6、定义信息技术政策合规性问题

定义信息技术政策合规性问题

1. 合规性简史

合规性并不是一个新的概念，它随着时间和事件的发展而逐渐演变。法规或标准的制定通常是对某种负面事件的反应。例如，1929年的股市崩盘促使美国国会在1933年和1934年通过了《证券交易法》，这些法律彻底改革了证券市场，增加了审查和报告要求，旨在为投资者提供更准确的信息，帮助他们做出更谨慎的投资决策。

1990年代，美国通过了《健康保险流通与责任法案》（HIPAA）和《金融服务现代化法案》（GLBA），以保护个人数据的隐私。这些法规对个人身份信息（PII）的保护提出了具体要求，并规定了每年进行风险评估的义务。GLBA的审计由特定银行的政府机构审计员执行，如联邦储备银行（FRB）、联邦存款保险公司（FDIC）、货币监理署（OCC）等。

进入21世纪，数据泄露事件频发，如大型零售商TJMaxx、多所大学及其他公共部门组织的数据泄露，引发了对数据安全的广泛关注。为了应对这些威胁，政策制定者通过了一系列法律和法规，要求组织遵守控制措施，以保护敏感的个人和财务数据。

2. 审计师解释和含糊性

合规性的一个关键挑战在于法规中的模糊性和非指令性语言。例如，萨班斯-奥克斯利法案（SOX）第404节虽然简短，但其模糊性导致了高昂的合规成本。这段不足75个单词的文字使得许多上市公司不得不雇佣两套会计事务所，平均花费170万美元用于合规性。

这种模糊性源于法律的普遍适用性，旨在适用于广泛的公司，但这几乎保证了其模糊和非指令性。关键问题在于，谁来决定如何将一段模糊的文字转化为具体的控制措施？最终，审计是由公共会计师事务所签署的，这也是为什么公司会雇佣两家事务所——一家提供咨询，一家进行审计。