中信銀行合規(guī)管理與實踐分享

1、2009年年8月月8日日 大連大連 中信銀行合規(guī)管理與實踐分享中信銀行合規(guī)管理與實踐分享 目錄目錄 第一部分第一部分 認識銀行的合規(guī)風險及管理認識銀行的合規(guī)風險及管理 第二部分第二部分 中信銀行合規(guī)風險管理實踐中信銀行合規(guī)風險管理實踐 第一部分、認識銀行的合規(guī)風險及管理第一部分、認識銀行的合規(guī)風險及管理 i. baseli. basel有關合規(guī)風險管理有關合規(guī)風險管理 巴塞爾銀行監(jiān)管委員會關于銀行合規(guī)管理及監(jiān)管 的高級文件 v 巴塞爾銀行監(jiān)管委員會于2005年4月發(fā)布合規(guī) 與銀行內(nèi)部合規(guī)部門高級文件。 v 為滿足監(jiān)管機構的監(jiān)管要求，銀行必須遵循有效 的合規(guī)政策和程序，并在發(fā)現(xiàn)有違規(guī)情況發(fā)生時，

2、 銀行管理層能夠采取適當措施予以糾正。（巴塞 爾銀行監(jiān)管委員會合規(guī)高級文件原則2） v 可謂銀行合規(guī)管理及監(jiān)管的國際標桿。 了解了解baselbasel合規(guī)風險管理合規(guī)風險管理 銀行合規(guī)相關的十項重要原則銀行合規(guī)相關的十項重要原則 原則1：銀行董事會負責監(jiān)督銀行的合規(guī)風險管理。董事會應該核準銀行的合規(guī)政策，包括一份組建常設和有 效的合規(guī)部門的正式文件。董事會或董事會下設委員會應該每年至少一次評估銀行有效管理合規(guī)風險的程度。 原則2：銀行高級管理層負責銀行合規(guī)風險的有效管理。 原則3：銀行高級管理層負責制定和傳達合規(guī)政策，確保該合規(guī)政策得以遵守，并就銀行合規(guī)風險管理向董事 會報告。 原則4：作為

3、銀行合規(guī)政策的組成部分，高級管理層負責組建一個常設和有效的銀行內(nèi)部合規(guī)部門。高級管理 層應采取必要的措施，以確保銀行可以依賴一個常設的、有效的并符合以下原則的合規(guī)部門。 原則5：獨立性：銀行的合規(guī)部門應該是獨立的。 原則6：資源：銀行合規(guī)部門應該配備能有效履行職責的資源。 原則7：合規(guī)部門職責：銀行合規(guī)部門的職責應該是協(xié)助高級管理層有效管理銀行面臨的合規(guī)風險。如果其中 的某些職責是由不同部門的職員履行，那么每個部門的職責應該界定清楚。 原則8：與內(nèi)部審計的關系：合規(guī)部門的工作范圍和廣度應受到內(nèi)部審計部門的定期復查。 原則9：跨境問題：銀行應該遵守所有開展業(yè)務所在國家或地區(qū)的適用法律和監(jiān)管規(guī)定，

4、合規(guī)部門的組織方式 和結構以及合規(guī)部門的職責應符合當?shù)氐姆珊捅O(jiān)管要求。 原則10：外包：合規(guī)應被視為銀行內(nèi)部的一項核心風險管理活動。合規(guī)部門的具體工作可能被外包，但外包 仍必須受到合規(guī)負責人的適當監(jiān)督。 由世界各主要國家金融監(jiān)管當局共同參與起草的巴塞爾銀行監(jiān)管委員會高級文件，對于各 國商業(yè)銀行有效的合規(guī)風險管理體系建設具有十分重要的指導意義。但這并不意味著所有的商 業(yè)銀行都必須采用該高級文件所提出的十項原則，更沒有要求所有銀行采用統(tǒng)一的模式來管理 銀行合規(guī)風險。各家銀行應在充分考慮所處經(jīng)濟環(huán)境和自身特點的前提下，參照巴塞爾銀行監(jiān) 管委員會高級文件的原則精神，并借鑒國際銀行業(yè)合規(guī)風險管理的最佳

5、實踐，組建與自身風險 管理戰(zhàn)略和組織結構相吻合的合規(guī)管理部門，構建具有自身特色的銀行合規(guī)風險管理體系。 十原則解讀和應對十原則解讀和應對 除滿足外部監(jiān)管需求，銀行業(yè)亦普遍認識到合規(guī)管理是保障銀行穩(wěn)健發(fā)展的內(nèi)在需要。在 發(fā)達而又復雜的金融環(huán)境下，合規(guī)風險管理已被納入銀行全面風險管理框架之中，是商業(yè)銀行 風險管理體系的核心內(nèi)容之一，并成為銀行業(yè)必須掌握的專門風險管理技術，這一點已得到全 球銀行業(yè)的普遍認同。目前，在全球金融經(jīng)濟較為發(fā)達的國家和地區(qū)，商業(yè)銀行已普遍設立了 合規(guī)管理部門，合規(guī)人員占銀行從業(yè)人員的比例不斷上升。據(jù)不完全統(tǒng)計，國際大型銀行合規(guī) 人員隊伍占比達到員工總數(shù)的0.5%-1%，合規(guī)

6、管理組織結構亦不斷完善。相應地，判斷合規(guī)風險 管理狀況的標準，也已從過去滿足法律法規(guī)、監(jiān)管要求和內(nèi)部規(guī)章制度提升到銀行競爭力、創(chuàng) 造價值、促進盈利的層面。 解讀解讀 應對應對 巴塞爾合規(guī)風險管理其他文件： 1998年9月 銀行機構內(nèi)部控制系統(tǒng)框架 1999年9月 加強銀行機構公司治理 2001年8月 銀行內(nèi)部審計和監(jiān)管機構與審計關系 2001年10月 銀行客戶盡職調(diào)查 2003年2月 操作風險管理與監(jiān)管的穩(wěn)健原則 2004年6月 新資本協(xié)議 2004年10月 統(tǒng)一kyc風險管理 baselbasel關于合規(guī)的其他原則和文件關于合規(guī)的其他原則和文件 baselbasel關于三大風險的定義關于三大

7、風險的定義 新巴塞爾協(xié)議將操作風險加入風險加權資產(chǎn)計算中 由此，資本充足率計算公式中的風險加權資產(chǎn)包括三大風險：信 用風險、市場風險和操作風險 信用風險：債務人或交易對手違約造成損失的風險。 市場風險：市場匯率、利率變動產(chǎn)生的風險。 操作風險：由于內(nèi)部程序、人員、系統(tǒng)的不完善或失誤，或外部事件所 造成的風險。 合規(guī)風險與三大風險的區(qū)別與聯(lián)系合規(guī)風險與三大風險的區(qū)別與聯(lián)系 三大風險主要是基于客戶信用、市場變化、員工操作等內(nèi)外環(huán)境而形成 的風險或損失，合規(guī)風險簡單地說是銀行因為有違規(guī)行為而招致的風險或損 失。巴塞爾委員會將合規(guī)視為“銀行內(nèi)部的一項核心風險管理活動”。 合規(guī)風險是其他三大風險特別是操

8、作風險存在和表現(xiàn)的重要誘因，而三 大風險的存在使得合規(guī)風險更趨復雜多變而難于監(jiān)控，且它們的結果基本相 同，即都會給銀行帶來經(jīng)濟或聲譽的損失。 區(qū)別區(qū)別 聯(lián)系聯(lián)系 “合規(guī)風險合規(guī)風險”是指，銀行因未能遵循法律、監(jiān)管規(guī)定、規(guī)則、自律性組織制 定的有關準則，以及適用于銀行自身業(yè)務活動的行為準則而可能遭受法律制 裁或監(jiān)管處罰、重大財務損失或聲譽損失的風險。 合規(guī)風險定義合規(guī)風險定義 信用風險 市場風險 操作風險 國家風險和 轉(zhuǎn)移風險 流動性風險 銀行賬戶 利率風險 聲譽風險 法律風險 ii.ii.中國銀監(jiān)會有關合規(guī)風險管理中國銀監(jiān)會有關合規(guī)風險管理規(guī)定規(guī)定 商業(yè)銀行合規(guī)風險管理指引商業(yè)銀行合規(guī)風險管理

9、指引 加強合規(guī)風險管理，既是監(jiān)管部門關注的重點，也是銀行業(yè)金融機構自身努力追求的 目標。目前，國內(nèi)已有多家銀行業(yè)金融機構建立了合規(guī)管理部門，加強機構自身的合 規(guī)風險管理已成共識，但風險為本的合規(guī)管理是一項復雜的系統(tǒng)工程，目前尚處于起 步階段，還面臨著一系列的困難和問題，不斷積累和完善經(jīng)驗和做法，迫切需要監(jiān)管 部門明確相應的原則和要求。 在吸收和借鑒國內(nèi)外銀行業(yè)合規(guī)風險管理的良好做法以及國外銀行業(yè)監(jiān)管規(guī)定的基礎 上，根據(jù)巴塞爾委員會合規(guī)與銀行內(nèi)部合規(guī)部門文件原則，2006年10月，中國銀 監(jiān)會根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國商業(yè)銀行法， 在廣泛吸收和借鑒國內(nèi)外銀行業(yè)金融機構合規(guī)

10、風險管理的良好做法，以及及國外銀行 業(yè)監(jiān)管機構相關規(guī)定的基礎上，制定了商業(yè)銀行合規(guī)風險管理指引。 背景背景 來源來源 對商業(yè)銀行合規(guī)風險管理指引的理解對商業(yè)銀行合規(guī)風險管理指引的理解 基本涵蓋了商業(yè)銀行董事會及其下設委員會、監(jiān)事會、高級管理 層、合規(guī)負責人、合規(guī)管理部門的合規(guī)管理職責以及合規(guī)風險識別和 管理流程的各個環(huán)節(jié) 對合規(guī)文化建設、合規(guī)風險管理體系建設以及合規(guī)績效考核制度、 合規(guī)問責制度和誠信舉報制度等三項基本制度的建設作出了規(guī)定 規(guī)定了商業(yè)銀行合規(guī)政策、合規(guī)管理程序和合規(guī)指南等內(nèi)部制度 的報備要求、合規(guī)風險管理計劃和合規(guī)風險評估報告的報送要求以及 重大違規(guī)事件的報告要求，明確了監(jiān)管部門

11、對商業(yè)銀行合規(guī)風險管理 進行非現(xiàn)場監(jiān)管和現(xiàn)場檢查的重點 解讀：解讀： 重點強調(diào)三個方面 商業(yè)銀行合規(guī)風險管理指引主要內(nèi)容商業(yè)銀行合規(guī)風險管理指引主要內(nèi)容 建設強有力的合規(guī)文化 建立有效的合規(guī)風險管理體系 建立有利于合規(guī)風險管理的三項基本制度 五章三十一條基本涵蓋 銀監(jiān)會更加重視商業(yè)銀行“三道防線”建設 商業(yè)銀行董事會及其下設委員會、監(jiān)事會、高級管理層、合規(guī)負責人、合 規(guī)管理部門的合規(guī)管理職責 合規(guī)風險識別和管理流程的各個環(huán)節(jié) 對合規(guī)文化建設、合規(guī)風險管理體系建設以及合規(guī)績效考核制度、合規(guī)問 責制度和誠信舉報制度等三項基本制度的建設作出了規(guī)定 一線業(yè)務部門實施有效自我合規(guī)控制 合規(guī)管理部門在事前

12、與事中實施專業(yè)化合規(guī)管理 內(nèi)部審計作為事后控制 商業(yè)銀行合規(guī)風險管理指引特點商業(yè)銀行合規(guī)風險管理指引特點 指引以建立與商業(yè)銀行風險管理戰(zhàn)略和組織結構相適應的合規(guī)管理 部門及合規(guī)風險識別和管理流程為出發(fā)點，體現(xiàn)了前瞻性、可行性和一致性。 指引充分考慮了國有 銀行股份制改造、商業(yè)銀 行上市、組織結構和業(yè)務 流程再造等一系列重大改 革舉措對加強合規(guī)風險管 理的內(nèi)在要求，吸收了國 際銀行業(yè)風險為本的合規(guī) 管理先進經(jīng)驗，創(chuàng)新合規(guī) 管理的體系、框架和制度， 以構建有效的合規(guī)風險管 理體系、建設良好的合規(guī) 文化為目標，適應銀行業(yè) 深化改革以及綜合化和國 際化的現(xiàn)實需要。 前瞻性前瞻性 指引充分考慮了銀行 業(yè)

13、金融機構的差異性，強 調(diào)合規(guī)風險管理體系與經(jīng) 營范圍、組織結構和業(yè)務 規(guī)模相適應，董事會可根 據(jù)董事會結構授權其下設 的風險管理委員會、內(nèi)部 審計委員會或?qū)ｉT設立的 合規(guī)管理委員會履行日常 監(jiān)督職能，合規(guī)負責人不 得分管業(yè)務條線最基本的 獨立性要求，體現(xiàn)了原則 性要求與具體條款可操作 性的有機統(tǒng)一。 可行性可行性 指引結合了銀監(jiān)會近 年來頒布的部分規(guī)章和規(guī) 范性文件對合規(guī)風險管理 的相關規(guī)定，充分體現(xiàn)了 監(jiān)管要求的連續(xù)性和一致 性。 一致性一致性 合規(guī)管理是商業(yè)銀行一項核心 的風險管理活動，合規(guī)必須從高層 做起，董事會和高級管理層應確定 合規(guī)基調(diào)，確立正確的合規(guī)理念， 提高全體員工的誠信意識與

14、合規(guī)意 識，形成良好的合規(guī)文化，這對于 銀行業(yè)金融機構有效管理包括合規(guī) 風險在內(nèi)的各類風險至關重要。 建設強有力的合規(guī)文化建設強有力的合規(guī)文化 合規(guī)文化合規(guī)文化 合規(guī)風險管理體系合規(guī)風險管理體系 合規(guī)風險管理制度合規(guī)風險管理制度 建設有效的合規(guī)風險管理體系建設有效的合規(guī)風險管理體系 合規(guī)文化合規(guī)文化 合規(guī)風險管理體系合規(guī)風險管理體系 合規(guī)風險管理制度合規(guī)風險管理制度 董事會應監(jiān)督合規(guī)政策的有效實施， 以使合規(guī)缺陷得到及時有效的解決。 高級管理層應貫徹執(zhí)行合規(guī)政策， 建立合規(guī)管理部門的組織結構，并 配備充分和適當?shù)馁Y源，確保發(fā)現(xiàn) 違規(guī)事件時及時采取適當?shù)募m正措 施。 合規(guī)管理部門應在合規(guī)負責人的

15、管 理下，協(xié)助高級管理層有效管理合 規(guī)風險，制定并執(zhí)行風險為本的合 規(guī)管理計劃，實施合規(guī)風險識別和 管理流程，開展員工的合規(guī)培訓與 教育。 建立有利于合規(guī)風險管理的三項基本制度建立有利于合規(guī)風險管理的三項基本制度 合規(guī)文化合規(guī)文化 合規(guī)風險管理體系合規(guī)風險管理體系 合規(guī)風險管理制度合規(guī)風險管理制度 合規(guī)風險管理的三項基本制度： 合規(guī)績效考核制度 合規(guī)問責制度 誠信舉報制度 加強對管理人員的合規(guī)績效考 核，懲罰合規(guī)管理失效的人員，追 究違規(guī)責任人的相應責任，對舉報 有功者給予適當?shù)莫剟睿εe報 者給予充分的保護。 iiiiii. .商業(yè)銀行開展合規(guī)工作面臨的困難和問題商業(yè)銀行開展合規(guī)工作面臨的

16、困難和問題 同國外的對比同國外的對比 國際上銀行業(yè)金融機構的合規(guī)管理已經(jīng)發(fā)展為基于流程的管理活動。先進銀行對本行經(jīng)營 作業(yè)流程進行合理設計，通過流程邏輯有效銜接和優(yōu)化集成。流程銀行的打造過程也正是重新 審視作業(yè)是否科學、規(guī)范、合規(guī)的過程，在此過程中，通過科學梳理并修訂各項業(yè)務的操作規(guī) 章，確保各項操作依法合規(guī)，使依法合規(guī)經(jīng)營原則真正落實到業(yè)務流程的每一個環(huán)節(jié)，每一個 步驟和每一位員工中。各業(yè)務條線制定的相應政策、程序、操作手冊或操作指南，組成了滿足 整個業(yè)務流程管理要求的相關制度，成為指導實際操作的標準。 國內(nèi)商業(yè)銀行從部門銀行向流程銀行的轉(zhuǎn)變尚處探索階段，管理制度缺乏體系化、系統(tǒng)性， 實際操

17、作性差，導致合規(guī)管理活動從“以任務為中心”向“以流程為中心”的轉(zhuǎn)變、建立持續(xù) 的合規(guī)風險管理、監(jiān)測等還有要進行大量的基礎工作鋪墊。 國外國外 國內(nèi)國內(nèi) 我國商業(yè)銀行合規(guī)管理建設起步較晚，合規(guī)管理成為銀行業(yè)的 共同關注在時間上也不過是近幾年的事情。國內(nèi)商業(yè)銀行合規(guī) 風險管理面臨以下問題： 國內(nèi)商業(yè)銀行合規(guī)管理面臨的問題國內(nèi)商業(yè)銀行合規(guī)管理面臨的問題 合規(guī)風險管理文化沒有形成合規(guī)風險管理文化沒有形成 合規(guī)理念還未滲透到商業(yè)銀行日常管理和決策環(huán)節(jié)； 合規(guī)尚未成為銀行內(nèi)部全體的、自上而下的，包括高層在內(nèi)的每一位銀行員 工的行為準則； 合規(guī)風險管理機構和職能不健全合規(guī)風險管理機構和職能不健全 合規(guī)管理部

18、門職能定位尚不準確； 合規(guī)管理部門盡職履責不到位； 合規(guī)風險管理方法和技術落后合規(guī)風險管理方法和技術落后 風險管理的技術和工具認知、運用處于初級階段； 合規(guī)風險的識別、評估、監(jiān)測、報告等合規(guī)風險管理程序尚不清晰。 合規(guī)激勵和合規(guī)問責機制缺失，問責不嚴合規(guī)激勵和合規(guī)問責機制缺失，問責不嚴 第二部分第二部分 中信銀行合規(guī)風險管理實踐中信銀行合規(guī)風險管理實踐 i. i.中信銀行合規(guī)風險管理的準備中信銀行合規(guī)風險管理的準備 滿足商業(yè) 銀行合規(guī)風 險管理指引 法規(guī)要求 建立標準化 的合規(guī)風險 管理的長效 機制 將中信銀行 建設成為國 內(nèi)同業(yè)合規(guī) 風險管理方 面的領先銀 行！ 中信銀行合規(guī)風險管理規(guī)劃中信

19、銀行合規(guī)風險管理規(guī)劃 銀監(jiān)會商業(yè)銀行合規(guī)風險管理指引第八條規(guī)定：“商業(yè)銀 行應建立與其經(jīng)營范圍、組織結構和業(yè)務規(guī)模相適應的合規(guī)風 險管理體系?！?中信銀行合規(guī)風險管理框架構建思路中信銀行合規(guī)風險管理框架構建思路 有效的合規(guī)風險管理框架是銀行構建全面風險管理體系的 基礎，也是合規(guī)管理體系有效運轉(zhuǎn)的關鍵環(huán)節(jié)。銀行需要從全 面風險管理總體目標出發(fā)，構筑業(yè)務操作、管理部門（包括合 規(guī)部門與其他風險管理部門）、內(nèi)部審計為層級的合規(guī)風險管 理框架。 合規(guī)管理體系要素確定合規(guī)管理體系要素確定 合規(guī)培訓 與教育 合規(guī)政策 組織結構 和資源 合規(guī)風險 管理計劃 合規(guī)風險 識別和管 理流程 領導與承諾 商業(yè)銀行合

20、規(guī)風險管理指引商業(yè)銀行合規(guī)風險管理指引我們認為，一個有效的 合規(guī)管理體系一般由三 個相互依賴的要素組成： 一是董事會和管理層的 監(jiān)督管理，包括制定和 實施銀行合規(guī)政策、明 確合規(guī)管理部門的組織 結構及其資源配置。 二是合規(guī)管理計劃，包 括逐步完善合規(guī)風險管 理流程、合規(guī)培訓與教 育制度等。 三是合規(guī)管理審計。 中信銀行合規(guī)風險管理遵循的三項原則中信銀行合規(guī)風險管理遵循的三項原則 全面風險管理原則獨立性原則協(xié)調(diào)與效率原則 （1）全員管理原則：實現(xiàn) 全體員工對合規(guī)管理的參與； （2）全過程管理原則：對 銀行發(fā)展、業(yè)務操作的全過 程實施合規(guī)監(jiān)控； （3）全方位風險管理原則， 不但要囊括銀行業(yè)務中的傳

21、 統(tǒng)風險，還要涵蓋聲譽風險、 技術風險等。 應確保合規(guī)管理部門在銀行 內(nèi)部享有正式的定位、授權 及獨立性。 總行及分行應設立獨立或相 對獨立的合規(guī)管理部門。 同時，為合規(guī)部門職責履行 提供充分的資源保障及配套 機制，確保合規(guī)管理部門的 獨立性和開放性。 總體而言，合規(guī)管理的組織 結構設置應滿足獨立性管理 要求。 明確合規(guī)管理職責的分工合 作關系，尤其是應正確界定 合規(guī)管理部門與業(yè)務條線、 合規(guī)管理部門與銀行其他部 門以及合規(guī)管理部門與內(nèi)審 部門的明確分工與合作機制， 確保銀行合規(guī)管理體系的有 效運作。 一是中外資銀行授權制度不同，中資銀行一直是依據(jù)機構或部門功能授權，一般不存 在因人而異授權或

22、交叉授權，外資銀行則更強調(diào)對個人授權。 中信銀行合規(guī)管理組織架構設置的四項考慮中信銀行合規(guī)管理組織架構設置的四項考慮 二是中外資銀行崗位設置規(guī)則不同，中資銀行崗位設置通常并沒有科學的崗位設置 評價，崗位的職責、權限不明確，更沒有制度化，因人設崗的現(xiàn)象較為普遍，而外 資銀行正好相反。在此背景下，采取分散化管理的組織結構，在各業(yè)務部門設立合 規(guī)崗位，很難確立合規(guī)人員的獨立性和權威性。 三是中資銀行傘型組織架構，使得機構負責人權限較大，制衡不足，向上級合規(guī)部 門直接匯報，能夠增強合規(guī)工作的獨立性。 四是目前中資銀行普遍缺乏合規(guī)專業(yè)人才，集中化管理模式，有利于知識互補和配 合。 ii.ii.中信銀行合

23、規(guī)風險管理實施中信銀行合規(guī)風險管理實施 ( (一一) )中信銀行合規(guī)管理體系方案中信銀行合規(guī)管理體系方案 目前，合規(guī)管理體系并沒有一個統(tǒng)一的模式可以借鑒，在合規(guī)風險管理體系 構建過程中，應當根據(jù)銀行自身經(jīng)營戰(zhàn)略特點，在研究借鑒同業(yè)實踐經(jīng)驗的 基礎上，設計切實可行的總體框架，建立與經(jīng)營范圍、組織結構和業(yè)務規(guī)模 及復雜程度相適應的合規(guī)風險管理體系。 2008年上半年，在充分借鑒國內(nèi)同業(yè)合規(guī)管理建設經(jīng)驗的基礎上，合規(guī)部門 制定了中信銀行合規(guī)管理體系方案并獲行長辦公會審批通過，確定了 “循序漸進、逐步到位”的原則來建立總、分、支行以及主線部門分層次、 矩陣式合規(guī)管理組織體系，配置合規(guī)資源，構建全行合規(guī)

24、管理組織體系。 依據(jù)依據(jù) 實踐實踐 2008年12月，中信總行下發(fā)關于進一步建立完善中信銀 行合規(guī)管理組織體系的通知（信銀字20083067號），明確 按照“循序漸進、逐步到位” 的原則分步實施：資產(chǎn)規(guī)模在 300億元以上的分行，原則上應單設合規(guī)部，編制2-3人，人員 需求由分行在編制范圍內(nèi)調(diào)劑解決。 截至2009年6月，資產(chǎn)在300億以上的12家分行，已有上海、 廣州、深圳和青島四家分行單設了合規(guī)部；其余八家分行設立 了二級部門，與審計部合署辦公；資產(chǎn)規(guī)模在300億以下的信用 卡中心和18家分行，分別設置了二級合規(guī)部、合規(guī)小組或?qū)Ｂ?合規(guī)崗，人員多為原審計人員。目前，總行專職合規(guī)人員4人人、

25、 各部門兼職合規(guī)員22人；分行專職合規(guī)員44人，兼職合規(guī)約526 人。全行合規(guī)組織體系框架初步搭建。 合規(guī)組織體系框架初步搭建情況合規(guī)組織體系框架初步搭建情況 ( (二）制定出臺中信銀行合規(guī)政策、二）制定出臺中信銀行合規(guī)政策、 中信銀行合規(guī)工作管理辦法（試行）中信銀行合規(guī)工作管理辦法（試行） 中信銀行合規(guī)風險管理辦法（試行）是我行實施中信銀行合規(guī)政 策的具體規(guī)定，確定了合規(guī)風險管理組織結構和資源，明確了合規(guī)風險管 理計劃要求，規(guī)范了合規(guī)風險識別程序和流程，確立了合規(guī)風險管理配套機 制。 上述兩個制度的出臺實施，對指導和推進分支機構有效開展合規(guī)工作、 加強合規(guī)風險管理提供了制度保障。 中信銀行合

26、規(guī)政策于2009年3月13日經(jīng)中信銀行股份有限公司第一屆 董事會第二十一次會議決議核準，正式出臺實施。合規(guī)政策作為合規(guī)風險管 理的綱領性制度，明確了我行倡導的合規(guī)文化和合規(guī)理念、董事會和高管層 的合規(guī)責任、合規(guī)基調(diào)、合規(guī)風險管理框架和管理目標、合規(guī)部門的地位和 職責、全行上下用以識別和管理合規(guī)風險的主要程序、合規(guī)報告路線等。 銀行董事會和高級管理層在合規(guī)風險管理體系建設初期的 首要任務是任命合規(guī)負責人、組建合規(guī)管理部門。 銀行高層應根據(jù)銀行自身特點和實際情況選擇適當?shù)暮弦?guī) 管理部門組織架構及報告路線，并為合規(guī)部門有效履行合規(guī)風 險管理職責提供充分的資源及配套機制，確保合規(guī)管理部門和 合規(guī)負責人

27、具有足夠的權威性和獨立性。 1 1、明確合規(guī)部門職責，保證履行合規(guī)管理職責、明確合規(guī)部門職責，保證履行合規(guī)管理職責 獨立性獨立性 不管經(jīng)營規(guī)?；蚬芾韽碗s性如何，合規(guī)風險管理都要筑牢“三 道防線”： 2 2、合規(guī)風險管理三道防線、合規(guī)風險管理三道防線 目前，隨著銀行股份制改及上市，銀行業(yè)已普遍重視業(yè)務部門的第一道防線和內(nèi) 部審計的第三道防線的建設，但與國際先進銀行的經(jīng)驗做法相比，還缺乏合規(guī)管理部 門這第二道防線。 業(yè)務部門實施有效自我合業(yè)務部門實施有效自我合 規(guī)控制的第一道防線規(guī)控制的第一道防線 合規(guī)管理部門在事前和事合規(guī)管理部門在事前和事 中實施專業(yè)化合規(guī)管理的中實施專業(yè)化合規(guī)管理的 第二道防

28、線第二道防線 內(nèi)部審計作為事后控制的內(nèi)部審計作為事后控制的 第三道防線第三道防線 中信銀行在合規(guī)風險管理體系構建過程中，根據(jù)自身特點 和實際情況，選擇恰當?shù)暮弦?guī)部門組織結構，并為合規(guī)部門履 行職責提供充分的資源以及配套機制，確保合規(guī)部門的獨立性 和開放性。 中信銀行合規(guī)部門組織結構采取集中化管理和條線式報告 方式。 集中化管理：即在總行及分行設立獨立或相對獨立的合規(guī) 風險管理部門，在分行下屬機構設立合規(guī)崗位或兼職合規(guī)員。 在報告路線上，可以采取條線式或矩陣式，但以條線式報 告為主，即下級合規(guī)部門直接向上級合規(guī)部門匯報（條線式）， 或在向上級合規(guī)部門匯報的同時，向行政所屬機構負責人匯報 （矩陣式

29、）。 3 3、合規(guī)部門組織架構、合規(guī)部門組織架構 中國銀監(jiān)會頒布的指引第十九條明確規(guī)定：“合規(guī)管 理人員應具備與履行職責相匹配的資質(zhì)、經(jīng)驗、專業(yè)技能和個 人素質(zhì)?！?銀行應配備高素質(zhì)的合規(guī)從業(yè)人員，以確保合規(guī)部門有效 履行職責。銀行的合規(guī)人員需要具有與其職責履行相匹配的資 質(zhì)、經(jīng)驗、專業(yè)素質(zhì)和個人素質(zhì)。適當?shù)膶I(yè)素質(zhì)包括能全面、 正確地理解法律、規(guī)則和標準及其對銀行經(jīng)營運作的實際影響； 通過定期、系統(tǒng)的教育和培訓，能保持并發(fā)展其專業(yè)技能，尤 其是對所適用法律、規(guī)則和標準最新發(fā)展的實時把握能力。適 當?shù)膫€人品質(zhì)主要包括誠實正直的品格、思考質(zhì)疑的能力、職 業(yè)判斷的中立性和獨立性、良好溝通能力、較強

30、的判斷力和靈 活性等，尤其需要具有對合規(guī)問題涉及的相關人員直言不諱的 勇氣和能力。 4 4、合規(guī)管理相關資源匹配、合規(guī)管理相關資源匹配 在構建合規(guī)部門的組織架構時，必須重視報告路線設置。 銀行應明確合規(guī)風險報告的清晰路線，包括：銀行其他部門向 合規(guī)部門報告合規(guī)風險的路線，各級合規(guī)部門逐級上報合規(guī)風 險的路線，總行合規(guī)部門向高級管理層的報告路線，以及高級 管理層向董事會的報告路線。同時，要明確報告路線所涉每一 位人員的職責，明確報告人的報告要素、方式、格式和頻率等， 以及被報告人直接處理或向上報告的規(guī)范要求。對于報告要素 的要求，應以被報告人能據(jù)此迅速、準確判斷所涉及的合規(guī)風 險為標準。 5 5

31、、合規(guī)報告路線問題、合規(guī)報告路線問題 合規(guī)部門應保持適當?shù)拈_放性，確保信息來源以及匯報路線的 開放和暢通。 6 6、渠道和信息來源、渠道和信息來源 （1）合規(guī)部門享有與任何銀行員工進行溝通，并獲取便于履行職責所需的任何記錄和檔案 材料的自主權； （2）合規(guī)部門對調(diào)查發(fā)現(xiàn)的任何不正常情況或可能的違規(guī)行為，有權隨時向高級管理層和 董事會（或下設委員會）報告，而不用擔心來自管理層和其他任何職員的報復或冷遇； （3）如果合規(guī)部門負責人不是高級管理層成員，他有權通過一條直接報告路線向不負責業(yè) 務的高級管理層成員報告；若需要，他還應有權繞開通常的報告路線，直接向董事會或其下 設委員會報告； （4）合規(guī)部門

32、則應確保銀行員工有暢通的渠道反映銀行存在的道德和合規(guī)問題，并且保護 反映問題者免遭報復。 建立相關配套機制，確保合規(guī)部門獨立性 （1）預算管理的獨立性 為確保合規(guī)部門的獨立性，合規(guī)部門的預算管理應與合規(guī)部 門的工作目標保持一致，而不應取決于業(yè)務部門或業(yè)務條線 的盈利狀況。 （2）建立科學的激勵考核機制 合規(guī)部門應主要接受上級合規(guī)部門的監(jiān)督和評估，以確保 合規(guī)部門職能的有效發(fā)揮； 7 7 銀行對各業(yè)務部門或業(yè)務條線管理人員的績效考核，應主 動征詢合規(guī)負責人對其合規(guī)風險管理能力的評價意見。 7 7、合規(guī)風險管理配套機制、合規(guī)風險管理配套機制 銀行有效合規(guī)機制的形成，需要一個不斷積累和完善的過 程，

33、至少要經(jīng)過3至5年的運作和磨合。盡管萬事開頭難，但如 果銀行不開始或不能持續(xù)地做下去，有效的合規(guī)機制就永遠不 可能形成，甚至類似的違規(guī)事件會被不斷地復制，合規(guī)風險將 無法得到有效的控制和遏止。 起始階段主要工作： （三）起始階段的主要工作（三）起始階段的主要工作 3 3、制度梳理，建立機制、制度梳理，建立機制 2 2、收集數(shù)據(jù)，打好基礎、收集數(shù)據(jù)，打好基礎 1 1、調(diào)整流程，明確地位、調(diào)整流程，明確地位 4 4、完善配套，強化服務、完善配套，強化服務 調(diào)整中資銀行現(xiàn)有文件的流轉(zhuǎn)程序， 明確合規(guī)部門的樞紐地位。將合規(guī)部 門定位為接口外部監(jiān)管的對口部門， 監(jiān)管規(guī)則、監(jiān)管部門的風險提示以及 監(jiān)管意見

34、等，經(jīng)合規(guī)部門吸收消化后， 分解給各業(yè)務部門或其他后臺支持部 門，并由合規(guī)部門從合規(guī)的專業(yè)角度， 系統(tǒng)地提出執(zhí)行這些外部監(jiān)管要求的 意見和建議。同時，所有報給監(jiān)管機 構的材料和信息，如果合規(guī)部門認為 有必要，應經(jīng)其審核同意后呈報監(jiān)管 機構。 1 1、調(diào)整流程，明確地位、調(diào)整流程，明確地位 調(diào)整流程，明確地位 收集數(shù)據(jù)，打好基礎 制度梳理，建立機制 完善配套，強化服務 著手收集銀行所有合規(guī)風險點，并在工作中不斷補 充和擴展。合規(guī)的風險點包括： （1）本行或其他銀行曾經(jīng)發(fā)生過的合規(guī)問題和案件； （2）業(yè)務部門和風險管理部門已經(jīng)發(fā)現(xiàn)的合規(guī)風險隱患； （3）合規(guī)部門在合規(guī)風險識別、評估、監(jiān)測、測試和咨

35、 詢的日常工作中，所發(fā)現(xiàn)的需引起足夠重視的合規(guī)風險或 問題； （4）內(nèi)外部審計檢查中所發(fā)現(xiàn)的合規(guī)風險事件等信息； （5）監(jiān)管部門發(fā)現(xiàn)的合規(guī)風險點和合規(guī)風險提示等。 對于各個合規(guī)風險點，合規(guī)部門應深入分析合規(guī)風 險的形成原因，同時系統(tǒng)地提出相應的彌補措施和 糾正建議，包括制定合規(guī)的程序性手冊、修改業(yè)務 政策和操作程序等。 2 2、收集數(shù)據(jù)，打好基礎、收集數(shù)據(jù)，打好基礎 調(diào)整流程，明確地位 收集數(shù)據(jù)，打好基礎 制度梳理，建立機制 完善配套，強化服務 梳理和制定一套具有較強執(zhí)行力的制度。 （1）制定可供各個崗位人員使用的業(yè)務政策、行為手冊 和操作程序，清楚地界定包括高級管理層在內(nèi)所有員工的 盡職、問

36、責和免責認定標準。 （2）在業(yè)務規(guī)章和操作規(guī)程制定方面，應明確內(nèi)部制度 梳理、整合和修訂的規(guī)范要求，對新制度要有必要的合規(guī) 預估。 （3）在內(nèi)部規(guī)定的制定中，應重視業(yè)務政策、行為手冊 和操作程序中對相關穩(wěn)健做法的詳盡描述，一定要有針對 性，規(guī)章制度要具體化，操作性要強，并要適應新時期的 各種新變化，讓員工清楚自己的行為操守，同時不斷鞏固 和完善銀行在長期經(jīng)營中日積月累的許多非常好的穩(wěn)健做 法。 （4）確保規(guī)章制度保持持續(xù)更新。 所有這些都需要高級管理層在合規(guī)負責人的協(xié)助下， 通過卓有成效的工作才能得以實現(xiàn)。 3 3、制度梳理，建立機制、制度梳理，建立機制 調(diào)整流程，明確地位 收集數(shù)據(jù)，打好基礎

37、 制度梳理，建立機制 完善配套，強化服務 4 4、完善配套，強化服務、完善配套，強化服務 調(diào)整流程，明確地位 收集數(shù)據(jù)，打好基礎 制度梳理，建立機制 完善配套，強化服務 （1）合規(guī)部門應密切關注和跟蹤法律、規(guī)則 和準則的最新發(fā)展，代表本行利益及時提出 相關意見和建議，積極爭取必要的話語權。 （2）逐步探索和建立有效的完善合規(guī)風險的 識別、評估和監(jiān)測機制，以及報告程序等。 （3）積極開發(fā)有效的合規(guī)風險培訓和教育項 目，包括：新入行人員的合規(guī)培訓和測試； 逐步梳理、制定和細化員工的合規(guī)手冊；針 對適用法律、規(guī)則和準則的變化，及時進行 相應的培訓和教育；建立銀行內(nèi)部咨詢平臺， 為銀行各部門和員工提供

38、合規(guī)咨詢服務等。 合規(guī)管理部門作為銀行內(nèi)部合規(guī)風險管理的樞紐，通常也 是銀行與監(jiān)管者之間的基本連接點，在日常工作中還應發(fā)揮以 下職能： 1、促進合規(guī)文化的貫徹執(zhí)行和維護培育 2、提供合規(guī)培訓 3、就合規(guī)事務提出建議 4、與外部監(jiān)管部門保持溝通交流 5、違規(guī)問題處理 此外，合規(guī)部門需要履行的日常職能此外，合規(guī)部門需要履行的日常職能 識別與評估 rcsa/orap 關鍵合規(guī)風險 指標 kri 檢查評價 事件管理 nce 行動行動 計劃計劃 （四（四) )合規(guī)風險管理程序及主要工具合規(guī)風險管理程序及主要工具 所謂“合規(guī)風險識別”是指對銀行內(nèi)部合規(guī)風險的存在或發(fā)生的可能性以及合規(guī)風險 產(chǎn)生的原因等進行

39、分析判斷，并且通過收集和整理銀行所有的合規(guī)風險點開成合規(guī)風 險列表，以便進一步對合規(guī)風險進行評估和監(jiān)測等系統(tǒng)性活動。 合規(guī)風險識別是合規(guī)風險管理的第一個階段，是對合規(guī)風險的定性分析，也是整個合 規(guī)風險管理的基礎。 合規(guī)風險識別合規(guī)風險識別 啟動啟動 確認主要風險類型確認主要風險類型 針對具體管理辦法、作業(yè)針對具體管理辦法、作業(yè) 流程進行合規(guī)風險識別流程進行合規(guī)風險識別 確定對象和依據(jù)確定對象和依據(jù) 內(nèi)外規(guī) 風險類型樹 工作底稿 啟動啟動 開展自我評估研討會開展自我評估研討會 針對針對風險框架中列示的主風險框架中列示的主 要風險進行確認要風險進行確認 確定確定范圍和優(yōu)先級范圍和優(yōu)先級 風險框架

40、工作底稿 heat map自上而下nrsa自下而上 “合規(guī)風險評估和測試”是指在合規(guī)風險識別的基礎上，應用一定的方法估計和測定 發(fā)生因合規(guī)風險而可能導致法律制裁、監(jiān)管處罰、重大財務損失和聲譽損失等相關風 險損失概率和損失大小，以及對銀行整體運營產(chǎn)生影響的程度。 合規(guī)風險評估和監(jiān)測的目的在于確定合規(guī)風險對銀行影響的大小，以決定是否需要采 取應對措施加以監(jiān)控以及應對措施采取到何種程序最為適宜等重要問題。 合規(guī)風險評估和監(jiān)測合規(guī)風險評估和監(jiān)測 確認合規(guī)風險點確認合規(guī)風險點 發(fā)生的可能性發(fā)生的可能性 確認合規(guī)風險點發(fā)生時確認合規(guī)風險點發(fā)生時 造成的影響造成的影響 評定合規(guī)風險等級評定合規(guī)風險等級 繪制

41、風險熱力圖繪制風險熱力圖 可能性等級表 影響等級表 風險等級表 “紅色”狀態(tài)說明很可能發(fā)生損失，因此需要立即 采取措施 “黃色”狀態(tài)說明損失的可能性增高，必須給于特 別重視；同時在必要時必須采取措施 “綠色”狀態(tài)說明尚不需要采取特定的行動 “合規(guī)風險應對”是指在完成了對合規(guī)風險的分析評估之后， 根據(jù)合規(guī)風險的性質(zhì)、程序以及銀行對合規(guī)風險的承受能力， 確定應對策略即銀行的合規(guī)政策，并具體制定相應的合規(guī)風險 管理計劃和合規(guī)管理程序等。 合規(guī)風險應對合規(guī)風險應對 （一）加強合規(guī)制度建設 （二）積極開展合規(guī)理念及合規(guī)工作各項辦法的宣傳培訓 （三）有效開展合規(guī)檢查和督查工作，嚴格執(zhí)行合規(guī)風險報告制度 1

42、、認真開展合規(guī)檢查 2、根據(jù)審計檢查結果，開展合規(guī)督查工作 3、牽頭對外部監(jiān)管部門及內(nèi)部審計部門檢查、審計發(fā)現(xiàn)問題的整改工作 4、嚴格執(zhí)行合規(guī)風險事項報告制度，積極配合外部監(jiān)管部門檢查 “合規(guī)風險監(jiān)控”即合規(guī) 風險的監(jiān)測與控制，是指 持續(xù)追蹤已識別的合規(guī)風 險、監(jiān)測殘余的合規(guī)風險、 識別新的合規(guī)風險，并對 不可接受的合規(guī)風險實行 有效控制的過程。 合規(guī)風險監(jiān)控合規(guī)風險監(jiān)控 合規(guī)風險管理評價合規(guī)風險管理評價 4 合規(guī)評價：是指對商業(yè)銀行合規(guī)風險 管理體系建設、實施和運行結果獨立 開展的調(diào)查、測試、分析和評估等系 統(tǒng)性活動。 4 評價準則： 用作依據(jù)的一組方針、 程序或要求 4 評價證據(jù)：與評價準

43、則有關的并且能 夠證實的記錄、事實陳述或其他信息。 4 評價發(fā)現(xiàn)：將收集到的評價證據(jù)對照 評價準則進行評價的結果。 4 評價結論：評價小組考慮了評價目的 和所有評價發(fā)現(xiàn)后得出的評價結果。 評價證據(jù)評價準則 評價結論 評價目的評價發(fā)現(xiàn) “合規(guī)風險報告”主根是指合規(guī)管理部門等依照銀行內(nèi)部合規(guī)風險管理程序，并按規(guī) 定的報告路線，及時、全面、完整地向管理層提供定性和定量描述的銀行經(jīng)營過程中 所涉及的合規(guī)風險狀況的報告。 合規(guī)風險報告合規(guī)風險報告 發(fā)現(xiàn)風險事件 處理 匯總審查 匯總 匯總 日常監(jiān)測 是否權 限范圍 各級業(yè)務部門上級業(yè)務部門 上級風險管理部門總行高級管理層 發(fā)現(xiàn)風險事件 處理 匯總 日常監(jiān)

44、測 本級風險管理部門 隨著全球銀行業(yè)金融產(chǎn)品日趨復雜多樣，涉及領域不斷延展， 各家。依靠一套行之有效的合規(guī)風險管理it支持系統(tǒng)是解決難 題方式之一。 合規(guī)風險管理it支持系統(tǒng)是銀行根據(jù)產(chǎn)品和業(yè)務復雜程度建立 起來的一套適合自身發(fā)展需要的可以有效避免因沒有遵循法律、 規(guī)則和準則而遭受法律制裁、監(jiān)管處罰、重大財務損失和聲譽 損失的風險控制支持系統(tǒng)。 ( (五）建設合規(guī)風險管理信息系統(tǒng)五）建設合規(guī)風險管理信息系統(tǒng) 合規(guī)風險管理系統(tǒng)建設路徑合規(guī)風險管理系統(tǒng)建設路徑 合規(guī)風險管理系統(tǒng)主要功能合規(guī)風險管理系統(tǒng)主要功能 合規(guī)風險管理的主軸合規(guī)風險管理的主軸 中信銀行合規(guī)政策中信銀行合規(guī)政策 中信銀行合規(guī)工作

45、管理試行辦法中信銀行合規(guī)工作管理試行辦法 數(shù)據(jù)層數(shù)據(jù)層 關鍵風險指標檢測關鍵風險指標檢測 風險評估風險評估 風險識別風險識別 評價評價 合規(guī)問責合規(guī)問責 檢查檢查 合規(guī)培訓與教育合規(guī)培訓與教育 監(jiān)督監(jiān)督 合規(guī)性審核合規(guī)性審核 合規(guī)風險管理合規(guī)風險管理檢查與評價檢查與評價配套機制配套機制 機機 制制 層層 誠信舉報誠信舉報 合規(guī)工作考核合規(guī)工作考核 合規(guī)檔案合規(guī)檔案 合規(guī)風險評估報告合規(guī)風險評估報告 合規(guī)報告合規(guī)報告 合規(guī)計劃合規(guī)計劃 計劃與報告計劃與報告 合規(guī)風險應對合規(guī)風險應對 機制結構機制結構 機制結構：機制結構： 1.目的和范圍 機制文件編寫的目的和適用的范圍。 2.定義和縮寫 機制文件

46、涉及的定義及其縮寫。 3.基本規(guī)定 對機制文件的一些基本內(nèi)容作的規(guī)定 4.職責和權限 機制文件所定義的崗位職責和權限劃分。 5.流程和風險提示 機制的操作流程圖，流程要點說明和風險提示。 6.計算機系統(tǒng)支持 特指合規(guī)風險管理系統(tǒng)。 7.相關程序或規(guī)程 機制所應遵循的內(nèi)部制度或操作細則。 8.記錄表單 機制文件涉及的記錄表單。 新產(chǎn)品識別評估新產(chǎn)品識別評估 內(nèi)外規(guī)響應內(nèi)外規(guī)響應 合規(guī)問責合規(guī)問責 違規(guī)事件違規(guī)事件 識別評估識別評估 合規(guī)培訓合規(guī)培訓 指標監(jiān)測指標監(jiān)測 檢查評價檢查評價 合規(guī)報告合規(guī)報告 機制框架同監(jiān)管指引的關系機制框架同監(jiān)管指引的關系 高層合規(guī)合規(guī)管理部門職責 1、內(nèi)外規(guī)維護機制

47、 2、新產(chǎn)品合規(guī)識別評估機制 3、合規(guī)風險識別評估機制 4、合規(guī)檢查評價機制 5、關鍵合規(guī)指標監(jiān)控機制 6、違規(guī)事件報告機制 7、合規(guī)問責機制 8、合規(guī)培訓機制 機制清單 合規(guī)風險監(jiān)管 商業(yè)銀行合規(guī)風險管理指引-執(zhí)行層面要求 在評價怎樣的系統(tǒng)才是有效的合規(guī)風險管理it支持系統(tǒng)時，認 為有效的合規(guī)風險管理it支持系統(tǒng)應該是一套與銀行日常使用 的業(yè)務系統(tǒng)相連接，并能夠做到及時、準確地識別出違規(guī)問題 （無論是違反法律、規(guī)則、準則或是內(nèi)部規(guī)章制度），并通過 該系統(tǒng)將問題完整地反映給授權準許查看違規(guī)問題的用戶（該 項業(yè)務的上級主管、本級合規(guī)員和管理層用戶）的支持系統(tǒng)。 同時，該系統(tǒng)可以記錄授權用戶對違規(guī)

48、問題的處理意見，最終 形成違規(guī)問題處理報告記錄在系統(tǒng)數(shù)據(jù)庫中。 合規(guī)風險管理系統(tǒng)評價標準合規(guī)風險管理系統(tǒng)評價標準 1、對現(xiàn)行的法律、規(guī)則、準則和內(nèi)部規(guī)章制度進行梳理，并將整理后的規(guī)章制度存 入系統(tǒng)數(shù)據(jù)庫； 2、將業(yè)務依據(jù)流程順序編寫出業(yè)務流程，并將各項業(yè)務流程保存到系統(tǒng)數(shù)據(jù)庫； 3、將業(yè)務流程與內(nèi)外部的規(guī)章制度相銜接，并將內(nèi)外部規(guī)章制度對某項特定業(yè)務的 要求設置為該項業(yè)務通過的驗證條件； 4、設置用戶權限。該權限的設置必須保證當銀行的業(yè)務操作發(fā)生違規(guī)問題時，系統(tǒng) 將根據(jù)已設置的權限向特定用戶（該項業(yè)務的上級主管、本級合規(guī)員和管理層用戶） 報告違規(guī)問題。 5、特定用戶（該項業(yè)務的上級主管、本級合規(guī)員和管理層用戶）可以將違