歡迎訪問(wèn):晟尚集團(tuán)ISO45001ISO體系認(rèn)證網(wǎng)

企業(yè)如何獲得ISO37301合規(guī)管理體系認(rèn)證

發(fā)布日期:2022-11-28 瀏覽次數(shù):0


企業(yè)合規(guī)經(jīng)營(yíng)的關(guān)鍵支柱在于合規(guī)體系之搭建。要使合規(guī)管理形成企業(yè)經(jīng)營(yíng)的“防火墻”,保護(hù)企業(yè)免受因合規(guī)風(fēng)險(xiǎn)所帶來(lái)的嚴(yán)重影響或重大損失,企業(yè)應(yīng)當(dāng)根據(jù)其行業(yè)特點(diǎn)和經(jīng)營(yíng)管理模式搭建針對(duì)性的合規(guī)體系。而一個(gè)行之有效的合規(guī)體系搭建,離不開(kāi)合理的制度和程序、高層參與、風(fēng)險(xiǎn)評(píng)估、盡職調(diào)查、培訓(xùn)和溝通、監(jiān)督和審核六大組成部分,這六大組成部分也是ISO 37301合規(guī)管理體系基本要素的要求。具體而言:


1.合理的制度和程序

企業(yè)應(yīng)制定合理的制度和程序,其作為企業(yè)合規(guī)體系的核心,是企業(yè)所有員工履行職責(zé)的基本要求。主要分為以下四方面:


(1)企業(yè)行為準(zhǔn)則,這是企業(yè)經(jīng)營(yíng)管理和文化建設(shè)的綱領(lǐng)性文件,包括企業(yè)愿景、使命、核心價(jià)值觀、合規(guī)方針、社會(huì)責(zé)任等方面;

(2)企業(yè)合規(guī)管理制度,這是企業(yè)合規(guī)部門進(jìn)行合規(guī)管理的程序性規(guī)章制度,包括合規(guī)組織制度、合規(guī)風(fēng)險(xiǎn)管理流程、合規(guī)審查流程、違規(guī)舉報(bào)、調(diào)查與處置流程、合規(guī)報(bào)告程序等方面;

(3)職能部門管理規(guī)章,企業(yè)不同的職能部門涉及到不同的合規(guī)規(guī)范的執(zhí)行與遵守,例如,管理、財(cái)務(wù)、人事行政、法務(wù)、內(nèi)控等部門均有相對(duì)應(yīng)的合規(guī)規(guī)范;

(4)業(yè)務(wù)合規(guī)流程,企業(yè)各業(yè)務(wù)領(lǐng)域涉及不同的合規(guī)規(guī)范,例如傳統(tǒng)的業(yè)務(wù)合規(guī)流程、網(wǎng)絡(luò)安全合規(guī)流程、產(chǎn)品合規(guī)流程、跨境電商領(lǐng)域合規(guī)等,具備較強(qiáng)的專業(yè)性,往往需要企業(yè)合規(guī)部門與業(yè)務(wù)部門合作制定和修改相關(guān)的業(yè)務(wù)合規(guī)流程。


2.高層參與

企業(yè)合規(guī)運(yùn)作應(yīng)有高層的參與,形成較為成熟的合規(guī)組織體系。高層參與能夠使企業(yè)形成上下連貫的合規(guī)組織結(jié)構(gòu),如公司自上而下設(shè)立合規(guī)委員會(huì)、分支機(jī)構(gòu)和職能部門中的合規(guī)部門,合規(guī)部門直接向公司合規(guī)委員會(huì)和首席合規(guī)官匯報(bào)。這樣能夠確保企業(yè)管理層及時(shí)識(shí)別合規(guī)風(fēng)險(xiǎn)并采取應(yīng)對(duì)措施。


3.風(fēng)險(xiǎn)評(píng)估

定期或不定期地對(duì)企業(yè)活動(dòng)中存在的合規(guī)風(fēng)險(xiǎn)進(jìn)行識(shí)別與評(píng)估。例如,在投融資或收購(gòu)項(xiàng)目中,企業(yè)需要對(duì)該項(xiàng)目進(jìn)行合規(guī)風(fēng)險(xiǎn)評(píng)估,評(píng)估結(jié)果作為決策參考,降低企業(yè)風(fēng)險(xiǎn)。


4.盡職調(diào)查

合規(guī)部門針對(duì)已存在的合規(guī)風(fēng)險(xiǎn)進(jìn)行調(diào)查和研究,形成合規(guī)風(fēng)險(xiǎn)報(bào)告,并研究制定和實(shí)施降低風(fēng)險(xiǎn)的措施。


5.培訓(xùn)與溝通

企業(yè)需要定期組織培訓(xùn)和溝通,一方面能夠確保員工了解最新的法律法規(guī)、監(jiān)管規(guī)定、企業(yè)內(nèi)部規(guī)章制度等方面內(nèi)容;另一方面也能夠保證企業(yè)高層管理者與其它層級(jí)員工維持一種穩(wěn)定的溝通,使企業(yè)高層管理者的合規(guī)理念與態(tài)度能夠順暢傳達(dá)至企業(yè)各層級(jí)員工,形成合規(guī)文化。


6. 監(jiān)督與審核

企業(yè)應(yīng)建立合規(guī)監(jiān)控體系,包括監(jiān)督與審核。監(jiān)督是指企業(yè)的高層管理者或員工在進(jìn)行業(yè)務(wù)活動(dòng)時(shí),都應(yīng)在其職責(zé)范圍內(nèi)進(jìn)行可持續(xù)的管理與監(jiān)督,檢查每一項(xiàng)業(yè)務(wù)活動(dòng)是否存在違規(guī)行為。審核是企業(yè)對(duì)合規(guī)管理體系運(yùn)行情況的評(píng)審,企業(yè)通過(guò)審核及時(shí)發(fā)現(xiàn)問(wèn)題并加以整改,有助于持續(xù)提升合規(guī)管理能力,確保企業(yè)的合規(guī)體系在全球各地得到了良好的貫徹執(zhí)行。


二、實(shí)操示例:數(shù)據(jù)合規(guī)體系的搭建與落地


在了解企業(yè)合規(guī)體系搭建方法論的基礎(chǔ)上,我們以數(shù)據(jù)合規(guī)為例,結(jié)合數(shù)據(jù)合規(guī)應(yīng)用場(chǎng)景,分享企業(yè)數(shù)據(jù)合規(guī)體系搭建和落地的方法論。


1.搭建數(shù)據(jù)合規(guī)體系

企業(yè)的數(shù)據(jù)合規(guī)體系搭建步驟大致可分為以下三個(gè)階段:

第一階段,數(shù)據(jù)核查。從信息安全角度進(jìn)行數(shù)據(jù)核查的常規(guī)做法是使用軟件來(lái)“感知”一個(gè)系統(tǒng)內(nèi)的數(shù)據(jù)種類,并給予這些數(shù)據(jù)的敏感程度對(duì)該系統(tǒng)提出整體的安全方案。例如,有些比較關(guān)注數(shù)據(jù)合規(guī)的企業(yè)會(huì)通過(guò)SERVICE NOW、ONE TRUST、HIPEROS等數(shù)據(jù)合規(guī)工具,在跨境數(shù)據(jù)傳輸、合同審查、產(chǎn)品服務(wù)、隱私監(jiān)管審查、盡職調(diào)查等方面輔助數(shù)據(jù)核查。數(shù)據(jù)核查不僅能夠了解企業(yè)個(gè)人信息的收集和處理的現(xiàn)狀,同時(shí)也是企業(yè)了解現(xiàn)狀、識(shí)別風(fēng)險(xiǎn)和建立數(shù)據(jù)合規(guī)體系的重要基礎(chǔ)。

第二階段,進(jìn)行風(fēng)險(xiǎn)識(shí)別和制定合規(guī)方案。企業(yè)可結(jié)合網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)法律法規(guī)規(guī)定的合規(guī)義務(wù)進(jìn)行差距分析和風(fēng)險(xiǎn)識(shí)別,系統(tǒng)梳理和評(píng)估企業(yè)面臨的數(shù)據(jù)風(fēng)險(xiǎn)和競(jìng)爭(zhēng)風(fēng)險(xiǎn),提前分析預(yù)判可能導(dǎo)致的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)。例如,如果一家擬上市企業(yè)要選擇香港上市或國(guó)外上市,則該企業(yè)需充分考慮是否需要進(jìn)行網(wǎng)絡(luò)安全審查,如需配合國(guó)外監(jiān)管機(jī)構(gòu)的信息披露要求,應(yīng)當(dāng)及時(shí)與國(guó)內(nèi)監(jiān)管保持溝通并按照程序獲得批準(zhǔn),優(yōu)先遵循國(guó)內(nèi)法律法規(guī)要求,并就企業(yè)的IT系統(tǒng)、用戶界面、用戶注冊(cè)流程以及在個(gè)人信息收集、使用以及保護(hù)的透明度等方面,進(jìn)行整體合規(guī)方案規(guī)劃。

第三階段,數(shù)據(jù)合規(guī)規(guī)則建立和落地。企業(yè)可結(jié)合實(shí)際情況建立數(shù)據(jù)合規(guī)規(guī)則,完善相關(guān)的制度和流程。開(kāi)展員工意識(shí)培訓(xùn),使員工認(rèn)識(shí)、了解數(shù)據(jù)合規(guī)要求以及如何在業(yè)務(wù)流程中落實(shí)制度要求。在數(shù)據(jù)保護(hù)合規(guī)制度搭建起來(lái)后,企業(yè)需要持續(xù)追蹤數(shù)據(jù)保護(hù)合規(guī)制度實(shí)施情況,改善企業(yè)數(shù)據(jù)合規(guī)機(jī)制,確保企業(yè)的數(shù)據(jù)合規(guī)制度能夠持續(xù)符合監(jiān)管要求。

2.單項(xiàng)產(chǎn)品數(shù)據(jù)合規(guī)體系落地

企業(yè)搭建起來(lái)的數(shù)據(jù)合規(guī)體系如何落實(shí)到具體的業(yè)務(wù)流程中,以確保涉及數(shù)據(jù)的業(yè)務(wù)經(jīng)營(yíng)符合監(jiān)管要求?在此,我們以單項(xiàng)產(chǎn)品上線流程為例,簡(jiǎn)要描述一個(gè)數(shù)據(jù)合規(guī)體系的落地過(guò)程。

(1)在產(chǎn)品醞釀階段,企業(yè)可以邀請(qǐng)隱私保護(hù)專家列席產(chǎn)品開(kāi)發(fā)的研討,專家提供個(gè)人信息保護(hù)的合規(guī)建議,提示合規(guī)風(fēng)險(xiǎn)與解決方案,此過(guò)程應(yīng)通過(guò)會(huì)議記錄或郵件的形式留痕。

(2)在初步產(chǎn)品設(shè)計(jì)階段,產(chǎn)品設(shè)計(jì)團(tuán)隊(duì)針對(duì)使用的數(shù)據(jù)種類建立控制以及架構(gòu)來(lái)處理第一稿的產(chǎn)品設(shè)計(jì),第一稿的產(chǎn)品設(shè)計(jì)需體現(xiàn)上一階段提出的隱私及個(gè)人信息保護(hù)風(fēng)險(xiǎn)的解決方案。

(3)產(chǎn)品設(shè)計(jì)團(tuán)隊(duì)將完成后的產(chǎn)品設(shè)計(jì)進(jìn)行個(gè)人信息安全影響評(píng)估(Data Protection Impact Assessment, DPIA)。滴滴出行受審查一事,除了網(wǎng)絡(luò)安全審查和其他的法律問(wèn)題,也強(qiáng)有力地證明了企業(yè)對(duì)于與數(shù)據(jù)相關(guān)的產(chǎn)品進(jìn)行個(gè)人信息安全評(píng)估的必要性和重要性。例如,有些比較關(guān)注數(shù)據(jù)合規(guī)的企業(yè),其與數(shù)據(jù)相關(guān)的新產(chǎn)品和新服務(wù),從研發(fā)到上線,都需要數(shù)據(jù)安全和個(gè)人隱私專家提前介入,從法律、商業(yè)、技術(shù)三個(gè)維度對(duì)個(gè)人信息安全進(jìn)行綜合評(píng)估,并形成個(gè)人信息安全影響評(píng)估報(bào)告,防范數(shù)據(jù)安全風(fēng)險(xiǎn),防止企業(yè)日后因數(shù)據(jù)安全不合規(guī)而遭受重大損失,影響企業(yè)發(fā)展。

(4)最終產(chǎn)品能夠?qū)ο惹安槌龅碾[私和個(gè)人信息保護(hù)風(fēng)險(xiǎn)進(jìn)行處理,以及明確相應(yīng)的技術(shù)手段和控制,通過(guò)最終產(chǎn)品展示會(huì)議(包含法務(wù)、風(fēng)控、合規(guī)、安全等部門)以及論證加以證明。

總而言之,ISO 37301的國(guó)際可認(rèn)證性,在企業(yè)合規(guī)治理、傳遞商業(yè)信任、向監(jiān)管機(jī)構(gòu)證明存在合規(guī)管理體系、作為企業(yè)向司法機(jī)關(guān)提供關(guān)于違規(guī)量刑的正面證據(jù)、爭(zhēng)取合規(guī)不起訴等方面提供了重要支持。無(wú)論企業(yè)要不要取得ISO 37301的認(rèn)證,ISO 37301的標(biāo)準(zhǔn)提供一個(gè)搭建合規(guī)體系的方法論和架構(gòu),加上有實(shí)操經(jīng)驗(yàn)的專家的指導(dǎo)和協(xié)助,企業(yè)可以有效搭建出適配企業(yè)實(shí)際情況并符合國(guó)際水準(zhǔn)的合規(guī)管理體系,賦能企業(yè)業(yè)務(wù)增長(zhǎng),為企業(yè)國(guó)內(nèi)外運(yùn)營(yíng)保駕護(hù)航,保護(hù)企業(yè)和相關(guān)高管,幫助企業(yè)基業(yè)長(zhǎng)青。


來(lái)源:質(zhì)量與認(rèn)證