合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。合规风险管理被认为是现代商业银行经营中的一项核心风险管理活动。随着银行业金融机构的经营活动日益综合化和国际化，金融服务领域变得越来越宽，金融业务和产品变得越来越复杂，对应的合规失效事件也在不断暴露。相对于传统的单一银行，综合化、国际化的银行需要接受更加严格和复杂的监管，传统的合规风险管理原则、框架和方法正在面临严峻的挑战。银行业不得不更加关注合规风险管理体系的改进工作。在这一背景下，如何借鉴国际先进银行的合规风险管理经验和实践来建立一个有效的合规风险管理机制是目前一个紧迫而实际的主题。　　中国工商银行总行是一个典型的由国有股份制商业银行向综合化、国际化银行转型的银行，该银行已经建立了较为健全的合规风险管理组织架构、配备了适当的合规管理人员，明确了合规风险管理职能，并通过“合规制度体系、合规管理协作、制度梳理与业务操作指南、合规检查、内控评价”等为代表的几个主要的传统合规风险管理方法实施合规风险管理。但随着工商银行快速实施集团化、综合化、国际化战略以来，其面临着更加艰巨的外部监管环境挑战，内部合规风险管理水平相对于外部监管环境变化和管理需要相对滞后。影响目前合规风险管理效率的外部因素主要包括:集团化战略推进导致合规风险暴露的扩大和传染，综合化经营加剧了合规风险的复杂化，国际化发展提升了合规管理的难度，同时国内专门的合规管理监管文件实用性和指导性不能满足银行管理需要。内部因素主要包括:传统管理习惯限制了新的合规风险管理流程和控制方法的设计和应用，合规专业管理人员的素质还不足以胜任专业化风险管理，专业化的合规风险管理技术和方法还未得到有效应用。积极应对外因，合理改进内因。研究如何完善银行内部的合规风险管理流程以及具体控制方法正是研究目标。　　因此，改进工商银行合规风险管理的基本思路建议确定为，根据以风险为本的管理理念，跨越传统管理方法的窠臼，以研究建立系统完整的合规风险管理流程为基础，以研究合规风险识别、监测、计量、评估以及信息管理系统建设等控制方法的设计和应用为重心，理顺合规风险管理流程，加快合规风险识别、监测、计量、评估等控制方法的应用，提升合规风险管理的专业化水平，以提升合规风险管理的预见性和主动性，进而促进提升合规风险管理效率。　　在巴塞尔委员会《合规与银行合规职能》与中国银监会《商业合规风险管理指引》两个重要监管文件的指引下，在借鉴参考《AS/NZE4360》和《全面风险管理-整体框架(COSO-ERM)》两个典型风险管理模型的基础上，对工商银行的合规风险管理流程进行重新设计，将合规风险管理流程设定为合规风险识别、合规风险监测计量、合规风险评估、合规风险控制与缓释、合规风险报告等五大环节构成的管理流程。该五大环节构成一个完整的有机联系的风险管理循环，五大要素在工作逻辑上具有相互承接性，但并非机械地、顺序地依次发生，五个环节的次序也不是固定不变的。比如，通过监测指标发现某个异常情况时，可能需要再次进入识别程序，重新开始一个循环过程，整个风险管理流程由此构成循环往复的过程。合规风险识别、合规风险评估、合规风险监测等要素只是基于不同的角度做出的划分，其在功能上既有相同点也有差异性。　　合规风险识别是通过一定的标准和手段，鉴别分析一切可能导致风险的因素和产生风险的环节点，确定风险的性质和种类以及风险产生原因与影响的过程。合规风险识别是合规风险管理的第一个阶段，是对合规风险的定性分析，是正确分析和把握银行合规内容的重要手段。只有通过全面而准确的识别，才能够有效评估、监测和控制、报告风险状况。合规风险识别流程可以包括确定风险识别依据、识别合规风险驱动因素、识别合规风险事件、识别合规风险影响、识别合规管理措施五个步骤。　　合规风险监测就是要在银行内部对与合规法律、规则和准则有关的风险暴露进行跟踪、核查、确认的过程。合规风险监测的关键在于设计合规风险监测流程、设计合规风险点的确定和分类标准、以及设计和应用合规风险监测指标(KRI)。合规风险监测流程的设计应考虑外部监管环境变化、发展战略和内部流程改革、业务范围变化等因素对银行内部经营规则和合规文化带来的影响、进而开展风险监测指标监测分析;最后根据监测趋势和表征形成合规建议，并与相应的部门、机构乃至高级管理层进行必要的交流和沟通。合规风险点的设计应依据不同风险维度实施，笔者建议从合规风险性质（固有风险和剩余风险）、风险可能性（几乎肯定发生、高、中、低、非常低）、风险后果（不重大、低、中、高、极高）、控制缺陷（实质性漏洞、重大缺陷、重要缺陷和一般缺陷）等四类风险维度进行实施。合规风险监测指标(KRI)用以反映整体或局部领域合规风险趋势和特征。KRI的建立基础是假设合规风险的大小与某些数量指标具有内在的紧密联系。通过这些数量指标的变化可以反映出某类合规风险水平的变化，指标可以依附于某一产品线或银行中已经识别的合规风险，具有可计量性和一定的预警功能，并能通过定义触发水平，引起管理层对指标参数值超过安全区间的合规风险的重视。也就是说指标必须具有风险敏感性，能深入洞察风险组合的变动情况。　　合理的风险计量方法可以用来估计合规风险的潜在损失，进而提前做好相应的资本计提。参照《巴塞尔新资本协议Ⅱ》，可以探索研究基本指标法(the Basicindicator approach)、标准法(the standardized approach)以及高级计量法(advancedmeasurement approach)在计量合规风险监管资本的应用，并结合工行银行自身的风险数据应用不同的计算方法对风险监管资本进行测算。　　合规风险评估的内容主要包括对现有风险状况的评估和风险控制措施有效性的评价。制度合规性评价的重点在于合理设计制度评价标准。笔者探索性的从制度合规性、健全性、合理性、时效性四个方面提出了4大类10项指标。风险控制自我评估（Risk and Control Self-Assessment，RCSA）的关键在于由银行具体业务部门和操作人员发起，对自身经营管理中存在的合规风险点进行识别，评估固有风险，再通过分析现有控制活动的有效性，评估剩余风险，并提出优化控制活动的一种定性风险分析方法。　　建立系统高效的合规风险管理信息系统是实现各类合规风险控制方法的重要载体.合规风险管理信息设计的重点在于建立完整的合规风险信息数据库，实现合规风险数据的有效收集、分析、调整和匹配，实现合规风险的动态监测与计量，在合规风险数据识别评估的基础上，运用KRI监测指标体系和风险资本计量模型科学估计风险损失趋势，准确计量经济资本。　　目前的商业银行合规风险管理研究领域，不少文献研究还是把研究重点放在商业银行合规风险管理基础框架或基本要素的描述层面。但作为一种应用型的研究，笔者建议将研究重点放在合规风险管理流程中的具体操作步骤和细节的设计应用方面，要探索研究如何将定量风险指标和方法应用到合规风险识别、监测、计量、评估等具体的控制活动中去，并应结合商业银行经验数据审慎大胆的测试和研究，以帮助建立一个更具操作性的合规风险控制系统。