監管法遵(Regulatory Compliance)是指組織遵守政府、機構、貿易團體及其他實體制定的法律、規章、標準、準則和規範。實施推動法遵(法律遵循, Compliance)的規章通常是為了要保護某人或某物 (例如員工、消費者、大眾、環境)。監管法遵的目的是要確保組織在可接受的行為範圍內運營,以保障與其互動的人或實體的安全。
監管法遵適用於全球各個需遵守法規的組織和行業。幾乎每一個組織都有必須遵循的規章。資料隱私權(Data Privacy) 即是普遍存在於絕大多數國家,不分行業皆需強制執行的法遵規則之一。
美國的監管法遵要求
美國有實行許多法律和規章,旨在保護員工、大眾及其他利害關係人免受過失和詐欺行為的傷害。這其中也包括了要求遵循法規的法律和產業標準。推動監管法遵的重要機構、團體和法規說明如下。
政府機構包括:
- 聯邦勞工部的民權中心(Civil Rights Center)
- 雇員福利保障管理局 (EBSA)
- 聯邦勞工部就業與訓練管理局
- 美國國家環境保護局 (EPA)
- 公平就業機會委員會 (EEOC)
- 美國聯邦金融機構檢查委員會 (FFIEC)
- 聯邦貿易委員會 (FTC)
- 食品藥物管理局 (FDA)
- 職業安全與健康管理局 (OSHA)
- 小企業管理局 (SBA)
- 美國外部資產控制辦公室 (OFAC)
- 美國證券交易委員會 (SEC)
- 美國聯邦量刑委員會
維護和執行監管法遵的非政府實體包括:
- 美國機械工程師協會 (ASME)
- 金融業監管局 (FINRA)
- 支付卡產業 (PCI) 安全標準委員會
- 公開發行公司會計監督委員會 (PCAOB)
指導美國監管法遵的標準包括:
- 資訊及相關技術的目標控制 (COBIT) 框架
- 國際標準組織 (ISO)
- 美國國家標準與技術研究所 (NIST) 標準
- 美國國防部 (DoD)
- 國際網路安全成熟度模型認證 (CMMC)
數以萬計的法律和規章為組織設立了監管法遵要求。
若干重要產業的監管法遵規定列舉如下:
民權(Civil Rights)相關的監管法遵範例
就業和工作場所相關的監管法遵範例
- 平等報酬法
- 公平勞動標準法 (FLSA)
- 家庭與醫療假法 (FMLA)
- 聯邦僱員損害賠償法
- 軍人僱用及再僱用權利法 (USERRA)
- 勞工調適及再培訓預告法 (WARN)
- 勞工補償法律
環境相關的監管法遵範例
- 原子能法 (AEA)
- 海灘環境評估及沿岸衛生 (BEACH) 法
- 化學品安全資訊、工地安全及燃料監管救濟法
- 空氣清潔法 (CAA)
- 淨水法
- 有毒物質控制法
金融相關的監管法遵範例
- 陶德-法蘭克(Dodd-Frank)法案
- 支付卡產業資料安全標準 (PCI DSS)
- 沙賓法案 (SOX)
- 金融服務業現代化法 (Gramm–Leach–Bliley Act, GLBA)
- 公平信用報告法
- 休曼反托拉斯法
- 證券交易法
- 1933 年證券法
- 銀行保密法 (BSA)
醫療保健相關的監管法遵範例
- 反回扣法 (AKBS)
- 緊急醫療與分娩權利法 (EMTALA)
- 經濟與臨床健康資訊科技 (HITECH) 法
- 健康保險流通與責任法案 (HIPAA)
- 職業安全衛生法
- 病人安全及品質促進法 (PSQIA)
隱私權與資料安全相關的監管法遵範例
- 2018 年加州消費者隱私保護法 (CCPA)
- 柯羅拉多州隱私權法
- 康乃狄克州個人資料隱私權和線上監控法
- 聯邦資訊安全管理法 (FISMA)
- 馬里蘭州線上消費者保護法
- 麻薩諸塞州資料隱私權法
- 紐約隱私權法
- 猶他州消費者隱私保護法
- 維吉尼亞州消費者資料保護法
歐盟及其他地區的監管法遵要求
儘管規章會依國家和地區的不同而異,但多數國家和地區皆已頒定與美國類似的法律。與其他國家公民往來的組織必須遵守該等地區的法規要求。
歐盟 (E.U.) 一般資料保護規範 (GDPR) 是一個特別嚴格的例子。GDPR 適用於所有會收集歐盟地區公民資料的組織,無論該組織的所在地為何。居住在歐盟國家的非歐盟公民也同樣適用本法規。
為什麼監管法遵很重要
為了解決與日俱增的威脅,越來越多的政府及其他團體將現有規則修訂得更加完善並制定新的法規,法遵要求也隨之不斷增長。監管法遵所衍生出的流程和策略可確保組織依循所有適用的法律和規章營運。
監管法遵的附帶效益是幫助組織提高營運水平。監管法遵相關稽核報告展現出組織對於遵守規則,以及確保所有生意往來夥伴福祉的承諾。
監管法遵可增加外界對組織的信心並建立信任,從而提高組織的聲譽。
監管法遵要求還能促進許多行業的安全並降低風險。若干針對特定行業人員及環境所制定的規則已產生實質性的重大影響。這些防範措施降低了職場意外事故及傷亡的發生率,讓員工、消費者和環境因此受惠,並保護大眾免受有害或詐欺產品和行為的傷害。
在某些情況下,監管法遵的重要性僅是單純的關係著組織能否繼續營運。組織必須達到某些要求才能合法營運。無法遵循監管法遵可能會導致組織被處以罰款甚至是停業。
監管法遵的好處
組織可藉由達成並展現監管法遵而獲益。以下是一些常見的短期與長期好處。
避免不必要且代價高昂的法律問題
實施及維護法遵計畫有助於防範組織因違反法規而面對代價高昂且耗時的法律問題。這是因為監管法遵政策樹立了框架,確保組織履行所有必要的法律義務。
提升營運效率、增加生產力並降低成本
遵循監管法遵具有促進營運效率的附帶效益,這已是鐵證如山的事實。為了達到法遵要求,組織必須實行穩健且清晰的流程與系統。除了支持法遵要求之外,這麼做能促成簡化程序和流程,從而優化營運、增加生產力並降低成本。
強化韌性與營運不中斷
遵循法規的組織在因應法規變動時有更強的韌性,原因在於它們具備可確保自身符合法規要求的系統。這有助於組織做出更好的規劃以應對未來的變化,擁有更強的營運不中斷能力。
提高員工生產力與降低流動率
監管法遵將維護職場的安全和平等擺在首位,進而提升員工滿意度,促使生產力提高及員工流動率降低。
增進市場健全
監管法遵有一個較少考量到的好處,就是可以消除有礙競爭並導致市場不健全的壟斷。規章通常可以促進公平行為,讓每個組織都有成功的機會並鼓勵創新。
提升職場平等與安全
監管法遵規定需實施消除職場歧視和騷擾的規則。此外,法遵也規定需強制執行嚴格的安全標準和規約,以防止人員和基礎設施發生意外或受到破壞。透過這些做法,監管法遵便能營造出可提高生產力、效率和整體滿意度的工作環境。
良好的聲譽
遵循法遵義務可以加深各個行業、員工、客戶和大眾對於組織的信任度。這是因為展現法遵彰顯了組織奉行高職業及高道德標準的承諾。維護監管法遵的組織大多可實現提高品牌價值和利害關係人的信心。
違反法規的代價
未能履行監管法遵義務會導致組織因違反法規而面臨被處罰的風險,例如遭到制裁或被處以罰款。雖然具體處罰依法律規章而異,但我們將違反法規可能引發的後果分成幾大類簡單說明如下。
高額罰金 未能履行監管法遵義務可能會被處以鉅額罰款。以美國為例,HIPAA 的資料外洩相關規定是依據事故的嚴重程度來決定罰款金額的高低。在歐盟,GDPR 的處罰分為兩個層級,每個層級都會對違反法規的組織處以鉅額的罰金。
對組織營運的影響
違反法規遵循可能會導致生產力下降,因為組織需分神應付罰款及其他處罰。在最糟糕的情況下,組織還有可能會因為違反法規遵循而失去合約、執照或授權。
舉例來說,PCI DSS (支付卡產業資料安全標準) 產業規章可禁止組織使用成員的信用卡支付網路。政府方面的例子有 FedRAMP (聯邦政府風險與授權管理計畫) 和 CMMC (網路安全成熟度模型認證),違反法規遵循的組織可能會因喪失驗證而無法繼續營運。
法律責任
若因未能達到監管法遵要求而對個人或組織造成嚴重傷害,可能會產生相應的法律後果。HIPAA 和 GDPR 正足以說明法律責任的嚴重性。
HIPAA 有數個處罰層級,包括因嚴重外洩或詐欺行為而被判處監禁。違反 GDPR 也可能使得領導人面臨牢獄之災。無庸置疑,辯護的法律費用必定十分高昂。
聲譽受損
罰款固然令人痛心,但違反監管法遵所造成的品牌和聲譽受損問題卻更難以收拾。
如果因未能達到法遵要求而導致事故發生,尤其是違法的話,可能會無法取得大眾諒解。
當組織因違反法規相關問題而失去大眾的信任時,即會面臨市場佔有率和收益流失的風險。
監管法遵政策
監管法遵政策為組織樹立履行相關義務的架構。它也詳述了用於實施、維護及報告所有法遵控制措施的系統、流程和程序。
監管法遵政策應包括:
- 指導所有法遵相關決策和行動的引導準則
- 確保法遵所需的具體系統、職能和程序
- 執行稽核的主管機關詳細說明
- 定義監控及審查狀態的角色或職能
- 與監管法遵有關的文件記錄和通訊協定
- 適用的法遵要求概述
儘管具體細節依組織而異,制定監管法遵政策時應考量到以下幾個問題:
- 如何利用政策來降低風險、促進溝通並教育利害關係人?
- 政策的適用對象和職能為何?
- 政策的使用有例外或限制嗎?
- 監管法遵對組織有何影響?
- 如何平衡組織內不同團隊的法遵職責 (如法務、稽核和財務)?
- 政策如何促進不同團隊和地點的法規遵循?
- 法遵的監控、管理和報告系統為何?
- 政策如何協助衡量監管法遵的價值,包括評估員工績效在內?
實施監管法遵政策對組織而言十分重要,因為它可以明確的向員工、合作夥伴和監管者傳達如何達成法規遵循。
很多時候,在監管法遵要求管轄下的人士必須確認其已閱讀並瞭解政策。
監管法遵角色
設置專責的監管法遵角色,對組織遵循嚴格且複雜的法規和法律大有幫助。由於法遵執行者在組織內容易遭受不公平的貶低,領導階層務必教育團隊成員,讓他們瞭解其所扮演的關鍵角色。將監管法遵人員定位成合作夥伴,有助於讓大家以更正面的態度來看待他們。
隨著規章的增加,許多組織都設立了專責職位,如法遵高級主管、分析師和專家,以負責確保遵循所有規則。
監管法遵管理職能涵蓋的面向包括:
諮商
監管法遵角色透過監督並提出必要的系統或流程修改建議,協助組織遵守規則和規章。此外,當發生問題時,諮商者會提供知識和專業,迅速有效的加以補救。法遵團隊成員也會建議應準備並提供稽核文件。
資料分類
監管法遵人員的重要職能即是支持資料治理,其中又以資料分類尤為重要。正確分類儲存的資料有助於更輕鬆的達成法規遵循要求,並可更迅速流暢的執行稽核。
監控
監管法遵團隊會協助組織持續掌握最新和變更的規則。隨著新法規不斷發佈,組織必須有一個專門的團隊,關注這些新法規對組織的影響並逐步確保組織做出必要的變更或更新,這一點非常重要。
預防
避免法規遵循方面的失誤不僅可免於受到處罰,還能防止營運中斷。監管法遵團隊會制定並實施計畫,避免組織因為無法遵守諸多規則而惹禍上身,進而降低整體風險。
解決
萬一違反監管法遵控制措施,組織必須要能迅速回應。即時解決問題可將損害降至最低,減輕干擾、損害及處罰。
責任
專責的監管法遵團隊成員可將責任歸屬於個人或團隊。專責處理監管法遵工作可給予團隊或個人充分的時間來深入瞭解規則及其對企業的影響。這也包括協助其他部門盡責確保法規遵循,並讓它們即時了解現有規則的修訂內容及新的規定。
監管法遵最佳實踐
為達到監管法遵要求,組織必須瞭解自己適用哪些法律和規章。由於許多規章的適用範圍頗為廣泛,尤其是來自美國以外的規章 (如 GDPR),因此必須對組織的責任有深入的瞭解。
評估如何達到法規遵循要求時應考量的最佳實踐如下。
指派專人,指派相關部門專人來負責法規遵循的維護、報告和稽核工作。
確立要求,確立各項適用法規的監管法遵要求,制定計畫以確保遵循規定。
制定並維護行為守則,培養組織的整體法遵文化。
記錄法遵流程,外加明確指示如何維護法遵,確保遵循所有規則並讓組織準備好接受稽核。
確認適用規章,根據組織的地理分佈、業別和營運,來判定組織適用哪些規則。
監控異動,持續監控監管法遵要求的異動,瞭解有哪些更新內容可能適用於組織。
安排定期培訓,讓監管法遵人員和其他人可時時掌握法遵要求及維護法遵的最佳做法。
監管法遵旨在追求更大的福祉
雖然監管法遵有時被視為一種負擔,但它其實能為企業和組織追求更大的福祉。隨著全球法遵要求不斷擴增,人們正努力設法讓這些要求更具一致性,建立一定程度的標準化。
落實這些法遵要求的結果對個人來說是有利的,因為用最低的共同標準可帶動組織遵循最嚴格的標準做為基準。這可以帶來許多好處,包括提升產品安全和環境控制,乃至增進資料隱私和詐欺防範。
對組織而言,監管法遵提供了一套一致且適用於所有人的規則,並就規則創造公平的競爭環境。