簡介 銀行合規管理是指一個獨立的機制,負責識別、評估、提供諮詢、監控和報告銀行的
合規風險 。合規風險包括因未遵循各項相關法律、條例、行為準則和良好的執業標準(合稱“法律、準則和標準”)導致受到法律和監管條例制裁、財務或聲譽損失的風險。相關的法律、準則和標準主要是指與銀行的商業運作有關的規定,包括防止洗錢和恐怖分子資金融通、商業操守(如避免或減少
利益衝突 )、保障(顧客)隱私和
數據安全 、
消費者信用 (若銀行從事
消費者信貸 業務)等,也可涉及到銀行商業活動之外的其他領域,如員工聘用和依法納稅等,具體視監管機構或銀行自身所採信的範圍而定。上述規定有多種淵源,包括各種基本法律、監管機構制定的條例和標準、市場慣例、行業協會倡導的執業規則、銀行員工應遵守內部行為規範等,而不僅僅限於具有法律約束力的規定,而是包含更廣泛的涉及誠信和公平交易的規範。
根據《銀行機構的內部控制制度框架》規定,合規性目標是銀行內部控制過程的三大主要目標之一。鑒於銀行經營活動的特殊性,為保護銀行的經營特權和聲譽,必須要確保所有的銀行業務遵循相關的法律與管理條例、合乎監管當局的要求並遵守銀行機構的相關政策和程式。合規對於銀行持續穩健經營具有極端重要性,
銀行監管 機構也日益重視銀行的
合規管理 。合規管理實質上是按照銀行的合規目標來定義的銀行管理活動。它首先是銀行組織的管理,是對組織
合規風險 進行管理的過程,應當體現在銀行管理的全過程中,涵蓋商業銀行業務的各個方面。
銀行合規管理是指管理者對組織各要素合規方面的集體協作行為進行有意識的組織協調的活動,確保組織各個機構和人員的各項業務行為符合外部法律法規及其他
強制性規範 以及內部各項規章制度,以有效滿足組織合規性目標的過程。銀行合規管理的目標是實現銀行的合規性目標,其基本作用是確保銀行遵循各項相關法規、政策和標準,控制
合規風險 ,以保護銀行的聲譽,從而保證銀行實現最大的利益。從管理的基本職能——計畫、組織、控制方面進行分析歸納,
合規管理 主要內容應當包括結合銀行實際識別、評估合規風險並制定合規管理規劃和相關政策程式,組織、指導各相關部門實施合規管理事宜和有關的政策、程式,督促、監控、核准銀行的合規工作,定期對銀行的合規工作進行考核評價,發現並糾正其中的偏差和不足。在實際工作中,合規管理主要解決三個問題:一是確保商業銀行的規章制度合乎法律法規;二是確保商業銀行內部規章制度之間不相衝突;三是確保規章制度在全行得到嚴格執行。因此,合規管理與合規的定義是相互聯繫而又存在明顯區別。
原則 銀行合規管理應當遵循獨立性、系統性、全員參與、強制性、管理地位與職責明確的科學管理原則。
獨立性原則是指
合規管理 應當獨立於銀行的業務經營活動,以真正起到牽制制約的作用,是合規管理的關鍵性原則。
系統性原則 ,是指合規管理應當運用系統觀點進行系統的設計和組織,構建合理的運行體制,協調運作,實現合規管理的最大效能。
全員參與原則是指合規工作應當做到由全體員工在各自的業務活動中全面遵循合規性要求,合規管理應當立足於形成銀行整體的
合規文化 以從職業道德上約束所有員工。
強制性原則是指鑒於規章制度的強制執行的性質,合規管理相對於其他管理而言,具有強制性,任何人必須服從合規性要求,而不能討價還價。
管理地位與職責明確的原則,隨著
合規管理 重要性的日益提升,根據組織設計原則,應當由專門部門牽頭實施,並各相關人員的角色和職責通過書面檔案予以清晰界定,系統組織,提高合規管理效果,確保目標實現。
關係 最大可能地控制風險、降低成本和盈利最大化是每一個商業組織的天然使命,也是公司治理、內部控制、風險管理以及銀行合規管理的共同目標。
區別 合規歷來就為外部監管機構和銀行業所重視,合規風險管理越來越正規化,並成為一門專門的風險管理學科。根據美國COSO委員會(即the Committee of Sponsoring Organizations of the Treadway Commission)的定義,
企業風險管理 是一個由企業的
董事會 ,管理層和其他人員的過程,該過程由內部控制組成,套用於戰略和整個企業,為企業實現下列目標提供合理保證,即經營的效果和效率,財務報告的可靠性、適當法律和法規的遵循性(合規性目標)以及保護資產。
美國銀行 的風險管理分為三大部分:
市場風險 (market risk)——主要是指由於巨觀經濟因素的變化,例如利率、匯率等,對銀行經營的影響;
營運風險 (operation risk)——主要是指銀行在自身業務經營中因管理疏忽造成的風險;
合規風險 (compliance risk)——主要是指銀行未能完全符合法規的要求進行經營所帶來的風險。渣打銀行要求所有的業務發展都必須建立在強化銀行風險管理的基礎上。它根據在新興市場的多年經驗,對該類市場可能遇到的風險歸為八大類:
信貸風險 、
市場風險 、
國家風險 、
流動性風險 、業務風險、
合規管理 風險、營運風險和
聲譽風險 。
內部控制 按照COSO的定義,內部控制是由公司董事會、管理層和其他人員,用來為實現下列目標提供合理保證的過程,即財務報告的可靠性,法律法規與政策的遵循性(合規性目標)、經營的效果和效率以及保護資產,它包括五大要素即
控制環境 、
風險評估 、
控制活動 、信息合溝通以及監控。
合規管理 實際上是內部控制中合規性目標的直接保證,是在風險評估及控制活動中涉及的風險管理的前提和實施工具。通過分析內部控制和風險管理的架構可以看出,風險管理與內部控制完全融合,並套用於企業的每一個層次和單位。
公司治理 依據1999年6月21日《經濟合作與發展組織公司治理原則》的權威定義,公司治理是
公司管理層 、
董事會 、股東和其它
利益相關者 之間的一整套制度安排,為公司提供了一個架構,通過這一架構制定公司的目標,確定目標實現以及監督實施的措施。
巴塞爾委員會 在《健全銀行的公司治理》指出,穩健的公司治理可以不考慮銀行形式,但銀行的組織結構中至少應有四種監督,以確保存在適當的制衡:(1)董事會或監事會監督;(2)不參與日常經營的個人監督;(3)不同業務領域的
直接監督 ;(4)獨立的風險管理和審計。因此
合規管理 作為風險管理的核心組成部分,自然應當包括在公司治理之中。
從上面的分析可以看出,公司治理是一個總體的概念,包括風險管理,內部控制和合規管理,即公司治理是一個整體。從廣義的概念來說,在公司治理的大框架下,風險管理,內部控制與公司治理是融合的,他們包含了合規管理,而合規管理作為風險管理的核心,也應當套用於銀行經營管理的全過程,套用於銀行的每一個層次和機構,並與銀行的商業活動保持獨立性。
組織結構 國際上很多大銀行是在
董事會 或其下屬的委員會或者高級管理層領導下設立獨立的
合規管理 部門。董事會負責監督負責監督銀行的合規風險管理,批准銀行的合規政策,對銀行的合規政策及其執行情況每年至少進行一次審閱並做出評價,評估銀行有效管理
合規風險 的情況。高級管理層負責制訂銀行的合規政策,定期評價各項合規政策和執行狀況,並將結果包括合規政策的變化向董事會報告;若發現重大的合規問題,管理層必須立即向董事會匯報。合規管理的部門主要負責識別、評估和監控銀行面臨的合規風險,並向高級管理層和董事會提出合規建議和報告。
鑒於合規與法律存在天然的聯繫,有的銀行把合規管理與法律事務合設在一起。此外,個別銀行的合規管理人員同時兼任內部審計的角色,這種設定經常會因職能劃分和設計不當而會極大弱化
內部審計 的作用。
根據《銀行合規人員》(徵求意見稿)提供的資料來看,銀行的規模、經營範圍以及經營活動的性質和全球化程度等各種因素直接影響到銀行業
合規管理 的組織及實施方式。然而,不管銀行如何組織其合規工作,要實施有效的合規管理,組織機構設計必須要遵循兩個關鍵原則,一是合規管理部門的地位和職責應當定義清楚;二是合規管理應當獨立於銀行的商業活動。
要求 基本要求 銀行合規管理的職責設定必須遵循獨立性的要求。
合規管理 與銀行的商業活動要保持獨立。銀行的
董事會 和高級管理層應當對銀行的合規管理負責,並向合規管理部門提供足夠的資源,以確保其有效履行職責。合規管理部門的費用預算和合規管理人員的的工資補貼應當與合規管理的目標相一致,而不能受銀行業務部門的財務業績的影響。合規管理部門應當能夠在存在
合規風險 的所有部門獨立自主地開展合規工作,還必須具有向高級管理層合董事會或其下屬的委員會自由報告合規調查後發現的異常或可能違規的行為的權力,而不會受到管理層或其他工作人員的報復或反對的威脅。
無論銀行合規管理部門採用的是集權制還是分權制,為保障
合規管理 的獨立性,銀行都應當設定專門的合規管理負責人負責日常的合規管理工作,其他的合規管理工作人員應當向該負責人匯報工作。分權制下合規管理工作人員如果對所在部門的管理人員負有報告義務的話,其獨立性將會大大降低。合規管理負責人若是高級管理層的成員,則不應承擔直接的商業經營部門的職責;若不是高級管理層的成員,則應當有明確的向不直接負責商業經營部門職責的高級管理人員直接報告的路線,同時在情況需要時繞過常規報告路線,直接向董事會或其下屬的委員會報告的權力。如,合規管理人員不應同時負有賺取收入的職責,比如交易、行銷或與客戶聯繫等。在較小的銀行,合規管理人員可能還要兼任其他非合規任務,但這些任務不能與所負責的合規職責存在
利益衝突 。
人員素質要求 銀行對其從業員工都有具體的要求。作為專業性很強的部門,應當對合規管理人員設定最低準入條件。
合規管理 的從業人員應當具備有效履行職責所必需的資格、經驗、適當的專業素質和個人品質。適當的專業素質可以包括:對適用的法律、條例、標準及其對銀行運轉的影響具有可靠合理的深刻理解;通過定期、系統的教育和培訓使從業人員保持並發展其專業技能尤其是所適用法律、條例、標準的最新發展的實時把握的能力。適當的個人品質,也是大部分銀行要求職員應當具備的品質,如誠實正直、善於發現問題、職業判斷的中立性與獨立性、良好的溝通技巧、優異的判斷力等,尤其是在合規檔案中對合規問題涉及的相關人員直言不諱的能力。
管理指引 第一章 第二條 在中華人民共和國境內設立的中資商業銀行、外資獨資銀行、
中外合資銀行 和外國銀行分行適用本指引。
第三條 本指引所稱法律、規則和準則,是指適用於
銀行業 經營活動的法律、行政法規、部門規章及
其他規範性檔案 、經營規則、自律性組織的行業準則、行為守則和職業操守。
本指引所稱合規,是指使商業銀行的經營活動與法律、規則和準則相一致。
本指引所稱
合規風險 ,是指商業銀行因沒有遵循法律、規則和準則可能遭受
法律制裁 、監管處罰、重大財務損失和聲譽損失的風險。
本指引所稱
合規管理 部門,是指商業銀行內部設立的專門負責合規管理職能的部門、團隊或崗位。
第四條 合規管理是商業銀行一項核心的風險管理活動。商業銀行應綜合考慮合規風險與
信用風險 、
市場風險 、
操作風險 和其他風險的關聯性,確保各項風險管理政策和程式的一致性。
第五條 商業銀行合規風險管理的目標是通過建立健全合規風險管理框架,實現對
合規風險 的有效識別和管理,促進
全面風險管理 體系建設,確保依法合規經營。
合規是商業銀行所有員工的共同責任,並應從商業銀行高層做起。
董事會和高級管理層應確定合規的基調,確立全員主動合規、合規創造價值等合規理念,在全行推行誠信與正直的職業操守和價值觀念,提高全體員工的合規意識,促進商業銀行自身合規與外部監管的有效互動。
第七條 銀監會依法對商業銀行合規風險管理實施監管,檢查和評價商業銀行合規風險管理的有效性。
第二章 第八條 商業銀行應建立與其經營範圍、組織結構和業務規模相適應的合規
風險管理體系 。
合規風險管理體系應包括以下基本要素:
(一)合規政策; (二)合規管理部門的組織結構和資源;(三)合規風險管理計畫; (四)
合規風險 識別和管理流程; (五)合規培訓與教育制度。
第九條 商業銀行的合規政策應明確所有員工和業務條線需要遵守的基本原則,以及識別和管理合規風險的主要程式,並對合規管理職能的有關事項做出規定,至少應包括:
(一)合規管理部門的功能和職責;
(二)
合規管理 部門的許可權,包括享有與銀行任何員工進行溝通並獲取履行職責所需的任何記錄或檔案材料的權利等; (三)合規負責人的合規管理職責;
(四)保證合規負責人和合規管理部門獨立性的各項措施,包括確保合規負責人和合規管理人員的合規管理職責與其承擔的任何其他職責之間不產生
利益衝突 等;
(五)合規管理部門與風險管理部門、內部審計部門等其他部門之間的協作關係;
(六)設立業務條線和分支機構合規管理部門的原則。
第十條
董事會 應對商業銀行經營活動的合規性負最終責任,履行以下合規管理職責:
(一)審議批准商業銀行的合規政策,並監督合規政策的實施;
(二)審議批准高級管理層提交的合規風險管理報告,並對
商業銀行 管理
合規風險 的有效性作出評價,以使合規缺陷得到及時有效的解決;
(三)授權董事會下設的風險管理委員會、
審計委員會 或專門設立的
合規管理 委員會對商業銀行合規風險管理進行日常監督;
(四)商業銀行章程規定的其他合規管理職責。
第十一條 負責日常監督商業銀行合規風險管理的董事會下設委員會應通過與合規負責人單獨面談和其他有效途徑,了解合規政策的實施情況和存在的問題,及時向董事會或高級管理層提出相應的意見和建議,監督合規政策的有效實施。
第十二條 監事會應監督董事會和高級管理層
合規管理 職責的履行情況。
第十三條 高級管理層應有效管理商業銀行的
合規風險 ,履行以下合規管理職責:
(一)制定書面的合規政策,並根據合規風險管理狀況以及法律、規則和準則的變化情況適時修訂合規政策,報經董事會審議批准後傳達給全體員工;
(二)貫徹執行合規政策,確保發現違規事件時及時採取適當的
糾正措施 ,並追究違規責任人的相應責任;
(三)任命合規負責人,並確保合規負責人的獨立性;
(四)明確合規管理部門及其組織結構,為其履行職責配備充分和適當的合規管理人員,並確保合規管理部門的獨立性; (五)識別商業銀行所面臨的主要
合規風險 ,審核批准合規風險管理計畫,確保
合規管理 部門與風險管理部門、
內部審計部門 以及其他相關部門之間的工作協調;
(六)每年向董事會提交合規風險管理報告,報告應提供充分依據並有助於董事會成員判斷高級管理層管理合規風險的有效性;
(七)及時向董事會或其下設委員會、監事會報告任何重大違規事件;
(八)合規政策規定的其他職責。
第十四條 合規負責人應全面協調商業銀行合規風險的識別和管理,監督合規管理部門根據合規風險管理計畫履行職責,定期向高級管理層提交合規風險評估報告。合規負責人不得分管業務條線。
合規風險 評估報告包括但不限於以下內容:報告期合規風險狀況的變化情況、已識別的違規事件和合規缺陷、已採取的或建議採取的
糾正措施 等。
第十五條 商業銀行應建立對管理人員合規績效的考核制度。商業銀行的
績效考核 應體現倡導合規和懲處違規的價值觀念。
第十六條 商業銀行應建立有效的合規問責制度,嚴格對違規行為的責任認定與追究,並採取有效的糾正措施,及時改進經營管理流程,適時修訂相關政策、程式和操作指南。
第十七條 商業銀行應建立誠信舉報制度,鼓勵員工舉報違法、違反職業操守或可疑行為,並充分保護舉報人。
第三章 第十八條
合規管理 部門應在合規負責人的管理下協助高級管理層有效識別和管理商業銀行所面臨的
合規風險 ,履行以下基本職責:
(一)持續關注法律、規則和準則的最新發展,正確理解法律、規則和準則的規定及其精神,準確把握法律、規則和準則對商業銀行經營的影響,及時為高級管理層提供合規建議;
(二)制定並
執行風險 為本的合規管理計畫,包括
特定政策 和程式的實施與評價、合規風險評估、合規性測試、合規培訓與教育等;
(三)審核評價商業銀行各項政策、程式和操作指南的合規性,組織、協調和督促各業務條線和內部控制部門對各項政策、程式和操作指南進行梳理和修訂,確保各項政策、程式和操作指南符合法律、規則和準則的要求;
(四)協助相關培訓和教育部門對員工進行合規培訓,包括新員工的合規培訓,以及所有員工的定期合規培訓,並成為員工諮詢有關合規問題的內部聯絡部門;
(五)組織制定
合規管理 程式以及合規手冊、員工行為準則等合規指南,並評估合規管理程式和合規指南的適當性,為員工恰當執行法律、規則和準則提供指導;
(六)積極主動地識別和評估與商業銀行經營活動相關的
合規風險 ,包括為新產品和新業務的開發提供必要的合規性審核和測試,識別和評估新業務方式的拓展、新
客戶關係 的建立以及客戶關係的性質發生重大變化等所產生的合規風險;
(七)收集、篩選可能預示潛在合規問題的數據,如
消費者投訴 的增長數、異常交易等,建立合規風險監測指標,按照風險矩陣衡量合規風險發生的可能性和影響,確定合規風險的優先考慮序列;
(八)實施充分且有代表性的合規風險評估和測試,包括通過現場審核對各項政策和程式的合規性進行測試,詢問政策和程式存在的缺陷,並進行相應的調查。合規性測試結果應按照商業銀行的內部風險管理程式,通過
合規風險 報告路線向上報告,以確保各項政策和程式符合法律、規則和準則的要求;
(九)保持與監管機構日常的工作聯繫,跟蹤和評估監管意見和監管要求的落實情況。
第十九條 商業銀行應為
合規管理 部門配備有效履行合規管理職能的資源。合規管理人員應具備與履行職責相匹配的資質、經驗、專業技能和個人素質。
商業銀行應定期為合規管理人員提供系統的專業技能培訓,尤其是在正確把握法律、規則和準則的最新發展及其對商業銀行經營的影響等方面的技能培訓。
第二十條 商業銀行各業務條線和分支機構的負責人應對本條線和本機構經營活動的合規性負首要責任。
商業銀行應根據業務條線和分支機構的經營範圍、業務規模設立相應的合規管理部門。
各業務條線和分支機構合規管理部門應根據合規管理程式主動識別和管理
合規風險 ,按照合規風險的報告路線和報告要求及時報告。
第二十一條 商業銀行應建立
合規管理 部門與風險管理部門在合規管理方面的協作機制。
商業銀行應明確合規管理部門與內部審計部門在合規風險評估和合規性測試方面的職責。內部審計部門應隨時將合規性審計結果告知合規負責人。
第二十三條 商業銀行應明確合規風險報告路線以及合規風險報告的要素、格式和頻率。
第二十四條 商業銀行境外分支機構或附屬機構應加強
合規管理 職能,合規管理職能的組織結構應符合當地的法律和監管要求。
第二十五條
董事會 和高級管理層應對合規管理部門工作的
外包 遵循法律、規則和準則負責。
商業銀行應確保任何合規管理部門工作的外包安排都受到合規負責人的適當監督,不妨礙銀監會的有效監管。
第四章 第二十六條 商業銀行應及時將合規政策、
合規管理 程式和合規指南等內部制度向銀監會備案。 商業銀行應及時向銀監會報送合規風險管理計畫和
合規風險 評估報告。
商業銀行發現重大違規事件應按照重大事項報告制度的規定向銀監會報告。
第二十七條 商業銀行任命合規負責人,應按有關規定報告銀監會。商業銀行在合規負責人離任後的十個工作日內,應向銀監會報告離任原因等有關情況。
第二十八條 銀監會應定期對商業銀行合規風險管理的有效性進行評價,評價報告作為分類監管的重要依據。
第二十九條 銀監會應根據商業銀行的合規記錄及合規
風險管理評價 報告,確定
合規風險 現場檢查的頻率、範圍和深度,檢查的主要內容包括:
(一)商業銀行合規風險管理體系的適當性和有效性;
(二)商業銀行董事會和高級管理層在合規風險管理中的作用;
(三)商業銀行
績效考核制度 、問責制度和誠信舉報制度的適當性和有效性;
第五章 附則 第三十條 本指引由銀監會負責解釋。
第三十一條 本指引自發布之日起實施。