编者按
随着数据成为新型生产要素,企业数字化转型已是大势所趋。但由于数据管理能力的提升、企业合规管理体系的发展,数据管理标准与合规管理标准有机融合方面尚处于空白阶段。为解决合规管理问题,加快推动数据治理创新进程,规范数据行为,赋能DCMM贯标,提升企业数据管理能力及合规化水平,降低数据全生命周期等风险,中国电子信息行业联合会积极探索并发布《数据合规管理体系要求》。
为此,本文将基于标准专家视角分享对标准的认知与价值解读,帮助社会各界理解该标准对DCMM国家标准贯标的意义,以及助力数据合规管理体系标准有效落地实施的符合性诊断技术。
01 研制《数据合规管理体系要求》的必要性
当前合规工作已被各国提上重要议事日程,各国法律法规要求也日趋严格,在反垄断、反不正当竞争、反洗钱等多领域对企业提出更高的合规管理要求,国际层面更是加强对相关贸易活动中相关组织不合规行为的联合惩戒力度。
中国高度重视数据的基础性和战略性作用,更是将合规工作纳入2035远景发展目标纲要中,旨在引导企业加强合规管理,守法经营。工业和信息化部、国务院国资委等相关部门正积极推动数据合规相关工作的开展,制定《中央企业合规管理办法》等指导性文件,在立法层面将企业合规管理工作推向新高度。与此同时,各地也积极开展企业合规改革试点工作,由检察院牵头,督促企业建立合规制度,履行合规承诺,并充分探索建立企业合规第三方监管机制,提升合规工作执法监督质量。
此前,中国标准化研究院牵头制定GB/T35770合规管理体系及使用指南国家标准,此后国家市场监督管理总局等主体在各自相关行业领域深入开展合规管理细化工作,数字合规是数字经济发展的基石,为促进数字经济行业的健康稳步发展,必然需要加强数据合规管理体系的建设。
构建数据合规管理体系一方面能够打通各项法律法规之间的关联,便于企业结合章程制定针对性合规策略,真正实现“外规内化”;另一方面能够依法强制企业加强合规管理工作。随着《中华人民共和国数据安全法》等法律的出台,中国已建立起较为严密的数据法规体系。
正是基于上述背景,我国旨在从规则、技术、管理等角度将数据与合规进行有效衔接,打造数据合规管理体系,通过管理体系形成相互关联、相互作用的制度体系,提升数据管理能力,同时引进第三方认证评估制度,确保数据合规工作的顺利落地实施。
02 《数据合规管理体系要求》标准解读方法
(一)数据合规管理体系标准核心要素
把握数据合规管理体系标准的核心要素,是快速掌握《数据合规管理体系要求》标准的前提。
1、合规管理对象
构建合规管理体系以明确管理对象为前提,识别管理重点,即识别企业需履行的全部合规义务,其中合规义务包括企业强制遵守的要求(如法律法规、条约、公约和协议等要求)以及企业自愿选择遵守的要求(如与社会团体或NGO签订的协议、企业内部规定等)。
2、合规管理范围
合规管理具有较强延展性,因此企业在生产经营过程中会直接或间接受到来自外界,如供应商、上级单位等相关方的影响,进而引发合规风险,为此,需明确合规管理范围,进而要求实现“三全合规”:
首先,“全员”合规,明确外部相关方与内部相关方主体;
其次,“全域”合规,确保与相关专项领域(如法务、审计、风控、内控等)以及与相关管理领域(如质量、环境、健康安全等)实现深度融合;
最后,“全过程”合规,实现产品生命周期以及数据生命周期过程的合规管控全覆盖。
3、识别合规义务、评估合规风险
企业要在识别合规义务基础上基于风险思维的方法论积极开展合规风险评估,开展风险评估需以违规后果为参照,如个人伤害、环境影响、经济损失等后果,并根据评估结果划分合规风险等级,优先应对高级别合规风险,最终实现覆盖所有合规风险的目标。
4、合规文化
合规管理本质是行为管理,因此合规文化的建设对于构建企业合规管理体系至关重要。建设合规文化实质在于构建属于企业自身的合规行为规范,如管理者以身作则、对关键岗位人员开展尽职调查、加强新员工培训强调组织价值观和合规要求等,并切实保障此类行为规范被纳入到企业规章制度与相关文件中,逐步营造企业合规文化氛围,提升内部合规意识。
5、职责和权限
如前文所述,合规管理本质是行为管理,因此明确职责和权限,并建立相应考核机制,责任落实追究到部门、到人,才能够真正推动合规管理工作的落地,如企业治理机构需要承担对企业的高层管理者层进行监督、考核的职责;企业高层管理者需制定战略、目标并建立责任问责和绩效考核机制;部门负责人承担识别合规风险,将合规要求融入管理和业务流程的职责。
其中,《数据合规管理体系要求》明确要求企业需确保合规团队的独立性,即其应能直接接触治理机构、高层管理者而不受任何组织和个人的不当干扰或压力,同时要求合规团队履行其岗位不宜存在利益冲突,以确保企业合规工作独立、客观的开展。
6、数据生命周期行为控制与数据管理行为控制
数据合规管理关键点在于数据生命周期行为控制与数据管理行为控制,其既能有效指导企业识别合规义务、评估合规风险,又能有效指导企业建立相关数据合规管理制度。因此企业需要对数据从采集、存续与传输、运维、使用到退役的全生命周期行为进行有效控制,并建立相关数据管理行为控制措施:
第一,建立管理措施,如制度体系、认责体系以及运营体系等;
第二,采取技术措施,包括数据检测技术、治理技术以及持续监管技术等;
第三,建立完善的预防措施,如预防发生个人信息泄露、篡改、丢失的预防措施;数据安全事件应急预案等。
7、举报机制和调查机制
举报和调查机制是企业合规文化建设不可或缺的部分。因此《数据合规管理体系要求》要求企业建立完善的举报机制以及调查机制:
首先,建立健全合规举报机制,鼓励内部人员举报涉嫌或实际的不合规情形,要求企业所有人员了解举报机制,并对举报者保密,接受匿名举报并保护举报者免于遭受打击报复;
其次,针对举报情况建立调查机制,对于涉嫌或实际的不合规情形进行调查,要求企业确保调查过程公平、公正,并有具备相应能力的人员独立进行调查,避免利益冲突,同时组织应当视情况利用调查结果改进合规管理体系,并需定期向治理机构或最高管理者报告调查的结果。
8、绩效评价与“三重管控”
《数据合规管理体系要求》提出企业建立合规管理体系需要进行“三重管控”,以确保相关合规规章制度的落地并达到预期实施效果:
第一,开展日常检测,要求执行部门和人员自我检查,建立合规绩效评价指标,包括经过有效培训的员工比例,监管机构介入的频率等;
第二,组织内部审核,要求企业定期开展部门间的交叉检查;
第三,开展管理评审,要求企业董事会或监事会和最高管理层总结企业本年度合规工作情况并为此制定下年度合规工作安排。
(二)数据合规管理体系建设
当前,企业合规管理建设过程中尚面临多重痛点,一是多领域、多体系并存,导致文件数量多、协同性差;二是文件“两层皮”、“表面化”问题凸显,严重影响实施效果;三是各类法律文件同企业“现有管理体系”相脱节,要针对性解决企业贯标痛点,“制度对标一体化”是最佳途径,即实现将各类标准规范或管理规定、工作规程对标相关标准及要求,如质量管理体系、环境管理体系、风控等。
另外,合规管理体系认证是数据合规管理体系不和或缺的一环,要求企业正确认识标准的价值,即标准不仅仅是“约束”,其更大价值在于“指导”,其作为“智慧的结晶、经验的总结、理念的升华”,对于企业开展相关数据合规工作具有现实的指导意义。
此外,合规管理体系认证尚能铸造合规“金色盾牌”,当企业员工或合作伙伴存在违规行为时,可以减轻或免除对最高管理层的处罚,其作为企业良好治理状态和有效风险管控的背书,能高效提升企业合规管理效能并能够积极推动企业并购、国际合作等工作的开展。
03 符合性诊断 ——助力数据合规管理体系标准有效落地实施
(一)合规管理体系建设基本共识
企业的合规管理体系是客观存在的,只是在对标《数据合规管理体系要求》过程中尚存在不健全、不完善等问题,因而企业贯标的重点在于建立健全合规管理体系,为此要求企业对标合规管理体系标准要求,对现有的规章制度进行查缺补漏,修改、补充、完善,使其满足标准要求。基于这一基本共识并结合实践经验发现,合规管理体系符合性诊断是最佳解决方案,因此当前中国积极推进合规管理体系符合性诊断系统的建设。
(二)合规管理体系符合性诊断创新实践
针对合规管理体系符合性诊断系统的建设,中标合信在精准对标、三方联动、认证工作迁移三方面积极开展创新实践探索,为企业提供丰富的创新实战经验:
首先,研制合规管理体系符合性诊断规范,将ISO37301标准要求,结合中央企业合规管理办法有关规定,用通俗易懂的语言,解析为100个问题,并用“导向性”勾选,帮助企业理解和回答问题;
其次,开发合规管理体系符合性诊断在线系统,通过企业填报、合规专家进行会诊,对标ISO37301,全免系统识别存在问题并提出具体改进建议;
最后,创新“贯标认证”实施路径,高效协同企业、咨询机构和认证机构三方联动。
这一创新性实践已在大型央企或国有企业中充分实施应用,并取得显著成效,充分助力数据合规管理体系标准有效落地实施,值得社会各界借鉴。
来源:iLaw合规 作者:李铁男