便利,該銀行將面臨嚴重的合規風險。合規法律、規則和準則有多種淵源,包括立法機構和監管機構發佈的基本的法律、規則和準則;市場慣例;行業協會制定的行業規則以及適用于銀行職員的內部行為準則等。基於上述理由,合規法律、規則和準則不僅包括那些具有法律約束力的檔,還包括更廣義的誠實守信和道德行為的準則。

  

        從國際商業銀行的普遍做法看,合規管理的核心構成包括政策和制度、合規管理的組織架構、合規管理流程和程式、合規管理框架、為合規管理服務的基礎設施、合規管理的控制環境、持續合規認知培訓及合規文化等八個核心組成部分。以下是這八個核心組成部分的概要情況:

 

        首先,是銀行業金融機構進行合規管理的指引和依據的合規管理的政策和制度。有關政策和制度既包括來自機構外部,如監管機構頒佈的“合規指引”、資訊披露要求與規定、行業自律組織發佈的“規則”或“標準”等;也包括由有關銀行業金融機構自身制訂的政策制度。有關銀行業金融機構內部制訂的主要合規管理政策和制度通常包括但不限於:全行各層級人員均要遵循的《行為守則》、旨在明確銀行與客戶關係、確定客戶的成熟程度的《客戶的適合性和適當性政策》、管理員工個人投資證券交易活動的申報和監控的《個人帳戶交易管理制度》、在開展混業經營的情況下,銀行“內部區域(Inside Areas)”和“公眾區域(Public Areas)”之間建立和健全永久性的(Permanent walls)和臨時性的(Temporary walls)防火牆或俗稱“中國牆(Chinese Walls)制度”和《防範內幕交易制度》、管理銀行與銀行集團成員間業務關係的《關聯交易管理辦法》、規範對內和對外的資訊披露和事件升級的《合規報告制度》、用以規範和管理商業銀行工作人員個人在機構以外參與社會活動或作為其它企業股東的《銀行員工參與外部活動的內部事先申報和審批及定期申報制度》等。

 

  有關銀行除制訂和推行實施上述專項合規管理政策制度外,還會在其其它業務政策和制度上專門加入相應的合規管理條款。以某大美資國際銀行為例,該行在其信貸政策裡明確作出兩項合規規定:(1)本行在作出貸款決定時,同時要兼顧有關貸款可能帶來的社會影響等因素;(2)本行不可以為客戶的“敵意收購”提供服務,信貸資金(即銀行貸款不可以用於敵意收購)。【所謂“敵意收購”(hostile takeover),又稱“惡意收購”,是指收購公司在未經目標公司董事會允許,不管對方是否同意的情況下,所進行的收購活動。當事雙方採用各種攻防策略完成收購行為,並希望取得控制性股權,成為大股東。當中,雙方強烈的對抗性是其基本特點】。值得一提的是,該行之所以在其信貸政策中明確規定不予敵意收購貸款的背後考慮因素有二:其一,為敵意收購方提供信貸資金容易招來社會負面觀感,有損銀行聲譽(即聲譽風險);其二,敵意收購容易以失敗告終,並因此導致收購方的巨大經濟損失最終影響貸款回收。反觀在寶能系敵意收購萬科案中,我國多家各類型商業銀行銀行活躍參與其中,似乎可以合理推斷我國不少商業銀行目前並沒有在其信貸政策中加入上述合規管理條款。從公開顯示的資訊資料看:“從2015年7月至12月,包括钜盛華、前海人壽在內的“寶能系”曾先後四次舉牌萬科,並借此超越華潤,穩坐萬科的第一大股東之位。舉牌所耗資金超過300億元。寶能系除了自有資金及前海人壽的保險資金,能夠頻繁舉牌萬科成為第一大股東,主要在於其廣泛地使用了股權質押、融資融券、收益互換和分級資管計畫等四大融資杠杆工具,參與其中的商業銀行不在少數”。當然,該敵意收購的最終失敗也給有關銀行帶來聲譽損害和經濟損失的雙重負面影響。

 

  其次,是作為合規管理行為主體的組織架構。組織架構是在企業管理要求、管控定位、管理模式及業務特徵等多因素影響下,在企業內部組織資源、搭建流程、開展業務、落實管理的基本要素。在強調“人人都是合規的責任人”的同時,國際商業銀行大多在組織架構設置上特別注重體現:“職責分離、有效制衡、組織協調、分層管理”的管控理念。作為負責牽頭協調全行合規管理事宜的專責功能部門,合規管理部門須維持其獨立性。其獨立性的概念包含四個相關要素:(1)合規部門應在銀行內部享有正式地位;(2)應由一名合規官或合規負責人全面負責協調全行的合規風險管理;(3)在合規部門職員特別是合規負責人的職位安排上,應避免他們的合規職責與其所承擔的任何其他職責之間產生可能的利益衝突;(4)合規部門員工為履行職責,應能夠獲取必需的資訊並能接觸到相關人員。當然,合規管理部門和人員的獨立性並不意味著合規部門不能與其他業務部門或業務單位的管理層和員工共同工作。實際上,合規部門與其他業務部門之間相互合作的工作關係將有助於早期識別和管理合規風險。作為體現合規部門的獨立性的具體體現,一方面,合規管理部門的工作人員實行垂直管理並由總行直接派駐到基層業務單位;另一方面,為實現有效制衡和成本控制,合規管理人員實行區域化覆蓋模式。即只在某些區域中心分支機搆所在地設置合規管理部門並派駐固定的合規管理人員,由他們負責常駐區域各分支機搆的合規管理工作。由於有關合規管理工作人員不直接向他們負責覆蓋的分支機搆主管負責和報告,他們的日常工作的獨立性自然得到較好的保障。此外,以某國際領先銀行為例,以下四項工作是由該行的合規管理部門獨立負責:

  1) 中國牆(Chinese Walls)維護與監察;

  2) 利益衝突管理(Conflicts of Interest);

  3) 聯合國和美國制裁及美國財政部海外資產控制辦公室 (US Sanctions/OFAC)政策執行;

  4) 銀行員工個人帳戶交易管理 (Personal Account Dealing):包括事先申報、審批、核查以及定期和不定期更               新“限制交易證券名單”等管理工作。

 

  第三,是作為合規管理過程的合規管理流程和程式。 管理流程和程式是管理中管理者實施管理的方針和步驟。如果管理者的管理流程和程式合理得當,就可以加快管理的速度,提高管理的效率,取得好的管理成效。“把合規管理的管理流程和程式內嵌於業務流程和程式中”是國際商業銀行在合規管理中一個行之有效和值得我們借鑒的做法。為實現“把合規管理的管理流程和程式內嵌於業務流程和程式中”,有關銀行一方面要把合規管理工作流程和程式建基於原有的業務運作管理流程和程式之上,並設法把合規管理的關鍵管控節點內置在相應的既定業務流程和程式上。另一方面,有關銀行會把合規管理所依賴的IT系統與銀行的核心業務處理系統(Core Banking System)作出連結和整合,以便合規管理部門能以IT化手段對有關銀行的日常營運的合規進行持續不間斷的線上非現場自動監控。其中既包括在銀行核心業務處理系統設定過濾規則,讓系統自動按預設過濾規則把潛在可能涉及違規的業務抓取出來,再由合規管理人員進行逐筆排除核實與跟進;也包括在業務處理系統不同業務處理流程節點上內置合規管控程式。例如:若一風險容忍度評級為3的個人客戶希望購買風險度為4的投資產品,有關業務處理系統會自動強制暫停該筆業務的處理,直至包括“雙錄”等合規工作完成後,有關人員在系統上輸入相應確認和授權後該筆業務才得以繼續進行。這一流程設置和相應的系統支援,有效確保“雙錄”合規工作不但不再單純依賴負責接待有關客戶的業務人員的合規的自覺性,而且,可以確保“雙錄”的具體操作不受單個業務人員的操控或扭曲。

 

  第四,是用以有效全面覆蓋和科學管理的合規管理框架。為確保可以持續提升合規管理工作的效率和效果,國際領先商業銀行均較為注重以連貫一致的方式和方法開展合規管理工作。無論是用以分析評估某一業務領域的合規風險的評估分析方法,如合規風險分析維度和因素或因數,還是用以管控合規風險的邏輯順序,均採用某一既定的框架進行,並持續根據有關“框架”在實際工作中的應用效率和效果進行升級完善。常見的合規管理框架包括:合規管理操作框架、合規管理程式和工作流程框架、合規工作日程框架、合規風險評估框架、合規成熟度評估框架、合規成熟度矩陣、合規風險打分卡構建流程框架、監管規定變更管理框架和違規管理框架等。

 

  第五,是為有效率和有效果合規管理服務的基礎設施。在高度電子數碼化和自動化的業務環境下,構建和持續提升為合規管理服務的基礎設施便成為有關銀行合規管理效率和效果的關鍵因素和前提條件之一。概括而言,就是要用IT化和人工智慧化的手段支援配合合規管理工作的開展。目前,國際領先商業銀行用以服務合規管理的核心基礎設施包括:(1)線上合規資訊資料庫—存儲、共用及隨時更新銀行須遵循的法律、監管規定、規則、自律性組織制定的有關準則及銀行內部政策文件;(2)合規管理團隊專用資訊資料庫—存儲、共用及隨時更新合規管理團隊日常所需的相關資訊,包括工作計畫、合規審查報告、各種日常工作表格、模版等;(3)內部合規認知培訓、考試、工作任務催辦及內部溝通互動平臺系統—記錄、跟蹤行內各層級人員合規認知培訓及其合規承諾,並作為日常內部合規溝通平臺;(4)合規過濾和風險預警系統—支援線上非現場合規監控及合規風險預警;(5)與清算結算系統連結並隨時更新的支援反洗錢和執行聯合國和美國制裁及美國財政部海外資產控制辦公室的資料庫和過濾系統;(6)銀行員工個人帳戶交易管理系統。

 

  第六,是與合規管理相匹配的內部營運管理的控制環境。要確保一家銀行合規管理行之有效,光靠“運動式”和“碎片式”的專項工作顯然是無法實現的。為此,構建一個良好的控制環境(Control Environment)便成了合規管理的一個必不可少的基礎條件。一般而言,控制環境包含四個核心組成部分:(1)支援風險為基的合規管理的風險評估(Risk Assessment)— 對合規管理的領域首先進行相應的風險評估,然後再決定合規管理的資源配置和管控方法; (2)根據風險評估而作出的控制活動(Control Activities)安排;(3)持續不斷的內部資訊分享和溝通(Information & communication);(4)持續不斷的線上線下監察和監控(Monitoring)— 及早發現問題及早解決問題。

 

  第七,是確保全行各層級人員對合規要求認知和遵守的持續合規培訓。鑒於包括監管環境和法律環境在的內市場環境會持續變化的同時,銀行各層級工作人員也會持續變化(包括新增人員和原有人員工作崗位和工作職責變遷等),建立和維持一個有效率和有效果的合規認知培訓體系和機制自然而然地成為確保全行各層級人員對合規要求認知和遵守的基礎。常見的商業銀行員工合規培訓組織管理體系及方式與方法包括:(1)電子數碼化合規認知和確認管理系統;(2)線上合規認知測試和記錄系;(3)線上跟蹤和催辦系統;(4)內部合規共用電子資料庫(包括:線上答疑和熱線電話);(5)定期和不定期課堂式培訓;(6)內聯網線上“小品”、“電視劇”式培訓和認知測試;(7)視頻、電話、面對面諮詢答疑;(8)本行和同業違規個案分析培訓。

 

  第八,是深入人心並在不知不覺地支配人們行為的合規文化。合規文化是指反映自願符合市場環境預期的機構行為並成為機構活動各方面的自然和邏輯組成部分。合規文化體現在全行各層級人員共同敦信的理念、共同秉承的價值觀、共同遵守的行為操守 。正向的合規文化包括三個基本構成:(1)整個機構不同層級的人員均明瞭他們對其所負責的業務運營方面負有合規責任;(2)須圍繞他們須遵循的合規程序過程中所須承擔的職責和發揮的作用有清晰的規定;(3)當事人自願自覺遵循有關程式既可以是因為有業務利益,也可以是他們志願遵循的商業精神。良好的合規文化通常會突出:強溝通、強培訓、強認知、強落實、強協調和強整合等特點。關於對國際銀行的“合規文化”更詳細的介紹,請參閱2017年12月11日博文:《從次貸危機反思商業銀行的合規文化》http://www.cnfinance.cn/blog/article.php?uid=36&id=2025

 

  總而言之,合規管理是一系統工程,上述合規管理的八個核心構成中的任何一個組成部分均是這系統工程中不可或缺的組成部門。每一核心組成部分相互依存、相互作用。系統、全面、持續的合規認知培訓可不斷強化銀行自身的合規文化;良好的合規文化可確保全行各層級人員自願自覺地合規和參與合規管理;在既定的合規政策和制度的指引和規範下,有關銀行可通過所設置合規管理的組織架構作為合規管理的行為主體和合規管理資源配置基礎,並採用一整套連貫一致和結構性的合規管理框架和按既定的合規管理流程和程式,依託以資訊科技術為手段的合規管理服務的基礎設施 ,在與合規管理相匹配的內部營運管理環境下開展合規管理工作,最終確保合規管理的效率和效果能得到持續改善與提升。