4. 本文的定义。对合规风险明确恰当的界定，将有益于合规风险的识别与监测。通过考察合规的起源以及关于合规风险的各种解释，可以看出，合规的前提是守法，重点是遵循监管要求。巴塞尔委员会的原则和框架只是一种参考，各国际银行还是结合本国的监管实践和银行的实际情况因地制宜地具体界定合规风险。综上，本文认为，对合规风险的合理定义应是，商业银行因违反有关外部性规则而产生财务损失、监管处罚、法律制裁和声誉损失的风险。这里，外部性规则指的是适用于商业银行的法律、法规、监管规则和行业准则。其中，合规风险的一个重要来源是银行的业务经营违反了监管规则。这是因为现实当中合规是在监管机构的推动下诞生的，商业银行的合规风险管理与监管要求密切相关。

　　（四）误区的澄清

　　1. 合规风险≠操作风险。目前有一种倾向将市场风险和信用风险之外的所有风险都称为操作风险，操作风险简直是无所不包，合规风险也被视为操作风险的一种，这显然是不正确的。这一模糊的定义在实践中引起了许多冲突和分歧，不利于风险的有效识别、监测和管理。实际上，操作风险和合规风险有着本质的不同。操作风险是由于银行的流程、人员、系统、技术的不完善或失败等引发的风险，根源是银行内部控制及公司治理机制的失效。诸如员工责任心不强、产品流程漏洞、流程执行不严、软硬件故障等，都会带来操作风险。而合规风险则是因为银行违反法律、法规、监管规则、行业准则等外部性规定而导致的风险，根源是银行战略、经营、业务的违法违规性。例如，银行的跨国战略受到的母国与东道国双重监管发生冲突，综合化经营涉及到不同监管机构之间的灰色监管地带，新产品和新服务在开发之初超越了既有的监管政策等，都会带来合规风险。

　　2. 合规≠遵循银行内部的规章制度。应当注意的是，不能将合规与遵循银行内部规章制度混为一谈。二者的区别为：前者是指商业银行及其人员遵循适用于商业银行的法律、法规、监管规则、行业准则等外部性要求；后者是指银行及其人员遵循流程管理、操作规程、业务指引及行为守则，或者是分支机构遵循总行制订的规章制度等银行的内部性规定（张炜，2004）。二者的联系在于，银行内部的规章制度是银行应自身的业务需要和内控要求制定的，要接受合规审核。银监会刘明康主席在上海银行业第二届合规年会上的讲话中就明确指出，合规管理人员的大量工作就是要确保内部规章制度的合规性，以体现外部的法律、规则和准则的要求；至于银行的管理者和员工是否遵守内部规章制度，则由内审、稽核人员来检查、督促。

　　3. 合规风险管理职能≠内审、稽核职能。目前国内个别商业银行将合规风险管理职能与内审、稽核职能混同在一起，实际上是混淆了二者的区别。合规风险管理职能负责银行业务经营、对外法律文件、内部规章制度的合规性审查，提供合规咨询，制定合规指引，进行合规培训，化解合规纠纷，管理合规风险。内审、稽核职能则负责对内检查监督各种内部规章制度的实施落实，建立和实施内部控制机制，管理操作风险（上海银监局课题组，2005）。正像巴塞尔委员会2006年《加强银行公司治理》中指出的那样，内审、稽核部门的职能包括审查应法律合规要求而建立的各项制度是否得到遵循和执行，因此内审、稽核部门应当充分重视涉及银行业务活动的法律法规，以及监管当局发布的关于银行组织架构和经营管理的政策、原则、规则和指引。但这并不意味着内审、稽核部门要承担合规风险管理职能，二者应当分离。