展现合规

由于存在数以千计的行业标准、内部策略和不断变化的监管要求,所以在不断变化的合规环境中优化审计范围是一项艰巨的任务。组织必须采用必要的流程和技术来适当地识别、合理化、优先处理和降低合规风险。在本文中,我们讨论如何使用项目、框架和合规地图应用程序展现合规计划保障。

本文阐述了如何证明符合 COBIT® 5 框架。但是,也可以应用相同的工作流来证明符合以下要求:

  • 适用于金融机构的规范,例如《诚实贷款法》(Truth-in Lending)、《反洗钱法》(Anti-Money Laundering)或《存款保险法》(Depository Insurance)
  • 其他 IT 安全框架,例如 ISO 或 NIST
  • 数据隐私规范,例如欧盟《一般数据保护条例》(GDPR)、《金融服务法现代化法案》(GLBA)、《健康保险隐私及责任法案》(HIPAA)和《家庭教育权利和隐私权法》(FERPA)
  • 适用于政府或高等教育的规范,例如《统一拨款指导》(Uniform Grant Guidance)、《单一审计法》(Single Audit)或《高等教育法》第四章(Title IV)

展现合规意味着什么?

展现合规意味着组织致力于遵守适用于其的规范和标准开展业务。

展现合规不仅须表明已满足合规要求,还须说明如何满足要求以及为实现持续合规而制定的结构化程序。

我在哪里展现合规?

在 Diligent,我们使用项目、框架和合规地图应用程序向评估员和其他有兴趣的第三方证明存在强有力的控制环境。我们的合规计划可以防止我们的组织被卷入监管执法诉讼或发生数据泄露。它还可让我们与需要遵守各种规范和标准的业务利益相关者合作。

全盘视角

  • 合规地图是合规团队通过将要求映射到框架中包含的现有组织控制来执行初始合规差距和风险评估的地方。
  • 框架与合规地图结合使用,以集中捕获要求和控制之间的控制关系,管理不断变化的法规和业务环境中的控制变更,以及构建单个项目。
  • 项目应用程序用于测试控制的设计和运营有效性以及捕获问题。如果需要,也可以将更改从项目同步回框架。

将要求映射到框架控制时,多个项目的测试结果和问题会自动汇总到合规地图,从而可以实时跟踪和报告合规状态。

步骤

准备好进行了解了吗?

让我们在情境中仔细了解上述功能。

1. 设置计划

构建合规计划的第一步是设置项目和框架。您可以创建框架来管理一组结构化的信息,并使用框架来构建多个项目。还可以根据组织的标准自定义项目中的术语和标签,如果要将这些更改应用至其他项目,可以将更改从项目同步回框架。

设置项目和框架

框架有助于减少设置项目所涉及的手工操作,并可用于集中管理不断变化的监管和业务环境中的信息。

配置项目术语

术语在不同类型的项目之间以及执行相同类型项目的组织之间可能存在很大差异。组织可以配置不同的项目类型,以便每个团队使用的术语反映在相关项目中。

2. 确定权威文件

设置项目和框架后,下一步是确定适用于您的组织的权威文件,并将上述文件包含在合规地图中。

权威文件的形式如下:监管机构(例如,政府)公布的规范、专业实践机构或行业协会出台的专业标准或高级管理层制定的内部政策或程序。

提示

某些标准和规范可作为您的常规订阅计划的一部分提供。订阅内容和情报库提供的内容套件,可获得额外的标准和规范。内容和情报库是可用于 Diligent 产品的行业特定内容的中央存储库。

3. 解释和合理化要求

在将相关内容导入合规地图后,您可以执行合规风险评估,并开始解释和合理化要求的过程。您完全控制内部合规流程,包括您想要落实的范围,以及您想要达到的合规覆盖范围级别。

执行合规风险评估

实施高质量合规计划的组织可以系统地识别和评估风险。合规风险评估提供了评估标准或规范适用性的手段,优先考虑应首先管理的标准或规范,并告知哪些要求可能适用于组织。

确定所涵盖的适用要求

完成合规风险评估后,您可以开始识别所涵盖的适用要求的流程。

您可以使用两种主要方法来解释和合理化要求:

  • 按照要求处理一切内容并相应实施,虽然减少了不合规风险,但却增加了实施和管理合规性的负担
  • 通过应用专业判断来解释要求并使组织的最佳覆盖合理化,虽然减少了合规负担,但可能会增加组织的不合规风险

提示

良好的合规战略试图使所需流程合理化并控制变化,以便通过尽可能多地利用现有流程来将合规覆盖范围最大化。

4. 执行证明项目

您可以使用框架作为信息的集中存储库,执行认证项目以进行运营风险评估,与控制所有者一起集中跟踪所有目标的合规性能并捕获问题。执行证明项目可以让您评估组织在管理合规风险和要求方面的表现。

执行运营风险评估

执行运营风险评估是个涉及确定组织面临多少风险的过程。您可以开发一组通用的评估标准,可以在营运部门、实体或业务单位之间使用,并根据定义的评分框架评估运营风险。

提示

为避免手动评估运营风险,您可以使用评估推动器自动执行不同的风险评估。您可以将在结果应用程序中创建的度量链接到项目应用程序中的风险评估,以便通知评估,并根据预定义的度量范围自动填充固有风险评分。

记录和评估控制

控制所有者可以帮助记录控制的存在情况,通过证明和/或附加证据来评估其有效性,制定行动计划以实施缺失的控制并解决不合规的问题,或解释为什么不需要控制。

提示

组织中的一线员工可以使用任务控制应用程序来管理其在项目应用程序外部有权访问的控制。任务控制是个应用程序,它以简化而集中的视图呈现来自项目应用程序的控制信息。

捕获问题和操作

您可以在整个合规审查过程中捕获和分配要补救的已标记问题,并将问题委托给控制所有者或问题所有者,以更新状态和相关行动计划。您还可以将操作分配给利益相关者,以便跟踪、捕获证据和解决问题。

5. 报告合规情况

最后,合规是运行管理良好和控制良好的计划的结果。合规地图使所有三道防线能够快速深入了解每个部门正在开展的工作,并实时查看汇总信息。

为了说明合规进度,您可以使用单一的总体度量(覆盖范围)评估您的合规保障。此度量使管理层能够即时了解组织遵守规范、业务流程或实体的程度。您也可以随时生成沟通各种控制区域的状态以及作为整体的程序进展的实时报告。

后续步骤

了解如何实施和自动化合规计划

结果应用程序可让评估员通过数据分析捕获意外事件,定义触发工作流以管理意外事件,进行根源分析和补救活动,并在准备好报告后关闭案例。

更多详情请参阅实施合规计划