简介
银行合规管理是指一个独立的机制,负责识别、评估、提供咨询、监控和报告银行的合规风险。合规风险包括因未遵循各项相关法律、条例、行为准则和良好的执业标准(合称“法律、准则和标准”)导致受到法律和监管条例制裁、财务或声誉损失的风险。相关的法律、准则和标准主要是指与银行的商业运作有关的规定,包括防止洗钱和恐怖分子资金融通、商业操守(如避免或减少利益冲突)、保障(顾客)隐私和数据安全、消费者信用(若银行从事消费者信贷业务)等,也可涉及到银行商业活动之外的其他领域,如员工聘用和依法纳税等,具体视监管机构或银行自身所采信的范围而定。上述规定有多种渊源,包括各种基本法律、监管机构制定的条例和标准、市场惯例、行业协会倡导的执业规则、银行员工应遵守内部行为规范等,而不仅仅限于具有法律约束力的规定,而是包含更广泛的涉及诚信和公平交易的规范。
根据《银行机构的内部控制制度框架》规定,合规性目标是银行内部控制过程的三大主要目标之一。鉴于银行经营活动的特殊性,为保护银行的经营特权和声誉,必须要确保所有的银行业务遵循相关的法律与管理条例、合乎监管当局的要求并遵守银行机构的相关政策和程序。合规对于银行持续稳健经营具有极端重要性,银行监管机构也日益重视银行的合规管理。合规管理实质上是按照银行的合规目标来定义的银行管理活动。它首先是银行组织的管理,是对组织合规风险进行管理的过程,应当体现在银行管理的全过程中,涵盖商业银行业务的各个方面。
银行合规管理是指管理者对组织各要素合规方面的集体协作行为进行有意识的组织协调的活动,确保组织各个机构和人员的各项业务行为符合外部法律法规及其他强制性规范以及内部各项规章制度,以有效满足组织合规性目标的过程。银行合规管理的目标是实现银行的合规性目标,其基本作用是确保银行遵循各项相关法规、政策和标准,控制合规风险,以保护银行的声誉,从而保证银行实现最大的利益。从管理的基本职能——计划、组织、控制方面进行分析归纳,合规管理主要内容应当包括结合银行实际识别、评估合规风险并制定合规管理规划和相关政策程序,组织、指导各相关部门实施合规管理事宜和有关的政策、程序,督促、监控、核准银行的合规工作,定期对银行的合规工作进行考核评价,发现并纠正其中的偏差和不足。在实际工作中,合规管理主要解决三个问题:一是确保商业银行的规章制度合乎法律法规;二是确保商业银行内部规章制度之间不相冲突;三是确保规章制度在全行得到严格执行。因此,合规管理与合规的定义是相互联系而又存在明显区别。
原则
银行合规管理应当遵循独立性、系统性、全员参与、强制性、管理地位与职责明确的科学管理原则。
独立性原则是指合规管理应当独立于银行的业务经营活动,以真正起到牵制制约的作用,是合规管理的关键性原则。
系统性原则,是指合规管理应当运用系统观点进行系统的设计和组织,构建合理的运行体制,协调运作,实现合规管理的最大效能。
全员参与原则是指合规工作应当做到由全体员工在各自的业务活动中全面遵循合规性要求,合规管理应当立足于形成银行整体的合规文化以从职业道德上约束所有员工。
强制性原则是指鉴于规章制度的强制执行的性质,合规管理相对于其他管理而言,具有强制性,任何人必须服从合规性要求,而不能讨价还价。
管理地位与职责明确的原则,随着合规管理重要性的日益提升,根据组织设计原则,应当由专门部门牵头实施,并各相关人员的角色和职责通过书面文件予以清晰界定,系统组织,提高合规管理效果,确保目标实现。
关系
最大可能地控制风险、降低成本和盈利最大化是每一个商业组织的天然使命,也是公司治理、内部控制、风险管理以及银行合规管理的共同目标。
银行合规管理与风险管理的关系
合规历来就为外部监管机构和银行业所重视,合规风险管理越来越正规化,并成为一门专门的风险管理学科。根据美国COSO委员会(即the Committee of Sponsoring Organizations of the Treadway Commission)的定义,企业风险管理是一个由企业的董事会,管理层和其他人员的过程,该过程由内部控制组成,应用于战略和整个企业,为企业实现下列目标提供合理保证,即经营的效果和效率,财务报告的可靠性、适当法律和法规的遵循性(合规性目标)以及保护资产。美国银行的风险管理分为三大部分:市场风险(market risk)——主要是指由于宏观经济因素的变化,例如利率、汇率等,对银行经营的影响;营运风险(operation risk)——主要是指银行在自身业务经营中因管理疏忽造成的风险;合规风险(compliance risk)——主要是指银行未能完全符合法规的要求进行经营所带来的风险。渣打银行要求所有的业务发展都必须建立在强化银行风险管理的基础上。它根据在新兴市场的多年经验,对该类市场可能遇到的风险归为八大类:信贷风险、市场风险、国家风险、流动性风险、业务风险、合规管理风险、营运风险和声誉风险。
银行合规管理与内部控制的关系
按照COSO的定义,内部控制是由公司董事会、管理层和其他人员,用来为实现下列目标提供合理保证的过程,即财务报告的可靠性,法律法规与政策的遵循性(合规性目标)、经营的效果和效率以及保护资产,它包括五大要素即控制环境、风险评估、控制活动、信息合沟通以及监控。合规管理实际上是内部控制中合规性目标的直接保证,是在风险评估及控制活动中涉及的风险管理的前提和实施工具。通过分析内部控制和风险管理的架构可以看出,风险管理与内部控制完全融合,并应用于企业的每一个层次和单位。
银行合规管理与公司治理的关系
依据1999年6月21日《经济合作与发展组织公司治理原则》的权威定义,公司治理是公司管理层、董事会、股东和其它利益相关者之间的一整套制度安排,为公司提供了一个架构,通过这一架构制定公司的目标,确定目标实现以及监督实施的措施。巴塞尔委员会在《健全银行的公司治理》指出,稳健的公司治理可以不考虑银行形式,但银行的组织结构中至少应有四种监督,以确保存在适当的制衡:(1)董事会或监事会监督;(2)不参与日常经营的个人监督;(3)不同业务领域的直接监督;(4)独立的风险管理和审计。因此合规管理作为风险管理的核心组成部分,自然应当包括在公司治理之中。
从上面的分析可以看出,公司治理是一个总体的概念,包括风险管理,内部控制和合规管理,即公司治理是一个整体。从广义的概念来说,在公司治理的大框架下,风险管理,内部控制与公司治理是融合的,他们包含了合规管理,而合规管理作为风险管理的核心,也应当应用于银行经营管理的全过程,应用于银行的每一个层次和机构,并与银行的商业活动保持独立性。
组织结构
国际上很多大银行是在董事会或其下属的委员会或者高级管理层领导下设立独立的合规管理部门。董事会负责监督负责监督银行的合规风险管理,批准银行的合规政策,对银行的合规政策及其执行情况每年至少进行一次审阅并做出评价,评估银行有效管理合规风险的情况。高级管理层负责制订银行的合规政策,定期评价各项合规政策和执行状况,并将结果包括合规政策的变化向董事会报告;若发现重大的合规问题,管理层必须立即向董事会汇报。合规管理的部门主要负责识别、评估和监控银行面临的合规风险,并向高级管理层和董事会提出合规建议和报告。
鉴于合规与法律存在天然的联系,有的银行把合规管理与法律事务合设在一起。此外,个别银行的合规管理人员同时兼任内部审计的角色,这种设置经常会因职能划分和设计不当而会极大弱化内部审计的作用。
根据《银行合规人员》(征求意见稿)提供的资料来看,银行的规模、经营范围以及经营活动的性质和全球化程度等各种因素直接影响到银行业合规管理的组织及实施方式。然而,不管银行如何组织其合规工作,要实施有效的合规管理,组织机构设计必须要遵循两个关键原则,一是合规管理部门的地位和职责应当定义清楚;二是合规管理应当独立于银行的商业活动。
要求
基本要求
银行合规管理的职责设置必须遵循独立性的要求。合规管理与银行的商业活动要保持独立。银行的董事会和高级管理层应当对银行的合规管理负责,并向合规管理部门提供足够的资源,以确保其有效履行职责。合规管理部门的费用预算和合规管理人员的的工资补贴应当与合规管理的目标相一致,而不能受银行业务部门的财务业绩的影响。合规管理部门应当能够在存在合规风险的所有部门独立自主地开展合规工作,还必须具有向高级管理层合董事会或其下属的委员会自由报告合规调查后发现的异常或可能违规的行为的权力,而不会受到管理层或其他工作人员的报复或反对的威胁。
无论银行合规管理部门采用的是集权制还是分权制,为保障合规管理的独立性,银行都应当设置专门的合规管理负责人负责日常的合规管理工作,其他的合规管理工作人员应当向该负责人汇报工作。分权制下合规管理工作人员如果对所在部门的管理人员负有报告义务的话,其独立性将会大大降低。合规管理负责人若是高级管理层的成员,则不应承担直接的商业经营部门的职责;若不是高级管理层的成员,则应当有明确的向不直接负责商业经营部门职责的高级管理人员直接报告的路线,同时在情况需要时绕过常规报告路线,直接向董事会或其下属的委员会报告的权力。如,合规管理人员不应同时负有赚取收入的职责,比如交易、营销或与客户联系等。在较小的银行,合规管理人员可能还要兼任其他非合规任务,但这些任务不能与所负责的合规职责存在利益冲突。
人员素质要求
银行对其从业员工都有具体的要求。作为专业性很强的部门,应当对合规管理人员设置最低准入条件。合规管理的从业人员应当具备有效履行职责所必需的资格、经验、适当的专业素质和个人品质。适当的专业素质可以包括:对适用的法律、条例、标准及其对银行运转的影响具有可靠合理的深刻理解;通过定期、系统的教育和培训使从业人员保持并发展其专业技能尤其是所适用法律、条例、标准的最新发展的实时把握的能力。适当的个人品质,也是大部分银行要求职员应当具备的品质,如诚实正直、善于发现问题、职业判断的中立性与独立性、良好的沟通技巧、优异的判断力等,尤其是在合规文件中对合规问题涉及的相关人员直言不讳的能力。
银行合规风险管理条例
第一章 总 则
第一条 为加强商业银行合规风险管理,维护商业银行安全稳健运行,根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》,制定本指引。
第二条 在中华人民共和国境内设立的中资商业银行、外资独资银行、中外合资银行和外国银行分行适用本指引。
在中华人民共和国境内设立的政策性银行、金融资产管理公司、城市信用合作社、农村信用合作社、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构以及经银监会批准设立的其他金融机构参照本指引执行。
第三条 本指引所称法律、规则和准则,是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。
本指引所称合规,是指使商业银行的经营活动与法律、规则和准则相一致。
本指引所称合规风险,是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
本指引所称合规管理部门,是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。
第四条 合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性,确保各项风险管理政策和程序的一致性。
第五条 商业银行合规风险管理的目标是通过建立健全合规风险管理框架,实现对合规风险的有效识别和管理,促进全面风险管理体系建设,确保依法合规经营。
第六条 商业银行应加强合规文化建设,并将合规文化建设融入企业文化建设全过程。
合规是商业银行所有员工的共同责任,并应从商业银行高层做起。
董事会和高级管理层应确定合规的基调,确立全员主动合规、合规创造价值等合规理念,在全行推行诚信与正直的职业操守和价值观念,提高全体员工的合规意识,促进商业银行自身合规与外部监管的有效互动。
第七条 银监会依法对商业银行合规风险管理实施监管,检查和评价商业银行合规风险管理的有效性。
第二章
董事会、监事会和高级管理层的合规管理职责
第八条 商业银行应建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系。
合规风险管理体系应包括以下基本要素:
(一)合规政策; (二)合规管理部门的组织结构和资源;(三)合规风险管理计划; (四)合规风险识别和管理流程; (五)合规培训与教育制度。
第九条 商业银行的合规政策应明确所有员工和业务条线需要遵守的基本原则,以及识别和管理合规风险的主要程序,并对合规管理职能的有关事项做出规定,至少应包括:
(一)合规管理部门的功能和职责;
(二)合规管理部门的权限,包括享有与银行任何员工进行沟通并获取履行职责所需的任何记录或档案材料的权利等; (三)合规负责人的合规管理职责;
(四)保证合规负责人和合规管理部门独立性的各项措施,包括确保合规负责人和合规管理人员的合规管理职责与其承担的任何其他职责之间不产生利益冲突等;
(五)合规管理部门与风险管理部门、内部审计部门等其他部门之间的协作关系;
(六)设立业务条线和分支机构合规管理部门的原则。
第十条 董事会应对商业银行经营活动的合规性负最终责任,履行以下合规管理职责:
(一)审议批准商业银行的合规政策,并监督合规政策的实施;
(二)审议批准高级管理层提交的合规风险管理报告,并对商业银行管理合规风险的有效性作出评价,以使合规缺陷得到及时有效的解决;
(三)授权董事会下设的风险管理委员会、审计委员会或专门设立的合规管理委员会对商业银行合规风险管理进行日常监督;
(四)商业银行章程规定的其他合规管理职责。
第十一条 负责日常监督商业银行合规风险管理的董事会下设委员会应通过与合规负责人单独面谈和其他有效途径,了解合规政策的实施情况和存在的问题,及时向董事会或高级管理层提出相应的意见和建议,监督合规政策的有效实施。
第十二条 监事会应监督董事会和高级管理层合规管理职责的履行情况。
第十三条 高级管理层应有效管理商业银行的合规风险,履行以下合规管理职责:
(一)制定书面的合规政策,并根据合规风险管理状况以及法律、规则和准则的变化情况适时修订合规政策,报经董事会审议批准后传达给全体员工;
(二)贯彻执行合规政策,确保发现违规事件时及时采取适当的纠正措施,并追究违规责任人的相应责任;
(三)任命合规负责人,并确保合规负责人的独立性;
(四)明确合规管理部门及其组织结构,为其履行职责配备充分和适当的合规管理人员,并确保合规管理部门的独立性; (五)识别商业银行所面临的主要合规风险,审核批准合规风险管理计划,确保合规管理部门与风险管理部门、内部审计部门以及其他相关部门之间的工作协调;
(六)每年向董事会提交合规风险管理报告,报告应提供充分依据并有助于董事会成员判断高级管理层管理合规风险的有效性;
(七)及时向董事会或其下设委员会、监事会报告任何重大违规事件;
(八)合规政策规定的其他职责。
第十四条 合规负责人应全面协调商业银行合规风险的识别和管理,监督合规管理部门根据合规风险管理计划履行职责,定期向高级管理层提交合规风险评估报告。合规负责人不得分管业务条线。
合规风险评估报告包括但不限于以下内容:报告期合规风险状况的变化情况、已识别的违规事件和合规缺陷、已采取的或建议采取的纠正措施等。
第十五条 商业银行应建立对管理人员合规绩效的考核制度。商业银行的绩效考核应体现倡导合规和惩处违规的价值观念。
第十六条 商业银行应建立有效的合规问责制度,严格对违规行为的责任认定与追究,并采取有效的纠正措施,及时改进经营管理流程,适时修订相关政策、程序和操作指南。
第十七条 商业银行应建立诚信举报制度,鼓励员工举报违法、违反职业操守或可疑行为,并充分保护举报人。
第三章 合规管理部门职责
第十八条 合规管理部门应在合规负责人的管理下协助高级管理层有效识别和管理商业银行所面临的合规风险,履行以下基本职责:
(一)持续关注法律、规则和准则的最新发展,正确理解法律、规则和准则的规定及其精神,准确把握法律、规则和准则对商业银行经营的影响,及时为高级管理层提供合规建议;
(二)制定并执行风险为本的合规管理计划,包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等;
(三)审核评价商业银行各项政策、程序和操作指南的合规性,组织、协调和督促各业务条线和内部控制部门对各项政策、程序和操作指南进行梳理和修订,确保各项政策、程序和操作指南符合法律、规则和准则的要求;
(四)协助相关培训和教育部门对员工进行合规培训,包括新员工的合规培训,以及所有员工的定期合规培训,并成为员工咨询有关合规问题的内部联络部门;
(五)组织制定合规管理程序以及合规手册、员工行为准则等合规指南,并评估合规管理程序和合规指南的适当性,为员工恰当执行法律、规则和准则提供指导;
(六)积极主动地识别和评估与商业银行经营活动相关的合规风险,包括为新产品和新业务的开发提供必要的合规性审核和测试,识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险;
(七)收集、筛选可能预示潜在合规问题的数据,如消费者投诉的增长数、异常交易等,建立合规风险监测指标,按照风险矩阵衡量合规风险发生的可能性和影响,确定合规风险的优先考虑序列;
(八)实施充分且有代表性的合规风险评估和测试,包括通过现场审核对各项政策和程序的合规性进行测试,询问政策和程序存在的缺陷,并进行相应的调查。合规性测试结果应按照商业银行的内部风险管理程序,通过合规风险报告路线向上报告,以确保各项政策和程序符合法律、规则和准则的要求;
(九)保持与监管机构日常的工作联系,跟踪和评估监管意见和监管要求的落实情况。
第十九条 商业银行应为合规管理部门配备有效履行合规管理职能的资源。合规管理人员应具备与履行职责相匹配的资质、经验、专业技能和个人素质。
商业银行应定期为合规管理人员提供系统的专业技能培训,尤其是在正确把握法律、规则和准则的最新发展及其对商业银行经营的影响等方面的技能培训。
第二十条 商业银行各业务条线和分支机构的负责人应对本条线和本机构经营活动的合规性负首要责任。
商业银行应根据业务条线和分支机构的经营范围、业务规模设立相应的合规管理部门。
各业务条线和分支机构合规管理部门应根据合规管理程序主动识别和管理合规风险,按照合规风险的报告路线和报告要求及时报告。
第二十一条 商业银行应建立合规管理部门与风险管理部门在合规管理方面的协作机制。
第二十二条 商业银行合规管理职能应与内部审计职能分离,合规管理职能的履行情况应受到内部审计部门定期的独立评价。
内部审计部门应负责商业银行各项经营活动的合规性审计。内部审计方案应包括合规管理职能适当性和有效性的审计评价,内部审计的风险评估方法应包括对合规风险的评估。
商业银行应明确合规管理部门与内部审计部门在合规风险评估和合规性测试方面的职责。内部审计部门应随时将合规性审计结果告知合规负责人。
第二十三条 商业银行应明确合规风险报告路线以及合规风险报告的要素、格式和频率。
第二十四条 商业银行境外分支机构或附属机构应加强合规管理职能,合规管理职能的组织结构应符合当地的法律和监管要求。
第二十五条 董事会和高级管理层应对合规管理部门工作的外包遵循法律、规则和准则负责。
商业银行应确保任何合规管理部门工作的外包安排都受到合规负责人的适当监督,不妨碍银监会的有效监管。
第四章 合规风险监管
第二十六条 商业银行应及时将合规政策、合规管理程序和合规指南等内部制度向银监会备案。 商业银行应及时向银监会报送合规风险管理计划和合规风险评估报告。
商业银行发现重大违规事件应按照重大事项报告制度的规定向银监会报告。
第二十七条 商业银行任命合规负责人,应按有关规定报告银监会。商业银行在合规负责人离任后的十个工作日内,应向银监会报告离任原因等有关情况。
第二十八条 银监会应定期对商业银行合规风险管理的有效性进行评价,评价报告作为分类监管的重要依据。
第二十九条 银监会应根据商业银行的合规记录及合规风险管理评价报告,确定合规风险现场检查的频率、范围和深度,检查的主要内容包括:
(一)商业银行合规风险管理体系的适当性和有效性;
(二)商业银行董事会和高级管理层在合规风险管理中的作用;
(三)商业银行绩效考核制度、问责制度和诚信举报制度的适当性和有效性;
(四)商业银行合规管理职能的适当性和有效性。
第五章 附则
第三十条 本指引由银监会负责解释。
第三十一条 本指引自发布之日起实施。