针对企业合规的知识管理,我是从哪里开始的?
作者:九月 编辑:玉希
企业为什么要做合规?
为了应对检查。
近几年通管局对于电信和互联网行业网络与数据安全的检查层出不穷,没有哪家企业愿意出现在通报名单上。
由于数据安全上的高压政策,微博甚至把数据安全写进了招股说明书的风险因素里。
当然,不断变化的法律及法规,也成为企业在合规上的推动力。
还有越来越多企业,将ESG和可持续发展战略放在了自己的官网上:
对于企业而言,合规,可能意味着各种各样的操作规范,也可能是一系列法律法规和政策。
九月最近在学习合规领域的知识,越学越觉得不是个头,但“吾生也有涯,而知也无涯”,小目标是要成为律师圈企业合规的课代表,希望接下来能在企业合规这个领域,和大家一起展开探讨。
这两天学习来某科技公司信息安全负责人Hobby老师在安世加的分享,觉得很有启发。结合《中央企业合规管理办法》(下称《央企合规》)的学习心得,以数据合规为例,来聊一聊企业合规可以怎么做。
根据《央企合规》第二章 组织和职责,企业合规的第一步是搭班子。
合规并不是一个人或者几个人的事情,它需要多个组织联动起来,在开展组织架构建设的时候,不仅仅需要考虑组织层面实体的管理团队以及执行团队,同时还需要考虑虚拟组织,各部门均需要参与到合规建设当中,同时需要根据部门的职责建立不同的合规角色,以满足企业合规的需求。
《央企合规》中分成了董事会、经理层、业务及职能部门层三个层级,企业董事会发挥定战略、作决策、防风险作用,企业经理层发挥谋经营、抓落实、强管理作用,业务及职能部门承担合规管理主体责任。
以数据合规为例,决策层需要审批数据安全等管理制度、决策数据安全整体方针策略,决策突发事件处置方案;
管理层需要统筹处理,起草修订数据分级分类标准,组织数据合规培训,制度措施执行情况的审计等等。
执行层一般是由研发、业务、法务、财务、品宣等不同部门共同组成,每个部门都需要指派一名或者几名对接人。
根据《央企合规》第三章,企业合规的第二步就是制度建设了。
第十六条 中央企业应当建立健全合规管理制度,根据适用范围、效力层级等,构建分级分类的合规管理制度体系。
第十七条 中央企业应当制定合规管理基本制度,明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。
第十八条 中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南。
中央企业应当针对涉外业务重要领域,根据所在国家(地区)法律法规等,结合实际制定专项合规管理制度。
第十九条 中央企业应当根据法律法规、监管政策等变化情况,及时对规章制度进行修订完善,对执行落实情况进行检查。
一般而言,制度流程分四个层制定,每层之间需要关联对应,并且保证不重复矛盾。
顶层自然是由决策层确定管理要求、目标及基本原则,也就是总方针总纲领。
第二层是由管理层根据一级管理要求制定通用的管理办法、制度以及标准。
第三层一般由管理层、执行层根据第二层的管理办法,确定各业务各环节的具体操作指南、规范,比如说数据使用规范、分级分类标准、数据调取流程等等。
第四层,这就属于辅助型的文件,一般包括操作程序、工作计划、资产清单、过程记录等等这类过程性的文件。第四层是对上层管理要求的细化解读,用于指导具体业务场景的具体工作人。
根据《中央企业》第四章 运行机制,企业合规的第三步,就是合规运行。
这里存在一个问题,合规并不是一蹴而就的。几乎所有的公司都有过野蛮生长的历史,那时候为了活下来,很多东西都不够规范,很多信息都是混乱的。
所以一来我们要做好持久战的准备,二来,不妨学习检察院在「合规不起诉」上的经验,开展试点,挑选一两个典型的业务,成功之后再复制推广,那么这一切将会顺畅的很多。
我们在位为企业做合规体检、合规整改、合规规划的时候,可以先从简单的入手打个样,循序渐进的推开。
这个简单的业务,首先得含有敏感的内容,如果说都没有敏感数据敏感内容,全都是一些无关紧要的东西,那么合规整改的作用并不大。
第二是要相对独立,和其他业务关联比较少,如果因为合规整改这个业务出现了某些阻滞,也不能耽误企业其他核心业务的运转。
如果我们确定了一个要整改的领域,那么接下来就是:
第二十条 中央企业应当建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可能产生严重后果的风险及时预警。
如何全面梳理合规风险呢?那需要我们摸清家底,也就是理业务,需要发挥大家尽调的功力了。从业务视角出发,需要对业务的现状调研分析,最好是绘制出业务流程图。
从数据视角出发,需要梳理业务的数据流向,绘制数据流向图,确定数据资产清单。
第二十一条 中央企业应当将合规审查作为必经程序嵌入经营管理流程,重大决策事项的合规审查意见应当由首席合规官签字,对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等,定期对审查情况开展后评估。
根据《中央企业》第五章,合规文化,合规培训是企业合规建设中强化合规意识重要的一环。(推荐阅读:《助力企业合规培训,律师交付的是什么?》)
当一期合规整改/合规建设/合规体检项目完成,并不意味着企业合规建设的结束,而是常态化运营机制的开始,需要持续的服务和维护下去。