2024年8月16日，国家金融监督管理总局(以下简称“金管局”)发布了《金融机构合规管理办法(征求意见稿)》(以下简称《办法》)，紧扣二十届三中全会“完善金融监管体系”主旋律，旨在提升金融机构依法合规经营水平，培育中国特色金融文化。《办法》共五章六十五条，分别从合规管理定义、合规管理职责、合规管理保障、监督管理与法律责任方面提出了明确的管理要求。

新规解读

　　(一)统一监管下首次明确合规管理定义

　　《办法》是继2006年原银监会发布的《商业银行合规风险管理指引》及2007年原保监会发布的《保险公司合规管理指引》后，首次以统一监管的模式在政策层面对金融(银行保险业)合规进行了明确，同时对合规的定义进一步加以明确，使其更适用于当前的金融管理需求：

　　合规及合规风险管理定义扩大：原指引中关于合规的定义仅强调经营活动需要与法律、规则和准则相一致，而《办法》首次将员工行为管理纳入合规定义范畴，将因员工履职行为违反合规规范而引发的风险事件纳入合规风险定义，再次突显了监管对于金融机构员工行为管理的双重关注。

　　遵循规范的范围统一：原指引关于“合规”中“规”的定义融合了银行和保险各自合规风险管理指引里的要求，其中相较于《商业银行合规风险管理指引》增加了“金融机构内部规范”，说明操作符合内规要求，也被视为合规管理中的重要一环，内外规管理对于金融机构管理的难度和重要性再次被提升。

　　合规风险定义细化：与《商业银行合规风险管理指引》中关于“合规风险”的定义相比，新规从“经营管理行为”和“员工履职行为”两个角度进行定义，强调了经营侧和员工侧双向的合规管理要求。金融机构开展合规管理，应对合规风险，不仅要关注“业务合规”，还要关注“行为合规”，双管齐下。

　　合规管理体系遵循原则扩大

　　相较于2022年国务院国有资产监督管理委员会(以下简称“国资委”)发布的《中央企业合规管理办法》以及原银监会和保监会发布的合规风险管理指引，本次合规管理办法对合规管理体系应遵守的原则进行了细化和补充：

　　体系一致性：本《办法》中应遵循的原则基本参照了《中央企业合规管理办法》，体现了从央企到金融机构合规管理的一致性，整体法规中关于合规风险管理的方法论在国家层面基本一致。

　　突出独立性：相对央企的合规管理要求，独立权威是本次新规中新增的管理原则，强调合规管理工作需要充分的独立性，同时在“合规管理保障”的章节中，从汇报、解聘、考核多个角度提出了如何保护合规部门及合规官独立性的方法。尤其是考核管理中，首次提出了对于合规部门的考核，不得采取“非分管合规管理部门的高级管理人员评价、其他部门评价、以业务部门的经营业绩为依据等不利于合规独立性的考核方式”，而此类考核模式确实存在于部分金融机构，其变体模式常见为“满意度调查”、“服务分”等，一定程度上对合规部门的独立性产生不利影响。

　　提出数字化要求：本次合规管理办法中特别指出了金融机构需要“充分运用数字化、智能化等手段，不断提升合规管理效能”，结合“五篇大文章”中针对科技金融和数字金融的要求，以及业务不断复杂化、创新化的背景下，当前行业已经意识到仅靠传统人工的管理手段，已经难以满足“务实高效”、“过程管控”的要求，合规管理的信息化也势必需要纳入金融机构未来的合规战略规划中。

　　合规职能与理念更加清晰

　　明确合规官职责：合规官机制是本次合规管理办法中的一个较大的新变化，要求各金融机构需要“在机构总部设立首席合规官”，“在所设省级(计划单列市)分支机构或者一级分支机构设立合规官”，并提出了金融机构需要充分保障合规官履行合规监督等履职的能力。

　　同时，首席合规官的具体职责在高级管理人员职能的基础上进一步细化，具体包括：

　　合规管理职能进一步明确：本次合规管理办法中，较详细地规定了高管及合规部门具体的管理职责，除了传统的识别合规风险、追究合规责任以外，还包括“合规管理制度建设、合规审查、合规自查与检查、合规风险监测与管控、合规事件处理”等具体合规事项。

　　明确了合规并非单一部门的工作：合规管理办法中明确规定了金融机构各部门主要负责人“负责落实本部门、本级机构的合规管理目标，对本部门、本级机构合规管理承担首要责任”，即各部门负责人分别对本部门的业务合规负责，首席合规官及合规官仅承担“修订完善制度、流程、系统的建议”职能或“重大合规风险进行预警、提示，并督促相关责任主体强化管控措施”的职能。

　　加大违规处罚原则

　　本次合规管理办法中，补充了金融机构及其高管、工作人员违反该办法将面临的相关罚则，从罚则角度来看，办法中加强了对董事、包括合规官在内的高管层在面临违法违规时的处罚程度，其中包括“未能勤勉尽责，致使金融机构发生重大违法违规行为或者重大合规风险”，即处罚范围不仅仅包括主动违规，也包括对未能履职而导致的违规结果的责任承担。

　　(二)明确合规管理架构

　　一是强化顶层设计，明确董事会及高级管理人员职责

　　《办法》明确强调金融机构董事会(含不设董事会的执行董事)对合规管理的有效性承担最终责任，履行包含审议或审定合规管理基本制度、合规管理报告、部门设置、高级管理人员聘任等合规管理职责;高级管理人员负责落实合规管理目标，对主管或者分管领域业务合规性承担领导责任，负责落实合规管理制度建设、合规审查、合规自查与检查、合规风险监测与管控、合规事件处理等工作，再次呼应“合规从高层做起”的监管理念。

　　二是强调首席合规官及合规官设置，提出任职与履职要求

　　对标证券基金经营机构以及原保险公司设立合规负责人的管理机制，《办法》明确要求首席合规官是高级管理人员，接受机构董事长和行长(总经理)直接领导，向董事会负责;在所设省级(计划单列市)分支机构或者一级分支机构设立合规官，合规官是本级机构高级管理人员，接受本级机构主要负责人直接领导。

　　同时，《办法》还分别从专业知识和技能、独立性角度对首席合规官及合规官的任职资格提出要求，强调合规管理人员应具备金融与法律的复合专业背景。此外，《办法》从职能范围、审查权限、报告权限维度对合规官的尽职履责提出来了更为细化的要求，进一步扫除了落地难、问责难的痛点。

　　三是提出合规管理三道防线框架，压实合规管理相关部门职责分工

　　延续金融机构三道防线管理体系，《办法》创新性提出合规管理的三道防线框架，明确金融机构的各业务及职能部门、下属各机构履行合规管理的第一道防线职责，承担合规的主体责任;合规管理部门履行合规管理的第二道防线职责，承担合规的管理责任;内部审计部门履行合规管理的第三道防线职责，承担合规的监督责任，权责清晰，以形成合规管理合力。

　　(三)合规管理保障强而有力

　　为贯彻“独立权威”的管理原则，《办法》从人员胜任能力、岗位资源配置、双线汇报路径、知情权和调查权赋予、薪酬管理机制、合规考核与问责等层面为合规工作开展提供了强而有力的履职保障。尤其在考核管理中，首次提出了对于合规部门的考核“双不得，双不挂钩”机制，即：不得采取非分管合规管理部门的高级管理人员评价、其他部门评价、以业务部门的经营业绩为依据等不利于合规独立性的考核方式;不得将需要各部门合力完成的合规工作单独作为合规管理部门的考核指标，有助于合规管理人员客观、独立开展合规检查与评价。

普华永道解决方案

　　针对监管在合规管理中的信息化要求，普华永道已针对各项合规管理工作研发了相关数智化解决手段，主要包括以下几种工具。

　　1、制度建设——外规内化数字化工具

　　基于当前合规管理“全面覆盖”的要求，合规需要覆盖全流程、各领域、各环节，而当前对于金融机构来说，大量的内外规管理，包括制度的“立改废”工作，都已远远超过人工可以及时完成的程度，普华永道针对机构制度管理的痛点，开发了一套制度管理体系，将有效帮助机构实现快速的制度查询和更新工作。

　　建立制度标签体系，实现内规与外规的有效关联，以实现：

　　制度查询更精准：通过制度标签精准关联管理、业务内容，避免线下人工关键词搜索方式导致的信息庞杂、无法定位等问题;

　　立规更联动：在制定新规时，可有效参考对应标签下最新的外部监管要求、内部管理要求，实现内外规的联动匹配与考虑;

　　修订更统一：在对存量制度进行修订与调整时，综合考量内外规管理要求，避免制度冗余、制度冲突;

　　废除更迅速：通过制度视图、制度标签等及时识别失效内规。

　　制度标签图谱示例

　　2、合规咨询或审查——AI功能运用于合规管理

　　随着AI技术的成熟，普华永道也已尝试将大模型功能运用在合规管理领域，其中包括合规咨询及合规审查领域。

　　依托部门合规知识库及作业经验，建立“1”套合规领域原子化的知识库，运用大模型调用和训练为集团合规认知大脑，再通过AI应用赋能“N”类合规作业场景，以实现通过自动化承担更多合规执行任务：

　　合规咨询示例

　　合规审查示例

　　感知AI：通过软件系统或智能硬件，对内外部合规信息进行数字化感知，实现内外部信息导入;

　　认知AI：利用认知AI技术以及计算机的强大算力构建合规信息认知的算法模型，输出认知结果，如合规判定、内容生成、任务推送等;

　　执行AI：通过软件交互或硬件指令模拟或扩展人的执行活动，如合规审查报告。

　　3、合规监测——内化监管检查点，形成实时监测指标

　　基于监管处罚案例以及合规风险事件，普华永道尝试将上述信息提炼出有效信息并转化为合规监测规则，分模块形成了不同合规管理体系的监测工具，比如反洗钱监测工具、案件防控监测工具等，以帮助金融机构在日常实时发现自身的合规风险。

　　以反洗钱为例的合规监测工具示例

　　4、员工行为管理——打造“线下网格化，线上智能化”管理生态圈

　　《办法》将员工行为管理首次与机构经营管理行为拉齐，共同纳入合规管理范畴，普华永道结合多年的研究洞察和管理实践，曾提出打造员工行为管理“双循环”生态的解决方案，即：构建以网格为载体，依托风险监测模型引擎，实现智能违规风险线索推送、核实、处置的闭环管理，并辅以“三张清单”压实各级履职要求，最终沉淀风险信息勾勒员工画像，打造“管理有架构、风险有预警、排查有手段、履职有手册、员工有画像”的良好生态循环。