我們經(jīng)常聽到或者看到CEO,CFO這樣的頭銜，但我們很少看到CCO這樣的頭銜。CCO首席合規(guī)官。隨著全球化的發(fā)展，尤其是數(shù)字經(jīng)濟的快速發(fā)展，各個國家逐漸加強了對企業(yè)在信息安全要求。所謂合規(guī)從字面的意思不難理解是符合規(guī)定。其中的規(guī)定包括的主要是國家的法律和法規(guī)和相關(guān)的技術(shù)標(biāo)準(zhǔn)以及企業(yè)內(nèi)部的規(guī)章制度。符合當(dāng)?shù)胤珊图夹g(shù)標(biāo)準(zhǔn)成為一個企業(yè)進(jìn)入當(dāng)?shù)厥袌龅谋匾獥l件，任何違規(guī)的行為都會給企業(yè)的市場帶來沖擊。尤其是一些具有巨大品牌價值的公司，如果一旦出現(xiàn)不合規(guī)的行為，公司會受到監(jiān)管部門的罰款.美國的NSA,中國的網(wǎng)絡(luò)安全法和歐盟的GDPR通用數(shù)據(jù)保護條例的推出，都對企業(yè)尤其是全球化的企業(yè)提出了合規(guī)的新的挑戰(zhàn)。比如歐盟的通用數(shù)據(jù)保護條例，如果違反相關(guān)條例將被罰款2000萬歐元或者當(dāng)年營業(yè)額的4%中兩者取最高[1]。不僅市場份額會受到影響，更重要的是公司的品牌形象和公司聲譽會受到嚴(yán)重打擊。企業(yè)在面對這些新規(guī)的挑戰(zhàn)時往往經(jīng)驗不足或者心存僥幸。2019年1月，抖音因違反美國《兒童在線隱私保護法》被FTC處罰570萬美元。2019年1月，CNIL以違反GDPR的同意規(guī)則為由，處罰谷歌5000萬歐元。谷歌的主要違法行為是，未向用戶提供透明和清晰的處理個人數(shù)據(jù)的方式，針對個性化廣告未獲得合法同意。國內(nèi)的相關(guān)報道：新京報相關(guān)報道過度索取住客信息，華住酒店涉嫌侵犯隱私。華住集團旗下有的酒店要求住客使用微信掃碼辦理入住，實際上卻是將住客變成自己的“會員”。事實上一次的懲罰和曝光對公司不僅是經(jīng)濟損失，更重要的是聲譽的受損。由于合規(guī)工作在實際的企業(yè)運營管理中也會遭遇到各種各樣的挑戰(zhàn)和問題。從筆者的實際工作經(jīng)驗看主要有如下。1企業(yè)應(yīng)對合規(guī)工作的問題和挑戰(zhàn)1.1法律法規(guī)和技術(shù)標(biāo)準(zhǔn)具有各自區(qū)域的特點法律法規(guī)和技術(shù)標(biāo)準(zhǔn)具有各自區(qū)域的特點。這一點不難理解，因為各國的法律和政策的目標(biāo)的不一致，所以在相關(guān)的法律和條例以及技術(shù)標(biāo)準(zhǔn)都各有不同和偏重，這就給公司的相關(guān)合規(guī)工作帶來比較大的難度。從公司管理和運營成本的角度，公司希望用一套統(tǒng)一方案解決所有問題，以降低成本，但在合規(guī)這部分工作卻有其實際的難度。比如歐盟推出的通用數(shù)據(jù)保護條例-GDPR,更偏重于對個人敏感數(shù)據(jù)和隱私的保護。而中國的網(wǎng)絡(luò)安全法，其生效于2017年6月相對較晚，但所覆蓋的范圍很寬。不僅包括個人的信息安全保護，更多的是和現(xiàn)有的大數(shù)據(jù)數(shù)據(jù)，網(wǎng)絡(luò)領(lǐng)域的等級保護要求。例如：移動網(wǎng)絡(luò)，物聯(lián)網(wǎng)，云計算以及關(guān)鍵基礎(chǔ)設(shè)施的相關(guān)保護要求。對于企業(yè)來說，為了符合相關(guān)的規(guī)定，就需要制定滿足不同的需求，在內(nèi)部評估的過程和偏重也不相同。這都給企業(yè)內(nèi)部的管理流程帶來不小的挑戰(zhàn)。1.2公司內(nèi)部對合規(guī)工作的認(rèn)識不統(tǒng)一由于合規(guī)工作相關(guān)的標(biāo)準(zhǔn)和條例與公司的市場需求并不緊密甚至相背，無論從普通員工還是高級經(jīng)理都有不重視不理解的情況。例如在大數(shù)據(jù)分析類的公司，從監(jiān)管和保護的角度，個人數(shù)據(jù)的需要受到保護而大數(shù)據(jù)公司是希望更多獲取相關(guān)的數(shù)據(jù)。對于普通的員工來說，相關(guān)的合規(guī)工作可能會帶來工作上的繁瑣，影響工作效率和原來的工作習(xí)慣。比如在高科技的跨國企業(yè)中，全球化的研發(fā)體系導(dǎo)致很多系統(tǒng)的問題需要跨國家解決，但如美國國家安全局(NSA)的要求，很多用戶現(xiàn)場的數(shù)據(jù)是無法直接分享給一些國家的工程師分析的，中間需要對數(shù)據(jù)的關(guān)鍵內(nèi)容進(jìn)行加密加擾并且權(quán)限需要控制。公司內(nèi)部為了應(yīng)對相關(guān)要求，必須要開發(fā)一套內(nèi)部的跨國數(shù)據(jù)交互的系統(tǒng)對數(shù)據(jù)進(jìn)行加密和加擾。這無形中也增加了企業(yè)的運行成本和運營效率。1.3相關(guān)合規(guī)檢驗標(biāo)準(zhǔn)不明確由于相關(guān)的法律和條例是支撐相應(yīng)技術(shù)標(biāo)準(zhǔn)的上位法，是技術(shù)標(biāo)準(zhǔn)的制定的主要依據(jù)。技術(shù)和標(biāo)準(zhǔn)的發(fā)展本身就是一個漸進(jìn)的過程。很難短時間之內(nèi)做到面面具備，而且相應(yīng)的技術(shù)標(biāo)準(zhǔn)和測試規(guī)范也會受到起草人的水平和認(rèn)知能力影響。而且從具體的執(zhí)行層面看，國家標(biāo)準(zhǔn)很難照顧到方方面面的行業(yè)需求。如果沒有行業(yè)標(biāo)準(zhǔn)作為支撐，會導(dǎo)致企業(yè)在準(zhǔn)備內(nèi)審和外審時，有時沒有明確的要求。1.4執(zhí)行時難與日常管理經(jīng)營工作的結(jié)合由于合規(guī)工作很多情況下是”額外”的任務(wù)或者與公司主要業(yè)務(wù)關(guān)聯(lián)不緊密，但合規(guī)的要求卻是從開始到結(jié)束貫穿整個產(chǎn)品的管理流程，必須在各個流程的節(jié)點要有相關(guān)的檢查和驗證的手段。這都是對原有流程的影響，以及對相應(yīng)人員的職責(zé)的擴展?？梢哉f對公司原有的日常管理工作的影響比較大，增加相關(guān)人員的工作量，而且管理人員的知識庫也需要因此而更新。這些都會相對帶來一些抵觸，畢竟這些變化打破了原有的流程和職責(zé)，改變了原有管理環(huán)境的舒適度。2靈活與統(tǒng)一的應(yīng)對合規(guī)管理方案針對上述的問題其實也有多種方式來化解相應(yīng)的問題。我在這里根據(jù)實踐的經(jīng)驗介紹一些方法，為企業(yè)的相關(guān)管理工作提供參考。2.1建立公司內(nèi)部的統(tǒng)一合規(guī)標(biāo)準(zhǔn)合規(guī)工作的內(nèi)容和側(cè)重雖有不同，但世界上各個國家針對安全，尤其是信息和數(shù)據(jù)安全還是有很多通用和相似的地方。這就要求企業(yè)內(nèi)能夠根據(jù)所在國家和地區(qū)的要求整理一份公司內(nèi)部統(tǒng)一的安全基線。從產(chǎn)品的設(shè)計開發(fā)開始，就要嚴(yán)格遵循公司內(nèi)部的統(tǒng)一安全基線。同時剝離出各個區(qū)域不同的要求做一些特殊要求。主要是在相關(guān)產(chǎn)品需要在其中銷售的時候能夠符合當(dāng)?shù)匾?。這部分的評估工作可以作為統(tǒng)一安全標(biāo)準(zhǔn)的一個補充，只在所受影響的區(qū)域進(jìn)行。另外從技術(shù)標(biāo)準(zhǔn)的角度看，世界范圍內(nèi)也有很多和安全合規(guī)相關(guān)的國際標(biāo)準(zhǔn)組織或行業(yè)標(biāo)準(zhǔn)組織。標(biāo)準(zhǔn)組織的主要目標(biāo)一般都是消除差異，為企業(yè)的技術(shù)需求和管理體系提供統(tǒng)一的基線。在建立公司內(nèi)部的統(tǒng)一標(biāo)準(zhǔn)的時候，盡量滿足相關(guān)的國際標(biāo)準(zhǔn)也是一種省時省力的方法。比如在安全領(lǐng)域可以參考ISO,ITU等相關(guān)標(biāo)準(zhǔn)。2.2加強合規(guī)相關(guān)的培訓(xùn)，統(tǒng)一內(nèi)部認(rèn)識針對公司內(nèi)部對合規(guī)工作的認(rèn)識不統(tǒng)一。我建議從以下三點入手：2.2.1相關(guān)的培訓(xùn)。2.2.2違規(guī)后的風(fēng)險警示。2.2.3高層領(lǐng)導(dǎo)的重視和推動。不重視源于對合規(guī)問題的危害估計不足或者心存僥幸心理，但從最近幾年各國政府對安全問題的監(jiān)管態(tài)度上都是日趨嚴(yán)厲。中國政府現(xiàn)在倡導(dǎo)的一帶一路建設(shè)的總體思路是好事，但也引來不少其他的猜忌,在這種情形下中資企業(yè)在走出去的同時，合規(guī)就顯得的特別重要。針對這些問題，相關(guān)的培訓(xùn)是必不可少的。無論是風(fēng)險相關(guān)的培訓(xùn)，還是與合規(guī)流程相關(guān)的培訓(xùn)，對全員和新員工都要進(jìn)行系統(tǒng)的培訓(xùn)。對于高層領(lǐng)導(dǎo)，相關(guān)的工作人員應(yīng)該把其中的風(fēng)險和厲害關(guān)系充分分享給相關(guān)領(lǐng)導(dǎo)。我相信在這樣的大是大非的問題上，一個有職業(yè)素養(yǎng)的領(lǐng)導(dǎo)人是不會心存僥幸的。2.3積極參與標(biāo)準(zhǔn)制定，明確相關(guān)合規(guī)標(biāo)準(zhǔn)作為有能力的企業(yè)要積極參與到標(biāo)準(zhǔn)的制訂中。合規(guī)工作的一個主要任務(wù)是符合相關(guān)機構(gòu)的合規(guī)審查或者合規(guī)檢測。如果所處領(lǐng)域相關(guān)的標(biāo)準(zhǔn)和規(guī)范不是很健全，公司積極參與相關(guān)標(biāo)準(zhǔn)的制作工作。俗話說的好，一流的企業(yè)做標(biāo)準(zhǔn)。積極參與到標(biāo)準(zhǔn)撰寫的工作中有兩個好處。一來企業(yè)可以更深入了解相關(guān)的要求和測試標(biāo)準(zhǔn)，二來可以提前介入合規(guī)要求，為公司相關(guān)的合規(guī)的審查和檢測提供前瞻性支持。2.4靈活的組織架構(gòu)和統(tǒng)一的處理流程，有助于合規(guī)工作落地2.4.1人員和組織結(jié)構(gòu)及流程專職團隊和虛擬團隊相結(jié)合構(gòu)建虛實相結(jié)合的組織結(jié)構(gòu)。由于合規(guī)工作需要覆蓋公司所有相關(guān)業(yè)務(wù)及起全部的生命周期。所以每個組織都要有相關(guān)的人員參與，但出于成本考慮，公司往往不愿意招募更多的全職人員支持合規(guī)的相關(guān)工作。根據(jù)個人的實踐經(jīng)驗，采用虛擬化的團隊來執(zhí)行具體的合規(guī)工作也是明智的選擇。虛擬化團隊的最大好處是可以快速建立并響應(yīng)將問題傳遞到公司相關(guān)部門。對于全球化的公司一個中心的合規(guī)團隊還是必不可少的。專職的人員中包括開始提到的首席執(zhí)行官，而且首席執(zhí)行官必須能向公司的最高領(lǐng)導(dǎo)直接匯報。合規(guī)工作的推動離不開高層管理者的推動和支持。2.4.2流程的調(diào)整。合規(guī)工作落地難，其中一個主要原因和公司管理流程中的控制相關(guān)。合規(guī)工作中有很多是對管理和流程的要求，因為企業(yè)的不同，相應(yīng)的合規(guī)流程也不盡相同，但企業(yè)內(nèi)部應(yīng)結(jié)合自身原有的管理流程適應(yīng)合規(guī)中的相關(guān)要求。并在流程的關(guān)鍵節(jié)點加入合規(guī)內(nèi)容的驗證和評估。對一些重要內(nèi)容應(yīng)行使一票否決的權(quán)利。在加入的流程中，無論是評估報告還是風(fēng)險分析，最關(guān)鍵的是這些相關(guān)的結(jié)果可驗證，并能為將來的合規(guī)審查提供證據(jù)。3結(jié)