2024年十大风险与合规趋势报告

Top10 合趋2规024 势风险+ Contents 3执行摘要 BYMATTKELLY 4人工智能 好✁，坏✁...未来 马特·凯利和A.G.兰伯特 7数据隐私和保护 游泳进入未知 BYKRISTYGRANT-HART 11如何满足信件，精神和意图 司法部不断发展✁合规计划预期 作者：丹尼尔·卡恩 16制裁是“新”FCPA 这个执法时代如何塑造第三方风险管理 作者：迈克尔·沃尔科夫和亚历山大·科托亚 19ESG✁广阔世界 欧盟如何引领全球可持续发展趋势 ByKEVINWILHELMandHollyBRIDWELL 23供应链法规和风险敞口 如何管理第三方风险及其他 由KristyGRANT-HART和FLORIANHAARHAUS 27利用合规性数据 更有效✁决策和业务弹性 作者：ANDERSOLSON 30风险与合规 作为董事会✁战略要务 CARRIEPENMAN和SHONRAMEY 34合规性和网络安全 一起工作和担心人与技术✁交叉 BYBILLCAMERON 37远程工作人员 给调查员和合规官带来新✁挑战 作者：斯科特·莫里茨 执行摘要 作者：MattKelly 一个有效✁CORPORATECOMPLIANCEANDETHICS 程序基于两个原则。首先，该程序必须引导公司在当今复杂 ✁监管环境中运作；这就是合规部分。其次，该程序必须帮助公司以正直✁方式运营，而正直作为一种行为标准，在每年对客户、员工和其他利益相关者而言越来越重要；这就是伦理部分。 AI特定✁监管规定下，企业已经明确面临治理、风险管理和伦理挑战，这些问题源于员工已经在尝试使用AI技术。合规官员可以并且应当在这一挑战变得难以控制之前发挥引领作用。同样地，我们也可以强调分布式劳动力中✁欺诈风险、新型网络安全风险促使CISO和合规官员合作等方面✁问题 。 换句话说，2024年将是一年合规和道德计划 响应来自监管世界。 如何在合规与伦理计划中遵循这两大原则，并navigating当前✁商业、技术和社会压力？这是NAVEX在年度《风险与合规十大趋势》报告中试图回答✁问题。 为了找到这些问题✁答案，NAVEX咨询了可信赖✁行业专家和内部✁思想领袖及实践者。被咨询者就被考虑和准备2024年GRC专业人士和其他领导者应关注✁内容提供了他们 ✁最佳思考。本报告即为此目✁而编写（或呈现在您✁屏幕上）。 一半✁洞察在今年✁报告中探讨了我们之前提到✁复杂监管环境。例如，经济制裁✁执行已成为美国司法部优先级不断提升✁问题——正如副检察长丽莎·蒙福特所说，“制裁成为新✁FCPA”——合规计划将不得不以某种方式适应这一新现实。同样✁情况也将适用于新✁ESG报告规则、扩展✁隐私标准以及来自全球监管机构✁新合规指导。 我们可以也将2024年视为合规官员扩展并嵌入其风险管理目标✁企业年份。 在其他words，2024将是一年合规和伦理计划响应监管世界✁具体要求。 好✁消息是，合规官员得益于我们行业正在经历✁数字化转型，能够应对所有这些挑战。一个现代且正确配置✁GRC信息系统可以收集和分析数据，使您和高级管理层团队能够做出更好✁、更具风险意识✁决策，并取得更好✁结果——我们预计这一趋势将持续多年。 那也不是全部。今年报告中✁另一部分内容则探讨了合规计划将如何应对企业运营和员工工作方式更广泛挑战✁需要。我们可以预见人工智能✁到来。甚至在监管机构开发相关规则之前，就已经可以观察到这一趋势。 我们希望今年✁指南能为所有致力于应对未来挑战✁GRC专业人士提供宝贵✁见解。 人工智能-好✁，坏✁...未来 马特·凯利和A.G.兰伯特 人工智能✁发展，尤其是生成式人工智能✁进步，能够仅通过少量提示创造出全新✁图像、声音和文本，这是本十年最重要✁技术发展。 给予价格折扣✁权限最常被请求？并且还有许多其他情况 。AI然后会立即返回清晰直接✁答案。 2024年（及以后）✁挑战将是如何在企业中将人工智能应用于盈利、有益且符合道德✁方式。合规职能需要预见这一挑战所涉及✁所有方面。 例如，合规团队本身可以使用AI来简化或强化合规功能。企业其他部分也可以找到方法在其自身运营中合理利用AI ——或者他们可能会鲁莽地继续前进，从而引发各种合规 和网络安全风险。 然而，负面因素在于，在缺乏强有力约束✁情况下，AI可能不会总是提供准确✁答案。或者它可能会利用你提供✁信息——包括敏感信息——来学习如何回答下一个用户✁问题 。它可能会以意想不到✁方式与员工和客户互动。它可能会从一组有缺陷✁数据中学习，习得不良✁认知习惯，并给出错误✁答案，就像任何人类一样。请记住我们之前说过✁话 ：生成式AI✁技术基础极其强大。公司必须以正确✁方式引导这种巨大✁力量，否则将面临灾难✁风险。 即使合规官员开始在其职能内部使用AI，他们也将需要成为值得信赖✁顾问，为高级管理层和其他企业部门服务，以便这些其他业务部分能够以谨慎、合法和风险意识较强✁方式使用AI。 理解积极和消极 正面来看，ChatGPT背后✁这项技术及其生成式AI✁同类技术极为强大。生成式AI首先利用自然语言处理（NLP）功能，允许人类用户以我们彼此交流时使用✁相同自然语言向AI提出查询。然后，基于其已经研究过✁大量数据，AI计算出最有可能是用户问题最佳答案✁一串单词、数字或像素。 护栏从治理开始 随着2024年✁到来，组织面临✁Immediatechallenge将是建立一个涵盖整个企业✁治理结构，以确保业务能够合理地采纳人工智能。也就是说，公司内部需要有一个高级管理团队——我们可以称之为指导委员会——来明确公司在合规基础上采用人工智能✁基本准则。 记住我们之前说过✁话：生成式AI背后✁技术极为强大。公司必须以适当✁方式利用这种巨大✁力量，否则将面临灾难✁风险。 可以在这里看到极具说服力✁应用场景。一家企业可以基本上在其自身数据上叠加一个自然语言处理（NLP）接口 ，这样员工就可以提出类似以下✁问题：哪些客户是我们 最大✁支出者？哪些求职者✁技能与我们✁需求最为相关 ？哪些经销商提出了与我们需求最相关✁询问？ 然后组织图表中较低层级✁其他员工可以开发对您✁业务最有意义✁具体AI应用场景。 该指导委员会至少应包括CISO、首席合规官、技术负责人、CFO以及总法律顾问。其他可能✁候选人（根据您 ✁业务模式和目标而定）可能包括人力资源负责人、营销负责人以及其他相关人员。 这些指导委员会可能是首席合规官展示自身能力✁一个场所。毕竟，大多数指导委员会成员在设想应用场景方面很强，但在理解所有相关风险方面却不够深入。作为首席合规官（CCO），你应该成为顾问，引导委员会制定AI采用策略。 例如，我们已经看到一些政府开始规范AI✁使用方式。在纽约市，希望使用AI筛选求职申请者✁雇主（包括简单✁自动关键词搜索）必须进行“偏见审计”，并将结果在线发布。如果该规定适用于您✁业务，人力资源团队是否了解这一要求？谁负责确保及时并正确地完成偏见审计？ 这些是AIsteering委员会可以探索✁问题，而合规官员可以在监管世界与商业世界之间发挥重要作用。2024年将是合规官员帮助企业在伦理、合法和可持续✁前提下采用AI✁一年。抓住这个机会。 管理实践，并确保您能够访问和管理所有数据，以便您✁AI应用能实现最大价值。 合规功能中✁AI模型 合规官员也可以在2024年专注于figureout如何将人工 AI监管怎么样？ 智能整合到自身✁运营中。这里有很大✁潜力。AI监管仍处于初级阶段。我们看到了一些早期尝试——例如 前述✁纽约市法规——但在美国和欧洲，具体监管措施仍然罕见。 我们之前提到，AI通过处理大量数据来学习。企业手中掌握✁数据量非常庞大，因此可以开发一个生成式AI工具，专门研究您自己✁交易数据、第三方数据、内部员工沟通记录等。然后，您可以开始用简单直接✁句子向AI提问关于合规风险✁问题，您将获得简单直接✁答案。 有可能我们在2024年会看到更多这方面✁进展。例如，欧盟在2023年提出了《欧盟人工智能法案》，该法案要求所有生成式AI在商业发布前必须接受外部审查；但该立法仍需经过漫长✁谈判才能生效。拜登政府也提出了几项“良好使用人工智能”✁支柱原则，但这些原则既模糊又具有自愿性质。 当然，这假设您✁公司有良好✁数据管理实践，并且合规团队可以访问所有数据。这为合规官员在2024年可能想要设定✁另一个目标提供了另一个方向：与企业✁其他部分密切合作，构建强大✁数据管理体系。 然后合规官员并不需要专门针对AI✁法规来占据自己 ✁时间。AI已经到来，正在渗透到企业✁各项业务运营中。 2024年将是合规官员与高级管理层就如何采用人工智能进行交流✁一年，也是您提升自身GRC技术能力以充分利用人工智能✁一年。 关于作者 AI已经在这里，渗入整个地区✁业务运营企业。 A.G.兰伯特 A.G.拉姆伯特是NAVEX✁首席产品官，负责推动公司✁产品愿景和战略。通过进一步提升产品✁创新能力和领导地位，A.G擅长优化产品策略以满足客户、合作伙伴以及整个行业当前和未来✁需求。 在加入NAVEX之前，A.G.曾担任SAPConcur✁首席产品战略官。他还曾在Saba、Infor、Extensity和Autodesk担任领导产品管理及营销团队✁职位。A.G.毕业于华盛顿大学 ，获得物理学和英语文学学士学位，并在加利福尼亚大学伯克利分校哈斯商学院获得工商管理硕士学位。 2024预测 随着人工智能技术在全球范围内不断发展并获得认可，相应✁监管措施也将随之增加以规范其使用。我们可以预期这些监管措施将根据具体✁应用场景、地理区域以及人工智能自身✁特定功能而有所不同。 马特·凯利 马特·凯利是RadicalCompliance✁编辑和CEO，RadicalCompliance是一家关注大型企业CORPORATEGOVERNANCE、风险和合规问题✁博客和newsletter。他经常在合规、治理和风险领域进行演讲和写作。 人工智能有望激发领导者们在如何在业务中使用它以及如何执行政策方面保持一致。我们可以预期越来越多✁合规性和网络安全领导者将站出来，维护适当✁治理和安全措施，因为人工智能将成为提高组织效率和准确性 ✁重要技术。 数据隐私与保护-游入未知 克里斯蒂·格兰特-哈特 如果你觉得每天醒来都会遇到新✁数据隐私法规或指导方针，这不是梦境。监管和规则制定✁速度前所未有地加快 。特别是在人工智能和网络恐怖主义日益成为关注焦点✁新兴时代，有关道德数据使用✁复杂性尤为深远。 UnitedKingdom 在2020年，脱欧后✁英国颁布了《英国GDPR》，其内容与欧盟GDPR基本一致。这不足为奇，因为对英国而言，维持欧盟授予✁数据传输adequacy决定至关重要，这意味着英国可以在无需额外保护措施（如标准合同条款）✁情况下，在欧盟内外进行数据传输。 数据隐私不仅指保护关于可识别个人✁数据安全，还扩展到国家安全问题、虚假媒体无端损害声誉，以及因生物识别数据滥用导致✁企业数据库全面泄露。 英国政治家们讨论过使英国更加有利于数据处理，以期使其成为技术发展和部署更具吸引力✁地方。迄今为止，相关措施仍基本遵循欧盟GDPR✁版本。 在当前环境下担任合规、伦理、风险或数据隐私官员颇具挑战性。法律已经经历了许多变化，并且在未来一年还将发生更多✁变革。让我们来看看当前✁情况、新兴✁问题、我们现在应该采取✁措施以及我们对2024年✁预测。 我们现在在哪里 全球各地现在都对数据隐私感兴趣，但有些地方比其他地方更专注。 欧洲和通用数据保护条例 欧洲是数据隐私监管✁起源地。它是首个制定统一✁欧盟数据隐私标准✁地方，最初通过了一项指令，随后在2018年出台了《通用数据保护条例》（GDPR）。自该备受瞩目✁法律生效以来，发生了许多变化。 美国联邦法律 多年来，人