巴塞尔银行监督委员会《合规与银行内部合规部门》

来源：巴塞尔银行监管委员会

时间：2005-4-29

 . 2005年4月，巴塞尔银行监督管理委员会发布了《合规与银行内部合规部门》的文件，为会员国银行企业组建合规部门和建立合规体系确立了基本的原则和制度框架。

 . 合规与银行内部合规部门

 . 巴塞尔银行监管委员会

 . 2005年4月29日

引言

 . 1、巴塞尔银行监管委员会(以下简称“委员会”)一直关注银行监管问题和促进银行业机构的稳健经营的做法。作为其持续努力的一部分，委员会就合规风险与银行内部合规部门发布本文件。为满足监管机构的监管要求，银行必须遵循有效的合规政策和程序，在发现违规情况时，银行管理层能够采取适当措施予以纠正。

 . 2、合规应从高层做起。当企业文化强调诚信与正直，并且董事会和高级管理层作出表率，合规才最为有效。合规与银行内部的每一位员工都相关，应被视为银行经营活动的组成部分。银行在开展业务时应坚持高标准，并始终力求遵循法律的规定与精神。如果银行疏于考虑经营行为对股东、客户、雇员和市场的影响，即使没有违反任何法律，也可能会导致严重的负面影响和声誉损失。

 . 3、本文件所称“合规风险”是指，银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则(以下统称“合规法律、规则和准则”)而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。

 . 4、合规法律、规则和准则通常涉及如下内容：遵守适当的市场行为准则，管理利益冲突，公平对待消费者，确保客户咨询的适宜性等。同时，还特别包括一些特定领域，如反洗钱和反恐怖融资，也可能扩展至与银行产品结构或客户咨询相关的税收方面的法律。如果一家银行故意参与客户用以规避监管或财务报告要求、逃避纳税义务等的交易或为其违法行为提供便利，该银行将面临严重的合规风险。

 . 5、合规法律、规则和准则有多种渊源，包括立法机构和监管机构发布的基本的法律、规则和准则；市场惯例；行业协会制定的行业规则以及适用于银行职员的内部行为准则等。基于上述理由，合规法律、规则和准则不仅包括那些具有法律约束力的文件，还包括更广义的诚实守信和道德行为的准则。

 . 6、合规应成为银行文化的一部分。合规并不只是专业合规人员的责任。尽管如此，如果一家银行设有符合下述“合规部门原则”的合规部门，该银行将能更有效地管理合规风险。本文件所称“合规部门”是指履行合规职责的职员，并不特指某一特定的组织架构。

 . 7、关于银行合规部门的组织方式，各银行之间存在着重大差异。在规模较大的银行，合规人员可能位于各营运业务线，有些国际活跃银行可能还设有集团合规官和当地合规官。在规模较小的银行，合规部门的职员可能被放在一个部门。有些银行还为数据保护、反洗钱及反恐怖融资等专业领域设立了单独的部门。

 . 8、一家银行应该以与自身风险管理战略和组织结构相吻合的方式组织合规部门，并为合规风险管理设定优先考虑的事项。例如，考虑到合规风险与操作风险的某些方面有着密切的关系，一些银行希望在操作风险部门内组建合规部门，其他银行则更愿意分设合规部门和操作风险部门，但银行要建立两个部门之间在合规事务方面密切合作的机制。

 . 9、不论一家银行如何组织其合规部门，该合规部门都应该是独立的，并有足够的资源支持。合规部门的职责应有明确的规定，内部审计部门应定期、独立地审查合规部门的工作。以下的原则5至原则8进一步阐明了这些高级原则，并在各原则之下阐释了与这些原则有关的稳健做法。各家银行可自行决定实施这些原则的最佳方式，但这些原则应适用于所有银行。银行也可采用有别于本文件的做法，只要这些做法是稳健的，并能从总体上表明该银行的合规部门的有效性。以何种方式实施这些原则将取决于多种因素，如银行的规模、业务的性质、经营的复杂程度和业务的区域分布，以及银行营业所在地的法律框架和监管框架。例如，一些规模较小的银行要完全实施本文件所建议的一些特定措施，也许并不可行，但该银行可能会采取能达到同样效果的其他措施。

 . 10、在提出有关原则时，本文件假定公司治理结构是由董事会和高级管理层组成。至于董事会和高级管理层的职能，不同的国家、不同类型的经济实体有不同的法律框架与监管框架。因此，银行在适用本文件所阐述的原则时，应依据其所在的国家和具体经济实体的公司治理结构。[i]

 . 11、本文件所称“银行”主要是指银行、银行集团和附属机构主要是银行的控股公司等。

 . 12、在理解本文件时，应参阅委员会制订的其他相关文件。这些文件包括：

 . ━━《银行机构的内部控制体系框架》(1998年9月)；

 . ━━《健全银行的公司治理》(1999年9月)；

 . ━━《银行内部审计和监管当局与审计人员的关系》(2001年8月)；

 . ━━《银行客户尽职调查》(2001年10月)；

 . ━━《操作风险管理与监管的稳健做法》(2003年2月)；

 . ━━《统一资本计量与资本标准的国际协议-修订框架》(2004年6月)；

 . ━━《KYC风险统一管理》(2004年10月)。

 . 13、本文件在阐述银行合规部门应采用的原则之前，首先阐明了银行董事会和高级管理层在合规方面的特定职责。

董事会在合规方面的职责

 . 原则1：银行董事会负责监督银行的合规风险管理。董事会应该审批银行的合规政策，包括一份组建常设的、有效的合规部门的正式文件。董事会或董事会下设的委员会应该对银行有效管理合规风险的情况每年至少进行一次评估。

 . 14、如引言所述，银行董事会应在全行推行诚信与正直的价值观念，只有这样，银行的合规政策才能得以有效实施。遵循适用法律、规则和准则应视为实现上述目标的一条基本途径。与其他类别的风险一样，董事会有责任确保银行制定适当政策以有效管理银行的合规风险。董事会还应监督合规政策的实施，包括确保合规问题都由高级管理层在合规部门的协助下得到迅速有效的解决。当然，董事会也可能将这些任务委托给适当的董事会下设的委员会(如审计委员会)。

高级管理层在合规方面的职责

 . 原则2：银行高级管理层负责银行合规风险的有效管理。

 . 15、以下两项原则阐明了该一般性原则里最为重要的各项因素。

 . 原则3：银行高级管理层负责制定和传达合规政策，确保该合规政策得以遵守，并向董事会报告银行合规风险管理。

 . 16、银行高级管理层负责制定一份书面的合规政策。该合规政策应包含管理层和员工应遵守的基本原则，并要说明全行上下用以识别和管理合规风险的主要程序。区分全体员工都要遵守的一般性准则与只适用于特定员工群体的规则，将有助于增加政策的清晰度和透明度。

 . 17、高级管理层有职责确保合规政策得以遵守，包括发现违规问题时采取适当的补救方法或惩戒措施。

 . 18、在合规部门的协助下，高级管理层应该：

 . ━━每年至少一次识别和评估银行所面临的主要合规风险问题以及管理这些合规风险问题的计划。这些计划涉及对现行合规风险管理中政策上的、程序上的、实施或执行中的任何缺陷进行处理，并针对年度合规风险评估中发现的新的合规风险，对政策或程序进行补充。

 . ━━ 每年至少一次就银行的合规风险管理向董事会或董事会下设的委员会报告，此报告应能够有助于董事会成员就银行是否有效管理合规风险问题作出有充分依据的判断。

 . ━━ 及时向董事会或董事会下设的委员会报告重大违规情况(例如，可能会导致法律制裁或监管处罚、重大财务损失或声誉损失等重大风险的违规情况)。

 . 原则4：银行合规政策要求高级管理层负责组建一个常设和有效的银行内部合规部门。

 . 19、高级管理层应采取必要的措施，确保银行建立一个常设的、有效的并符合以下原则的合规部门。

合规部门原则

 . 原则5：独立性

 . 银行的合规部门应该是独立的。

 . 20、独立性的概念包含四个相关要素。第一，合规部门应在银行内部享有正式地位。第二，应由一名集团合规官或合规负责人全面负责协调银行的合规风险管理。第三，在合规部门职员特别是合规负责人的职位安排上，应避免他们的合规职责与其所承担的其他职责产生利益冲突。第四，合规部门职员为履行职责，应能够获取必需的信息并能接触到相关人员。

 . 21、独立性并不意味着合规部门不能与其它业务单元的管理层和职员共同工作。实际上，合规部门与其它业务单元之间相互合作的工作关系将有助于早期识别和管理合规风险。然而，不论合规部门与其它业务单元之间的工作关系如何紧密，下述各要素都应被视为有助于确保合规部门有效性的保障措施。实施这些保障措施的方式在一定程度上取决于各个合规部门职员的具体职责。

地位

 . 22、合规部门应该在银行内部享有正式的地位，以使其具有适当的定位、授权及独立性。这可能在银行的合规政策或其他正式文件中予以规定。该文件应该传达给银行所有职员。

 . 23、以下与合规部门有关的事项应在该文件中予以规定：

 . ━━合规部门的功能和职责；

 . ━━确保合规部门独立性的各项措施；

 . ━━合规部门与银行其他风险管理部门和内部审计部门的关系；

 . ━━在合规职责由不同部门职员履行的情况下，这些职责如何在部门间进行分配；

 . ━━合规部门为履行其职责而获取必要信息的权利，以及在提供这些信息方面银行职员有给予合作的相应责任；

 . ━━合规部门对可能违反合规政策的事件进行调查，以及在适当情况下委托外部专家进行调查的权利；

 . ━━合规部门向高级管理层，必要时，向董事会或董事会下设的委员会自由陈述和披露其调查结果的权利；

 . ━━合规部门向高级管理层正式报告的义务；

 . ━━合规部门直接与董事会或董事会下设的委员会沟通的权利。

合规负责人

 . 24、每家银行应该有一位执行官或高级职员全面负责协调银行合规风险的识别和管理，以及监督其他合规部门职员的工作。本文件使用“合规负责人”这一称谓来描述该职位[ii]。

 . 25、履行合规职责的职员与合规负责人之间报告路线的性质或其他职能关系，将取决于该银行合规部门的组织方式。各营运业务单元或各地附属机构的合规部门职员可能有一条向营运业务单元管理层或当地管理层报告的路线，只要该职员还有一条就其合规职责向合规负责人报告的路线，这种做法就不应被排斥。如果合规部门职员位于各个独立的支持部门(如法律部、财务控制部和风险管理部等)，则没有必要为其另设一条向合规负责人报告的路线。但是，这些部门应该与合规负责人密切合作，以确保合规负责人能够有效地履行其职责。

 . 26、合规负责人未必一定是高级管理层成员。如果合规负责人为高级管理层成员，他不应直接负责银行业务线。如果合规负责人不是高级管理层成员，他应有一条向不直接负责业务线的高级管理层成员直接报告的路线。

 . 27、合规负责人就职或离任，以及离任理由，应告知银行监管机构和董事会。对于设有当地合规官的国际性活跃银行，该合规负责人在到任或离任时，同样应告知东道国的监管机构。

利益冲突

 . 28、如果合规负责人和承担合规职责的其他职员的职位安排会使他们的合规职责与其他职责之间产生现实或是潜在的冲突，他们的独立性就有可能被削弱。委员会倾向于合规部门职员仅履行合规职责。但是，委员会认识到，在规模较小的银行、规模较小的业务单元或当地附属机构中，这也许并不可行。因此，在此情况下，合规部门职员可能从事合规以外的工作，前提是能够避免潜在的利益冲突。

 . 29、如果合规部门职员的薪酬与其履行合规职责的业务线的盈亏状况相挂钩，他们的独立性也有可能被削弱。但是，将合规部门职员的薪酬与整个银行的盈亏状况相挂钩通常是可以接受的。

信息获取和人员接触

 . 30、合规部门应该享有与银行任何员工进行沟通，并获取便于其履行职责所需的任何记录或档案材料的自主权。

 . 31、合规部门应该能够自主地对银行内部所有可能存在合规风险的部门履行风险管理的职责。合规部门应该有权对可能违反合规政策的事件进行调查，并在适当情况下请求银行内部专业人员(如法律或内部审计人员)的协助，或外聘专业人士履行该职责。

 . 32、对于调查所发现的任何异常情况或可能的违规行为，合规部门应随时向高级管理层报告，而不用担心来自管理层或其他员工的报复或冷遇。虽然合规部门通常的报告路线应该是向高级管理层报告，但在必要情况下，还应有权绕开通常的报告路线，直接向董事会或董事会下设的委员会报告。此外，董事会或董事会下设的委员会每年至少一次与合规负责人进行面谈也是有益的，这将有助于董事会或董事会下设的委员会评估银行有效管理合规风险的程度。

 . 原则6：资源

银行合规部门应该配备能有效履行职责的资源。

 . 33、为合规部门提供的资源应该是充分和适当的，以确保银行内部合规风险的有效管理。特别是，合规部门职员应该具备必要的资质、经验、专业水准和个人素质，以使他们能够履行特定职责。合规部门职员应该能正确理解合规法律、规则和准则及其对银行经营的实际影响。合规部门职员的专业技能，尤其是在把握合规法律、规则和准则的最新发展方面的技能，应通过定期和系统的教育和培训得到维持。

 . 原则7：合规部门职责

 . 银行合规部门的职责应该是协助高级管理层有效管理银行面临的合规风险。银行合规部门的具体职责如下所述。如果其中的某些职责是由不同部门的职员履行，那么每个部门的职责应该界定清楚。

 . 34、合规职责未必都由“合规部”或“合规处”承担。合规职责可能由不同部门的职员履行。例如，有些银行分设法律部门和合规部门。法律部门负责就合规法律、规则和准则向管理层提出建议，并为员工制订指引；而合规部门则负责监测合规政策和程序的遵守情况，并向管理层报告。有些银行，合规部门的部分职责可能由操作风险小组承担，或是由更为综合的风险管理小组承担。如果这些部门之间存在职责分工，那么每个部门的职责都应该界定清楚。在各部门之间以及各部门与合规负责人之间应存在一种适当的合作机制(例如，相关意见和信息的提供和交流等)。这些机制应该是充分的，以确保合规负责人能够有效地履行职责。

建议

 . 35、合规部门应该就合规法律、规则和准则向高级管理层提出建议，包括随时向高级管理层报告该领域的发展情况。

指导与教育

 . 36、合规部门应该协助高级管理层：

 . ━━就合规问题对员工进行教育，并成为银行员工咨询有关合规问题的内部联络部门；

 . ━━就合规法律、规则和准则的恰当执行，通过政策、程序以及诸如合规手册、内部行为准则和各项操作指引等其他文件，为员工制定书面指引。

合规风险的识别、量化和评估

 . 37、合规部门应该积极主动地识别、书面说明和评估与银行经营活动相关的合规风险，包括新产品和新业务的开发，新业务方式的拓展，新客户关系的建立，或者这种客户关系的性质发生重大变化所产生的合规风险等。如果该银行设有新产品委员会，该委员会内应有合规部门职员代表。

 . 38、合规部门还应考虑各种量化合规风险的方法(例如，应用评价指标等)，并运用这些计量方法加强合规风险的评估。评价指标可借助技术工具，通过收集或筛选可能预示潜在合规问题的数据(例如，消费者投诉的增长数、异常的交易或支付活动等)的方式来设计。

 . 39、合规部门应该评估银行各项合规程序和指引的适当性，立即深入调查任何已识别的缺陷，如有必要，系统地提出修改建议。

监测、测试和报告

 . 40、合规部门应该通过实施充分和有代表性的合规测试对合规进行监测和测试。合规测试的结果应依照银行内部风险管理程序，通过合规部门报告路线向上级报告。

 . 41、合规负责人应定期就合规事项向高级管理层报告。这些报告应涉及：报告期内所进行的合规风险评估，包括基于运用诸如评价指标的相关计量方法所反映的合规风险状况的任何变化；概述所有已识别的违规问题和(或)缺陷，以及所建议的纠正措施；已经采取的各项纠正措施。该报告的格式应与银行的合规风险状况和各项合规活动相匹配。

法定责任和联络

 . 42、合规部门可能承担特定的法定职责(例如，承担反洗钱人员的职责等)。合规部门也可能与银行外部相关人员保持联络，包括监管者、准则制定者以及外部专家等。

合规方案

 . 43、合规部门应根据合规方案履行其职责，该方案确定了合规部门的行动计划，如具体政策和程序的实施与评审，合规风险评估，合规测试，以及就合规事项对银行职员进行教育等。合规方案应以风险为本，并受到合规负责人的监督，以确保对不同业务单元的适当覆盖以及各风险管理部门之间的协调。

 . 原则8：与内部审计的关系

 . 合规部门的工作范围和广度应受到内部审计部门的定期复查。

 . 44、内部审计部门的风险评估方法应包括对合规风险的评估，并应制定一份包含合规部门适当性和有效性的审计方案，包括与认定的风险水平相匹配的控制测试。

 . 45、本原则表明，合规部门应与审计部门分离，以确保合规部门的各项工作受到独立的复查。因此，重要的是，在银行内部对于两个部门之间如何划分风险评估和测试活动应有清晰的认识，并用文件形式(如银行的合规政策或诸如备忘录等相关文件)予以规定。当然，审计部门应该将与合规有关的任何审计调查结果随时告知合规负责人。

其他事项：

 . 原则9：跨境问题

 . 银行应该遵守所有开展业务所在国家或地区的适用法律和监管规定，合规部门的组织方式和结构以及合规部门的职责应符合当地的法律和监管要求。

 . 46、银行可能通过当地的附属机构、分行或在银行没有实体机构的国家或地区开展国际业务。法律和监管要求在不同国家或地区可能有所不同，也可能因银行开展的业务种类或所在地实体机构的形式不同而有所差异。

 . 47、选择在特定国家和地区开展业务的银行应该遵守当地的法律和监管规定。例如，以附属机构形式营业的银行必须符合东道国的法律和监管要求。有些国家或地区可能对外国银行的分行有特定要求。当地业务单元有责任确保每一国家或地区所要求的特定合规职责，由具有适当的当地知识和专门技能的人员来履行，并由合规负责人与银行的其他风险管理部门共同监督。

 . 48、委员会认识到，一家银行可能出于各种合理的理由在不同的国家或地区开展业务。尽管如此，如果该银行在特定国家或地区提供的产品或从事的活动，在该银行的母国没有得到许可，那么识别和评估该银行可能增加的声誉风险的程序就应该到位。

 . 原则10：外包

 . 合规应被视为银行内部的一项核心风险管理活动。合规部门的具体工作可能被外包，但外包仍必须受到合规负责人的适当监督。

 . 49、联合论坛(即巴塞尔银行监管委员会、国际证券委员会组织和国际保险监督官协会)最