合规管理的引进不是简单的嫁接,而是要完全融人保险公司的核心经营管理体制中。只有建立符合保险公司自身实际的合规管理体系,才能有效发挥其风险管理和健全企业内控的功能。
(一)合规机构和合规队伍的建立健全
合规机构和合规队伍的建设涉及到保险公司的董事会、高级管理层、职能部门和具体合规人员各个层面。
1.董事会层面
巴塞尔银行监管委员会在《合规与银行内部合规部门》中专门规定了董事会的合规职责,包括审批合规政策并确保其制定适当,监督合规政策的实施,在全行推行诚信与正直的价值观念等。中国保监会在《指导意见》中也要求保险公司董事会对“使保险公司建立合规管理机制,并对保险公司遵守法律法规、监管规定和内部管理制度的情况定期进行检查评估”负最终责任。因此,处于公司最高层的董事会应充分认识到合规风险管理的重要性,责成高级管理层拟定合规管理的战略方案、合规政策,并由董事会通过执行;同时了解合规部门的功能及其效力范围,并监督和评价高级管理层的合规风险管理状况。当然,董事会可以设置专门的合规分委员会或者要求审计分委员会等来承担上述职责。
2.高级管理层层面
巴塞尔银行监管委员会《合规与银行内部合规部门》中指出:“每家银行应该有一位执行官或高级职员全面负责协调银行合规风险的识别和管理,以及监督其他合规部门职员的工作”,该执行官或高级职员被称为“合规负责人”。国际保险监督官协会在《保险公司治理的核心原则》中要求负责保险公司合规工作的官员应由董事会指定并向董事会报告工作。中国保监会在《指导意见》中借鉴了这些做法,要求“保险公司应当设立合规负责人职位。合规负责人既向管理层负责,也向董事会负责,并向中国保监会及时报告公司的重大违规行为”。因此,合规负责人更应设置在高级管理层层面,而非部门负责人层面,否则将可能难以很好地履行职责。
对保险公司高级管理层而言,参照巴塞尔银行监管委员会的建议,应做好以下方面的工作:制定和传达合规政策(包含管理层和员工应遵守的基本原则),说明整个企业上下用以识别和管理合规风险的主要程序;确保合规政策得以遵守,发现违规问题时,采取适当的补救方法或惩戒措施;每年至少一次识别和评估企业所面临的主要合规风险,并制定管理这些合规风险问题的计划;就合规风险管理,特别是重大违规情况向董事会或其下设委员会报告;组建一个常设的、有效的内部合规部门。
3.合规部门层面
合规部门是合规工作的职能部门,是合规管理体系的重要组成部分。科学地组建适合公司需要的合规部门是做好合规工作的前提和组织保障。
(1)合规部门的设置和模式选择。国际上,金融企业通常在总部设置独立的合规部门,在分支机构设置当地的合规部和合规官。总部合规部门直接向高级管理层(总裁或董事会主席)报告,并拥有直接向董事会或其下设委员会报告的权限;各分支机构的合规部门则存在矩阵式和条线式两种报告路线,前者在向上一级合规主管报告的同时,还要向合规部门所在分支机构行政主管报告,后者只向上一级合规部门主管报告。
我国实践中,金融保险企业的合规部门设置存在三种模式:一是合并法律和合规管理职能并设置相应机构;二是设立单独的“合规部”;三是设立“内控合规部”。第三种模式强调了合规工作增强和改善企业内部管理控制的方面,与模式二并无本质区别。
我国大多数的银行和保险公司都选择了第一种模式,即将原有的法律部改为“法律与合规部”,或在法律部下设“合规处”,或者直接将合规职能划归法律部。这一选择并非中国企业的创新,在国外一些大金融保险企业中,法律部门与合规机构的职责界限往往也是比较模糊的。美国银行业协会的统计结果表明:银行规模越大,越希望由银行法律部门履行银行合规职责。全球企业法律顾问协会(ACC)则认为,合规是公司法律顾问或者公司律师职责的一部分,因此合规管理和法律部门密不可分是很自然的事情。
从行业实践来看,我国现阶段以保险公司已有法律部门为基础组建合规管理部门应是较好的选择。合规管理以对法律法规、监管规定的正确理解和解释为基础,在很多情况下,合规风险和法律风险是重合的。正是合规管理与法律工作之间这种不可分割的密切联系,使大多数企业选择了第一种模式。实际上,即便企业建立单独的合规部门,如果其合规管理体制不能以与国际公认的法律标准和做法一致的方式反映和包含对适用法律要求的完整、准确的理解,就无益于保护、增进公司的利益。也就是说,即便成立独立的合规部门,其运行也离不开法律人员的专业建议和支持。
(2)合规部门应保持独立性。无论合规部门的组织结构如何,保持其独立性是最重要的原则。巴塞尔银行监管委员会在《合规与银行内部合规部门》中对独立性进行了解释,其包含四个相关要素:“第一,合规部门应在银行内部享有正式地位。第二,应由一名集团合规官或合规负责人全面负责协调银行的合规风险管理。第三,在合规部门职员特别是合规负责人的职位安排上,应避免他们的合规职责与其所承担的任何其他职责之间产生可能的利益冲突。第四,合规部门职员为履行职责,应能够获取必需的信息并能接触到相关人员。”
因此,在设置合规部门时,为确保其独立性,应当考虑建立相关的配套机制:一是合规部门要尽量独立于业务和财务部门,进行独立预算管理,预算管理应与合规部门的工作目标保持一致,而非取决于业务部门或业务条线的盈利状况。二是建立科学的激励考核机制,即一方面合规部门要接受上级部门和机构的监督评估,以确保合规职能的有效发挥;另一方面,对各业务部门或业务条线管理人员的绩效考核,应主动咨询合规负责人对其合规风险管理能力的评价意见。
4.合规人员队伍的建设
上海银监局课题组提出:“为确保合规部门有效履行职责,应配备高素质的专业合规人员。银行的合规人员要具有与其职责履行相匹配的资质、经验、专业素质和个人素质。适当的专业素质包括能全面、正确地理解法律、规则和标准及其对银行经营运作的实际影响;通过定期、系统的教育和培训,能保持并发展其专业技能,具有对所适用法律、规则和标准最新发展的实时把握能力。适当的个人品质主要包括诚实正直的品格、思考质疑的能力、职业判断的中立性和独立性、良好的沟通能力、较强的判断力和灵活性等,尤其需要具有对合规问题涉及的相关人员直言不讳的勇气和能力。”上述对银行业的合规人员素质要求在保险业也同样适用。
对合规人员的专业素质要求与对企业内部法律工作人员专业素质的要求是类似的。但合规工作中管理的比重远远大于传统的法律支持工作,合规人员通常更需要深入了解本企业复杂的业务经营。我国金融保险企业中目前大多已存在一支成形的法律工作队伍,因此,加强对现有法律工作队伍业务经验和管理才干的培养,无疑是建成一支高素质合规队伍的捷径。
(二)合规制度的建设和执行
规章制度是合规管理体制的中心内容,在制度建设方面,应考虑以下几点:
首先,在董事会和高级管理层层面,应制定《合规政策》(董事会层面)和《合规管理办法》(高级管理层层面)等纲领性文件以及针对董事和高级管理层的《行为守则》,特别是要对董事和高级管理层的合规责任提出明确要求。
其次,以合规纲领性文件为统领,进行大规模的整章建制工作。包括制定专门的《规章制度管理办法》,明确规章的制定、发布和实施须经严格的法律合规审查,建设规章制度的修订和评价等管理流程。制定或修改完善《合同管理办法》、《授权经营管理办法》、《知识产权管理办法》、《品牌管理办法》、《员工行为准则》等一系列规章制度。
第三,提前预防和提示合规风险。对金融监管机构下发的每一个规章制度,都要同步分析整理和归纳,提出相应的法律合规要点,及时提醒各职能部门。在合同管理方面,完善从合同项目立项、草拟、审查、印章管理、履行到档案管理等各环节的管理流程,推出示范合同范本,做到对法律合规风险的提前防范。
第四,明确员工的岗位责任和尽责义务,制定《员工岗位合规手册》。高规格的规章制度需要有效的执行和监督,否则,再好的制度也只能是形同虚设。合规制度在实施过程中,如果需要变通,任何变通都应逐级上报,由适当级别的适当人员以公开透明的方式决定,以保证不违背制度整体的意图和目的。这样的规定本身就有保证遵守规章制度的作用,因为大多数情况下,遵守规定反而要比层层报请批准变通更加简便;同时它也要求必须明确各个级别的报告义务并建立有效的报告渠道。
只有坚持全面的监督和检查,合规制度才能正常地发挥作用。因此,必须有独立的专人负责对各级人员合规责任进行检查。监督检查的重点不在于数字而在于程序管理,即:不仅检查实施了什么行为,还要检查怎样实施有关行为,是否获得适当的内部批准,是否遵守特定的规章制度。
(三)合规管理软件系统的运用
融合金融保险企业原有的业务和财务管理软件,增加相应合规控制的IT系统能够帮助公司实现更好的合规监控。
合规管理软件系统的使用在发达国家已经比较普及。尤其是在美国,为扭转因为安然、世通等公司的丑闻而给投资者信心造成严重打击的局面,美国国会于2002年出台了萨班斯法案(The Sarbanes-Oxley Act),该法案的精神实质与金融企业合规风险管理机制有着高度的内在统一性。企业为满足该法案对公司财务报告和内部控制的严格要求,往往必须制定复杂的控制流程,并保留充分的证据以证明每个控制的有效性。因此,大量基于COBIT(Control Objectives for Information and related Technology—信息系统和技术控制目标,美国信息系统审计与控制协会1996年公布,国际上公认的最先进、最权威的安全与信息技术管理和控制标准)和ITIL(Information Technology Infrastructure Library—信息技术基础设施库,英国政府中央计算机与电信管理中心于20世纪90年代初期发布的一套IT服务管理实践指南,几经升级改善后,成为事实上的IT管理服务国际标准)的合规管理软件应运而生,成为在美上市公司日常经营管理中所依赖的重要工具。
使用IT系统进行合规管理主要体现在流程控制上。首先,当新的法律法规、监管规定和行业规范出台后,公司针对这些新的合规要求,需要对原有的流程规范进行修改,一个一体化的合规管理软件将避免大量的重复劳动,降低审查修改内部规范的复杂性,减少合规成本。其次,在业务活动中,合规管理系统可以将业务流程分拆成不同的子流程,在各个子流程里订下不同的条规,自动记录与每一笔业务相关的所有电子文件、会议记录、电话记录、传真等,建立流程文档库集中汇总信息,而所有信息都可以随时被搜索调出,与设定的流程条规进行对比,从而保证了合规检查的便捷和持续进行。第三,合规管理系统中通常会设定各个层级信息和资料的发布义务和查阅权限,当业务进程发生偏离时,具有相应权限的合规控制人可以第一时间查阅了解到在哪一个阶段和流程到底发生了什么,从而可以利用流程节点及时做出控制和调整,促使整个工作流程朝设定的目标发展,大大加强了风险管理。第四,合规管理系统在业务流程或者财务汇总结束后,可以将包括各个子公司、分公司、部门的信息集中起来,统一进行分析,制作报告,给决策者提供直观的信息资料。
(四)合规文化的培养
合规文化的培养是合规管理能够切实发挥功效的基础,可以从以下方面人手:
首先,“合规从高层做起”。“合规从高层做起”是有效的合规管理体制得以建立的基础。企业高层应当在整个企业中做出表率,设定鼓励合规的基调。“当企业文化强调诚信与正直的准则并由董事会和高级管理层做出表率时,合规才最为有效。”而且,“来自高层的支持必须持续不断、毫不动摇,并将其纳入核心管理目标之中,……任何一级业务经理唆使或默许下级员工规避内部规定和适用法律,标准化管理体制也将名存实亡。企业内部任何环节一旦容忍规避行为,都将清晰地暗示管理层实际上并不完全支持合规制度,员工会从其实际行动、而不是年报的说词中,很容易地领会他们真正的优先取向。”
其次,强调“合规并不只是专业人员的责任”。企业应“努力培育主动合规以及良好互动的合规意识,业务人员应欣然接受全面的合规培训,主动寻求合规部门或合规员的建议;业务管理者应准确识别关键合规问题,及时向合规部门或合规工作人员咨询,频繁、主动地进行动态合规回顾;合规部门或合规工作人员则应积极主动地识别、评估和监测潜在的合规问题或合规风险,给出合规建议后主动向上级反映,并跟踪其发展。”
第三,强化“合规创造价值”的理念。合规风险管理本身虽然并不能直接为企业增加利润,但是系列的合规活动能制和调整,促使整个工作流程朝设定的目标发展,大大加强了风险管理。第四,合规管理系统在业务流程或者财务汇总结束后,可以将包括各个子公司、分公司、部门的信息集中起来,统一进行分析,制作报告,给决策者提供直观的信息资料。
(四)合规文化的培养
合规文化的培养是合规管理能够切实发挥功效的基础,可以从以下方面人手:
首先,“合规从高层做起”。“合规从高层做起”是有效的合规管理体制得以建立的基础。企业高层应当在整个企业中做出表率,设定鼓励合规的基调。“当企业文化强调诚信与正直的准则并由董事会和高级管理层做出表率时,合规才最为有效。”而且,“来自高层的支持必须持续不断、毫不动摇,并将其纳入核心管理目标之中,……任何一级业务经理唆使或默许下级员工规避内部规定和适用法律,标准化管理体制也将名存实亡。企业内部任何环节一旦容忍规避行为,都将清晰地暗示管理层实际上并不完全支持合规制度,员工会从其实际行动、而不是年报的说词中,很容易地领会他们真正的优先取向。”
其次,强调“合规并不只是专业人员的责任”。企业应“努力培育主动合规以及良好互动的合规意识,业务人员应欣然接受全面的合规培训,主动寻求合规部门或合规员的建议;业务管理者应准确识别关键合规问题,及时向合规部门或合规工作人员咨询,频繁、主动地进行动态合规回顾;合规部门或合规工作人员则应积极主动地识别、评估和监测潜在的合规问题或合规风险,给出合规建议后主动向上级反映,并跟踪其发展。”
第三,强化“合规创造价值”的理念。合规风险管理本身虽然并不能直接为企业增加利润,但是系列的合规活动能够为企业争取到有利于未来发展和业务创新的外部政策环境;形成一整套具有较强执行力的、程序化的内部制度。通过内部制度的持续修订,将日积月累的各种良好做法沉淀下来,并清晰地界定实际工作中的尽职、问责和免责标准,将大大降低企业成本并增强企业风险控制能力,提高资本回报,最终为企业创造价值。
第四,保持激励约束机制与企业倡导的合规文化和价值观的一致性,严格责任追究制度。企业应“切实有效地落实问责制,确保奖惩分明、违规必究”。“不仅要奖励好的道德行为和良好合规做法,更要惩罚不道德的行为和违规行为”,要将“资源用于良好的控制系统、优良的客户服务和尽职员工的激励上,而不只是单纯的业绩激励”。企业“要纠正‘重经营业绩、轻内控管理’的绩效考核理念”,“平衡业务拓展与风险管理的关系,重视对‘优秀员工’的行为约束”。企业“要破除‘以信任代替管理、以习惯代替制度、以情面代替纪律’等不良文化的桎梏,明确‘零容忍’理念,以扭转长期职责不清、责任落实难的状况,强化政策和程序等规章制度的执行力”。