一、背景综述

下表所示的部分新规针对金融行业的稳健经营、行业数据的高价值与高敏感性[2]、数字化转型等迫切需要，从合规管理体系建设及高管任职资格、数据安全治理、网络安全事件报告等多个维度作出了细致且具有可操作性的规定，旨在推动金融行业全面进入“主动合规治理”与“全流程数据安全管控”[3]的新阶段。

表1. 部分新规基本要素梳理（节选[4]，按施行日期排序）

二、上述五部新规的适用主体

新规进一步规范和加强了合规管理的落地执行，和数据合规领域的全方位要求，但在适用主体上均存在差异：

1. 保险业的双轨制：

保险机构全面适用国家金融监督管理总局的《合规办法》及《金管总局数安办法》，但不适用银行业特有的《董监高资格办法》，对于保险机构的高管任职条件，需回归保险监管体系。

2. 数据监管的普遍适用：

（1）银行机构需同时满足《金管总局数安办法》对机构全部的数据处理活动和全生命周期的监管，《人民银行数安办法》则仅覆盖央行业务领域数据处理活动的领域监管，两者在同一机构内部并行适用。

（2）“农信系”的主体地位差异：农村中小银行在《合规办法》中被列为参照适用，但在两部数安办法中其被提升为直接适用的主体。

（3）非银机构的参照适用：地方金融组织（如小贷、担保）被明确要求参照适用银行保险业的数据安全标准。

表2.《合规办法》与《董监高资格》适用主体对照

三、合规时间表与合规任务清单（节选）

站在25年12月的时间节点，距离上述规章和规范性文件中的前两部颁布已近一年，我们希望为金融机构提示接下来半年内需要关注并按时完成的部分关键合规举措、在发生法定情形后应当完成的事件触发动作，和部分持续性合规动作，便于金融机构按图索骥、查漏补缺。

（一）有明确截止日期的合规动作（Time-Bound Milestones）

此类动作具有明确的日历日期，或者更加重要的法定完成期限，系合规管理的硬约束。

表4. 合规措施时间表

图1. 金融机构合规行动时间表（节选）

（二）事件驱动的合规动作（节选）Event-Driven Actions

此类动作由特定业务活动或风险事件触发，需嵌入业务流程中作为必要的合规步骤。

1. 事前完成（Pre-Event）

表5. 事前需完成的合规动作

2. 事后触发（Post-Event）

表6. 事件触发的合规动作

图2. 合规管理与数据安全合规事项速查表（节选）

（三）持续性的合规任务（Continuous & Periodic Tasks）

此类任务需建立长效机制，定期维护和执行。

表7. 持续、循环的合规任务

图3. 长效合规任务清单（节选）

四、《金融机构合规管理办法》详解

（一）“横向到边”的合规管理范围

《合规办法》对行业“合规”做出定义，指：“金融机构经营管理行为及其员工履职行为应当符合法律、行政法规、部门规章和规范性文件，以及金融机构落实监管要求制定的内部规范”，要求将合规管理贯彻至金融机构发展决策、业务经营的全过程、全领域。

在下图中，我们以商业银行为例，简要梳理了机构合规管理的四个典型方面和部分工作重点。

图4. 商业银行“横向到边”的合规工作范围（示例）

（二）顶层设计：高层引领与“三道防线”

《合规办法》周延的规定明确了董事会对合规管理承担最终责任、高级管理层承担领导责任，并为金融机构厘清了业务部门的主体责任、合规管理部门的管理责任和内部审计部门的监督责任的职责分工，以求做到有机统筹、有效衔接，形成合规管理合力。

图5.《金融机构合规管理办法》中的责任架构职责（节选）

（三）首席合规官和合规官制度

《合规办法》明确在机构总部设立首席合规官，作为高级管理人员，直接向董事长和行长（总经理）汇报，并赋予其独立向监管机构报告重大违规风险的权利；并规定金融机构原则上应当在省级分支机构或者一级分支机构设立合规官，主要向首席合规官汇报，并直接向本级机构行长（总经理）汇报。

同时，《合规办法》对两级关键职能做出了任职资格要求，和《合规办法》施行前已担任合规总监、合规负责人等岗位的人员制定了“新老划断”的细致规定。

表8. 首席合规官与合规官的任职条件

图6. 合规岗位与合规职能的汇报条线（节选）

（四）履职保障与问责机制

《合规办法》不仅对首席合规官和合规官赋予了权限和履职保障，亦规定对未能有效实施合规管理的董事、高管及首席合规官等，将依法予以严肃追责，甚至取消任职资格。

1. 核心权限与履职保障

我们理解，规范的意图旨在确保合规人员有权查、敢于说、被保护。

表9. 首席合规官与合规官权利清单

2. 监管追责与任职资格罚

同时，我们结合《金融机构合规管理办法》与《董监高任职资格管理办法》分析在权责对等的机制设置下，首席合规官作为高管，若未能妥善尽职履责可能导致的严厉处罚和后果。

表10. 首席合规官、合规官责任清单

3.  实务建议

（1）关于“正当理由”解聘：我们建议金融机构在公司章程或合规管理制度中，明确列举《合规办法》第42条所述的“正当理由”，以进一步厘清合规管理高级人员在开展工作过程中需要注意的底线红线，并同时防止董事会以笼统的事由随意更换与其意见相左的首席合规官。

（2）关于“免责证据”的留痕：我们理解，鉴于《董监高任职办法》严厉的处罚后果，建议首席合规官建立并更新履职台账。特别是当其合规审查意见未被业务部门或董事会采纳时，需要按照《合规办法》第20条的要求，将相关事项提交董事会审定并记录在案，并在必要时行使自身向监管的报告权，以作为重大合规风险实际发生后其已做到“尽职履责”的救济凭据。

（五）中小金融机构合规治理中的一个实务课题

1. 以独立性原则为例，观察从国际惯例到本土法规的变迁

在全球金融治理的版图中，巴塞尔银行监管委员会（BCBS）制定的规则一直被视为行业的通行语言。长期以来，BCBS于2005年发布的《银行合规与合规职能》（BCBS113）[8]关于合规职能独立性的原则[9]则被奉为银行业合规管理的一项黄金准则。BCBS在其原则五（独立性）第28款评注中明确了规则制定者以架构设计保障合规职能独立性意图：“委员会倾向于合规人员仅履行合规职责”，而仅在“规模较小的银行”等限定语境中才承认兼职的现实性。

随着国家金融监督管理总局正式施行《金融机构合规管理办法》整合并提升了原有的银保监会规则[10]，这一国际最佳实践在中国的覆盖面得以拓展至其他金融机构，也完成了从“软约束”到“硬法规”的转化。当我们对比新规在金融机构的顶层设计上对独立性的强化时，也能发现监管机关务实的考量，即允许行政一把手（如行长或总经理）和其他职责不冲突的高级管理人员兼任首席合规官。

笔者理解，这一制度设计是为了应对中小机构资源相对有限、合规部门话语权相对较弱的现实痛点，意图通过以允许兼任实现首席合规官设置在金融机构[11]全覆盖、并以“提级管理”来强化合规管理的执行力度。但在实践中这也可能导向后果被问责、过程缺监督的实务挑战。

2. 治理结构中的张力：职责重叠带来的实务挑战

加之，这种“一把手抓合规”的模式，虽然可以应对合规部门腰杆不硬的问题，却也在治理结构内部引入了一种天然的张力。在现代公司治理中，业务部门负责“踩油门”（创造利润），而合规部门负责“踩刹车”（控制风险）。当这两个角色由同一人承担时，决策者必须在日常种种工作中不断自我博弈：其作为行长，第一要务往往是追求业绩的增长；而作为首席合规官，则需要不断审视业务的边界。

对于大型机构而言，完善的制衡机制或许可以缓解这种冲突。但对于资源相对紧缺的中小金融机构，这种职责的重叠可能致使内部监督机制的弱化——尤其是当行长兼首席合规官事务繁忙、且业务业绩又承压时，无意中忽视必要的合规程序会是其面对的一项现实挑战。

更为关键的是，在当前严厉的“双罚制”（即机构违规，责任人同罚[12]）监管环境下，身兼两职的高级管理人员面临着更高的履职风险。如果缺乏独立的合规审查记录，一旦发生违规事件，决策者恐难以证明自己已经尽到了合规把关的责任，从而失去“尽职免责”的制度保护。

3. 破局思路：构建分布式机制和决策透明化

面对这种治理张力，和中小型金融机构资源相对匮乏的特性，我们建议中小金融机构不宜仅仅依赖管理者的个人自律，而应当寻求机制上的解决方案。机构可以利用好《合规办法》中对于兼职合规人员的若干规定，巧妙地构建一套分布式保护体系。

（1）让合规职责“下沉”。

机构宜充分挖掘业务与职能部门（特别是财务、运营等关键节点）的潜力，设立兼职的合规联络岗位（例如合规牵头人，Compliance Champions）。这些岗位深入在组织内部的适当层级，能够在资金划拨、合同签署等关键环节，协助高管层进行及时的合规风险识别与管控。

（2）第二，建立可追溯的决策透明化机制。

对于兼任首席合规官的一把手，一项最基本的保护策略是确保所有决策都有迹可循。而当面临重大或存在风险的业务决策时，机构宜建立一套透明的报告与记录机制。当最终决策决定推进某项业务，应当清晰记录风险点的识别过程、风险评估及风控措施。直面潜在合规风险的透明化决策，将有助于进一步厘清责任边界，而通过客观的记录与完整的留痕，既能更好地保证金融机构在面对监管检查时有据可呈，也可以为管理者在复杂经营环境中的基于风险的决策筑牢一道必要的尽责履职防火墙。

合规治理的核心，尤其是在资源有限的约束下，始终在于能否建立一套有效的制衡与保护机制。而通过机制创新高效实现权力与责任的动态平衡，亦始终是金融机构保障稳健发展的一项关键必修课。

注释：