银行分行合规内控管理体系建设项目实施建议书

银行分行
合规控管理体系建设
1 项目概况
1.1 背景
当前，我国商业银行一方面面临巨大的市场竞争压力，另一方面由于合规与部控制基础薄弱，操作风险突显，导致金融案件频发，不仅严重制约商业银行业务的发展和金融产品创新，而且威胁国家金融安全。

为此，银监会将加强对银行业金融机构风险管理的监管、重视公司治理机制、以与合规风险管理机制建设、完善部控制体系、强化合规与操作风险管理、建立完善问责制作为目前工作的重点。

为促进商业银行建立和健全合规风险管理机制和部控制体系，防金融风险（尤其是操作风险），保障银行体系安全稳健运行，一年多来监管当局出台了一系列规章制度。

2004年2月1日，修订后的《商业银行法》第一次以法律形式提出“商业银行应当按照有关规定，制定本行的业务规则，建立、健全本行的风险管理和部控制制度”。

同年2月21日，国务院颁布《银行业监督管理法》，以法律形式引进了国际通行的审慎经营理念。

2005年2月1日，银监会制订的《商业银行部控制评价试行办法》正式施行。

以巴塞尔银行监管委员会《有效银行监管的核心原则》为主要框架，借鉴COSO报告有关容（包括所提出的ERM模型），运用国际质量管理的理念和基本方法，对商业银行部控制体系建设做出了全面、系统、详细的规定。

2005年3月22日，银监会发布《关于加大防操作风险工作力度的通知》（简称“十三条”），强化了商业银行操作风险的防。

2005年4月29日，巴塞尔银行监管委员会发布了《合规和银行部合规部门》（Compliance and the compliance function in banks）。

为各银行提供指导，并阐述了银行业监管机构关于银行业机构合规的观点。

为满足监管机构的监管要求，银行必须遵循有效的合规政策和程序，并在发现有
违规情况发生时，银行管理层能够采取适当措施予以纠正。

2005年7月13日，巴塞尔银行监管委员会在借鉴经济合作与发展组织（OECD）于2004年发布的修订后的公司治理原则，并吸纳各国银行业机构稳健公司治理做法和各银行业监管当局银行公司治理方面的监管经验的基础上，针对银行业机构的独特性，为提供切实可行的指导，委员会对1999年发布的银行公司治理指引进行了大幅度的修订，发布了征求意见稿《加强银行的公司治理》修订稿，旨在帮助各国银行业监管机构推动本国银行业机构采用稳健的公司治理做法。

该文件明确指出：风险管理战略和风险管理技术是商业银行核心竞争力。

稳健公司治理的基本要素尤其包括建立强有力的部控制体系。

2005年9月9日，xx银监局根据中国银行业监督管理委员会《商业银行部控制评价试行办法》的有关规定，借鉴巴塞尔银行监管委员会《银行合规与合规部门》，结合xx市的实际情况出台了《xx银行业金融机构合规风险管理机制建设的指导意见》（以下简称：《合规指导意见》），要求在沪商业银行法人银行、分行等金融机构组建合规部门，建立有效管理合规风险的运行机制，促进银行全面风险管理体系的建立，以确保银行安全稳健运行。

2005年10月24日，中国银监会主席明康在xx银行业首届合规年会上对xx银行业加强合规风险管理机制的工作给予了充分肯定，并明确提出将在全国推广xx的经验和做法。

中国xx银行（以下简称：xx银行）作为国首家股份制商业银行，将国际先进的管理技术与本土经验有效结合，在经营理念、风险管理、财务管理、市场开拓等领域发展迅速，业务转型稳步进行，风险控制全面加强，资产质量显著提高。

Xx年下半年，中国xx银行xx分行依据国家银监会发布的《商业银行部控制评价试行办法》与xx银监局发布的《合规指导意见》的要求，在xx 银行乃至业率先启动合规风险管理机制建设项目。

经过半年多的努力，在xx管理咨询（以下简称“xx咨询公司”）的指导和帮助下，合规风险管理机制建设项目已顺利完成，并得到监管当局的充分肯定。

Xx年4月初，xx 银行xx分行宣布合规风险管理体系正式运行。

xx银行xx分行合规建设项目的先行实施，为贵行全系统全面开展合规与控体系建设工作必将积累宝贵的经验。

xx银行xx分行作为xx银行的一家成立刚满一年、绩效优良的新建分行，分行领导致力于业务发展与风险管理（尤其包括合规风险管理方面）的协调与匹配、以期取得可持续发展的核心竞争力。

本文件是针对xxxx分行的合规风险管理机制与部控制体系建设的需求，结合基于流程管理的岗责管理体系建设需要，提出的项目咨询建议，项目名称拟定为“中国xx银行xx分行合规控管理体系建设”，即“合规控管理体系建设”项目，简称“合规项目”。

1.2 合规项目对xx银行xx分行的作用
有利于实现发展战略要充分实现xx银行xx分行的发展战略和增强核心竞争力，必须有一个绩效优良的风险管理体系作为支撑。

按《合规指导意见》和《控评价方法》的要求，建设xxxx分行的合规控体系，全面夯实基础管理水平，将对xxxx的发展起到十分重要的支持作用，有利于建立全面的风险管理模式，建立科学管理与先进理念相结合的合规控体系和岗责体系，培育健康的风险文化，有效防风险，为xxxx银行的体制改革与提升核心竞争力打下坚实基础。

有利于防操作风险和合规风险当前商业银行面临着信用风险、市场风险，以与合规风险、操作风险、流动性风险、声誉风险和法律风险等，其中对合规风险、操作风险的控制是防其他风险的基础。

合规控体系对银行风险的防主要是通过防操作风险来实现，主要作用表现在：
一是完善业务合规控制度。

合规控体系强调“系统的管理方法”，要求不仅对每个过程做出规定，还要对过程之间的接口做出规定，从而形成完整的“过程网络”，使各项管理制度形成一个有机的整体。

二是强化风险管理手段。

合规控体系为风险管理提供了策划、实施、检查、持续改进的框架。

在建立、实施控体系时，采用过程方法和管理的系统方法，通过识别众多相互关联的活动过程，以与对这些过程的管理和连续监控，预防差错事故的发生。

合规风险是诱发操作风险的最为直接的因素。

通过合规控体系的建立，
实现“一流程一程序，一岗位一手册”，必将为全面风险管理体系的建立奠定必备的管理基础。

有利于形成良好的合规文化。

合规项目建设的过程也是培育风险文化的过程，这种风险文化的精髓和实质是增强履行职责的自觉性和执行制度的严肃性，减少做事的随意性和盲目性。

通过合规项目的建设过程，努力在全行倡导和形成以“合规从高层做起”、“人人合规”、“合规创造价值”等为核心理念的合规文化，并与“流程银行”、“ONE BANK”、“风险为本”等管理理念相呼应，共同构建xxxx银行全新的优秀企业文化。

有利于提高基础管理水平合规项目建成后是一个文件化的体系，特征是高度系统化和规化。

合规风险管理的关键是个“规”字！这个“规”不是简单的一个满足法律法规要求的制度汇编，而应该既是一个与各业务与管理活动、各条线和运作单元以与各岗位形成明确映射关系的文件化管理系统，又是平衡业绩目标和合规目标关系并确保目标实现的保证，还是将岗责体系、报告路线、监测评价、激励机制等多项管理要素有机结合的载体。

这对提高基础管理的作用体现在完善业务规章制度。

通过对现行规章制度的支持、补充、整合、优化和完善，要求对每个流程与其接口，都以文件的形式加以明确，不仅明确业务操作流程，而且对各项管理流程与支持流程也作了规定，并通过岗责体系的建立，将岗责落实和映射到每项工作/活动中，确保每位员工都能准确掌握工作的关键控制点，具有很强的可操作性。

1.3 项目可行性分析
成熟的项目实施技术项目的技术可行性表现在：第一，有国同业银行（尤其是xx银行xx分行）的成功经验可供借鉴；第二，xx银行已经具备各种管理规定和制度基础；xx分行通过一年的发展也完成了基本规章制度的构建。

合规项目不是在现有的管理架构之外另起炉灶，而是充分理顺现有各种管理的关系，并提供一种把现有管理规定落到实处的平台和机制。

成本效益上完全可行合规项目建设是xxxx银行经营管理的基础建设。

合规项目的增量投入，主要是外部咨询费用以与部为项目开展而发生的一些费用，这部分投入与合规控管理体系运行后直接降低的管理成本相比微不足道。

据汇丰银行统计，一个银行约40%的管理成本用于协调组织部的关系和纠正错误，一个绩效优良的合规控管理体系不仅能够显著减少组织部的协调成本，而且通过体系的持续改进，能使违规率、案件率大大降低。

具备良好的外部条件xxxx银行的高层领导已经充分认识建立一个系统化的合规控管理体系的必要性，并将合规控管理体系建设作为战略决策进行统一规划和指导，充分反映了xxxx银行领导层的远见卓识，也是确保项目获得人力、财务、物力支持的重要基础。

从外部条件看，选择一家专业化的管理顾问公司作为项目合作伙伴，也将对项目的成功实施确定良好的外部支持保障。

xx管理咨询核心咨询团队成员直接应邀参与了国家银监会《控评价办法》（“银监9号令”）的制订工作，对部控制体系的建立有着深刻的理解；直接参与了xx银监局《合规指导意见》发布的全过程，始终与监管当局就“合规”、“公司治理”、“控”、“操作风险管理”以与“流程银行”、“社会责任”等概念与其相互关系等方面无论是理论方面还是实践方面均有着良好的沟通和交流。

xx咨询公司核心咨询团队在对大型国有银行全系统成功实施控体系建设咨询等基础上，自2005年以来在xx地区配合xx银监局开展了大量的有关合规体系建设与其相关容的咨询和培训工作（包括为监管当局提供相关咨询培训服务），尤其是有着为多家股份制银行开展合规控项目的丰富经验（包括以分行为平台全面展开、分行－总行互动展开、先分行试点再全行展开等多种模式的咨询经验），并得到监管当局的充分肯定和评价。

xx咨询公司自2005年以来，为xx银行xx分行成功地提供了合规项目咨询服务，且xx分行的合规项目也得到了xx银监局与同业的一致肯定。

2006年上半年，xx咨询公司核心咨询顾问又作为美国xx咨询公司和xxxx 银行的双重顾问身份参与了xx分行岗责体系和平衡计分卡咨询项目，并提出“三合一”整合咨询方案，得到xx分行领导以与xx银行总行领导的充分肯定。

此外，xx公司对xx银行目前在全系统开展的中小企业（SME）、组织架构再造、稽核委派制等管理变革方面的思路、做法和进展也有着深刻的理解和认识，有信心和能力为xxxx银行提供适合的咨询服务。

2 体系设计大纲
2.1 项目需求和目标
以“整体设计、全面推进、分步实施、注重实效”为原则，通过四个月时间的努力，分四阶段在xxxx分行现有合规与控制度与岗责管理的基础上，通过对现有风险管理与控制度的全面清理、整合和完善，理顺部关系，明确各部门与各层级的职责和接口，明确各项活动的职责，识别、评估流程中的各类风险，确定控制措施与要求，建立既符合xxxx分行实际情况的系统的、透明的、文件化的合规控管理体系，又满足银监会《商业银行部控制评价试行办法》要求，并充分参考包括巴塞尔委员会发布的有关合规风险方面的文件、充分考虑和依据xx银监局《合规指导意见》有关合规风险管理机制建设要求，并将各项要求与流程与岗责向匹配。

同时，该体系还将为今后的管理提升预留空间与接口，把风险和提供金融服务有效结合，从而全面提高整体的风险管理水平，增强风险防能力，提高顾客满意度，实现稳健而高效的经营管理模式。

2.2 体系覆盖围
xxxx分行的合规控管理体系将覆盖xxxx分行合规控岗责管理活动的全过程与所有的系统、部门和岗位。

具体包括：
1）机构覆盖围：xxxx分行所有与合规控岗责有关的部门以与下属分支机构，包括：
―面临风险的部门和机构；
―产生风险的部门和机构；
―控制风险的部门和机构。

2）活动覆盖围：与xxxx分行部控制有关的活动，包括：
―各项业务活动，如信贷业务活动、柜面业务活动等；
―各项管理活动，如职能分配活动、资源提供活动、财务管理活动、检查考核活动等；
―各项支持性活动，如安全保卫活动、采购和业务外包活动等。

3）产品覆盖围：xxxx分行提供给客户的各项银行产品。

2.3 合规控管理体系设计的考虑因素
xxxx银行合规控管理体系设计时的考虑因素如下：
1）在体系设计中首先应充分考虑xxxx银行目前的管理模式现状与今后的发展方向，既要处理好公司治理对报告路线、有效制衡等方面产生的影响，又需深刻理解xx银行全系统由“部门银行”向“流程银行”转变的趋势和要求；
2）在体系设计时充分考虑xxxx分行现有的管理和运作实际。

在进行体系设计时不仅应充分考虑今后与总行的体系接口，同时还应切实排查现有管理家底，包括文件清理、职责清理、产品清理、记录清理、检查清理、
考核清理、案件和险情清理、临时机构清理、会议清理、IT系统清理以与人员访谈记录等。

3）文件清理的围包括国家法律法规、有关政府管理部门的管理要求、人行、监管当局、总行的规定、xxxx分行以往的经营管理规章制度等，因此文件清理实际是对xxxx分行现有控制度的清理。

有关外部法律法规（包括银监局、人民银行与外汇管理局等方面的文件）xx公司可提供参考目录。

4）梳理出xxxx分行所有金融产品，包括资产业务、负债业务、中间业务等产品。

5）通过XX矩阵、过程分析等方法，梳理管理和业务活动的对象以与管理要求。

6）法律法规和监管规定：合规控管理体系必须满足法律法规要求和各项监管要求，因此，xxxx分行的合规控管理体系应满足《商业银行法》、《商业银行部控制评价试行办法》、《合规指导意见》（xx银监局）等法律法规和监管规定，同时还应充分考虑诸如《股份制商业银行董事会尽职指引》等文件对银行报告路线、制衡机制等方面的要求和影响。

对各项法律法规和监管要求，在体系中主要通过对各项业务流程的控制要求来体现。

2.4 体系总框架设计
xxxx银行合规控管理体系以“流程管理模式”为框架，结合xxxx银行的实际运作模式，运用流程管理方法和管理的系统方法，以构建xxxx银行
合规风险管理的整体运作过程。

合规控管理体系是以巴塞尔委员会提出的合规风险管理十项原则为主线，以部控制五大过程要素为基础的动态过程和机制。

其中合规风险管理机制则包括以下十项基本原则；
原则1：银行董事会负责监督银行的合规风险管理。

原则2：银行高级管理层负责银行合规风险的有效管理。

原则3：银行高级管理层负责制定和传达合规政策，确保该合规政策得以遵守，并就银行合规风险管理向董事会报告。

原则4：作为银行合规政策的组成部分，高级管理层负责组建一个常设和有效的银行部合规部门。

原则5：独立性――银行的合规部门应该是独立的。

原则6：资源――银行合规部门应该配备能有效履行职责的资源。

原则7：合规部门职责――银行合规部门的职责应该是协助高级管理层有效管理银行面临的合规风险。

银行合规部门的具体职责如下所述。

如果其中的某些职责是由不同部门的职员履行，那么每个部门的职责应该界定清楚。

原则8：与部审计的关系――合规部门的工作围和广度应受到部审计部门的定期复查。

原则9：跨境问题――银行应该遵守所有开展业务所在国家或地区的适用法律和监管规定，合规部门的组织方式和结构以与合规部门的职责应符合当地的法律和监管要求。

原则10：外包――合规应被视为银行部的一项核心风险管理活动。

合
规部门的具体工作可能被外包，但外包仍必须受到合规负责人的适当监督。

五大过程要素的主要容分别为：
1）控制环境
对合规风险管理与部控制有重大影响的因素作了规定，主要容包括公司治理、高管层的责任、部控制政策与目标、组织架构、企业文化、人力资源等。

环境模块为各项活动提供组织保障、确定策略（政策）与目标，营造良好的控文化，为合规风险管理与部控制活动指明了方向，是整个风险管理与部控制活动的基础。

2）风险识别与评估
主要容是如何进行风险的识别和评估。

该模块是整个风险管理与部开展活动的起点，通过该活动的开展，针对不同过程、不同风险制定不同的风险控制措施。

风险控制措施不但需要考虑现有经营状况的承受能力和技术的可行性，且需确保其符合法律法规、监管要求、国际惯例与其它相关方的要求，这里尤其包括对合规风险和操作风险的管理与控制要求。

3）活动控制
阐述合规风险管理与部控制的实施和运行要求，主要容是如何对人的无德和无能问题进行控制，对运作过程进行控制，如何在计算机环境下实施控制，以与在紧急情况发生时如何进行应急，确保业务持续开展。

活动控制是整个控体系的主体部分，它包括对业务系统和业务支持系统的控制，涵盖了整个xx银行的核心价值流活动的控制。

4）监督评价与纠正
阐述对合规风险管理与部控制的监测、评价和改进的要求，主要容是如何对控制的过程、结果和体系实施监测和评审，对控制中出现的问题如何处置，如何进行改进等。

监督评价模块是指对各项业务活动、管理活动与各控制方案的实施情况须加以监测，对控制方案实施的效果还须加以评审。

对达到预期效果的保持并改进，对没有达到预期效果的进行原因分析、需要时修改控制方案并实施；对发生的险情、事故进行处置并制定实施相应的纠正与预防措施。

它是风险控制活动一个循环的终点，更是下一轮循环的起点。

它包括的容有：风险的监测、报告，检查、审计，纪检监察，责任追究，损失、险情的处置与纠正预防措施，过程能力评价、管理评审等活动过程。

5）信息交流与反馈
阐明在信息交流与沟通方面的要求，主要容是合规风险管理与部控制体系的文件化要求，如何对文件和记录实施控制，如何在部和外部之间进行有效沟通。

信息交流模块是保证整个体系协调运转的重要一环，既是对业务活动、管理活动、控活动相关信息的管理，更是对整个合规控体系的控制。

它包括体系文件化、体系文件管理、记录管理、信息交流与沟通等容。

2.5 设计中有关问题说明
1）考虑到xxxx银行对全面提升基础管理的需求，结合目前贵行的管理实际，xxxx银行的合规控管理体系的设计在充分考虑有关全面风险管理、
部控制和合规风险管理等方面的国际先进标准、国监管要求的同时，在建立合规控体系的同时，建立以流程管理为基础的岗责管理体系，并同步完成与合规控体系的整合；
合规控管理体系的建立，将采用xx咨询提供的“XX一图三表”（即“XX 管理矩阵分析表”、“配置流程图”、“流程分析PROCESS MAP表”和“风险自我评估表RCSA”）简明实用的流程与风险系统管理工具。

“XX一图三表”的成功使用将能够有效帮助贵行的合规风险管理水平达到国同业的领先地位！
2）合规控与公司治理的关系
完善的公司治理既是合规风险管理与部控制的最为重要的环境因素，同时有效的合规风险管理与部控制又成为公司治理的基本要素。

因此，合规与控体系建设首先应依据包括银监会二○○五年九月十二日发布的《股份制商业银行董事会尽职指引》（试行）以与参照巴塞尔委员会发布的《加强银行公司治理》等文件的要求处理好决策层和管理层在公司治理结构下的制衡关系，界定决策、执行和监督职能和权限，明确报告路线，为实现全面风险管理奠定坚实的基础。

3）合规风险管理、部控制与全面风险管理之间的关系
我们认为，xx银行由合规风险管理与部控制入手，可以满足监管部门关于合规风险管理方面的要求，并有效控制操作风险，同时在此基础上为构建全面风险管理奠定坚实的基础。

从理论上说，xx银行也可依据美国COSO
委员会2004年9月发布的ERM框架（即全面风险管理框架），建立全面风险管理体系，但考虑到xx银行现有的管理基础和银监会2004年9号令的时限要求，我们认为一步到位实现全面风险管理的难度较大。

合规性目标是部控制的三大目标之一（即：营运目标、信息披露目标和合规目标）。

一方面部控制涵盖了合规风险管理机制的容，是合规风险管理的过程基础；另一方面合规风险管理又是部控制持续有效的运行的机制保障。

同时，在公司治理结构下，二者又同属管理执行层（CEO）的责任。

因此，先行启动合规风险管理与部控制建设项目，确为全面提升银行管理水平（尤其是提升全面风险管理水平）的优选。

4）岗责与流程匹配
通过流程梳理，以与在流程网络的基础上，确定的流程之间的关系和接口，对流程中的活动进行职责分配，确定不相容职责和对岗位的控制要求，形成“岗责控制”。

考虑到流程的岗责描述与人力资源岗责体系的不完全一致性的实际，在完成基于流程和风险的梳理和排查、完成流程分析后，再进行岗责澄清和再设计。

3 项目实施方案
3.1 项目实施指导思想。