风险评估	企业能否有效识别、分析及应对其特定风险？有否对不同程度的风险投放适当资源（会否投放过多资源于低风险领域）？企业有否定期检视并更新风险评估机制？
合规政策与制度	企业如何制定和实施新的合规政策和程序？有否作出努力定期监督合规政策与制度的实施情况（包括应对法律与监管环境的变化）？有否将合规政策与制度告知员工（包括海外子公司员工）及有关第三方？有否对负责合规審核的把关者提供足够有效的指导和培训？
培训与交流	培训企业有否对高风险、控制岗位或负责监管的员工提供具有针对性的培训？培训的形式和语言是否适合于学员（例如，有否对过去违规案例进行分析）？交流企业的管理层如何让员工知晓企业对于不当行为的态度？员工因违规被解除劳动合同或者给予其他纪律处分时，企业如何与其沟通？企业有否为员工提供有关合规管理制度的指引？
违规举报和调查	违规举报企业有否建立有效的匿名举报机制（例如让员工知悉举报机制的流程、有系统地评估收到的违规举报之严重性、对举报机制给予足够资金支持等）？调查企业如何确定违规调查人员的人选？如何确保违规调查的范围恰当，并保持独立性、客观性、适当性？长远而言，企业有否对违规举报或调查发现进行定期分析，以辨别较常见的不当行为以及合规管理较弱的领域？
第三方商业伙伴管理（对商业伙伴进行尽职调查）	企业有否因应风险性质和级别对第三方商业伙伴（包括其代理人、顾问、经销商等容易被用作隐瞒不当行为的身份或实体）进行尽职调查？企业是否了解其商业伙伴的周边关系（例如与海外官员的来往）？企业是否对商业伙伴有一定管控（例如确保相关合同对服务的内容给予清晰界定、支付条款合理、合同义务已经履行、报酬与所提供的服务相匹配等）？在第三方尽职调查发现问题时，企业有否积极跟进？如何确保未能通过尽职调查的第三方商业伙伴不会再被录用？
并购（对标的公司尽职调查）	合规管理准则能否融入尽职调查的过程中？在尽职调查中，企业是否能够识别不当行为或者不当行为的风险？对于在尽职调查中识别出的不当行为或不当行为风险，企业有什么跟进和应对整改的程序？

合规管理制度是否得以“有效实施”？

美国司法部将从管理层的合规承诺、合规管理部门人员的自主权、奖惩制度三个方面，评价企业合规管理制度是否得以有效实施。

管理层的合规承诺	企业高管有否通过言行鼓励合规，并在下属面前以身作则？中级管理人员（业务经理、财务、采购、法务、人力资源部门等）有否在日常营运中履行企业对合规的承诺？在董事会层面，有否与合规部门召开会议？
自主权和资源	企业现时采用什么合规管理组织结构（例如合规管理人员是否专职于合规工作，还是兼任其他职责）？与企业其他的战略管理部门相比，合规管理部门在职衔、薪酬、汇报机制、资源、与主要决策者直接沟通等方面的地位如何？合规管理人员是否具备与其职责相应的经验和资历？就合规管理目标，企业是否配备了足够的合规管理人员及投放足够资金来有效审查、归档、分析和采取行动？合规管理部门可否向董事会及/或审计委员会直接报告？当把合规管理职能外包给第三方律所或咨询公司时，企业内谁负责监督和协调工作？
奖惩措施	针对不同种类的不当行为，谁负责决定相应处罚？会否与员工说明纪律处分的原因？奖惩措施是否在企业统一实施？企业如何奖励合规行为？

合规管理制度是否得以“切实执行”？

新版指南以持续改进、违规调查两个方面，评估企业合规管理制度执行的有效性。

持续改进、定期测试和评估

合规审计

企业如何决定合规审计的范围和频率（决定过程的原因是什么）、如何开展合规审计？哪些合规审计发现和整改有定期向管理层和董事会汇报？管理层和董事会如何跟进？

控制测试

企业采取了哪些内部控制测试、合规数据收集和分析，以及如何与员工和第三方商业伙伴访谈？如何报告测试结果，以及有否作后续跟进？

更新制度

企业是否进行过差距分析（Gap Analysis），总结特定风险领域在合规、控制或培训中有否充分说明？对风险评估进行更新，对合规政策、制度和实践进行审查的频率有多高？

合规文化

企业如何对合规文化的普及度进行评估？有没有从所有层级的员工收集意见，以了解他们是否明白公司高层和中层管理人员的合规承诺？

不当行为调查

企业如何确保调查范围恰当，并保持其独立性、客观性、适当性，如何确保调有被适当记录？调查结果可否用作辨别根本原因、系统缺陷、（包括监督人员和高级管理人员）责任失效？

不当行为的分析与整改

分析

企业有否对不当行为的根本原因进行分析？哪些内部控制失效？不当行为的资金来源（如订单、员工报销、折扣、备用金等）是什么？供应商是否参与了不当行为？如有，供应商的选择程序是什么？企业选择的供应商是否通过该程序？过去是否有机会监测到不当行为，如审计报告识别出相关控制失效、举报、调查等？为何错失相关机会？

整改

企业采取了哪些整改措施，以降低相同或类似问题不再发生的风险？对于违规行为，企业采取了哪些问责措施，是否及时？管理层会否因不当行为问责？

新版指南规范的主要内容是不当行为的预防和管控，涉及的不当行为包括收受礼品与招待、政治捐款、欺诈等，属于诚信合规管理范畴。企业宜因应行业风险性质（例如金融业应专注于反洗钱方面的合规风险），有侧重地参考和使用新版指南内的指引。

在后疫情时期，中美关系变数愈大的背景下，存在太多不确定的因素。不过新版指南对在美设子公司、在美国上市或因其他原因落入FCPA长臂管辖权的中国企业，还是具有相当的参考价值，对不落入美国法管辖的中国企业制定其全球合规框架，也是有益处的参考。

国内需要在私募基金设立和登记、运营中重点关注哪些环节？

国内私募基金合规管理实务中，需要在私募基金设立和登记、运营中重点关注以下几个方面：

一是私募基金的结构设计。

结构设计除了合规的考量，还受到税务筹划方面的影响。目前，结构设计涉及的合规问题主要是通过嵌套突破合格投资者的要求。

二是私募基金合同或合作协议的条款设计。

虽然相比于其他合同类型，私募基金合同条款的范本使用率是比较高的，但是在合同条款设计时，有几个重要条款需要确认，主要包括资金缴付、收入分配、信息披露等条款。不能简单使用合同范本，要根据私募基金管理人的具体情况设计条款。

三是重视合规。

在私募基金登记、备案和运营过程中，很多流程都涉及合规，特别是募集行为合规、投资者适当合规、财产安全合规、投资运营合规等。切忌出现违规了再备案，或备案过程中出现违规事项。现实中，很多基金投资运营后才想到备案，由于不能和银行签订募集资金专用账户监督协议，使得私募基金无法备案，甚至影响后期项目上市。

四是培养合规意识。

主要培养机构内部其他部门的合规意识。私募基金很多业务工作不可能每个细节全部参与，但是其他业务不合规同样产生法律风险。为了提前防范风险，应提前向其他部门输出合规意识。

如何培养合规意识？

内部控制贯穿私募基金募集、投资、运营管理到退出的整个过程，内部控制的质量直接影响公司发展的稳定性和投资的安全性。私募基金管理人应该建立：

1、科学完善的治理结构和组织结构。

通过合理的治理机构和组织机构，建立健康的股东之间、合伙人之间的关系，明确公司内部各个部门的职责分工，形成有效的牵制和监督。

2、可行的风险评估体系。

通过对风险的预测和评估，采取有效的控制措施，将风险控制到可承受的范围。

3、合理有效的制度和流程。

通过对各个业务流程的控制，降低私募基金在运营过程中的风险，同时保障业务流程高效的运行。

在私募基金管理人登记的过程中，协会也会要求管理人提交有关内部控制的各项制度文件。例如运营风险控制制度、信息披露制度、机构内部交易记录制度、防范内幕交易、利益冲突的投资交易制度、合格投资者风险揭示制度、合格投资者内部审核流程及相关制度。

有关内部控制的理论框架，COSO发布的《内部控制—整合框架》是国际上比较广泛应用的内部控制框架，我国财政部发布的《企业内部控制规范—基本规范》也是合理的借鉴了COSO的内部制度框架。

企业内部控制框架要点

在搭建企业内部控制框架的时候，有两点需要思考：

一是如何把国家层面的规范标准接地气的运用于企业的内控建设。

国家层面的标准个人认为和大中型企业的内部结构是比较匹配的。建立符合中小企业自身情况的内控制度必须要充分了解内控的实质和内控的战略目标。单纯的照抄照搬，既浪费时间精力又没有效果。

二是如何认识企业内控制度和企业风险管理体系。

在很多中小企业，这两个概念没有很严格的区分。理论界和实务界也存在争执，还未达成共识。两者在实质上、组成要素以及控制措施上具有统一性，两者在含义和范畴以及应对上又有区别。风险管理侧重于事前，注重风险的识别、评估和应对处理。

如果对内部控制和风险管理的关系想有更进一步的研究，建议把相关规范标准对比分析。

如何加强与监管机关的沟通？

了解企业管理体系或“企业内部控制框架”、“企业全面风险管理体系”的，都知道“信息与沟通”在管理体系中的含义和作用。管理体系中的“信息与沟通”侧重于信息的全面性、书面化和相对被动性，这里主要是说如何加强与监管机关的沟通。

在私募基金合规风控的工作中，主要沟通的对象是基金业协会和地方监管局。在私募基金登记与备案的流程中，有可能遇到协会的反馈，需要机构和协议沟通。除此之外，也可以通过邮件与协会沟通，协会都会给出答复或建议。

近年，入驻私募机构都会接到有关私募自查的通知。因此，加强和地方监管局业务和合规方面的沟通，是私募机构完善自身合规风控的有效途径。

建立合规负责人任职履职监管机制

除了满足3年内未被采取行政处罚或重大行政监管措施等条件外，合规负责人至少满足以下之一：

1. 从事证券、基金工作10年以上+通过协会考试；

2. 从事证券、基金工作5年以上+通过法律职业资格考试；

3. 在证券监管机构、证券基金业自律组织任职5年以上；

对重要的制度、重大决策、新产品业务出具审查意见，还需要履行合规检查、合规咨询、合规培训、投诉处理等职责，没有长时间的行业经历积淀以及相应的专业知识的积累的确很难。

规则明确合规管理部门至少应有两名从业3年以上的老司机。香港关于持牌法团中的RO（responsible officer）也对应要求有专业工作要求及管理经历要求，制度适用上与这里对于合规负责人、合规管理人员的要求上有些类似。

与征求意见稿相比，规范第24条对于如何实现“基金管理公司应当将各层级子公司纳入统一合规管理体系”执行上有所差别，将其第（一）、（二）项由原来“子公司应当”调整为了“基金管理公司要求子公司……”，明确基金管理公司需对子公司提出要求，合规管理一致性的管理职责在基金管理公司，体现母公司对于子公司的合规管理承担主动的管理职责。

办法规定“从事另类投资、私募基金管理、基金销售等活动的子公司，应当由证券基金经营机构选派人员作为子公司的高级管理人员负责合规管理工作，并由合规负责人考核和管理。”说明子公司在执行合规标准上与母公司没有差异，即合规全覆盖、无死角，对于董事会、监事会、高管等合规要求也均相同。从行业实践上看，子公司也往往是各类风险容易爆发的地方，确有必要从母公司层面执行合规管理标准和职责，尽量降低子公司的风险敞口。

根据办法规定，合规负责人的合规审查意见没有被采纳的，应当将有关事项提交董事会审议决定。从合规负责人对董事会负责的角度看，不予采纳合规负责人的合规审查意见的决定须由董事会作出。

新规还要求合规负责人应当协助董事会和高级管理人员建立和执行信息隔离墙、利益冲突管理和反洗钱制度，按照公司规定为高级管理人员、下属各单位提供合规咨询、组织合规培训、投诉处理等。

同时，规定其他高级管理人员等人员应当对向监管层报送的申请材料或报告中基本事实和业务数据的真实性、准确性及完整性负责。

协会自律处罚范围新增“其他负有直接责任的工作人员”

基金管理公司的董事、监事、总经理、督察长、其他高级管理人员及其他负有直接责任的工作人员未能勤勉尽职，致使公司存在重大违法违规行为或者重大合规风险的，协会可以视情自律处罚。与前一版意见稿相比，“其他负有直接责任的工作人员”纳入自律处罚范畴，也体现了全员合规的要求和全员合规职责落实，因此执业过程中必须勤勉尽责，避免重大违法违规行为或重大合规风险的发生，不仅是董事、监事、高管的事，也切实关系到每一个工作人员自身的利益。
监督机制上建立内部+外部模式，立体监督经营机构合规管理落实。要求委托具有专业资质的外部专业机构进行的全面评估，每3年不得少于1次；内部全面评估合规有效性每年不少于1次。

监管期待的是全体参与、全员配合下的合规管理。同时，针对从事另类投资、私募基金管理、基金销售等活动的子公司也纳入母公司统一合规管理体系，对合规风险管控难度较大的部门和分支机构应当配备专职合规管理人员，加强合规管理监督指导。

来源：姜山基金小镇

小编微信：Crocso 如欲就法务与合规管理进行交流、培训、咨询等，可与我联系，将为您推荐大咖老师、资深专家和律师。