什么是合规?
合规性是符合既定指南或规范的状态,或成为如此的过程。
例如,软件可能会按照标准机构创建的规范进行开发,然后由用户组织根据供应商的许可协议进行部署。
合规性的定义还可以包括确保组织遵守行业法规和政府立法的努力。
合规性是一个普遍的商业问题,部分原因是越来越多的法规要求公司保持警惕,充分了解其合规性监管要求。为遵守合规标准,组织必须遵守自身或政府立法规定的要求或规定。
合规性示例
组织可能需要遵守的一些重要法规、标准和立法包括:
1️⃣2002 年萨班斯-奥克斯利法案。萨班斯-奥克斯利法案的颁布是为了应对备受瞩目的安然 (Enron) 和世通 (WorldCom) 财务丑闻,以保护股东和公众免受会计错误和欺诈行为的影响。
除其他条款外,该法律还制定了有关在 IT 系统中存储和保留业务记录的规则。
2️⃣2003 年的反垃圾邮件法案。反垃圾邮件法案要求企业将商业电子邮件标记为广告,使用合法的回复电子邮件地址,为收件人提供退出选项,并在 10 个工作日内处理退出请求。
3️⃣1996 年健康保险流通与责任法案 ( HIPAA )。HIPAA Title II 包括一个行政简化部分,该部分强制要求电子健康记录系统标准化,并包括旨在保护数据隐私和患者机密的安全机制。
4️⃣多德-弗兰克法案。该法案于 2010 年颁布,旨在通过使银行遵守执行透明度和问责制以保护客户的法规来减少联邦对银行的依赖。
5️⃣支付卡行业数据安全标准 ( PCI DSS )。PCI DSS 是 2004 年由 Visa、MasterCard、Discover 和 American Express 制定的一套政策和程序,用于确保信用卡、借记卡和现金卡交易的安全性。
6️⃣联邦信息安全管理法 ( FISMA )。FISMA 于 2002 年签署成为法律,要求联邦机构对信息安全计划进行年度审查。这样做是为了将数据风险保持在或低于指定的可接受水平。
7️⃣职业安全与健康管理局 ( OSHA )。OSHA 要求于 1971 年由美国国会提出,旨在保护美国工人的健康和安全
8️⃣通用数据保护条例 ( GDPR )。GDPR 是 2018 年在欧盟生效的立法,更新和统一了数据隐私法。GDPR 的目的是保护个人和描述他们的数据,并确保收集这些数据的组织以负责任的方式这样做。
⚠️IT 合规指南因国家/地区而异
例如,萨班斯-奥克斯利法案是美国立法。其他国家的类似立法包括德国的 Deutscher Corporate Governance Kodex 和澳大利亚的 Corporate Law Economic Reform Program Act 2004。
因此,跨国组织必须了解其运营所在的每个国家/地区的法规遵从要求。例如,GDPR 适用于位于欧盟以外的所有组织,只要它们也在欧盟运营。
监管合规与公司合规
公司合规适用于组织为合规而制定的规则、条例和实践——根据外部法规和内部政策。
监管合规适用于组织为合规而制定的规则、法规和实践——根据外部法规。
公司和法规遵从性非常相似,主要区别在于它们的政策是来自内部法规还是外部法规。
首席合规官和其他合规角色
随着法规和其他准则越来越成为企业管理层关注的焦点,公司越来越频繁地求助于专业的合规软件和 IT 合规咨询公司。许多组织甚至增加了合规职位,例如首席合规官 (CCO) 的角色。
✅CCO 的主要职责包括确保组织能够管理合规风险并通过合规审计。
合规审计的确切性质会有所不同,具体取决于组织的行业、是上市公司还是私营公司,以及它创建、收集和存储的数据的性质等因素。
✅CCO 的其他职责包括识别组织面临的潜在风险、评估任何风险预防流程的有效性以及解决任何合规性问题。
其他合规角色
合规分析师。合规性分析师帮助组织保持合规性并为审计做好准备。
合规服务伙伴。该角色侧重于为客户识别问题、确定问题的优先级并解决问题。
合规协调员。该角色的重点是准备和完成监管和合规文件,并确保它们遵守联邦、州和政府的要求。
合规总监。该角色的重点是确保组织遵守对其施加的所有规则、法规和法律。他们还负责管理和纠正发生的任何违规行为。
企业合规的最佳实践和策略
为确保组织遵守合规性法律或法规,他们应遵循以下最佳实践:
✍确定合规目标。关注组织最需要改进的合规性领域,例如特定的法规、法律或使组织损失金钱的违规行为。
✍了解监管环境。法律和法规可能会随着时间的推移而发生变化,因此让工作人员——无论是作为合规部门的一部分还是其他——了解与组织行业相关的最新法规是一个好主意。
✍实施合规性工具。合规工具可以自动跟踪数据,帮助合规风险管理。
✍进行合规审计。对合规性领域的深入审查可确保组织正确遵守合规性法规,并有助于确定组织需要改进的领域。
✍定期审查合规规定。定期审查有助于发现薄弱环节,并使组织有机会改进并保持其合规性工作与时俱进。
✍培训员工遵守合规政策。如果员工不能遵守合规政策,那么组织就不能完全遵守这些政策。员工应接受培训并了解相关政策,并在不遵守政策时追究其责任。
往/期/回/顾
中国顶级金融数据提供商因新规限制离岸访问
深度思考:数据合规法律业务的行业前景如何?
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
千呼万唤始出来:CIPP/E备考教材第三版终于上线啦!
*文章来源:www.techtarget.com
*原标题:什么是合规性?
*整理编辑:A隐小私(yinxiaosi00)
■ DEPTH
想了解IAPP哪个证书适合你?
全套资料长按扫码领取
■ DEPTH
什么是IAPP国际隐私证?
一起了解IAPP证书
-End-
■ DEPTH
想了解IAPP哪个证书适合你?
资格评估可直接扫码
免费评估/赠送一份国际隐私认证学习资料一份
觉得不错你就赞赞我吧!
点分享
点点赞
点在看
戳这,领取IAPP备考资料包