商业银行合规文化建设的实践与思考

商业银行合规文化建设的实践与思考（精选8篇）

商业银行合规文化建设的实践与思考 篇1

融至道总裁金海腾为新疆银行业“法治金融大讲堂”带来2017年首场讲座

5月12日下午，融至道总裁金海腾受乌鲁木齐银行邀请，做客新疆2017年首期“法治金融大讲堂”，为新疆维吾尔自治区金融办、人民银行乌鲁木齐中心支行、新疆银监局、证监局、保监局相关领导及700多名银行业金融机构领导和员工做了“商业银行合规文化建设”专题讲座。此次“法治金融大讲堂”由乌鲁木齐银行董事长杨黎主持，新疆银监局副局长骆家奇对讲座进行了点评和总结。

金海腾总裁从近期大案、要案频发的事实提出了一个合规文化建设中至为关键的问题，“所有银行制度都一样，但执行的结果不一样，问题出在哪？”根据这个问题，金海腾指出，打造好的商业银行合规文化，必须回答以下四大命题：“是制度问题还是执行问题”、“是领导问题还是员工问题”、“是社会环境问题还是个人素质问题”、“是体制机制问题还是创新突破问题”。这些命题，是金海腾在丰富的银行、政府管理工作实践和对合规、对文化的长期深入思考基础上提出的。

合规的核心是人

金海腾指出，银行主要的生产经营活动是由人进行的，商业银行合规基础在员工，而员工队伍的职业化过程就是打造合规文化的过程。杭州广发在员工教育方面有着最为生动而成功的实践，自成立以来，杭州广发员工先后经历了“合格广发人（三年）-职业广发人（三-四年）-专业广发人（三-四年）”三个阶段的蜕变。杭州广发所倡导的职业化，是员工要对所从事的职业饱含尊重和敬畏。在这个阶段，杭州广发推行了员工职业化标准，确立了“一念之差，终生后悔”、“宁可损失业务，不可制度让步”、“人生态度很难改变”等一系列重要理念，通过树立英雄人物、整肃行风行纪大会、严肃处理相关人员等措施，全行上下实现了“彻彻底底洗个澡，跨过管理上的分水岭。”

合规文化的核心是信用

信用，是银行经营的基础，是银行的立身之本，而合规文化建设的核心是信用文化的打造，金海腾鲜明地指出，信用是对社会秩序的尊重、遵守。当前中国正处在一个特定的转型时期，“全民腐败”与“全社会失信”已成为中国迈向更高层次所必须解决的问题。广东“郁南模式”成功的关键就在于县政府讲信用。

“在这样一个充满不确定性的时代，只有文化才是企业长盛不衰的唯一保障”，金海腾引用美国安快银行CEO戴维斯的话，将合规文化建设上升到企业文化的高度。文化的构建需要鲜明的导向，打造信用文化、合规文化更是如此。金海腾总裁根据自己在银行管理中的实践，从“用人机制代表价值观导向，物质奖励体现公平性，精神奖励体现价值标准”这一理念出发，全面阐释了文化打造的方法。

合规与创新的辩证思考

在讲座的最后，金海腾提到了合规与创新的辩证关系。银行既是经营信用的，又是套利的，在这个不确定性的时代，银行发展已进入“无人区”，坚持合规下的创新尤为必要。如果单纯为了创新而不坚持合规，银行即使在短时间内获得了快速发展，最终仍将走向失败，而如果为了合规不敢、不愿创新，那银行发展的生机与活力就停止了。

商业银行合规文化建设的实践与思考 篇2

一、合规、合规文化的定义

合规,指的是银行的所有活动与所适用的法律法规、监管规定、规则、自律性组织制定的有关准则相一致,同时还应符合更广义的诚实守信和道德行为的准则。而合规文化是根据巴塞尔协议规定的合规风险衍生出来的关于银行如何规避此类风险的管理方式的一种界定。甚至将合规视为“银行内部的一项核心风险管理活动”。合规文化的作用,就是要在每一个业务操作和管理层面,构筑一个意识行为边界,通过边界确保业务操作和管理指令实施。这种共同的行为边界与每个成员个人的行为一致,逐步形成全行的作风和精神。

合规风险管理的过程是构建有效内部控制机制的基础和核心。全行只有以有效的合规风险管理为基础,操作风险、市场风险、信用风险等其他相关风险的管理才会更加有效,而合规风险管理的最高境界是合规文化建设。因此,应大力倡导和培育自身的合规文化,确保稳健经营、稳步发展。

二、当前银行合规文化建设的现状及所存在的问题

1.管理层和执行层对合规文化建设认识不到位。对于合规风险、合规文化的认识,长期以来存在不到位的问题。正如银行业监管层某位高管所言:“就中资银行而言,违规经营、道德风险是长期困扰和制约银行稳健发展的主要因素,根源就在于银行一直没有将合规视为风险管理的一项活动,更没有将合规作为一个重要的风险源来管理,长期以来合规一直不是银行重点关注的风险领域。”合规意识的淡薄导致银行在追求金融创新、追求企业利润的时候,忽视了合规风险管理,忽视了合规文化建设。连某位国有大型银行行长也不得不公开承认:管理层在大大小小的会上对合规问题说起来重要,做起来不重要,往往在自己报告最后一句才象征性地提及合规问题。

2.人治观念未能根本消除是合规建设的思想障碍。中国社会几千年的封建社会所形成的人治意识在现阶段仍左右着许多人的思想。各级管理部门、管理者的官本位思想、个人主观意识仍很强烈。在制度设计、修订、落实过程中和经营决策、管理中往往带有主观性、随意性、强制性、片面性。像涉及基层业务的制度出台之前也没有举行听证或征求意见,而是以某一管理层面的人或个别领导者,自以为是、想当然的想法,这样极大地挫伤被管理者的参与意识和能动作用,容易产生误解从而给合规建设带来负面影响。在决策中,个人说了算或代表部分利益集团说了算的情况也不少见,带有强烈的人治色彩,既践踏民意、践踏制度,又损害管理层在员工心目中的形象。

3.合规理念模糊,合规文化尚未建立。当合规建设目前还只停留在文件、口号的时候,就显示合规观念还未能被大多数的干部职工所接受。什么是合规文化?合规理念是什么?合规建设的总体目标是什么?合规建设的具体工作是什么?等等这些问题,如拿来让大多数的员工回答,是回答不出来的。一个文化的诞生需要一个大的、好的环境。在一个银行体制没有理顺、制约机制没有形成、合规理念没有清晰的情况下,合规文化就没有生存与发展的空间。在当前,合规文化建设仍处于原始阶段,在推进过程中,不可避免地还会出现这样那样的困难和问题。

4.执行力不强。好的制度需要好的执行。每项制度出台以后,还存在着执行是否坚决、是否连贯、是否有效等等的问题。而现实中大多的制度出台以后,制订者(管理者)对该制度的落实却很少过问,而下一级的管理执行人员也会在执行中打折扣,被管理者因为是受制度到束缚的,也会以种种理由、以不同的形式对抗制度,从而使原本好的工作机制、规章制度在执行过程中被扭曲变形。

三、解决对策分析

针对当前合规文化建设中所存在的问题,笔者提出如下几点对策。

(一)高层带头践行合规文化

合规作为一种文化,必须要从高层做起,银监会发布的《商业银行合规风险管理指引》中指出:“合规应从高层做起。当企业文化强调诚信与正直的准则并由董事会和高级管理层做出表率时,合规才最为有效。”一是高层领导的所作所为首先要合规,要率先垂范,不仅要树立合规意识,更要在行动上以身作则,保持言行与本行的宗旨和价值观念相一致,为全体员工作出表率。另一层意思就是要求高层领导一定要重视合规管理,配备合适的合规管理人员,合规管理的职能要细化,职责履行要到位,提高整个组织成员的合规水平。具体需要做的包括:(1)高级管理层应确定银行合规基调,确立正确的合规理念,提高全体员工的诚信意识与合规意识,形成良好的合规文化,这对于银行业金融机构有效管理包括合规风险在内的各类风险至关重要。(2)建立有效的合规风险管理体系。监督合规政策的有效实施,以使合规缺陷得到及时有效的解决。并配备充分和适当的资源,确保发现违规事件时及时采取适当的纠正措施。建立有利于合规风险管理的三项基本制度,即合规绩效考核制度、合规问责制度和诚信举报制度,加强对管理人员的合规绩效考核,惩罚合规管理失效的人员,追究违规责任人的相应责任,对举报有功者给予适当的奖励,并对举报者给予充分的保护。努力培育全员的合规意识,在全行上下推行合规人人有责、主动合规、合规创造价值等合规理念。“合规从高层做起”是巴塞尔银行监管委员会指导原则中的一个重要理念,也是对各级领导的基本要求。领导人员要身体力行,做诚信、正直、守法、合规的表率,做合规工作的坚定组织者和践行者。

(二)坚持以人为本,培育遵纪守法团队标本兼治,构筑安全经营屏障

狠抓教育,建设一支业务精良、具有较强案件风险防范意识和良好职业操守的员工队伍,是当前基层网点极为紧迫的政治任务。一是巩固案件专项治理工作学习成果,做到警钟长鸣,以儆效尤。建立案件通报学习例会制度,认真组织基层员工学习关于银行业案件的通报,并针对通报中的事件,汲取他行和以往的教训,深刻反思产生的根源,查找工作存在的风险隐患,从制度流程及管理层面加以改进,全面堵塞经营漏洞,把各种案件隐患消灭在萌芽状态。二是加强对员工的思想道德教育,建立全员沟通机制。针对员工年龄及知识结构、思想状况参差不齐的现状,充分发挥党团工妇组织的作用,在设置意见箱开展征求意见活动基础上,实行“五必谈,五必访”制度,“五必谈”即有纠纷必谈,受到批评处罚必谈,遇到困难必谈,工作变动必谈,表彰晋升必谈;“五必访”即生病住院必访,婚喜丧事必访,天灾人祸必访,重大喜庆事必访,家庭有矛盾必访。以及时了解员工的思想状况,帮助他们解决工作和思想上的困惑。建立了员工合规文化教育基地,培养员工积极向上的生活情趣,增强员工遵纪守法、合规操作的荣誉感和归属感,形成“合规光荣、违规可耻”等轻松愉快的工作氛围。三是把好选人、育人、用人关,培育全员争优创先、诚信守法、文明规范服务的意识。为了从根源上杜绝案件的发生,把人作为案件防范的关键因素。在招用竟聘环节上,严把选人用人关,对所招聘员工经历进行调查核实,确保其无如赌博等不良嗜好及不良社会交往。在岗前教育及本行日常培训中,也将员工的职业操守、行为规范作为培训的主要内容,并严格进行考核,对考核不合格的试用期员工不再继续使用;在用人方面,对于关键及敏感岗位,尤其加强对所用人员思想道德素质及职业操守的考察,对于关键岗位人员调离本岗位的,必须开展对离任人的经济责任审计。四是以正面教育为主导,以共建“合规立行”为理念,推行人性化管理。通过编制印发《业务操作指南》、《员工行为规范培训手册》等方便员工使用等一系列人性化管理措施,使员工切实体会到了“合规是员工的第一要义,员工是合规的安全载体”。让员工懂得珍惜合规带来的好局面,感恩合规高效机制和呵护合规操作提供的人生价值平台。

(三)建立长效合规机制,促进合规文化建设上新的台阶

有效的机制是保证合规文化建设能否取得成功的关键。一方面要加强内部控制制度建设,强化约束机制。在内部管理中,要制订、落实好相互制约机制、信贷风险控制机制、财务监督机制、操作风险控制机制、人事问责、考核、任免机制、激励机制、检查审计机制等,从而在内部形成强有力的权力制衡、权利均称,上级和下级协调、部门与部门合作、岗位与岗位监督,层层落实、层层负责的内部监督机制和科学规范的规章制度,确保各级、各部门、各岗位、各项工作、业务操作都有章可循、有章必依、违章必究,不断创造有利于合规建设的制度环境。

在开展经营管理过程中,应建立科学决策机制,防止人治行为的产生。各级管理层的主要负责人和核心管理者要从根本上摒弃将个人意志凌驾于有关法规之上的陋习,正确树立科学管理观、权力观,落实民主管理,增强决策透明度,同时还应将自己自觉置身于职工的监督之中,避免决策失误所带来的严重后果。

(四)培育先进科学的合规文化行为

我们要将合规文化作为管理者和被管理者之间的结合点,创造和谐管理环境。培育先进科学合规文化行为的主要目的是依法经营、合规管理。要实现这一目标,必须坚持“实化于行”,培育先进科学的合规文化行为。一是要规范员工行为。人是社会各种实践的主体,工行每位员工则是合规文化建设的具体实施者,培育先进科学的合规文化行为首先应强调人人有责,即每个人都是风险的责任人,每个部门或岗位都会有风险发生。作为农发行的员工,每个人都有责任和义务在自己的岗位上和部门内有效防范合规风险,也就是说一切按制度办事。二是要明确部门行为。在主观规范操作行为的同时,要加强以“督”治“为”,通过完善监督机制,防止乱“为”现象并加强合规文化行为的落实。加强现场检查和非现场监管,进一步推进自律建设。在履行检查和自律监管职能时,各部门要明确职责分工,加强配合,形成合力。监察、保卫部门负责牵头组织对违纪违规问题及案件线索的核查、处理,对诈骗、盗窃、抢劫等案件的查处等;业务部门负责对经营机构操作风险检查、客户信贷及结算业务专项检查、操作风险专项治理及本部门负责的各项业务整改措施的落实,强化制度梳理和完善;人力资源部门负责检查重要岗位人员的交流、轮岗情况,落实“强制休假”制度;内控部门负责对员工操作行为的再监督等。三是积极倡导健康向上的合规文化。我们要将合规文化作为管理和被管理之间的结合点,创造和谐管理环境。管理带有强制性,合规建设离不开管理,但如果将合规建设提升到文化的层面上,就会易于被接受,也能促进管理工作更好开展。要建立合规文化,一方面是要有一定的文化表现形式,如文艺演出、演讲、歌曲、书画等等,将合规建设要求采取员工喜闻乐见的形式,带动全体员工把思想集中到合规建设上来;第二方面是对合规建设中的先进典型、先进经验及时进行总结推广,对先进人物给予一定的精神和物质鼓励,如可设立年度合规建设先进集体、先进个人,对平时认真执行制度,对合规建设做出贡献的单位和个人进行表彰,以榜样的力量带动合规建设的深入,使员工获得更加感性的认识。第三方面是要注意文化建设的长期性和渗透性,它不可能一下子就让人看到成效,需要各级管理部门长期积极推进,才会在不远的将来发挥积极的巨大作用。因此,对合规文化也要有一定的制度规范,作为各级管理部门可指定专门的机构负责做好合规文化的筹划、运作、促进工作,形成制度化,在整个系统成为一种良好的风气,使之与员工产生共鸣,并积极参与其中。

摘要：业务发展,内控先行。优秀的合规文化,是银行确保稳健经营、稳步发展的基石。从当前商业银行合规文化建设的现状及存在的问题入手,作出了加强基层行合规文化建设的对策分析。

商业银行合规文化建设的实践与思考 篇3

关键词：商业银行 合规文化建设

什么是合规文化？合规文化是商业银行企业文化的重要组成部分，其主要内涵包括诚实、守信、正直等职业道德与行为操守。“合规人人有责”“主动合规”“合规创造价值”“内部合规与外部监管有效互动”等理念和行为准则，以及银行对社会责任、银行对员工负责、员工对银行负责、员工对其他员工负责等价值观念取向。商业银行合规文化建设是一个长期而复杂的过程，在当前经济形势错综复杂、经营管理难度加大的新形势下，深化合规认识、狠抓薄弱环节、加强合规管理，对当前商业银行整体推进合规文化建设具有现实意义。

1、商业银行合规工作面临的挑战和问题

1.1、对合规价值的认识存在误区

目前商业银行片面地将合规工作简单地等同于牵制、制衡、复核、监督，错误地将合规管理与业务经营对立起来，把合规管理看成一种成本负担，认为强调什么都按规章制度办，可能什么都会办不了，导致一些打擦边球、钻空子、甚至违规经营的行为时有发生，这可能在短期内商业银行能把业绩指标做上去，但从根本上加大了风险，弱化了管理，削薄了根基，忽视了合规管理对商业银行整体管理效率和经营效益的价值创造功能。

1.2、合规组织管理体系有待完善

商业银行合规工作具有极强的系统性，涵盖了所有的机构、部门、岗位和人员，涵盖了所有的业务、产品和经营管理活动，涵盖了决策、执行和监督的全过程，具有“全员、全面、全过程”的鲜明特点。目前各商业银行均成立了相应的合规管理部门，各商业银行所属一级分行也明确了合规工作的牵头部门，商业银行的合规工作进入了新的快速发展阶段。由于商业银行合规工作的特点决定只要当其融入到商业银行各业务条线、各项经营管理活动之中才具有蓬勃的生命力。但目前各商业银行在各级业务主管部门没有明确的合规管理团队或合规岗位，没有清晰的合规岗位职责定位和相对独立的合规管理绩效考核方法，不利于商业银行整合合规资源，从而一定程度上造成了商业银行内部合规部门单打独斗的局面。

1.3、合规缺陷的治理重点需进一步明确

对商业银行合规缺陷的治理在整体推进的同时，应以分析、完善重点业务领域和关键环节的合规缺陷为切入点，比如建设银行目前提出了按照“突出重点、稳步推进、逐年提高、持续改善”的指导思想，全面梳理、分析近年来内外部审计监管检查揭示的内控缺陷，通过业务部门和审计部门的共同参与判断，既个别把握具体问题的风险大小，又整体把握这一具体问题在整个业务流程中的风险大小及严重程度，从而确定各业务条线合规的最薄弱环节，通过逐项研究、改进、监测和评价，不断取得实质性的合规改善效果，以提升建设银行合规对业务稳健发展的支持保障能力。

2、对下一步推进合规工作的思考和建议

2.1、深化对合规价值创造能力的认识

商业银行合规工作看似不能直接创造价值，但确保稳健经营，减少和防范因违规造成的风险损失就是创造价值。但认识到，商业银行是经营高风险的行业，内控薄弱、违规经营将带来极大的负外部性，而强化合规、坚持合规能带来良好的口碑，提升商业银行的声誉，对培育商业银行的品牌效益意义重大。更要认识到合规工作管理人员的重要性，因为人是最宝贵的资源，培养一个合格的干部、员工要付出长期的努力，而一旦犯错，将会给自身的职业生涯带来很大的影响，因此，商业银行在加强合规管理过程中，要积极倡导“合规人人有责”、“合规创造价值”、“合规延续竞争力”等文化理念，以合规创造价值引领业务发展，同时，引领全员大力推进合规文化建设。

2.2、着力打造合规队伍

在当前商业银行专职合规人员较为有限的情况下，为突出业务部门合规管理的主体地位，需要商业银行在各级业务主管部门设立合规管理团队或合规岗位，并明确其合规岗位职责，作为商业银行以企业级姿态整体开展合规管理的重要依托和真正着力点，从而将合规工作全面介入具体的日常经营管理活动。同时，商业银行应设计有差别化的考核指标对合规岗位人员进行考核，以确保合规管理要求在业务条线得到贯彻落实，确保在音乐响起的时候，所有人都能跟着起舞，唯独合规人员必须以理性、稳健、独立、审慎的态度，时刻关注风险、保持警惕，看紧底线和边界。

2.3、重点推进合规薄弱环节的全方位治理

商业银行科学的合规管理应深入把握风险防范和业务发展的辩证关系，注重成本与收益的动态平衡。商业银行在确定合规薄弱环节、对合规缺陷进行风险大小判断的基础上，深入剖析问题发生的根源，摆脱对具体问题进行一事一改的高成本模式，建立开展整改工作小组负责制，提高问题整改的层级和重心，以融入业务为方向，以支持协助业务条线完善合规措施为出发点，从制度设计、流程优化、完善系统、业务操作、运行监督等多方面开展系统性整治，才能找到合规管理和经营管理内在联系的节点，也才能使商业银行的合规工作不断地在更高的平台上向前发展。

参考文献：

商业银行合规文化建设的实践与思考 篇4

为加强商业银行合规风险管理，维护商业银行安全稳健运行。合规是商业银行所有员工的共同责任，要求商业银行加强合规文化建设，确立全员主动合规、合规创造价值的合规理念。

一、合规经营和建设合规文化的意义

农村合作银行在经营管理过程中时刻与风险相伴，负债经营的特性决定必须把“安全性”放在首要位置。目前合规管理方面仍存在不少不容忽视的问题，如重业务拓展，轻合规经营的做法仍有存在，只注重市场营销和拓展，而忽视业务的合规性管理，一些违规问题屡查屡犯，部分工作人员合规意识淡薄，案件时有发生。因此，积极开展、落实合规建设工作，培育良好合规文化，尤具现实意义。

合规经营是构建有效内部控制机制的基础和核心，是稳健运行的内在要求，也是企业文化的一个重要组成部分。合规文化与合规经营是统一的关系，“全员合规、主动合规、业务合规、管理合规”为导向的合规文化必将对我们的经营管理活动的健康发展起到促进作用，更是实现又好又快发展的重要保障，具有强烈的现实性和必要性。

二、合规文化建设主要内容

（一）管理者要自觉做合规合法的表率，率先垂范，倡导践行合规文化合规作为一种文化，必须要从管理者做起，银监会发布的《商业银行合规风险管理指引》中指出：“合规应从高层做起。当企业文化强调诚信与正直的准则并由董事会和高级管理层做出表率时，合规才最为有效。” 合规应从管理者做起，管理者应带头合规。一方面管理者的所作所为首先要合规，要率先垂范，不仅要树立合规意识，更要在行动上以身作则，为全体员工作出表率。

（二）主动合规全员参与合规文化。合规风险分布于银行的所有工作岗位、各个流程、各个工作环节，与每个员工都息息相关，每个员工都有责任去合规，要坚决克服被动合规心理，树立主动合规意识，这种分散化特征决定了每一个业务点都是合规操作的风险点，每一名员工都是合规操作和管理的第一责任人。因此，合规文化建设应强调人人有责，每个人都有责任和义务在自己的岗位上有效防范合规风险。人人应将合规文化建设与日常的工作和业务有机结合起来，将合规文化意识渗透到自己的工作中

（三）正确处理合规与业务发展关系，树立“合规创造价值”理念；合规能整合资源、优化流程、提高办事效率，给我们带来直接的经济效益，同时，合规亦有助于提升我们的品牌，形成良好的社会口碑，吸引更多的优质客户，带来间接的经济效益。但是，违规或导致的重大案件就会使我们遭受法律制裁或监管处罚、重大财务损失等直接经济损失，同时可能损坏声誉品牌，从而遭受间接的经济损失。所以说，合规与发展是相辅相成的，和谐发展离不开合规。

建设银行信息安全实践与思考 篇5

中国建设银行股份有限公司（以下简称“建行”）一直践行“以客户为中心”的理念，全力打造让客户放心的金融服务平台，在人民银行、银监会等监管部门的指导下，按照高管层“确保全行生产系统安全、稳定、持续运行”的要求，加大信息安全技术投入，完善信息安全管理流程，加强人员安全意识和安全技能提升，有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响，有力地保障了建行业务稳健发展和创新。

一、“十一五”期间建行信息安全建设成绩

2005年，建行实现了全行数据大集中，有力地支持建行重组上市、促进业务快速增长和业务创新，与此同时，信息系统自身风险和内外部攻击的风险也不断积聚，信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”，系统化进行信息安全建设已迫在眉睫。为此，“十一五”期间，建行从信息安全组织建设、完善信息安全技术保障体系、构建开发安全和运维安全管理流程、持续开展信息安全文化建设等方面，全面推进全行信息安全体系建设。

1.高层推动，建立健全全行信息安全管理组织体系

遵循监管部门信息科技管理要求，结合行内组织职能划分，建行构建了全面的信息安全管理组织，形成了“三个层面，三条防线”安全管理体系。三个层面是指，董事会负责制定全行信息安全管理战略、负责定期听取全行信息安全管理情况报告；高管层负责明确内部信息安全管理职责，负责重大信息安全管理决策；总行各业务部门和各级分行作为信息安全执行层，负责具体落实全行信息安全战略和决策。三条防线是指，执行层面中信息科技管理部门及相关业务部门是信息安全的第一道防线，信息科技管理部门负责制定信息安全管理制度、开发部署信息技术保障体系、提供信息安全管理咨询服务等，部内设安全管理处，承担日常信息安全管理工作；风险管理部门是信息安全管理的第二道防线，负责监管要求的传递和业务连续性管理工作，内设操作风险管理处和业务连续管理处，从事业务操作风险管理相关工作；审计部是安全管理的第三道防线，负责全行安全管理情况监督评价，内设IT审计处负责全行IT审计工作。

安全管理人员配置上，全行92人具有信息安全专业证书（CISP），94人具有国际IT审计证书（CISA）。

2.明确信息安全管理目标和策略，完善信息安全制度体系

“方向明晰是成功的基础”，建行十分注重整体信息安全管理策略建设。遵循监管要求，结合自身实际，建行确立了全行信息安全管理目标：一是有效保护信息及信息处理环境，支持业务持续运营；二是提高应对新型信息安全威胁的能力，支持业务创新；三是保护客户信息和资金安全，维护建行声誉；四是提高合规管理能力，满足监管要求。制定了“全面管理、预防为主、分级保护、合规审慎”的信息安全管理原则，确定了信息资产的等级划分策略，明确了对不同等级信息资产的信息安全管理偏好，为信息安全管理指明了方向。

在信息安全管理策略的指引下，建行结合信息科技检查以及内外部审计意见，组织完善信息安全制度框架体系，按照“全面防范，重点突出”的原则，先后制定发布了一系列涉及物理安全、网络安全、系统安全、桌面安全、应用安全、数据安全、开发安全、运行安全、风险评估、风险处置和应急管理、IT审计等方面的信息安全管理制度。具体内容包括：按照银监会《商业银行信息科技风险管理指引》，组织制定了配套的信息安全和业务连续性管理的政策、管理办法、操作规范和指南，构建了全行信息安全管理整体框架，明确了信息安全管理对象、管理角色及各对象全生命周期的安全管理要求，规范运维中的安全管理行为；统一全行安全评估的尺度和方法；明确应急管理要求，实行信息系统责任事故的责任认定，在员工行为准则中明确了违反信息科技管理原则的处罚办法。

通过上述工作，初步建立了以政策、制度、标准为导向的信息安全管理体系，建立了涵盖开发、运维、合规、治理全方位的信息安全管理制度体系。

3.以国家等级安全保护要求为指导，构建等级化信息科技安全技术保障体系

全面落实国家信息系统安全等级保护要求，根据国家信息安全等级划分标准，制定信息系统安全技术基线，明确了不同安全等级信息系统安全保护要求，编写了信息系统安全技术选用指南，明确了实现信息系统安全要求的技术实现方法，编写了信息系统安全产品选用指南，明确了信息技术所需安全产品的选用原则，从而建立了从需求、安全设计到安全实现的整体安全建设流程。

构建了信息系统安全技术架构，明确了信息系统共有安全技术基础平台的建设原则，明确了信息系统建设中使用基础平台的策略，为安全技术整合、优化提供了方向，为全行信息系统安全技术应用提供了指导原则。目前，已采用共性任务集中建设的策略构建全行性安全基础平台。统一开发了用户认证授权管理平台，面向全行网络、系统和应用提供统一身份认证和权限控制服务；统一开发了加密安全管理平台，为各应用系统提供加密服务；全行引进部署了数据安全传递和安全销毁工具，为全行重要生产数据提供覆盖全生命周期的统一安全策略、数据访问控制和数据防泄露等服务；在应用系统运维管理方面，建设运维安全管理平台、日志管理与安全事件监控系统，提供统一的运维操作授权、监控和审计等服务。

遵循等级化安全技术架构，建行采用纵深防御的策略构建信息运维安全保障体系，与电信、公安等部门建立协防机制，借助国家力量防范恶性及大规模攻击行为；统一规划互联网、外联网安全防护标准，部署防护墙、入侵检查系统、信息过滤系统、行为检测系统，防范边界风险隐患；加强网上银行安全威胁发展趋势的跟踪、分析和研究，推动新技术新产品在网上银行等互联网系统中的应用，加强安全渗透测试和假冒建行网站的检测。合理划分内部网络区域，有效隔离生产网、办公网和测试网；统一部署构建桌面安全防护体系，为全行计算机终端提供统一的病毒防范和漏洞补丁管理等服务。推进作业调度系统，改变通过手工或系统命令调度的方式，建设自动化运维管理平台，实现日常IT运维中重复性工作“自动化、集约化、规范化”，避免人为操作带来的安全隐患，建立运维监控系统，实现系统设备全方面动态监控。

采用全生命周期管理策略构建软件安全开发体系，建立软件安全需求识别模型和需求审核机制，把好软件安全需求审核关；制定软件安全编码指南，引入软件代码安全扫描工具，把好软件研制关；引入Web应用系统等渗透测试工具，建立软件安全测试流程和渗透扫描机制，把好软件上线管理关。

通过上述安全措施，建行初步建立了涵盖软件开发安全、运维安全的技术保障体系。

4.借鉴国际标准，完善信息

系统安全开发和运维管理流程在信息系统开发管理方面，对项目开发管理的可行性研究、需求分析、立项评审、编码安全、测试、投产上线等全过程进行了规范管理。在项目立项环节，加强方案的架构审核和安全评审，严格执行信息安全技术架构原则；在软件开发环节，大力推广使用代码检测技术和漏洞测试工具，提高软件编码质量，防范软件开发过程中存在的风险和漏洞。在测试管理上，成立了测试团队，负责跨系统的连接测试、集成的功能和性能测试以及上线版本检验测试，并对网上银行等重点系统开展安全渗透性测试。在投产上线前，强化上线集中审核制度，加强上线前的审核和控制，防范上线过程中和上线后出现的系统运行风险。

全面深入开展运行精细化管理，加强系统运维计划管理。推广ITIL管理流程，对系统运维工作进行全面梳理，明确主要问题和薄弱环节，部署系统运维计划管理系统，加强变更操作过程控制，完善变更审核流程等措施，控制变更操作风险；制定系统数据备份策略，建立备份数据验证环境，提高数据安全保障能力；细化系统运行事件分类，建立事件处理知识库，提高运行事件响应处理能力；优化岗位设置，细化岗位职责、报告路线、任职资格和绩效考核指标，不断提高运维人员的工作责任心。

5.持续开展信息安全管理文化建设，提高员工安全意识和安全技能

人是信息安全管理中最重要的因素，建行始终坚持员工合规管理和安全培训两手抓。加强合规管理，以流程管理引导员工做正确的事，以严格制度促使员工规避风险。加强信息安全知识培训，培训开发人员安全编码能力，提高软件安全质量；编印员工信息安全知识手册、信息安全实务手册及相关课件，开展全行信息安全知识竞赛，传递信息安全基础知识和基础技能，提高员工安全应用信息系统的能力；加强银监会风险提示宣传和内部风险警示教育，以典型事件教育、提升全员信息安全意识，以常规化的培训教育，促进信息安全管理文化的建设，营造“人人参与，全员共进”的良好信息安全管理氛围，保障建行信息系统的安全运营。

二、全面提升IT内控水平

系统复杂性、过度依赖外包及制度执行力不足是影响IT内控能力的关键因素，建行从加强架构管控和系统整合、加强自主运维和自主开发、加强信息科技检查等方面控制上述不利因素，全面提升IT内控能力。

1．加强架构管控和系统整合

建行从全行发展战略的高度，依据IT规划、架构标准以及现有的资源和能力，不断强化企业级架构的管控，规划、设计了企业级应用架构、数据架构、技术架构和安全架构。积极协调相关部门共同推动需求整合，在企业架构指导下进行具体系统的实施，并通过架构管控落实信息安全政策、标准和技术实现。

2．加强IT队伍建设，提高自主开发和运维能力

加强全行信息技术条线人员流动，从各中心选拔经验丰富的优秀人才充实管理队伍，新进员工补充到开发一线，形成合理的开发和管理梯队；适度调度分行开发人员参与总行项目的开发工作，优化全行信息技术资源配备。参照国际一流和国内最佳做法，建立IT自主开发、自主运维能力模型，量化IT自主开发、自主运维评价指标，组织开展IT自主开发、自主运维能力评价和考核，引导鼓励员工自主开发、自主运维，确保信息系统核心能力、安全生产运行等关键环节掌握在本行技术人员手中。

3．定期开展信息科技检查

为促进IT制度落实，规范IT合规的检查管理，组织制定印发了《中国建设银行信息科技工作检查管理办法》和《中国建设银行一级分行信息科技工作检查标准》，明确了全行信息科技检查范围、检查对象、检查频率及检查标准，并由总行信息技术管理部领导亲自带队开展现场检查，指导整改，将检查发现问题和经验交流结果通报全行，促进了信息科技各项制度的落实，有效防范了操作风险。

三、打造安全的基础环境，持续引入IT风险管控新技术

造成系统风险和业务风险的主要因素是信息系统基础环境隐患和信息系统自身稳定性不足。控制系统风险和业务风险需要打造安全的IT基础环境、需要提高信息系统自身的安全能力、需要持续引入IT风险管控工具和信息安全管控技术。

1．大力改善基础设施

近年来，建行持续推进灾备中心建设，组织制定了IT服务连续性建设近、中、远期目标，明确了生产与灾备中心布局策略及总、分行信息系统灾备建设策略，确定信息系统灾备分级及恢复策略，完成了IT系统灾备总体方案，明确了灾备体系实施路径。

目前，总行符合国家最新A类机房标准的机房已投入运行，改善了数据中心运行环境；投入大量资金用于分行机房改造、设备更新，消除了机房容量不足、设备老化、电力保障薄弱、缺乏双回路等隐患，改善了全行IT运行环境。

2．开展重要信息系统风险排查和整改优化

落实银监会发布的风险警示，吸取业界信息安全事件经验教训，对信息服务的关键系统进行了全面梳理，组织系统失效点排查、系统高可用性设计分析、服务接口安全风险分析，评析系统故障发生后的业务影响，制定系统优化改进方案，组织系统优化，增强系统可用性。

2011年，建行将进一步加大信息安全技术应用。一是继续推广统一认证授权系统，加强全行用户身份管理、认证管理和权限管理，在确保提高身份认证强度的同时，方便用户使用；二是推广网络接入准入系统，统一桌面安全配置、统一桌面安全软件，实施桌面标准化管控；三是推广实施数据安全管理系统和数据安全管理工具，加强对客户信息等敏感信息的安全防护，防范信息泄露；四是建立安全漏洞管理体系和恶意攻击行为识别模型，及时修补漏洞，识别和应对攻击，增强电子渠道交易环节的事前和事中防范能力，全面推进系统风险和业务风险防范。

四、新形势下银行业面临的信息安全问题和应对策略

1．银行业面临的信息安全挑战

银行与经济发展密切相关，银行信息系统建设也始终围绕更好地为客户经济活动提供金融服务展开。在企业走出去，客户全球化，交易电子化，服务随时随地化的大背景下，银行业将面对如何在更开放的环境中提供安全金融服务的挑战；信息技术的迅猛发展，打破了原有的业界信息安全基准，公认的验证完整性的MD5算法已被我国科学家王小云证明存在隐患，云计算的兴起，提供了充足的计算资源，使得暴力破解密码更为轻松，网上唾手可得的攻击工具以及有组织的金融犯罪等均对银行信息安全防护提出严峻挑战；同时，面对错综复杂的金融环境，合理平衡安全与易用的关系，在保障客户资金交易安全的同时兼顾客户便利也是银行业面对的长期挑战。

单纯的防御已显得力不从心，面对挑战，建行积极跟踪信息技术发展趋势，及时淘汰落后的信息安全技术和产品，更新信息安全技术和安全产品选用策略，完善信息安全技术和安全产品使用指南，提升信息安全防护能力。

一是将安全防线前移，在客户端引入安全扫描等机制，主动评价客户平台安全状况，加强客户平台准入管理，增强客户异常行为检查，通过识别客户交易时段、地点、交易频率及额度等信息，提前预警防范风险；加强纵深防御，在防线前移的同时，增加后台安全管理手段，建立业务安全监控机制，及时识别危险账户和客户异常行为，实现技术防范与业务交易安全监控联动，更有针对性地防范风险。

二是全面贯彻等级化保护思想，根据信息系统承载的价值、一旦失效对客户和社会的影响进行信息系统等级划分，针对不同等级的信息系统采取相应的安全等级保护。同时，应用等级化保护策略，对客户账户类型和客户风险承受能力进行安全等级划分，区别设置验证策略和监控防控手段，更人性化、更安全地提供金融服务。

2.商业银行面临的安全问题

（1）银行信息安全多头管理

目前，银行业信息安全管理由行政管理层面和银行监管层面实行双重管理。行政管理层面包括国资委、公安部、安全部、工业与信息化部、国家保密局、商用密码管理办公室等，行业监管层面包括人民银行、银监会、证监会、保监会等。多部门参与管理和监管致使银行信息安全管理缺乏整体协调，涉及信息安全的法规繁多，但出台的角度和管理的尺度不一，不利于遵循和执行；涉及信息安全的标准内容庞杂，但缺乏系统性，指导性不强。此外，由于多头管理，还造成对银行信息系统的管理要求与其他行业雷同，缺乏针对性，对银行信息系统实施重点管控的要求不能得到有效体现。

（2）核心软硬件技术基本依赖国外

目前，我国银行信息系统核心主机、骨干网络设备、大型存储系统主要是美国等发达国家IT巨头公司的产品，中后台业务主机上运行的操作系统、数据库等系统软件也基本上是国外产品一统天下；金融核心综合业务系统多为合作开发，合作的外方多有技术保留倾向，我方人员尚不能完全掌握核心技术，硬件、软件后续升级维护严重依赖国外厂商，既不利于系统安全运行，也影响业务自主创新。

（3）数据中心防护能力不足

目前我国银行业数据中心和灾备中心选址布局基本符合相关技术规范要求，但是从国家宏观战略角度来看，大型银行的数据中心和备份中心集中部署在北京、上海等少数大城市，致使风险也相对集中，一旦风险发生，可能危及国家经济和社会的整体安全。

另外，银行业数据中心和灾备中心的安全保卫基本还停留在雇用“经警保安”维持秩序的水平，不仅无力应对恐怖性质的攻击和破坏，即使群体性冲击事件都难以防范。2009年7月新疆乌鲁木齐骚乱期间，受到冲击的金融机构仅靠员工手持棍棒防卫设备机房和营业设施。目前，我国银行业的安保状况与被保卫目标的极端重要性极不相称。

3.银行业的应对策略

（1）统一监管银行业信息系统安全

建议银行业监管部门统筹规划，整合现有多部门、多头监管银行机构信息系统安全的职责，发布基础性信息系统安全管理方针政策，制定关键信息安全技术研究引导政策，明确银行信息系统灾备中心建设策略。组建具有权威性的信息安全技术研究队伍和信息系统安全测评队伍，承担重大信息安全技术攻关课题，定期对银行的信息系统开展信息安全风险评估。

（2）重视涉及信息安全关键技术的研发攻关

建议把研制涉及信息系统安全的关键硬件和软件列为提高自主创新能力的重点，由国家统一组织力量，协力攻关，争取早日突破。加快核心技术设备国产化进程，从根本上改变目前基本依赖国外的局面，构筑信息安全的必备基础。同时，对使用国产关键设备的金融企业给予政策上的支持和鼓励。建议组织专门力量对引进使用的关键硬件和软件中是否存在安全隐患进行检测诊断，研究提出有效的排除和处理措施。

（3）加强灾备管理体系和数据中心安全保卫管理体系建设

对银行合规风险管理的思考 篇6

孟子曰：不以规矩，不成方圆。淮南子有训：矩不正，不可为方；规不正，不可为圆。银行作为一个以经营货币和风险获取收益的社会金融机构，面对金融业全面对外开放和部分金融机构违法违规事件频发的紧迫形势，“合规”已成为银行的热门话题，“合规风险”时刻挑战着银行业稳健经营的根基。作为风险管理一项核心活动的合规风险管理，也日益受到我国监管部门和银行业的高度重视。

一、合规与合规风险

合规，即我们通常所说的遵循、服从，本文所说的合规指的是“银行合规”。近年来，“银行合规”这一词语在我国商业银行经营管理工作中经常使用，但是对于合规的理解却有很多种。有的人理解为银行在经营管理中的一切行为必须符合银行总行及其分支机构制定的一系列规章制度，有的人简单理解为符合规定。很显然，这样的理解都很片面。2006年，中国银行业监督管理委员会颁布了《商业银行合规风险管理指引》（以下简称《指引》），《指引》的第三条就明确规定：合规，是指商业银行的经营活动与法律、规则、和准则相一致。而法律、规则和准则是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律组织的行业准则、行为守则和职业操守。同时，《指引》也明确了何为合规风险。合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

从合规风险的定义可以看出，合规风险的产生，主要是因为银行自身没有在职责范围内主动遵循相关的规定，从而遭受的经济或者声誉上的重大损失。总所周知，传统的银行风险包括信用风险、市场风险和操作风险。随着市场经济的发展，依法合规已经成为银行业经营管理中的重中之重，合规风险则成为三大传统风险之上更为基本的风险。

二、合规风险管理的内涵

《指引》第四条明确指出，合规风险管理是商业银行的一项核心的风险管理活动，商业银行应综合考虑合规与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性。不难看出，合规风险管理在银

行中的作用就是引导银行主动识别风险，主动执行合规风险管理制度，必要时采取奖惩措施，避免违规事件发生。合规风险管理是一个持续的、动态的管理过程。综上，对合规风险管理内涵的理解，应该围绕以下几个方面：

第一、合规风险管理是银行经营管理活动中一项核心的活动。合规风险存在于银行经营活动的广度和深度，使得合规风险管理从宏观上说，是加强银行整体、全面风险管理的关键，从微观上说，又是银行实施内部控制的基石。合规风险管理从眼前看，可以理解为是一种减少违规事件，减少损失的有效途径，从长远看，则是为银行创造财富的源泉。因此，在当前，合规风险管理应该得到充分的重视，应该在实践中作为一项核心活动去落实和贯彻。

第二、完善的合规风险管理机制是合规风险管理的基础。合规的前提是“有规可循”，因此，在银行的经营过程中，必须要有一套完备的法律法规、准则。不管是国家立法机关还是监管部门，都应该有与当前银行业发展相吻合的一套机制。对于银行自身来说，更需要在市场经济的基础上，结合自身业务产品和管理需要，制定内控制度。

第三、合规风险在一定程度上导致其他风险的产生。合规风险渗透于银行经营管理的各个方面，合规风险的产生是基于银行自身的不合规或者违规，这样一来，原有的合规机制被打破，随之而来的是直接或者间接导致法律风险、操作风险、信用风险等一系列问题的发生。

第四、合规风险管理应该是一个持续、动态的过程。银行要在不断对合规风险进行有效识别，主动避免违规事件发生，或者在违规事件发生后及时采取纠正和惩罚措施，同时，持续对合规法律、规则和准则的变化进行动态地吸收，并在此基础上进行新的合规风险管理。

第五，在市场经济条件下，合规风险管理存在很大的挑战。市场经济条件下，整个银行业面临的竞争和挑战是前所未有的，利益所趋，带来的后果则是对现有的规章制度执行不力甚至视而不见。与此同时，我们还应该看到，我国目前还没有形成一个良好的信用环境，诚信问题还面临困境。因此，在市场秩序和市场观念相对无序的情况下，合规风险管理很难取得突破。

第六，有规即循是合规风险管理最基本要求。通过对银行违规事件的总结，可以发现，事实上，绝大多数违规事件的发生不是因为缺乏相应的制度约束。而

是银行工作人员对现有制度的违反。在法治相对较为发达的今天，往往不会因为无章可循导致合规风险的产生，而是有法不依、有章不循或者是执行不严而导致。因此，合规风险管理需要强调工作人员从基本的合规做起，做到按章操作，规范行为。只有将这项基本的工作做好了，才能在此基础上更深更好的发展合规。

三、合规风险管理的突破

当前，合规风险管理作为银行业经营管理中起步较晚的一项核心管理活动，还存在一定的问题和不足。因此，要在现有的基础上有所突破，应该做到以下几个方面：

第一、完善合规风险管理制度，并使之具有很强的操作性。

前面有提到，完善的合规风险管理机制是基础，而实际工作中却很少因为无章可循导致合规风险。导致这样一种现象的原因可能是多方面的，通常，一项制度如果得不到有效的实施，可能是因为实施主体的主观过错，可能是因为待实施制度本身不具备可操作性。从现有的制度中也可以看出，无论是国家法律还是监管法规，都有比较模糊的地方，这样一来，我们在执行的过程中就会遇到瓶颈。在我看来，作为银行本身，应该结合本身的业务品种，操作规程，制定紧密相扣的规范制度。如果说良好的产品和服务是我们银行盈利的生命，那么，行之有效且可操作性强的规章制度则是支撑生命的精神之源。

第二、培育良好的合规文化。目前，在银行内部，还没有形成良好的合规文化。存在重业务轻合规的现象，存在把合规当成是管理者的专职的误区，存在重事后惩治轻事前防范的习惯等。合规文化在一定程度上决定了商业银行的整体价值趋向和行为规范。首先，合规要落实到全行每一位员工每一项业务操作每一个管理过程。合规并不只是合规人员的责任，各经营管理部门都应该把合规管理贯穿于日常工作中，体现在部门规章中。其次，加强合规制度的评价。一项制度究竟能在银行经营活动中发挥多大的作用，执行成本高低，执行流程的选择等都是需要在执行之后，结合实际工作做相应的分析才会得出结论。这就类似于在我们的经营管理工作中开展的“业务自评估”，在评价自身工作的同时，发现风险点，总结经验与不足，以便的以后的工作中作出合适的调整，或者修订。再次，建立健全奖惩机制。包括严格有效的问责制和人性化的激励制度，并将这样的制度作为培育合规文化的重要部分，充分体现银行倡导合规和惩罚违规的决心和观念。

第三、加强风险报告制度的长效运行。

在大多数银行中都建立了相对较为完备的风险管理机制，最为常见的就是风险信息报告制度。风险报告制度能够长效运行，需要保证几个方面。首先，各个机构、部门风险报告制度的落实工作中，要保证及时、有效。在银行经营管理中，每一个环节的工作都会牵动其他环节的工作，如果在某一个环节有所懈怠，将会引发更大的风险。所以，风险报告中的合规检查必须要及时有效。其次，各个机构、部门必须保证自身工作的独立性。在分工明确、科学的前提下，风险报告的履行应该具有很强的独立性，能够独立、不受任何干扰地反映本机构、部门的问题，做到具体问题具体分析。再次，清晰明确的报告途径是风险报告能有发挥作用的关键。风险报告制度不仅仅是上下级部门之间的汇报，而且是定期向高级管理层和合规管理委员会的汇报。日常工作中，应该根据业务管理部门制度执行情况、内部评价、现场检查等全面掌握每项业务的运行流程和细节，把握其风险点，结合全行经营状况、风险控制情况，确定适时调整的全行风险管理机制。

第四、加强合规培训。

商业银行合规文化建设的实践与思考 篇7

(一) 金融生态概念的提出

生态是生物和人类与其生存环境之间的相互关系, 是自然生态系统和人工生态系统结构和功能的总和。在全球生态环境不断恶化的背景下, 20世纪60年代以来, 各国学者开始运用生态学的方法和成果来分析其他领域的问题, 金融生态就是生态环境学和金融学结合的产物, 它将生态概念引申到了金融领域。生态金融是指各种金融组织在一定时间和空间范围内, 与金融市场、金融产品、其内部金融组织及其外部环境之间的相互作用过程中形成的一个相对稳定的动态平衡系统, 这个系统与金融业可持续发展息息相关。包括与金融机构实现利益和风险息息相关的法律法规、规章制度、客户企业改革、社会信用体系、会计和审计准则、中介服务体系乃至商业文化活动等各方面内容。

(二) 金融生态的特征

1. 双面性。

金融生态是一个系统, 其主要中心是金融业。金融生态表现出了内部环境 (因素) 和外部环境 (因素) 的双面性。金融生态这个统一的系统由两大部分组成, 一部分是金融业内部环境, 如金融市场、金融机构、金融工业、金融产品等;另一部分就是金融业外部环境, 如政治、经济、法律、信用环境等。这两部分相互联系, 相互作用, 不可分割地共同组成了一个相对稳定的特殊生态系统。

2. 动态关联性。

金融生态中的所有因素和外部所有因素并不是静止不动的, 如同自然生态中各个生态因子紧密关联一样, 他们也具有十分密切的关联性, 通过资金链条相互作用。所以, 金融生态也不是静止的, 而是一个不断新陈代谢和逐步完善的系统, 是一个动态关联的系统。

3. 双重机制性。

金融生态具有双重机制性, 即适应性学习机制和自然选择机制。由于各国、各区域的法律体制、经济条件、社会特征、文化传统等各种外部因素不同, 为了适用这种不同的外部环境, 其金融生态内部因素就会表现出不同的特征, 这就是金融生态的适应性学习机制发挥作用的结果。同自然生态一样, 金融生态也沿袭着自然选择的传统, 不断进行着优胜劣汰的自然选择, 从平衡到不平衡再到平衡地动态发展着。

(三) 和谐金融生态的意义

从整体上来看, 和谐生态金融能够促进金融业的健康发展。建立和谐金融生态环境, 是我国转轨时期金融机构作为独立主体在市场经济环境中生存发展的基本要求。最近的金融危机表明, 金融法制不完善、会计和审计水准不高以及专业中介机构不规范都能成为引发金融危机的重要因素。因此, 建立和谐金融生态也是维持整个金融系统稳定, 防范金融危机的必要条件之一。

此外, 和谐金融生态有利于我国和谐社会的建立。金融业是一个国家最重要的产业之一, 金融业的稳定与否也关系到整个国家的和谐与稳定。创建和谐的金融生态环境, 能够维护我国金融业的稳定秩序, 协调市场、政府和法律的运行机制, 进而维持整个社会的秩序与和谐, 真正建立和谐社会。

从微观层面来看, 和谐金融生态能够提高商业银行的竞争力, 促进商业银行的科学发展和可持续发展。和谐金融生态为商业银行提供了一个充分发展和展现创造力的空间, 为商业银行的良性竞争和可持续发展、科学发展提供了条件和可能。在和谐金融生态环境中, 商业银行能够充分提升自己的实力和国际竞争力, 所以《金融时报》评论说“从一定意义上讲, 金融生态环境就是竞争力。”

二、商业银行合规文化———金融生态的和谐因子

合规一词译自英文“compliance”, 原意为“服从和遵从”, 巴塞尔银行监管委员会发布的《合规与银行内部合规部门》中, 将合规定义为:“确保银行的活动与所适用的法律法规、监管规定、规则、自律性组织制定的有关准则、以及银行自身业务活动的规章制度和行为准则。”合规文化是指银行所有员工从合规做起, 人人合规, 合规人人有责, 倡导合规创造价值这一价值观。在经济全球化和银行业竞争不断加剧的背景下, 合规文化已经为全球银行业所认可。合规文化之于商业银行的作用, 相当于商业银行之于金融生态的作用, 所以, 可以说合规文化是金融生态的核心和灵魂, 合规文化直接影响和决定着金融生态的稳定与平衡, 它是金融生态的和谐因子。

商业银行合规文化的建立能够有效控制商业银行风险, 促进金融生态的和谐。商业银行不仅是经营货币的企业, 更是管理风险的企业。虽然目前我国的商业银行在改制过程中取得了一定的成果, 然而与国际先进银行相比, 我国银行业在风险管理和控制方面还存在诸多问题和隐患。统计表明, 我国90%以上的银行内部案件都是由于不合规、不合法导致的。可见, 合规文化的建立对于我国商业银行是非常的紧迫和必要, 随着经济全球化和金融市场的趋同化, 合规文化建设能够增强商业银行抵御风险的能力, 增强自身竞争力, 为和谐金融生态打下坚实基础。

商业银行合规文化的建立有助于不断完善银行内控制度, 保障和谐金融生态的稳定。从外延上来说, 合规制度涵盖了内控制度, 内控制度是合规文化的一个有效组成部分。目前, 我国商业银行内控制度存在着制约范围不全面, 缺乏前瞻性、系统性、可操作性等问题, 严重阻碍了商业银行的可持续协调发展, 合规文化的建立能够促进企业不断加强内控制度建设, 把风险控制在源头上, 商业银行风险通过合规文化和内控制度双重的有效控制, 进一步推动了和谐金融生态的创建。

商业银行内部管理和制度是金融生态的内因, 其合规文化更是金融生态的核心和主轴, 商业银行外部的法制环境、社会环境、政治环境等是金融生态的外因, 按照马克思主义哲学观, 内因与外因共同促成了事物的发展, 其中内因决定了外因, 所以, 笔者认为, 商业银行的合规文化建设决定着、影响着商业银行所处的外部政治环境、经济环境以及法制环境等等。而上述的内因和外因共同作用决定着金融生态的发展方向和趋势。因此, 笔者认为商业银行合规文化是金融生态的和谐因子, 它的发展左右着整个金融行业及其环境的发展, 影响着金融生态的发展。

三、以金融生态为中心建设商业银行合规文化

我国银监会于2006年10月发布了《商业银行合规风险管理指引》, 为我国商业银行建设良好的合规文化, 有效提高合规风险管理水平, 确保银行业稳健运行提供了一个范本。但由于我国金融业对合规文化的研究和推行较晚, 我国商业银行的合规文化建设还处在起步阶段, 存在很多问题, 我国应该以金融生态为中心建设商业银行合规文化。

(一) 商业银行应树立全新的合规文化观

金融生态是具有区域性的一个概念, 大致上可以分为全球范围的金融生态、国家金融生态、地区金融生态等, 合规文化的内涵应该与金融生态的范围和概念相呼应。过去, 我国商业银行谈论合规文化, 多是从国家层面以及省际层面出发, 将其简单地理解成符合国家及银行所处的省市的规定。但是, 各国的金融生态是相互关联、相互依存的一个金融链, 去年爆发的金融危机就是一个典型的例子。在新的国际经济和金融环境下, 我国商业银行应该从全新的视角去拓展对合规文化的理解:合规文化不仅仅是一种国家或民族文化, 更大程度上是一种国际文化、全球文化。我国商业银行合规文化的建设不仅仅要求做到符合我国法律法规、规章制度的规定, 还应该包括符合国际法律文件、国际银行惯例等规定。加入WTO之后, 我国商业银行和其他国家商业银行、企业之间的业务往来会越来越频繁, 业务往来过程中产生很多新的金融或者合规问题是不可避免的, 由于法律的滞后性, 在没有法律法规明确规定的时候, 商业银行就应该按照国际协议中的原则进行解决, 才能最大限度地控制金融风险, 促进整个国际金融生态和国内金融生态的和谐发展。因此, 我国商业银行在建设合规文化之前, 应从国际层面以及国内层面树立全新的合规文化观。

(二) 以人为本, 创建科学的内控管理机制

科学的内控管理机制是商业银行避免违规的保障机制, 是合规文化的重要内容。首先, 要完善合规组织框架, 赋予合规部门相对独立性。合规部门的负责人必须是专职管理人员或者是银行内部的高级管理人员但不能参与银行业务的处理, 能够全面协调银行合规风险的识别与防范, 定期向高层汇报合规风险分析报告, 并对合规部门负责;其次, 应该对各种规章制度进行认真研究和整理, 统一制定若干业务管理制度及操作规程, 从根本上解决制度过多而流于形式的问题。避免有章不循、有法不依的情况;再次, 合规部门的独立性应该是相对的, 应受到银行内部审计部门的监管。内审部门应当与合规部门分离, 以保证对合规部门进行独立的考核, 审计部门也要将与合规有关的任何审计调查结果及时告知合规负责人。此外, 还应加强内控考核评价, 发现问题及时通报、及时调整, 大力营造良好的合规氛围。

(三) 通过配套制度来完善商业银行合规文化

第一, 建立完善的合规培训制度。文化需要思维的支撑, 商业银行应该根据银行自身的实际情况建立一套完备的合规培训制度, 让员工充分认识和了解合规文化的重要性, 熟悉与其工作相关的最新法律法规, 从源头上杜绝违规情况的发生;第二, 要建立合规问责制度。落实追究违规责任人, 查处各种违规行为, 及时并修正错误, 规范经营管理。第三, 要建立诚信举报制度。丰富员工举报违规、违法行为的渠道和途径, 如在行内设立举报信箱、网上举报信箱、举报电话等。这对于合规文化的建设是非常有益的措施。最后, 要建立信息共享制度。建议在商业银行业内部建立一个信息共享的平台, 如信息共享网站, 各商业银行将最新的合规研究成果、违规案例、合规创新举措信息上传于该网站, 商业银行业内部可以共享该类信息, 共同为创建以金融生态为中心的科学合规文化。

参考文献

[1]阎传海, 张海荣.宏观生态学[M].北京:科学出版社, 2003.

[2]谢中华, 杜斌.论我国金融生态问题[J].金融投资, 2007 (3) .

[3]金融生态环境就是竞争力.中国人民银行网站, 2007-9-23.

[4]陈春.中国银行业合规文化建设之探讨[J].广西金融研究, 2007 (1) .

[5]刘亮.“合规文化”成银企改革关键点.business culture.2007 (2) .

商业银行合规文化建设的实践与思考 篇8

一、何为“人本柔性”管理？

“以人为本”是科学发展观的核心和本质。“人本柔性”管理，强调“以人为中心”，以“人性化”为标志，依据企业共同价值观、经营理念和精气神、文化氛围进行人格化管理，在研究人的思想、心理和行为规律基础上，采用非强制性方式，在员工心目中产生一种潜在说服力、影响力，从而把组织意志变为个人自觉行动，并行之久远。

“柔性”管理是相对于“刚性”管理提出来的。“刚性”管理指“以规章制度为中心”，凭借制度约束、纪律监督、奖惩规则等手段对员工进行管理；而人本“柔性”管理本质属于一种“人本”主义管理模式，强调人是“社会人”，提高生产效率关键是满足员工社会欲望，提高员工士气，而不是纪律强制和物质刺激。在实际工作中，“刚性”管理是管理工作的前提和基础，“柔性”管理是管理工作的提炼和升华。

二、合规文化的内涵

合规文化的形成主要体现在合规风险管理机制的建设过程，在这个过程当中，所有员工都要有足够的职业谨慎、具有诚信正直的个人品行以及良好的风险意识和行为规范，银行内部要具有清晰的责任制和问责制，以及相应的激励约束机制，形成所有员工理所当然遵循各项规章制度，并为他们所从事的岗位自觉主动负责任的氛围，进而逐步升华凝聚为银行的合规文化。2005年，银监会刘明康主席在上海银行同业公会举办的首届合规年会议上指出：合规管理文化是以风险控制为指导思想，依靠先进的管理手段和有效的组织形式，确保各项活动合乎内外部规则，以最大限度地控制经营风险，提高综合竞争实力，促进银行与外部环境的协调、可持续发展。可见，建设合规文化，就是要以风险防控为基本目标，采取先进、有效的行为手段，确保银行的各项经营管理行为合乎内外部规范、规则。一个高效的合规文化的主要特征是：员工对银行所适用的法律、监管规定、规则、银行业协会制定的有关部门准则，以及适用于银行自身业务活动的行为准则的掌握和对违规的高度敏感，它要求合规意识贯穿在银行企业所有员工的行为中，成为一种自觉和必然的行为准则。

三、人本柔性管理与合规文化的内在联系

合规文化的创建依靠全体员工集体智慧和团队力量，其演绎是处处体现以“人”为中心；而“人本柔性”管理恰恰也是强调以“人”为中心，是对人性的再培育、激发和启用，其实质是培育积极的人性特质，剔除消极的人性劣质，最大限度地激发人力资源主动性和创造性，铸就共同价值观念和行为准则，形成良好的管理环境和文化氛围，从而推进银行各项业务经营持续、良性发展。

人本柔性管理与合规文化两者之间存在着相辅相成、互促互进、首尾衔接的内在密切联系：合规文化是“人本柔性”管理的人文基础，而“人本柔性”管理是实现银行合规文化的必由之路。两者之间至少存有以下三个共同特征：

1、人本性。人既是管理活动的主体，又是管理活动的客体，同时，也是合规文化的演绎者和践行者，因此，“人”是管理与文化交流的中心。在银行合规风险管理中，无论是决策者、管理者，还是执行者，都是构成管理关系和企业文化的核心要素，离开人而谈合规管理和合规文化将成为无源之水、无本之木。

2、激励性。无论是“柔性管理”，还是“合规文化”，最大特点主要在于不是依靠权利影响力，而是依赖于每个员工内心深处激发的主动性、无形潜力和创造精神，因此，它们都具有明显的人文驱动性和激励性。

3、内在性。企业界有句名言说：“三流企业拿产品做业务，二流企业靠服务做业务，一流企业用文化做业务。”无数事实表明：用企业文化打动了的客户才是最忠诚的客户；同样，“柔性”管理也要求员工把外在规定转变为内心承诺，并最终转变为自觉行动，只有当企业规范转化为员工自觉意识，企业目标转变为员工自发行动，从而形成内在驱动力，自我约束力才会产生，才会形成强大而持久影响力。

根据人是各种社会实践的主体，人本柔性管理与合规文化建设的内在联系及特征，决定了人是银行合规文化建设的主体，人性的好坏，对银行业控制风险具有很大的影响，对银行而言，合规文化建设的主体应该是银行全体员工，必须依靠全体员工的集体智慧和团队力量才能实现。从员工队伍建设来看，人人合规，合规绝不仅仅是合规部门或者合规人员的事情，全体员工才是合规建设和合规机制运行的最主要执行者，让合规的观念和意识渗透到每个员工中，在员工的日常工作中体现，形成普遍性的合规文化。只有这样才能达到全员合规、人人合规，才能有效控制合规风险，确保银行的经营不偏离目标，实现银行经营价值的最大化。因此，合规文化建设必须“以人为本”。

其次，合规文化是银行企业文化的一部分。企业文化建设是一个双向过程，其首要职能就是要让员工既要“认同”企业文化，又“自觉遵循”企业文化。然而不管是从“认同感”还是“自觉性”来讲都离不开人性。俗话说：思想是行为的先导，它能引导人的行为，支配人的行为。人本柔性管理思想的本质已经不是单纯的形式管理，它的一个关键点就是以人性为中心，激发员工潜能，引导员工主动参与管理并实现自我价值，这对促进银行合规文化的建设具有重要的意义。

四、如何以人为本推进合规文化建设

合规文化建设是一个双向过程，让员工既要内心认同合规文化，又自觉遵循合规文化。银行应坚持“以人为本”的柔性管理模式，以增强员工的企业归属感为主题，夯实合规文化建设基础。

（一）以“规”为准，建设完善的激励机制。合规的“规”要在实践中得以贯彻执行，必须通过有效的激励机制，把对合规工作做得好或对举报、抵制违规有贡献者给予保护、表扬或奖励；对履行工作职责中仅有微小偏差或偶然失误、且未造成不良后果的，予以免责或从轻处理；对存在或隐瞒违规问题、造成不良后果者，要按照规定给予处罚，追究责任，形成合规光荣，违规可耻的工作氛围，使“合法合规经营、严格按制度办事”成为全体员工的共识并落实到日常业务操作中去，构建有自己特色的合规风险文化。

（二）以“情”动人，从本源上推进合规文化建设。一是倡导柔性管理，注重人文关怀，关心员工、爱护员工、理解员工、信任员工，不断激发出员工的工作积极性、创造性和团结协作精神，逐步营造合规氛围。二是营造民主平等的经营管理环境。营造民主、平等的经营管理环境，既是实现合规文化的基础，也可以满足员工受尊重的心理需要，为银行的柔性管理创造良好的内部环境。通过开展行务公开，加强银行民主建设；实施民主监督，营造民主、平等的经营管理环境；引导员工参与管理，使其产生肯定性情感和态度，产生一种内在的行为动机和驱动力，自觉规范操作，实现良性循环管理。三是因势利导，强化感恩教育，增加员工的企业归属感，把员工个人努力、个人贡献和银行发展密切结合起来，力争达到企业文化与个人文化的趋同与和谐，增强员工合规行为的主动性。

（三）以素质为重点，加强员工整体的教育和培训。一是按照合规文化必须全员参与的原则，从员工的人生观和世界观着手，组织开发持续有效的合规风险培训和教育项目，加强员工合规教育和培训，深化对合规政策、合规意识和合规职责等字面要求及其精神实质的理解，培育良好的企业文化氛围，真正让合规的观念和意识渗透到每个员工的血液中，实现全员合规、人人合规，有效控制合规风险，确保银行的经营不偏离目标，实现经营价值的最大化。具体来说，一方面，要稳定员工思想，疏通信访通道，及时化解员工的误解和不满，实行基层员工最低工资保障标准，科学确定一线员工工作考核标准，合理明确临柜人员绩效挂钩比重。另一方面，建立分类别、分层次的培训机制，合理设计培训内容，增强培训效果，尤其是通过研究开发电子考试系统，强化员工培训力度，提高业务技能和风险防范能力。同时，倡导感恩、奉献、合作的企业文化，从精神层面推进合规文化建设。