《金融机构合规管理办法》(以下简称《合规办法》)已于2024年12月27日正式发布，并明确将于2025年3月1日起正式实施。本文将通过与之前相关监管规定及前期《金融机构合规管理办法征求意见稿》(以下简称《征求意见稿》)的差别，结合既往监管处罚及工作经验，对《合规办法》落实过程中的要点予以简要分析，希望可对金融从业的朋友有所帮助。下面对实务工作影响较大的范畴逐一分析：

　　一、总则部分(一)集团合规风险管理如何落地

　　按照《合规办法》第二条和第五十五条，金融控股公司与农村合作银行、农村信用合作社、外国银行分行、外国再保险公司分公司以及其他由国家金融监督管理总局及其派出机构监管的金融机构同样为参照适用，而保险集团(控股)公司却和其他银行、保险公司同样直接适用。不论是直接适用还是参照适用，应注意到集团公司本级的合规风险管理职责与具体经营业务的专业公司存在较大的差异：以保险业为例，国内现在的十余家保险集团公司(或类集团化管理的总公司)，多数集团公司本级也并不经营具体保险业务。但《合规办法》并没有对集团公司本级的合规风险管理职责做专项要求，颇为遗憾。保险集团本级的合规管理从基本数据上体现其必要性，在国际上合规管理的专项文件中都有明确的经验总结：

　　据中研普华产业院研究报告,国内保险行业CR5(即前五家最大保险公司的市场占有率之和)始终保持在较高水平。如2022年，中国平安、中国人保、中国人寿、中国太保、新华保险等五家上市保险公司(同时均为国内保险集团核心成员)的原保险保费收入占据了市场的较大份额，CR5保持在54%以上。再从处罚金额看，依据13精的统计，2023年全年保险公司受到金融监管总局系统罚款总额中，财产险公司罚款总额额高达2.13亿，而其中六家保险公司(分别为人保财险、国寿财险、中华联合、太保财险、阳光财险、平安财险，均为保险集团核心成员公司)单独罚款总额均受过千万，总额达到1.2353亿元，占财险公司整体罚款总额的58%;而寿险公司总体受罚金额达到1.29亿元，其中共四家寿险公司(平安寿险、泰康人寿、人保寿险及中国人寿)单独受罚金额超过(一家接近)千万级别，总额达到5104万元，也占寿险公司整体罚款总额的40%。综上，即使从行业实际构成的角度看，保险集团的合规管理对全行业的长久持续发展起到举足轻重的作用。

　　国际上合规与公司治理的相关文件都对集团合规有专项总结。如在《巴塞尔银行监管准则-银行公司治理规则》(2015-7月版)(以下简称《巴塞尔准则》)中：原则 5：集团结构治理部分强调：在集团结构中，母公司董事会对集团负有全面责任，并确保建立和运作适合集团及其实体的结构、业务和风险的明确治理框架。董事会和高级管理层应该了解并理解集团的组织结构及其带来的风险;母公司董事会 95.在集团结构内运营时，母公司董事会应了解可能影响整个银行及其子公司的重大风险和问题。它应该对子公司进行充分的监督，同时尊重可能适用于子公司董事会的独立法律和治理责任。为了履行其职责，母公司董事会应：确定适当的子公司董事会和管理结构，并考虑到集团、其业务及其子公司所面临的重大风险; 评估集团的企业管治框架是否包括适当的政策、流程和控制措施，以及该框架是否解决了跨业务和法律实体结构的风险管理问题;确保集团的公司治理框架包括适当的流程和控制措施，以识别和解决潜在的集团内部利益冲突，例如因集团内部利益冲突而产生的利益冲突。

　　上述要求中既有公司治理的内容，但也有相当部分包含重大风险的管理：具体到合规风险至少包括集团公司对下属成员的合规风险管理组织架构的建设完善职责，母公司董事会对下属成员重大合规风险的了解职责，对下属成员公司重大合规风险以及风险管理组织架构的定期评估职责等。

　　此外，国际保险监督官协会的《保险核心原则》(2017)关于集团的合规管理要求更为明晰：如8.0.6，“集团范围内的风险可能会影响集团内的保险法人实体，而保险法人实体层面的风险也可能影响整个集团。为了帮助解决这个问题，集团应该在整个集团和保险法人实体层面建立强大的风险管理和合规文化。因此，除了满足集团治理要求外，集团还应考虑其保险法人实体遵守当地法律法规的义务。8.0.7，--无论采用何种治理方法，重要的是存在有效的风险管理和内部控制系统，并在保险法人实体层面和整个集团范围内对风险进行适当的监控和管理。”《保险核心原则》主要强调了集团层面建立强大的合规文化的重要性以及集团范围内对风险进行适当管控。

　　上述两个文件分别从公司治理及合规文化两个视角对集团合规风险给出了相应政策建议。我们尤其认为集团层面应特别重视合规风险文化的建设工作。合规风险文化建设工作看似虚无但在实际工作中影响甚巨，一个公司还是企业集团，其合规风险最终能否实施有效识别、精准预控直至规范化处置化解，都不可能仅仅依靠其内部的某些合规管理者，甚或整体合规专业团队也不能单独做到;最终还是要靠其他两道防线尤其是第一道防线的业务线自身对合规文化的充分理解与有效落实。综合上述两个文件，从集团层面至少应着手完成的工作包括：

　　(一) 确立较为统一的合规风险管理文化，并对主要成员公司

　　的合规政策是否与集团的合规风险文化保持一致，进行定期检视和修正。集团合规管理中可能出现的风险，需要相关集团或金控公司结合自身的实际状况制定适合自身的合规文化并由集团公司董事会审批确认，以此作为集团合规风险管理的基本纲领性文件在集团各成员公司中通过公司治理逐级落实。

　　(二) 定期评估主要成员公司的管理组织架构是否满足其合规

　　风险管理的实际需求;

　　(三) 建立健全集团范围内的重大合规风险汇报、监控机制;

　　(四) 集团公司与子公司的管理职责划分等专项制度等。

　　二、合规管理的独立性问题

　　对比《合规办法》与《征求意见稿》较为重大的一个差别是，原来在总则部分的合规独立性原则被取消了：现在的《合规办法》只在总则外的部分保留了部分具体独立性规则;与此向应的调整则是，原《征求意见稿》第十四、十五条首席合规官和合规官任职资格条件中“具有担任拟任职务所需的独立性”的要求也被取消;同时，《合规办法》第十四条明确允许机构的高管人员、省级或者一级分支机构的高管人员兼任首席合规官和合规官岗位。综上，可以得出结论：《合规办法》整体上对合规独立性的整体要求被相对降低。

　　合规独立性原则是相关金融国际文件中均特别强调的独立性原则。如《巴塞尔准则》108“CRO 的作用” 指出，为避免利益冲突，CRO不应负责监督他们以前担任直接责任或参与业务决策或审批流程的活动。银行可能有一名高级职员以不同的头衔履行CRO的职能，前提是他们应符合本文规定的独立性和其他要求。《巴塞尔准则》110.也规定，CRO应该是独立的，并承担与其他行政职能不同的职责。这要求 CRO 能够访问履行其职责所需的任何信息。但是，CRO 不应承担与任何运营业务线或创收职能相关的管理或财务责任，并且不应有“双重帽子”(即首席运营官、首席财务官、首席审计师或其他高级经理原则上不应同时担任 CRO)。CRO 应无障碍地向董事会或其风险委员会报告并直接联系。对于合规管理职能，《巴塞尔准则》第136条更是明确规定，合规职能独立于管理层，以避免在该职能履行职责时受到不当影响或障碍。《保险核心原则》8.5.5也强调，如果管理层成员出现任何重大违规行为或保险公司严重不遵守外部义务，合规职能负责人认为保险公司的高级管理层或其他权威人士没有采取必要的纠正措施，并且延迟将对保险公司或其保单持有人有害，他应有权和义务立即直接通知董事会主席。上述国际文件都对风险高管或合规负责人提出了明确的独立性或履职独立的基本要求。

　　合规风险管理的本质决定了其与业务管理的领导职能存在重大的差别。尽管日常管理中总有合规创造价值的说法，但实际上合规职能本身并不会给金融机构带来直接价值成果，其主要价值在于建设良好的风险管理文化，在机构内部逐步形成良好的合规发展共识，从而引导金融机构的业务发展走在基本合法合规的道路上，力求实现其长久、可持续、健康的发展。而金融机构的总经理在实务中对金融机构的主要价值在于其业务的发展能力，因为金融业务本身就是风险与利益并存且呈现同方向增长的特性，这与合规职能本身就存在一定内在的冲突。而合规管理的一项重要职能就在于监督，如由总经理同时兼任首席合规官职务必然存在上述监管文件中提及的双重帽子问题，即自己监督自己的不当角色安排。其次，从基本地位上，首席合规官作为公司高管人员由董事会聘任、解聘，基本地位并不低，但《合规办法》在第十三条又规定，首席合规官接受机构董事长和行长(总经理)直接领导，向董事会负责。这一规定实际产生的结果就是领导对象与负责对象的不统一，且董事长总经理双重领导，这种安排在既往的银行、央企的管理规定中是没有的(具体见笔者公众号前期对《征求意见稿》的对比解析文章)在出现重大合规事项决策时容易产生不必要的纷争，也会相对影响首席合规官独立性管理职责的发挥。并且，首席合规官有一些特定职权在总经理兼任的情况下将形同虚设，比如《合规办法》第二十条第三款规定，首席合规官的合规审查意见未被采纳的，金融机构应当将有关事项提交董事会审定，重大事项应当及时向监管机构报告。在首席合规官的角色被总经理兼任的情况下，他还会主动将自己领导下合规部门的意见在他自己不采纳的情况下再去向董事会交付审定?并又向监管部门汇报么?综上笔者以为，在金融机构总部层面，应尽可能避免首席合规官由总经理代行的情况，否则会对合规风险管理的实效产生较大的不利影响。从首席合规官选任上，尽可能在内部规定中由董事长或董事会风险管理委员会向董事会提名首席合规官人选，避免由总经理提名影响首席合规官履职的独立性。

　　另外，对于合规官的独立性就更难以保证了。因为《合规办法》第十三条第二款规定，合规官要接受本级机构行长(总经理)直接领导。《合规办法》第三十条规定了各级合规部门向本级合规官负责，并在第三十四条规定了鼓励合规上下级部门之间的垂直领导关系。但对于首席合规官对合规官的关系却规定甚少，只是在第四十条中规定了双线汇报机制，以向首席合规官汇报为主，并向本级机构行长(总经理)汇报。从公司治理的角度，合规官的主要权限是来自领导他的机构一把手还是公司的首席合规官?如果是前者其独立性根本无从谈起;如果为后者，首席合规官对合规官的具体管理权限在《合规办法》中却只字未提。既往的监管处罚整体上来看，不论是银行还是保险行业，机构受到监管处罚的数量和金额相比较而言都明显高于机构总部，在此情况下，机构的合规管理更具现实意义。如果机构的合规官都缺少基本的独立性，不要说风险文化的建设这种深层次课题，就是基本的合规风险汇报职责恐怕都不易完成。关于首席合规官与合规官的具体关系问题，将在后续解析中单独展开。