Cómo Medir la Efectividad del Programa de Cumplimiento

Aspectos destacados:

• Para medir la efectividad del programa de cumplimiento en su organización, primero, comprenda lo que es importante para su negocio. Cada empresa tiene sus propios indicadores clave de rendimiento únicos. Comience aquí para que sus esfuerzos de seguimiento tengan el mayor impacto.
• Refine sus habilidades de narración al presentar los datos del programa al liderazgo organizacional. Les ayuda a conectarse a los datos mientras se llevan los mensajes clave.
• Cree un inventario maestro de todos los activos de su empresa para saber qué medir.

Medir la eficacia de un programa de cumplimiento corporativo no es tan sencillo como calcular el rendimiento de una campaña de marketing o el rendimiento de las ventas de un producto en una nueva región.

La complejidad es causada por algunos factores. La medición de la” efectividad ” es requerida por muchas autoridades y reguladores, incluidos los Estados Unidos. Comisión de Sentencias, el órgano rector que define los programas de cumplimiento efectivo para las empresas.

Sin embargo, todos los programas de cumplimiento no son universales, lo que significa que deben adherirse a las variables únicas de la empresa, como la industria, las regiones operativas y el tamaño. Por lo tanto, sigue habiendo una falta de claridad en torno a lo que comprende “eficaz”.”

Reunir las métricas necesarias para determinar lo que la Comisión considera efectivo es un poco un catch-22 para muchos profesionales.

En nuestro reciente seminario web, los expertos en cumplimiento y seguridad Stephanie Jenkins, Directora de Cumplimiento en ETHIX360 y Janelle Hsia, Directora de Privacidad y Cumplimiento en American Cyber Security Management, compartieron métricas potenciales que se pueden usar para respaldar el valor de un programa de cumplimiento; métricas que se pueden usar para determinar el impacto general de un programa en una empresa.

Para recopilar métricas de cumplimiento precisas, comprenda su negocio.

“Para construir una base sólida del programa, necesita saber cuáles son los requisitos y cómo medirá el éxito en el camino”, dice Stephanie Jenkins, Directora de Cumplimiento de ETHIX360. “Un punto de partida realmente bueno es comprender su negocio, no solo el riesgo que enfrenta, sino lo que preocupan a sus clientes y otras partes interesadas.”

Saber qué es lo más importante para las personas clave de su organización le ayudará a formar una historia que pueda ser respaldada por los datos que recopila y le ayudará a recopilar el tipo de datos correcto. Los programas de cumplimiento y ética están inundados de métricas y las formas de recopilarlas son repetibles: el desafío es conseguir el gancho que resuene con el negocio.

Por ejemplo, si trabajas en una startup de software, el crecimiento es probablemente una alta prioridad para el liderazgo de la empresa. Cada estrategia y táctica creada para apoyar una alta tasa de crecimiento atrae la atención del liderazgo y aumenta la probabilidad de que el presupuesto lo haga.

Desde el punto de vista del cumplimiento y la seguridad, el crecimiento se traduce en una serie de riesgos que deben tenerse en cuenta de forma proactiva. El cumplimiento relacionado con los empleados, como las opciones de compra de acciones, las leyes de salarios y horarios, y las políticas de promoción, tienden a dejarse de lado para hacer espacio para el desarrollo rápido de productos en compañías de rápido crecimiento.

Sin embargo, este tipo de riesgos plantean riesgos legales y financieros significativos que obstaculizarían en gran medida el crecimiento de la empresa si se convirtieran en realidad.

Al dar prioridad a las áreas que tienen el mayor impacto en las ramificaciones legales o una gran demanda de recursos, las empresas que se ejecutan como startups lean pueden estar mejor preparadas y preparadas para un crecimiento saludable.

Adjuntar estos puntos de datos, por ejemplo, los relacionados con los costos de no priorizar las políticas de opciones de compra de acciones, comenzará a ilustrar el caso de negocio para continuar la inversión y el apoyo en la función de cumplimiento y ética.

Los datos que recopile de la medición deben contar una historia al liderazgo.

” Si no hay historia que contar, son solo números”, dice Jenkins. Los números no significan casi nada para el liderazgo de una empresa. Saber cómo agregar comentarios coloridos a un punto de datos, da vida a los datos y ayuda a los líderes a comprender su valor y, por lo tanto, el valor del programa de cumplimiento.

Hay muchos puntos de datos diferentes que se pueden recopilar para ayudar a contar la historia de su programa, pero lo más importante es seleccionar las métricas que más le importan a su empresa y a su programa de cumplimiento.

Las métricas que pueden ser importantes para su organización podrían incluir:

• Gestión de Casos: Informes de línea directa/línea de ayuda desglosados por problemas / tipo de denuncia, Código de Conducta, política específica, anónimo vs. nombrado, método de admisión (teléfono, portal web, mensaje de texto), informes en persona/puerta abierta, número de casos denunciados abiertos/cerrados, número de datos para cerrar casos, número de tipos de procedimientos legales
• Conflicto de intereses: desglosado por empleados anuales, nuevos contratados y ad hoc, tasas de finalización de certificación, número de COI reales vs. percibidos, número de días para resolver
• Gestión de políticas: número de políticas activas, con qué frecuencia se revisan, se certifican y se solicitan por prospecto/cliente

Al presentar cualquiera o todas estas métricas a su liderazgo, envuelva los números duros y rápidos en una historia significativa con la que su liderazgo pueda relacionarse. Piense en lo que más les importa a ellos y al negocio para formar la narrativa de los datos que lo rodean.

Las métricas de cumplimiento en una empresa pueden no importarle a la siguiente en función de la industria, los riesgos reales y potenciales actuales y la madurez del programa, dice Jenkins.

Analice los procesos de la empresa y determine la tolerancia al riesgo para crear un marco de cumplimiento.

Para cualquier empresa, es una necesidad empresarial al desarrollar un programa de cumplimiento comprender las políticas, procedimientos y procesos existentes, o lo que Jenkin’s llama, las tres P.

Durante esta etapa, descubrirás rápidamente huecos. Elementos como las políticas de seguridad de la información, la ciberseguridad y la preparación para iniciativas como el RGPD son ejemplos de lo que se debe considerar en la tabla de cumplimiento corporativo, si no ya, durante este descubrimiento.

” No podemos crecer y tener éxito a menos que estas cosas estén en su lugar”, dice Jenkins.

No se puede medir lo que no se sabe: crear un inventario de activos.

“Algo tan simple como saber el número de sistemas, el número de productos de software y el número de empleados o contratistas que acceden a sus datos”, dice Hsia. “No solo quieres saber el número de sistemas o el número de software, sino que también quieres saber qué no está autorizado. La única manera de saber quién no está autorizado es sabiendo quién lo está.”

Otras métricas que pueden incluirse en el inventario de activos, según Hsia, incluyen:

• Tiempo medio entre fallos
• Con qué frecuencia el equipo va al departamento de TI
• Porcentaje de equipos perdidos y robados, incluidas credenciales y archivos
• Programas de mantenimiento del equipo
• Actualizaciones de protección de terminales, como software antivirus o actualizaciones de parches
• Tasas de corrección para todos los tipos de vulnerabilidades relacionadas con 8181>
• Edad de las vulnerabilidades abiertas
• Número de vulnerabilidades

Para una discusión más profunda sobre cómo medir de manera efectiva su programa de cumplimiento, acceda al seminario web con Janelle Hsia y Stephanie Jenkins, Métricas de cumplimiento que importan.

¿Deseoso de compartir sus pensamientos con el mundo? ¡Conviértete en un colaborador de contenido de Alchemer! Complete nuestro formulario de colaborador y uno de nuestros editores se pondrá en contacto en breve.