商业银行合规部门主要工作职责和工作流程是怎样的？下面我将尽可能详细地把我十年合规工作的理解和经验呈现出来。（以下回答仅指国内银行业及国内监管环境）

一、什么是合规？

合规，英文compliance，根据《商业银行合规风险管理指引》的定义，是“指商业银行的经营活动与法律、规则和准则相一致”。这里的法律、规则、准则，“是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。”

简单来说，合规，是确保银行的经营活动符合一切适用于银行业的外部规范的活动。在实际工作中，合规部门一般会将其扩展到“一切内外部规范”。

二、合规工作的指导文件

鉴于在实际工作中，合规不仅对外也对内，一般都会把合规与内控两个问题一并讨论。在银监会的诸多监管文件中，明确提到合规与内控相关工作的文件主要有两个，即《商业银行合规风险管理指引》（下称合规指引）和《商业银行内部控制指引》（下称内控指引）。

这两份指引，一份指导对外合规工作，一份指导对内合规工作，彼此相辅相成，构成了银行开展合规工作的主要指导文件。

此外，《银行业金融机构案防工作办法》（下称案防办法）及《银行业金融机构案防工作评估办法》虽然主要涉及案件防控工作，但也对合规体系的建设和工作职责提出了具体要求，也是合规工作的重要指导文件。

三、合规体系

由于不同银行对于合规的理解不同，因而对于合规部门的名称、职责、岗位设置等都不尽相同，一些大银行的分工较细，会分设法律、合规部门；而中小银行往往将其合并为一个统一的部门。下面，我将依据个人理解，以统一的“大合规”设置来进行说明。

按照两个指引文件的要求，商业银行的合规体系，应当分三个层次：

1. 董/监事会

根据合规指引要求，董事会要对银行经营活动的合规性负最终责任，监事会要对董事会和高管层的合规履职情况进行监督。内控指引对董/监事会内控责任的规定也与之相似。

因此，可以说，董/监事会，是合规工作的最终责任机构和最终监督机构，是合规体系的领导者。

董/监事会下设负责合规工作的专门委员会，作为董/监事会合规工作机构。

2. 高管层

高管层是商业银行合规体系的管理者，主要履行政策制定及推行、合规人事任免、部门搭建、工作协调及向董事会报告等职责。按照案防办法的规定，高管层中一般会设置一名合规总监作为合规工作的主要负责人。

3. 合规部门

合规部门是合规体系的执行者，主要工作就是开展各项合规相关工作，其职责包括（合规指引第18条）：

（1） 持续关注法律、规则和准则的最新发展，正确理解法律、规则和准则的规定及其精神，准确把握法律、规则和准则对商业银行经营的影响，及时为高级管理层提供合规建议；

（2） 制定并执行风险为本的合规管理计划，包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等；

（3） 审核评价商业银行各项政策、程序和操作指南的合规性，组织、协调和督促各业务条线和内部控制部门对各项政策、程序和操作指南进行梳理和修订，确保各项政策、程序和操作指南符合法律、规则和准则的要求；

（4） 协助相关培训和教育部门对员工进行合规培训，包括新员工的合规培训，以及所有员工的定期合规培训，并成为员工咨询有关合规问题的内部联络部门；

（5） 组织制定合规管理程序以及合规手册、员工行为准则等合规指南，并评估合规管理程序和合规指南的适当性，为员工恰当执行法律、规则和准则提供指导；

（6） 积极主动地识别和评估与商业银行经营活动相关的合规风险，包括为新产品和新业务的开发提供必要的合规性审核和测试，识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险；

（7） 收集、筛选可能预示潜在合规问题的数据，如消费者投诉的增长数、异常交易等，建立合规风险监测指标，按照风险矩阵衡量合规风险发生的可能性和影响，确定合规风险的优先考虑序列；

（8） 实施充分且有代表性的合规风险评估和测试，包括通过现场审核对各项政策和程序的合规性进行测试，询问政策和程序存在的缺陷，并进行相应的调查。

合规性测试结果应按照商业银行的内部风险管理程序，通过合规风险报告路线向上报告，以确保各项政策和程序符合法律、规则和准则的要求；

（9） 保持与监管机构日常的工作联系，跟踪和评估监管意见和监管要求的落实情况。

根据以上职责，一个完备的合规部门，一般应当包括如下岗位：

法务岗：负责与外部规范对接的相关合规工作，如外部监管制度跟踪、重大对外事项合规性审核等；

内控岗：负责与内部规范对接的相关合规工作，如内部管理制度跟踪，重大对内事项合规性审核等；

案防岗：负责与案件防控相关的合规工作，如案防检查、三防（人防、技防、物防）建设指导等；

评价岗：负责对各业务条线、各部门的合规工作进行评价；

综合岗：负责综合事务。

事实上，由于合规工作的内涵实在太宽泛，在实际工作中，合规部门的具体职责往往无法清晰地进行岗位划分，大部分合规人员的工作都不可避免的涉及到以上各岗位职责。

四、与其他部门关系

合规部门，是全行合规工作的牵头和指导部门，与其他部门的关系，是一种指导与监督的关系。但有一个部门比较特殊，即内部审计部门。

按照合规指引的要求，银行业的合规和内审工作应当分离，合规部门的履职情况应当接受内审部门的审计评价（一般而言，合规部门归属董事会及高管层领导，内审部门归属监事会领导）。

理论上说，合规风险也是风险的一部分，但由于我国监管机构一般都将各类风险条块分割监管，并赋予了银行较为重大的合规职责，因此，在一般银行的机构设置中，合规部门与风险管理部门往往是并列的。

合规风险（含法律风险）归合规部门负责，风险管理部门负责其他风险（其实主要是信用风险，一般市场风险归同业部门，流动性风险归计财资金部门，声誉风险归办公室）。

五、与操作风险的关系

操作风险（Operation Risk）这个名字其实翻译的很不好，个人认为更妥当的翻译应当是“运营风险”。

根据《商业银行操作风险管理指引》的定义，操作风险是“指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成的风险，包括法律风险，但不包括策略风险和声誉风险”。

在“大合规”体系下，合规风险与操作风险存在大量的交叉，但合规风险更侧重于制度层面，而操作风险主要侧重于具体事项。

简单来说，一项与外部规范存在矛盾的内部制度，可能同时归属于合规风险和操作风险，而一项合规的内部制度的执行过程中，因为人员、技术或者外部侵犯而造成的风险，则属于操作风险，但其中由人员违规带来的风险又可能是大合规下的内控问题。

六、工作流程

合规部门的具体工作比较繁杂，给定一个完备的工作流程很困难，结合合规部门的职责来看：

在合规审核工作方面，合规部门一般作为审查者出现，成为制度出台前的最后一道关，一些非常重要或者存在违规可能的创新业务，合规审查甚至会前置到业务初始。

在内部控制方面，合规部门会列席全行各类重要会议，参与到各类重要业务流程中，对正在发生的违规行为予以及时纠正，并会对业务部门的业务开展进行独立监督；

在合规评价方面，合规部门会通过工作中搜集到的各类合规数据，结合各类内外部评价数据，给出独立的合规评价；

在监管沟通方面，合规部门会定期不定期的拜访监管部门，及时获取最新监管信息，并就一些模棱两可的问题与监管部门沟通，争取对己有利的监管政策；

在合规文化方面，合规部门要负责合规培训，并通过培训、检查、奖惩等方法在形成自己的合规文化；

七、知识结构

对合规人员的知识结构，一般要求是“一专多能”，即至少具备一项专业技能（信贷、法律、会计、审计、信息技术等），并对专业之外的其他银行工作都有一定程度的了解和掌握。

因此，一个合格的合规人员，一般需要经过两到三个工作岗位的锻炼，至少五年以上的从业经验。

在外国银行业中，合规人员基本都是40岁上下，年富力强，收入也相对较高，可惜国内大部分银行对于合规部门的重视大多还是体现在口头上。