4. 合规职能≠合规部门。巴塞尔委员会2005年的《银行合规与合规职能》被视为关于商业银行合规的重要指引，有些人将该文件中的合规职能理解为合规部门，这实际上是一种误读。该文件在其引言中明确指出，要求各银行构建的“compliance function”是指合规职能，而非特指单一的合规部门（Compliance Unit\Department\Division）。巴塞尔委员会建议，一家商业银行应当根据自身的风险管理策略和组织架构来设置其合规职能，管理合规风险。以何种模式实施巴塞尔委员会指引中的合规职能与原则将取决于多种因素，如银行的规模大小、经营的复杂程度、业务的结构和区域分布，以及银行营业所在地的法律框架和监管环境（郑柏林，2004）。

　　二、商业银行合规风险和法律风险的相互关系

　　（一）法律风险管理日趋成熟，合规风险管理刚刚起步

　　法律风险是商业银行最古老的风险之一，随着现代商业银行的发展已经过两百多年的时间，到今天为止不论是法律风险管理的理论还是实务都已经相当成熟。国内外商业银行都累积了丰富的管理经验和方法，建立了系统的管理机制，主要包括如下几个方面：第一，法律风险的事前预警机制，定期评估外部法律环境，制定有关各业务条线的指引，提示经营风险，支持业务发展；第二，法律风险的事中防控机制，进行法律咨询审查，参与交易谈判，加强流程管理；第三，法律风险的事后化解机制，通过解决各种纠纷和违约事件，为银行选择最妥善的处理方案并提供法律支持。

　　而合规风险从最早提出到现在不过三十年的光景，商业银行开始关注它也就是近些年的事情，对于合规风险的认识目前还是很模糊，防控技术和管理手段也处于摸索阶段。各国监管机关的做法更是大相径庭：某些资本输出国出于维护本国税收和经济安全的需要，热衷于反洗钱、反避税层面的合规监管；一些新兴市场国家在市场开放和全球化的大环境下也随之提出合规目标，但暂时还停留在宣誓意义上。与法律风险稳定成熟的管理机制相比较，合规风险的管理尚处于“婴儿期”。

　　（二）合规风险从属于法律风险

　　1. 从渊源上看，“法律”是上位概念，“规”是下位概念。法律风险的中“法律”是指广义上的法，即具有强制性的社会规则。法具有多种表现形式，既包括制定法，又包括习惯法；既包括立法机关出台的法律法规、行政机关颁布的部门规章，还包括监管机构发布的监管规则、行业组织制定的标准准则；既包括法律原则，又包括司法判例、法律解释；既包括国内法，又包括外国法乃至国际条约、国际惯例。因此，法律风险的渊源囊括了所有合规风险的渊源——狭义的法律[①]、法规、监管规则、行业标准。其中，作为合规风险核心内容的监管规则不过是法律众多形式中的一种，仅仅是指监管机构制定的规定、原则、指引等。所有监管机构发布的监管规则必须依法制定，监管机构的设立、职能的划分、职权的行使也必须严格依法进行，违反了上位法或者与上位法冲突的监管规则将是无效的。因此从渊源的角度来看，“法律”是上位概念，而“规”是下位概念，法的范畴要远大于规的范畴，法律风险也就相应地大于合规风险。