法规遵从路线图（下）

步骤二：实施适当的控制

当一个经验丰富的法规遵从管理团队就位之后，企业就进入了记录并评估所有业务程序的阶段。在这个步骤中，许多企业会发现自己的一些过时的或者人工处理的流程已经无法适应现今的法规要求，例如企业在销售、财务以及其他部门之间缺乏职能分配等。因此，最初看来，对法规遵从过程进行适当的控制仿佛是个“不可完成的任务”。

面对这种情况，企业就必须采用各种标准和软件来确保对法规遵从过程实施适当的控制。通过利用一些主要的标准，执行人员可以启动并简化法规遵从中的处理程序。这些标准中包括：COBIT（信息及相关技术控制目标）、ITIL（最佳业务实践集）、ISO17799（BS7799）等。

在采用了面向控制的标准的基础上，企业还可以通过以法规遵从为中心的软件和IT服务，来帮助自己加强对法规遵从实施过程的控制。例如CA公司就利用自己的软件以及SAP AG的企业软件平台来实现这一点，其中，CA的全球电脑控制（GCC）标准使用BrightStor解决方案进行数据管理、保护及恢复，使用eTrust进行访问控制、审计和管理，使用eTrust CA-TopSecretSecurity来保证企业操作系统的安全。CA还通过收购软件公司来加强公司的法规遵从标准，例如2004年11月CA收购Netegrity来加强身份识别及访问管理，2005年8月又收购了Niku来增强IT治理方面的能力。而根据美国？《CIO Insight》杂志的调查，众多企业也计划购买更多的软件，来帮助自己实现对法规遵从的实施控制（见表四）。

表四

来源：CIO INSIGHT

步骤三：定期审计

随着一些法规遵从最终期限的临近，许多企业的CIO会有一种紧迫感，并将其与“千年虫”所带来的压力相提并论。但实际上，法规遵从与Y2K的情况有很大程度的不同。同千年虫问题解决之后便“一劳永逸”相比，法规遵从的执行过程中需要持续的强制执行和重复的审计。拥有7万多名会员的管理会计师公会（Institute of Management Accountants）的董事会主席Larry White表示：“大多数企业正在等待，以观察审计师的意见如何符合事实，以及市场如何对不够清晰的内部控制意见做出反应。企业正在逐步意识到，法规遵从并非一次性事件，随后会消失殆尽。维持法规遵从行为需要高额费用，企业将不得不开始寻找更加有效处理这一持久性问题的方法。”

以哈佛医学院为例。他们曾认为自己在安全政策方面已经完成了所有必要的控制，但是六个月之后，新的攻击和恶意软件迫使他们更改策略，重新确立标准，以了解人们是否在使用P2P软件及其他可能违法策略的应用软件。

与哈佛医学院采用先发制人的方法来实现法规遵从相比，更多的企业是在法规遵从问题出现时才加以处理。在法规遵从方面有一种现象很普遍，就是企业到了火烧眉毛时才作出反应，而不是建立有效的、持续的处理流程。特别是涉及到萨班斯（Sarbane-Oxley）法案时，企业往往会将审计的逻辑用于控制，但这种逻辑并不能做到持续的流程控制。因此，更加需要企业在以后的时间中定期的对法规遵从的状况加以评估。

另外，旧的应用系统的代码变更如果没有被书面记录，也有可能破坏法规遵从的效果。在IT领域，许多能力强的程序员和员工往往会通过捷径来完成旧有系统的改造，尽管他们并不是故意，但他们使用的捷径很可能在不经意间突破法规遵从的限制。因此，定期的进行审计和评估，是企业法规遵从过程中必不可少的环节。

表五

来源：CIO INSIGHT

步骤四：定期的培训与沟通

脱离了适当的沟通和用户培训，以法规遵从为中心的业务控制会变得毫无价值。就各方的观点进行沟通以及适当的培训是企业在法规遵从方面需要重视的两大问题。而许多企业欠缺的就是高层管理人员对于系统、技术、员工培训的适当态度和充分投资以及如何适当的使用这些工具。

做为成功的法规遵从中最关键的部分之一，培训和文化再定位显得十分重要。企业需要确保员工认真的对待法规遵从的相关事宜。但是许多企业往往忽略了这一点，致使仅仅寻求技术解决方案，而忘记应该让员工了解法规遵从的重要性。

为了实现良好的培训与沟通，企业可以定期召开所有相关人员均出席的会议，对当前的处理流程事宜加以审查，同时还就手头可能适合需求的技术解决方案加以讨论。另外，企业还可以在人力资源手册、企业内网和每月电子版的时事通讯等资料中，为员工增加以法规遵从为中心的相关内容。

步骤五：听取批评

听取批评，积极改进，这是任何事情取得成功所不可获缺的。如果企业在法规遵从方面遇到问题，同样需要顺畅的意见采纳渠道。对于企业员工来说，需要有一个沟通窗口，已提出自己所担心的问题，同时又不必担忧会受到惩罚。这其中可以包括匿名建议热线或匿名电子邮件帐户，以便员工表达其观点。除了确保这些沟通渠道顺畅之外，企业还需要让所有员工了解这些渠道，才能保证其利用的效率。

举个例子。德克萨斯大学保健科学中心设有免费电话，以供员工匿名报告可能违反联邦或德州法律或学院政策的行为。如果员工对自己在特定条件下的行为不够确定，也可以通过监察热线提问来获得答案。所有此类的信息被转达至德克萨斯大学保健科学中心法律事务及法规遵从监察办公室加以调查。电话不会被跟踪或记录，中心也不具备调查致电者身份的能力。但是匿名致电者会获得一个案例编号，他们可根据该编号再次致电监察热线，了解其案例的最新进展。致电热线的员工也会受到联邦、州法律和学院政策的保护以免受报复和惩罚。

同样，CA公司也有道德规范监察热线。在公司的审计委员会开会期间，首席监察官Gnazzo会与委员会成员一起审查所有电话的情况，以确保所有电话均得到合适的调查。

表六

来源：CIO INSIGHT

步骤六：迅速、适当地采取行动

当法规遵从方面出现问题后，企业必须立即进行审计，并采取经过授权的惩戒或纠正行动。在面临实际的控诉或投诉之前，企业应该考虑好如何开展法规遵从方面的调查。

在这其中，首先要考虑的问题就是选择开展内部调查（如果是，由谁来实施）还是动用外部调查人员，后者可能会增加调查的独立性和可信性。最好就调查范围和结果与公司的审计人员进行交流，从而更加容易地对律师——委托人特权方面的相关事宜予以管理。

接下来企业需要重点考虑的是，如何确保调查人员可以迅速获得所有相关文件，这意味着所有业务必须拥有有效的数据存储和保留系统，以符合现在的规章制度以及未来可能面临的要求。

以上六个步骤是企业在实现法规遵从时需要加以重视的问题，根据各自的不同特点，企业在具体执行过程中需要有针对性地加以侧重和增补。随着社会与经济发展，与法规遵从相关的规章制度的数量和严重性将只增不减，企业对法规遵从的执行能力也会更加重视。在加强了人员、技术、工具和执行过程的了解后，企业的法规遵从之路将变得更加顺利，结果也会更为有效。