2024.08.22 郭昕 王昊东
2024年8月16日,国家金融监督管理总局(简称“金融监管总局”)就《金融机构合规管理办法(征求意见稿)》(简称“《合规管理办法》”)公开征求意见,引起业界对“合规”的广泛关注。
金融机构的合规管理此前已具有一定的制度基础。原银监会、原保监会分别制定的《商业银行合规风险管理指引》(2006年)、《保险公司合规管理办法》(2016年)虽已稍显老态,但2021年原银保监会下发通知开展银行业保险业“内控合规管理建设年”活动,将银行业、保险业的合规管理提升到了新层次、新高度;证券业方面,证监会于2017年制定、2020年修订的《证券公司和证券投资基金管理公司合规管理办法》实施效果良好,颇多内容也被此次征求意见的《合规管理办法》予以借鉴;国资管理方面,国务院国资委也于2022年发布并实施《中央企业合规管理办法》。除国内法之外,金融机构的合规管理还具有明显的国际化、专业化色彩,特别是巴塞尔委员会发布的合规文件所确立的银行业合规基本原则,奠定了银行业合规管理的基础。站在前人的肩膀之上,《合规管理办法》作为系统规范金融机构合规管理的规章,可谓水到渠成。
限于时间和篇幅,本文聚焦于业内关注的《合规管理办法》实务问题进行解读,暂不过多涉及对立法的评论,旨在帮助金融机构较为准确地理解合规管理的要点和重点。
一、哪些金融机构应当适用《合规管理办法》?哪些金融机构应当参照执行《合规管理办法》?
《合规管理办法》虽名为“金融机构”合规管理办法,但实际只适用于金融监管总局监管范围内的金融机构,即通常所说的“银行保险机构”加上“金融控股公司”(人民银行对金融控股公司的日常监管职责已划入金融监管总局),而不包括证监会监管的证券业、基金业金融机构,也不包括地方金融组织以及类金融企业。
具体而言,直接适用《合规管理办法》的金融机构范围包括:
银行机构:
银行:商业银行、政策性银行
非银行金融机构:金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、消费金融公司、汽车金融公司、货币经纪公司、理财公司、金融资产投资公司
保险机构:保险集团(控股)公司、保险公司(包括再保险公司)、保险资产管理公司、相互保险组织
金融控股公司
特别地,根据《合规管理办法》第六十一条,农村合作银行、农村信用合作社、外国银行分行、外国再保险公司分公司以及其他由金融监管总局及其派出机构监管的金融机构根据行业特点和监管要求参照执行,显示出《合规管理办法》立法者的通融性和灵活性。
二、《合规管理办法》什么时候实施?是否设置了过渡期?
目前《合规管理办法》仍在公开征求意见阶段,意见反馈截止日为2024年9月17日。《合规管理办法》已被列入金融监管总局2024年规章立法工作计划,预期2024年内正式发布的确定性较高。
根据《合规管理办法》第六十二条,可合理预计《合规管理办法》将于2025年3月1日起实施;同时,《合规管理办法》第六十三条规定了过渡期为施行之日起一年,即很可能金融机构需在2026年3月1日前按照《合规管理办法》的要求调整完毕。
三、金融机构的公司章程等公司治理制度需要根据《合规管理办法》进行哪些调整?
《合规管理办法》没有硬性要求金融机构对公司章程等公司治理制度进行修改,也没有强制金融机构在公司章程中增加必备条款。但金融机构为了落实《合规管理办法》的要求,可能涉及对公司章程等公司治理制度以下方面的调整和修改:
一是董事会职责。金融机构需要根据《合规管理办法》第八条重检公司章程、董事会议事规则中规定的董事会职责,一方面建议明确“董事会对合规管理的有效性承担最终责任”的表述,另一方面视情况就董事会在合规管理方面的具体职责进行补充。
二是专门委员会的设置。根据《合规管理办法》第八条,如果金融机构新设合规委员会,或者由其他董事会专门委员会履行合规管理职责需要调整其相应职责范围,则需要相应修改公司章程、董事会议事规则、董事会专门委员会工作规则等公司治理制度。
三是高级管理人员的范围和职责。虽然《合规管理办法》在立法结构上将“首席合规官”单列,但金融监管机构明确将首席合规官界定为金融机构重要的高级管理人员,并纳入任职资格管理(参见《合规管理办法》第十一条)。如果希望达到将首席合规官纳入《公司法》项下的高级管理人员范围并承担高级管理人员的义务之目的,还需要在公司章程中将首席合规官明确为公司高级管理人员(参见《公司法》第二百六十五条)。此外,《合规管理办法》第九条规定了高级管理人员(作为一个集体)的合规管理职责,亦建议金融机构视情况在公司章程高级管理人员职责条款中补充。
四、总法律顾问等人员是否可以兼任首席合规官?
这个笔者在实务中被咨询的问题看似简单,实则相当复杂。
在《合规管理办法》发布后、实施前,金融机构已设置的首席合规官、合规总监、合规负责人、以及作为高级管理人员的总法律顾问,均可以履行首席合规官各项职责。上述人员工作调动前,不受《合规管理办法》规定的任职条件限制,不需要重新取得金融监管总局或者其派出机构核准的任职资格(《合规管理办法》第六十五条第一款)。需注意,如果原已设置的总法律顾问并非作为金融机构的高级管理人员,则其不能履行首席合规官职责。由于《合规管理办法》设置了过渡期,理解在过渡期内由已设置的前述人员履行首席合规官也为监管所容忍。
在《合规管理办法》实施后(特别是在过渡期结束后),根据《合规管理办法》第十二条,笔者倾向于理解为:金融机构要么单独设立首席合规官,要么由金融机构行长(总经理)兼任首席合规官,而包括总法律顾问在内的其他高级管理人员职位应不可同时兼任首席合规官。同时提示注意,《合规管理办法》第十三条规定首席合规官不得负责管理金融机构的前台业务、财务、资金运用、内部审计等可能与合规管理存在职责冲突的部门。有评论者认为本条意在允许首席合规官兼任其他(不存在职责冲突的)部门的负责人,但笔者认为兼任实为双向关系,如理解为允许部门负责人兼任首席合规官则与《合规管理办法》第十二条的规定存在冲突;此处“不得负责管理”更准确的理解应为“作为高级管理人员不得分管”存在职责冲突的部门。但前述理解在征求意见稿的文义表述上确实具有模糊性,希望在正式发布的《合规管理办法》中就此进一步明确。
当然,对于可以由金融机构的行长(总经理)兼任首席合规官的设计,笔者理解存在一定的治理角色冲突。首席合规官应突出其制衡和监督业务经营的作用,因此从制度设计上不仅赋予其一票否决权、个人报告权等“特权”,而且在无正当理由不可辞退、独立考核、薪酬水平等方面给予履职保障措施。而行长(总经理)作为业务经营的典型代表,其与首席合规官的身份合二为一,可能会导致首席合规官的制衡和监督权力流于形式,而履职保障措施却被滥用。立法者想必也意识到了这一点,因此将“金融机构单独设立首席合规官和合规官”明示鼓励。
此外,国务院国资委在《中央企业合规管理办法》中规定,“中央企业应当结合实际设立首席合规官,不新增领导岗位和职数,由总法律顾问兼任……”,与《合规管理办法》存在一定差异,但好在中央企业名录中仅招商局集团一家作为金融控股公司落入《合规管理办法》适用范围,实务中不会引发普遍性的法律适用冲突。
五、首席合规官有哪些“特权”和履职保障措施?
此次《合规管理办法》公开征求意见后,“首席合规官”一词迅速流行开来并引起广泛讨论。实际上,首席合规官在银行机构、保险机构原有的合规管理框架下亦有类似的岗位设置,但是多称为合规负责人、合规总监。但不可否认,本次《合规管理办法》的一大亮点就是赋予了首席合规官诸多“特权”和履职保障措施,以保证其履职能力以及独立性。——当然,“欲戴王冠,必承其重”,首席合规官所享有的“特权”也对应着沉甸甸的义务和责任。
《合规管理办法》赋予首席合规官的“特权”——意指其他高级管理人员一般不具有的权利——主要包括:
双重直接领导——首席合规官受董事长和行长(总经理)双重直接领导,向董事会负责(《合规管理办法》第十一条第一款),可以直接和董事会沟通(《合规管理办法》第八条)。
未采纳其合规审查意见时的提级审定权。首席合规官有权(亦有义务)对金融机构发展战略、重要内部规范、新产品和新业务方案、重大决策事项进行合规审查,而当首席合规官的合规审查意见未被采纳时,该事项应提交董事会审定,并向监管机构报告(《合规管理办法》第十八条)。
以个人名义向监管报告权——首席合规官发现金融机构存在重大违法违规行为或者重大合规风险隐患应当向金融监管机构报告而未报告的,首席合规官应当以个人名义直接向金融监管机构报告(《合规管理办法》第二十条第二款)。
特别值得一提,《合规管理办法》明确地规定了“重大违法违规行为或者重大合规风险隐患”的范围和认定标准,避免了金融机构和首席合规官履行前述义务的模糊性。
合规考核“一票否决”权——首席合规官发现各部门、下属各机构对重大违法违规行为或者重大合规风险隐患存在瞒报、漏报情形的,应当在机构内部的合规考核中,对责任机构和相关负责人实施“一票否决”,不得评优评先等,并及时推动采取内部问责措施(《合规管理办法》第二十三条第二款)。
《合规管理办法》格外强调合规管理保障并特设专章,其中给予首席合规官的履职保障措施,主要包括:
赋予并保护其提出否定意见的权利(《合规管理办法》第三十四条)。
强调其独立履职,不受外部不当干涉。金融机构以及金融机构的股东、董事、高级管理人员、各部门、下属各机构等各类主体均不得干涉、限制、阻挠首席合规官依法合规开展工作、履行职责(《合规管理办法》第四十二条、第四十三条)。
享有独立调查权,包括对有关内设部门或者下属机构进行质询和取证,要求作出说明,向外部审计、法律服务等中介机构了解情况的权利(《合规管理办法》第三十九条)。
享有建议问责权,有权对重大违法违规行为或者重大合规风险隐患涉及的主体提出处理和问责建议,包括薪酬扣减、岗位调整、降级等,并有权督促及时落实问题整改(《合规管理办法》第四十一条)。
享有无正当理由不得被动解聘的权利。“正当理由”仅限于本人申请,或者被金融监管机构责令更换,或者有证据证明其无法正常履职、未能勤勉尽责等情形(《合规管理办法》第四十二条)。
享有薪酬保障的权利。首席合规官工作称职的,其年度薪酬收入总额原则上不低于同等条件(同职级、同考核结果)高级管理人员的平均水平(《合规管理办法》第四十四条)。
考核方面的利益隔离机制。不得采取非分管合规管理部门的高级管理人员评价、其他部门评价、以业务部门的经营业绩为依据等不利于合规独立性的考核方式;不得将需要各部门合力完成的合规工作单独作为合规管理部门的考核指标(《合规管理办法》第四十四条)。
尽职免责制度。对于金融机构的违法违规行为,首席合规官已经按照《合规管理办法》的规定尽职履责的,不予追究责任(《合规管理办法》第五十九条)。
(注:以上仅选取笔者认为重要的职权和履职保障措施,并非完整列举)
六、金融机构的合规管理部门应当如何设置?应当配备哪些人员?
在部门设置方面,允许金融机构单独设置合规管理部门,也可以设置多个职责不相冲突的部门共同承担合规管理职责,但是要求明确合规管理职责的牵头部门。
在与其他公司治理机构的关系方面,合规管理部门的设置应当由金融机构董事会审定;高管层负责落实合规管理部门的设置和职能要求、配备合规管理人员、为其履职提供支持和保障;首席合规官负责监督合规管理部门的履职情况。
在合规管理部门或岗位的覆盖范围方面,《合规管理办法》的要求较高。原则上,金融机构总部、一级分支机构、纳入并表管理的各级金融子公司均应当设立独立的合规管理部门;其他分支机构也应当根据需要设置合规管理部门,退而求其次也应当设立足够履职需要的合规岗位;再退一步,业务规模较小、员工总数较少,确不具备设立合规管理部门或者岗位条件的,应当由上级机构合规管理部门或者岗位代为履行该分支机构的合规管理职责——总之,从总部到各级分支机构和各级金融子公司,合规管理的职责不能出现缺位。
在负责和汇报关系方面,在总部和一级分支机构层面,合规管理部门向首席合规官或合规官负责;在其他下属机构层级,合规管理部门或岗位逐级向上级合规管理部门或岗位负责。
在合规管理部门和岗位的独立性方面,《合规管理办法》要求合规管理部门和合规岗位应当独立于前台业务、财务、资金运用、内部审计部门等可能与合规管理存在职责冲突的部门或者岗位。合规管理部门和合规岗位不得承担与合规管理相冲突的其他职责。
在合规管理部门的人员配备方面,《合规管理办法》要求金融机构为合规管理部门配备充足的、具备与履行合规管理职责相适应专业知识和技能的合规管理人员,具体而言应当主要配备具有法律或者经济金融专业学历背景的人员,并特别要求初次从事对机构重要经营决策、规章制度、合同进行法律审核的人员,以及为机构改制重组、并购上市、产权转让、破产重整、和解及清算等重大事项提出法律意见的人员应当具有法律专业背景或者通过法律职业资格考试。
需要予以甄别的是,除了合规管理部门(以及在不设置合规管理部门情形下设置的专业性合规管理岗位)外,《合规管理办法》还要求金融机构各部门、下属各机构也配备合规管理人员;该等“合规管理人员”的独立性要求相对宽松,可以兼任与合规管理职责不相冲突的职务。
七、金融机构在哪些情形下需要向监管机构进行报告?
金融机构在《合规管理办法》项下负有多项向监管机构定期或临时报告的义务,主要可分为三大类:
一是定期报告。主要是指《年度合规管理报告》——每年4月30日前向金融监管机构报送;董事会和首席合规官应对报告的真实性、准确性、完整性负责。此外,《合规管理办法》第十八条规定金融机构应定期向监管机构报告未采纳首席合规官的合规审查意见的情况。
二是临时报告。主要包括:
未采纳首席合规官的合规审查意见,涉及重大事项时,应及时向监管机构报告(《合规管理办法》第十八条)。
金融机构存在重大违法违规行为或者重大合规风险隐患的,应当及时向金融监管总局或者其派出机构报告。首席合规官发现机构未按要求报告的,应当督促机构及时报告。机构不报告的,首席合规官应当以个人名义,直接向金融监管总局或者其派出机构报告(《合规管理办法》第二十条)。
三是制度报备。主要是指金融机构应当就重大违法违规行为或者重大合规风险隐患制定内部细化标准,向金融监管总局或者其派出机构报备(《合规管理办法》第二十条)。
八、金融机构在合规管理制度建设方面需要做什么?
在《合规管理办法》的框架下,金融机构的合规管理制度可以分为以下层次:
第一层次:公司章程及其他公司治理制度。(详见前文“三、金融机构公司章程等公司治理制度需要进行哪些调整?”)
第二层次:合规管理基本制度。合规管理基本制度应由合规管理部门拟定,由董事会审议批准。笔者理解,合规管理基本制度中应当体现将总部及各部门、下属各机构合规管理纳入统一体系,并能体现“三道防线”的合规管理基本框架。
第三层次:年度合规管理计划及年度合规管理报告。年度合规管理计划和年度合规管理报告均由合规管理部门负责拟定或撰写。年度合规管理报告由董事会审议批准;年度合规管理计划暂未明确规定审议机构,笔者理解亦由承担合规管理最终责任的董事会审议为妥。
第四层次:合规管理具体制度。由合规管理部门组织协调机构各部门和下属各机构拟定,根据金融机构制度的审批层级审定。其中《合规管理办法》中明确要求金融机构制定的合规管理具体制度包括:
首席合规官、合规官、合规管理人员薪酬管理机制(《合规管理办法》第四十四条)
首席合规官、合规官、合规管理部门及专职合规管理人员的考核管理制度(《合规管理办法》第四十四条)
合规工作考核制度(《合规管理办法》第四十五条)
问责机制(《合规管理办法》第四十七条)
内部举报机制(《合规管理办法》第四十八条)
合规培训机制和年度合规培训计划(《合规管理办法》第四十九条)
重大违法违规行为或者重大合规风险隐患的内部细化标准(《合规管理办法》第二十条)
九、金融机构的分支机构、子公司是否纳入合规管理范围?对境外金融分支机构、境外金融子公司有哪些特别要求?
《合规管理办法》在相当程度上体现了对金融机构的分支机构、纳入并表管理范围的各级金融子公司的全面穿透管理要求。《合规管理办法》中各章节条款中多次提及的“下属各机构”概念,其范围包括了金融机构的各分支机构和纳入并表管理的各层级金融子公司。但需要注意的是,对于金融机构下属的非金融子公司,不在《合规管理办法》的管理范围之内。
特别地,对于金融机构的境外金融分支机构、境外金融子公司,《合规管理办法》结合其合规管理的特点和难点提出了以下特别要求:
一是金融机构下设的境外金融分支机构及境外金融子公司,应当遵循东道国(地区)法律法规和监管要求,并且设立独立的合规管理部门或者符合履职需要的合规岗位,负责根据境外业务、市场情况、相关司法辖区法律法规以及执法环境等因素,识别和防范合规风险,开展日常合规研究工作,培养专业合规人才(《合规管理办法》第二十六条)。
二是境外金融分支机构及境外金融子公司,应当配备熟悉所在司法辖区法律法规和相关银行保险业务的合规管理人员。合规风险较高的重点国家和地区,应当根据实际情况采取增加专职合规管理人员等方式,有效防范应对合规风险(《合规管理办法》第三十六条)。
十、《合规管理办法》涉及与哪些法律法规的联动与衔接?
首先,《合规管理办法》将取代原先实施的《商业银行合规风险管理指引》《保险公司合规管理办法》以及《中国保监会关于进一步加强保险公司合规管理工作有关问题的通知》等三项金融机构合规管理规定。
其次,由于《合规管理办法》规定了首席合规官、合规官的任职资格许可制度,以及明确了首席合规官、合规官在原有高级管理人员任职资格基本条件基础上还应当具备的额外资格条件,因此涉及任职资格许可的以下规定将在持续有效的基础上以《合规管理办法》的新规定为准优先适用有关条款:《中资商业银行行政许可事项实施办法》《农村中小银行机构行政许可事项实施办法》《外资银行行政许可事项实施办法》《非银行金融机构行政许可事项实施办法》《银行业金融机构董事(理事)和高级管理人员任职资格管理办法》以及《保险公司董事、监事和高级管理人员任职资格管理规定》。
再次,原银监会发布的《中国银监会关于银行业金融机构法律顾问工作的指导意见》中的部分内容与《合规管理办法》存在着交叉重合,笔者理解立法者希望通过以《合规管理办法》所建立的“首席合规官—合规官—合规管理部门”的合规管理体系为主来强化金融机构的合规管理,而金融机构原已建立的法律顾问在大方向上可以融入合规管理体系,同时也可以从法律专业角度继续发挥作用,具体方式则交由各金融机构进行探索。
此外,合规管理本质上属于风险管理并与公司治理密切相关,应注意与《银行保险机构公司治理准则》以及风险管理相关规定相衔接;对于国有金融机构还应注意与金融国有资产监督管理相关规定的衔接;对于上市金融机构还应注意与上市公司治理、上市公司内幕信息管理等上市公司合规相关法规的衔接。
《合规管理办法》共五章六十五条,洋洋洒洒约万字,信息含量非常丰富,且从立法角度颇多亮点:一如“重视概念”,分别对“合规”“合规管理”“合规规范”以及“合规管理部门”等尝试作出具有学术色彩的定义;二如突出“程序正义”,能够客观地对待合规风险,承认风险只可管理不可消灭,突出以程序、系统为主的制度设计而不追求绝对结果;三如“软硬兼施”,在刚性约束的另一面,也通过大量篇幅阐述合规管理原则、合规文化建设、合规教育,体现了法律的指引、评价、教育、预测作用。限于篇幅,本文主要从实务的角度出发对《合规管理办法》予以快速解读,我们将密切关注《合规管理办法》的动态并伴随实务工作持续加深理解,并乐于与金融业界同仁分享本文未尽观点。