在上一期对《合规办法》关于独立性的分析中，曾提及首席合规官与合规官的关系问题，下面将分别进行阐述。

　　关于首席合规官的任职资格、基本管理职责等问题，在笔者前期

　　对征求意见稿的解析文章中曾有所阐述。下面按照《合规办法》的现行规定做简要总结：

　　一、首席额合规官的任职资格

　　首席合规官的基本任职资格，相较于此前银行和保险的相关专项规定提出了更高的要求：工作年限由之前的合规负责人平均5-6年的工作年限提高到了13年;在硬性标准上，需要同时符合《公司法》关于消极任职资格的规定，银行及保险业对于董监高任职资格的专项规定以及《合规办法》规定的要求。可能是注意到了新规对首席合规官的任职资格整体提升幅度较大，相较《征求意见稿》，《合规办法》做了一定的放松：将“全日制本科以上学历”改为了本科以上学历。实际上允许在职本科等非全日制的本科学历人员也算作符合首席合规官的任职条件;再就是“担任拟任职务所需的独立性”要求被取消,为机构总经理及分支机构负责人兼任首席合规官及合规官的职务留足空间。

　　二、首席合规官的管理职责

　　为了方便整体了解，我们做一个简单的表格集中展示如下：

　　首席合规官的上述工作大致可以分为三类：一是合规条线本身的建设与常规工作(1+2+9+10);二是对监管机构的配合落实工作(4、7);三是对合规条线外的合规管理工作(3+5+6+8+11).其中特别是第三类工作，在既往的监管规定与合规实践中，很多都是由其他条线(包括审计部门)自我完成，本次新规都明确归属于首席合规官。还有一点变化，其中第3项，当外部法律法规等变化时，前期的《征求意见稿》原文表述为“应当及时建议董事会或者其他高级管理人员并组织督导评估”，而《合规办法》直接明确为组织评估并督促落实，实际上由建议工作直接落实为直接组织实施相关工作，实务中加重了首席合规官的职责。

　　综上，从整体看首席合规官的职责相较既往的银行、保险机构等的合规负责人、首席额法律顾问等职位的工作要求不论是从工作的广度还是深度上都有了大幅度提升。因篇幅有限，下面主要探讨其中两个话题：一是通过重大合规风险的汇报机制探讨首席合规官与合规官的关系及重大合规风险发生后的问责机制：

　　三、首席合规官与合规官的关系

　　(一)、重大合规风险汇报

　　图片依据《合规办法》的规定，金融机构内部重大合规风险汇报路径为：

　　上述图中直线箭头表示汇报关系。通过上图可见，总公司合规部门与下属机构合规部门之间并不存在直接领导关系，只是指导与监督的关系;在首席合规官与合规官之间也并没有明确的汇报关系;首席合规官对于合规管理人员的选聘、业务指导、工作汇报、考核管理、合规官提名从监管角度也仅仅是鼓励统筹。但《合规办法》第十八条又规定，首席合规官应对本机构及其员工的合规管理负专门领导责任。

　　综合对比上述监管要求，可以发现首席合规官一方面要承担全机构及员工的领导职责，并且需要落实建设整个机构的合规文化建设工作;另一方面，《合规办法》中不论是总公司合规部门对于分支机构的合规部门还是首席合规官对于合规官都至多是统筹相关合规工作和业务指导关系，这就造成整体上合规管理职权与职责的不完全匹配。故此，金融机构如需整体建立较为系统、权责统一的合规管理组织架构，就需要通过自己建立内部合规的专项制度进一步明确首席合规官与合规官，总公司合规部门与分支机构合规部门之间的领导关系，在合规管理人员的选聘、业务指导、工作汇报、考核管理、合规官提名等方面进一步强化首席合规官的话语权和考核占比。并且按照合规从高层做起，董事会对于合规管理逐级授权的角度，明确合规官的相关合规管理权限来自首席合规官的授权。如此才能为分支机构合规官及合规管理部门开展、实施相关合规风险文化建设、重大风险汇报等工作明确其基本地位和权限依据，进一步理顺机构整体的合规管理关系。否则，首席合规官就将成为有责无权，缺少落实机制的光杆司令。不合理的机制引导作用，加上较高的进入门槛，从中长期看将会反噬金融机构内部合规风险文化持续有效建设和发展的积极性。

　　(二)、重大合规风险发生后的问责机制

　　对于重大合规风险发生后的问责追究工作，《合规办法》仅规定了部分环节，见下表：

　　对比前期《征求意见稿》，《合规办法》删除了“董事会专业委员会对应负责的董事、高管提出罢免的建议”，进保留了董事会进行解聘的权责规定;首席合规官除重大合规风险的汇报职责外，其中的提出处理意见是对事还是对人都不明确。从实务角度看，问责的具体程序有待进一步明确。比如相关该负责的领导、责任人是如何产生的?重大合规风险事件涉及的层面不同，譬如是在分支机构层面发生的还是公司总部发生的，事故发生后应由什么层级的领导组成调查小组，还是由首席合规官自己负责?调查的基本职责是什么?调查应在多长时限完成，调查报告初步完成后，是否应赋予被调查者一定申诉的权利等等问题都会客观上影响到最终受到问责的主体。调查程序的公正合理性决定了相关问责对象的准确性及最终处理结果的公信力。这些问题都需要机构内部通过充分会商，并最终形成专项制度由董事会审批生效，已增加其公信力和可执行性，同时也是对首席合规官个人压力的相对减轻。

　　(三)、合规官的基本地位与职责定位

　　《合规办法》对于合规官的基本定位是本机机构的高级管理人员;这与公司法上的高级管理人员应该不属同一概念。监管如此规定的目的应是为在分支机构层级充实合规力量。但这与相关国际文件的基本规定要求与精神未必相符。不论是《巴塞尔准则》还是《保险核心原则》都以法人为基本风险单位去理解一个组织内的合规风险管理工作，在公司治理的基本框架范围内去实施合规风险管理，并且合规风险管理都是以董事会为最高权力单位组织建构风险管理组织架构。《合规办法》多处要求合规官的职责等参照首席额合规官执行，基于二者实际在公司治理中的地位差是很难实现的。

　　因此，建议在实务中遵从上述国际文件的基本规律，在公司治理基本框架内按照自上而下的基本逻辑明确首席合规官与合规官的职权授受关系及各自的职责定位，如此才能理顺各自关系，为实际合规工作的顺利展开提供基本组织架构保障。

　　(四)、重大合规风险应如何认定

　　对比前期《征求意见稿》，《合规办法》删除了重大合规风险认定的量化标准，仅做了定性描述：重大违法违规行为或者重大合规风险隐患主要包括：较大数额的罚款或者没收较大数额的违法所得;造成或者可能造成机构重大财产损失、重大声誉损失的合规风险事件、法律纠纷案件、涉刑案件等。此款对重大合规风险的外延做了进一步说明，通过其列举的外延不难发现，基本上是属于已经暴露的违规风险事件。而前述部分却又表述为重大合规风险隐患。笔者认为，已经发生的违规风险事件与风险隐患属于完全不等性质的概念，后者属于虽存在但尚未暴露的风险点，比如某机构没有完全落实《反洗钱法》关于客户身份识别等反洗钱工作，但尚未被相关监管机构处罚。这类风险点在现实中并不少见，但并不能因此就与已经暴露的合规风险点实施同类型管理。而且重大合规风险隐患本身又该如何定义呢?其外延更加广泛又不易把控;在实务中，如果要所有金融机构都把自己认为的重大合规风险隐患报告监管机构，恐怕也难以承受。

　　而《合规办法》删除重大合规风险认定的量化标准不知道后期是否会出台专项规定进行确认。重大合规风险认定的具体标准十分重要，按照《合规办法》的相关规定，对重大合规风险应进行及时汇报，并触发金融机构内部的整改、问责程序，甚至监管的行政处罚。因此是相关工作的起点。而国内银行、保险等金融机构业务规模、类型相差深大，风险类型及重大特性又各不相同。金融机构似应结合各自的情况，在内部管理制度中专项明确重大合规风险的具体量化认定标准，以便实务工作巡之有序。