扫描分享
本文共字,预计阅读时间。
数据合规很热,但行业仍在摸着石头过河。在承办数十起数据合规项目后,互联网合规君发现,企业数据合规管理难点主要表现如下:
- 合规目标不清晰、不准确
- 一把手不重视,从下而上做合规阻力重重
-
合规KR无法拆解,合规停留在把O当口号 -
企业部门间权责不明、语言不通 -
企业内部部门墙太深,各做各的 -
合规没有激励奖惩、合规价值难以量化 -
事前合规无人应,事后合规重追责 -
合规无法适配业务,合规大饼难以消化 -
纸面合规脱离现实,合规措施无法落地 -
外部合规支持蜻蜓点水、流于表面 -
......
1、确立合规目标
数据合规驱动业务增长,这是良好的理念,但它不是目标。很多企业在数据合规方面无法确立清晰、准确的合规目标,以致于内部合规团队难以形成合力或者合规工作难以推进。
合规目标有大有小,如企业初涉数据合规领域,建议将合规目标尽可能拆分,从小做起,以点带面。例如:
- 监管检查专项应对
- 行业新规合规响应
- KA客户投标过审
- 业务合作方合规审查
- 境外总部合规要求
- 业务出海数据跨境
- 投资方合规审计
- 拟境内外上市前整改
- 网络舆情事件处理
- 合规形象公关展示
- 底层数据刑事风险隔离
- ......
企业对外宣发可呼“合规自律”,但内部推动还是应确立可接受、能执行、易量化、有反馈的合规目标。
2、以理解业务为前提
数据合规切勿自嗨,不要看到这个数据安全事件、那个行政处罚案例,就感觉天降大任于斯人、奈何队友不给力。数据合规很重要,但如何支持业务发展、如何平衡业务增长与合规成本更重要,亦是合规部门与业务部门配合协作的基础。不要强推合规而不顾用户流失,不要争抢合规业绩而忽视营收压力。
合规整改牵一发而动全身。数据合规不仅仅是数据流的合规,更是业务流、合同流、资金流等等再加上数据流的合规。理解数据,更要理解业务与场景,理解可承受的风险与应让渡的资源,理解行业的潜规则以及底层违规的无可奈何。
另一方面,对标头部但不要盲从,数据合规应建立在企业自身的业务之上。多少所谓保护用户隐私的行业优秀实践案例,是以合规之名谋取竞争利益。合规可以是一门生意,但不应完全是,也不一定会成为你的生意。
合规,是企业减少负反馈的过程,是良币驱逐劣币,是企业“在自己身上,克服这个时代”。
3、合规要求融入整改解决方案
数据合规整改普遍面临的难点:
- 如何全面识别数据合规相关的各类风险?
- 如何将各类合规要求转换为企业内可执行的标准?
- 如何持续满足不断更新变化的相关监管要求?
- 如何有效评价数据合规工作的实际效果?
- ......
将合规要求融入整改解决方案,是数据合规能否有效落地的关键。
- 建立外部合规规则矩阵,基于对合规规则的分类、整理而形成合规基线。
- 综合考量企业所在的行业、业务领域以及业务开展地、合规需求等因素,建立适配的、可拓展的数据合规治理框架,将合规要求提炼为可执行的控制项。
- 根据各业务线与特殊敏感场景设立合规管控侧重点,对风险进行分级分类并设置内部响应机制。
- 定期对控制项实施情况进行效果评价,审查控制项在企业内部的执行程度。
另一方面,使合规要求自动(数字化)/主动(组织自觉性)触发合规管理流程,将数据合规融入企业日常管理中,降低可预期的风险。
(以PIA为例)
4、数据合规项目管理
准确拆解合规计划及任务、及时调配各类资源以支持项目、有效协调企业各部门间分工协作、合理推进合规整改进度、整体把控合规项目质量与效果等,既是技术,也是艺术。项目管理,一言难尽。
5、主动拥抱监管,但不迷信谄媚监管
合规不是合乎某某领导一家之言,不是合乎某某内部会议之道听途说,亦不止于合乎法规、政策、标准、规则等,更是合乎规律。特别是数据合规领域,很可能今日之种种专项行动,明日却被否定推倒重来。合规部门应与法务、公关、GR等部门通力合作,但更应有自己的合规主线与合规智慧。听风就是雨,很容易丧失合规应坚守的原则与底线。
我们也曾/正服务多家政府监管部门。如客户在合作洽谈期间谈及“与XX部门有没有关系”,我们坦诚直言“没有关系”。所谓“有关系”,无法解决“合规问题”。
最后,祝愿大家在合规里卷出一片天地。
非常感谢您的报名,请您扫描下方二维码进入沙龙分享群。
非常感谢您的报名,请您点击下方链接保存课件。
点击下载金融科技大讲堂课件本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。
本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。
本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。