定义合规性:什么是企业合规性,为什么它很重要?
企业合规的定义和企业含义是,它是一种综合的合规方法,即 跨越多个业务部门和地域 在一个组织内。它自上而下地建立,由人员、流程和技术促成并维持。
一个有效的合规管理计划关注的是一个组织所面临的风险。它可能基于多个框架,旨在确保整个组织的道德规范得到遵守,合规风险得到控制。
有效的合规性具有深远的优势。除了降低监管和声誉风险,它还可以确保你的公司保持竞争力,为所有员工提供一个综合文化,导致更好的决策,并确保长期的可持续性。
根据最近的 安永第15次全球欺诈调查,
- 97% 在接受采访的2,550名受访者中,他们承认他们的组织o很重要。诚信经营.
- 43% 的受访者认为,改变监管环境会造成 最大的风险他们的业务。
- 36% 的受访者 相信欺诈和腐败 对其业务构成最大风险。
企业的合规类型:企业内部和外部合规
外部合规包括政府规定的组织应如何开展业务的法律和法规。这方面的一个例子是,如果一家公司丢失了来自欧盟的客户的个人信息--根据《通用数据保护条例》(GDPR),他们需要在72小时内披露这一漏洞。
内部合规是一个公司如何遵守这些法律。负责合规的人--通常是一名合规官员,如果公司规模较大,则有多名合规官员--将设计合规方案。然后,员工遵循这些内部政策。
谁的责任?
一个组织中合规官员的数量取决于其 尺寸和需求.一个企业 合规官员 是一名员工,其职责是确保公司符合外部监管和法律要求以及内部政策和程序。一般来说,合规部门由首席合规官领导。
合规官员与管理层和员工一起确定风险,并确保组织有足够的内部控制来管理其面临的任何类型的合规风险。在发生违规事件时,合规官员应制定惩戒措施,以避免任何可能的再次发生。
其职责可能包括修订和制定对外交流的标准(例如,电子邮件可能需要免责声明,或者设施可能需要检查以满足安全要求)。他们可以领导内部审计,设计内部政策以减少公司违反法规的风险,并在发生违反法规的情况下设计应急计划。
为了有效地履行这些职责,合规官员必须对公司及其运作有详细的了解,并意识到可能发生违反法规的地方。关键的道德原则必须得到有效的沟通,监管的变化和更新必须定期在整个组织内传达--尤其是这些政策和监管的变化是持续的。
超越企业合规官?
除了合规官员,高层管理人员、董事会成员和管理层都有责任--在较小程度上,所有员工也有责任。了解公司合规工作的完整全貌,有助于避免混乱。
董事会起着很大的作用,因为他们的个人声誉和他们所监督的其他公司的声誉也可能受到不良合规的影响。
领导层应明确传达所有关于合规的期望和公司价值观。
透明度和培训在这里发挥了作用--从培训到举行市民大会,让所有员工都能看到绩效标准、目标和评价标准是至关重要的。在此基础上,可以将后果和奖励纳入框架。
除了内部利益相关者,合规性也必须明确给 外部力量 如监管机构、股东、媒体和商业伙伴。透明度可以使这些团体建立对组织的信任--特别是在公司的道德基础方面。了解这些道德规范是如何被灌输和执行的,可以使许多外部团体成为你公司的拥护者。
不同的文化、国家、甚至州都可能有不同的合规想法。在美国,各州有不同的法规和准则,甚至各市、县也可能在此基础上增加自己的要求。
有哪些法规影响到企业的合规性?
由于要求不同,有各种类型的合规性审计,但以下是一些比较常见的规定。
CCPA
ǞǞǞ 加州消费者隐私法 于2020年1月1日开始生效。它的目的是保护消费者的权利,在涉及他们的个人信息时,推动更强的透明度和隐私保护。根据该法案,加州人有权知道收集了哪些个人数据,是否被共享,与谁共享,并可以选择不出售他们的数据。
GDPR
欧盟的 通用数据保护条例 于2018年5月生效,保护了欧盟公民的数据隐私。然而,这一合规条例适用于任何处理欧洲公民数据的公司,即使他们位于其他地方。
萨班斯-奥克斯利法案(SOX)
美国政府在2002年通过了这项联邦法律,为上市公司制定审计和财务条例。该法律旨在保护股东、雇员和公众免受不准确的财务报告和会计错误的影响。虽然它主要监管上市公司,但一些条款也适用于私营和非营利组织。
SOC 2
由美国注册会计师协会定义的合规审计,这适用于任何在云中持有或处理客户数据的公司。(如SaaS公司)有两种类型:SOC 2类型I是在一个时间点上进行的,而SOC 2类型II一般在一段时间内进行,第一次覆盖6个月,之后是一年。
ISO 27001
作为ISO或IEC 27K系列的一部分,这是一个信息安全合规标准,帮助公司管理数据资产的安全。这可以包括雇员或第三方数据、财务信息和知识产权。
特定行业的合规性
有几项合规法规是针对行业的,其中包括:
HIPAA
HIPAA也被称为 "健康保险可携性和责任法案",是美国卫生和人类服务部于1996年为医疗保健行业通过的。它保护了病人的健康信息。
美国金融监管局
FINRA也被称为金融业监管局,是一个独立的非政府组织,为金融业编写和执行法规。它们旨在保护投资者免受欺诈,并适用于美国政府注册的经纪人和经纪商公司。
企业合规风险管理的最佳实践
采取哪些正确的步骤来确保企业的合规性,以及一些可用的技术解决方案?
企业内容管理
通过将数据和文件集中在一个安全的存储库中,在那里可以管理访问并确保规定的数据过期,现代组织收集的大量信息可以得到有效管理,以符合不断增加的数据隐私法。
数字政策管理
起草、分发和获取对关键政策和程序更新的证明太复杂了,不能用传统的人工流程来完成。 随着越来越多的远程劳动力,以及需要快速转向以应对市场力量或干扰,企业正在转向自动化政策管理解决方案,以简化这些流程,同时降低成本。
过程自动化
使用流程自动化工具,合规性可以实实在在地嵌入到整个组织的工作流程和操作流程中。 这些解决方案还提供对所有流程的自上而下的监督,帮助优化性能和主动降低风险。
发现影子IT
企业越来越依赖电子表格等终端用户计算(EUC)资产,但这些资产不在IT部门的直接控制范围内,会带来各种风险。 随着越来越多的远程工作人员,这是一个不断升级的问题,因此企业必须识别、评估和监控这些 "影子IT "资产。
供应商风险管理
为了保护你的组织,你不再需要仅仅管理内部风险。 根据许多法规,你也要对你的销售商和供应商的违规行为负责。 因此,在影响到你的供应商网络之前,监测和减轻任何风险是至关重要的。 你的 声誉和底线。
English 
Deutsch 
English (UK) 
English (Australia) 
Français 
Español de México 
简体中文