今年年初,我在节后半妄想状态下写下了这篇文章。 这篇文章关于合规义务管理计划的各种注意事项。
现在,节日的糖分和轻浮已经散去,让我们来详细谈谈能确保您履行义务的不同类型的合规管理活动,以及围绕这些活动的一些具体需求。
拥有 政策管理系统建立政策管理系统来帮助管理这些政策和程序(审查和批准、发布和证明),并能够将这些政策和程序与合规义务登记册联系起来,这有助于确保存在适当的政策,并确保这些政策得到适当的审查、处理和发布。
2.培训
有效合规计划的另一个要素是培训和教育。受 OSHA、FAA 或 DOT 监管的公司必须为员工提供专门的安全培训。
银行保密法》要求某些组织定期提供反洗钱 (AML) 培训。提供培训的方式多种多样,既可以是课堂教学,也可以是用于跟踪出勤情况的签到表,还可以是更复杂的学习管理系统 (LMS),但如果合规解决方案允许您手动输入或导入培训记录,则可以更轻松地审核这些培训记录。
3.年度报告
职业安全与健康管理局 300 日志、美国证券交易委员会文件、内部控制报告、年度报表、美国金融业监管局 3130 规则认证......这些只是公司面临的烦人的年度报告要求中的几个例子。在集中登记簿中列出这些合规义务,可以确保您有适当的可见性来完成需要完成的工作。
通过附上必要的报告或报表副本来确认是否履行了这些义务,有助于向合规专业人员和外部审计人员清楚地说明这些义务已得到妥善履行。如果您选择的解决方案能够自动提醒您何时该履行这些义务,或者收集信息以帮助自动生成其中一些报告,则会为您加分!
4.异常跟踪和报告
任何有价值的合规法规(说真的,又是食物比喻?
在工作场所严重受伤?最好在 24 小时内向 OSHA 报告,以免受到经济处罚。安全漏洞暴露了个人数据?根据 GDPR,如果未能在 72 小时内通知您的数据保护机构 (DPA),可能会导致较低级别的处罚,最高可达 1000 万欧元, 或上一财政年度 全球年收入的 2%,以较高者为准!
因此,当发生故障时,您需要一种解决方案,允许员工(甚至客户)报告事故,提醒适当的资源调查和确认事故,及时通知适当的当局,并使您能够快速识别这些事故的任何趋势,以进一步降低其再次发生的可能性......同时能够快速确认这些努力。
5.进程/工作流程
有些监管义务要求您创建流程来处理各种情况。为遵守GDPR 第 17 条,"被遗忘权 "要求您为客户提供一个 "无不当延迟 "的删除请求流程。
部署自动工作流程,将请求转给适当的方面并通过适当的步骤,有助于确保对这些请求作出一致和及时的回应。萨班斯-奥克斯利法案》要求制定《职业道德准则》,其中规定了 "向适当的人披露......任何重大交易或关系,而这种交易或关系按理说可能会引起 "利益冲突""的方法。
能够证明利益冲突得到了报告,并在必要时采取了适当的行动(并能够跟踪和报告这一过程),就证明合规工作卓有成效。
6.审计
有效合规计划的另一个关键因素是对其各个要素进行持续监控和审核。无论为履行义务而开展哪种类型的合规活动,都不能像台式厨房用具那样 "设置好就不管了"。
如果你的反贿赂政策已经五年没有审查过了,如果你自 "上世纪 "年代以来就没有更新过安全培训,如果你没有看到内部报告的涉嫌违反道德的行为有所减少(或者更糟糕的是,你不确定报告了多少违反道德的行为,也不知道是如何处理的),这些都表明你没有充分维护合规活动,以履行你的义务。
拥有一个能列出所有义务及其相关合规活动的单一系统,并通过将审计与相关义务联系起来,提供对这些合规活动进行定期审计的证据,从而进一步验证合规性?这样一来,审核合规计划就容易多了,也更能证明你在多大程度上真正履行了合规义务。
username="MitratechLegal"] [bctt tweet="无论为履行义务而开展的合规活动属于哪种类型,您都不能像台式厨房电器一样'设置好就不管了'。
7.纠正行动
最后,有些合规活动可能只是一个简单的经常性行动,例如每月提醒您查看监控解决方案生成的异常日志。除了这些经常性活动,您的审计计划还可能会产生需要采取纠正措施(巧合的是,这也是有效合规计划的第七个要素)来解决的发现。
如何才能更好地证明您对发现的违规行为及时做出反应,在问题出现时实施新的控制措施,并完成所有合规行动,而不是将这些都集中在一个系统中,并通过电子邮件提醒和升级来保持工作进度?
众所周知,履行义务(无论其来源如何)涉及到各种合规活动 和 定期审查/核实,以确保这些活动得到正确执行并达到预期效果。
如果您想了解更多有关全面、灵活、集成的解决方案如何帮助执行和监控这些活动,从而更轻松地回答 "我如何知道我们是否合规 "的问题、 请联系我们!
