阅读时长:20min
点击进入“合规FM”

导读

“合规工作往往需要一个多面手,这个多面手当然也要有他的专业领域,比如说财务、CPA、系统控制、大数据分析等等,在企业内部负责财务、运营或者是业务等工作。其实法证及诚信合规工作对个人的背景要求相对是比较多元包容的。”安永法证及诚信合规服务的合伙人陈炽在接受“首席风控合规官”的访谈时表示,合规在过去若干年越来越得到监管机构、各级主管部门、企业、合规从业者的重视。现在合规的理念也逐渐为广大朋友们了解、接受、落实。未来我们的企业也将更加注重自身合规体系的建设、优化、评估,包括内部人才培养等。
所有优秀的企业,都很看重合规。合规可能是一张入场券!从战略上或者从合规文化上,合规不存在抓大放小,所有的大问题都是在小问题上面不断积累出现的,公司在合规事务中要防微杜渐。但从实操层面来看,确实大企业几千上万员工、几百上千的第三方等等,想滴水不漏,没有任何问题,说实话很困难。所以合规工作难在哪儿?有的时候是铁打的营盘流水的兵,合规体系建得再好,免不了会有新的员工入职,或者说业务环境变了,有新的业务线、运营的国家和地区等等,外部的合规要求、内部的人员、业务流程就会发生变化。因此,在现代公司管理中,怎样能够动态的在战略层面捕捉企业合规工作中最重要的点,然后及时去做相应的工作,显得越来越重要。
我们发现,这些年在合规业务上,越来越多的企业会结合数字化信息化建设做合规数据分析,尽可能在事前、事中而不是事后去找合规问题和隐患,然后及时处理,防患于未然。

以下为访谈实录

首席风控合规官: 哈喽大家好,欢迎大家收听“合规FM”,一个风控、法务、合规领域的电台节目,今天我们的主题是企业合规与数据安全,我们邀请到的嘉宾是安永法证及诚信合规服务的合伙人陈炽陈总。感谢陈总拨冗接受我们“首席风控合规官”的访谈,希望今天的这个访谈可以既专业又活泼,深入浅出地为大家解答合规谜题。陈总您是法证及诚信合规服务的合伙人,在中、美、澳大利亚有着20多年的相关工作经验,也深耕于数据合规、知识产权、反商业贿赂、反舞弊、反垄断等各个领域。我很好奇您当初为什么会选择去从事法证及合规领域的工作?
陈炽: 这是一个很好的问题。我当时觉得法证及合规领域的工作挺有吸引力的,比如法政,我们讲证据的保全、分析、形成报告,用在诉讼、争议解决、法庭等等,这个其实还是蛮神秘蛮有意思的。那么合规,通过合规文化培养、行为习惯形成、影响企业文化,通过合规的建设和优化为企业长期健康发展保驾护航,我觉得是非常有意义的工作。当时也是听取了身边一些师友的建议,最后决定还是全身心投入这方面工作。
首席风控合规官: 这类职业对个人综合素质有哪些要求?
陈炽: 它需要一个多面手,这个多面手当然也要有他的专业领域,比如说财务、CPA,系统控制,大数据分析,在企业内部负责财务、运营或者是业务等工作,其实法证及诚信合规工作对个人的背景要求相对是比较多元包容的。一个同仁真正开始做这份工作以后,可能就需要结合自己之前的特点背景,有针对性的去学习其他方面的知识和经验,不断的取长补短,打造成一个比较全面的人。专长还是要突出的,比如财务、创新科技等等,这些都是相辅相成的。
首席风控合规官: 安永近期发布了一份《2022年全球诚信合规调研报告》,报告当中提到,全球61%的受访者认同数据保护和隐私立法对企业有积极作用,全球69%的企业也都计划在未来的12个月内去增加投资用于合规管理相关的数据和技术应用等等。看起来是比较鼓舞人心的一个数据结果,但是这份报告的调查样本是怎样分布的,尤其中国企业占了多大的比例?
陈炽: 这也是一个很好的问题。这份报告是我们所谓最新出炉的2022年的报告。这份报告我们每两年做一次,在全球范围内收集业界反馈。2021年的6月到9月收集反馈以后,第三方、我们的researchers(研究员)对这些收集回来的信息加以整理、分析、分类、形成报告。我们,在全球范围54个国家一共进行4762场访谈,中国大概是100个访谈,其中65家企业有1000到4999个员工,23家企业有5000到9999个员工,1万以上员工的企业有12家,所以确实还是有一定规模和体量的企业。
首席风控合规官: 合规方面的投资、技术应用,大企业还是更有实力去完成对不对?
陈炽: 我觉得这个可能有几方面的考量。大企业可能在合规方面投入的人员、费用多一点,这个毋庸置疑,当然我们也会看合规团队的人数和整体员工人数对比的这个比例,还有企业数字化信息化的建设。如果合规团队规模不是很大,我们就要尽可能介入技术解决方案,提高合规管理的效率和效果,弥补人员上的不足,把手工的一些工作尽可能自动化、系统化。
首席风控合规官: 了解。人力配备之外,数字化也是很好的投入,可以节省很大一部分的人力成本,对于中小微企业来说,应该是更有力的一个手段,你没有办法去负担那么大的人力成本,至少可以用数字化工具来减轻负担。
陈炽: 是的,所以我们也会推出不同的一些工具或者系统,帮助客户不断在现有流程里边,找出一些可以自动化的工作,或者通过一些大数据分析,抓出最有代表性的高风险交易或者高风险行为,循序渐进的提高整体合规管理的有效性以及效率,弥补人力不足的挑战。另外一个,即使我人力配足了,我也希望把相对比较手工的、重复性的、比如说清洗数据这样的工作,把它自动化,那么省出来的时间干什么用?我们做合规工作的同仁,一般是对企业自身,对它的业务、运营、财务、合规管理,都是有相当的了解,那么把时间省出来以后,他们可以基于合规数据分析、抽样审查等,基于合规管理具体工作的结果,做趋势性的分析和判断,给到管理层,更好地做相应的管理工作,而且尽可能做到事前、事中而不是事后。运用一些先进的技术手段把人力节省出来,一方面可以弥补人力不足的挑战,另一方面可以做更有附加值、对企业来说更有意义的工作。
首席风控合规官: 2021年《个保法》、《网安法》、《数安法》等法律相关的资讯、报道不断映入读者的眼帘,媒体界纷纷地感叹中国迎来了合规航海大时代。其实个人信息保护在中国已经提了十多年,《网安法》也是早几年就已经开始实施的法律,从您的感受来讲,2021年究竟算不算一个非常明确的分水岭?
陈炽: 其实合规在过去若干年里越来越得到监管机构、各级主管部门、企业、合规从业者的重视。2021年《个保法》、《数据安全法》,从数据合规的角度确实是有特别大的力度。当然,我们在2017年就有《网络安全法》,2013年左右就有《国家秘密法》,涉及到隐私保护、等保、数据合规、跨境传数据跨境传输等要求。国外欧盟对隐私保护的要求在全球范围内是最高的,所以当时GDPR推出来时,确实相当多的业界同仁都参与进去。欧洲企业在总部做了GDPR的项目,肯定要推广到全球其他主要市场,那个时候我们就帮着一些欧洲企业把总部的GDPR合规管理标准、程序在中国落地。2017年《网络安全法》出来以后,我们确实是又做了等保的一些工作。2021年确实是隐私保护,数据跨境传输,或者更广义的数据合规,它的重要性以及影响力提升到了非常高的高度。所以您讲2021年是一个合规的分水岭,我自己觉得从这个数据合规角度,完全可以这样讲,我觉得是挺合理的一种说法。当然合规越来越是个大合规的概念,反商业贿赂、反不正当竞争,国外是FCPA、英国UK Bribery Act、包括法国。
首席风控合规官: 中国这一股合规浪潮的力量有多大?
陈炽: 我觉得非常大。其实之前也有一些朋友说2019年是中国的合规元年,现在2021年可能数据合规是爆发的一个情况。现在合规的理念越来越为更为广大的朋友们了解、接受、落实。未来我们会有企业越来越注重自身合规体系的建设、优化、评估,包括内部人才培养。去年开始我们谈刑事合规/合规不起诉,去年我们在全国有不少的试点,今年最高检说全国要大规模推广合规不起诉理念。
首席风控合规官: 很多企业可能还是比较迷惑,合规的重要性到底在哪里?
陈炽: 所有优秀的企业,合规都非常重要。合规可能是一张入场券,比如说企业没有经过等保认证,客户要求你有这份资质,以后可能你没有办法跟人家做生意了。同样第三方审计、经销商审计等等,也是客户、合作伙伴供应商、经销商有合规管理。从这个角度而言,如果一个企业想做大做强,做到这个细分领域国内乃至全球排的靠前的企业,要上市,有很高的市场地位,那确实需要企业把合规工作做到位。如果说企业合规没有做好,反过来可能给企业名誉造成很大的影响,所谓reputational的影响,不要说被罚款、追究民事刑事责任等等。所以优秀的企业把合规做好是必须要走的路,不能在这方面想办法抄近道、省劲儿,这是不行的。
首席风控合规官: 是否合规只需要抓大放小?比方说大企业合规就可以,大企业的主要业务板块合规就可以。
陈炽: 我觉得可以分两个层面来讲。第一是从战略上或者从合规文化上,我不觉得存在抓大放小。所有的大问题都是在小问题上面不断积累出现的,比如说反舞弊调查,没有人一上来就敢从公司职务侵占十个亿,一开始可能只是一点点钱,日积月累以后胃口越来越大,胆子越来越大,到了一定的位置以后他可能做出一些非常伤害公司的行为,所以说从战略角度应该是零容忍,我眼里不揉沙子,你只要违规了,那我就可以去处理。
第二从实操层面来看,确实大企业几千上万员工、几百上千的第三方等等,你想滴水不漏,没有任何问题,说实话是挺困难的,我以前也跟细分领域全球前二前三企业的合规总有过交流,他们说虽说企业的高管都很重视,配的人配的费用budget也都挺多,然后我本身的基础也不错,但是我每年可能有百分之二十、三十的一线员工是新员工,因为总是有人员的流动,有的员工可能换工作,或者说换到内部不同部门,或者说在同一部门升职了,那新的员工补进来以后,新员工以前的合规习惯、理念和文化,可能跟我这个企业的合规管理不一定一上来就能够搭在一起。所以说挑战总是有的,那么在实操层面我觉得抓大放小是可行的,因为首先最主要是你不可能做到滴水不漏,所以我们在日常的工作中,只能说我尽可能去抓一些大的问题,把注意力、有限的人力和财力放到最有代表性的行为或者行为模式上。
我们发现,这些年在合规管理上,越来越多的企业会结合数字化信息化建设做合规数据分析,尽可能在事前、事中而不是事后去找合规问题和隐患,然后及时处理,防患于未然。实操层面我们可以有抓大放小的做法,但战略上我们一定要提倡的是,我不容忍有违规的行为存在。
首席风控合规官: 可以抓住主要矛盾,但是合规无小事。其实刚刚我们在聊天的过程当中也聊到国外,尤其是欧盟很注重个人隐私保护,也生效了GDPR。对于想要出海的中国企业而言,GDPR对他们的影响或者说限制会有多大?
陈炽: 我觉得影响应该是非常大。首先欧盟本身就是中国非常大的贸易伙伴,除去直接出口到欧盟的情况,哪怕这个市场在美国,在北美或者在东南亚,可能也是受到GDPR影响的,很多时候你的客户可能需要你有这方面的资质,比如说需要你每年有一个GDPR评估报告,或者说这方面的认证,国内的企业在国际舞台上被客户认可不光是一个销售的问题,还有合作伙伴、投融资乃至于说供应链等等这些角度。中国的企业在数据合规角度如果能够拿得到GDPR这方面的认证,对于在全球范围内发展业务,我觉得都会有非常大的帮助。
首席风控合规官: 中国企业想要通过GDPR审计应该从哪些方面去努力?
陈炽: 从合规体系要求的角度,一般比较通用的方法,首先要了解法律法规的要求,然后看我现有的流程是不是严格地遵守这些法律法规的要求,可能企业业务和欧盟关系不大,但突然间要大力发展欧盟市场的业务,需要去做评估的工作,看看现状和GDPR的要求有没有差距,有多大的差距,具体在哪些点上能够体现出来这个差距。这是第一步评估的工作。评估之后就需要去做整改优化,针对每一个有差距的点,具体去看是规矩没定好,培训没做好,还是系统流程的控制没有设置好,有针对性的去做整改。明年我可以再做一次评估,把它变成一个常规性的工作。那么这样的好处在于哪儿?一方面,帮助企业循序渐进的提升数据合规管理,另一方面,在这个过程中,投资者乃至到监管机构可以看到企业在这方面的重视程度以及取得的进步。
首席风控合规官: 感觉是非常标准化的一个流程,评估、诊断、整改,然后把GDPR的评估变成每年的常规性动作,让自己时刻跟最新的法律法规保持一致。
陈炽: 是的。第一次做的时候,可能企业未必有能力自己来做,往往他会请外边的专业机构来配合来帮助他做,第二次或者第三次内部有相对比较成熟的数据合规体系以后,也许就是定期不定期的找专业机构,帮他做一些评估、诊断和优化,内部力量和外部专业机构配合,把这个数据合规的体系把它建起来,然后达到成熟。
首席风控合规官: 其实数据安全自从互联网繁荣时代以来,就一直是很大的一个困扰。究竟数据安全的解决之道在哪里?
陈炽: 网络攻击对于企业而言,风险肯定是有的。我们在很多年以前就看到企业的知识产权、商业秘密,有可能成为竞争对手网络攻击的目标和对象,这些年我觉得这个矛和盾,都是不断在提高,企业自身的防范能力也越来越强,业界的专业机构、团体组织等等也形成了一个强有力的专业论坛,企业内部的安全工作越来越得到推广和优化。黑客或者说网络攻击者方面的动作也是越来越多,手段也是越来越多。我觉得,企业应该是从自身内部规章制度sop的角度,要把信息安全方面的挑战及时地反映进去,制度流程尽可能去规避这方面的威胁。另外培训也很重要,比如说你收到了一个邮件,里边可能有个链接,如果这个邮件看起来格式、发件人、内容有些奇怪,那这个链接是不是就先不要去点,以免中招等等。企业应该结合自己的情况,有内部或者外部专业人士给咱们做这方面的培训,再有就是评估测试,定期不定期的对于企业信息安全情况做测试审计,看有没有隐患或者漏洞,及时优化整改。
首席风控合规官: 您在安永有多年的工作经验,可能也接触过不少企业咨询的案例,从您的经验角度来说,企业合规最常见的问题是什么?最大的痛点在哪里?
陈炽: 企业合规第一步还是tone of the top(高管之声),还是要让利益相关方、业务老大、运营老大等等充分理解到合规工作的重要性,以及合规对于企业长期健康发展的重要意义。我觉得对高管这方面的宣讲沟通培训其实也是非常重要。
合规的工作难在哪儿?刚才也提到,有的时候是铁打的营盘流水的兵,你的合规体系建得再好,免不了会有新的员工入职,或者说我的业务环境变了,有新的业务线、运营的国家和地区,外部的合规要求、内部的人员、业务流程就会发生变化,怎样能够动态的在战略层面捕捉企业合规工作中最重要的点,然后及时去做相应的工作。再有一个,其实合规落地很重要,因为合规落地不是说我定一个大方向就可以,我是需要把它结合到我的业务、生产、运营中去,让它能够真正落地。
所以有时候我们帮助企业去写sop的时候,就会发现你能够把sop写好的话,其实你是要懂这个企业的业务,懂他的流程,否则定出来一些合规的要求违背了商业实质业务实质,完全没有办法落地,就变成了一个摆设。
我总结一下您刚才这个问题。一,高管乃至所有利益相关方对合规的认识和重视是非常重要的。第二,企业整个市场环境、业务本身可能时不时会有一些重大变化,怎么样能够在外部监管环境、外部法律法规时不时在变的动态中,及时地捕捉到对于企业来说最重要的合规领域,及时做一些整改和优化的工作。再有就是合规的落地性,我们做合规的同事背景可以是比较多元的,最后如果要把合规工作做得好,还是要懂业务、懂运营、懂流程,这样子才能把合规具体要求定得符合商业实质,把落地效果提到高水平。
首席风控合规官: 所以说其实做合规并不仅仅是法务人员的工作,它需要和公司的战略、业务相结合,管理层这方面也很重要,对整个公司情况的把握也很重要,就并不仅仅是一个法律层面的问题。
陈炽: 是的。我们看到一些就是做的很好的企业,他的合规法务团队,其实是从专业角度很平衡的一个团队。可能有同事在法律角度非常专业,有的同事是对这个财务、运营、业务、供应链安全(很专业),所以是一个很全面的团队,知识面、经验角度的覆盖领域非常广。有的时候包括我们自己做一些咨询的项目,到最后充分了解客户所有利益相关方的想法以后,才知道原来客户要的是这样一个东西。那我觉得内部团队也是一样,有一个比较平衡的团队是非常重要。
首席风控合规官: 我们认为合规完整的解决方案应该是咨询与数字化双管齐下、两位一体。中国距离出现这种成熟的合规数字化解决方案还有多远?
陈炽: 我觉得这个应该是循序渐进的历程。这些年中国企业数字化信息化建设水平提高,其实对数字化在合规中的运用也起到了非常大的促进作用。我们必须也承认,很多时候企业的信息化建设不只是为了合规,也是为了生产、运营、财务、采购供应链等等整体通盘考虑的,所以说数字化的建设在一定程度上也是受到企业整体发展的约束。
怎么样通过一些自动化的手段,通过数据驱动找出风险最高的交易、行为模式等等,其实可以有主观能动性的去做一些工作,在整个数据流、信息流、审批流等等各个角度,充分地把数字化解决方案嵌到企业的运营和管理中去,又回到我刚才讲的这个,我们还是要了解企业的行业、业务情况、运营情况、流程等等,这样我们才能够在建工具或者系统的时候符合企业的实际情况,相应岗位、相应部门的同事在合适的时间,以合适的方式获取合适的信息来帮助他们做相应的工作,以达到合规管理的整体效果。
首席风控合规官: 您个人对合规还有什么样的寄语?
陈炽: 作为一个从业二十来年的一个“老合规人”,我确实看到优秀的企业往往还是在合规领域会持之以恒做一些投入,从内部团队培养和建设,费用支持,到外部专业团队的合作等等。现在整体大环境,合规确实越来越重要,企业只有在合规角度也做得好,才能够保证整个企业的长期健康发展。如果说有任何寄语的话,我希望,我们业内所有的同仁,以及对合规有兴趣的同仁,能够更积极、更主动地投入到合规的工作中来。我们大家,互相学习,取长补短,一起努力,把这个合规理念、合规文化贯彻人心。
首席风控合规官: 好的,非常感谢陈总今天参加我们的访谈,期待下次还能跟跟您聊出更多更有趣的合规话题,感谢您今天的时间。
陈炽: 好的,谢谢熊老师,好,谢谢大家。
首席风控合规官:欢迎大家期待我们下一期的“合规FM”,合规请听好,我们下期再会!

《合规FM》成立粉丝群啦!
入群方式:
1)添加微信号“crco2021”(合规官小助手)为好友,并在好友请求中标注“合规FM”。
2)把全名和职称发给小助手,如果您想约访谈,请附上访谈嘉宾简介,小助手将帮您对接。
- End -
本文撰写所需的信息采集自合法公开渠道,我们将尽力核实信息的真实性与可靠性,但不对信息的完整性、准确性、时效性提供任何形式的保证,且不对因信息错误或遗漏导致的任何损失或损害承担责任。本文系原创文章,版权归作者所有,如需开白、转载或出版,请联系后台。
- 推 荐 阅 读 -




- 关 于 我 们 -
继续阅读
阅读原文