以下是现场速记。
合规管理体系国家标准GB/T35770起草人 刘红霞
刘红霞:非常感谢徐总、范总给我这样一个机会,此时此刻,我的心情特别沉重,本来带着很兴奋的心情,中午吃饭吃得我压力山大,下面进场前我也在和各位CIO大佬去聊。因为我是做合规管理的,CIO说让我们合规干不了,要么就讲一些法律法规强制要求去做的事情,要么以后业务就没法做了。可能大家对合规是有误解的,合规管理对现代企业本来就是一个新生事物,要把合规管理体系跟CIO结合起来。因为我平常接触的是Chief Compliance Officer首席合规官,所以内心非常沉重,平时我不是这种性格的人,因为是下午,加上沉重的话题,我呼吁大家鼓掌给我一些鼓励好不好?
既然我讲的不是大家需要的,我还咋讲呢?后来我想了想,根据我帮助企业优化合规管理体系的过程,回想起一幕幕CIO对话的过程。来到这个会议之前,我的兴奋点在于给大家带来产品,因为整个合规管理体系的链条涉及到该应用技术层面转化成为产品的商业空间现在还没有。上午听了以后,我发现转化产品的能力一点都不差,但也有一些其它的产品同样有空间。整个数据合规长远的要不要?我想还是要的,所以还是坚定地按照原来的PPT讲下去。
我要讲的包括三个部分:为什么会有数字化与合规管理工具的提法,在此体系和架构中有很多商业场景可以转化为产品,现在还没有,应用场景都有哪些。
图中内容是我临时加的,有必要建立CIO和CCO之间更加密切的联系。因为我发现CIO转化一些产品的时候也想,但无论是业务部门还是职能管理部门、治理部门,不让你介入的话你就没办法。当然我也听一个CIO说过,只所以不让介入是因为能力不够。但我在建设和优化一个企业合规管理体系的时候,合规管理是从治理层面来提,整个公司的制度体系需要优化,根据现在存在的这些问题。最初合规管理是从董事会的职能写进章程,如果把IT这件事情配合治理写到制度里面,是不是就确保IT职能支撑业务,除了集团内部还有外部其他可能的衍生业务的实现?今天上午范总说到CIO原来坐在CEO旁边,为什么离开了?通过这些制度保障职能又有可能回到CEO位置。
什么是合规管理体系?合规管理本来是一个新生事物,合规管理体系现在也是被业界理解得五花八门。我是国内参与比较早的一批人员,2005年国内第一个跟银行业的巴塞尔协议,我当时是从事国际商事仲裁,办案的过程中第一次因为违规,本来非程序性的问题不撤销就可以撤销,当时给了我很大的振动。我问CIO对合规理解的时候,大部分CIO还理解成合规。律师团队帮助一家集团公司建立合规管理体系,项目就是这样立下来的,后来的合规管理工具是一个合同管理系统。我想跟各位CIO说的是,可能这是合规管理其中的一个产品,你们对合同管理系统都不陌生,但绝对不是合规管理系统,整个集团的制度系统现在没有几家公司能够从合规管理角度去做。
TOP10的供应商,十几年前,我就在国内企业推广数字化合规管理工具,上午也有嘉宾讲到高速路跑牛车,那个时候我就明白了为什么没有人重视,因为开的是牛车,不需要高速公路。现在是一个非常好的Timing,这个时机也到了,等到我再去查TOP10合规管理供应商,现在已经变成数千家。原来IBM、辉瑞都是搞科技的,后来出来创业,迅速服务三四千家甚至三七千家国际上的其他公司,目前国内团队在成长。用到企业的时候不好推,后来就去干标准了,把数字化与合规管理工具写到国家标准里面。
国际标准起草的时候有一个草稿,我画红框的部分是特别把Technology提出,嵌入整个治理体系和业务体系。后来变成组织方发布的Title,就是GBT35770,这些是合规管理体系标准。我们的标准是国际标准同等转化,大概的意思都不变,增加一个附录,就是National Standard,也是数字化合规管理工具。因为我们是合规管理体系,也和质量管理体系等等有些融合的挑战。数字化合规管理工具就是当年推的国家标准,也是我亲自呼吁并且主持下来的模块。这些都是可以覆盖全流程的,你们对产品都理解,但是放到管理的话是有价值的。
现在的国家标准已经变成要求与使用,在座的都对技术标准不陌生,管理标准就是由原来的推荐性现在转化为要求,同时可认证,意味着如果公司出了什么事情,给你一定的整改期限,在此过程中就可以免于被起诉或者减免罚金,是有直接的经济价值,老板进去的话整个公司都会有问题。往大了说,管理成了标准也是冒着交流与合作的通用语言。
过去不到二十年,辅导企业建立优化合规管理体系的过程中,各个企业对合规管理体系的理解五花八门,甚至总结出了一百个困惑。做合规的人本身就有困惑,CIO对合规管理体系有困惑也是可以理解的。我经常说合规管理体系有一个相对稳定的结构,但可以解构成不同的样子,其实在不同结构方法的过程中就会产生不同的产品。解构方式可以有多种,这里只举三个例子:企业主体就是企业自身集团内部的合规管理加上利益相关方,前面用的是合规管理风险,不把这些弄好的话是规避不了的,企业需要自己问我是谁、我在哪、愿景和目标,产生一定的合规管理需求,利益相关方可以梳理为官产学媒,就是有隐示的,明示的好说,包括个保法、网络安全法,大家不得不做,我们可以提出立法建议,但没有立法的话我们到底要不要做?不直接的就是长臂管辖问题,有些事情我就不说了,大家都知道危害。
合规管理的角度就是所有的这些都是外规内化,无论是强制性的法律法规还是企业自愿选择遵守的规矩,需要转化为公司内部的管理相关的规范,都是哪些方面呢?现在谈合规性的时候,无论是数字化、信息化,有的从算法合规性谈起,但没有从整个管理体系的角度留意合规性问题,包括模块法和要素法。你们关注的是转化为商品的产品,但合规管理,管理是不是也是产品?这四个模块展开的话总共是三十八个场景,这些模块也是从体系的设计到运行和资源保障、实施效果。
今天我觉得借助宝贵的二十五分钟抛出一个框架和引子,也有机会期待会后能够多交流。国内对合规管理理解的偏差,就像我们做算法,上午在技术层面我是听不懂的,但我不需要懂,这里需要一个产品,只要有办法做出来就行了。当然,做出来的过程中又会产生其它的,可能是数据不合规带来的风险。能够嵌入流程,确保机制运行,进行管理体系融合,我觉得就够了。
无论上面多少个要素,几百个商业场景空间,转化产品的过程都是需要的。上午听完的时候我有一种担忧,转化的产品非常漂亮,但整个过程中需要数据,数据完整、准确才能形成产品,但数据合规呢?我不知道在座的CIO有没有打造产品的时候关注到这一点。应用数字技术的基础是什么?是获得完整、准确和合规的数据,为什么说合规了没法做?为了打造一个产品,说拿出去就拿出去,本来这两个框架是形成业务,现在业务进行数据化,数据也可以业务化,每个环节都需要合规才能确保产品和业务更有价值。
这些就是我从国家标准中直接截的图,就是数字技术合规管理体系中应用的层面,个人认为还有很大的提升空间,但就目前列出的这些项,大家也可以看一看,你们对内或者对外有没有足够的数据做成产品?有没有把这些数据进行业务化?可以说现在凡是建立合规管理体系的企业都需要,你们关注到了吗?合规怎样创造价值就有争议,合规都是花钱的,经常跟业务部门吵架,你耽误了我的业务进展,各位CIO就很理解,因为你们有资源,资源、资产和最后资本的转化过程是产生价值的。但在这个过程中的合规性呢?是不是企业提供什么样的信息你就可以接受?因为甲方授权给你。企业拥有的数据资源是不是合规?你不知道,所以数据权属具有明确性、可控性、转让性,最后才能有有序的行为资产形成资本,持有权、使用权、经营权、技术处理权都会受到影响。
我做合规项目十一年了,中国企业在海外受到制裁的有多少家,这里就不说了,但中国企业的十类问题都在这里。合规管理范围问题、合规制度体系问题,不是说重叠了、冲突了,弄个制度放在那里就会形成有效的制度体系。国际组织审查的时候,你的制度冲突或者集团公司跟子子孙孙公司之间的不一致,制度跟业务不一致,这些都需要处理,因为已经无效,所以也是受处罚的一方面。疫情期间因为数据安全的问题导致敲诈勒索,我一个IT小白,跟有些集团公司服务的时候自己会做一些搜索和调研,所以我就发现很多平台上的问题,如果想勒索的话我也可以利用信息勒索。
数据不安全的源头是什么?追根溯源就是缺少合规意识。合规培训和日常沟通中也可以用到合规管理工具,包括各种各样的产品。西门子、戴姆勒、辉瑞无论是以什么理念为主导的合规管理体系建设,大家可以看到整个闭环中都在考虑国家标准、国际标准以及合规管理的范围,落实到商业场景中展开又是上百个,合规管理体系中这些公司是用到数字化和合规管理工具的,具体设计就是要跟公司的CIO以及负责治理层的领导商议,嵌入各个接口的流程中。
我是以国家标准起草人的身份出现,展示合规管理体系,这里想要描述一个空间,合规管理体系除了刚才提到的跟其他管理体系的融合,也是跟组织治理里面不仅涉及合规管理体系,也有涉及到其它的。组织不仅是指企业,也是指社会上其它的,甚至上升到国家层面,总书记也把标准上升到国家治理和社会治理层面,意义是重大的。
围绕企业和其它社会组织形成产品的过程中,个人还是呼吁,只有做到数据合规,我当时也在犹豫要不要提,应该很快就会公开。“五一”前我作为中国代表团成员参加两项合规管理体系的标准建设,也是跟国际上其他国家的专家去辩论,中国第一次主导发布国际标准,已经被立项了,中国也准备发起数据合规方面的国际标准。你们做技术的大佬知道,各个技术标准欧美过去的话语权很重,中国也应该发出中国的声音,除了技术上的标准,我们在管理体系层面也要发出我们的声音,然后能够成就国际标准,意味着未来的国际通关、国际交流,起草的时候都是我们主导的,是不是就有话语权了?
京公网安备 11010502049343号