什么是法规遵从性?
法规遵从性是指组织对其业务流程相关的法律、法规、指南和规范的遵守程度。违反法规遵从性通常会导致法律惩罚,包括联邦罚款。
法规遵从性法律和法规的示例包括:
- 支付卡行业数据安全标准(PCI DSS)
- 健康保险可携性和责任法案(HIPAA)
- 联邦信息安全现代化法案(FISMA)
- 萨班斯-奥克斯利法案(SOX)
- 欧盟通用数据保护条例(GDPR)
- 加州消费者隐私法案(CCPA)
为什么法规遵从性很重要?
自本世纪初以来,规则数量不断增加,使得法规遵从性管理在各个组织中更加突出。这一发展导致了企业合规官、首席合规官和合规经理等职位的设立。
法规遵从性流程和策略为组织努力实现业务目标提供指导。证明合规的审计报告帮助公司向客户推销自己。例如,系统和组织控制1报告使供应商能够证明符合SOX等法规。
法规遵从性面临哪些挑战?
不遵循强制性法规遵从性实践的公司面临多种可能的后果,例如被迫参与包括现场合规审计和监管机构检查在内的补救计划。
从基础设施和人员角度来看,遵循合规规则可能成本高昂。随着公司需要投入资金遵守合规法律法规,它们还必须试图通过盈利来安抚利益相关者并维持业务流程。
不断发展的消费者技术也给公司带来合规复杂性。例如,员工在工作场所使用个人移动设备会产生合规问题,因为这些设备存储敏感的、与合规相关的公司数据。
如何确保法规遵从性?
法规遵从性要求公司分析其独特要求及其行业特定的任何授权,然后制定流程来满足这些要求。实现法规遵从性的典型步骤包括:
- 识别适用法规:确定哪些法律和合规法规适用于公司的行业和运营
- 确定要求:识别每个法规中对组织相关的要求
- 记录合规流程:清晰记录合规计划
- 采用合规框架:利用可用的合规标准
- 利用自动化:使用合规管理软件
- 监控变化:持续监控合规要求更新
各行业和国家的合规差异
某些行业受到更严格的监管。例如:
- 金融服务行业受到旨在保护公众和投资者免受恶意商业行为影响的法规遵从性授权
- 医疗保健公司也受到严格的合规法律约束,因为它们存储大量敏感和个人患者数据
法规遵从性授权因国家而异。SOX是美国立法,但类似的法规包括德国的Deutscher Corporate Governance Kodex和澳大利亚的2004年公司法经济改革计划法案。
主要合规标准
| 行业 | 主要合规标准 |
|---|---|
| 金融与银行 | SOX;多德-弗兰克(美国);巴塞尔协议III(国际) |
| 医疗保健 | HIPAA(美国);GDPR(欧盟),MDR(欧盟) |
| 技术,IT | ISO/IEC 27001(国际);PCI DSS(国际) |
| 工作场所安全 | OSHA(美国);公平劳动标准法(美国);国际劳工组织(国际) |
| 数据隐私,安全 | GDPR(欧盟);CCPA,CPRA(美国);中国网络安全法和PIPL |
| 环境 | EPA法规;ISO 14001(国际) |
不合规的后果
不合规的后果范围相当大,从近乎微不足道到非常严重。它们包括:
- 罚款和制裁
- 业务中断
- 刑事和法律责任
- 数据泄露
- 声誉损害
法规遵从性的未来
法规遵从性的未来将会增加技术的使用,因为机器学习、区块链、自然语言处理和其他技术变得更加突出。合规计划将变得更加实时,因为持续合规监控逐渐取代定期审计。