《金融机构合规管理办法》要点解读 | 新规速览

2024年的最后一个周五，《金融机构合规管理办法》（“《金融合规办法》”）在经历今年8月国家金融监督管理总局（“金融监管总局”）公开征求意见后，终于发布正式稿，对此前建立在2006年《商业银行合规风险管理指引》（“《银行合规指引》”）、2016年《保险公司合规管理办法》（“《保险合规办法》”）框架下的合规制度进行了统一和更新。

总结来看，《金融合规办法》正式稿在吸收市场意见的基础上，反映出增加法规明确性和机构操作灵活性的特点。这也侧面反映了此次《金融合规办法》相较被动遵守行政监管，更注重机构主动合规治理的思路。我们将其亮点简要分析如下。

一、适用范围

《金融合规办法》直接适用于以下三类机构：

1. 政策性银行、商业银行这两类银行机构；

2. 金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、金融资产投资公司这九类非银金融机构；

3. 保险公司（包括再保险公司）、保险资产管理公司、保险集团（控股）公司、相互保险组织这四类保险机构。

相较征求意见稿，新规在适用范围上有两大要点值得关注：

1. 金控公司非直接适用，而是参照执行

此前征求意见稿规定金融控股公司属于办法直接适用范围。但《金融合规办法》明确将“金融控股公司”与“农村合作银行、农村信用合作社、外国银行分行、外国再保险公司分公司以及其他由国家金融监督管理总局及其派出机构监管的金融机构”一同划入“根据行业特点和监管要求参照执行”范畴。

金控公司的一大特点是自身“不直接从事商业性经营活动”，而是控制相关金融机构并进行股权投资管理，而《金融合规办法》对包括业务经营在内的节点，设置了合规维度的全面要求，加之金控公司下方的金融机构，本身也会受到各自金融条线相关合规要求的约束，故《金融合规办法》在对金控公司的适用上，参照执行是更为契合的做法。

当然，后续“参照执行”的尺度和水位，则是需要持续关注的问题。

2. 地方金融组织并未被列为适用对象

和证监条线金融机构明确不属于适用对象不同，地方金融组织会否被要求参照执行，此前存在一定的讨论。今年8月金融监管总局《小额贷款公司监督管理暂行办法（征求意见稿）》中提及“省级地方金融管理机构负责对本地区小额贷款公司实施监督管理”。由此看来地方金融组织较难归入“由国家金融监督管理总局及其派出机构监管的金融机构”。

结合同样在本周五发布的《银行保险机构数据安全管理办法》中将“地方金融管理部门批准设立的金融组织” 明确单列为一类参照执行对象的做法，我们理解地方金融组织并未被列为《金融合规办法》的适用对象。

二、“合规规范”的范围

《金融合规办法》明确，相关金融机构“合规”的对象，也即其经营管理、员工履职所需符合的“合规规范”范围，包括“法律、行政法规、部门规章及规范性文件，以及金融机构落实监管要求制定的内部规范”。此处建议关注两大要点：

1. 此前市场关注的 “自律规范”、“职业道德”并未包含在“合规规范”范围内

《金融合规办法》正式稿为“合规规范”的外延提供了较明确的边界，这为金融机构开展相关工作提供了确定性。

但亦需注意，尽管根据《金融合规办法》，“自律规范”本身并不构成“合规规范”，该办法同时规定“银行业自律组织、保险业自律组织依照本办法制定实施细则，对会员单位的合规管理工作实施自律管理”。这意味着中国银行业协会、中国保险行业协会的会员机构仍需关注协会后续的相关自律规范，以免引发相关的自律惩戒措施。

2. “落实监管要求制定的内部规范”属于“合规规范”范围

该项意味着机构合规的外延，将随着“监管要求制定的内部规范”范围而扩充。

实际《金融合规办法》本身就要求“金融机构应当制定合规管理制度”，而在过往《银行业金融机构从业人员行为管理指引》、《银行保险机构涉刑案件风险防控管理办法》等规定中，也均存在要求制定银行保险业等从业人员行为守则、行为管理制度等的要求。基于这些要求所建立的内部制度、守则，均构成“合规规范”的有机部分。这也正是此次新规注重机构主动合规治理的侧面体现。

三、法规的新旧衔接

在新旧法的衔接问题上，建议把握以下三个重点：

1. 新规2025年3月施行后，不一致的部门规章、规范性文件均以新规为准

《金融合规办法》将于2025年3月1日起施行。在征求意见稿时期，办法即规定《银行合规指引》、《保险合规办法》以及保监发〔2016〕38号文将同时失效。

然而实际情况是新规并不仅涉及到这三个文件。新规在机构范围上涉及多类金融机构，在内容上又辐射高管资质、机构和人员配置、内控制度制定、并表机构管理等多个维度，导致新规实际会和各类特定机构特定内容的部门规章、规范性文件，都存在差异，例如《中国银监会关于银行业金融机构法律顾问工作的指导意见》、《保险公司董事、监事和高级管理人员任职资格管理规定》、《理财公司内部控制管理办法》、《中国银保监会办公厅关于加强中资商业银行境外机构合规管理长效机制建设的指导意见》等。这些规则是否会被认为特殊法优于一般法，是征求意见稿时期留存的法理疑问。《金融合规办法》正式稿对这一点进行了澄清，即不一致之处以新规为准。

2. 新规给予一年过渡期

《金融合规办法》正式稿维持了征求意见稿的做法，对于不符合办法规定的情况，给予施行之日起一年的过渡期，为相关机构提供了整改窗口期。

3. 既有的合规总监、合规负责人、总法任职资格实行新老划断

《金融合规办法》对首席合规官、合规官的任职资格设置了新条件（详见以下第5部分）。延续了征求意见稿的做法，对于新规施行前已设置的首席合规官、合规总监、合规负责人、作为高级管理人员的总法律顾问，《金融合规办法》允许其在工作调动前，不受新规任职条件限制，无需重新任职资格许可。

四、行政报送要求

相较征求意见稿，《金融合规办法》在行政报送上显示出简化态势，重点建议关注以下三个方面：

1. 正式稿中并未保留年度合规报告报送要求

《金融合规办法》征求意见稿中曾要求合规管理部门撰写、董事会审议批准年度合规管理报告，由机构每年完成监管报送。

贯彻注重机构主动合规治理的思路，上述要求并未在正式稿中保留。

2. 正式稿不再就“首席合规官合规审查意见未被采纳” 要求定期向监管机构报告

就“首席合规官的合规审查意见未被采纳”这一事项，《金融合规办法》征求意见稿中除要求董事会审定外，还要求定期向监管机构报告。

正式稿中前述定期报告要求被移除，仅要求将重大事项及时报告监管机构。

3. “重大违法违规行为或者重大合规风险隐患”的报告和处理

总体来看，《金融合规办法》并非要求事事报告，其相关要求比较集中围绕在“重大违法违规行为或者重大合规风险隐患”的报告和处理上（简要总结见下表）。

值得注意的是，《金融合规办法》规定“重大违法违规行为或者重大合规风险隐患”主要包括“较大数额的罚款或者没收较大数额的违法所得；造成或者可能造成机构重大财产损失、重大声誉损失的合规风险事件、法律纠纷案件、涉刑案件等”。

征求意见稿时期办法对“较大数额”、“重大财产损失”提供了一定解释，同时要求金融机构对“重大违法违规行为或者重大合规风险隐患” 制定内部细化标准，向金融监管总局或者其派出机构报备。正式稿中并未再保留“较大数额”、“重大财产损失”的解释，同时也不再明文要求机构制定或报备相关定义的标准。

实际上 “较大数额”、“重大”等概念，在银保监条线的监管规定中较为常用，在监管部门给出进一步口径前，我们倾向于可参考相关既有规定中的口径。例如，《中国银保监会行政处罚办法》对“较大数额”即有明确定义，以前银保监会对银行业违法违规单位的处罚为例，五百万元以上为“较大数额”；《银行保险机构操作风险管理办法》对“重大操作风险”的定义采用了一定的损失金额和资本净额比例作为相关判断标准。

五、首席合规官、合规官任职资格

新规要求金融机构总部设立首席合规官，原则上在省级/一级分支机构设立合规官。在首席合规官、合规官的任职资格上，新规也设置了新要求，我们建议从以下三个维度把握要点：

1. 工作资历要求较高

对于首席合规官、合规官的工作资历，《金融合规办法》相较既有规定，更强调金融和法律的复合背景，工作年限要求也更高。

根据《金融合规办法》，首席合规官要求“从事金融工作八年以上且从事法律合规工作三年以上，或者从事法律合规工作八年以上且从事金融工作三年以上，或者从事金融工作八年以上且取得法律职业资格证书”；合规官要求“从事金融工作六年以上且从事法律合规工作三年以上，或者从事法律合规工作六年以上且从事金融工作三年以上，或者从事金融工作六年以上且取得法律职业资格证书”。

该等资历要求与征求意见稿一致，但相较既有相关规范性文件和任职资格指南中同类岗位的要求，其复合背景和年限要求均有所抬升。比如《保险公司董事、监事和高级管理人员任职资格管理规定》对“合规负责人”要求为“从事法律、合规、稽核、财会或者审计等相关工作5年以上，或者在金融机构的业务部门、内控部门或者风险管理部门等相关部门工作5年以上”；《中国银监会关于银行业金融机构法律顾问工作的指导意见》要求总法律顾问为“具有本科以上学历或者通过国家司法考试，并且在金融业法律部门工作6年以上，具有法律工作经验和能力”；非银金融机构合规总监/首席合规官目前资历主要要求从事金融或法律工作6年以上。【1】

2. 本科以上学历要求不变，正式稿未强求“全日制”

对于首席合规官、合规官的学历，征求意见稿阶段曾要求最低本科学历必须为“全日制”。这也是征求意见稿与既有规定相比的一个实质性变化。

但最终《金融合规办法》并未保留“全日制”的硬性要求，首席合规官、合规官拥有本科以上学历即可。

3. 兼任可行但有限制条件

对于首席合规官、合规官, 《金融合规办法》保留了征求意见稿的做法，即允许兼任，但设有兼任条件，即：

（1） 金融机构行长（总经理）可以兼任首席合规官，金融机构省级/一级分支机构行长（总经理）可以兼任合规官,且此处情形不受首席合规官/者合规官任职条件限制，不需要另行取得任职资格许可；

（2）其他高管也允许兼任首席合规官/合规官,但前提是其不得负责管理前台业务、财务、资金运用、内部审计等可能与合规管理存在职责冲突的部门。

六、合规人员配置

确保金融机构合规人员配置是《金融合规办法》起草以来，合规管理保障机制中的核心内容之一，由于涉及到人力成本和客观招募条件等，合规人员具体要配置到什么程度是各方关注的核心。

《金融合规办法》正式稿在这一问题上总体给予了金融机构更大的主观灵活性，但也反映出对域外合规风险的重视，主要反映在以下三点：

1. 合规部门人员有背景要求，但相对灵活

《金融合规办法》正式稿要求合规管理部门 “主要由具有法律或者经济金融专业学历背景的人员组成”，但并未设置任何量化指标（例如要求特定比例人员通过司法考试），给了机构更大的主动管理空间。

征求意见稿时期，办法中要求以下两类特定情况下，相关人员应有法律专业背景或者通过法律职业资格考试：

（1）“初次从事对机构重要经营决策、规章制度、机构合同进行法律审核的人员”；

（2）“为机构改制重组、并购上市、产权转让、破产重整、和解及清算等重大事项提出法律意见的人员”。

《金融合规办法》正式稿中，上述要求改为“原则上”应具有法律专业背景或者通过法律职业资格考试，为机构提供了一定的灵活度。

同时，正式稿将第（1）类情形做了限缩，改为“初次从事对机构合同进行法律审核的人员”，去掉了总体与法律专业捆绑不深的“重要经营决策、规章制度”。

2. 业务部门、下属各机构[2]均需配置合规人员，但专职/兼职安排具有一定灵活度

《金融合规办法》明确将合规人员配置要求延展适用于“合规管理部门以外的其他部门”以及“下属各机构”，使得合规能力覆盖至各机构和各业务过程和领域。

根据新规，前述人员配置需“与业务规模”相匹配。但与征求意见稿不同的是，征求意见稿中要求“合规风险管控难度较大的部门、下属各机构应当配备专职合规管理人员”。而《金融合规办法》最终表述上就专职合规人员的配备问题还是保留了更多灵活度，要求“各部门、下属各机构应当配备与业务规模、风险管控难度相匹配的专职或者兼职合规管理人员”。

3. 重点境外法域需增加专职合规管理人员

在近年来国际局势和监管政策飞速变化的背景下，《金融合规办法》对境外下属机构的合规人员配置特别予以了重视。在征求意见稿时期，办法即已规定“境外金融分支机构及境外金融子公司应当配备熟悉所在司法辖区法律法规和相关银行保险业务的合规管理人员”。

而针对“合规风险较高的重点国家和地区”，《金融合规办法》直接要求“应当增加专职合规管理人员”。相比征求意见稿中就此等情形允许机构“根据实际情况”采取多类方式防范风险的表述，正式稿的人员配置要求更为直接。

七、合规管理体系

针对《金融合规办法》所提出的合规管理体系要求，我们建议从组织架构和制度建设两个维度来把握。

1、 组织架构体系

从内部组织治理架构和各组织责任来说，新规在征求意见稿基础上未有实质性改动，其总体与大部分既有规定接近，但表述上又有细节差异。

对于适用新规的金融机构而言，需要对照新规判断自身目前的机构设置、章程、其他公司治理制度和合规管理制度，是否需要进行相应对齐调整。核心要点总结如下：

2、制度建设体系

《金融合规办法》并没有列出一项制度建设清单，但通过各项分散的条款，引入了以下制度/机制，因此在制度建设层面，相关金融机构需要对照进行补充/调整。

八、首席合规官权责

《金融合规办法》对首席合规官设置了细化的权责义务（简要归纳如下表）。总体而言在征求意见稿基础上的变化不大，一个比较显著的变化体现在“合规审查和合规意见出具义务”中。

征求意见稿中要求首席合规官对“新产品和新业务方案”均需进行合规审查并出具书面合规审查意见。但考虑到新产品和新业务可能频繁出现，《金融合规办法》此次新增明确首席合规官的“合规审查和合规意见出具义务”，系针对“重要新产品和新业务”。

结语

《金融合规办法》在吸收了市场意见后，更大程度上尊重了相关金融机构根据自身实际情况落实新规的主动性、灵活性，为金融机构后续开展相关的机构治理和制度建设，做了较好的铺垫。

而与此同时，银行保险及非银金融机构过往在公司治理、人员资质、内部风控方面已经形成自身一系列监管规范，《金融合规办法》从合规角度贯穿涉及了这些议题，因此，机构需要在对既有规范有较清晰梳理的基础上，确保相关规则间的顺畅联通。以2023年金融监管总局发布《银行保险机构涉刑案件风险防控管理办法》为例，其中对相关金融机构的涉刑案件内部风控职责分配、绩效考核、培训等均有要求。涉刑案件的防控与合规管理存在一定的重合性，《银行保险机构涉刑案件风险防控管理办法》的内容思路与《金融合规办法》总体也较为统一，相关机构可考虑对存在一定重合的内容，例如职能分配、培训等进行统筹安排和实施。我们也将为市场主体及时消化和衔接新规持续提供协助。

注释

[1]  行长（总经理）兼任首席合规官/合规官的, 任职条件限制，不需要另行取得任职资格许可。

[2]  指各分支机构和并表管理的金融子公司

[3]  含行使董事会职权的董事

[4]  国家对国有金融企业薪酬标准另有规定的，从其规定

作者介绍