我們經(jīng)常聽到或者看到CEO,CFO這樣的頭銜，但我們很少看到CCO這樣的頭銜。CCO首席合規(guī)官。隨著全球化的發(fā)展，尤其是數(shù)字經(jīng)濟的快速發(fā)展，各個國家逐漸加強了對企業(yè)在信息安全要求。所謂合規(guī)從字面的意思不難理解是符合規(guī)定。其中的規(guī)定包括的主要是國家的法律和法規(guī)和相關的技術標準以及企業(yè)內(nèi)部的規(guī)章制度。符合當?shù)胤珊图夹g標準成為一個企業(yè)進入當?shù)厥袌龅谋匾獥l件，任何違規(guī)的行為都會給企業(yè)的市場帶來沖擊。尤其是一些具有巨大品牌價值的公司，如果一旦出現(xiàn)不合規(guī)的行為，公司會受到監(jiān)管部門的罰款.美國的NSA,中國的網(wǎng)絡安全法和歐盟的GDPR通用數(shù)據(jù)保護條例的推出，都對企業(yè)尤其是全球化的企業(yè)提出了合規(guī)的新的挑戰(zhàn)。比如歐盟的通用數(shù)據(jù)保護條例，如果違反相關條例將被罰款2000萬歐元或者當年營業(yè)額的4%中兩者取最高[1]。不僅市場份額會受到影響，更重要的是公司的品牌形象和公司聲譽會受到嚴重打擊。企業(yè)在面對這些新規(guī)的挑戰(zhàn)時往往經(jīng)驗不足或者心存僥幸。2019年1月，抖音因違反美國《兒童在線隱私保護法》被FTC處罰570萬美元。2019年1月，CNIL以違反GDPR的同意規(guī)則為由，處罰谷歌5000萬歐元。谷歌的主要違法行為是，未向用戶提供透明和清晰的處理個人數(shù)據(jù)的方式，針對個性化廣告未獲得合法同意。國內(nèi)的相關報道：新京報相關報道過度索取住客信息，華住酒店涉嫌侵犯隱私。華住集團旗下有的酒店要求住客使用微信掃碼辦理入住，實際上卻是將住客變成自己的“會員”。事實上一次的懲罰和曝光對公司不僅是經(jīng)濟損失，更重要的是聲譽的受損。由于合規(guī)工作在實際的企業(yè)運營管理中也會遭遇到各種各樣的挑戰(zhàn)和問題。從筆者的實際工作經(jīng)驗看主要有如下。1企業(yè)應對合規(guī)工作的問題和挑戰(zhàn)1.1法律法規(guī)和技術標準具有各自區(qū)域的特點法律法規(guī)和技術標準具有各自區(qū)域的特點。這一點不難理解，因為各國的法律和政策的目標的不一致，所以在相關的法律和條例以及技術標準都各有不同和偏重，這就給公司的相關合規(guī)工作帶來比較大的難度。從公司管理和運營成本的角度，公司希望用一套統(tǒng)一方案解決所有問題，以降低成本，但在合規(guī)這部分工作卻有其實際的難度。比如歐盟推出的通用數(shù)據(jù)保護條例-GDPR,更偏重于對個人敏感數(shù)據(jù)和隱私的保護。而中國的網(wǎng)絡安全法，其生效于2017年6月相對較晚，但所覆蓋的范圍很寬。不僅包括個人的信息安全保護，更多的是和現(xiàn)有的大數(shù)據(jù)數(shù)據(jù)，網(wǎng)絡領域的等級保護要求。例如：移動網(wǎng)絡，物聯(lián)網(wǎng)，云計算以及關鍵基礎設施的相關保護要求。對于企業(yè)來說，為了符合相關的規(guī)定，就需要制定滿足不同的需求，在內(nèi)部評估的過程和偏重也不相同。這都給企業(yè)內(nèi)部的管理流程帶來不小的挑戰(zhàn)。1.2公司內(nèi)部對合規(guī)工作的認識不統(tǒng)一由于合規(guī)工作相關的標準和條例與公司的市場需求并不緊密甚至相背，無論從普通員工還是高級經(jīng)理都有不重視不理解的情況。例如在大數(shù)據(jù)分析類的公司，從監(jiān)管和保護的角度，個人數(shù)據(jù)的需要受到保護而大數(shù)據(jù)公司是希望更多獲取相關的數(shù)據(jù)。對于普通的員工來說，相關的合規(guī)工作可能會帶來工作上的繁瑣，影響工作效率和原來的工作習慣。比如在高科技的跨國企業(yè)中，全球化的研發(fā)體系導致很多系統(tǒng)的問題需要跨國家解決，但如美國國家安全局(NSA)的要求，很多用戶現(xiàn)場的數(shù)據(jù)是無法直接分享給一些國家的工程師分析的，中間需要對數(shù)據(jù)的關鍵內(nèi)容進行加密加擾并且權限需要控制。公司內(nèi)部為了應對相關要求，必須要開發(fā)一套內(nèi)部的跨國數(shù)據(jù)交互的系統(tǒng)對數(shù)據(jù)進行加密和加擾。這無形中也增加了企業(yè)的運行成本和運營效率。1.3相關合規(guī)檢驗標準不明確由于相關的法律和條例是支撐相應技術標準的上位法，是技術標準的制定的主要依據(jù)。技術和標準的發(fā)展本身就是一個漸進的過程。很難短時間之內(nèi)做到面面具備，而且相應的技術標準和測試規(guī)范也會受到起草人的水平和認知能力影響。而且從具體的執(zhí)行層面看，國家標準很難照顧到方方面面的行業(yè)需求。如果沒有行業(yè)標準作為支撐，會導致企業(yè)在準備內(nèi)審和外審時，有時沒有明確的要求。1.4執(zhí)行時難與日常管理經(jīng)營工作的結(jié)合由于合規(guī)工作很多情況下是”額外”的任務或者與公司主要業(yè)務關聯(lián)不緊密，但合規(guī)的要求卻是從開始到結(jié)束貫穿整個產(chǎn)品的管理流程，必須在各個流程的節(jié)點要有相關的檢查和驗證的手段。這都是對原有流程的影響，以及對相應人員的職責的擴展?？梢哉f對公司原有的日常管理工作的影響比較大，增加相關人員的工作量，而且管理人員的知識庫也需要因此而更新。這些都會相對帶來一些抵觸，畢竟這些變化打破了原有的流程和職責，改變了原有管理環(huán)境的舒適度。2靈活與統(tǒng)一的應對合規(guī)管理方案針對上述的問題其實也有多種方式來化解相應的問題。我在這里根據(jù)實踐的經(jīng)驗介紹一些方法，為企業(yè)的相關管理工作提供參考。2.1建立公司內(nèi)部的統(tǒng)一合規(guī)標準合規(guī)工作的內(nèi)容和側(cè)重雖有不同，但世界上各個國家針對安全，尤其是信息和數(shù)據(jù)安全還是有很多通用和相似的地方。這就要求企業(yè)內(nèi)能夠根據(jù)所在國家和地區(qū)的要求整理一份公司內(nèi)部統(tǒng)一的安全基線。從產(chǎn)品的設計開發(fā)開始，就要嚴格遵循公司內(nèi)部的統(tǒng)一安全基線。同時剝離出各個區(qū)域不同的要求做一些特殊要求。主要是在相關產(chǎn)品需要在其中銷售的時候能夠符合當?shù)匾?。這部分的評估工作可以作為統(tǒng)一安全標準的一個補充，只在所受影響的區(qū)域進行。另外從技術標準的角度看，世界范圍內(nèi)也有很多和安全合規(guī)相關的國際標準組織或行業(yè)標準組織。標準組織的主要目標一般都是消除差異，為企業(yè)的技術需求和管理體系提供統(tǒng)一的基線。在建立公司內(nèi)部的統(tǒng)一標準的時候，盡量滿足相關的國際標準也是一種省時省力的方法。比如在安全領域可以參考ISO,ITU等相關標準。2.2加強合規(guī)相關的培訓，統(tǒng)一內(nèi)部認識針對公司內(nèi)部對合規(guī)工作的認識不統(tǒng)一。我建議從以下三點入手：2.2.1相關的培訓。2.2.2違規(guī)后的風險警示。2.2.3高層領導的重視和推動。不重視源于對合規(guī)問題的危害估計不足或者心存僥幸心理，但從最近幾年各國政府對安全問題的監(jiān)管態(tài)度上都是日趨嚴厲。中國政府現(xiàn)在倡導的一帶一路建設的總體思路是好事，但也引來不少其他的猜忌,在這種情形下中資企業(yè)在走出去的同時，合規(guī)就顯得的特別重要。針對這些問題，相關的培訓是必不可少的。無論是風險相關的培訓，還是與合規(guī)流程相關的培訓，對全員和新員工都要進行系統(tǒng)的培訓。對于高層領導，相關的工作人員應該把其中的風險和厲害關系充分分享給相關領導。我相信在這樣的大是大非的問題上，一個有職業(yè)素養(yǎng)的領導人是不會心存僥幸的。2.3積極參與標準制定，明確相關合規(guī)標準作為有能力的企業(yè)要積極參與到標準的制訂中。合規(guī)工作的一個主要任務是符合相關機構的合規(guī)審查或者合規(guī)檢測。如果所處領域相關的標準和規(guī)范不是很健全，公司積極參與相關標準的制作工作。俗話說的好，一流的企業(yè)做標準。積極參與到標準撰寫的工作中有兩個好處。一來企業(yè)可以更深入了解相關的要求和測試標準，二來可以提前介入合規(guī)要求，為公司相關的合規(guī)的審查和檢測提供前瞻性支持。2.4靈活的組織架構和統(tǒng)一的處理流程，有助于合規(guī)工作落地2.4.1人員和組織結(jié)構及流程專職團隊和虛擬團隊相結(jié)合構建虛實相結(jié)合的組織結(jié)構。由于合規(guī)工作需要覆蓋公司所有相關業(yè)務及起全部的生命周期。所以每個組織都要有相關的人員參與，但出于成本考慮，公司往往不愿意招募更多的全職人員支持合規(guī)的相關工作。根據(jù)個人的實踐經(jīng)驗，采用虛擬化的團隊來執(zhí)行具體的合規(guī)工作也是明智的選擇。虛擬化團隊的最大好處是可以快速建立并響應將問題傳遞到公司相關部門。對于全球化的公司一個中心的合規(guī)團隊還是必不可少的。專職的人員中包括開始提到的首席執(zhí)行官，而且首席執(zhí)行官必須能向公司的最高領導直接匯報。合規(guī)工作的推動離不開高層管理者的推動和支持。2.4.2流程的調(diào)整。合規(guī)工作落地難，其中一個主要原因和公司管理流程中的控制相關。合規(guī)工作中有很多是對管理和流程的要求，因為企業(yè)的不同，相應的合規(guī)流程也不盡相同，但企業(yè)內(nèi)部應結(jié)合自身原有的管理流程適應合規(guī)中的相關要求。并在流程的關鍵節(jié)點加入合規(guī)內(nèi)容的驗證和評估。對一些重要內(nèi)容應行使一票否決的權利。在加入的流程中，無論是評估報告還是風險分析，最關鍵的是這些相關的結(jié)果可驗證，并能為將來的合規(guī)審查提供證據(jù)。3結(jié)