文/葛诗新，中国人民大学

我们经常听到或者看到CEO,CFO这样的头衔，但我们很少看到CCO这样的头衔。CCO首席合规官。随着全球化的发展，尤其是数字经济的快速发展，各个国家逐渐加强了对企业在信息安全要求。

所谓合规从字面的意思不难理解是符合规定。其中的规定包括的主要是国家的法律和法规和相关的技术标准以及企业内部的规章制度。符合当地法律和技术标准成为一个企业进入当地市场的必要条件，任何违规的行为都会给企业的市场带来冲击。尤其是一些具有巨大品牌价值的公司，如果一旦出现不合规的行为，公司会受到监管部门的罚款.美国的NSA,中国的网络安全法和欧盟的GDPR通用数据保护条例的推出，都对企业尤其是全球化的企业提出了合规的新的挑战。比如欧盟的通用数据保护条例，如果违反相关条例将被罚款2000万欧元或者当年营业额的4%中两者取最高[1]。不仅市场份额会受到影响，更重要的是公司的品牌形象和公司声誉会受到严重打击。

企业在面对这些新规的挑战时往往经验不足或者心存侥幸。2019年1月，抖音因违反美国《儿童在线隐私保护法》被FTC处罚570万美元。2019年1月，CNIL以违反GDPR的同意规则为由，处罚谷歌5000万欧元。谷歌的主要违法行为是，未向用户提供透明和清晰的处理个人数据的方式，针对个性化广告未获得合法同意。国内的相关报道：新京报相关报道过度索取住客信息，华住酒店涉嫌侵犯隐私。华住集团旗下有的酒店要求住客使用微信扫码办理入住，实际上却是将住客变成自己的“会员”。事实上

一次的惩罚和曝光对公司不仅是经济损失，更重要的是声誉的受损。

由于合规工作在实际的企业运营管理中也会遭遇到各种各样的挑战和问题。从笔者的实际工作经验看主要有如下。

1 企业应对合规工作的问题和挑战

1.1 法律法规和技术标准具有各自区域的特点

法律法规和技术标准具有各自区域的特点。这一点不难理解，因为各国的法律和政策的目标的不一致，所以在相关的法律和条例以及技术标准都各有不同和偏重，这就给公司的相关合规工作带来比较大的难度。从公司管理和运营成本的角度，公司希望用一套统一方案解决所有问题，以降低成本，但在合规这部分工作却有其实际的难度。比如欧盟推出的通用数据保护条例-GDPR,更偏重于对个人敏感数据和隐私的保护。而中国的网络安全法，其生效于2017年6月相对较晚，但所覆盖的范围很宽。不仅包括个人的信息安全保护，更多的是和现有的大数据数据，网络领域的等级保护要求。例如：移动网络，物联网，云计算以及关键基础设施的相关保护要求。对于企业来说，为了符合相关的规定，就需要制定满足不同的需求，在内部评估的过程和偏重也不相同。这都给企业内部的管理流程带来不小的挑战。

1.2 公司内部对合规工作的认识不统一

由于合规工作相关的标准和条例与公司的市场需求并不紧密甚至相背，无论从普通员工还是高级经理都有不重视不理解的情况。例如在大数据分析类的公司，从监管和保护的角度，个人数据的需要受到保护而大数据公司是希望更多获取相关的数据。对于普通的员工来说，相关的合规工作可能会带来工作上的繁琐，影响工作效率和原来的工作习惯。比如在高科技的跨国企业中，全球化的研发体系导致很多系统的问题需要跨国家解决，但如美国国家安全局(NSA)的要求，很多用户现场的数据是无法直接分享给一些国家的工程师分析的，中间需要对数据的关键内容进行加密加扰并且权限需要控制。公司内部为了应对相关要求，必须要开发一套内部的跨国数据交互的系统对数据进行加密和加扰。这无形中也增加了企业的运行成本和运营效率。

1.3 相关合规检验标准不明确

由于相关的法律和条例是支撑相应技术标准的上位法，是技术标准的制定的主要依据。技术和标准的发展本身就是一个渐进的过程。很难短时间之内做到面面具备，而且相应的技术标准和测试规范也会受到起草人的水平和认知能力影响。而且从具体的执行层面看，国家标准很难照顾到方方面面的行业需求。如果没有行业标准作为支撑，会导致企业在准备内审和外审时，有时没有明确的要求。

1.4 执行时难与日常管理经营工作的结合

由于合规工作很多情况下是”额外”的任务或者与公司主要业务关联不紧密，但合规的要求却是从开始到结束贯穿整个产品的管理流程，必须在各个流程的节点要有相关的检查和验证的手段。这都是对原有流程的影响，以及对相应人员的职责的扩展。可以说对公司原有的日常管理工作的影响比较大，增加相关人员的工作量，而且管理人员的知识库也需要因此而更新。这些都会相对带来一些抵触，毕竟这些变化打破了原有的流程和职责，改变了原有管理环境的舒适度。

2 灵活与统一的应对合规管理方案

针对上述的问题其实也有多种方式来化解相应的问题。我在这里根据实践的经验介绍一些方法，为企业的相关管理工作提供参考。

2.1 建立公司内部的统一合规标准

合规工作的内容和侧重虽有不同，但世界上各个国家针对安全，尤其是信息和数据安全还是有很多通用和相似的地方。这就要求企业内能够根据所在国家和地区的要求整理一份公司内部统一的安全基线。从产品的设计开发开始，就要严格遵循公司内部的统一安全基线。同时剥离出各个区域不同的要求做一些特殊要求。主要是在相关产品需要在其中销售的时候能够符合当地要求。这部分的评估工作可以作为统一安全标准的一个补充，只在所受影响的区域进行。另外从技术标准的角度看，世界范围内也有很多和安全合规相关的国际标准组织或行业标准组织。标准组织的主要目标一般都是消除差异，为企业的技术需求和管理体系提供统一的基线。在建立公司内部的统一标准的时候，尽量满足相关的国际标准也是一种省时省力的方法。比如在安全领域可以参考ISO,ITU等相关标准。

2.2 加强合规相关的培训，统一内部认识

针对公司内部对合规工作的认识不统一。我建议从以下三点入手：

2.2.1 相关的培训。

2.2.2 违规后的风险警示。

2.2.3 高层领导的重视和推动。

不重视源于对合规问题的危害估计不足或者心存侥幸心理，但从最近几年各国政府对安全问题的监管态度上都是日趋严厉。中国政府现在倡导的一带一路建设的总体思路是好事，但也引来不少其他的猜忌,在这种情形下中资企业在走出去的同时，合规就显得的特别重要。

针对这些问题，相关的培训是必不可少的。无论是风险相关的培训，还是与合规流程相关的培训，对全员和新员工都要进行系统的培训。

对于高层领导，相关的工作人员应该把其中的风险和厉害关系充分分享给相关领导。我相信在这样的大是大非的问题上，一个有职业素养的领导人是不会心存侥幸的。

2.3 积极参与标准制定，明确相关合规标准

作为有能力的企业要积极参与到标准的制订中。合规工作的一个主要任务是符合相关机构的合规审查或者合规检测。如果所处领域相关的标准和规范不是很健全，公司积极参与相关标准的制作工作。俗话说的好，一流的企业做标准。积极参与到标准撰写的工作中有两个好处。一来企业可以更深入了解相关的要求和测试标准，二来可以提前介入合规要求，为公司相关的合规的审查和检测提供前瞻性支持。

2.4 灵活的组织架构和统一的处理流程，有助于合规工作落地

2.4.1 人员和组织结构及流程

专职团队和虚拟团队相结合构建虚实相结合的组织结构。

由于合规工作需要覆盖公司所有相关业务及起全部的生命周期。所以每个组织都要有相关的人员参与，但出于成本考虑，公司往往不愿意招募更多的全职人员支持合规的相关工作。根据个人的实践经验，采用虚拟化的团队来执行具体的合规工作也是明智的选择。虚拟化团队的最大好处是可以快速建立并响应将问题传递到公司相关部门。对于全球化的公司一个中心的合规团队还是必不可少的。专职的人员中包括开始提到的首席执行官，而且首席执行官必须能向公司的最高领导直接汇报。合规工作的推动离不开高层管理者的推动和支持。

2.4.2 流程的调整。

合规工作落地难，其中一个主要原因和公司管理流程中的控制相关。合规工作中有很多是对管理和流程的要求，因为企业的不同，相应的合规流程也不尽相同，但企业内部应结合自身原有的管理流程适应合规中的相关要求。并在流程的关键节点加入合规内容的验证和评估。对一些重要内容应行使一票否决的权利。在加入的流程中，无论是评估报告还是风险分析，最关键的是这些相关的结果可验证，并能为将来的合规审查提供证据。

3 结束语

企业的合规运营已经变成企业管理中的一块基石。合规工作的开展可以说和企业的管理紧密相连，甚至企业自身的管理也是合规管理的一部分。在当今监管日趋严格，法律法规日渐完善的情况，企业不要在心存侥幸，不然很容易给企业的市场和品牌的价值带来无可挽回的损失。合规工作也不是为了应付监管和审查，而是企业真正落实企业自身的社会责任，使企业在激烈的市场竞争中走的更稳。