保险公司合规风险管理体系构建研究

1、保险公司合规风险管理体系构建研究         摘要目前，我国保险公司现行的合规管理体制缺乏系统性，没有专职机构负责，缺乏有效的组织保障和科学的运行程序，是一种模糊低效的运作方式。因此，要大力推广和普及全新的合规管理理念；设置统一的合规规划和合规管理部门；加强对一线员工的系统培训和指导；确保检查部门独立于业务活动，以保证合规管理的有效性。只有建立符合保险公司自身实际的合规管理体系，才能有效发挥其风险管理和健全企业内控的功能。 关键词合规风险，法律风险，管理体系，合规队伍，合规机构，合规制度，合规文化20世纪90年

2、代以来，国际金融保险市场上相继发生了一系列重大财务丑闻和操作风险案件。这些案件的产生大多是由于企业自身合规风险管理失控所致，因此，国际金融保险业纷纷整合内部资源，组建专职部门以强化合规管理，控制风险。同时，各国金融保险监管机构也认识到，外部的合规性监管不应该、事实上也不可能替代企业内部的合规风险管理，因此先后出台了一些关于公司内部合规部门建设的指引或规定。这无疑对金融保险业内部合规风险管理体系建设起到了很大的推动作用。近年来，国内金融保险业开始重视合规风险管理，一些商业银行和保险公司纷纷尝试以各种方式建立合规风险管理体系。2006年年初，保监会在关于规范保险公司治理结构的指导意见(试行)(以下

3、简称指导意见)中更是首次对保险公司进行合规管理、设置相应负责人和职能部门提出了明确要求。一、“合规”、“合规风险”和“合规管理”的概念(一)“合规”的概念“合规”是由英文“compliance”一词翻译而来。Compliance原意为“遵守、服从”，但从上个世纪90年代以来，在国际金融保险领域中，compliance逐渐发展有专门的特殊含义。2005年4月29日，巴塞尔银行监管委员会发布了合规与银行内部合规部门(Compliance and the Compliance Functionin Bank)高级文件。该文件虽未对“合规”概念进行界定，但却指出：“本文件所称合规风险是指，银行因未能遵

4、循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则，而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。”由此可见，国际金融保险领域中所谓的“合规”，是指金融保险企业及其员工遵守法律、监管规定、行业自律准则，以及企业自己制定的内部规范的总称。首先，“规”即合规的渊源。巴塞尔银行监管委员会的合规与银行内部合规部门中列举合规的渊源包括：“立法机构和监管机构发布的基本的法律、规则和准则”，“市场惯例”，“行业协会制定的行业规则”，以及适用于金融企业职员的“内部行为准则”等。因此，“合规”中的“规”不仅是指来自企业外部的具有法律约束力的文件，还包括更广义的诚

5、实守信和道德行为的准则，它们可能是来自企业外部，也可能是由企业自身制定的。其次，“合规”中的“合”包括抽象和具体两个层面。在抽象层面，“合”要求企业内部的管理制度、业务规则必须符合外部的法律法规、监管规定和行业准则；在具体层面，“合”则要求企业内部的管理制度、业务规则都得到实际的执行。通过上述分析可以看出，目前国际金融保险业所关注的“合规”并非通常所说的“依法合规”。“依法合规”一词虽然在金融监管和日常经营中经常被使用，但它并不是一个严谨的概念，人们对它的理解往往是非常模糊和不统一的，仅仅停留在表面。如有人把“依法合规”理解为仅是“符合法律规定”，有的人则将其分解成“依照法律、合乎规定”，至于

6、进一步的“法律”和“规定”是指什么，包括哪些内容，应该限定到哪个层级，就不得而知了。(二)“合规风险”与“法律风险”的联系和区别当前，人们普遍接受的法律风险概念，是指企业因不遵守法律规定、监管规则或者因和交易方产生合同纠纷，而导致财务损失、被处罚或者产生诉讼纠纷的风险。从巴塞尔银行监管委员会的定义来看，合规风险与法律风险既有联系又有区别。二者有重合的一面，比如金融企业因为某项业务而遭受处罚时，它所面临的合规风险同时也是一种法律风险，因此业界常常将“合规风险”和“法律风险”并称为“法律合规风险”；但是合规风险又不等同于法律风险，它们各有其独立性，彼此不能涵盖。首先，合规风险中有些部分无法归人法律

7、风险的范畴。如因不遵守诚实守信和道德行为的准则(包括自律组织制定的某些准则，企业内部制定的管理制度、业务规则等)而遭受声誉甚至财务损失的风险只能称为合规风险，而不是法律风险。相应的，因合同不能执行或合同纠纷而导致损失的风险也只能称为法律风险，而不是合规风险。其次，传统的企业法律部门往往仅被定位为服务部门，负责向业务部门和管理人员提供法律咨询意见，支持企业的交易和诉讼，因此传统的法律风险管理往往是个案的和被动的。合规风险管理则是一种全新的、制度化的、主动的管理模式，与传统的法律风险管理有很大不同。(三)“合规管理”的概念国内外金融保险行业中，人们大多从企业管理和风险管理的角度出发，将合规工作表述

8、为“合规管理”或“合规风险管理”，普遍将其视为一项独立的风险管理活动和一种健全企业内控体系的重要手段。如上海银监局课题组在中资银行合规风险管理机制建设研究中指出：“合规已成为银行内部的一项核心风险管理活动，更是银行实施有效内部控制的一项基础性工作。”“合规风险管理体制是指，银行主动识别合规风险，主动避免违规事件的发生，主动采取各项纠正措施以及适当的惩戒措施，持续修订相关制度流程和详尽描述具体做法的岗位手册，以有效管理合规风险，确保银行合规稳健运行的一个周而复始的循环过程。”全球十大律师事务所之一的路伟国际律师事务所在其中国企业法律风险管理标准化策略报告中，将合规管理誉为“企业管理的第三支柱”，

9、认为合规管理对外的重点在于指导“企业如何开展经营活动”，“保护企业免于发生重大风险事件”，创造和保持“企业精神”、“公共形象”和“声誉”；对内则能“从整体上增强和改善企业的内部管理控制”。报告起草人、着名合规管理专家吕立山律师更是认为，“鉴于长期以来不同经营部门各自为政的积习，实现整个集团的统一管理是许多中国企业所面临的重大挑战。而这一体制的实现，必须通过强化合规体系，建立上下通畅的报告和决策渠道，方能达成。”综上所述，合规管理是指企业通过制定合规政策，按照外部法规的要求统一制定并持续修改内部规范，监督内部规范的执行，以实现增强内部控制，对违规行为进行早期预警，防范、化解、控制合规风险的一整套

10、管理活动和机制。二、国内外金融业合规管理体系建设的现状(一)银行业合规管理体系的建设随着对合规重要性认识的逐步到位，合规作为一门独特的风险管理技术，已经得到全球银行业的普遍认同，合规风险与银行其他风险一道被纳入到银行的风险管理框架中。国际银行业的合规职业队伍正在逐步崛起，合规人员日益发展成为一个专业化的职业阶层，合规部门的组织结构也不断得到调整和完善。国际上，各大银行纷纷根据自身规模、经营的复杂化程度、业务性质及其区域分布的不同，设立了不同组织结构的合规部门。如荷兰银行和德意志银行成立了单一的、独立的合规部门；渣打银行、瑞士信贷第一波士顿银行等成立了法律及合规部或风险管理与合规部；汇丰银行在总

11、行设独立合规机构，在中国地区则将合规和法律部门合二为一。银行监管机构也先后对银行的合规部门做出规定。2003年10月，巴塞尔银行监管委员会发布了银行内部合规部门咨询文件，成为一些国家监管机构和银行规范合规风险管理的指导性文件。时隔不到两年，该委员会在此基础上再次发布了合规与银行内部合规部门高级文件，更在世界范围内产生了巨大影响。国内银行业方面，中国银行是建设合规管理体系的先锋。早在2001年10月，中银香港即设立“法律与合规部”。2002年，中国银行总行把“法律事务部”更名为“法律与合规部”，增加合规管理职能，并设首席合规官。在首席合规官和法律与合规部的领导下，行内各级法律与合规部门在职权范围

12、内进行了大量的规章制度建设、合规监督检查、合规培训、咨询、调研、宣传和反洗钱等工作。除中国银行外，国内其他各大商业银行也纷纷进行了合规管理的探索和试验。如中国建设银行于2003年初在总行法律事务部下设“合规处”，2005年将其独立出来成为“合规部”；中国工商银行于2004年设“内控合规部”；中国农业银行将合规工作归口法律事务部管理；中国民生银行、上海浦东发展银行等也都设立了“法律与合规部”。2005年11月，上海银监局发布了上海银行业金融机构合规风险管理机制建设的指导意见，要求沪上法人银行和商业银行分行应于2005年底前，其他银行业金融机构应于2006年底前设立独立的合规管理部门。该指导意见也

13、成为我国金融监管机构第一个有关合规管理的专门文件。(二)保险业合规管理体系的建设在国际保险业，一些国际组织近两年纷纷发布有关文件，对保险公司建立合规管理体系提出要求。如国际保险监督官协会(1AIS)在2004年发布的保险公司治理的核心原则(Compilation Of IAIS Insurance Core Principle on corporate governance,19 January2004)中，要求保险公司董事会指定一名或数名官员负责公司的合规工作，并定期向董事会报告。世界经济合作组织(OECD)在2005年发布的OECD保险公司治理指引(OECD guidelines for

14、insurersgovernance，28April2005)中指出，在良好的公司治理下，确保企业行为合规(符合法律特别是保险法的规定，比如投资规则、报告和信息披露要求等)是董事会职责中必须涵盖的基本内容。国际上，各国保险公司都非常重视合规管理体系和合规机构的建设。如美国国际集团(AIG)在董事会下设“规则、合规和法律委员会(Regulatory，Compliance and Legal Committee)”，在管理层中设总法律顾问、首席合规官和首席规则官(三者的工作受规则、合规和法律委员会的监督)，形成双重的合规管理领导和监督体制。美国怡安(Aon)保险集团在董事会下设“合规委员会”，公司

15、合规官、总法律顾问和负责内部审计的副总裁向合规委员会负责。在亚洲，日本保险业特别重视合规管理工作，形成了独具特色的合规体系。日本财产保险公司(Sompo Japan Insurance Inc)在董事会下也设置了“合规委员会”，并将其明确定位为跨部门的协调机构，规定其成员由合规部门总经理、公司总部五个以上其他部门的总经理和相同数量的外部专家组成；公司日常的合规工作由合规部门负责，合规部门与总部其他部门以及各业务分部共同接受公司内部审计监察部门的审计，公司内部审计监察部门则向合规委员会报告工作。日本东京海上保险公司(The Tokio Marine and Fire Insurance CO.，

16、Ltd.)、日本兴亚保险公司(Nipponkoa Insurance Co.，Ltd)的合规委员会则设置在CEO之下，不直接对董事会负责，合规委员会下同样设有专门的合规部门。在欧洲，荷兰国际集团(1NG)在总部设置了合规部，负责监控因违规而导致的有关企业声誉和商业信誉方面的风险，在集团的各个层级安插了375名合规官，分别监控本地本级的经营行为是否合规。法国安盛集团由总部法律部负责集团的合规工作，起草合规指南和相关的规则流程，下发到世界各地的子公司和分支机构执行，各子公司的首席执行官对本公司的合规工作负责，子公司的法律部则扮演确保本级业务运作安全和符合当地法律规定的角色。德国安联集团在总部设有首

17、席集团合规官，在各分支机构中设有合规部门。国内方面，平安保险公司在2004年底成立了“法律与合规部”，率先在保险业中开始新型合规管理的实践。2006年初，中国人保控股公司将“法律部”改造为“法律与合规部”，中国人寿保险股份有限公司设立了单独的“内控合规部”；之后，中国人保寿险有限公司也设立了法律合规部。此外，近来成立的长城人寿保险股份有限公司设“法律合规部”，渤海财产保险股份有限公司设“合规部”；中外合资保险公司中亦有中美大都会人寿保险有限公司设“合规部”。2006年1月5日，中国保监会在关于规范保险公司治理结构的指导意见(试行)中首次提出：保险公司董事会除履行法律法规和公司章程所赋予的职责外

18、，还应对“合规”、“内控”和“风险”负最终责任；保险公司应设合规负责人职位，并设立合规管理部门。该指导意见的发布，为中国保险企业构建全新的合规管理体系、组建合规部门提供了政策依据，必将大大促进中国保险业合规管理体系的建设。三、我国保险业合规管理体系建设中的问题   我国保险公司的合规管理部门发展还不成熟，各保险公司定有各种内部管理办法和实施细则，由多个部门分别行使部分合规管理职能，但目前的合规管理不成体系，不够完善，是比较落后的，无法符合保监会最新指导意见的要求。“合规管理”对于我国保险业而言是一个新鲜事物，实际运作中，未被全新“合规”观念武装的旧有的合规管理体制存在很多问

19、题。首先，全新的合规管理理念尚未在保险业中得到大力推广和普及。占据多数人头脑的仍是原有的“依法合规经营”，没有真正认识到合规管理的重要性、特殊性和专业性，不了解合规管理的具体内容和特点，更谈不上构建全新的合规管理体系和组织具体实施。其次，现有合规管理体制中，没有统一的合规规划和合规管理部门，业务、法律、审计监察、财务甚至办公室等部门分别承担了合规管理的部分职能，不成体系，彼此之间职责界定不清晰，相互协调配合不力。由于缺乏合规管理的统率归口部门，企业内部规范在制定阶段多是各部门分头进行，缺乏系统协调。各部门因为自身知识、经验、能力的限制或者出于部门私利，往往容易忽略法律、法规、监管规定以及其他部

20、门的规定，制定出的规章制度难免彼此冲突，之后又没有专职部门和统一标准来判断孰是孰非。在规章制度的监督执行中，由于没有专职负责的常设部门，各部门往往只检查本部门制定规章制度的落实情况，而对其他规章制度的落实情况应付了事。第三，一线员工缺乏系统的教育培训和专业指导，不能全面准确地理解法律、法规、规则和企业内部规章制度。第四，检查部门往往并不独立于业务活动，难以保证合规管理的有效性。合规部门应有能力主动对所有可能存在合规风险的部门履行合规风险管理职责，还应有权随时就其调查发现的任何违规或可能的违规行为向高级管理人员及董事会报告，并且不因实施上述行为而遭受管理人员或其他任何工作人员的冷遇或打击报复。但

21、在大部分保险公司中，几乎所有参与合规管理的部门基本都隶属于同级子公司或者分、支公司的管理层，这种体制显然很难保证对同级公司管理层是否合规经营进行严格的管理。我国保险公司现行的合规管理体制虽然几乎是全员参与，但由于缺乏系统性；没有专职机构负责，没有有效的组织保障和科学的运行程序，因此只能是一种模糊低效的运作方式，亟需改革和完善。         四、构建合规管理体系的建议 合规管理的引进不是简单的嫁接，而是要完全融人保险公司的核心经营管理体制中。只有建立符合保险公司自身实际的合规管理体系，才能有效发挥其风险管理和健全

22、企业内控的功能。(一)合规机构和合规队伍的建立健全合规机构和合规队伍的建设涉及到保险公司的董事会、高级管理层、职能部门和具体合规人员各个层面。董事会层面巴塞尔银行监管委员会在合规与银行内部合规部门中专门规定了董事会的合规职责，包括审批合规政策并确保其制定适当，监督合规政策的实施，在全行推行诚信与正直的价值观念等。中国保监会在指导意见中也要求保险公司董事会对“使保险公司建立合规管理机制，并对保险公司遵守法律法规、监管规定和内部管理制度的情况定期进行检查评估”负最终责任。因此，处于公司最高层的董事会应充分认识到合规风险管理的重要性，责成高级管理层拟定合规管理的战略方案、合规政策，并由董事会通过执行

23、；同时了解合规部门的功能及其效力范围，并监督和评价高级管理层的合规风险管理状况。当然，董事会可以设置专门的合规分委员会或者要求审计分委员会等来承担上述职责。2.高级管理层层面巴塞尔银行监管委员会合规与银行内部合规部门中指出：“每家银行应该有一位执行官或高级职员全面负责协调银行合规风险的识别和管理，以及监督其他合规部门职员的工作”，该执行官或高级职员被称为“合规负责人”。国际保险监督官协会在保险公司治理的核心原则中要求负责保险公司合规工作的官员应由董事会指定并向董事会报告工作。中国保监会在指导意见中借鉴了这些做法，要求“保险公司应当设立合规负责人职位。合规负责人既向管理层负责，也向董事会负责，并

24、向中国保监会及时报告公司的重大违规行为”。因此，合规负责人更应设置在高级管理层层面，而非部门负责人层面，否则将可能难以很好地履行职责。对保险公司高级管理层而言，参照巴塞尔银行监管委员会的建议，应做好以下方面的工作：制定和传达合规政策(包含管理层和员工应遵守的基本原则)，说明整个企业上下用以识别和管理合规风险的主要程序；确保合规政策得以遵守，发现违规问题时，采取适当的补救方法或惩戒措施；每年至少一次识别和评估企业所面临的主要合规风险，并制定管理这些合规风险问题的计划；就合规风险管理，特别是重大违规情况向董事会或其下设委员会报告；组建一个常设的、有效的内部合规部门。3.合规部门层面合规部门是合规工

25、作的职能部门，是合规管理体系的重要组成部分。科学地组建适合公司需要的合规部门是做好合规工作的前提和组织保障。(1)合规部门的设置和模式选择。国际上，金融企业通常在总部设置独立的合规部门，在分支机构设置当地的合规部和合规官。总部合规部门直接向高级管理层(总裁或董事会主席)报告，并拥有直接向董事会或其下设委员会报告的权限；各分支机构的合规部门则存在矩阵式和条线式两种报告路线，前者在向上一级合规主管报告的同时，还要向合规部门所在分支机构行政主管报告，后者只向上一级合规部门主管报告。我国实践中，金融保险企业的合规部门设置存在三种模式：一是合并法律和合规管理职能并设置相应机构；二是设立单独的“合规部”；

26、三是设立“内控合规部”。第三种模式强调了合规工作增强和改善企业内部管理控制的方面，与模式二并无本质区别。我国大多数的银行和保险公司都选择了第一种模式，即将原有的法律部改为“法律与合规部”，或在法律部下设“合规处”，或者直接将合规职能划归法律部。这一选择并非中国企业的创新，在国外一些大金融保险企业中，法律部门与合规机构的职责界限往往也是比较模糊的。美国银行业协会的统计结果表明：银行规模越大，越希望由银行法律部门履行银行合规职责。全球企业法律顾问协会(ACC)则认为，合规是公司法律顾问或者公司律师职责的一部分，因此合规管理和法律部门密不可分是很自然的事情。从行业实践来看，我国现阶段以保险公司已有法

27、律部门为基础组建合规管理部门应是较好的选择。合规管理以对法律法规、监管规定的正确理解和解释为基础，在很多情况下，合规风险和法律风险是重合的。正是合规管理与法律工作之间这种不可分割的密切联系，使大多数企业选择了第一种模式。实际上，即便企业建立单独的合规部门，如果其合规管理体制不能以与国际公认的法律标准和做法一致的方式反映和包含对适用法律要求的完整、准确的理解，就无益于保护、增进公司的利益。也就是说，即便成立独立的合规部门，其运行也离不开法律人员的专业建议和支持。(2)合规部门应保持独立性。无论合规部门的组织结构如何，保持其独立性是最重要的原则。巴塞尔银行监管委员会在合规与银行内部合规部门中对独立

28、性进行了解释，其包含四个相关要素：“第一，合规部门应在银行内部享有正式地位。第二，应由一名集团合规官或合规负责人全面负责协调银行的合规风险管理。第三，在合规部门职员特别是合规负责人的职位安排上，应避免他们的合规职责与其所承担的任何其他职责之间产生可能的利益冲突。第四，合规部门职员为履行职责，应能够获取必需的信息并能接触到相关人员。”因此，在设置合规部门时，为确保其独立性，应当考虑建立相关的配套机制：一是合规部门要尽量独立于业务和财务部门，进行独立预算管理，预算管理应与合规部门的工作目标保持一致，而非取决于业务部门或业务条线的盈利状况。二是建立科学的激励考核机制，即一方面合规部门要接受上级部门和

29、机构的监督评估，以确保合规职能的有效发挥；另一方面，对各业务部门或业务条线管理人员的绩效考核，应主动咨询合规负责人对其合规风险管理能力的评价意见。4.合规人员队伍的建设上海银监局课题组提出：“为确保合规部门有效履行职责，应配备高素质的专业合规人员。银行的合规人员要具有与其职责履行相匹配的资质、经验、专业素质和个人素质。适当的专业素质包括能全面、正确地理解法律、规则和标准及其对银行经营运作的实际影响；通过定期、系统的教育和培训，能保持并发展其专业技能，具有对所适用法律、规则和标准最新发展的实时把握能力。适当的个人品质主要包括诚实正直的品格、思考质疑的能力、职业判断的中立性和独立性、良好的沟通能力

30、、较强的判断力和灵活性等，尤其需要具有对合规问题涉及的相关人员直言不讳的勇气和能力。”上述对银行业的合规人员素质要求在保险业也同样适用。对合规人员的专业素质要求与对企业内部法律工作人员专业素质的要求是类似的。但合规工作中管理的比重远远大于传统的法律支持工作，合规人员通常更需要深入了解本企业复杂的业务经营。我国金融保险企业中目前大多已存在一支成形的法律工作队伍，因此，加强对现有法律工作队伍业务经验和管理才干的培养，无疑是建成一支高素质合规队伍的捷径。(二)合规制度的建设和执行规章制度是合规管理体制的中心内容，在制度建设方面，应考虑以下几点首先，在董事会和高级管理层层面，应制定合规政策(董事会层面

31、)和合规管理办法(高级管理层层面)等纲领性文件以及针对董事和高级管理层的行为守则，特别是要对董事和高级管理层的合规责任提出明确要求。其次，以合规纲领性文件为统领，进行大规模的整章建制工作。包括制定专门的规章制度管理办法，明确规章的制定、发布和实施须经严格的法律合规审查，建设规章制度的修订和评价等管理流程。制定或修改完善合同管理办法、授权经营管理办法、知识产权管理办法、品牌管理办法、员工行为准则等一系列规章制度。第三，提前预防和提示合规风险。对金融监管机构下发的每一个规章制度，都要同步分析整理和归纳，提出相应的法律合规要点，及时提醒各职能部门。在合同管理方面，完善从合同项目立项、草拟、审查、印章

32、管理、履行到档案管理等各环节的管理流程，推出示范合同范本，做到对法律合规风险的提前防范。第四，明确员工的岗位责任和尽责义务，制定员工岗位合规手册。高规格的规章制度需要有效的执行和监督，否则，再好的制度也只能是形同虚设。合规制度在实施过程中，如果需要变通，任何变通都应逐级上报，由适当级别的适当人员以公开透明的方式决定，以保证不违背制度整体的意图和目的。这样的规定本身就有保证遵守规章制度的作用，因为大多数情况下，遵守规定反而要比层层报请批准变通更加简便；同时它也要求必须明确各个级别的报告义务并建立有效的报告渠道。只有坚持全面的监督和检查，合规制度才能正常地发挥作用。因此，必须有独立的专人负责对各级

33、人员合规责任进行检查。监督检查的重点不在于数字而在于程序管理，即：不仅检查实施了什么行为，还要检查怎样实施有关行为，是否获得适当的内部批准，是否遵守特定的规章制度。(三)合规管理软件系统的运用融合金融保险企业原有的业务和财务管理软件，增加相应合规控制的IT系统能够帮助公司实现更好的合规监控。合规管理软件系统的使用在发达国家已经比较普及。尤其是在美国，为扭转因为安然、世通等公司的丑闻而给投资者信心造成严重打击的局面，美国国会于2002年出台了萨班斯法案(The Sarbanes-Oxley A         四、构

34、建合规管理体系的建议 合规管理的引进不是简单的嫁接，而是要完全融人保险公司的核心经营管理体制中。只有建立符合保险公司自身实际的合规管理体系，才能有效发挥其风险管理和健全企业内控的功能。(一)合规机构和合规队伍的建立健全合规机构和合规队伍的建设涉及到保险公司的董事会、高级管理层、职能部门和具体合规人员各个层面。董事会层面巴塞尔银行监管委员会在合规与银行内部合规部门中专门规定了董事会的合规职责，包括审批合规政策并确保其制定适当，监督合规政策的实施，在全行推行诚信与正直的价值观念等。中国保监会在指导意见中也要求保险公司董事会对“使保险公司建立合规管理机制，并对保险公司遵守法律法规、监管规定和内部管理

35、制度的情况定期进行检查评估”负最终责任。因此，处于公司最高层的董事会应充分认识到合规风险管理的重要性，责成高级管理层拟定合规管理的战略方案、合规政策，并由董事会通过执行；同时了解合规部门的功能及其效力范围，并监督和评价高级管理层的合规风险管理状况。当然，董事会可以设置专门的合规分委员会或者要求审计分委员会等来承担上述职责。2.高级管理层层面巴塞尔银行监管委员会合规与银行内部合规部门中指出：“每家银行应该有一位执行官或高级职员全面负责协调银行合规风险的识别和管理，以及监督其他合规部门职员的工作”，该执行官或高级职员被称为“合规负责人”。国际保险监督官协会在保险公司治理的核心原则中要求负责保险公司

36、合规工作的官员应由董事会指定并向董事会报告工作。中国保监会在指导意见中借鉴了这些做法，要求“保险公司应当设立合规负责人职位。合规负责人既向管理层负责，也向董事会负责，并向中国保监会及时报告公司的重大违规行为”。因此，合规负责人更应设置在高级管理层层面，而非部门负责人层面，否则将可能难以很好地履行职责。对保险公司高级管理层而言，参照巴塞尔银行监管委员会的建议，应做好以下方面的工作：制定和传达合规政策(包含管理层和员工应遵守的基本原则)，说明整个企业上下用以识别和管理合规风险的主要程序；确保合规政策得以遵守，发现违规问题时，采取适当的补救方法或惩戒措施；每年至少一次识别和评估企业所面临的主要合规风

37、险，并制定管理这些合规风险问题的计划；就合规风险管理，特别是重大违规情况向董事会或其下设委员会报告；组建一个常设的、有效的内部合规部门。3.合规部门层面合规部门是合规工作的职能部门，是合规管理体系的重要组成部分。科学地组建适合公司需要的合规部门是做好合规工作的前提和组织保障。(1)合规部门的设置和模式选择。国际上，金融企业通常在总部设置独立的合规部门，在分支机构设置当地的合规部和合规官。总部合规部门直接向高级管理层(总裁或董事会主席)报告，并拥有直接向董事会或其下设委员会报告的权限；各分支机构的合规部门则存在矩阵式和条线式两种报告路线，前者在向上一级合规主管报告的同时，还要向合规部门所在分支机

38、构行政主管报告，后者只向上一级合规部门主管报告。我国实践中，金融保险企业的合规部门设置存在三种模式：一是合并法律和合规管理职能并设置相应机构；二是设立单独的“合规部”；三是设立“内控合规部”。第三种模式强调了合规工作增强和改善企业内部管理控制的方面，与模式二并无本质区别。我国大多数的银行和保险公司都选择了第一种模式，即将原有的法律部改为“法律与合规部”，或在法律部下设“合规处”，或者直接将合规职能划归法律部。这一选择并非中国企业的创新，在国外一些大金融保险企业中，法律部门与合规机构的职责界限往往也是比较模糊的。美国银行业协会的统计结果表明：银行规模越大，越希望由银行法律部门履行银行合规职责。全

39、球企业法律顾问协会(ACC)则认为，合规是公司法律顾问或者公司律师职责的一部分，因此合规管理和法律部门密不可分是很自然的事情。从行业实践来看，我国现阶段以保险公司已有法律部门为基础组建合规管理部门应是较好的选择。合规管理以对法律法规、监管规定的正确理解和解释为基础，在很多情况下，合规风险和法律风险是重合的。正是合规管理与法律工作之间这种不可分割的密切联系，使大多数企业选择了第一种模式。实际上，即便企业建立单独的合规部门，如果其合规管理体制不能以与国际公认的法律标准和做法一致的方式反映和包含对适用法律要求的完整、准确的理解，就无益于保护、增进公司的利益。也就是说，即便成立独立的合规部门，其运行也

40、离不开法律人员的专业建议和支持。(2)合规部门应保持独立性。无论合规部门的组织结构如何，保持其独立性是最重要的原则。巴塞尔银行监管委员会在合规与银行内部合规部门中对独立性进行了解释，其包含四个相关要素：“第一，合规部门应在银行内部享有正式地位。第二，应由一名集团合规官或合规负责人全面负责协调银行的合规风险管理。第三，在合规部门职员特别是合规负责人的职位安排上，应避免他们的合规职责与其所承担的任何其他职责之间产生可能的利益冲突。第四，合规部门职员为履行职责，应能够获取必需的信息并能接触到相关人员。”因此，在设置合规部门时，为确保其独立性，应当考虑建立相关的配套机制：一是合规部门要尽量独立于业务和财务部门，进行独立预算管理，预算管理应与合规部门的工作目标保持一致，而非取决于业务部门或业务条线的盈利状况。二是建立科学的激励考核机制，即一方面合规部门要接受上级部门和机构的监督评估，以确保合规职能的有效发挥；另一方面，对各业务部门或业务条线管理人员的绩效考核，应主动咨询合规负责人对其合规风险管理能力的评价意见。4.合规人员队伍的建设上海银监局课题组提出：