2024年十大风险与合规趋势报告

Contents 3执行摘要BY MATT KELLY 4人工智能好的 ， 坏的... 未来马特 · 凯利和 A. G. 兰伯特 数据隐私和保护游泳进入未知BY KRISTY GRANT - HART 11如何满足信件 ， 精神和意图司法部不断发展的合规计划预期作者 ： 丹尼尔 · 卡恩 16制裁是 “新 ” FCPA这个执法时代如何塑造第三方风险管理作者 ： 迈克尔 · 沃尔科夫和亚历山大 · 科托亚 19ESG 的广阔世界欧盟如何引领全球可持续发展趋势By KEVIN WILHELM and Holly BRIDWELL 供应链法规和风险敞口如何管理第三方风险及其他由 Kristy GRANT - HART 和 FLORIAN HAARHAUS 27利用合规性数据更有效的决策和业务弹性作者 ： ANDERS OLSON 30风险与合规作为董事会的战略要务CARRIE PENMAN 和 SHON RAMEY 34合规性和网络安全一起工作和担心人与技术的交叉BY BILL CAMERON 37远程工作人员给调查员和合规官带来新的挑战作者 ： 斯科特 · 莫里茨 执行摘要 作者 ： Matt Kelly AI特定的监管规定下，企业已经明确面临治理、风险管理和伦理挑战，这些问题源于员工已经在尝试使用AI技术。合规官员可以并且应当在这一挑战变得难以控制之前发挥引领作用。同样地，我们也可以强调分布式劳动力中的欺诈风险、新型网络安全风险促使CISO和合规官员合作等方面的问题。 一个有效的 CORPORATE COMPLIANCE AND ETHICS程序基于两个原则。首先，该程序必须引导公司在当今复杂的监管环境中运作；这就是合规部分。其次，该程序必须帮助公司以正直的方式运营，而正直作为一种行为标准，在每年对客户、员工和其他利益相关者而言越来越重要；这就是伦理部分。 如何在合规与伦理计划中遵循这两大原则，并 navigating当前的商业、技术和社会压力？这是 NAVEX 在年度《风险与合规十大趋势》报告中试图回答的问题。 换句话说 ， 2024 年将是一年 为了找到这些问题的答案，NAVEX咨询了可信赖的行业专家和内部的思想领袖及实践者。被咨询者就被考虑和准备2024年GRC专业人士和其他领导者应关注的内容提供了他们的最佳思考。本报告即为此目的而编写（或呈现在您的屏幕上）。 合规和道德计划 响应来自 监管世界。 一半的洞察在今年的报告中探讨了我们之前提到的复杂监管环境。例如，经济制裁的执行已成为美国司法部优先级不断提升的问题——正如副检察长丽莎·蒙福特所说，“制裁成为新的FCPA”——合规计划将不得不以某种方式适应这一新现实。同样的情况也将适用于新的ESG报告规则、扩展的隐私标准以及来自全球监管机构的新合规指导。 我们可以也将2024年视为合规官员扩展并嵌入其风险管理目标的企业年份。 好的消息是，合规官员得益于我们行业正在经历的数字化转型，能够应对所有这些挑战。一个现代且正确配置的GRC信息系统可以收集和分析数据，使您和高级管理层团队能够做出更好的、更具风险意识的决策，并取得更好的结果——我们预计这一趋势将持续多年。 在其他 words，2024 将是一年合规和伦理计划响应监管世界的具体要求。 我们希望今年的指南能为所有致力于应对未来挑战的GRC专业人士提供宝贵的见解。 那也不是全部。今年报告中的另一部分内容则探讨了合规计划将如何应对企业运营和员工工作方式更广泛挑战的需要。我们可以预见人工智能的到来。甚至在监管机构开发相关规则之前，就已经可以观察到这一趋势。 人工智能 - 好的 ， 坏的... 未来 马特 · 凯利和 A. G. 兰伯特 人工智能的发展，尤其是生成式人工智能的进步，能够仅通过少量提示创造出全新的图像、声音和文本，这是本十年最重要的技术发展。 给予价格折扣的权限最常被请求？并且还有许多其他情况。AI 然后会立即返回清晰直接的答案。 然而，负面因素在于，在缺乏强有力约束的情况下，AI 可能不会总是提供准确的答案。或者它可能会利用你提供的信息——包括敏感信息——来学习如何回答下一个用户的问题。它可能会以意想不到的方式与员工和客户互动。它可能会从一组有缺陷的数据中学习，习得不良的认知习惯，并给出错误的答案，就像任何人类一样。请记住我们之前说过的话：生成式 AI 的技术基础极其强大。公司必须以正确的方式 2024年（及以后）的挑战将是如何在企业中将人工智能应用于盈利、有益且符合道德的方式。合规职能需要预见这一挑战所涉及的所有方面。 企业其他部分也可以找到方法在其自身运营中合理利用AI——或者他们可能会鲁莽地继续前进，从而引发各种合规和网络安全风险。 护栏从治理开始 即使合规官员开始在其职能内部使用AI，他们也将需要成为值得信赖的顾问，为高级管理层和其他企业部门服务，以便这些其他业务部分能够以谨慎、合法和风险意识较强的方式使用AI。 随着2024年的到来，组织面临的 Immediate challenge 将是建立一个涵盖整个企业的治理结构，以确保业务能够合理地采纳人工智能。也就是说，公司内部需要有一个高级管理团队——我们可以称之为指导委员会——来明确公司在合规基础上采用人工智能的基本准则。 理解积极和消极 正面来看，ChatGPT背后的这项技术及其生成式AI的同类技术极为强大。生成式AI首先利用自然语言处理（NLP）功能，允许人类用户以我们彼此交流时使用的相同自然语言向AI提出查询。然后，基于其已经研究过的大量数据，AI计算出最有可能是用户问题最佳答案的一串单词、数字或像素。 记住我们之前说过的话：生成式AI背后的技术极为强大。公司必须以适当的方式利用这种巨大的力量，否则将面临灾难的风险。 可以在这里看到极具说服力的应用场景。一家企业可以基本上在其自身数据上叠加一个自然语言处理（NLP）接口，这样员工就可以提出类似以下的问题：哪些客户是我们最大的支出者？哪些求职者的技能与我们的需求最为相关？哪些经销商提出了与我们需求最相关的询问？ 然后组织图表中较低层级的其他员工可以开发对您的业务最有意义的具体AI应用场景。 该指导委员会至少应包括CISO、首席合规官、技术负责人、CFO以及总法律顾问。其他可能的候选人（根据您的业务模式和目标而定）可能包括人力资源负责人、营销负责人以及其他相关人员。 这些指导委员会可能是首席合规官展示自身能力的一个场所。毕竟，大多数指导委员会成员在设想应用场景方面很强，但在理解所有相关风险方面却不够深入。作为首席合规官（CCO），你应该成为顾问，引导委员会制定AI采用策略。 例如，我们已经看到一些政府开始规范AI的使用方式。在纽约市，希望使用AI筛选求职申请者的雇主（包括简单的自动关键词搜索）必须进行“偏见审计”，并将结果在线发布。如果该规定适用于您的业务，人力资源团队是否了解这一要求？谁负责确保及时并正确地完成偏见审计？ 这些是AI steering委员会可以探索的问题，而合规官员可以在监管世界与商业世界之间发挥重要作用。2024年将是合规官员帮助企业在伦理、合法和可持续的前提下采用AI的一年。抓住这个机会。 管理实践，并确保您能够访问和管理所有数据，以便您的AI应用能实现最大价值。 合规功能中的 AI 模型 AI 监管怎么样 ？ 合规官员也可以在2024年专注于 figure out 如何将人工智能整合到自身的运营中。这里有很大的潜力。 AI监管仍处于初级阶段。我们看到了一些早期尝试——例如前述的纽约市法规——但在美国和欧洲，具体监管措施仍然罕见。 我们之前提到，AI通过处理大量数据来学习。企业手中掌握的数据量非常庞大，因此可以开发一个生成式AI工具，专门研究您自己的交易数据、第三方数据、内部员工沟通记录等。然后，您可以开始用简单直接的句子向AI提问关于合规风险的问题，您将获得简单直接的答案。 有可能我们在2024年会看到更多这方面的进展。例如，欧盟在2023年提出了《欧盟人工智能法案》，该法案要求所有生成式AI在商业发布前必须接受外部审查；但该立法仍需经过漫长的谈判才能生效。拜登政府也提出了几项“良好使用人工智能”的支柱原则，但这些原则既模糊又具有自愿性质。 当然，这假设您的公司有良好的数据管理实践，并且合规团队可以访问所有数据。这为合规官员在2024年可能想要设定的另一个目标提供了另一个方向：与企业的其他部分密切合作，构建强大的数据管理体系。 然后合规官员并不需要专门针对AI的法规来占据自己的时间。AI已经到来，正在渗透到企业的各项业务运营中。 2024年将是合规官员与高级管理层就如何采用人工智能进行交流的一年，也是您提升自身GRC技术能力以充分利用人工智能的一年。 关于作者 A. G. 兰伯特 A.G.拉姆伯特是NAVEX的首席产品官，负责推动公司的产品愿景和战略。通过进一步提升产品的创新能力和领导地位，A.G擅长优化产品策略以满足客户、合作伙伴以及整个行业当前和未来的需求。 AI 已经在这里 ， 渗入整个地区的业务运营企业。 在加入NAVEX之前，A.G.曾担任SAP Concur的首席产品战略官。他还曾在Saba、Infor、Extensity和Autodesk担任领导产品管理及营销团队的职位。A.G.毕业于华盛顿大学，获得物理学和英语文学学士学位，并在加利福尼亚大学伯克利分校哈斯商学院获得工商管理硕士学位。 2024 预测 马特 · 凯利 马特·凯利是Radical Compliance的编辑和CEO，Radical Compliance是一家关注大型企业 CORPORATE GOVERNANCE、风险和合规问题的博客和newsletter。他经常在合规、治理和风险领域进行演讲和写作。 随着人工智能技术在全球范围内不断发展并获得认可，相应的监管措施也将随之增加以规范其使用。我们可以预期这些监管措施将根据具体的应用场景、地理区域以及人工智能自身的特定功能而有所不同。 人工智能有望激发领导者们在如何在业务中使用它以及如何执行政策方面保持一致。我们可以预期越来越多的合规性和网络安全领导者将站出来，维护适当的治理和安全措施，因为人工智能将成为提高组织效率和准确性的重要技术。 数据隐私与保护 - 游入未知 克里斯蒂 · 格兰特 - 哈特 如果你觉得每天醒来都会遇到新的数据隐私法规或指导方针，这不是梦境。监管和规则制定的速度前所未有地加快。特别是在人工智能和网络恐怖主义日益成为关注焦点的新兴时代，有关道德数据使用的复杂性尤为深远。 United Kingdom 在2020年，脱欧后的英国颁布了《英国GDPR》，其内容与欧盟GDPR基本一致。这不足为奇，因为对英国而言，维持欧盟授予的数据传输 adequacy 决定至关重要，这意味着英国可以在无需额外保护措施（如标准合同条款）的情况下，在欧盟内外进行数据传输。 数据隐私不仅指保护关于可识别个人的数据安全，还扩展到国家安全问题、虚假媒体无端损害声誉，以及因生物识别数据滥用导致的企业数据库全面泄露。 英国政治家们讨论过使英国更加有利于数据处理，以期使其成为技术发展和部署更具吸引力的地方。迄今为止，相关措施仍基本遵循欧盟GDPR的版本。 在当前环境下担任合规、伦理、风险或数据隐私官员颇具挑战性。法律已经经历了许多变化，并且在未来一年还将发生更多的变革。让我们来看看当前的情况、新兴的问题、我们现在应该采取的措施以及我们对2024年的预测。 美国联邦法律 多年来，人们一直在努力推动出台联邦数据隐私法。去年，本刊重点关注美国国会两党在制定联邦数据隐私法方面的共同努力，但遗憾的是，这些努力最终未能成功。目前尚未出台全国性的相关法律，我们也不预期2024年会出台此类法律。 我们现在在哪里 全球各地现在都对数据隐私感兴趣 ， 但有些地方比其他地方更专注。 美国州法律 欧洲和通用数据保护条例 联邦政府行动