Creating an Enterprise Culture of Compliance
Over the past twenty years, information technology has become a ubiquitous part of most businesses. Indeed, the advantage it once gave companies has transformed into a commoditized business expense. As the need for larger-scale applications, containing hundreds of thousands, even millions of records grew however, the security practices for both technical and human process did not always keep up. As evidenced by many well-known ethics and security breaches in the past two decades, such as Enron and ChoicePoint mentioned later in this paper, best practices in audit compliance are sometimes given low – or no – priority and can result in the ruin of organizational reputation, or even the organization itself. Classic financial audit practices were not specific enough to apply directly to technology. Indeed, technology audit solutions may require more than simple adherence to audit practice.
1、Well-known compliance failures
One of the most well-known modern cases of failure of financial audit compliance is that of Enron. Being in the top ten largest companies in America, Enron was an explosive-growth company in the late 1990s (Obringer, 2005). With a steep decline of stock value in 2001, the Securities and Exchange Commission (SEC) started an investigation in October of that year, which eventually uncovered a trail that started as far back as 1992. It was then that the company convinced the SEC to allow an unprecedented move to mark to market accounting guidelines used only by brokerages and trading companies until that time (Obringer, 2005).
Mark to market accounting practices, among other things, allowed Enron to shift failing assets to Special Purpose Entities, or SPEs, which were little more than independent companies that were ultimately supported by nothing more than Enron stock. As the many dot com investments made by Enron in the late 1990s started to fail, Enron shifted those failing assets to SPEs in order to keep the loss off of Enronrsquo;s books. Jickling (2003) implied that Enronrsquo;s accounting firm, Arthur Anderson, not only let the unethical practices pass audit, but helped to conceal them, and other practices, through “financial structures and transactions.”
In essence, a mix of actions which were technically legal by some accounting practices as well as actions which were both illegal and unethical, led to a lack of transparency which disguised the financial risk of Enronrsquo;s practices to investors. Bearing much of the brunt of this collapse, most employee retirement accounts based largely on Enron stock alone, were wiped out (Jickling, 2003).
In the Enron case, lack of ethical financial oversight and transparency led to the outcome. But other types of non-compliance can also lead to a disastrous result for organizations as well. In 1997, ChoicePoint became an independent company, spun off by one of the top three credit bureaus, Equifax. Sixty percent of ChoicePointrsquo;s business was to provide background credit checks and pre-employment screening to financial institutions and other organizations (Culnan amp; Williams, 2009). In February 2005, ChoicePoint sent letters to over one hundred forty-five thousand individuals, notifying them that their personal information was inappropriately accessed by fraudulent companies in 2004. Culnan amp; Williams (2009) reported that criminals, posing as small business customers of ChoicePoint, accessed the records. In this case, insufficient internal controls allowed suspicious or incomplete applications to be processed from companies wishing to become ChoicePoint customers.
The internal results of this data breach resulted not only in millions paid by the company into civil penalties and reparations to effected individuals, but also led to the self-imposed forfeiture of tens of millions of dollars in revenue, serving small to medium-sized businesses because of their inability to adequately secure the business process (“ChoicePoint lessons,2007). In a twenty-four month period after the breach was reported, ChoicePoint went through over eighty external audits, and must now submit to bi-annual assessments for twenty years (Culnan amp; Williams, 2009).
From falsifying records and masking detail in the financial industry which negatively affected many, to putting the identities of almost a hundred and fifty thousand individuals at risk, itrsquo;s apparent that any lack of controls and oversight can cause financial hardship for the victims involved. But compliance deficiencies can affect information that lives in the much more private realm of our medical histories. When trying to understand the history of medical record security legislation, it serves as a more powerful statement to look at individual security breaches that contributed directly to the formation of the Health Insurance Portability and Accountability Act (HIPAA), discussed later in this paper.
For instance, the breach experienced by the University of Montana, in 2001. The psychological records of sixty-two children were accidentally posted online and available to anyone. This information included patient names and visit descriptions, as well as information on diagnoses made on each, ranging from mental retardation to schizophrenia (“Medical records,” 2001). In another case, the contact information for emergency room patients was stolen by the thirteen-year-old child of a hospital worker, while visiting a parent at work. This child proceeded to prank call the patients, posing as a hospital employee, saying that they had tested positive for the AIDS virus (“Hospital clerkrsquo;s,” 1995). In at least one result of this breach, the Washington Post (1995) reported that one of the patients was reported as needing to have been restrained from committing suicide after they had heard the news. And in still another case, the medical records of over four thousand HIV patients were put on a computer disk and s
全文共44298字,剩余内容已隐藏,支付完成后下载完整资料
创建合规的企业文化
在过去二十年中,信息技术已成为大多数企业无处不在的一部分。 事实上,它曾经给公司带来的好处已经转化为商品化的商业开支。 随着大规模应用程序的需求不断增长,包含数十万甚至数百万条记录,但技术和人工过程的安全实践并不总能跟上程序的要求。 由于在过去的二十年中,如安然和ChoicePoint公司后来在本文中提到的证明许多知名职业道德和安全漏洞,在最佳实践中有时被给予较低或不优先的审计顺从性,并可能导致组织声誉受损,甚至企业破产。 传统的财务审计实践并不足以直接应用于技术。 事实上,技术审计解决方案可能不仅仅需要遵守审计实践。
1,众所周知的合规失败
其中最着名的现代财务审计失败案例之一是安然公司。作为美国十大公司之一,安然公司在20世纪90年代后期成为一家爆炸式增长公司(Obringer,2005年)。随着2001年股票价值急剧下降,美国证券交易委员会(SEC)于当年10月开始调查,最终发现了早在1992年就已经出现的一条线索。当时,该公司确信证交会采取前所未有的举措,直到那个时候才允许经纪商和贸易公司使用的市场会计准则(Obringer,2005)。
除其他外,盯准会计业务的做法使安然能够将失败的资产转移到特殊目的公司,这些独立公司最终只受到安然公司的支持。由于安然公司在20世纪90年代后期进行的许多网络投资开始失败,安然公司将这些失败的资产转移给了特殊目的公司,以避免安然公司账面上的损失。 Jickling(2003)暗示,安然公司的会计师事务所Arthur Anderson不仅让不道德的行为通过审计,而且通过“财务结构和交易”帮助隐瞒他们和其他行为。
实质上,在技术上合法的行为以及违法和不道德的行为混合在一起导致缺乏透明度是会计惯例,从而掩盖了安然对投资者的做法的财务风险。在这次崩溃中首当其冲的是,绝大部分基于安然股票的员工退休账户都被剔除了(Jickling,2003)。
在安然事件中,缺乏道德的金融监督和透明度导致了这种后果。但是其他类型的不遵守也会导致组织的灾难性结果。1997年,ChoicePoint成为一家独立的公司,由前三大信用机构之一Equifax剥离。该公司60%的业务是为金融机构和其他组织提供背景信贷检查和职前筛选(Culnan amp; Williams, 2009)。2005年2月,ChoicePoint向超过45万名个人发出信函,通知他们在2004年,欺诈公司不恰当地访问他们的个人信息。Culnan amp; Williams(2009)报告说,犯罪分子假扮成ChoicePoint的小企业客户,获取了这些记录。在这种情况下,内部控制不足的情况下会使的希望成为ChoicePoint客户的公司对可疑的或不完整的应用程序进行处理。
这一数据泄露的内部结果不仅导致了公司支付给受影响个人的民事罚款和数百万美元的赔偿金,而且还导致了中小型企业数丧失千万美元收入,因为他们无法充分保障业务流程(“ChoicePoint教训,2007)。在被举报后的24个月内,ChoicePoint进行了超过80次的外部审计,现在必须提交两年的年度评估报告(Culnan amp; Williams, 2009)。
从篡改记录和掩盖金融行业中负面影响许多人的细节,到将近150万个人的身份置于危险之中,很明显,任何缺乏控制和监管都会给受害者带来经济困难。但是,依从性的缺陷可能会影响到我们的医疗历史中更为私密的领域的信息。当试图了解医疗记录安全立法的历史时,它作为一种更有力的声明,来审视那些直接导致医疗保险可移植性和责任法案(HIPAA)形成的个人安全漏洞,本文稍后将对此进行讨论。
例如,蒙大拿州大学在2001年就经历过这种情况。62名儿童的心理记录被意外地张贴在网上,任何人都可以看到。这些信息包括病人姓名和访问描述,以及对每个人的诊断信息,从智力发育迟缓到精神分裂症(“医疗记录”,2001)。在另一种情况下,急诊室病人的联系信息被一名医院工作人员的13岁的孩子偷了,而在工作时探望了一位家长。这个孩子开始恶作剧打电话给病人,假扮成医院的雇员,说他们的艾滋病病毒检测呈阳性(“医院职员”,1995)。据《华盛顿邮报》(1995)报道,至少有一个结果是,据报道,其中一名患者在听到这个消息后,需要克制自己不自杀。在另一个案例中,4000多名艾滋病患者的医疗记录被放在一个电脑磁盘上,并匿名发送给各种报纸的记者(“佛罗里达调查”,1996)。
在医疗记录安全漏洞的每一个例子中,病人的个人问题都是不适当的,并且被滥用。这种类型的破坏的恶意意图是为了引起病人的痛苦,正如在其中一个例子中所指出的那样,可以导致任何事情,从暂时的尴尬,到非常真实的心理痛苦,甚至是自杀企图。强调这一事实只是强调了安全漏洞的一些后果。但在任何情况下,合规失败的损害通常以某种方式影响到无辜的个人。在财务报告、财务身份或医疗信息泄露的道德缺失中,出现了一个共同的失败线索。
2、缺乏企业层面的合规文化。
在许多组织中,合规计划是日常工作的标准组成部分。在大多数有处理敏感信息的组织中,都有被锁的碎纸机,例如,人们可以把文件放入一个槽中,但不能把它们取出来。或者,通过一个标准IT实践的例子,对网络可访问数据存储的敏感信息由安全组成员控制;如果一个人不是安全组的成员,服务器不允许他们访问数据。
使用这些例子,了解审计任务和实践之间的差异变得更容易,而不是有一种符合性的文化。工作,比如使用锁定切碎箱或实践,如使用安全组来管理数据访问,独立作为行项目组成,以控制大多数情况下的合规性。更为难以捉摸的遵从状态不是完成的任务和实践的简单清单,而是有一种遵从性的文化,其领导人、中级管理人员和一线工作者都理解并拥有信息的伦理待遇和安全性。它的存在。在这种状态下,有明确的指导方针和围绕个人和组织利益的沟通,这些来自于遵守,以及明确的个人和公司惩罚和惩罚,伴随着不遵守。在大多数组织中,这是一种思维缺失,即使是那些现在由众所周知的遵从性法规支配的组织。
有许多事情有助于一个健康的遵守文化,但一个缺少许多公司合规计划是个人惩罚的后果。西摩,歌手和多兰(2007)描述了可以面对组织的搭便车问题。在一个例子符合性的情况下,更大的利益取决于所有员工的遵守努力,个人奖励是令人满意的薪酬,甚至就业本身。但是,当员工发现他们仍然可以从所有合规努力的综合结果中受益时,他们失去了个人的动机来继续贡献个人,并可能成为搭便车者。西摩,歌手和多兰(2007)假定惩罚可以提供一个可能的解决方案,那些继续贡献的人会找到惩罚那些不受惩罚的人的方法。在组织中通常不能容忍同级处罚,将个人合规责任捆绑到个人奖惩中的价值变得清晰。通过明确陈述的绩效目标和评价,通过纪律处分或缺乏财务奖励,可以实现不为遵守更大的利益而作出的惩罚
巴拉(2010年)采取了一种公式化的方法来奖励和结果。 应用于伦理或犯罪行为的案例,比如安然存在的案例,Barra对组织的建议是提出:1)努力的实施行为; 2)被捕的惩罚; 3)发现的概率( Barra,2010)。 合规文化将增强所有这些的个体清晰度。 必须制定具体的任务和做法,以便个人遵守。
通过对于不遵守或不积极的不道德或犯罪行为的惩罚的阐明,并应制定跨部门制衡措施,以确保任何违规行为将受到质疑。
发展健康合规的文化对于任何组织来说都是一项有利可图的事业。 对于那些不遵循所指定的合规活动或那些故意违反规则的人的惩罚,以及那些遵从甚至报告其他人的可疑活动的人的奖励等因素,这种文化只会被加强。 例如,经典的选择是一个不正确的结论,即由于没有报告的违规失败,每个人都应该通过赞扬或继续补偿来获益。 事实上,遵守规定必须包含调查方面,以寻求坚持证据而不仅仅是接受没有发生的事件。 对人类习惯和行为的修改是通过奖励和结果来实现的,为此,遵守文化必须包括这些部分。
3、本文的研究目标
随着围绕IT系统的数据和安全性保护的立法、规则和框架的成熟,组织必须创建符合企业文化的理念已经成熟。在框架,包括他政策和最佳做法,被传播根据需要,在许多组织中,合规没有成功。
本文探讨了创建符合企业文化的概念,详细讨论了这意味着什么。讨论了强制遵守的因素、证明合规的费用的商业案例,以及为了成功而必须进行的领导和沟通的过程。还包括目前的文献分析,将支持解决方案的基础上围绕一个成功的主动创造一个健康的遵守文化。此外,所提出的解决方案说明,技术审计实践必须包含技术解决方案,至少在某些方面,这种文化变化与其他类型是不同的。
本文的研究结果和建议的解决方案将极大地帮助企业选择一条通向实施企业文化的途径。这些组织将有明确员工的目的,并了解他们拥有一部分的合规活动的价值。通过成功和透明的技术审计实践,企业将不仅受益于良好的声誉,也可能出现安全事故的发生,以及经常发生的赔款和诉讼费用。
如前一节所述,伦理和安全事件促使组织采取更全面的合规问题的观点。为了说明企业目前的知识基础这些问题,下面的材料作为本文后面提出的解决方案模型的支持
4、不遵守的负面后果
在介绍中,安然作为一个例子,在这种情况下,不遵从会给投资者带来财务伤害。财务记录中的欺骗和误导是故意的,主要损害了公司的投资者。相比之下,CouthPoice安全漏洞是由于缺乏对细节和安全性的关注。没有员工试图欺骗或误导任何人,然而发生的安全漏洞不仅伤害了公司的投资者,而且近十五万个人的身份信息被置于危险之中。无论受害人是投资者还是私人个人,无论有意或无意的因果关系,都有一个健康的企业文化在两个公司中实现,很可能结果会有所不同,或者完全避免。但是投资者和个人的个人安宁是为什么是信息遵从是现代企业的重要组成部分的两个原因。
ChoicePoint案件产生更多的例子与这项研究相关。除了对投资者和个人造成的危害外,公司本身也成为数据泄露的代名词。除了六千万美元,卡普兰(2008)报告说,ChoicePoint必须支付罚款,信用保护,赔偿,以及与其违约相关的法律费用,该公司还没有完全恢复从事件中的声誉。LeVISHON(2008)记录了许多,包括法律纠纷带来的后果。
随着数据泄露,Couice PoT最终决定出售其持有和独立的Reed ELSVER公司,在这种情况下,虽然Couice PoT幸存下来做生意,由于其缺乏对合规事项的关注,它已经失去了它的自主权。
Couice Poice数据泄露的另一个影响是它在加利福尼亚以外的国家意识到,在检测到数据泄露时,他们没有法律规定对其居民的通知。里根(2009)指出,2005年度Couice Poice报告了他们的数据泄露,只有加利福尼亚有法律通过他们的个人可识别信息(PII)被泄露来通过和来保护公民。作为对这一问题日益认识,四十四个州有类似的必须在2009年年中通知立法,在最初事件发生后不到五年。此外,Regan还指出,继2005个选通事件引发近二十个安全漏洞相关法案将在第一百零九届国会中引入。安全合规的关键含义肯定在所有企业这里都达到了新的水平。
5、遵守的积极后果
防止对个人或组织的财务伤害可以被认为是预防负面后果。但是,遵从肯定会产生积极的后果,这也同样至关重要。信息管理(2009)引用了对235家美国公司的一项调查,在该调查中发现,持有高标准合规性和最佳实践的公司,每年收入250亿美元,在法律成本上只比公司规模的百分之二,只支付500000美元。有不良的遵从行为。在具有符合健康文化的企业中引用的技术实践中,保持数据处理和跟踪结果的证据,以便了解需要改进过程的地方(“良好符合性”)2009。
研究结果表明,遵从健康文化与控制法律成本之间存在显著的正相关关系。事实上,调查结果还表明,遵循IT政策遵从小组(IT PCG)提出的遵从标准准则的公司,只花费不遵从的公司的三分之一的法律费用(“良好的合规性”)2009。
文化也成为专业信任情境中的一个关键因素。在任何规模的组织中,软件工具已经成为一种商品,它们无处不在,几乎没有任何业务可以在没有它们的情况下运行。但是,在软件的编写过程中,什么样的技术和公式被编写成软件的问题就要承担。班伯格(2010)评论说,在代码和分析是程序员的工具的地方,普通用户只对结果有可见性,而不考虑结果是如何产生的。一个程序员分层编纂的政策或公式,商业领袖和决策者没有能见度或技术教育理解。
这种风险存在于每一个使用软件的组织中的例子。对生产力软件的安全性,如文字处理和电子表格应用,往往来自众所周知的厂商。虽然人们普遍认为大多数安全漏洞不是由这种大规模分布式软件引起的,但企业仍有选择的风险。
在的组织中有内部应用开发团队或部门,然而代码安全问题成为一个更重要的考虑因素。这类组织必须以某种方式确保程序员使用适当的编码技术,而且,不会产生恶意代码,这些代码可能对信息或公司声誉造成损害。在这种情况下,一种符合道德规范的文化。通信和第三人称控制成为应用程序开发过程的重要组成部分。
在所有这些例子中,清楚地认识到遵从性的重要性。投资者和个人可能会受到财务影响,罚款和归还后,安全漏洞可以飙升到数以千万计,甚至软件应该有一个质量控制过程,可能需要涉及其他程序员,以确保不仅输出是预期的,但是,创建输出的方法是安全的。然而,在商业成功中影响最大的是合作伙伴和客户,这是商业成功的助推器。两者都有着合理的信息安全预期。卡斯卡里诺(2007)指出,从商业伙伴泄露的私人公司信息可能是灾难性的。此断言支持共享信息系统之前所需的伙伴安全认证的实践。这是发起组织承认安全对他们来说是重要的,并且他们期望从他们的伙伴那里得到同样的结果。一个这样的认证是共享评估程序。最初通过BIT组织开发的,这是美国100大金融机构的一个联合体,该项目开始作为金融机构在其内部规范供应商评估过程的一种方式,既提高了安全性,又提高了流程的速度。所有成员组织的“SS”(“关于我们,”2010)。现在由一家安全咨询公司管理,评估已经发展到大多数供应商行业,越来越超越其金融唯一的根源。lt;
全文共12741字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[10206],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
