事實表明，與IT系統(tǒng)和數(shù)據(jù)相關(guān)的法規(guī)日益增多。IT領(lǐng)導(dǎo)者必須盡自己的一份力量，避免可能因違規(guī)而導(dǎo)致巨額罰款的常見錯誤。

[[440130]]

合規(guī)性是幾乎每家公司面臨的嚴(yán)峻事實——尤其是在醫(yī)療保健、金融服務(wù)和政府等高度監(jiān)管的行業(yè)。雖然合規(guī)性通常受到法律、合規(guī)、風(fēng)險管理或其他部門的監(jiān)管，但I(xiàn)T部門肯定會參與企業(yè)的合規(guī)性工作。

企業(yè)的CIO和其他技術(shù)主管必須了解所有涉及數(shù)據(jù)、隱私、安全和其他技術(shù)要素的法規(guī)。他們可以發(fā)揮關(guān)鍵作用，確保他們所在的公司不會因為違規(guī)而受到巨額罰款的打擊。

多年來，美國醫(yī)療保健和相關(guān)行業(yè)的IT高管不得不應(yīng)對《健康保險流通與責(zé)任法案》(HIPAA)的影響，例如，該法案規(guī)定了電子醫(yī)療保健信息的安全性和隱私性。但是監(jiān)管環(huán)境變得越來越復(fù)雜，尤其是出現(xiàn)了許多涉及數(shù)據(jù)隱私的新規(guī)則，其中包括歐盟的通用數(shù)據(jù)保護(hù)條例(GDPR)和加州消費者隱私法案(CCPA)。

全球數(shù)十個國家和美國各州也制定了類似的法規(guī)來保護(hù)個人數(shù)據(jù)。研究機(jī)構(gòu)Gartner公司預(yù)測，到2023年底，現(xiàn)代隱私法規(guī)將涵蓋全球75%人口的個人信息。

與IT系統(tǒng)、網(wǎng)絡(luò)、設(shè)備和數(shù)據(jù)相關(guān)的合規(guī)性是當(dāng)今企業(yè)面臨的現(xiàn)實，使其成為CIO關(guān)注的重要領(lǐng)域。關(guān)鍵是在不影響業(yè)務(wù)運營的情況下開展合規(guī)性工作。因此，企業(yè)需要避免以下一些錯誤：

1.將審計師視為對手

米德爾菲爾德銀行CIO Gary Kern表示，有時IT高管很難不采取防御姿態(tài)。當(dāng)審計人員和審查人員質(zhì)疑其IT計劃及其對合規(guī)性的影響時，就會發(fā)生這種情況。他說，“當(dāng)有人對IT高管深思熟慮的策略挑出錯誤時，就會知道他們要對某些事情發(fā)表評論。”

然而，為這種事情制造摩擦無助于解決問題。Kern說：“最好是進(jìn)行面對面的討論，討論他們的觀點，并思考如何讓運營的環(huán)境變得更好。希望是每個人都在為同一件事努力，包括制定合規(guī)法律規(guī)則的人，那就是確保不會發(fā)生錯誤，使運營環(huán)境更好，過程更透明。”

Kern以他的親身經(jīng)歷來檢驗這種策略。他說，“我并不認(rèn)同一些初步調(diào)查結(jié)果，因此我與首席IT審查員進(jìn)行了深入討論，以了解得到不利評論的原因，并嘗試采用非防御性的方式進(jìn)行解釋。我們?yōu)榇诉_(dá)成了共識，雙方都認(rèn)為這是公平的，然后繼續(xù)進(jìn)行。”

大約六個月后，與其進(jìn)行討論的首席IT審查員邀請Kern參加審查員年度全國培訓(xùn)會議。他說，“事實證明，這對我來說是一次很棒的經(jīng)歷，它為我提供了對整個過程的更好見解。”

咨詢機(jī)構(gòu)Protiviti公司技術(shù)咨詢業(yè)務(wù)總經(jīng)理Samir Datt表示，監(jiān)管機(jī)構(gòu)通常會從內(nèi)部審計(IA)報告中獲取他們的意見。他說，“如果CIO與IA流程合作并接受該流程，而不是逃避，他們就有機(jī)會在監(jiān)管審查之前主動解決監(jiān)管合規(guī)問題。”

2.以錯誤的方式處理異常

大多數(shù)規(guī)則都有例外，這適用于管理IT不同方面的法規(guī)。

Kern說，“很少有事情在100%的情況下都是正確的答案，尤其是在需要權(quán)衡業(yè)務(wù)、安全和客戶影響的情況下。因此，最好建立一個異常管理流程。”

這個流程包括記錄正在做的事情以及為什么它可能與現(xiàn)有合規(guī)規(guī)則沖突;正在采取哪些額外步驟來實現(xiàn)合規(guī)目標(biāo);是否永久性地繞過規(guī)則，或者是否將定期進(jìn)行審查;以及哪些高級非IT利益相關(guān)者簽署了例外的條款。

Kern說，“當(dāng)然，有些規(guī)則根本無法繞過。但是，在需要作出業(yè)務(wù)決策以‘接受風(fēng)險’的情況下，一定要充分解釋這一點。合規(guī)性的意圖如何以其他方式處理，或在每種情況下可能沒有意義的理由，都應(yīng)該記錄下來。”

3.沒有讓團(tuán)隊做好準(zhǔn)備

與大多數(shù)IT團(tuán)隊面臨的問題一樣，缺乏必要的技能、經(jīng)驗和知識可能會導(dǎo)致合規(guī)性問題。

HPE公司CIO Rashmi Kumar說，“強(qiáng)大的合規(guī)戰(zhàn)略始于其團(tuán)隊。”他說，CIO必須建立一個合規(guī)團(tuán)隊，使用持續(xù)改進(jìn)的方法來應(yīng)對與IT相關(guān)的法規(guī)要求變化。

Kumar表示，“HPE公司的全球IT合規(guī)團(tuán)隊依賴于持續(xù)改進(jìn)計劃，在該計劃中，我們不斷確定合規(guī)計劃在報告、參與和控制管理方面所需的更改。利用我們的合規(guī)性方法，我們能夠?qū)⒆C據(jù)交付時間縮短五天。”

Kumar表示，合規(guī)工作需要跨職能。他說：“我們將合規(guī)性納入每個人的目標(biāo)，讓每個人都負(fù)起責(zé)任。這確保得到他們的支持和參與，最終促進(jìn)合規(guī)性文化的發(fā)展。”

4.允許合規(guī)性決定安全性

醫(yī)療保健支付服務(wù)商Zelis公司首席信息安全官Russel Prouix表示，雖然IT和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要及時了解合規(guī)性問題，尤其是監(jiān)管要求，但其目標(biāo)應(yīng)該始終是一個健全的安全計劃，以適當(dāng)?shù)刂С制髽I(yè)的業(yè)務(wù)、目標(biāo)和運營的垂直行業(yè)。如果這樣做，那么合規(guī)性就會成為一種結(jié)果，而不僅僅是目標(biāo)。

Prouix說，基本的安全措施通常管理不善，導(dǎo)致合規(guī)性成為障礙。這包括適當(dāng)?shù)男扪a和漏洞管理、用戶帳戶安全(或在員工離開企業(yè)時及時刪除帳戶)、使用雙因素身份驗證進(jìn)行遠(yuǎn)程訪問，以及對移動設(shè)備進(jìn)行適當(dāng)?shù)陌踩鸵苿釉O(shè)備管理。

Prouix說，“適當(dāng)?shù)陌踩枰陨隙碌姆椒?。在嘗試實施任何網(wǎng)絡(luò)安全計劃(包括支持合規(guī)性的計劃)之前，必須獲得董事會、首席執(zhí)行官和行政領(lǐng)導(dǎo)層的支持才能定下基調(diào)。然后IT和安全需要與企業(yè)合作以確保數(shù)據(jù)受到保護(hù)，同時使數(shù)據(jù)能夠流動，從而使企業(yè)蓬勃發(fā)展并保持競爭力。”

5.沒有采用關(guān)鍵技術(shù)工具

雖然法律和合規(guī)團(tuán)隊可能負(fù)責(zé)采購滿足合規(guī)性需求的技術(shù)，但I(xiàn)T領(lǐng)導(dǎo)者當(dāng)然可以參與幫助選擇和部署最合適的解決方案。

Gartner公司于2021年9月確定了合規(guī)性領(lǐng)導(dǎo)者應(yīng)將其技術(shù)投資重點放在三個領(lǐng)域。第一個領(lǐng)域是基礎(chǔ)記錄系統(tǒng)。該公司表示，對這些合規(guī)性系統(tǒng)的投資可以減少報告和構(gòu)建數(shù)據(jù)集所需的臨時數(shù)據(jù)捕獲，從而釋放數(shù)據(jù)分析和人工智能(AI)在合規(guī)方面的潛力。

第二個領(lǐng)域是數(shù)字化的工作流程。Gartner公司表示，法律和合規(guī)團(tuán)隊面臨的管理工​​作比以往任何時候都多，通過技術(shù)實現(xiàn)最大流量工作流的數(shù)字化是可行的，可以顯著改善工作流。

第三個領(lǐng)域是風(fēng)險的數(shù)字化管理。Gartner公司表示，監(jiān)管波動、數(shù)字業(yè)務(wù)轉(zhuǎn)型、不斷增加的網(wǎng)絡(luò)安全風(fēng)險，以及從受監(jiān)控的風(fēng)險和安全活動中獲取的大量信息，正在限制企業(yè)通過傳統(tǒng)模擬方式有效管理風(fēng)險的能力。合規(guī)負(fù)責(zé)人應(yīng)該尋找機(jī)會簡化風(fēng)險管理和合規(guī)相關(guān)活動，并通過與運營級數(shù)據(jù)源的系統(tǒng)集成來提高他們對風(fēng)險的理解。

Gartner公司法律和合規(guī)實踐咨詢總監(jiān)Zack Hutto指出，傳統(tǒng)的合規(guī)團(tuán)隊對技術(shù)的采用落后于許多其他公司職能部門。他說，這些團(tuán)隊?wèi)?yīng)該首先建立基礎(chǔ)記錄系統(tǒng)，然后投資工具以促進(jìn)關(guān)鍵工作流程，然后再探索更復(fù)雜的機(jī)會，例如數(shù)字化風(fēng)險管理。

6.不了解監(jiān)管意圖

在某些情況下，企業(yè)對監(jiān)管問題的理解可能與監(jiān)管意圖不完全一致，這可能會導(dǎo)致混淆。這適用于與IT相關(guān)的問題，例如數(shù)據(jù)隱私。

Datt說，“我們經(jīng)?？吹揭恍┢髽I(yè)在沒有真正理解監(jiān)管機(jī)構(gòu)要求的情況下回復(fù)，監(jiān)管機(jī)構(gòu)通常會提供觀察/或需要注意的事項。

Datt表示，企業(yè)應(yīng)該真正理解指示的內(nèi)容，而不是過分關(guān)注需要注意的事項。他說，“與監(jiān)管者進(jìn)行良好的合作對話有助于理解監(jiān)管機(jī)構(gòu)的監(jiān)管內(nèi)容。”

7.缺乏結(jié)構(gòu)化治理

Datt表示，雖然企業(yè)可能有實質(zhì)性的流程和控制措施，但它們往往缺乏一個結(jié)構(gòu)化的治理和風(fēng)險框架以確認(rèn)風(fēng)險覆蓋范圍，并使其流程和控制措施與監(jiān)管要求保持一致。

他說：“缺乏結(jié)構(gòu)化和文檔化的流程可能導(dǎo)致企業(yè)架構(gòu)/控制的非理性化，在響應(yīng)監(jiān)管或其他利益相關(guān)者查詢時出現(xiàn)混亂或潛在的風(fēng)險盲點。”

Datt指出，CIO和其他技術(shù)領(lǐng)導(dǎo)者應(yīng)該構(gòu)建一個整體治理架構(gòu)，該架構(gòu)將信息安全、企業(yè)架構(gòu)、應(yīng)用程序和基礎(chǔ)架構(gòu)團(tuán)隊結(jié)合在一起，并通過設(shè)計將合規(guī)性融入技術(shù)交付中。