合规研究 | 企业如何搭建合规体系以获得ISO 37301认证？

日期：2022-03-15

我们了解到，权威的第三方认证机构在对企业进行ISO 37301认证时，并非机械地对企业合规管理模块、流程进行单点打分，而是基于ISO 37301的要求，以一种系统性的过程评审方式进行。 这对企业的启发是： 要获得ISO 37301认证，企业需要通过有效的方法论，并结合企业实际情况，“贯标”ISO 37301，以衔接ISO 37301的标准要求与企业的合规体系（如下图所示），实现企业合规体系与ISO 37301适配。 接下来，笔者将结合在世界500强跨国企业担任法律合规负责人期间的合规实操经验，分享企业应如何搭建出符合ISO 37301国际水准的合规管理体系。

企业合规经营的关键支柱在于合规体系之搭建。 要使合规管理形成企业经营的“防火墙”，保护企业免受因合规风险所带来的严重影响或重大损失，企业应当根据其行业特点和经营管理模式搭建有针对性的合规体系。 而一个行之有效的合规体系搭建，离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分，这六大组成部分也是ISO 37301合规管理体系基本要素的要求。 具体而言：

企业应制定合理的制度和程序，它作为企业合规体系的核心，是企业所有员工履行职责的基本要求。 主要分为以下四方面： （1）企业行为准则，这是企业经营管理和文化建设的纲领性文件，包括企业愿景、使命、核心价值观、合规方针、社会责任等方面； （2）企业合规管理制度，这是企业合规部门进行合规管理的程序性规章制度，包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面； （3）职能部门管理规章，企业不同的职能部门涉及到不同合规规范的执行与遵守，例如，管理、财务、人事行政、法务、内控等部门均有相对应的合规规范； （4）业务合规流程，企业各业务领域涉及不同的合规规范，例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等，具备较强的专业性，往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。

企业合规运作应有高层的参与，形成较为成熟的合规组织体系。 高层参与能够使企业形成上下连贯的合规组织结构，如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门，合规部门直接向公司合规委员会和首席合规官汇报。 这样能够确保企业管理层及时识别合规风险并采取应对措施。

定期或不定期地对企业活动中存在的合规风险进行识别与评估。 例如，在投融资或收购项目中，企业需要对该项目进行合规风险评估，评估结果作为决策参考，降低企业风险。

合规部门针对已存在的合规风险进行调查和研究，形成合规风险报告，并研究制定和实施降低风险的措施。

企业需要定期组织培训和沟通，一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容； 另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通，使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工，形成合规文化。

2

在了解企业合规体系搭建方法论的基础上，我们以数据合规为例，结合数据合规应用场景，分享企业数据合规体系搭建和落地的方法论。

企业的数据合规体系搭建步骤大致可分为以下三个阶段：

第一阶段，数据核查。 从信息安全角度进行数据核查的常规做法是使用软件来“感知”一个系统内的数据种类，并根据这些数据的敏感程度，对该系统提出整体的安全方案。 例如，有些比较关注数据合规的企业会通过SERVICE NOW、ONE TRUST、HIPEROS等数据合规工具，在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。 数据核查不仅能够了解企业个人信息的收集和处理的现状，同时也是企业了解现状、识别风险和建立数据合规体系的重要基础。

第二阶段，进行风险识别和制定合规方案。 企业可结合网络安全和数据保护法律法规规定的合规义务进行差距分析和风险识别，系统梳理和评估企业面临的数据风险和竞争风险，提前分析预判可能导致的数据合规风险。 例如，如果一家拟上市企业要选择香港上市或国外上市，则该企业需充分考虑是否需要进行网络安全审查，如需配合国外监管机构的信息披露要求，应当及时与国内监管保持沟通并按照程序获得批准，优先遵循国内法律法规要求，并就企业的IT系统、用户界面、用户注册流程以及在个人信息收集、使用以及保护的透明度等方面，进行整体合规方案规划。

第三阶段，数据合规规则建立和落地。 企业可结合实际情况建立数据合规规则，完善相关的制度和流程。 开展员工意识培训，使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。 在数据保护合规制度搭建起来后，企业需要持续追踪数据保护合规制度实施情况，改善企业数据合规机制，确保企业的数据合规制度能够持续符合监管要求。

企业搭建起来的数据合规体系如何落实到具体的业务流程中，以确保涉及数据的 业 务经营符合监管要求？ 在此，我们以单项产品上线流程为例，简要描述一个数据合规体系的落地过程。

（1）在产品酝酿阶段 ， 企业可以邀请隐私保护专家列席产品开发的研讨，专家提供个人信息保护的合规建议，提示合规风险与解决方案，此过程应通过会议记录或邮件的形式留痕。

（2）在初步产品设计阶段， 产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计，第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。

（3）产品设计团队将完成后的产品设计进行个人信息安全影响评估 （Data Protection Impact Assessment, DPIA）。 滴滴出行受审查一事，除了网络安全审查和其他的法律问题，也强有力地证明了企业对于与数据相关的产品进行个人信息安全评估的必要性和重要性。 例如，有些比较关注数据合规的企业，其与数据相关的新产品和新服务，从研发到上线，都需要数据安全和个人隐私专家 提前介入，从法律、商业、技术三个维度对个人信息安全进 行综合评估，并形成个人信息安全影响评估报告，防范数据安全风险，防止企业日后因数据安全不合规而遭受重大损失，影响企业发展。

（4）最终产品能够对先前查出的隐私和个人信息保护风险进行处理，以及明确相应的技术手段和控制，通过最终产品展示会议（包含法务、风控、合规、安全等部门）以及论证加以证明。

总而言之，ISO 37301的国际可认证性，在企业合规治理、传递商业信任、向监管机构证明存在合规管理体系、作为企业向司法机关提供关于违规量刑的正面证据、争取合规不起诉等方面提供了重要支持。 无论企业是否需要取得ISO 37301的认证，ISO 37301的标准都提供了一个搭建合规体系的方法论和架构，加上有实操经验的专家的指导和协助，企业可以有效搭建出适配企业实际情况并符合国际水准的合规管理体系，赋能企业业务增长，为企业国内外运营保驾护航，保护企业和相关高管，帮助企业基业长青。