新规下商业银行的合规管理体系建设
2025-02-28
2024年12月27日,国家金融监督管理总局发布了《金融机构合规管理办法》(国家金融监督管理总局令2024年第7号)(以下称“7号令”),自2025年3月1日正式实施。7号令实施后,原银监会于2006年10月20日发布并实施的《商业银行合规风险管理指引》(银监发〔2006〕76号)(以下称“76号文件”)同时废止。
国内商业银行的合规管理始于76号文件,经过商业银行多年实践,76号文件在指导商业银行建立合规管理体系、强化合规管理工作等方面发挥了积极作用。随着金融业发展环境不断变化,商业银行合规管理的实践探索也在持续深化,76号文件不能有效适应新形势下商业银行合规管理的各项要求,所以国家金融监督管理总局在总结前期制度执行实践的基础上,结合新形势、新要求,发布了7号令。
虽然商业银行合规管理工作已经开展了18年,但依然面临严峻的合规管理挑战,合规管理问题层出不穷,典型体现在监管处罚方面,据不完全统计,2024年国家金融监督管理总局及下属省局、分局共向各类银行出具罚单4000多张,罚没总金额合计约14亿元,共有800多家各类银行机构(包括各分支机构)和3000多名银行从业人员被处罚。处罚涉及的领域包括包括公司治理、内部控制、信贷业务、理财业务、信用卡业务、反洗钱、员工行为管理等。7号令的发布对于新形势下商业银行合规管理提出了更高的要求,最终目的是指导商业银行建立横向到边、纵向到底的合规管理体系,将合规基因注入商业银行发展决策、业务经营的全过程、全领域,实现从“被动监管遵循”向“主动合规治理”的转变。
7号令规定过渡期为施行之日起一年,也即过渡期至2026年3月1日结束,不符合7号令规定的,应当在过渡期内完成整改。对于商业银行应如何在过渡期内对照7号令梳理和完善现有合规管理体系,如何提高依法合规经营能力,将合规管理有机融入公司治理体系、运营管理架构和业务流程,切实提升合规管理有效性,促进高质量发展,笔者认为可以从以下几个方面入手。
一、合规管理组织架构建设
商业银行合规管理组织架构可分为治理层、经理层、业务层。治理层包括党组织、董事会等。经理层包括高级管理人员、首席合规官、合规官等。业务层可分为三道防线,第一道防线是业务部门或职能部门(内设合规管理员),第二道防线是合规管理部门,第三道防线是审计监督部门。商业银行可以根据自身实际情况设计行之有效的合规管理组织架构。
(一)党组织
国有商业银行中的党组织,应当充分发挥领导作用,将党的领导与公司治理有机结合,支持商业银行依法行使职权。
非国有商业银行中的党组织,应当引导和监督商业银行贯彻党的方针政策,遵守国家法律法规,维护各方合法权益,促进商业银行健康发展。
(二)董事会
商业银行的董事会在合规管理中处于核心地位,董事会应制定清晰的合规战略和政策,确保合规与银行的整体经营目标相一致,董事对合规管理的有效性承担最终责任。
董事会可以下设合规委员会或者由董事会下设的其他专门委员会履行合规管理相关职责。
(三)高级管理人员
高级管理人员负责执行合规政策,将合规要求融入日常业务管理中,对主管或者分管领域业务合规性承担领导责任。
(四)首席合规官
金融机构在机构总部设立首席合规官,作为高级管理人员,接受机构董事长和行长(总经理)直接领导,向董事会负责,由董事会决定聘任、解聘。设立首席合规官进一步提升合规管理的独立性和权威性。
首席合规官可以根据商业银行自身经营情况单独设立,也可以高级管理人员兼任。首席合规官对本机构及其员工的合规管理负专门领导责任。
(五)各部门、机构及主要负责人
商业银行各业务及职能部门、下属各机构负责本条线本领域合规规范的严格执行与有效落实,积极配合合规管理部门的工作,承担合规的主体责任。
商业银行各部门主要负责人,各分支机构和纳入并表管理的各层级金融子公司主要负责人,负责落实本部门、本级机构的合规管理目标,对本部门、本级机构合规管理承担首要责任。
(六)合规官
商业银行原则上应当在省级分支机构或者一级分支机构设立合规官,合规官是本级机构高级管理人员,接受本级机构行长(总经理)直接领导。合规官可以根据自身经营情况单独设立,也可以由省级分支机构或者一级分支机构的高级管理人员兼任。
(七)合规管理部门
商业银行总部合规管理部门向首席合规官负责,按照机构规定和首席合规官的安排履行合规管理职责。
省级分支机构或者一级分支机构合规管理部门向本级机构合规官负责,按照本级机构规定和合规官安排履行合规管理职责。下属各机构合规管理部门接受上级合规管理部门的指导和监督。
合规管理部门承担合规的管理责任,组织、协调、推动各部门和下属各机构开展合规管理工作。
(八)合规管理员
商业银行应当为合规管理部门以外的其他部门配备专职或者兼职从事合规工作的人员。鼓励并支持金融机构建立上述人员向同级合规管理部门负责的机制。
(九)境外机构及子公司合规部门
商业银行的境外金融分支机构及境外金融子公司,应当遵循东道国(地区)法律法规和监管要求,并且设立独立的合规管理部门或者符合履职需要的合规岗位,负责根据境外业务、市场情况、相关司法辖区法律法规以及执法环境等因素,识别和防范合规风险,培养专业合规人才。
(十)审计部门
商业银行内部审计部门承担合规的监督责任,对机构经营管理的合规性进行审计,并与合规管理部门建立有效的信息交流机制。
二、合规管理制度建设
商业银行进行合规管理制度建设是应对复杂市场环境和严监管环境的必然要求,对提升商业银行竞争力和可持续健康发展都具有重要意义。商业银行合规管理制度可分为三部分,分别为合规管理基本制度、具体合规管理制度、具体业务管理制度。
(一)合规管理基本制度
为实现商业银行的合规管理目标,商业银行应制定或修订合规管理基本制度,如商业银行应结合监管部门要求和实际经营需要,在合规管理办法中明确合规管理基本原则、合规管理组织架构和职责、合规管理重点、合规管理保障、合规管理运行机制、合规文化、信息化建设、监督问责等内容。同时,商业银行需要从合规层面进一步完善“三重一大”决策管理办法、公司章程、董事会议事规则等。
(二)具体合规管理制度
在商业银行合规管理基本制度的框架下,根据商业银行经营和管理需要,商业银行需要制定合规管理人员选聘与管理制度、合规考核奖惩制度、合规审查制度、合规尽职免责制度、合规管理文化建设方案等具体合规管理制度。目的是建立完善的合规管理队伍,建立相对独立的考核评价体系,将合规审查、合规文化植入商业银行发展决策、业务经营的全过程、全领域,及时纠正违规行为,有效化解风险隐患。
(三)具体业务管理制度
在商业银行合规管理基本制度的框架下,根据商业银行经营和管理需要,商业银行需要制定并定期更新包括资产负债管理、信贷业务、理财业务、同业业务、表外业务、结算业务等各业务条线的具体合规管理制度,以及内部审计、信息科技、风险管理、员工行为规范等方面的制度,形成完整、严密的制度体系。
三、合规管理重点领域
商业银行合规管理重点领域通常包括公司治理、信贷业务、理财业务、同业业务、表外业务、不良资产、反洗钱和反恐怖融资、金融消费者权益保护、数据安全、员工行为管理等。不同的商业银行可针对自身实际情况对合规管理重点领域进行调整,合规管理重点领域确定后,商业银行应针对重点领域应梳理并完善相关具体制度,并由合规管理部门、职能部门、业务部门等共同编制重点领域合规风险清单及防控措施、岗位或部门合规手册等。
(一)公司治理
1.监管重点
监管部门对商业银行公司治理监管的主要内容包括:党的领导,股权和关联交易管理,公司治理监管评估,主要负责人履职,大股东行为规范,“三会一层”规范运作,激励约束和内部控制,信息披露等。
2.良好公司治理标准
商业银行公司治理有明确的标准,根据《银行保险机构公司治理准则》(银保监发〔2021〕14号)规定,银行机构应当持续提升公司治理水平,逐步达到良好公司治理标准。良好公司治理包括但不限于以下内容:
(一)清晰的股权结构;(二)健全的组织架构;(三)明确的职责边界;(四)科学的发展战略;(五)高标准的职业道德准则;(六)有效的风险管理与内部控制;(七)健全的信息披露机制;(八)合理的激励约束机制;(九)良好的利益相关者保护机制;(十)较强的社会责任意识。
3.新公司法衔接
对于商业银行公司治理如何与新公司法衔接,根据《国家金融监督管理总局关于公司治理监管规定与公司法衔接有关事项的通知》(金规〔2024〕23号)规定,金融机构可以按照公司章程规定,在董事会中设置由董事组成的审计委员会,行使公司法和监管制度规定的监事会职权,不设监事会或者监事。职工人数三百人以上的金融机构,除依法设监事会并有职工监事的外,其董事会成员中应当有职工董事。职工董事由公司职工通过职工代表大会、职工大会或者其他形式民主选举产生。高级管理人员和监事不得兼任职工董事。金融机构按照本通知开展相关工作过程中,应加强与股东、职工等利益相关方的沟通,结合实际稳妥有序做好章程修改和人员选任等工作,不断完善公司治理结构,提升公司治理效能。
4.关联交易
对于中小商业银行普遍面临的关联交易合规问题,根据《银行保险机构关联交易管理办法》(中国银行保险监督管理委员会令〔2022〕1号)规定,银行保险机构开展关联交易应当遵守法律法规和有关监管规定,健全公司治理架构,完善内部控制和风险管理,遵循诚实信用、公开公允、穿透识别、结构清晰的原则。银行保险机构不得通过关联交易进行利益输送或监管套利,应当采取有效措施,防止关联方利用其特殊地位,通过关联交易侵害银行保险机构利益。银行保险机构应当维护经营独立性,提高市场竞争力,控制关联交易的数量和规模,避免多层嵌套等复杂安排,重点防范向股东及其关联方进行利益输送的风险。
(二)信贷业务
1.贷前调查
贷前调查应实行全流程管理,全面了解客户信息,对于商业银行发放固定资产贷款、流动资金贷款、个人贷款、项目贷款等,需要满足不同的贷前调查合规要求,以发放流动资金贷款为例,《流动资金贷款管理暂行办法》(国家金融监督管理总局令2024年第2号)规定,贷款人应采取现场与非现场相结合的形式履行尽职调查,形成书面报告,并对其内容的真实性、完整性和有效性负责。为小微企业办理的流动资金贷款,贷款人通过非现场调查手段可有效核实相关信息真实性,并可据此对借款人作出风险评价的,可简化或不再进行现场调查。贷款人应根据自身风险管理能力,按照小微企业流动资金贷款的区域、行业、品种等,审慎确定借款人可简化或不再进行现场调查的贷款金额上限。
尽职调查包括但不限于以下内容:
(一)借款人的组织架构、公司治理、内部控制及法定代表人和经营管理团队的资信等情况;(二)借款人的经营范围、核心主业、生产经营、贷款期内经营规划和重大投资计划等情况;(三)借款人所在行业状况;(四)借款人的应收账款、应付账款、存货等真实财务状况;(五)借款人营运资金总需求和现有融资性负债情况;(六)借款人关联方及关联交易等情况;(七)贷款具体用途及与贷款用途相关的交易对象资金占用等情况;(八)还款来源情况,包括经营产生的现金流、综合收益及其他合法收入等;(九)对有担保的流动资金贷款,还需调查抵(质)押物的权属、价值和变现难易程度,或保证人的保证资格和能力等情况。
2.贷中审查
笔者仍然以发放流动资金贷款为例,《流动资金贷款管理暂行办法》(国家金融监督管理总局令2024年第2号)规定,贷款人应根据贷审分离、分级审批的原则,建立规范的流动资金贷款评审制度和流程,确保风险评价和信贷审批的独立性。贷款人应建立健全内部审批授权与转授权机制。审批人员应在授权范围内按规定流程审批贷款,不得越权审批。贷款人为股东等关联方办理流动资金贷款的,应严格执行关联交易管理的相关监管规定,发放贷款条件不得优于一般借款人,并在风险评价报告中进行说明。审批流程不规范,存在逆程序审批、越权审批等情况。
3.贷后检查
笔者还是以发放流动资金贷款为例,《流动资金贷款管理暂行办法》(国家金融监督管理总局令2024年第2号)规定,贷款人应加强对借款人资金挪用行为的监控,发现借款人挪用贷款资金的,应按照合同约定采取要求借款人整改、提前归还贷款或下调贷款风险分类等相应措施进行管控。贷款人应加强贷款资金发放后的管理,针对借款人所属行业及经营特点,通过定期与不定期现场检查与非现场监测,分析借款人经营、财务、信用、支付、担保及融资数量和渠道变化等状况,掌握各种影响借款人偿债能力的风险因素。对于简化或不再进行现场实地调查的业务,应当按照适当比例实施贷后实地检查。
4.贷款分类
商业银行应至少将贷款划分为正常、关注、次级、可疑和损失五类,后三类合称为不良贷款。对贷款以外的各类资产,包括表外项目中的直接信用替代项目,也应根据资产的净值、债务人的偿还能力、债务人的信用评级情况和担保情况划分为正常、关注、次级、可疑、损失五类,其中后三类合称为不良资产。
(三)理财业务
为了规范商业银行理财业务的发展,防范金融风险,监管部门单独或联合出台了一系列严格的监管政策,为商业银行理财业务的合规发展提供了明确的指导和约束。以下为简要介绍:
1.分类管理
商业银行应当根据募集方式的不同,将理财产品分为公募理财产品和私募理财产品。商业银行应当根据投资性质的不同,将理财产品分为固定收益类理财产品、权益类理财产品、商品及金融衍生品类理财产品和混合类理财产品。商业银行应当根据运作方式的不同,将理财产品分为封闭式理财产品和开放式理财产品。
2.登记管理
商业银行总行应在全国银行业理财信息登记系统对理财产品进行集中登记。公募理财产品在销售前10日,私募理财产品在销售前2日进行登记等,并持续登记相关信息。
3.理财产品风险评级
商业银行应当采用科学合理的方法,根据理财产品的投资组合、同类产品过往业绩和风险水平等因素,对拟销售的理财产品进行风险评级。理财产品风险评级结果应当以风险等级体现,由低到高至少包括一级至五级,并可以根据实际情况进一步细分。
4.非机构投资者风险承受能力评级
商业银行应当对非机构投资者的风险承受能力进行评估,确定投资者风险承受能力等级,由低到高至少包括一级至五级,并可以根据实际情况进一步细分。商业银行不得在风险承受能力评估过程中误导投资者或者代为操作,确保风险承受能力评估结果的真实性和有效性。
5.投资者适当性管理
商业银行销售理财产品,应当加强投资者适当性管理,向投资者充分披露信息和揭示风险,不得宣传或承诺保本保收益,不得误导投资者购买与其风险承受能力不相匹配的理财产品。
6.投资运作管理
商业银行理财产品不得直接投资于信贷资产,不得直接或间接投资于本行信贷资产,不得直接或间接投资于本行或其他银行业金融机构发行的理财产品,不得直接或间接投资于本行发行的次级档信贷资产支持证券。商业银行面向非机构投资者发行的理财产品不得直接或间接投资于不良资产、不良资产支持证券,国务院银行业监督管理机构另有规定的除外。
7.信息披露
商业银行应当按照国务院银行业监督管理机构关于信息披露的有关规定,每半年披露其从事理财业务活动的有关信息,披露的信息应当至少包括以下内容:当期发行和到期的理财产品类型、数量和金额、期末存续理财产品数量和金额,列明各类理财产品的占比及其变化情况,以及理财产品直接和间接投资的资产种类、规模和占比等信息。
(四)同业业务
1.治理体系要求
商业银行应具备与所开展同业业务规模和复杂程度相适应的同业业务治理体系,由法人总部对同业业务进行统一管理,将同业业务纳入全面风险管理,建立健全前中后台分设的内部控制机制,加强内部监督检查和责任追究,确保同业业务经营活动依法合规,风险得到有效控制。
2.专营部门制
商业银行开展同业业务实行专营部门制,由法人总部建立或指定专营部门负责经营。商业银行同业业务专营部门以外的其他部门和分支机构不得经营同业业务,已开展的存量同业业务到期后结清;不得在金融交易市场单独立户,已开立账户的不得续做业务,并在存量业务到期后立即销户。
3.业务授权
商业银行应建立健全同业业务授权管理体系,由法人总部对同业业务专营部门进行集中统一授权,同业业务专营部门不得进行转授权,不得办理未经授权或超授权的同业业务。
4.授信管理
商业银行应建立健全同业业务授信管理政策,由法人总部对表内外同业业务进行集中统一授信,不得进行多头授信,不得办理无授信额度或超授信额度的同业业务。
5.交易对手管理
商业银行应建立健全同业业务交易对手准入机制,由法人总部对交易对手进行集中统一的名单制管理,定期评估交易对手信用风险,动态调整交易对手名单。
6.监管套利
监管部门重点严查 “三套利”,即监管套利、空转套利、关联套利,主要是指商业银行在开展同业业务、投资业务、理财业务等业务中,为了规避信贷规模、资金投向、资本管理、信用风险等,而在跨市场、跨行业交叉性金融业务中存在杠杆高、嵌套多、链条长、套利多等问题。
(五)表外业务
1.治理架构
董事会对表外业务的管理承担最终责任,负责制定表外业务的发展战略,审批重要的业务管理、风险管理政策和程序等。
高级管理层承担表外业务的经营管理责任,负责执行董事会对于表外业务的决议,制定表外业务的经营计划、政策流程、管理措施等,审批表外业务种类,组织实施。
监事会负责对董事会和高级管理层在表外业务管理中的履职情况进行监督评价。
2.风险管理
商业银行应当将表外业务纳入全面风险管理体系,应当准确识别各类表外业务风险,并根据业务种类和风险特征实行差异化风险管理。应当建立表外业务风险限额管理制度,根据业务规模、性质、复杂程度和外部市场发展变化情况等因素,确定需要设定风险限额的业务,并设定相应的风险限额。商业银行不得开展与本行发展定位、业务规模及风险管理能力不相匹配的表外业务。
3.信息披露
商业银行应当按照企业会计准则、监管规定以及委托协议的约定等对表外业务情况进行信息披露。信息披露的内容包括但不限于各类表外业务的规模、结构、风险状况等。对于应当由表外业务合作机构披露的信息,商业银行应当加强与合作机构沟通,及时掌握其拟披露信息的内容。
(六)不良资产
1.转让
不良资产批量转让工作应坚持依法合规、公开透明、竞争择优、价值最大化原则。依法合规原则:转让资产范围、程序严格遵守国家法律法规和政策规定,严禁违法违规行为;公开透明原则:转让行为要公开、公平、公正,及时充分披露相关信息,避免暗箱操作,防范道德风险;竞争择优原则:要优先选择招标、竞价、拍卖等公开转让方式,充分竞争,避免非理性竞价;价值最大化原则:转让方式和交易结构应科学合理,提高效率,降低成本,实现处置回收价值最大化。
2.诉讼执行
商业银行诉讼执行无论从程序还是到实体,均有其固定的特点,如大多数业务法律关系单一,债权债务关系清晰,争议不大,但随着新市场环境下商业银行业务的综合化和复杂化,基础法律关系与其他法律存在越来越多的交叉,如存在刑民交叉,如存在与公司法、破产法等的交叉。
3.准备金计提
金融企业应当根据提取呆账准备的资产的风险大小确定呆账准备的计提比例。呆账准备期末余额最高为提取呆账准备资产期末余额的100%,最低为提取呆账准备资产期末余额的1%。呆账准备必须根据资产的风险程度足额提取。呆账准备提取不足的,不得进行税后利润分配。金融监管部门有权要求金融企业根据其资产的风险程度足额提取呆账准备。
4.债转股
债转股遵循法治化原则、按照市场化方式有序开展,遵循法治,防范风险。债转股应健全审慎监管规则,确保银行转股债权洁净转让、真实出售,有效实现风险隔离,防止企业风险向金融机构转移。明确政府责任范围,政府不承担损失的兜底责任。
5.呆账核销
金融企业核销呆账应当遵循“符合认定条件、提供有效证据、账销案存、权在力催”的基本原则。对于核销后的呆账,金融企业要继续尽职追偿,尽最大可能实现回收价值最大化。
(七)反洗钱和反恐怖融资
1.内控制度
商业银行应当按照规定,结合本机构经营规模以及洗钱和恐怖融资风险状况,建立健全反洗钱和反恐怖融资内部控制制度。
2.自评估制度
商业银行应当在总部层面建立洗钱和恐怖融资风险自评估制度,定期或不定期评估洗钱和恐怖融资风险,经董事会或者高级管理层审定之日起10个工作日内,将自评估情况报送中国人民银行或者所在地中国人民银行分支机构。
3.人员配备
商业银行应当任命或者授权一名高级管理人员牵头负责反洗钱和反恐怖融资管理工作,并采取合理措施确保其独立开展工作以及充分获取履职所需权限和资源。
商业银行应当根据本机构经营规模、洗钱和恐怖融资风险状况和业务发展趋势配备充足的反洗钱岗位人员,采取适当措施确保反洗钱岗位人员的资质、经验、专业素质及职业道德符合要求,制定持续的反洗钱和反恐怖融资培训计划。
4.客户调查
商业银行在与客户建立业务关系、办理规定金额以上一次性交易和业务关系存续期间,怀疑客户及其交易涉嫌洗钱或恐怖融资的,或者对先前获得的客户身份资料的真实性、有效性或完整性存疑的,应当开展客户尽职调查。
5.客户身份资料及交易记录保存
商业银行应当保存的客户身份资料包括记载客户身份信息以及反映商业银行开展客户尽职调查工作情况的各种记录和资料。商业银行应当保存的交易记录包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。客户身份资料自业务关系结束后或者一次性交易结束后至少保存5年,交易记录自交易结束后至少保存5年。
6.保密
商业银行及其工作人员对依法履行反洗钱义务获得的客户身份资料和交易信息应当予以保密。非依法律规定,不得向任何单位和个人提供。商业银行及其工作人员应当对报告可疑交易、配合中国人民银行调查可疑交易活动等有关反洗钱工作信息予以保密,不得违反规定向客户和其他人员提供。
(八)金融消费者权益保护
1.内控制度
商业银行应当落实法律法规和相关监管规定关于金融消费者权益保护的相关要求,建立健全金融消费者权益保护的各项内控制度:
(一)金融消费者权益保护工作考核评价制度。(二)金融消费者风险等级评估制度。(三)消费者金融信息保护制度。(四)金融产品和服务信息披露、查询制度。(五)金融营销宣传管理制度。(六)金融知识普及和金融消费者教育制度。(七)金融消费者投诉处理制度。(八)金融消费者权益保护工作内部监督和责任追究制度。(九)金融消费者权益保护重大事件应急制度。(十)中国人民银行明确规定应当建立的其他金融消费者权益保护工作制度。
2.经营规范
商业银行应当对金融产品和服务的风险及专业复杂程度进行评估并实施分级动态管理,完善金融消费者风险偏好、风险认知和风险承受能力测评制度,将合适的金融产品和服务提供给适当的金融消费者。保障金融消费者财产安全权、知情权、自主选择权、公平交易权、依法求偿权、受教育权、受尊重权、信息安全权。
3.消费者金融信息保护
商业银行处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。商业银行不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息。银行、支付机构不得以金融消费者不同意处理其金融信息为由拒绝提供金融产品或者服务,但处理其金融信息属于提供金融产品或者服务所必需的除外。
4.消费争议解决
商业银行应当通过金融消费者方便获取的渠道公示本机构的投诉受理方式,包括但不限于营业场所、官方网站首页、移动应用程序的醒目位置及客服电话主要菜单语音提示等。应当按照中国人民银行要求,加强对金融消费者投诉处理信息系统的建设与管理,对投诉进行正确分类并按时报送相关信息,不得迟报、漏报、谎报、错报或者瞒报投诉数据。
(九)数据安全
1.数据安全治理
商业银行应当建立覆盖董(理)事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构,明确岗位职责和工作机制,落实资源保障。应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任,商业银行主要负责人为数据安全第一责任人,分管数据安全的高级管理人员为直接责任人,明确各层级负责人的责任,明确违规情形和责任追究事项,落实问责处置机制。
2.数据分类分级
商业银行应当制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,采取差异化安全保护措施。应当对机构业务及经营管理过程中获取、产生的数据进行分类管理,数据类型包括客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。应当根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。
3.数据安全管理
商业银行应当制定数据安全管理办法,明确管理责任分工,建立包括数据处理全生命周期管控机制,落实保护措施。应当对数据外部引入或者合作共享、数据出境等,制定安全管理实施细则。应当建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图,以数据分类分级为基础明确数据保护对象,围绕数据处理活动实施安全管理。
4.数据安全技术保护
商业银行应当将敏感级及以上数据纳入信息系统保护。在数据全生命周期内采取有效的访问控制管理措施,对于不同区域流转和共享中的数据,应当实施同等水平的安全防护措施。多来源敏感级及以上数据汇聚集中后,应当采取加强性或者至少不低于集中前最高级别数据保护强度的安全措施。
5.个人信息保护
商业银行处理个人信息前,应当真实、准确、完整地向个人告知其个人信息的处理目的、处理方式、处理的个人信息种类、保存期限,个人行使其信息权利的申请受理和处理程序,以及法律法规规定应当告知的其他事项。银行保险机构应当制定个人信息处理规则,个人信息处理规则应当公开展示、易于访问、内容明确、清晰易懂。
6.数据安全风险监测与处置
商业银行应当对数据安全威胁进行有效监测,实施监督检查,主动评估风险,防止数据篡改、破坏、泄露、非法利用等安全事件发生。应当建立数据安全事件应急管理机制,建立机构内部协调联动机制,建立服务提供商、第三方合作机构数据安全事件的报告机制,及时处置风险隐患及安全事件。
7.外包管理
商业银行董事会对外包负最终管理责任,应推动和完善外包风险管理体系建设,确保商业银行有效应对外包风险。商业银行应根据信息科技战略规划制定数据中心外包策略;应制定数据中心服务外包管理制度、流程,建立全面的风险控制机制。
(十)员工行为管理
1.管理架构
商业银行应建立覆盖全面、授权明晰、相互制衡的从业人员行为管理体系,并明确董事会、监事会、高级管理层和相关职能部门在从业人员行为管理中的职责分工。
2.制度建设
商业银行应制定与自身业务复杂程度相匹配的行为守则供全体从业人员遵循。行为守则应有利于商业银行的稳健经营和风险防控。行为守则应包括但不限于从业人员的行为规范、禁止性行为及其问责处罚机制等。商业银行应及时对行为守则进行更新和修订,以适应经营环境和监管要求的变化。
商业银行应制定覆盖各业务条线的行为细则,各业务条线的行为细则应符合不同业务条线的特点,突出各业务条线中关键岗位的行为要求,并重点关注该业务条线中的不当行为可能带来的潜在风险。商业银行应及时对行为细则进行更新和修订,以适应经营环境和监管要求的变化。
3.监管要求
商业银行应当将本机构制定的从业人员行为守则及其细则报送银行业监督管理机构,并每年至少报送一次本机构从业人员行为评估报告,报告应至少包括本机构从业人员行为管理的治理架构、制度建设、从业人员不当行为等内容。
四、合规管理保障机制
7号令第三章专章规定了合规管理保障的具体要求,包括人员配备、薪酬管理、绩效考核、知情权和调查权等,以保障商业银行合规管理工作的有效开展。
(一)人员配备与专业要求
商业银行应当为合规管理部门配备充足的、具备与履行合规管理职责相适应专业知识和技能的合规管理人员。合规管理部门应当主要由具有法律或者经济金融专业学历背景的人员组成。
商业银行各部门、下属各机构应当配备与业务规模、风险管控难度相匹配的专职或者兼职合规管理人员。
(二)双线汇报
商业银行应当保证合规官报告的独立性,实行双线汇报,以向首席合规官汇报为主,并向本级机构行长(总经理)汇报。
(三)知情权和调查权
商业银行应当保障首席合规官及合规官、合规管理部门及人员履行职责所需的知情权和调查权。首席合规官及合规官有权根据履行职责需要,参加或者列席有关会议,查阅、复制有关文件、资料。商业银行召开董事会会议、经营决策会议等重要会议的,应当提前通知首席合规官。
首席合规官、合规官根据履行职责需要,有权向有关部门或者下属各机构进行质询和取证,要求商业银行有关人员对相关事项作出说明,向外部审计、法律服务等中介机构了解情况。
(四)独立性
商业银行应当保障首席合规官、合规官的独立性,决定解聘首席合规官、合规官的,应当有正当理由。正当理由包括首席合规官、合规官本人申请,或者被国家金融监督管理总局及其派出机构责令更换,或者有证据证明其无法正常履职、未能勤勉尽责等情形。
(五)薪酬管理
商业银行应当建立首席合规官、合规官、合规管理人员薪酬管理机制。首席合规官工作称职的,其年度薪酬收入总额原则上不低于同等条件(同职级、同考核结果)高级管理人员的平均水平。合规官及合规管理人员工作称职的,其年度薪酬收入总额原则上不低于所在机构同等条件(同岗位类型、同职级、同考核结果)人员的平均水平。国家对国有金融企业薪酬标准另有规定的,从其规定。
(六)考核管理
商业银行应当制定首席合规官、合规官、合规管理部门及专职合规管理人员的考核管理制度,除机构主要负责人外,不得采取非分管合规管理部门的高级管理人员评价、其他部门评价、以业务部门的经营业绩为依据等不利于合规独立性的考核方式;不得将需要各部门合力完成的合规工作单独作为合规管理部门的考核指标。
商业银行应当建立合规工作考核制度,将内设部门、下属各机构合规管理质效纳入考核,并将合规管理情况纳入对下属各机构负责人的年度综合考核。商业银行应当强化考核结果运用,将合规职责履行情况作为员工考核、人员任用、评优评先等工作的重要依据。
(七)加强监督
商业银行内部审计部门应定期对合规管理体系的有效性进行审计,对业务部门和合规管理部门的工作进行独立检查和评价。同时,利用科技手段,加强对业务操作和合规风险的实时监测和预警。对于违反法律法规、监管规定和内部制度的行为,要严肃追究相关人员的责任,做到 “尽职免责、失职问责”。
五、合规管理文化建设
合规文化是商业银行在长期经营管理过程中形成的价值观、经营理念和行为准则等,优秀的合规文化促进商业银行的可持续发展。合规管理文化建设可以在商业银行内部塑造统一的合规价值观,基于共同的合规价值观,全员能够更积极主动地认识并调整自身行为,避免因违反合规规定带来的风险。
(一)合规理念
商业银行应当深化合规文化建设,确立合规从高层做起、全员主动合规、合规创造价值等理念,营造不敢违规、不能违规、不想违规的合规文化氛围,促进金融机构自身合规与外部监管有效互动。
(二)领导示范
商业银行各级领导干部要以身作则,带头遵守合规制度,践行合规理念,将合规要求融入日常管理和决策中,为员工树立榜样,形成“上行下效”的良好合规氛围。
(三)合规培训
商业银行应制定年度合规培训计划,加大对全体员工的培训力度,针对不同层级、不同岗位的员工,设计分层分类的合规培训课程,并将合规管理作为董事、高级管理人员初任、重点合规风险岗位人员业务培训、新员工入职必修内容,持续提升员工合规意识。
(四)合规管理交流
通过召开例会、部门交流会,组织或参加同业或兄弟单位合规管理交流活动等方式,有效沟通信息,交流合规管理经验,不断巩固与提高全员的合规意识与合规管理水平。
(五)跨部门协作
在合规管理文化建设中,合规是商业银行全员的共同责任,应积极促进各部门之间的协作,具体可通过开展跨部门合规项目、联合培训等活动,增进部门间的了解与合作,打破部门壁垒,形成合规管理的合力。
(六)总结表彰
总结合规履行的正面与负面典型,定期召开总结表彰会议,分享合规履职优秀案例与经验,表彰合规履职先进部门与个人,正向鼓励全员积极参与合规管理相关工作。
六、合规管理信息化建设
随着5G、云计算、人工智能、物联网等技术在银行业加速应用,结合我国金融监管与产业政策导向、金融科技发展情况,银行内控合规管理进一步与技术深度融合,赋能于银行业务发展和管理需求,存在着巨大的发展空间。
我国监管部门亦明确商业银行应当加强合规管理信息化建设,可以运用信息化手段将合规要求和业务管控措施嵌入流程,针对关键节点加强合规审查,强化过程管控,充分运用数字化、智能化等手段,不断提升合规管理效能。
(一)合规与业务融合
商业银行合规管理信息系统应与商业银行的各项业务紧密结合,将合规要求嵌入到业务流程中。避免出现系统与业务 “两张皮” 的现象,确保合规管理工作能够真正落地。在系统建设过程中,要充分考虑业务的多样性和变化性,使系统具有良好的扩展性和灵活性,能够适应业务发展的需要。
(二)风险监测全覆盖
商业银行可以利用信息技术手段,建立覆盖全行业务的合规风险监测系统,实时收集、分析业务数据和操作信息,及时发现潜在的合规风险点。通过设置风险预警指标和阈值,当出现异常情况时能够及时发出预警信号,以便合规管理部门和相关业务部门及时采取措施进行风险处置。
(三)持续优化和提升
商业银行合规管理部门与各业务部门保持密切沟通,及时掌握新业务模式、新产品推出等动态,根据业务发展需求,对系统的功能模块进行灵活配置和扩展。对系统的操作界面和流程进行优化,减少不必要的操作步骤,根据不同用户的角色和需求,为其提供个性化的功能和服务。利用人工智能和机器学习算法,对海量的合规数据进行分析和挖掘,提高合规风险的识别和预警能力。
七、合规管理有效性评价
商业银行合规管理有效性评价关乎商业银行自身的稳健合规运营和可持续发展,通过合规管理有效性评价,确保各项指标符合监管要求,维持良好的监管评级。合规管理有效性评价还能深入挖掘业务流程中隐藏的风险点,同时良好的合规形象有助于商业银行在金融市场中树立正面的品牌形象,吸引更多的投资者和合作伙伴。
(一)有效性评价分类
有效性评价包括定期评价和专项评价。合规管理牵头部门制定合规管理体系有效性的评价方案,定期组织对公司合规管理的有效性进行评价。合规管理牵头部门认为有必要的,可以组织针对公司的重点业务进行专项评价。必要时,也可以聘请外部的专业机构进行合规管理有效性评价。
(二)有效性评价内容
合规管理体系的有效性,主要是指合规管理体系是否正常运行、合规管理体系能否有效防范和应对合规风险,主要评价内容包括:
1.合规职责及履职
包括商业银行是否清晰界定董事会、高级管理层、首席合规官、合规管理部门及其他相关部门在合规管理中的职责,以及各自职责的履行情况等。
2.人员配备
包括合规管理人员数量是否充足,是否与商业银行业务规模、复杂程度及风险水平相匹配。合规人员是否具备金融知识、法律合规知识及相关业务经验等。
3.合规保障
包括首席合规官及合规官、合规管理部门及人员履行职责所需的知情权和调查权是否可以保障,薪酬是否符合相关规定,合规管理部门是否独立于业务部门,合规人员考核是否独立于业务部门经营业绩等。
4.合规管理制度
包括合规管理制度是否涵盖商业银行所有业务领域、管理流程及员工行为。制度是否随法律法规、监管要求变化及业务发展及时更新等。
5.风险识别
包括商业银行是否全面识别合规风险,能否准确量化风险程度。不准确的风险评估可能导致对高风险业务重视不足,或对低风险业务过度管控等。
6.合规审查
包括业务开展前的合规审查流程是否严格执行,对新产品、新业务、新合作等是否进行全面合规审查。是否建立实时监控机制,对业务运行中的合规情况进行持续跟踪等。
7.合规培训
包括是否按年度合规培训计划开展培训,培训内容是否全面且贴合实际需求。通过考试、问卷调查等方式,评估员工对合规知识和技能的掌握程度及在工作中的应用情况等。
8.合规文化建设
包括商业银行高层管理人员是否以身作则,践行合规理念,在决策和日常工作中体现合规要求。商业银行员工在日常业务操作、管理活动中是否自觉遵守合规制度和流程等。
9.信息化建设
包括合规管理信息系统是否具备将合规要求嵌入业务流程、自动化合规审查、风险监测预警等功能。系统是否易于操作,能否稳定运行等。
(三)评价结果应用
1.评价结果审议决策
在有效性评价完成之后,商业银行总行合规管理牵头部门报首席合规官审核后将有效性评价的结果和完善方案提交董事会进行审议决策。省级分支机构或者一级分支机构合规管理牵头部门报合规官审核后将有效性评价的结果和完善方案提交经营管理层审议决策,并报总行备案,总行有权提出指导意见。
2.合规管理体系完善
总行层面由董事会根据有效性评价的结果以及完善方案,决定全行合规管理体系的修改和完善,不断优化合规管理体系。省级分支机构或者一级分支机构层面由经营管理层根据有效性评价的结果以及完善方案,决定本层级合规管理体系的修改和完善。
参考文献:
《金融机构合规管理办法》国家金融监督管理总局令2024年第7号(尚未生效)
《中央企业合规管理办法》国务院国有资产监督管理委员会令第42号
《中央企业合规管理指引(试行)》国资发法规〔2018〕106号
《银行保险机构公司治理准则》(银保监发〔2021〕14号)
《流动资金贷款管理办法》国家金融监督管理总局令2024年第2号
《关于规范金融机构资产管理业务的指导意见》银发〔2018〕106号
《商业银行表外业务风险管理办法》银保监规〔2022〕20号
《关于规范金融机构同业业务的通知》银发〔2014〕127号
《关于进一步规范银行业金融机构同业业务治理的通知》银监办发〔2014〕140号
《商业银行理财业务监督管理办法》中国银行保险监督管理委员会令2018年第6号
《理财公司理财产品销售管理暂行办法》中国银行保险监督管理委员会令 2021年第4号
《金融机构反洗钱规定》中国人民银行令〔2006〕第1号
《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》中国人民银行 中国银行保险监督管理委员会 中国证券监督管理委员会令〔2022〕第1号
《银行业金融机构从业人员行为管理指引》银监发〔2018〕9 号
《金融企业不良资产批量转让管理办法》财金〔2012〕6号
《关于市场化银行债权转股权的指导意见》(国发〔2016〕54号)的附件
《中国银监会关于印发银行业消费者权益保护工作指引的通知》银监发〔2013〕38 号
《中国人民银行金融消费者权益保护实施办法》中国人民银行令〔2020〕第5号
《银行保险机构数据安全管理办法》金规〔2024〕24号等
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
