企業(yè)如何獲得ISO37301合規(guī)管理體系認證

企業(yè)合規(guī)經(jīng)營的關(guān)鍵支柱在于合規(guī)體系之搭建。要使合規(guī)管理形成企業(yè)經(jīng)營的“防火墻”，保護企業(yè)免受因合規(guī)風險所帶來的嚴重影響或重大損失，企業(yè)應當根據(jù)其行業(yè)特點和經(jīng)營管理模式搭建針對性的合規(guī)體系。而一個行之有效的合規(guī)體系搭建，離不開合理的制度和程序、高層參與、風險評估、盡職調(diào)查、培訓和溝通、監(jiān)督和審核六大組成部分，這六大組成部分也是ISO 37301合規(guī)管理體系基本要素的要求。具體而言：

1.合理的制度和程序

企業(yè)應制定合理的制度和程序，其作為企業(yè)合規(guī)體系的核心，是企業(yè)所有員工履行職責的基本要求。主要分為以下四方面：

（1）企業(yè)行為準則，這是企業(yè)經(jīng)營管理和文化建設的綱領(lǐng)性文件，包括企業(yè)愿景、使命、核心價值觀、合規(guī)方針、社會責任等方面；

（2）企業(yè)合規(guī)管理制度，這是企業(yè)合規(guī)部門進行合規(guī)管理的程序性規(guī)章制度，包括合規(guī)組織制度、合規(guī)風險管理流程、合規(guī)審查流程、違規(guī)舉報、調(diào)查與處置流程、合規(guī)報告程序等方面；

（3）職能部門管理規(guī)章，企業(yè)不同的職能部門涉及到不同的合規(guī)規(guī)范的執(zhí)行與遵守，例如，管理、財務、人事行政、法務、內(nèi)控等部門均有相對應的合規(guī)規(guī)范；

（4）業(yè)務合規(guī)流程，企業(yè)各業(yè)務領(lǐng)域涉及不同的合規(guī)規(guī)范，例如傳統(tǒng)的業(yè)務合規(guī)流程、網(wǎng)絡安全合規(guī)流程、產(chǎn)品合規(guī)流程、跨境電商領(lǐng)域合規(guī)等，具備較強的專業(yè)性，往往需要企業(yè)合規(guī)部門與業(yè)務部門合作制定和修改相關(guān)的業(yè)務合規(guī)流程。

2.高層參與

企業(yè)合規(guī)運作應有高層的參與，形成較為成熟的合規(guī)組織體系。高層參與能夠使企業(yè)形成上下連貫的合規(guī)組織結(jié)構(gòu)，如公司自上而下設立合規(guī)委員會、分支機構(gòu)和職能部門中的合規(guī)部門，合規(guī)部門直接向公司合規(guī)委員會和首席合規(guī)官匯報。這樣能夠確保企業(yè)管理層及時識別合規(guī)風險并采取應對措施。

3.風險評估

定期或不定期地對企業(yè)活動中存在的合規(guī)風險進行識別與評估。例如，在投融資或收購項目中，企業(yè)需要對該項目進行合規(guī)風險評估，評估結(jié)果作為決策參考，降低企業(yè)風險。

4.盡職調(diào)查

合規(guī)部門針對已存在的合規(guī)風險進行調(diào)查和研究，形成合規(guī)風險報告，并研究制定和實施降低風險的措施。

5.培訓與溝通

企業(yè)需要定期組織培訓和溝通，一方面能夠確保員工了解最新的法律法規(guī)、監(jiān)管規(guī)定、企業(yè)內(nèi)部規(guī)章制度等方面內(nèi)容；另一方面也能夠保證企業(yè)高層管理者與其它層級員工維持一種穩(wěn)定的溝通，使企業(yè)高層管理者的合規(guī)理念與態(tài)度能夠順暢傳達至企業(yè)各層級員工，形成合規(guī)文化。

6. 監(jiān)督與審核

企業(yè)應建立合規(guī)監(jiān)控體系，包括監(jiān)督與審核。監(jiān)督是指企業(yè)的高層管理者或員工在進行業(yè)務活動時，都應在其職責范圍內(nèi)進行可持續(xù)的管理與監(jiān)督，檢查每一項業(yè)務活動是否存在違規(guī)行為。審核是企業(yè)對合規(guī)管理體系運行情況的評審，企業(yè)通過審核及時發(fā)現(xiàn)問題并加以整改，有助于持續(xù)提升合規(guī)管理能力，確保企業(yè)的合規(guī)體系在全球各地得到了良好的貫徹執(zhí)行。

在了解企業(yè)合規(guī)體系搭建方法論的基礎上，我們以數(shù)據(jù)合規(guī)為例，結(jié)合數(shù)據(jù)合規(guī)應用場景，分享企業(yè)數(shù)據(jù)合規(guī)體系搭建和落地的方法論。

1.搭建數(shù)據(jù)合規(guī)體系

企業(yè)的數(shù)據(jù)合規(guī)體系搭建步驟大致可分為以下三個階段：

第一階段，數(shù)據(jù)核查。從信息安全角度進行數(shù)據(jù)核查的常規(guī)做法是使用軟件來“感知”一個系統(tǒng)內(nèi)的數(shù)據(jù)種類，并給予這些數(shù)據(jù)的敏感程度對該系統(tǒng)提出整體的安全方案。例如，有些比較關(guān)注數(shù)據(jù)合規(guī)的企業(yè)會通過SERVICE NOW、ONE TRUST、HIPEROS等數(shù)據(jù)合規(guī)工具，在跨境數(shù)據(jù)傳輸、合同審查、產(chǎn)品服務、隱私監(jiān)管審查、盡職調(diào)查等方面輔助數(shù)據(jù)核查。數(shù)據(jù)核查不僅能夠了解企業(yè)個人信息的收集和處理的現(xiàn)狀，同時也是企業(yè)了解現(xiàn)狀、識別風險和建立數(shù)據(jù)合規(guī)體系的重要基礎。

第二階段，進行風險識別和制定合規(guī)方案。企業(yè)可結(jié)合網(wǎng)絡安全和數(shù)據(jù)保護法律法規(guī)規(guī)定的合規(guī)義務進行差距分析和風險識別，系統(tǒng)梳理和評估企業(yè)面臨的數(shù)據(jù)風險和競爭風險，提前分析預判可能導致的數(shù)據(jù)合規(guī)風險。例如，如果一家擬上市企業(yè)要選擇香港上市或國外上市，則該企業(yè)需充分考慮是否需要進行網(wǎng)絡安全審查，如需配合國外監(jiān)管機構(gòu)的信息披露要求，應當及時與國內(nèi)監(jiān)管保持溝通并按照程序獲得批準，優(yōu)先遵循國內(nèi)法律法規(guī)要求，并就企業(yè)的IT系統(tǒng)、用戶界面、用戶注冊流程以及在個人信息收集、使用以及保護的透明度等方面，進行整體合規(guī)方案規(guī)劃。

第三階段，數(shù)據(jù)合規(guī)規(guī)則建立和落地。企業(yè)可結(jié)合實際情況建立數(shù)據(jù)合規(guī)規(guī)則，完善相關(guān)的制度和流程。開展員工意識培訓，使員工認識、了解數(shù)據(jù)合規(guī)要求以及如何在業(yè)務流程中落實制度要求。在數(shù)據(jù)保護合規(guī)制度搭建起來后，企業(yè)需要持續(xù)追蹤數(shù)據(jù)保護合規(guī)制度實施情況，改善企業(yè)數(shù)據(jù)合規(guī)機制，確保企業(yè)的數(shù)據(jù)合規(guī)制度能夠持續(xù)符合監(jiān)管要求。

2.單項產(chǎn)品數(shù)據(jù)合規(guī)體系落地

企業(yè)搭建起來的數(shù)據(jù)合規(guī)體系如何落實到具體的業(yè)務流程中，以確保涉及數(shù)據(jù)的業(yè)務經(jīng)營符合監(jiān)管要求？在此，我們以單項產(chǎn)品上線流程為例，簡要描述一個數(shù)據(jù)合規(guī)體系的落地過程。

（1）在產(chǎn)品醞釀階段，企業(yè)可以邀請隱私保護專家列席產(chǎn)品開發(fā)的研討，專家提供個人信息保護的合規(guī)建議，提示合規(guī)風險與解決方案，此過程應通過會議記錄或郵件的形式留痕。

（2）在初步產(chǎn)品設計階段，產(chǎn)品設計團隊針對使用的數(shù)據(jù)種類建立控制以及架構(gòu)來處理第一稿的產(chǎn)品設計，第一稿的產(chǎn)品設計需體現(xiàn)上一階段提出的隱私及個人信息保護風險的解決方案。

（3）產(chǎn)品設計團隊將完成后的產(chǎn)品設計進行個人信息安全影響評估（Data Protection Impact Assessment, DPIA）。滴滴出行受審查一事，除了網(wǎng)絡安全審查和其他的法律問題，也強有力地證明了企業(yè)對于與數(shù)據(jù)相關(guān)的產(chǎn)品進行個人信息安全評估的必要性和重要性。例如，有些比較關(guān)注數(shù)據(jù)合規(guī)的企業(yè)，其與數(shù)據(jù)相關(guān)的新產(chǎn)品和新服務，從研發(fā)到上線，都需要數(shù)據(jù)安全和個人隱私專家提前介入，從法律、商業(yè)、技術(shù)三個維度對個人信息安全進行綜合評估，并形成個人信息安全影響評估報告，防范數(shù)據(jù)安全風險，防止企業(yè)日后因數(shù)據(jù)安全不合規(guī)而遭受重大損失，影響企業(yè)發(fā)展。

（4）最終產(chǎn)品能夠?qū)ο惹安槌龅碾[私和個人信息保護風險進行處理，以及明確相應的技術(shù)手段和控制，通過最終產(chǎn)品展示會議（包含法務、風控、合規(guī)、安全等部門）以及論證加以證明。

總而言之，ISO 37301的國際可認證性，在企業(yè)合規(guī)治理、傳遞商業(yè)信任、向監(jiān)管機構(gòu)證明存在合規(guī)管理體系、作為企業(yè)向司法機關(guān)提供關(guān)于違規(guī)量刑的正面證據(jù)、爭取合規(guī)不起訴等方面提供了重要支持。無論企業(yè)要不要取得ISO 37301的認證，ISO 37301的標準提供一個搭建合規(guī)體系的方法論和架構(gòu)，加上有實操經(jīng)驗的專家的指導和協(xié)助，企業(yè)可以有效搭建出適配企業(yè)實際情況并符合國際水準的合規(guī)管理體系，賦能企業(yè)業(yè)務增長，為企業(yè)國內(nèi)外運營保駕護航，保護企業(yè)和相關(guān)高管，幫助企業(yè)基業(yè)長青。

來源：質(zhì)量與認證