NBSI这个新规,刚砸下来的时候,我们公司差点儿没被震散架。不是说我们不想合规,而是这帮搞政策的,给的时间太短,要求又特别细,搞得所有人都慌了神。
第一阶段:被大公司忽悠,浪费了时间
刚开始,老板急得团团转,赶紧找了一堆外面的“专家”来救火。我当时就觉得悬。那些西装革履的顾问公司,张口闭口就是“企业数字化转型”、“流程重构”,给我们的方案全都是买一套巨大的、听起来很牛逼的合规软件系统,要价几百万。
我们真花了钱,硬着头皮买了一套。结果?
- 那系统装上去,跟我们现有的业务系统完全不兼容,数据导不进去。
- 供应商说要定制化开发,又要拖三个月,定制费另算。
- 最要命的是,操作界面复杂得要死,基层员工根本不会用,培训了一周,大家还是偷着用以前的老办法。
我看着那套花了大价钱买回来的系统,躺在服务器里占地方,却一点儿实际作用都没有,当时心里就骂街了。等这帮人把系统搞定,我们早就因为不合规被罚款了。
第二阶段:我决定自己动手,把合规流程简单化
眼看着截止日期越来越近,我直接拍板,把那些复杂的系统全停了。我跟老板说,合规的目的不是跑一个多牛逼的系统,而是要证明我们干了规定的事,并且留下了证据。要实现这个目标,根本不需要大炮打蚊子。
我当时做了几个决定:
第一件事:彻底弄懂NBSI到底要什么。
我把那厚厚一摞文件拿出来,没让法务看,也没让IT看,我自己找了两个最懂业务的同事,一页一页地抠。我们把所有合规要求翻译成大白话:比如“数据处理必须经过审批”,就是“要填一张审批表,而且这张表要有负责人签名”。
第二件事:设计最低成本的记录工具。
放弃集成系统,我们直接基于现有的OA和企业微信,搭了一个简易的“合规操作通道”。我没有要求员工学习新软件,而是把合规动作嵌入到他们每天都在用的工具里。我们只设计了三张表,分别对应了NBSI里风险最高的三个点:数据访问记录、异常处理报告、操作授权验证。
第三件事:强制执行和审计。
我没搞什么复杂的流程,就是用最简单粗暴的方式——每天下午四点,所有业务部门必须把今天填好的三张表截图发给我,我随机抽查。一开始肯定有抵触,有人抱怨太麻烦了,我就直接找他领导,领导不配合,我就找老板。就靠着这种盯人的土办法,一周之内,合规操作的习惯就建立起来了。
第三阶段:迎接检查,快速证明我们合规了
合规检查的人终于来了。我当时一点都不紧张,因为所有的记录都在我们自己做的那个简易通道里,而且是实时更新的,非常干净。
那些检查人员,他们最怕的就是企业拿出一堆电子表格或者一套复杂的、他们看不懂的系统来应付。而我们给他们看的是什么?
一个清晰的合规记录界面:基于OA系统,查询功能非常简单,输入员工ID或者日期,相关的所有操作审批记录一目了然。
一套可追溯的证据链:每一份关键文档,都对应了企业微信里的一条审批记录,有时间戳和责任人。
员工的实际操作演示:我让几个普通员工现场演示了他们是如何完成数据审批的,他们操作起来比用以前的老系统还快,因为流程被我简化到极致了。
检查组的人看到我们的系统这么简单、这么直接,而且所有证据链都闭环了,他们反而觉得这才是真的在干活,不是在糊弄。他们随便抽查了几个时间点和业务数据,我们都能在三分钟内把对应的合规记录调出来。
我们顺利通过了检查,没有被罚款。那些花几百万买大系统的公司,到现在可能还在跟他们的软件供应商打架,谈定制开发。
所以说,搞企业合规,重点不是花了多少钱,而是你有没有真正把合规要求变成员工能做的、每天都在做的简单动作。抛开那些复杂的概念,直接撸起袖子,把事情办了,才是王道。