行业合规丨券商合规罚单激增:规则设计与执行之间的永恒鸿沟

您好，我是李律师，本文阅读时长约7分钟

5 月中旬，又一家知名券商出现了因内控失灵而招致违规处罚的风险事件。

这不是哪一家券商的困境。据经济观察网报道，2026年以来，已有48家券商被监管处罚，累计罚单152条，罚没金额约1.33亿元，同比激增近一倍。

制度有、流程有、合规部门有，但执行时该绕的绕、该签的签——这就是业内屡禁不止的"纸面合规"。

该券商是这轮处罚中一个典型的样本。翻看证监会官网的处罚记录，问题不是出在某一个层级、某一个环节，而是散布在整个管理体系中——

2022年1月　重大合同披露不及时、业绩预告信息披露不准确不充分等（沪证监决〔2022〕1号）

https://www.csrc.gov.cn/shanghai/c103864/c1773843/content.shtml

2023年2月　作为主办券商持续督导期间未能勤勉尽责，未发现虚增业务收入（沪证监决〔2023〕37号）

https://www.csrc.gov.cn/shanghai/c103864/c7229864/content.shtml

2025年5月　丽水营业部向非营销人员下达营销任务、不相容岗位部分职责未有效分离（浙江证监局）

https://www.csrc.gov.cn/zhejiang/c103952/c7559108/content.shtml

2026年4月　哈尔滨营业部员工未经授权私下向客户发送投资建议（黑龙江证监局）

https://www.csrc.gov.cn/heilongjiang/c103838/c7628415/content.shtml

2026年5月　境外子公司议案还是不上会，合规负责人还是不出书面意见

https://www.csrc.gov.cn/shanghai/c103864/c7634920/content.shtml

从总部到子公司到营业部，从信息披露到持续督导到利益冲突防范，从制度到流程到职责到权限——断点不是出在某一个层级、某一个环节，而是散布在整个管理体系中。

但这家券商并非孤例。研报利益冲突防控，是这轮处罚的重点领域之一。券商研报隔离墙，几乎成了全行业"纸面合规"的样本——制度有、流程有、合规部门有，但就是防不住。

这才是真正值得追问的问题：不是没有制度，是制度没有落地。不是没有合规部门，是合规部门的意见在关键决策时刻被绕过了。

"有"和"够"之间，到底差了什么？

制度写了，但执行标准模糊

研报隔离墙制度，几乎没有哪家券商没写。翻开任何一家券商的合规管理办法，利益冲突防范条款都在——投行人员不得提前知悉研报内容、研报作者不得参与投行项目、自营投资不得进行与研报观点相反的交易……该有的禁止性规定，一条不少。

但问题或许出在更细的地方。什么情形构成利益冲突？研报覆盖的上市公司恰好是投行项目的潜在客户，算不算？自营持仓达到多大比例需要触发隔离程序？分析师参加投行项目的内部讨论，是绝对禁止还是有条件允许？……这些一线人员最需要的判断标准，在制度文本里往往只有原则性表述，没有可操作的边界。

制度写了"不得存在利益冲突"，但没有告诉一线人员：遇到这种具体情况，我该怎么判断、该走什么程序、该找谁确认，难以判断时能向谁求助……制度到执行的最后一公里，缺的不是主观态度，而是客观标准。

流程设了，但关键节点卡口不够硬

在前面的处罚事由中，有一条特别值得注意：境外子公司相关议案未履行公司层面集体讨论决策程序。不是没有决策流程——券商的境外投资管理办法、子公司管理制度里，三重一大事项的集体决策程序写得清清楚楚。但实际发生的是，议案到了公司层面，没有上会讨论，合规负责人也没有出具书面审查意见。

流程在纸面上是完整的，但议案绕过了合规审查直接推进了。问题不是有人故意跳过流程，而是流程设计时没有给关键节点设置硬卡口——合规审查是"必经"还是"可选"？如果是"必经"，那议案不经过合规审查，能不能进入下一步？流程里有没有一个硬性的"不审查就不能推进"的机制？这个机制是人为把关还是系统控制的？……如果没有，合规审查就只是一个"最好走一下"的软节点，业务部门赶时间的时候自然会绕过去。

券商研报发布流程中也有类似的问题。隔离墙审查是必经节点——研报发布前，合规部门应当核查分析师是否与投行项目存在利益关联。但有的券商只要求分析师签一份"无利益冲突声明"就放行，流程走了，审查的实质被稀释了。节点在，但节点上没有硬卡口——不签声明不能发，这是硬的；签了声明就算审查过了，这是软的。

职责定了，但合规岗位被架空

处罚事由里还有一个细节值得深想：合规负责人未出具书面合规审查意见。合规负责人这个岗位是有的，职责也是明确的——境外子公司相关议案必须经过合规审查。但实际发生的是，议案没有经过合规负责人就走了下去。

合规岗位被架空，往往可能不是某个人的有意为之，而是组织运行中的惯性使然——业务部门赶时间、抢窗口，合规审查被视为"走流程"而非"做决策"，合规负责人的意见被视为"参考"而非"必经"。时间一长，合规审查从"必须等"变成"可以绕"，从"必须出书面意见"变成"口头说一下就行"。

更深一层的问题是：合规负责人的意见在决策链中的权重到底有多大？如果合规说了"不行"，业务还能不能推？如果合规的否决权没有制度性的硬支撑，那合规岗位的职责就只停留在纸面上——写了"必须审查"，但没有写"不审查就不能推进"。

权限分了，但行使偏了

去年 5 月对该券商某地营业部的处罚则指向了一个更普遍的问题：不相容岗位部分职责未有效分离——营销任务被下给了非营销人员，本应相互制约的岗位之间，职责边界便模糊了。另一地的处罚则更进一步：营业部员工在公司未授予证券投资顾问业务权限的情况下，私下通过微信群向客户发送投资建议。

权限分配在纸面上是清楚的——谁有投顾资格、谁可以发投资建议、营销人员和非营销人员的职责边界在哪里，制度里都写了。但权限的行使偏离了分配：没有投顾权限的人在做投顾的事，非营销人员在扛营销的指标。

这很可能并非个别员工"不懂规矩"。更深层的原因是，当业务指标的压力传导到营业部，合规让步于业务几乎成了一种默认选项——营销任务完不成，就让非营销人员也参与；投顾人手不够，就让没有权限的人也顶上。权限分配是静态的，权限行使是动态的；分配写在制度里，行使发生在每一天的日常操作中。两者之间的偏移，才是权限管理真正要管住的地方。

数据有了，但睡着了

研报利益冲突防范，说到底是一个信息交叉比对的问题——分析师正在覆盖的上市公司，是不是投行正在服务的客户？自营账户的持仓，和研报推荐的方向有没有重合？这些信息在券商内部都是有的：投行有项目管理系统，研究所有研报管理平台，自营有交易记录。但它们各自跑在不同的系统里。

利益冲突本应靠数据交叉比对来发现，但系统之间根本不说话。合规人员要核查一份研报是否存在利益冲突，往往需要分别登录投行系统查项目、登录研究所系统查覆盖范围、登录自营系统查持仓，再人工比对。时间成本高、覆盖面窄、滞后性强——等到合规发现问题时，研报可能已经发布了。

这不是系统建设的问题。每家券商的IT投入都不小，该有的系统都有。真正难的是把纸面规则翻译成系统字段——利益冲突的判断标准，怎么变成系统里的自动比对规则？隔离墙的触发条件，怎么变成系统里的硬控制？制度里写的"不得存在利益冲突"，在系统里对应的是哪几个字段、哪几张表、哪几个比对逻辑？数据有了，但数据之间没有打通；规则有了，但规则没有变成系统里的硬控制。数据睡着了，规则就只停留在纸面上。

回看这五个断点，有一个共同的规律：规则不是没有，而是不够。