什么是企业合规？

企业合规类型：企业内部和外部合规

外部合规包括政府规定组织应如何开展业务的法律法规。例如，如果一家公司丢失了欧盟客户的个人信息--根据《通用数据保护条例》（GDPR），他们需要在 72 小时内披露该违规行为。

内部合规是公司遵守这些法律的方式。负责合规的人员（通常是一名合规官，如果公司规模较大，则有多名合规官）将设计合规计划。然后，员工遵循这些内部政策。

谁该负责？

企业合规官的数量取决于企业的规模和需求。企业合规官是一名员工，其职责是确保公司遵守外部监管和法律要求以及内部政策和程序。一般来说，合规部门由首席合规官领导。

合规官与管理层和员工一起确定风险，确保组织有足够的内部控制措施来管理所面临的各类合规风险。如果出现违规行为，合规官应制定惩戒措施，以避免任何可能的再次发生。

其职责可能包括修订和制定对外交流标准（例如，电子邮件可能需要免责声明，或设施可能需要检查以满足安全要求）。他们可能会领导内部审计，设计内部政策以降低公司违反法规的风险，并在违反法规的情况下设计应急计划。

为有效履行这些职责，合规官必须详细了解公司及其运营情况，并意识到可能会出现违反监管规定的情况。关键的道德原则必须得到有效传达，监管变化和更新必须定期在整个组织内传达--尤其是这些政策和监管变化是持续不断的。

企业合规官之外？

除了合规官之外，高层管理人员、董事会成员和管理层都有责任，在一定程度上，所有员工也都有责任。了解公司合规工作的全貌有助于避免混乱。

董事会的作用很大，因为合规性差也会影响他们的个人声誉和他们所监管的其他公司的声誉。
领导层应明确传达合规方面的所有期望和公司价值观。

在这方面，透明度和培训发挥着重要作用--从培训到召开全体会议，绩效标准、目标和评估标准对所有员工来说都是显而易见的，这一点至关重要。在此基础上，可以将后果和奖励纳入框架。

除内部利益相关者外，监管机构、股东、媒体和业务合作伙伴等外部力量也必须清楚了解合规情况。透明度可以促使这些群体建立对组织的信任--尤其是在公司的道德基础方面。了解这些道德规范是如何被灌输并付诸行动的，可以让许多外部群体成为公司的拥护者。

不同的文化、国家甚至州对合规性可能有不同的看法。在美国，各州有不同的法规和指导方针，甚至各市县也会在此基础上增加自己的要求。

影响企业合规性的法规有哪些？

合规性审核的要求各不相同，但以下是一些较为常见的规定。

CCPA

加州消费者隐私法案》于 2020 年 1 月 1 日生效。该法案旨在保护消费者权利，提高消费者个人信息的透明度和隐私保护。根据该法案，加州人有权知道收集了哪些个人数据、是否共享、与谁共享，并可以选择不出售自己的数据。

了解有关 CCPA 合规性的更多信息 →

GDPR

欧盟《通用数据保护条例》于 2018 年 5 月生效，保护欧盟公民的数据隐私。不过，这一合规条例适用于任何处理欧洲公民数据的公司，即使这些公司位于其他地方。

了解有关 GDPR 合规性的更多信息 →

萨班斯-奥克斯利法案（SOX）

美国政府于 2002 年通过了这项联邦法律，为上市公司制定审计和财务法规。该法律旨在保护股东、员工和公众免受不准确的财务报告和会计错误的影响。虽然该法主要针对上市公司，但部分条款也适用于私营和非营利组织。

了解有关 SOX 合规性的更多信息 →

SOC 2

由美国注册会计师协会定义的合规性审计，适用于任何在云中持有或处理客户数据的公司。(有两种类型：SOC 2 类型 I 在单个时间点进行，而 SOC 2 类型 II 通常在一段时间内进行，第一次覆盖 6 个月，之后覆盖一年。

了解监管合规义务，如 SOC 2 → 了解监管合规义务，如 SOC 2 → 了解监管合规义务，如 SOC 2

ISO 27001

作为 ISO 或 IEC 27K 系列的一部分，这是一项信息安全合规标准，可帮助企业管理数据资产的安全。其中包括员工或第三方数据、财务信息和知识产权。

了解我们的数据隐私解决方案 →

特定行业的合规性

有几项合规法规是针对特定行业的，其中包括

HIPAA

HIPAA 也称为《健康保险可携性与责任法案》，是美国卫生与公众服务部于 1996 年针对医疗保健行业通过的法案。它保护病人的健康信息。

美国金融业监管局

FINRA 又称金融业监管局，是一个独立的非政府组织，负责制定和执行金融业法规。其目的是保护投资者免受欺诈，适用于美国政府注册的经纪人和经纪自营商公司。

企业合规风险管理的最佳做法

为确保企业合规，应采取哪些正确步骤，以及一些可用的技术解决方案？