银行业金融机构合规风险管理评估暂行办法

1、银行业金融机构合规风险管理评估暂行办法第一章 总 则第一条 为科学评价辖内银行业金融机构（以下简称“银行”）合规风险管理的有效性，依据商业银行合规风险管理指引和银行业金融机构合规风险管理机制建设指导意见等相关规定，制定本办法。第二条 本办法适用于银监局辖区各类银行业金融机构，包括政策性银行、国有商业银行、邮政储蓄银行、股份制商业银行、城市商业银行、农村中小金融机构等。金融资产管理公司、信托投资公司和财务公司等参照执行。第三条 银行合规风险管理评估的总体目标是，银行通过适时有效开展合规风险管理评估工作，全面梳理自身合规风险管理状况，及时解决合规缺陷和问题，持续改进和强化合规风险管理机制，不断夯实

2、依法合规经营和案件风险防控的坚实基础。第四条 银行合规风险管理评估的内容主要包括合规机制建设情况、合规履职情况及合规管理效果等三个方面。第五条 银行开展合规风险管理评估应坚持依法、独立、客观、公正、公平的原则。第六条 银行应定期和不定期组织开展合规风险管理评估工作，并纳入银行合规风险管理计划。银行应根据经营规模、业务复杂程度、内控风险状况等，合理确定合规风险管理评估的重点、范围和频度，每年应至少开展一次全面合规风险管理自我评估。对新实施的政策和程序、新产品和新业务的开发，新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险管理应适时开展专项评估工作。第二章 评估程

3、序与要求第七条 银行合规风险管理评估分为评估准备、评估实施、评估报告三个阶段。第八条 评估准备阶段。（一）银行应成立合规风险管理评估小组，小组成员应当熟悉银行业务，能够正确理解与银行有关的法律、规则和准则及对银行经营活动的影响。（二）银行应制定评估实施方案，明确评估目的、内容、范围、重点、要求等，全面收集评估期内与合规风险管理相关的文件、工作记录、有关数据等资料。（三）银行可聘请外部机构承担部分内容的评估工作，但银行应监督其评估过程，确保其合规性，并承担其评估结果及相关责任。第九条 评估实施阶段。（一）评估小组应通过查阅资料、现场询问、符合性测试、问卷调查、合规检查等方法，逐项对照评估内容对相

4、关信息资料进行梳理、分析，审核各项政策和程序的合规性，测试法律、规则、准则在业务活动中的贯彻执行情况，确认风险控制点和关键环节操作的合规性。（二）通过分析可能预示潜在合规问题的有关数据和运行指标（如消费者投诉的增长数、异常交易等），对潜在的合规缺陷和违规事项进行识别和确认。（三）评估小组应详细记录评估过程和发现的相关问题，并作进一步分析核实和调查确认，最终做出客观、准确的判断。第十条 评估报告阶段。（一）评估小组根据评估实施情况，在全面整理、深入分析基础上，撰写合规风险管理评估报告。评估报告包括但不限于以下内容：评估工作组织开展情况、报告期内合规风险管理状况及变化、已识别的违规事件和合规缺陷、

5、已经采取或建议采取的纠正措施等。（二）合规风险管理评估报告要准确定性和积极量化银行因政策、制度、程序及客户、产品、服务所引发的合规风险，以及特定机构、部门、业务或经营活动的风险暴露，形成对合规风险管理状况的明确评估结果。第十一条 银行应以合规管理行为对应的充分书面资料作为得出评估结论的适当证据。书面资料可包括正式发布的文件资料和非正式发布但经有效程序审核认定的书面记录或描述。第十二条 银行应加强合规风险管理评估工作的制度化、规范化建设，不断完善合规风险管理评估方法与程序，着力提高银行合规风险管理评估工作的有效性。第十三条 银行应加强识别、计量、监测和评估合规风险的方法和途径研究，探索建立合规风

6、险监测指标体系和评估模型，做到科学评估银行的合规风险。第三章 合规机制建设情况评估第十四条 合规机制建设情况评估包括合规风险管理组织体系构建情况、合规管理制度建设情况两个方面。第十五条 合规风险管理组织体系构建情况，主要指合规部门设置、人员配备、职能分工、保障机制等情况。（一）是否按要求设立合规管理部门，包括根据要求设立相对独立的合规部门或设置合规岗位。（二）合规管理部门是否配备充足和合格的合规管理人员，合规管理人员资质、经验、专业技能、个人素质是否与所履行的职责相匹配。（三）合规管理部门职能和负责人职责是否明确、清晰、完整，职责内容设定是否符合监管规定。（四）是否赋予合规管理部门和人员履职所

7、必需的权限和地位，包括但不限于以下方面：1是否享有与银行任何员工进行沟通并获取履职所需的任何记录或档案资料的权利；2是否有权对违反合规政策的事件进行调查，并可要求内部相关部门进行协助；3合规管理负责人是否能独立与银行董（理）事会、高级管理层沟通，各级合规管理部门能否及时、通畅地反映合规问题和建议等。（五）是否明确和采取保证合规负责人和合规管理部门独立性的各项措施，包括但不限于以下方面：1银行合规管理职能是否与内部审计职能做到分离；2合规负责人和合规管理人员的合规管理职责与其承担的任何其他职责之间是否存在可能的利益冲突；3合规管理部门及其工作人员是否承担经营性考核指标任务；4合规部门职员的薪酬是

8、否与其履行合规职责的业务条线的盈亏状况相挂钩；5合规负责人是否分管业务条线等。（六）是否明确合规风险报告的路线，是否包括银行业务部门向合规部门、各级合规部门向上级合规部门、合规部门向高级管理层、法人机构高管层向董事会等报告合规风险的路线；是否明确合规风险报告所涉及人员的职责，是否明确报告要素、格式和频率等。第十六条 合规管理制度体系建设情况，主要指合规管理政策、合规风险识别管理流程、合规问责、考核制度等建设及适时修订完善情况。（一）是否制定书面的合规政策，内容是否符合监管规定；对总行和地区总部未制定有关合规政策和程序的，辖内银行高级管理层是否制定本机构合规制度和操作规程。是否根据银行业务发展变

9、化、合规风险管理状况以及法律、规则和准则的变化情况适时修订合规政策或合规制度等。（二）是否制定合规管理程序以及合规手册、员工行为准则等合规指南，是否明确合规风险识别管理流程；是否不断评估合规管理程序和合规指南的适当性，及时进行完善改进。（三）是否建立合规风险管理考核制度，是否将合规风险管理情况作为银行各部门、业务条线和分支机构考核评价管理人员工作业绩的重要依据。（四）是否建立合规问责制度，是否体现按不同违规情节分别规定不同处理措施的原则，是否对主动报告和隐瞒不报的情形分别规定相应减轻或加重措施。（五）是否建立诚信举报制度，是否体现鼓励举报的原则，是否规定保护举报人的相关措施。（六）是否建立符合

10、合规理念的经营绩效考核制度体系，经营绩效考核指标是否体现倡导合规、惩戒违规的价值理念和导向作用，是否存在鼓励违规、诱发风险的经营考核指标。第四章 合规履职情况评估第十七条 合规履职情况评估包括对银行高层合规职责落实情况、银行合规管理部门职责落实情况、业务条线合规职责落实情况三个方面。第十八条 银行高层的合规职责落实情况，主要指董事会对机构合规性负最终责任职责、高级管理层有效管理合规风险职责和监事会监督合规管理职责落实情况等。（一）董事会是否对本行的合规政策进行审议批准；是否根据银行风险战略、组织结构及资产规模批准设立相应的合规部门；是否授权或专门设立有关组织对商业银行合规风险管理进行日常监督。

11、（二）董事会和高级管理层是否主动监督合规政策实施，是如何具体开展或采取何种形式来有效履行监督职责的。（三）董事会是否审议批准高级管理层提交的合规风险管理报告，是否至少每年评估一次银行合规风险管理的有效程度；高级管理层是否至少每年评估一次银行所面临的主要合规风险，是否至少每年一次向董事会提交合规风险管理报告。（四）高级管理层是否按程序确定合规负责人，是否确保合规负责人独立地推动各项措施的落实；是否就合规负责人就职或离任情况组织向当地监管部门备案。（五）高级管理层是否审议批准并督促落实合规部门提交的合规风险管理计划；是否及时向董事会或其下设委员会、监事会报告任何重大违规事件。（六）监事会是否主动监

12、督董事会和高级管理层合规管理职责的履行情况，具体是如何开展或采取何种形式来有效履行监督职责的，是否留存监督过程和结果的有关书面记录。第十九条 银行合规管理部门职责落实情况，主要指合规管理部门协助高级管理层，通过制定合规方案和建立合规风险报告路线等，有效识别和管理合规风险的情况。（一）是否制定合规风险管理计划或合规方案，内容是否符合监管规定，是否按计划开展合规风险管理工作；合规负责人是否监督合规管理部门根据合规风险管理计划履行职责。（二）是否组织审核评价银行各项政策、程序和操作指南的合规性，是否组织、协调和督促各业务条线和内部控制部门及时梳理整合和修订银行的规章制度和操作规程，确保各项政策、程序

13、和操作指南符合法律、法规和准则要求。（三）是否主动识别、监测和评估与银行经营活动相关的合规风险，包括但不限于以下方面：1是否为新产品和新业务的开发提供必要的合规性审核和测试；2是否识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险等。（四）是否组织收集、筛选可能预示潜在合规问题的数据，是否建立合规风险监测指标，是否运用有效方法衡量合规风险发生的可能性和影响并确定合规风险的优先考虑序列。（五）是否对合规性测试的结果按照内部风险管理程序，通过合规风险报告路线向上报告；是否定期向高级管理层提交合规风险评估报告，报告要素是否符合监管规定。第二十条 业务条线合规

14、职责落实情况，主要指业务条线对本条线经营活动的合规性负首要责任，主动识别和管理合规风险的情况。（一）是否组织对本条线相关的各项政策、程序和操作指南进行梳理和修订，使其符合法律、规则和准则的要求。（二）是否主动开展日常和定期的条线合规自查，并向合规管理部门提供合规风险信息和风险点。（三）是否根据合规管理程序主动识别和管理条线合规风险，是否按合规风险报告的路线和相关要求及时报告。第五章 合规管理效果评估第二十一条 合规管理效果评估包括对监管法规及内控制度传导机制建设和运行情况、经营活动合规性日常监督保障机制建设和运行情况、合规文化建设情况三个方面。第二十二条 监管法规及内控制度传导机制建设和运行情

15、况，主要指传导机制建设、合规培训和与监管部门的有效互动等情况。待添加的隐藏文字内容2（一）是否建立监管法规传导机制，是否通过有效途径持续关注法律、规则和准则的最新发展，准确把握法律、规则和准则对银行经营的影响，是否及时将监管审慎规章转化为银行内部业务制度。（二）是否建立内控制度传导机制，是否通过有效途径使银行合规理念、合规政策、管理程序和操作指南等得以在内部充分传递传播，为员工恰当执行法律、规则和准则提供保障。（三）银行是否定期为合规人员提供系统的合规规则和专业技能培训，培训内容是否突出对法律、规则和准则的最新发展及其对商业银行经营影响的正确把握。（四）合规部门是否协助相关教育培训部门对员工进

16、行合规培训，培训范围是否包括对所有员工的定期合规培训，以及新入、转岗等类员工的适时合规培训。（五）合规部门是否采取有效形式保持与监管机构日常的工作联系；是否向监管部门定期报告合规风险管理事项，应报告事项有无遗漏；是否跟踪和评估监管意见和监管要求的落实情况。第二十三条 经营活动合规性日常监督保障机制建设和运行情况，主要指监督保障机制建立、监督工作开展、违规责任追究、风险防控和内审部门独立评价等方面。（一）是否建立经营活动合规性日常监督保障机制，是否针对经营管理和业务操作建立日常合规检查制度和纠正机制；银行管理信息系统是否设立相应的合规风险监测指标，为合规部门和业务条线实施监测提供技术支持。（二）

17、是否开展经营活动合规性日常监督工作；经营活动是否存在与法律、规则和准则要求不一致情况，包括有章不循、管理违规和操作违规等问题。（三）对各类监督检查、监管检查发现的合规缺陷和违规事件是否及时采取适当的纠正措施，各项整纠措施是否及时落实，合规缺陷和问题是否得到有效弥补和纠正。（四）是否按照合规问责制度和程序严格对违规行为进行责任认定与追究，责任追究措施是否落实到位。（五）对发生操作风险或案件的，是否认真调查分析其主要原因，并在系统内进行了全面整改和补救。（六）对监管部门通报的操作风险案件，是否在辖内传达并采取有效的防范措施，有无本机构已发生或监管部门已通报同类型案件又发生情况。（七）是否持续查找并

18、揭示操作风险管理和案件防控的主要风险点或薄弱环节，是否针对风险点或薄弱环节实施有效的管控措施。（八）合规部门管理合规风险的情况是否受到独立的审计；是否按内部责任追究办法，对审计中发现的合规风险管理失职问题进行问责。第二十四条 合规文化建设效果情况，主要指合规文化机制建立、合规理念传播和合规文化活动开展情况等。（一）是否建立合规文化创建机制，是否有效组织开展合规文化建设活动，是否将合规文化建设纳入到企业文化建设过程。（二）董事会和高级管理层确定的合规基调是否与监管要求保持一致；合规从高层做起是如何体现的，是否建立相应的实施保障机制。（三）银行是如何在全行推行全员合规、主动合规、合规创造价值等合规理念的，是采取哪些有效形式、运用哪些有效载体进行展现和传播的。第六章 评估结果的运用第二十五条 银行应充分利用合规风险管理评估成果，持续完善合规管理机制。银行董事会和高级管理层应认真研究评估报告提出的改进建议，相关责任部门应落实整改措施，合规部门应做到持续关注。第二十六条 合规管理部门应以评估结果为导向，研究确定下一步合规