事实表明,与IT系统和数据相关的法规日益增多。IT领导者必须尽自己的一份力量,避免可能因违规而导致巨额罚款的常见错误。
合规性是几乎每家公司面临的严峻事实——尤其是在医疗保健、金融服务和政府等高度监管的行业。虽然合规性通常受到法律、合规、风险管理或其他部门的监管,但IT部门肯定会参与企业的合规性工作。
企业的CIO和其他技术主管必须了解所有涉及数据、隐私、安全和其他技术要素的法规。他们可以发挥关键作用,确保他们所在的公司不会因为违规而受到巨额罚款的打击。
多年来,美国医疗保健和相关行业的IT高管不得不应对《健康保险流通与责任法案》(HIPAA)的影响,例如,该法案规定了电子医疗保健信息的安全性和隐私性。但是监管环境变得越来越复杂,尤其是出现了许多涉及数据隐私的新规则,其中包括欧盟的通用数据保护条例(GDPR)和加州消费者隐私法案(CCPA)。
全球数十个国家和美国各州也制定了类似的法规来保护个人数据。研究机构Gartner公司预测,到2023年底,现代隐私法规将涵盖全球75%人口的个人信息。
与IT系统、网络、设备和数据相关的合规性是当今企业面临的现实,使其成为CIO关注的重要领域。关键是在不影响业务运营的情况下开展合规性工作。因此,企业需要避免以下一些错误:
1.将审计师视为对手
米德尔菲尔德银行CIO Gary Kern表示,有时IT高管很难不采取防御姿态。当审计人员和审查人员质疑其IT计划及其对合规性的影响时,就会发生这种情况。他说,“当有人对IT高管深思熟虑的策略挑出错误时,就会知道他们要对某些事情发表评论。”
然而,为这种事情制造摩擦无助于解决问题。Kern说:“最好是进行面对面的讨论,讨论他们的观点,并思考如何让运营的环境变得更好。希望是每个人都在为同一件事努力,包括制定合规法律规则的人,那就是确保不会发生错误,使运营环境更好,过程更透明。”
Kern以他的亲身经历来检验这种策略。他说,“我并不认同一些初步调查结果,因此我与首席IT审查员进行了深入讨论,以了解得到不利评论的原因,并尝试采用非防御性的方式进行解释。我们为此达成了共识,双方都认为这是公平的,然后继续进行。”
大约六个月后,与其进行讨论的首席IT审查员邀请Kern参加审查员年度全国培训会议。他说,“事实证明,这对我来说是一次很棒的经历,它为我提供了对整个过程的更好见解。”
咨询机构Protiviti公司技术咨询业务总经理Samir Datt表示,监管机构通常会从内部审计(IA)报告中获取他们的意见。他说,“如果CIO与IA流程合作并接受该流程,而不是逃避,他们就有机会在监管审查之前主动解决监管合规问题。”
2.以错误的方式处理异常
大多数规则都有例外,这适用于管理IT不同方面的法规。
Kern说,“很少有事情在100%的情况下都是正确的答案,尤其是在需要权衡业务、安全和客户影响的情况下。因此,最好建立一个异常管理流程。”
这个流程包括记录正在做的事情以及为什么它可能与现有合规规则冲突;正在采取哪些额外步骤来实现合规目标;是否永久性地绕过规则,或者是否将定期进行审查;以及哪些高级非IT利益相关者签署了例外的条款。
Kern说,“当然,有些规则根本无法绕过。但是,在需要作出业务决策以‘接受风险’的情况下,一定要充分解释这一点。合规性的意图如何以其他方式处理,或在每种情况下可能没有意义的理由,都应该记录下来。”
3.没有让团队做好准备
与大多数IT团队面临的问题一样,缺乏必要的技能、经验和知识可能会导致合规性问题。
HPE公司CIO Rashmi Kumar说,“强大的合规战略始于其团队。”他说,CIO必须建立一个合规团队,使用持续改进的方法来应对与IT相关的法规要求变化。
Kumar表示,“HPE公司的全球IT合规团队依赖于持续改进计划,在该计划中,我们不断确定合规计划在报告、参与和控制管理方面所需的更改。利用我们的合规性方法,我们能够将证据交付时间缩短五天。”
Kumar表示,合规工作需要跨职能。他说:“我们将合规性纳入每个人的目标,让每个人都负起责任。这确保得到他们的支持和参与,最终促进合规性文化的发展。”
4.允许合规性决定安全性
医疗保健支付服务商Zelis公司首席信息安全官Russel Prouix表示,虽然IT和网络安全领导者需要及时了解合规性问题,尤其是监管要求,但其目标应该始终是一个健全的安全计划,以适当地支持企业的业务、目标和运营的垂直行业。如果这样做,那么合规性就会成为一种结果,而不仅仅是目标。
Prouix说,基本的安全措施通常管理不善,导致合规性成为障碍。这包括适当的修补和漏洞管理、用户帐户安全(或在员工离开企业时及时删除帐户)、使用双因素身份验证进行远程访问,以及对移动设备进行适当的安全和移动设备管理。
Prouix说,“适当的安全需要自上而下的方法。在尝试实施任何网络安全计划(包括支持合规性的计划)之前,必须获得董事会、首席执行官和行政领导层的支持才能定下基调。然后IT和安全需要与企业合作以确保数据受到保护,同时使数据能够流动,从而使企业蓬勃发展并保持竞争力。”
5.没有采用关键技术工具
虽然法律和合规团队可能负责采购满足合规性需求的技术,但IT领导者当然可以参与帮助选择和部署最合适的解决方案。
Gartner公司于2021年9月确定了合规性领导者应将其技术投资重点放在三个领域。第一个领域是基础记录系统。该公司表示,对这些合规性系统的投资可以减少报告和构建数据集所需的临时数据捕获,从而释放数据分析和人工智能(AI)在合规方面的潜力。
第二个领域是数字化的工作流程。Gartner公司表示,法律和合规团队面临的管理工作比以往任何时候都多,通过技术实现最大流量工作流的数字化是可行的,可以显著改善工作流。
第三个领域是风险的数字化管理。Gartner公司表示,监管波动、数字业务转型、不断增加的网络安全风险,以及从受监控的风险和安全活动中获取的大量信息,正在限制企业通过传统模拟方式有效管理风险的能力。合规负责人应该寻找机会简化风险管理和合规相关活动,并通过与运营级数据源的系统集成来提高他们对风险的理解。
Gartner公司法律和合规实践咨询总监Zack Hutto指出,传统的合规团队对技术的采用落后于许多其他公司职能部门。他说,这些团队应该首先建立基础记录系统,然后投资工具以促进关键工作流程,然后再探索更复杂的机会,例如数字化风险管理。
6.不了解监管意图
在某些情况下,企业对监管问题的理解可能与监管意图不完全一致,这可能会导致混淆。这适用于与IT相关的问题,例如数据隐私。
Datt说,“我们经常看到一些企业在没有真正理解监管机构要求的情况下回复,监管机构通常会提供观察/或需要注意的事项。
Datt表示,企业应该真正理解指示的内容,而不是过分关注需要注意的事项。他说,“与监管者进行良好的合作对话有助于理解监管机构的监管内容。”
7.缺乏结构化治理
Datt表示,虽然企业可能有实质性的流程和控制措施,但它们往往缺乏一个结构化的治理和风险框架以确认风险覆盖范围,并使其流程和控制措施与监管要求保持一致。
他说:“缺乏结构化和文档化的流程可能导致企业架构/控制的非理性化,在响应监管或其他利益相关者查询时出现混乱或潜在的风险盲点。”
Datt指出,CIO和其他技术领导者应该构建一个整体治理架构,该架构将信息安全、企业架构、应用程序和基础架构团队结合在一起,并通过设计将合规性融入技术交付中。
