《金融机构合规管理办法》与国家推荐标准《合规管理体系 要求及使用指南》(GB/T 35770—2022) 标准差异
合规管理是金融机构治理和风险管理的重要领域,在防范金融风险,发展高质量金融方面发挥着至关重要的作用。我国企业开展合规管理,最早就是从金融业开始的。2005年4月,巴塞尔银行监督管理委员会发布了《合规与银行内部合规部门》的文件,为会员国银行企业组建合规部门和建立合规体系确立了基本的原则和制度框架。2006年,中国银行业监督管理委员会发布了《商业银行合规风险管理指引》。2007年,中国保险监督管理委员会发布了《保险公司合规管理办法》,2019年初,中国银保监会出台《关于加强中资商业银行境外机构合规管理长效机制建设的指导意见》,由此可见金融行业是对合规风险管理理论和方法实践较早也是要求较高的行业,为合规管理领域的标准化工作提供了重要的输入和基础。
2022年10月,国家标准化管理委员会发布了中国国家推荐标准《合规管理体系要求及使用指南》(GB/T 35770—2022),等同采用国际标准《合规管理体系 要求及使用指南》(ISO 37301:2021),即是总结了各行业的最佳实践,也为我国企业包括金融机构建立合规管理体系提供了方法和标准。
2024年8月16日,国家金融监督管理总局发布《金融机构合规管理办法(征求意见稿)》(以下简称《管理办法》),计划自2025年3月1日起施行,届时将取代《商业银行合规风险管理指引》(银监发〔2006〕76号)《保险公司合规管理办法》(保监发〔2016〕116号)《中国保监会关于进一步加强保险公司合规管理工作有关问题的通知》(保监发〔2016〕38号)。国家金融监督管理总局向社会公开征求意见,迅速引起各方关注。
参照标准和上述即将取代的相关文件,笔者以此文来对标分析和解读《金融机构合规管理办法(征求意见稿)》的主要特色和关键异同点。。
《金融机构合规管理办法》与之前文件的区别
在构建强大金融监管体系、促进金融强国建设的大背景下,《管理办法》对金融机构合规管理提出了更高的要求:
引入了单层治理结构
《管理办法》规定了金融机构董事会对合规管理的有效性承担最终责任。负责基本合规制度、合规部门设置、年度报告的审批,对合规有效性的评价和督促,有对首席合规官任免权、对违规高管的解聘权,以及建立了直接与首席合规官沟通机制。董事会可以下设合规委员会或者由董事会下设的其他专门委员会履行合规管理相关职责。该规定体现了对金融机构的风险合规治理(简称G.R.C)要求从企业经营管理层上升为公司治理层面,治理结构也从多层模式向单层模式优化转变,与新修订的《中华人民共和国公司法》的变化是一致的,可预见将极大地提升金融机构合规管理的重要性和管理效能。
提出建设和完善合规管理体系的要求
在以往文件要求的合规管理制度和职责的基础上,《管理办法》明确要求建立健全科学先进、全面覆盖、权责清晰、独立权威、务实高效的合规管理体系,持续完善与业务风险相匹配的合规管理体系,标志着对金融机构合规管理的要求从过去的点条线管理方式提升到了成体系和系统的管理模式。
要求设立首席合规官、合规官、合规管理部门及专职合规管理岗位,规定了其职责、授权、考核制度和能力要求
《管理办法》要求在机构总部设立首席合规官,在省级分支机构或一级分支设立合规官,属于高级管理人员,从结构和制度上保证合规管理的独立性,符合不相容原则。
鼓励设立专职的首席合规官,同时允许总经理兼任,体现了法人治企的原则。
《管理办法》对首席合规官、合规官的能力、资质、岗位职责、薪酬级别和授权提出了明确要求,保证了合规官有能力履职,有权利履职,并承担相关责任。
可以预期该要求将极大地提高金融机构合规管理的能力和资源配置,提升了合规管理岗位的重要性,同时也给合规管理岗位人员的职业发展和专业能力提供了机会和挑战。
明确了合规管理“三条防线”的职责和角色
明确了董事会、首席合规官、合规官、合规管理部门、高级管理人员和部门分支机构负责人的在合规管理方面的职责和角色,贯彻和细化了“两个一以贯之”的原则,清楚界定了公司治理与企业管理的分工和责任边界,为金融机构开展合规管理在治理和管理结构方面提供了保障。
为企业探索建立法务、内部控制、风险管理、审计、纪检五位一体的合规管理职能,有效开展合规管理协作提供了指引
《管理办法》没有将合规管理作为一个新的职能,没有将其与企业已经设立的法务、内控、风控、审计和纪检职能割裂或独立起来,而是将其都视为共同承担合规管理职能的部门,要求明确合规管理职责的牵头部门。这给予金融机构以结合自身实际情况的灵活的决定权,可以在现有的法务、内控、风控和纪检选择一个牵头负责合规管理。同时,《管理办法》就合规管理部门的职责和分工做了明确规定,这使得合规管理与其他专业职能的工作边界和职责非常清晰,为建立金融机构五位一体的有效协作合规管理提供了条件。
鼓励员工参与合规文化建设,强调提供培训和信息化赋能
《管理办法》并不只是对员工履职合规提出要求,而是特别要求培育、推动、深化金融机构合规文化建设,并评估合规管理有效性和合规文化建设水平。《管理办法》提出了合规文化建设的方法,包括自上而下的领导作用,鼓励员工参与并提供沟通渠道提出改进意见和建议,以及建立合规培训机制、加大培训力度的具体要求。套用一个时髦的词,这是典型的“双向奔赴”的方式,与其他仅仅是从上而下的文件要求相比会更有效果也更值得提倡。
采用了正向合规激励机制
引人注意的是,《管理办法》给出正向合规激励机制,可谓奖罚分明,推动与激励并举。第五十九条规定:金融机构通过有效的合规管理,主动发现违法违规行为或者合规风险隐患,积极妥善处理,落实责任追究,完善内部控制制度和业务流程,符合法定情形的,国家金融监督管理总局及其派出机构依法可以从轻、减轻处理;情节轻微并及时纠正违法违规行为,没有造成危害后果的,或者仅违反金融机构内部规定的,不予追究责任。对于金融机构的违法违规行为,首席合规官或者合规官、合规管理部门、合规管理人员已经按照本办法的规定尽职履责的,不予追究责任。
《管理办法》与标准的异同
讨论国家标准《合规管理体系 要求及使用指南》(GB/T35770-2022 )(以下简称"标准")与《金融机构合规管理办法》的差异,我们不可避免地要审视两者所代表的不同合规框架。标准是基于经典的国际标准管理体系和谐结构,旨在为各种类型的组织提供通用的合规管理体系框架。而《管理办法》则是国家金融监督管理总局为中国金融机构设立的合规管理规则。这两个框架都在各自的范畴内对企业合规进行了规范,但其制定的背景、目的以及具体要求存在显著的差异。通过深入分析标准与《管理办法》之间的异同,我们能够更全面地理解这两者在推动企业合规方面的作用,并为我国的金融机构在实践中的合规管理提供更为精准的指导。
由于标准与《管理办法》的体例架构存在明显差异,难以全面一一对比,下列比较仅基于两份规范标准的字面内容展开,存在一定主观性,并不代表《管理办法》存在缺陷。
内容、范围的主要差异
《管理办法》与标准相比,更侧重通过岗位职责、授权、保障和问责来推动合规管理,强调人的作用;而标准则是要求基于企业所处的情境和相关方需求分析,通过合规义务的识别来开始合规风险的分析和管理计划,通过提供完整的管理体系要素和PDCA过程方法来持续改善合规管理,强调系统和运行机制的作用。虽然《管理办法》要求建立和完善合规管理体系,并提供了原则和预期效果,但是缺少对合规管理体系的定义、要素和如何实现有效合规管理体系的方法论,标准可以弥补这个不足。
《管理办法》要求的合规规范的范围,明确为包括法律、行政法规、部门规章及规范性文件、行业自律规范,以及金融机构内部规范,小于标准要求的合规义务,没有包括必须遵守的国际条约、规则,和自愿遵守的与客户和相关团体签订的协议、合同义务、以及符合社会期待的公序良俗。笔者理解《管理办法》的合规规范如此定义有其特殊现实意义的考虑,但从长远来看,可能会造成未来金融机构合规管理的盲区。
《管理办法》在合规保障和监督方面提供了更为细致和具体的要求,而标准则是提供了通用框架和方法。在实践中,需要将二者协调和整合起来。
为了便于进行比较,下表中左列为《管理办法》部分要求,中间列为标准条款,右列为我们根据比较得出的观察结果:
结构上的差异
通过逐项对比标准与《管理办法》要求,标准更为全面系统,《管理办法》则针对金融的现状和特点,在合规管理体系的组织架构、岗位设置、职责和权限、合规文化建设、制度体系建立、信息化建设等方面提出了具体清晰的说明,但在合规管理体系建设和有效运行方面缺乏诸多重要的内容和要求。从本质上讲,标准和《管理办法》的原理是非常相似的。然而,标准相较于《管理办法》在架构(Structure)上有以下关键区别:
《金融机构合规管理办法》的结构
《管理办法》共分为五章、六十五条,如下所示:
标准是采用了国际标准经典的管理体系标准协调结构,基于公司所处的环境和战略,基于公司治理的目标和原则,通过相关方分析来识别合规义务,开展合规风险分析并制定合规管理计划,通过PDCA过程方法,履行合规义务,符合相关方需求和期望。核心驱动力是发挥领导作用、良好公司治理和合规文化建设。
通过以上对比,我们可以看到《管理办法》涉及制度制定目的、合规相关定义、工作开展原则等方面,强调了对金融机构的组织与职责、制度建设、运行机制、合规文化、信息化建设、监督问责等方面的明确要求,突出了合规管理的关键领域。《管理办法》结合金融的现状和特点,对合规管理体系的某些方面有更加具体清晰的要求,但在诸如组织内外部情境分析、识别相关方需求与期望、明确合规管理体系范围、合规义务梳理与更新、合规风险识别、分析、评价管理与第三方风险管理、人员合规能力与意识建设、文件化信息管理、外包与供应商等第三方风险控制、合规目标统计与监视等方面尚未完全覆盖ISO 37301标准的管理体系要求。然而,这并不是说明《管理办法》存在缺陷,只是说明标准与《管理办法》二者关注的重点与功能定位不同。《管理办法》主要从金融机构监管的角度出发,关注对合规管理的重点活动或结果的基本要求,而并非追求对合规管理体系要求的全面性和逻辑关系的严谨性。而标准提供了帮助企业建立和改进合规管理体系的理论和最佳实践,并可作为认证的依据,适用于所有类型的组织。
结论:
《金融机构合规管理办法》(征求意见稿)较以往的规则在公司治理结构和合规管理体系建设方面提出更高的要求,具有科学性和先进性,将会在金融风险监管和高质量金融方面发挥积极的推动作用。通过《金融机构合规管理办法《合规管理体系 要求及使用指南》的对标,我们可以看到二者在原理上是一致的,在内容和结构上存在区别,通过贯标可以有效地为金融机构贯彻和落实《金融机构合规管理办法》提供合规管理体系框架和方法论。在实践中需要注意将二者有机地融合起来,才可以发挥最大的管理效能。
