1、xx银行合规风险评估实施办法xx总发xx136号,xx年7月24日印发第一章 总 则第一条 为加强我行合规风险识别和评估工作,规范合规风险评估程序,发挥合规风险评估发现、识别、控制风险的作用,根据商业银行合规风险管理指引、浙江辖内银行业金融机构合规风险评估指导意见等规定,特制定本实施办法。第二条 本办法所称合规风险评估是指通过采取一定的方法和程序,识别各类合规风险,评估风险发生的概率和程度,并根据自身承受风险的能力,确定风险消减和控制等级,提出并采取相应风险控制、消减对策和措施予以纠正的系统性活动。第三条 合规风险评估工作应遵循的原则:(一)统一领导,协调合作。统一领导是指开展重大合规风险评估
2、事项应在总行高级管理层(以下称高管层)的领导下,合规负责人牵头组织、合规管理部门或内审部门具体实施。必要时,可聘请外部中介机构进行评估。协调合作是指合规管理部门与内审部门及其他部门应根据分工,加强沟通协调,密切配合,共同完成评估任务。(二)独立、客观、正直、公正原则。实施合规风险评估的机构或组织应当坚持独立、客观的原则;参加评估的人员应遵守诚实、正直、公正的职业操守。(三)分类评估、条线结合、有所侧重。合规风险评估应根据业务经营实际和合规风险管理的需要,确定评估的类型、侧重点、条线范围、内容和实施程序,使评估有的放矢。第四条 合规风险评估的目标:(一)确保高管层及时、全面掌握系统内合规风险状况
3、和风险控制等级;(二)提出风险控制的对策和措施,促进合规风险管理机制的完善,提高合规风险管理的有效性;(三)营造合规文化建设氛围,持续改善合规经营环境。第五条 合规风险评估分为日常评估、专项评估和年度评估。日常评估是指总行部门、业务条线和分支行应根据法律、法规和准则更新情况制定年度评估计划,并对部门规章制度、本条线、本机构业务的合规性开展日常评估。日常评估根据年初计划组织实施。专项评估是指总行相关部门和分支行组织对新政策和程序、新产品开发或新业务开展、新客户关系建立以及客户关系性质发生重大变化所产生的合规风险专门进行的评估。对阶段性的重点热点问题,可进行不定期的特别专项评估。年度评估是指总行部
4、门、业务条线和分支行对一个会计年度内经营活动中的制度完善、业务操作与管理、风险控制、业务创新等开展的全面合规风险评估。年度评估要求每年组织一次。第六条 合规风险评估的依据是法律、法规、和准则,包括使用于银行业经营活动的法律、行政法规、监管规章、规范性文件、自律性组织制定的行业准则以及本行据此制定的基本制度、管理办法、操作细则、指导意见等。第七条 本办法适用于本行经营管理活动中各类合规风险的识别评估工作。第二章 职责与分工第八条 总行高管层职责:(一)审定全行重大合规风险评估制度、流程,负责全行合规风险评估决策与管理;(二)审批和确定合规风险评估政策、程序和实施方案;(三)授权相关机构开展合规风
5、险评估的实施和监督;(四)审定合规风险评估过程中对发现的重大风险事项的纠正措施,并追究责任人的相应责任;(五)确定全行合规风险评估管理体系和汇报路径;(六)审议总行部门和分支机构提交的各类单项或全面的合规风险评估工作报告;(七)赋予合规风险评估人员独立履行评估工作的职责和权利,保障合规评估人员获取任何记录和档案材料等信息,并能与任何员工进行接触和沟通;(八)主动接受监管机构的合规风险管理有效性评价。第九条 总行法律与合规部以及内审部门协助总行高管层管理和评估合规风险,履行以下职责:(一)负责牵头拟定和完善重大内部合规评估工作方案和流程;(二)制定和推动执行本行合规风险评估政策,指导业务部门和分
6、支机构正确开展合规风险评估工作;(三)针对总行和分支机构合规经营状况,提出合规风险评估需求,必要时组织相关部门或按程序聘请外部机构对业务、产品、活动、程序、系统等方面开展单项或全面的合规风险评估;(四)汇总分析总行部门和各分支机构提交的合规风险评估工作报告,提交高管层审议;(五)适时组织开展合规风险评估工作交流与专业技能培训;(六)汇总收集合规风险事项信息,对全行和分支行重大风险事件纠正措施进行指导和跟踪评价。第十条 总行其他管理部门职责:(一)制定本部门管理业务范围内合规风险识别评估年度工作计划;(二)提出合规风险识别评估需求;(三)组织实施本条线合规风险日常评估和相关人员专业技能培训;(四
7、)定期向高管层提交本条线合规风险识别评估工作报告,并向法律与合规部报备;(五)及时向高管层报告合规风险事件,并组织落实纠正措施;(六)定期向法律与合规部报送合规风险信息;(七)对合规风险事件纠正措施进行指导和跟踪评价。第十一条 分支行职责:(一)贯彻执行总行合规风险识别与评估政策及制度,确保发现合规风险事件及时采取适当的纠正措施,并追究责任人的相应责任;(二)组织推进本分支行的合规风险识别评估工作,确保风险管理部门、合规部门、内审部门以及其他部门之间的工作协调,落实总行布置的合规管理工作,协助、配合总行各业务部门具体实施风险评估工作;(三)定期开展本分支行合规风险的识别和日常评估工作,监督和检
8、查政策、制度的执行情况,落实总行合规风险识别评估的管理目标、计划和措施,组织整改合规风险事项。按规定路线和要求向上级合规部门提交合规风险自我评估报告以及风险事件;(四)建立合规风险信息反馈机制,及时向总行合规部门报告合规风险信息、合规风险状况和管理情况;(五)真实、完整地向合规评估人员提供所需要的记录和档案等材料信息,不干扰评估人员做出独立、公正的评估。第三章 评估事项第十二条 总行高管层可根据自身经营管理需要对任何可能带来合规风险的管理和经营活动进行风险评估。第十三条 管理程序评估。主要评估内部规章制度和业务操作流程的合规性和有效性,包括其适应外部法律、规则、准则而作出调整的合理性和及时性;
9、相关部门修订、完善和审阅的频率等。第十四条 业务活动评估。主要评估各基层、部门或业务条线是否严格遵循合规法律、规则和准则开展经营管理活动,包括业务活动开展的有效途径、不同方式和具体范围是否有章可循、有法可依;新产品和新业务的开发是否经过合规性审核和测试,办理过程是否存在合规问题;新业务方式拓展、新客户关系建立以及客户关系性质发生重大变化情况时,是否会带来合规风险等。第十五条 风险回顾评估。主要评估一定期限内已经发生的合规问题和案件,包括外部监管机构现场检查和监管意见对合规缺陷问题的纠正落实、行政处罚等;内部基层、部门或业务条线报告的合规风险信息和隐患的识别、评估和监测等;败诉、投诉和差错案件涉
10、及的合规性问题的纠正完善等。第十六条 管理体制评估。主要评估董事会、高管层和职能部门的管理职责的划分界定和落实;合规管理框架是否与经营范围、业务规模相适应,协作机制运行情况;合规管理队伍资质、经验、专业能力建设情况;内审部门对各项经营活动的审计评价;合规绩效考核制度、问责制度、诚信举报制度和合规文化建设等。第十七条 日常评估事项包括但不限于:(一)内部规章制度和业务操作流程是否符合合规法律、规则和准则的要求;(二)是否将合规法律、规则和准则落实到各具体环节和岗位;(三)是否通过有效途径和方式及时将合规法律、规则和准则及时传达贯彻到基层和所有员工;(四)在合规法律、规则和准则发生最新变化时,是否
11、对新增业务和存量业务的合规风险进行评估;(五)是否存在有章不循、违规操作等合规问题;(六)投诉、差错、败诉案件中,是否涉及合规性问题;(七)内外部审计检查报告中识别的合规缺陷和问题是否得到有效纠正;(八)银监、人行、外管等外部监管机构的现场检查报告和监管意见是否得到有效落实;(九)是否存在外部监管机构通报的合规事件及风险。第十八条 专项评估事项包括但不限于:(一)新产品和新业务的开发是否经过合规性审核和测试;(二)新产品和新业务的办理是否存在合规问题;(三)新业务方式拓展、新客户关系建立以及客户关系性质发生重大变化情况时,是否带来了合规风险;(四)在外部法律、规则、准则赋予最新合规要求时,是否
12、及时组织制定完善内部规章制度和业务操作流程;(五)在内部组织结构、业务发展及员工流动发生变化时,是否重新对业务流程进行梳理并视情况作出合理调整。第十九条 年度评估事项包括但不限于:(一)是否明确对内部规章制度和业务操作流程的制定部门和定期审阅的频率;(二)各部门和业务条线是否严格遵循合规法律、规则和准则开展经营管理活动;(三)是否明确业务活动应遵守的合规法律、规则和准则的具体范围;(四)各部门和业务条线在定期报告中,是否提供合规风险信息或风险点;(五)合规管理部门在合规风险识别、评估、监测和咨询等日常工作中,是否发现需引起足够重视的合规风险及隐患;(六)是否发生过合规问题和案件;(七)是否因合
13、规问题受到外部监管机构的行政处罚;(八)是否明确高管层和合规管理部门的管理职责,落实合规管理责任,管理人员是否尽职;(九)是否建立覆盖全部业务条线的合规管理队伍,合规管理人员是否具备必要资质、经验和专业能力;(十)合规管理部门和内审部门的职责划分是否清晰;(十一)是否在合规管理方面建立良好的协作机制;(十二)内审部门是否对全行各项经营活动的合规性进行审计评价;(十三)是否建立完善的合规绩效考核制度、问责制度和诚信举报制度;(十四)是否注重合规文化建设。第四章 评估方法第二十条 开展评估工作应加强研究识别、量化、监测和评估合规风险的方法和途径,探索建立合规风险监测指标体系和评估模型,采取系统化和
14、规范化的方法,科学评估本部门、本业务条线和本机构合规风险。第二十一条 基本方法。是指合规风险评估时采用查阅有关记录、档案、凭证资料等信息或询问有关员工、与员工进行接触和沟通的方法。第二十二条 运行指标分析比较法。通过收集或筛选可能预示潜在合规问题的数据,经统计、分析、比较数据之间的关系,分析数量变化原因,识别、计量和评估合规风险。第二十三条 符合性测试法。通过实施充分和有代表性的合规风险评估和测试(如问卷调查、个别访谈、现场审核等),了解内部规章制度和业务操作流程中的合规缺陷,确定各项政策和程序合规的可靠性。第二十四条 实质性检查法。通过推行合规自查、组织开展合规检查等方式,核查合规法律、规则
15、、准侧和内控制度的遵守执行情况,发现业务活动中的薄弱环节和合规风险点。第二十五条 风险动因分析法。通过收集、排查合规风险点,深入分析合规风险产生的具体原因,准确识别和评估合规风险发生的可能性及其影响程度。第五章 评估流程第二十六条 评估准备(一)组成评估组。评估组成员应当具备良好的品质、沟通能力和分析判断能力,能全面、正确理解合规法律、规则、准则和内控制度对银行经营活动的影响。日常评估组应当由熟悉本业务条线的2名以上人员组成。确定组长一名,负责日常评估的全面工作和评估组成员的具体职责分工。年度评估组应当由合规管理部门和内审部门的人员组成,必要时可抽调其他部门符合条件的人员参与评估工作。专项评估
16、组可根据实际需要参照自我评估组或年度评估组组成。评估组应当对评估成员开展必要的职业道德、分析能力和专业技能培训。(二)制定实施方案。评估组根据自身实际和合规风险管理的需要,按照“持续关注、点面结合、有所侧重”的原则,确定评估的目的、内容、范围、程序、操作步骤、分阶段任务和要求等,并确定评估的重点领域和深入程度。(三)准备工作文件。主要包括收集评估相关的法律和制度依据文件、数据和资料,拟定测试问卷,确定抽样比例和范围等。第二十七条 评估实施(一)全面排查。梳理内部规章制度和业务操作流程,比较运行指标数据,实施有代表性的合规测试,开展针对性合规检查,全面查找合规风险点。(二)获取信息。主动与相关人
17、员进行接触、沟通,尽可能多地获取与银行经营活动相关的合规风险信息和资料,对相关信息、资料进行梳理、筛选、归类、分析。(三)工作记录。经排查,结果为满意的,复制相关佐证材料留档。发现预示潜在合规问题的有关数据,进行确认和分析,并予以记录;发现合规性缺陷和问题的,记录测试和检查情况,并开展进一步的调查核实。(四)分类评估风险。根据盘点、排查和调查情况形成合规风险列表,深入分析合规风险形成和产生的具体原因,并根据合规风险发生的可能性及其对经营活动影响程度的大小进行分类评估。对风险度可参考高、中、低的标准;对合规风险管理有效性可参考强、可接受、弱的标准进行。第二十八条 评估报告(一)撰写评估报告。评估
18、组在对所评估事项的合规风险进行全面、准确、有效的识别和评估的基础上,对所评估事项进行客观表述和科学研判,形成整体合规风险评估报告。(二)评估报告内容。包括评估开展情况、报告期内合规风险状况及变化;已经识别的违规事件和合规缺陷;建议采取的纠正措施等。(三)合规风险评估报告应尽可能地量化评估事项因政策、制度、程序及客户、产品、服务所引发的合规风险,量化评估事项的经营管理活动风险暴露,形成对风险管理状况的明确评估结果。第二十九条 日常评估报告除上条(二)(三)款内容外,还应包括但不限于以下内容:(一)对合规问题的归类、比较和分析;(二)评估常规性合规问题的可接受程度和偶发性问题的可能后果;(三)对上
19、一评估阶段发现的合规问题所采取的控制措施的有效性作出评估;(四)为缓释合规问题风险提出下一阶段的控制计划、目标和责任人。第三十条 专项评估报告除第二十八条(二)(三)款内容外,还应包括但不限于以下内容:(一)评估新产品和新业务开发与办理是否存在充分的法律、法规和准则的依据;(二)评估新产品和新业务的操作办法、流程等内部制度缺陷的风险和可接受程度;(三)对新产品和新业务的内部制度和操作程序提出改进计划、目标和责任人。第三十一条 年度评估报告除第二十八条(二)(三)款内容外,还应包括但不限于以下内容(附件2):(一)对合规问题的总体风险水平作出分析和判断;(二)对整体的合规风险管理能力、所处阶段作
20、出分析和判断;(三)评估内外因素影响合规问题风险发展的趋势作出分析和判断;(四)为缓释合规问题风险提出下一阶段的控制计划、目标和责任人。第三十二条 评估报告的报送与审查。合规风险评估报告应遵循“双线报送”的原则。评估期结束后,评估组应在15个工作日内将评估报告分别报送总行高管层和总行法律与合规部。日常评估报告和专项评估报告应当提交总行法律与合规部审查,总行法律与合规部负责评价评估报告的有效性。年度评估报告直接提交总行高管层审查和评价。第三十三条 审查不能通过的评估报告,审查单位有权要求报送单位重新评估或者报送后续报告。报送单位应当就评估事项重新评估或就事项的进展情况、风险隐患、补救措施、责任落
21、实等情况进行持续报送。第三十四条 经审查严重不符实际的评估报告,应当追究报送单位的管理责任,扣减管理分值。情形严重的,报总行高管层按相关制度追究责任和处罚。第六章 评估结果的运用第三十五条 总行高管层和合规管理部门应充分利用合规风险评估结果,持续完善合规风险管理机制。第三十六条 总行法律与合规部应当以适当的方式披露已经审查通过的评估报告,研究和确定评估报告中提出的改进意见和建议。第三十七条 被评估单位应认真研究和分析评估报告提出的违规事项和风险状况,落实纠正和整改措施,并承担相关责任。第三十八条 总行各业务条线和法律与合规部应持续关注评估事项风险状况和违规事项的纠正、改正情况。对未按要求纠正、
22、改进的问题,应加强督促,并建议有权部门追究责任。第三十九条 法律与合规部可以合规风险评估为导向,针对当前阶段所面临的合规风险状况及时作出必要的预警和风险提示,并根据合规风险评估结果,研究制定下一阶段合规风险管理计划,提高合规风险管理的针对性和有效性。第七章 附则第四十条 本办法由总行法律与合规部负责解释。第四十一条 本办法自发布之日起实施。附件:1. xx银行合规风险分类评估登记表 2. 年度合规风险评估报告格式附件1:xx银行合规风险分类评估登记表(一)管理程序评估总体要求根据外部环境和条件变化,及时改进内部规章制度和业务操作流程,确保所有内部规章制度和业务操作流程的合规性和有效性。评估的主
23、要内容(1)是否明确对内部规章制度和业务操作流程的制定责任人和定期审阅频率;(2)是否定期审核内部规章制度和业务操作流程的合规性;(3)在外部法律、规则、准则赋予最新合规要求时,是否及时组织制定完善内部规章制度和业务操作流程;(4)在内部组织结构、业务发展及员工流动发生变化时,是否重视对业务流程进行梳理调整;(5)内部规章制度和业务操作流程是否符合合规法律、规则和准则要求;(6)是否将合规法律、规则和准则落实到具体环节和岗位。总述描述存在问题建议评估结论备注 评估人: 日期:xx银行合规风险分类评估登记表(二)业务活动评估总体要求明确在业务经营过程中与自身业务活动相关的合规法律、规则和准则的具
24、体对象范围,及时将合规法律、规则和准则传达贯彻到基层一线,确保合规法律、规则和准则得到共同遵守。评估的主要内容(1)是否明确业务活动应遵守的合规法律、规则和准则的具体范围;(2)是否通过有效途径和方式及时将合规法律、规则和准则及时传达贯彻到基层和所有员工;(3)在合规法律、规则和准则发生最新变化时,是否对新增业务和存量业务的合规风险进行评估;(4)新产品和新业务的开发是否经过合规性审核和测试;(5)新产品和新业务办理是否存在合规性问题;(6)新业务方式拓展、新客户关系建立以及客户关系性质发生重大变化情况时,是否给业务带来合规风险;(7)各业务条线基层操作是否严格遵循合规法律、规则和准则开展经营
25、管理活动;(8)是否存在有章不循、违规操作等问题。总述描述存在问题建议评估结论备注 评估人: 日期: xx银行合规风险分类评估登记表(三)风险回顾评估总体要求按照合规法律、规则、准则的要求,在各业务条线各个层面的支持和配合下,广泛收集、整理合规风险点。评估的主要内容(1)本业务条线是否发生过合规问题和案件;(2)投诉、差错、败诉案件中,是否涉及合规性问题;(3)各基层在定期报告中,是否提供合规风险信息或风险点;(4)合规部门在合规风险识别、评估、监测和咨询等日常工作中,是否发现需引起足够重视的合规风险及隐患;(5)内外部审计检查报告中识别的合规缺陷和问题是否得到有效纠正;(6)银监、人行、外管
26、等外部监管机构的现场检查报告和监管意见是否得到有效落实;(7)是否因合规问题受到外部监管机构的行政处罚;(8)是否存在外部监管机构通报的合规事件及风险。总述描述存在问题建议评估结论备注 评估人: 日期: xx银行合规风险分类评估登记表(四)管理体制评估(适用年度评估)总体要求建立与经营范围、组织结构和业务规模相适应的合规管理组织体系,明晰合规风险报告路径和要求,积极倡导合规、惩处违规、举报有功的价值观念。评估的主要内容(1)是否明确董事会、高管层和合规管理部门的管理职责,落实合规管理责任;(2)合规管理框架是否与经营范围、业务规模相适应;是否建立覆盖各业务条线的合规管理队伍,合规管理人员是否具
27、备必要资质、经验和专业能力;(3)合规管理部门及人员是否尽职;(4)合规管理部门和内审部门的职责划分是否清晰;(5)是否在合规管理方面建立良好的协作机制;(6)内审部门是否对银行各项经营性活动的合规性进行审计评价;(7)是否建立完善的合规绩效考核制度、问责制度和诚信举报制度;(8)是否注重合规文化建设。总述描述存在问题建议评估结论备注 评估人: 日期:附件2:年度合规风险评估报告格式xx银行* * 年度合规风险评估报告一、 合规风险评估开展情况(一)评估期限(二)评估小组组成情况(三)评估内容及依据(四)评估方法二、内在合规风险水平(高、中、低) (一)合规风险整体情况 1、本机构面临的主要合
28、规风险 2、报告期合规风险状况的变化情况 3、新产品、新业务和新客户关系的合规风险 (二)合规缺陷及纠正措施 1、已识别的违规事件和合规缺陷 2、违规事件和合规缺陷产生的原因 3、已采取的或建议采取的纠正措施 (三)合规风险的识别、计量、检测、管理和报告系统 1、风险识别、计量和检测手段的变化情况和有效性 2、风险识别和管理能力的评价 3、报告路线是否清晰、信息传递的及时性和完整性 4、量化方法和技术手段的运用三、合规风险管理能力(强、可接受、弱) (一)合规风险管理的有效性 1、董事会、高级管理层和合规负责人尽职情况 2、合规风险管理框架的有效性及在报告期的变动情况 3、合规风险管理人员的素质和工作能力 4、合规风险管理年度计划的执行情况 5、合规部门独立性和资源配备的充分性 6、合规文化建设 (二)内部审计 1、合规与内审的职责划分和协作关系 2、内部审计对全行各项经营性活动合规性审计的评价 3、审计识别的主要合规缺陷及纠正措施四、合规风险发展趋势(下降、稳定、上升) (一)内在因素:经营策略的变化;高级管理层的变动;合规风险管理架构的变化等。 (二)外部因素:金融市场环境变化;法律和监管要求变化等。五、下一年度合规风险管理计划