企业合规师考试一年考两次，考试时间分别为每年的3～4月和9～10月。 2022年秋季企业合规师安排如下：

一、报名程序

2022年企业合规师职业技能考试实行网上报名，报名时间为2022年5月初到6月底。具体报名流程详见（ www.heguishi.cn ）或企业合规师考试网订阅号。

二、学习备考

（一）考试辅导教材

教材包括：《企业合规与财务思维》《企业合规与审计思维》和对应等级的《企业合规事务管理》。考试报名结束后，教材将统一邮寄给考生。

（二）在线课程

中企合规通过了中企评企业合规专业委员会的遴选，是考试课程合作单位。中企合规依据T/CEEAS004—2021《企业合规师职业技能评价标准》团体标准制作了企业合规师考试训练营系列课程，课程主讲老师来均自知名上市公司和律所。购课咨询可扫描下方二维码或拨打：

三、证书样式

四、企业合规师对于企业的重要性

2021年几大科技巨头被罚款，康美药业独董被判天价连带赔偿、联想被司马南质疑违规股改、恒大海花岛被责令拆除，这一系列的事件都折射出企业合规的重要性。随着政府对各行各业的监管越来越多且越来越严，企业合规的风险无处不在。

在中国法律环境下，企业合规事务非常棘手，主要面临两大挑战，一是很多法律长期休眠，大量违规行为并没有得到处罚，导致很多企业缺乏合规意识；二是中国在常规法律体系之外，还有大量变动频繁的政策性文件，这些政策性文件对企业合规有着直接的影响。

企业合规要应对这两大挑战，应该从宏观、中观和微观三个层面着手，首先、宏观层面，企业要有正确的价值观。比如谷歌的价值观是不做恶，腾讯的价值观是科技向善，秉承正确价值观的企业能够更好应对各种合规挑战。企业的价值观来源于创始人的基因，如果创始人以利益大化为目标，不择手段追逐利润，秉承这样价值观的企业很难建立正确的合规观；其次、中观层面，企业管理层要从战略上重视合规事务。从战略上重视合规，意味着管理层将合规管理与企业的竞争战略、市场战略、人才战略等进行融合管理，形成从上至下的合规管理体系；最后、微观层面，企业合规绝不是一个企业规部能解决的，而是需要一整套的合规支持体系，企业合规的支持体系应该植入企业生产经营的每个流程，并形成企业合规标准体系。

然而，这三方面都要做到位，绝非易事，尤其是对缺乏合规文化的中国多数企业而言更是如此，随着合规风险的加剧，企业必须要未雨绸缪，尽早应对。

随着我国的法律法规逐步完善，市场监管也更加严谨，意识到了企业合规地重要性，合规管理逐步迈入正轨，有了更加具体的标准参考。但是在企业合规改革试点的过程中，仍然有很多企业缺乏有效的合规管理体系，管理者也缺乏合规管理意识，导致消费者权益受到侵犯，企业内部发展紊乱等现象出现。

9月25日, “2020第十一届中国企业合规”在青岛香格里拉大酒店成功举办。邀请国内知名企业高管、商协会负责人、学者讲授合规管理理论，分享合规管理经验，推动企业加强合规能力建设。青岛市政府相关部门负责人、120多家青岛本地知名企业的负责人和合规管理人员共160多人参加。青岛市人民政府副隋汝文出席并致辞。

隋在致辞中指出，合规管理能力是提升企业国际竞争力的重要方面。围绕当前国际环境对企业合规管理提出的新挑战，探讨企业如何通过强化合规管理融入新的发展格局，具有十分重要的现实意义。青岛市将以此次召开为契机，着力打造“三化三型”政务环境，以政府和企业合规建设助推经济社会高质量发展，营造与更高水平对外开放相适应的法治环境。

数字经济时代，网络安全已经成为安全的重要组成部分，被称为数字经济发展的“生命线”。近年来，我国网络安全立法取得积极进展。《数据安全法》《个人信息保护法》《网络安全审查办法》《网络空间安全战略》《关键信息基础设施安全保护条例》等相关法律法规、战略规划不断出台和修订，表明我国网络空间法治进程迈入新时代。

在日前举办的从典型案例看网络安全和个人信息保护领域的典型问题活动上，达晓律师事务所律师邓勇以Apache安全漏洞事件为例，对网络安全规制现状进行了介绍。

邓勇介绍说，去年年底工信部发布关于阿帕奇Log4j2组件重大安全漏洞风险提示，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本，以降低网络安全风险。

去年12月22日，工信部再次通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

12月23日，阿里云发布关于开源社区阿帕奇 log4j2漏洞情况的说明称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息，将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

据悉，阿帕奇漏洞被认为是近年来大的高危型计算机漏洞，该漏洞影响范围极其广泛，波及到全球数亿台网络设备。因此，阿帕奇安全漏洞事件自发酵起，引发了社会各界的广泛关注，从专业技术层面、数据合规方面都有不同的观点出现。

而根据《网络产品安全漏洞管理规定》（以下简称《规定》）第二条规定：中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人，应当遵守本规定。

“网络产品提供者在发现产品安全漏洞后有验证、评估、通知、报送、修补、告知义务。其中，阿里云公司正是因为没有履行‘报送义务’，直接导致了此次阿帕奇漏洞事件的发酵。”邓勇表示，《规定》中没有明文规定如何处罚，只能以《网络安全法》第六十条的规定作为处罚依据。在该条规定中，“责令改正，给予警告”是首要处罚措施，“罚款”是在拒不改正或导致危害后果时才能适用的处罚措施。因此，暂停合作单位6个月严格来说并不属于法定处罚措施，更多是象征意义上的“警告”。同时，行政机关在履行其法定职责时，也要遵循行政法律法规的合规要求，对于没有法律明文规定处罚措施的违规行为，行政机关也不能滥用权力予以处罚。

邓勇称，《规定》于2021年7月12日发布，同年9月1日正式实施，中间留有一个半月的“缓冲期”。属于规制范围内的主体阿里云在发现安全漏洞信息后只是根据业界惯例向境外基金会报告，没有按照《规定》的流程履行报送义务，说明该主体内部缺乏合规流程。同时，阿里云公司按照既往惯例首先向美国阿帕奇基金会而非工信部报告的行为，从现行的法律规制来看，也隐含一定的合规风险。阿里云作为关键信息基础设施运营者，其掌握的数据信息与安全息息相关，这些数据能否出境、出境是否需要审查，都应引以重视。我国的《网络安全法》、《数据安全法》等对于重要数据的跨境流动和传输已有较为明确的规定。

“从企业合规运作的角度来看，涉及重要数据、敏感信息的出境问题，数据运营者应当慎之又慎，做好前期预案，逐步建立起企业合规管理体系，避免再次出现此类违规事件。”邓勇表示。