什么是企业合规?

业务遵从性的类型:内部和外部企业遵从性

外部合规性包括政府规定的组织应如何开展业务的法律和法规。例如，根据《通用数据保护条例》(GDPR)，如果一家公司从欧盟丢失了客户的个人信息，他们需要在72小时内披露这一违规行为。

内部合规是指公司如何遵守这些法律。那些负责合规的人——通常是一名合规官，如果公司规模较大，则会有多个——将设计合规程序。然后，员工们遵循这些内部政策。

谁该对此负责呢?

组织中合规官员的数量取决于其规模和需求．一个企业合规官是一名员工，其职责是确保公司符合外部法规和法律要求以及内部政策和程序。一般来说，合规部门由首席合规官领导。

合规官与管理层和员工一起确定风险，并确保组织有足够的内部控制来管理它所面临的任何类型的合规风险。一旦发生违规行为，合规官应制定纪律措施，以避免任何可能的再次发生。

职责可能包括修订和制定外部通信标准(例如，电子邮件可能需要免责声明或设施可能需要检查以满足安全要求)。他们可以领导内部审计，设计内部政策以减轻公司违反法规的风险，并在违反法规的情况下设计应急计划。

为了有效地履行这些职责，合规官必须对公司及其业务有详细的了解，并了解可能发生的监管违规行为。关键的道德原则必须有效地沟通，法规的变化和更新必须在整个组织内定期传达——特别是这些政策和法规的变化是持续的。

除了企业合规官之外?

除了合规官之外，高管、董事会成员和管理层都有责任——在较小程度上，所有员工都有责任。了解合规在公司中如何运作的完整整体图景有助于避免混乱。

董事会发挥着很大的作用，因为他们的个人声誉以及他们所监管的其他公司的声誉也可能会因糟糕的合规而受到影响。
领导层应该清楚地传达所有关于合规的期望和公司价值观。

透明度和培训在这里发挥了作用——从培训到举行市政厅，绩效标准、目标和评估标准对所有员工来说都是显而易见的。基于这些，结果和奖励可以构建到框架中。

除了内部利益相关者，还必须清楚地了解合规性外部力量比如监管机构、股东、媒体和商业伙伴。透明度可以让这些群体建立对组织的信任——尤其是在公司的道德基础方面。了解这些道德规范是如何被灌输和执行的，可以让许多外部团体成为你公司的支持者。

不同的文化、国家甚至州可能对遵从性有不同的想法。在美国，各州有不同的规定和指导方针，甚至城市和县可能会在此基础上增加自己的要求。

影响企业遵从性的法规有哪些?

随着要求的不同，有各种类型的合规性审计，但这里有一些更常见的法规。

CCPA

的加州消费者隐私法自2020年1月1日起生效。它旨在保护消费者权益，并在涉及个人信息时加强透明度和隐私保护。根据这项法案，加州人有权知道哪些个人数据被收集，是否被共享，与谁共享，并可以选择不出售他们的数据。

了解更多CCPA合规信息→

GDPR

欧盟的一般保障资料规例该法案将于2018年5月生效，保护欧盟公民的数据隐私。然而，这一合规规定适用于任何处理欧洲公民数据的公司，即使他们位于其他地方。

了解更多关于GDPR合规→

萨班斯-奥克斯利法案

美国政府于2002年通过了这项联邦法律，为上市公司建立审计和财务法规。该立法旨在保护股东、员工和公众免受不准确的财务报告和会计错误的影响。虽然它主要监管上市公司，但一些条款也适用于私人和非营利组织。

了解更多关于SOX遵从性→

SOC 2

由美国注册会计师协会定义的合规审计，适用于任何在云中持有或处理客户数据的公司。(如SaaS公司)有两种类型:SOC 2类型I是在单个时间点进行的，而SOC 2类型II一般是在一段时间内进行的，第一次是6个月，之后是一年。

了解法规遵从义务，如SOC 2→

ISO 27001

作为ISO或IEC 27K系列的一部分，这是一个帮助公司管理数据资产安全性的信息安全合规标准。这可能包括员工或第三方数据、财务信息和知识产权。

探索我们的数据隐私解决方案→

特定于行业的合规

有一些行业特定的法规，包括:

HIPAA

HIPAA也被称为健康保险可携带性和责任法案，于1996年由美国卫生与公众服务部为医疗保健行业通过。它保护病人的健康信息。

美国金融业监管局

FINRA也被称为金融业监管局，是一个独立的非政府组织，为金融业制定和执行法规。它们旨在保护投资者免受欺诈，适用于美国政府注册的经纪商和经纪自营商公司。

企业合规风险管理的最佳实践

采取什么正确的步骤来确保企业合规，以及可用的一些技术解决方案?