银行合规内控管理体系建设项目建议书(编辑修改稿)

银行合规内控管理体系建设项目建议书(编辑修改稿)内容摘要：

律法规和监管规定：合规内控管理体系必须满足法律法规要求和各项监管要求，因此， xxxx 分行的合规内控管 理体系应满足《商业银行法》、《商业银行内部控制评价试行办法》、《合规指导意见》（ xx 银监局）等法律法规和监管规定，同时还应充分考虑诸如《股份制商业银行董事会尽职指引》等文件对银行报告路线、制衡机制等方面的要求和影响。 对各项法律法规和监管要求，在体系中主要通过对各项业务流程的控制要求来体现。 体系总框架设计 xxxx 银行合规内控管理体系以“流程管理模式”为框架，结合 xxxx 银行的实际运作模式，运用流程管理方法和管理的系统方法，以构建 xxxx 银 行合规风险管理的整体运作过程。 合规内控管理体系是以巴 塞尔委员会提出的合规风险管理十项原则为主线，以内部控制五大过程要素为基础的动态过程和机制。 其中 合规风险管理机制则包括以下十项基本原则； 原则 1：银行董事会负责监督银行的合规风险管理。 原则 2：银行高级管理层负责银行合规风险的有效管理。 原则 3：银行高级管理层负责制定和传达合规政策，确保该合规政策得以遵守，并就银行合规风险管理向董事会报告。 原则 4：作为银行合规政策的组成部分，高级管理层负责组建一个常设和有效的银行内部合规部门。 原则 5：独立性――银行的合规部门应该是独立的。 原则 6：资源――银 行合规部门应该配备能有效履行职责的资源。 原则 7：合规部门职责――银行合规部门的职责应该是协助高级管理层有效管理银行面临的合规风险。 银行合规部门的具体职责如下所述。 如果其中的某些职责是由不同部门的职员履行，那么每个部门的职责应该界定清楚。 原则 8：与内部审计的关系――合规部门的工作范围和广度应受到内部审计部门的定期复查。 原则 9：跨境问题――银行应该遵守所有开展业务所在国家或地区的适用法律和监管规定，合规部门的组织方式和结构以及合规部门的职责应符合当地的法律和监管要求。 原则 10：外包――合规应被视为银行内 部的一项核心风险管理活动。 合规部门的具体工作可能被外包，但外包仍必须受到合规负责人的适当监督。 五大过程要素 的主要内容分别为： 1）控制环境 对合规风险管理与内部控制有重大影响的因素作了规定，主要内容包括公司治理、高管层的责任、内部控制政策与目标、组织架构、企业文化、人力资源等。 环境模块为各项活动提供组织保障、确定策略（政策）及目标，营造良好的内控文化，为合规风险管理与内部控制活动指明了方向，是整个风险管理与内部控制活动的基础。 2）风险识别与评估 主要内容是如何进行风险的识别和评估。 该 模块是整个风险管理 与内部开展活动的起点，通过该活动的开展，针对不同过程、不同风险制定不同的风险控制措施。 风险控制措施不但需要考虑现有经营状况的承受能力和技术的可行性，且需确保其符合法律法规、监管要求、国际惯例及其它相关方的要求，这里尤其包括对合规风险和操作风险的管理与控制要求。 3）活动控制 阐述合规风险管理与内部控制的实施和运行要求，主要内容是如何对人的无德和无能问题进行控制，对运作过程进行控制，如何在计算机环境下实施控制，以及在紧急情况发生时如何进行应急，确保业务持续开展。 活动控制是整个内控体系的主体部分， 它包括对业务系 统和业务支持系统的控制，涵盖了整个 xx 银行的核心价值流活动的控制。 4）监督评价与纠正 阐述对合规风险管理与内部控制的监测、评价和改进的要求，主要内容是如何对控制的过程、结果和体系实施监测和评审，对控制中出现的问题如何处置，如何进行改进等。 监督评价模块是指对各项业务活动、管理活动及各控制方案的实施情况须加以监测，对控制方案实施的效果还须加以评审。 对达到预期效果的保持并改进，对没有达到预期效果的进行原因分析、需要时修改控制方案并实施；对发生的险情、事故进行处置并制定实施相应的纠正与预防措施。 它是风险控制活动一 个循环的终点，更是下一轮循环的起点。 它包括的内容有：风险的监测、报告，检查、审计，纪检监察，责任追究，损失、险情的处置及纠正预防措施，过程能力评价、管理评审等活动过程。 5）信息交流与反馈 阐明在信息交流与沟通方面的要求，主要内容是合规风险管理与内部控制体系的文件化要求，如何对文件和记录实施控制，如何在内部和外部之间进行有效沟通。 信息交流模块是保证整个体系协调运转的重要一环，既是对业务活动、管理活动、内控活动相关信息的管理，更是对整个合规内控体系的控制。 它包括体系文件化、体系文件管理、记录管理、信息交流与沟 通等内容。 设计中有关问题说明 1）考虑到 xxxx 银行对全面提升基础管理的需求，结合目前贵行的管 理实际， xxxx 银行的合规内控管理体系的设计在充分考虑有关全面风险管理、内部控制和合规风险管理等方面的国际先进标准、国内监管要求的同时，在建立合规内控体系的同时，建立以流程管理为基础的岗责管理体系，并同步完成与合规内控体系的整合； 合规内控管理体系的建立，将采用 xx 咨询提供的“ XX 一图三表”（即“ XX 管理矩阵分析表”、“配置流程图”、“流程分析 PROCESS MAP 表”和“风险自我评估表 RCSA”）简明实用的流程及风险系统管理工具。 “ XX 一图三表 ”的成功使用将能够有效帮助贵行的合规风险管理水平达到国内同业的领先地位。 2）合规内控与公司治理的关系 完善的公司治理既是合规风险管理与内部控制的最为重要的环境因素，同时有效的合规风险管理与内部控制又成为公司治理的基本要素。 因此，合规与内控体系建设首先应依据包括银监会二○○五年九月十二日发布的《股份制商业银行董事会尽职指引》（试行）以及参照巴塞尔委员会发布的《加强银行公司治理》等文件的要求处理好决策层和管理层在公司治理结构下的制衡关系，界定决策、执行 和监督职能和权限，明确报告路线，为实现全面风险管理奠定坚实的基础。 3）合规风险管理、内部控制与全面风险管理之间的关系 我们认为， xx 银行由合规风险管理与内部控制入手，可以满足监管部门关于合规风险管理方面的要求，并有效控制操作风险，同时在此基础上 为构建全面风险管理奠定坚实的基础。 从理论上说， xx 银行也可依据美国COSO 委员会 20xx 年 9 月发布的 ERM 框架（即全面风险管理框架），建立全面风险管理体系，但考虑到 xx 银行现有的管理基础和银监会 20xx 年9 号令的时限要求，我们认为一步到位实现全面风险管理的难度较大。 合规性目标是内部控制的三大目标之一（即：营运目标、信息披露目标和合规目标）。 一方面内部控制涵盖了合规风险管理机制的内容，是合规风险管理的过程基础；另一方面合规风险管理又是内部控制持续有效的运行的机制保障。 同时，在公司治理结构下，二者又同属管理执行层（ CEO）的责任。 因此，先行启动合规风险管理与内部控制建设项目，确为全面提升银行管理水平（尤其是提升全面风险管理水平）的优选。 4）岗责与流程匹配 通过流程梳理，以及在流程网络的基础上，确定的流程之间的关系和接口，对流程中的活动进行职责分配，确定不相容职。