一、合规审查的定义与目标
合规审查是指金融类公司工作人员或借助外部人员依照法律和法规、政策和程序,常规性地核准制度、程序的合法性,确保其与监管要求符合,为业务部门提供和合规问题相关的顾问协助和支持。但理论与实践对于证券公司合规部的合规审查这一定义的内涵及其外延,事实上却存在着并不一致的看法,鉴于此,开篇有必要先就所提及的合规审查予以界定。
(一)合规审查的定义
合规审查是全行上下的共同责任,不是单纯由合规部门自身独自履行,合规部门与风险控制管理部门在合规审核方面是相互协作。因此,证券公司合规审查应有广义和狭义之分。
广义上的合规审查是指:公司部门具有合规审查职能的部门负有履行合规审查职责的业务条线与分支机构的统称。也即“大合规”。
狭义的合规审查为:合规管理部门识别、评估、通报、监控并报告公司合规风险的一个独立职能部门的职能。合规部门应根据法律、法规主动识别和管理合规风险,按照合规风险的报告路线和报告要求及时报告。即为“小合规”。
本篇依照2008年7月14日发布的《证券公司合规管理试行规定》,对于合规审查定义采用“小合规”体例,将合规审查定义为:合规部门依法对证券公司内部管理制度、重大决策、新产品和新业务方案等进行合规审查,并出具书面的合规审查意见,以及合规总监对公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查的审查制度。
(二)合规审查的目标
现代理念认为:在合规审查的目标上,应以为公司创造利润为最终目标,取代单纯的风险审查目标。作为证券公司,其合规审查的目标不仅是管住风险,而且必须与公司经营的总体目标保持一致,与股东权益长期提高的价值取向保持一致,即合规审查要服务于公司实现利润最大化的核心目标,合规审查能够提高承担风险所带来的收益。因此,合规部门不能就风险论风险,在合规审查过程中要充分考虑成本、收益和业务发展,追求过滤掉风险的收益,不仅要通过控制不良资产来减少损失,还要通过建立合规风险管理体系,确保在有效控制风险的前提下,保持公司的客户、产品等各渠道源源不断地创造出更多的效益,为公司持续创造丰厚的回报,保证公司效益最大化的最终目标的实现。
二、合规审查的特点与范围
(一)合规审查的特点
1、合规审查的多角度
证券公司合规审查应该包括每一个业务和管理单元,以全面风险审核取代单一的风险审核。过去的实践表明,尽管证券公司的所有业务都包含一定程度的风险,但公司内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,合规审查不能仅仅从某项业务、某个部门的角度考虑风险,必须坚持以效益最大化为中心,按照业务增长与风险控制相适应、风险成本与风险收入相匹配的基本原则,建立涵盖信用风险、市场风险、操作风险等各类风险的、技术先进、制度健全、适度集中、执行有效的合规风险审核体系。在宏观管理层面有统一的合规政策、统一的合规制度。在微观操作层面对机构、业务、过程中蕴涵的各种风险加以识别,用统一的标准和先进的技术方法进行测量并加总各种风险,在通盘考虑各种风险的状况和影响的基础上,出具审核意见,确保合规审核能够识别公司面临的风险。
2、合规审查的协调性
合规审查的协调性表现在时间上协调性和业务上协调性。因为外部法律法规环境在不断变化,公司业务产品在不断创新,合规工作需要适时作出反应和调整,定期检查、修正合规机制以保证审核最新的合规风险,保证公司始终处于合规守法,稳健安全经营的状态。公司合规审查不仅仅是合规部门的审查,这就要求合规人员应具有较高的业务素质和较强的协调能力,既要善于处理好与外部监管部门或外聘律师的关系,也要妥善处理好本行内部与其他部门分支机构的关系。
3、合规审查的预警性
预警性是指合规审查不仅仅是事前的一种审查,更重要的是事前防范。通过审查,要能够及时判定、评估和监测公司所面临的类似合规风险,并就合规风险向高级管理层和董事会提出咨询建议和报告,对执行系统的合规措施或程序,在事前识别合规风险和发现可能违规行为进行评估,最大限度地减少违规行为实际发生的可能性。
(一)合规审查的范围
目前我国合规以及合规审查还处于刚刚初创的阶段,《证券公司合规管理试行规定》对于合规部合规审查的范围界定,可以说是一个“小合规”的概念。公司内部合规职责未必都由“合规部”或“合规处”承担,可由不同部门的职员履行。例如,公司内部的法律部门、合规部门、风控部门都可能履行合规审核,为此,责未必全部都由“合规部门”独自承担。以下讨论的合规审查范围,是就其前述定义概括起来的合规部主要4大项范围。
1、合规审查基本范围
(1)新制度的审查及修订
合规工作是一个需要不断提高、改进的动态过程,需要适时根据外部环境、法律法规、证券改革等多种因素做出反应并制定新制度。为此要通过及时修订各项业务的操作规章,揭示合规风险及与其他证券风险的相关性,使依法合规经营原则真正落实到业务流程的每一个环节和每一位员工。
因此,合规部门应该是一个“持续控制部门”,在公司业务管理中应定位于中台角色,持续履行内部管理职能,评估内部各项程序和指引的适当性,实时跟进在政策和程序方面已被发现的包括违规风险在内的任何缺陷,并提出制度的审查与修改性建议,制定与监管法规、内控、声誉风险管理相关的政策等,加强合规风险提示,坚持“与时俱进”。需要说明的是,新制度的审查与修订后并不意味着任务的完结,合规新制度的审查内容应与业务结合。紧密遵循法律法规只是公司合规管理的起点,而非终点。深入了解公司的业务经营模式,以保证合规管理的标准合理与质量到位才是非常必要的。
当公司所面临的法律法规和市场情况发生变化时,以及新制度的制定审核与修订后,合规部门同时应当对合规手册进行修订并进行评估,以确保公司经营行为仍然符合相关要求,合规管理仍然可以有效控制风险,合规手册内容仍然可以正确地指引公司的发展,如果合规手册规程制定与推行过程不能与公司新制度的制定以及修订相结合,那么合规管理就存在缺陷,并可能在未来引发问题。
2、新产品、新业务的审查
违规操作所带来的短期经济利益,往往超过违规操作可能产生的负面后果。当业务发展受到利益的驱动时,合规经营与违规操作之间的权衡使得规章制度的效力逐渐弱化。一方面是由于违规操作不一定都会被发现,另一方面即便被检查发现了,只要不涉及案件,一般不会处罚或处罚比较轻微。因此,业务发展与合规经营的关系就转变为在经济利益与违规处罚之间的一种“权衡利弊”的关系,并且这个利益与处罚的“天平”往往是不平衡的,最终导致合规经营在面临经济利益的诱惑时,其有效性大打折扣。所以合规部对业务部门新产品、新业务的审查方面,应注意新产品和新业务的开发和拓展、新客户关系的建立或这种客户关系的性质发生重大变化时,应积极主动对合规风险进行识别、评估、量化、监控、测试和报告;协助业务部门针对合规风险,设定恰当的内控流程和标准;参与新产品、流程的审批;对产品销售宣传材料、销售渠道选择等方面提供合规建议;在合规风险暴露之后加强对危机的管理和及时处置。或有必要时采取监管、测试和汇报制度:(1)通过有效的具代表性的合规性测试来进行合规性的监管。测试结果按照证券公司内部风险管理的流程通过汇报线向上级进行汇报;(2)合规总监应该向高级领导层就合规性问题进行经常性的汇报。汇报内容应包括汇报期间对于新产品、新业务合规性风险的评估等。
当然,合规部门的这种做法并不是要代替业务部门的工作,合规部门仅仅是从合规风险管理的层面,对业务部门的新产品、新业务的合规性进行判断、识别、管理和评估,且在有必要,系统地提出修改建议。
3、重大决策的审查
如前所述,合规审查的目标是保证公司效益最大化。但是当公司追求快速发展、追求当期利润最大化的时候,面对瞬息万变的市场,如果一味讲究合规导致呆板和低效率,就很有可能因此而丧失机会。然而,如果单纯追求利润最大化而忽视了合规风险的管理,又有可能使合规风险成为现实,而使公司遭受更大的声誉和财产的损失。因此,正确处理合规与发展的辩证关系,是合规部重大决策的审查首先需要面对的问题。这种审查要求证券公司不但要建立科学、适宜的合规管理机制和组织架构,还要求证券公司的文化体现求实、灵活的合规审查理念。这些基本要求具体体现在公司高级管理层和合规部门的合规理念上。这种理念要求在合规与现实中间不断寻求既符合业务发展需要,又不使合规失效的平衡方案。因此在重大决策的审查时,按照法律的相关规定,合规总监可以对审议事项充分发表意见,使决策者充分听取合规意见,使决策事项合法、合规,规避违规风险。
当然,事物的发展是瞬息万变,事前的重大决策,很可能在事中时由于政策性的导向而出现问题,此时需要重大决策的合规回查。这种回查也可能发现公司存在的簿弱环节,这时应当建议尽可能快地进行整改。这样,公司可能因表现出尽快改正原来的重大决策和尽快弥补受到伤害的对象的行为从而获得依照相关规定的减、免处罚。
4、合规总监的其他合规审核
证券公司设合规总监。作为合规负责人,合规总监通过合规部人员对公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查。而这种合规审查能够促进合规总监与员工的正确互动交流,保障合规审查的时效性和有效性并在业务主管的管理下,达到人人合规的理念。
依照相关规定,证券公司开展相关业务时,证券监管机构会要求证券公司报送申请材料,为保证申请材料的准确、真实、完整以及及时性,合规总监有必要对相关申请材料进行合规审查,并在该申请材料上签署明确意见。同时对于定期报告,合规总监也应当进行合规审查。为了保证责任性,合规总监应当将出具的合规审查意见、提供的合规咨询意见、签署的公司文件、合规检查工作底稿等与履行职责有关的文件、资料存档备查,并对履行职责的情况作出记录。
三、合规审查的方式与流程
(一)合规审查的方式
证券公司无论在拓展新业务、开发新产品或者在已有业务发展的过程中满足客户个性化需要方面,还是在安全保障与后勤支援方面,或者在对外宣传和物质建设方,只要与客户或者外界产生经济往来,都无可避免地涉及法律、规则和准则。
过去在合规部合规审查范围未理清之前,很多法律或风控方面的合规审核,也纳入合规部的工作职责范围。有很多相关业务主管甚至部门经理、员工亲自向其信任的合规经理或者合规专员进行电话或者当面的口头咨询,不进入任何程序,没有采用规范化的工具。因此,使得审查结果无据可依,若以“经过审查”的名义做出决策,其决策将因合规性依据不足而导致问责基础不确定,进而引发决策随意性的可能大为增加。所以,在我国证券业合规部门开展合规审查的同时,目前对合规审核范围相对明确为新制度、新产品、新野业务、重大决策等,就需要进行规范化、专有化、流程化和精细化的书面(或电子版)留痕动态审理方式。把合规审查审查融入公司动态管理的系统工程,才能体现合规审查的实际意义,才能真正发挥防范和控制合规风险的作用。
为此,应注重将合规审查工作贯穿于事前、事时和事后的全过程,并且努力从操作上控制风险,坚持内部合规部门最少经过两次合规审查程序:初审和复核。根据合规审查人员的工作特点,明确审查要点,确定审查操作步骤,确保审查程序的合法。同时,通过合规履职的独立性、权威性的保障,给予其行使职权的必要资源,如合规审查时,合规人员可以获得必要的数据和准确的信息资料、利用稽核部门与业务条线的检查整改数据等等,进行合规性分析;通过梳理制度、编制流程文件、揭示风险点、建立风险库等手段,使合规部成为打造流程、完善内控体系、监督并评估系统运行效率和整改实际效果的综合风险管理的牵头部门。
(二)合规审查的流程
这是目前我国证券业合规部门,进行合规审查需要解决的工作路径。也是证券业实施全面流程管理的需要。
1、关于流程
合规审查不单纯是基于基本审核范围内业务的审查,而且是基于风险的流程管理。内部审查制度要有利于业务流程管理,服务于整个管理各类风险的需要。各业务条线制定的相应政策、程序、操作手册或操作指南,组成满足合规审查流程管理要求的相关制度,成为指导实际操作的标准。合规人员的大量工作之一就是要确保审核制度的合规性。缺乏流程管理的合规审查,看似很完善,实际操作性却很差。因此,只有树立起合规审查流程管理的理念,才能从整体上落实合规审查的质量。2008年7月14日发布的《证券公司合规管理试行规定》,才基本对合规审查范围达成一定共识,但仍有实际问题需要论证。
基于目前合规审查的探索起步阶段,各证券公司的着力点也不尽相同。确定一个成熟的流程建设也应是考虑的重点。应采用稳健策略,以实事求是的精神,发挥公司主观能动性,先试点,待成熟若干流程模式后,经对比总和,再行全面推广。目前流程尚不健全,有待进一步规范定型。
(三)合规审查的建议
合规审查的的建议职能,建立在以调查、监测和测试为手段的报告义务基础之上。该义务由公司合规团队履行。对合规风险进行识别、量化和评估,再向高级管理层报告。提交合规建议书,其实质是对合规风险进行状态和危害性描述,并做出明确的评估结论,最终提出避免外部风险和对制度、业务自身问题的整改方案,确保高级管理层对合规风险状况和主要合规风险环节有充分认识,因此是履行建议的职能。
在目前,作为起步阶段的必须,提供格式如下:
合规审查建议书:
:
本合规部接受你部提交的合规审查新制度(或新业务等),经过对你方提交的材料进行审查。认为: 。为使所审查内容符合合规要求,现对存在的主要问题提出如下意见:
1. 。
2. 。
3. 。
4. 。
XX证券公司合规部
X年X月X日
四、合规审查的难点问题及相关建议
合规审查的相关问题已如前述,但合规审查实践中仍有需要我们面对的问题。从目前实际操作状况来看,以下问题值得我们思考。
(一)不同框架下的合规审查范围及建议
如前所述,“大合规”审核范围很广,而这次以法律性规定明确的合规审核范围,其实质是单指合规部门应审核的范围,以此来解决关于合规部合规审核范围的纷争。也即合规部门对有限的列举式事物进行审核。但事物的发展往往具有复杂性,法律的简单划分很难将烦杂的事情化为简单,如果实践中既有(1)管理和评估风险部门的风险判断、识别;也有合规风险的判断、识别;更有内部法律部评价,或(2)法律部、风控部涵盖在合规部内,对于此类审核属于那类范畴有不同认识。笔者的意见是:第一种情况,合规管理部门应从合规的角度对风险部门风险审核的完备性、政策的合规性、风险评估方法的科学性进行判断、识别、和评估,这样问题迎刃而解。对于第二种情况由于只是一种形式的归口问题,只考虑实质属于那类合规审核范畴,实质性操作即可,而没有必要再分出是否属于那种审核范围。
2、外部法律意见与合规审核效力问题及建议
2008年7月14日发布的《证券公司合规管理试行规定》,公司可以聘请外部机构对公司的相关问题作出评价并出具意见。其中对于外聘律师事务所出具的法律意见与公司内部合规部门,对同一事项出具的不同结论性意见效力问题并未涉及,这是该规定在可操作性层面需要进一步完善的地方。关于二者效力问题,笔者认为不能一概而论,要区别以下几种情况区别看待:(1)当所涉及内容纯属法律风险问题,可以考虑外部法律意见的效力大于内部合规审核意见;(2)当所涉及内容经过甄别可以认定为非法律风险时,可以考虑以内部合规审核的结论性意见为主;(3)如果所涉及问题既包括法律风险又包括合规风险时,那么先看法律风险意见,再看合规风险意见。之所以如此考虑是:其一如果只涉及法律风险意见,那么外部律师的意见不仅作为法律专业人士,更可以因为其无利害关系的身份地位,因此其出具的意见更为相对客观。依照法律规定,其公信力更高;其二如果只涉及合规风险问题,那么公司内部合规专业人员,能够以合规审核的独特视角审视应有的合规风险。相对这部分,外部律师专业实践相对较弱,因此,建议以合规审核意见为主;其三如果两者风险都涉及,那么就得两者都要考虑。而先考虑法律意见,是因为合规审核就其实质来说是高于风法律审核,当法律审核意见并未发现风险并不意味着没有合规风险,所以采取先考虑法律意见再看合规意见,这样对于解决问题较为周详。(完)
