创建合规地图

集中化管理要求的文档及其映射控制,并自动汇总测试结果和问题,以便轻松评估合规性要求范围并实时报告合规状态。

工作流

以下步骤概述了如何创建和管理组织的合规映射:

  1. 框架设置建立符合您组织监管与运营需求的合规框架,并配置相应的控制。

    1. 将框架与项目集成将控制导入各个项目,以统一各团队的合规实践标准。确保控制可供持续链接和实施。

    2. 验证框架设置评估控制的设计与有效性。

      • 记录流程与排查结果。

      • 测试控制功能。

      • 识别并记录需解决的差距或薄弱环节,以应对合规风险。

  2. 合规资源库导入行业标准或规范,或创建自定义条目以满足特定需求。

  3. 创建或更新要求及其相关详细信息,以管理适用性并跟踪整个组织的覆盖范围。

  4. 将控制与相关业务要求相关联,以展示合规覆盖范围并简化审计流程。

  5. 跟踪每个要求的状态,以识别差距,衡量进度,并确保与合规目标持续保持一致。

  6. 以 Excel 格式导出报告,以便与审计员、利益相关者和领导层共享合规状态。

说明

在使用合规地图时,您可能会发现有一些导入的标准和法规被锁定。锁定图标 表示这些操作为只读状态。

这是因为当标准或规范来源于外部提供方时,提供方有时会规定客户不可修改其提供的模板内容。因此,不允许进行修改,包括编辑标准、规范或相关要求的任何部分;增加子要求;或删除要求。

添加标准或规范

手动向合规地图中添加标准或规范,或者从合规资源库导入可用的标准和规范。要查看合规资源库中的标准和规范,请参阅导入标准和规范部分中的

  1. 从平台主页 (www.diligentoneplatform.com) 中,选择合规地图应用程序以将其打开。

    如果您已经进入 Diligent One,可以使用左侧导航菜单切换到合规地图应用程序。

  2. 请完成下列任一任务:
    任务步骤
    导入可用的标准或规范
    1. 选择导入标准或规范

      随即会打开合规资源库

    2. 搜索并选择要导入的标准或规范。

      一些标准和规范仅以只读格式提供。要了解更多信息,请参考导入标准和规范

      说明

      某些标准和规范只能通过订阅 Diligent 内容套件才能使用。有关详细信息,请参阅内容和情报库

    3. 选择导入
    4. 完成导入之后,选择新导入的标准或规范的打开按钮。

      结果 – 您将返回到合规地图主页,其中新导入的标准或规范的侧面板会打开,并且标准或规范在列表视图中展开,显示其顶级层次的要求。

    5. 跳过 下的步骤,然后前往
    访问附加标准和规范某些标准和规范会显示一个联系以获取访问权限的标签。请联系您的客户成功经理,了解如何访问这些标准和规范。
    手动添加标准和规范
    1. 选择新建

      添加标准和规范侧面板打开。

    2. 输入以下信息:
      • 标题给标准或规范命名。

        字符最长为 255 个。名称必须唯一。

      • 描述(可选)提供标准或规范的描述。
        说明

        富文本字段不能超过 524,288 个字符。

    3. 执行以下操作之一: 
      • 要添加标准或规范并关闭面板,请单击保存并关闭

        标准或规范即会添加到合规地图中。

      • 要向标准或规范添加要求,请单击保存并添加要求,然后继续执行添加要求的步骤 3。

查看和管理标准和规范

规范页面提供了规范的综合视图。您能够借助该页面搜索规范中的特定要求,并查看这些要求的状态及其相关控制。

要查看规范,请在合规地图主页上执行以下步骤:

视图步骤
高级别详细信息

要查看规范的标题、描述和来源等详细信息,请选择显示详细信息(位于更多菜单中的操作列)。

详细的视图

  1. 选择标准或规范的名称。

  2. 在规范页面上,执行以下操作:

  1. 审核要求列表及其之间的关系,如已关联的控制措施和要求的数量,以及它们的状态。

  2. 通过输入 ID、标题或描述来搜索规范中的特定要求。

  3. 在规范的整体背景下查看要求描述。

  4. 通过选择 +添加新的子要求来创建标准或法规的子要求。
    当您添加子要求时,它们将被添加到与规范的顶级视图相同的层次结构中。这确保了在规范的整个范围内来考虑子要求,并直接在要求级别添加子要求。

  5. 选择切换图标 ,然后从列表中选择标准或规范,即可在规范之间切换。

  6. 通过选择要求旁边的详情按钮,从规范页面前往要求详情页面。

查看要求

您可以从规范页面查看要求。要前往要求详情页面,请打开一个规范,然后选择详情

添加要求

添加要求以填充您的合规地图。

  1. 在规范页面中,选择要求旁边的详情,或从合规地图主页选择一项要求。

  2. 在要求详情页面中,从更多菜单中选择 + 添加新的子要求

  3. 输入以下信息:
    • ID输入要求的标识符。
    • 标题(选填)给要求命名。

      如果不输入标题,则要求描述的前 255 个字符将显示为树视图中的标题,并且会删除任何 HTML 或富文本格式。

    • 描述提供要求的描述。
      说明

      富文本字段不能超过 524,288 个字符。

  4. 执行以下操作之一:

    • 保存并添加另一个选择该选项可保存要求,并在树视图中的相同层级添加另一要求。

    • 保存并关闭选择该选项可保存要求,并关闭添加新的子要求侧面板。

      新要求在树视图中突出显示,并根据 ID 进行排序。在两个要求具有相同 ID 的情况下,会自动基于要求的创建日期应用二次排序方法。

      说明

      • 会自动对所有要求进行排序。您不能配置要求的顺序。

      • 添加到标准或规范的要求数量,会显示在列表中该标准或规范名称的旁边。

指明要求是否适用并已涵盖

运用专业判断来确定并合理化适合组织的最佳覆盖范围。

  1. 合规地图主页上,选择要求的标题。

    要求详情页面随即打开。

  2. 在“状态”部分中的下拉列表中选择以下选项之一:

    • 不适用:仅当该要求不适用于您所在组织时,才选择此选项。

    • 适用 - 未覆盖:如果要求适用但尚未覆盖,请选择此选项。

    • 适用 - 已覆盖:如果要求适用于您所在组织且已覆盖,请选择此选项。

    说明

    默认情况下,所有父级要求都适用,并没有被覆盖。当创建新的子要求时,子要求从父要求继承适用已覆盖值。

  3. (可选)选择撰写依据以说明为什么要求被标记为适用、不适用、已覆盖或未覆盖。
    提示

    您还可以从相关要求复制理由说明。有关详细信息,请参阅

处理关联的要求

关联要求功能使您能够关联不同标准与规范中的相关要求,从而促进已映射控制的重复利用,并提升合规映射工作流的效率。此功能在多项规范存在相似义务的场景中尤为重要,因为它能减少重复劳动并充分利用现有的合规数据。通过帮助您识别现有工作(例如与相关要求绑定的控制映射),该功能支持节省时间的控制重复利用,并实现更智能、可扩展的合规映射。

您可以通过以下两种方式关联要求:

通过合规资源库批量关联要求

如果您已从合规资源库导入包含预定义要求链接的特定标准或规范,则可以查看关联的要求或从中添加理由说明。

Diligent 根据行业批准的映射整理关联要求。您可以查看的关联要求的最大数量是 300 个。有关详细信息,请参阅控制和要求之间的关系

  1. 前往要求详情页面,展开关联要求部分。该数字表示当前与此部分关联的要求总数。
  2. 您可以按标准和规范进行过滤。
    此时会显示关联要求及其状态的列表。您可以查看与新要求相关的规范。

    3. 说明

    导入的关联要求按关系强度分类(例如,等效强关联中等关联不可关联,以表明其关联性质。

  3. 选择关联的要求。
    侧面板将打开,显示该要求的详细信息。依据部分显示了关联要求的依据。
  4. 选择添加即可添加依据。
    新的依据出现在要求详情页面的依据部分。 

    如果您处理的要求已经有了依据说明,那么新依据将被追加到现有依据的底部。

    提示

    要进一步修改理由说明,请使用编辑依据选项。

  5. 导入包含关联要求的标准或规范如果存在未导入合规地图的关联要求,请执行以下操作:

    1. 在要求详情页面的关联要求部分旁边,选择导入相关规范

    2. 选择权威文档的标题以启动导入过程。

      您将进入合规资源库

通过搜索手动关联

将要求关联到合规地图中其他文档的任何其他要求。

关联要求后,系统会显示关联要求的历史控制映射,并提供重复使用这些映射的选项。这简化了映射流程,减少了重复工作,并提升了历史合规数据的利用率。

要关联要求:

  1. 在要求详情页面中,选择关联要求
    系统将打开侧面板,显示所有可关联要求的完整列表。

  2. 可通过要求 ID、标题、描述进行搜索,或使用规范、状态等过滤条件。您也可以输入特定关键词以获取相关要求。

  3. 从搜索结果中选择关联或选择要求。

    若从列表中选择一个要求,系统将打开侧面板,显示该要求的完整详情,包括先前映射的控制及其覆盖状态。您也可以直接从侧面板关联该要求。

    手动关联的要求同样会显示在关联要求部分,并带有手动关联标签以便快速识别。如需取消关联要求,可随时选择取消关联

    手动关联的要求与从批量导入中关联的要求具有相同的功能,包括映射控制和添加理由说明,确保所有关联要求的一致性。

将控制措施与要求联系起来

通过将控制关联到要求,展示贵组织遵守与业务相关的规范。关联要求也出现在控制透视中,帮助审计员熟悉基于关联要求的控制。

您可以遵循自动建议或手动浏览控制,将控制关联到要求。

说明

可以关联到单个要求的控制的最大数量是 300 个。

使用 Diligent One 平台 AI 建议服务,根据特定要求从可用控制措施集中接收相关控制的建议。您可以选择遵循这些通过 AI 获得的建议,也可以手动浏览并选择合适的控制。

要将控制措施与要求关联起来,请执行以下步骤:

  1. 合规地图主页上,选择要求的标题。
  2. 在要求详情页面中,选择关联控制
    关联控制面板随即打开。
    说明

    如果您没有看到关联控制措施,则表示您正在查看无法映射的要求的上级或子级。您必须删除群组中现有的映射,然后才能映射其他控制。有关详细信息,请参阅控制和要求之间的关系

  3. 关联控制措施面板中,您可以执行以下操作:

      1. 在搜索框中输入一个关键字以搜索控制。

        您可以按照目标标题、控制 ID,控制标题或控制描述搜索控制。搜索字词在结果中突出显示。

      2. 选择过滤器以按框架或目标过滤控制。

        搜索可与任何应用的过滤器组合使用。如果选择框架或目标过滤器,并且搜索控制,则只能在指定的框架或目标中进行搜索。

        • 选择侧箭头 展开框架并查看目标列表。选择目标旁边的侧箭头 以查看控制列表。
        • 如果适用,请选择查看更多,即可显示 Diligent One 实例中的所有框架。

      3. 单击 AI 建议以查找与每个要求最相关的控制措施。此功能利用 AI 集成提供更完善的建议,确保匹配程度更高。它通过比较要求和控制措施的描述来确定合适的控制措施。向下滚动并选择加载更多以查看其他建议。

  4. 选择要关联到要求的每个控制旁的关联

查看和管理关联的要求

要求详情页面的关联控制部分会显示已关联控制的列表。选择已关联的控制措施时,可以执行下表所述的操作:

行动步骤
仔细查看关联的要求

以下信息以侧面板的形式显示在详情视图中:

  • 控制 ID控制的标识码。
  • 所有者负责控制的人。
  • 控制标题控制的标题。
  • 描述有关控制的详细信息。
  • 框架控制来自的框架。
  • 测试结果已通过、未通过的控制测试,以及尚未测试的控制。
  • 问题与框架控制相关联的所有项目控制中的未结问题总数。

    选择问题计数链接可提供问题的弹出列表。您可以选择单个问题以导航到详细信息。

    说明

    总计问题数基于与排查、测试计划和测试轮相关联的活动项目中所有未结并公开的问题。

比较控制措施的描述和要求的描述

当控制措施的数据在侧面板中打开时,您可以通过滚动并排的两列来比较控制措施的描述和要求的描述。这对于启动合规工作至关重要,同时也确保更清楚地了解法律要求。

更新控制措施权重

如需指示控制所覆盖的要求的百分比,请调整控制权重

您可以指示一个 0% 和 100% 之间的值。默认覆盖范围为 100%。

导航到框架

框架

application
  • 要前往框架中的控制,请选择 ID 链接。
  • 要导航到框架,请选择框架链接。
添加或移除控制措施
  • 要从要求中移除控制关联,请选择取消关联
  • 要将其他控制关联到要求,请选择 + 关联控制
  • 要查看关联到单个上级要求或所有下级要求的控制列表以及每个控制的问题聚合数,请查看相关控制部分。
    • 选择控制 ID 链接会将您重定向到适用框架中的控制页面。
    • 选择问题计数链接可提供问题的弹出列表。

      您可以选择单个问题以导航到详细信息。

 

为要求生成控制

若无法通过手动浏览或 AI 建议找到相关要求对应的控制(通常因新的或不断演变的监管要求导致),可在合规图中使用控制生成功能。此功能可为您快速生成适用的控制。

例如,《通用数据保护条例》(GDPR) 出台时,许多组织缺乏管理个人数据的内部政策与控制措施。控制生成功能可在类似无明确先例的情况下为您提供支持。

控制生成功能提供控制的关键要素(如标题和描述),作为简要指导,帮助您有效利用这些控制。该功能可填补要求的空白,无需从头构建新的控制,从而简化工作流程并节省时间,尤其在初始设置阶段。

要生成控制:

  1. 选择通过 AI 生成控制
    系统会自动生成控制列表。

  2. 浏览控制列表,并选择要使用的控制。

  3. 查看控制,复制其标题和描述,并粘贴到您的控制库中。
    如果需要,可直接在控制库中修改控制标题或描述。

将控制添加到风险管理器

您现在可一键将合规地图中 AI 控制生成服务生成的控制直接添加到风险管理器。这消除了手动复制粘贴控制属性的需要,简化了控制映射流程。所有 AI 生成并添加的控制将自动以草稿形式保存于风险管理器中,以便您的内部控制团队根据需要进行审阅、管理和最终确定。

要将合规地图中的控制添加到风险管理器:

  1. AI 建议服务生成的控制列表中选择一项控制。

  2. 选择 +添加到风险管理器

  3. 要查看已添加的控制,请从成功消息中选择在风险管理器中查看
    这将直接跳转至风险管理器应用程序中的相关控制。

    说明

    添加到风险管理器的控制以草稿模式显示。

  4. 所有已添加的控制均可在控制选项卡中找到,您可根据组织的政策和程序进行审阅和管理。

跟踪合规进度

您可过滤要求列表以跟踪合规进度。

要跟踪合规进度,请转至合规地图页面并完成以下任一任务:

任务选择选项或执行操作您看到的内容
查看所有规范和标准的所有适用要求。

适用

所有适用要求的列表,无论它们是否已被标记为“已覆盖”。
查看尚未被标记为“已覆盖”的要求。未覆盖(间隔)

尚未标记为“已覆盖”的适用要求列表。

查看已被标记为“已覆盖”的要求。覆盖已被标记为“已覆盖”的适用要求列表。
查看已指定为不适用的要求。不适用

所有不适用要求的列表。

搜索要求。在搜索框中输入关键字或短语。与您的搜索词或短语相匹配的要求列表。

看关于标准、规范或要求的摘要信息,包括:

  • 已覆盖或未覆盖的范围。
  • 是否已被标记为“已覆盖”。
  • 是否已关联至少一项控制。
  • 与之相关联的未结问题总数。
  • 标准、规范或要求的当前保障计算。
查看嵌套树视图中的覆盖范围已覆盖问题控制措施以及保障列。
  • 覆盖范围已标记为“已覆盖”的标准或规范要求的百分比。了解如何计算覆盖范围。
  • 覆盖指明()是否涵盖某项要求(根据您将该要求标记为已覆盖未覆盖)。如果标准和规范的所有要求均已被标记为“已覆盖”,即视为“已覆盖”该标准和规范。
  • 问题与每个标准或规范,以及树中最顶层(根)的要求相关联的问题聚合数。选择问题计数链接可提供问题的弹出列表。您可以选择单个问题以导航到详细信息。
  • 控制图标 () 指明要求包含至少一项与其关联的控制。
  • 保障表示贵组织对能够满足要求的信心的计算。了解如何计算合规保障。

生成摘要报告

通过生成摘要报告演示您的组织的合规进度。

  1. 选择合规摘要报告
  2. 将 Excel 报告 (.xlsx) 下载到您的计算机。

    您在合规地图页上应用的任何过滤器都会反映在报告中。每种标准/规范都显示在单独的工作表上。

    提示

    在您的合规地图中按字母数字编制索引的手动创建的要求可能会在 Excel 报告中以不同方式排序。要取得相同的排序,您可以根据需要使用以下命名策略:

    • 父级要求字母 ID

      示例A1

    • 子要求字母 ID + 数字 ID

      示例A1-01、A1-02、A1-03