- 账号登录
- 短信登录
更新时间: 浏览量:292人
作者:Vincent M. Walden
原文标题:Does your fraud risk management program actually work, in practice?
由ACFE China进行翻译,如需转载,请提前告知。
Global anti-fraud and compliance enforcement is on the rise, and regulators want proof that fraud risk management programs are effective. Here we look at some of the hard questions organizations need to ask and some examples of how companies have updated their systems to tackle fraud in the post-COVID environment.
全球反舞弊和合规执法正在崛起,监管机构希望获得一些舞弊风险管理计划有效的证据。在这里,我们来看一些组织需要面临的难题,以及一些公司如何更新系统以应对新冠疫情后环境中的舞弊的例子。
As the new year dawned, Susan felt good about what she and her team had accomplished in 2021 with their fraud risk management program. As the head of internal audit and investigations at a mid-sized manufacturing company, she was confident her program aligned to the five principles described in the ACFE/COSO Fraud Risk Management Guide (FRMG). But now, a few months into the new year, Susan is struggling to find a solid, data-driven answer for her chief compliance officer and chief financial officer, who are asking how the program is actually working, in practice.
随着新年的到来,苏珊对自己和她的团队在2021进行了舞弊风险管理计划,感到很高兴。作为一家中型制造公司的内部审计和调查主管,她相信自己的计划符合ACFE/COSO舞弊风险管理指南(FRMG)中描述的五项原则。但现在,新年已经过去了几个月,Susan正在努力为她的首席合规官和首席财务官找到一个可靠的、数据驱动的答案,他们正在询问该计划在实践中是如何运作的。
Supply-chain issues, new hybrid working models (with many employees working remotely) and other changes to the business environment brought on by the COVID-19 pandemic have altered her company’s fraud risk landscape. How can Susan ensure her program is relevant; and, even more important, how can she and her team measurably demonstrate anti-fraud and compliance effectiveness via key performance indicators? Susan and her company are fictional, but these are dilemmas currently on the minds of many anti-fraud and compliance professionals and their organizations.
新冠疫情带来的商业环境、供应链问题、新的混合工作模式(以及许多员工远程工作)以及其他的变化改变了公司的舞弊风险。Susan如何确保她的项目是相关的;更重要的是,她和她的团队如何通过关键绩效指标来衡量反舞弊和合规有效性?Susan和她的公司都是虚构的,但这些都是许多反舞弊和合规专业人士及其组织目前所面临的困境。
Leading guidance provides framework
领先的指南提供了框架
As CFEs, we come from many different disciplines: accounting, internal audit, law, compliance, law enforcement, finance, government and business, to name a few. Each of these disciplines has its own guidance on mitigating fraud risks.
作为舞弊调查师,我们来自许多不同的学科:会计、内部审计、法律、合规、执法、金融、政府和商业等等。这些学科中的每一个都有自己关于降低舞弊风险的指南。
Perhaps best known to CFEs and anti-fraud practitioners is the aforementioned FRMG. COSO’s Fraud Risk Task Force is currently updating the FRMG, with an expected release later this year. COSO, short for the Committee of Sponsoring Organizations of the Treadway Commission, generally sets forth the expectations for an effective internal controls environment. (See “Innovation Update,” by Vincent M. Walden, Fraud Magazine, November/December 2021.)
舞弊调查师和反舞弊从业人员最熟悉的可能是上述FRMG。COSO的舞弊风险工作组目前正在更新FRMG,预计将于今年晚些时候发布。COSO是特雷德韦委员会赞助组织委员会的简称,通常规定了对有效内部控制环境的期望。(参见Vincent M. Walden,《舞弊杂志》,2021年11月12月“创新更新”)
In the legal and compliance arena, practitioners often look to the U.S. Department of Justice’s (DOJ) “Evaluation of Corporate Compliance Programs (Updated June 2020),” which carries some weight as it’s what prosecutors use, in part, to decide on an offending organization’s culpability and potential penalties.
在法律和合规领域,从业者通常会参考美国司法部(DOJ)“企业合规计划评估(2020年6月更新)”,该评估具有一定的影响力,因为检察官在一定程度上利用它来决定违规组织的罪责和潜在惩罚。
Kara Brockmeyer, a partner with Debevoise & Plimpton LLP and former chief of the SEC Enforcement Division’s FCPA Unit, advises clients on how to improve their anti-fraud and anti-corruption programs and points to 10 key questions from the above DOJ guidance. I’ve collaborated with Brockmeyer in the past to organize some of the DOJ guidance’s key questions that focus on how organizations can measurably demonstrate the effectiveness of a compliance/anti-fraud program. She’s summarized them in the following chart. As you read them, ask yourself: “How well can my organization answer these questions?”
Kara Brockmeyer是Debevoise & Plimpton LLP的合伙人,也是美国证券交易委员会执法部门反海外腐败法部门的前负责人,她就如何改进客户的反舞弊和反腐败计划向客户提供建议,并指出上述司法部指南中的10个关键问题。过去,我曾与Brockmeyer合作整理美国司法部指南中的一些关键问题,这些问题侧重于各组织如何可以衡量地证明合规/反舞弊计划的有效性。她在下面的图表中总结了它们。当你阅读这些问题时,问问自己:“我的组织能很好地回答这些问题吗?”
CATEGORY 类别 | DOJ'S QUESTION 司法部的问题 |
"Is the periodic review limited to a 'snapshot' in time or based upon continuous access to operational data and information across func-tions?" (Based on page 3 of DOJ guidance.) “定期审查是否仅限于及时的‘快照’,还是基于跨职能部门对运营数据和信息的连续访问?”(根据美国司法部指南第3页。) | |
Risk management 风险管理 | “What information or metrics has the company collected and used to help detect the type of misconduct in question?How have the informa-tion or metrics informed the company's compliance program?" (Basedon page 3 of DOJ guidance.) “公司收集并使用了哪些信息或指标来帮助发现有问题的不当行为类型?这些信息或指标是如何告知公司的合规计划的?”(见司法部指南第3页。) |
lncorporating lessons learned 总结经验教训 | "Does the company have a process for tracking and incorporating into its periodic risk assessmentlessonslearned, eitherfrom the company'sown prior issues or from those of other companies operating in thesame industry and/or geographical region?"(Based on page 4 ofDoJ guidance.) “公司是否有一个程序来跟踪并将从公司之前的问题或在同一行业和/或地理区域运营的其他公司学到的东西纳入定期风险评估?”(根据OJ指南第4页。) |
Adequate resources and results tracking 充足的资源和成果跟踪 | "How has the company collected, tracked, analyzed and used information from its reporting mechanisms? Does the company periodicallyanalyze the reports or investigation findings for patterns of misconductor other red flags for compliance weakness? Does the company peri-odically test the effectiveness of the hotline; for example, by trackinga report from start to finish?"(Based on page 7 of DOJ guidance.) “公司是如何从其报告机制中收集、跟踪、分析和使用信息的?公司是否定期分析报告或调查结果,以确定不当行为的模式或合规弱点的其他危险信号?公司是否定期测试热线的有效性;例如,通过从头到尾跟踪报告?”(根据美国司法部指南第7页。) |
Third-party management 第三方管理 | "Prosecutors should also assess whether the company knows the business rationale for needing the third party in the transaction, andthe risks by third-party partners; including the third-party partners'reputations and relationships, if any, with foreign officials."(Based onpage 7 of DOJ guidance.) “检察官还应评估公司是否知道在交易中需要第三方的商业理由,以及第三方合作伙伴的风险,包括第三方合作伙伴的声誉以及与外国官员的关系(如有)。”(根据美国司法部指南第7页。) |
Third-party management 第三方管理 | "Does the company engage in risk management of third parties through-out the lifespan of the relationship, or primarily during the onboardingprocess?"(Based on page 8 of DOJ guidance.) “公司是否在关系的整个生命周期内,或主要在入职过程中,对第三方进行风险管理?”(根据美国司法部指南第8页。) |
Third-party management 第三方管理 | "Does the company track red flags that are identified from due diligence of third parties and how those red flags are addressed? Does the company keep track of third parties that do not pass the company'sdue diligence or that are terminated, and does the companytake stepsto ensure that those third parties are not hired or re-hired at a laterdate?" (Based on page 8 of DOJ guidance.) “公司是否跟踪第三方尽职调查中发现的危险信号,以及如何处理这些危险信号?公司是否跟踪未通过公司尽职调查或被终止的第三方,公司是否采取措施确保这些第三方不再被雇佣或重新雇佣?”(根据美国司法部指南第8页。) |
Data resources and access 数据资源和访问 | "Do compliance and control personnel have sufficient direct or indirect access to relevant sources of data to allow for timely and effectivemonitoring and/or testing of policies, controls, and transactions? Doany impediments exist that limit access to relevant sources of dataand, if so, what is the company doing to address the impediments?(Based on page 12 of DOJ guidance.) “合规和控制人员是否有足够的直接或间接访问相关数据源的权限,以便对政策、控制和交易进行及时有效的监控和/或测试?是否存在任何限制访问相关数据源的障碍,如果存在,公司将如何解决这些障碍?(根据美国司法部指南第12页) |
Continuous improvement, periodic testing 持续改进、定期测试 | "Has the company reviewed and audited its compliance program in the area relating to the misconduct? More generally, what testing ofcontrols, collection and analysis of compliance data,and interviewsof employees and third parties does the company undertake? Howare the results reported and action items tracked?"(Based on page16 of DOJ guidance. “公司是否审查和审计了与不当行为相关领域的合规计划?一般地说,公司对控制措施、合规数据的收集和分析以及对员工和第三方的访谈进行了哪些测试?如何报告结果和跟踪行动项?”(根据美国司法部指南第16页)。 |
Analysis and remediation - transactions 分析和补救——交易 | "How was the misconduct in question funded (e.g., purchase orders,employee reimbursements, discounts, petty cash)? What processescould have prevented or detected improper access to these funds?Have those processes been improved?"(Based on page 17 of DOJguidance.) “问题中的不当行为是如何获得资金的(例如,采购订单、员工报销、折扣、零用金)?哪些流程可以防止或检测到不当使用这些资金?这些流程是否得到了改进?”(基于DOJguidance第17页。) |
"Does the company track access to various policies and procedures to understand what policies are attracting more attention from relevantemployees?" (Based on page 4 of DOJ guidance.) “公司是否跟踪各种政策和程序的使用情况,以了解哪些政策吸引了相关员工的更多关注?”(根据美国司法部指南第4页。) |
Going back to our fictional example, Susan evaluated her own organization in the context of the DOJ questions in the chart and found many couldn’t be fully answered. This was especially a concern with respect to how her company conducted risk assessments and managed third parties. For example, her company conducted extensive due diligence on third parties during the vendor setup process. However, risk indicators, such as contract terms or thresholds for spending were never migrated into the financial accounting system that actually paid and tracked those vendors.
回到我们虚构的例子,Susan在图表中的司法部问题的背景下评估了她自己的组织,发现许多问题无法完全回答。对于她的公司如何进行风险评估和管理第三方,这尤其令人担忧。例如,她的公司在供应商设立过程中对第三方进行了广泛的尽职调查。然而,合同条款或支出门槛等风险指标从未被转移到实际支付和跟踪这些供应商的财务会计系统中。
Don’t overlook in-house resources
不要忽视内部资源
Fortunately, there’s hope for Susan — and others in her position looking to measurably demonstrate an effective compliance and anti-fraud program. If you have a marketing department, finance department, information technology team or some other business function where the analysis of data requires them to utilize business intelligence, data warehouse or data visualization tools to help them make decisions, you may be able to leverage what’s already in place — without buying expensive software licenses or data warehouses. Whether those resources require major or minor modifications is typically based on the nature and complexity of the business. But in my experience working with a variety of clients in several industries, there are always some “quick-hit” wins and/or cloud-based solutions that you can rapidly deploy to improve transparency and address key fraud risks.
幸运的是,Susan和其他处于她这个位置的人有希望以可衡量的方式展示有效的合规和反舞弊计划。如果您有一个营销部门、财务部门、信息技术团队或其他一些业务职能部门,在这些部门中,数据分析需要他们利用商业智能、数据仓库或数据可视化工具来帮助他们做出决策,那么您可能能够利用现有的资源,而无需购买昂贵的软件许可证或数据仓库。这些资源是否需要大的或小的修改通常取决于业务的性质和复杂性。但在我与多个行业的各种客户合作的经验中,总会有一些“快速成功”的胜利和/或基于云的解决方案,您可以快速部署这些解决方案,以提高透明度并解决关键的舞弊风险。
Here are examples of how some organizations are improving and updating their compliance and fraud risk management programs.
以下是一些组织如何改进和更新其合规和舞弊风险管理计划的示例。
Amy Kulikowski is vice president, internal audit for Cooper Standard, a global supplier of sealing and fluid handling systems in transportation and industrial markets. Her team uses scripting (i.e., a programming language that automates certain tasks) and other self-operating tools with their financial accounting/enterprise resource planning (ERP) system to refresh monthly and quarterly data on all global procure-to-pay and T&E spending. Hosted on a secure, third-party, cloud-based analytics platform, their fraud risk management and compliance-monitoring system assesses and monitors hundreds of thousands of payments each month, and ranks thousands of vendors and employees from highest to lowest risk based on over two dozen risk criteria.
艾米·库利科夫斯基(Amy Kulikowski)是库珀标准公司(Cooper Standard)的内部审计副总裁。库珀标准公司是运输和工业市场密封和流体处理系统的全球供应商。她的团队在财务会计/企业资源规划(ERP)系统中使用脚本(即,一种自动执行某些任务的编程语言)和其他自助工具来刷新所有全球采购支付和T&E支出的月度和季度数据。他们的舞弊风险管理和合规监控系统托管在一个安全的、基于云的第三方分析平台上,每月评估和监控数十万笔付款,并根据二十多个风险标准将数千家供应商和员工从最高风险到最低风险进行排名。
Patricia Bradford is chief human resource officer at Elara Caring, a national skilled-home-health-care, hospice-care and personal-care-services organization. She uses scripting and automation tools to gain better insights into her organization’s employee payroll base by integrating over 1,200 distinct payroll files of over 25,000 full- and part-time employees. Working with her IT department and an outside consulting firm, Bradford leveraged the business intelligence tools already used in her organization to build dynamic, risk-scoring and anomaly detection dashboards that flag payments to terminated employees, statistically anomalous payments, potential overtime abuses, repeated hiring and termination patterns and off-cycle disbursements, among many other data-driven tests.
Patricia Bradford是Elara Caring的首席人力资源官。Elara Caring是一家全国家庭保健、临终关怀和个人护理服务组织。她使用脚本和自动化工具,通过整合超过2.5万名全职和兼职员工的1200多个不同的薪资文件,更好地了解公司的员工薪资基础。Bradford与她的IT部门和外部咨询公司合作,利用其组织中已经使用的商业智能工具,在许多其他数据驱动的测试中,构建动态、风险评分和异常检测仪表盘,以标记对被解雇员工的付款、统计异常付款、潜在加班滥用、重复雇佣和终止模式以及非周期付款。
On a larger scale, who would’ve thought that the world’s biggest beer brewer also has one of the most mature anti-fraud and compliance-monitoring platforms? There isn’t enough room in this column to describe how Anheuser-Busch InBev uses in-house resources across its IT, data science, finance and legal departments to improve transparency in its businesses through its BrewRIGHT platform, but I encourage you to read more in The Wall Street Journal and Harvard Business Review. (See “AB InBev Taps Machine Learning to Root Out Corruption,” by Dylan Tokar, The Wall Street Journal, Jan. 17, 2020; and “Designing a Compliance Program at AB InBev,” by Eugene Soltes, Harvard Business Review, March 28, 2018.) For a visual primer, Dheeraj Thimmaiah, global director, ethics & compliance at Anheuser-Busch InBev, provides a summary of how the BrewRIGHT platform works globally. This is integration and data transparency at its best.
在更大范围内,谁会想到这家世界上最大的啤酒酿造商也拥有最成熟的反舞弊和合规监控平台之一?本专栏没有足够的篇幅来描述安海斯-布希英博如何利用其IT、数据科学、财务和法律部门的内部资源,通过其BrewRIGHT平台提高其业务的透明度,但我鼓励您阅读更多《华尔街日报》和《哈佛商业评论》。(参见《华尔街日报》Dylan Tokar 2020年1月17日的“AB InBev利用机器学习根除腐败”;以及《哈佛商业评论》Eugene Soltes 2018年3月28日的“AB InBev设计合规计划”。)安海斯-布希英博(Anheuser-Busch InBev)道德与合规全球总监德拉吉·蒂迈亚(Dheeraj Thimmaiah)总结了BrewRIGHT平台在全球的运作方式。这是集成和数据透明的最佳状态。
原文链接:https://www.fraud-magazine.com/article.aspx?id=4295017119
感谢您注册法务会计成长联盟账户!请您仔细阅读以下条文,确保您理解并同意本协议全部内容。
一、用户注册
您同意本协议并注册成功即成为法务会计成长联盟的注册用户直至您的账户注销。法务会计成长联盟可能在必要的时候对本协议条款及各单项服务协议进行更改,此种更改在官网上公布或在具体服务过程中经双方以口头、书面等形式协商一致生效。
您可以选择停止使用法务会计成长联盟相关的服务或者注销您的账户,否则法务会计成长联盟将认为您同意更改后的服务条款。未在官网发布或在具体服务过程中未经法务会计成长联盟告知的服务条款将不具有法律效力,除非签有书面协议,并且仅对签署协议的当事人有效。
二、用户账户
您应当拥有中华人民共和国法律认可的完全民事权利能力和完全民事行为能力,否则您和能够代表您行使权利或承担责任的其他主体将承担一切后果。为此,您应当提供相应的证明。如果您是自然人,此类证明可以是您的居民身份证件、个人户营业执照。如果您是法人,此类证明可以是您的营业执照。如果您是其他组织类型,
您应当提供相应的合法证明。
如果使用法务会计成长联盟提供的各单项服务,您可能还需要提交其他相关的资料和信息。为了提供更好的服务,您也可以向我们提供其他资料和信息,我们将按照法务会计成长联盟的隐私政策保护您的资料和信息。
您应当保护好您的账户,除非已经得到您的提前通知,法务会计成长联盟将认为您的账户处于您的控制之下。如果您的账户在不受您控制的情况下处于风险状态或者已经发生损失,请您及时以有效方式通知法务会计成长联盟,您可以要求法务会计成长联盟暂停服务或者冻结账户。
如果您使用法务会计成长联盟账户直接访问其他网站,您应当遵守该网站的服务条款。
三、账户管理
1、法务会计成长联盟帐号的所有权归法务会计成长联盟所有,用户需使用个人实名认证的手机号码进行注册,完成申请注册手续后,获得法务会计成长联盟帐号的使用权,该使用权仅属于初始申请注册人,禁止赠与、借用、租用、转让或售卖。法务会计成长联盟因经营需要,有权回收用户的法务会计成长联盟帐号。
2、用户可以更改、删除法务会计成长联盟帐户上的个人资料、注册信息及传送内容等,但需注意,删除有关信息的同时也会删除用户储存在系统中的文字和图片。用户需承担该风险。
3、用户有责任妥善保管注册帐号信息及帐号密码的安全,因用户保管不善可能导致遭受盗号或密码失窃,责任由用户自行承担。用户需要对注册帐号以及密码下的行为承担法律责任。用户同意在任何情况下不使用其他用户的帐号或密码。在用户怀疑他人使用其帐号或密码时,用户同意立即通知法务会计成长联盟。
4、用户应遵守本协议的各项条款,正确、适当地使用本服务,如因用户违反本协议中的任何条款,法务会计成长联盟在通知用户后有权依据协议中断或终止对违约用户的法务会计成长联盟帐号提供服务。同时,法务会计成长联盟保留在任何时候收回法务会计成长联盟帐号、用户名的权利。
5、如用户需要注销账号,需以邮件方式通知法务会计成长联盟,请将邮件发送至service@hongjingedu.com,我们将在三个工作日内协助你完成账号注销流程,账号注销后,用户上传的所有资料将不可恢复。
四、用户信息保护
1、本站将通过用户的IP地址来收集非个人化的信息,例如浏览器和操作系统的种类、提供接入服务的ISP名称等,以优化在您计算机屏幕上显示的页面;并通过收集上述信息,进行访客流量统计。这些无关个人身份的信息能帮助本站辨别内容喜好的地区性分布,并保证本站进行推广活动的有效性。此外,本站也可能将这些信息披露给相关业务部门,使其知晓点击其广告的人数。
2,当您在本网站进行用户注册登记、发表文章、发布课程等活动时,在您的同意及确认下,本网站将通过注册表格、订单等形式要求您提供一些个人资料。这些个人资料包括:
a、个人识别资料:如姓名、性别、年龄、出生日期、身份证号码(或护照号码)、电话、通信地址、住址、电子邮件地址等。
b、个人背景:职业、教育程度、收入状况、婚姻、家庭状况等。
本站收集此类个人身份信息,主要是为保证注册用户能够更容易和更满意地使用本站提供的服务。在未经您同意及确认之前,本网站不会将您为参加本网站之特定活动所提供的资料利用于其他目的。同时,本站的注册用户及访问者应该知晓,当您在公共论坛或其他网上公开场合披露其个人身份信息时,此类信息可能会被他人收集并用来发送垃圾邮件或用于其他用途。
3,本网站将对您所提供的资料进行严格的管理及保护,本网站将使用相应的技术,防止您的个人资料丢失、被盗用或遭篡改。
五、用户责任
用户使用法务会计成长联盟必须遵守所有适用的国家法律、地方法规和国际准则。用户对用户账户进行的一切操作及言论负完全的责任,用户注销账户后,仍然应当对注销前的操作和言论负责。
用户必须遵循:
(1)从中国境内向外传输技术性资料时必须符合中国有关法规。
(2)使用网络服务不作非法用途
(3)不干扰或混乱网络服务
(4)遵守所有使用网络服务的网络协议、规定、程序和惯例。
用户须承诺不传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的、庸俗的,淫秽等信息资料。用户也不能传输任何教唆他人构成犯罪行为的资料。不得进行任何有可能对法务会计成长联盟的系统造成任何不良的影响的操作,不能传输助长国内不利条件和涉及国家安全的资料。不能传输任何不符合当地法规、国家法律和国际准则的资料。未经许可而非法进入其它电脑系统是禁止的。若用户的行为不符合以上提到的服务条款,法务会计成长联盟单方面有权冻结或注销用户账户。用户需对用户本身在网上的行为承担法律责任。用户若在法务会计成长联盟上散布和传播反动、色情或其他违反国家法律的信息,法务会计成长联盟的系统记录有可能作为用户违反法律的证据。
六、数据储存
1、法务会计成长联盟不对用户在本服务中相关数据的删除或储存失败负责。
2、法务会计成长联盟可以根据实际情况自行决定用户在本服务中数据的最长储存期限,并在服务器上为其分配数据最大存储空间等。用户可根据自己的需要自行备份本服务中的相关数据。
3、如用户停止使用本服务或本服务终止,法务会计成长联盟可以从服务器上永久地删除用户的数据。本服务停止、终止后法务会计成长联盟没有义务向用户返还任何数据。
七、风险承担
1、用户理解并同意,法务会计成长联盟仅为用户提供信息分享、传送及获取的平台,用户必须为自己注册帐号下的一切行为负责,包括用户所传送的任何内容以及由此产生的任何后果。用户应对法务会计成长联盟及本服务中的内容自行加以判断,并承担因使用内容而引起的所有风险,包括因对内容的正确性、完整性或实用性的依赖而产生的风险法务会计成长联盟无法且不会对因用户行为而导致的任何损失或损害承担责任。
如果用户发现任何人违反本协议约定或以其他不当的方式使用本服务,请立即向法务会计成长联盟举报或投诉,法务会计成长联盟将依本协议约定进行处理。
2、用户理解并同意,因业务发展需要,法务会计成长联盟保留单方面对本服务的全部或部分服务内容变更、暂停、终止或撤销的权利,用户需承担此风险。
八、法务会计成长联盟免责条款
法务会计成长联盟不保证提供的服务不受干扰、及时提供或免于出错。法务会计成长联盟不保证所交易的商标具有适销性、适用性,也不能保证交易方实际拥有该商标。法务会计成长联盟不对用户的真实身份进行核实。除非有效法律文书明确要求并提供相应保护,法务会计成长联盟将遵守隐私政策,不对外提供用户信息。
因下列情形无法按照约定提供各项服务时,法务会计成长联盟不承担责任,包括但不限于:
(1)法务会计成长联盟公告的休假或者系统维护的。
(2)电信设备出现故障不能进行数据传输的。
(3)因台风、地震、海啸、洪水、停电、战争、恐怖袭击等不可抗力之因素,造成法务会计成长联盟障碍不能提供服务的。
(4)由于黑客攻击、电信部门技术调整或故障、网站升级、银行方面的问题等原因而造成的服务中断或者延迟的。
九、隐私政策
法务会计成长联盟隐私政策构成本协议的有效内容。隐私政策调整的,适用最新的隐私政策。
十、法律适用和管辖
本协议及其他单项服务协议适用中华人民共和国法律,法律没有明文规定的,按照法务会计成长联盟的服务和交易惯例解释。协议的部分条款发生无效的情形,不受影响的其他条款和协议仍然有效。
因本协议及其他单项服务协议产生的争议,广东省深圳市人民法院为有权管辖法院。
前言
欢迎您使用法务会计成长联盟(下称“本联盟”)的产品(在此本产品指“本联盟网校”)和服务!我们非常重视您的隐私保护和个人信息保护。本隐私保护政策适用于您对本联盟产品(或服务)的访问和使用留存的信息。
我们尽量以更清晰、更容易被您理解的方式展现本隐私保护政策,从而希望能够真实地传达我们希望向您传达的信息,并希望您在向我们提供某些信息(其中很可能包括您的个人信息)以及允许我们处理并分享某些信息之前,能够清晰地了解这些信息收集的目的、可能的用途以及其他方面的内容。
本隐私保护政策旨在帮助您了解我们会收集哪些数据、为什么收集这些数据、我们会利用这些数据做些什么及如何保护这些数据。请您在使用我们的服务前,仔细阅读并了解本政策。如果您不同意本政策的内容,将导致我们无法为您提供完整的服务,同时也请您立即停止使用我们的产品和服务。若您使用本联盟的服务或产品,即表示您认同我们在本政策中所述内容。
本隐私政策将帮助您了解以下内容:
1.本隐私保护政策的适用范围及相关名词的定义
2.我们如何收集和使用您的个人信息
3.我们如何使用Cookie和同类技术
4.我们如何共享、转让、公开披露您的个人信息
5.我们如何保存及保护您的个人信息
6.您的权利
7.我们如何处理未成年人的个人信息
8.您的个人信息如何跨境转移
9.隐私政策的修订
10.如何联系我们
一、本隐私保护政策的适用范围及相关名词的定义
1.1当您使用我们的任何产品和服务时,本政策即适用,无论该产品和服务是否单独设置了隐私条款,也无论您是浏览用户(访客)还是注册登录用户。但请您注意,本政策不适用于以下情况:
(1)通过我们的服务而接入的第三方服务(包括任何第三方网站)收集的信息;
(2)通过在我们服务中进行广告服务的其他公司和机构所收集的信息。
1.2相关名词的定义
(1)“我们”或“本联盟”,指法务会计成长联盟或实际为您提供服务的本联盟关联公司;
(2)个人信息,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等;
(3)个人敏感信息,指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括个人身份信息、银行账号、通信记录和内容、财产信息、交易信息、不满14周岁未成年的个人信息等。您同意您的个人敏感信息按本政策所述的目的和方式来处理;
(4)设备,设备是指可用于访问本联盟产品或服务的装置,例如台式计算机、笔记本电脑、平板电脑或智能手机;
(5)关联方、合作方,指本联盟的关联公司、投资控股公司、联盟成员、合作伙伴及其他受信任的第三方供应商、服务商及代理商。
二、我们如何收集和使用您的个人信息
2.1您主动向我们提供的信息
(1)您使用我们的特定产品和服务时,为满足向您提供产品和服务之目的,您需要在本联盟平台创建个人账号。创建账号时,您可能需要提供包括手机号码、电子邮箱、微博帐号及密码等在内的数据;创建账号后,您需要进一步使用特定产品和服务时(如代报名),您提供的包括您的姓名、身份证编号\护照、手机号码、教育\工作背景等;
(2)您为了了解我们的产品及服务而在浏览我们的网站时留下的回访信息,这些信息可能包括您的姓名、手机号码、电子邮箱、职业等;
(3)您在创建个人账号后,可以在个人信息编辑处自行选择上传、设置、修改或完善相关个人信息,具体包括:个人头像、昵称、手机号码、电子邮箱、登录密码、配送地址、常用学员报名信息等;
(4)在一些线下推广活动中,我们(或我们的关联方、合作方)的工作人员可能会分发一些宣传资料并在为您提供产品及服务咨询时留存一些您的个人信息,这些信息可能包括您的姓名、手机号码、电子邮箱、就读院校、职业、微信或QQ号码等;
(5)您在购买我们的产品或服务中准备消费支付时,需要主动向我们提供的相关个人信息,例如姓名、性别、身份证件号码、密码、年级、银行卡号、交易账单信息、配送地址、发票开具信息、备注信息等;
2.2我们自动获取的您的信息
(1)设备信息,为了提供更好的产品和/或服务并改善用户体验,我们会收集您登陆或使用账号的设备属性信息(例如您的硬件型号、操作系统版本、设备配置等),设备连接信息(浏览器的类型、电信运营商、使用的语言)以及设备状态信息。对于从您的各种设备上收集到的信息,我们可能会将它们进行关联,以便我们能在这些设备上为您提供一致的服务。
(2)日志信息,当您使用本联盟平台产品和服务时,我们的服务器会自动记录一些信息,例如您对我们的产品和/或服务的使用情况、IP地址、所访问服务的URL、浏览器的类型和使用的语言、下载、安装或使用移动应用和软件的信息、与通讯软件通讯的信息以及访问服务的日期、时间、时长等。
2.3我们通过间接获得方式收集到的您的个人信息
当您通过我们的产品或服务使用本联盟关联方、合作方服务时,您同意我们根据实际业务及合作需要从我们关联方、合作方处接收、使用、汇总、分析经您授权同意其向我们提供的您的个人信息。
2.4个人敏感信息
基于本应用的某些功能,我们可能会向您获取一些您的个人敏感信息。在向本联盟提供任何属于敏感信息的个人信息前,请您清楚考虑该等提供是恰当的并且同意您的个人敏感信息可按本指引所述的目的和方式进行处理。我们会在得到您的同意后收集和使用您的敏感信息以实现与本联盟业务相关的功能,并允许您对这些敏感信息的收集与使用做出不同意的选择,拒绝提供这些信息仅会影响您使用相关功能,不会影响您使用本应用。
(1)为了保证我们向您提供服务的一致性,我们会获取您的硬件信息及设备IMEI标识;
(2)当您使用相机功能时,为了能够让您在应用中上传图片,扫二维码登录,我们将在征得您的明示同意后,获取您的相机权限;
(3)当您使用相册功能时,为了能够让您在应用中上传和保存图片,及视频,我们将在征得您的明示同意后,获取您的相册权限;
(4)当您使用麦克风功能时,为了能够让您在应用中使用语言提问功能,我们将在征得您的明示同意后,获取您的麦克风权限;
(5)当您使用消息推送功能时,为了能够让您及时获取应用消息通知,我们将在征得您的明示同意后,获取您的消息推送权限;
(6)当您使用网络功能时,为了能够让您在应用中使用观看课程和下载课程功能,我们将在征得您的明示同意后,获取您的网络权限;
请您理解,我们向您提供的功能和服务是不断更新和发展的,如果某一功能或服务未在前述说明中且收集了您的信息,我们会通过页面提示、交互流程、网站公告等方式另行向您说明信息收集的目的以及内容,以征得您的同意
2.5我们可能将在向您提供服务的过程之中所收集的信息用作下列用途
(1)通过使用收集的信息,我们会将其用于数据的整理、分析及研究,从而让您有更好的体验并改善我们的产品及服务;
(2)为提高您使用我们的产品和服务的安全性,我们可能使用您的信息用于身份验证、客户服务、安全防范、诈骗监测等,以预防、发现、调查欺诈、危害安全、非法或违反与我们的协议、政策或规则的行为,以保护您和我们的合法权益;
(3)我们可能会根据您对于产品或服务的使用情况通过电话等方式向您推荐与您具有更高匹配度的产品或向您提供新产品或服务的试用;可能包括的产品或服务包括但不限于本联盟(或本联盟关联公司)旗下的各类网站、App、微信、小程序、讲座及各类市场活动中涉及到的产品或服务;
(4)让您参与有关我们产品和服务或通过我们的产品和服务发起的调查,是否参与调查将由您全权决定,并且由您自行选择提供哪些信息;
(5)为改进我们的产品和服务,本联盟可能会与第三方的分析机构共享用户的使用信息,以展示我们服务的整体使用现状并分析未来趋势,但这些统计信息将不会包含您的任何身份识别信息;
为了让我们的用户有更好的体验、改善我们的服务或您同意的其他用途,在符合相关法律法规的前提下,我们可能将通过我们的某一项服务所收集的个人信息,以汇集信息或者个性化的方式,用于我们的其他服务。例如,在您使用我们的一项服务时所收集的您的个人信息,可能在另一服务中用于向您提供特定内容或向您展示与您相关的、而非普遍推送的信息。
请您注意,除非您删除或撤回同意(即通过系统设置拒绝我们的收集和使用),您在使用我们的服务时所提供的所有个人信息,将在您使用我们的服务期间持续授权我们在符合本政策的范围内使用。在您注销账号后,我们将根据您的要求删除您的个人信息,或做匿名化处理,但法律法规另有规定的除外。
2.6 第三方SDK统计服务,收集崩溃信息,应用更新 我们利用腾讯Bugly( com.tencent.bugly)第三方服务收集数据,是根据您与我们的互动和您所做出的选择,包括您的隐私设置以及您使用的产品和功能。我们收集的数据可能包括(MAC)地址、设备版本、和网络状态(WiFi等)、应用崩溃信息等。 当我们的应用有调整时候,我们也会是要腾讯Bugly进行一个迭代升级。
三、我们如何使用Cookie和同类技术
您使用我们的服务时,我们会在您的计算机或移动设备上存储名为Cookie的小数据文件。Cookie通常包含标识符、站点名称以及一些号码和字符。我们使用该等信息判断注册用户是否已经登录,提升产品或服务质量及优化用户体验。如您不希望个人信息保存在Cookie中,您可对浏览器进行配置,选择禁用Cookie功能。禁用Cookie功能后,可能影响您访问本联盟或不能充分取得本联盟提供的服务。
我们不会将Cookie用于本指引所述目的之外的任何用途。您可根据自己的偏好管理或删除Cookie。您可以清除计算机上保存的所有Cookie,大部分网络浏览器都设有阻止Cookie的功能。
四、我们如何共享、转让、公开披露您的个人信息
4.1共享
(1)我们不会与任何公司、组织和个人共享您的个人信息,但以下情况除外:
(2)事先获得您的明确授权或同意:获得您的明确同意后,我们会与其他方共享您的个人信息
(3)在法定情形下的共享:根据适用的法律法规、法律程序、政府的强制命令或司法裁定而需共享您的个人信息;
(4)在法律要求或允许的范围内,为了保护本联盟及其用户或社会公众的利益、财产或安全免遭损害而有必要提供您的个人信息给第三方;
(5)与我们的关联公司共享:您的个人信息可能会在我们的关联公司之间共享。我们只会共享必要的个人信息,且这种共享受本隐私保护政策的约束。关联公司如要改变个人信息的处理目的,将再次征求您的授权同意;
(6)与授权合作伙伴共享:为了向您提供更完善、优质的产品和服务,我们的某些服务将由授权合作伙伴提供。我们可能会与合作伙伴共享您的某些个人信息,以提供更好的客户服务和用户体验。我们仅会出于合法、正当、必要、特定、明确的目的共享您的个人信息,并且只会共享提供服务所必要的个人信息。同时,我们会与合作伙伴签署严格的保密协定,要求他们按照我们的说明、本指引以及其他任何相关的保密和安全措施来处理您的个人信息。我们的合作伙伴无权将共享的个人信息用于任何其他用途。如果您拒绝我们的合作伙伴在提供服务时收集为提供服务所必须的个人信息,将可能导致您无法在本联盟中使用该第三方服务。
(7)目前,我们的授权合作伙伴包括以下类型
(8)广告、咨询类服务商/广告主。未经您授权,我们不会将您的个人信息与提供广告、咨询类服务商共享。但我们可能会将经处理无法识别您的身份且接收方无法复原的信息,例如经匿名化处理的用户画像,与广告或咨询类服务商或广告主共享,以帮助其在不识别您个人的前提下,提升广告有效触达率,以及分析我们的产品和服务使用情况等
(9)供应商、服务提供商和其他合作伙伴。我们将信息发送给在全球范围内支持我们业务的供应商、服务提供商和其他合作伙伴共享,这些第三方包括提供快递、软件研发、数据存储等服务的供应商。对我们与之共享个人信息的公司、组织和个人,我们会与其签署严格的保密协定,要求他们按照我们的说明、本隐保护私政策以及其他任何相关的保密和安全措施来处理个人信息
4.2转让
我们不会将您的个人信息转让给除本联盟及其关联公司外的任何公司、组织和个人,但以下情形除外:
(1)事先获得您的明确授权或同意;
(2)满足法律法规、法律程序的要求或强制性的政府要求或司法裁定;
(3)如果我们或我们的关联公司涉及设立、合并、分立、清算、资产或业务的收购或出售等交易,您的个人信息有可能作为此类交易的一部分而被转移,我们将确保该等信息在转移时的机密性,并要求新的持有您个人信息的公司、组织继续受此隐私政策的约束,否则我们将要求该公司、组织重新向您征求授权同意。
4.3公开披露
除非获取您的明确同意,我们不会公开披露您的个人信息。
基于法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们可能会向有权机关披露您的个人信息。但我们保证,在上述情况发生时,我们会要求披露请求方必须出具与之相应的有效法律文件,并对被披露的信息采取符合法律和业界标准的安全防护措施。
4.4共享、转让、公开披露个人信息授权同意的例外
根据相关法律法规的规定,在以下情形中,我们可以在不征得您的授权同意的情况下收集、使用一些必要的个人信息:
(1)与国家安全、国防安全直接相关的;
(2)与公共安全、公共卫生、重大公共利益直接相关的;
(3)与犯罪侦查、起诉、审判和判决执行等直接相关的;
(4)出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
(5)所收集的个人信息是您自行向社会公众公开的;
(6)从合法公开披露的信息中收集到您的个人信息,如从合法的新闻报道、政府信息公开等渠道;
(7)根据您的要求签订和履行合同所必需的;
(8)用于维护本联盟的产品和服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
(9)法律法规规定的其他情形。
五、我们如何保护您的个人信息
您的个人信息安全对于我们至关重要。我们将严格遵守相关法律法规,采取业内认可的合理可行的措施,保护您的个人信息。防止信息遭到未经授权的访问、披露、使用、修改,避免信息损坏或丢失。
5.1技术措施与数据安全措施
我们努力采取各种符合业界标准的物理、电子和管理方面的安全措施来保护您的个人信息安全。我们积极建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用,确保未收集与我们提供的服务无关的个人信息。
我们通过与信息接触者签署保密协议、监控和审计机制来对数据进行全面安全控制。防止您的个人信息遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。
我们已使用符合业界标准的安全防护措施保护您提供的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改,防止数据发生损坏或丢失。我们会采取一切合理可行的措施,保护您的个人信息。例如,在您的浏览器与本联盟之间交换数据(如信用卡信息)时受SSL加密保护;我们会使用加密技术确保数据的保密性;我们会使用受信赖的保护机制防止数据遭到恶意攻击;我们会部署访问控制机制,确保只有授权人员才可以访问个人信息;以及我们会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。
5.2安全认证
我们与监管机构、第三方测评机构建立了良好的协调沟通机制,及时抵御并处置各类信息安全威胁,为您的信息安全提供全方位保障。
5.3安全事件处置
我们将尽力确保您发送给我们的任何信息的安全性,但请您理解,由于技术的限制以及在互联网行业可能存在的各种恶意手段,不可能始终保证信息百分之百的安全。您需要了解,您接入我们服务所用的系统和通讯网络,有可能因我们可控范围外的因素而出现问题。为防止安全事故的发生,我们制定了妥善的预警机制和应急预案。若不幸发生个人信息安全事件,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议和对您的补救措施,并立即启动应急预案,力求将损失最小化。我们将及时将事件相关情况以电话、推送通知等方式告知您,难以逐一告知用户时,我们会采取合理、有效的方式发布公告。
同时,我们还将按照监管部门要求,主动上报个人信息安全事件的处置情况,紧密配合政府机关的工作。
六、您的权利
按照中国相关的法律、法规、标准,以及其他国家、地区的通行做法,我们保障您对自己的个人信息行使以下权利。
6.1访问权。您可以随时登录您的个人账号,访问或编辑您的账号中的个人资料信息、更改您的密码、添加安全信息、进行账号关联或身份认证等。
6.2更正权。经对您的身份进行验证,且更正不影响信息的客观性和准确性的情况下,您有权对错误或不完整的信息作出更正或更新,您可以自行在我们的网站或客户端中进行更正,或在特定情况下,尤其是数据错误时,通过本政策文末提供的联系方式将您的更正申请提交给我们,要求我们更正或更新您的数据,但法律法规另有规定的除外。但出于安全性和身份识别的考虑,您可能无法修改注册时提交的某些初始注册信息。
6.3删除权。您可以通过本隐私保护政策政策提供的联系方式向我们提出删除您个人信息的请求,例如您不再需要我们继续为您提供服务,但已做数据匿名化处理或法律法规另有规定的除外。
6.4更改或撤销您的授权。如您想更改相关功能的授权范围(例如相机),您可以通过您的硬件设备修改个人设置、或在我们的产品或服务中的相关功能设置界面进行操作处理。如您在此过程中遇到操作问题的,可以通过本政策文末提供的方式联系我们。
当您取消相关个人信息收集的授权后,我们将不再收集该信息,也无法再为您提供上述与之对应的服务;但您知悉并同意,除非您行使前述"删除权",否则您的该行为不会影响我们基于您之前的授权进行的个人信息的处理、存储。
6.5注销权。您可以通过联系我们的客服或通过其他我们公示的方式注销您的账号(但法律法规另有规定的除外),一旦您注销账号,将无法使用我们提供的全部产品或服务,因此请您谨慎操作。我们为了保护您或他人的合法权益会结合您对我们提供的各产品的使用情况判断是否支持您的注销请求,比如若您在账号里有未使用的余额,您还有课程为完结,则我们不会立即支持您的请求,而会提示您先进行相应处理。除法律法规另有规定外,注销账号之后,您该账户内的所有信息将被清空,并根据您的要求删除您的个人信息。您通过第三方账号(如微信、微博、QQ等)授权登录我们的服务时,需要向第三方申请注销账号。
6.6提前获知产品和服务停止运营权。我们愿一直陪伴您,若因特殊原因导致我们部分或全部产品和服务被迫停止运营,我们将提前15日在产品或服务的主页面或站内信或向您发送电子邮件或其他合适的能触达您的方式通知您,并将停止对您个人信息的收集,同时会按照法律规定对所持有的您的个人信息进行删除或匿名化处理等,法律法规另有规定的除外。
七、关于未成年人的信息保护
我们非常重视对未成年人信息的保护。
我们的产品、网站和服务主要面向成人。若您是未成年人,建议您请您的监护人仔细阅读本隐私政策,并在征得您的监护人同意的前提下使用我们的产品或服务或向我们提供信息。
如您的监护人不同意您按照本政策使用我们的服务或向我们提供信息,请您立即终止使用我们的服务并及时通知我们,以便我们采取相应的措施。
如果监护人发现我们在未获监护人同意的情况下收集了未成年人的个人信息,请通过个人信息保护问题反馈联系我们,我们会设法尽快删除相关数据。
八、您的个人信息如何在全球范围转移
原则上,我们在中国境内收集和产生的个人信息,将存储在中国境内。如部分产品或服务涉及跨境,我们需要向境外传输您的个人信息,我们会严格按照法律法规的规定执行,并保证您的个人信息安全。
九、本隐私保护政策的更新
我们的隐私政策可能变更。
未经您明确同意,我们不会削减您按照本隐私政策所应享有的权利。我们会在本页面上发布对本政策所做的任何变更。
对于重大变更,我们还会提供更为显著的通知(包括我们会通过本联盟官网公示的方式进行通知甚至向您提供弹窗提示)。本政策所指的重大变更包括但不限于:
(1)我们的服务模式发生重大变化。如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
(2)我们在所有权结构、组织架构等方面发生重大变化,如业务调整、破产并购等引起的所有者变更等;
(3)个人信息共享、转让或公开披露的主要对象发生变化;
(4)您参与个人信息处理方面的权利及其行使方式发生重大变化;
(5)我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;
(6)个人信息安全影响评估报告表明存在高风险时。
Contact us
地址:深圳市福田区华富街道新田社区彩田路3030号橄榄鹏苑B座橄榄大厦28层2806室
电话:400-969-7908