2009年中信银行合规管理与实践分享

2009年8月8日 大连,中信银行合规管理与实践分享,目录,第一部分 认识银行的合规风险及管理第二部分 中信银行合规风险管理实践,第一部分、认识银行的合规风险及管理,I. BASEL有关合规风险管理,巴塞尔银行监管委员会关于银行合规管理及监管的高级文件巴塞尔银行监管委员会于2005年4月发布合规与银行内部合规部门高级文件。为满足监管机构的监管要求，银行必须遵循有效的合规政策和程序，并在发现有违规情况发生时，银行管理层能够采取适当措施予以纠正。（巴塞尔银行监管委员会合规高级文件原则2）可谓银行合规管理及监管的国际标杆。,了解Basel合规风险管理,银行合规相关的十项重要原则,原则1：银行董事会负责监督银行的合规风险管理。董事会应该核准银行的合规政策，包括一份组建常设和有效的合规部门的正式文件。董事会或董事会下设委员会应该每年至少一次评估银行有效管理合规风险的程度。,原则2：银行高级管理层负责银行合规风险的有效管理。,原则3：银行高级管理层负责制定和传达合规政策，确保该合规政策得以遵守，并就银行合规风险管理向董事会报告。,原则4：作为银行合规政策的组成部分，高级管理层负责组建一个常设和有效的银行内部合规部门。高级管理层应采取必要的措施，以确保银行可以依赖一个常设的、有效的并符合以下原则的合规部门。,原则5：独立性：银行的合规部门应该是独立的。,原则6：资源：银行合规部门应该配备能有效履行职责的资源。,原则7：合规部门职责：银行合规部门的职责应该是协助高级管理层有效管理银行面临的合规风险。如果其中的某些职责是由不同部门的职员履行，那么每个部门的职责应该界定清楚。,原则8：与内部审计的关系：合规部门的工作范围和广度应受到内部审计部门的定期复查。,原则9：跨境问题：银行应该遵守所有开展业务所在国家或地区的适用法律和监管规定，合规部门的组织方式和结构以及合规部门的职责应符合当地的法律和监管要求。,原则10：外包：合规应被视为银行内部的一项核心风险管理活动。合规部门的具体工作可能被外包，但外包仍必须受到合规负责人的适当监督。,由世界各主要国家金融监管当局共同参与起草的巴塞尔银行监管委员会高级文件，对于各国商业银行有效的合规风险管理体系建设具有十分重要的指导意义。但这并不意味着所有的商业银行都必须采用该高级文件所提出的十项原则，更没有要求所有银行采用统一的模式来管理银行合规风险。各家银行应在充分考虑所处经济环境和自身特点的前提下，参照巴塞尔银行监管委员会高级文件的原则精神，并借鉴国际银行业合规风险管理的最佳实践，组建与自身风险管理战略和组织结构相吻合的合规管理部门，构建具有自身特色的银行合规风险管理体系。,十原则解读和应对,除满足外部监管需求，银行业亦普遍认识到合规管理是保障银行稳健发展的内在需要。在发达而又复杂的金融环境下，合规风险管理已被纳入银行全面风险管理框架之中，是商业银行风险管理体系的核心内容之一，并成为银行业必须掌握的专门风险管理技术，这一点已得到全球银行业的普遍认同。目前，在全球金融经济较为发达的国家和地区，商业银行已普遍设立了合规管理部门，合规人员占银行从业人员的比例不断上升。据不完全统计，国际大型银行合规人员队伍占比达到员工总数的0.5%-1%，合规管理组织结构亦不断完善。相应地，判断合规风险管理状况的标准，也已从过去满足法律法规、监管要求和内部规章制度提升到银行竞争力、创造价值、促进盈利的层面。,解读,应对,巴塞尔合规风险管理其他文件： 1998年9月 银行机构内部控制系统框架 1999年9月 加强银行机构公司治理 2001年8月 银行内部审计和监管机构与审计关系 2001年10月 银行客户尽职调查 2003年2月 操作风险管理与监管的稳健原则 2004年6月 新资本协议 2004年10月 统一KYC风险管理,Basel关于合规的其他原则和文件,Basel关于三大风险的定义,新巴塞尔协议将操作风险加入风险加权资产计算中由此，资本充足率计算公式中的风险加权资产包括三大风险：信用风险、市场风险和操作风险信用风险：债务人或交易对手违约造成损失的风险。市场风险：市场汇率、利率变动产生的风险。操作风险：由于内部程序、人员、系统的不完善或失误，或外部事件所造成的风险。,合规风险与三大风险的区别与联系,三大风险主要是基于客户信用、市场变化、员工操作等内外环境而形成的风险或损失，合规风险简单地说是银行因为有违规行为而招致的风险或损失。巴塞尔委员会将合规视为“银行内部的一项核心风险管理活动”。,合规风险是其他三大风险特别是操作风险存在和表现的重要诱因，而三大风险的存在使得合规风险更趋复杂多变而难于监控，且它们的结果基本相同，即都会给银行带来经济或声誉的损失。,区别,联系,“合规风险”是指，银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。,合规风险定义,信用风险,合规风险,市场风险,操作风险,国家风险和转移风险,流动性风险,银行账户利率风险,声誉风险,法律风险,II.中国银监会有关合规风险管理规定,商业银行合规风险管理指引,加强合规风险管理，既是监管部门关注的重点，也是银行业金融机构自身努力追求的目标。目前，国内已有多家银行业金融机构建立了合规管理部门，加强机构自身的合规风险管理已成共识，但风险为本的合规管理是一项复杂的系统工程，目前尚处于起步阶段，还面临着一系列的困难和问题，不断积累和完善经验和做法，迫切需要监管部门明确相应的原则和要求。,在吸收和借鉴国内外银行业合规风险管理的良好做法以及国外银行业监管规定的基础上，根据巴塞尔委员会合规与银行内部合规部门文件原则，2006年10月，中国银监会根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法，在广泛吸收和借鉴国内外银行业金融机构合规风险管理的良好做法，以及及国外银行业监管机构相关规定的基础上，制定了商业银行合规风险管理指引。,背景,来源,对商业银行合规风险管理指引的理解,基本涵盖了商业银行董事会及其下设委员会、监事会、高级管理层、合规负责人、合规管理部门的合规管理职责以及合规风险识别和管理流程的各个环节,对合规文化建设、合规风险管理体系建设以及合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度的建设作出了规定,规定了商业银行合规政策、合规管理程序和合规指南等内部制度的报备要求、合规风险管理计划和合规风险评估报告的报送要求以及重大违规事件的报告要求，明确了监管部门对商业银行合规风险管理进行非现场监管和现场检查的重点,解读：,重点强调三个方面,商业银行合规风险管理指引主要内容,建设强有力的合规文化 建立有效的合规风险管理体系 建立有利于合规风险管理的三项基本制度,五章三十一条基本涵盖,银监会更加重视商业银行“三道防线”建设,商业银行董事会及其下设委员会、监事会、高级管理层、合规负责人、合 规管理部门的合规管理职责合规风险识别和管理流程的各个环节对合规文化建设、合规风险管理体系建设以及合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度的建设作出了规定,一线业务部门实施有效自我合规控制合规管理部门在事前与事中实施专业化合规管理内部审计作为事后控制,商业银行合规风险管理指引特点,指引以建立与商业银行风险管理战略和组织结构相适应的合规管理部门及合规风险识别和管理流程为出发点，体现了前瞻性、可行性和一致性。,指引充分考虑了国有银行股份制改造、商业银行上市、组织结构和业务流程再造等一系列重大改革举措对加强合规风险管理的内在要求，吸收了国际银行业风险为本的合规管理先进经验，创新合规管理的体系、框架和制度，以构建有效的合规风险管理体系、建设良好的合规文化为目标，适应银行业深化改革以及综合化和国际化的现实需要。,前瞻性,指引充分考虑了银行业金融机构的差异性，强调合规风险管理体系与经营范围、组织结构和业务规模相适应，董事会可根据董事会结构授权其下设的风险管理委员会、内部审计委员会或专门设立的合规管理委员会履行日常监督职能，合规负责人不得分管业务条线最基本的独立性要求，体现了原则性要求与具体条款可操作性的有机统一。,可行性,指引结合了银监会近年来颁布的部分规章和规范性文件对合规风险管理的相关规定，充分体现了监管要求的连续性和一致性。,一致性,合规管理是商业银行一项核心的风险管理活动，合规必须从高层做起，董事会和高级管理层应确定合规基调，确立正确的合规理念，提高全体员工的诚信意识与合规意识，形成良好的合规文化，这对于银行业金融机构有效管理包括合规风险在内的各类风险至关重要。,建设强有力的合规文化,合规文化,合规风险管理体系,合规风险管理制度,建设有效的合规风险管理体系,合规文化,合规风险管理体系,合规风险管理制度,董事会应监督合规政策的有效实施，以使合规缺陷得到及时有效的解决。高级管理层应贯彻执行合规政策，建立合规管理部门的组织结构，并配备充分和适当的资源，确保发现违规事件时及时采取适当的纠正措施。合规管理部门应在合规负责人的管理下，协助高级管理层有效管理合规风险，制定并执行风险为本的合规管理计划，实施合规风险识别和管理流程，开展员工的合规培训与教育。,建立有利于合规风险管理的三项基本制度,合规文化,合规风险管理体系,合规风险管理制度,合规风险管理的三项基本制度：合规绩效考核制度合规问责制度诚信举报制度 加强对管理人员的合规绩效考核，惩罚合规管理失效的人员，追究违规责任人的相应责任，对举报有功者给予适当的奖励，并对举报者给予充分的保护。,III.商业银行开展合规工作面临的困难和问题,同国外的对比,国际上银行业金融机构的合规管理已经发展为基于流程的管理活动。先进银行对本行经营作业流程进行合理设计，通过流程逻辑有效衔接和优化集成。流程银行的打造过程也正是重新审视作业是否科学、规范、合规的过程，在此过程中，通过科学梳理并修订各项业务的操作规章，确保各项操作依法合规，使依法合规经营原则真正落实到业务流程的每一个环节，每一个步骤和每一位员工中。各业务条线制定的相应政策、程序、操作手册或操作指南，组成了满足整个业务流程管理要求的相关制度，成为指导实际操作的标准。,国内商业银行从部门银行向流程银行的转变尚处探索阶段，管理制度缺乏体系化、系统性，实际操作性差，导致合规管理活动从“以任务为中心”向“以流程为中心”的转变、建立持续的合规风险管理、监测等还有要进行大量的基础工作铺垫。,国外,国内,我国商业银行合规管理建设起步较晚，合规管理成为银行业的共同关注在时间上也不过是近几年的事情。国内商业银行合规风险管理面临以下问题：,国内商业银行合规管理面临的问题,合规风险管理文化没有形成合规理念还未渗透到商业银行日常管理和决策环节；合规尚未成为银行内部全体的、自上而下的，包括高层在内的每一位银行员工的行为准则；合规风险管理机构和职能不健全合规管理部门职能定位尚不准确；合规管理部门尽职履责不到位；合规风险管理方法和技术落后风险管理的技术和工具认知、运用处于初级阶段；合规风险的识别、评估、监测、报告等合规风险管理程序尚不清晰。合规激励和合规问责机制缺失，问责不严,第二部分 中信银行合规风险管理实践,I.中信银行合规风险管理的准备,满足商业银行合规风险管理指引法规要求,建立标准化的合规风险管理的长效机制,将中信银行建设成为国内同业合规风险管理方面的领先银行！,中信银行合规风险管理规划,银监会商业银行合规风险管理指引第八条规定：“商业银行应建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系。”,中信银行合规风险管理框架构建思路,有效的合规风险管理框架是银行构建全面风险管理体系的基础，也是合规管理体系有效运转的关键环节。银行需要从全面风险管理总体目标出发，构筑业务操作、管理部门（包括合规部门与其他风险管理部门）、内部审计为层级的合规风险管理框架。,合规管理体系要素确定,商业银行合规风险管理指引,我们认为，一个有效的合规管理体系一般由三个相互依赖的要素组成：一是董事会和管理层的监督管理，包括制定和实施银行合规政策、明确合规管理部门的组织结构及其资源配置。二是合规管理计划，包括逐步完善合规风险管理流程、合规培训与教育制度等。三是合规管理审计。,中信银行合规风险管理遵循的三项原则,全面风险管理原则,独立性原则,协调与效率原则,（1）全员管理原则：实现全体员工对合规管理的参与；（2）全过程管理原则：对银行发展、业务操作的全过程实施合规监控；（3）全方位风险管理原则，不但要囊括银行业务中的传统风险，还要涵盖声誉风险、技术风险等。,应确保合规管理部门在银行内部享有正式的定位、授权及独立性。总行及分行应设立独立或相对独立的合规管理部门。同时，为合规部门职责履行提供充分的资源保障及配套机制，确保合规管理部门的独立性和开放性。总体而言，合规管理的组织结构设置应满足独立性管理要求。,明确合规管理职责的分工合作关系，尤其是应正确界定合规管理部门与业务条线、合规管理部门与银行其他部门以及合规管理部门与内审部门的明确分工与合作机制，确保银行合规管理体系的有效运作。,一是中外资银行授权制度不同，中资银行一直是依据机构或部门功能授权，一般不存在因人而异授权或交叉授权，外资银行则更强调对个人授权。,中信银行合规管理组织架构设置的四项考虑,二是中外资银行岗位设置规则不同，中资银行岗位设置通常并没有科学的岗位设置评价，岗位的职责、权限不明确，更没有制度化，因人设岗的现象较为普遍，而外资银行正好相反。在此背景下，采取分散化管理的组织结构，在各业务部门设立合规岗位，很难确立合规人员的独立性和权威性。,三是中资银行伞型组织架构，使得机构负责人权限较大，制衡不足，向上级合规部门直接汇报，能够增强合规工作的独立性。,四是目前中资银行普遍缺乏合规专业人才，集中化管理模式，有利于知识互补和配合。,II.中信银行合规风险管理实施,(一)中信银行合规管理体系方案,目前，合规管理体系并没有一个统一的模式可以借鉴，在合规风险管理体系构建过程中，应当根据银行自身经营战略特点，在研究借鉴同业实践经验的基础上，设计切实可行的总体框架，建立与经营范围、组织结构和业务规模及复杂程度相适应的合规风险管理体系。,2008年上半年，在充分借鉴国内同业合规管理建设经验的基础上，合规部门制定了中信银行合规管理体系方案并获行长办公会审批通过，确定了“循序渐进、逐步到位”的原则来建立总、分、支行以及主线部门分层次、矩阵式合规管理组织体系，配置合规资源，构建全行合规管理组织体系。,依据,实践,2008年12月，中信总行下发关于进一步建立完善中信银行合规管理组织体系的通知（信银字20083067号），明确按照“循序渐进、逐步到位” 的原则分步实施：资产规模在300亿元以上的分行，原则上应单设合规部，编制2-3人，人员需求由分行在编制范围内调剂解决。 截至2009年6月，资产在300亿以上的12家分行，已有上海、广州、深圳和青岛四家分行单设了合规部；其余八家分行设立了二级部门，与审计部合署办公；资产规模在300亿以下的信用卡中心和18家分行，分别设置了二级合规部、合规小组或专职合规岗，人员多为原审计人员。目前，总行专职合规人员4人人、各部门兼职合规员22人；分行专职合规员44人，兼职合规约526人。全行合规组织体系框架初步搭建。,合规组织体系框架初步搭建情况,(二）制定出台中信银行合规政策、中信银行合规工作管理办法（试行）,中信银行合规风险管理办法（试行）是我行实施中信银行合规政策的具体规定，确定了合规风险管理组织结构和资源，明确了合规风险管理计划要求，规范了合规风险识别程序和流程，确立了合规风险管理配套机制。,上述两个制度的出台实施，对指导和推进分支机构有效开展合规工作、加强合规风险管理提供了制度保障。,中信银行合规政策于2009年3月13日经中信银行股份有限公司第一届董事会第二十一次会议决议核准，正式出台实施。合规政策作为合规风险管理的纲领性制度，明确了我行倡导的合规文化和合规理念、董事会和高管层的合规责任、合规基调、合规风险管理框架和管理目标、合规部门的地位和职责、全行上下用以识别和管理合规风险的主要程序、合规报告路线等。,银行董事会和高级管理层在合规风险管理体系建设初期的首要任务是任命合规负责人、组建合规管理部门。 银行高层应根据银行自身特点和实际情况选择适当的合规管理部门组织架构及报告路线，并为合规部门有效履行合规风险管理职责提供充分的资源及配套机制，确保合规管理部门和合规负责人具有足够的权威性和独立性。,1、明确合规部门职责，保证履行合规管理职责独立性,不管经营规模或管理复杂性如何，合规风险管理都要筑牢“三道防线”：,2、合规风险管理三道防线,目前，随着银行股份制改及上市，银行业已普遍重视业务部门的第一道防线和内部审计的第三道防线的建设，但与国际先进银行的经验做法相比，还缺乏合规管理部门这第二道防线。,业务部门实施有效自我合规控制的第一道防线,合规管理部门在事前和事中实施专业化合规管理的第二道防线,内部审计作为事后控制的第三道防线,中信银行在合规风险管理体系构建过程中，根据自身特点和实际情况，选择恰当的合规部门组织结构，并为合规部门履行职责提供充分的资源以及配套机制，确保合规部门的独立性和开放性。 中信银行合规部门组织结构采取集中化管理和条线式报告方式。 集中化管理：即在总行及分行设立独立或相对独立的合规风险管理部门，在分行下属机构设立合规岗位或兼职合规员。 在报告路线上，可以采取条线式或矩阵式，但以条线式报告为主，即下级合规部门直接向上级合规部门汇报（条线式），或在向上级合规部门汇报的同时，向行政所属机构负责人汇报（矩阵式）。,3、合规部门组织架构,中国银监会颁布的指引第十九条明确规定：“合规管理人员应具备与履行职责相匹配的资质、经验、专业技能和个人素质。” 银行应配备高素质的合规从业人员，以确保合规部门有效履行职责。银行的合规人员需要具有与其职责履行相匹配的资质、经验、专业素质和个人素质。适当的专业素质包括能全面、正确地理解法律、规则和标准及其对银行经营运作的实际影响；通过定期、系统的教育和培训，能保持并发展其专业技能，尤其是对所适用法律、规则和标准最新发展的实时把握能力。适当的个人品质主要包括诚实正直的品格、思考质疑的能力、职业判断的中立性和独立性、良好沟通能力、较强的判断力和灵活性等，尤其需要具有对合规问题涉及的相关人员直言不讳的勇气和能力。,4、合规管理相关资源匹配,在构建合规部门的组织架构时，必须重视报告路线设置。银行应明确合规风险报告的清晰路线，包括：银行其他部门向合规部门报告合规风险的路线，各级合规部门逐级上报合规风险的路线，总行合规部门向高级管理层的报告路线，以及高级管理层向董事会的报告路线。同时，要明确报告路线所涉每一位人员的职责，明确报告人的报告要素、方式、格式和频率等，以及被报告人直接处理或向上报告的规范要求。对于报告要素的要求，应以被报告人能据此迅速、准确判断所涉及的合规风险为标准。,5、合规报告路线问题,合规部门应保持适当的开放性，确保信息来源以及汇报路线的开放和畅通。,6、渠道和信息来源,（1）合规部门享有与任何银行员工进行沟通，并获取便于履行职责所需的任何记录和档案材料的自主权；,（2）合规部门对调查发现的任何不正常情况或可能的违规行为，有权随时向高级管理层和董事会（或下设委员会）报告，而不用担心来自管理层和其他任何职员的报复或冷遇；,（3）如果合规部门负责人不是高级管理层成员，他有权通过一条直接报告路线向不负责业务的高级管理层成员报告；若需要，他还应有权绕开通常的报告路线，直接向董事会或其下设委员会报告；,（4）合规部门则应确保银行员工有畅通的渠道反映银行存在的道德和合规问题，并且保护反映问题者免遭报复。,建立相关配套机制，确保合规部门独立性（1）预算管理的独立性为确保合规部门的独立性，合规部门的预算管理应与合规部门的工作目标保持一致，而不应取决于业务部门或业务条线的盈利状况。（2）建立科学的激励考核机制合规部门应主要接受上级合规部门的监督和评估，以确保合规部门职能的有效发挥； 7银行对各业务部门或业务条线管理人员的绩效考核，应主动征询合规负责人对其合规风险管理能力的评价意见。,7、合规风险管理配套机制,银行有效合规机制的形成，需要一个不断积累和完善的过程，至少要经过3至5年的运作和磨合。尽管万事开头难，但如果银行不开始或不能持续地做下去，有效的合规机制就永远不可能形成，甚至类似的违规事件会被不断地复制，合规风险将无法得到有效的控制和遏止。起始阶段主要工作：,（三）起始阶段的主要工作,3、制度梳理，建立机制,2、收集数据，打好基础,1、调整流程，明确地位,4、完善配套，强化服务,调整中资银行现有文件的流转程序，明确合规部门的枢纽地位。将合规部门定位为接口外部监管的对口部门，监管规则、监管部门的风险提示以及监管意见等，经合规部门吸收消化后，分解给各业务部门或其他后台支持部门，并由合规部门从合规的专业角度，系统地提出执行这些外部监管要求的意见和建议。同时，所有报给监管机构的材料和信息，如果合规部门认为有必要，应经其审核同意后呈报监管机构。,1、调整流程，明确地位,调整流程，明确地位,收集数据，打好基础,制度梳理，建立机制,完善配套，强化服务,着手收集银行所有合规风险点，并在工作中不断补充和扩展。合规的风险点包括：（1）本行或其他银行曾经发生过的合规问题和案件；（2）业务部门和风险管理部门已经发现的合规风险隐患；（3）合规部门在合规风险识别、评估、监测、测试和咨询的日常工作中，所发现的需引起足够重视的合规风险或问题；（4）内外部审计检查中所发现的合规风险事件等信息；（5）监管部门发现的合规风险点和合规风险提示等。对于各个合规风险点，合规部门应深入分析合规风险的形成原因，同时系统地提出相应的弥补措施和纠正建议，包括制定合规的程序性手册、修改业务政策和操作程序等。,2、收集数据，打好基础,调整流程，明确地位,收集数据，打好基础,制度梳理，建立机制,完善配套，强化服务,梳理和制定一套具有较强执行力的制度。（1）制定可供各个岗位人员使用的业务政策、行为手册和操作程序，清楚地界定包括高级管理层在内所有员工的尽职、问责和免责认定标准。（2）在业务规章和操作规程制定方面，应明确内部制度梳理、整合和修订的规范要求，对新制度要有必要的合规预估。（3）在内部规定的制定中，应重视业务政策、行为手册和操作程序中对相关稳健做法的详尽描述，一定要有针对性，规章制度要具体化，操作性要强，并要适应新时期的各种新变化，让员工清楚自己的行为操守，同时不断巩固和完善银行在长期经营中日积月累的许多非常好的稳健做法。（4）确保规章制度保持持续更新。所有这些都需要高级管理层在合规负责人的协助下，通过卓有成效的工作才能得以实现。,3、制度梳理，建立机制,调整流程，明确地位,收集数据，打好基础,制度梳理，建立机制,完善配套，强化服务,4、完善配套，强化服务,调整流程，明确地位,收集数据，打好基础,制度梳理，建立机制,完善配套，强化服务,（1）合规部门应密切关注和跟踪法律、规则和准则的最新发展，代表本行利益及时提出相关意见和建议，积极争取必要的话语权。（2）逐步探索和建立有效的完善合规风险的识别、评估和监测机制，以及报告程序等。（3）积极开发有效的合规风险培训和教育项目，包括：新入行人员的合规培训和测试；逐步梳理、制定和细化员工的合规手册；针对适用法律、规则和准则的变化，及时进行相应的培训和教育；建立银行内部咨询平台，为银行各部门和员工提供合规咨询服务等。,合规管理部门作为银行内部合规风险管理的枢纽，通常也是银行与监管者之间的基本连接点，在日常工作中还应发挥以下职能：1、促进合规文化的贯彻执行和维护培育2、提供合规培训3、就合规事务提出建议4、与外部监管部门保持沟通交流5、违规问题处理,此外，合规部门需要履行的日常职能,行动计划,（四)合规风险管理程序及主要工具,所谓“合规风险识别”是指对银行内部合规风险的存在或发生的可能性以及合规风险产生的原因等进行分析判断，并且通过收集和整理银行所有的合规风险点开成合规风险列表，以便进一步对合规风险进行评估和监测等系统性活动。合规风险识别是合规风险管理的第一个阶段，是对合规风险的定性分析，也是整个合规风险管理的基础。,合规风险识别,Heat Map自上而下,NRSA自下而上,“合规风险评估和测试”是指在合规风险识别的基础上，应用一定的方法估计和测定发生因合规风险而可能导致法律制裁、监管处罚、重大财务损失和声誉损失等相关风险损失概率和损失大小，以及对银行整体运营产生影响的程度。合规风险评估和监测的目的在于确定合规风险对银行影响的大小，以决定是否需要采取应对措施加以监控以及应对措施采取到何种程序最为适宜等重要问题。,合规风险评估和监测,确认合规风险点发生的可能性,确认合规风险点发生时造成的影响,评定合规风险等级,绘制风险热力图,可能性等级表,影响等级表,风险等级表,“红色”状态说明很可能发生损失，因此需要立即采取措施“黄色”状态说明损失的可能性增高，必须给于特别重视；同时在必要时必须采取措施“绿色”状态说明尚不需要采取特定的行动,“合规风险应对”是指在完成了对合规风险的分析评估之后，根据合规风险的性质、程序以及银行对合规风险的承受能力，确定应对策略即银行的合规政策，并具体制定相应的合规风险管理计划和合规管理程序等。,合规风险应对,（一）加强合规制度建设（二）积极开展合规理念及合规工作各项办法的宣传培训（三）有效开展合规检查和督查工作，严格执行合规风险报告制度1、认真开展合规检查 2、根据审计检查结果，开展合规督查工作 3、牵头对外部监管部门及内部审计部门检查、审计发现问题的整改工作 4、严格执行合规风险事项报告制度，积极配合外部监管部门检查,“合规风险监控”即合规风险的监测与控制，是指持续追踪已识别的合规风险、监测残余的合规风险、识别新的合规风险，并对不可接受的合规风险实行有效控制的过程。,合规风险监控,合规风险管理评价,合规评价：是指对商业银行合规风险管理体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。评价准则： 用作依据的一组方针、程序或要求评价证据：与评价准则有关的并且能够证实的记录、事实陈述或其他信息。评价发现：将收集到的评价证据对照评价准则进行评价的结果。评价结论：评价小组考虑了评价目的和所有评价发现后得出的评价结果。,“合规风险报告”主根是指合规管理部门等依照银行内部合规风险管理程序，并按规定的报告路线，及时、全面、完整地向管理层提供定性和定量描述的银行经营过程中所涉及的合规风险状况的报告。,合规风险报告,发现风险事件,处理,汇总,审查,汇总,汇总,日常监测,是否权限范围,各级业务部门,上级业务部门,上级风险管理部门,总行高级管理层,发现风险事件,处理,汇总,日常监测,本级风险管理部门,随着全球银行业金融产品日趋复杂多样，涉及领域不断延展，各家。依靠一套行之有效的合规风险管理IT支持系统是解决难题方式之一。合规风险管理IT支持系统是银行根据产品和业务复杂程度建立起来的一套适合自身发展需要的可以有效避免因没有遵循法律、规则和准则而遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险控制支持系统。,(五）建设合规风险管理信息系统,合规风险管理系统建设路径,合规风险管理系统主要功能,合规风险管理的主轴,数据层,关键风险指标检测,风险评估,风险识别,评价,合规问责,检查,合规培训与教育,监督,合规性审核,合规风险管理,检查与评价,配套机制,机制层,诚信举报,合规工作考核,合规档案,合规风险评估报告,合规报告,合规计划,计划与报告,合规风险应对,机制结构,机制结构：1.目的和范围 机制文件编写的目的和适用的范围。2.定义和缩写 机制文件涉及的定义及其缩写。3.基本规定 对机制文件的一些基本内容作的规定4.职责和权限 机制文件所定义的岗位职责和权限划分。5.流程和风险提示 机制的操作流程图，流程要点说明和风险提示。6.计算机系统支持 特指合规风险管理系统。7.相关程序或规程 机制所应遵循的内部制度或操作细则。8.记录表单 机制文件涉及的记录表单。,新产品识别评估,内外规响应,合规问责,违规事件,识别评估,合规培训,指标监测,检查评价,合规报告,机制框架同监管指引的关系,在评价怎样的系统才是有效的合规风险管理IT支持系统时，认为有效的合规风险管理IT支持系统应该是一套与银行日常使用的业务系统相连接，并能够做到及时、准确地识别出违规问题（无论是违反法律、规则、准则或是内部规章制度），并通过该系统将问题完整地反映给授权准许查看违规问题的用户（该项业务的上级主管、本级合规员和管理层用户）的支持系统。同时，该系统可以记录授权用户对违规问题的处理意见，最终形成违规问题处理报告记录在系统数据库中。,合规风险管理系统评价标准,1、对现行的法律、规则、准则和内部规章制度进行梳理，并将整理后的规章制度存入系统数据库；2、将业务依据流程顺序编写出业务流程，并将各项业务流程保存到系统数据库；3、将业务流程与内外部的规章制度相衔接，并将内外部规章制度对某项特定业务的要求设置为该项业务通过的验证条件；4、设置用户权限。该权限的设置必须保证当银行的业务操作发生违规问题时，系统将根据已设置的权限向特定用户（该项业务的上级主管、本级合规员和管理层用户）报告违规问题。5、特定用户（该项业务的上级主管、本级合规员和管理层用户）可以将违规问题的处理意见反馈给特定的操作者，提示其做出相应的改正工作。同时，系统将记录授权用户对违规问题的处理意见，最终形成违规问题处理报告记录在系统数据库中,方便合规人员和管理层人员日后查阅。6、定期或不定期地对系统中规章制度的数据库进行更新，以保证系统数据库中的规章制度为现行的最新版本。,建立并维护合规风险管理系统，必须做好以下工作,III.工作难点、成果与经验分享,关于合规风险管理职能范围的界定,由于合规风险普遍存在于银行各个部门/机构，因此做好合规风险管理并非合规管理部门一己之力一线业务部门是管理合规风险的重要部门，合规风险的识别和控制主要依赖于一线部门的责任与努力 合规风险管理部门应致力于建设/维护一个健全的合规风险管理体系，确保其能够有效地管理合规风险。同时，合规风险管理部门应与高管和各单位领导研议在确保控管的有效性大前提下，如何维持一个相对平衡的合规管理效率 参与一线部门的工作，将会使合规管理部门失去其相对独立性，造成第二道防线缺失,谁要承担推动/实施合规风险管理的主要责任？,董事会/高级管理层负责营造建立适宜的合规风险管理环境 业务部门负责按照合规风险政策的要求在本领域内建立政策、流程、管理工具来识别、评估、监测和缓释/控制合规风险 合规管理部门及人员做为领域内的专家/权威应承担起本领域二线检查的职能，确保政策流程得到遵守 合规管理部门必须提供高效和及时的操作