下载本文的PDF版本 PDF

按规则行事

合规性的复杂世界

Charlene O’Hanlon,

我童年时期最美好的回忆之一是和我的妹妹一起玩游戏——既有像大富翁或跳房子这样的结构化游戏,也有像警察与强盗或轮滑德比女郎这样充满想象力的游戏(别问了)。 无论游戏是否有既定的规则,我们的玩耍常常会演变成我称之为卡尔文球的游戏,这个词语来源于漫画卡尔文与霍布斯,指的是在游戏过程中随意制定规则的行为。

我们的卡尔文球游戏有一些明显的优势:在游戏中途改变规则更有趣。 没有人会感到无聊。 它使我们能够将思维扩展到常规游戏的参数之外。 而且——可能也是最好的优势——在卡尔文球游戏中,每个人都是赢家。 当然,偶尔也会有人喊“嘿,这不公平!”,但如果玩家超过两个人,那个人很快就会寡不敌众。

不幸的是(至少对我而言),生活并非如此。 卡尔文球在企业环境中永远行不通。 结果是基于期望的,而期望是基于规则的。 如果不遵循这条道路,事情可能会变得一团糟。 规则和条例带来秩序感,而秩序在企业世界中比在儿童游戏中更重要。

合规性是强制执行秩序并确保每个人都遵守相同规则的一种非常重要的方式。 公司财务上的不正当行为,最引人注目的是几年前的安然丑闻,引发了大量新的合规性法规,包括2002年的《萨班斯-奥克斯利法案》(更广为人知的名称是SOX)和巴塞尔协议II(又名新协议,或其正式名称为《国际资本计量和资本标准趋同框架——修订框架》)。 《健康保险流通与责任法案》(HIPAA,1996年),最初旨在保护雇员免受因任何原因离职而失去医疗保险保障,已引发医疗保健行业的改革,因为它关系到患者个人信息的隐私和保护。 由同名组织开发的HL7(健康级别7)标准现在是连接不同的健康相关软件系统的实际标准。

这些合规性法规和由此产生的标准的影响已在整个企业领域产生了连锁反应,从财富500强公司到夫妻店。 开发人员和IT部门现在必须审查每一项应用程序、采购和实施,并着眼于合规性。 IT预算已被拉长,以应对与实现合规性相关的无数问题。

这不是一项容易的任务,但精明的IT经理可以在预算参数范围内保持组织的合规性。 最优秀的开发人员可以帮助将看似不可能的梦想变为现实。 另一方面,首席信息官的任务是通过提供可行的预算和聪明、敬业的人员来帮助确保成功——这充其量也是一种微妙的平衡。

本期 试图正面处理合规性问题,但不得不承认这只是触及皮毛。 合规性像兔子繁殖小兔子一样产生子主题,因此,如果您有我们尚未涵盖但您想阅读的合规性相关主题,请告知我们。

在完全无关的题外话中,本月刊还推出了一个新的月度专栏,专门介绍工作场所以外的技术。 Geek@home 探索技术专家如何才能——并且确实——使用他们的产品来改善自己和周围人的生活。 撰稿人 Mache Creeger 以他在家中安装太字节服务器的内心争论拉开了序幕。 该专栏有望成为一个有趣且主要轻松的读物,甚至可能提供一些启发您采取行动的要点。 再次,请告诉我们您的想法,以及您想阅读的内容。

跟上合规性的步伐是一项艰巨而耗费精力的任务。 然而,在这种情况下,我宁愿有真正的规则,也不要卡尔文球。

编辑 CHARLENE O’HANLON 认为每个人都可以从一场精彩的卡尔文球游戏中受益。 您可以通过电子邮件 [email protected] 联系她。

acmqueue

最初发表于 Queue 第 4 卷,第 7 期
数字图书馆 中评论本文




更多相关文章

Jatinder Singh, Jennifer Cobbe, Do Le Quoc, Zahra Tarkhani - 云端飞地
随着组织数据实践受到越来越多的审查,对于可以帮助组织履行其数据管理义务的机制的需求正在增长。 TEE(可信执行环境)提供基于硬件的机制,具有各种安全属性,用于辅助计算和数据管理。 TEE 关注数据、代码和相应计算的机密性和完整性。 由于主要的安全性来自硬件,因此即使主机特权软件堆栈易受攻击,也可以提供某些保护和保证。


Tracy Ragan - IT 合规性游戏中的得分
让开发人员接受从开发到发布的应用管理标准化程序是当今组织面临的最大障碍之一。 建立从开发到发布的标准化工作流程,通常称为 ALM(应用生命周期管理)流程,对于组织努力满足严格的 IT 合规性要求尤为关键。 这说起来容易做起来难,因为不同的开发团队创建了自己的独特程序,这些程序没有文档记录、不明确且不可追溯。


J. C. Cannon, Marilee Byers - 解构合规性
合规性这个话题每年都变得越来越复杂。 数十项监管要求可能会影响公司的业务流程。 此外,这些要求通常含糊不清且令人困惑。 当被要求负责合规性的人员回答他们的业务流程是否合规时,他们很难简洁且自信地回应,这可以理解。 本文着眼于公司如何解构合规性,以系统的方式处理合规性,并将技术应用于自动化与合规性相关的业务流程。 它还专门研究了微软如何处理 SOX 合规性。


John Bostick - 将他们的 SOX 框起来
数据对于任何大型组织来说都是宝贵的资源。 组织越大,它就越有可能在某种程度上依赖第三方供应商和合作伙伴来帮助其管理和监控其关键任务数据。 随着公共公司新法规的出台,例如 SOX 第 404 条,财富 1000 强公司的 IT 部门负责人越来越需要知道,当涉及到对其关键数据交易进行 24/7/365 监控时,他们拥有具有完善计划和完善文档记录程序的业务合作伙伴。 为了响应验证第三方控制和程序的日益增长的需求,一些公司坚持要求某些供应商接受 SAS 70 II 型审计。



© 保留所有权利。

© . All rights reserved.