- 数据分析
- 数据治理
- 产品解决方案
- 行业解决方案
- 案例
- 数据资产入表
- 赋能中心
- 伙伴
- 关于
时间:2022-05-12来源:亚洲首帅浏览数:629次
在不断完善网络安全与数据合规内控制度的同时,通过引入自动化工具平台,将合规要求通过技术工具落地,构建全方位的合规体系,确保持续满足合规要求。
2022年5月7日(周六)晚,上海赛博网络安全产业创新研究院联合安永(中国)企业咨询有限公司主办「数安周享会 · Cyber Talk」第三期直播活动。本期以“企业上市的数据合规之路”为主题,重点探讨了企业上市数据合规监管要求、风险分析,并为上市或拟上市企业提出参考建议。
随着科创版注册制的推行,越来越多企业,尤其是中小型的科技型企业具备较高的上市需求。在此背景下,周旸从实务案例出发,站在企业内部的视角,重点分享企业上市过程中需要开展的合规准备工作。
01
典型案例分享
总体合规挑战与企业应对目标
国内企业上市面临的合规风险主要源于围绕网络安全和数据合规的监管要求提升、网络安全和数据合规相关的法律法规快速更新。除此之外,若企业涉及海外业务,需重点关注数据跨境风险和海外监管风险。
为应对这些风险,建议企业重点考虑以下五个方向:
1、明确监管要求。制作“与时俱进”的法律法规合集,通过建立合规框架从而把不同的法律要求转化为企业内部的实践。此外,在开展合规工作之前,企业需要做好各种认证,奠定基础。相关人员与一系列的规章制度是合规工作落地执行的必要前提,若没有这些基础,纯粹的技术工具是无法做好合规工作的。
2、业务属性决定合规成本。企业应当根据拟发行上市涉及的产品或业务,结合国家与地区的法律法规、行业相关的指导标准,判断其所适用的具体合规要求。
3、存量业务合规。新的法律法规出台后,不仅影响大企业正在开展的业务数据,同样适用于企业的历史存量数据。企业应立即开展合规自查,并对发现的问题进行整改优化。
4、合规内控体系。网络安全与数据合规工作必定涉及到企业的多个组织与部门,而不局限于某单一部门。企业做好合规工作,跨部门协作的组织架构是必不可少的,建议成立相关的委员会进行统筹兼顾,融合到企业内控体系中。
5、第三方报告。在企业上市过程中,往往需要保荐机构出具报告佐证合规工作的完备性,其报告内容对企业合规工作的细致程度要求极高,往往需要多家辅导机构协作,出具结论性的正式报告。
网络安全与数据合规的方法论及总体概述
为了应对网络安全与数据合规风险,企业整个数据合规工作过程可以分为四个阶段。其中阶段一、阶段二、阶段四属于企业常规的合规工作,而阶段三则是针对企业上市过程中需要开展的更深入、更细致的准备工作。
阶段一:合规要求梳理。其中包括IPO合规分析、外部合规分析、内部合规分析。在此过程中,合规工作人员需要制定相关法律法规的控制清单,并在合规工作过程中梳理并判断哪些业务是适用这些要求的。
阶段二:业务现状梳理。拟上市企业,尤其是独角兽企业,其外在业务通常以数字化的形式呈现,通过数据产生经济效益与价值。这些数据的载体不再是文档,而更多是字段级的数据资产。相较传统的商业秘密与知识产权,这些数据的梳理工作需要更为细致,所花费的时间亦根据企业的规模和产品数量呈正相关。该项工作一般会按照数据生命周期、不同的载体进行全面梳理,从而形成对现状的全面理解,将发现的问题对应到数据各生命周期,以便于针对性地开展整改。
阶段三:合规评估与分析。这个阶段最为核心的内容是技术核查,也就是通过技术手段对人员访谈的结果进行有效性和实质性的验证。这部分的工作与企业上市审计的严谨性强相关,使得合规工作不只是停留在制度规范与人员意识层面,而是真正落实在企业的业务活动与应用系统中。
阶段四:整改追踪与报告。上市过程中,在确认风险与整改计划后,其报告的出具需要依据整改工作的成效,结合企业上市的时间表,周期性地出具合规结论报告。同时应就开展的合规工作进行定期总结,形成长效机制,真正做到建立起一套行之有效的合规体系。
02
其他常见合规问题
合规结论谁给?合规与否,最终是法律问题,因此最终是否合规的结论应由律师给出。
保荐机构作为项目整体风险把控人,也将参与专业判断和面对监管反馈。
咨询公司的作用主要是从技术上、流程上、数据上把现状和历史上的情况排摸清楚,并进行呈现,为保荐机构和律师的最终判断提供充分的信息。
合规是否针对整个首发申报期间?关于网络安全与数据合规的关注和问询,是针对整个首发申报期间的。关于网络安全与数据合规的评估,也是针对整个首发申报期间的。但是,很多历史情况很可能无法完全还原,主要取决于企业系统和流程所保存的信息的完整性。
适用的法律法规,不仅涵盖首发申报期间内已经生效的文件,也会考虑尚未生效但已处于征求意见稿阶段的。
合规评估是流程评估还是技术评估?两者都包含,既要看是否建立了适当的数据安全与合规体系,也要看数据安全和合规的实际情况(包括历史和现在情况)。
流程评估:涉及组织架构、流程制度的设计与执行、监控与审计等各方面。
技术评估:包括对企业相关的技术应用有效性的评估,以及使用技术手段对网络环境、数据传输路径、存量数据等的实质性检查。
整改需要覆盖过去情况吗?整改的目标是达成现状的合规,并建立能支持未来持续合规的体系和能力。
在体系流程的整改方面,主要是在现状的基础上根据合规要求和内部管理要求,进一步提升和完善组织架构、制度流程、监控与审计等各方面。
对于历史留存下来的存量数据,相关的数据不合规项,都要进行整改,直到根据当前法律法规要求能达到合规。
03
数据生命周期合规治理
总结:企业上市开展网络安全与数据合规治理工作,应着眼于数据生命全周期,制定合规治理目标,分析合规风险,并在上市的各个阶段持续开展合规治理工作:
上市过程中:开展不同的合规性审查、合规差距分析,形成一份完整优秀的合规报告,作为招股说明书的一部分提交至监管机构。
上市披露阶段:披露合规信息,接受监管问询,在此过程中不断完善合规工作。
成功上市后:在不断完善网络安全与数据合规内控制度的同时,通过引入自动化工具平台,将合规要求通过技术工具落地,构建全方位的合规体系,确保持续满足合规要求。
