合规性要求无处不在,因此这一要求与绝大多数企业均有关。无论是遵守有关数据、用户隐私以及人身安全的规则,消费者都严重依赖相关法规和标准来为其提供保护。
当您涉足生产工艺复杂的有形产品并受到监管的行业时,例如汽车和医疗设备,则会发现该类行业的合规性管理非常复杂。如果在产品开发的早期遗漏了某道合规性管理流程,但在操作流程的后期未能发现,那么返回并弥补这些流程可能需要付出大量的时间和成本。
避免出现代价高昂的错误和不合规风险的关键之处在于实施全面高效的合规化管理。
什么是合规性管理?
合规性管理是管理人员 A)监控和评估系统,以及 B)组织、计划、控制和领导确保符合适用法律、法规和行业标准的活动的持续过程。
由于不合规的后果可能会破坏公司及其声誉,因此拥有一个涵盖整个产品生命周期的合规管理流程至关重要。
如果您认为这一项只是看起来很艰巨的任务,那么您这样想也有道理。但当您所在的公司甚至是您个人生命安全都处于危险情况之时,则亟需制定一个有效的合规管理计划。
合规性管理流程
您如何进行合规管理将取决于您必须达到的标准、利益相关者的支持以及您所拥有的资源。您对上述因素的理解将作为合规计划的编制基础,并将相应地定义角色、职责和流程。
合规管理流程和合规管理计划意义是一样的。但如果您需要获取/实施新工具、审查公司政策、统一公司领导原则,则可能需要制定一个独立于计划的流程,然后才能继续编写计划。
要了解制定合规管理计划所需的内容,请了解并必须做到以下几点:
-
考虑产品生命周期中的所有潜在风险
-
所有遵守它的人都清楚和理解
-
明确分配职责
-
在您的工作流程中实现无缝对接,避免造成工作效率低下
-
清楚何时发生违规行为,以便提前进行纠正
创建您的合规管理计划
该计划包括为确保实现合规性而必须遵循的步骤和活动,并与您的内部合规审核流程齐头并进,因为二者有着共同的目标。
在您制定计划时,请遵循下列提示用来帮助确保您所编制的计划已包含所有内容。
1. 进行彻底的风险评估
大多数行业均对监管标准有着明确的定义,并作为编制合规计划的基础(包括指明潜在风险以及如何通过实施结构化和受监管的流程来减轻该类潜在风险)。
此外,根据您对公司业务流程的了解,您应该能够明确潜在故障可能发生的位置、故障情况、如何有效防止该类故障发生以及在发生之后如何进行处理。
这个观念不一定必须要与法规相关,而是需要对业务、客户和您试图利用产品解决的主要问题以及应考虑的任何其他业务因素有着很好的了解。
2. 制定公司政策和流程
遵循合规性应该是自上而下的举措,您所做的风险评估包含的所有内容都应该有助于制政策和流程。
3. 传达计划并提供培训
请记住一点,即越是风险大,越是要注重细节。所以您需要帮助员工了解保持准确性的重要性,还要使培训内容尽可能清晰易懂。这可能包括双语培训以及提供具体培训案例的各方面内容。如果受训员工不能很好地理解合规性的遵循流程,那么他们就无法高效执行该流程。
4. 负责日常维护
有很多事项都可归入需要进行日常维护的事项。合规经理主要负责管理以下内容:
-
确保最新的标准
-
确保所有员工都了解要求
-
使业务功能与合规性保持一致
-
评审流程和操作(并在必要时进行更改)
-
记录和纠正已发生的违规行为
5. 定期进行合规性审核
如果您个人本身也需要遵守合规性,那么您可能会定期接受审核。但同时您也需要接受内部审核。上述两种审核能有助于您避免发生可能无法弥补的错误。
合规性管理面临的挑战
合规性管理本身就是一个挑战,但有几个因素会让这一挑战变得更为复杂,以下是您可能需要解决的问题。
跨平台的分布式团队
在一个越来越趋向远程办公的条件下,很难既从整体上有效评估风险,又跨系统严格实施程序。严格的合规管理计划可能需要投资新技术,用来提高可控性和团队协作。
不稳定的安全和法规遵从性环境
技术进步和安全威胁的加剧意味着合规性可以因实际情况而迅速改变。因此,可能需要在没有太多预警的情况下快速更新合规性标准,并且必须有专人负责更新合规性标准。
利用第三方
作为产品生命周期管理的一部分要求,您所在的公司很可能依赖顾问、制造商、供应商或销售方以及其他第三方。很明显,您不能为了实现合规性而直接对上述第三方的流程进行管理。您可以做的是将您的合规管理标准通知所有与您合作的第三方实体,要求他们完全符合这些标准(让他们承诺遵守您所制定的标准),并提供证据(审计报告)。
产品生命周期管理的最佳示例是共享需求和追溯与这些需求相关的任何更改内容。在汽车领域,遵循关于进口/出口要求的 ReqIF 标准是符合标准并确保各相关方保持一致的有效方法。
确保语言清晰
这是另一个值得反复强调的问题,确保语言清晰需要像您在测试中对所做的回复一样清晰明确。您需要使用非常清晰的语言,尽可能明确、具体地对合规性进行阐述,并考虑您所问内容的复杂性与阅读的难易程度。
在原则性和灵活性方法之间做出选择
虽然一些合规性问题早已清晰明确,但也可能存在着灰色地带。有时,当存在两种相互冲突的标准时,这时您就需要做出选择,确定哪种标准更为重要。
结语
当您拥有整个产品生命周期的可追溯性,并且拥有一个存储库用来捕获每一个变更和开展的每一项活动时,执行法规遵循管理和证明法规遵循性就变得容易一些。此外,如果您希望能够激活安全保护功能,比如那些防止某些用户自行进行更改或跳过操作步骤的功能。当您具备一种自动化处理工具时,法规遵循管理就会简便快捷得多。
作者简介:
茨维卡·沙哈夫(Tzvika Shahaf)
产品管理总监
Tzvika Shahaf 担任 Perforce 产品管理总监一职,是敏捷应用生命周期管理方面的专家,帮助企业管理快速交付高质量的关键业务应用程序,同时降低管理流程中存在的风险和效率低下问题。Tzvika 高度关注数据的可追溯性,并根据数据的可视化、报告和分析能力满足产品要求。
Tzvika 还是两本行业必读专业书籍的合著者之一,他与人合著的著作是:《DevOps 专业人员的持续测试(行业专家的实用指南)》和《加速软件质量——DevOps 时代的机器学习和人工智能》。Tzvika 还是与持续测试、敏捷应用生命周期管理、可追溯性等有关的全球行业活动的演讲者和发言人。
合规性管理101:流程、规划和挑战_合规性_龙智—DevSecOps解决方案_InfoQ写作社区
网络安全风险评估:实施步骤与关键要素 – 知乎 (zhihu.com)
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/312320.html