保險合規風險管理論文

導語：保險合規風險管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]目前，我國保險公司現行的合規管理體制缺乏系統性，沒有專職機構負責，缺乏有效的組織保障和科學的運行程序，是一種模糊低效的運作方式。因此，要大力推廣和普及全新的合規管理理念；設置統一的合規規劃和合規管理部門；加強對一線員工的系統培訓和指導；確保檢查部門獨立于業務活動，以保證合規管理的有效性。只有建立符合保險公司自身實際的合規管理體系，才能有效發揮其風險管理和健全企業內控的功能。

[關鍵詞]合規風險，法律風險，管理體系，合規隊伍，合規機構，合規制度，合規文化

20世紀90年代以來，國際金融保險市場上相繼發生了一系列重大財務丑聞和操作風險案件。這些案件的產生大多是由于企業自身合規風險管理失控所致，因此，國際金融保險業紛紛整合內部資源，組建專職部門以強化合規管理，控制風險。同時，各國金融保險監管機構也認識到，外部的合規性監管不應該、事實上也不可能替代企業內部的合規風險管理，因此先后出臺了一些關于公司內部合規部門建設的指引或規定。這無疑對金融保險業內部合規風險管理體系建設起到了很大的推動作用。

近年來，國內金融保險業開始重視合規風險管理，一些商業銀行和保險公司紛紛嘗試以各種方式建立合規風險管理體系。2006年年初，保監會在《關于規范保險公司治理結構的指導意見(試行)》(以下簡稱《指導意見》)中更是首次對保險公司進行合規管理、設置相應負責人和職能部門提出了明確要求。

一、“合規”、“合規風險”和“合規管理”的概念

(一)“合規”的概念

“合規”是由英文“compliance”一詞翻譯而來。Compliance原意為“遵守、服從”，但從上個世紀90年代以來，在國際金融保險領域中，compliance逐漸發展有專門的特殊含義。

2005年4月29日，巴塞爾銀行監管委員會了《合規與銀行內部合規部門》(《ComplianceandtheComplianceFunctioninBank》)高級文件。該文件雖未對“合規”概念進行界定，但卻指出：“本文件所稱‘合規風險’是指，銀行因未能遵循法律、監管規定、規則、自律性組織制定的有關準則，以及適用于銀行自身業務活動的行為準則，而可能遭受法律制裁或監管處罰、重大財務損失或聲譽損失的風險。”由此可見，國際金融保險領域中所謂的“合規”，是指金融保險企業及其員工遵守法律、監管規定、行業自律準則，以及企業自己制定的內部規范的總稱。

首先，“規”即合規的淵源。巴塞爾銀行監管委員會的《合規與銀行內部合規部門》中列舉合規的淵源包括：“立法機構和監管機構的基本的法律、規則和準則”，“市場慣例”，“行業協會制定的行業規則”，以及適用于金融企業職員的“內部行為準則”等。因此，“合規”中的“規”不僅是指來自企業外部的具有法律約束力的文件，還包括更廣義的誠實守信和道德行為的準則，它們可能是來自企業外部，也可能是由企業自身制定的。

其次，“合規”中的“合”包括抽象和具體兩個層面。在抽象層面，“合”要求企業內部的管理制度、業務規則必須符合外部的法律法規、監管規定和行業準則；在具體層面，“合”則要求企業內部的管理制度、業務規則都得到實際的執行。

通過上述分析可以看出，目前國際金融保險業所關注的“合規”并非通常所說的“依法合規”。“依法合規”一詞雖然在金融監管和日常經營中經常被使用，但它并不是一個嚴謹的概念，人們對它的理解往往是非常模糊和不統一的，僅僅停留在表面。如有人把“依法合規”理解為僅是“符合法律規定”，有的人則將其分解成“依照法律、合乎規定”，至于進一步的“法律”和“規定”是指什么，包括哪些內容，應該限定到哪個層級，就不得而知了。

(二)“合規風險”與“法律風險”的聯系和區別

當前，人們普遍接受的法律風險概念，是指企業因不遵守法律規定、監管規則或者因和交易方產生合同糾紛，而導致財務損失、被處罰或者產生訴訟糾紛的風險。從巴塞爾銀行監管委員會的定義來看，合規風險與法律風險既有聯系又有區別。二者有重合的一面，比如金融企業因為某項業務而遭受處罰時，它所面臨的合規風險同時也是一種法律風險，因此業界常常將“合規風險”和“法律風險”并稱為“法律合規風險”；但是合規風險又不等同于法律風險，它們各有其獨立性，彼此不能涵蓋。

首先，合規風險中有些部分無法歸人法律風險的范疇。如因不遵守誠實守信和道德行為的準則(包括自律組織制定的某些準則，企業內部制定的管理制度、業務規則等)而遭受聲譽甚至財務損失的風險只能稱為合規風險，而不是法律風險。相應的，因合同不能執行或合同糾紛而導致損失的風險也只能稱為法律風險，而不是合規風險。

其次，傳統的企業法律部門往往僅被定位為服務部門，負責向業務部門和管理人員提供法律咨詢意見，支持企業的交易和訴訟，因此傳統的法律風險管理往往是個案的和被動的。合規風險管理則是一種全新的、制度化的、主動的管理模式，與傳統的法律風險管理有很大不同。

(三)“合規管理”的概念

國內外金融保險行業中，人們大多從企業管理和風險管理的角度出發，將合規工作表述為“合規管理”或“合規風險管理”，普遍將其視為一項獨立的風險管理活動和一種健全企業內控體系的重要手段。

如上海銀監局課題組在《中資銀行合規風險管理機制建設研究》中指出：“合規已成為銀行內部的一項核心風險管理活動，更是銀行實施有效內部控制的一項基礎性工作。”“合規風險管理體制是指，銀行主動識別合規風險，主動避免違規事件的發生，主動采取各項糾正措施以及適當的懲戒措施，持續修訂相關制度流程和詳盡描述具體做法的崗位手冊，以有效管理合規風險，確保銀行合規穩健運行的一個周而復始的循環過程。”

全球十大律師事務所之一的路偉國際律師事務所在其《中國企業法律風險管理標準化策略報告》中，將合規管理譽為“企業管理的第三支柱”，認為合規管理對外的重點在于指導“企業如何開展經營活動”，“保護企業免于發生重大風險事件”，創造和保持“企業精神”、“公共形象”和“聲譽”；對內則能“從整體上增強和改善企業的內部管理控制”。報告起草人、著名合規管理專家呂立山律師更是認為，“鑒于長期以來不同經營部門各自為政的積習，實現整個集團的統一管理是許多中國企業所面臨的重大挑戰。而這一體制的實現，必須通過強化合規體系，建立上下通暢的報告和決策渠道，方能達成?！?/p>

綜上所述，合規管理是指企業通過制定合規政策，按照外部法規的要求統一制定并持續修改內部規范，監督內部規范的執行，以實現增強內部控制，對違規行為進行早期預警，防范、化解、控制合規風險的一整套管理活動和機制。

二、國內外金融業合規管理體系建設的現狀

(一)銀行業合規管理體系的建設

隨著對合規重要性認識的逐步到位，合規作為一門獨特的風險管理技術，已經得到全球銀行業的普遍認同，合規風險與銀行其他風險一道被納入到銀行的風險管理框架中。國際銀行業的合規職業隊伍正在逐步崛起，合規人員日益發展成為一個專業化的職業階層，合規部門的組織結構也不斷得到調整和完善。

國際上，各大銀行紛紛根據自身規模、經營的復雜化程度、業務性質及其區域分布的不同，設立了不同組織結構的合規部門。如荷蘭銀行和德意志銀行成立了單一的、獨立的合規部門；渣打銀行、瑞士信貸第一波士頓銀行等成立了法律及合規部或風險管理與合規部；匯豐銀行在總行設獨立合規機構，在中國地區則將合規和法律部門合二為一。

銀行監管機構也先后對銀行的合規部門做出規定。2003年10月，巴塞爾銀行監管委員會了《銀行內部合規部門》咨詢文件，成為一些國家監管機構和銀行規范合規風險管理的指導性文件。時隔不到兩年，該委員會在此基礎上再次了《合規與銀行內部合規部門》高級文件，更在世界范圍內產生了巨大影響。

國內銀行業方面，中國銀行是建設合規管理體系的先鋒。早在2001年10月，中銀香港即設立“法律與合規部”。2002年，中國銀行總行把“法律事務部”更名為“法律與合規部”，增加合規管理職能，并設首席合規官。在首席合規官和法律與合規部的領導下，行內各級法律與合規部門在職權范圍內進行了大量的規章制度建設、合規監督檢查、合規培訓、咨詢、調研、宣傳和反洗錢等工作。

除中國銀行外，國內其他各大商業銀行也紛紛進行了合規管理的探索和試驗。如中國建設銀行于2003年初在總行法律事務部下設“合規處”，2005年將其獨立出來成為“合規部”；中國工商銀行于2004年設“內控合規部”；中國農業銀行將合規工作歸口法律事務部管理；中國民生銀行、上海浦東發展銀行等也都設立了“法律與合規部”。

2005年11月，上海銀監局了《上海銀行業金融機構合規風險管理機制建設的指導意見》，要求滬上法人銀行和商業銀行分行應于2005年底前，其他銀行業金融機構應于2006年底前設立獨立的合規管理部門。該《指導意見》也成為我國金融監管機構第一個有關合規管理的專門文件。

(二)保險業合規管理體系的建設

在國際保險業，一些國際組織近兩年紛紛有關文件，對保險公司建立合規管理體系提出要求。如國際保險監督官協會(1AIS)在2004年的《保險公司治理的核心原則》(CompilationOfIAISInsuranceCorePrincipleoncorporategovernance,19January2004)中，要求保險公司董事會指定一名或數名官員負責公司的合規工作，并定期向董事會報告。世界經濟合作組織(OECD)在2005年的《OECD保險公司治理指引》(OECDguidelinesforinsurers’governance，28April2005)中指出，在良好的公司治理下，確保企業行為合規(符合法律特別是保險法的規定，比如投資規則、報告和信息披露要求等)是董事會職責中必須涵蓋的基本內容。

國際上，各國保險公司都非常重視合規管理體系和合規機構的建設。如美國國際集團(AIG)在董事會下設“規則、合規和法律委員會(Regulatory，ComplianceandLegalCommittee)”，在管理層中設總法律顧問、首席合規官和首席規則官(三者的工作受規則、合規和法律委員會的監督)，形成雙重的合規管理領導和監督體制。美國怡安(Aon)保險集團在董事會下設“合規委員會”，公司合規官、總法律顧問和負責內部審計的副總裁向合規委員會負責。

在亞洲，日本保險業特別重視合規管理工作，形成了獨具特色的合規體系。日本財產保險公司(SompoJapanInsuranceInc)在董事會下也設置了“合規委員會”，并將其明確定位為跨部門的協調機構，規定其成員由合規部門總經理、公司總部五個以上其他部門的總經理和相同數量的外部專家組成；公司日常的合規工作由合規部門負責，合規部門與總部其他部門以及各業務分部共同接受公司內部審計監察部門的審計，公司內部審計監察部門則向合規委員會報告工作。日本東京海上保險公司(TheTokioMarineandFireInsuranceCO.，Ltd.)、日本興亞保險公司(NipponkoaInsuranceCo.，Ltd)的合規委員會則設置在CEO之下，不直接對董事會負責，合規委員會下同樣設有專門的合規部門。在歐洲，荷蘭國際集團(1NG)在總部設置了合規部，負責監控因違規而導致的有關企業聲譽和商業信譽方面的風險，在集團的各個層級安插了375名合規官，分別監控本地本級的經營行為是否合規。法國安盛集團由總部法律部負責集團的合規工作，起草合規指南和相關的規則流程，下發到世界各地的子公司和分支機構執行，各子公司的首席執行官對本公司的合規工作負責，子公司的法律部則扮演確保本級業務運作安全和符合當地法律規定的角色。德國安聯集團在總部設有首席集團合規官，在各分支機構中設有合規部門。

國內方面，平安保險公司在2004年底成立了“法律與合規部”，率先在保險業中開始新型合規管理的實踐。2006年初，中國人保控股公司將“法律部”改造為“法律與合規部”，中國人壽保險股份有限公司設立了單獨的“內控合規部”；之后，中國人保壽險有限公司也設立了法律合規部。此外，近來成立的長城人壽保險股份有限公司設“法律合規部”，渤海財產保險股份有限公司設“合規部”；中外合資保險公司中亦有中美大都會人壽保險有限公司設“合規部”。

2006年1月5日，中國保監會在《關于規范保險公司治理結構的指導意見(試行)》中首次提出：保險公司董事會除履行法律法規和公司章程所賦予的職責外，還應對“合規”、“內控”和“風險”負最終責任；保險公司應設合規負責人職位，并設立合規管理部門。該《指導意見》的，為中國保險企業構建全新的合規管理體系、組建合規部門提供了政策依據，必將大大促進中國保險業合規管理體系的建設。

三、我國保險業合規管理體系建設中的問題

我國保險公司的合規管理部門發展還不成熟，各保險公司定有各種內部管理辦法和實施細則，由多個部門分別行使部分合規管理職能，但目前的合規管理不成體系，不夠完善，是比較落后的，無法符合保監會最新《指導意見》的要求。“合規管理”對于我國保險業而言是一個新鮮事物，實際運作中，未被全新“合規”觀念武裝的舊有的合規管理體制存在很多問題。

首先，全新的合規管理理念尚未在保險業中得到大力推廣和普及。占據多數人頭腦的仍是原有的“依法合規經營”，沒有真正認識到合規管理的重要性、特殊性和專業性，不了解合規管理的具體內容和特點，更談不上構建全新的合規管理體系和組織具體實施。

其次，現有合規管理體制中，沒有統一的合規規劃和合規管理部門，業務、法律、審計監察、財務甚至辦公室等部門分別承擔了合規管理的部分職能，不成體系，彼此之間職責界定不清晰，相互協調配合不力。由于缺乏合規管理的統率歸口部門，企業內部規范在制定階段多是各部門分頭進行，缺乏系統協調。各部門因為自身知識、經驗、能力的限制或者出于部門私利，往往容易忽略法律、法規、監管規定以及其他部門的規定，制定出的規章制度難免彼此沖突，之后又沒有專職部門和統一標準來判斷孰是孰非。在規章制度的監督執行中，由于沒有專職負責的常設部門，各部門往往只檢查本部門制定規章制度的落實情況，而對其他規章制度的落實情況應付了事。

第三，一線員工缺乏系統的教育培訓和專業指導，不能全面準確地理解法律、法規、規則和企業內部規章制度。

第四，檢查部門往往并不獨立于業務活動，難以保證合規管理的有效性。合規部門應有能力主動對所有可能存在合規風險的部門履行合規風險管理職責，還應有權隨時就其調查發現的任何違規或可能的違規行為向高級管理人員及董事會報告，并且不因實施上述行為而遭受管理人員或其他任何工作人員的冷遇或打擊報復。但在大部分保險公司中，幾乎所有參與合規管理的部門基本都隸屬于同級子公司或者分、支公司的管理層，這種體制顯然很難保證對同級公司管理層是否合規經營進行嚴格的管理。

我國保險公司現行的合規管理體制雖然幾乎是全員參與，但由于缺乏系統性；沒有專職機構負責，沒有有效的組織保障和科學的運行程序，因此只能是一種模糊低效的運作方式，亟需改革和完善。

四、構建合規管理體系的建議

合規管理的引進不是簡單的嫁接，而是要完全融人保險公司的核心經營管理體制中。只有建立符合保險公司自身實際的合規管理體系，才能有效發揮其風險管理和健全企業內控的功能。

(一)合規機構和合規隊伍的建立健全

合規機構和合規隊伍的建設涉及到保險公司的董事會、高級管理層、職能部門和具體合規人員各個層面。

1.董事會層面

巴塞爾銀行監管委員會在《合規與銀行內部合規部門》中專門規定了董事會的合規職責，包括審批合規政策并確保其制定適當，監督合規政策的實施，在全行推行誠信與正直的價值觀念等。中國保監會在《指導意見》中也要求保險公司董事會對“使保險公司建立合規管理機制，并對保險公司遵守法律法規、監管規定和內部管理制度的情況定期進行檢查評估”負最終責任。因此，處于公司最高層的董事會應充分認識到合規風險管理的重要性，責成高級管理層擬定合規管理的戰略方案、合規政策，并由董事會通過執行；同時了解合規部門的功能及其效力范圍，并監督和評價高級管理層的合規風險管理狀況。當然，董事會可以設置專門的合規分委員會或者要求審計分委員會等來承擔上述職責。

2.高級管理層層面

巴塞爾銀行監管委員會《合規與銀行內部合規部門》中指出：“每家銀行應該有一位執行官或高級職員全面負責協調銀行合規風險的識別和管理，以及監督其他合規部門職員的工作”，該執行官或高級職員被稱為“合規負責人”。國際保險監督官協會在《保險公司治理的核心原則》中要求負責保險公司合規工作的官員應由董事會指定并向董事會報告工作。中國保監會在《指導意見》中借鑒了這些做法，要求“保險公司應當設立合規負責人職位。合規負責人既向管理層負責，也向董事會負責，并向中國保監會及時報告公司的重大違規行為”。因此，合規負責人更應設置在高級管理層層面，而非部門負責人層面，否則將可能難以很好地履行職責。

對保險公司高級管理層而言，參照巴塞爾銀行監管委員會的建議，應做好以下方面的工作：制定和傳達合規政策(包含管理層和員工應遵守的基本原則)，說明整個企業上下用以識別和管理合規風險的主要程序；確保合規政策得以遵守，發現違規問題時，采取適當的補救方法或懲戒措施；每年至少一次識別和評估企業所面臨的主要合規風險，并制定管理這些合規風險問題的計劃；就合規風險管理，特別是重大違規情況向董事會或其下設委員會報告；組建一個常設的、有效的內部合規部門。

3.合規部門層面

合規部門是合規工作的職能部門，是合規管理體系的重要組成部分。科學地組建適合公司需要的合規部門是做好合規工作的前提和組織保障。

(1)合規部門的設置和模式選擇。國際上，金融企業通常在總部設置獨立的合規部門，在分支機構設置當地的合規部和合規官。總部合規部門直接向高級管理層(總裁或董事會主席)報告，并擁有直接向董事會或其下設委員會報告的權限；各分支機構的合規部門則存在矩陣式和條線式兩種報告路線，前者在向上一級合規主管報告的同時，還要向合規部門所在分支機構行政主管報告，后者只向上一級合規部門主管報告。

我國實踐中，金融保險企業的合規部門設置存在三種模式：一是合并法律和合規管理職能并設置相應機構；二是設立單獨的“合規部”；三是設立“內控合規部”。第三種模式強調了合規工作增強和改善企業內部管理控制的方面，與模式二并無本質區別。

我國大多數的銀行和保險公司都選擇了第一種模式，即將原有的法律部改為“法律與合規部”，或在法律部下設“合規處”，或者直接將合規職能劃歸法律部。這一選擇并非中國企業的創新，在國外一些大金融保險企業中，法律部門與合規機構的職責界限往往也是比較模糊的。美國銀行業協會的統計結果表明：銀行規模越大，越希望由銀行法律部門履行銀行合規職責。全球企業法律顧問協會(ACC)則認為，合規是公司法律顧問或者公司律師職責的一部分，因此合規管理和法律部門密不可分是很自然的事情。

從行業實踐來看，我國現階段以保險公司已有法律部門為基礎組建合規管理部門應是較好的選擇。合規管理以對法律法規、監管規定的正確理解和解釋為基礎，在很多情況下，合規風險和法律風險是重合的。正是合規管理與法律工作之間這種不可分割的密切聯系，使大多數企業選擇了第一種模式。實際上，即便企業建立單獨的合規部門，如果其合規管理體制不能以與國際公認的法律標準和做法一致的方式反映和包含對適用法律要求的完整、準確的理解，就無益于保護、增進公司的利益。也就是說，即便成立獨立的合規部門，其運行也離不開法律人員的專業建議和支持。

(2)合規部門應保持獨立性。無論合規部門的組織結構如何，保持其獨立性是最重要的原則。巴塞爾銀行監管委員會在《合規與銀行內部合規部門》中對獨立性進行了解釋，其包含四個相關要素：“第一，合規部門應在銀行內部享有正式地位。第二，應由一名集團合規官或合規負責人全面負責協調銀行的合規風險管理。第三，在合規部門職員特別是合規負責人的職位安排上，應避免他們的合規職責與其所承擔的任何其他職責之間產生可能的利益沖突。第四，合規部門職員為履行職責，應能夠獲取必需的信息并能接觸到相關人員。”

因此，在設置合規部門時，為確保其獨立性，應當考慮建立相關的配套機制：一是合規部門要盡量獨立于業務和財務部門，進行獨立預算管理，預算管理應與合規部門的工作目標保持一致，而非取決于業務部門或業務條線的盈利狀況。二是建立科學的激勵考核機制，即一方面合規部門要接受上級部門和機構的監督評估，以確保合規職能的有效發揮；另一方面，對各業務部門或業務條線管理人員的績效考核，應主動咨詢合規負責人對其合規風險管理能力的評價意見。

4.合規人員隊伍的建設

上海銀監局課題組提出：“為確保合規部門有效履行職責，應配備高素質的專業合規人員。銀行的合規人員要具有與其職責履行相匹配的資質、經驗、專業素質和個人素質。適當的專業素質包括能全面、正確地理解法律、規則和標準及其對銀行經營運作的實際影響；通過定期、系統的教育和培訓，能保持并發展其專業技能，具有對所適用法律、規則和標準最新發展的實時把握能力。適當的個人品質主要包括誠實正直的品格、思考質疑的能力、職業判斷的中立性和獨立性、良好的溝通能力、較強的判斷力和靈活性等，尤其需要具有對合規問題涉及的相關人員直言不諱的勇氣和能力?！鄙鲜鰧︺y行業的合規人員素質要求在保險業也同樣適用。

對合規人員的專業素質要求與對企業內部法律工作人員專業素質的要求是類似的。但合規工作中管理的比重遠遠大于傳統的法律支持工作，合規人員通常更需要深入了解本企業復雜的業務經營。我國金融保險企業中目前大多已存在一支成形的法律工作隊伍，因此，加強對現有法律工作隊伍業務經驗和管理才干的培養，無疑是建成一支高素質合規隊伍的捷徑。

(二)合規制度的建設和執行

規章制度是合規管理體制的中心內容，在制度建設方面，應考慮以下幾點：

首先，在董事會和高級管理層層面，應制定《合規政策》(董事會層面)和《合規管理辦法》(高級管理層層面)等綱領性文件以及針對董事和高級管理層的《行為守則》，特別是要對董事和高級管理層的合規責任提出明確要求。

其次，以合規綱領性文件為統領，進行大規模的整章建制工作。包括制定專門的《規章制度管理辦法》，明確規章的制定、和實施須經嚴格的法律合規審查，建設規章制度的修訂和評價等管理流程。制定或修改完善《合同管理辦法》、《授權經營管理辦法》、《知識產權管理辦法》、《品牌管理辦法》、《員工行為準則》等一系列規章制度。

第三，提前預防和提示合規風險。對金融監管機構下發的每一個規章制度，都要同步分析整理和歸納，提出相應的法律合規要點，及時提醒各職能部門。在合同管理方面，完善從合同項目立項、草擬、審查、印章管理、履行到檔案管理等各環節的管理流程，推出示范合同范本，做到對法律合規風險的提前防范。

第四，明確員工的崗位責任和盡責義務，制定《員工崗位合規手冊》。高規格的規章制度需要有效的執行和監督，否則，再好的制度也只能是形同虛設。合規制度在實施過程中，如果需要變通，任何變通都應逐級上報，由適當級別的適當人員以公開透明的方式決定，以保證不違背制度整體的意圖和目的。這樣的規定本身就有保證遵守規章制度的作用，因為大多數情況下，遵守規定反而要比層層報請批準變通更加簡便；同時它也要求必須明確各個級別的報告義務并建立有效的報告渠道。

只有堅持全面的監督和檢查，合規制度才能正常地發揮作用。因此，必須有獨立的專人負責對各級人員合規責任進行檢查。監督檢查的重點不在于數字而在于程序管理，即：不僅檢查實施了什么行為，還要檢查怎樣實施有關行為，是否獲得適當的內部批準，是否遵守特定的規章制度。

(三)合規管理軟件系統的運用

融合金融保險企業原有的業務和財務管理軟件，增加相應合規控制的IT系統能夠幫助公司實現更好的合規監控。

合規管理軟件系統的使用在發達國家已經比較普及。尤其是在美國，為扭轉因為安然、世通等公司的丑聞而給投資者信心造成嚴重打擊的局面，美國國會于2002年出臺了薩班斯法案(TheSarbanes-OxleyAct)，該法案的精神實質與金融企業合規風險管理機制有著高度的內在統一性。企業為滿足該法案對公司財務報告和內部控制的嚴格要求，往往必須制定復雜的控制流程，并保留充分的證據以證明每個控制的有效性。因此，大量基于COBIT(ControlObjectivesforInformationandrelatedTechnology—信息系統和技術控制目標，美國信息系統審計與控制協會1996年公布，國際上公認的最先進、最權威的安全與信息技術管理和控制標準)和ITIL(InformationTechnologyInfrastructureLibrary—信息技術基礎設施庫，英國政府中央計算機與電信管理中心于20世紀90年代初期的一套IT服務管理實踐指南，幾經升級改善后，成為事實上的IT管理服務國際標準)的合規管理軟件應運而生，成為在美上市公司日常經營管理中所依賴的重要工具。

使用IT系統進行合規管理主要體現在流程控制上。首先，當新的法律法規、監管規定和行業規范出臺后，公司針對這些新的合規要求，需要對原有的流程規范進行修改，一個一體化的合規管理軟件將避免大量的重復勞動，降低審查修改內部規范的復雜性，減少合規成本。其次，在業務活動中，合規管理系統可以將業務流程分拆成不同的子流程，在各個子流程里訂下不同的條規，自動記錄與每一筆業務相關的所有電子文件、會議記錄、電話記錄、傳真等，建立流程文檔庫集中匯總信息，而所有信息都可以隨時被搜索調出，與設定的流程條規進行對比，從而保證了合規檢查的便捷和持續進行。第三，合規管理系統中通常會設定各個層級信息和資料的義務和查閱權限，當業務進程發生偏離時，具有相應權限的合規控制人可以第一時間查閱了解到在哪一個階段和流程到底發生了什么，從而可以利用流程節點及時做出控制和調整，促使整個工作流程朝設定的目標發展，大大加強了風險管理。第四，合規管理系統在業務流程或者財務匯總結束后，可以將包括各個子公司、分公司、部門的信息集中起來，統一進行分析，制作報告，給決策者提供直觀的信息資料。

(四)合規文化的培養

合規文化的培養是合規管理能夠切實發揮功效的基礎，可以從以下方面人手：

首先，“合規從高層做起”?！昂弦帍母邔幼銎稹笔怯行У暮弦幑芾眢w制得以建立的基礎。企業高層應當在整個企業中做出表率，設定鼓勵合規的基調。“當企業文化強調誠信與正直的準則并由董事會和高級管理層做出表率時，合規才最為有效。”而且，“來自高層的支持必須持續不斷、毫不動搖，并將其納入核心管理目標之中，……任何一級業務經理唆使或默許下級員工規避內部規定和適用法律，標準化管理體制也將名存實亡。企業內部任何環節一旦容忍規避行為，都將清晰地暗示管理層實際上并不完全支持合規制度，員工會從其實際行動、而不是年報的說詞中，很容易地領會他們真正的優先取向。”

其次，強調“合規并不只是專業人員的責任”。企業應“努力培育主動合規以及良好互動的合規意識，業務人員應欣然接受全面的合規培訓，主動尋求合規部門或合規員的建議；業務管理者應準確識別關鍵合規問題，及時向合規部門或合規工作人員咨詢，頻繁、主動地進行動態合規回顧；合規部門或合規工作人員則應積極主動地識別、評估和監測潛在的合規問題或合規風險，給出合規建議后主動向上級反映，并跟蹤其發展?！?/p>

第三，強化“合規創造價值”的理念。合規風險管理本身雖然并不能直接為企業增加利潤，但是系列的合規活動能制和調整，促使整個工作流程朝設定的目標發展，大大加強了風險管理。第四，合規管理系統在業務流程或者財務匯總結束后，可以將包括各個子公司、分公司、部門的信息集中起來，統一進行分析，制作報告，給決策者提供直觀的信息資料。

(四)合規文化的培養

合規文化的培養是合規管理能夠切實發揮功效的基礎，可以從以下方面人手：

首先，“合規從高層做起”。“合規從高層做起”是有效的合規管理體制得以建立的基礎。企業高層應當在整個企業中做出表率，設定鼓勵合規的基調。“當企業文化強調誠信與正直的準則并由董事會和高級管理層做出表率時，合規才最為有效?！倍遥皝碜愿邔拥闹С直仨毘掷m不斷、毫不動搖，并將其納入核心管理目標之中，……任何一級業務經理唆使或默許下級員工規避內部規定和適用法律，標準化管理體制也將名存實亡。企業內部任何環節一旦容忍規避行為，都將清晰地暗示管理層實際上并不完全支持合規制度，員工會從其實際行動、而不是年報的說詞中，很容易地領會他們真正的優先取向?！?/p>

其次，強調“合規并不只是專業人員的責任”。企業應“努力培育主動合規以及良好互動的合規意識，業務人員應欣然接受全面的合規培訓，主動尋求合規部門或合規員的建議；業務管理者應準確識別關鍵合規問題，及時向合規部門或合規工作人員咨詢，頻繁、主動地進行動態合規回顧；合規部門或合規工作人員則應積極主動地識別、評估和監測潛在的合規問題或合規風險，給出合規建議后主動向上級反映，并跟蹤其發展?！?/p>

第三，強化“合規創造價值”的理念。合規風險管理本身雖然并不能直接為企業增加利潤，但是系列的合規活動能夠為企業爭取到有利于未來發展和業務創新的外部政策環境；形成一整套具有較強執行力的、程序化的內部制度。通過內部制度的持續修訂，將日積月累的各種良好做法沉淀下來，并清晰地界定實際工作中的盡職、問責和免責標準，將大大降低企業成本并增強企業風險控制能力，提高資本回報，最終為企業創造價值。

第四，保持激勵約束機制與企業倡導的合規文化和價值觀的一致性，嚴格責任追究制度。企業應“切實有效地落實問責制，確保獎懲分明、違規必究”。“不僅要獎勵好的道德行為和良好合規做法，更要懲罰不道德的行為和違規行為”，要將“資源用于良好的控制系統、優良的客戶服務和盡職員工的激勵上，而不只是單純的業績激勵”。企業“要糾正‘重經營業績、輕內控管理’的績效考核理念”，“平衡業務拓展與風險管理的關系，重視對‘優秀員工’的行為約束”。企業“要破除‘以信任代替管理、以習慣代替制度、以情面代替紀律’等不良文化的桎梏，明確‘零容忍’理念，以扭轉長期職責不清、責任落實難的狀況，強化政策和程序等規章制度的執行力”。