陈立彤等:金融机构为什么要贯标ISO 37301合规管理体系标准

发布时间: 2025.03.11

 

 

合规管理是金融领域深入贯彻习近平法治思想、落实全面依法治国战略部署的必然要求,是金融机构稳健经营、高质量发展的关键要素,是健全公司治理结构、提高防范化解重大风险能力的迫切需要。2025年3月1日,《金融机构合规管理办法》(国家金融监督管理总局令2024年第7号,以下简称“《办法》”)正式生效,并设置了一年过渡期(2025.3.1-2026.2.28),金融机构需根据自身实际,按照《办法》要求,尽快完善自身的合规管理体系要素并强化落地运行。

 

 

国家领导和国家文件关于企业合规的相关论述
 

 

习近平总书记围绕“合规是高质量发展的基石”这一主线,多次在重要场合强调企业合规特别是金融机构合规经营的重要性。2025年2月17日,习总书记出席民营企业座谈会时指出,“广大民营企业和民营企业家要守法善经营,规范股东行为、强化内部监督、健全风险防范机制[1]

2024年7月18日,中国共产党第二十届中央委员会第三次全体会议通过《中共中央关于进一步全面深化改革推进中国式现代化的决定》,明确提出“支持引导民营企业完善治理结构和管理制度,加强企业合规建设和廉洁风险防控[2]

2024年1月16日,习近平总书记在省部级主要领导干部推动金融高质量发展专题研讨班开班式上发表重要讲话,强调“推动金融高质量发展、建设金融强国,要坚持法治和德治相结合,积极培育中国特色金融文化,做到:诚实守信,不逾越底线;以义取利,不唯利是图;稳健审慎,不急功近利;守正创新,不脱实向虚;依法合规,不胡作非为[3]

2023年11月27日,习近平总书记在中共中央政治局第十次集体学习时强调,“涉外法治工作是一项涉及面广、联动性强的系统工程,必须统筹国内和国际,统筹发展和安全,坚持前瞻性思考、全局性谋划、战略性布局、整体性推进,加强顶层设计,一体推进涉外立法、执法、司法、守法和法律服务,形成涉外法治工作大协同格局。……要强化合规意识,引导我国公民、企业在‘走出去’过程中自觉遵守当地法律法规和风俗习惯,运用法治和规则维护自身合法权益[4]

2023年7月14日,中共中央、国务院发布《关于促进民营经济发展壮大的意见》,明确提出“引导民营企业通过自身改革发展、合规经营、转型升级不断提升发展质量,促进民营经济做大做优做强”[5]

2023年4月21日,习近平总书记主持召开二十届中央全面深化改革委员会第一次会议时的讲话指出,“引导民营企业在高质量发展中找准定位,通过企业自身改革发展、合规经营、转型升级,不断提升发展质量[6]

2023年3月6日,习近平总书记看望参加全国政协十四届一次会议的民建、工商联界委员时的讲话指出,“民营企业和民营企业家要筑牢依法合规经营底线,弘扬优秀企业家精神,做爱国敬业、守法经营、创业创新、回报社会的典范。要继承和弘扬中华民族传统美德,积极参与和兴办社会公益慈善事业,做到富而有责、富而有义、富而有爱”[7]

2019年12月4日,中共中央、国务院发布《关于营造更好发展环境支持民营企业改革发展的意见》,提出“加强法治保障,依法保护民营企业和企业家的合法权益,推动民营企业筑牢守法合规经营底线。推动民营企业守法合规经营。民营企业要筑牢守法合规经营底线,依法经营、依法治企、依法维权,认真履行环境保护、安全生产、职工权益保障等责任。民营企业走出去要遵法守法、合规经营,塑造良好形象[8]

2018年8月27日,习近平总书记在推进“一带一路”建设工作5周年座谈会上的讲话指出,“要规范企业投资经营行为,合法合规经营,注意保护环境,履行社会责任,成为共建‘一带一路’的形象大使”[9]

2017年5月23日,习近平总书记主持召开中央全面深化改革领导小组第三十五次会议,会议提出加强企业海外经营行为合规制度建设,逐步形成权责明确、放管结合、规范有序、风险控制有力的监管体制机制,更好服务对外开放大局[10]

……

早在2006年10月,银监会(已撤销)就发布了《商业银行合规风险管理指引》(已废止),开启了中国企业行业合规的先河,对商业银行合规绩效考核制度、合规问责制度和诚信举报制度等都提出了要求;2007年9月,保监会(已撤销)紧随其后,发布了《保险公司合规管理指引》(已废止)。经过十多年的发展,这两项制度已经不能有效适应新形势下金融机构合规管理的各项要求。国家金融监管总局在总结过往制度实践的基础上,制定了《办法》,并借鉴了《中央企业合规管理办法》的结构和概念,建立了“分级管理、逐级负责”的合规管理组织架构,并着重明确了首席合规官和业务部门的合规管理职责。

 

金融机构为什么要系统开展合规管理体系建设?
 

 

  • 打造金融合规“金色盾牌”——提高合规风险防范能力、区分单位和个人责任、实现少被罚、不被抓

  • 提升金融机构合规“生产力”——整合管理要素、应对强监管、强问责,及时捕捉监管政策的变化信号

  • 强化危机管理与风险应对——防范化解重大金融风险(包括选择性执法风险)、提升案件防控水平

  • 重塑健康的经营理念和合规文化——稳健经营

  • 打造合规管理三道防线,加强合规部门的管理力量——全员参与,明确责任

  • 合规管理制度优化升级——制度先行、减少无心之过

中国人民银行、证监会、金融管理局等监管机构的基本监管思路就是“强监管、防风险、促回归”。无论是来自监管机构的巨额监管处罚(比如在著名的“侨兴债”事件中,银保监会对涉案银行单笔罚没金额7.22亿,对涉案的13家出资机构罚没13.41亿),亦或纪检监察的金融反腐,还是司法机关对金融机构高管及员工涉嫌刑事犯罪的严厉查处,无不体现出金融机构面临的严厉处罚常态。

以银行业合规为例,笔者曾对2023年上半年度国家金融监督管理总局对农商行进行行政处罚的案例进行了系统检索和分析,公开披露的违规案例高达170余起,主要违规事由分类如下:

面对上述种种违规乱象,不得不引起我们的深思:金融机构的违规行为为什么总有发生?金融机构合规风险产生的主要原因是什么?如何管理金融机构的合规风险?

对此,我们提出的解决路径是:系统性进行合规管理体系建设。在对风险已有管理的基础上,进行系统性的改进提升,突出对可能引发单位责任以及管理层个人责任的违规行为的防范,从法理上解决机构的治理层和执行层应知不知合规底线以及如何建立有效管控手段的问题,进而切实提高机构管控合规风险的能力,防范重大恶性合规风险事件的发生。同时,为机构建立容错免责机制奠定基础。

 
(一)建立良好合规形象,打造合规“金色盾牌”

良好的合规管理体系,可以帮助金融机构管控风险,降低其所面临的风险敞口。虽然合规管理体系建设不能杜绝一切违规事件的发生,但是能够降低不合规发生的可能性。合规工作做得好,能够让金融机构少被罚,不被抓,在很多国家或地区,当发生不合规时,以已经建立并实施了有效的合规管理体系作为减轻、甚至豁免行政、刑事或者民事责任的抗辩,这种抗辩有可能被行政执法机关或司法机关所接受,为金融机构打造合规的金色盾牌:

1. 中国法下的合规红利

《金融机构合规管理办法》第五十四条规定:“金融机构通过有效的合规管理,主动发现违法违规行为或者合规风险隐患,积极妥善处理,落实责任追究,完善内部控制制度和业务流程,符合法定情形的,国家金融监督管理总局及其派出机构依法可以从轻、减轻处理;情节轻微并及时纠正违法违规行为,没有造成危害后果的,或者仅违反金融机构内部规定的,不予追究责任。对于金融机构的违法违规行为,首席合规官或者合规官、合规管理部门、合规管理人员已经按照本办法的规定尽职履责的,不予追究责任。”如何能够“主动”发现风险,如何能够证明自己“尽职履责”?显然碎片化的合规管理无法达到这样的效果,因此我们建议金融机构通过对标ISO 37301,进行体系化的合规管理建设。

《反不正当竞争法》第七条第三款规定:“经营者的工作人员进行贿赂的,应当认定为经营者的行为。但是,经营者有证据证明该工作人员的行为与为经营者谋取交易机会或者竞争优势无关的除外。”该规定可以理解为是一种合规红利,即如果经营者有证据证明是个人行为而没有帮助单位争取到经营机会,此时不再被认定为经营者行为。换言之,经营者如果建立了合规管理体系,防控相关风险的发生,在这部法律下,经营者是可以去争取合规红利的。

《行政处罚法(2021年修订)》第三十三条规定:“当事人有证据足以证明没有主观过错的,不予行政处罚。”这一条对于合规管理来说意义非常重大,可以说是《行政处罚法》继《反不正当竞争法》第7条之后给合规管理带来了新的合规红利。囿于本条的第一款,这个合规红利也许只局限于“违法行为轻微且及时改正的”,但毕竟第一次在《行政处罚法》这样高阶位的法律中对所有的违法行为(不像《反不正当竞争法》那样仅局限于商业贿赂)用白纸黑字的方式肯定了合规红利。而足以证明没有主观过错的证据就是——满足ISO 37301认证的标准。

实践中,企业合规工作做得好可以在企业与员工之间建立有效的风险隔离墙,帮助企业获得实实在在的合规红利。比如雀巢公司员工因兜售雀巢公司因为业务需要所收集的消费者信息而“锒铛入狱”;这些员工试图把责任推给雀巢公司,让公司承担刑事责任。明察秋毫的法官当庭明确表示,这不是公司责任,因为公司通过对员工的培训及其他措施明确告知了这些员工合规红线在什么地方,因此公司尽责了、不应当承担任何法律责任。

2. 境外法下的合规红利

摩根斯坦利就曾因良好、有效的合规管理体系而被美国司法部免除处罚:2012年4月25日,摩根斯坦利前任董事总经理加雷斯•彼得森(Gareth Peterson)就美国司法部提出一项刑事指控而认罪,美国证监会同一天起诉其违反了FCPA下的反腐败和内部控制规定;但是,上述机构在起诉Peterson的同时,均宣布不会起诉摩根斯坦利——这是因为该公司采取了防止支付不当款项的批准程序、频繁的反腐败培训等相当完善的合规管理措施,建立并保持了内部控制制度。

根据上述摩根斯坦利一案,执法机构对公众发布了摩根士丹利在“积极合规”方面值得学习的十点:

(1) 经常进行有效的反贿赂培训,并妥善保存培训文件和记录;

(2) 建立控制机制,以发现不当支付,并持续监控高风险领域或活动;

(3) 建立自己的反腐败计划,确保有效的合规计划的要素到位并发挥作用;

(4) 建立合规部门,其职能应直接向最高管理层汇报,包括公司董事会;

(5) 根据法律发展,定期更新内部标准和规章制度,控制贿赂风险;

(6) 建立和实施举报制度;

(7) 对第三方进行全面的、有文件记录的、基于风险的尽职调查;

(8) 定期进行风险评估和审计,并采取补救措施以控制风险;

(9) 对高风险交易进行合规审计;

(10) 对合规计划、内部控制进行年度评审,并在年度评审的基础上进行改进。

 
(二)获得合规背书增信,提升合规“生产力”

没有规矩不成方圆,合规管理体系可以帮助金融机构有效地整合生产力要素,让各个部门在合规管理体系下有序平稳地运行,为金融机构创造价值。不成体系的合规不堪一击,不成系统地搞合规管理不仅是不科学的,而且会出纰漏。风险有多大,纰漏就有多大,严重的会导致重大危机!合规管理体系建设就是为了有效防控合规风险,促进金融机构依法合规经营管理,保障持续健康发展。合规能够创造价值,除了帮助金融机构降低合规风险外,通过明确各部门管理边界与协调合作机制,可以避免职责重叠或推诿等现象,能够填补管理空白,形成管理合力。另外,以诚信、道德责任为核心的合规文化建设还能帮助金融机构进一步提升形象和美誉度,为企业带来更多业务和商业机会。

 

为什么要贯标ISO 37301?
 

 

金融机构需要性行性进行合规管理体系建设,但是如何建设?《办法》固然抓住了首席合规官、合规官这个关键少数,但是如何落实他们的职责?还缺少系统的方法论。对此,我们提出贯标ISO 37301这一抓手。

ISO 37301:2021《合规管理体系 要求及使用指南》(以下简称“ISO 37301”)于2021年4月13日由国际化标准组织(ISO)正式发布,并于2022年10月等同转化为中国国家标准GB/T35770-2022《合规管理体系要求及使用指南》。作为可认证的A类管理体系标准,适用于全球任何类型、规模、性质和行业的组织。

作为已经有多年风险管理、内控管理基础且始终“强调合规”工作的的金融机构,为什么还要坚定推进ISO 37301合规管理体系认证?从内部看,多年来很多员工包括金融机构管理层对合规的理解还是停留在应付检查、形式合规,很多合规工作流于表面,并未切中要害起到管控风险的作用,并且错误认为合规管理是合规部门的事情,未意识到实质合规的重要价值,也不知道如何实现实质合规,而ISO 37301为金融机构实现实质合规提供了系统性的方法。从外部看,可以从以下三个方面理解:

一是应对复杂多变的监管环境。金融行业受到严格的法律法规监管,ISO 37301 提供了一个系统的框架,帮助金融机构梳理并整合这些繁杂的要求,确保机构的运营符合法律规定。例如,在反洗钱方面,金融机构可以依据该标准建立完善的客户身份识别、交易监测和可疑交易报告机制,有效避免因违法而面临巨额罚款和法律制裁。

二是提升机构信誉和市场竞争力。投资者、客户和合作伙伴非常关注金融机构的合规状况。ISO 37301作为企业获得第三方认证的依据,能够展示企业符合国际标准和国家标准的合规管理能力,较高程度满足商业伙伴的合规管理要求,帮助金融机构在客户合作、多边合作、政府合作中传递商业信任。通过贯标ISO 37301,可以向外界展示其对合规经营的高度重视和有效管理能力,能够增强市场对机构的信任。例如,对于银行来说,这有助于吸引更多的存款客户和优质贷款客户;对于证券机构而言,能够吸引更多的投资者进行证券交易。

三是促进国际合作与业务拓展。ISO 37301是国际认可的合规管理体系标准,贯标该标准有助于金融机构满足国际市场的合规要求。例如,对于跨国银行的海外分支机构,通过建立符合ISO 37301的合规管理体系,可以更好地适应所在国家或地区的监管环境,减少因合规差异而产生的运营风险。同时,贯标ISO 37301可以为金融机构在国际合作项目投标、跨境金融服务合作等方面提供有力的支持,增加与国际知名金融机构和企业合作的机会,拓展国际业务版图。

 

《金融机构合规管理办法》与ISO 37301
 

 

对于广大金融机构而言,按照《办法》要求搭建合规管理体系是必答题,对标ISO 37301是选择题,但是二者的内在逻辑是相通的,前者是合规管理在中国监管语境下的要求,后者是全球视野下的实践总结,二者互为表里。以合规管理组织体系为例,我们绘制了《办法》要求下企业的合规管理组织体系(见下图),这也完全符合ISO 37301“5 领导作用”中对于治理机构、最高管理者、合规团队等提出的要求。对于“合规目标”等ISO 37301提出但《办法》中并未体现的概念和要求,亦可通过明确由董事会确定,高管及部门负责人分别落实公司及部门层面合规目标的方式予以反映。因此,金融机构完全可以同时按照《办法》和ISO 37301的要求完成自身的合规管理体系建设,实现一石二鸟、一箭双雕的作用。

 

金融机构开展ISO 37301情况
 

 

金融机构利用贯标ISO 37301及相关标准以提升合规管理的能力和水平已经成为一种趋势并在全球范围内被实践。德国等欧盟国家相关银行很早就用ISO 37301的前身ISO 19600《合规管理体系 指南》贯标以提升金融机构合规管理体系。

早在2020年12月,Al Rajhi Bank /拉杰赫银行(沙特最大银行、世界最大伊斯兰银行)为了成为全球第一家贯标ISO 37301合规管理体系标准的银行,在ISO 37301合规管理体系标准正式颁布以前,利用ISO 37301标准的草拟版,亦即ISO/DIS 37301:2020——其中的DIS指Draft International Standard(草拟国际标准)贯标并获得相关证书。目前,印度尼西亚人民银行(Persero)等国外银行也正在积极推进ISO 37301贯标认证工作。

值得一提的是,利用ISO 37301贯标提升合规管理工作,中国银行业也走在了前列。中国工商银行(总行及四家境外机构)于2022年11月率先通过ISO 37301合规管理体系认证,成为国内银行业首家通过认证的银行。目前一些地方的农商行也在积极推动此项工作。

除银行类金融机构外,中国人寿保险股份有限公司于2023年12月在寿险行业内率先成功贯标合规管理体系国际国内双认证;恒生电子股份有限公司于2024年7月通过ISO 37301合规管理体系认证,其认证范围覆盖公司主要业务涉及的科技监管、软件著作权、商业秘密、反腐败的合规管理活动;成都交子金控集团下属小微金融板块企业(交子新兴集团、金控租赁公司、金控小贷公司、金控担保公司、交子保理公司)于2024年12月通过ISO 37301:2021/GB/T 35770:2022合规管理体系双认证证书。浙江海港集团财务有限公司、宝武集团财务有限责任公司等为代表的国有企业集团下属财务公司也均已通过认证。2025年以来,已经陆续有城商行、农商行通过ISO 37301:2021/ GB/T 35770:2022合规管理体系双认证。

注:本文所称金融机构,是指国家金融监督管理总局及其派出机构监管的商业银行、政策性银行、金融控股公司、保险集团(控股)公司、保险公司(包括再保险公司)、保险资产管理公司、相互保险组织、金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、消费金融公司、汽车金融公司、货币经纪公司、理财公司、金融资产投资公司等机构。

 

 
 
 
 
 
●注释:

[1]https://www.gov.cn/yaowen/liebiao/202502/content_7004103.htm

[2]https://www.gov.cn/zhengce/202407/content_6963770.htm

[3]https://www.gov.cn/yaowen/liebiao/202401/content_6926302.htm

[4]https://www.gov.cn/yaowen/liebiao/202311/content_6917473.htm

[5]https://www.gov.cn/zhengce/202307/content_6893056.htm

[6]https://www.gov.cn/yaowen/2023-04/21/content_5752598.htm

[7]http://www.cppcc.gov.cn/zxww/2023/03/06/ARTI1678113483444185.shtml

[8]https://www.gov.cn/zhengce/2019-12/22/content_5463137.htm

[9]https://www.gov.cn/xinwen/2018-08/27/content_5316913.htm

[10]https://www.gov.cn/xinwen/2017-05/23/content_5196189.htm

 
 

 

特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。

大成能为您做什么?

联系我们 +