对金融企业合规管理三道防线的 理论研究 —— 以高盛外汇交易处罚案为例 摘要:在企业风险管理中,对业务部门、合规部门与内审部门的职责分工,存在著名的三道防线理论。2018年5月份,美国金融监管机构对高盛银行在外汇交易当中的违规行为进下面是小编为大家整理的对金融企业合规管理三道防线的 理论研究 —— 以高盛外汇交易处罚案为例 ,供大家参考。
摘要:在企业风险管理中,对业务部门、合规部门与内审部门的职责
分工,存在著名的三道防线理论。2018年5月份,美国金融监管机
构对高盛银行在外汇交易当中的违规行为进行了处分。透过该1亿美
元的罚单,我们可以借鉴美国监管机构的做法,强化合规管理三道防
线建设在我国金融监管整改当中的地位与作用。
关键词:三道风险;外汇交易;美国监管处分;全面风险管理;合规
管理2018年5月,高盛集团因外汇交易违反纽约银行法,被美联储和美
国纽约金融服务管理局联合处分1亿美元。其违规行为主要包括:与
其他全球银行不当提供顾客信息、存在不利于顾客的非法行为以及潜
在影响外汇交易价格。其违规事实并不复杂,但违规行为暴露出的该
集团合规管理的漏洞那么值得深思。
一、高盛集团本次罚单的主要内容
(-)高盛集团本次罚单的概况美国纽约当地时间2018年5月1日,美联储官网消息显示,高盛
集团局部外汇交易员在2008年到2012年间通过电子聊天室与竞争
对手交换交易信息,损害了客户利益,监管机构据此介入调查。高盛
集团对外汇交易员的监管和内部控制存在缺陷,这是不平安与不稳健
(-)全面风险管理理论下的三道防线理论在全面风险管理理论模型当中,将企业风险管理的第一道防线划分为
运营管理层,第二道防线为组织中的各类风险管理、内控、合规职能,第三道防线为拥有相对独立地位进行确认活动的内部审计职能。组织
当中的治理机构、董事会、审计委员会或者高级管理层,并没有在三
道风险模型当中担任角色,但是董事会与高级管理层是各道防线的主
要利益相关者,能够在三道防线当中发挥作用。
风险管理的三道防线模型提供了一个有效控制风险的框架,可适用于各类组织,甚至是一些尚未建立正式的风险管理和控制框架的组织。
三道防线模型可以帮助组织明确各个部门风险管理的职责和控制职能,提升风险管理的效率。
全面风险管理理论在我国企业界也获得了较为广泛的认可,不少金融
企业据此对本公司各部门风险管理职责进行了相关的分工。如2015年6月5日,原银监会《关于加强银行业金融机构内控管理有效防
范柜面业务操作风险的通知》(银监办发[2015]97号)指出,银行业金融机构要加强“三道防线”建设,并将"三道防线”具体职责设定为:业务管理条线作为第一道防线应承当起风险防控的首要责任;风险合
规条线作为第二道防线应认真落实风险监测、重点业务风险检查、风
险事件牵头处置及实施问责等职责;审计监督条线作为第三道防线应
加大对重点风险隐患的监督检查,对检查发现的违规违纪问题提出整
改意见。其中,将风险合规条线全部划分在第二道防线的做法,依据
的就是全面风险管理理论。
(二)合规风险的特殊性与合规管理三道防线理论对金融企业的合规风险,并没有统一的定义。目前较为权威的定义包
括:原银监会在《商业银行合规风险管理指引》中将合规风险定义为
”商业银行因没有遵循法律、规那么和准那么而可能遭受法律制裁、监管处
罚、重大财务损失和声誉损失的风险";原保监会在《保险公司合规管
理方法》中将合规风险定义为保险公司及其保险从业人员因不合规的保险经营管理行为而引发法律责任、财务损失或者声誉损失的风险;
证监会在其2017年发布的《证券公司和证券投资基金管理公司合规
管理方法》中,将合规风险定义为因证券基金经营机构或其工作人员
的经营管理或执业行为违反法律法规和准那么,而使证券基金经营机构
被依法追究法律责任、采取监管措施、给予纪律处分、出现财产损失
或商业信誉损失的风险。综合上述我国监管机构的定义,合规风险的核心要义有二:一是不遵守相关监管规定或者准那么;二是承当不遵守
法律或者规那么的不利后果、财务损失或者商誉损失。
鉴于合规风险也属于企业全面风险管理范畴的一局部,因此,合规管
理也应该可以采纳风险管理的三道防线理论。但是我们必须看到,合
规风险具有跟金融企业其他风险如市场风险、流动性风险等风险的不
同特征,即合规风险是难以计量的,且具有不可选择承当的性质。也
就是说,我们并不能选择违反相关法律法规或者行业准那么的方式来承
担合规风险的不利后果。例如,高盛集团的外汇交易案,虽然外表上
只是高盛集团被处分1亿多美元,但是高盛集团即使预先预期到会被
处分1亿多美元,也无法事先选择承当放纵员工进行外汇交易聊天室
的违规行为,这与商事合同可以选择违约交付赔偿金承当法律风险的做法不一样。
在实践当中,我国金融界也开始强调合规风险的特殊性。如原保监会
2016年发布、2017年7月1日生效的《保险公司合规管理方法》
(保监发〔2016〕116号)就指出,保险公司应当建立三道防线的合规管理框架;进而又在《保险公司合规管理方法》当中对保险公司合
规管理的三道防线进行了划分:保险公司各部门和分支机构履行合规
管理的第一道防线职责,保险公司合规管理部门和合规岗位履行合规
管理的第二道防线职责,保险公司内部审计部门履行合规管理的第三
道防线职责,并定期对公司的合规管理情况进行独立审计。
在全面风险管理理论当中,是以风险管理为维度对企业的各部门分工
进行划分的。据此,在合规风险管理当中,也应该以合规风险为维度
进行风险的划分。按照美国监管机构在高盛案中提出的整改要求,高
盛集团外汇交易所在部门应作为其合规管理的一道防线,对部门的违
规行为承当相关合规管理责任;而高盛集团的合规管理部门作为第二
道防线,应向第一道防线的业务活动提供合规支持,组织、协调、监
督第一道防线开展合规管理的各项工作;作为第三道防线的高盛集团
内部审计部门,那么应该对第一、二道防线的合规风险管理活动进行确
认。美国监管机构的观点具有一定的合理性。我国金融企业,可以根
据自己的实际情况,加强自身的合规管理三道防线建设。
四、对加强我国金融机构合规管理三道防线建设的思考合规管理三道防线建设理论,对于金融企业全面加强合规管理具有重
要的意义。高盛集团作为美国历史悠久的金融企业,本次在集团合规
风险管理的三道防线建设上被出具罚单,教训深刻。对于我国金融企
业,建议从以下方面加强企业的合规管理三道防线建设。
(-)金融企业的三道防线职责划分涉及金融企业合规风险管理时,需要对整个企业的合规风险管理职责
进行划分。首先,业务部门从事具体业务,对日常的合规管控具有直
接的责任,应该作为合规风险的第一道防线;而合规管理部门,对业
务部门提出的合规管理需求进行业务支持与监督,应该作为第二道防
线;内部审计部门那么应履行合规管理第三道防线的职责,定期对公司
的合规管理情况进行独立审计。最后,企业的高管层那么作为合规的首
要责任人,对合规管理承当最终责任。
对于第一道防线的合规管理岗位是否应包含金融企业中行使风险管理
职能的部门,如法律、风险部门,理论与实务界存在不同的看法。对
此,笔者认为,从强调合规风险的特殊性角度出发,应该将上述部门
划归第一道防线,毕竟法律管理部门整体上应对合规风险进行牵头管
理。当然,如果法律与合规同为一个部门,或者法律管理岗位行使合
规部门职责,那么可划入第二道防线。
(-)金融企业三道防线的具体履职内容合规管理是金融企业预防、识别、评估、报告和应对合规风险的行为。
一般来说,其应包含制定和执行合规政策,开展对监管规那么的跟踪与
落实、合规培训、合规审查、合规风险监测、合规检查与调查、合规
监督整改、合规报告等方面,涵盖业务管理的事前、事中、事后环节,并通过合规考核的方式来保障合规管理的落实。在高盛处分案当中,美监管机构对高盛集团的整改重点为加强其内部控制与合规程序建设,以及合规风险管理、内部审计。其中,业务部门重点加强的领域包括
对监管规那么的跟踪与落实、合规风险监测、合规审查、合规培训I、合
规报告这五个事前、事中环节;合规部门重点加强的领域包括合规风
险监测(含识别、评估)、合规审查、监督整改这三个事中、事后环
节;内部审计重点强调的领域是合规风险监测与监督整改。
我国金融企业合规管理在当前的严监管形势下,对违规责任追究已高
度重视并相对完善。从2017年12月中央经济工作会议将防控系统
性金融风险列为三年的目标来看,相信严监管的形势不会变。有鉴于
此,我国金融企业可以结合目前金融合规管理的现状,运用三道防线
做好合规风险管理:应该在第一道防线的合规管理履职上下功夫,强
化全流程管理,特别是事前与事中管理。具体来说,要做好监管规那么
的跟踪与落实、合规培训I、合规风险监测、合规审查、合规报告这五
个环节的管理;第二道防线合规管理部门那么提供合规支持,组织、协
调、监督各部门和分支机构开展合规管理各项工作;第三道防线部门
要定期对公司的合规管理情况进行独立审计,加大对重点风险隐患的监督检查,并对检查发现的违规违纪问题提出整改意见。
(三)金融企业三道防线的具体联动机制对三道防线的联动机制,《保险公司合规管理方法》第二十四条规定,"保险公司应当在合规管理部门与内部审计部门之间建立明确的合作
和信息交流机制。内部审计部门在审计结束后,应当将审计情况和结
论通报合规管理部门;合规管理部门也可以根据合规风险的监测情况
主动向内部审计部门提出开展审计工作的建议”。
合规管理的三道防线理论起源于全面风险管理理论,其主要效果在于
明确各个部门风险管理的职责和控制职能,提升风险管理的效果。从
有利于保障内部审计的独立性而言,笔者建议,应该建立第一、二道
(而不是上述第二、三道)合规管理防线的明确合作和信息交流机制,并始终保障第三道防线内审部门的独立性。
同时,为了维护第二道防线合规管理的独立性,可以借鉴《证券公司
和证券投资基金管理公司合规管理方法》第二十七条的规定,即"合规
部门及专职合规管理人员由合规负责人考核。对兼职合规管理人员进
行考核时,合规负责人所占权重应当超过50%"。据此,可以在金融企
业的集团管理中,通过设立相关考核比重等方式,强化金融企业合规
条线考核的独立性。
的,导致在外汇交易业务中违反纽约银行法,被美联储处分5475万
美元,被美国纽约金融服务局处分5475万美元,合计1.095亿美元
(根据2018年5月1日的汇率计算,大约相当于6.89亿元人民币)。
美国纽约金融服务局(DFS)的调查发现,高盛集团外汇交易部门负责
为集团自身账户及其客户操作美元与外币买卖的多名外汇交易员,在
2008年至2012年间,频繁利用电子聊天室同其他银行的交易员进
行联络,交换外汇市场的交易信息,以此牟取私利,在某些情况下甚
至不惜以牺牲顾客的利益为代价。实际上,早在2001年高盛集团就
有具体的制度来纠正外汇交易的不当行为,且还随着时间的推移不断
进行修订;但是集团的合规监控并没能够做到与时俱进,导致潜在的不当行为总是产生。此次交易员的违规行为,也正是钻了外部监管和
内部制度的空子,而高盛集团的合规、风险管理、内审制度的监管者,却未能发现并解决这些问题。除了1亿美元的罚款外,美联储还命令
高盛集团不得再以任何方式录用涉事员工,含不得录用做代理人、咨
询顾问、或者与公司缔约提供雇佣服务;同时还要求其改进外汇交易
相关业务的内部控制和合规风险管理程序、内部审计程序。
(二)高盛集团的具体违规事项
在美联储针对高盛集团2008年10月到2012年10月违规事项而
出具的禁止令与罚单(0rdertoCeaseandDesistandOrderofAssessmentofaCivilMoneyPenalty)中,列举的高盛集团的合规
管理缺陷主要包括以下方面:
一是该公司缺乏充分的监督以及相应的合规风险管理、合规和/或审
计制度和流程,也缺乏能确保外汇交易部门在外汇交易中做到平安和
稳健的银行实践和适用的内部制度。
二是局部外汇交易部门的外汇现货市场交易者与其他机构的外汇交易
者通过聊天室在电子信息平台上进行交流。
三是公司的缺陷流程与制度,阻碍了它监测与纠正外汇交易部门外汇
交易员的潜在不平安与不稳健行为。这些行为包含外汇交易员在多人
聊天室与其他机构交易员就以下内容进行交流:向其他机构交易员披
露外汇交易部门隐秘顾客的信息;与其他机构的交易员讨论参加外汇
交易的外汇相关交易基准;与其他机构的交易员讨论提供给顾客所涉
及到的出价报价收益差;增加潜在利益冲突的交易策略。
四是以上的缺陷制度与流程导致公司实际上在从事不平安与不稳健的银行实践。美国纽约金融服务局同意令(ConsentOrder)指出,高
盛集团的违规行为主要是存在不平安、不稳健和不当的行为,以及不
当泄露客户的秘密信息、对不当影响外汇交易价格的建议进行讨论。
这些问题说明,其内部控制与程序存在缺陷。
综上所述,美国监管机构对高盛集团业务违规的定性为:不当泄露客
户信息、涉嫌操纵外汇市场价格,并据此认定其内部控制不健全、内
部审计监督不力。基于此,监管机构在进行罚款的同时,对高盛集团
的外汇业务提出了集团层面的经营整改要求。
二、美监管机构对高盛集团的整改要求根据美联储对高盛集团出具的禁止令与罚单,为了纠正监管机构指出
的缺陷,高盛公司必须持续的在指定市场活动中执行内部控制、合规
管理、风险管理和审计计划额外的改进,以保障全集团能严格遵守制
度,从事平安和稳健的银行实践,遵守美国的法律法规。同时,纽约
州金融服务局也对高盛集团提出了整改要求。两个监管机构对高盛集
团本次整改的要求主要包括以下内容。
(-)内部控制与合规程序根据美联储发布的禁止令,高盛集团应该在禁止令发布之日起90日
内提交书面整改报告。整改报告主要应包括以下内容:一是政策与程
序的合规。要加强全面的政策与程序建设来确保公司业务产品线所涉
及到的指定市场活动能遵循美国的法律法规,并对公司的政策与程序
所涉及到的指定市场活动进行审查,含利益冲突制度、消费者隐私保
护制度以及行为准那么及行为准那么说明及制度;应采取措施确保公司指
定市场活动全球产品线遵守美国的法律法规。二是控制环境的优化,要明确管理层在监督政策与程序合规的职责;要明确相关员工监督政
策与程序合规的职责,含确定公司的报告线路;确定在指定市场活动
的所有产品线的明确责任制。三是在控制活动与风险评估方面,要建
立全面有效的内部控制体系来监测与追踪雇员的潜在违规行为,并与
市场固有的风险程度与性质相称。四是在监督上,合规报告程序要在
全公司范围内广泛进行宣传,并嵌入公司的报告流程,以使雇员能够
报告违反公司政策与美国法律法规的行为,并有流程确保其所了解和
怀疑的违规行为能够提交到合适的人员进行合理的解决。五是在信息
与沟通上,以持续、固定周期的方式对公司的员工开展以美国法律法规相关的工作职责合规培训。
从以上的整改要求看,基本按照内部控制理论的五要素展开。美国监
管机构的要求具体包括:通过政策与程序的合规来实现监管规那么跟踪,通过合规审查来实现监管规那么落实的目的,在控制环境优化上要求加
强合规报告的路线建设,在控制活动与风险评估方面强调加强合规风
险监测,在信息与沟通上,通过合规培训的强化来提升监督整改的效
果。五个方面的整改要求分别对应内部控制的五要素,也分别对应合
规管理的监管规那么跟踪与落实、合规审查、合规报告、合规风险监测
与合规培训五项事前与事中的合规管理活动。
(二)合规风险管理程序根据禁止令,高盛集团还需要在全集团范围内整改涉及到所指定市场
活动的合规风险管理程序。整改的范围包括:
一是辨识所涉及所有产品线的法律与合规风险,并确保此类活动风险等级分类适当,且需包括在集团范围的合规风险评估框架当中。
二是在美联储批准整改计划的90天之内完成全集团范围的风险评估,并以此评价与本次整改所指定市场活动相关领域的当前潜在的行为风
险。
三是当涉及到本次整改所指定市场活动的新产品或者金融工具的时候,对潜在金融风险进行审查,包含但不限于声誉风险、欺诈风险和新产
品或金融工具的潜在错误行为。
四是健全全面风险评估程序,含合规审查的规模与频率,合规风险评
估,所要适用的风险因素与风险健全控制因素。
五是采取措施确保对实质性风险及雇员潜在的不当行为,逐步升级到
由高级
管理层和董事会及类似层级的人员及时予以纠正。
合规风险管理程序的整改涵盖了合规风险监测、合规审查与监督整改,针对的是高盛集团合规管理的事中、事后环节。
(三)控制审查在禁止令期间,高盛公司必须要确保内部控制运行有效并监测、纠正
和报告错误的行为。对公司的管理层和产品线外的独立并受到美联储
认可的员工,应该进行年度控制审查:一是对适用于禁止令涉及的市
场活动的合规政策与程序进行审查;二是对指定市场活动的核心控制,根据以风险为本的原那么进行合适的抽样审查。
(四)内部审计高盛集团也需要提交符合美联储要求的内部审计计划。该审计计划必
须含以下要素:一是对产品线控制和合规监测程序的周期性内部审计
审查;二是加强扩大的程序及时解决实际性的审计期待和建议;三是
对风险评估流程进行周期性审查,以确保出现的风险被及时辨识并受
到监控。
美监管机构对内部审计的整改要求,主要表达在加强对风险评估流程
的监督上面。这也是我国金融企业内部审计较为薄弱的环节。
(五)美国监管机构的其他整改要求对每一个整改计划都设置了具体最后生效日期,以保障美国纽约金融
服务局的同意令得到切实执行。在执行完同意令后的第12月份与第
24个月,要提供书面进展报告,且报告起码要包含以下内容:一是高
盛集团遵守涉及到外汇交易的纽约州和联邦法律及相关规定的情况;
二是高盛集团对所公认外汇交易最正确实践的合规遵循情况;三是高盛
集团对外汇交易所适用的政策与程序的修订更新情况以及对这些政策
的遵守落实情况。就美国纽约金融服务局的整改要求来看,与美联储
的要求相辅相成,也是强调全面加强合规管理。
三、本案对合规管理三道防线理论的启示按照美国监管机构对高盛集团的整改要求,高盛集团的合规管理要全
面加强,需要分别从业务部门的内控与业务合规管理,以及合规部门、内审部门的全面履职三个方面推进。而对业务部门、合规管理部门、内审部门在风险管理上的分工,存在三道防线理论。
推荐访问:金融合规经营理论文章 为例 理论研究 防线