无规矩不成方圆：合规推动企业业务发展
&&&& 11:05&&&&作者：&&&&来源：赛迪网
【赛迪网-IT技术讯】无规矩不成方圆，企业的的IT管理也是如此。随着经济的发展与技术的进步，企业IT管理已经扩展到了更深化的层次，甚至直接影响到企业的业务潜力。日前，赛门铁克在北京就企业级IT管理，风险与合规性策略及实践等相关问题与媒体记者做了深入探讨。
首席信息安全官的新焦点：业务风险的内部沟通
过去，由于企业对于安全管理的重视程度不足，所以首席信息安全官（CISO）的主要责任仅限于管理一些安全事件，只要能够确保安全上的合规就万事大吉了。真的如此么？随着风险的加大以及企业重视程度的加强，这一情况有了很大的变化，业务风险的内部沟通正在逐渐成为CISO的工作之一。
赛门铁克IT管理、风险与合规部门区域产品管理总监Caroline Wong女士表示，这主要是因为现在许多企业发现，自身所部属的安全解决方案都有一种“政出多门”的现象：众多安全厂商技术的并存，造成了产生的安全报告在格式和内容上的不一致，从而使得企业很难对自身风险状况作出综合全面的判断。
Caroline Wong 赛门铁克IT管理、风险与合规部门区域产品管理总监
在这种情况下，建立一套完整的IT治理、风险与合规性（GRC）解决方案系统就成为解决问题最有效的办法之一。因为这套系统可以允许CISO们用与业务相关的语言，把IT安全风险向业务部门及公司高管成员去做沟通。
合规推动企业业务发展
“合规是一个起点，还有很多进一步发展的空间余地。”Caroline 女士表示，合规及内控的实施是企业业务发展的重要推动因素之一。比如，对于eBay这类电子商务企业，安全合规能够保障其网上交易业务的顺利进行，合规及内控的实施对于企业业务具有极大推动力。通过赛门铁克的CCS产品，企业客户可以把合规作为一个起点来做，进而拓展到风险管理领域。
企业实现合规所要经历的周期及花费时间的长短，是由多方面因素来共同决定的。首先要看企业业务的复杂性，其次是整个企业的规模，最后在于企业已有安全计划、安全项目的成熟度。面向中国市场，赛门铁克针对中国版萨班斯法案和中国企业内控法规，在其CCS产品中已经把中国企业内控法规当中的部分管控要求和语言融合进来，为中国企业客户实现合规节约了宝贵的时间。
中国版萨班斯面临更多挑战
众所周知，美国多年以前推出萨班斯法案时，由于当时的技术水平尚不成熟，企业客户为确保对萨班斯法案的合规，不得不孤军奋战的去开发合规流程。当时有相当比例的企业通过求助于安全厂商实现了对萨班斯法案的合规。时至今日，风险与合规管理方面的产品和技术已经成熟，这意味着中国企业在解决中国版萨班斯法案时所面临的挑战、实现合规时，可以轻而易举地得到赛门铁克这类国际专业公司的帮助，因为像赛门铁克这样的公司在过去多年当中，一直在思考和开发此类的解决方案。
赛门铁克公司中国区安全产品总监卜宪录认为，中国在推行《企业内部控制基本规范》(应对于美国的萨班斯法案，人们常将其称之为中国版的萨班斯，C-SOX)时，可以说具有明显的后发优势，国内企业可以借鉴美版经验并结合中国国情，覆盖除上市公司财务报告审计之外更全面的企业内部运营风险及整个企业的管理制度。
卜宪录 赛门铁克公司中国区安全产品总监
Caroline女士提出，和美版相比，中国版萨班斯还要面对诸如虚拟化和云计算等新技术所带来新风险挑战。中国企业既要实现对中国企业安全法规的合规，同时也要能够成功管理和应对来自云计算、虚拟化等这类新技术带来新威胁。赛门铁克的CCS环境当中，就有相应的组成部分来组成模块，专门解决这些问题。
另外，针对中国市场的特殊需求，赛门铁克也对自身产品做出了改进，比如CCS增加了中文版用户界面，这使得中国国内无论是国际化大公司还是中小企业都能用上该产品。
CCS可有效助力企业内控
虽然云计算和虚拟化的快速普及为企业带来了无穷便利，但也对其内控产生了一定影响。比如一些重点行业企业，他们的数据大多属于机密级，为了保证数据安全，往往不会上传云端，这在很大程度上就失去了应用云计算的意义。
Caroline女士认为，对于云计算的客户，他们在安全或内控上只有两个选择，第一是选用云计算供应商所能提供的云安全功能，但云计算服务供应商所能提供的安全功能往往非常有限。第二是客户会对要放到云中的所有数据类型予以评估，对于那些敏感性和保密性要求高的数据，就选择不放到云当中去，但这也不是一个最佳的方案。
目前赛门铁克推出的CCS则很好的解决了这个问题，CCS标准管理器Standard Manager能够对企业放置在其自身数据中心及公共云端中的数据进行综合性技术评估，并在单一视图及单一全面的仪表盘里体现评估结果。CCS的这一能力已经在Amazon、ECR等用户云环境当中得到了验证。
合规更要智能化、人性化
合规对于企业非常重要，但在实际操作中还存在许多制约因素，比如较高的操作复杂性，报告里过于专业的技术术语等，这些会在无形当中对企业内部沟通协调产生影响。
而赛门铁克CCS产品的评分系统，一方面可以有效降低技术人员的工作量，另一方面还保留了很强的自主性，这对于提升企业的工作效率显然大有裨益。
编辑：张苑&&&&
《梧州快报》本地新闻早知道&&梧州第一手机新闻资讯平台
订阅方式：移动用户发送by到&&&&
留言内容：
版权所有: 梧州日报社合规文化案例_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
合规文化案例
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
你可能喜欢503 Service Temporarily Unavailable
503 Service Temporarily Unavailable
openresty/1.11.2.4谢邀。叔叔做Inhouse，从Inhouse角度谈谈吧。律所的朋友请继续回答&br&从公司的角度看，合规业务无疑是非常重要的一块儿，在一个新情况、新技术、新问题层出不穷的世界里，新的法律法规、执法趋势等对于任何公司，特别是全球化经营的公司来说都是需要关注的，守法合规是公司最为关心的一件事情之一。&br&从公司律师的角度谈几点：&br&一是上市公司的合规问题，上市公司每年的年报，季报，公告，Filing等等，是律所的合规业务之一；&br&二是重大领域的合规服务问题，比如税务、反垄断、Anti-Bribery, IP、环境、制裁、禁运、资质获取，政府审批等，是律所合规业务的重头戏；从公司的角度看，需要律所出具法律意见，进行Lobby，和政府有关机构沟通、获取审批等等；&br&三是交易的审批问题，这个和第二点有些重叠部分，此处不赘述；&br&四是合规方面公司遭受处罚后如何应对及减少损失的问题，这也是公司需要外部律所之处；&br&五是对有关法律法规的解读和对立法、司法趋势的研判问题，对已有法律法规和政策如何解读，有无对公司经营的“闪转腾挪”的空间，立法司法的趋势如何，对公司未来发展经营有无潜在影响，公司应该做好怎么样的准备，这也是公司对律所服务的要求之一；&br&六是制作相关的业务指引和Code of Conduct(行为规范），在全球运营的公司，管好员工的行为，是风险控制的重要因素，律所可以考虑这方面的业务拓展；&br&七是CSR（Corporate Social Responsibility，公司社会责任）和Human rights(人权）问题的参与，这两个问题，CSR这些年比较热，Human rights的问题已经日益引发大公司的关注；&br&八是和合规相关的诉讼问题，这个涉及到和政府撕逼，不仅仅是合规团队，还需要诉讼团队的参与了。&br&&br&点赞不如打赏：&br&&br&&p&&a href=&///?target=http%3A///s/AvlXEV3& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/s/AvlXEV3&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& (二维码自动识别)&/p&&p&&a href=&///?target=https%3A///f2f%3Ff%3DoQcWTuA6-IwfPjWlASTaCnN6bTi4& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/f2f?&/span&&span class=&invisible&&f=oQcWTuA6-IwfPjWlASTaCnN6bTi4&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& (二维码自动识别)&/p&&br&还可以顺便关注下：&br&&p&&a href=&///?target=http%3A///r/1Ej95eXEJbharaGG9x3G& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/r/1Ej95eX&/span&&span class=&invisible&&EJbharaGG9x3G&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& (二维码自动识别)&/p&
谢邀。叔叔做Inhouse，从Inhouse角度谈谈吧。律所的朋友请继续回答 从公司的角度看，合规业务无疑是非常重要的一块儿，在一个新情况、新技术、新问题层出不穷的世界里，新的法律法规、执法趋势等对于任何公司，特别是全球化经营的公司来说都是需要关注的，…
&a href=&///?target=http%3A//mp./s%3F__biz%3DMjM5ODA5NzYzNg%3D%3D%26mid%3Didx%3D1%26sn%3D4f65ebc7b6cca64b3a7a2a66c82b6e4b%263rd%3DMzA3MDU4NTYzMw%3D%3D%26scene%3D6%23rd& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&mp./s?&/span&&span class=&invisible&&__biz=MjM5ODA5NzYzNg==&mid=&idx=1&sn=4f65ebc7b6cca64b3a7a2a66c82b6e4b&3rd=MzA3MDU4NTYzMw==&scene=6#rd&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&
过了这么多天，终于来回答了。&br&实话说，我是个不安分的人，之前做客户经理好好的，到了第三年的时候不知道哪根筋搭错了，就想转做风控，也下了一下功夫，比单做客户经理更注重分析和学习了，后来从银行出来到了现在的担保公司，这公司那会儿才开始运营，初期基本全民营销，种种原因我被分在业务部做了项目经理，负责原来银行的渠道维护，说白了就是回去利用原来的资源拓展业务。由于渠道的便利性，使得我待在公司的时间比较多，平时就是另外两个才入行的小伙伴待在银行里面负责接待客户。待在公司的时候也经常帮其他渠道的同事做做力所能及的小事情，顺便了解一下其他行的产品等等；这期间由于以往工作经历的原因，对于落实反担保这块比较熟（比如房产、设备抵押；股权、应收账款质押等），因此每次大家要办这些的时侯我都会给他们提供一些流程上的帮助；再加上有一些法律基础，偶尔也帮着起草或者审核一些协议、合同等等。有时候在公司碰上别人的项目上评审会，我也会去蹭，去蹭评审会除了借鉴别人做项目写报告的经验之外，我觉得最大的好处就是能够学习评委们对于每个案子分析的切入点，我每次都会把他们的意见和分析方向记下来，然后有空的时候拿出来学习，这样时间久了，遇到项目，自己就能分析和提问题了，再跟客户交流的过程中，也会提出一些新的观点和问题。时间一长，就成了我们团队里面对所涉及的银行产品最熟的客户经理了，到后来每次开业务例会，说到一个新客户，只要提供了基本情况，我就能根据这些信息，判断应该把这个客户放在哪个渠道申请哪个类型的授信比较合适。&br&
我一直觉得我在工作上总是走狗屎运（仅仅是工作上，因为我每次抽奖或者买彩票都不中）在市场部做了一年，后来公司又给增加了一个渠道，本来以为风控梦就要破灭了，没想到风控总监因为犯错误被劝退了，风控一下就人手不够了，风控部就主动提出要我去他们部门，后来领导就说要我去试一试，之后2、3个月跟着上了几次评审会，每次上会我也试着发言，不过都是从一些细节入手的，再后来就留在风控部了，现在兼职董事会秘书，帮boss相互传话和跑一些外围的公关什么的，参加高审会（当然只是做记录，不说话），现在每次高审会，项目经理讲解完项目概况，然后股东提意见表决，基本每个股东看项目的着眼点我都能猜到，说起这个我就觉得是个蛮有意思的事情，我总觉得这跟做生意差不多，基本上每个人都会有他们投资的着眼点（有人看利润，有人看行业前景，有人看把控度），比如大boss 每次都会说，他一年利润那么多，到期以后他打算怎么还款，因为他比较看重盈利能力和偿债能力；二boss 就比较看重行业前景。&br&
总之，现在是个小风控了，当然还不太专业。转风控以后的感受就是：风控是个你永远都不能说自己可以完全掌握这一门技术的岗位，你永远也猜不到明天睁开眼又有什么新的风险出现，需要你去面对，去解决；这是一个永远都会有情况发生永远都学不完的岗位。&br&----------------------------来个分割线&br&
新年第一天上午10:00报道，8:00多没睡醒，接到某个渠道客户经理电话，说一个小微客户当月利息出现逾期，已经确定客户失去偿债能力，而且客户人现在还不在本地，我的新年工作就是从这儿开始的、、、这段时间，崩溃过，难过过，哭泣过，前一个周基本夜夜睡不好，（由于客户的逾期，当然还有别的因素，导致了一整个渠道的授信障碍，这几天陆续有客户贷款到期，但是还款以后不能放款，基本每天都在跟受牵连的客户陪笑脸道歉沟通，希望能够这暂时的困境）上月最后一天代垫了逾期利息，直到刚刚终于跟银行一起用客户达成了暂时的挽救方案，只希望周一之前不会有新的状况发生，顺利签下协议。&br&
这段时间真心是没心情写东西，这只是我自己的经历，希望各位风控大神不要拍砖，谢谢。
过了这么多天，终于来回答了。 实话说，我是个不安分的人，之前做客户经理好好的，到了第三年的时候不知道哪根筋搭错了，就想转做风控，也下了一下功夫，比单做客户经理更注重分析和学习了，后来从银行出来到了现在的担保公司，这公司那会儿才开始运营，初…
受_&a href=&///people/d5a72eb97b171e868a291& data-hash=&d5a72eb97b171e868a291& class=&member_mention& data-hovercard=&p$b$d5a72eb97b171e868a291&&@Laughing man&/a& 邀，谨给一点个人体会吧。&br&以前安全的全领域都有所涉猎，安全开发，运维安全检查，安全审计，安全顾问，网络架构设计，安全解决方案，唯独没有做过安全合规。现在作为安全负责人，我对安全合规的力量最大这句话有了切身的体会。你跟业务方说，这个有那样的风险，你会遭受什么样的风险，过去发生过多少次，可预计年损失多少万元，业务方跟你说，好谢谢你告诉我这么多啊，这个风险我接受了，我会持续监控。但你跟业务说，根据合规规定第几条，这个事情要做，那业务一般是一个屁也不会放的。所以我说有监管的行业安全好做，因为它有强的推动力。在这一点上，我很推崇合规的作用。你所服务的公司有专门的信息安全合规岗，应该是金融一类的行业，这方面的外部环境应该是有的。至于安全作为竞争力，作为企业产品属性，算是一个梦想吧，如果CISO和CTO、CEO观点不一致，没有教育灌输成功，倒霉的还是安全，安全的战略方向还是要和企业保持一致，这里就有成本效率能力等等问题。但是也并不是说合规岗位就没什么追求了。如果合规岗位只会传达旨意，沟通报送，就是不落地，也不担责，就做风险提示，说白了业务是很讨厌的，说得难听一点那要你何用，对个人的成长也是毁灭性的，可能做到最好能熟记规范信手拈来，跟各个机关联系的很好，但是也就止步于此，替代性还是很高，放在整个安全行业里市场竞争力确实不足，如果有其他人员转入安全行，但是又不懂技术，怎么办呢，他们就做安全合规，培训，非技术审计。但是如果你安全合规能给技术落地方案，能理解合规的目的和检查标准，能承担责任，能给靠谱的方案，那业务会需要你，依赖你，跟你走的很近。在这个方面，你是有基础优势的，并且技术算个壁垒。&br&另外还有一个对我个人适用的小技巧。既然你是被调过去的，那么说明你们是有别的岗位机会的。在及时保质地完成本职工作之余，如果还是有点空，比如下班了以后是完全没事干的，我就会准备好后找机会跟领导说，我的工作已经做完了，但是还不饱和，我还能承担更多工作，我跟某某同事了解到他的工作缺人，恰好我可以胜任，也有兴趣，希望能尝试分担那件工作的执行。只要领导用的顺手，你的岗位机会会越来越多。&br&以上是结合个人经验的一些分享，不考虑办公室政治，站队，公司实行的问责制度。如果能结合实际情况，有一点启发，也就不枉此答了。
受_ 邀，谨给一点个人体会吧。 以前安全的全领域都有所涉猎，安全开发，运维安全检查，安全审计，安全顾问，网络架构设计，安全解决方案，唯独没有做过安全合规。现在作为安全负责人，我对安全合规的力量最大这句话有了切身的体会。你跟业务方…
&p&很多风控和合规是分开设置的，风控主要是针对没有监管规定的风险，风控部掌握各个业务部门风险把关的权力，是中台部门，内部地位很高，各项业务达到一定的规模，风控都会介入其中。&/p&&p&根据各个业务模块的业务的不同，风控管理部的具体工作又会有所不同。举个例子，对资管，自营等的业务，有双十的限制，一个“十”是指一只基金持有一家上市公司的股票市值不能超过基金资产净值的10%。另一个“十”是指同一家基金管理人旗下全部基金持有一家公司发行的证券不得超过该证券的10%，所属风控部门监测到你的持仓量如果达到了9%，就会来函警示；又如到达了公司规定的平仓止损线，如果还没平仓，风控部就会来问询函件，与此相关的风险包括市场风险、信用风险和流动性风险、利率风险等。&/p&&p&再比如对于直投和投行类业务，负责参与项目相关尽职调查工作，完成项目法律协议文本的审核，撰写项目风险评估报告，并在权限内进行融资类项目的审批，很有可能忙了几个月的项目，过不了内核审批，就被卡掉了。&/p&&p&风险管理对人要求比较细心，而且相对压力没那么大，因为天天和各项业务部门打交道，所以对业务也相对熟练，前台和中台是可以相互跳的，进入的话要有金融学的基础，大的券商，学历要求相对高一些，证书的话相对应的是FRM。&/p&&p&校园职徒 ztcampus&/p&
很多风控和合规是分开设置的，风控主要是针对没有监管规定的风险，风控部掌握各个业务部门风险把关的权力，是中台部门，内部地位很高，各项业务达到一定的规模，风控都会介入其中。根据各个业务模块的业务的不同，风控管理部的具体工作又会有所不同。举个例…
我是在国内一个顶级所专门做合规业务的，可以告诉你这一业务在中国的前景。在中国，律师事务所的合规业务可以说是刚刚起步，目前只有方达、金杜、中伦少数几家律所开设这一业务，且几家律所各有侧重。合规业务在美国是很成熟的业务，但是在中国是非常新的业务，方达是在2014年开始专设合规业务，有专门的合规团队，专做公司内部调查，反腐败咨询、合规培训等业务，方达今年还被钱伯斯评为公司合规与调查第一等律所。之后金杜、中伦也开始做合规，只不过与反垄断、诉讼等业务融合。&br&由于合规业务在中国是非常新的业务，而且随着中国不断加强反腐败，这一业务以后会有很广括的市场。目前有越来越多的法学院学生考虑毕业后在律所从事合规业务。在工作强度上，合规律师要比做并购和资本市场的公司律师相对轻松，加班强度没有那么大，是律师不错的选择。&br&关于合规业务具体做哪些，可以私信或在值呼上问我。&br&希望我的解答能帮助你，谢谢。
我是在国内一个顶级所专门做合规业务的，可以告诉你这一业务在中国的前景。在中国，律师事务所的合规业务可以说是刚刚起步，目前只有方达、金杜、中伦少数几家律所开设这一业务，且几家律所各有侧重。合规业务在美国是很成熟的业务，但是在中国是非常新的业…
在刚进律所的时候，我改合同改得惨不忍睹，越改越不专业。改表述改语序，我其实就是做语文题目的。但是我们主任从来不说我，当然也不主动教我，但他会自己改了然后发给我看，让我自己去琢磨自己去学习。&br&&br&后来我自己也不好意思了，就买了很多书去看，比如大家都提到的《完美的合同》等，啃了一段时间再去改就有底气多了，我会注意合同的结构设计是否合理，条款是否有法律漏洞，违约责任是否约定明确等，然后全部改了。但是主任审查把关时还是会做一些改进。&br&&br&我又不好意思了，就找了主任聊我心里的疑惑。后来他告诉我：其实合同改的已经很有进步了。但是律师改合同的最终目的应该是促进合同的达成。有一些地方我们并不会吃亏，但是我又改得太死了，以至于对方根本不愿意签，改好了拿过去还是会退回来。&br&比如，很多人会去修改管辖条款，但是，如果双方都在长沙，我们可能就不会在管辖法院上较劲。还比如，有些条款，根据实际的履行情况我们不可能违约，也就不会过份的修改。当然，约定合法是底线，违反法律规定的条款一定改，还会在邮件里明确告知。&br&&br&我个人觉得，除了其他答主说到的了解当事人需求，注意权利义务分配等，平时还要多留意多实践，就会有感觉，知道一般哪些地方要注意。说到底，修改合同还是以这个类型合同的法律法规为基础，在加上你对顾问单位和合作单位的了解、专业技能，每天改个十多份合同，就一定会进步。hiahia～～&br&&br&以上是个人经历，仅供参考。
在刚进律所的时候，我改合同改得惨不忍睹，越改越不专业。改表述改语序，我其实就是做语文题目的。但是我们主任从来不说我，当然也不主动教我，但他会自己改了然后发给我看，让我自己去琢磨自己去学习。 后来我自己也不好意思了，就买了很多书去看，比如大…
已有帐号？
无法登录？
社交帐号登录