安全架构2--安全制度管理

摘要

制度一般以条文形式展示，名称通常冠以政策、规定、办法、规程、细则、指引等；制度可以通过制度补丁的方式进行调整、补充和完善，制度补丁可以采取条文或非条文的形式展示，一般以修订通知、补充通知、加强管理通知等标题体现。

1. 制度体系

制度体系应遵循架构合理、层级清晰、覆盖全面的原则，制度体系一般包括三级：

1. 政策级制度，是指用于规范业务条线行使经营管理职责基本事项的制度，名称一般使用制度、规定、政策、章程等。
2. 办法级制度，是指用于规范业务条线的工作方法和具体内容的制度，名称一般使用管理办法、管理规程等。
3. 规程级制度，用于规范具体的作业内容，名称一般使用操作规程、操作细则、实施细则、指引等。

2. 制度的起草

在起草制度的过程中，应开展调查研究，广泛征求制度执行部门人员、部门内部相关人员的意见，以论证制度的必要性、有效性、合理性和可操作性。征求意见可采取发送征求意见邮件、召开制度讨论会议等方式进行。

制度内容一般包括：总则（含目的依据、适用范围、管理原则、职责分工、定义等）、管理流程、监督检查及处罚规则、附则（含制定细则要求、解释部门、施行日期、作废声明等）。

3. 制度的评审

制度评审主要包括以下内容：

1. 是否符合法律、规则、准则和监管要求；
2. 是否与本公司有关制度协调一致、接口清晰；
3. 是否影响本公司制度整体架构的合理性和清晰性；
4. 制度描述的流程是否清晰并具有可操作性；
5. 是否符合本公司制度的规范性要求；
6. 评审人员可以对其认为的其他制度问题提出评审意见。

4. 制度的发布

经评审、审核或审议通过的制度以全员通告的形式发布，为便于制度维护和管理，发布的制度原则上应一文号对应一项制度。主办部门应合理确定制度的施行日期，并在制度中明确。建议直接明确施行日期，而不是“自本文发布之日起施行”。

5. 制度的维护

制度的维护包括制度的后续评估和制度改进。制度的后续评估是指主办部门对制度实际管理效果进行的自我评估，旨在发现制度存在的问题，评估是否需要对制度进行整改。后续评估包括以下内容：

1. 是否存在合规性、有效性、可操作性和规范性等制度问题；
2. 制度间是否存在重复、冲突；
3. 是否存在制度缺失和管理盲点；
4. 对制度进行梳理，摸清制度补丁情况，评估实施整合的可行性和必要性。

对执行层面反映意见较多的制度，主办部门应及时进行后续评估。同时，主办部门应及时收集和整理制度信息，提高制度后续评估的效率和质量。

制度信息包括：外部政策的变化，基层操作人员的反馈，业务检查发现的管理漏洞，外部或同行案件反映的管理漏洞，内部组织架构、管理和业务流程调整等。

制度改进是指根据制度后续评估结果和业务管理需要，主办部门实施的制度新增、换版、修订、补充以及整合工作。在实施制度改进工作前，主办部门要评估制度改进的成本，兼顾制度的稳定性和执行的方便性，选择发布制度补丁、增加新制度、换版等方式对制度实施改进。对于制度存在较多补丁的，主办部门应结合部门制度架构的安排，对制度实施整合。

6. 制度的日常管理

制度应明确解释部门，原则上由制度主办部门负责解释，特殊情况下应明确各部门解释的范围。低层级制度与高层级制度规定相抵触时，以高层级制度规定为准，但制度解释部门另有正式批复或回复的除外。