证券公司合规范管理的有效性研究

2008年，中国证监会《证券公司合规管理试行规定》（以下简称《规定》），对合规管理所涉及的基本制度和重大事项作出了相应的规定，明确了合规管理的边界和责任主体，确立了合规管理的基本框架。几年来，我国证券公司合规管理工作从无到有，已经由初创期的专项推进转向常规运行，公司合规管理状况被纳入常规监管。但《规定》未对合规管理的各项制度作出更为具体的规定，也缺乏对于评估证券公司合规管理健全性和有效性的具体操作程序和标准。现借鉴加拿大证券公司合规管理有效性评估经验，并结合我国证券公司合规管理的现状和问题，对合规管理有效性评估体系建设提出建议。

一、加拿大证券行业及其合规管理概况

截止到2009年底，加拿大有证券公司200家，管理客户资产规模为8950亿加元，证券行业收入约160亿加元，行业利润约60亿加元。从行业收入构成看，51%的收入来自零售和财富管理业务，24%的收入来自投资银行业务，其他业务收入为25%。加拿大证券公司合规管理工作已有近30年历史，大致经历早期发展、逐步明确和不断完善三个阶段，其内涵和外延不断丰富与扩大，合规部门的职能与职责日渐拓展和强化。在早期发展阶段，合规只是在证券行业的相关法规中有所涉及，相关法规和监管机构对合规部门的职责和具体合规要求并没有予以明确。在逐步明确阶段，加拿大投资经纪协会（IDA）相继了相关法规，明确协会成员的合规职能和合规要求。在不断完善阶段，在明确合规总监和合规部门职责的基础上，IDA陆续修订和补充相关法规，不断完善合规管理，为确保协会成员对覆盖证券或商品期货业务中的所有法规和规章实现合规提出了总的要求。

加拿大投资业监管协会（IIROC）于2009年9月通过立法，规定协会会员必须指定公司CEO为UDP，进一步强化公司最高层的合规责任，提高了合规部门的履职保障。IIROC章程第38条A款要求“证券公司应当建立并维护一整套监督其董事、高管、注册代表，以及其他员工的行为，以使其符合法律、法规和规则要求的机制”。第一，建立政策和流程，保障董事、高管、注册代表、其它员工行为都能符合法律、法规和规则要求。第二，设计流程，确保董事、高管、注册代表、其他员工的职责得以明确和被执行人理解。第三，建立一个合理流程，以确保根据法律、法规和规则的变化后，公司的政策和流程能及时得到变更。第四，配备足够的人力和物力实施合规监督机制，监督人的数量应当与其业务种类和复杂程度相匹配，监督人应该充分了解所需监督的产品和业务。第五，指定具备相应资格和权力的“监督人”实施监督职责，每一证券公司都应当指定监督人，并将其职责范围和任命时间予以完整地记录并保存。第六，建立后续跟踪和审查流程，确保“监督人”履行职责，对于分支机构监督人的跟踪应该根据业务的具体情况对“监督人”进行定期内部审计。第七，保存监督活动记录，尤其是检查所发现的问题和解决问题的情况，评级监督效果。

二、加拿大证券公司合规管理有效性评估经验

在加拿大证券业，一个有效的合规管理体系的基本要素包括：一是识别风险，二是制定政策和程序，三是培训和教育，四是监视和审计，五是逐级上报和报告，六是每年重新审查合规体系的有效性，七是动态跟踪监管政策的变化。可见，合规管理有效性评估既是一个有效的合规管理体系的重要组成部分，又是保障合规管理体系持续健康运行的一个必要而有效的手段。通过对证券公司合规管理有效性进行评估，可以及时发现合规管理的不足并促使其持续改进。

由于加拿大证券业采取“原则监管”模式，相应地，其对合规管理有效性的评估也是采用结果导向的评估模式，即通过评估合规管理的结果或目标实现程度来推定合规管理的有效性。这就要求证券公司必须进行充分的作为，因为一旦发生违规，公司就不能简单地说已制定了标准来证实自己已经进行了充分的监督。

（一）加拿大证券公司合规管理有效性评估考虑因素

证券公司合规管理有效性评估一般考虑两方面因素：维度和量化。所谓维度，就是要多角度衡量；所谓量化，就是要尽量以数据说明事实。此外，还应避免两种倾向，一是认为合规评估是对合规总监或合规部门工作的评估，二是指标虚化或追求形式。一般应从财务、声誉、运营、监管四个维度对合规管理有效性进行量化评估，具体如下：

1．财务维度。即评估当“合规”失败时，将短中长期财务成本降至最低的能力。具体包括：（1）直接财务成本包括监管罚金与罚款、客户投诉处理成本、诉讼处理与判决费用、坏账与信贷损失、欺诈与不当行为损失；（2）间接财务成本指管理层处理合规失效事项所花费的时间和分散的精力、相关资源占用；（3）合规管理职能发挥的成本效益在预算范围内。

2．声誉维度。评估证券公司作为金融机构在道德、诚信度与合规性方面的声誉情况，包括客户、公众对公司的道德、公平对待与合规性的评价，导致反面公众形象的合规事件的性质、种类与数量。

3．运营维度。评估证券公司提供高水准的内部与外部服务情况，主要考虑内部监控的质量与记录情况、监管审查和内部审计结果、服务与满意度调查结果等因素。

4．监管维度。评估是否维持高水准的合规管理水平，对于监管有正面理解并将潜在监管处罚降到最低情况，具体包括：（1）是否能及时、有效与系统地实施补救行动以纠正所有发现的缺陷；（2）是否能及时、积极地实施适当的新政策和程序，以反映监管要求的新变化与行业最佳方法；

（3）能否作为行业领袖参与监管过程与规则制定等。

（二）加拿大证券公司合规管理有效性评估标准

在运用上述四个维度进行合规管理有效性评估时，一般选用以下标准：一是未解决的客户投诉有多少，公司对投诉的处理是否迅速彻底；二是监管部门对公司的声誉评价如何，公司在合规问题上与监管者是什么关系，是主动咨询还是被动响应，是主动关心或只是事后回应；三是宣称问题已解决的内部报告的可靠性有多大；四是是否有人指控公司有错误行为；五是合规是否是公司培训内容的一部分，所有员工都参加培训还是其中一部分参加；六是对待那些犯了错误的员工是否一视同仁；七是处理争端是否及时果断；八是公司内部管理及业务部门对合规部门的评价如何。

三、对我国证券公司合规管理有效性评估的建议

由于我国是规则监管模式，与加拿大原则监管模式不同，因此可以将加拿大结果导向型的合规管理评估模式与过程导向型的评估模式予以结合，建立我国证券公司合规管理评估体系，对合规管理有效性评估目标、原则、范围、内容、方法及程序等方面进行探讨。

（一）合规管理有效性评估目标和原则

1．评估目标。合规管理目标的实质是帮助企业实现价值最大化目标，减少经营过程中的合规风险。合规管理有效性评估是对合规管理的监督和评价，其最终目的就是为了实现合规管理目标。具体目标：（1）促进公司经营管理遵守法律、法规、规章及规范性文件、行业规范和自律规则的要求；（2）促进公司全体员工的执业行为符合行业公认并普遍遵守的职业道德和行为准则，增强员工的合规意识,树立人人合规、主动合规的合规文化；（3）促进公司提高合规管理水平，通过合规经营实现公司的发展战略和经营目标；（4）促进公司完善、落实合规管理制度及流程，确保合规管理体系有效运行；（5）促进公司在开展新业务、新产品时，能够及时有效地评估、识别和控制可能出现的合规风险。

2．评估原则。评估应当遵循全面性、重要性、独立性、多维度和及时性原则。全面性原则指评估应覆盖公司经营管理活动的全过程，评价指标应系统、全面。重要性原则指应根据合规风险和控制的重要性确定评估重点，关注重要领域和高风险业务，并在评估权重上加以体现。独立性原则指承担评估工作的牵头机构和部门应当独立于业务部门。多维度原则指评估工作应多维度开展，对发现的不合规行为要重点分析、评估。及时性原则指评估频率应在满足监管要求的前提下，根据实际情况适时调整，以及时发现合规风险和隐患。

（二）合规管理有效性评估的范围和内容

合规管理有效性评估是对证券公司合规管理工作的全面评估，范围应包括公司所有业务、部门（含分支机构）和人员，并可根据工作重点对高风险部门和业务环节进行重点关注。评估内容包括合规管理环境、合规风险识别与评估、合规管理控制措施、合规管理信息沟通与反馈、合规管理监督五要素。

1．合规管理环境。包括但不限于合规管理组织架构、合规管理制度体系、合规总监及其履职保证、合规部门、合规文化建设。

2．合规风险识别与评估。包括但不限于对合规风险和违规隐患的识别、度量、控制、动态监测及后续跟踪。

3．合规管理控制措施。包括但不限于合规审查、合规监测、合规检查、新业务及新产品审核、信息隔离及利益冲突管理、反洗钱管理、业务资格及执业资格管理。

4．合规管理信息沟通与反馈。包括但不限于合规培训、合规咨询、合规信息在公司内部的传递、与监管部门之间的沟通与报告。

5．合规管理监督。包括但不限于合规投诉及举报处理、合规风险处置、合规考核、合规问责。

（三）合规管理有效性评估方法和程序

1．评估方法。运用控制自我评估

（CSA）开展合规管理有效性自我评估。CSA作为对内部控制系统评价的一种观念与技术方法，1987年由加拿大海湾公司首次提出后得到不断地使用与推广。国际内部审计师协会（IIA）对CSA的最新正式定义为：CSA是对企业内部控制的效力进行检查和评价的过程，其目标是为企业实现所有经营目标提供合理的保证。CSA方法的独特之处在于其突出过程化、注重互动性、并强调“自我”，使得其能更好地实现合规管理的过程性、全员性及持续自我改进。根据CSA理论，证券公司的各业务及管理部门应明确自身为合规管理第一责任人，风险管理部、合规部、审计部仅是合规管理的指导者、监督者。在合规管理自我评估中，各业务及管理部门应积极向风险管理部提供合规风险信息，在合规部牵头下接受访谈，填写合规管理自我评估检查表，定期确认其持续正确，确认合规管理自我评估的结果，协助编制缺陷汇总整改表并执行改进，配合审计部开展运行有效性测试等。管理部门在风险控制矩阵中更新的信息内容，并及时汇报公司管理层。

2．评估程序。依据合规管理有效性自我评估的目标、原则、范围、方法，将自我评估工作程序分合规风险自我评估、合规风险控制矩阵评估、关键控制点自我评估、合规执行力评估四步：开展合规风险自我评估阶段由风险管理部主导，该阶段主要步骤及关键事项是：由风险管理部协助各业务与管理部门识别各种合规风险，收集整理相关资料，将合规风险进行评估和排序，组织录入风险列表。开展合规风险控制矩阵评估阶段由合规部/各业务及管理部门主导，该阶段主要步骤及关键事项是：第一，公司合规部确定合规风险控制矩阵评估的范围；以风险评估为基础，选择进行合规风险控制自我评估的板块，下属单位，及相关业务对应的相关流程，然后从流程出发进行具体的合规风险控制矩阵评估和关键控制点自我评估工作。第二，公司业务及管理部门定期确认合规风险控制矩阵的持续正确，并根据最新的业务活动情况提出更新风险控制矩阵的建议报公司审批，包括控制目标和控制活动，编制流程图。第三，公司合规部协助各流程经理汇总公司业务及管理部门在风险控制矩阵中更新的信息内容，并及时汇报公司管理层。第四，公司合规部可以在此过程中牵头公司业务及管理部门就重要的变化进行穿行测试，确保控制活动设计有效性，适时监督及审阅公司业务及管理部门填写的风险控制矩阵及流程图，确保填写内容的质量及准确性。

开展关键控制点自我评估。该阶段主导部门：合规部、各业务及管理部门。部门合规监察员做测试发起，流程职员做测试评估，流程经理审批测试模板和结果跟进，部门负责人审批测试。该阶段主要步骤及关键事项包括：第一，公司合规部统筹、牵头进行合规风险控制矩阵在各业务及管理部门间的分割（分配），由部门合规监察员执行测试发起，由流程经理审批模板；第二，公司各业务及管理部门流程职员对分配到的关键控制点逐一进行确认，并且保存测试证据，声明本部门的关键控制点在给定的期间内执行有效，然后由部门负责人审批测试。公司合规部适时监督公司业务及管理部门确认工作的推进情况；第三，公司各业务及管理部门对于确认需要进一步改进的合规管理缺陷自行提出整改方案和计划；流程经理开展结果跟进，并向合规部汇总、审阅；第四，公司业务及管理部门执行整改方案；管理层和公司合规部需全面掌握整改方案的改进情况；第五，公司合规部将控制点执行结果的确认情况、改进控制点整改情况、运行有效性测试情况及时汇报公司管理层；第六，合规部审阅在合规风险控制矩阵中由公司业务及管理部门确认后的关键控制点，可就其中有需要的部分选择性地开展运行有效性测试，以行使质量确保的职能。

合规执行力评估阶段由审计部主导，主要步骤及关键事项包括：第一，审计部审阅前期合规部牵头公司业务及管理部门开展合规风险控制矩阵评估和关键控制点自我评估的过程文件和自评结果，包括合规控制模板、流程图、缺陷汇总整改表、部门自查声明等；第二，审计部审阅前期公司合规部在关键控制点自我评估中的项目管理和推进监督的相关记录；审阅前期合规部对公司合规工作的监督情况；审阅合规部基于质量确保的目的而执行的合规管理运行有效性测试的工作底稿；第三，审阅的结果以及风险审计计划，根据情况选择一定比例的关键控制点进行“独立”运行有效性测试并记录运行有效性测试结果，同时也可以抽检合规部、公司业务及管理部门穿行测试记录及支持文档，运行有效性测试记录及支持文档，利用管理层的工作进行复核，通过检查和必要的抽样测试等手段确认管理层是否如实作答；第四，跟踪整改方案的实施，确认整改是否有效落实；第五，基于上述的工作，形成《合规管理检查监督工作报告》。

总之，实践表明，合规管理不是外部强加的业务成本，有效的合规管理能成为公司的业务资源，为公司带来价值；合规管理评估是证券公司合规管理体系的重要组成部分，是合规管理不断完善、持续改进的主要力量，在强化合规管理方面具有不可替代的重要作用。虽然目前我国的合规管理评估工作尚在起步之中，但我们的起点较高，可以充分借鉴国际的经验和做法，通过不断汲取先进的理论方法和持续创新，设计出适合我国实际运作的合规管理评估体系，以促进我国证券公司合规管理体系的不断完善和发展，更好地为企业保驾护航。