浙江辖内银行业金融机构 合规风险评估指导意见(试行)
一、为加强银行业金融机构合规风险管理,推动银行业金融机构开展合规风险评估工作,充分发挥合规风险评估在合规风险管理中的作用,根据《商业银行合规风险管理指引》,特制定本指导意见。
二、本指导意见所称银行业金融机构包括辖内政策性银行、国有商业银行、股份制商业银行、城市商业银行、农村合作金融机构、邮政储蓄银行等银行业金融机构(以下简称“银行”)。
三、合规风险评估是指银行通过采取一定的方法和程序,识别各种合规风险,评估风险概率和可能带来的负面影响,根据自身承受风险的能力,确定风险消减和控制等级,提出并采取相应风险消减对策和措施予以纠正的管理工作。
四、合规风险评估的目标是:确保董(理)事会、高级管理层全面、及时了解系统内合规风险状况,以使合规缺陷得到有效解决,并持续改进合规风险管理机制。
五、合规风险评估分自我评估、专项评估和年度评估。
银行各业务条线应根据法律、规则和准则更新情况及本机构(部门)业务开展实际,适时组织开展自我评估。 银行合规部门应组织对新的政策和程序、新产品开发或新业务方式的开展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险及时进行专项评估。
对违规事件发生较多的机构(部门)、业务(条线)或时间
阶段,应进行特别专项评估。
银行董(理)事会或高管层应根据经营规模、业务复杂性、内部控制等实际,确定合规风险评估的重点、范围和频率,但至少应每年进行一次全面的合规风险评估。
六、在董(理)事会和高管层领导下,银行合规负责人牵头组织、合规管理部门和内审部门具体实施合规风险评估。必要时,可聘请外部中介机构进行评估。合规管理部门与内审部门及其他部门应加强沟通协调,建立信息共享机制,并与内部审计工作有
机结合起来。
七、合规风险评估应坚持独立、客观的原则,并遵守诚实、
正直、公正的职业操守。
八、合规风险评估的依据是法律、规则和准则,包括适用于银行业经营活动的法律、行政法规、监管规章及规范性文件、自
律性组织制定的行业准则等。
九、银行应明确合规风险评估人员的权利和义务,保障合规风险评估人员为履行职责,能够获取所需的任何记录和档案材料等信息,并能与任何员工进行接触和沟通。
十、银行应对任何可能带来合规风险的管理和经营活动进行风险评估,并纳入年度合规风险管理计划。
合规风险评估事项包括但不限于:
(一)仅限于法人机构,由内审部门实施评估的事项。 1.合规文件完备性。是否制定合规政策、合规管理程序和合规指南,合规政策是否明确适用范围、合规管理目标、合规风险监控机制和报告路线等内容,是否写明所有员工有责任知悉和遵循的法规要求,合规管理程序和合规指南是否在合规政策、合规管理操作规程和员工行为守则中体现;是否明确合规政策、合规管理程序和合规指南的定期审阅频率,是否定期审阅、修改、完善合规文件,以确保其符合业务需要及法律规则要求。
(二)同时适用于法人、分支机构,由内审部门实施评估的
事项。
2.合规职能适当性。是否建立与经营范围、组织结构和业务规模相适应的合规管理组织体系,是否建立涵盖本系统所有基层营业网点和部门的合规管理队伍,并由具备必要资质、经验,专业水平和个人素质较好的人员承担合规管理工作;合规管理部门定位是否准确,合规管理职能是否适当,合规管理岗位职责是否明确,合规管理人员履职是否到位;是否建立合规绩效考核制度、问责制度和诚信举报制度,三项制度内容是否恰当、合理,对合规管理人员及员工的合规绩效考核权重是否适当,是否体现了倡导合规、惩处违规、举报有功的价值观念。
(三)同时适用于法人、分支机构,分别由各机构(部门)、
内审部门评估的事项。
3.合规管理有效性。是否通过各种渠道密切关注、跟踪外部法律、规则的最新发展,是否建立本系统、本条线的外部法律规则库,是否明确并落实本系统、本条线外部法律规则库的维护、更新人员及职责,外部法律规则库是否完整、适时;各机构(部门)是否定期向合规部门备案本机构(条线)外部法律规则库,合规部门是否定期更新本系统的法律规则库;合规管理部门是否根据外部法律规则更新情况,及时有效识别并评估增量合规风险(即外部法律、规则、准则最新赋予银行的合规要求),及时组织制定完善规章制度或采取其他有效措施予以化解,各机构(部门)是否根据外部法律规则库,对照现有规章制度,排查存量合规风险并予以化解;合规管理部门是否及时、有效掌握各机构(部门)的合规要求控制情况,定期向高管层、上级行或董(理)事
会报送合规报告。
(四)同时适用于法人、分支机构,并由合规部门实施评估
的事项。
4.业务管理合规性。各项业务管理政策、制度和操作程序是否存在合规缺陷,是否与外部法律、规则和准则保持一致;是否根据外部法律、规则和准则的变化及时修订、完善业务管理政策、制度和操作程序,以确保各项业务管理政策、制度和操作要求符合相关法律、规则和准则的要求;各项管理政策、制度和操作程序与现行外部法律、规则和准则不一致时,是否按照现行法律、
规则、准则执行。
5.经营活动合规性。是否按照外部法律、规则和准则等规定落实工作,各项法律、规则和准则的贯彻、执行是否到位;是否针对法外部律、规则和准则等新规定对业务操作的影响制定适当的控制措施,以确保业务操作符合外部法律、规则和准则的要求;执行外部法律、规则和准则是否严格,是否存在有章不循、违规
操作问题。
6.创新业务合规性。新产品和新业务的开发、新营销方式的采用是否经合规性审核和测试;新业务的开展、新业务关系的建立,或者客户关系的性质发生重大变化是否给银行经营带来合规
风险。
7.问题处臵妥善性。是否分别就内、外部审计、合规专项检查和监管现场检查中发现的合规缺陷和问题进行专题研究,并及时制定整改计划或方案,整改计划或方案是否按规定报送高管层、上级行合规部门或监管机构;各项整改措施是否落实,合规缺陷和问题是否得到及时、有效弥补和纠正,是否存在整改不力问题;是否按照合规问责制度和程序,对违反合规管理规定的责任人进行严肃处理,并记录、报告合规缺陷和问题的改进、问责
情况。
十一、银行应加强研究识别、量化、监测和评估合规风险的方法和途径,探索建立合规风险监测指标体系和评估模型,采取系统化和规范化的方法,科学评估银行的合规风险。 合规风险评估除采用查阅有关凭证资料、询问有关人员等基本方法外,还包含并不限于以下方法:
(一)运行指标分析。通过收集或筛选可能预示潜在合规问题的数据,如,差错、事故增长数,消费者投诉增长数,高风险客户开户增长数,异常交易或支付活动等设计运行指标,并运用这些计量方法加强合规风险的评估。
(二)符合性测试。通过实施充分和有代表性的合规性检测,如,对重要业务、典型业务或新业务的处理程序进行问卷调查、现场审核等,测试法律、规则、准则在业务活动中的贯彻执行情况,确认风险控制点和关键环节的操作是否符合规定。
(三)定性与定量相结合。通过对有关数据和运行指标,以及现实或潜在的合规缺陷和违规事项进行定性、定量分析,识别、计量、监测和评估涵盖银行各类产品和各业务条线的合规风险。
(四)定期检查与综合评估相结合。通过对合规遵守情况实施按月、按季的专项合规检查,如,定期对客户开户情况、监管意见的落实整改情况等进行的合规检查,结合每年至少一次的合规风险评估,从而得出一份有效合规风险评估报告。 十
二、银行应加强合规风险评估的制度化、规范化建设,建立合规风险评估操作流程,明确合规风险评估工作程序,着力提
高合规风险评估的有效性。
年度合规风险评估程序一般包括评估准备、评估实施、评估
报告等三个步骤。
(一)评估准备。
1.组成评估组。评估组成员应能全面、正确理解法律、规则、准则及其对银行经营活动的影响,熟悉银行业务,具有良好的品质、沟通能力和分析判断能力。除聘请外部中介机构外,评估组负责人一般由合规负责人担任,评估组成员由合规部门和内审部门人员组成,必要时,可抽调其他部门符合条件的人员参与评估
工作。 合规风险评估人员应注意积累合规风险信息和合规风险管理资料,积极参加专业技能培训,提高合规风险的识别、监测、计量和控制等管理能力;持续关注法律、规则和准则的最近发展,正确理解法律、规则和准则的规定及其精神。
2.制定评估实施方案。明确评估目的、进程、内容、范围和要求,并确定评估的重点领域和深入程度。
3.准备必要的工作文件。主要包括拟定测试问卷,确定抽样比例和范围,收集评估期内与合规风险评估相关的文件及记录
等。
收集、筛选可能预示潜在合规问题的数据,如消费者投诉的增长数、异常交易、媒体负面评价、败诉情况等。 保持与外部审计部门及监管机构的工作联系,阅读、研究评估期内的所有审计报告和监管意见,审核审计意见和监管要求的
落实情况。
(二)评估实施。
实施有代表性的合规测试,特别是通过现场询问、审核各项政策和程序的合规性,以发现政策和程序存在的合规性缺陷,并
记录测试情况。 主动与相关人员进行接触、沟通,尽可能多地获取与银行经营活动相关的合规风险信息和资料,对相关信息、资料进行梳理、筛选、归类、分析,并记录有关情况。
对预示潜在合规问题的有关数据进行确认和分析,并予以记
录。
测试、检查、分析结果为满意的,复制相关佐证材料留档;若初步发现问题的,详细记录相关问题,并开展进一步的核实、
调查。
(三)评估报告。
评估组根据评估实施情况,撰写评估报告。评估报告主要内容:评估开展情况、报告期内合规风险状况及变化;已经识别的违规事件和合规缺陷;已经采取或建议采取的纠正措施等。 合规风险评估报告要量化银行因政策、制度、程序及客户、产品、服务所引发的合规风险,量化特定的机构(部门)、业务(条线)或经营活动的风险暴露,形成对风险管理状况的明确评
估结果。
十三、银行可根据自身实际和合规风险管理需要,按照“持续关注、点面结合、有所侧重”的原则,确定每次评估的重点、范围、内容和程序,注重发挥合规风险评估的作用。 十
四、银行应充分利用合规风险评估成果,持续完善合规风
险管理机制。
银行应确定合规风险评估报告的传递路线。原则上,法人机构的合规风险评估报告应分别报送高管层和董(理)事会,由董(理)事会作出评价并以适当方式予以披露;分支机构的合规风险评估报告应分别报送高管层和上级行合规部门。 银行高管层应认真研究评估报告提出的改进意见或建议,落实整改措施,并承担相关责任。
合规管理部门应持续关注纠正、改进情况,对未按要求纠正、改进的问题,应加强督促,并追究有关部门和人员的责任。
合规管理部门应以合规风险评估为导向,加强合规风险管理,根据合规风险评估情况,研究、落实下一年度的合规风险管理计划,全面提高合规风险管理计划的前瞻性、针对性、有效性。
十五、银行应主动接受监管机构对银行合规风险管理有效性
的评价。
银行合规风险评估报告应及时报送监管机构。监管机构根据日常监管掌握的情况,对银行合规风险评估报告进行审核,确定合规风险现场检查的频率、范围和深度,并与年度现场检查项目、计划相衔接,适时开展合规风险现场检查,作为对银行合规风险管理有效性评价的依据。 十
六、本指导意见自发布之日起施行。信托公司、金融租赁公司、财务公司等非银行金融机构参照本指导意见开展合规风险评估。
