律师视点

成亮:《金融机构合规管理办法(征求意见稿)》实务影响解析———首席合规官

2024-12-04

  2024年8月16日,国家金融监管总局正式对外发布《金融机构合规管理办法(征求意见稿)》(以下简称“《征求意见稿》”),对外公开征求意见。按照该文件相关内容,《征求意见稿》正式生效后将适用于绝大多数的银行、保险公司、金融控股公司等除证监会监管以外的绝大多数金融机构,作为合规管理的基础性文件其适用范围甚广,对金融机构整体合规管理提出了更高的要求。虽然仅是征求意见稿,但我们相信其中的主要内容及监管精神不会有大的变化。为未雨绸缪,本文将主要采取对比的方法,同时结合2023年修订《公司法》对高管的要求,重点分析首席合规官的相关新规对金融机构管理实务的影响及应对建议。

  首席合规官这一职位,并非《征求意见稿》首次引入。2022年国务院国有资产监督管理委员会令第42号发布《中央企业合规管理办法》,其中第十二条规定:中央企业应当结合实际设立首席合规官,由总法律顾问兼任,对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属单位加强合规管理。本次《征求意见稿》在金融监管文件中新进引入首席合规官。按新规要求,该角色向上为公司董事会,本身为公司高级管理层成员,向下还要对各地合规官等合规团队进行垂直管理:在未来金融机构内部的合规管理中,将发挥至关重要的顶梁柱作用。此前的监管规定中,与其类似的角色为合规负责人,为更加清晰了解,下文将主要以列表对比方式为基础,从多个层面对比首席合规官与合规负责人的异同并分析在实务中的影响:

  一、适用范围的差异,首席合规官在更广的范围直接适用:

  首先从规定层级上,原银行系监管关于合规负责人的规定属于指引类监管文件,实务上与规定首席合规官的《征求意见稿》这种管理办法之类的监管实效上相对较弱;其次,《征求意见稿》将原本参照适用的金融机构范围做了较大幅度的扩充:原监管规定中参照适用的机构:金融控股公司、金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、消费金融公司、汽车金融公司、货币经纪公司、理财公司、金融资产投资公司、保险资产管理公司、相互保险组织在《征求意见稿》中全部改为直接适用。充分体现了对多数金融机构实施全面合规监管理念。首席合规官将在更加广阔的金融机构范围内设立,履行其合规管理职责。

  二、职位性质:在董事会负责下接受双重领导

  《征求意见稿》对首席合规官的定位,实际做了统一,进一步明确了首席合规官的高管地位,统一为董事会聘任及职位对董事会负责。但《征求意见稿》规定了董事长和总经理双重领导的定位,如果董事长和总经理对事关合规管理重大问题意见不一致时,首席合规官如何决策可能会遇到比较尴尬的局面。公司实际操作实务中,一般专项管理合规后台的合规负责人,通常为公司的副总经理。而公司副总经理的提名权,依据《公司法》第六十七条,一般应属于公司总经理。又依据《公司法》第一百二十二条,股份有限公司的董事长除召集和主持董事会会议外,还有一项职责是检查董事会决议的实施情况。实务中,管理较为规范的公司,董事长一般并不具体参与公司事务的管理,如按照上述双重领导体制该项监督检查职权的具体落实又很有可能落在首席合规官这一岗位。出现这一问题主要源于《征求意见稿》规定的双重领导机制和《公司法》相关规定存在一定内在的冲突,如何解决有待在实务中进一步观察。我们初步考虑,在没有明确监管规定的情况下,公司可以在其章程或其他内部管理制度中明确,当董事长和总经理对重大合规事项、决策意见不一致时,首席合规官的行事机制。

  三、任职资格条件:多重身份下提高进入门槛

  按照本次《征求意见稿》第六十五条的表述,现行关于高管任职资格的行业专项规定并未废止,故此对首席合规官的任职资格条件须同时适用《公司法》+行业任职资格专项规定+《征求意见稿》。关于高级管理人员任职资格的规定,《公司法》为最底线的要求,银行、保险的专项要求都高于前者。《征求意见稿》关于首席合规官的资格要求,在消极任职资格方面并没有特殊的新要求,主要体现在任职的独立性与实际工作年限的要求上。比如原保险行业合规负责人的工作年限要求为五年即可,但《征求意见稿》要求首席合规官即使具有法律职业资格证书也要八年以上金融工作经验,如不具备该证书综合金融及法律合规工作经验至少要达到十一年以上,几乎是之前合规负责人要求的一倍以上了,十分看重该岗位经验值的占比。但大幅提升首席合规官工作经验时限要求的同时,也会影响到实务中承担该职务人员的供给。下文将会详细解析本次新规对首席合规官的职权与职责又做了较大幅度的提升,在实务中会增加部分适格人员的职业顾虑,反过来又有可能进一步减少首席合规官的人员供给。而另一方面,《征求意见稿》第十二条又允许金融机构由金融机构负责人等兼任首席合规官且不受规定的首席合规官的任职条件限制。众多中小的银行或保险机构因成本或不易找到适格人选等因素很可能选择由其负责人兼任首席合规官,实务中机构负责人的主要考核指标还应是业绩考核,即使考虑风险指标,合规风险也仅仅是全面风险管理中的一项指标。由此必然导致实务中,这类机构首席合规官的角色在客观上被虚化,《征求意见稿》规定的相关职责与重要合规工作,机构负责人必然以内部授权、指令等方式由更低层级的部门或人员完成,综合来看监管期望的合规职能更加独立、强化的初衷未必能有效实现。

  四、首席合规官的职责

  首席合规官的地位决定其管理职责非常重要。下面分别进行对比说明:

  (一)在合规风险预控方面,明确了合规条线的评估建议职责,并提升了合规审查的层级

  《征求意见稿》第十七条明确了在法律、监管规定等变化的情况下,首席合规官的实际职责为建议董事、高管对相关管理的影响自行评估;这一权限实际为对相关业务管理条线的提示职责。过往的银行业监管规定实际将此工作归属为合规管理条线;在实务工作中,也有不少合规或风控部门自行承担了该项评估职责。其实该项评估职责具体落实由相关业务管理条线具体自行评估似为更佳,因为首先符合三道防线的基本风控原理;其次,对本公司实际业务管理实际情况最为熟悉的还是相关业务管理条线工作人员自身。

  在合规审查的职责范围,主要有两点显著变化:第一是审查范围中明确了金融机构发展战略以及重大决策事项明确列为合规审查事项,实际提升了合规审查工作的层级,审查对象由原规定的业务层级扩充到高级管理决策。第二是对于合规审查意见未被采纳的,明确了机构向董事会交付审查与向监管报告的职责。这两点重大变化必然在实务中强化各金融机构进一步重视并落实合规管理职责。

  (二)关于重大合规风险

  1.重大合规风险的内涵与外延(规范vs合规规范;重大合规风险事件vs重大合规风险隐患)

  不论是从监管的角度还是从金融机构内部管理出发,对于重大风险的识别和管控都是合规条线领导至关重要的基本职责;用通俗话讲即帮助公司守住红线和底线。本次《征求意见稿》首次专项明确了什么是重大合规风险的具体衡量指标:

  从内涵角度看,《征求意见稿》第三条表述:合规,是指金融机构经营管理行为及其员工履职行为应当符合合规规范。即合规的本质应为相关主体的行为是否符合相关规范(《征求意见稿》将其概括为合规规范似有失准确:规范本身是一种客观存在,规范本身似并不存在合规与否的问题,是否符合规范是一个机构或者个人在主观意识支配下的行为表现。所以符合合规规范这种说法似有语病;如果合规规范的说法成立,似乎逻辑上隐含着现实中存在一些规范是不合规的。但不知这是否为监管原意?如果真是,又该由谁来评价哪些规范是合规的哪些是不合规的)

  再从外延角度看,《征求意见稿》第三条第二款表述为:重大违法违规行为或者重大合规风险隐患包括但不限于:较大数额的罚款或者没收较大数额的违法所得;造成或者可能造成机构重大财产损失、重大声誉损失的合规风险事件、法律纠纷案件、涉刑案件、被国际组织制裁等合规风险事件等。此款对重大合规风险的外延做了进一步说明,通过其列举的外延不难发现,基本上是属于已经暴露的违规风险事件。而前述部分却又表述为重大合规风险隐患。笔者认为,已经发生的违规风险事件与风险隐患属于完全不等性质的概念,后者属于虽存在但尚未暴露的风险点,比如某机构没有完全落实《反洗钱法》关于客户身份识别等反洗钱工作,但尚未被相关监管机构处罚。这类风险点在现实中并不少见,但并不能因此就与已经暴露的合规风险点实施同类型管理。而且重大合规风险隐患本身又该如何定义呢?其外延更加广泛又不易把控;在实务中,如果要所有金融机构都把自己认为的重大合规风险隐患报告监管机构,恐怕也难以承受。从本次《征求意见稿》整体规范来看,也能看出二者并非同一概念:比如第四十条表述:首席合规官有权对可能存在的重大合规风险进行预警、提示,并督促相关责任主体强化管控措施。这里可能存在的重大合规风险,应该属于隐患的范畴,即相关合规管理上存在漏洞但尚未形成爆发的风险事件。其管理方式应主要为内部提示、纠偏、整改。这一点与已经发生的重大合规风险事件应当及时报告监管甚至触发相应问责程序等管理方式应显著有所不同。

  又依据《中国银保监会行政处罚办法》相关规定,其中可以量化部分按照下列表格呈现:

  通过上表可知,现行规定中对重大合规风险量化标准中各子类的认定标准尤其是较大数额罚款的认定标准较为复杂;而《征求意见稿》又要求各金融机构制定内部细化标准并完成相应报备。

  我们回到原点,既然监管要求各金融机构都设一个首席合规官,并实质上要求其统筹该机构的合规风险管理工作。对单个独立法人的金融机构而言,它的重大合规风险指标似应该是单独唯一的,而不宜在金融机构的各分支机构再设指标,否则对这个金融机构整体而言相关指标很难讲是重大的。

  此外,实务中常见的一些重大合规风险似乎此次监管规定也并未完全归纳完整。比如,对部分中小公司而言,由其控股股东或实际控制人将金融机构列为资本运作的工具,通过签署协议等的方式,将巨额资金转入转出金融机构进行抽逃出资、甚至洗钱等违法操作,这类行为对于金融机构而言是否为重大合规风险呢?如果认定为是,相关的印章管理部门负责人、财务部门负责人是否有义务对首席合规官第一时间进行汇报?否则首席合规官如何能够获知相关风险。

  2. 对于重大合规风险的管理机制

  我们以列表的方式,对《征求意见稿》中涉及重大合规风险的条款进行了整理:

  上表基本是按照风险发生后的报告以及处置两个逻辑条线展开。我们不难发现,在整体重大合规风险的管理上,首席合规官这一主体多次反复出现:从报告到问责都充分体现出监管对该职务的勤勉尽责要求。这一管理体系的呈现,我们认为至少在两大方面存疑:

  (1)谁才是风险管理一把手:

  对于实际对公司风险管理起到基础决定作用的公司总经理或或机构负责人等管理一把手,在重大合规风险管理体系中却隐身了。通常我们讲,风险管理是一把手的文化。在很有可能事关一家公司或者机构存亡的重大合规风险事件发生时,难道不应该是最先站出来承担的么?一把手隐身,却让首席合规官此时出来表演,后者很有可能在实务中被演绎为牺牲品。实务中,一个机构或个人违规的原因多种多样,或者是基于管理者自身对合规管理不够重视,或者合规管理手段不力,也有很多情况下是基于上级领导的业绩压力。即我们经常所讲的业务风险与合规风险在一定情况下存在转化关系。故此,不能简单的认为一个机构有了首席合规官,重大的合规风险事件发生时,首席合规官就应该站在最前面。这样的认知完全违背了风险管理三道防线的基本原理。

  (2)从风险报告到直接问责,缺少重要的基本调查环节:

  通过上表得知,在重大合规风险事件发生后,在报告环节设置了三四个条款进行要求;在报告环节上,从机构到员工,分管领导直至首席合规官,规定的较为完整;问责机制上,从首席合规官、董事会专业委员会以及董事会,都规定了相应处置意见、罢免建议以及解聘的职权。但从事件发生,到确定责任领导,中间应该最明确的调查环节,《征求意见稿》却只字未提,那我们不禁要问,相关该负责的领导、责任人是如何产生的?给予重大合规风险事件涉及的层面不同,譬如是在分支机构层面发生的还是公司总部发生的,从监管角度似应给出至少是指引性的意见:事故发生后除了报告以外,由什么层级的领导组成调查小组,小组成员应该如何构成,调查的基本职责是什么?调查应在多长时限完成,调查报告初步完成后,是否应赋予被调查者一定申诉的权利等等问题都会客观上影响到最终受到问责的主体。调查程序的公正合理性决定了相关问责对象的准确性及最终处理结果的公信力。因此我们期望,在《征求意见稿》最终生效前,能够对此部分内容进行必要的补充与完善。

  3.关于重大合规风险的处置,首席合规官权重加大

  在过往的相关监管规定中,合规负责人的管理职责重心基本在于合规管理条线本身的管理,对其他业务条线或机构至多是督促职责。

  而本次《征求意见稿》则较大幅度加重了合规管理的整体权重:

  通过上表可知,对于违法违规相关主体,《征求意见稿》第八条规定了董事会及首席合规官的相关权限:对发生重大合规风险负有主要责任或者领导责任的董事与高管人员,由董事会的相关专业委员会提出罢免意见;同时,按照《征求意见稿》第四十一条,首席合规官、合规官根据履行职责需要,对重大违法违规行为或者重大合规风险隐患,有权向董事会、高级管理层、相关内设部门及下属各机构提出处理和问责建议,包括对相关责任人员的薪酬扣减建议、岗位调整建议、降级建议等。第二项规定没有区分首席合规官和合规官的具体问责建议的对象。我们认为首席合规官和合规官不论从公司内的地位权限还是实际职能都有较大的差别,此处不宜将二者的权限合在一处进行规范。对首席合规官而言,属于公司内的高管,与其他高管在公司法地位上至多处于相同地位,故此如果属于公司内的高级管理层人员涉及重大违法违规的情况,首席合规官应主要承担按照董事会或其专业委员会的要求完成相关调查和报告工作,至于对高级管理人员的违规处理,不论是罢免还是进行薪酬扣减、岗位调整亦或降级等处理建议,似应统一由地位层级更高的董事会相关专业委员会完成更为适宜。至于合规官的相关权限,建议重点明确其职责主要为向首席合规官汇报,按照要求完成合规风险相关的调查核实工作等基础性工作足以。对于涉及违法违规人员的处理建议,基于该职位层级的原因不宜赋予。

  此外,包括合规部门在内的风险管理部门基于立场和职位要求的不同,在公司内部经营实务中,后台部门本就可能与前台业务部门存在一定的紧张关系。适度健康的这种紧张关系对于公司长远、持久的发展并非是破坏性因素。但本次《征求意见稿》本是意图通过首席合规管职权的扩充,增强金融机构的内控能力,却在客观上可能进一步加剧这种对立和紧张关系。尽管这是监管规定的要求,但毕竟实际落实的具体责任主体为首席合规官。且首席合规官在这里的角色不再是意见或建议性的,而是担纲实际否决权。因此,为相对缓释这种不必要的压力与风险,在金融机构将上述监管要求内化为管理制度等实际运作规范时,似应特别注重相关制度的内部层级尽可能提升到董事会审批的基本管理制度,这样首先是可以提高制度的层级增加内部的权威性,确保执行力;二是可以提升相关合规问责机制的稳定性,避免朝令夕改。其次,在相关内化相关机制的过程中,合规条线的高级管理者应充分与业务管理条线领导的充分有效沟通。做到先明后不争。如果有条件的金融机构,最好能将合规问责的职能嵌入到相关风险管理的自动化系统中。以确保相关问责、汇报机制的有效落地。

  (三)关于合规体系的建设(合规官究竟如何定位)

  通过上表对比可知,监管角度还是期望建立相对垂直的合规风险管理体系。但经过分析我们认为,最难以把握的应该是合规官这个岗位:按照《征求意见稿》在多处将首席合规官与合规官并列表述,《征求意见稿》第十一条甚至要求:合规官是本级机构高级管理人员,接受本级机构主要负责人直接领导。未免过于理想化了。首席合规官基于总公司高管的地位,对于整个机构合规管理承担重大管理职责,与一个分支机构的合规管理不论是在基本地位、管辖范围和管理内容上都有较大差异,不宜简单视同一样甚或类似。实务中,不论银行、保险还是非银行金融机构,超巨型的企业集团终究是少数。数量上中小型的金融机构还是占大多数。对于前者,超巨型企业集团合规管理完全可以另行专项要求。但对绝大多数后者而言,在分支机构能有一个专业的合规管理岗,既要完成项当地监管部门的汇报,还要承担本公司首席合规官关于合规管理的重大风险汇报职责。这些工作能够胜任完成已属不易。

  其次,让合规官角色直接对本机机构负责人直接管理,同时还要接受首席合规官的指导与监督。那么实务中究竟是设立垂直合规管理体系还是矩阵式双负责制合规管理体系。结合过往的重大合规风险事件,除了总公司层级的重大风险比如大股东抽逃出资或者假借金融机构平台进行资金拆借甚至洗钱等机构型风险外,多数合规风险的发生规律基本还是远离总部的发生概率相对更高,分支机构凭借手中的印章管理权、资金划拨等方式产生相应合规风险。由此决定,真要合规官这一角色切实发挥必要的合规管理职能,其劳动合同的签定解除、调级调岗、考核标准等似应首席合规官发挥更多的话语权,才能更有效的实际发挥其管理效能。

  五、首席合规官的履职保障

  上面主要对比分析了首席合规官的职位性质、任职资格及基本职责与权限,为了更为充分有效的实际履行相关职责,《征求意见稿》亦明确了对首席合规官相关履职保障措施:从第三十三到五十条共计十六个条款,占到全部条款数的四分之一,此外还有确保合规管理独立性的条款若干。足见监管对于合规管理保障的重视程度:

  总体而言,相较以往的类似规定,本次《征求意见稿》规定的首席合规官履职的权利整体更为全面,考虑的保障领域也宽泛。但结合实际工作,我们认为还是存在可进一步明确的问题:

  首先是上述保障权利的主体基本都笼统表述为金融机构或者没有明确,这在实务中会造成出现问题后责任主体的不清晰。我们认为,基于首席合规官的产生和职位性质,似应明确为董事会承担相关保障职责,并应明确将上述首席合规官的权利列入董事会审批的基本合规管理制度中提供制度性保障。

  其次,关于整体合规投入的成本,即通常所说的专项合规预算并未提及。实务中,合规资源的整体投入在很大程度上决定了金融机构合规管理的实际水平。本次《征求意见稿》仅仅规定了首席合规官的年薪要求,这并不能代表一个机构的整体合规预算。鉴于实务中各公司的规模盈利水平等相差较大,建议设置一个相对值,将包括首席合规官年薪在内的合规总预算占据上年末税后利润或者营收的一定百分比,以确保金融机构切实用行动重视合规管理工作。