|
合規(guī)與銀行內部合規(guī)部門
巴塞爾銀行監(jiān)管委員會
2005年4月29日
引言1、巴塞爾銀行監(jiān)管委員會(以下簡稱“委員會”)一直關注銀行監(jiān)管問題和促進銀行業(yè)機構的穩(wěn)健經(jīng)營的做法。作為其持續(xù)努力的一部分,委員會就合規(guī)風險與銀行內部合規(guī)部門發(fā)布本文件。為滿足監(jiān)管機構的監(jiān)管要求,銀行必須遵循有效的合規(guī)政策和程序,在發(fā)現(xiàn)違規(guī)情況時,銀行管理層能夠采取適當措施予以糾正。2、合規(guī)應從高層做起。當企業(yè)文化強調誠信與正直,并且董事會和高級管理層作出表率,合規(guī)才最為有效。合規(guī)與銀行內部的每一位員工都相關,應被視為銀行經(jīng)營活動的組成部分。銀行在開展業(yè)務時應堅持高標準,并始終力求遵循法律的規(guī)定與精神。如果銀行疏于考慮經(jīng)營行為對股東、客戶、雇員和市場的影響,即使沒有違反任何法律,也可能會導致嚴重的負面影響和聲譽損失。3、本文件所稱“合規(guī)風險”是指,銀行因未能遵循法律、監(jiān)管規(guī)定、規(guī)則、自律性組織制定的有關準則,以及適用于銀行自身業(yè)務活動的行為準則(以下統(tǒng)稱“合規(guī)法律、規(guī)則和準則”)而可能遭受法律制裁或監(jiān)管處罰、重大財務損失或聲譽損失的風險。4、合規(guī)法律、規(guī)則和準則通常涉及如下內容:遵守適當?shù)氖袌鲂袨闇蕜t,管理利益沖突,公平對待消費者,確保客戶咨詢的適宜性等。同時,還特別包括一些特定領域,如反洗錢和反恐怖融資,也可能擴展至與銀行產(chǎn)品結構或客戶咨詢相關的稅收方面的法律。如果一家銀行故意參與客戶用以規(guī)避監(jiān)管或財務報告要求、逃避納稅義務等的交易或為其違法行為提供便利,該銀行將面臨嚴重的合規(guī)風險。5、合規(guī)法律、規(guī)則和準則有多種淵源,包括立法機構和監(jiān)管機構發(fā)布的基本的法律、規(guī)則和準則;市場慣例;行業(yè)協(xié)會制定的行業(yè)規(guī)則以及適用于銀行職員的內部行為準則等。基于上述理由,合規(guī)法律、規(guī)則和準則不僅包括那些具有法律約束力的文件,還包括更廣義的誠實守信和道德行為的準則。6、合規(guī)應成為銀行文化的一部分。合規(guī)并不只是專業(yè)合規(guī)人員的責任。盡管如此,如果一家銀行設有符合下述“合規(guī)部門原則”的合規(guī)部門,該銀行將能更有效地管理合規(guī)風險。本文件所稱“合規(guī)部門”是指履行合規(guī)職責的職員,并不特指某一特定的組織架構。7、關于銀行合規(guī)部門的組織方式,各銀行之間存在著重大差異。在規(guī)模較大的銀行,合規(guī)人員可能位于各營運業(yè)務線,有些國際活躍銀行可能還設有集團合規(guī)官和當?shù)睾弦?guī)官。在規(guī)模較小的銀行,合規(guī)部門的職員可能被放在一個部門。有些銀行還為數(shù)據(jù)保護、反洗錢及反恐怖融資等專業(yè)領域設立了單獨的部門。8、一家銀行應該以與自身風險管理戰(zhàn)略和組織結構相吻合的方式組織合規(guī)部門,并為合規(guī)風險管理設定優(yōu)先考慮的事項。例如,考慮到合規(guī)風險與操作風險的某些方面有著密切的關系,一些銀行希望在操作風險部門內組建合規(guī)部門,其他銀行則更愿意分設合規(guī)部門和操作風險部門,但銀行要建立兩個部門之間在合規(guī)事務方面密切合作的機制。9、不論一家銀行如何組織其合規(guī)部門,該合規(guī)部門都應該是獨立的,并有足夠的資源支持。合規(guī)部門的職責應有明確的規(guī)定,內部審計部門應定期、獨立地審查合規(guī)部門的工作。以下的原則5至原則8進一步闡明了這些高級原則,并在各原則之下闡釋了與這些原則有關的穩(wěn)健做法。各家銀行可自行決定實施這些原則的最佳方式,但這些原則應適用于所有銀行。銀行也可采用有別于本文件的做法,只要這些做法是穩(wěn)健的,并能從總體上表明該銀行的合規(guī)部門的有效性。以何種方式實施這些原則將取決于多種因素,如銀行的規(guī)模、業(yè)務的性質、經(jīng)營的復雜程度和業(yè)務的區(qū)域分布,以及銀行營業(yè)所在地的法律框架和監(jiān)管框架。例如,一些規(guī)模較小的銀行要完全實施本文件所建議的一些特定措施,也許并不可行,但該銀行可能會采取能達到同樣效果的其他措施。10、在提出有關原則時,本文件假定公司治理結構是由董事會和高級管理層組成。至于董事會和高級管理層的職能,不同的國家、不同類型的經(jīng)濟實體有不同的法律框架與監(jiān)管框架。因此,銀行在適用本文件所闡述的原則時,應依據(jù)其所在的國家和具體經(jīng)濟實體的公司治理結構。[i]11、本文件所稱“銀行”主要是指銀行、銀行集團和附屬機構主要是銀行的控股公司等。12、在理解本文件時,應參閱委員會制訂的其他相關文件。這些文件包括:
━━《銀行機構的內部控制體系框架》(1998年9月);
━━《健全銀行的公司治理》(1999年9月);
━━ 《銀行內部審計和監(jiān)管當局與審計人員的關系》(2001年8月);
━━《銀行客戶盡職調查》(2001年10月);
━━《操作風險管理與監(jiān)管的穩(wěn)健做法》(2003年2月);━━《統(tǒng)一資本計量與資本標準的國際協(xié)議-修訂框架》(2004年6月);━━《KYC風險統(tǒng)一管理》(2004年10月)。13、本文件在闡述銀行合規(guī)部門應采用的原則之前,首先闡明了銀行董事會和高級管理層在合規(guī)方面的特定職責。董事會在合規(guī)方面的職責
原則1:銀行董事會負責監(jiān)督銀行的合規(guī)風險管理。董事會應該審批銀行的合規(guī)政策,包括一份組建常設的、有效的合規(guī)部門的正式文件。董事會或董事會下設的委員會應該對銀行有效管理合規(guī)風險的情況每年至少進行一次評估。
14、如引言所述,銀行董事會應在全行推行誠信與正直的價值觀念,只有這樣,銀行的合規(guī)政策才能得以有效實施。遵循適用法律、規(guī)則和準則應視為實現(xiàn)上述目標的一條基本途徑。與其他類別的風險一樣,董事會有責任確保銀行制定適當政策以有效管理銀行的合規(guī)風險。董事會還應監(jiān)督合規(guī)政策的實施,包括確保合規(guī)問題都由高級管理層在合規(guī)部門的協(xié)助下得到迅速有效的解決。當然,董事會也可能將這些任務委托給適當?shù)亩聲略O的委員會(如審計委員會)。高級管理層在合規(guī)方面的職責
原則2:銀行高級管理層負責銀行合規(guī)風險的有效管理。
15、 以下兩項原則闡明了該一般性原則里最為重要的各項因素。
原則3:銀行高級管理層負責制定和傳達合規(guī)政策,確保該合規(guī)政策得以遵守,并向董事會報告銀行合規(guī)風險管理。
16、銀行高級管理層負責制定一份書面的合規(guī)政策。該合規(guī)政策應包含管理層和員工應遵守的基本原則,并要說明全行上下用以識別和管理合規(guī)風險的主要程序。區(qū)分全體員工都要遵守的一般性準則與只適用于特定員工群體的規(guī)則,將有助于增加政策的清晰度和透明度。17、高級管理層有職責確保合規(guī)政策得以遵守,包括發(fā)現(xiàn)違規(guī)問題時采取適當?shù)难a救方法或懲戒措施。18、在合規(guī)部門的協(xié)助下,高級管理層應該:━━每年至少一次識別和評估銀行所面臨的主要合規(guī)風險問題以及管理這些合規(guī)風險問題的計劃。這些計劃涉及對現(xiàn)行合規(guī)風險管理中政策上的、程序上的、實施或執(zhí)行中的任何缺陷進行處理,并針對年度合規(guī)風險評估中發(fā)現(xiàn)的新的合規(guī)風險,對政策或程序進行補充。━━每年至少一次就銀行的合規(guī)風險管理向董事會或董事會下設的委員會報告,此報告應能夠有助于董事會成員就銀行是否有效管理合規(guī)風險問題作出有充分依據(jù)的判斷。
━━及時向董事會或董事會下設的委員會報告重大違規(guī)情況(例如,可能會導致法律制裁或監(jiān)管處罰、重大財務損失或聲譽損失等重大風險的違規(guī)情況)。
原則4:銀行合規(guī)政策要求高級管理層負責組建一個常設和有效的銀行內部合規(guī)部門。
19、高級管理層應采取必要的措施,確保銀行建立一個常設的、有效的并符合以下原則的合規(guī)部門。
合規(guī)部門原則
原則5:獨立性
銀行的合規(guī)部門應該是獨立的。
20、獨立性的概念包含四個相關要素。第一,合規(guī)部門應在銀行內部享有正式地位。第二,應由一名集團合規(guī)官或合規(guī)負責人全面負責協(xié)調銀行的合規(guī)風險管理。第三,在合規(guī)部門職員特別是合規(guī)負責人的職位安排上,應避免他們的合規(guī)職責與其所承擔的其他職責產(chǎn)生利益沖突。第四,合規(guī)部門職員為履行職責,應能夠獲取必需的信息并能接觸到相關人員。21、獨立性并不意味著合規(guī)部門不能與其它業(yè)務單元的管理層和職員共同工作。實際上,合規(guī)部門與其它業(yè)務單元之間相互合作的工作關系將有助于早期識別和管理合規(guī)風險。然而,不論合規(guī)部門與其它業(yè)務單元之間的工作關系如何緊密,下述各要素都應被視為有助于確保合規(guī)部門有效性的保障措施。實施這些保障措施的方式在一定程度上取決于各個合規(guī)部門職員的具體職責。地位22、合規(guī)部門應該在銀行內部享有正式的地位,以使其具有適當?shù)亩ㄎ弧⑹跈嗉蔼毩⑿浴_@可能在銀行的合規(guī)政策或其他正式文件中予以規(guī)定。該文件應該傳達給銀行所有職員。23、以下與合規(guī)部門有關的事項應在該文件中予以規(guī)定:━━合規(guī)部門的功能和職責;━━確保合規(guī)部門獨立性的各項措施;━━合規(guī)部門與銀行其他風險管理部門和內部審計部門的關系;━━在合規(guī)職責由不同部門職員履行的情況下,這些職責如何在部門間進行分配;━━合規(guī)部門為履行其職責而獲取必要信息的權利,以及在提供這些信息方面銀行職員有給予合作的相應責任;━━合規(guī)部門對可能違反合規(guī)政策的事件進行調查,以及在適當情況下委托外部專家進行調查的權利;━━合規(guī)部門向高級管理層,必要時,向董事會或董事會下設的委員會自由陳述和披露其調查結果的權利;━━合規(guī)部門向高級管理層正式報告的義務;━━合規(guī)部門直接與董事會或董事會下設的委員會溝通的權利。合規(guī)負責人24、每家銀行應該有一位執(zhí)行官或高級職員全面負責協(xié)調銀行合規(guī)風險的識別和管理,以及監(jiān)督其他合規(guī)部門職員的工作。本文件使用“合規(guī)負責人”這一稱謂來描述該職位[ii]。25、履行合規(guī)職責的職員與合規(guī)負責人之間報告路線的性質或其他職能關系,將取決于該銀行合規(guī)部門的組織方式。各營運業(yè)務單元或各地附屬機構的合規(guī)部門職員可能有一條向營運業(yè)務單元管理層或當?shù)毓芾韺訄蟾娴穆肪,只要該職員還有一條就其合規(guī)職責向合規(guī)負責人報告的路線,這種做法就不應被排斥。如果合規(guī)部門職員位于各個獨立的支持部門(如法律部、財務控制部和風險管理部等),則沒有必要為其另設一條向合規(guī)負責人報告的路線。但是,這些部門應該與合規(guī)負責人密切合作,以確保合規(guī)負責人能夠有效地履行其職責。26、合規(guī)負責人未必一定是高級管理層成員。如果合規(guī)負責人為高級管理層成員,他不應直接負責銀行業(yè)務線。如果合規(guī)負責人不是高級管理層成員,他應有一條向不直接負責業(yè)務線的高級管理層成員直接報告的路線。27、合規(guī)負責人就職或離任,以及離任理由,應告知銀行監(jiān)管機構和董事會。對于設有當?shù)睾弦?guī)官的國際性活躍銀行,該合規(guī)負責人在到任或離任時,同樣應告知東道國的監(jiān)管機構。利益沖突28、如果合規(guī)負責人和承擔合規(guī)職責的其他職員的職位安排會使他們的合規(guī)職責與其他職責之間產(chǎn)生現(xiàn)實或是潛在的沖突,他們的獨立性就有可能被削弱。委員會傾向于合規(guī)部門職員僅履行合規(guī)職責。但是,委員會認識到,在規(guī)模較小的銀行、規(guī)模較小的業(yè)務單元或當?shù)馗綄贆C構中,這也許并不可行。因此,在此情況下,合規(guī)部門職員可能從事合規(guī)以外的工作,前提是能夠避免潛在的利益沖突。29、如果合規(guī)部門職員的薪酬與其履行合規(guī)職責的業(yè)務線的盈虧狀況相掛鉤,他們的獨立性也有可能被削弱。但是,將合規(guī)部門職員的薪酬與整個銀行的盈虧狀況相掛鉤通常是可以接受的。信息獲取和人員接觸30、合規(guī)部門應該享有與銀行任何員工進行溝通,并獲取便于其履行職責所需的任何記錄或檔案材料的自主權。31、合規(guī)部門應該能夠自主地對銀行內部所有可能存在合規(guī)風險的部門履行風險管理的職責。合規(guī)部門應該有權對可能違反合規(guī)政策的事件進行調查,并在適當情況下請求銀行內部專業(yè)人員(如法律或內部審計人員)的協(xié)助,或外聘專業(yè)人士履行該職責。32、對于調查所發(fā)現(xiàn)的任何異常情況或可能的違規(guī)行為,合規(guī)部門應隨時向高級管理層報告,而不用擔心來自管理層或其他員工的報復或冷遇。雖然合規(guī)部門通常的報告路線應該是向高級管理層報告,但在必要情況下,還應有權繞開通常的報告路線,直接向董事會或董事會下設的委員會報告。此外,董事會或董事會下設的委員會每年至少一次與合規(guī)負責人進行面談也是有益的,這將有助于董事會或董事會下設的委員會評估銀行有效管理合規(guī)風險的程度。
原則6:資源
銀行合規(guī)部門應該配備能有效履行職責的資源。
33、為合規(guī)部門提供的資源應該是充分和適當?shù)模源_保銀行內部合規(guī)風險的有效管理。特別是,合規(guī)部門職員應該具備必要的資質、經(jīng)驗、專業(yè)水準和個人素質,以使他們能夠履行特定職責。合規(guī)部門職員應該能正確理解合規(guī)法律、規(guī)則和準則及其對銀行經(jīng)營的實際影響。合規(guī)部門職員的專業(yè)技能,尤其是在把握合規(guī)法律、規(guī)則和準則的最新發(fā)展方面的技能,應通過定期和系統(tǒng)的教育和培訓得到維持。
原則7:合規(guī)部門職責
銀行合規(guī)部門的職責應該是協(xié)助高級管理層有效管理銀行面臨的合規(guī)風險。銀行合規(guī)部門的具體職責如下所述。如果其中的某些職責是由不同部門的職員履行,那么每個部門的職責應該界定清楚。
34、合規(guī)職責未必都由“合規(guī)部”或“合規(guī)處”承擔。合規(guī)職責可能由不同部門的職員履行。例如,有些銀行分設法律部門和合規(guī)部門。法律部門負責就合規(guī)法律、規(guī)則和準則向管理層提出建議,并為員工制訂指引;而合規(guī)部門則負責監(jiān)測合規(guī)政策和程序的遵守情況,并向管理層報告。有些銀行,合規(guī)部門的部分職責可能由操作風險小組承擔,或是由更為綜合的風險管理小組承擔。如果這些部門之間存在職責分工,那么每個部門的職責都應該界定清楚。在各部門之間以及各部門與合規(guī)負責人之間應存在一種適當?shù)暮献鳈C制(例如,相關意見和信息的提供和交流等)。這些機制應該是充分的,以確保合規(guī)負責人能夠有效地履行職責。建議35、合規(guī)部門應該就合規(guī)法律、規(guī)則和準則向高級管理層提出建議,包括隨時向高級管理層報告該領域的發(fā)展情況。指導與教育36、合規(guī)部門應該協(xié)助高級管理層:━━就合規(guī)問題對員工進行教育,并成為銀行員工咨詢有關合規(guī)問題的內部聯(lián)絡部門;━━就合規(guī)法律、規(guī)則和準則的恰當執(zhí)行,通過政策、程序以及諸如合規(guī)手冊、內部行為準則和各項操作指引等其他文件,為員工制定書面指引。合規(guī)風險的識別、量化和評估37、合規(guī)部門應該積極主動地識別、書面說明和評估與銀行經(jīng)營活動相關的合規(guī)風險,包括新產(chǎn)品和新業(yè)務的開發(fā),新業(yè)務方式的拓展,新客戶關系的建立,或者這種客戶關系的性質發(fā)生重大變化所產(chǎn)生的合規(guī)風險等。如果該銀行設有新產(chǎn)品委員會,該委員會內應有合規(guī)部門職員代表。38、合規(guī)部門還應考慮各種量化合規(guī)風險的方法(例如,應用評價指標等),并運用這些計量方法加強合規(guī)風險的評估。評價指標可借助技術工具,通過收集或篩選可能預示潛在合規(guī)問題的數(shù)據(jù)(例如,消費者投訴的增長數(shù)、異常的交易或支付活動等)的方式來設計。39、合規(guī)部門應該評估銀行各項合規(guī)程序和指引的適當性,立即深入調查任何已識別的缺陷,如有必要,系統(tǒng)地提出修改建議。監(jiān)測、測試和報告40、合規(guī)部門應該通過實施充分和有代表性的合規(guī)測試對合規(guī)進行監(jiān)測和測試。合規(guī)測試的結果應依照銀行內部風險管理程序,通過合規(guī)部門報告路線向上級報告。41、合規(guī)負責人應定期就合規(guī)事項向高級管理層報告。這些報告應涉及:報告期內所進行的合規(guī)風險評估,包括基于運用諸如評價指標的相關計量方法所反映的合規(guī)風險狀況的任何變化;概述所有已識別的違規(guī)問題和(或)缺陷,以及所建議的糾正措施;已經(jīng)采取的各項糾正措施。該報告的格式應與銀行的合規(guī)風險狀況和各項合規(guī)活動相匹配。法定責任和聯(lián)絡42、合規(guī)部門可能承擔特定的法定職責(例如,承擔反洗錢人員的職責等)。合規(guī)部門也可能與銀行外部相關人員保持聯(lián)絡,包括監(jiān)管者、準則制定者以及外部專家等。合規(guī)方案43、合規(guī)部門應根據(jù)合規(guī)方案履行其職責,該方案確定了合規(guī)部門的行動計劃,如具體政策和程序的實施與評審,合規(guī)風險評估,合規(guī)測試,以及就合規(guī)事項對銀行職員進行教育等。合規(guī)方案應以風險為本,并受到合規(guī)負責人的監(jiān)督,以確保對不同業(yè)務單元的適當覆蓋以及各風險管理部門之間的協(xié)調。
原則8:與內部審計的關系
合規(guī)部門的工作范圍和廣度應受到內部審計部門的定期復查。
44、內部審計部門的風險評估方法應包括對合規(guī)風險的評估,并應制定一份包含合規(guī)部門適當性和有效性的審計方案,包括與認定的風險水平相匹配的控制測試。45、本原則表明,合規(guī)部門應與審計部門分離,以確保合規(guī)部門的各項工作受到獨立的復查。因此,重要的是,在銀行內部對于兩個部門之間如何劃分風險評估和測試活動應有清晰的認識,并用文件形式(如銀行的合規(guī)政策或諸如備忘錄等相關文件)予以規(guī)定。當然,審計部門應該將與合規(guī)有關的任何審計調查結果隨時告知合規(guī)負責人。
其他事項:
原則9:跨境問題
銀行應該遵守所有開展業(yè)務所在國家或地區(qū)的適用法律和監(jiān)管規(guī)定,合規(guī)部門的組織方式和結構以及合規(guī)部門的職責應符合當?shù)氐姆珊捅O(jiān)管要求。
46、銀行可能通過當?shù)氐母綄贆C構、分行或在銀行沒有實體機構的國家或地區(qū)開展國際業(yè)務。法律和監(jiān)管要求在不同國家或地區(qū)可能有所不同,也可能因銀行開展的業(yè)務種類或所在地實體機構的形式不同而有所差異。47、選擇在特定國家和地區(qū)開展業(yè)務的銀行應該遵守當?shù)氐姆珊捅O(jiān)管規(guī)定。例如,以附屬機構形式營業(yè)的銀行必須符合東道國的法律和監(jiān)管要求。有些國家或地區(qū)可能對外國銀行的分行有特定要求。當?shù)貥I(yè)務單元有責任確保每一國家或地區(qū)所要求的特定合規(guī)職責,由具有適當?shù)漠數(shù)刂R和專門技能的人員來履行,并由合規(guī)負責人與銀行的其他風險管理部門共同監(jiān)督。48、委員會認識到,一家銀行可能出于各種合理的理由在不同的國家或地區(qū)開展業(yè)務。盡管如此,如果該銀行在特定國家或地區(qū)提供的產(chǎn)品或從事的活動,在該銀行的母國沒有得到許可,那么識別和評估該銀行可能增加的聲譽風險的程序就應該到位。
原則10:外包
合規(guī)應被視為銀行內部的一項核心風險管理活動。合規(guī)部門的具體工作可能被外包,但外包仍必須受到合規(guī)負責人的適當監(jiān)督。
49、聯(lián)合論壇(即巴塞爾銀行監(jiān)管委員會、國際證券委員會組織和國際保險監(jiān)督官協(xié)會)最近提出了被監(jiān)管機構業(yè)務外包的高級原則,委員會鼓勵各銀行參照實施。[iii]銀行應該確保任何外包安排都不會妨礙監(jiān)管機構的有效監(jiān)管。無論合規(guī)部門具體工作的外包程度如何,董事會和高級管理層仍然要對銀行遵循所有適用法律、規(guī)則和準則負責。i關于董事會和高級管理層的職能,委員會認識到不同國家的法律框架和監(jiān)管框架間存在著重大差別。在某些國家,董事會主要(如果不是全部)具有監(jiān)督執(zhí)行機構(高級管理層、一般管理層)的職能,以確保后者完成任務。鑒此,在某些情況下,它被理解為監(jiān)事會,這意味著董事會沒有執(zhí)行職能。在其他國家,董事會權限較大,負責為銀行管理層制定總體框架。由于這些差異,本文中使用的術語“董事會”和“高級管理層”,并不是去界定它們的法律上的概念,而是把它們當作一家銀行的兩個決策職能機構。ii在有些銀行,合規(guī)負責人被稱為“合規(guī)員”,而其他一些銀行所稱的“合規(guī)員”則是指履行具體合規(guī)職責的合規(guī)工作人員。[iii]聯(lián)合論壇?“金融服務的外包”?2005年2月(參見www.bis.org)。(上海銀監(jiān)局政策法規(guī)處譯,銀監(jiān)會國際部校)
作者:cbrc
| 
