治理、风险管理和遵从性(GRC)
政府组织、行业机构和内部合规部门制定了许多规则和条例,以强制在金融、环境、信息和数据安全、员工关系和其他业务实践中采取可取的、合乎道德的和安全的行为。在20世纪90年代早期,信息安全管理的先驱之一Edward Humphreys确定并领导了将遵从性从孤立的基于it的责任转变为由人员、流程和信息驱动的责任的转变。
除了遵从性之外,治理和风险管理还构成了被称为GRC的领域。比如爱德华·汉弗莱在信息安全管理方面的工作,GRC要求“使组织能够可靠地实现目标、处理不确定性和完整地行动的能力的集成集合”。GRC不是一门新学科,而是一门纸由Scott L. Mitchell于2007年出版,引发了整个GRC软件和服务行业。
根据Mitchell的说法,必须与信息技术合作以推动原则性绩效的业务单位包括审计团队、人力资源、财务和高级管理层。欧宝体育app官方888这些单位必须共同努力,以解决和减轻业务的不确定性。
治理、风险和遵从性的具体重点如下:
治理过程设置并提供实现公司目标的机制。
风险管理测试对业务不确定性的容忍度,确定发现风险的位置,并对其严重性进行排序。
然后,合规人员制定政策和程序,以减少公司内部和外部监管环境中风险的影响。
什么是合规管理?
合规管理T,通常称为合规风险管理是对适用于组织的法律、法规、标准、政策和行为准则的管理和遵守。许多特定于行业的法规驱动着医疗保健、制造业和金融业的核心功能。事实上,美国货币监理署(OCC)发布了一本小册子,合规管理系统,指导OCC检查员检查国民银行、联邦储蓄协会和联邦银行的消费者合规风险管理。
一些遵从性法规不是特定于行业的,例如员工安全、休假和最低工资。遵从性要求通常贯穿许多不同的业务单位,并且它们具有独特的指导方针和需求。
大型公司的合规管理部门制定内部政策,使组织与外部法规、法律或行业标准制定的规则和指导方针保持一致。为了有效地做到这一点,法规遵循团队识别、管理和监视活动,以减少与不法规遵循相关的风险。企业合规管理中的尽职调查可能采取的形式是解决可能需要数年时间才能实现的重大监管障碍,例如获得美国食品和药物管理局(FDA)的批准。它们也可以是单一问题导向的,例如与金融法规相关的房屋评估报告。
遵从性是一项持续进行的活动,它响应不断变化的监管环境、业务增长、地理范围或新颁布的法律。法规遵从性管理通常遵循自愿标准和联邦或全球法规的命令,例如:
国际标准组织(ISO)总部设在瑞士的ISO为许多行业制定质量标准指导方针,包括制造业、医疗保健和运输业。这些指导方针不是法律强制规定的,而是预期的行业惯例。由第三方审核员进行的外部审核必须定期进行,以使组织保持ISO合规。
特雷德韦委员会赞助组织委员会该组织提供了一个框架和流程来制定内部财务控制,以防止欺诈活动,如贿赂和违反竞选财务法。
联邦能源管理委员会(FERC)这个政府机构根据联邦电力法制定标准,目的是保护关键的基础设施。所有大容量电力系统的所有者、运营商和用户必须遵守批准的可靠性标准。参加者必须在NERC通过适当的区域实体。
职业安全和健康管理局(OSHA)这个联邦机构是根据1970年的职业安全与健康法案成立的,是美国劳工部的一部分。OSHA制定并执行要求雇主提供安全和无危险工作环境的标准。
美国食品药品管理局(FDA)当前位置FDA是美国卫生与公众服务部的一部分。它负责通过对药品、医疗器械和生物制品的法规、颁布和执行来保护公众健康。ob欧宝娱乐app手机下载FDA的规定也适用于化妆品和兽医用品。
健康信息可携带性和责任法案:当当事人违反受保护的健康和患者信息的使用、存储和传输时,该法规定、执行和管理罚款。
合规管理的重要性
即使在今天,维护遵从性的成本与不遵从性的相关成本之间仍然存在脱节。一些组织将其总体合规预算的一部分用于支付罚款,而不是用于加强合规管理活动。这个计划在早期可能是有效的,但随着利益相关者的期望增加,公众对信息泄露和不道德行为的意识越来越强,不合规的后果远远超出了经济赔偿的范围。
2017年5月,针对沃尔玛照片中心数据泄露的最终判决使该公司损失了数亿美元,以及它的声誉和未来可能的业务。原告在诉状中指出,该公司表现出了“应受谴责的行为”。最终判决同意并认定了对客户保护不力,如数据加密不足和防火墙保护缺陷。
当局还发现,沃尔玛没有注意到系统故障的多次警告,也没有采取行动。在这种情况下,与许多其他情况一样,违规的成本既包括有形的损害赔偿,也包括因声誉受损而造成的无形损失。
其他合规风险包括:
环境:组织活动对环境造成的破坏
工作场所安全:工作场所的事故或伤害
网络安全:组织基础设施中的漏洞
合规与风险管理的区别
风险管理是识别漏洞和风险的过程。这些风险可以根据行业或监管预期来确定或预测。风险管理也注意到风险的严重程度。Neil A. Doherty在他的书中讨论了保险和金融领域的综合风险管理综合风险管理:管理企业风险的技术与策略.
然后,法规遵循管理采用风险管理的发现,并设置控制、减轻和监视这些风险所需的策略和保护。风险严重性因素会影响到合规性管理所实施的控制的选择和范围。高风险领域可能需要更严格的政策和程序来遵守。
合规经理的角色是什么?
法规遵循经理的任务是管理政策、过程、监控和报告的适当制定,以满足法规遵循的业务需求。法规遵循经理跨部门工作,以履行符合当前法规、行业指导方针和全球范围的法规遵循功能和义务。
然而,合规经理(通常称为合规官)的主要功能是管理行为。道德、安全或负责任的行为是许多法规和指导方针的动机。法规遵循经理通过政策、行动计划、沟通和报告设定强制期望行为的基调。因此,既需要一个强有力的、独立的行政领导者,也需要一个良好的沟通者来履行这一角色。法规遵循经理通常向上级或c级管理层报告,以确保在适合行业的合规环境中设置和实现业务目标。
风险管理团队的角色是什么?
风险管理团队负责建立和监控风险管理计划。该团队通常由来自许多领域或业务单位的参与者组成,以代表各种各样的监管风险场景。经理经常被要求加入风险管理团队,因为与普通员工相比,他们对业务有更广阔的视野。
团队通常由一名全职风险经理领导,他负责制定时间表和安排会议。团队审查内部和外部审计。他们还修改和建议政策,并帮助确定新的脆弱性领域。团队通常定期开会,但可以根据需要对新出现的风险做出反应。
在许多组织中,风险管理团队参与战略规划。他们分析新计划和现有计划的风险,并就新战略可能暴露的风险提出建议。
合规风险
当局制定了大多数法规和法律,以及自愿的行业标准,以强制执行道德行为。这些遵从性风险也被称为完整性风险。没有为这些风险做好计划的组织可能会因处罚、收入降低或声誉受损而蒙受业务损失。在某些情况下或更严重的情况下,违规还可能导致企业倒闭。
合规风险存在于整个组织中,甚至是那些核心业务功能之外的领域。这些领域包括工作场所的健康和安全、环境保护以及合乎道德的财务报告和做法。法规遵循风险管理设置用于强制期望行为的策略、过程、监视和报告,并在必要时证明组织处于法规遵循状态。
当监管机构发现滥用行为时,通常会制定风险和合规法规,比如本世纪初安然(Enron)和世通(WorldCom)倒闭后的情况。美国国会通过了萨班斯奥克斯利法案该法案旨在规范上市公司的会计实务,保护投资者和员工。这些规定加强道德行为,促进消除利益冲突的问责做法。对违反SOX法案的处罚是严厉的,包括对最高管理层的巨额罚款和监禁。
如何评估合规性和风险
所有的公司和组织都会面临不同程度的风险。由于没有两家公司面临相同的风险,他们必须进行评估以识别风险并对其严重性进行排序。在评估过程中,公司根据发生的可能性和潜在损害的程度对风险进行排序。该排名还允许组织制定适当的策略、监控和缓解程序。
与所有合规功能一样,风险评估是在公司识别新的危害并制定法规时进行的。当他们识别风险时,组织还应该评估风险带来的法律、财务、业务和声誉影响。
如何降低风险
为了降低风险,您必须首先识别它。这通常需要董事会管理层自上而下的承诺。领导层,以及风险管理团队,优先考虑风险管理所需的人员和工具。缓解措施首先针对行业规定的或自愿遵守的标准进行风险评估。风险管理团队有责任与合规管理沟通风险及其严重性。然后,法规遵循设置过程、监视并报告针对法规遵循目标的发现。
在他的文章中关系营销可以减轻产品和服务的失败ob欧宝娱乐app手机下载,佩斯大学市场营销学助理教授Randi Priluck讨论了“从事关系交换的消费者比那些从事离散交易的消费者更满意。”这表明,与客户建立高质量的关系,认真对待他们的反馈和投诉,可以帮助降低未来出现问题时的风险。
随着网络威胁、法律或行业实践的快速发展,新的风险经常发生。缓解风险是指通过对风险管理、缓解计划和灵活响应程序的承诺,始终领先于威胁。您将在下面找到降低风险的最佳实践:
优先考虑高风险领域。
创建并根据法规警报和更新采取行动。
对每种风险的商业、法律、财务和声誉影响进行排序。
执行法规,但在必要时保持灵活性。
获得自顶向下的合规管理承诺。
进行风险评估。
评估类似组织的风险和合规管理实践。
聘请外部合规顾问。
为所有员工提供合规培训。
定义法规遵循管理角色和职责。
快速解决不合规问题。
实施合规性报告和跟踪。
进行合规性审计。
就合规问题与所有利益相关者保持持续的沟通。
什么是合规(风险)管理框架?
许多组织,根据授权或行业最佳实践,转向遵从性和风险管理指导框架。框架是满足法律或自愿规定的过程的指导方针。例如,支付卡行业数据安全标准(PCI DSS)是一个用于保护金融信息的框架。这是一个自愿的指导方针,是任何接受信用卡支付的组织的普遍做法。
美国联邦能源管理委员会(FERC)要求北美能源管理委员会(NERC)执行并发布另一项指导方针。这个框架为那些购买、出售和传递权力的人提供了实践指导。
最后,另一个允许全球进入市场的框架是通过国际标准组织(ISO)找到的。它为全球质量管理中的遵从性提供了特定于行业的框架。今天,有一些框架适用于所有行业,包括各种自愿的、特定于行业的和与政府相关的法规。
合规管理的好处
合规管理与风险管理相结合,可以在风险成为现实之前识别公司或业务功能的潜在危险。通过建立法规遵循管理,您可以使您的组织能够处理法规遵循机制并主动报告。当你预测到伤害的严重性或可能性时,你就允许采取主动而不是被动的方法。
合规管理的好处包括:
在问题成为问题之前识别问题。
确定培训领域。
改善跨部门工作流程和流程的协作。
风险最小化。
降低成本。
提高和维护声誉。
改进决策和业务绩效。
为......准备合规审计.
预防和发现风险和违规行为。
与软件解决方案相结合的法规遵循管理实践还可以更好地报告、识别和缓解问题。
合规管理的挑战
维护遵从性会带来许多挑战:
法律法规以及内部政策可能会迅速变化。
合规系统需要人力、资源、培训和领导才能有效。欧宝体育app官方888
证明与成千上万的记录、文档、系统和流程的遵从性可能是困难且耗时的。
法规遵从性管理是一个永无止境的过程,随着法规变得越来越复杂,需要更多的人员和资源。欧宝体育app官方888
遵从性是昂贵的,但是正如许多组织所经历的那样,忽视法规和不遵从性的成本可能要大得多。
什么是合规管理系统(CMS)?
合规管理系统通常是自上而下的计划,由上层管理人员和董事会监督。它们由支持遵从性的文档、角色和职责、过程和工具组成。这些可能包括风险评估、政策制定、执行和纠正行动计划。该系统确保组织与所有人员进行沟通和适当的培训,监督合规活动,并提供报告。系统的审核活动提供了对持续改进目标的度量。
治理、风险管理和遵从性解决方案
许多风险管理和遵从性解决方案都是基于行业特定的法规遵从性需求。金融、医疗保健、生命科学和制造业等行业面临许多部门的合规性义务,并且都需要监控、缓解和报告。当今许多基于云的GRC解决方案在识别和报告漏洞和风险的同时满足了治理需求。这些解决方案支持集成,并提供信息,使团队了解情况并完成任务。
GRC软件解决方案解决了几个常见的合规性法规和框架:
多德-弗兰克(dodd - frank)
萨班斯-奥克斯利法案
示范审计规则
反海外腐败法
GDPR
COBIT
银行保密法
《金融服务现代化法案》法案
EPA法规
ISO
食品及药物管理局
HIPAA
除了支持行业法规之外,遵从性管理软件最重要的功能之一是能够将法律、特定于行业和行政法规和指导方针聚合到单个解决方案中。
在寻找合规性管理软件解决方案时,请考虑以下功能:
能够将法律、法规和管理标准和指导方针聚合到单个解决方案中
配置能力
敏捷建模
政策审批管理
监管审计管理
合规审查
合规和风险评估管理
制定路线图
电子学习、培训和发展管理
合规流程设计
问题管理,包括事件管理
报告和指标
风险分析
多语言
惯于使用手机
遵从性管理软件解决方案的好处
一旦实施,法规遵循管理解决方案为组织提供了许多好处,包括:
实时报告和更好的决策情报
涉众的透明信息共享(问题、评级和活动)
活动和工作流自动化
提高合规管理效率
能够促进智能和信息驱动的讨论
避免错误
风险最小化
什么是人力资源合规管理?
几十条法律适用于雇佣行为。人力资源部门通常负责满足并证明在带薪休假、再就业、健康福利、员工信息和财务披露方面的合规性。
什么是基于风险的合规?
当开发工具、策略和过程来定义适当的法规遵循活动时,基于风险的法规遵循根据严重性和可能性对风险进行排序。
什么是权限遵从性管理?
权威遵从性强调任务和工作要求。法规遵循人员被视为法规遵循的必要工具。
什么是法定合规管理?
法定合规管理为确保员工在最低工资、陪产假、酬金和社会保障等法定问题上获得道德待遇提供了法律基础和框架。
什么是法规遵从性管理?
法规遵从性管理提供遵循法规的指导方针、政策和活动,并证明适用法律和法规的遵从性。
什么是安全合规管理?
安全遵从性管理侧重于保护信息和数据免遭丢失、盗窃或破坏的流程、技术和过程。
什么是风险合规管理?
风险遵从性管理首先识别和评估风险,然后制定政策、程序和内部执行,以满足遵从性目标。
什么是资产管理合规?
资产管理合规由投资管理公司使用。它概述了保护投资者、财务稳定和投资公司声誉的政策和程序。
常见问题
你的行业需要连续性计划吗?
公司使用连续性计划来防止或从威胁中恢复,例如供应链中断、基础设施损坏或其他灾难。关键基础设施需要有适当的业务连续性计划。
IT部门是否考虑到遵从性需求?
IT部门是许多遵从性活动的关键组成部分,包括数据和敏感信息的保护。IT还支持非IT相关的软件或硬件解决方案,以监视、报告或减轻遵从性问题。
为什么选择遵从性管理?
合规的概念是确保组织以合法和负责任的方式行事。法规遵循管理将帮助组织避免昂贵的罚款、法律后果和不合规的声誉影响。
为什么合规管理对您的业务至关重要?
遵从性管理将帮助组织识别并避免违反法律、法规、标准和其他可能导致昂贵罚款、法律后果和声誉损害的行业规定。
您需要多少风险管理功能?
风险管理功能是特定于行业和组织的。这篇文章提供软件功能检查表,以帮助指导您的决策。
通过Smartsheet中的实时工作管理改善合规管理
通过设计一个灵活的平台来满足你的团队的需求,并随着需求的变化而适应,从而使你的员工能够超越自己。
Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并通过汇总报告、仪表板和自动工作流实时了解工作情况,以保持团队的联系和信息。
当团队对要完成的工作有了清晰的认识时,就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。
Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力使信息保持最新和正确,但我们对网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何形式的明示或暗示的陈述或保证。因此,您对此类信息的任何依赖均须严格由您自行承担风险。