引言

2013 年 11 月1日起正式实施的《银行业金融机构案防工作办法》是金融机构防范刑事风险、进行涉刑案件管理领域的一项重要制度文件，与 2020 年 5 月 22 日实施的《银行保险机构涉刑案件管理办法（试行》共同构成了银行业金融机构涉刑案件管理的制度基础。为进一步推动银行保险机构前移涉刑案件风险防控关口，健全涉刑案件风险防控全链条治理机制，日前，国家金融监督管理总局发布《银行保险机构涉刑案件风险防控管理办法（征求意见稿）》（下称“《征求意见稿》”），拟完善银行保险机构涉刑案件的风险防控制度。

尽管对《征求意见稿》目前仅处于征求意见阶段，但我们仍可从《征求意见稿》中窥知监管要求的变化趋势，以及银行保险机构下一步内部合规重点。

新规适用范围：扩张与变化

想要了解一种规范，首先必须了解它的适用范围，只有在确定适用范围的基础上，才能有针对性地根据规范进行调整。事实上，对于银行领域的涉刑案件风险防控领域，早在2013年中国银监会办公厅便发布了《银行业金融机构案防工作办法》，只是当时的适用范围仅限于中华人民共和国境内设立的各银行业金融机构，同时其指出“中华人民共和国境内设立的金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、外国银行分行以及经国务院银行业监督管理机构批准设立的其他金融机构参照适用本办法”。

而对于所谓的银行业金融机构，《银行业金融机构案防工作办法》并没有予以释义。对此，我们可以参考 2019 年中国银行保险监督管理委员会发布的《银行业金融机构反洗钱和反恐怖融资管理办法》，其中第三条明确规定“本办法所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行和国家开发银行”，同时该条第二款亦指出“对在中华人民共和国境内设立的金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司以及经国务院银行业监督管理机构批准设立的其他金融机构的反洗钱和反恐怖融资管理，参照本办法对银行业金融机构的规定执行。”后部分与《银行业金融机构案防工作办法》的参照适用部分基本重合，因此可以确定，所谓的“银行业金融机构”即指在中华人民共和国境内设立的商业银行、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行和国家开发银行。

而相比于此前仅仅适用于银行业金融机构的“老办法”，本次《征求意见稿》第二条明确了其适用范围系银行保险机构，即银行机构以及保险机构，前者是指在中华人民共和国境内依法设立的商业银行、农村合作银行、农村信用合作社、村镇银行等吸收公众存款的金融机构以及政策性银行，后者是指在中华人民共和国境内依法设立的保险公司。显然，在适用范围上明显优于《银行业金融机构案防工作办法》，在原有的银行业金融机构的基础上增加了保险公司。

同样，在参照适用的主体上，本次新规亦进行了扩张，其三十八条明确规定，“在中华人民共和国境内依法设立的信托公司、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司以及金融监管总局批准设立的其他金融机构，参照本办法执行。保险集团（控股）公司、保险专业中介机构、保险资产管理公司、外国及港澳台银行保险机构参照本办法执行。”

“业内”“业外”案件全覆盖

按照此前的《银行业金融机构案防工作办法》第四条的规定，银行业金融机构涉刑案件风险防控涉及的案件仅限于：银行业金融机构从业人员独立实施或参与实施的，或外部人员实施的，侵犯银行业金融机构或客户资金或其他财产权益的，涉嫌触犯刑法，已由公安、司法机关立案侦查或按规定应当移送公安、司法机关立案查处的刑事案件。

而《征求意见稿》则延续了《银行保险机构涉刑案件管理办法（试行》的调整对象，对《银行业金融机构案防工作办法》所调整的涉刑案件的范围进行了增补，包括业内案件和业外案件。

业内案件包括以下三类：（1）银行保险机构及其从业人员独立实施或参与实施，侵犯银行保险机构或客户合法权益，已由公安、司法、监察等机关立案查处的刑事犯罪案件。（2）银行保险机构及其从业人员在案件中不涉嫌刑事犯罪，但存在违法违规行为且该行为与案件发生存在直接因果关系，已由公安、司法、监察等机关立案查处的刑事犯罪案件（3）银行保险机构从业人员违规使用银行保险机构重要空白凭证、印章、营业场所等，套取银行保险机构信用参与非法集资活动，以及保险机构从业人员虚构保险合同实施非法集资活动，已由公安、司法、监察等机关立案查处的刑事犯罪案件理。

业外案件是指银行保险机构以外的单位、人员，直接利用银行保险机构产品、服务渠道等，以诈骗、盗窃、抢劫等方式严重侵犯银行保险机构或客户合法权益，或在银行保险机构场所内，以暴力等方式危害银行保险机构场所安全及其从业人员、客户人身安全，已由公安、司法等机关立案查处的刑事犯罪案件。

换言之，《征求意见稿》目标不限于防范机构自身及内部人员犯罪、外部人员对机构或相关利益实施犯罪，而且针对监管痛点，突出强调了“银行保险机构及其从业人员在案件中不涉嫌刑事犯罪，但存在违法违规行为且该行为与案件发生存在直接因果关系”。因此，可以看出，《征求意见稿》的防控目标同时包括了预防机构自身及内部人员成为被追诉主体（犯罪嫌疑人、被告人）、犯罪工具和犯罪对象（被害人）。

细化职责划分，要求搭建双层责任结构

本次《征求意见稿》的一个重要部分便是对整个涉刑案件风险防控领域进行了较为细致的职责划分，从而形成了以银行保险机构为核心的外部职责体系与内部职责体系的双层结构。

在外部职责体系部分，涉及三个主体，即银行保险机构、金融监管总局以及其他相关行业自律组织。其中，银行保险机构作为核心自然需要承担风险防控的主体责任，在此基础上，金融监管总局需要承担监管责任，行业自律组织则承担引导责任。

而在内部职责体系部分，《征求意见稿》对机构内部的各职能部门都设定了一定的职责，以共同构建机构内部的涉刑案件风险防控体系。具体而言各部门的职责简要表述如下：

1、董（理）事会：最终责任承担部门。负责承担案件风险防控的最终责任，可以通过下设并授权专门委员会开展具体工作。

2、监事会：内部监管部门。相当于机构内部的监管部门，负责对其他部门的防控工作进行监管。

3、高管：执行部门。负责机构内部涉刑案件风险防控体系的具体执行工作，可以说是体系的直接主管人员。

4、牵头部门：直接执行部门。如果说高管经理层系执行部门，那么牵头部门就是在高管经理层统领下的直接负责牵头执行的部门，因而需要承担较多的具体的执行责任。

5、内设部门和分支机构：具体执行部门。此两个部门机构主要负责其职责范围内的防控工作的具体制定和实施执行，故对该部分内容承担直接责任。

6、内审部门：审计部门。将防控工作纳入审计范畴进行审计，并可依此提出相关的建议。

除去上述部门机构的设置和职责外，《征求意见稿》还要求机构配备专业的案件风险防控专职人员，以此保证整个体系的顺利运转。

首次明确提示防控重点领域，突出强调内控和防控自评估

在《征求意见稿》发布之前，无论是《银行业金融机构案防工作办法》，还是《银行保险机构涉刑案件管理办法（试行》，均未明确涉刑案件风险防控的重点关注领域。《征求意见稿》综合考虑刑事案件高发、核心法益集中等因素，明确提示了信贷业务、信贷业务、创新业务、资产处置业务、信用卡业务、保函业务、同业业务、资产管理业务、柜面业务、保险业务、资本市场业务、债券市场业务、网络安全等领域，同时要求各银行保险机构结合自身经营特点，前瞻研判各自刑案高发的业务环节。

《征求意见稿》明确提出防控重点措施，强调提高内部控制有效性，要求持续完善涉刑案件风险防控重点措施体系，包括：（1）股东股权和关联交易管理；（2）分级授权体系和权限管理；（3）岗位制衡、重要岗位轮岗和强制休假管理；（4）账户对账和异常交易账户管理；（5）重要印章凭证管理等。结合近两年发生的热点案件，不难看出，重点措施防范有意加强防范个别银行保险机构被不同程度地“非法控制”，进而可能被作为犯罪工具实施犯罪行为的风险。

另外，值得注意的是，《征求意见稿》要求银行保险机构建立健全案件风险防控评估机制，涵盖的评估事项可谓“全覆盖”，主要包括：（1）案件风险防控组织架构；（2）制度机制建设和落实情况；（3）案件风险重点领域研判情况；（4）案件风险重点防控措施执行情况；（5）案件风险识别与排查处置情况；（6）从业人员行为管理情况；（7）案件风险暴露及查处问责情况；（8）年内发生案件的内设部门、分支机构或所涉业务领域完善制度、改进流程、优化系统等整改措施及成效；（9）上一年度评估发现问题的整改落实情况，本年度案件风险防控存在的主要问题及改进措施。同时，《征求意见稿》要求以上评估内容及证明材料应于每年 1 月 31 日前向金融监管总局及派出机构报送。

事实上，金融机构作为强监管对象，监管部门要求自评估是一项传统的规定动作。但专门要求针对涉及刑事法律风险进行“事前 + 事中 + 事后”、体系性评估系首次，从中可见国家金融监管总局对银行保险机构刑事合规、预防性合规的重视。

需要指出的是，针对银行保险机构涉刑案件风险防控的体系搭建非一日之功，本次发布的《征求意见稿》未来还将可能进一步修改和调整。我们将持续关注银行保险机构刑事风险防控、合规监管领域的立法动态，助力银行保险机构在全面防范刑事法律风险、合规经营上行稳致远。