2024年12月25日，国家金融监督管理总局以总局规章(2024年第7号令)的方式，正式对外公布了《金融机构合规管理办法》(以下简称为《办法》)。《办法》相比于8月份的征求意见稿，在合规规范的范围、合规管理的基本原则、三道防线的说法，以及个别具体数字与金额判断等方面，有一些表述上的变化。总体上，个人觉得是更为灵活了，将一些细节交由企业自行决定。该规章将于2025年3月1日起施行，《办法》专门规定了过渡期。自施行之日起一年，对于不符合本办法规定的，金融机构应当在过渡期内，即应在2026年3月1日之前完成整改。

　　《金融机构合规管理办法》的颁布，对于金融机构内部管理可以说是一件大事。未来一年的时间，各金融机构都需要按照《办法》的规定在组织职责、制度规定、人员配备、履职保障等方面进行微调或深化调整，否则将面临监管处罚。

　　如果有人问，当前《金融机构合规管理办法》最大的特点或特色是什么?那么，我的答案是：《办法》从头到尾都在规定和强化一个概念——那就是合规管理的责任与履职。

　　正如本人在征求意见稿印发之时所写文章《(首席)合规官的权力与责任——金融机构有效合规管理之基石》之所述，关于“责任与职责”的规定，是金融机构合规管理体系建设的基石，或可进一步称之为“灵魂”。为什么这样说?且看《办法》，涉及“责任”一词，有27处。涉及“职责”一词，有34处。涉及“履职”一词，有13处。这似乎可印证本人的上述说法，也提示了2025年金融机构合规管理体系建设的基本方法——区分责任，明确职责，保障履职。

　　1. 这与之前金融机构合规管理建设有什么区别?

　　对比2016年发布的《保险公司合规管理办法》以及2006年发布的《商业银行合规风险管理指引》，可以认为，2025年实施的《金融机构合规管理办法》更加强调责任的区分，职责的落实。而之前的银行、保险等合规管理更加从合规风险的角度，以风险管理的视角进行监督、管理。如《商业银行合规风险管理指引》有54处涉及“合规风险”字样，《保险公司合规管理办法》有18处涉及“合规风险”字样。甚至，《保险公司合规管理办法》第三条规定“合规管理是保险公司全面风险管理的一项重要内容，也是实施有效内部控制的一项基础性工作。”这在《金融机构合规管理办法》是没有的。

　　《办法》对合规管理、内部控制、全面风险管理的关系没有任何规定。虽然《办法》中也有大量“合规风险”的字样，但是个人认为其依然是放在“管理责任”中去谈“风险隐患”的。以上也与本人原创提出的有效合规方法论密切相关。有效合规，要么是基于风险，要么是基于责任。前者，笔者称之为“风险论”，后者，则称之为“规则论”。具体可见《陶光辉：合规主体责任论》。这一点，也可从《办法》第三条关于“合规管理”的定义中，提及的合规管理之目的在于“确保遵循合规规范、有效防控合规风险”等可以得到验证。

　　2. 这与央国企合规管理体系建设有什么区别?

　　2022年10月1日实施的《中央企业合规管理办法》及各省市参考制定的省市国有企业合规管理办法，均是从一个完整的管理体系视角进行规定的。央国企合规管理办法，在规定了基本原则、组织职责之后，便从制度建设、运行机制、文化建设、 信息化建设等进行了规定。这些内容，在《金融机构合规管理办法》中，都体现在首席合规官、合规官的“职责”之中了。从这一点看，《金融机构合规管理办法》的规定，可以说更为务实，直接落到岗位、落到职责中了。

　　由此，与其说是“金融机构合规管理体系建设”，不如说是“金融机构合规管理职责建设”，可能更为贴切。

　　3. 金融机构2025合规管理建设的基本方法是什么?

　　如前述，2025金融机构合规管理体系建设既要区分于过去金融机构合规管理，也要区别于央国企合规管理。总体来说，就是要在职责与职权上下功夫。具体如下：

　　1)区分责任。《办法》规定了相当多的责任，如主体责任、管理责任、监督责任，这三类责任与“三道防线”正好是对应的。但要注意，《办法》与其征求意见稿相比，在文字上删除了“三道防线”的说法。个人认为，这与“三道防线”可能并不能完全涵盖合规管理中的多种责任是相关的。

　　再如，《办法》还规定了最终责任、领导责任、首要责任、专门领导责任等。这些责任分别是对董事会、高管、各部门各下属机构以及首席合规官的责任定位，可以说非常清晰、明确。

　　实践中，必须通过相关合规管理制度文件或议事规则等，明确上述责任，并对责任范围内事项制定责任清单。

　　2)明确职责。《办法》第二章大部分内容，其实都是在规定职责。这里需要注意，“责任”与“职责”是不同的。“责任”偏宏观，属于定性的;“职责”则偏微观，属于定量的。“责任”是用来划界的，划清楚后，自然需要再细化，这便于“职责”。如董事会具有六项合规管理职责，高管具有四项合规管理职责，首席合规官的专门领导责任则也包含了四项基本合规管理职责。

　　《办法》另外还对首席合规官的具体工作职责做了非常细致的规定。如外部合规规范重大变动的及时修改内规职责，签署合规审查意见职责、合规检查职责、发现违规及时报告职责等。

　　实践中，基于岗位和部门的合规管理职责清单是必不可少的建设程序文件。

　　3)保障履职。《办法》第三章基本上是对首席合规官、 合规官的履职保障进行了“全面”而“有力”的规定。

　　金融机构合规管理要取得实效，必须压实责任，明确职责。但责权要对等。不能光有职责，而无职权。

　　因此《办法》与之前的监管政策文件的一个相当大的区别，便是赋予了金融机构首席合规官、合规官充分的履职保障。包括不受干预保障、独立性保障、人员配备保障、解聘要有正当理由保障、知情权调查权保障、薪酬及考核保障等等。

　　这些履职保障措施，一方面需要金融机构切实落实，体现为金融机构的相关制度完善和工作流程的改变中，另一方面需要首席合规官、合规官要将这些文件和工作记录，以合规有效性评价的思维，予以呈现，以符合监管部门的检查要求。

　　小结一下：新发布的《金融机构合规管理办法》与之前相关规定相比，体现了多个不同点。这些变化旨在提升金融机构的依法合规经营能力，需要金融机构合规人员推动企业深化、优化、细化其合规管理体系。