|
合規與銀行內部合規部門
巴塞爾銀行監管委員會
2005年4月29日
引言1、巴塞爾銀行監管委員會(以下簡稱“委員會”)一直關注銀行監管問題和促進銀行業機構的穩健經營的做法。作為其持續努力的一部分,委員會就合規風險與銀行內部合規部門發布本文件。為滿足監管機構的監管要求,銀行必須遵循有效的合規政策和程序,在發現違規情況時,銀行管理層能夠采取適當措施予以糾正。2、合規應從高層做起。當企業文化強調誠信與正直的準則并由董事會和高級管理層作出表率時,合規才最為有效。合規與銀行內部的每一位員工都相關,應被視為銀行經營活動的組成部分。銀行在開展業務時應堅持高標準,并始終力求遵循法律的規定與精神。如果銀行疏于考慮經營行為對股東、客戶、雇員和市場的影響,即使沒有違反任何法律,也可能會導致嚴重的負面影響和聲譽損失。3、本文件所稱“合規風險”是指,銀行因未能遵循法律、監管規定、規則、自律性組織制定的有關準則,以及適用于銀行自身業務活動的行為準則(以下統稱“合規法律、規則和準則”)而可能遭受法律制裁或監管處罰、重大財務損失或聲譽損失的風險。4、合規法律、規則和準則通常涉及如下內容:遵守適當的市場行為準則,管理利益沖突,公平對待消費者,確保客戶咨詢的適宜性等。同時,還特別包括一些特定領域,如反洗錢和反恐怖融資,也可能擴展至與銀行產品結構或客戶咨詢相關的稅收方面的法律。如果一家銀行故意參與客戶用以規避監管或財務報告要求、逃避納稅義務等的交易或為其違法行為提供便利,該銀行將面臨嚴重的合規風險。5、合規法律、規則和準則有多種淵源,包括立法機構和監管機構發布的基本的法律、規則和準則;市場慣例;行業協會制定的行業規則以及適用于銀行職員的內部行為準則等。基于上述理由,合規法律、規則和準則不僅包括那些具有法律約束力的文件,還包括更廣義的誠實守信和道德行為的準則。6、合規應成為銀行文化的一部分。合規并不只是專業合規人員的責任。盡管如此,如果一家銀行設有符合下述“合規部門原則”的合規部門,該銀行將能更有效地管理合規風險。本文件所稱“合規部門”是指履行合規職責的職員,并不特指某一特定的組織架構。7、關于銀行合規部門的組織方式,各銀行之間存在著重大差異。在規模較大的銀行,合規人員可能位于各營運業務線,有些國際活躍銀行可能還設有集團合規官和當地合規官。在規模較小的銀行,合規部門的職員可能被放在一個部門。有些銀行還為數據保護、反洗錢及反恐怖融資等專業領域設立了單獨的部門。8、一家銀行應該以與自身風險管理戰略和組織結構相吻合的方式組織合規部門,并為合規風險管理設定優先考慮的事項。例如,考慮到合規風險與操作風險的某些方面有著密切的關系,一些銀行希望在操作風險部門內組建合規部門,其他銀行則更愿意分設合規部門和操作風險部門,但銀行要建立兩個部門之間在合規事務方面密切合作的機制。9、不論一家銀行如何組織其合規部門,該合規部門都應該是獨立的,并有足夠的資源支持。合規部門的職責應予以明確規定,合規部門的工作應受到內部審計部門定期和獨立的復查。以下的原則5至原則8進一步闡明了這些高級原則,并在各原則之下闡釋了與這些原則有關的穩健做法。各家銀行可自行決定實施這些原則的最佳方式,但這些原則應適用于所有銀行。銀行也可采用有別于本文件的做法,只要這些做法是穩健的,并能從總體上表明該銀行的合規部門的有效性。以何種方式實施這些原則將取決于多種因素,如銀行的規模、業務的性質、經營的復雜程度和業務的區域分布,以及銀行營業所在地的法律框架和監管框架。例如,一些規模較小的銀行要完全實施本文件所建議的一些特定措施,也許并不可行,但該銀行可能會采取能達到同樣效果的其他措施。10、在提出有關原則時,本文件假定公司治理結構是由董事會和高級管理層組成。至于董事會和高級管理層的職能,不同的國家、不同類型的經濟實體有不同的法律框架與監管框架。因此,銀行在適用本文件所闡述的原則時,應依據其所在的國家和具體經濟實體的公司治理結構。[i]11、本文件所稱“銀行”通常是指銀行、銀行集團和附屬機構主要是銀行的控股公司等。12、在理解本文件時,應參閱委員會制訂的其他相關文件。這些文件包括:
━━《銀行機構的內部控制體系框架》(1998年9月);
━━《健全銀行的公司治理》(1999年9月);
━━ 《銀行內部審計和監管當局與審計人員的關系》(2001年8月);
━━《銀行客戶盡職調查》(2001年10月);
━━《操作風險管理與監管的穩健做法》(2003年2月);━━《統一資本計量與資本標準的國際協議-修訂框架》(2004年6月);━━《KYC風險統一管理》(2004年10月)。13、本文件在闡述支撐銀行合規部門的原則之前,首先闡明了銀行董事會和高級管理層在合規方面的特定職責。董事會在合規方面的職責
原則1:銀行董事會負責監督銀行的合規風險管理。董事會應該審批銀行的合規政策,包括一份組建常設的、有效的合規部門的正式文件。董事會或董事會下設的委員會應該每年至少一次評估銀行有效管理合規風險的程度。。
14、如引言所述,銀行董事會應在全行推行誠信與正直的價值觀念,只有這樣,銀行的合規政策才能得以有效實施。遵循適用法律、規則和準則應視為實現上述目標的一條基本途徑。與其他類別的風險一樣,董事會有責任確保銀行制定適當政策以有效管理銀行的合規風險。董事會還應監督合規政策的實施,包括確保合規問題都由高級管理層在合規部門的協助下得到迅速有效的解決。當然,董事會也可能將這些任務委托給適當的董事會下設的委員會(如審計委員會)。高級管理層在合規方面的職責
原則2:銀行高級管理層負責銀行合規風險的有效管理。
15、 以下兩項原則闡明了該一般性原則里最為重要的各項因素。
原則3:銀行高級管理層負責制定和傳達合規政策,確保該合規政策得以遵守,并就銀行合規風險管理向董事會報告。
16、銀行高級管理層負責制定一份書面的合規政策。該合規政策應包含管理層和員工應遵守的基本原則,并要說明全行上下用以識別和管理合規風險的主要程序。區分全體員工都要遵守的一般性準則與只適用于特定員工群體的規則,將有助于增加政策的清晰度和透明度。17、高級管理層有職責確保合規政策得以遵守,包括發現違規問題時采取適當的補救方法或懲戒措施。18、在合規部門的協助下,高級管理層應該:━━每年至少一次識別和評估銀行所面臨的主要合規風險問題以及管理這些合規風險問題的計劃。這些計劃應對涉及以下方面的任何缺陷(政策上的、程序上的、實施或執行中的)進行處理,包括現存合規風險管理的有效程度,以及針對年度合規風險評估新發現的合規風險,對政策或程序進行補充的必要性。━━每年至少一次就銀行的合規風險管理向董事會或董事會下設的委員會報告,此報告應能夠有助于董事會成員就銀行是否有效管理合規風險問題作出有充分依據的判斷。
━━及時向董事會或董事會下設的委員會報告重大違規情況(例如,可能會導致法律制裁或監管處罰、重大財務損失或聲譽損失等重大風險的違規情況)。
原則4:
作為銀行合規政策的組成部分,高級管理層負責組建一個常設和有效的銀行內部合規部門。19、高級管理層應采取必要的措施,確保銀行可以依賴一個常設的、有效的并符合以下原則的合規部門。
合規部門原則
原則5:獨立性
銀行的合規部門應該是獨立的。
20、獨立性的概念包含四個相關要素。第一,合規部門應在銀行內部享有正式地位。第二,應由一名集團合規官或合規負責人全面負責協調銀行的合規風險管理。第三,在合規部門職員特別是合規負責人的職位安排上,應避免他們的合規職責與其所承擔的任何其他職責之間產生可能的利益沖突。第四,合規部門職員為履行職責,應能夠獲取必需的信息并能接觸到相關人員。21、獨立性并不意味著合規部門不能與其它事業部(businessunits)的管理層和職員共同工作。實際上,合規部門與其它事業部(businessunits)之間相互合作的工作關系將有助于早期識別和管理合規風險。然而,不論合規部門與其它事業部(businessunits)之間的工作關系如何緊密,下述各要素都應被視為有助于確保合規部門有效性的保障措施。實施這些保障措施的方式在一定程度上取決于各個合規部門職員的具體職責。地位22、合規部門應該在銀行內部享有正式的地位,以使其具有適當的定位、授權及獨立性。這可能在銀行的合規政策或其他正式文件中予以規定。該文件應該傳達給銀行所有職員。23、以下與合規部門有關的事項應在該文件中予以規定:━━合規部門的功能和職責;━━確保合規部門獨立性的各項措施;━━合規部門與銀行其他風險管理部門和內部審計部門的關系;━━在合規職責由不同部門職員履行的情況下,這些職責如何在部門間進行分配;━━合規部門為履行其職責而獲取必要信息的權利,以及在提供這些信息方面銀行職員有給予合作的相應責任;━━合規部門對可能違反合規政策的事件進行調查,以及在適當情況下委托外部專家進行調查的權利;━━合規部門向高級管理層,必要時,向董事會或董事會下設的委員會自由陳述和披露其調查結果的權利;━━合規部門向高級管理層正式報告的義務;━━合規部門直接與董事會或董事會下設的委員會溝通的權利。合規負責人24、每家銀行應該有一位執行官或高級職員全面負責協調銀行合規風險的識別和管理,以及監督其他合規部門職員的工作。本文件使用“合規負責人”這一稱謂來描述該職位[ii]。25、履行合規職責的職員與合規負責人之間報告路線的性質或其他職能關系,將取決于該銀行合規部門的組織方式。各營運事業部(businessunits)或各地附屬機構的合規部門職員可能有一條向營運事業部(businessunits)管理層或當地管理層報告的路線,只要該職員還有一條就其合規職責向合規負責人報告的路線,這種做法就不應被排斥。如果合規部門職員位于各個獨立的支持部門(如法律部、財務控制部和風險管理部等),則沒有必要為其另設一條向合規負責人報告的路線。但是,這些部門應該與合規負責人密切合作,以確保合規負責人能夠有效地履行其職責。26、合規負責人可由高級管理層成員擔任,也在由其它人員擔任。如果合規負責人為高級管理層成員,他不應直接負責銀行業務線。如果合規負責人不是高級管理層成員,他應有一條向不直接負責業務線的高級管理層成員直接報告的路線。27、合規負責人就職或離任,以及離任理由,應告知銀行監管機構和董事會。對于設有當地合規官的國際性活躍銀行,該合規負責人在到任或離任時,同樣應告知東道國的監管機構。利益沖突28、如果合規負責人和承擔合規職責的其他職員的職位安排會使他們的合規職責與其他職責之間產生現實或是潛在的沖突,他們的獨立性就有可能被削弱。委員會傾向于合規部門職員僅履行合規職責。但是,委員會認識到,在規模較小的銀行、規模較小的事業部(businessunits)或當地附屬機構中,這也許并不可行。因此,在此情況下,合規部門職員可能從事合規以外的工作,前提是能夠避免潛在的利益沖突。29、如果合規部門職員的薪酬與其履行合規職責的業務條線(businessline)的盈虧狀況相掛鉤,他們的獨立性也有可能被削弱。但是,將合規部門職員的薪酬與整個銀行的盈虧狀況相掛鉤通常是可以接受的。信息獲取和人員接觸30、合規部門應該享有與銀行任何員工進行溝通,并獲取便于其履行職責所需的任何記錄或檔案材料的自主權。31、合規部門應該能夠自主地對銀行內部所有可能存在合規風險的部門履行風險管理的職責。合規部門應該有權對可能違反合規政策的事件進行調查,并在適當情況下請求銀行內部專業人員(如法律或內部審計人員)的協助,或外聘專業人士履行該職責。32、對于調查所發現的任何異常情況或可能的違規行為,合規部門應隨時向高級管理層報告,而不用擔心來自管理層或其他員工的報復或冷遇。雖然合規部門通常的報告路線應該是向高級管理層報告,但在必要情況下,還應有權繞開通常的報告路線,直接向董事會或董事會下設的委員會報告。此外,董事會或董事會下設的委員會每年至少一次與合規負責人進行面談也是有益的,這將有助于董事會或董事會下設的委員會評估銀行有效管理合規風險的程度。
原則6:資源
銀行合規部門應該配備能有效履行職責的資源。
33、為合規部門提供的資源應該是充分和適當的,以確保銀行內部合規風險的有效管理。特別是,合規部門職員應該具備必要的資質、經驗、專業水準和個人素質,以使他們能夠履行特定職責。合規部門職員應該能正確理解合規法律、規則和準則及其對銀行經營的實際影響。合規部門職員的專業技能,尤其是在把握合規法律、規則和準則的最新發展方面的技能,應通過定期和系統的教育和培訓得到維持。
原則7:合規部門職責
銀行合規部門的職責應該是協助高級管理層有效管理銀行面臨的合規風險。銀行合規部門的具體職責如下所述。如果其中的某些職責是由不同部門的職員履行,那么每個部門的職責應該界定清楚。
34、合規職責未必都由“合規部門”(compliancedepartment)或“合規部”(complianceunit)承擔”。合規職責可能由不同部門的職員履行。例如,有些銀行分設法律部門和合規部門。法律部門負責就合規法律、規則和準則向管理層提出建議,并為員工制訂指引;而合規部門則負責監測合規政策和程序的遵守情況,并向管理層報告。有些銀行,合規部門的部分職責可能由操作風險小組承擔,或是由更為綜合的風險管理小組承擔。如果這些部門之間存在職責分工,那么每個部門的職責都應該界定清楚。在各部門之間以及各部門與合規負責人之間應存在一種適當的合作機制(例如,相關意見和信息的提供和交流等)。這些機制應該是充分的,以確保合規負責人能夠有效地履行職責。建議35、合規部門應該就合規法律、規則和準則向高級管理層提出建議,包括隨時向高級管理層報告該領域的發展情況。指導與教育36、合規部門應該協助高級管理層:━━就合規問題對員工進行教育,并成為銀行員工咨詢有關合規問題的內部聯絡部門;━━就合規法律、規則和準則的恰當執行,通過政策、程序以及諸如合規手冊、內部行為準則和各項操作指引等其他文件,為員工制定書面指引。合規風險的識別、量化和評估37、合規部門應該積極主動地識別、書面說明和評估與銀行經營活動相關的合規風險,包括新產品和新業務的開發,新業務方式的拓展,新客戶關系的建立,或者這種客戶關系的性質發生重大變化所產生的合規風險等。如果該銀行設有新產品委員會,該委員會內應有合規部門職員代表。38、合規部門還應考慮各種量化合規風險的方法〔例如,應用運行指標(performanceindicators)等〕,并運用這些計量方法加強合規風險的評估。運行指標(performanceindicators)可借助技術工具,通過收集或篩選可能預示潛在合規問題的數據(例如,消費者投訴的增長數、異常的交易或支付活動等)的方式來設計。39、合規部門應該評估銀行各項合規程序和指引的適當性,立即深入調查任何已識別的缺陷,如有必要,系統地提出修改建議。監測、測試和報告40、合規部門應該通過實施充分和有代表性的合規測試對合規進行監測和測試。合規測試的結果應依照銀行內部風險管理程序,通過合規部門報告路線向上級報告。41、合規負責人應定期就合規事項向高級管理層報告。這些報告應涉及:報告期內所進行的合規風險評估,包括基于運用諸如運行指標(performanceindicators)的相關計量方法所反映的合規風險狀況的任何變化;概述所有已識別的違規問題和(或)缺陷,以及所建議的糾正措施;已經采取的各項糾正措施。該報告的格式應與銀行的合規風險狀況和各項合規活動相匹配。法定責任和聯絡42、合規部門可能承擔特定的法定職責(例如,承擔反洗錢人員的職責等)。合規部門也可能與銀行外部相關人員保持聯絡,包括監管者、準則制定者以及外部專家等。合規方案43、合規部門應根據合規方案履行其職責,該方案確定了合規部門的行動計劃,如具體政策和程序的實施與評審,合規風險評估,合規測試,以及就合規事項對銀行職員進行教育等。合規方案應以風險為本,并受到合規負責人的監督,以確保對不同事業部(businessunits)的適當覆蓋以及各風險管理部門之間的協調。
原則8:與內部審計的關系
合規部門的工作范圍和廣度應受到內部審計部門的定期復查。
44、內部審計部門的風險評估方法應包括對合規風險的評估,并應制定一份包含合規部門適當性和有效性的審計方案,包括與認定的風險水平相匹配的控制測試。45、本原則表明,合規部門應與審計部門分離,以確保合規部門的各項工作受到獨立的復查。因此,重要的是,在銀行內部對于兩個部門之間如何劃分風險評估和測試活動應有清晰的認識,并用文件形式(如銀行的合規政策或諸如備忘錄等相關文件)予以規定。當然,審計部門應該將與合規有關的任何審計調查結果隨時告知合規負責人。
其他事項:
原則9:跨境問題
銀行應該遵守所有開展業務所在國家或地區的適用法律和監管規定,合規部門的組織方式和結構以及合規部門的職責應符合當地的法律和監管要求。
46、銀行可能通過當地的附屬機構、分行或在銀行沒有實體機構的國家或地區開展國際業務。法律和監管要求在不同國家或地區可能有所不同,也可能因銀行開展的業務種類或所在地實體機構的形式不同而有所差異。47、選擇在特定國家和地區開展業務的銀行應該遵守當地的法律和監管規定。例如,以附屬機構形式營業的銀行必須符合東道國的法律和監管要求。有些國家或地區可能對外國銀行的分行有特定要求。當地事業部(businessunits)有責任確保每一國家或地區所要求的特定合規職責,由具有適當的當地知識和專門技能的人員來履行,并由合規負責人與銀行的其他風險管理部門共同監督。48、委員會認識到,一家銀行可能出于各種合理的理由在不同的國家或地區開展業務。盡管如此,如果該銀行在特定國家或地區提供的產品或從事的活動,在該銀行的母國沒有得到許可,那么識別和評估該銀行可能增加的聲譽風險的程序就應該到位。
原則10:外包
合規應被視為銀行內部的一項核心風險管理活動。合規部門的具體工作可能被外包,但外包仍必須受到合規負責人的適當監督。
49、聯合論壇(即巴塞爾銀行監管委員會、國際證券委員會組織和國際保險監督官協會)最近提出了被監管機構業務外包的高級原則,委員會鼓勵各銀行參照實施。[iii]銀行應該確保任何外包安排都不會妨礙監管機構的有效監管。無論合規部門具體工作的外包程度如何,董事會和高級管理層仍然要對銀行遵循所有適用法律、規則和準則負責。i關于董事會和高級管理層的職能,委員會認識到不同國家的法律框架和監管框架間存在著重大差別。在某些國家,董事會主要(如果不是全部)具有監督執行機構(高級管理層、一般管理層)的職能,以確保后者完成任務。鑒此,在某些情況下,它被理解為監事會,這意味著董事會沒有執行職能。在其他國家,董事會權限較大,負責為銀行管理層制定總體框架。由于這些差異,本文中使用的術語“董事會”和“高級管理層”,并不是去界定它們的法律上的概念,而是把它們當作一家銀行的兩個決策職能機構。ii在有些銀行,合規負責人被稱為“合規員”,而其他一些銀行所稱的“合規員”則是指履行具體合規職責的合規工作人員。[iii]聯合論壇?“金融服務的外包”?2005年2月(參見www.bis.org)。(上海銀監局政策法規處譯,銀監會國際部校)
作者:cbrc
| 
