商業銀行合規風險管理指引

商業銀行合規風險管理指引

第一條為加強商業銀行合規風險管理,維護商業銀行安全穩健運行,根據《中華人民共和國銀行業監督管理法》和《中華人民共和國商業銀行法》,制定本指引。

第一章


總 則
第二條 在中華人民共和國境內設立的中資商業銀行、外資獨資銀行、中外合資銀行和外國銀行分行適用本指引。
在中華人民共和國境內設立的政策性銀行、金融資產管理公司、城市信用合作社農村信用合作社、信託投資公司、企業集團財務公司、金融租賃公司汽車金融公司貨幣經紀公司、郵政儲蓄機構以及經銀監會批准設立的其他金融機構參照本指引執行。
第三條 本指引所稱法律、規則和準則,是指適用於銀行業經營活動的法律、行政法規、部門規章及其他規範性文件、經營規則、自律性組織的行業準則、行為守則和職業操守。
本指引所稱合規,是指使商業銀行的經營活動與法律、規則和準則相一致。
本指引所稱合規風險,是指商業銀行因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險。
本指引所稱合規管理部門,是指商業銀行內部設立的專門負責合規管理職能的部門、團隊或崗位。
第四條 合規管理是商業銀行一項核心的風險管理活動。商業銀行應綜合考慮合規風險與信用風險、市場風險、操作風險和其他風險的關聯性,確保各項風險管理政策和程序的一致性。
第五條 商業銀行合規風險管理的目標是通過建立健全合規風險管理框架,實現對合規風險的有效識別和管理,促進全面風險管理體系建設,確保依法合規經營。
第六條 商業銀行應加強合規文化建設,並將合規文化建設融入企業文化建設全過程。
合規是商業銀行所有員工的共同責任,並應從商業銀行高層做起。
董事會和高級管理層應確定合規的基調,確立全員主動合規、合規創造價值等合規理念,在全行推行誠信與正直的職業操守和價值觀念,提高全體員工的合規意識,促進商業銀行自身合規與外部監管的有效互動。
第七條 銀監會依法對商業銀行合規風險管理實施監管,檢查和評價商業銀行合規風險管理的有效性。

第二章


合規管理職責
第八條 商業銀行應建立與其經營範圍、組織結構和業務規模相適應的合規風險管理體系。
合規風險管理體系應包括以下基本要素:
(一)合規政策;
(二)合規管理部門的組織結構和資源;
(三)合規風險管理計劃;
(四)合規風險識別和管理流程;
(五)合規培訓與教育制度。
第九條 商業銀行的合規政策應明確所有員工和業務條線需要遵守的基本原則,以及識別和管理合規風險的主要程序,並對合規管理職能的有關事項做出規定,至少應包括:
(一)合規管理部門的功能和職責;
(二)合規管理部門的許可權,包括享有與銀行任何員工進行溝通並獲取履行職責所需的任何記錄或檔案材料的權利等;
(三)合規負責人的合規管理職責;
(四)保證合規負責人和合規管理部門獨立性的各項措施,包括確保合規負責人和合規管理人員的合規管理職責與其承擔的任何其他職責之間不產生利益衝突等;
(五)合規管理部門與風險管理部門、內部審計部門等其他部門之間的協作關係;
(六)設立業務條線和分支機構合規管理部門的原則。
第十條 董事會應對商業銀行經營活動的合規性負最終責任,履行以下合規管理職責:
(一)審議批准商業銀行的合規政策,並監督合規政策的實施;
(二)審議批准高級管理層提交的合規風險管理報告,並對商業銀行管理合規風險的有效性作出評價,以使合規缺陷得到及時有效的解決;
(三)授權董事會下設的風險管理委員會、審計委員會或專門設立的合規管理委員會對商業銀行合規風險管理進行日常監督;
(四)商業銀行章程規定的其他合規管理職責。
第十一條 負責日常監督商業銀行合規風險管理的董事會下設委員會應通過與合規負責人單獨面談和其他有效途徑,了解合規政策的實施情況和存在的問題,及時向董事會或高級管理層提出相應的意見和建議,監督合規政策的有效實施。
第十二條 監事會應監督董事會和高級管理層合規管理職責的履行情況。
第十三條 高級管理層應有效管理商業銀行的合規風險,履行以下合規管理職責:
(一)制定書面的合規政策,並根據合規風險管理狀況以及法律、規則和準則的變化情況適時修訂合規政策,報經董事會審議批准後傳達給全體員工;
(二)貫徹執行合規政策,確保發現違規事件時及時採取適當的糾正措施,並追究違規責任人的相應責任;
(三)任命合規負責人,並確保合規負責人的獨立性;
(四)明確合規管理部門及其組織結構,為其履行職責配備充分和適當的合規管理人員,並確保合規管理部門的獨立性;
(五)識別商業銀行所面臨的主要合規風險,審核批准合規風險管理計劃,確保合規管理部門與風險管理部門、內部審計部門以及其他相關部門之間的工作協調;
(六)每年向董事會提交合規風險管理報告,報告應提供充分依據並有助於董事會成員判斷高級管理層管理合規風險的有效性;
(七)及時向董事會或其下設委員會、監事會報告任何重大違規事件;
(八)合規政策規定的其他職責。
第十四條 合規負責人應全面協調商業銀行合規風險的識別和管理,監督合規管理部門根據合規風險管理計劃履行職責,定期向高級管理層提交合規風險評估報告。合規負責人不得分管業務條線。
合規風險評估報告包括但不限於以下內容:報告期合規風險狀況的變化情況、已識別的違規事件和合規缺陷、已採取的或建議採取的糾正措施等。
第十五條 商業銀行應建立對管理人員合規績效的考核制度。商業銀行的績效考核應體現倡導合規和懲處違規的價值觀念。
第十六條 商業銀行應建立有效的合規問責制度,嚴格對違規行為的責任認定與追究,並採取有效的糾正措施,及時改進經營管理流程,適時修訂相關政策、程序和操作指南。
第十七條 商業銀行應建立誠信舉報制度,鼓勵員工舉報違法、違反職業操守或可疑行為,並充分保護舉報人。

第三章


合規管理部門職責
第十八條 合規管理部門應在合規負責人的管理下協助高級管理層有效識別和管理商業銀行所面臨的合規風險,履行以下基本職責:
(一)持續關注法律、規則和準則的最新發展,正確理解法律、規則和準則的規定及其精神,準確把握法律、規則和準則對商業銀行經營的影響,及時為高級管理層提供合規建議;
(二)制定並執行風險為本的合規管理計劃,包括特定政策和程序的實施與評價、合規風險評估、合規性測試、合規培訓與教育等;
(三)審核評價商業銀行各項政策、程序和操作指南的合規性,組織、協調和督促各業務條線和內部控制部門對各項政策、程序和操作指南進行梳理和修訂,確保各項政策、程序和操作指南符合法律、規則和準則的要求;
(四)協助相關培訓和教育部門對員工進行合規培訓,包括新員工的合規培訓,以及所有員工的定期合規培訓,並成為員工諮詢有關合規問題的內部聯絡部門;
(五)組織制定合規管理程序以及合規手冊、員工行為準則等合規指南,並評估合規管理程序和合規指南的適當性,為員工恰當執行法律、規則和準則提供指導;
(六)積極主動地識別和評估與商業銀行經營活動相關的合規風險,包括為新產品和新業務的開發提供必要的合規性審核和測試,識別和評估新業務方式的拓展、新客戶關係的建立以及客戶關係的性質發生重大變化等所產生的合規風險;
(七)收集、篩選可能預示潛在合規問題的數據,如消費者投訴的增長數、異常交易等,建立合規風險監測指標,按照風險矩陣衡量合規風險發生的可能性和影響,確定合規風險的優先考慮序列;
(八)實施充分且有代表性的合規風險評估和測試,包括通過現場審核對各項政策和程序的合規性進行測試,詢問政策和程序存在的缺陷,並進行相應的調查。合規性測試結果應按照商業銀行的內部風險管理程序,通過合規風險報告路線向上報告,以確保各項政策和程序符合法律、規則和準則的要求;
(九)保持與監管機構日常的工作聯繫,跟蹤和評估監管意見和監管要求的落實情況。
第十九條 商業銀行應為合規管理部門配備有效履行合規管理職能的資源。合規管理人員應具備與履行職責相匹配的資質、經驗、專業技能和個人素質。
商業銀行應定期為合規管理人員提供系統的專業技能培訓,尤其是在正確把握法律、規則和準則的最新發展及其對商業銀行經營的影響等方面的技能培訓。
第二十條 商業銀行各業務條線和分支機構的負責人應對本條線和本機構經營活動的合規性負首要責任。
商業銀行應根據業務條線和分支機構的經營範圍、業務規模設立相應的合規管理部門。
各業務條線和分支機構合規管理部門應根據合規管理程序主動識別和管理合規風險,按照合規風險的報告路線和報告要求及時報告。
第二十一條 商業銀行應建立合規管理部門與風險管理部門在合規管理方面的協作機制。
第二十二條 商業銀行合規管理職能應與內部審計職能分離,合規管理職能的履行情況應受到內部審計部門定期的獨立評價。
內部審計部門應負責商業銀行各項經營活動的合規性審計。內部審計方案應包括合規管理職能適當性和有效性的審計評價,內部審計的風險評估方法應包括對合規風險的評估。
商業銀行應明確合規管理部門與內部審計部門在合規風險評估和合規性測試方面的職責。內部審計部門應隨時將合規性審計結果告知合規負責人。
第二十三條 商業銀行應明確合規風險報告路線以及合規風險報告的要素、格式和頻率。
第二十四條 商業銀行境外分支機構或附屬機構應加強合規管理職能,合規管理職能的組織結構應符合當地的法律和監管要求。
第二十五條 董事會和高級管理層應對合規管理部門工作的外包遵循法律、規則和準則負責。
商業銀行應確保任何合規管理部門工作的外包安排都受到合規負責人的適當監督,不妨礙銀監會的有效監管。

第四章


合規風險監管
第二十六條 商業銀行應及時將合規政策、合規管理程序和合規指南等內部制度向銀監會備案。
商業銀行應及時向銀監會報送合規風險管理計劃和合規風險評估報告。
商業銀行發現重大違規事件應按照重大事項報告制度的規定向銀監會報告。
第二十七條 商業銀行任命合規負責人,應按有關規定報告銀監會。商業銀行在合規負責人離任后的十個工作日內,應向銀監會報告離任原因等有關情況。
第二十八條 銀監會應定期對商業銀行合規風險管理的有效性進行評價,評價報告作為分類監管的重要依據。
第二十九條 銀監會應根據商業銀行的合規記錄及合規風險管理評價報告,確定合規風險現場檢查的頻率、範圍和深度,檢查的主要內容包括:
(一)商業銀行合規風險管理體系的適當性和有效性;
(二)商業銀行董事會和高級管理層在合規風險管理中的作用;
(三)商業銀行績效考核制度、問責制度和誠信舉報制度的適當性和有效性;
(四)商業銀行合規管理職能的適當性和有效性。

第五章


附則
第三十條 本指引由銀監會負責解釋。
第三十一條 本指引自發布之日起實施。