编者按
企业数据合规管理工作中,法务合规部门需要和业务部门紧密配合,如合规风险的评估、合格方案的落地、合规风险的整改等。从业务部门角度看,需要与法务合规管理部门密切配合,防控合规风险;从法务合规部门看,数据合规工作的开展应当与公司日常业务紧密结合,将数据合规要求落实到业务流程中,从源头规避潜在数据合规风险。
本文针对企业法务合规部门或外部律师,就数据合规工作的开展与业务部门进行沟通时方法与技巧展开讨论,以期实现多部门高效沟通,联合互动,共同赋能企业合法合规的开展经营活动。
目录索 引 | 01 沟通前的三个准备 |
02 沟通中的三个步骤 | |
03 沟通中的三个模板 | |
| _ | 04 沟通中的三个误区 |
01 沟通前的三个准备
1. 摆正心态
法务合规部门与业务部门的合规目的是一致的,都是为了企业的长治久安。法务合规部门和业务部门虽然不是对立关系,但部门的职责不同会导致对数据合规问题的立场、观点不同,不存在严格意义上的对错之分。因此和业务进行沟通的时候,要以达成共识为目标,而不是去争论对错。同时,沟通应该循序渐进的推进,一蹴而就往往是不现实的。
2. 了解业务
企业存在的唯一原因就是能够满足客户的需求。法务合规部的数据合规工作从业人员要充分理解业务目标,并了解业务人员达成此目标的动作。法务合规部可以通过以下途径了解业务:
(1)多看业务流程:流程是业务最佳实践的总结,可以通过业务流程来了解业务;
(2)多用产品、系统:产品、系统在某种意义上说是业务的工作结果和工具,也承载了数据合规方案;
(3)多理业务逻辑:基于业务流程/系统、产品梳理业务逻辑;
(4)多想为什么:换位思考,从业务的角度思考产品、系统为什么要这样设计、会产生什么风险,应该如何改进。
3. 量化风险
从风险的影响度和发生频率这两个维度量化风险,最终对量化风险,让业务更好的理解风险管理的重要性。
(1)影响度:通过释明法律的处罚标准,并结合具体的执法案例表明监管动态,使得业务部门对风险的影响度产生直观的认知。
(2)发生频率:从业务的执行频次、业务缺陷率、执法频度等方面进行综合分析。如某些业务虽然出错概率低,但如果业务量的基数大,也会导致高频风险。因此在实际操作中要拿到业务实际执行数据,以分析真实的发生风险的频率。
02 沟通中的三个步骤
1. 统一思想
在与业务沟通时,首先要统一思想,即对数据合规重要性的认知,可以结合数据合规的法律要求、执法案例、数据合规事件的舆情、民众数据合规意识的觉醒等方面与业务进行沟通,如数据合规处罚对公司财务/舆情/客户满意度的影响、数据合规对公司品牌的加持、隐私特性对产品竞争力的提升等方面进行沟通,确定公司数据合规的战略。
2. 统一目标
在对数据合规重要性达成一致后,与业务人员就如何管理数据合规达成一致,也就是明确数据合规的目标。以产品数据合规为例,可以明确产品的安全测试缺陷率或者高风险的整改要求。
3. 统一动作
接下来就要和业务部门讨论具体如何达成数据合规目标,即将数据合规目标进行任务拆解,明确具体动作。如在落地数据合规组织过程就将在二级及以上部门设专门的数据合规负责人或配置一个数据合规的专家作为具体的执行动作。
03 沟通中的三个模板
1. SCQA(基于场景的说服套路)
SCQA是将不确定性考虑在内的一种结构化的问题分析方法,可以比较好地系统思考、查漏补缺。它包含四个环节
(1)S(situation)情景 —— 以熟悉的情境或事实引入,如基于业务所出现的具体问题,从具体的业务场景出发开展沟通。
(2)C(complication)冲突 —— 指出实际面临的困境或冲突 ,如现在面临的执法趋势、监督趋势,企业内部人员流动率过高是否影响数据合规风险的管理保,是否不利于企业合规人才的储备。
(3)Q(question)疑问 —— 你是如何分析这个问题?所面临的数据合规问题有哪些解决路径,如企业内部搭建合规体系,或者进行外部的安全认证。
(4)A(answer)回答 —— 你是如何解决这个问题的?
2. PREP(总分总结构的说服套路)
PREP沟通法则,P代表Point,R代表Reason,E代表Example,最后一个P还是Point,在陈述观点时先说结论,然后用数据化的内容来说明原因,再通过一些贴切的案例来强化印象,最后重复核心观点,完成一次完整的表达。表达过程中的要点如下:
(1)Point:先说结论——结论意味着清晰,明确的观点指向行动。
(2)Reason:再讲理由——分别陈述原因,数据与事实更有客观说服力。
(3)Example:拿出例证——有理还需有据,生动形象饱满发言。
(4)Point:重申结论——将发散的思维回归结论,强化焦点。
3. RIDE(基于风险的说服力模型)
数据合规是以风险管理为核心,RIDE是一个合适的说服模型,它的要点如下:
R(risk)风险:开头先说不采纳你的建议会带来什么风险。(人在失去时比获得时更敏感)。
I(interest)利益:接受你的建议会带来什么利益(前面降低了心理阈值,这一步更容易接受)。
D(differences)差异:你的建议与众不同之处(人人都喜欢独特的东西)。
E(effect)影响:适当说一下你建议的瑕疵,增加可信度,(太完美的东西反而不真实,有点小缺点但瑕不掩瑜)。
04 沟通中的三个误区
1. 不要法言法语
要将法律语言翻译成通俗易懂的语言,易于内部其他人理解,也易于说服领导开展合规工作。
2. 不要置身事外
法务部门需要为每个部门所遇到的问题尽其所能的提供解决方案,协力应对,而不仅仅是说“NO”。
3. 不要长篇大论
用精炼语言描述问题症结所在,直击痛点。
法务合规人员和业务人员因专业背景不同、立场不同,在沟通过程中总会产生各种各样的摩擦,但双方也有共同的目标,只要在沟通过程中始终坚持文章中提到的原则和方法,求同存异,换位思考,即可达成共识,达成数据合规的目标。
