數(shù)據(jù)合規(guī)管理體系標準與實施-江蘇省鋼鐵行業(yè)協(xié)會

隨著數(shù)據(jù)成為新型生產(chǎn)要素，企業(yè)數(shù)字化轉型已是大勢所趨。但由于數(shù)據(jù)管理能力的提升、企業(yè)合規(guī)管理體系的發(fā)展，數(shù)據(jù)管理標準與合規(guī)管理標準有機融合方面尚處于空白階段。為解決合規(guī)管理問題，加快推動數(shù)據(jù)治理創(chuàng)新進程，規(guī)范數(shù)據(jù)行為，賦能DCMM貫標，提升企業(yè)數(shù)據(jù)管理能力及合規(guī)化水平，降低數(shù)據(jù)全生命周期等風險，中國電子信息行業(yè)聯(lián)合會積極探索并發(fā)布《數(shù)據(jù)合規(guī)管理體系要求》。

為此，本文將基于標準專家視角分享對標準的認知與價值解讀，幫助社會各界理解該標準對DCMM國家標準貫標的意義，以及助力數(shù)據(jù)合規(guī)管理體系標準有效落地實施的符合性診斷技術。

研制《數(shù)據(jù)合規(guī)管理體系要求》的必要性

當前合規(guī)工作已被各國提上重要議事日程，各國法律法規(guī)要求也日趨嚴格，在反壟斷、反不正當競爭、反洗錢等多領域對企業(yè)提出更高的合規(guī)管理要求，國際層面更是加強對相關貿(mào)易活動中相關組織不合規(guī)行為的聯(lián)合懲戒力度。

中國高度重視數(shù)據(jù)的基礎性和戰(zhàn)略性作用，更是將合規(guī)工作納入2035遠景發(fā)展目標綱要中，旨在引導企業(yè)加強合規(guī)管理，守法經(jīng)營。工業(yè)和信息化部、國務院國資委等相關部門正積極推動數(shù)據(jù)合規(guī)相關工作的開展，制定《中央企業(yè)合規(guī)管理辦法》等指導性文件，在立法層面將企業(yè)合規(guī)管理工作推向新高度。與此同時，各地也積極開展企業(yè)合規(guī)改革試點工作，由檢察院牽頭，督促企業(yè)建立合規(guī)制度，履行合規(guī)承諾，并充分探索建立企業(yè)合規(guī)第三方監(jiān)管機制，提升合規(guī)工作執(zhí)法監(jiān)督質(zhì)量。

此前，中國標準化研究院牽頭制定GB/T35770合規(guī)管理體系及使用指南國家標準，此后國家市場監(jiān)督管理總局等主體在各自相關行業(yè)領域深入開展合規(guī)管理細化工作，數(shù)字合規(guī)是數(shù)字經(jīng)濟發(fā)展的基石，為促進數(shù)字經(jīng)濟行業(yè)的健康穩(wěn)步發(fā)展，必然需要加強數(shù)據(jù)合規(guī)管理體系的建設。

構建數(shù)據(jù)合規(guī)管理體系一方面能夠打通各項法律法規(guī)之間的關聯(lián)，便于企業(yè)結合章程制定針對性合規(guī)策略，真正實現(xiàn)“外規(guī)內(nèi)化”；另一方面能夠依法強制企業(yè)加強合規(guī)管理工作。隨著《中華人民共和國數(shù)據(jù)安全法》等法律的出臺，中國已建立起較為嚴密的數(shù)據(jù)法規(guī)體系。

正是基于上述背景，我國旨在從規(guī)則、技術、管理等角度將數(shù)據(jù)與合規(guī)進行有效銜接，打造數(shù)據(jù)合規(guī)管理體系，通過管理體系形成相互關聯(lián)、相互作用的制度體系，提升數(shù)據(jù)管理能力，同時引進第三方認證評估制度，確保數(shù)據(jù)合規(guī)工作的順利落地實施。

《數(shù)據(jù)合規(guī)管理體系要求》標準解讀方法

（一）數(shù)據(jù)合規(guī)管理體系標準核心要素

把握數(shù)據(jù)合規(guī)管理體系標準的核心要素，是快速掌握《數(shù)據(jù)合規(guī)管理體系要求》標準的前提。

1、合規(guī)管理對象

構建合規(guī)管理體系以明確管理對象為前提，識別管理重點，即識別企業(yè)需履行的全部合規(guī)義務，其中合規(guī)義務包括企業(yè)強制遵守的要求（如法律法規(guī)、條約、公約和協(xié)議等要求）以及企業(yè)自愿選擇遵守的要求（如與社會團體或NGO簽訂的協(xié)議、企業(yè)內(nèi)部規(guī)定等）。

2、合規(guī)管理范圍

合規(guī)管理具有較強延展性，因此企業(yè)在生產(chǎn)經(jīng)營過程中會直接或間接受到來自外界，如供應商、上級單位等相關方的影響，進而引發(fā)合規(guī)風險，為此，需明確合規(guī)管理范圍，進而要求實現(xiàn)“三全合規(guī)”：

首先，“全員”合規(guī)，明確外部相關方與內(nèi)部相關方主體；

其次，“全域”合規(guī)，確保與相關專項領域（如法務、審計、風控、內(nèi)控等）以及與相關管理領域（如質(zhì)量、環(huán)境、健康安全等）實現(xiàn)深度融合；

最后，“全過程”合規(guī)，實現(xiàn)產(chǎn)品生命周期以及數(shù)據(jù)生命周期過程的合規(guī)管控全覆蓋。

3、識別合規(guī)義務、評估合規(guī)風險

企業(yè)要在識別合規(guī)義務基礎上基于風險思維的方法論積極開展合規(guī)風險評估，開展風險評估需以違規(guī)后果為參照，如個人傷害、環(huán)境影響、經(jīng)濟損失等后果，并根據(jù)評估結果劃分合規(guī)風險等級，優(yōu)先應對高級別合規(guī)風險，最終實現(xiàn)覆蓋所有合規(guī)風險的目標。

4、合規(guī)文化

合規(guī)管理本質(zhì)是行為管理，因此合規(guī)文化的建設對于構建企業(yè)合規(guī)管理體系至關重要。建設合規(guī)文化實質(zhì)在于構建屬于企業(yè)自身的合規(guī)行為規(guī)范，如管理者以身作則、對關鍵崗位人員開展盡職調(diào)查、加強新員工培訓強調(diào)組織價值觀和合規(guī)要求等，并切實保障此類行為規(guī)范被納入到企業(yè)規(guī)章制度與相關文件中，逐步營造企業(yè)合規(guī)文化氛圍，提升內(nèi)部合規(guī)意識。

5、職責和權限

如前文所述，合規(guī)管理本質(zhì)是行為管理，因此明確職責和權限，并建立相應考核機制，責任落實追究到部門、到人，才能夠真正推動合規(guī)管理工作的落地，如企業(yè)治理機構需要承擔對企業(yè)的高層管理者層進行監(jiān)督、考核的職責；企業(yè)高層管理者需制定戰(zhàn)略、目標并建立責任問責和績效考核機制；部門負責人承擔識別合規(guī)風險，將合規(guī)要求融入管理和業(yè)務流程的職責。

其中，《數(shù)據(jù)合規(guī)管理體系要求》明確要求企業(yè)需確保合規(guī)團隊的獨立性，即其應能直接接觸治理機構、高層管理者而不受任何組織和個人的不當干擾或壓力，同時要求合規(guī)團隊履行其崗位不宜存在利益沖突，以確保企業(yè)合規(guī)工作獨立、客觀的開展。

6、數(shù)據(jù)生命周期行為控制與數(shù)據(jù)管理行為控制

數(shù)據(jù)合規(guī)管理關鍵點在于數(shù)據(jù)生命周期行為控制與數(shù)據(jù)管理行為控制，其既能有效指導企業(yè)識別合規(guī)義務、評估合規(guī)風險，又能有效指導企業(yè)建立相關數(shù)據(jù)合規(guī)管理制度。因此企業(yè)需要對數(shù)據(jù)從采集、存續(xù)與傳輸、運維、使用到退役的全生命周期行為進行有效控制，并建立相關數(shù)據(jù)管理行為控制措施：

第一，建立管理措施，如制度體系、認責體系以及運營體系等；

第二，采取技術措施，包括數(shù)據(jù)檢測技術、治理技術以及持續(xù)監(jiān)管技術等；

第三，建立完善的預防措施，如預防發(fā)生個人信息泄露、篡改、丟失的預防措施；數(shù)據(jù)安全事件應急預案等。

7、舉報機制和調(diào)查機制

舉報和調(diào)查機制是企業(yè)合規(guī)文化建設不可或缺的部分。因此《數(shù)據(jù)合規(guī)管理體系要求》要求企業(yè)建立完善的舉報機制以及調(diào)查機制：

首先，建立健全合規(guī)舉報機制，鼓勵內(nèi)部人員舉報涉嫌或實際的不合規(guī)情形，要求企業(yè)所有人員了解舉報機制，并對舉報者保密，接受匿名舉報并保護舉報者免于遭受打擊報復；

其次，針對舉報情況建立調(diào)查機制，對于涉嫌或實際的不合規(guī)情形進行調(diào)查，要求企業(yè)確保調(diào)查過程公平、公正，并有具備相應能力的人員獨立進行調(diào)查，避免利益沖突，同時組織應當視情況利用調(diào)查結果改進合規(guī)管理體系，并需定期向治理機構或最高管理者報告調(diào)查的結果。

8、績效評價與“三重管控”

《數(shù)據(jù)合規(guī)管理體系要求》提出企業(yè)建立合規(guī)管理體系需要進行“三重管控”，以確保相關合規(guī)規(guī)章制度的落地并達到預期實施效果：

第一，開展日常檢測，要求執(zhí)行部門和人員自我檢查，建立合規(guī)績效評價指標，包括經(jīng)過有效培訓的員工比例，監(jiān)管機構介入的頻率等；

第二，組織內(nèi)部審核，要求企業(yè)定期開展部門間的交叉檢查；

第三，開展管理評審，要求企業(yè)董事會或監(jiān)事會和最高管理層總結企業(yè)本年度合規(guī)工作情況并為此制定下年度合規(guī)工作安排。

（二）數(shù)據(jù)合規(guī)管理體系建設

當前，企業(yè)合規(guī)管理建設過程中尚面臨多重痛點，一是多領域、多體系并存，導致文件數(shù)量多、協(xié)同性差；二是文件“兩層皮”、“表面化”問題凸顯，嚴重影響實施效果；三是各類法律文件同企業(yè)“現(xiàn)有管理體系”相脫節(jié)，要針對性解決企業(yè)貫標痛點，“制度對標一體化”是最佳途徑，即實現(xiàn)將各類標準規(guī)范或管理規(guī)定、工作規(guī)程對標相關標準及要求，如質(zhì)量管理體系、環(huán)境管理體系、風控等。

另外，合規(guī)管理體系認證是數(shù)據(jù)合規(guī)管理體系不和或缺的一環(huán)，要求企業(yè)正確認識標準的價值，即標準不僅僅是“約束”，其更大價值在于“指導”，其作為“智慧的結晶、經(jīng)驗的總結、理念的升華”，對于企業(yè)開展相關數(shù)據(jù)合規(guī)工作具有現(xiàn)實的指導意義。

此外，合規(guī)管理體系認證尚能鑄造合規(guī)“金色盾牌”，當企業(yè)員工或合作伙伴存在違規(guī)行為時，可以減輕或免除對最高管理層的處罰，其作為企業(yè)良好治理狀態(tài)和有效風險管控的背書，能高效提升企業(yè)合規(guī)管理效能并能夠積極推動企業(yè)并購、國際合作等工作的開展。

符合性診斷 ——助力數(shù)據(jù)合規(guī)管理體系標準有效落地實施

（一）合規(guī)管理體系建設基本共識

企業(yè)的合規(guī)管理體系是客觀存在的，只是在對標《數(shù)據(jù)合規(guī)管理體系要求》過程中尚存在不健全、不完善等問題，因而企業(yè)貫標的重點在于建立健全合規(guī)管理體系，為此要求企業(yè)對標合規(guī)管理體系標準要求，對現(xiàn)有的規(guī)章制度進行查缺補漏，修改、補充、完善，使其滿足標準要求?；谶@一基本共識并結合實踐經(jīng)驗發(fā)現(xiàn)，合規(guī)管理體系符合性診斷是最佳解決方案，因此當前中國積極推進合規(guī)管理體系符合性診斷系統(tǒng)的建設。

（二）合規(guī)管理體系符合性診斷創(chuàng)新實踐

針對合規(guī)管理體系符合性診斷系統(tǒng)的建設，中標合信在精準對標、三方聯(lián)動、認證工作遷移三方面積極開展創(chuàng)新實踐探索，為企業(yè)提供豐富的創(chuàng)新實戰(zhàn)經(jīng)驗：

首先，研制合規(guī)管理體系符合性診斷規(guī)范，將ISO37301標準要求，結合中央企業(yè)合規(guī)管理辦法有關規(guī)定，用通俗易懂的語言，解析為100個問題，并用“導向性”勾選，幫助企業(yè)理解和回答問題；

其次，開發(fā)合規(guī)管理體系符合性診斷在線系統(tǒng)，通過企業(yè)填報、合規(guī)專家進行會診，對標ISO37301,全免系統(tǒng)識別存在問題并提出具體改進建議；

最后，創(chuàng)新“貫標認證”實施路徑，高效協(xié)同企業(yè)、咨詢機構和認證機構三方聯(lián)動。

這一創(chuàng)新性實踐已在大型央企或國有企業(yè)中充分實施應用，并取得顯著成效，充分助力數(shù)據(jù)合規(guī)管理體系標準有效落地實施，值得社會各界借鑒。