專利名稱:合規(guī)性項目評估工具的制作方法
技術領域:
許多機構都必須遵守各種規(guī)則���、政策�����、規(guī)章和指南,不管這是由 管理實體內部建立的��,或者是立法的結果(下文稱"規(guī)則")�。因為有
些規(guī)則����,機構具有監(jiān)督一致性合規(guī)或者遵守規(guī)則的責任����,所以����,對于 管理跨整個企業(yè)組織的合規(guī)性項目的復雜過程就有著越來越大的需
求��。此外,組織內的不同業(yè)務部門(LOB)有著不同的合規(guī)性政策和 流程�。對于大型的和地理上分散的組織,這些要求會產生重大的挑戰(zhàn) 和資源消耗。
背景技術:
為了確保組織的LOB的合規(guī)性項目是充分和有效的,就需要組 織來執(zhí)行合規(guī)性項目評估�����。這些評估跨組織評價合規(guī)性項目的文獻充 分性和執(zhí)行效率�。此外,合規(guī)性評估有時能夠發(fā)現(xiàn)可以執(zhí)行改進或釆 取補救行動的地方。這些努力必須要有資金�����,而且必須一直被充分地 監(jiān)督和追蹤���。因此�����,就需要一個整體的過程和工具��,來有效地跨組織 評估合規(guī)性項目并管理合規(guī)性項目評估�。
發(fā)明內容
本發(fā)明提供了用于跨組織監(jiān)督合規(guī)性活動的合規(guī)性評估系統(tǒng)和 工具。合規(guī)性活動對照一組用于評估LOB合規(guī)性項目的合規(guī)性項目 要求(CPR)進行度量。對CPR進行組織����,以便于CPR在大量的高 水平的合規(guī)性項目元素下�,被編制目錄����。CPR定義了 LOB文獻及其 合規(guī)性項目執(zhí)行的最低標準。評估結果被存檔,并生成能夠用于確定 評估趨勢的合規(guī)性項目評估數(shù)據表單、圖形表示以及高水平報告����?���??以跨整個識別組織CPR并確定每個CPR的臨界狀態(tài)。對于每個CPR
來說�,也向支持合規(guī)性項目的文獻狀態(tài)和合規(guī)性項目執(zhí)行效率提供等 級。對于這些輸入,本發(fā)明的工具自動計算代表合規(guī)性項目充分性和 效率的分數(shù)�����。工具至少部分根據分數(shù)分配色碼,以對合規(guī)性項目的狀
態(tài)提供快速的視覺指示。當為CPR建立分數(shù)時���,向每個CPR分配值 (低�、中�����、高)���。該值也用于為與每個CPR關聯(lián)的缺口編制優(yōu)先級 以作補救考慮�����。
在一些實施例中��,本發(fā)明的合規(guī)性評估系統(tǒng)包括各種模塊����、應用 程序或者一起工作的應用程序模塊以完成合規(guī)性項目評估、編制優(yōu)先 級��、建議行動和報告。這些可以通過計算機系統(tǒng)��、軟件以及網絡,或 者通過其他裝置��,例如紙基裝置����,來實現(xiàn)���。合規(guī)性項目評估模塊通過 下列手段實現(xiàn)合規(guī)性評估的開發(fā)通過根據組織要求對CPR進行組 織���;通過捕捉評估數(shù)據����;通過根據要求和數(shù)據計算評估分數(shù)以及通過 對任何識別的缺口編制建議行動的優(yōu)先級�����。通用數(shù)據庫可操作地連接 到合規(guī)性項目評估模塊和其他模塊�����,以維護CPR、分數(shù)以及與評估相 關的其他數(shù)據����。能夠提供報告功能�,便于對組織的合規(guī)性項目進行監(jiān) 督�。
在一些實施例中���,本發(fā)明通過計算平臺或由網絡互連的計算平臺 的集合來實現(xiàn)�����,例如�,公司內部網��,在這種情況下�,網絡瀏覽器能夠 便于本發(fā)明的使用���。包括帶有各種指令的計算機程序的計算機程序產 品��,可以使硬件至少部分地執(zhí)行本發(fā)明的方法�。應用程序或者模塊, 例如上文中提到的合規(guī)性項目評估模塊����,可以在服務器或工作站上運 行。如果應用程序在服務器上運行,那么��,從客戶端工作站訪問模塊��。 數(shù)據庫可操作地連接到模塊��。數(shù)據庫可以位于相同平臺上�����,作為一個 或多個應用程序模塊��,但是更為典型的是,數(shù)據庫位于數(shù)據庫服務器 上。在這個基于計算機的實施例中����,硬件和軟件共同形成了用于執(zhí)行 本發(fā)明的裝置����。
圖1是用于實現(xiàn)本發(fā)明的一些實施例的一些計算機硬件的框圖2是適于用在大型企業(yè)中的示例性實施例中的用于實現(xiàn)本發(fā) 明的硬件的網絡框圖3是可以由本發(fā)明的合規(guī)性項目評估模塊創(chuàng)建的示例性數(shù)據
表單��;
圖4是示出了根據本發(fā)明的一個實施例的初始和建立合規(guī)性項 目評估系統(tǒng)的流程圖5是示出了根據本發(fā)明的一個實施例的合規(guī)性項目評估系統(tǒng) 操作的流程圖6是示出了根據本發(fā)明的一個實施例的使用合規(guī)性項目評估 工具的流程圖7到12示出了本發(fā)明的工具的報告功能。
具體實施例方式
通過參考在此陳述的具體實施例��,可以更好地理解本發(fā)明�����。這些 實施例中的一些是在大型企業(yè)的背景下執(zhí)行的�,利用了公司內部網來 執(zhí)行合規(guī)性項目評估功能�;但是,這些實施例只是示例性的�。本發(fā)明 適合任何類型的組織內部的任何類型的合規(guī)性項目評估活動���。
術語"企業(yè)"或"組織�,��,通常用于指使用本發(fā)明的實體�,例如���,公司 或社團���。實體可大可小��。"業(yè)務部門(LOB),�,通常指企業(yè)或組織內的 部門����。在本申請中的"合規(guī)性角色�,����,表示由機構所定義的功能,其要求 完成一個或多個合規(guī)性項目評估角色��,例如合規(guī)性官員�、審計員或其 他功能。通常����,角色由個體或個體組成的團隊來提交�,例如����,授權和 受培訓的合規(guī)性官員來執(zhí)行特定角色要求的功能���。
術語"模塊"、"應用程序模塊���,�����,����,以及在一些情況下的簡單的"應 用程序"指的是在作為整個討論的角色管理系統(tǒng)的一部分執(zhí)行的特定 過程�。通常�,模塊對應于軟件應用程序���。 一些模塊用于合規(guī)性角色收 集并向合規(guī)性項目評估模塊輸入數(shù)據的過程����。在本申請中使用的術語 "工作站�,,意在包括任何合規(guī)性角色從其能夠訪問本發(fā)明的系統(tǒng)的設 備。
圖1以框圖的形式�,示出了本發(fā)明的計算機實現(xiàn)的實施例視圖�����,
如可以網絡中實現(xiàn)的�。圖2中示出了在下文中將討論的網絡組件���、在 線系統(tǒng)的視圖。圖1包括計算機平臺100����。作為平臺的中央處理單元 (CPU)的處理器102對平臺進行控制����。存儲器104通常被劃分為多 種類型的存儲器或存儲區(qū)域���,例如,只讀存儲器(ROM)以及隨機 存取存儲器(RAM)。示出了多個通用適配器106��。在這個例子中, 至少一個服務器將計算平臺連接到網絡108����。網絡可以是公司內部網、 或者只是局域網(LAN)����。用于執(zhí)行適當?shù)膽贸绦蚰K的計算機程 序代碼指令�����,存儲在硬盤上110上��,所述應用程序模塊包括合規(guī)性項 目評估模塊134。當系統(tǒng)運行時��,指令被部分導入到存儲器��,并由CPU 進行執(zhí)行�。多種類型的通用計算機系統(tǒng)和工作站可以使用����,并可用于 實現(xiàn)計算平臺100���??捎玫南到y(tǒng)包括運行操作系統(tǒng)的系統(tǒng),例如, Microsoft的WindowsTM、各種版本的UNIXTM�����、各種版本的LinuxTM 以及各種版本的Apple的MacTMOS�。
應當注意�,包括通用數(shù)據庫的本發(fā)明的整個功能,能夠整體或部 分地在類似于圖1所示的單個計算平臺上實現(xiàn)。例如��,如果小的業(yè)務 以單機來實現(xiàn)本發(fā)明,也可以是這種情況�。本發(fā)明也可以部分或完全 地利用紙基裝置來實現(xiàn)��,這種情況下的形式可以取代在此公開的各種 計算機輸入流程和屏幕����。但是,在其他實施例中�,通用數(shù)據庫可以存
儲在數(shù)據庫服務器中���,例如,圖1的114所示的SQL服務器。在這 種情況下���,硬盤存儲器118包括數(shù)據庫。處理器120、適配器122和 存儲器124的功能類似于計算機100上的這些裝置�。如果用公司內部 網進行連接,那么計算平臺IOO上的應用程序或模塊能夠通過網頁從 客戶端工作站130進行訪問��。利用適當?shù)陌踩珔f(xié)議,也可以通過因特 網遠程完成評估和追蹤行動�����,如將參考圖2在下文中描述的���。
在任何情況下���,通過利用如圖l所示的系統(tǒng)�����,部分實現(xiàn)本發(fā)明的 計算機程序,可以采取位于計算機可用或計算機可讀存儲介質上的如 MICROSOFT EXCEL電子表格的計算機程序產品的形式。這種介質�����、 軟盤在圖1的132中示出。包括程序指令的計算機程序產品以這種形
式提供,并能夠直接地或者通過因特網下栽到所涉的機器上。當計算 機程序產品通過因特網"下載"時,介質也可以是被檢索的信息流�����。計
算機程序能夠位于任何能夠包括��、存儲����、通信�、傳播或傳輸?shù)挠芍噶?執(zhí)行系統(tǒng)、設備或部件使用或結合指令執(zhí)行系統(tǒng)、裝置或部件使用的 介質上���。計算機可用或計算機可讀介質可以是�,例如但不限于,電子����、 磁�����、光、電磁、紅外或者半導體系統(tǒng)���、設備�、部件或傳播介質����。計算 機可讀介質的其他例子可以包括電連接����,所述電連接具有 一條或多條 線����、可移動計算機軟盤或可移動硬盤���、光纖、光盤只讀存儲器
(CD-ROM)以及數(shù)字多功能只讀存儲器(DVD-ROM)�。注意��,計 算機可用或計算機可讀介質甚至可以是程序可以利用其進行打印的 紙或另外的適當介質�����,因為程序可以通過例如紙或其他介質的光學掃 描進行電子捕捉����,然后進行編譯����、解釋或在必要的時候進行適當?shù)奶?理���,隨后存儲到計算機存儲器中���。
本發(fā)明的系統(tǒng)的初始和安裝�����,將結合圖3所示的本發(fā)明的數(shù)據表 單和圖4的流程圖的實施例進行描述�。組織內的高管或其他授權部門 開發(fā)了應用于組織的CPR301,而且對于CPR301,組織基于管理該 組織的規(guī)則最終負責與其保持一致(方框401) 。 CPR是LOB必須 執(zhí)行以實現(xiàn)LOB合規(guī)性要求的定義的過程��、流程或活動�。每個CPR 通常包括如合規(guī)性規(guī)則應用所確定的需要由組織執(zhí)行的要求�����、過程和 /或流程的描述����。CPR描述符可以包括CPR涉及的活動的描述和/或其 他相關信息��。可以向每個CPR提供要求號303�,以便于參考CPR�����。 要求號可以包括字母數(shù)字代碼�����,例如,其涉及的項目元素的兩個字母 縮寫,以及識別號。CPR可以包括必須由LOB執(zhí)行的用于滿足定義 的CPR的多個活動或過程。這些CPR可以存儲在存儲器104或124 的系統(tǒng)中���,或者,可以從獨立于系統(tǒng)的文檔中進行訪問����。在優(yōu)選實施 例中,當角色例如在工作站130執(zhí)行合規(guī)性評估時,CPR可以由合規(guī) 性角色進行訪問����。
在一個實施例中�����,對CPR進行組織�,以便于在多個較高水平的 合規(guī)性項目元素302中����,對CPR編制目錄(方框402 )����。在每個項目
元素中編制目錄的CPR,涉及該項目元素���,使得如果涉及項目元素的 所有CPR被滿足���,那么項目元素也將被滿足����。在本實現(xiàn)方式中���,定義了七個這種項目元素302�,應當理解,可 以定義更大或更小數(shù)量的項目元素����。在本發(fā)明實現(xiàn)方式50中�,定義 了 CPR301,每個CPR301落入項目元素302的其中一個中�����。在本實 現(xiàn)方式中����,項目元素302和CPR301在組織水平進行定義�,使得這些 元素對于組織內的每個LOB相同。每個CPR301包括LOB必須實現(xiàn) 以滿足該CPR要求的描述��。描述可以由合規(guī)性角色使用,用于確定 LOB是否滿足該CPR的要求���。系統(tǒng)可以包括當評估CPR時,由合規(guī) 性角色提到的每個CPR的附加背景信息。背景信息可以包括CPR源�����, 例如美國代碼適配器或者內部政策號或者其他解釋性信息��?���?梢栽?CPR中提供鏈接�,以訪問該背景信息���。對于每個CPR,定義臨界狀 態(tài)等級307�����,其中���,臨界狀態(tài)等級表示每個CPR與其他CPR相比的 相對臨界狀態(tài)(方框403 )���。在示意性實施例中,使用兩個臨界狀態(tài) 等級3和5,其中�,等級5表示對有效合規(guī)性項目相對更為臨界的CPR�。 應當理解,利用兩個以上的等級可以提供更大程度的粒度����。如項目元 素302和CPR301�����,臨界狀態(tài)等級307在組織水平上定義�,使得臨界 狀態(tài)等級對于組織中的每個LOB都相同���。在一個實現(xiàn)方式中,項目元素302和CPR301在下文中列出,其 中,CPR基于組織的合規(guī)性項目評估要求���,所述組織具有包括政府和 管理規(guī)則的內部和外部合規(guī)性要求項目元素NO.l-承諾和責任1. 根據LOB合規(guī)性項目指南��,維護和實現(xiàn)合規(guī)性項目�����。2. 考慮在新產品和過程開發(fā)中的關鍵合規(guī)性風險,以確保風險 能被適當?shù)毓芾怼?. 合規(guī)性問題和風險被并入到組織風險審查和LOB自我評估過程���。4. 資源是充分的并能夠提供必要的專門意見,并能夠投資項目/ 行動以管理現(xiàn)金和出現(xiàn)的合規(guī)性風險�����。5. 合規(guī)性風險/主題被包括在執(zhí)行者與高管會議期間的日程表項目中。6. 合規(guī)性風險和度量在方針管理計劃(Hoshin planning)中被考慮�。7. 社團對包括公司標準的違反的合規(guī)性執(zhí)行負有責任�����。8. 合規(guī)性角色����、責任以及執(zhí)行期望被存檔并傳輸�����。9. 高管定期地將合規(guī)性承諾發(fā)送給它們的社團����。10. 適當?shù)倪^程用以識別和解決合規(guī)性缺口��、現(xiàn)金和出現(xiàn)的合規(guī) 性風險��,以及及時的合規(guī)性項目缺陷。11. 適當?shù)倪^程以在需要時對合規(guī)性項目進行更新���。 項目元素NO,2-政策和流程12. 維護��、實現(xiàn)和容易地訪問政策���、程序和指南的詳細目錄,適 當?shù)剡M行適當?shù)谋A魵v史過程����。13. 合規(guī)性要求被嵌入到政策���、流程和過程中,引導社團擔負它 們的日常責任,來對合規(guī)性風險進行管理。14. 適當?shù)倪^程�,用于更新和核準政策和流程��,包括涉及的合規(guī) 性,以確保滿足管理要求。15. 適當?shù)倪^程����,用于發(fā)送新的或更新的政策和流程��。 項目元素N0.3-控制和監(jiān)管16. 退出過程����,以確保適當?shù)目刂圃谶m當?shù)奈恢蒙?����,來降低合?guī) 性風險�。17. 適當?shù)倪^程�����,確保在必要的時候開發(fā)和增強降低合規(guī)性風險 的控制。18. 管理過程處于適當?shù)奈恢茫也⑷牒弦?guī)性風險。19. 建立充分的監(jiān)管過程�����,來監(jiān)督高風險活動�。20. 建立清晰的權利邊界與升級路徑(escalation paths )���,并傳 輸給社團����。21. 充分的監(jiān)管和管理過程���,以適當?shù)乇O(jiān)督社團行為�。22. 適當?shù)夭扇『线m的行動���,以降低通過外部環(huán)境活動和事件識
別的合規(guī)性風險�����。23. 合規(guī)性問題、風險和違反被聚積、更新并追蹤����,以確保及時 解決并適當升級(escalate)���。項目元素N0.4-管理監(jiān)督24. 維護適用的聯(lián)邦����、州�、和國家法律��、規(guī)章和指南的詳細目錄����, 并更新���,包括風險等級�。25. 適當?shù)倪^程�����,以預測出現(xiàn)的合規(guī)性問題和風險。26. 適當?shù)倪^程���,以識別管理更新和提供關于提出的管理變化和 最終規(guī)則的反饋。27. 所有參與分析由于法律和規(guī)章的變化而對業(yè)務產生的影響 的利益相關者����。28. 適當?shù)倪^程�,用于傳輸管理變化�����。29. 管理者與規(guī)則制訂者進行定期會晤���,并對監(jiān)管部門水平作出適當?shù)姆磻猳30. 管理者提供準確和及時的請求信息����,作為管理審查或調查�, 并有效的對審查或調查進行管理���。31. 管理者對管理調查結果作出及時和一致的響應,并采取適當 和正確的行動。項目元素N0.5-監(jiān)督32. 已經開發(fā)了合規(guī)性監(jiān)督項目標準,并用于定制業(yè)務合規(guī)性監(jiān) 督項目。33. 法律��、規(guī)章和合規(guī)性風險被映射到適當?shù)恼?�、流程���、控?和監(jiān)督活動中。34. 退出過程��,以識別并定期評價要被監(jiān)督的活動��。35. 適當?shù)倪^程,以識別合規(guī)性問題和風險并確定遵守適用的法 律�����、規(guī)章��、政策和流程的效率�。36. 退出過程,以維護對要被監(jiān)督的活動當前監(jiān)督計劃��,包括頻 率和責任���。37. 向適當?shù)墓芾碚咛峁┯嘘P監(jiān)督結果的充分和及時的包括。38. 對合規(guī)性違反和消費者抱怨進行調查���、分析并報告給管理者��。項目元素N0.6-培訓和i人知39. 合規(guī)性包括在LOB的每年社團學習目標和課程開發(fā)之中。40. 合規(guī)性能力被集成到LOB過程中�。41. 退出有效通信過程�,以增強對合規(guī)性信息的認知���。42. LOB管理者對培訓度量進行要求、追蹤和擁有�。43. 適當?shù)挠行У倪^程,用于識別合規(guī)性培訓和通信需求(包括 通過監(jiān)督識別的需求考慮)�、管理變化��、審計和審查者調查結果等。44. 社團具有充分的法律和規(guī)章的認知�,并在執(zhí)行它們的工作功 能和責任期間對其進行應用�。45. 在合規(guī)性政策和流程的應用中出現(xiàn)的充分培訓��。 項目元素N0.7-才艮告46. 管理者報告總結監(jiān)督結果、關鍵風險��、出現(xiàn)的風險、合規(guī)性 違反、解決活動以及重要的業(yè)務行動�����。47. 及時地向適當?shù)墓芾碚咚?�,報告合?guī)性問題和風險����。48. 退出過程,以確保管理報告包括準確和完整的信息��,并及時提交��。49. 適當?shù)暮弦?guī)性度量測量合規(guī)性執(zhí)行�,并向管理者報告����。50. 退出過程����,對合規(guī)性風險結果和外部環(huán)境進行分析��,以將合 規(guī)性風險的水平和方向報告到整體的計劃過程中��。應當理解,還可以定義其他CPR作為對上述列出的CPR的補充��, 或者,替代上述CPR����。此外�����,盡管為了便于說明,在圖3中只示出了 14個CPR�,但是應當理解�,在實際的實現(xiàn)中�,可以使用所有相關的 CPR���。本發(fā)明的數(shù)據表單還包括,為其進行評估的LOB字段304�����。還 提供了用于識別合規(guī)性角色305和評估完成日期306的字段�。數(shù)據表 單還包括與每個CPR301關聯(lián)的文檔充分性字段308,用于存儲與充 足性和/或該CPR的文檔狀態(tài)相關的調查結果(方框404)�����?��?梢园ㄏ蚪巧峁╆P聯(lián)文檔的附件��,或者,其中角色能夠將要發(fā)送到系統(tǒng) 的文檔進行粘貼�����,作為響應�。還提供文檔等級字段309,存儲表示該CPR的文檔狀態(tài)的數(shù)字 化的等級(方框405)�����。等級可以鍵入到下拉式菜單�����,或從其選擇。 在本發(fā)明的1到5實現(xiàn)方式中�,可以利用等級方案�,其中�����,l表示最 好或最強的等級��,并定義綜合和完全地存檔的CPR301。最好和最強 的等級表示其中沒有觀察到"缺口"的CPR301���。缺口被定義為缺點���、 遺漏或者用于實現(xiàn)CPR的改進區(qū)域。等級5表示實現(xiàn)要求遠遠低于 標準的CPR�。等級5將表示實現(xiàn)該CPR時的重要的和多個缺口�����。 1 到5之間的等級表示在極值之間的漸進狀態(tài)(progressive status)。 當描述1到5之間的等級刻度時�����,也可以使用更大或更小的粒度方案。 等級表示LOB如何充分地解決或者滿足CPR����。提供執(zhí)行效率字段310,存儲如何有效地由LOB來實際實現(xiàn) CPR301的描述(方框406)�。還為每個CPR301提供執(zhí)行等級字段 311,其中�����,以類似于描述文檔等級字段309的方式�����,輸入表示執(zhí)行 效率的數(shù)字化等級(方框407 )。一旦文檔等級和執(zhí)行等級被確定并分別輸入到字段309和311�����, 合規(guī)性模塊自動為該CPR計算輸入到合規(guī)性項目評估分數(shù)字段312 的合規(guī)性項目評估分數(shù)(方框408 )。由合規(guī)性項目評估模塊通過將 臨界狀態(tài)等級307與文檔等級309以及執(zhí)行等級311進行相乘,對該 分數(shù)自動進行計算��。這種自動計算是已知的�����,并可以通過市場可售的 程序�����,例如MICROSOFT EXCEL或者專用程序來實現(xiàn)。還提供顏色分數(shù)字段313��,其中,由合規(guī)性項目評估模塊134自 動輸入顏色分數(shù)���,其中��,每個CPR301有唯一顏色分數(shù)(方框409)��。 顏色分數(shù)提供任何CPR狀態(tài)的快速參考目錄,并且基于字段312中 的數(shù)字化合規(guī)性項目評估分數(shù)。在本實現(xiàn)方式中,可以輸入三個彩色 分數(shù)的其中一個�,綠色�����、黃色或紅色。顏色紅色��、黃色和綠色可以由 圖3中的字母R�、 Y和G表示�,應當理解�,在實際的實現(xiàn)方式中���,該 字段可以由專用顏色實際上色����。已經描述了顏色的使用�����,應當理解����,
可以由單詞�����、符號或其他視覺上可分辯的標記來指定顏色分數(shù)�。在一個實施例中��,顏色分數(shù)由以下方式進行確定 小于或等于20的數(shù)字化合規(guī)性項目評估分數(shù)被給予綠色分數(shù)���; 包括在21到45之間的數(shù)字化合規(guī)性項目評估分數(shù)被給予黃色分 數(shù);以及大于或等于46的數(shù)字化合規(guī)性項目評估分數(shù)被給予紅色分數(shù)�����。描述示例性數(shù)字化分數(shù)和顏色方案時�����,應當理解,其他分數(shù)范圍 可以定義顏色分數(shù)����,并且可以使用其他顏色���。由附加的邏輯評估對上述數(shù)字化計算確定的顏色分數(shù)進行調整���。 具體來說,分數(shù)低于或等于20的CPR301不會被編碼為綠色�,除非 如圖3中的要求NO.PP3所示,項目文檔分數(shù)低于4或執(zhí)行效率分數(shù) 低于3�。這確保獲取每個CPR的希望的最小合規(guī)性����,即使其中平均分 數(shù)另外提供最高(綠色)等級���。因而�,平均分數(shù)等于或小于20,但單 個分數(shù)不滿足定義的最小分數(shù)的CPR301將以黃色編碼��。還提供行動計劃優(yōu)先級字段314 (方框410)。當確定色碼時����, 項目基于該CPR的顏色/分數(shù)�����,自動推薦該CPR的缺口行動計劃優(yōu)先 級。在一個實施例中���,向CPR中的缺口提供建議行動的高優(yōu)先級�����、 中優(yōu)先級或低優(yōu)先級的優(yōu)先級�����。當描述三個優(yōu)先級水平時����,應當注意, 可以設定更大或更小的優(yōu)先級����。除了推薦建議的行動計劃的優(yōu)先級水 平以外��,行動計劃優(yōu)先級還可以用于作為機制來定義用于完成補救行 動的時間限制。例如��,高優(yōu)先級可以定義為3個月內的要求補救行動��, 中優(yōu)先級可以定義為6個月內的要求補救行動����,低優(yōu)先級可以定義為 12個月內的要求補救行動�����。文檔/執(zhí)行缺口字段315提供用于存儲在每個CPR的項目評估期 間發(fā)現(xiàn)的缺口描述(方框411)����。還提供多個缺口字段316,用于存 儲每個CPR發(fā)現(xiàn)的缺口的數(shù)量(方框412)�。缺口數(shù)量應當?shù)扔谠谖?檔/執(zhí)行缺口字段315中描述的缺口數(shù)量����。還提供建議行動字段317, 存儲需要對每個CPR缺口執(zhí)行的建議行動(方框413)�����。對于具有黃 色或紅色等級的CPR,這些建議可以構成要求使LOB的合規(guī)性達到
標準的建議補救行動����。提供社團責任字段318,用于存儲負責采取建議行動的社團標識 (方框414)���。提供完成目標時期字段319��,用于存儲建議行動計劃 在此之前要完成的日期(方框415)。這兩個字段可以基于從LOB�����、 合規(guī)性角色和/或其他資源的輸入完成�。項目元素平均值字段320、 321�、 322���、 323和325提供用于每個 項目元素(方框416)�。當為每個CPR在合規(guī)性元素下確定等級時, 本發(fā)明的合規(guī)性項目評估模塊314可以為每個項目元素302計算"平 均"等級����。存儲在字段320�、 321和322中平均值為每個項目元素文檔 等級309、執(zhí)行等級311和合規(guī)性項目評估分數(shù)312提供平均分數(shù)���。 應當注意,示意性實施例平均分數(shù)調整到最接近的整數(shù)��?���?商娲兀?平均分數(shù)也可以不進行調整���。合規(guī)性項目評估模塊134還基于平均項 目元素分數(shù)和先前描述的用于該項目元素的邏輯規(guī)則,確定顏色表示 的項目元素分數(shù)323以及行動計劃優(yōu)先級325�。為每個項目元素提供 總缺口字段327��,用于存儲對于該項目元素的所有CPR識別的所有缺 口的總和(方框417)��。為每個項目元素提供這些字段。一旦為每個項目元素計算了所有的平均值���,由合規(guī)性模塊確定整體評估分數(shù)。具體來說�,項目評估模塊自動計算并在字段328中輸入 平均整體項目文檔等級,在字段330中輸入平均整體項目執(zhí)行等級, 在字段332中輸入平均整體合規(guī)性項目評估分數(shù)�����。隨后,系統(tǒng)在字段 334中輸入顏色表示的整體分數(shù)以及在字段336中輸入整體行動計劃 優(yōu)先級(方框418)���。顏色表示的分數(shù)使用每個項目元素的數(shù)值化的 平均值,來確定項目平均值并根據組織優(yōu)先級����,應用邏輯規(guī)則對數(shù) 字化平均值進行調整�����。只有當平均分數(shù)符合綠色的要求時�����,并且承諾 和責任���、控制和監(jiān)管以及監(jiān)督項目元素每個都單獨被分級為綠色,沒 有一個元素被分級為紅色�,那么整體項目評估將被分級為綠色���。如果 平均分數(shù)符合黃色的要求��,或者����,承諾和責任���、控制和監(jiān)管以及監(jiān)督 項目元素中的任何一個都被分級為黃色,那么����,整體項目評估分數(shù)將 為黃色�。同樣���,如果平均分數(shù)符合紅色的要求����,或者�,如果承諾和責
任�����、控制和監(jiān)管以及監(jiān)督項目元素中的任何一個都被分級為紅色���,或 者,如果任何兩個項目元素被分級為紅色���,那么���,整體項目評估分數(shù) 將為紅色?����?梢愿鶕M織的需要,應用其他邏輯規(guī)則�����。除了上述項目元素的平均值,合規(guī)性模塊還計算對于所有CPR 識別的所有缺口的總和�����,并將給總和輸入到總項目缺口字段338中(方 框419)�����。本發(fā)明的工具用于記錄LOB合規(guī)性的狀態(tài)�����。還能夠使用工具監(jiān) 督LOB的建議行動。也可以由組織使用工具來管理組織的整體合規(guī) 性活動����。參考圖5��,利用本發(fā)明的工具描述合規(guī)性項目評估過程。在 實現(xiàn)上述工具之前����,組織和合規(guī)性角色作出初步決定并執(zhí)行數(shù)據收 集�。組織確定合規(guī)性評價執(zhí)行的頻率并執(zhí)行每個確定的時間表的評估 (方框510)。例如��,每個季度��、每個年度或者其他頻率執(zhí)行評估���。 組織隨后確定為其執(zhí)行評估的LOB (方框502 )。應當理解�,在特定 組織中并不是所有的LOB都可以要求合規(guī)性評估���,而且不是所有的 LOB都可以要求相同的日程的評估�����。組織分配負責完成評估的合規(guī)性 角色(方框503 ),并確定評估必須在此之前完成的日期(方框504 )��。 合規(guī)性角色聯(lián)系內部資源�����,例如法務或審計部門���,來確定用于LOB 訪問的合規(guī)性環(huán)境(方框505)���。在這個步驟中�����,合規(guī)性角色確定LdB 負責的合規(guī)性活動����,并處理LOB應當執(zhí)行的過程�,以滿足其責任���。 合規(guī)性角色還收集適當?shù)牟牧弦宰鞒鰧崿F(xiàn)工具要求的評估決定(方框 506)。在這方面�,合規(guī)性角色可以收集合規(guī)性功能相關的任何文檔����, 并可以會見個人��,以確定LOB采用的過程��。收集的材料可以包括LOB 合規(guī)性項目、業(yè)務管理文檔��、合規(guī)性報告、風險評審�����、LOB通信、執(zhí) 行計劃�、內部審計�����、適用法律和規(guī)章的詳細目錄���、LOB自評��、管理報 告�����、監(jiān)督項目��、組織流程和工作描述����、政策和流程手冊��、前期風險或 者項目評估�����、建議行動計劃�����、服務水平協(xié)議�、監(jiān)管機構報告以及其他 相關文檔。在完成初步流程以后�����,合規(guī)性角色開始本發(fā)明的合規(guī)性項目評估 模塊134,以完成評估(方框507)�����。圖6示出了當工作站/角色利用
合規(guī)性項目評估模塊134實現(xiàn)時�,與合規(guī)性系統(tǒng)關聯(lián)的過程��。合規(guī)性 角色登錄工作站(方框601)�����。系統(tǒng)識別出工作站現(xiàn)在是活動的����,并 根據工作站標識和/或登錄信息�,系統(tǒng)啟動合規(guī)性項目評估模塊134����。 啟動合規(guī)性項目評估模塊��,向工作站上的合規(guī)性角色表示圖3的數(shù)據 表單。合規(guī)性角色將LOB合規(guī)性角色分別輸入到字段304和305��。在評審并確認事實和合規(guī)性項目相關文檔以后,合規(guī)性角色向文 檔充分性字段308輸入足夠的描述信息(方框602 )來支持輸入到字 段309的文檔等級(方框603)�����。描述信息可以由補充信息來支持���, 所述補充信息可以附加到評估文件,或者可以作為與評估文件關聯(lián)的 單獨文件進行維護���。合規(guī)性角色也向字段309輸入最好地描述項目文 檔狀態(tài)文檔等級(方框603 )����。同樣�,在對項目執(zhí)行進行評審和確認 以后���,合規(guī)性角色將足夠的描述信息輸入到執(zhí)行效率字段310 (方框 604 )來支持執(zhí)行等級。描述信息可以由補充信息來支持�����,所述補充 信息可以附加到評估文件���,或者可以作為與評估文件關聯(lián)的單獨文件 進行維護�。合規(guī)性角色也向字段311輸入最好地描述項目執(zhí)行效率狀 態(tài)的執(zhí)行等級(方框605)����。合規(guī)性項目角色也向文檔/執(zhí)行缺口字段315輸入足夠的描述信 息(方框606)���,來支持輸入到字段316的缺口數(shù)量,并向字段316 輸入每個正被分級的CPR的缺口數(shù)量(方框607)����。描述信息可以由 補充信息來支持��,所述補充信息可以附加到評估文件�����,或者可以作為 與評估文件關聯(lián)的單獨文件進行維護����。輸入到字段316的缺口數(shù)量�����, 應當?shù)扔谠谧侄?15中描述的缺口數(shù)量的總和��。合規(guī)性角色也向字段317輸入建議行動計劃的描述��,用于解決在 字段315中識別的缺口 (方框608)。如果利用獨立的合規(guī)性機制來 追蹤識別的缺口的建議行動�,那么行動計劃不需要單獨在字段317中 列出��。用于替代行動計劃,可以輸入追蹤數(shù)量的單獨建議行動計劃��, 以便于本發(fā)明的用戶工具可以涉及單獨的建議行動計劃���。描述信息可 以由補充信息來支持,所述補充信息可以附加到評估文件,或者可以 作為與評估文件關聯(lián)的單獨文件進行維護��。建議行動計劃可以由合規(guī)性角色設立���,或者,可以由LOB�����、合 規(guī)性角色和其他各方聯(lián)合決定來確定。除了開始字段317的行動計劃���, 向字段318輸入負責完成行動計劃的實體(方框609),并向字段319 輸入目標完成日期(方才匡610)���。合規(guī)性項目評估模塊利用合規(guī)性角色輸入的數(shù)據��,來計算合規(guī)性 項目評估值���,并將這些值鍵入到合規(guī)性項目數(shù)據表單中�。合規(guī)性項目 評估模塊134為每個CPR計算評估分數(shù)(方框611 )和顏色表示的分 數(shù)(方框612 ),并分別將結果鍵入到字段312和313����。合規(guī)性模塊 也為每個項目元素計算文檔等級平均值(方框613)、執(zhí)行等級平均 值(方框614)以及合規(guī)性項目評估分數(shù)平均值(方框615)��,并確 定顏色分數(shù)(方框616)����、行動計劃優(yōu)先級(方框617)����,以及總元 素缺口 (方框618)并將結果鍵入到字段320�、 321、 322�����、 323�、 325 和327。最后���,合規(guī)性項目評估模塊134為整個合規(guī)性項目計算包括整體 平均文檔等級的整體評估分數(shù)(方框619)�����,整體平均執(zhí)行等級(方 框620 )以及整體平均合規(guī)性項目評估分數(shù)(621)���,并將這些計算分 數(shù)分別鍵入到字段328���、 330和332。合規(guī)性項目評估模塊還確定顏色 表示的整體分數(shù)(方框622)和整體行動計劃優(yōu)先級(方框623 )��, 并分別鍵入到字段334和336。合規(guī)性項目評估模塊134也對項目缺 口的總量進行求和��,并將分數(shù)鍵入到字段338 (方框624)��。在數(shù)據 表單完成以后���,或者,運行的一組值能夠被計算和/或確定并存儲為被 合規(guī)性角色輸入的數(shù)據以后�,合規(guī)性項目評估模塊能夠計算和/或確定 這些值���。在合規(guī)性項目評估的整個期間,都持續(xù)地訪問118所示的通 用數(shù)據庫�����,并進行更新����。一旦在數(shù)據庫118中捕捉到響應�,能夠由企業(yè)對數(shù)據進行檢索��, 以對數(shù)據進行評審和更新��,或者監(jiān)督組織的合規(guī)性評估。能夠以各種 形式對存儲的數(shù)據進行報告���。該報告例如能夠被用于顯示組織的合規(guī) 性評估或者LOB水平的任何信息子集(方框508)�。可以由報告模塊 自動生成并呈現(xiàn)標準報告�。在圖7到12中示出了示例性標準報告�。
圖7示出了表示每個項目元素302的平均分數(shù)的報告�。圖8是示出了 每個項目元素的最高的三個(最差)分數(shù)的條形圖,其中在左邊縱軸 上具有分數(shù)����、右邊縱軸上具有顏色分數(shù)。圖9示出了圖8的數(shù)據的可 替換格式,其中由要求號303表示條(即���,CA-承諾和責任、PP-政 策和程序等)�。圖10示出由要求號303以及縮寫標記識別的LOB的 IO個最高的CPR分數(shù)�。圖11示出了包括在每個項目元素302中的每 個CPR301的合規(guī)性項目評估分數(shù)的條形圖。圖12示出以分數(shù)的降 序排列的所有CPR的合規(guī)性項目評估分數(shù)的條形圖?����,F(xiàn)在再次參考圖5,數(shù)據表單中產生的數(shù)據和數(shù)據表單中生成的 報告�,將結合適當?shù)腖OB管理來進行討論(方框509 )�����。數(shù)據表單的 副本或任何報告可以分發(fā)到是適當水平的組織���,以監(jiān)督和管理組織的 合規(guī)性活動(方框510)�����。對在數(shù)據表單中標識的缺口進行追蹤���,并 如在建議行動字段317中列出的那樣,釆取建議行動(方框511)�。 如合規(guī)性項目評估確定的那樣����,可以增強LOB合規(guī)性項目(方框 512)����。可以定期更新合規(guī)性評估和數(shù)據表單���,例如,每個季度一次��, 以確保LOB可以解決在評估過程中識別的任何缺口 (方框513)��。如 方框514所示,LOB可以對合規(guī)性評估的各種活動進行輸入��。在至少一個實施例中�,本發(fā)明的系統(tǒng)通過萬維網運行�,并且是基 于計算機的�。計算機系統(tǒng)實現(xiàn)方式的進一步細節(jié)���,將結合附圖2進行 討論,圖2示出了用于實現(xiàn)本發(fā)明的示例性實施例的大型網絡基礎結 構�����,例如,在具有可用的公司內部網200的萬維網的大型企業(yè)中�。瀏 覽器客戶端202通過客戶端計算平臺����,訪問系統(tǒng)�。輕量級目錄訪問協(xié) 議(LDAP)服務器204在角色登錄到ICPS時�,提供驗證。市場有 售的軟件產品��,例如��,Neterity公司的SiteMinder 可以用于該用途���。 簡單郵件傳輸協(xié)議(SMTP)服務器206用于生成每個過程的關鍵階 段的開支通知電子郵件消息。公司目錄服務器208在識別和選擇本發(fā) 明的系統(tǒng)的角色時�����,提供對公司雇員(角色)的主目錄和其他必要信 息的訪問����。內部協(xié)議(IP)交換機210提供負載均衡,以引導對兩個 應用程序服務器中212和214的其中一個的會話���。交換機可以在所謂
的"sticky 0!^yes"的配置下運行�,這樣確保了當會話分配給入口應用 程序服務器計算平臺時�����,會話將繼續(xù)在該入口/從該入口進行工作���,直 到會話結束����。在這個示例性實施例中�,應用程序月良務器利用Microsoft7>司的 因特網信息服務(IIS)運行。這些服務器是系統(tǒng)模塊的啟動點��,并在 其他服務器和數(shù)據庫之間反復執(zhí)行行動�����。在209中示出的SQL服務 器上,實現(xiàn)先前討論過的通用數(shù)據庫���。圖2的網絡也可以包括基于IIS 的報告服務器220��,其處理報告格式以及涉及操作報告模塊的類似任 務��。報告服務器在應用程序服務器上具有存根���,其能夠作為界面�����。報 告服務器能夠安排報告的時間�����,以便在工作時間以外或SQL服務器 低使用率期間���,訪問數(shù)據��。報告服務器以成批的方式累計報告��,而不 是進行實時處理。登錄程序如下���。通過IP交換機向其中 一個入口應用程序服務器, 發(fā)送登錄請求�����。應用程序服務器將請求發(fā)送給LDAP服務器���,用于進 行驗證,LDAP服務器對請求進行驗證,并向SQL數(shù)據庫進行轉發(fā)�����, 用于驗證��,以確認角色為合規(guī)性項目評估系統(tǒng)所知。角色的確認和信 息被轉發(fā)回應用程序服務器�。接著,向公司目錄轉發(fā)查詢���,其中,獲取有關角色的信息以及有 關角色為其執(zhí)行合規(guī)性評估的LOB的信息��。雇員的信息類型可以包 括姓名、電話號碼以及可能的郵編和電子郵件地址�。對于LOB來說���, 信息可能是LOB的名稱、與LOB關聯(lián)的主管以及層級信息�����。信息包 含在在回復當中�,應用程序服務器將其復制到存儲信息的SQL數(shù)據 庫中����。確認操作�,為角色生成歡迎窗口。在該歡迎頁面�����,向角色呈現(xiàn) 了角色負責的數(shù)據表單。角色通過應用程序服務器的模塊����,打開數(shù)據 表單模板����。角色交互式地輸入響應,數(shù)據庫如上所述持續(xù)更新�����。模板 位于應用程序服務器中���,數(shù)據在SQL數(shù)據庫中����。本文中描述了本發(fā)明的特定實施例�����。計算和網絡領域的技術人 員,將很容易地認識到本發(fā)明在其他情況下有著其他的應用���。實際上, 可以有許多的實施例和實現(xiàn)方式��。由下文中的權利要求而非上文的特 定實施例來限定本發(fā)明的范圍�。
權利要求
1. 一種合規(guī)性項目評估系統(tǒng)����,包括合規(guī)性項目評估模塊,定義至少一個合規(guī)性項目要求;所述合規(guī)性項目評估模塊中用于接收與所述合規(guī)性項目要求相關的外部等級的字段�;所述合規(guī)性項目評估模塊中用于由所述合規(guī)性項目評估模塊自動計算的合規(guī)性項目評估分數(shù)的字段���;以及可操作地連接到所述合規(guī)性項目評估模塊的數(shù)據庫,其中���,所述合規(guī)性項目評估模塊和通用數(shù)據庫一起操作用于對合規(guī)性項目進行分級。
2. 根據權利要求1的系統(tǒng)���,其中��,所述合規(guī)性項目為所述合規(guī) 性項目要求確定顏色分數(shù)�����。
3. 根據權利要求1的系統(tǒng)�����,其中�����,所述外部等級存儲在所述數(shù) 據庫中��。
4. 根據權利要求1的系統(tǒng)���,其中���,能夠從所述通用數(shù)據庫檢索 和評審所述外部等級�����。
5. 根據權利要求1的系統(tǒng)�����,其中����,所述合規(guī)性項目評估模塊還 定義多個合規(guī)性項目要求,并包括分配給所述多個合規(guī)性項目要求的 每一個的臨界狀態(tài)等級���。
6. —種用于訪問組織的合規(guī)性項目的方法,所述方法包括 識別多個要評估的合規(guī)性項目要求����;對所述多個合規(guī)性項目要求中的每一個進行分級; 為所述多個合規(guī)性項目要求中的每一個計算分數(shù)�; 識別所述合規(guī)性項目要求中的選定的合規(guī)性項目要求的缺口 ���;以及為所述缺口推薦補救行動的優(yōu)先級。
7. 根據權利要求6的方法,其中�����,所述識別包括確定與合規(guī)性 項目相關的要求。
8. 根據權利要求6的方法����,其中��,所述計算分數(shù)包括向所述合 規(guī)性項目元素分配顏色分數(shù)�����。
9. 根據權利要求6的方法�����,其中,所述顏色分數(shù)基于分數(shù)和附 加邏輯規(guī)則��。
10. 根據權利要求6的方法,還包括接收條目以完成所述分級�。
11. 根據權利要求10的方法�����,其中�����,所述條目存儲在數(shù)據庫中���。
12. 根據權利要求6的方法�,其中,所述合規(guī)性項目要求由項目 元素進行組織���。
13. 根據權利要求6的方法,其中�,所述項目元素組涉及合規(guī)性 項目要求����。
14. 根據權利要求13的方法��,其中�,根據與該項目元素相關的 合規(guī)性項目要求的分數(shù)計算項目元素的平均分數(shù)���。
15. 根據權利要求10的方法��,還包括從所述數(shù)據庫訪問所述條目。
16. 根據權利要求10的方法��,還包括根據所述條目提供報告���。
17. 根據權利要求16的方法�,還包括自動提供報告�����。
18. —種包括便于任務管理的計算機程序的計算機程序產品�,所 述計算機程序還包括用于識別多個要被評估的合規(guī)性項目要求的指令��; 用于接收所述多個合規(guī)性項目要求中的每一個的等級的指令�; 用于根據所述等級����,計算所述多個合規(guī)性項目要求中的每一個的 分數(shù)的指令�;用于接收所述合規(guī)性項目要求中的選定的合規(guī)性項目要求的缺 口標識的指令;以及用于為每個所述缺口,推薦建議的行動的優(yōu)先級的指令���。
19. 一種用于管理任務的設備,包括用于識別多個要被評估的合規(guī)性項目要求的裝置�����;用于接收所述多個合規(guī)性項目要求中的每一個的等級的裝置�����;用于計算所述多個合規(guī)性項目要求中的每一個的分數(shù)的裝置�����; 用于接收所述合規(guī)性項目要求中的選定的合規(guī)性項目要求的缺口標識的裝置�;以及用于對每個所述缺口的建議行動編制優(yōu)先級的裝置����。
全文摘要
本發(fā)明提供了合規(guī)性評估系統(tǒng)和工具��,用于有效地對跨企業(yè)合規(guī)性項目進行評估并合規(guī)性項目評估進行管理。合規(guī)性活動以用于評估LOB合規(guī)性項目的合規(guī)性項目元素要求(CPR)組,進行度量。CPR定義了LOB文檔及其合規(guī)性項目執(zhí)行的最低標準。評估結果被歸檔�����,并生成合規(guī)性項目評估數(shù)據表單。也向支持合規(guī)性項目的文檔狀態(tài)和合規(guī)性項目執(zhí)行效率,提供等級。利用這些輸入,本發(fā)明的工具自動計算代表合規(guī)性項目充分性和效率的分數(shù)��。工具也至少部分根據分數(shù)分配色碼�����。可以生成能夠用于確定合規(guī)性趨勢的報告�。
文檔編號G06Q30/00GK101395623SQ200780007852
公開日2009年3月25日 申請日期2007年1月5日 優(yōu)先權日2006年1月11日
發(fā)明者A·W·薩波爾, D·J·麥金納尼, J·D·托馬斯, J·G·阿克曼, K·萊格特, 小B·E·艾倫 申請人:美國銀行公司