《金融机构合规管理办法》解读、影响分析及建议
《金融机构合规管理办法》解读、影响分析及建议
一、《办法》重点内容解读
《办法》分为五章,共五十八条,对于金融机构合规管理工作进行了体系化、全方位的规范。其中有对现行法律法规的延续,也有诸多基于行业发展实际的创新,我们将对《办法》的重点内容进行解读。
(一)适用范围的“双层结构”
《办法》依据金融监管总局及其派出机构的监管对象确定适用范围,分为直接适用对象与参照适用对象两类。这种“双层结构”既是混业监管的理念下,对不同类型监管对象的合规工作进行统一规范的尝试,也为部分比较特殊的监管对象保留了灵活处理的空间。
值得注意的是,金融控股公司(下称“金控公司”)从《金融机构合规管理办法(征求意见稿)》(下称“《征求意见稿》”)中规定的直接适用对象调整为了参照适用对象。虽然总局已经成为金控公司的主要监管机关,[1]但实践中金控公司下属的部分金融机构不属于总局及其派出机构的监管范围(例如金控公司实控的证券公司或资管公司);且部分金控公司属于中央企业,还需要遵守《中央企业合规管理办法》。为避免多头监管下不同监管规范的冲突问题,《办法》仅要求金控公司参照适用。同理,某些《办法》适用范围内的金融机构的金融子公司也不属于总局及其派出机构的监管范围(例如商业银行控股的公募基金管理公司或资产管理公司),前述子公司也不宜直接适用《办法》。
此外,《办法》明确将企业集团财务公司纳入直接适用的范围。但现实中许多企业集团财务公司同时是中央企业的子公司,需要按照上级单位要求贯彻《中央企业合规管理办法》。因此,相关机构在合规管理工作中需要特别注意两部部门规章之间的衔接和协调。
(二)合规管理与公司治理的协调
强调合规管理与公司治理的协调性是本次《办法》的一个亮点,金融监管总局有关司局负责人答记者问时明确指出,要实现金融机构合规管理工作从“被动监管遵循”向“主动合规治理”的转变。主动合规需要通过公司治理路径来实现,而公司治理又依靠合规获得约束和保障。
1、党组织
《办法》明确了党组织在合规管理工作中发挥的作用,要求国有金融机构党组织充分发挥领导作用,特别强调要将党的领导与公司治理有机结合;非公有制金融机构中的党组织则要发挥引导和监督作用。这充分体现了中央金融工作会议坚持和加强党对金融工作领导的会议精神。
2、董事会
《办法》规定,董事会对于金融机构的合规管理有效性承担最终责任。这一定位一定程度上体现了监管的延续性。[2]在具体职责方面,《办法》对董事会在制度建设、组织架构建设、高级管理人员(含首席合规官)人事任免方面的职责,与新《公司法》中关于董事会职责的规定相衔接。[3]
3、合规委员会
合规委员会的弹性设置是《办法》积极推动合规管理与公司治理相协调的一项重要举措。《办法》明确董事会可以下设合规委员会或者由董事会下设的其他专门委员会履行合规管理相关职责,确定了合规委员会在公司治理结构中的定位。
根据现行法律法规,董事会专门委员会是董事会下属的咨询与辅助机构,[4]但同时可以根据公司章程或董事会的授权履行有关职责。[5]金融机构可以根据自身公司治理实际,赋予合规委员会适当职责,开展合规管理工作。
4、高级管理人员
《办法》要求金融机构高级管理人员负责落实合规管理目标,对主管或者分管领域业务合规性承担领导责任。在具体职责方面,除了落实合规要求、配合合规管理、报告合规风险等支持与辅助性的职责外,《办法》明确要求高级管理人员负责组织推动其主管或者分管领域的具体合规管理工作(合规管理制度建设、合规审查、合规自查与检查、合规风险监测与管控、合规事件处理等)。这一要求充分体现了“管业务必须管合规”的理念,对于首席合规官以外的其他高级管理人员,提出了更高的要求。
(三)以首席合规官为合规管理体系的核心
《办法》将首席合规官置于金融机构合规管理体系的核心位置,领导整个机构的合规管理工作。
1、首席合规官的地位
《办法》规定,首席合规官是金融机构的高级管理人员,接受机构董事长和行长(总经理)直接领导,向董事会负责。在《办法》发布前,相关法律法规对于商业银行和保险公司合规负责人的地位规定并不一致。[6]实践中,也有部分金融机构的合规负责人由法律合规管理部门负责人担任的情况。《办法》在这一问题上做出了统一要求,为金融机构合规管理工作的开展奠定了坚实的基础。
2、首席合规官的职责
《办法》要求首席合规官对本机构及其员工的合规管理负专门领导责任。对于其具体职责,可以归纳为以下几个方面:其一,组织推动金融机构合规管理体系建设与完善;其二,组织推动合规管理的具体工作;其三,组织开展重大事项的合规审查;其四,对重大违法违规行为或者重大合规风险隐患的报告(包括对监管机关的报告和对董事会、董事长、行长(总经理)的报告)。
3、首席合规官的职权
为保障首席合规官充分发挥作用,《办法》赋予了首席合规官一系列职权。
(1)在内部合规管理方面,《办法》赋予了首席合规官知情权与调查权,包括参加或列席各类重要会议,查阅、复制有关文件资料,向各部门或下属机构质询和取证,或向外部中介机构了解情况。知情权与调查权有助于首席合规官获取本机构经营管理的真实信息,为其充分、有效履职奠定基础。
(2)在对外监管对接方面,《办法》赋予了首席合规官对监管机关的直接报告权。若金融机构出现重大违法违规行为或者重大合规风险隐患,但未按规定向监管机关报告的,首席合规官有权直接向总局或其派出机构报告,实质上是为首席合规官提供了绕开本机构决策体系、直接对接监管机关进行信息传输的渠道。在确保监管机关能够更加及时准确地掌握金融机构合规风险状况的同时,对金融机构的瞒报、漏报行为也具有遏制作用。
(3)在组织人事管理方面,《办法》赋予首席合规官针对本机构全体员工的问责建议权,对于出现重大违法违规行为或者重大合规风险隐患的,首席合规官有权提出对责任人员采取薪酬扣减、岗位调整、降职等问责措施的建议。《办法》还规定首席合规官发现各部门、下属各机构对重大违法违规行为或者重大合规风险隐患瞒报、漏报的,有权在合规考核中对相关机构和负责人“一票否决”,不得评先评优。问责建议权与考核“一票否决”权有助于督促金融机构全体员工(包括高级管理人员)合规履职,并配合首席合规官的工作,保障合规管理要求的落实。
此外,针对本机构的合规管理相关人员,《办法》鼓励金融机构授权首席合规官统筹合规管理人员选聘、业务指导、工作汇报、考核管理、合规官提名等事项,使首席合规官与本机构的合规管理队伍紧密联系,有助于首席合规官充分发挥机构内部专业人才队伍的作用,高效履行职责。
4、分支机构合规官及其管理
针对金融机构层级众多、组织架构复杂、分支机构遍布全国的特点,《办法》要求金融机构原则上应在省级分支机构或者一级分支机构设立合规官,作为本级机构高级管理人员,职责参照首席合规官确定,接受本级机构行长(总经理)直接领导;但汇报关系上,合规官适用双线汇报,以向总部首席合规官汇报为主,并向本机构行长(总经理)汇报。合规官的职责范围与双线汇报制,使其可以作为金融机构自上而下贯彻合规管理要求的重要抓手和首席合规官履职的得力臂助,有助于确保整个机构合规管理的统一性和穿透性。
(四)合规管理的立体组织架构
金融监管总局有关司局负责人在答记者问中明确提出,要建设“横向到边、纵向到底”的合规管理体系。要实现这一目标,需要设计立体的合规管理组织架构,保障合规管理对整个机构的全面覆盖和深入触达。
1、合规管理的水平组织架构
虽然《办法》未出现合规管理“三道防线”的表述,但仍然保留了各业务及职能部门及下属各机构、合规管理部门、内部审计部门分别承担合规主体责任、合规管理责任和合规监督责任的规定。实质上延续了在本级机构各部门之间分工协作,形成统一合规风险防范流程的模式。
与此同时,《办法》还对合规管理部门的独立性提出了要求,合规管理部门或岗位应当独立于可能存在职责冲突的其他部门或者岗位,不得兼任与合规管理相冲突的其他职责。
对于规模较大、业务条线多样的金融机构而言,合规管理职责可能由多个内设部门共同承担。但金融机构应当明确区分多个合规管理部门的职责,且应当明确一个合规管理牵头部门,避免责任推诿。
2、合规管理的垂直组织架构
《办法》明确要求金融机构将各部门、下属各机构的合规管理纳入统一体系,对于合规管理组织架构的规定可以总结为“分级管理、逐级负责”。
《办法》要求金融机构总部、省级分支机构或者一级分支机构、纳入并表管理的各层级金融子公司原则上应设立独立的合规管理部门;对于其他分支机构,有实际需要的设置合规管理部门,不具备条件的原则上应设立合规岗位;不具备设立合规岗位条件的,应由上级机构合规管理部门或者岗位代为履行合规管理职责。核心原则是保障每一层级机构的合规管理工作都有专门的部门/岗位负责,避免合规管理漏洞与空白。
在合规管理部门垂直关系方面,合规管理部门应向本层级(首席)合规官负责,但要接受上级合规管理部门(如有)的指导和监督。与此同时,《办法》还鼓励金融机构对合规管理部门实行垂直管理,下属各机构合规管理部门向上一级合规管理部门负责,接受上一级合规管理部门管理。
3、境外分支机构/子公司的特殊要求
对于金融机构的境外金融分支机构及境外金融子公司,《办法》强制要求必须设立独立的合规管理部门或者符合履职需要的合规岗位,必须配备熟悉所在司法辖区法律法规和相关银行保险业务的合规管理人员,足以体现监管对境外合规的重视。
(五)设置过渡期供监管对象调整
《办法》将于2025年3月1日正式施行,并规定了一年的过渡期,要求金融机构在过渡期内对不符合《办法》规定的情况进行整改。考虑到《办法》规范内容全面、丰富,正式施行的日期较为紧迫,过渡期也仅有一年,其适用范围内的金融机构又往往体量大、组织架构复杂、跨区域分布,整改的时间压力较为突出,需要各金融机构尽早推动相关工作。
二、《办法》对金融机构的影响及建议
《办法》的规范内容全面覆盖了金融机构合规管理的各个方面,为金融机构合规管理体系设计了统一的框架。对各类金融机构而言,这既是指引也是约束。结合企业合规管理体系建设的经验,针对《办法》施行对各类金融机构产生的影响,我们作如下分析,并提出实操层面的建议。
(一)调整组织架构
《办法》设立了专章对金融机构合规管理组织架构进行规范,其中部分内容与此前各类金融机构合规管理相关规范有较大区别,需要金融机构按照《办法》的规定进行调整。
1、首席合规官与合规官
首席合规官与合规官是金融机构合规管理体系的关键角色,也是《办法》在合规管理组织架构领域最重点的内容之一。《办法》适用范围内各类金融机构都需要在过渡期结束前完成首席合规官与各级合规官的聘任。
(1)聘任流程
《办法》明确规定,金融机构首席合规官是高级管理人员,其聘任是董事会的职责,但未规定首席合规官由谁提名。结合《办法》关于首席合规官接受机构董事长和行长(总经理)直接领导的规定,建议由董事长或行长(总经理)提名,经董事会审议后决议聘任。对于具有独立法人资格的金融子公司,属于《办法》规定的适用范围的,其首席合规官聘任流程与母公司一致。
对于不具有独立法人资格的分支机构,《办法》未对合规官聘任流程进行强制规定,仅鼓励首席合规官统筹包括合规官提名等工作,与此同时又规定了分支机构的合规官接受本级机构行长(总经理)直接领导。金融机构可以考虑由总部首席合规官或本级机构行长(总经理)对分支机构合规官进行提名,由上一级经理层会议(例如总经理办公会或经营决策会等)决定分支机构的合规官聘任事宜。
(2)任职条件
关于首席合规官与合规官的任职条件,《办法》进行了详尽的规定,除取得相应机构高管任职许可外,最核心的要求是工作履历。但其中“从事法律合规工作”这一表述的具体内涵有待进一步明确,例如某高级管理人员此前从未在法律合规有关岗位任职,但晋升为高级管理人员后长期分管法律合规有关工作,是否符合任职条件,类似问题可能还需要与总局及其派出机构进一步核实。
除任职条件限制之外,由于《办法》强制规定首席合规官及合规官必须作为金融机构及本级分支机构的高级管理人员,因此不建议直接聘任不属于高级管理人员范围的部门负责人担任首席合规官或合规官。
若本层级机构现有的高级管理人员队伍中确实没有符合条件的人选,可能需要视情况开展高管提拔任用相关的人事工作,国有金融机构还可能牵涉到本级机构的编制、管理人员职数问题,需要审慎对待、提前筹划。
(3)兼任
《办法》规定首席合规官和合规官可以单独设立,可以由其他高级管理人员兼任,也可以直接由本级机构行长(总经理)兼任。在由行长(总经理)以外的其他高级管理人员兼任时,禁止同时负责前台业务、财务、资金运用、内部审计等可能与合规管理存在职责冲突的部门。因此,金融机构现有高级管理人员兼任首席合规官或合规官的,可能还涉及高级管理人员内部分工的调整。
(4)已有的合规管理负责人
《办法》规定,金融机构及其分支机构已经设立的首席合规官、合规总监、合规负责人、作为高级管理人员的总法律顾问等人员,在《办法》施行前可以履行首席合规官、合规官各项职责,且上述人员工作调动前,不受本办法规定的任职条件限制。
换言之,若上述相关人员符合《办法》规定的首席合规官与合规官的任职条件,可以不做岗位调动,在过渡期内,金融机构仅需要完成聘任首席合规官与合规官的程序性工作(提名和决策聘任流程等)即可。但倘若上述人员不符合《办法》规定的任职条件,应当在过渡期结束前完成岗位调整及适当人选的聘任。
2、合规委员会
合规委员会的设置并非《办法》的强制要求。建议金融机构根据自身需要,决定是否在董事会下设合规委员会或由下设的其他专门委员会履行合规管理相关职责。如选择设置,可以通过制定或修订公司章程、董事会委员会工作制度、董事会授权制度、合规管理基本制度等方式,明确委员会的人员组成、职责范围、议事规则等。同时还需要明确合规委员会与首席合规官、各分支机构合规官、各级合规管理部门的关系,厘清职责,并设计沟通协调机制。
3、合规管理部门/岗位
《办法》为金融机构设计了立体的合规管理部门组织架构。建议金融机构首先按照《办法》的要求完成合规管理部门或合规岗位的设立。此外,金融机构还需要参照《办法》的有关规定,确定上下级合规管理部门及岗位之间的管理机制。不采取垂直管理模式的,需要明确下级对总部报告的事项清单,制定总部合规管理部门对各部门、下属各机构的合规检查和督导工作机制。采取垂直管理模式的,需要在工作机制、信息沟通、人事考核、合规管理制度适用范围等方面作出相应的安排。
(二)完善制度建设
作为合规管理体系建设的重要举措,金融机构应当在过渡期内根据《办法》进一步完善自身制度建设。
1、合规管理基本制度
金融机构应当参照《办法》有关规定制定或修订自身合规管理基本制度,内容涵盖合规管理组织架构、合规管理运行机制、合规管理保障措施等必要内容,并确保内容与《办法》的规定无实质冲突。
根据《办法》的有关规定,合规管理基本制度应当由合规管理部门起草,经董事会审议通过。金融机构应当在过渡期结束前完成相关制度的起草和审议决策流程。
2、合规管理专项制度
(1)合规工作考核制度
合规工作考核是指金融机构首席合规官组织推动、合规管理部门组织或参与实施,对内设各部门及下属各机构的合规管理工作质效进行考核的有关工作。《办法》要求金融机构就合规工作考核制定专门的制度,要求强化考核结果运用,将合规职责履行情况作为员工考核、人员任用、评优评先等工作的重要依据,并强制将合规管理情况纳入对下属各机构负责人的年度综合考核。
建议由合规管理部门负责起草合规工作考核制度。考虑到其作为合规管理专项制度的定位,可以由金融机构的经理层会议(例如总经理办公会或经营决策会等)审议通过。
(2)合规管理有关人员的考核制度
为确保合规管理有关人员履职独立性,《办法》要求金融机构就首席合规官、合规官、合规管理部门及专职合规管理人员的考核制定专门的管理制度,且对其内容有明确要求。
建议由牵头本机构综合考核工作的部门负责起草合规管理人员的考核制度,不得采取不利于合规独立性的考核方式,不得将需要各部门合力完成的合规工作单独作为合规管理部门的考核指标。相关制度可以由金融机构的经理层会议审议通过。
(三)改进运行机制
合规管理体系要实现落地有效,必须由金融机构的全体成员按照规定各司其职,实现合规管理体系的动态运行,才能够实现有效防范合规风险的目的。
1、合规风险管理
(1)日常监测与管控
千里之堤毁于蚁穴,重大合规风险隐患和违法违规事件往往是由日常的合规风险积累产生。因此对合规风险进行持续监测和随时处置是金融机构合规管理体系的重要功能。建议金融机构按照《办法》的有关规定,划分日常合规风险监测、报告和处置方面的有关职责,并通过合规管理基本制度、岗位职责清单或其他适当方式,逐一落实到员工、高级管理人员、合规管理部门、首席合规官、董事会及其他有关主体。
(2)重大合规风险事件报告与应对
《办法》设计了发生重大合规风险事件后的报告和处理流程。金融机构应当根据《办法》有关规定,制定重大违法违规行为及重大合规风险隐患的报告和应对流程,实现外规内化。同时,为确保上述报告和处理流程有效运行,金融机构还应根据《办法》规定设置相关的保障措施,例如将重大合规风险事件的报告与整改纳入高级管理人员职责范围;授权首席合规官在发现各部门、下属各机构存在瞒报、漏报时,行使问责建议权或合规考核“一票否决”权等。
2、合规审查
(1)业务及职能部门的审查职责
《办法》规定,金融机构的合规审查工作由首席合规官组织推动、合规管理部门牵头组织实施。虽然《办法》并未规定业务及职能部门对本部门经营管理行为的合规审查职责,但基于业务及职能部门主体责任以及“分级管理、逐级负责”的组织架构原则,我们仍然建议金融机构在制定或修订合规管理基本制度时,将业务及职能部门对本部门事项的合规审查纳入其职责范围。
(2)首席合规官出具审查意见的事项范围
《办法》要求由首席合规官组织合规管理部门开展对金融机构发展战略、重要内部规范、重要新产品和新业务方案、重大决策事项的合规审查,并出具书面合规审查意见。我们建议金融机构根据自身情况,利用合规审查清单、首席合规官履职手册等工具,或制定专门的合规审查工作制度,明确需要首席合规官出具审查意见的具体事项范围及审查要点。
此外,《办法》并未赋予首席合规官在合规审查中“一票否决”的权力,而是规定若其合规审查意见未被采纳,相关事项应当由董事会审议,重大事项向监管机构报告。此规定赋予了金融机构在合规管理与业务活力之间寻求平衡的空间,但其具体尺度仍然需要金融机构在实践中针对个案审慎把握。此外,针对上述“强制提级审议”的机制,国有金融机构可能还需要对其“三重一大”决策制度及决策事项清单进行相应的调整。
3、内部举报与问责
《办法》取消了《征求意见稿》关于内部举报与问责机制的有关规定。但客观而言,相关机制对避免合规风险累积、防范重大违法违规具有不可忽视的积极作用,也是金融机构内部防微杜渐、威慑遏制零散违规行为的重要手段。因此尽管《办法》不再强制要求,但我们仍建议金融机构根据自身经营管理的实际情况,通过制定相关的制度设计内部举报和问责机制,并采取切实举措推动其有效运行。
4、尽职免责
《办法》规定了金融机构发生重大违法违规行为或者重大合规风险时各类人员的个人责任,但同时也为合规管理有关人员提供了通过履职尽责豁免责任的规定。尽职免责机制是问责机制的必要补充,其规范目的是鼓励合规管理相关人员严守底线、恪尽职守,对于金融机构保持高标准的合规管理具有积极意义。
建议金融机构制定专门制度或在问责有关制度中对相关内容加以规定,明确规定其适用条件、程序及减免责任的相关标准等内容。
(四)强化保障措施
合规管理体系的有效运行有赖于适当的物质、人力与管理资源,《办法》设专章用于规定合规管理保障措施,旨在确保合规管理体系运行有效、合规管理要求切实落地。
1、合规人才队伍建设
金融机构应当根据《办法》的规定,根据经营管理的实际需要,为合规管理部门、总部各部门、下属各机构配备数量充足、专业胜任的合规管理人员。如有境外金融分支机构及境外金融子公司的,还需特别注意为其配备的合规管理人员应熟悉当地法律法规及相关银行保险业务。在世界百年未有之大变局加速演进、局部冲突和动荡频发、全球性问题加剧、中国企业面临的境外风险与日俱增的背景之下,加强境外合规人才队伍建设显得尤为重要。
为保障合规管理相关人员履职的独立性,金融机构应当按照《办法》规定,保障合规管理有关人员的薪酬待遇。
2、合规培训与文化建设
金融机构应当按照《办法》要求,建立合规培训机制,制定年度合规培训计划,将合规管理作为董事、高级管理人员初任、重点合规风险岗位人员业务培训、新员工入职必修内容。并明确将合规培训工作作为合规管理部门的职责之一。
金融机构应当将合规文化建设相关内容纳入董事会的职责,可以通过发布合规行为准则、高级管理人员带头签署合规承诺等方式,自上而下确立合规从高层做起、全员主动合规、合规创造价值等理念,积极采取多样化的宣传教育手段,营造不敢违规、不能违规、不想违规的合规文化氛围。
3、信息化
金融机构应当根据《办法》规定,加强合规管理信息化建设,可以运用信息化手段将合规要求和业务管控措施嵌入流程,针对关键节点加强合规审查,强化过程管控。
此外,由于金融行业同时也是各种前沿科技的密集应用的领域,金融机构在利用信息化手段强化合规管理的同时也应特别重视信息技术应用本身的合规性,要采取适当措施防范大数据、机器学习、大模型等技术应用带来的网络与数据安全、个人信息保护等合规风险。
三、结语
在地缘政治及强监管政策等时代背景下,在各种不确定性因素交织的环境中,金融市场将面临越发复杂的各类境内外风险。金融机构需要通过建立健全全面合规管理体系来系统性提升机构的全面合规管理水平和抗风险能力,从而在复杂、多变的市场环境中稳健前行。《办法》的施行对金融机构而言是一个重要契机,可以预见,中国将迎来新一轮的合规浪潮,金融机构的合规管理工作将由“被动监管遵循”向“主动合规治理”转变,从“局部合规管理”向“全面合规治理”转变。只有把握契机,紧跟时代浪潮,积极运用合规管理的科学方法论和先进实践经验,方能在未来可持续、高质量发展竞争中占得先机,行稳致远。
[注]
[1] 《国务院关于修改部分行政法规和国务院决定的决定》第三条。
[2] 《商业银行合规风险管理指引》第十条;《保险公司合规管理办法》第七条。
[3] 《公司法》第六十七条、第一百二十条。
[4] 《国务院办公厅关于进一步完善国有企业法人治理结构的指导意见》二、(二);《董事会试点中央企业董事会规范运作暂行办法》第二十八条。
[5] 《上市公司治理准则》第三十八条;《董事会试点中央企业董事会规范运作暂行办法》第五十六条。
[6] 《商业银行合规风险管理指引》第十三条规定商业银行的合规负责人由高级管理层负责任命,第十四条规定合规负责人定期向高级管理层提交报告,可见合规负责人本身不属于高级管理层。《保险公司合规管理办法》第十一条则明确规定保险公司合规负责人是高级管理人员。