别让大数据欺骗你！五个步骤管控数据合规风险

内容提要

• 为了让公司充分享受大数据带来的好处和机会，公司必须不断地验证、保护和维护公司的数据。

• 监管机构正在密切关注几乎所有行业和全球范围内的数据操纵。

• 公司管理层需要积极开展对数据合规的管理——尤其是从高层开始。

• 公司应该考虑五个关键步骤，以确保数据的合规性得到实施和管理。

• 在公司的整个生命周期中，确保诚信对于减少欺诈、防止欺诈和保护商业信誉是至关重要的。

在当今世界，大数据持续改变着公司的经营方式和发展。尽管有很多好处和机会，但对数据的依赖导致数据精准度的诉求激增，从而需要不断验证、保护和维护正在使用和存储的数据。

可以在全球范围内看到大数据应用的规模性涌现，它影响着各行各业：包括食品、服装、化妆品、农业、制药、汽车、建筑和房地产等等。一些备受关注的数据操纵案件中，公司被发现伪造数据以欺骗客户和产品安全监管机构从而将产品推向市场，这往往会导致公司被调查，并对公司的品牌造成无法弥补的损害。这些不当行为已经引起了对数据合规问题的关注，在数据是否真实、一致和准确的程度上，需要更好地管理、挖掘、分析和保护被收集的数据，特别是在评估产品安全性方面。

随着越来越多的数据造假事件被揭露，公司以及公司法律顾问更多关注到内部控制、政策与流程、以及IT系统等的管控领域，这不仅是为了避免数据造假，更是为了有效地纠正问题，防止问题的再次发生。

实施全面的数据合规体系是确保公司合规经营的关键部分。

因此，我们提出五个步骤，让公司可以成功地满足甚至超越监管机构、客户和公众的要求和期望，以确保维持数据的合规性。

一

为所有关键数据制定流程图

尤其在制造业，数据收集的重要性不可低估，数据是产品质量和安全管控的基础。因此，第一步是创建一个有效的数据完整性合规管理程序，以识别整个公司内生成的所有关键数据，这在很大程度上取决于行业数据的使用以及监管机构或第三方的要求。一旦确定了关键数据，就应该用流程图记录其生命周期。

数据生命周期的关键要素是:

创建/获取:获取当前缺失或历史缺失的数据。

处理:转换数据以便进行分析。

分析:用事实描述、获取方式、发展演变和测试假设来分析数据。

保存:设置程序，以防止有意或无意的更改或删除数据。

访问:提供受限制的数据访问权限。

存储/再使用:通过保留期来存档数据，并提供共享数据以供将来再使用。

对于上述这些要素，公司都需要定义目标和实现这些目标的适当流程。例如，在“分析”步骤中，公司可能试图确定样本测试的结果是否满足客户的需求。生成的流程图应描述发生的特定活动，所使用的数据处理系统（即，纸张，电子或两者的混合），所涉及的员工，所使用的设备、仪器以及任何质量控制点。

在整个数据生命周期中的另一个关键组件是可追溯性系统，该系统是记录的标识系统，用于识别有关产品整个生命周期的信息。例如，在产品制造过程中，可追溯性系统可以识别单个成品的所有零部件来源、生产线数据和生产线操作员的信息等。

二

进行风险评估

有了数据流程图，第二步是进行合规风险评估，识别、分析和评估数据完整性相关活动中的风险。这一步是一个动态的迭代过程，需要管理层考虑外部环境中可能发生的变化。通过风险评估过程，公司采取适当的控制措施(例如：政策、流程、资源、操作)，以最小化每种风险发生的可能性。

三

审核政策和流程

审核流程应考虑到适用的法规、行业惯例和客户要求等，以及公司内部的调整，包括IT政策（例如：用户权限管理员，安全工具，用户访问记录，审计跟踪，记录管理）、 系统管理、数据管理以及数据的存储、采集和处理；数据的审查和批准；数据的归档和备份以及反欺诈监视等。为了使数据合规体系更加有效，需要制定详细的执行操作步骤并向所有员工提供培训和沟通。

四

促进诚信文化

自上而下的管理是制定有效的数据合规管控的必要步骤。公司的领导需要对数据合规文化做出强有力的、明确的、可见的承诺。需要通过有效的培训，采取与公司的目标相一致的激励措施，保证充足的资源以及适当的措施来支持。

此外，应建立行为准则和道德政策。这些政策应包括:禁止数据伪造和篡改、引用公司内部和外部规定、 确认理解并遵守数据合规政策的声明要求、雇员举报可能有不当行为的方式以及公司将如何调查这些案件、对违规员工的纪律处分、对第三方数据完整性的要求以及培训的说明等等。

五

合规监控

评估和改进数据合规体系取决于有效的监控，而有效的监控是可以通过持续评估、定点评估或两者的结合来完成。

持续评估是内置于业务流程的常规操作。由目标小组(通常是内部审计部门)定期进行单独的评估。通过检查审核记录(即安全的、计算机生成的、有时间戳的电子记录，可用于重建与电子记录的创建、修改或删除有关的事件)，并核实岗位职责的划分和系统的预期用途的验证。当雇员用第三方进行影响数据合规性的活动时，公司应建立健全的系统来验证和比较第三方生成的数据，并应考虑在合同中嵌入“审计权”条款。

结论

随着公司持续依靠数据收集和存储来提高产品开发效率，管理、挖掘、分析和保护数据将是是一项持续的、复杂的、昂贵的管理工作。尤其在当前的市场环境下更需要确保各种经营数据本身的合规性。

为了应对这些挑战，公司就需要加强数据管理，确保高标准的数据合规管控。随着监管和客户对质量安全和合规性的关注提升，这将激励公司设计和实施更有效的措施用以完善数据合规管理。