2024年8月16日，为深入贯彻中央金融工作会议精神，提升金融机构依法合规经营水平，培育中国特色金融文化，国家金融监督管理总局起草和发布了《金融机构合规管理办法（征求意见稿）》（以下简称《办法》），向社会公开征求意见（意见反馈截止时间为2024年9月17日）。《办法》计划自2025年3月1日起施行，同时将设置一年过渡期，金 融机构应当在过渡期内完成整改。

　　《办法》共五章六十五条。主要内容包括：一是总则。明确《办法》的制定依据、适用范围、基本原则、相关定义和监管主体等。二是合规管理职责。分三节分别明确了董事会及高级管理人员的职责，首席合规官及合规官的设置与职责，以及合规管理部门的职责与分工。要求金融机构在总部设置首席合规官，在省级（计划单列市）分支机构或者一级分支机构设置合规官。充分发挥首席合规官、合规官在合规管理体系中上下传导、左右协调、内外沟通的核心功能，统筹推进合规管理工作。强化业务条线的主体责任、合规部门的管理责任和内部审计的监督责任，做到有机统筹、有效衔接。三是合规管理保障。完善首席合规官及合规官、合规管理部门及人员履职的相应保障措施。要求金融机构为合规管理部门配备充足、专业的合规管理人员，通过合规人员的专业性提升合规管理的有效性。明确首席合规官及合规官的参会权、知情权、调查权、询问权、建议权、预警提示权等履职保障。四是监督管理与法律责任。明确相关行政处罚及其他监管措施，对金融机构及其工作人员，特别是对董事、高级管理人员、首席合规官及合规官等未能有效实施合规管理的违法违规行为予以严肃追责，加大惩戒力度。五是附则。明确《办法》施行日期及过渡期等事项。

　　在反复研读《办法》详细内容的基础上，笔者基于自身在大型国际金融机构数十年的从业经验，试图对《办法》提出以下三点修改建议，以作抛砖引玉之用。

　　建议一：首席合规官接受首席风险官直接领导，而非接受机构董事长和行长（总经理）直接领导，向董事会负责。这一修改建议是对《办法》第十一条 规定：“金融机构应当在机构总部设立首席合规官，首席合规官是高级管理人员，接受机构董事长和行长（总经理）直接领导，向董事会负责”的修改。

　　纵观全球发达经济体的主要金融机构长期行之有效的管理经验和做法，首席合规官（Chief Compliance Officer）一职设立已有多年的历史。就其报告线路和负责对象而言，目前主要有三种模式：模式一，设立合二为一的单一的首席风险与合规官（Chief Risk and Compliance Officer）职位，首席风险与合规官是高级管理人员接受机构董事长和行长（总经理）直接领导，向董事会负责；模式二，在首席风险官之下，设立首席合规官一职，后者向前者负责。首席风险官是高级管理人员，接受机构董事长和行长（总经理）直接领导。模式三，首席合规官是高级管理人员，接受机构董事长和行长（总经理）直接领导，向董事会负责。

　　汇丰控股是模式一的典型代表，正如该行在描述其“风险治理”时表述那样：“董事会对有效管理风险负有最终监督责任，并批准我们的风险偏好。集团首席风险与合规官在集团风险管理会议成员的支持下，对风险环境的持续监控、评估和管理以及风险管理框架的有效性承担行政责任。集团首席风险和合规官还负责在集团声誉风险委员会的支持下监督声誉风险。”据该行2023年《年报》披露信息，帕姆·考尔（Pam Kaur）目前是汇控集团首席风险与合规官。她自2020年起担任集团首席风险官，2021年被任命为集团首席风险与合规官。她是香港上海汇丰银行有限公司的董事。自2013年加入汇丰银行以来，她的职位包括集团内部审计主管和批发市场及信贷风险主管。自获得安永会计师事务所特许会计师资格以来，帕姆·考尔在德意志银行、苏格兰皇家银行集团、劳埃德TSB银行和花旗集团担任过各种高级审计、合规、财务和运营职务。她担任abrdn plc的非执行董事。

　　据摩根大通公开披露信息显示，摩根大通则采用上述模式二。该行建立和维持独立风险管理（Independent Risk Management缩写IRM）职能，由风险管理和合规部门组成。公司首席执行官（CEO）任命公司首席风险官（CRO）领导IRM职能并维护公司的风险治理框架，但须经董事会风险委员会批准。该框架须经董事会风险委员会审查和批准风险治理和监督政策后批准。公司的首席风险官监督并授权给全公司风险主管（Firm-wide Risk Executives 缩写“FRE”）。

　　笔者之所以建议采用模式二的主要理据是：合规风险是金融机构须面对和管理的众多风险之一，从全面风险管理和整合管理的角度看，由首席风险官统一领导风险管理和合规管理更符合金融机构的实际运营管理需要。不难理解，随着金融业经营环境的变迁，金融机构将来所面对的风险类别不但会持续增加且越来越复杂，为此，金融机构自然也会根据实际需要增设不同的管理职位，但新设的管理职位没必要均成为“高级管理人员”接受机构董事长和行长（总经理）直接领导，否则，管理层臃肿问题会最终对有关金融机构的管理效率和效果构成负面影响。

　　建议二，为维持合规管理的独立性，机构总部的首席合规官、和各业务层级的合规官，不应由金融机构负责人、省级（计划单列市）分支机构或者一级分支机构负责人兼任。《办法》第十二条规定：“ 金融机构可以根据自身经营情况单独设立首席合规官、合规官，也可以由金融机构负责人、省级（计划单列市）分支机构或者一级分支机构负责人兼任。由金融机构行长或者总经理兼任的，不受本办法规定的首席合规官或者合规官的任职条件限制，不需要另行取得国家金融监督管理总局或者其派出机构的任职资格许可。鼓励金融机构单独设立首席合规官和合规官。与此同时，《办法》第十三条 规定：“首席合规官及合规官不得负责管理金融机构的前台业务、财务、资金运用、内部审计等可能与合规管理存在职责冲突的部门。金融机构行长或者总经理兼任首席合规官、省级（计划单列市）分支机构或者一级分支机构行长或者总经理兼任合规官的除外”。显而易见，《办法》的第十二条与第十三条存在自相矛盾之处。且让《办法》第三十二条“ 金融机构应当建立三道防线的合规管理框架，确保三道防线各司其职、协调配合，有效履行合规管理职责，形成合规管理合力。”难以真正落到实处。此外，即使抛开利益冲突（角色冲突）管理和职责分工制衡不说，机构各层级负责人除未必具备合规管理所需专业资质和经验外，也未必有足够的时间兼顾业务运营管理和合规管理。

　　毋庸置疑，有效的利益冲突管理和由职责分工所形成的有效制衡是合规管理的前提和必要条件。若让金融机构负责人、省级（计划单列市）分支机构或者一级分支机构负责人兼任首席合规官或合规官，这样的人事安排本身存在明显的利益冲突，更难言有效制衡——用大白话讲：谁也不可能用自己的牙齿咬自己的鼻子。正因为如此，大多数经营管理状况较好的国际金融机构均特别强调合规管理的独立性与合规管理三道防线的建立与维持，其目的就是要确保“有效的利益冲突管理和由职责分工所形成的有效制衡”。

　　以花旗集团为例，该机构在其年报中强调：“独立的风险管理部门独立于一线部门。他们负责监督第一道防线的风险承担活动，并在履行风险管理职责时挑战第一道防线。他们还负责独立识别、衡量、监测、控制和报告总体风险，并制定风险管理和监督标准开元游戏。独立风险管理由独立风险管理（IRM）和独立合规风险管理（ICRM）组成，由首席风险执行官【即首席风险官（CRO）和首席合规官（CCO）】领导，他们可以不受限制地接触花旗集团董事会及其风险管理委员会，以促进他们履行与上报给花旗集团董事局有关的具体职责的能力......独立合规风险管理（Independent Compliance Risk Management缩写ICRM）组织积极监督花旗的合规风险，为管理合规风险的第一道防线制定合规风险和控制标准，并促进符合花旗使命和价值主张以及合规风险偏好的业务行为和活动。花旗的目标是在整个企业范围内嵌入合规风险管理框架和文化，以识别、衡量、监控、控制和升级花旗的合规风险。ICRM根据产品线、职能和地理位置进行调整，为关键举措的日常事务和战略决策提供合规风险管理建议和可信的挑战。ICRM还设有项目级企业合规部门，负责制定标准并确定与项目相关的合规工作的优先级。这些合规风险管理负责人直接向首席合规官报告。”

　　汇丰控股集团也对其“风险与合规职能”作出这样的描述：“我们的集团风险与合规职能部门负责集团的风险管理框架。这一职责包括制定全球政策、监控风险状况以及识别和管理前瞻性风险。集团风险与合规部由涵盖我们业务所有风险的子职能部门组成。作为第二道防线的一部分，集团风险与合规职能独立于全球业务，包括销售和交易职能。它为风险/回报决策提供了挑战、适当的监督和平衡。将金融和非金融风险（包括监管合规和金融犯罪）降至最低的责任在于我们的员工。他们需要管理他们所负责的业务和运营活动的风险。我们通过各种专业风险管理人员和首席风险和合规官的集体问责制，对我们的风险进行充分的监督。”

　　建议三，要与时俱进因应各有关金融机构自身情况持续拓宽合规管理的涵盖范围。按《办法》第三条描述：“ 本办法所称合规，是指金融机构经营管理行为及其员工履职行为应当符合合规规范。本办法所称合规规范，包括法律、行政法规、部门规章及规范性文件、行业自律规范，以及金融机构内部规范......本办法所称合规风险，是指因金融机构经营管理行为或者员工履职行为违反合规规范，造成金融机构或者其员工承担刑事、行政、民事法律责任，被采取行政措施，财产损失、声誉损失以及其他负面影响的可能性”。

　　事实上，随着金融监管的不断演进和金融机构业务复杂程度的持续提升等多重因素的驱动，金融机构的合规管理的涵盖面早已不局限于上述“传统范围”关于金融管理。具体而言，金融机构须因应自身各自情况，持续拓宽合规管理的主要涵盖范围，包括但不限于以下范围：

　　其一：操作风险管理（包括合规风险、行为风险、法律风险以及估计和模型风险）。以摩根大通为例，该机构明确：公司的全球首席合规官（CCO）和全公司风险主管（FRE）负责操作风险和定性风险偏好，负责定义公司的“合规、行为和操作风险（The Firm’s Compliance, Conduct, and Operational Risk缩写CCOR）管理框架”并制定其执行的最低标准。各业务条线和与公司保持一致的CCOR主管向全球CCO和FRE报告操作风险和定性风险偏好，并且独立于他们所监督的各自业务或职能。CCOR管理框架包含在风险治理和监督政策中，该政策由董事会风险委员会定期审查和批准。操作风险可以通过多种方式表现出来。操作风险子类别包括合规风险、行为风险、法律风险以及估值和模型风险。其中，行为风险是操作风险的一个子类别，是指员工的任何行为或不当行为可能导致不公平的客户或顾客结果，影响公司经营所在市场的完整性，伤害员工或公司，或损害公司声誉的风险。

　　其二：与反洗钱合规、交易活动、市场行为以及遵守与跨司法管辖区提供产品和服务有关的法律、规则和法规有关的风险管理。以摩根大通为例，该机构明确：合规风险包括与反洗钱合规、交易活动、市场行为以及遵守与跨司法管辖区提供产品和服务有关的法律、规则和法规有关的风险。合规风险也是公司信托活动中固有的，包括未能行使适用的谨慎标准，以符合信托客户和客户的最佳利益，或公平对待信托客户和顾客。其他职能部门负责监督各自责任领域特有的重大监管义务。操作风险与合规部实施旨在管理、识别、衡量、监控和测试、管理和报告合规风险的政策和标准。

　　其三：《员工行为守则》的执行与落实。金融机构均会为其员工制订《员工行为守则》（Code of Conduct）开元体育，其中规定了公司对员工始终保持诚信的期望。该守则提供了有助于管理员工与客户、顾客、供应商、供应商、股东、监管机构、其他员工以及公司经营所在的市场和社区的行为的原则。该准则要求员工及时报告任何潜在或实际违反本准则、任何公司政策或适用于公司业务的任何法律或法规。它还要求员工报告公司任何员工、顾问、客户、客户、供应商、合同工或临时工、商业伙伴或代理人的任何非法或不道德行为，或违反本准则基本原则的行为。有关金融机构的合规管理部门对《员工行为守则》的执行与落实负有直接责任。

　　其四：声誉风险管理。以巴克莱银行为例，该行明确：巴克莱银行董事会是负责审查和监督集团声誉风险管理有效性的最高级别机构。集团首席合规官负责制定声誉风险管理框架（RRMF），集团公共政策和企业责任负责人负责制定信誉风险政策和相关标准，包括根据需要监控、报告和上报数据的容忍度。RRMF规定了管理整个集团声誉风险所需的内容。识别和管理声誉风险以及遵守控制要求的主要责任在于风险产生的业务和支持职能部门。

　　其五：气候风险管理。汇丰控股明确：“集团首席风险与合规官是英国高级经理制度下负责气候风险管理的高级经理，该制度涉及对集团的气候风险计划承担总体责任......气候风险已被纳入监管合规政策和流程，并加强了产品治理框架和控制，以确保有效考虑气候风险，特别是洗绿风险（Risk of Green-washing）......监管合规特别关注减轻产品生命周期固有的气候风险。为了支持这一点，我们加强了一些流程，包括：确保监管合规部对涉及气候、可持续性和ESG的新产品营销材料进行风险监督和审查；制定我们的产品营销控制措施，以确保气候声明在产品营销材料中得到强有力的证明和证实；以及澄清和改进产品营销框架、程序和相关指导，以确保与产品相关的营销材料符合内部和外部标准，并受到强有力的治理。监管合规部运营着一个ESG和气候风险工作组，负责跟踪和监测气候风险管理在职能部门活动中的整合和嵌入情况开元游戏，同时监测ESG和气候危机议程中的监管和立法变化。监管合规部仍然是集团环境风险监督论坛的积极成员“。

　　其六：内幕交易管控。鉴于金融机构与客户和金融市场交易活动关系密切，单就“金融机构管控内幕交易的政策与制度安排”而言，金融机构的合规管理部门须参与和协调以下核心工作：

　　首先，是把防范非法内幕交易作为员工《行为操守》的核心内容，要求所有层级的员工严格遵守。有关金融机构通常会 定期（每年至少一次）要求整个机构不同层级的人员通过系统，或以书面形式作出认知和理解及遵守本机构《行为操守》和其它合规要求的《声明》，并在该《声明》中承诺愿意为自身“违规”而承担对内和对外的相应的责任，包括对外的刑事法律责任。

　　其次，把内幕交易及其违规后果作为合规持续认知培训不可或缺的核心内容。不断强调“参与内幕交易不但是违规行为也是违法行为（即违规刑事化），并以“警钟长鸣”的方法持续不断提醒所有员工不要以身试法。

　　第三，在金融机构内部建立和维持隔离不当内幕消息沟通的“防火墙”防范因有意或无意的信息泄漏而导致的非法内幕交易。即在金融机构从事自身业务运营的“内部区域 (Inside Areas)”和负责涉外业务的“公众区域 (Public Areas)”之间建立和健全永久性的 (Permanent walls) 和临时性的 (Temporary walls) 防火墙或俗称“中国墙 (Chinese Walls)”，有效阻隔两个不同区域的工作人员的不当沟通和交流所引致的内幕交易。

　　第四，建立和维持专项的保密信息制度。有关金融机构除建立和维持基本的通用性（适用于所有员工）信息保密制度外，还会以交易（或项目）为基础（Transaction/Project-based），建立对应的专项保密信息制度。例如，有关金融因参与企业并购重组、股权性融资（包括IPO和后续配股）和债务融资等业务活动，通常会与有关客户签订《保密协议》的同时，明确要求所有参与业务的员工了解和严格遵守相关《保密协议》内容。

　　第五，建立和健全员工个人账户交易政策 （Personal Account Trading Policy）及相应的事先申报审批（pre-clearance）制度。这一政策制度的建立和执行是为了避免金融机构工作人员及其直系亲属和关系密切人，利用有关员工职务和工作之便所获取的内幕信息，直接或间接进行内幕交易不当得利或避免损失。具体而言，这方面的政策制度由两部分组成：其一，开元体育app下载有关机构须明确赋予内部合规部门牵头和协调内幕交易管控的职能和职责。除承担其他合规管理工作职责外，合规部门还要独立承担以下三项与内幕交易管控有关的专责工作：（1) 利益冲突管理(Conflicts of Interest)；（2）隔离信息分享和交流的中国墙 (Chinese Walls) 维护与监察；（3）机构员工个人账户交易管理 （Personal Account Dealing）和内幕交易防控工作：包括事先申报、审批、核查以及定期和不定期更新《限制交易证券名单》等管理工作。其二，有关机构必须在业务部门间和子公司间及关联方之间建立健全有效的”利益冲突管理机制”，真正实现“风险隔离”的同时，有效防范利益冲突、内幕交易、老鼠仓等一系列与混业经营关系密切的问题。管理利益冲突（Managing Conflicts of Interest）机制主要构成包括：(1) 建立和健全利益冲突管理程序和政策，确保所有保密信息只在“须要知道 (need to know)”的情况下才会分享; (2) 其中关键的制度安排包括：(1) 要求机构员工事先授权其证券账号开户机构把自己名下及直系亲属名下对账单定期发送给有关机构的合规部存档被查；(2) 机构员工及其亲属不得买卖有关金融机构公布限制买卖的证券（具体名单由有关金融机构定期更新公布）; (3) 有关金融机构员工及其亲属买卖“限制名单”以外的证券，须事先向本机构合规部门申报，并在规定的交易时间段内进行交易和满足规定的最低持有时间限度 。其中，为防范“老鼠仓”该政策和制度明确规定，有关金融机构从事证券交易的销售人员（sales）和交易员工（trading staff）必须持有与他们为金融机构交易的产品相关的投资180天以上。上述“限制名单”所涉及的公司，通常上是在某一时段内与有关金融机构正在洽谈或正在进行某一业务的公司，由于当中可能会涉及某些内幕消息，为稳妥起见，一律明确禁止本机构的任何工作人员在某一特定时段内买卖“限制名单”所列公司证券。