巴塞尔银行监管委员会咨询性文件银行内部合规部门(翻译)

巴塞尔银行监管委员会咨询性文件银行内

部合规部门（翻译）-

引言

1.巴塞尔银行监管委员会（以下简称为“委员会”）一直致力于

解决银行监管问题和提升银行的管理水平，为此，委员会现发表

这份咨询性文件，探讨有关银行合规部门（compliancefunction）

的相关问题。银行合规部门的作用主要是辅助管理银行的合规风

险（ComplianceRisks）。这里所称的合规风险是指：因违反法律

或监管要求而受到制裁的风险、遭受金融损失的风险以及因银行

未能遵守所有适用法律、法规、行为准则以及相关惯例标准（统

称为“法律”、“规则”和“标准”）而给银行信誉带来的损失等方面

的风险。有时，合规风险也指诚信风险（integrityrisk），因为银

行的商誉有时与其一贯遵循的诚实廉正原则和公平交易原则密

切相关。为了满足监管当局的监管要求，银行必须采取有效的合

规政策和流程规定，以确保在违反法律、规则和标准的情形发生

时，银行管理人员能够采取适当措施予以纠正。

2.遵守法律、规则和标准有助于维护银行的商誉，符合银行

客户、市场及整个社会对银行的要求。尽管遵守法律、规则及标

准一直以来都是非常重要的，在过去几年里，合规风险的管理还

是变得越来越正式化，并已经成为一项独特的风险管理准则（risk

managementdiscipline）。

3.作为银行的基本指引，本文件从银行监管部门的角度，对

合规部门在银行组织体系中的地位和作用进行说明。本文件规定

的原则具有普遍适用性，但是它们必须在特定的法律和规章框架

内适用。关于银行合规部门的组织结构及其职责范围，各银行之

间存在重大差异。有些银行的合规部门采取集中管理模式，所有

合规部门的工作人员都集中在一个合规部门工作；但有些银行的

合规部门则采取分散管理模式，其工作人员分布在不同的业务部

门。许多银行已经设立了一位负责整体合规的负责人（agroup

complianceofficer）。而在一些银行中，法律部门可能单独承担咨

询职责。在不同的法律制度下，合规部门的组织架构和职责范围

同样存在许多差别。在有些法律体系中，合规部门须承担一些法

律规定的职责和义务；而在其他一些国家的法律体系中，合规部

门则无类似责任和义务。

4.委员会认识到，就某个具体的国家而言，银行采用何种模

式设立其合规部门须取决于多种因素，如银行的规模、经营的混

合程度、银行业务的性质及其地理分布等。但是，不管银行的合

规部门如何组织，银行均应遵循下列两大原则：（1）银行合规部

门的职责应当明确界定；（2）银行合规部门及其人员应当独立于

银行的经营活动。

5.如果银行全行上下都严格遵守高标准的道德行为准则，那

么该银行合规风险的管理是最为有效的。董事会和高级管理层应

采取一系列措施，推进银行的组织文化建设，促使所有员工（包

括高层管理人员）在开展银行业务时都能遵守法律、规则和标准。

银行在组建内部的合规部门时，应遵循本文件所规定的原则，而

合规部门则应支持管理部门推进以职业操守为基础，建设蓬勃向

上富有活力的合规文化，从而促进形成高效的公司治理环境。

6.在理解本文件时，应联系委员会制订的其他相关文件。这

些文件主要包括：

《银行组织中内控体系框架规定》（1988年9月制订）

《提升银行组织中的公司治理结构》（1999年9月制订）

《银行内部审计及监管部门与审计人员关系》（2001年8月制

订）

《银行客户尽职调查》（2001年10月制订）

《健全银行经营风险的管理及监督机制》（2003年2月制订）

7.在说明有关原则时，本文件假设银行的公司治理结构主要

由董事会和高级管理人员组成。关于董事会和高级管理人员的职

责，不同的国家、不同的经济组织都有不同的立法和监管结构框

架。因此，在适用本文件所规定的原则时，应考虑具体国家及经

济组织中不同的公司治理结构。

8.本文件首先开门见山地提出“合规部门”（compliance

function）的定义，之后提出银行董事会及高级管理人员在合规

方面应履行的职责。接下来的章节标题为“合规部门的几项原则”

（compliancefunctionprinciples），该部分主要说明银行内部合规

部门的组织、结构、职责及其他相关内容。

9.本文件所规定的原则适用于银行、银行集团以及子公司主

要为银行的控股公司等。

合规部门的定义

10.银行合规部门可作如下定义：

“银行合规部门是识别、评估、通报、监控并报告银行合规风

险的一个独立的职能部门。银行合规风险（compliancerisks）则

是指因违反法律或监管要求而受到制裁的风险、遭受金融损失的

风险以及因银行未能遵守所有适用法律、法规、行为准则以及相

关惯例标准（统称为”法律“、”规则“和”标准“）而给银行信誉带

来的损失等方面的风险。”

11.本文件所称之法律、规则及标准主要是指与银行经营业务

相关的法律、规则及标准，主要包括反、防止进行

融资活动的相关规定，以及涉及银行经营的准则（conductof

business）（包括避免或减少利益冲突等问题），隐私及数据保护

以及消费者信信贷（如果银行从事消费者信贷业务）等方面的规

定；此外，依据监管部门或银行自身采取的不同监督管理模式，

上述法律、规则及标准还可延伸至银行经营范围之外的法律、规

则及标准，如劳动就业方面的法律法规及税法等。

12.本文件所称之法律、规则及标准可能有不同的渊源，包括

监管部门制定的法律、规则及标准，市场公约（market

convention），行业协会制定的行业守则（codesofpractice）以及

适用于银行内部员工的内部行为守则（internalcodesofconduct）。

它们不仅包括那些具有法律约束力的文件，还可能包括更广义上

的诚实廉正和公平交易的行为准则（normsofintegrityandfair

trading）。

董事会在银行合规管理方面的职责

原则1：银行董事会有责任指导（oversee）银行合规风险的管

理工作。董事会应当审核银行有关合规方面的制度，如章程或者

其他规定设立银行合规部门的正式文件。董事会应当每年至少一

次对银行合规方面的制度及其实施情况进行审核，从而对银行有

效管理合规风险的程度进行评估。

13.银行的董事会只有确定目标，在银行组织中不断倡导并提

升诚信与正直这种价值观念（valuesofhonestyandintegrity），银

行合规方面的规章制度才有可能有效实施。遵守有关法律、规则

及标准应是实现上述目标的一个重要途径。董事会有责任制定行

之有效的规章制度，控制银行的合规风险。董事会还应监控有关

规章制度的实施情况，包括合规方面的问题是否能得到及时有效

的解决等。

高级管理人员在银行合规管理方面的职责

原则2：银行高级管理人员应负责建立合规方面的规章制度，

并确保这些规章制度得以贯彻实施，并将有关实施情况向董事会

报告。高级管理人员还应负责对有关合规方面的规章制度进行可

行性评估。

14.银行应当制定有关合规风险管理的成文的规章制度，以便

对银行面临的主要合规风险问题进行识别，并就银行如何控制这

些风险进行说明。这些规章制度应当包括所有员工（包括高级管

理人员）都应遵循的基本准则；根据情况需要，还应根据上述基

本原则为员工制订更为详尽的实施细则。银行应当对适用所有员

工的一般标准与只适用特定员工体的规则进行区别，这样才有

助于提高有关规则的明确度和透明度。

15.高级管理人员在确保合规方面的规章制度得以贯彻落实

的同时，还有责任保证在发现违反相关规章制度的行为时，能够

采取适当的补救措施或进行纪律处罚。

16.高级管理人员应当：

每年至少对合规方面的规章制度及其实施情况进行一次评

估，确保有关规章制度一直具有可行性。

每年至少向董事会或董事委员会报告一次有关合规方面的规

章制度相关的事项及其实施情况，包括对有关规章制度的必要修

改提出建议等；上述报告应当有助于董事会成员就银行是否有效

管理其合规风险问题作出全面正确的判断。

在发生任何重大违反法律、规则及标准的行为时，及时向董

事会或董事委员会报告。

原则3：银行高级管理人员应负责在银行内部设立高效的常设

性的合规部门，并应作为银行合规管理工作的一项制度予以明

确。

17.高级管理人员应当采取必要措施，为合规部门提供足够的

资源，保证银行能够依靠常设性的、高效的合规部门（进行相关

决策）。

合规部门应遵循的原则

地位

原则4：银行内设的合规部门应当在银行内部享有正式地位。

为此，银行应在经其董事会批准的宪章性文件（章程）或其他正

式文件中对合规部门的地位、职权及独立性进行明确规定。

18.银行宪章性文件（章程）及其他正式文件应解决下列问题：

制定相关措施，保证合规部门独立于银行经营业务；

合规部门的职责；

合规部门与银行内部其他部门或组织的关系问题；

合规部门为履行其职责而获得有关必要信息资料的权利；

合规部门对可能违反合规方面的规章制度的行为进行调查的

权利，以及（如合适）指定外聘律师实施上述调查的权利；

合规部门承担向高级管理人员及董事会作正式报告的义务；

以及

直接进入董事会或董事委员会的权利。

19.涉及合规管理方面的宪章（章程）或其他正式文件应当传

达给银行所有员工。

独立性

原则5：银行合规部门应当独立于银行经营业务。

20.合规部门应有能力主动对所有可能存在合规风险的银行

部门履行合规风险管理的职责。合规部门还应有权随时就其调查

发现的任何违规或可能的违法行为向高级管理人员及董事会（或

董事委员会）报告，银行应确保合规部门不因实施上述行为而遭

受管理人员或其他任何工作人员的打击报复或冷遇。

21.合规部门应有权主动与任何员工进行交谈和沟通，并有权

为履行职责之需获取任何记录或档案材料。

22.为确保合规部门的独立性，银行应为合规部门提供足够的

资源以保证其高效履行职责。合规部门的预算及合规部门工作人

员的补偿机制应与合规部门的宗旨保持一致，而不应依赖于业务

部门的经营状况。

23.银行内部的合规部门可采取集中管理的模式，也可采取分

散管理的模式。无论采取何种模式，合规部门都应设一位负责人

（headofcompliance）具体负责合规部门日常事务的管理工作，

合规部门的其他工作人员应向该负责人报告工作。在合规部门

采取分散式管理的情况下，如果要求合规部门工作人员向具体业

务部门的管理人员报告工作，而不是向合规部门的负责人报告工

作，那么，合规部门工作人员的独立性就有可能被削弱。

24.合规部门的负责人可以是高级管理人员之一，也可以不

是。如果合规部门的负责人为高级管理人员，那么他/她不应直

接负责银行业务部门。如果合规部门的负责人不是高级管理人

员，那么，他/她应享有直接向不负责具体业务部门的高级管理

人员报告的渠道，如情况需要，他/她还应有权绕开通常的通报

渠道，直接向董事会或董事委员会报告工作。

25.在一些小银行，合规部门的工作人员在与其合规管理职责

不发生冲突的前提下（例如，合规部门的工作人员不应承担创利

（revenue-generating）工作，如交易、市场营销或客户咨询等），

可以同时从事非合规部门的工作。

职责

原则6：银行合规部门的作用应作如下界定：识别、评估及监

控银行所面临的合规风险，并向高级管理人员及董事会建议或报

告上述风险。

26.合规部门的责任应包括以下各项（或者是下面所列的大多

数）。如有关职责未规定由合规部门履行，则应规定由其他独立

的部门履行。

合规部门主动识别和评估与银行经营活动相关的合规风险，

这些经营活动包括：与新产品和新业务开发相关的银行业务，提

议建立新业务或建立新的客户关系或者导致这种关系的性质发

生重大变更等活动；

就适用法律、规则及标准等向管理人员提出建议，包括及时

掌握有关法律、规则及标准的最新变动情况，并就上述变动情况

向管理人员提出相关建议；

为正确实施有关法律、规则及标准，制定相关规章制度、流

程（procedures）及有关文件（如合规手册、内部行为守则及行

为指引等），并为员工制定书面指引；

在发现银行规章制度及流程存在缺陷时，立即对有关内部流

程和方针的可行性（appropriateness）进行评估；在必要时，还

应对上述流程和方针提出修改建议或方案；

监督银行遵守有关规章制度的情况，为此，合规部门可实施

定期和全面的合规风险的评估及测试，定期向高级管理人员（必

要时，向董事会或董事委员会）报告；报告应提及以下几个方面

的内容：报告期间开展的关于合规风险的评估和检查工作，已发

现的违法行为和/或存在的不足，以及所采取的补救措施；报告

还应包括向合规部门人员及其他银行工作人员提供的培训方面

的信息；

履行特定的法定职责（例如，履行反职责等）；

就遵守法律、规则及标准等合规要求对员工进行教育，并且

在银行员工提出合规方面的问题时（进行解答），充当联络站

（contactpoint）的角；以及

与银行外部的相关组织保持联系，这些组织包括监管当局、

标准制定组织以及外部律师等。

27.上文已述，并非所有上述列举的职责均须由合规部门履

行。例如，有些银行的法律部门（legalfunction）和合规部门

（compliancefunction）就是两个不同的部门；法律部门负责向

管理人员提供法律、规则及标准方面的建议咨询以及为工作人员

制订相关工作指引等工作，而合规部门则负责监控有关制度和流

程的合规性，并就有关合规问题向管理人员报告。如果不同部门

之间有明确的职能划分，那么，每个部门的职能划分必须清晰。

如果合适的话，每个部门之间应当建立正式的合作机制和相关信

息互通机制。如果合规部门以外的其他部门（如，内部审计部门

或自我评估管理控制“managementcontrolselfassessment”）进行

相关检查（testing），并发现存在违规行为，那么，该测试部门应

当及时将上述测试结果向合规部门的负责人报告。

28.合规部门应根据合规管理方案（complianceprogramme）

履行其职责，该方案可规定合规部门的行动方案和计划，如具体

制度和流程的实施和复核、合规检查以及就合规问题对银行工作

人员进行教育等。

合规部门的工作人员

原则7：合规部门的负责人根据本文件规定的原则负责合规部

门的日常管理工作。

29.该原则要求合规部门的负责人对合规部门工作人员的工

作进行适当的监督。

30.合规部门的负责人调离岗位时，银行应将该情况报告银行

监管部门。

原则8：为确保高效地履行合规管理工作，负责合规管理职责

的工作人员应具备必要的资质、工作经验、专业素质和个人素质。

31.工作人员具有较强（appropriate）的专业素质，如能全面

理解法律、规则及标准及其对银行经营的影响。为保证合规部门

工作人员的专业技能水平，应当对他们进行定期和系统的教育和

培训，使工作人员能及时了解掌握法律、规则及标准等方面的最

新发展。

32.工作人员具有较强的个人素质（此要求与其他银行员工是

一样的），主要包括：综合素质、思考能力、中立和独立判断的

能力、良好的沟通能力、较强的判断力和灵活性，同时在处理合

规问题上还应具有勇于挑战组织内其他工作人员的能力。

跨境问题

原则9：如果银行在其他国家或地区开展业务，那么，银行应

当通过构建合理的合规部门，确保在银行合规管理的统一框架内

圆满解决银行业务经营所在地的合规风险问题。

33.银行可能通过其当地分行或附属机构，或在其没有实体存

在（physicalpresence）的地区开展全球性的业务。由于各国或地

区的法律及监管要求千差万别，跨国银行在建立集团内普遍适用

的合规管理组织框架的同时，也应重视协调和解决在特定区域内

的合规风险问题。

34.银行合规部门的组织结构及其职责应与当地的法律及监

管要求保持一致。

与银行内部审计的关系

原则10：合规部门的权限和范围应根据内部审计部门的审核

而定。

35.合规风险应被列入内部审计部门的风险评估范围，而审计

方案应与风险级别相当。内部审计部门考核合规部门工作时，应

检查（test）合规部门为保证银行遵守相关法律、规则及标准而

在银行内部实施的控制合规风险的措施。

36.本原则表明，审计部门只有与合规部门保持独立，才能保

证对合规部门的工作进行独立的考核。

与外聘人员的关系

原则11：有些特定的工作可能需要聘请外聘人员办理，合规

部门的负责人（该负责人应当为银行职员）应对此外聘行为进行

适当的监控。

37.合规风险的管理应属于银行风险管理行为的核心。合规部

门的某些特定工作（如合规考核和监督等）可能需由外聘人员完

成，但是，该外聘行为应受合规部门负责人的监督管理。

38.不管合规部门的工作在多大程度上由外聘人员承担，董事

会和高级管理人员仍应对银行遵守相关法律、规则和标准的合规

情况负责。