Quản lý tuân thủ (Compliance Management)

05/04/2024
Phạm Nhật Thăng
Phạm Nhật Thăng
Quản lý tuân thủ bao gồm việc thiết lập và thực thi các cơ chế khác nhau, bao gồm các thủ tục, chính sách, kiểm toán nội bộ và bên ngoài, tài liệu, thực thi công nghệ và kiểm soát bảo mật.

1- Tổng quan về quản lý tuân thủ

Quản lý tuân thủ (Compliance Management) điều chỉnh các thủ tục và chính sách của tổ chức với các quy tắc, tiêu chuẩn và luật cụ thể. Nó giúp các tổ chức áp dụng các yêu cầu liên quan đến hoạt động kinh doanh, ngành và khu vực pháp lý của họ, đồng thời đảm bảo nhân viên của họ tuân thủ các quy tắc này.

Quản lý tuân thủ bao gồm việc thiết lập và thực thi các cơ chế khác nhau, bao gồm các thủ tục, chính sách, kiểm toán nội bộ và bên ngoài, tài liệu, thực thi công nghệ và kiểm soát bảo mật. Mục tiêu là để đảm bảo và xác minh sự tuân thủ trong toàn tổ chức, chứng minh sự tuân thủ với kiểm toán viên bên ngoài và bảo vệ tổ chức khỏi các rủi ro tuân thủ bao gồm tiền phạt, hình phạt và thiệt hại về danh tiếng.

Một chương trình quản lý tuân thủ hiệu quả tập trung vào những rủi ro mà tổ chức phải đối mặt. Nó có thể dựa trên nhiều khuôn khổ và nhằm mục đích đảm bảo đạo đức trong toàn tổ chức được tuân thủ và rủi ro tuân thủ được kiểm soát.

Xem thêm: Dịch vụ pháp lý đăng ký bản quyền tác giả của Công ty Luật TNHH Everest

2- Những lợi ích chính của việc tuân thủ quy định

Dưới đây là những lợi ích chính của việc tuân thủ quy định:

[a] Niềm tin của khách hàng tăng lên: các tổ chức đạt được sự tuân thủ quy định có thể cho các bên liên quan biết rằng họ đã đáp ứng các tiêu chuẩn cụ thể và được chứng nhận bởi cơ quan quản lý chính thức. Việc tuân theo các quy định này giúp chứng minh đạo đức, tính chính trực và độ tin cậy của tổ chức, từ đó củng cố vị thế cạnh tranh của tổ chức.

[b] Tuân thủ các quy định: tuân thủ quy định là bắt buộc đối với một số ngành và khu vực pháp lý nhất định. Mỗi tổ chức phải tuân thủ các quy định nhất định trong bối cảnh kinh doanh và kinh tế của mình. Ví dụ: các tổ chức chăm sóc sức khỏe và tổ chức tài chính phải tuân thủ các yêu cầu về bảo vệ dữ liệu, quyền riêng tư của người tiêu dùng và an ninh mạng.

[c] Giải quyết rủi ro tuân thủ: việc không tuân thủ các quy định có thể dẫn đến biện pháp kỷ luật như thu hồi giấy phép, mất khách hàng, phạt và tổn thất tài chính cũng như tổn hại danh tiếng. Một chương trình tuân thủ hiệu quả sẽ bảo vệ tổ chức trước những rủi ro này.

[d] Cải thiện bảo mật: tất cả các tổ chức đều có nguy cơ bị tấn công mạng, vi phạm an ninh và hậu quả là mất dữ liệu. Việc tuân thủ các quy định và tiêu chuẩn ngành nhằm thắt chặt kiểm soát an ninh của tổ chức và cải thiện tình trạng bảo mật của tổ chức đó. Điều này làm giảm nguy cơ xảy ra các cuộc tấn công mạng thành công, có thể gây thiệt hại lớn cho tổ chức.

Xem thêm: Dịch vụ pháp lý đăng ký nhãn hiệu của Công ty Luật TNHH Everest

3- Quản trị, Quản lý Rủi ro và Tuân thủ (GRC)

Quản trị, rủi ro và tuân thủ (Governance, Risk Management and Compliance - GRC) giúp các tổ chức xử lý sự phụ thuộc lẫn nhau giữa các chương trình quản lý rủi ro doanh nghiệp, chính sách quản trị doanh nghiệp và tuân thủ quy định.

Nó liên quan đến việc tạo ra một cách tiếp cận tổng hợp để điều phối con người, công nghệ và quy trình cần thiết để quản lý quản trị, rủi ro và tuân thủ, giảm thiểu sự thiếu hiệu quả và thông tin sai lệch của cách tiếp cận riêng biệt.

[a] Quản trị dữ liệu

Quản trị dữ liệu liên quan đến việc quản lý tính sẵn có của dữ liệu, khả năng sử dụng, bảo mật và tính toàn vẹn trong hệ thống doanh nghiệp. Các tổ chức triển khai quản trị dữ liệu để đảm bảo dữ liệu được sử dụng và truy cập theo các chính sách và tiêu chuẩn dữ liệu riêng của họ. Nó giúp đảm bảo dữ liệu vẫn còn:

(i) Nhất quán và đáng tin cậy,

(ii) Được bảo vệ khỏi sự truy cập và sửa đổi trái phép,

(iii) Tuân thủ các quy định về bảo mật dữ liệu.

Một chương trình quản trị dữ liệu thường bao gồm:

(i) Một đội ngũ quản trị,

(ii) Ban chỉ đạo đóng vai trò là cơ quan chủ quản,

(iii) Một nhóm người quản lý dữ liệu.

Tất cả các bên liên quan hợp tác để tạo ra các tiêu chuẩn và chính sách quản trị dữ liệu. Người quản lý dữ liệu chịu trách nhiệm chính trong việc triển khai và thực thi các thủ tục này. Các vai trò khác trong tổ chức có thể tham gia vào quá trình này, bao gồm giám đốc điều hành, nhóm quản lý dữ liệu và nhân viên công nghệ thông tin.

[b] Khung tuân thủ

Khung tuân thủ bao gồm một bộ hướng dẫn mô tả các quy trình của tổ chức để tuân thủ các quy định, luật pháp và thông số kỹ thuật. Nó nêu chi tiết tất cả các tiêu chuẩn quy định có liên quan đến tổ chức cũng như các thủ tục và kiểm soát nội bộ mà tổ chức đặt ra để đạt được sự tuân thủ. Khung tuân thủ có thể bao gồm:

(i) Quá trình truyền thông,

(ii) Thực hành quản trị để duy trì sự tuân thủ,

(iii) Kiểm soát rủi ro,

(iv) Danh sách các quy trình tuân thủ chồng chéo.

[c] Kiểm soát chung về công nghệ thông tin và Kiểm soát nội bộ

Kiểm soát nội bộ bao gồm tất cả các quy tắc, thủ tục và cơ chế của tổ chức được thực hiện để nâng cao trách nhiệm giải trình, đảm bảo tính toàn vẹn của thông tin tài chính và kế toán và ngăn ngừa gian lận. Dưới đây là các chức năng chính của kiểm soát nội bộ:

(i) Đạt được sự tuân thủ các quy tắc và quy định,

(ii) Ngăn chặn nhân viên thực hiện hành vi lừa đảo, trộm cắp tài sản,

(iii) Cải thiện tính kịp thời và chính xác của báo cáo tài chính.

Kiểm soát chung về công nghệ thông tin (Information technology general controls - ITGC) là các kiểm soát nội bộ xác định một bộ chính sách cho hệ thống kiểm soát. Dưới đây là các lĩnh vực chính mà ITGC đảm nhiệm:

(i) Kiểm soát truy cập vào dữ liệu, ứng dụng, cơ sở hạ tầng máy tính và cơ sở vật chất.

(ii) Bảo mật và tuân thủ.

(iii) Thay đổi kiểm soát quản lý.

(iv) Kiểm soát hoạt động cho hệ thống máy tính.

(v) Sao lưu và phục hồi.

[d] Phân chia nhiệm vụ (SoD)

Phân chia nhiệm vụ (Separation of Duties - SoD) là một biện pháp kiểm soát nội bộ giúp các tổ chức ngăn ngừa sai sót trong các giao dịch tài chính và gian lận. Nguyên tắc cốt lõi hướng dẫn SoD là thiết lập hai hoặc nhiều vai trò để hoàn thành một nhiệm vụ quan trọng cụ thể có thể ảnh hưởng đến báo cáo tài chính hoặc gây hậu quả về tài chính.

SoD liên quan đến việc đảm bảo một cá nhân không bao giờ có quá nhiều quyền kiểm soát. Các tổ chức có thể đạt được điều đó bằng cách chia nhỏ nhiệm vụ thành nhiều nhiệm vụ được giao cho nhiều người hoặc yêu cầu một bên khác phê duyệt trước khi hoàn thành. Lý tưởng nhất là nên áp dụng SoD cho các thành phần quan trọng, dễ bị tổn thương.

Xem thêm: Dịch vụ thư ký pháp lý thuê ngoài của Công ty Luật TNHH Everest

4- Quy định về quyền riêng tư dữ liệu

Dưới đây là một số quy định chính quản lý quyền riêng tư dữ liệu trên toàn thế giới.

[a] Liên minh Châu Âu: GDPR

Quy định chung về bảo vệ dữ liệu (The General Data Protection Regulation - GDPR) là luật bảo mật dữ liệu thống nhất trên toàn EU. Nghị viện Châu Âu đã phê duyệt GDPR vào tháng 4 năm 2016 và luật này có hiệu lực vào tháng 5 năm 2018, thay thế Chỉ thị bảo vệ dữ liệu của Liên minh Châu Âu năm 1995.

GDPR nhằm mục đích đảm bảo tính minh bạch trong kinh doanh và mở rộng quyền của cá nhân đối với dữ liệu của họ. Nó yêu cầu các công ty phải thông báo cho tất cả các cá nhân bị ảnh hưởng và cơ quan giám sát trong trường hợp vi phạm dữ liệu trong vòng 72 giờ. GDPR áp dụng cho tất cả dữ liệu thuộc về công dân EU, bất kể vị trí của công ty. Nó cũng bao gồm các công dân ngoài EU có dữ liệu được lưu trữ tại EU.

[b] California: CCPA

Đạo luật về quyền riêng tư của người tiêu dùng California (The California Consumer Privacy Act - CCPA) là đạo luật của tiểu bang California xác định quyền của các cá nhân đối với thông tin nhận dạng cá nhân (PII) của họ. Nó có hiệu lực vào tháng 6 năm 2018. CCPA đảm bảo cho cư dân California một số quyền kiểm soát thông tin của họ, bao gồm:

(i) Kiến thức về thông tin cá nhân được thu thập.

(ii) Kiến thức về việc tiết lộ hoặc bán thông tin của họ.

(iii) Quyền từ chối việc bán thông tin.

(iv) Truy cập vào thông tin cá nhân.

(v) Quyền được hưởng dịch vụ và giá cả như nhau.

[c] Brazil: LGPD

Luật chung về bảo vệ dữ liệu cá nhân (Lei Geral de Proteção de Dados Pessoais - tiếng Bồ Đào Nha) là luật bảo vệ dữ liệu của Brazil, có hiệu lực từ năm 2020. Luật này cung cấp các nghĩa vụ tương tự với GDPR để điều chỉnh việc xử lý dữ liệu cá nhân. LGPD áp dụng cho tất cả các tổ chức xử lý dữ liệu của cư dân Brazil, bất kể vị trí.

Việc không tuân thủ luật pháp có thể bị phạt lên tới 2% doanh thu bán hàng hoặc 50 triệu R$ (khoảng 12 triệu USD).

[d] Nhật Bản: APPI

Đạo luật bảo vệ thông tin cá nhân (The Act on the Protection of Personal Information - APPI) tương đương với GDPR của Nhật Bản, thực thi các chỉ thị bảo mật và quyền riêng tư dữ liệu nghiêm ngặt đối với bất kỳ cá nhân hoặc tổ chức nào xử lý thông tin cá nhân của cư dân Nhật Bản. APPI áp dụng rộng rãi cho việc thu thập, lưu trữ, sử dụng và trao đổi dữ liệu. Đạo luật có hiệu lực vào tháng 6 năm 2020 và sẽ được cập nhật ba năm một lần.

Các quy định chính của APPI bao gồm:

(i) Nghĩa vụ báo cáo -  các công ty phải báo cáo các vi phạm cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản (PPC).

(ii) Sự đồng ý của chủ thể - các công ty phải có được sự đồng ý của chủ thể dữ liệu trước khi thu thập thông tin của họ. Người dùng cũng phải đồng ý chia sẻ dữ liệu.

(iii) Tính phổ quát - luật áp dụng cho các cá nhân và doanh nghiệp nước ngoài xử lý dữ liệu cá nhân của Nhật Bản. PCC có thể hợp tác với các cơ quan chức năng nước ngoài để tìm và xử phạt người phạm tội.

[đ] Canada: DCIA

Đạo luật thực hiện điều lệ kỹ thuật số (The Digital Charter Implementation Act - DCIA) là luật bảo vệ dữ liệu của Canada. Nó bao gồm Đạo luật bảo vệ quyền riêng tư của người tiêu dùng (CPPA), quy định cách các tổ chức thu thập, sử dụng hoặc tiết lộ thông tin cá nhân. Quốc hội Canada đã ban hành luật vào tháng 11 năm 2020, thay thế Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử (PIPEDA).

Các điều khoản của DCIA bao gồm:

(i) Trách nhiệm của bên thứ ba - các nhà cung cấp dịch vụ bên thứ ba cũng phải tuân thủ DCIA. Công ty chịu trách nhiệm về mọi hành vi vi phạm dữ liệu, bao gồm cả các vấn đề với bên thứ ba.

(ii) Nhận thức giữa các công ty - tất cả các giám đốc điều hành và nhân viên của công ty phải quen thuộc với DCIA.

(iii) Sử dụng hệ thống AI một cách có đạo đức - DCIA nhấn mạnh đến các hệ thống AI đưa ra quyết định, cho phép các cá nhân xem các thuật toán dự đoán sử dụng thông tin của họ như thế nào.

[e] Ấn Độ: PDP

Luật Bảo vệ Dữ liệu Cá nhân (The Personal Data Protection - PDP) có hiệu lực vào năm 2019, thay thế Đạo luật Công nghệ Thông tin năm 2000. Với dân số lớn của Ấn Độ, luật về quyền riêng tư này có thể ảnh hưởng đến nhiều tổ chức bên ngoài Ấn Độ.

Các điều khoản của PDP bao gồm:

(i) Sự miễn trừ của chính phủ - sự khác biệt chính giữa PDP của Ấn Độ và các luật tương tự như GDPR là sự miễn trừ của chính phủ Ấn Độ đối với các quy định. Nó cho phép chính phủ thu thập bất kỳ dữ liệu nào mà họ thấy cần thiết.

(ii) Phạm vi bao phủ rộng - một điểm khác biệt nữa là PDP áp dụng cho cả dữ liệu cá nhân và phi cá nhân.

(iii) Trở ngại đối với AI - dự luật PDP hạn chế nghiêm trọng việc xử lý dữ liệu, cản trở sự đổi mới AI ở Ấn Độ.

[f] UAE: Luật bảo vệ dữ liệu DIFC

Luật bảo vệ dữ liệu của Trung tâm tài chính quốc tế Dubai (The Dubai International Financial Center - DIFC) được ban hành vào năm 2020 để điều chỉnh việc chuyển dữ liệu giữa Các Tiểu vương quốc Ả Rập Thống nhất với EU và Vương quốc Anh. Nó phần lớn tương tự như GDPR, với những khác biệt nhỏ về quy định và hình phạt bổ nhiệm DPO. DIFC nhấn mạnh đến hoạt động kinh doanh quốc tế và sự dễ dàng trong hoạt động. Là nền kinh tế lớn thứ hai trong khu vực, UAE kỳ vọng luật này sẽ ảnh hưởng đến thế giới Ả Rập rộng lớn.

Xem thêm: Pháp lý tái cấu trúc doanh nghiệp của Công ty Luật TNHH Everest

5- Các tiêu chuẩn tuân thủ khác

[a] Đạo luật Sarbanes-Oxley (SOX)

Năm 2002, Quốc hội Mỹ đã thông qua Đạo luật Sarbanes-Oxley (Sarbanes-Oxley Act - SOX). Nó thiết lập các quy tắc để bảo vệ công chúng khỏi các hành vi gian lận của các tập đoàn. Mục tiêu của luật này là tăng cường tính minh bạch trong báo cáo tài chính và buộc các công ty phải thực hiện một hệ thống kiểm tra và cân đối chính thức.   

Tuân thủ SOX vừa là nghĩa vụ pháp lý vừa là thông lệ kinh doanh tốt. Các công ty nên hành xử có đạo đức và việc truy cập vào hệ thống tài chính nội bộ phải được kiểm soát cẩn thận. Việc triển khai các biện pháp kiểm soát an ninh tài chính SOX có lợi trong việc bảo vệ công ty khỏi các mối đe dọa nội bộ, đánh cắp dữ liệu và tấn công mạng.

[b] PCI DSS

Năm 2004, Visa cùng với MasterCard, Discover Financial Services, JCB International và American Express đã thiết lập tiêu chuẩn bảo mật với Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (The Payment Card Industry Data Security Standard - PCI DSS). Tiêu chuẩn bảo mật, được giám sát bởi Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán (PCI SSC), nhằm mục đích bảo đảm các giao dịch thẻ tín dụng và thẻ ghi nợ chống lại hành vi trộm cắp và gian lận dữ liệu.

PCI SSC không có thẩm quyền pháp lý. Tuy nhiên, việc tuân thủ PCI DSS là điều bắt buộc đối với bất kỳ doanh nghiệp nào xử lý các giao dịch thẻ tín dụng hoặc thẻ ghi nợ. Chứng nhận PCI là quá trình triển khai và xác minh rằng một tổ chức có đủ biện pháp kiểm soát bảo mật để bảo vệ dữ liệu của chủ thẻ.

[c] HIPAA

Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế năm 1996 (The Health Insurance Portability and Accountability Act - HIPAA) xác định các yêu cầu đối với các tổ chức Mỹ quản lý dữ liệu y tế và chăm sóc sức khỏe. Mục tiêu của nó là đảm bảo sự an toàn và bảo mật hồ sơ cá nhân.

HIPAA yêu cầu tất cả hồ sơ sức khỏe điện tử phải được hạn chế bằng mã hóa và kiểm soát truy cập mạnh mẽ. Các tiêu chuẩn này áp dụng cho cả hồ sơ được lưu trữ trong một tổ chức và những hồ sơ được chia sẻ với những người khác. Điều này có nghĩa là các hoạt động như email và truyền tệp phải được theo dõi, bảo vệ và kiểm soát.

Xem thêm: Dịch vụ pháp lý về tổ chức lại doanh nghiệp của Công ty Luật TNHH Everest

6- Tuân thủ trong các ngành được quản lý

Một số lĩnh vực có các quy định và tiêu chuẩn dành riêng cho ngành, bên cạnh các tiêu chuẩn bảo mật và quyền riêng tư dữ liệu rộng hơn.

[a] Tuân thủ ngành tài chính

Các công ty dịch vụ tài chính phải tuân theo nhiều quy định quốc gia và nội bộ và thường xuyên thay đổi. Mỗi luật có thể định nghĩa dữ liệu được quản lý khác nhau, nhấn mạnh các loại dữ liệu như Thông tin cá nhân không công khai (Nonpublic personal information - NPI), Thông tin nhận dạng cá nhân (Personally identifiable information - PII) và Thông tin cá nhân nhạy cảm (sensitive personal information - SPI).

Một số quy định chính áp dụng cho các tổ chức tài chính bao gồm:

(i) Biết khách hàng của bạn (Know Your Customer - KYC) - các thủ tục bắt buộc cho phép các tổ chức xác minh danh tính của khách hàng và đánh giá mức độ rủi ro của họ.

(ii) Chống rửa tiền (Anti-Money Laundering - AML) - các thủ tục khác nhau, bao gồm KYC, để xác định và chặn các giao dịch đáng ngờ.

(iii) Phân tích và Đánh giá Vốn Toàn diện (Comprehensive Capital Analysis and Review - CCAR) - cung cấp một khuôn khổ để đánh giá và điều chỉnh các tổ chức tài chính và ngân hàng.

(iv) Ủy ban Basel về Giám sát Ngân hàng (Basel Committee on Banking Supervision - BCBS 239) - tăng cường thu thập dữ liệu rủi ro ngân hàng và báo cáo rủi ro.

(v) Đạo luật Sarbanes-Oxley (Sarbanes-Oxley Act - SOX) - quản lý cách các tổ chức tài chính duy trì chính sách bảo vệ dữ liệu, hồ sơ tài chính và báo cáo của họ.

(vi) Đạo luật Gramm-Leach-Bliley (Gramm-Leach-Bliley Act - GLBA) - yêu cầu các tổ chức tài chính duy trì tính bảo mật và bảo mật của dữ liệu không công khai.

(vii) Quy định về an ninh mạng của Sở dịch vụ tài chính New York (New York Department of Financial Services Cybersecurity Regulation - NYS DFS CRR 500) - quản lý cách các nhà cung cấp dịch vụ tài chính bảo vệ thông tin cá nhân khỏi các mối đe dọa trên mạng.

(vii) Khung An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology Cybersecurity Framework - NIST CSF) - cung cấp các hướng dẫn để quản lý rủi ro về quyền riêng tư dữ liệu.

(viii) Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (Payment Card Industry Data Security Standard - PCI DSS) - yêu cầu các tổ chức xử lý dữ liệu thẻ thanh toán bằng một bộ quy trình xử lý, lưu trữ và chuyển giao an toàn.

[b] Tuân thủ ngành chăm sóc sức khỏe

Các nhà cung cấp dịch vụ chăm sóc sức khỏe phải tuân thủ các tiêu chuẩn pháp lý, đạo đức và chuyên môn khác nhau. Việc duy trì tuân thủ chăm sóc sức khỏe rất phức tạp do các quy định thay đổi liên tục.

Tại Mỹ, một số cơ quan tiểu bang và liên bang giám sát việc tuân thủ y tế, bao gồm:

(i) Cơ quan Quản lý Thực phẩm và Dược phẩm (The Food and Drug Administration - FDA) - sản xuất và bán thuốc.

(ii) Cơ quan Quản lý Thực thi Ma túy (The Drug Enforcement Administration - DEA) - thực thi các quy định của FDA.

(iii) Bộ Y tế và Dịch vụ Nhân sinh (The Health and Human Services - HHS) - kiểm tra các nhà cung cấp dịch vụ chăm sóc sức khỏe để ngăn chặn gian lận.

Một số quy định chăm sóc sức khoẻ quan trọng bao gồm:

(i) Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (Health Insurance Portability and Accountability Act - HIPAA): được ban hành năm 1996, bảo vệ dữ liệu bí mật của bệnh nhân, quy định cách các tổ chức có thể sử dụng, lưu trữ và phân phối dữ liệu. Nó cũng nêu ra các hình phạt cho hành vi phạm tội.

(ii) Đạo luật Công nghệ thông tin y tế dành cho kinh tế và sức khỏe lâm sàng (Health Information Technology for Economic and Clinical Health Act - HITECH) : được ban hành năm 2009, yêu cầu kiểm toán các chuyên gia chăm sóc sức khỏe để đảm bảo tuân thủ HIPAA. Nó quy định các hình phạt cho việc không tuân thủ.

(iii) Đạo luật Chuyển dạ và Điều trị Y tế Khẩn cấp (Emergency Medical Treatment and Labor Act - EMTALA): được ban hành năm 1986, bắt buộc các bệnh viện phải điều trị và ổn định tất cả bệnh nhân trong phòng cấp cứu bất kể bảo hiểm hay khả năng thanh toán.

(iv) Đạo luật Cải thiện Chất lượng và An toàn Bệnh nhân (Patient Safety and Quality Improvement Act - PSQIA) : ban hành năm 2005, bảo vệ nhân viên y tế báo cáo các điều kiện làm việc không an toàn.

(v) Đạo luật Chống Lại quả (Anti-Kickback Statute - AKBS):ngăn chặn việc lợi dụng hệ thống chăm sóc sức khỏe vì lợi ích tài chính, cấm hối lộ để đổi lấy việc giới thiệu các dịch vụ do hệ thống chăm sóc sức khỏe liên bang chi trả. Vi phạm AKBS là hành vi phạm tội hình sự.

(vi) Luật Stark (The Stark Law): bảo vệ chống lạm dụng và gian lận trong chăm sóc sức khỏe, cấm các bác sĩ y khoa giới thiệu bệnh nhân đến các nhà cung cấp dịch vụ mà họ có thỏa thuận tài chính.

[c] Tuân thủ thương mại kỹ thuật số

Thương mại điện tử đang trở thành một phần quan trọng của nền kinh tế và trở thành trọng tâm của một số quy định. Tại Mỹ, Ủy ban Thương mại Liên bang (The Federal Trade Commission - FTC) là cơ quan chính phủ quản lý hoạt động Thương mại điện tử. Nó giám sát quảng cáo trực tuyến, hoạt động tiếp thị thương mại điện tử và hướng dẫn doanh nghiệp cách bảo vệ quyền riêng tư của khách hàng.

Tại Liên minh Châu Âu, Quy định chung về bảo vệ dữ liệu (The General Data Protection Regulation - GDPR) yêu cầu mọi tổ chức kinh doanh tại EU, ngay cả khi tổ chức đó không có văn phòng tại EU, phải bảo vệ cẩn thận mọi dữ liệu nhận dạng cá nhân (personally identifiable data - PII) mà tổ chức đó thu thập từ công dân EU.

Hội đồng Tiêu chuẩn Bảo mật Công nghiệp Thẻ Thanh toán (The Payment Card Industry - PCI) đã phát triển Tiêu chuẩn Bảo mật Dữ liệu (Data Security Standard - PCI DSS), áp dụng cho mọi tổ chức xử lý hoặc lưu trữ dữ liệu chủ thẻ tín dụng. Tiêu chuẩn này có các quy trình chi tiết để xử lý và lưu trữ dữ liệu nhạy cảm đúng cách và các tổ chức phải tự kiểm tra hoặc trải qua kiểm toán bên ngoài, tùy thuộc vào doanh số bán hàng của họ.

[d] Tuân thủ đám mây

Công nghệ đám mây đóng một vai trò quan trọng trong nhiều ngành công nghiệp. Do đó, việc tuân thủ các quy định liên quan đến đám mây ngày càng trở nên quan trọng.

Tuân thủ đám mây bao gồm việc tuân thủ các quy định liên quan đến bảo vệ dữ liệu, quyền riêng tư và bảo mật. Điều này có thể bao gồm mọi thứ từ việc đảm bảo truyền dữ liệu an toàn đến duy trì các biện pháp kiểm soát truy cập phù hợp để bảo vệ khỏi vi phạm dữ liệu.

Việc duy trì tuân thủ đám mây đòi hỏi sự hiểu biết về mô hình trách nhiệm chung, trong đó các nhà cung cấp đám mây chịu trách nhiệm bảo mật cơ sở hạ tầng đám mây, trong khi khách hàng trên đám mây chịu trách nhiệm bảo mật khối lượng công việc và dữ liệu của họ. Nó bao gồm việc kiểm tra các biện pháp tuân thủ của nhà cung cấp đám mây cũng như kiểm tra và đánh giá thường xuyên để đảm bảo tuân thủ các khía cạnh của đám mây dưới sự kiểm soát của tổ chức.

Xem thêm: Dịch vụ pháp lý về nhượng quyền thương mại của Công ty Luật TNHH Everest

7- Tuân thủ lực lượng lao động

Dưới đây là một số quy định về lực lượng lao động có hiệu lực trên toàn thế giới và các khía cạnh bổ sung về việc tuân thủ lực lượng lao động.

[a] Quy định về lực lượng lao động của Mỹ

Đạo luật Tiêu chuẩn Lao động Công bằng (Fair Labor Standards Act - FLSA): Có hiệu lực kể từ tháng 7 năm 2009, quy định này thiết lập mức lương tối thiểu ($7,25 một giờ) và các tiêu chuẩn về lưu trữ hồ sơ, trả lương làm thêm giờ và việc làm cho thanh thiếu niên/trẻ em. Nó áp dụng cho tất cả nhân viên khu vực tư nhân ở Mỹ. FLSA đặt ra mức lương làm thêm giờ (đối với nhân viên không được miễn thuế) ở mức ít nhất bằng 1,5 lần mức lương theo giờ thông thường cho tất cả các giờ ngoài tuần làm việc tiêu chuẩn 40 giờ. Số giờ làm việc bao gồm toàn bộ thời gian nhân viên làm việc tại ngũ hoặc có mặt tại nơi làm việc. FLSA yêu cầu người sử dụng lao động trưng bày áp phích FLSA chính thức và lưu giữ hồ sơ về giờ làm việc và thanh toán. 

Đạo luật An toàn và Sức khỏe Nghề nghiệp (Occupational Safety and Health Act - OSH): Cơ quan Quản lý An toàn và Sức khỏe Nghề nghiệp (OSHA) thực thi Đạo luật OSH, áp dụng cho tất cả người sử dụng lao động thuộc khu vực công và hầu hết khu vực tư nhân. Nó yêu cầu người sử dụng lao động duy trì các tiêu chuẩn an toàn và sức khỏe để đảm bảo nơi làm việc không có mối nguy hiểm. OSHA tiến hành thanh tra để thực thi luật pháp, cung cấp các chương trình hợp tác như hỗ trợ tuân thủ.

Nhà thầu AB5 và 1099 (AB5 and 1099 Contractors): Luật việc làm AB5 có hiệu lực tại California vào tháng 1 năm 2020. Luật này xác định lại tình trạng việc làm của người lao động, trong đó nhiều nhà thầu độc lập trước đây được coi là nhân viên W-2, với các lợi ích và trách nhiệm liên quan.

Người sử dụng lao động có trách nhiệm quản lý thuế tiền lương của người lao động và cung cấp một số lợi ích nhất định trừ khi họ có thể chứng minh họ là nhà thầu 1099 độc lập bằng cách sử dụng bài kiểm tra ABC gồm ba phần. Người sử dụng lao động không phân loại công nhân của mình một cách thích hợp có thể bị phạt.

[b] Quy định về lực lượng lao động của Vương quốc Anh

Đạo luật về quyền lao động năm 1996: Luật này củng cố các quy định về quyền lao động, bao gồm việc sa thải không công bằng, bảo vệ tiền lương, thanh toán dư thừa, chấm dứt hợp đồng, làm việc linh hoạt, làm việc vào Chủ nhật và hợp đồng không giờ.

Đạo luật tiền lương tối thiểu quốc gia năm 1998: Luật này đặt ra mức lương tối thiểu trên toàn Vương quốc Anh và có hiệu lực kể từ tháng 4 năm 1999. Bản sửa đổi năm 2016 đã tăng mức lương tối thiểu một cách đáng kể, dựa trên mức lương đủ sống quốc gia cho người lao động trên một độ tuổi nhất định (25 đầu tiên, bây giờ là 23).

Đạo luật Quan hệ Việc làm 1999: Luật lao động này đưa ra các biện pháp bảo vệ rộng rãi hơn cho thành viên công đoàn và người lao động chống lại sự phân biệt đối xử và sa thải, yêu cầu người sử dụng lao động phải công nhận công đoàn. Chính phủ Lao động đã ban hành luật này, bảo tồn một số khía cạnh của đạo luật Bảo thủ tiền nhiệm. Luật lao động này được coi là ít nghiêm ngặt hơn so với tiêu chuẩn quốc tế.

Quy tắc làm việc ngoài lương (Off-Payroll Working Rules - IR35): Có hiệu lực kể từ tháng 4 năm 2000, IR35, hay “Luật pháp về người trung gian”, nhằm mục đích ngăn chặn hành vi trốn thuế của các nhà thầu độc lập hoặc đối tác kinh doanh giả làm nhân viên để che giấu tình trạng việc làm của họ.

Người lao động hoạt động “bên trong IR35” phải đóng thuế ở cấp độ nhân viên và được hưởng các quyền như bảo vệ chống phân biệt đối xử, nghỉ thai sản và mức lương tối thiểu. Người lao động hoạt động “ngoài IR35” có thể là người tự kinh doanh hoặc nhà thầu tư nhân với các quyền và nghĩa vụ liên quan.

Bản sửa đổi năm 2021 đã bổ sung các quy định về thuế dành cho khu vực tư nhân để yêu cầu khách hàng cuối phải chịu trách nhiệm đánh giá xem người lao động có phải tuân theo IR35 hay không. Nó dẫn đến việc nhiều cá nhân trở thành công nhân “bên trong IR35”.

[c] Quy định về lực lượng lao động của EU

Mặc dù mỗi quốc gia EU đều có luật cụ thể điều chỉnh quyền của người lao động và trách nhiệm của người lao động, nhưng cũng có luật pháp chung cho toàn EU.

Chỉ thị về thời gian làm việc của Châu Âu (The European Working Time Directive - EWTD): quy định giờ làm việc và quyền của nhân viên, bao gồm thời gian nghỉ ngơi và nghỉ giải lao tối thiểu hàng tuần và hàng ngày, ca đêm, nghỉ phép và tổng số giờ làm việc mỗi tuần. Các quốc gia thành viên EU dự kiến sẽ sử dụng ETWD làm cơ sở cho luật pháp quốc gia của họ, mặc dù mỗi quốc gia có thể ban hành luật chặt chẽ hơn hoặc khoan dung hơn. Tuy nhiên, trên khắp EU, người sử dụng lao động phải theo dõi giờ làm việc và sự có mặt của người lao động.

[d] Yêu cầu phân loại nhân viên

 Ở Mỹ không có luật tiểu bang hoặc liên bang nào quy định việc phân loại nhân viên thành việc làm toàn thời gian, bán thời gian và tạm thời. Tuy nhiên, người sử dụng lao động phải phân loại nhân viên một cách nhất quán trong toàn tổ chức. Tình trạng việc làm xác định trách nhiệm của người lao động và khả năng hội đủ điều kiện nhận phúc lợi của nhân viên.

Việc làm toàn thời gian thường đề cập đến bất kỳ ai làm việc trong một tuần làm việc bình thường (vô thời hạn hoặc theo hợp đồng hàng năm). Một tuần làm việc thông thường ở Mỹ là 40 giờ, mặc dù các tổ chức có thể ấn định tuần làm việc ngắn hơn hoặc dài hơn (đối với nhân viên được miễn FLSA). Một số tổ chức phân loại bất kỳ ai làm việc nhiều hơn giới hạn việc làm bán thời gian (thường là 30 giờ) là nhân viên toàn thời gian. Nhân viên bán thời gian thường được hưởng ít phúc lợi hơn nhân viên toàn thời gian.

Các nhà thầu độc lập không được coi là nhân viên trực tiếp và không nằm trong bảng lương của công ty. Họ thường không đủ điều kiện nhận phúc lợi của nhân viên và công ty. Tuy nhiên, các nhà thầu thường được hưởng sự linh hoạt hơn về thời gian làm việc, với các hợp đồng có phạm vi, mức thù lao và thời hạn khác nhau.

[đ] Yêu cầu về tiền lương

Quá trình trả lương bao gồm tính toán thu nhập của nhân viên, khấu trừ thuế, thêm tiền thưởng và phúc lợi, trả lương cho mỗi nhân viên và cung cấp phiếu lương. Người sử dụng lao động phải thay mặt nhân viên của mình duy trì hồ sơ để theo dõi giờ làm việc và ngày nghỉ có lương.

Mỗi quốc gia có luật lao động và thuế khác nhau, khiến việc tính lương trở nên phức tạp hơn đối với các doanh nghiệp quốc tế. Một số tổ chức triển khai bảng lương toàn cầu để quản lý quy trình trả lương ở các quốc gia khác nhau, điều này giúp đơn giản hóa quy trình và thống nhất bảng lương cho các quốc gia riêng biệt.

Các mô hình trả lương toàn cầu bao gồm: (i) Được sở hữu hoàn toàn - công ty thành lập văn phòng ở mỗi quốc gia và quản lý việc trả lương nội bộ. Loại bảng lương toàn cầu này thường có sự tham gia của các chuyên gia địa phương, những người xử lý các yêu cầu ở mỗi quốc gia. (ii) Bảng lương tổng hợp - công ty chọn một người tổng hợp (người trung gian) cộng tác với các nhà cung cấp dịch vụ địa phương ở mỗi quốc gia.

Xem thêm: Dịch vụ pháp lý trong lĩnh vực lao động của Công ty Luật TNHH Everest

8- Tuân thủ phần mềm

Tuân thủ phần mềm liên quan đến việc đảm bảo rằng tổ chức sử dụng giấy phép phần mềm theo các điều khoản do nhà cung cấp đặt ra. Ví dụ: các tổ chức phải đảm bảo rằng họ không sử dụng nhiều giấy phép hơn số giấy phép họ đã mua.

Việc tuân thủ phần mềm rất quan trọng đối với việc quản lý tài sản phần mềm và thường bao gồm việc kiểm tra cấp phép phần mềm toàn diện để xác minh rằng tất cả phần mềm được cài đặt trên mạng của công ty đều có giấy phép phù hợp. Các tổ chức thường duy trì một hồ sơ thống nhất về tất cả các giao dịch mua hàng cùng với các tài liệu liên quan.

Các sản phẩm phần mềm thuộc một trong hai mô hình giấy phép rộng: giấy phép thương mại và giấy phép nguồn mở.

[a] Giấy phép thương mại

Giấy phép phần mềm thương mại áp dụng các thành phần phần mềm mà tổ chức trả tiền để sử dụng. Các tổ chức mua giấy phép để có được quyền sử dụng, sửa đổi hoặc phân phối lại mã, nhưng những điều này thường phải chịu những hạn chế đáng kể. Điều quan trọng là phải hiểu những gì giấy phép thương mại cho phép và cấm.

Có một số loại mô hình cấp phép có sẵn:

(i) Giấy phép độc quyền - bao gồm toàn bộ tổ chức.

(ii) Giấy phép máy trạm - bao gồm một máy trạm cụ thể có cài đặt phần mềm.

(iii) Giấy phép sử dụng đồng thời - bao gồm một số lượng người dùng nhất định truy cập vào hệ thống cùng một lúc (ví dụ: được phép tối đa năm người dùng, với quyền truy cập thứ sáu bị từ chối).

(iv) Giấy phép một người dùng -  dành cho một cá nhân cụ thể sử dụng phần mềm (người dùng thường có thông tin đăng nhập duy nhất để truy cập phần mềm). Mô hình này cấm những người dùng khác nhau chia sẻ giấy phép.

Các tổ chức thường thuê các chuyên gia pháp lý để giúp họ hiểu rõ nghĩa vụ và rủi ro của mình theo thỏa thuận cấp phép thương mại. Việc tuân thủ đặc biệt quan trọng đối với phần mềm thương mại vì nhà cung cấp có nhiều khả năng phản hồi hơn đối với việc không tuân thủ. Nhà cung cấp phần mềm có thể yêu cầu kiểm tra giấy phép để kiểm tra xem tổ chức có sử dụng phần mềm của mình đúng cách hay không.

Người quản lý nên xem xét hợp đồng chặt chẽ và đảm bảo nhân viên biết những hạn chế có liên quan. Các tổ chức nên có một quy trình nội bộ để giám sát hành vi của nhân viên và đảm bảo sự tuân thủ. Ví dụ, cần có kiểm toán nội bộ định kỳ.

[b] Giấy phép nguồn mở

Có một số loại giấy phép nguồn mở:

(i) Miền công cộng - loại giấy phép dễ dãi nhất. Phần mềm phạm vi công cộng không có hạn chế về việc sử dụng hoặc sửa đổi. Tuy nhiên, điều quan trọng là đảm bảo mã được an toàn và thuộc phạm vi công cộng.

(ii) Giấy phép cho phép (Apache/BSD) - tùy chọn phổ biến nhất. Các giấy phép này có các yêu cầu tối thiểu để sửa đổi và phân phối lại phần mềm.

(iii) Giấy phép Công cộng Chung Ít hơn (LGPL) - cho phép các nhà phát triển liên kết phần mềm của họ với các thư viện mã. Giấy phép này hạn chế việc sửa đổi và phân phối mã.

(iv) Copy - loại giấy phép có đi có lại/hạn chế (ví dụ: GPL). Giấy phép Copyyêu cầu mở rộng các điều khoản cấp phép phần mềm cho bất kỳ mã được sửa đổi hoặc phân phối lại nào. Thông thường, điều này có nghĩa là phần mềm độc quyền bao gồm mã nguồn mở sẽ cần phải được tạo thành nguồn mở. Điều này làm cho giấy phép copytrở thành vấn đề khó khăn đối với việc sử dụng của các doanh nghiệp.

[c] Tuân thủ giấy phép nguồn mở

Giấy phép cho phép cho phép sử dụng chung và phân phối lại mã, bao gồm cả giấy phép độc quyền. Các giấy phép Copynằm ở đầu bên kia của phổ nguồn mở, khiến việc tuân thủ trở nên khó khăn. Điều quan trọng là phải xem xét hậu quả của việc mã copytương tác với mã độc quyền, chẳng hạn như trong các phần phụ thuộc. Các phần phụ thuộc có thể là trực tiếp (mã gọi trực tiếp đến thư viện) hoặc bắc cầu (phần phụ thuộc của phần phụ thuộc).

Việc cấp phép nguồn mở thường mở cho việc diễn giải, điều này làm phức tạp thêm việc tuân thủ. Người dùng phần mềm phải tuân thủ tất cả các giấy phép hiện hành (bao gồm cả các giấy phép phụ thuộc). Giấy phép cấp cao nhất thường không bảo vệ khỏi trách nhiệm pháp lý về giấy phép của các thành phần khác được sử dụng trong phần mềm. Sự phụ thuộc mang tính bắc cầu thường có rủi ro thấp hơn, đặc biệt là ở những đoạn tiếp theo của chuỗi.

Lý tưởng nhất là các nhà phát triển nên duy trì một hóa đơn tài liệu (BOM) đầy đủ cho mỗi giấy phép nguồn mở mà họ sử dụng lại để theo dõi các nghĩa vụ của mình, nhưng điều này không phải lúc nào cũng thực tế. Ngoài ra, họ có thể sử dụng phương pháp phân loại để phân tích rủi ro và ưu tiên những người phụ thuộc trực tiếp, thường có số lượng ít hơn nhưng có rủi ro cao hơn. Việc tập trung vào các phần phụ thuộc này và các sản phẩm nhúng giúp việc tuân thủ trở nên dễ quản lý hơn và cho phép phân tích sâu hơn các vấn đề tuân thủ.

Việc tuân thủ nguồn mở thường nhấn mạnh đến sự phụ thuộc trực tiếp, trong đó các tổ chức tận dụng các công cụ tự động để quét các phần phụ thuộc và giấy phép phần mềm. Các công cụ như phân tích thành phần phần mềm (SCA) có thể giúp quản lý nghĩa vụ và phân loại các thành phần dựa trên rủi ro. Điều quan trọng là duy trì khả năng hiển thị đối với các giấy phép nguồn mở được sử dụng trong tổ chức, thiết lập và thực thi các chính sách để sử dụng hợp lý các giấy phép nguồn mở.

Xem thêm: Dịch vụ pháp chế doanh nghiệp thuê ngoài (luật sư doanh nghiệp) của Công ty Luật TNHH Everest

9- Khuyến nghị của Công ty Luật TNHH Everest

[a] Bài viết Quản lý tuân thủ (Compliance Management) được chuyên gia của Công ty Luật TNHH Everest thực hiện nhằm mục đích nghiên cứu khoa học hoặc phổ biến kiến thức pháp luật, hoàn toàn không nhằm mục đích thương mại.

[b] Bài viết Quản lý tuân thủ (Compliance Management) có sử dụng những kiến thức hoặc ý kiến của các chuyên gia được trích dẫn từ nguồn đáng tin cậy. Tại thời điểm trích dẫn những nội dung này, chúng tôi đồng ý với quan điểm của tác giả. Tuy nhiên, quý vị chỉ nên coi đây là những thông tin tham khảo, bởi nó có thể chỉ là quan điểm cá nhân người viết.

[c] Trường hợp cần giải đáp thắc mắc về vấn đề có liên quan, hoặc cần ý kiến pháp lý, hoặc thuê luật sư tư vấn cho vụ việc cụ thể, Quý vị vui lòng liên hệ với luật sư, chuyên gia của Công ty Luật TNHH Everest qua Tổng đài tư vấn pháp luật: (024) 66 527 527, E-mail: info@everest.org.vn.

Phạm Nhật Thăng
Phạm Nhật Thăng

Phạm Nhật Thăng là chuyên gia Quản trị và An ninh (Management and Security)

0 bình luận, đánh giá về Quản lý tuân thủ (Compliance Management)

TVQuản trị viênQuản trị viên

Xin chào quý khách. Quý khách hãy để lại bình luận, chúng tôi sẽ phản hồi sớm

Trả lời.
Thông tin người gửi
Bình luận
Nhấn vào đây để đánh giá
Thông tin người gửi
Tổng đài tư vấn: 024-66 527 527
Giờ làm việc: Thứ 2 - Thứ 7: 8h30 - 18h00
0.20290 sec| 1136.086 kb