以下是現場速記。

 

合規管理體系國家標準GB/T35770起草人 劉紅霞

 

劉紅霞：非常感謝徐總、范總給我這樣一個機會，此時此刻，我的心情特別沉重，本來帶著很興奮的心情，中午吃飯吃得我壓力山大，下面進場前我也在和各位CIO大佬去聊。因為我是做合規管理的，CIO說讓我們合規干不了，要么就講一些法律法規強制要求去做的事情，要么以后業務就沒法做了。可能大家對合規是有誤解的，合規管理對現代企業本來就是一個新生事物，要把合規管理體系跟CIO結合起來。因為我平常接觸的是Chief Compliance Officer首席合規官，所以內心非常沉重，平時我不是這種性格的人，因為是下午，加上沉重的話題，我呼吁大家鼓掌給我一些鼓勵好不好?

 

既然我講的不是大家需要的，我還咋講呢?后來我想了想，根據我幫助企業優化合規管理體系的過程，回想起一幕幕CIO對話的過程。來到這個會議之前，我的興奮點在于給大家帶來產品，因為整個合規管理體系的鏈條涉及到該應用技術層面轉化成為產品的商業空間現在還沒有。上午聽了以后，我發現轉化產品的能力一點都不差，但也有一些其它的產品同樣有空間。整個數據合規長遠的要不要?我想還是要的，所以還是堅定地按照原來的PPT講下去。

 

我要講的包括三個部分：為什么會有數字化與合規管理工具的提法，在此體系和架構中有很多商業場景可以轉化為產品，現在還沒有，應用場景都有哪些。

 

圖中內容是我臨時加的，有必要建立CIO和CCO之間更加密切的聯系。因為我發現CIO轉化一些產品的時候也想，但無論是業務部門還是職能管理部門、治理部門，不讓你介入的話你就沒辦法。當然我也聽一個CIO說過，只所以不讓介入是因為能力不夠。但我在建設和優化一個企業合規管理體系的時候，合規管理是從治理層面來提，整個公司的制度體系需要優化，根據現在存在的這些問題。最初合規管理是從董事會的職能寫進章程，如果把IT這件事情配合治理寫到制度里面，是不是就確保IT職能支撐業務，除了集團內部還有外部其他可能的衍生業務的實現?今天上午范總說到CIO原來坐在CEO旁邊，為什么離開了?通過這些制度保障職能又有可能回到CEO位置。

 

什么是合規管理體系?合規管理本來是一個新生事物，合規管理體系現在也是被業界理解得五花八門。我是國內參與比較早的一批人員，2005年國內第一個跟銀行業的巴塞爾協議，我當時是從事國際商事仲裁，辦案的過程中第一次因為違規，本來非程序性的問題不撤銷就可以撤銷，當時給了我很大的振動。我問CIO對合規理解的時候，大部分CIO還理解成合規。律師團隊幫助一家集團公司建立合規管理體系，項目就是這樣立下來的，后來的合規管理工具是一個合同管理系統。我想跟各位CIO說的是，可能這是合規管理其中的一個產品，你們對合同管理系統都不陌生，但絕對不是合規管理系統，整個集團的制度系統現在沒有幾家公司能夠從合規管理角度去做。

 

TOP10的供應商，十幾年前，我就在國內企業推廣數字化合規管理工具，上午也有嘉賓講到高速路跑牛車，那個時候我就明白了為什么沒有人重視，因為開的是牛車，不需要高速公路。現在是一個非常好的Timing，這個時機也到了，等到我再去查TOP10合規管理供應商，現在已經變成數千家。原來IBM、輝瑞都是搞科技的，后來出來創業，迅速服務三四千家甚至三七千家國際上的其他公司，目前國內團隊在成長。用到企業的時候不好推，后來就去干標準了，把數字化與合規管理工具寫到國家標準里面。

 

國際標準起草的時候有一個草稿，我畫紅框的部分是特別把Technology提出，嵌入整個治理體系和業務體系。后來變成組織方發布的Title，就是GBT35770，這些是合規管理體系標準。我們的標準是國際標準同等轉化，大概的意思都不變，增加一個附錄，就是National Standard，也是數字化合規管理工具。因為我們是合規管理體系，也和質量管理體系等等有些融合的挑戰。數字化合規管理工具就是當年推的國家標準，也是我親自呼吁并且主持下來的模塊。這些都是可以覆蓋全流程的，你們對產品都理解，但是放到管理的話是有價值的。

 

現在的國家標準已經變成要求與使用，在座的都對技術標準不陌生，管理標準就是由原來的推薦性現在轉化為要求，同時可認證，意味著如果公司出了什么事情，給你一定的整改期限，在此過程中就可以免于被起訴或者減免罰金，是有直接的經濟價值，老板進去的話整個公司都會有問題。往大了說，管理成了標準也是冒著交流與合作的通用語言。

 

過去不到二十年，輔導企業建立優化合規管理體系的過程中，各個企業對合規管理體系的理解五花八門，甚至總結出了一百個困惑。做合規的人本身就有困惑，CIO對合規管理體系有困惑也是可以理解的。我經常說合規管理體系有一個相對穩定的結構，但可以解構成不同的樣子，其實在不同結構方法的過程中就會產生不同的產品。解構方式可以有多種，這里只舉三個例子：企業主體就是企業自身集團內部的合規管理加上利益相關方，前面用的是合規管理風險，不把這些弄好的話是規避不了的，企業需要自己問我是誰、我在哪、愿景和目標，產生一定的合規管理需求，利益相關方可以梳理為官產學媒，就是有隱示的，明示的好說，包括個保法、網絡安全法，大家不得不做，我們可以提出立法建議，但沒有立法的話我們到底要不要做?不直接的就是長臂管轄問題，有些事情我就不說了，大家都知道危害。

 

合規管理的角度就是所有的這些都是外規內化，無論是強制性的法律法規還是企業自愿選擇遵守的規矩，需要轉化為公司內部的管理相關的規范，都是哪些方面呢?現在談合規性的時候，無論是數字化、信息化，有的從算法合規性談起，但沒有從整個管理體系的角度留意合規性問題，包括模塊法和要素法。你們關注的是轉化為商品的產品，但合規管理，管理是不是也是產品?這四個模塊展開的話總共是三十八個場景，這些模塊也是從體系的設計到運行和資源保障、實施效果。

 

今天我覺得借助寶貴的二十五分鐘拋出一個框架和引子，也有機會期待會后能夠多交流。國內對合規管理理解的偏差，就像我們做算法，上午在技術層面我是聽不懂的，但我不需要懂，這里需要一個產品，只要有辦法做出來就行了。當然，做出來的過程中又會產生其它的，可能是數據不合規帶來的風險。能夠嵌入流程，確保機制運行，進行管理體系融合，我覺得就夠了。

 

無論上面多少個要素，幾百個商業場景空間，轉化產品的過程都是需要的。上午聽完的時候我有一種擔憂，轉化的產品非常漂亮，但整個過程中需要數據，數據完整、準確才能形成產品，但數據合規呢?我不知道在座的CIO有沒有打造產品的時候關注到這一點。應用數字技術的基礎是什么?是獲得完整、準確和合規的數據，為什么說合規了沒法做?為了打造一個產品，說拿出去就拿出去，本來這兩個框架是形成業務，現在業務進行數據化，數據也可以業務化，每個環節都需要合規才能確保產品和業務更有價值。

 

這些就是我從國家標準中直接截的圖，就是數字技術合規管理體系中應用的層面，個人認為還有很大的提升空間，但就目前列出的這些項，大家也可以看一看，你們對內或者對外有沒有足夠的數據做成產品?有沒有把這些數據進行業務化?可以說現在凡是建立合規管理體系的企業都需要，你們關注到了嗎?合規怎樣創造價值就有爭議，合規都是花錢的，經常跟業務部門吵架，你耽誤了我的業務進展，各位CIO就很理解，因為你們有資源，資源、資產和最后資本的轉化過程是產生價值的。但在這個過程中的合規性呢?是不是企業提供什么樣的信息你就可以接受?因為甲方授權給你。企業擁有的數據資源是不是合規?你不知道，所以數據權屬具有明確性、可控性、轉讓性，最后才能有有序的行為資產形成資本，持有權、使用權、經營權、技術處理權都會受到影響。

 

我做合規項目十一年了，中國企業在海外受到制裁的有多少家，這里就不說了，但中國企業的十類問題都在這里。合規管理范圍問題、合規制度體系問題，不是說重疊了、沖突了，弄個制度放在那里就會形成有效的制度體系。國際組織審查的時候，你的制度沖突或者集團公司跟子子孫孫公司之間的不一致，制度跟業務不一致，這些都需要處理，因為已經無效，所以也是受處罰的一方面。疫情期間因為數據安全的問題導致敲詐勒索，我一個IT小白，跟有些集團公司服務的時候自己會做一些搜索和調研，所以我就發現很多平臺上的問題，如果想勒索的話我也可以利用信息勒索。

 

數據不安全的源頭是什么?追根溯源就是缺少合規意識。合規培訓和日常溝通中也可以用到合規管理工具，包括各種各樣的產品。西門子、戴姆勒、輝瑞無論是以什么理念為主導的合規管理體系建設，大家可以看到整個閉環中都在考慮國家標準、國際標準以及合規管理的范圍，落實到商業場景中展開又是上百個，合規管理體系中這些公司是用到數字化和合規管理工具的，具體設計就是要跟公司的CIO以及負責治理層的領導商議，嵌入各個接口的流程中。

 

我是以國家標準起草人的身份出現，展示合規管理體系，這里想要描述一個空間，合規管理體系除了剛才提到的跟其他管理體系的融合，也是跟組織治理里面不僅涉及合規管理體系，也有涉及到其它的。組織不僅是指企業，也是指社會上其它的，甚至上升到國家層面，總書記也把標準上升到國家治理和社會治理層面，意義是重大的。

 

圍繞企業和其它社會組織形成產品的過程中，個人還是呼吁，只有做到數據合規，我當時也在猶豫要不要提，應該很快就會公開。“五一”前我作為中國代表團成員參加兩項合規管理體系的標準建設，也是跟國際上其他國家的專家去辯論，中國第一次主導發布國際標準，已經被立項了，中國也準備發起數據合規方面的國際標準。你們做技術的大佬知道，各個技術標準歐美過去的話語權很重，中國也應該發出中國的聲音，除了技術上的標準，我們在管理體系層面也要發出我們的聲音，然后能夠成就國際標準，意味著未來的國際通關、國際交流，起草的時候都是我們主導的，是不是就有話語權了?