2024年8月16日，国家金融监督管理总局（以下简称“金融监管总局”）就《金融机构合规管理办法》公开征求意见（以下简称“《征求意见稿》”）。对于包括理财子公司在内的银行业金融机构而言，关于合规管理的监管要求并不陌生，早在2006年，银行业金融机构便已遵循当时银监会的监管要求以及巴塞尔委员会发布的合规文件中所确立的合规基本原则进行合规管理工作。此次《征求意见稿》不仅反映了金融监管总局监管分工的调整，还借鉴了2020年修订的《证券公司和证券投资基金管理公司合规管理办法》以及国务院国资委2022年发布并实施的《中央企业合规管理办法》等近期监管要求，同时切实回应了业界在实务中的反馈。本文拟结合《征求意见稿》现行文本体现的监管要求和趋势，具体分析理财子公司的应对之道。

对于合规管理，银行理财子公司目前主要应当参照原银监会制定的《商业银行合规风险管理指引》（2006年）（以下简称“《合规风险指引》（2006）”）执行[1]。然而在实务中，并非《合规风险指引》（2006）全部条款均可适用于理财子公司，且“参照执行”的具体执行标准并不清晰。此次《征求意见稿》适用范围明确列明了其适用于包括银行理财子公司在内的由金融监管总局监管的十六类金融机构，《征求意见稿》正式实施后，将为理财子公司的合规工作提供更为明确的实务指导。

虽然《征求意见稿》仍在公开征求意见阶段，但是其现行文本中体现要求相较于《合规风险指引》（2006）已经有了较大的调整。如果该文件可以在2025年3月1日起实施，则相关适用机构需在2026年3月1日前按照《征求意见稿》的要求调整完毕。因此各理财子公司有必要提前认真研读《征求意见稿》中的相关要求，对比实务操作，以提早做好合规准备。

（一）需要梳理公司治理相关文件、优化表述

关于合规管理的公司治理结构，主要体现在《征求意见稿》第八条至第十条，即公司的董事会、高级管理层以及各部门各分支机构对于合规管理分别承担有效性最终责任、领导责任以及首要责任。

此治理架构对于理财子公司而言并非全新概念，根据《理财子公司内部控制管理办法》（2022）规定，“理财子公司董事会对内部控制的有效性承担最终责任，......高级管理层负责具体执行”。实务中，理财子公司大多也已经建立了与监管要求一致的合规管理框架。笔者认为为执行《征求意见稿》要求之目的，理财子公司需要更多关注公司现有的相关公司治理文件，包括但不限于公司章程、董事会议事规则、专门委员会工作规则以及高级管理人员的职责等是否能够充分体现《征求意见稿》的相关要求。

1．公司章程中的董事会职权应列明董事会对合规管理的有效性承担最终责任

笔者观察到部分理财子公司章程中已经有类似表述，例如“董事会对于内部控制以及合规管理有效性承担最终责任”。值得探讨的是，如果章程中的表述为“董事会对于内部控制政策承担全面风险管理的最终责任”是否可以认为涵盖了“合规管理”内容？

根据《合规风险指引》（2006）第四条，“合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性”。而《银行保险机构公司治理准则》第九十八条以及《银行业金融机构全面风险管理指引》第十一条均规定“董事会承担全面风险管理的最终责任”[2]。如果理解为“合规风险作为全面风险管理的重要组成部分”，那么合规管理顺理成章的涵盖在董事会最终责任范围内。

虽然有观点主张为合规管理和合规风险管理本身就是一个主体的不同表述，但笔者认为此次《征求意见稿》整体立意系将合规风险管理调整为合规管理。金融机构的业务本质上可被视为是风险的管理，但是在金融机构具体运营以及监管的语境下，风险管理更多意味着针对风险的专业管理工作，而并非合规管理活动本身。因此，笔者认为如能在章程中增加“董事会对于合规管理有效性承担最终责任”会更为稳妥。

2．细化相关董事会下设委员会工作规则

《征求意见稿》首次提出了董事会下设合规委员会的概念，同时也允许合规管理职能由其他委员会承担（《征求意见稿》第八条第七款）[3]。实务中，即便是合规工作开始最早的商业银行，在董事会直接下设单独的合规委员会的情形也不多见，多由风险管理委员会进行统一管理。笔者理解在不违反“不兼容原则”前提下，董事会下设专门合规委员会并非强制性要求，各机构可以结合本机构特点予以考量。实务中应当更关注既有的委员会会议议事规则以及工作规则是否能够完全涵盖《征求意见稿》要求的内容。

根据《征求意见稿》第八条，董事会承担的合规管理职责设置主要体现为：部门的设定权；对于高级管理人员（包括首席合规官）聘任、解聘权以及审议批准具体合规制度；合规文化的建设和评估三部分。

对于理财子公司而言，设立合规管理部门和任命首席合规官并非首次面临的监管要求，早在2022年《理财公司内控指引》中就提出设立首席合规官岗位，对各部门以及高级管理人员的设置、聘任、解聘也均在董事会既有职权范围内。结合实务，笔者认为理财子公司应当更为关注董事会下设专门委员会工作规则中是否包括了如下具体内容：

（1）明确年度合规管理报告的审阅要求以及时间

《征求意见稿》第五十一条规定每年4月30日前向相关监管机构报送上一年度合规管理报告，此外，董事会与首席合规官对合规管理报告的真实性、准确性、完整性共同承担责任。因此，董事会相关工作规则应当保证董事会有充分时间审阅年度合规管理报告，至少在每年4月30日前完成此项工作。

（2）建立首席合规官与董事会的直接沟通机制

相较于《合规风险指引》（2006）第十一条中提及的“单独面谈和其他有效途径”，《征求意见稿》中的“直接沟通机制”要求首席合规官与董事会下设委员会的沟通更具有系统性和规范性。

可能有观点认为既然《理财子公司内部控制指引》第八条已经要求“首席合规官对董事会负责”，没有必要再在“直接沟通机制”上多下功夫。结合实务经验，笔者认为理财子公司不能忽视《征求意见稿》中“直接沟通机制”这一监管要求。“直接沟通机制”不仅体现在首席合规官的汇报路径上，关键要有制度保证首席合规官与董事会之间能够顺畅、全面的进行信息沟通，并保证这种沟通的稳定性和及时性。实务中，有些机构并未将合规相关议题纳入董事会会议的常规议程，合规总监（或合规负责人）与直接负责董事之间的沟通可能尚未实现制度化，或者缺乏完善和系统的记录保留制度。

（3）增加合规文化建设内容

虽然合规文化建设是合规管理体系每一项工作任务中的重要部分，但实务中经常面临的挑战是：由于机构在合规文化方面缺乏系统性的设计、管理、监测以及汇报机制，导致最终无法完整地展示企业的合规文化成果，也无法合理评估合规文化践行的效果。此次《征求意见稿》明确将合规文化建设的工作列为董事会的职责，建议董事会下辖委员会工作规程中应当明确增加合规文化建设这一职能。

实践中，合规文化建设以及管理由董事会下设哪一个委员会负责，需要结合公司实际情况考虑。笔者观察，银行业机构通常设立专门委员会负责企业文化管理职能，有的机构还将此职能扩展至消费者权益保护以及社会责任管理。同时，理财子公司还需要考虑建立全面风险管理文化以及廉政文化等，以满足监管要求。因此，如何在机构现有制度人员设置基础上，更有效利用公司现有资源推广合规文化建设，是每一家机构需要深思熟虑的问题。合规管理部门以及首席合规官应当向董事会争取为合规文化建设提供专项支持，不能简单将风险管理文化等同于合规文化，也不能认为合规文化建设体现在合规工作全流程而简单推论无需再进行进一步工作。

（4）优化高级管理人员的范围和职责

监管机构明确将首席合规官界定为金融机构重要的高级管理人员，并纳入任职资格管理（参见《征求意见稿》第十一条以及《理财公司内部控制管理办法》第九条）。因此，各机构需要按照《公司法》第二百六十五条要求，在公司章程中将首席合规官明确列为公司高级管理人员[3]。此外，《征求意见稿》第九条规定了高级管理人员的合规管理职责，亦建议金融机构视情况在公司章程高级管理人员职责条款中相应细化补充，尽量避免采用“推动合规文化建设”之类的模糊表述。

（二）需要增加或调整合规人员配置

此次《征求意见稿》将是首次在部门规章或正式规范性文件的层级上，要求针对合规管理工作建立三道防线，并对于合规部门职责、分支机构和业务部门合规岗位的设立做出明确规定。

实务中，从事合规管理工作的人员经常面对的问题是：一方面，凡是涉及“合规”二字，业务部门即认为该事项由合规部门全权负责，与业务部门无关；另一方面，合规管理部门与内部控制部门、风险管理部门以及法务部门职责不清，无法发挥合规应有的作用。理财子公司非常有必要按照《征求意见稿》审视现有合规人员配置以及责任设置，合理调整公司内部资源设置。这不仅关乎形式上的合规性，更重要的是在顺畅、合理的管理架构下，更好地发挥“合规”对公司运营和管理的支持作用。

1．设置符合要求的合规管理部门

在部门设置方面，《征求意见稿》在允许单独设置合规管理部门的同时，也允许在明确合规管理职责的牵头部门的前提下，设置多个职责不相冲突的部门共同承担合规管理职责。而在《合规风险指引》（2006）中，并没有牵头部门这一概念。实务中，无论是因历史原因或是合规管理部门资源受限原因，确实存在有些重要的合规职能由其他部门履行的情况，例如对于投诉以及举报的接收、处理以及跟踪等。《征求意见稿》对于“牵头部门”的规定有效地回应了实务中频繁出现的问题，即合规工作并非仅是合规管理部门的职责，但是合规管理部门是牵头负责部门。

因此理财子公司需要在明确合规管理部门必需的职能基础上，审阅现行部门设置，合理分配相关管理资源。需要提示的是，无论是单独设立合规管理部门以全权履行合规管理职能，抑或是将合规管理部门作为牵头部门，这些设置均应通过董事会审批[5]。

2．设置符合要求的合规岗位

（1）首席合规官

《征求意见稿》发布后，业界普遍关注的焦点之一便是首席合规官的设置。实际这一职位对于理财子公司而言并不陌生，早在2022年，《理财公司内部控制管理办法》便已明确要求，在高级管理层中设立首席合规官一职，并要求其直接向董事会负责。实务中已经有多家理财子公司任命了首席合规官。

需要注意的是，《合规风险指引》（2006）规定首席合规官由公司管理层任命，而此次《征求意见稿》与《理财公司内部控制管理办法》要求一致，明确要求由董事会聘任，因此，如果适用则需要在公司治理架构上进行相应的调整[6]。

此外，首席合规官不得管理可能与合规管理存在职能冲突的部门，《征求意见稿》第十三条对此明确规定，“首席合规官不得负责管理金融机构的前台业务、财务、资金运用、内部审计等可能与合规管理存在职责冲突的部门”。实务中，有些机构会让同一位负责人同时担任法务和合规部门的负责人，这种双重角色的安排并不违背职责冲突原则。然而，一旦该负责人开始履行首席合规官的职责，则其必须符合相关资质要求，并且需要通过监管任职资格核准。

（2）合规岗

此次《征求意见稿》第二十九条要求“在金融机构应当为合规管理部门以外的其他部门配备专职或者兼职从事合规工作的人员。鼓励并支持金融机构建立上述人员向同级合规管理部门负责的机制”。这一规定与《中央企业合规管理办法》（2022）中的规定一致，即“中央企业应当在业务及职能部门设置合规管理员，由业务骨干担任，接受合规管理部门业务指导和培训”。

《征求意见稿》对于合规岗设置的要求，从“业务及职能部门”拓展为“合规管理部门以外的部门”，充分反映了全面覆盖的基本原则。实务中，合规管理部门的工作，无论是合规事件数据收集、合规培训的推广还是合规风险的评估，都需要其他部门以及部门内的专门岗位支持，该岗位需要既了解合规要求也了解部门具体运作。虽然《征求意见稿》并未强制要求，但其鼓励和支持建立此类岗位并对同级合规管理部门负责的机制，这一明确的监管态度已经给予合规工作强有力的支持，合规管理部门已经争取建立相关机制。

3．聘用符合资质要求人员

对于首席合规官，《非银行金融机构行政许可事项实施办法》要求非银行金融机构合规总监（首席合规官）应具备本科以上学历，从事金融或法律工作6年以上。此次《征求意见稿》在本科学历基础上增加了全日制的要求，而且相关工作经验时间增加到了八年，分支机构合规官的候选人的工作经验为六年。如果理财子公司在《征求意见稿》生效后才聘任或任命首席合规官，应当按照最新要求选择人选。

除对于首席合规官以及合规官学历、工作经验的要求外，对于一般合规管理人员，《征求意见稿》第三十五条规定“合规管理部门应当主要由具有法律或者经济金融专业学历背景的人员组成。其中，初次从事对机构重要经营决策、规章制度、合同进行法律审核的人员，以及为机构改制重组、并购上市、产权转让、破产重整、和解及清算等重大事项提出法律意见的人员应当具有法律专业背景或者通过法律职业资格考试”。

笔者认为，要求合规管理人员具有法律或者经济金融专业学历背景是较为合理的要求，但是合规意见并不能替代法律意见，合规管理功能也不能完全替代法务功能，《征求意见稿》发布后，业界对此亦有诸多讨论。因此对于“初次从事对机构重要经营决策、规章制度、合同进行法律审核的人员，以及为机构改制重组、并购上市、产权转让、破产重整、和解及清算等重大事项提出法律意见”的合规人员设置以及资质要求需要观察正式稿最终的决定。

（三）建立或调整合规制度及流程以支持合规管理功能

此次《征求意见稿》扩大了“合规”及“合规风险管理”定义，《合规风险指引》（2006）中关于合规的定义仅强调经营活动需要与法律、规则和准则相一致，而《征求意见稿》首次将“员工行为”管理纳入合规定义范畴，同时将因员工履职行为违反合规规范而引发的风险事件纳入合规风险定义。

此外，《征求意见稿》从合规人员任职能力、岗位资源配置、双线汇报路径、知情权和调查权赋予、合规考核与问责等多个层面为合规工作开展提供了强而有力的履职保障，赋予首席合规官以及合规管理部诸多权利以支持功能的发挥。下文拟从首席合规官（合规官）以及合规管理部权利角度进一步分析，理财子公司应当建立或调整何种制度或者流程以切实履行《征求意见稿》的相关要求[7]。

1．细化知情权相关制度和流程

知情权是合规管理人员非常重要的权利，实务中合规管理部门以及合规负责人（或者首席合规官）经常需要解决的难题是如何在充分了解机构运营和员工行为实际状况的基础上，出具合规意见或者签署相关报告。《征求意见稿》在多个条款中保障了合规管理部门以及首席合规官的知情权。

（1）建立首席合规官与董事会的定期沟通机制

如前文所评述，“直接沟通机制”能够实现首席合规官与董事会顺畅、全面的信息沟通，并保证沟通的稳定性和及时性。只有首席合规官及时准确了解董事会最新的决策和考虑，才可以就公司重大经营决策和战略问题提供合规意见。

（2）建立主动报告以及举报机制

根据《征求意见稿》第二十三条，“无论是普通员工还是合规官、合规岗均需要及时向本级合规机构报告发现的发现本机构重大违法违规行为或者重大合规风险隐患”。同时《征求意见稿》第四十八条鼓励员工提出改进合规管理的意见和建议，建立顺畅的内部举报机制，公布举报电话、邮箱或者信箱。

实务中，单纯依靠政策鼓励报告或者举报是不足以取得实际成效的，需要建立详尽和细化的流程和制度以支持报告接收的及时性，特别是保障处理的保密性，此外，需要有制度来保证被报告或者举报的事项能够被及时记录、关注、解决和追踪。实务中，负责内部举报处理的部门可能非合规管理部门，例如监察部或内审部等，但无论是哪一个部门负责，从机构角度出发，同样要做到举报信息处理的及时性和保密性。

即使合规管理部门并非直接处理违规事项的执行部门或者举报的接收部门，但它仍需发挥牵头部门的作用，使得公司对于报告或者举报中查实的案例所涉及的业务、部门以及人员有充分了解，进而体现在合规检查、内部控制检查以及内审检查重点关注的领域。当然，出于保密考虑，实务中公司应根据实际情况，对共享的信息、时间以及信息传达的层级进行详细设计和规划。

（3）建立内审信息交流机制

根据《征求意见稿》第三十二条，“金融机构内部审计部门履行合规管理的第三道防线职责......并与合规管理部门建立有效的信息交流机制”。这一表述相较于《合规风险指引》（2006）“内部审计部门应随时将合规性审计结果告知合规负责人”的表述更为科学。实务中，有些机构通过建立内审和合规管理部门共享的信息平台实现此种信息交流机制，并在重大内审发现或者纪律惩处时，提前征求合规管理部门意见。

另外需要关注的是，按照《合规风险指引》（2006）第二十二条的规定，“商业银行合规管理职能应与内部审计职能分离，合规管理职能的履行情况应受到内部审计部门定期的独立评价”。这一规定系源于巴塞尔银行委员会《Compliance and the compliance function in banks》(April 2005) 中的内容，但是该文件中的“合规管理职能”（compliance management function）并不仅为合规管理部门承担（Not all compliance responsibilities are necessarily carried out by a "compliance department" or "compliance unit"）。而《合规风险指引》（2006）中定义的“合规管理部门”，是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位，且并未在其他条款处清晰规范合规管理部门是履行合规管理工作的牵头部门，其他部门也需履行部分合规职能。因此在实务中，有的机构的理解为“内审部门进行的合规风险审计就是审计合规管理部门的工作”。

此次《征求意见稿》表述更为准确和科学，即“审计部门应负责商业银行各项经营活动的合规性审计。内部审计方案应包括合规管理职能适当性和有效性的审计评价，内部审计的风险评估方法应包括对合规风险的评估”。合规管理职能并非仅由合规管理部承担，非合规管理部门也承担对应的合规管理职能。

（4）细化参加、列席会议以及查阅、复制有关文件、资料的权利

根据《征求意见稿》第三十八条“首席合规官及合规官有权根据履行职责需要，参加或者列席有关会议，查阅、复制有关文件、资料。董事会会议、经营决策会议等高级管理层重要会议的，应当提前通知首席合规官”。

笔者认为《征求意见稿》对于重要会议局限于“高级管理层重要会议”的措辞值得探讨，因为经营决策权通常由董事会行使。比照《证券公司和证券投资基金管理公司合规管理办法》第二十五条，将“会议”定义为“重要会议”，并未局限于高级管理层，“证券基金经营机构召开董事会会议、经营决策会议等重要会议以及合规负责人要求参加或者列席的会议的，应当提前通知合规负责人。合规负责人有权根据履职需要参加或列席有关会议，查阅、复制有关文件、资料”。

这一条规定看似简单，但是在实际落实时何种会议为重要会议以及何种会议首席合规官是参加还是列席，需要理财子公司结合公司实际仔细考量，因为虽然首席合规官为公司高级管理层一员，但其并非能够参加所有董事会以及重要的管理层会议。理财子公司需要按照最终文件要求，明确相关会议参加人员的范围。

（5）建立支持行使质询以及取证权的制度及流程

《征求意见稿》第三十九条规定“金融机构应当保障首席合规官及合规官、合规管理部门及人员履行职责所需的知情权和调查权。首席合规官、合规官根据履行职责需要，有权向有关内设部门或者下属各机构进行质询和取证，要求金融机构有关人员对相关事项作出说明，向外部审计、法律服务等中介机构了解情况”。可以看出，质询以及取证权是知情权的重要基础。

质询和取证权利的行使必须有具体的流程支持，通常体现在内部调查或者合规风险评估流程中。实务中，内部调查以及风险评估工作可能并非由合规管理部独立承担。如果由合规管理部主导调查与评估工作，则需要设计一套操作性强的流程，该流程一方面要保证合规管理部可以获得真实、准确的信息，另一方面也需要在行使相关权力时符合法律与合规性要求，例如被质询人基本权益保护、获取相关信息的保密性等。如果相关调查工作由监察部、内审部或者内部控制部主导，则需要建立内部合作机制，以保障合规管理部门或者合规官能够顺利获取所需信息的权利。

2．优化合规建议权的相关制度和流程

合规管理部门向所在机构提供合规建议是一项基本的合规职能。随着监管压力加大，合规管理部门在提供合规建议时，更加需要关注及时性和主动性。然而，如何在积极管理合规风险和避免事事都需合规同意的形式主义之间把握平衡，需要首席合规官以及其下辖合规管理部门制订科学的工作制度和流程。

（1）建立追踪法规发展流程并提供合规建议

《合规风险指引》（2006）第十八条第一款规定，“合规管理部门应在合规负责人的管理下协助高级管理层有效识别和管理商业银行所面临的合规风险，履行以下基本职责：持续关注法律、规则和准则的最新发展，正确理解法律、规则和准则的规定及其精神，准确把握法律、规则和准则对商业银行经营的影响，及时为高级管理层提供合规建议”。比较而言，《征求意见稿》第十七条规定的更为细致且更为合理，即“法律、行政法规、部门规章及规范性文件发生重大变动的，首席合规官应当及时建议董事会或者其他高级管理人员并组织督导有关部门，评估变动对合规管理的影响，提出修订、完善机构内部规范的建议，督促推动相关部门及时修订”。《征求意见稿》第四十条规定“首席合规官及合规官有权根据法律、行政法规、部门规章及规范性文件的变动及发展，对相关内设部门或者下属各机构提出修订完善制度、流程、系统的建议，并监督其及时落实；有权对可能存在的重大合规风险进行预警、提示，并督促相关责任主体强化管控措施”。

可见，《征求意见稿》对于追踪规范变动所应提供的合规关注的法规层级进行了区分。对于“法律、行政法规、部门规章及规范性文件发生重大变动”的，首席合规官应当及时建议董事会或者其他高级管理人员，具体的措施包括：组织督导有关部门，评估变动对合规管理的影响，提出修订、完善机构内部规范的建议[7]。对于“法律、行政法规、部门规章及规范性文件的变动及发展”的，首席合规官及合规官有权“对相关内设部门或者下属各机构提出修订完善制度、流程、系统的建议”。

所以，理财子公司首先需要判定哪些“法律、行政法规、部门规章及规范性文件”是与本机构业务相关的文件，不加甄别的法规追踪反而会浪费有限的合规资源，也不利于及时发现真正对于本机构有重大影响的法规变动。其次，理财子公司需要结合自身业务情况建立法规重要性评估体系，评估新规范对本机构的影响，进而确定是否是“重大变动”。

追踪法规发展，是一项看似简单，实则需要专业资源支持的工作。首席合规官不仅需要在合规管理部门内部调配专门人员负责，必要时还需要借助外部资源，例如定制法规数据库或者律师事务所提供的专项服务来更有效地完成相关工作。

（2）建立重要事项的合规审查制度

对于合规审查职责，《合规风险指引》（2006）第十一条规定“负责日常监督商业银行合规风险管理的董事会下设委员会应通过与合规负责人单独面谈和其他有效途径，了解合规政策的实施情况和存在的问题，及时向董事会或高级管理层提出相应的意见和建议，监督合规政策的有效实施”；第十八条规定为“合规管理部门……审核评价商业银行各项政策、程序和操作指南的合规性，组织、协调和督促各业务条线和内部控制部门对各项政策、程序和操作指南进行梳理和修订，确保各项政策、程序和操作指南符合法律、规则和准则的要求”。

可以看到，原有的规定最大的问题是无论是合规负责人还是合规管理部门，需要对于何种问题提供合规审查或者建议的范围并不明确。实务中，并非所有的政策、程序和操作指南均涉及合规风险，需要合规管理部门的审核。如果采取极端解读，要求所有政策、程序和操作指南均由合规管理部门审查后方可实施，对于合规管理部门的资源将构成极大挑战。而此次《征求意见稿》第十八条规定“首席合规官应当组织合规管理部门对金融机构发展战略、重要内部规范、新产品和新业务方案、重大决策事项进行合规审查，并出具书面合规审查意见”，合规审查的范围得到了合理的界定。

具体而言，对于新产品和新业务方案，实务中理财子公司通常需要向监管机构报备，即“国家金融监督管理总局及其派出机构、自律组织要求首席合规官对金融机构报送的申请材料或者报告进行合规审查的，首席合规官应当组织审查，并在该申请材料或者报告上签署合规审查意见。其他相关高级管理人员等，应当对申请材料或者报告中基本事实和业务数据的真实性、准确性及完整性负责”。所以新产品和新业务的范围要以监管要求或者沟通口径为准。

对于发展战略、重要内部规范以及重大决策事项的范围，需要理财子公司结合自身实际情况进行明确的界定，并通过内部正式文件进行确认。笔者认为对于被认定为国有企业的理财子公司（包括国有独资、国有控股形式），可以参考本机构落实《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》（2010）过程中对于“重大决策、重大项目以及大额资金运作”的定义和相关规定，并妥善将合规审批流程与既有决策管理流程结合。

3．建立行使报告权的制度和流程

合规管理部门负责报告的事项主要包括常规性合规情况报告以及重大违法违规行为或者风险事件的报告，既有向公司管理层及董事会的内部报告，也包括向外部监管机构的报告。报告权是合规部门发挥监督作用、协助所在机构以及监管及早发现问题的重要工具，如果没有操作性强的制度流程支持，合规部门的履职有效性会大打折扣。

（1）理顺内部报告制度、流程

在设计重大违法违规以及合规风险事件报告相关制度流程前，首先需确立的意识是“发现重大违法违规行为或者重大合规风险及时进行汇报，并非仅是合规人员的职责”。根据《征求意见稿》第九条第三款，金融机构的高级管理人员.......履行下列合规管理职责：发现重大违法违规行为或者重大合规风险及时报告、整改，督促落实责任追究。同时，《征求意见稿》第二十三条规定金融机构各部门、下属各机构及其员工发现本机构重大违法违规行为或者重大合规风险隐患时，应当及时主动向本级机构合规管理部门报告。设置合规官的分支机构，由合规管理部门及时向本级机构合规官报告。此外，《征求意见稿》第二十条同时规定，“首席合规官发现金融机构及其员工存在重大违法违规行为或者重大合规风险隐患的，应当及时向董事会、董事长报告，提出处理意见，并督促整改。首席合规官发现金融机构及其员工存在其他违法违规行为或者合规风险隐患的，应当按照机构内部合规管理程序，组织督促机构及时报告、处理和整改”。

综上，可以看到关于重大违法违规行为或者重大合规风险报告的主体包括全部员工、高级管理层以及下属分支机构的合规人员。合规管理部门同时需要设立相关制度以保证从基层员工到公司高级管理层提供的关于违法违规或者重大合规风险事件的信息能够及时准确地传递到公司高级管理层或者董事会。

此外，《征求意见稿》第十八条规定“首席合规官的合规审查意见未被采纳的，金融机构应当将有关事项提交董事会（不设董事会的提交执行董事）审定”。

（2）更新向监管机构报告的制度

向监管机构报告，首先是定期报告义务，《征求意见稿》中主要是指《年度合规管理报告》，该报告需要在每年4月30日前向金融监管机构报送，“董事会和首席合规官应对报告的真实性、准确性、完整性负责”。

需要注意的是，《合规风险指引》（2006）第二十六条规定，“商业银行应及时将合规政策、合规管理程序和合规指南等内部制度向银监会备案。商业银行应及时向银监会报送合规风险管理计划和合规风险评估报告”。笔者理解，新规实施之后，机构年度提交报告的内容不再是合规风险管理计划和合规风险评估报告，而是年度合规管理报告。《合规风险指引》（2006）第十四条对于合规风险评估报告应当包括的内容进行了规定：包括但不限于报告期合规风险状况的变化情况、已识别的违规事件和合规缺陷、已采取的或建议采取的纠正措施等，但是《征求意见稿》并未单独列明《年度合规管理报告》必须包括的内容。笔者认为，依据《征求意见稿》第二十五条第三款，合规管理部门职责为“牵头组织实施合规审查、合规检查、评估评价、合规风险监测与合规事件处理，推进合规规范得到严格执行，撰写年度合规管理报告”，因此报告中至少应当包括上一年度“合规审查、合规检查、评估评价、合规风险监测与合规事件处理”。当然实务中，需要关注《征求意见稿》的最终规定以及监管机构届时的具体要求。

除定期报告外，向监管报告的另一种情形是临时报告。主要包括：未采纳首席合规官的合规审查意见，涉及重大事项时，应及时向监管机构报告（《征求意见稿》第十八条），以及“金融机构存在重大违法违规行为或者重大合规风险隐患的，应当及时向金融监管总局或者其派出机构报告。首席合规官发现机构未按要求报告的，应当督促机构及时报告。机构不报告的，首席合规官应当以个人名义，直接向金融监管总局或者其派出机构报告”（《征求意见稿》第二十条）。

首席合规官单独向监管报告的权利赋予首席合规官极大的支持，同时这也是首席合规官必须履行的重要职责义务，是否严格执行对于证明首席合规官适当履职也具有关键作用。《征求意见稿》第五十九条明确规定，“对于金融机构的违法违规行为，首席合规官或者合规官、合规管理部门、合规管理人员已经按照本办法的规定尽职履责的，不予追究责任”。

笔者认为在履行向监管报告义务中，最重要的是规范定义“重大违法违规行为或者重大合规风险隐患”事件。明确了报告事项的范围，方能进一步明确该事项是否应当向监管报告，以及是否遵循了既有报告流程，进而首席合规官方可督促机构进行报告并进一步行使以个人名义直接报告的权利。

《征求意见稿》对于“重大违法违规或者重大合规风险隐患”的定义为“较大数额的罚款或者没收较大数额的违法所得；造成或者可能造成机构重大财产损失、重大声誉损失的合规风险事件、法律纠纷案件、涉刑案件、被国际组织制裁等合规风险事件等”。而且《征求意见稿》开创性的定义了“较大数额”与“重大财产损失”，“较大数额的罚款或者没收较大数额的违法所得标准，按照国家金融监督管理总局有关行政处罚规定执行。所称重大财产损失标准，是指预计损失超过上年度末资本净额5%以上；或者损失金额超过上年度末资本净额1%以上”。

但是上述定义仍是指导性定义，理财子公司仍需要结合本机构业务实际制定内部细化标准以及此类事件正常的报告流程。确定内部细化标准除需要考虑《中华人民共和国银行业监督管理法》《中国银保监会行政处罚办法》《行政处罚裁量权实施办法》等基本法规要求外，还需要考虑银行业协会关于员工行为违规信息报送要求。此外，《银行保险机构涉刑案件管理办法（试行）》关于案件的报送要求、《银行业保险业突发事件信息报告办法》（2019）进行突发事件的报告要求以及《中国人民银行关于进一步加强银行业金融机构重大事项报告工作的通知（银发〔2014〕293号）》中关于重大事项的报告要求，均需予以参照相关适用部分。另外，若母公司为上市公司，理财子公司亦需确保其细则与母公司重大事项报告制度保持一致。相关细化标准确定后，理财子公司应当向金融监管总局或者其派出机构报备。

4．理顺行使考核、处理和问责建议权的流程

《征求意见稿》第四十五条规定“金融机构应当建立合规工作考核制度，将内设部门、下属各机构合规管理质效纳入考核，并将合规管理情况纳入对下属各机构负责人的年度综合考核。鼓励金融机构建立合规考核垂直管理机制。金融机构应当强化考核结果运用，将合规职责履行情况作为对内设部门、下属各机构、员工考核、人员任用及评优评先等工作的重要依据”。

相较于《合规风险指引》（2006）第十五条“商业银行应建立对管理人员合规绩效的考核制度”，《征求意见稿》将合规考核人员的范围明确为全员考核，并鼓励建立垂直管理机制。与最后一款“加强考核结果运用”要求相呼应，《征求意见稿》第二十三条第二款规定“如果首席合规官或者合规官发现各部门、下属各机构对重大违法违规行为或者重大合规风险隐患存在瞒报、漏报情形的，应当在机构内部的合规考核中，对责任机构和相关负责人实施‘一票否决’，不得评优评先等，并及时推动采取内部问责措施”。

处理和问责建议权主要针对出现重大违法违规行为或者重大合规风险隐患涉及的主体。根据《征求意见稿》第四十一条，“合规官享有建议问责权，有权对重大违法违规行为或者重大合规风险隐患涉及的主体提出处理和问责建议，包括薪酬扣减、岗位调整、降级等，并有权督促及时落实问题整改”。对比《合规风险指引》（2006）第十六条，“应建立有效的合规问责制度，严格对违规行为的责任认定与追究，并采取有效的纠正措施，及时改进经营管理流程，适时修订相关政策、程序和操作指南”，《征求意见稿》显著细化了合规管理建议问责权行使的条件以及权限范围。

合规考核制度和问责制度对于理财子公司而言并不鲜见，但是实务中合规考核指标多为风险考核或整体考核指标中的一部分，合规部门一般并非问责流程主导部门。因此，《征求意见稿》实施后，首席合规官以及合规管理部门需要协调既有流程的主导部门，以体现最新的监管要求。当然，如果合规部门有足够的资源支持，亦可建立合规考核的“垂直管理体系”。

5．教育培训、咨询权

向机构内员工进行合规教育培训并提供相应咨询，是合规履职的重要内容。《合规风险指引》（2006）第十八条第四款规定，“协助相关培训和教育部门对员工进行合规培训，包括新员工的合规培训，以及所有员工的定期合规培训，并成为员工咨询有关合规问题的内部联络部门”。可以看到，在《合规风险指引》（2006）中，合规管理部门是“协助”部门，而且是员工咨询有关合规问题的“内部联络部门”。而《征求意见稿》第二十五条规定“合规管理部门应当履行的职责包括：组织培育合规文化，开展合规培训，组织刑事犯罪预防教育，向员工提供合规咨询，推动全体员工遵守行为合规准则”。同时《征求意见稿》第四十九条规定“ 金融机构应当建立合规培训机制，制定年度合规培训计划，加大对机构员工的培训力度，将合规管理作为董事、高级管理人员初任、重点合规风险岗位人员业务培训、新员工入职必修内容，进一步提升员工合规意识。”

可见，合规管理部门的合规培训权得到进一步强化。首先，合规部门的教育培训权不再限于“协助”，更为独立；其次，对于教育培训内容有了新的增加，即“刑事犯罪预防教育”；此外，在培训覆盖范围上强调了对于董事、高级管理人员初任以及重点合规风险岗位人员以及新职工入职培训。因此，合规管理部门需要建立本部门负责的培训教育机制，明确现行培训内容、覆盖人群以及培训时间、频率均与法规要求保持一致。

6．检查、评估以及调查权

对于业务部门合规情况进行检查、评估，是合规管理部门发挥积极合规作用的重要工具。《征求意见稿》首次正式将“检查、评估”列为合规管理部门正式职责（《征求意见稿》第十六条第二款以及第二十五条第三款）。

此外，根据《征求意见稿》第二十二条，“首席合规官及合规官应当及时组织处理国家金融监督管理总局及其派出机构要求调查的合规管理事项”，并关注监管机构“检查和调查，跟踪、督促、评估监管意见和监管要求的落实情况”。

除上述条款外，《征求意见稿》并未进一步详细规范如何进行合规检查与评估。实务中，理财子公司一道至三道防线均在进行检查与评估，如何能够在实现对风险全面覆盖的同时避免重复检查造成资源浪费，需要公司结合自身情况整体考虑。而且，即便在二道防线，根据《理财公司内部控制管理办法》（2022）第九条规定，“……内部控制职能部门，牵头内部控制体系的统筹规划、组织落实、检查评估和督促整改”，内部控制部门与合规管理部门进行的检查与评估如何进行配合亦需要详细设计。理财子公司内部控制部门原则上由首席合规官分管，且在实务中，合规管理部门与内部控制部门可能亦为同一个部门。为内部控制目的的检查与评估和合规检查与评估二者之间是替代、包容还是分立的关系，现行法规层面并不存在直接答案。

笔者并不在此讨论理论上合规与内部控制的一致以及区别之处，仅从两者主要的实施工具角度探讨如何更为有效地进行检查和评估。合规更多关注以不同合规风险为主题的状态评估，例如“违反客户适当性要求的销售”是高风险还是低风险状态，而内部控制更多通过流程、控制节点的遵循情况判断机构控制的状态[8]。相较于一般企业，理财子公司作为金融机构的特殊之处在于，其内部流程以及操作细节的违规行为往往意味着违反了外部监管机构的要求。因此，借助已经建立的内部控制体系，尽可能将检查、评估要点与对应的合规风险主题相匹配，实现公司资源的最大化利用是理财子公司可以考虑的方法之一，这样可以避免多次向业务部门重复抽样、调取资料以及评估。当然对于合规风险高低以及可能性的评估仍需要合规管理团队专人处理，此外，在面临监管机构要求的专题调查或者新的合规风险主题时，仍需要合规管理部门牵头负责。

（一）如何与既有风险管理监管要求协调一致

如前文所述，笔者认为此次修订最为关键的是将原来以“合规风险管理”为基本规范对象调整为以“合规管理”为基本规范对象。《合规风险指引》（2006）中原有关于风险管理的核心表述，例如第四条“合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性”以及第五条“商业银行合规风险管理的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营”都没有保留在《征求意见稿》中。

虽然有观点认为金融机构的业务进展本身就是风险管理的过程，但是笔者认为这一调整与实务更为一致，实务中风险管理更多专注于专业管理工作，例如风险的发现（包括检查）、计量、监测和整改。

也正因如此，笔者认为，《征求意见稿》亟须对“合规风险监测”进行细化，并且需要明确如何与现行风险管理的规定相结合。《银行业金融机构全面风险管理指引》以及《银行保险机构操作风险管理办法》并没有明确规定合规风险属于哪一类风险，尽管业界的主流观点认为合规风险属于操作风险的一类，但若能在法规层面予以明确的指引，将能更有效地解决实务中诸多纷扰。笔者认为，《征求意见稿》第二十五条第三款中规定的对合规管理部门牵头组织实施合规审查、合规检查、评估评价、合规风险监测若能参照《银行保险机构操作风险管理办法》中关于风险发现、计量、监测和整改的要求，则相关执行会更为准确、有效。

（二）首席合规官及合规官兼任问题

根据《征求意见稿》第十二条，“首席合规官、合规官，也可以由金融机构负责人、省级（计划单列市）分支机构或者一级分支机构负责人兼任”。笔者认为首席合规官及合规官的核心职责在于对业务运营进行制衡和监督，相应地，其对于机构的业务检查、独立报告、独立考核均有对应权利以保证其职责的履行。而行长（总经理）作为业务经营的代表，有可能会滥用相关监督制衡权力，混淆一道、二道防线的基本功能设置。考虑到大型商业银行分支机构众多，无法一次性补充如此多的合规官，正式文件可以针对不同的机构类型分别设定合规官配备标准。笔者认为对于理财公司而言，由于其机构规模普遍有限，仍应当坚持单独设立首席合规官的要求。

如开篇所述，《征求意见稿》相较《合规风险指引》（2006）有了大幅的调整，回应了很多实务的反馈，给予合规管理工作更为清晰合理的指导。例如，基本概念表述更为科学，《合规风险指引》（2006）第二十条规定“商业银行各业务条线和分支机构的负责人应对本条线和本机构经营活动的合规性负首要责任”，而《征求意见稿》第十条表述为“ 金融机构各部门主要负责人，各分支机构和纳入并表管理的各层级金融子公司（以下统称下属各机构）主要负责人负责落实本部门、本级机构的合规管理目标，对本部门、本级机构合规管理承担首要责任”。首要责任不再是针对“合规性”而是“合规管理”，新的表述对于业务条线和合规负责人的责任表述更为准确。此外，《征求意见稿》删除了《合规风险指引》（2006）第二十六条“及时将合规政策、合规管理程序和合规指南等内部制度向银监会备案”的要求，大幅减轻了实务中的工作负担。

虽然《征求意见稿》尚存诸多细节待进一步明确，但通过本文分析，监管对于合规管理工作要求的提升以及加强资源支持的趋势一目了然。建议理财子公司密切关注该法规的进展，并且尽早熟悉相关要求，做好履行准备。