企業合規經營的關鍵支柱在于合規體系之搭建。要使合規管理形成企業經營的“防火墻”，保護企業免受因合規風險所帶來的嚴重影響或重大損失，企業應當根據其行業特點和經營管理模式搭建針對性的合規體系。而一個行之有效的合規體系搭建，離不開合理的制度和程序、高層參與、風險評估、盡職調查、培訓和溝通、監督和審核六大組成部分，這六大組成部分也是ISO 37301合規管理體系基本要素的要求。具體而言：

1.合理的制度和程序

企業應制定合理的制度和程序，其作為企業合規體系的核心，是企業所有員工履行職責的基本要求。主要分為以下四方面：

（1）企業行為準則，這是企業經營管理和文化建設的綱領性文件，包括企業愿景、使命、核心價值觀、合規方針、社會責任等方面；

（2）企業合規管理制度，這是企業合規部門進行合規管理的程序性規章制度，包括合規組織制度、合規風險管理流程、合規審查流程、違規舉報、調查與處置流程、合規報告程序等方面；

（3）職能部門管理規章，企業不同的職能部門涉及到不同的合規規范的執行與遵守，例如，管理、財務、人事行政、法務、內控等部門均有相對應的合規規范；

（4）業務合規流程，企業各業務領域涉及不同的合規規范，例如傳統的業務合規流程、網絡安全合規流程、產品合規流程、跨境電商領域合規等，具備較強的專業性，往往需要企業合規部門與業務部門合作制定和修改相關的業務合規流程。

2.高層參與

企業合規運作應有高層的參與，形成較為成熟的合規組織體系。高層參與能夠使企業形成上下連貫的合規組織結構，如公司自上而下設立合規委員會、分支機構和職能部門中的合規部門，合規部門直接向公司合規委員會和首席合規官匯報。這樣能夠確保企業管理層及時識別合規風險并采取應對措施。

3.風險評估

定期或不定期地對企業活動中存在的合規風險進行識別與評估。例如，在投融資或收購項目中，企業需要對該項目進行合規風險評估，評估結果作為決策參考，降低企業風險。

4.盡職調查

合規部門針對已存在的合規風險進行調查和研究，形成合規風險報告，并研究制定和實施降低風險的措施。

5.培訓與溝通

企業需要定期組織培訓和溝通，一方面能夠確保員工了解最新的法律法規、監管規定、企業內部規章制度等方面內容；另一方面也能夠保證企業高層管理者與其它層級員工維持一種穩定的溝通，使企業高層管理者的合規理念與態度能夠順暢傳達至企業各層級員工，形成合規文化。

6. 監督與審核

企業應建立合規監控體系，包括監督與審核。監督是指企業的高層管理者或員工在進行業務活動時，都應在其職責范圍內進行可持續的管理與監督，檢查每一項業務活動是否存在違規行為。審核是企業對合規管理體系運行情況的評審，企業通過審核及時發現問題并加以整改，有助于持續提升合規管理能力，確保企業的合規體系在全球各地得到了良好的貫徹執行。

在了解企業合規體系搭建方法論的基礎上，我們以數據合規為例，結合數據合規應用場景，分享企業數據合規體系搭建和落地的方法論。

1.搭建數據合規體系

企業的數據合規體系搭建步驟大致可分為以下三個階段：

第一階段，數據核查。從信息安全角度進行數據核查的常規做法是使用軟件來“感知”一個系統內的數據種類，并給予這些數據的敏感程度對該系統提出整體的安全方案。例如，有些比較關注數據合規的企業會通過SERVICE NOW、ONE TRUST、HIPEROS等數據合規工具，在跨境數據傳輸、合同審查、產品服務、隱私監管審查、盡職調查等方面輔助數據核查。數據核查不僅能夠了解企業個人信息的收集和處理的現狀，同時也是企業了解現狀、識別風險和建立數據合規體系的重要基礎。

第二階段，進行風險識別和制定合規方案。企業可結合網絡安全和數據保護法律法規規定的合規義務進行差距分析和風險識別，系統梳理和評估企業面臨的數據風險和競爭風險，提前分析預判可能導致的數據合規風險。例如，如果一家擬上市企業要選擇香港上市或國外上市，則該企業需充分考慮是否需要進行網絡安全審查，如需配合國外監管機構的信息披露要求，應當及時與國內監管保持溝通并按照程序獲得批準，優先遵循國內法律法規要求，并就企業的IT系統、用戶界面、用戶注冊流程以及在個人信息收集、使用以及保護的透明度等方面，進行整體合規方案規劃。

第三階段，數據合規規則建立和落地。企業可結合實際情況建立數據合規規則，完善相關的制度和流程。開展員工意識培訓，使員工認識、了解數據合規要求以及如何在業務流程中落實制度要求。在數據保護合規制度搭建起來后，企業需要持續追蹤數據保護合規制度實施情況，改善企業數據合規機制，確保企業的數據合規制度能夠持續符合監管要求。

2.單項產品數據合規體系落地

企業搭建起來的數據合規體系如何落實到具體的業務流程中，以確保涉及數據的業務經營符合監管要求？在此，我們以單項產品上線流程為例，簡要描述一個數據合規體系的落地過程。

（1）在產品醞釀階段，企業可以邀請隱私保護專家列席產品開發的研討，專家提供個人信息保護的合規建議，提示合規風險與解決方案，此過程應通過會議記錄或郵件的形式留痕。

（2）在初步產品設計階段，產品設計團隊針對使用的數據種類建立控制以及架構來處理第一稿的產品設計，第一稿的產品設計需體現上一階段提出的隱私及個人信息保護風險的解決方案。

（3）產品設計團隊將完成后的產品設計進行個人信息安全影響評估（Data Protection Impact Assessment, DPIA）。滴滴出行受審查一事，除了網絡安全審查和其他的法律問題，也強有力地證明了企業對于與數據相關的產品進行個人信息安全評估的必要性和重要性。例如，有些比較關注數據合規的企業，其與數據相關的新產品和新服務，從研發到上線，都需要數據安全和個人隱私專家提前介入，從法律、商業、技術三個維度對個人信息安全進行綜合評估，并形成個人信息安全影響評估報告，防范數據安全風險，防止企業日后因數據安全不合規而遭受重大損失，影響企業發展。

（4）最終產品能夠對先前查出的隱私和個人信息保護風險進行處理，以及明確相應的技術手段和控制，通過最終產品展示會議（包含法務、風控、合規、安全等部門）以及論證加以證明。

總而言之，ISO 37301的國際可認證性，在企業合規治理、傳遞商業信任、向監管機構證明存在合規管理體系、作為企業向司法機關提供關于違規量刑的正面證據、爭取合規不起訴等方面提供了重要支持。無論企業要不要取得ISO 37301的認證，ISO 37301的標準提供一個搭建合規體系的方法論和架構，加上有實操經驗的專家的指導和協助，企業可以有效搭建出適配企業實際情況并符合國際水準的合規管理體系，賦能企業業務增長，為企業國內外運營保駕護航，保護企業和相關高管，幫助企業基業長青。

來源：質量與認證