下载本文的PDF版本 PDF

需求入门

GEORGE W. BEELER, JR., BEELER CONSULTING 以及 DANA GARDNER, INTERARBOR SOLUTIONS

许多软件工程师和架构师通过其雇主必须遵守的越来越多的规则、法规和标准接触到合规性。其中一些要求,例如 HIPAA(健康保险可携性和责任法案),主要侧重于一个行业,而另一些要求,例如 SOX(萨班斯-奥克斯利法案),则跨越多个行业。有些仅适用于一个国家,而另一些则跨越国界。为了帮助驾驭这个常常令人困惑的世界,《Queue》杂志汇编了一份简短的入门指南,概述了组织目前面临的四个最重要的合规性挑战的背景。

萨班斯-奥克斯利法案 (SOX)

2002年萨班斯-奥克斯利法案可以简洁地概括为试图回答一个并非简单的问题:“谁说的?” 当涉及到适当的企业财务报告时。 由于世纪之交发生了一连串重大的企业和会计丑闻——也许最引人注目的是安然和安达信的倒闭——萨班斯-奥克斯利法案,或 SOX,旨在增强公众和投资者对财务报告的信心。

然而,该法案11个章节有时未曾预料到的后果——从加强公司治理委员会的责任到对违规者的刑事处罚——影响深远,而且并不总是被认为是富有成效的。 与 SOX 合规相关的成本已被归咎于抑制首次公开募股 (IPO) 市场,抑制孵化初创企业的风险投资环境,以及至少在短期内拖累美国国内生产总值。

该法案以美国参议员保罗·萨班斯(民主党,马里兰州)和美国众议员迈克尔·G·奥克斯利(共和党,俄亥俄州)的国会发起人命名,在众议院以 423 票对 3 票、参议院以 99 票对 0 票获得压倒性通过。 它标志着自 1930 年代大萧条之后公司治理法规最彻底的变革。

SOX 强制要求所有美国上市公司董事会、管理层以及为其提供服务、审计和咨询的公共会计师事务所采用新的或增强的标准。 本质上,该法案定义了适当的公司治理、谁应该监督此类治理以及应如何监督,并建立执行适当的合规标准和确定不合规责任的手段。

作为良好治理的一部分,美国证券交易委员会 (SEC) 通过 SOX 获得了新的力量,可以对符合或不符合新法律的公司行为做出裁决。 SOX 还建立了一个新的权威机构 PCAOB(上市公司会计监督委员会),该委员会负责监督并在必要时处罚审计上市公司的会计师事务所。

除了创建 PCAOB 之外,该法律还要求上市公司评估和披露其内部财务报告控制的有效性,并让独立审计师“证明”这些措施的有效性。 公司还必须让其首席执行官和首席财务官定期证明财务报告的真实性。

作为一项改革措施,该法案通过排除客户和审计师之间某些类型的工作,更纯粹地定义了审计师的独立性。 为了消除甚至出现利益冲突的可能性,SOX 要求上市公司设立专门的委员会来监督公司与审计师之间的关系。 SOX 禁止向高管和董事提供大多数个人贷款、任何内部人士未报告的股票交易以及养老基金冻结期间的内部交易。

那些被发现不正当地从内部知识的井中汲取信息,或明知故犯地歪曲财务结果的人,将因违反 SOX 规定的证券法而面临严厉的刑事和民事处罚,包括监禁和罚款。

尽管 SOX 有时因通过大量额外的监管、跟踪和监控而造成经济处罚而受到嘲笑,但它也刺激了围绕产品和服务的行业,以协助定义和实施公司治理并实现 SOX 合规性。 例如,为跟踪、更新和管理报告流程和数据提供计算系统和软件的供应商从中受益。 需求旺盛的系统包括用于文档管理和财务数据访问的系统,以及用于存档额外财务信息的存储系统。

这些与 SOX 相关的成本对于大型公司来说已达数百万美元。 具有讽刺意味的是,至少在 SOX 实施的最初几年,最大的受益者一直是会计师事务所本身,这是审计和治理相关服务需求激增的结果。

那些可能认为 SOX 合规性是一次性事件或基于项目的活动的公司可能会感到惊讶。 管理咨询公司的研究和建议表明,SOX 具有长期影响:必须创建一个持续的 SOX 合规层,使其成为大型上市公司的固定组成部分——也就是说,直到未来再次出现公司丑闻集中爆发的情况,迫使人们再次重新评估和补救现状。 ——DG

巴塞尔协议 II

尽管国际巴塞尔协议 II 关于改进银行资本管理的全面实施要到 2008 年才到期,但其影响已经显现。 巴塞尔协议 II(官方名称为《资本计量和资本标准国际趋同——修订框架》)旨在防止国际银行业危机并降低许多国家银行业高度分散的方法带来的风险,是对 1988 年通过的第一份巴塞尔协议的补充。

由 13 个国家组成的巴塞尔银行监管委员会自 1999 年以来一直致力于修订国际标准和方法,以使银行的资本预期与经济现实相符。 近年来,随着全球化的发展,银行业失误的风险有所增加。 市场不再以边界来定义,而是实际上由许多国家组成,拥有许多银行系统和监管定义。

通过在多达 100 个国家/地区创建银行和监管机构在资本和需求方面管理风险的更大一致性,巴塞尔协议 II 旨在阻止和防止意外失败——以及有时在一家银行或地区的失败之后随之而来的有害多米诺骨牌效应。 巴塞尔协议 II 还旨在防止监管机构找到规避银行业最佳实践的方法,并使全球银行业方法系统化,而不是在定义、衡量或执行方面断断续续。

巴塞尔协议 II 旨在鼓励国际金融体系的稳定,其任务是通过确保审慎分配资本来降低风险。 该协议还促进更好地衡量和管理信用风险,并将其与银行的运营隔离开来。 此外,巴塞尔协议 II 使积极的监管监督在更多情况下以及与区域和国际最佳实践相结合的情况下势在必行。 具体而言,巴塞尔协议 II 的“三大支柱”包括最低资本要求、改进的监管审查和更大的市场约束。 例如

直到 2006 年 6 月,才发布了基于 2004 年 6 月最终框架的所有巴塞尔协议 II 的综合版本。 巴塞尔协议 III 的初步工作已经展开,其早期目标是:更好地定义构成银行资本的内容,进一步量化风险类型,并强制使用更多工具来管理和衡量银行业失误。

巴塞尔协议并非没有批评者。 批评者担心,通过将众多银行聚集在一起进行定时和强制性的风险评估流程,巴塞尔协议 II 将加剧经济衰退,因为更多银行将基于类似的感知风险和监管要求,以类似的方式同时收紧信贷。 小型银行大声疾呼,新系统偏袒大型金融机构,因为它们更有能力承担变革成本。 发展中经济体反对巴塞尔协议 II 的要求实际上使信贷比当今成熟经济体处于相似增长状态时更加昂贵。

然而,通过努力消除区域性危机和迅速升级的失败,巴塞尔协议 II 最终应减少银行业监管“瑞士奶酪”方法的长期不良影响。 发展中国家将面临较轻微的崩溃,并且由于全球体系的总体风险大大降低和透明度提高,信贷获取应该会得到改善。 ——DG

DANA GARDNER ([email protected]) 是新罕布什尔州吉尔福德 Interarbor Solutions 公司的总裁兼首席分析师,该公司是一家 IT 行业市场研究和咨询公司。 Gardner 是一位多产的博主和播客,涵盖应用程序开发和部署策略、面向服务的架构和软件基础设施。 他还为客户提供有关 RSS、病毒式营销和播客内容创建策略的建议。 他曾是 Yankee Group 的分析师,也是 InfoWorld 的特约编辑。

HIPAA

1996 年的《健康保险可携性和责任法案》(俗称 HIPAA)处理了与健康保险相关的几个问题。 正如其名称所示,其中一个问题是,通过雇主获得健康保险的人在更换工作时维持该保险(“携带”它)的能力。

在计算机行业,HIPAA 以其管理简化部分而闻名。 该部分规定,用于管理医疗保健财务索赔和报销的信息应使用 ANSI(美国国家标准协会)认可的数据交换标准通过 EDI(电子数据交换)进行通信。 其目标是提高索赔流程的速度和效率,从而降低提供和资助医疗保健的后台成本。

数据交换标准指定了从一个计算机系统发送到另一个计算机系统的消息或数据集的结构和内容。 这些标准在软件中实现,这些软件从原始系统中的数据源(文件和数据库)组装消息,并在其他软件中实现,这些软件解析消息并将数据放置在接收系统的文件和数据库中。 原始系统和接收系统上的数据存储很少具有相同的结构。 因此,数据交换通常需要对数据进行两次转换:一次是在原始站点组装消息时,另一次是在接收站点解析消息时。

ASC X12N(认可标准委员会保险小组委员会)在 1990 年代初期开发并批准了为 HIPAA 管理简化指定的核心标准。 支持标准是美国牙科协会牙科内容委员会、Health Level Seven、国家处方药计划委员会、美国医院协会国家统一账单委员会和美国医学协会国家统一索赔委员会的标准。 这六个组织在 HIPAA 法规中被列为支持 HIPAA 的指定标准维护组织。 它们维护和运营一个交易变更请求系统,用于接收和审查公众提出的对 HIPAA 强制执行的标准集的变更(请参阅 http://www.hipaa-dsmo.org/)。

最初的立法要求在 1999 年夏季实施。 实际过程花费了超过两倍的时间,首次合规截止日期出现在 2002 年秋季。 标准化数据交换现在已基本完成。

正如延迟的时间表所表明的那样,实施过程并非一帆风顺。 最棘手的问题围绕数据隐私和安全规则。 今天,更多人了解 HIPAA 的隐私和安全规则,而不是其 EDI 影响。 (实际上,在 Google 上搜索单个术语 HIPAA 会将您带到一个卫生与公众服务部的网页,该网页的主要标题是“医疗隐私——保护个人健康信息的国家标准。”)

详细的个人健康数据一直是支持健康保险索赔所需的纸质记录的一部分。 独立公司(医疗保健提供者、保险公司和中介机构)的计算机之间以电子方式传输此数据的要求引发了关于谁拥有和控制数据,以及谁最终对此负责的问题。 政府花了几年时间制定隐私和安全法规,然后获得批准并实施。 从消费者的角度来看,这些法规只是一套新的表格,医疗保健提供者要求他们签署,授权为索赔目的发布信息。——GB

HL7

HL7(Health Level Seven)是一个非营利组织,其成立目的是“为电子医疗保健信息的交换、管理和集成创建标准”。 HL7 由个人和企业成员组成,包括医疗保健提供者、软件开发人员、医学信息学家和顾问。

当 HL7 于 1987 年成立时,其成员需要数据标准来连接大型医院或医疗中心内的多个计算机系统。 引入这些系统是为了帮助管理这些机构的实验室和患者管理职能。 第一个 HL7 标准,称为 HL7 版本 2,已经发展和成熟。 如今,它们在美国 95% 以上的大型医疗保健机构中使用,并在其他国家得到广泛实施。

1994 年,HL7 修改了其共识实践,以符合 ANSI(美国国家标准协会)的标准。 然后,HL7 向 ANSI 申请并获得了 ANSI 作为标准制定组织的认证。 从那时起,开发的所有 HL7 标准都已注册为美国国家标准。

早在 1992 年,其他国家的组织就寻求获得 HL7 国际附属机构的认证,以便他们可以使用和发布标准,并创建适合其所在地区的实施指南。 该计划在过去十年中发展迅速。 如今,有 26 多个国家的附属机构,参与者来自除南极洲以外的每个大陆。 附属机构成员在定义和开发满足更广泛医疗保健计算环境需求的新 HL7 标准方面发挥了积极、重要的作用。

大约 10 年前,HL7 认识到需要为其正在制定的标准创建更稳定和持久的基础。 它开始致力于 HL7 版本 3,这是一个基于单个 RIM(参考信息模型)和通用词汇(术语)规范的数据交换标准系列。

为了支持版本 3 的开发,HL7 创建了一种正式的方法来定义这些基于模型的标准。 该方法类似于现代软件开发方法。 标准数据结构被定义为从健康信息的单个语义模型导出的抽象 UML 兼容静态信息模型。 该模型是 HL7 RIM,三年前被采纳为 HL7-ANSI 标准,并将在不久的将来成为 ISO 标准。

HL7 每年都会发布所有已投票并达到规范状态的版本 3 规范的规范版本。 2006 年版包括 RIM、词汇表、数据类型和通信包装器的所有核心规范,以及患者管理、会计、索赔人员管理、调度、记录管理、公共卫生、临床基因组学和临床试验的详细规范。

创建临床数据通信标准的挑战在于确保标准数据结构可以传达数据的完整临床背景。 背景不仅包括谁观察到关于谁的什么,还可能涉及为什么进行观察、哪些其他条件影响受试者、在哪里进行观察等等。

HL7 版本 3 通过提供显式数据关系作为结构的一部分,并在 HL7 定义的词汇术语中编码每个上下文关系的性质来表达此上下文信息。 这与 HL7 版本 2(和类似的早期标准)形成对比,在 HL7 版本 2 中,上下文关系是隐式的而不是显式的,因此有被误解的风险。 因此,版本 3 结构可以传达完整的健康记录,而版本 2 结构更适合传达记录片段。

由于 HL7 版本 3 可以支持临床数据的完整表示,并且由于实施模型驱动标准时看到的效率,版本 3 已被指定为包括英国、加拿大、德国、荷兰、日本和韩国在内的许多国家的国家健康记录项目的主要标准。 ——GB

GEORGE W. BEELER, JR., PH.D. ([email protected]) 是 Beeler Consulting LLC 的总裁。 他是明尼苏达州罗切斯特市梅奥诊所的荣誉退休员工,曾在临床计算和医学信息学领域担任领导职务。 他在过去 13 年中一直积极参与 HL7。 他曾在 HL7 董事会任职九年,担任董事会主席两年,目前是监督版本 3 的建模和方法委员会的联合主席。

acmqueue

最初发表于 Queue 第 4 卷,第 7 期
数字图书馆 中评论本文




更多相关文章

Jatinder Singh, Jennifer Cobbe, Do Le Quoc, Zahra Tarkhani - 云端飞地
随着组织数据实践受到越来越多的审查,对可以协助组织履行其数据管理义务的机制的需求正在增长。 TEE(可信执行环境)提供基于硬件的机制,具有各种安全属性,可用于协助计算和数据管理。 TEE 关注数据、代码和相应计算的机密性和完整性。 由于主要的安全性来自硬件,因此即使主机特权软件堆栈易受攻击,也可以提供某些保护和保证。


Tracy Ragan - IT 合规性游戏中的评分
让开发人员接受用于管理从开发到发布的应用程序的标准化程序是当今组织面临的最大障碍之一。 建立标准化的开发到发布工作流程(通常称为 ALM(应用程序生命周期管理)流程)对于组织努力满足严格的 IT 合规性要求尤为重要。 这说起来容易做起来难,因为不同的开发团队创建了自己的独特程序,这些程序没有文档记录、不明确且不可追溯。


J. C. Cannon, Marilee Byers - 合规性解构
合规性主题每年都变得越来越复杂。 数十项监管要求可能会影响公司的业务流程。 此外,这些要求通常含糊不清且令人困惑。 当要求负责合规性的人员询问其业务流程是否合规时,他们显然难以简洁而自信地回应。 本文探讨了公司如何解构合规性,以系统的方式处理合规性,并将技术应用于自动化与合规性相关的业务流程。 它还专门介绍了 Microsoft 如何处理 SOX 合规性。


John Bostick - 超越 SOX
数据对任何大型组织来说都是宝贵的资源。 组织越大,就越有可能在某种程度上依赖第三方供应商和合作伙伴来帮助其管理和监控其关键任务数据。 随着公共公司新法规的出台,例如 SOX 第 404 条,财富 1000 强公司的 IT 部门负责人越来越需要知道,在 24/7/365 全天候监控其关键数据交易方面,他们拥有程序完善且文档完备的业务合作伙伴。 为了响应验证第三方控制和程序的日益增长的需求,一些公司坚持要求某些供应商接受 SAS 70 Type II 审计。



© 保留所有权利。

© . All rights reserved.