《法治中国建设规划（2020-2025年）》首次提出，运用大数据、云计算、人工智能等现代科技手段，全面建设“智慧法治”，推进法治中国建设的数据化、网络化、智能化。这为企业法治建设搭乘数字化快车、实现加速发展带来新机遇，也提出了更高要求。

一、合规信息化建设的意义

技术为组织提供了强大的检测违规行为的工具。基于现代技术运行的合规体系在如贿赂、欺诈或回扣等检测违规方面具有非常鲜明的特点。例如，高科技合规体系可以将取证数据分析应用于整个组织的差旅、娱乐招待费用、发票、回扣和其它金融交易并对这些交易进行风险评估，以确保合规人员对整个组织的支出风险有一个准确和全面的了解。这种合规体系可以对任何既定的事务进行数十种统计、行为和基于规则的分析并自动评估交易风险，确保可以很容易地检测并识别出高风险交易以供审查。这种分析确保了合规人员将他们有限的时间和资源集中在高价值的活动上，而不是试图手动梳理其组织的全部数据。当然，技术并不能取代经验丰富的合规官。

（一）合规信息化建设的基础意义

1.在基于流程环节信息系统线上执行的基础上，尽可能设置并运用系统应用控制，使业务发起、流转、审批、存档全过程留痕，促进企业合规管理工作的体系化、专业化和规范化，防止人为干预，有助于确保外部法律法规、内部规章制度得到严格执行。2.通过对管理要求的分析，总结出数据与信息遵循表现的逻辑性，转化为流程操作中的判断标准，嵌入信息系统业务流程环节中，增强控制执行的刚性，也助力企业挖掘数据隐藏价值，实现更高层次的业务洞察力。3.以业务流程为纽带，推动信息系统之间的互联互通，消除系统间的信息孤岛，使业务、财务信息流实现联动，打破部门间的数据壁垒，提升业务数据的准确性、及时性、完整性和可靠性。4.有助于风险、内控、合规管理工作采取更多的事前、事中控制，结合各类数据分析手段与方法，实现风险预警、异常跟踪，并为后续实施内部控制在线评价和大数据审计等监督检查工作打下了基础。

（二）企业进行合规管理信息化建设其他价值

1.有助于企业实现合规管理的自动化和智能化，提高合规管理的效率和质量，节约管理成本；2.有助于企业增强合规管理工作过程的透明度，提高企业领导对合规管理工作的管控能力；3.促使企业合规管理权责明晰、流程清晰，防止相互推谈，提高企业各层级的合规管理执行力；4.提供企业合规风险评估的技术方法，协助企业合规风险的日常监测和预警，助力企业提升合规风险管理能力；5.增强企业合规管理的主动性，加强企业各层级合规组织之间纵向和横向的协调与联系。

二、合规信息化建设的条件

（一）企业信息化建设牵引合规数字化

企业数字化转型是一项涉及数据、技术、流程、组织等的复杂系统工程。中央企业积极把握数字化、网络化、智能化方向，追求以技术为先的全覆盖、全在线、全云化、一站式的数字化服务，加大数字技术融合创新力度。作为系统工程的一个必要组件，合规管理必须与企业数字化转型同行。企业数字化转型中经营模式、商业模式都在发生颠覆性变化，与之相伴相随的合规管理必然要改变工作范式，才能理解企业的合规需求，做实有企业特色的合规管理工作，为企业健康发展保驾护航。尤其是数据作为新型生产要素，具有可复制、可共享、海量供给、边际成本低的特殊禀赋，可以有效推动企业生产要素的变革与优化。企业正在推进业务数据化，数据业务化，管理标的变化倒逼合规工作管理变革，这种情势下开始出现合规数据化变迁的现象。

（二）管理内容充分，打造合规数字化软实力

企业合规工作发展到管理思路清晰、架构完整、工作项目丰富、抓手明确、内容具体的阶段，合规数字化的内核才能汇聚起来，才能在后续的合规管理信息化系统平台建设工作中提出系统建设需求、形成系统建设方案，才能利用信息化手段实现合规数字化管理。合规数字化转型依赖于企业有意愿将合规管理纳入管理机制运行，嵌入经营活动过程中。通常在企业信息化建设进入成熟阶段后，其承载业务开展的前端系统已初步建成，业务流程梳理清晰且可在线运行；后端支撑部门、管理部门也完成了相对独立的系统建设。

（三）信息化系统建设到位，构成合规数字化硬实力

企业数字化转型为合规管理信息化、数字化转型奠定基石。合规管理数字化转型需要利用信息化手段搭建系统——合规管理系统平台。任何专业工作催生的系统平台都是企业信息化系统的组成部分，要遵从企业信息化建设的整体规划，构建在统一的底层技术架构之上。随着中台建设的普及，企业通过覆盖生产经营管理各领域的算法加数据重构，促进全要素生产力的提升、组织资源透视能力的形成，可为合规管理系统平台建设提供良好的周边环境。基于企业信息化建设能力基础上的合规管理系统平台，能够拥有高起点的系统规划方案和高质量的功能保障。

三、企业合规如进行信息化建设

（一）因企制宜选择适合的管理软件和平台

企业合规信息化建设是一项庞大而复杂的系统工程，涉及公司的经营管理、业务特点、行业特点，每个企业的信息化建设情况不同，企业合规管理信息系统不能盲目推进，是建立在已有的内控、采购、财务、投资等信息管理系统基础之上进行的，需要投入大量的人力、物力、资源才能切实得到落地。企业合规信息化建设与传统工程建设一样，需要国家标准、行业标准、单位制度体系作为执行依据，也需要资产管理部门、财务、法务、合规、审计、监察等部门共同参与建设管理，形成各部门之间的分工协作，协同联动。企业需要结合企业实际，选择好涉及项目管理软件和平台，做到系统可视化。同时，要与企业纪检监察系统内网做好沟通衔接，接受其日常监管。根据合规信息管理系统的功能模块，输入合规管理的基础信息、方法、程序和工具等，并对整个项目进行阶段划分、人员分工、任务分解、文档共享、过程协作和资源调度才能做到互联互通、数据共享。同时，使得企业重金打造的信息化系统真正发挥作用，还需要进行专项的培训，并对项目实施过程中出现的问题，由专家进行诊断和问题排除。

借助大数据、人工智能、云计算等新技术构建企业合规数字化管理平台，是未来合同合规数字化管理的大趋势。然而，在企业数字化升级的过程中，大多数大中型企业尽管已经具备了信息化建设的基础能力，初步完成了财务、OA、人力等系统的建设，实现了业务操作数字化。但要实现跨部门、跨流程的数智化管控，还需要聚焦核心业务，贯穿相关业务信息，深挖关键业务环节的数据价值。

（二）多维视角拓展信息化建设

1.升级系统应用控制。流程控制点中包含的控制类型有人工控制、系统控制以及通过系统功能和人工操作结合的方式进行的控制，将分布在流程不同环节中的人工控制点进行应用系统升级可作为企业内控信息化的起点。以“梳理控制点—选择固化模式—系统优化实施”为操作步骤，通过风险导向下的业务流程梳理，结合风险评估等级、控制频率、控制类型、控制方式等要素识别，分析内控信息化提升的必要性，结合分析当前系统能力（基于系统架构、功能、接口、数据域等现状），选择适当的固化模式，如增加系统控制节点、增加校验功能等方式，对信息系统进行功能升级、开发实施。

2.重视系统权限管理。信息技术帮助企业提升业务效能，但也可能出现系统开发不符合内部控制要求、授权管理不当、系统权限管理不匹配等问题，因此在促进内部控制与信息系统有机结合的过程中，企业需要特别关注信息系统的权限管理。企业可以“规范制度—明确职责—合理赋权—定期审阅”为建设步骤，通过建立权限矩阵、权限申请审批表、权限定期审阅表等控制性文档，规范权限的新增、修改、删除的审批流程，做到系统角色及功能分配合理化，并确保与授权审批机制核对一致，避免将不相容职责的处理权限授予同一用户、超过用户工作范围赋予冗余权限、离职员工未及时中止系统权限等管理问题。如：（1）制度层面规范账号权限、角色权限的增删改及定期审阅流程；（2）明确权限管理审批执行方式(如线下表单、系统流程)和存档要求；（3）对特权账号权限进行限制，确保系统赋权与经审批的权限内容保持一致，与岗位权责保持一致；（4）明确权限管理流程发起、审批执行等各环节的岗位及职责；（5）基于公司岗位职责，明确各信息系统中涉及业务流程节点对应的岗位及职责权限；（6）明确不相容岗位职责和人员；（7）明确定期审阅的频率和程序；（8）由业务部门及IT部门负责人共同进行审核，内容应至少包括: 用户账号是否存在冗余、现有用户/角色权限是否符合实际工作职责等。

3.规范系统控制环境。为使得业务系统正常运作、信息系统应用控制有效发挥，离不开信息系统一般控制的保障，包括逻辑访问安全管理、程序开发与变更管理、信息系统运维管理，需与经营目标保持高度统一。可以“明确范围—定义规则—加强执行—定期检查”为建设步骤，通过头脑风暴、专家访谈等多种方式，梳理公司在信息系统一般控制管理中涉及到具体内容；结合外部监管政策与内部管理层风险偏好，明确管理标准与规则，借助制度文件对相关要求进行固化；通过培训、宣贯、绩效考核等多种方式，督促员工严格执行信息系统管控要求；通过定期检查与自我评估，查漏补缺，不断完善，实现信息系统控制环境的持续优化与提升。

4.探究前沿技术应用。企业可以运用机器人流程自动化（RPA）技术执行大量重复性和基于规则操作的工作，减少人工的参与，提高控制执行效率；可以运用大数据思维扩展企业内部管控的广度、深度和效率，从合规检查、业务监控、风险预警到业务预测等领域，提高内控管理的质量和价值；亦可以运用机器学习技术，凭借其强大的计算能力和学习能力，能够更深入地洞察业务流程，有效识别高风险的管控领域。

（1）应用RPA工具，快速、自动地提取、整理和上传所需的资料，提高业务流转的效率和准确性。销售定价依据自动获取；税务申报自动化；合同、报账等影像文件自动下载；内部审计数据获取、清洗和转化。

（2）通过大数据分析手段识别异常、趋势和潜在风险指标：异常费用报销分析、采购价格合理性分析、账单分析、可视化审计分析。

（3）通过对历史上出现的采购、结算异常行为进行标记，利用逻辑回归、决策树等机器学习算法，识别异常行为。基于无监督学习的异常操作记录告警，在海量操作记录中发现与大多数用户和行为差异较大的用户和操作请求，对操作进行拦截并发出警告。

四、以合同管理为例：信息化建设面临的问题及解决方法

（一）信息化建设面临的问题

当前大多数企业仅仅能够完成合同在线审核、流转等基础管理工作，要真正实现合同的合规管理，企业仍有诸多难题亟待破解：1.流程、制度与信息系统难以有机融合：一是运用信息化手段将合同合规管理的各项制度嵌入到业务流程中；二是明确相关条件和责任主体，针对关键节点加强合法合规性审查；三是做好事前中后控制，强化过程管控。2.数据孤岛的困扰亟需打破：合同业务相关的财务、SRM、ERP、OA等系统的数据散落在各个角落，数据标准不统一，数据质量层次不齐，不符合合规标准化的要求。3.缺乏数据集成分析难以实现经营洞察：海量的数据无法在统一的平台进行数据集成，难以对企业业务管理中的数据进行实时监控、风险分析和精准洞察。

（二）解决方法：借助合同数字化管理中台，助力合同合规管理体系建设

除通过内部的合同合规管理体系来规范人员、流程外，还需借助数字化手段——通过平台化形式、标准化运营的合同数字化管理中台，帮助企业合同合规从“静态管理”转变为数字化“动态管理”，以此提升企业合规管理运营的效率。拥有多个业务系统但数据相对分散的企业，组织规模大、业务需求多变，往往会面临技术部门能力有限而无法给予及时满足的情况。因此，构建集团化合同数字化管理中台，是促进合同管理效率提升的有效方式。1.合同数字化管理中台的流程引擎、智能引擎、报表引擎等功能，将合规要求嵌入在合同全流程中，实现合同的全生命周期管理。通过智能引擎聚合OCR、NLP、知识图谱等能力，针对关键节点加强合法合规性智能审查，强化过程的动态监管，降低企业经营风险。2.合同数字化管理中台通过和各个业务系统对接，有效解决数据孤岛的问题，保证系统数据的统一性和及时性；通过高级的数据分析、算法和模型对数据进行合规化、数智化的分析，加强对企业业务的动态监测，对合规风险及时预警，辅助企业经营决策。3.合规管理国际标准与BSI GRC数字化解决方案。BSI通过使用标准组合包支持企业绩效提升。此前发布的GB/T 35770-2022/ISO 37301：2021合规管理体系要求及使用指南，由ISO/TC 309组织编写和发布，此技术委员会秘书处设在BSI。依据此项新标准，建立与优化企业自身的合规管理体系，有利于推动企业在国际合作中信任伙伴关系的建立，加强不同区域法律法规的识别与应用，进一步促进合规管理与业务发展之间的平衡，系统化梳理和体系化管理合规义务、合规文化建设，推进企业可持续发展目标的实现。在合规管理领域，ISO还提供诸如ISO 37001反商业贿赂管理、ISO 27001信息安全管理、ISO 27701隐私信息管理体系、ISO45001职业健康与安全管理体系等各专项领域标准组合，以支撑企业的合规化管理进程。在BSI GRC数字化解决方案方面，BSI研发并提供审计和合规供应链管理等软件工具，诸如GRC软件工具代表Entropy，功能上包括知识管理、事件管理、合规管理模块，在企业选择不同管理体系标准时候，可以选择导入的不同配置工作流和管理流，系统内置部分的分析模板和工具。

五、合规管理信息化系统建设中应关注的事项

1.合规管理信息系统承载着企业、企业员工以及企业业务伙伴的重要保密信息和数据，要注意分级分类管理的数据保密和数据安全。2.企业合规管理信息系统应具有良好的扩展性，足以适应企业管理模式、业务变化、合规管理调整等的需要。3.预留标准的EDI 接口，方便与新的业务部门及分子公司的链接。4.开发合规管理信息的分析功能和预测功能，为企业合规管理部门提供图形化、报表化的合规管理信息分析数据，对合规风险做出预警，对未来企业合规管理需求做出预测等。

结语

良好的信息系统管理治理与信息技术内部控制框架设计，是信息化成功建设的关键支撑要素。信息系统及其运用的实施、变更、升级，同步伴随着企业文化和行为变化，企业需秉持勇于尝试的探索精神，积极面对合规信息化建设过程中可能遇到的困难。关于合规管理信息化建设所必需的基础合规数据库内容建设、信息化建设平台甄选、合规信息化管理数据库建立和植入、信息化建设成果验收，以及开展合规管理及数字化转型的各项工作落地系列培训等相关工作均需要专业律师团队和技术团队协作助力。