銀行業(yè)金融機構(gòu)合規(guī)風險管理評估暫行辦法

1、銀行業(yè)金融機構(gòu)合規(guī)風險管理評估暫行辦法第一章 總 則第一條 為科學(xué)評價轄內(nèi)銀行業(yè)金融機構(gòu)（以下簡稱“銀行”）合規(guī)風險管理的有效性，依據(jù)商業(yè)銀行合規(guī)風險管理指引和銀行業(yè)金融機構(gòu)合規(guī)風險管理機制建設(shè)指導(dǎo)意見等相關(guān)規(guī)定，制定本辦法。第二條 本辦法適用于銀監(jiān)局轄區(qū)各類銀行業(yè)金融機構(gòu)，包括政策性銀行、國有商業(yè)銀行、郵政儲蓄銀行、股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村中小金融機構(gòu)等。金融資產(chǎn)管理公司、信托投資公司和財務(wù)公司等參照執(zhí)行。第三條 銀行合規(guī)風險管理評估的總體目標是，銀行通過適時有效開展合規(guī)風險管理評估工作，全面梳理自身合規(guī)風險管理狀況，及時解決合規(guī)缺陷和問題，持續(xù)改進和強化合規(guī)風險管理機制，不斷夯實

2、依法合規(guī)經(jīng)營和案件風險防控的堅實基礎(chǔ)。第四條 銀行合規(guī)風險管理評估的內(nèi)容主要包括合規(guī)機制建設(shè)情況、合規(guī)履職情況及合規(guī)管理效果等三個方面。第五條 銀行開展合規(guī)風險管理評估應(yīng)堅持依法、獨立、客觀、公正、公平的原則。第六條 銀行應(yīng)定期和不定期組織開展合規(guī)風險管理評估工作，并納入銀行合規(guī)風險管理計劃。銀行應(yīng)根據(jù)經(jīng)營規(guī)模、業(yè)務(wù)復(fù)雜程度、內(nèi)控風險狀況等，合理確定合規(guī)風險管理評估的重點、范圍和頻度，每年應(yīng)至少開展一次全面合規(guī)風險管理自我評估。對新實施的政策和程序、新產(chǎn)品和新業(yè)務(wù)的開發(fā)，新業(yè)務(wù)方式的拓展、新客戶關(guān)系的建立以及客戶關(guān)系的性質(zhì)發(fā)生重大變化等所產(chǎn)生的合規(guī)風險管理應(yīng)適時開展專項評估工作。第二章 評估程

3、序與要求第七條 銀行合規(guī)風險管理評估分為評估準備、評估實施、評估報告三個階段。第八條 評估準備階段。（一）銀行應(yīng)成立合規(guī)風險管理評估小組，小組成員應(yīng)當熟悉銀行業(yè)務(wù)，能夠正確理解與銀行有關(guān)的法律、規(guī)則和準則及對銀行經(jīng)營活動的影響。（二）銀行應(yīng)制定評估實施方案，明確評估目的、內(nèi)容、范圍、重點、要求等，全面收集評估期內(nèi)與合規(guī)風險管理相關(guān)的文件、工作記錄、有關(guān)數(shù)據(jù)等資料。（三）銀行可聘請外部機構(gòu)承擔部分內(nèi)容的評估工作，但銀行應(yīng)監(jiān)督其評估過程，確保其合規(guī)性，并承擔其評估結(jié)果及相關(guān)責任。第九條 評估實施階段。（一）評估小組應(yīng)通過查閱資料、現(xiàn)場詢問、符合性測試、問卷調(diào)查、合規(guī)檢查等方法，逐項對照評估內(nèi)容對相

4、關(guān)信息資料進行梳理、分析，審核各項政策和程序的合規(guī)性，測試法律、規(guī)則、準則在業(yè)務(wù)活動中的貫徹執(zhí)行情況，確認風險控制點和關(guān)鍵環(huán)節(jié)操作的合規(guī)性。（二）通過分析可能預(yù)示潛在合規(guī)問題的有關(guān)數(shù)據(jù)和運行指標（如消費者投訴的增長數(shù)、異常交易等），對潛在的合規(guī)缺陷和違規(guī)事項進行識別和確認。（三）評估小組應(yīng)詳細記錄評估過程和發(fā)現(xiàn)的相關(guān)問題，并作進一步分析核實和調(diào)查確認，最終做出客觀、準確的判斷。第十條 評估報告階段。（一）評估小組根據(jù)評估實施情況，在全面整理、深入分析基礎(chǔ)上，撰寫合規(guī)風險管理評估報告。評估報告包括但不限于以下內(nèi)容：評估工作組織開展情況、報告期內(nèi)合規(guī)風險管理狀況及變化、已識別的違規(guī)事件和合規(guī)缺陷、

5、已經(jīng)采取或建議采取的糾正措施等。（二）合規(guī)風險管理評估報告要準確定性和積極量化銀行因政策、制度、程序及客戶、產(chǎn)品、服務(wù)所引發(fā)的合規(guī)風險，以及特定機構(gòu)、部門、業(yè)務(wù)或經(jīng)營活動的風險暴露，形成對合規(guī)風險管理狀況的明確評估結(jié)果。第十一條 銀行應(yīng)以合規(guī)管理行為對應(yīng)的充分書面資料作為得出評估結(jié)論的適當證據(jù)。書面資料可包括正式發(fā)布的文件資料和非正式發(fā)布但經(jīng)有效程序?qū)徍苏J定的書面記錄或描述。第十二條 銀行應(yīng)加強合規(guī)風險管理評估工作的制度化、規(guī)范化建設(shè)，不斷完善合規(guī)風險管理評估方法與程序，著力提高銀行合規(guī)風險管理評估工作的有效性。第十三條 銀行應(yīng)加強識別、計量、監(jiān)測和評估合規(guī)風險的方法和途徑研究，探索建立合規(guī)風

6、險監(jiān)測指標體系和評估模型，做到科學(xué)評估銀行的合規(guī)風險。第三章 合規(guī)機制建設(shè)情況評估第十四條 合規(guī)機制建設(shè)情況評估包括合規(guī)風險管理組織體系構(gòu)建情況、合規(guī)管理制度建設(shè)情況兩個方面。第十五條 合規(guī)風險管理組織體系構(gòu)建情況，主要指合規(guī)部門設(shè)置、人員配備、職能分工、保障機制等情況。（一）是否按要求設(shè)立合規(guī)管理部門，包括根據(jù)要求設(shè)立相對獨立的合規(guī)部門或設(shè)置合規(guī)崗位。（二）合規(guī)管理部門是否配備充足和合格的合規(guī)管理人員，合規(guī)管理人員資質(zhì)、經(jīng)驗、專業(yè)技能、個人素質(zhì)是否與所履行的職責相匹配。（三）合規(guī)管理部門職能和負責人職責是否明確、清晰、完整，職責內(nèi)容設(shè)定是否符合監(jiān)管規(guī)定。（四）是否賦予合規(guī)管理部門和人員履職所

7、必需的權(quán)限和地位，包括但不限于以下方面：1是否享有與銀行任何員工進行溝通并獲取履職所需的任何記錄或檔案資料的權(quán)利；2是否有權(quán)對違反合規(guī)政策的事件進行調(diào)查，并可要求內(nèi)部相關(guān)部門進行協(xié)助；3合規(guī)管理負責人是否能獨立與銀行董（理）事會、高級管理層溝通，各級合規(guī)管理部門能否及時、通暢地反映合規(guī)問題和建議等。（五）是否明確和采取保證合規(guī)負責人和合規(guī)管理部門獨立性的各項措施，包括但不限于以下方面：1銀行合規(guī)管理職能是否與內(nèi)部審計職能做到分離；2合規(guī)負責人和合規(guī)管理人員的合規(guī)管理職責與其承擔的任何其他職責之間是否存在可能的利益沖突；3合規(guī)管理部門及其工作人員是否承擔經(jīng)營性考核指標任務(wù)；4合規(guī)部門職員的薪酬是

8、否與其履行合規(guī)職責的業(yè)務(wù)條線的盈虧狀況相掛鉤；5合規(guī)負責人是否分管業(yè)務(wù)條線等。（六）是否明確合規(guī)風險報告的路線，是否包括銀行業(yè)務(wù)部門向合規(guī)部門、各級合規(guī)部門向上級合規(guī)部門、合規(guī)部門向高級管理層、法人機構(gòu)高管層向董事會等報告合規(guī)風險的路線；是否明確合規(guī)風險報告所涉及人員的職責，是否明確報告要素、格式和頻率等。第十六條 合規(guī)管理制度體系建設(shè)情況，主要指合規(guī)管理政策、合規(guī)風險識別管理流程、合規(guī)問責、考核制度等建設(shè)及適時修訂完善情況。（一）是否制定書面的合規(guī)政策，內(nèi)容是否符合監(jiān)管規(guī)定；對總行和地區(qū)總部未制定有關(guān)合規(guī)政策和程序的，轄內(nèi)銀行高級管理層是否制定本機構(gòu)合規(guī)制度和操作規(guī)程。是否根據(jù)銀行業(yè)務(wù)發(fā)展變

9、化、合規(guī)風險管理狀況以及法律、規(guī)則和準則的變化情況適時修訂合規(guī)政策或合規(guī)制度等。（二）是否制定合規(guī)管理程序以及合規(guī)手冊、員工行為準則等合規(guī)指南，是否明確合規(guī)風險識別管理流程；是否不斷評估合規(guī)管理程序和合規(guī)指南的適當性，及時進行完善改進。（三）是否建立合規(guī)風險管理考核制度，是否將合規(guī)風險管理情況作為銀行各部門、業(yè)務(wù)條線和分支機構(gòu)考核評價管理人員工作業(yè)績的重要依據(jù)。（四）是否建立合規(guī)問責制度，是否體現(xiàn)按不同違規(guī)情節(jié)分別規(guī)定不同處理措施的原則，是否對主動報告和隱瞞不報的情形分別規(guī)定相應(yīng)減輕或加重措施。（五）是否建立誠信舉報制度，是否體現(xiàn)鼓勵舉報的原則，是否規(guī)定保護舉報人的相關(guān)措施。（六）是否建立符合

10、合規(guī)理念的經(jīng)營績效考核制度體系，經(jīng)營績效考核指標是否體現(xiàn)倡導(dǎo)合規(guī)、懲戒違規(guī)的價值理念和導(dǎo)向作用，是否存在鼓勵違規(guī)、誘發(fā)風險的經(jīng)營考核指標。第四章 合規(guī)履職情況評估第十七條 合規(guī)履職情況評估包括對銀行高層合規(guī)職責落實情況、銀行合規(guī)管理部門職責落實情況、業(yè)務(wù)條線合規(guī)職責落實情況三個方面。第十八條 銀行高層的合規(guī)職責落實情況，主要指董事會對機構(gòu)合規(guī)性負最終責任職責、高級管理層有效管理合規(guī)風險職責和監(jiān)事會監(jiān)督合規(guī)管理職責落實情況等。（一）董事會是否對本行的合規(guī)政策進行審議批準；是否根據(jù)銀行風險戰(zhàn)略、組織結(jié)構(gòu)及資產(chǎn)規(guī)模批準設(shè)立相應(yīng)的合規(guī)部門；是否授權(quán)或?qū)ｉT設(shè)立有關(guān)組織對商業(yè)銀行合規(guī)風險管理進行日常監(jiān)督。

11、（二）董事會和高級管理層是否主動監(jiān)督合規(guī)政策實施，是如何具體開展或采取何種形式來有效履行監(jiān)督職責的。（三）董事會是否審議批準高級管理層提交的合規(guī)風險管理報告，是否至少每年評估一次銀行合規(guī)風險管理的有效程度；高級管理層是否至少每年評估一次銀行所面臨的主要合規(guī)風險，是否至少每年一次向董事會提交合規(guī)風險管理報告。（四）高級管理層是否按程序確定合規(guī)負責人，是否確保合規(guī)負責人獨立地推動各項措施的落實；是否就合規(guī)負責人就職或離任情況組織向當?shù)乇O(jiān)管部門備案。（五）高級管理層是否審議批準并督促落實合規(guī)部門提交的合規(guī)風險管理計劃；是否及時向董事會或其下設(shè)委員會、監(jiān)事會報告任何重大違規(guī)事件。（六）監(jiān)事會是否主動監(jiān)

12、督董事會和高級管理層合規(guī)管理職責的履行情況，具體是如何開展或采取何種形式來有效履行監(jiān)督職責的，是否留存監(jiān)督過程和結(jié)果的有關(guān)書面記錄。第十九條 銀行合規(guī)管理部門職責落實情況，主要指合規(guī)管理部門協(xié)助高級管理層，通過制定合規(guī)方案和建立合規(guī)風險報告路線等，有效識別和管理合規(guī)風險的情況。（一）是否制定合規(guī)風險管理計劃或合規(guī)方案，內(nèi)容是否符合監(jiān)管規(guī)定，是否按計劃開展合規(guī)風險管理工作；合規(guī)負責人是否監(jiān)督合規(guī)管理部門根據(jù)合規(guī)風險管理計劃履行職責。（二）是否組織審核評價銀行各項政策、程序和操作指南的合規(guī)性，是否組織、協(xié)調(diào)和督促各業(yè)務(wù)條線和內(nèi)部控制部門及時梳理整合和修訂銀行的規(guī)章制度和操作規(guī)程，確保各項政策、程序

13、和操作指南符合法律、法規(guī)和準則要求。（三）是否主動識別、監(jiān)測和評估與銀行經(jīng)營活動相關(guān)的合規(guī)風險，包括但不限于以下方面：1是否為新產(chǎn)品和新業(yè)務(wù)的開發(fā)提供必要的合規(guī)性審核和測試；2是否識別和評估新業(yè)務(wù)方式的拓展、新客戶關(guān)系的建立以及客戶關(guān)系的性質(zhì)發(fā)生重大變化等所產(chǎn)生的合規(guī)風險等。（四）是否組織收集、篩選可能預(yù)示潛在合規(guī)問題的數(shù)據(jù)，是否建立合規(guī)風險監(jiān)測指標，是否運用有效方法衡量合規(guī)風險發(fā)生的可能性和影響并確定合規(guī)風險的優(yōu)先考慮序列。（五）是否對合規(guī)性測試的結(jié)果按照內(nèi)部風險管理程序，通過合規(guī)風險報告路線向上報告；是否定期向高級管理層提交合規(guī)風險評估報告，報告要素是否符合監(jiān)管規(guī)定。第二十條 業(yè)務(wù)條線合規(guī)

14、職責落實情況，主要指業(yè)務(wù)條線對本條線經(jīng)營活動的合規(guī)性負首要責任，主動識別和管理合規(guī)風險的情況。（一）是否組織對本條線相關(guān)的各項政策、程序和操作指南進行梳理和修訂，使其符合法律、規(guī)則和準則的要求。（二）是否主動開展日常和定期的條線合規(guī)自查，并向合規(guī)管理部門提供合規(guī)風險信息和風險點。（三）是否根據(jù)合規(guī)管理程序主動識別和管理條線合規(guī)風險，是否按合規(guī)風險報告的路線和相關(guān)要求及時報告。第五章 合規(guī)管理效果評估第二十一條 合規(guī)管理效果評估包括對監(jiān)管法規(guī)及內(nèi)控制度傳導(dǎo)機制建設(shè)和運行情況、經(jīng)營活動合規(guī)性日常監(jiān)督保障機制建設(shè)和運行情況、合規(guī)文化建設(shè)情況三個方面。第二十二條 監(jiān)管法規(guī)及內(nèi)控制度傳導(dǎo)機制建設(shè)和運行情

15、況，主要指傳導(dǎo)機制建設(shè)、合規(guī)培訓(xùn)和與監(jiān)管部門的有效互動等情況。（一）是否建立監(jiān)管法規(guī)傳導(dǎo)機制，是否通過有效途徑持續(xù)關(guān)注法律、規(guī)則和準則的最新發(fā)展，準確把握法律、規(guī)則和準則對銀行經(jīng)營的影響，是否及時將監(jiān)管審慎規(guī)章轉(zhuǎn)化為銀行內(nèi)部業(yè)務(wù)制度。（二）是否建立內(nèi)控制度傳導(dǎo)機制，是否通過有效途徑使銀行合規(guī)理念、合規(guī)政策、管理程序和操作指南等得以在內(nèi)部充分傳遞傳播，為員工恰當執(zhí)行法律、規(guī)則和準則提供保障。（三）銀行是否定期為合規(guī)人員提供系統(tǒng)的合規(guī)規(guī)則和專業(yè)技能培訓(xùn)，培訓(xùn)內(nèi)容是否突出對法律、規(guī)則和準則的最新發(fā)展及其對商業(yè)銀行經(jīng)營影響的正確把握。（四）合規(guī)部門是否協(xié)助相關(guān)教育培訓(xùn)部門對員工進行合規(guī)培訓(xùn)，培訓(xùn)范圍是

16、否包括對所有員工的定期合規(guī)培訓(xùn)，以及新入、轉(zhuǎn)崗等類員工的適時合規(guī)培訓(xùn)。（五）合規(guī)部門是否采取有效形式保持與監(jiān)管機構(gòu)日常的工作聯(lián)系；是否向監(jiān)管部門定期報告合規(guī)風險管理事項，應(yīng)報告事項有無遺漏；是否跟蹤和評估監(jiān)管意見和監(jiān)管要求的落實情況。第二十三條 經(jīng)營活動合規(guī)性日常監(jiān)督保障機制建設(shè)和運行情況，主要指監(jiān)督保障機制建立、監(jiān)督工作開展、違規(guī)責任追究、風險防控和內(nèi)審部門獨立評價等方面。（一）是否建立經(jīng)營活動合規(guī)性日常監(jiān)督保障機制，是否針對經(jīng)營管理和業(yè)務(wù)操作建立日常合規(guī)檢查制度和糾正機制；銀行管理信息系統(tǒng)是否設(shè)立相應(yīng)的合規(guī)風險監(jiān)測指標，為合規(guī)部門和業(yè)務(wù)條線實施監(jiān)測提供技術(shù)支持。（二）是否開展經(jīng)營活動合規(guī)性

17、日常監(jiān)督工作；經(jīng)營活動是否存在與法律、規(guī)則和準則要求不一致情況，包括有章不循、管理違規(guī)和操作違規(guī)等問題。（三）對各類監(jiān)督檢查、監(jiān)管檢查發(fā)現(xiàn)的合規(guī)缺陷和違規(guī)事件是否及時采取適當?shù)募m正措施，各項整糾措施是否及時落實，合規(guī)缺陷和問題是否得到有效彌補和糾正。（四）是否按照合規(guī)問責制度和程序嚴格對違規(guī)行為進行責任認定與追究，責任追究措施是否落實到位。（五）對發(fā)生操作風險或案件的，是否認真調(diào)查分析其主要原因，并在系統(tǒng)內(nèi)進行了全面整改和補救。（六）對監(jiān)管部門通報的操作風險案件，是否在轄內(nèi)傳達并采取有效的防范措施，有無本機構(gòu)已發(fā)生或監(jiān)管部門已通報同類型案件又發(fā)生情況。（七）是否持續(xù)查找并揭示操作風險管理和案件

18、防控的主要風險點或薄弱環(huán)節(jié)，是否針對風險點或薄弱環(huán)節(jié)實施有效的管控措施。（八）合規(guī)部門管理合規(guī)風險的情況是否受到獨立的審計；是否按內(nèi)部責任追究辦法，對審計中發(fā)現(xiàn)的合規(guī)風險管理失職問題進行問責。第二十四條 合規(guī)文化建設(shè)效果情況，主要指合規(guī)文化機制建立、合規(guī)理念傳播和合規(guī)文化活動開展情況等。（一）是否建立合規(guī)文化創(chuàng)建機制，是否有效組織開展合規(guī)文化建設(shè)活動，是否將合規(guī)文化建設(shè)納入到企業(yè)文化建設(shè)過程。（二）董事會和高級管理層確定的合規(guī)基調(diào)是否與監(jiān)管要求保持一致；合規(guī)從高層做起是如何體現(xiàn)的，是否建立相應(yīng)的實施保障機制。（三）銀行是如何在全行推行全員合規(guī)、主動合規(guī)、合規(guī)創(chuàng)造價值等合規(guī)理念的，是采取哪些有效形式、運用哪些有效載體進行展現(xiàn)和傳播的。第六章 評估結(jié)果的運用第二十五條 銀行應(yīng)充分利用合規(guī)風險管理評估成果，持續(xù)完善合規(guī)管理機制。銀行董事會和高級管理層應(yīng)認真研究評估報告提出的改進建議，相關(guān)責任部門應(yīng)落實整改措施，合規(guī)部門應(yīng)做到持續(xù)關(guān)注。第二十六條 合規(guī)管理部門應(yīng)以評估結(jié)果為導(dǎo)向，研究確定下一步合規(guī)