法遵稽核指南：定義、類型與流程

幾乎所有組織都必須遵守法遵要求。法遵稽核能驗證組織是否遵循相關標準、規範與規章，同時也有助於識別可能導致不合規違規的缺失。

雖然法遵稽核會針對各種規章進行調整，但大體範圍適用於大多數組織。本文不僅闡述什麼是與不是法遵稽核，也從類型和流程的角度回顧法遵稽核的現狀。摘要中亦引用特定法規，並包含其他文章的連結，以提供更深入的資訊。

什麼是法遵稽核？

法遵稽核是對組織遵守適用法律、規則、規章和標準的評估。

法遵稽核被視為一種防護措施，用以保護組織避免失誤，並促進問責、良好治理與透明度。它也能主動識別弱點與缺失，協助確保合宜性或揭露不當行為。

法遵稽核依據稽核類型所制定的指引進行，詳細說明需遵循的方法與流程。它們同時也建立達成法遵所需的標準，以及報告的期望要求。

在正式的法遵稽核前，通常會先進行依循相同指引的內部稽核。其目標在於識別並修補缺口，並確保有利的結果。

稽核報告會依據法遵要求記錄組織的優勢與不足之處。其內容涵蓋從安全政策、使用者存取控制，到風險管理計畫與人力資源活動。法遵稽核報告則會完整記錄稽核人員的所有發現，並通常依照為各類稽核所設計的既定架構進行。

法遵稽核由獨立或第三方稽核人員執行。他們具備稽核流程的經驗，以及與稽核標準相關的專業知識。進行法遵稽核的稽核人員必須對其發現與報告的準確性提供個人與專業上的保證。

在考量法遵稽核時，需注意其與監控工具存在關鍵差異。雖然兩者經常被混淆，法遵稽核提供的是一個快照式的檢視。相較之下，監控系統則提供持續性的評估，能在問題出現時即時識別，並確保控制措施持續符合不斷變化的要求。

為什麼法遵稽核很重要

法遵稽核的主要重要性在於協助組織遵循法律與標準。法遵稽核之所以重要的其他原因，還在於它能支持組織降低風險、建立信任並促進永續成長，如以下範例所示。

建立信任與聲譽

展現遵循法規及其他法律、規範與標準的組織，能在利害關係人之間建立信任，包括員工、客戶、合作夥伴以及廣大的公眾。透明的法遵報告則展現了企業營運中的問責與誠信。

確保遵守法律和法規

法遵稽核有助於組織遵循國內與國際法律、產業規章及契約義務。未能符合這些要求可能導致嚴重的處罰、訴訟以及失去相關執照。定期進行法遵稽核能確保組織的營運與作法符合監管要求。

促進營運效率和持續改進

定期進行法遵稽核能提供對內部流程的洞察，並凸顯需要改進的領域。法遵稽核推動持續改進的循環，協助組織維持高營運標準並保持競爭力。

降低風險並增強安全性

透過法遵稽核，企業能夠識別漏洞與營運風險。例如，網路安全稽核可能揭露資料保護上的弱點，協助組織避免資料外洩。法遵工作確保適當的安全控制措施到位，以降低可能中斷營運、損害資產或危及敏感資料的威脅。

法遵稽核的目標

不同的法遵稽核有各自的目標，但所有稽核共同包含的內容包括：

• 評估組織內部控制的有效性
• 避免因違規而產生的罰款和其他處罰
• 詳細說明組織對稽核標準的法遵程度
• 衡量組織遵守規則、法規和標準的情況
• 凸顯在稽核過程中發現的缺口，並指出為達成法遵所需的矯正措施

內部稽核與法遵稽核

內部稽核與法遵稽核之間有一些共同點，其中包括：

• 無論稽核的類型為何，稽核人員與稽核團隊都不得直接參與被稽核的領域。
• 內部稽核與法遵稽核都會識別不足之處，並提供矯正措施的建議以加以修補。

儘管有共同點，但內部稽核和法遵稽核仍有顯著差異。

內部稽核

• 內部稽核由代表組織工作的員工或承包商進行。
• 大型組織有時會設立專責團隊以監督並執行內部稽核。
• 內部稽核人員不負責監督內部或外部的法遵。
• 內部稽核團隊有時會聘請外部專家，以協助規劃並驗證結果。
• 內部法遵稽核旨在評估整體法遵風險，並判斷哪些地方未遵循規範。
• 內部稽核在整個會計年度中持續進行。
• 除了評估未遵循法規的風險之外，內部稽核也會衡量績效是否符合既定目標。
• 內部稽核用於驗證在法遵稽核中發現的問題是否已被修正或以其他方式處理。

法遵稽核

• 法遵稽核的重點在於確保遵循由組織、標準制定機構及政府所制定的規範、標準與規章。
• 法遵稽核需要對適用的法律與規章，以及內部治理具備深入的知識。
• 法遵稽核是由獨立第三方進行的正式稽核。
• 法遵稽核遵循由適用規範所決定的特定格式（例如健康保險流通與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI-DSS) 或金融服務業現代化法 (GLBA)）。
• 法遵稽核報告提供對組織遵循適用規範、規章與標準情況的評估。
• 根據標準或規章的具體規定，法遵稽核通常是強制性的。
• 未能完成並通過法遵稽核可能導致處罰（例如財務或法律層面）。

法遵稽核的類型和要求

根據重點領域，法遵稽核和其要求可分為幾大類。以下為主要的法遵稽核類型。

網路安全與資料隱私

此類別著重於組織如何保護數位資產並確保資料隱私。這些法遵稽核涵蓋的範疇包括資料保護、資料隱私、網路安全、加密，以及事件管理與應變。網路安全(Cybersecurity)與資料隱私法遵稽核的範例包括：

• (CCPA)—加州居民的資料隱私權
• 一般資料保護規範 (GDPR)— 歐盟範圍內的資料隱私法規
• ISO/IEC 27001—資訊安全管理標準
• NIST 網路安全框架—改善網路安全態勢的指引（美國聯邦政府機構必須遵循）

ESG（環境、社會和治理）

ESG 法遵稽核要求組織在環境、社會及治理實務上展現問責性。這些法遵稽核著重於長期價值創造、環境管理、社會影響、治理透明度以及倫理治理。ESG 法遵稽核的範例包括：

• ESG 報告—衡量和披露環境、社會與治理影響
• 聯合國永續發展目標 (SDG)—永續發展倡議的框架

環境與永續性

環境法規與永續性法遵稽核旨在確保組織履行其減少環境足跡的承諾。這些法遵稽核著重於環境影響、廢棄物減量、能源效率、碳中和，以及永續性報告。環境與永續性法遵的範例包括：

• 碳揭露專案 (CDP)—溫室氣體排放報告的框架
• 歐盟綠色新政與氣候法規—以達成淨零排放為目標
• 全球報告倡議組織 (GRI) 標準—涵蓋環境影響的永續性衡量指標
• ISO 14001—環境管理系統要求

金融與監管

這些稽核有助於確保組織遵守法律規章與財務報告標準，並著重於財務誠信、會計準確性、舞弊防範以及透明度。財務與監管法遵稽核的範例包括：

• 國際財務報導準則 (IFRS)—跨國一致性的財務報告
• 支付卡產業資料安全標準 (PCI-DSS)—信用卡資訊的安全處理
• 沙賓法案(SOX)—公開上市公司內的財務透明度與管控

健康與安全

健康與安全法遵稽核旨在保護員工、顧客以及一般大眾。這些稽核的重點領域包括工作場所安全、公共衛生、產品安全以及員工福祉。健康與安全法遵稽核的範例包括：

• FDA 規章—食品、藥品和醫療裝置的安全性和有效性
• ISO 45001—職業健康安全管理系統
• 職業安全與健康管理局 (OSHA)—工作場所健康與安全標準

行業特定

某些產業具有特定的法遵框架，以因應其專業化的特性。產業特定的法遵稽核範例包括：

• 航太與國防
• 國際武器貿易條例 (ITAR)—規範國防相關物品的出口
• 網路安全成熟度模型認證 (CMMC)—國防承包商的網路安全框架
• 能源與公用事業
• ISO 50001—能源管理系統
• 北美電力可靠性公司關鍵基礎設施防護 (NERC CIP)—電網的網路安全標準
• 醫療保健
• 健康保險流通與責任法案 (HIPAA)—保護敏感的健康資訊
• FDA 規章—藥品與醫療器材的安全性

社會與勞動

此類法遵稽核旨在確保組織遵循公平勞動實務、人權，以及多元、公平與包容 (DEI)。社會與勞動法遵稽核的範例包括：

• 平等就業機會 (EEO)—招聘與工作場所實務中的非歧視行為
• 全球報告倡議組織 (GRI)—披露社會影響與勞動實務的框架
• ISO 26000—社會責任指引
• SA8000—工作場所安全、公平薪資與工作條件的標準

社會法遵

社會法遵稽核評估組織的整體運作、行為準則，以及其在社會責任方面的表現。

永續法遵

永續法遵稽核檢視組織在推行實務與程序以支持永續營運方面的努力。

政府法遵稽核

《利馬宣言》（於 1977 年在秘魯利馬舉行的第九屆 INCOSAI 會員代表大會簽署）被視為政府審計的黃金標準。《利馬宣言》詳述審計的基本要素，以及提供獨立、客觀法遵稽核報告所需的條件。

聯合國大會將《利馬宣言》所建立的原則稱為「透過強化最高審計機關，促進公共行政的效率、問責、效能與透明度。」

監管法遵稽核範例

以下是需要進行內部與法遵稽核的標準、規則、指引與法律範例。

CAN-SPAM 法案（控制未經請求的色情與行銷攻擊法案）

這是一項由美國聯邦貿易委員會 (FTC) 實施的聯邦法律，用於規範商業電子郵件。該法律定義郵件內容的要求，以及收件人選擇退出接收未來電子郵件的權利。

醫療保險和醫療補助服務中心 (CMS)（前身為醫療保健融資管理局）

做為美國衛生與公共服務部 (HHS) 的一部分，CMS 主管 Medicare 與 Medicaid 的資金運用，並透過法遵稽核來執行相關法規，以確認資金正確使用與追蹤。

環境保護署 (EPA)

EPA 與州政府、部落以及其他聯邦機構合作，以確保遵循環境法規，例如淨水法 (CWA)、清淨空氣法案 (CAA) 以及有毒物質法 (TSCA)。協助執行這些法規的法遵稽核包括檢查與測試。

美國金融業監管局

雖然美國金融業監管局 (FINRA) 並非政府機構，但它與美國證券交易委員會 (SEC) 密切合作，以執行多項規範，其中包括與反洗錢 (AML) 及網路安全治理相關的規定。FINRA 獲授權可進行年度法遵稽核，審查範圍涵蓋執照、廣告以及日常營運。

美國聯邦資訊安全現代化法案 (FISMA)

凡與聯邦系統互動的任何聯邦機構、州政府機構或簽約合作單位皆須符合 FISMA 法遵要求。該法遵會評估其是否遵循保護敏感資訊的安全標準。

一般資料保護規範 (GDPR)

GDPR 法遵稽核會評估組織是否遵循該法所制定的規範，以管理並保護個人資料與隱私，其中包括個人資料的收集、儲存、存取與處理方式。

健康保險流通與責任法案 (HIPAA)

醫療機構必須接受 HIPAA 法遵稽核，以確認受保護的健康資訊 (PHI)，包括電子記錄、紙本文件及相關流程，已充分防護，避免未經授權的存取或使用。

人力資源法遵稽核旨在進行內部基準比較以及外部法規要求而進行。人力資源法遵稽核考量的範疇包括遵循聯邦、州及地方的就業法律與規範，涵蓋多個面向，例如非豁免員工、人事檔案不完整，以及薪酬。

美國國稅局 (IRS)

IRS 會進行法遵稽核，以確保企業與非營利組織遵循相關規範，並在到期時繳納適當的稅款。

職業健康與安全法 (OSHA)

OSHA 法遵稽核會評估組織是否符合必要的健康與安全標準，以保護所有勞工（例如辦公室、製造設施及建築工地的員工）。

支付卡產業資料安全標準 (PCI-DSS)

PCI DSS 法遵是由產業標準機構而非政府機構所強制執行；PCI 委員會由產業領導者組成（例如 American Express、Discover、JCB International、MasterCard 和 Visa）。

州與地方稅 (SALT)

州與地方稽核人員會進行 SALT 稽核，以確認企業和個人是否已繳納正確金額的州稅與地方稅，例如所得稅和銷售稅。

沙賓法案 (SOX)

SOX 法遵稽核主要著重於財務記錄與營運控制，並要求高階主管對其組織財務報表中的陳述負責。

法遵稽核流程

各種類型的法遵稽核都依賴清晰的文件記錄、良好的溝通，以及品質管控。

無論需要進行何種類型的稽核，都有一些基本流程適用，並且稽核人員必須保持獨立性，且能夠完整取得所有相關資料。

變數取決於法遵稽核的類型，包括涵蓋的範疇、涉及的部門，以及報告要求。

法遵稽核的主要步驟包括：

1. 規劃
2. 收集證據
3. 評估證據
4. 得出結論
5. 報告稽核結果

規劃法遵稽核

法遵稽核的規劃能確保成果的品質，並使稽核以高效率、有效且及時的方式進行。在規劃法遵稽核時需要考量的重點領域包括：

• 通知所有將會參與的人員。
• 定義目標和範圍。
• 判定關鍵主題的位置。
• 制定法遵稽核的關鍵標準。
• 標記可能遇到的潛在問題。
• 確定要涵蓋的關鍵領域。

進行法遵稽核—收集證據

文件記錄是法遵稽核的核心。稽核人員會依據稽核準則收集並記錄合規或不合規的證據。這些文件記錄將用於在稽核結束時提供最終評估。

收集的證據會因稽核的類型與組織而有所不同，但流程是一致的。稽核人員必須充分記錄其用以得出結論的證據。

在法遵稽核期間收集證據時要考慮的關鍵領域包括：

1. 根據需要進行並記錄正式訪談，做為證據收集的一部分。
2. 檢查基礎設施與工作空間，並在必要時跟隨員工進行觀察。
3. 證據需符合充分性（即數量）與品質的標準，以解釋稽核結果。
4. 取得與稽核範圍相關且合理的證據。
5. 使用法遵稽核檢查清單，以確保所有相關資料均已收集完成。
6. 進行法遵稽核—評估證據並得出結論

收集記錄與文件後，稽核人員必須對其進行審查，並判斷組織是否符合法遵要求。在法遵稽核的此階段，稽核人員也會識別導致未遵循法規的缺失。在此階段所考量的標準包括證據的真實性與有效性。

報告法遵稽核結果

法遵稽核最後會提出結果報告。若組織被認定符合稽核準則，則應在報告中引用並納入相關證據。

如果組織在任何領域有未遵循法規的情況，報告應詳細說明未遵循法規的性質與範圍、原因、重大性以及影響。法遵稽核報告亦應指出問題是屬於獨立事件，還是系統性問題。

制定法遵稽核報告的注意事項包括：

1. 詳述為達成法遵所採取之矯正措施
2. 整理報告中所包含的證據，以便於輕鬆存取
3. 以證據支持稽核人員的結論
4. 詳述所執行稽核程序的完整追蹤記錄
5. 說明得出結論的理由，並提供足夠的資訊，使未參與該稽核的有經驗稽核人員也能理解稽核結果
6. 針對導致未遵循法規之缺失負有責任的個人，分配其責任並說明其涉入程度
7. 證明法遵稽核係依相關標準執行，並涵蓋該稽核類型所需之準則

法遵稽核機會

雖然法遵稽核可能相當繁瑣，但它也能為企業提供寶貴的洞察。這些洞察有助於組織遵循規章制度，進而避免罰款及其他處罰。

法遵稽核亦有助於識別可能導致安全漏洞或其他重大問題的缺口。此外，法遵稽核的結果可做為補救措施的指引。以積極的態度看待法遵稽核，能使流程更為順暢並提升整體成果。