Jak měřit účinnost programu Compliance

Highlights:

  • Chcete-li měřit účinnost programu compliance ve vaší organizaci, nejprve pochopte, na čem záleží vašemu podnikání. Každá firma má své vlastní jedinečné klíčové ukazatele výkonnosti. Začněte zde, aby vaše úsilí o sledování bylo co nejpůsobivější.
  • upřesněte své schopnosti vyprávění při prezentaci programových dat organizačnímu vedení. Pomáhá jim připojit se k datům a zároveň odnášet klíčové zprávy.
  • vytvořte hlavní soupis všech aktiv ve vaší společnosti, abyste věděli, co měřit.

měření účinnosti programu compliance společnosti není tak řezné a suché jako výpočet výkonu marketingové kampaně nebo výkonu prodeje produktu v novém regionu.

Compliance-Metrics-That-Matter-Panelists

složitost je způsobena několika faktory. Měření “efektivity” vyžaduje mnoho úřadů a regulátorů včetně USA. Sentencing Commission, řídící orgán, který definuje efektivní programy dodržování předpisů pro podniky.

přesto všechny programy compliance nejsou univerzální, což znamená, že by se měly řídit jedinečnými proměnnými podniku, jako je průmysl, provozní oblasti a velikost. Proto, zůstává nejasnost ohledně toho, co zahrnuje “efektivní”.”

shromažďování metrik musí určit, co Komise dabuje efektivní, je pro mnoho praktiků trochu úlovek-22.

v našem nedávném webináři odborníci na dodržování předpisů a bezpečnost Stephanie Jenkins, Chief Compliance Officer v ETHIX360 a Janelle Hsia, ředitelka ochrany osobních údajů a dodržování předpisů v American Cyber Security Management sdíleli potenciální metriky, které lze použít k podpoře hodnoty programu compliance; metriky, které lze použít k určení celkového dopadu programu na podnikání.

Chcete-li získat přesné metriky dodržování předpisů, pochopte své podnikání.

” Chcete-li vytvořit solidní programový základ, musíte vědět, jaké jsou požadavky a jak budete měřit úspěch na cestě,” říká Stephanie Jenkins, Chief Compliance Officer ve společnosti ETHIX360. “Opravdu dobrým výchozím bodem je pochopit vaše podnikání, nejen riziko, kterému čelíte, ale na čem záleží vašim klientům a dalším zúčastněným stranám.”

vědět, co je nejdůležitější pro klíčové lidi ve vaší organizaci, vám pomůže vytvořit příběh, který může být podporován shromažďovanými daty, a pomůže vám shromáždit správný druh dat. Programy dodržování předpisů a etiky jsou zaplaveny metrikami a způsoby jejich shromažďování jsou opakovatelné — výzvou je získat háček, který bude rezonovat s podnikáním.

pokud například pracujete při spuštění softwaru, růst je pro vedení společnosti pravděpodobně vysokou prioritou. Každá strategie a taktika postavená na podporu vysokého tempa růstu získává pozornost vedení a zvyšuje pravděpodobnost získání rozpočtu.

z hlediska dodržování předpisů a bezpečnosti se růst promítá do řady rizik, která je třeba proaktivně zohlednit. Dodržování předpisů souvisejících se zaměstnanci, jako jsou akciové opce, mzdové a hodinové zákony a propagační politiky, mají tendenci být odsunuty stranou, aby se vytvořil prostor pro rychlý vývoj produktů v rychle se rozvíjejících společnostech.

přesto tyto druhy rizik představují významná právní a finanční rizika, která by značně bránila růstu společnosti, pokud by se stala skutečností.

upřednostněním oblastí, které mají největší dopad na právní důsledky nebo vysokou poptávku po zdrojích, mohou být společnosti, které jsou provozovány štíhlé jako startupy, lépe připraveny a připraveny na zdravý růst.

připojení těchto datových bodů — například těch, které se týkají nákladů na neupřednostňování politik akciových opcí — začne ilustrovat obchodní případ pro pokračující investice a podporu ve funkci dodržování předpisů a etiky.

údaje, které shromažďujete z měření, by měly vedení vyprávět příběh.

“pokud neexistuje žádný příběh, je to jen čísla,” říká Jenkins. Čísla pro vedení společnosti neznamenají téměř nic. Vědět, jak přidat barevný komentář k datovému bodu, přináší data do života a pomáhá vůdcům pochopit jejich hodnotu, a tím i hodnotu programu compliance.

existuje mnoho různých datových bodů, které mohou být shromážděny, aby pomohly vyprávět příběh vašeho programu, ale nejdůležitější je vybrat metriky, které jsou pro vaši společnost a váš program dodržování předpisů nejdůležitější.

metriky, které mohou být pro vaši organizaci důležité, mohou zahrnovat:

  • Case Management: Hotline / helpline zprávy členěné podle otázek / typu obvinění, kodexu chování, specifické politiky, anonymní vs. pojmenovaný, metoda příjmu (telefon, webový portál, textová zpráva), zprávy osobně / otevřených dveří, počet hlášených případů otevřených / uzavřených, počet údajů k uzavření případů, počet typů soudních řízení
  • střet zájmů: členění podle ročních, nových zaměstnanců a ad Hoc zaměstnanců, míra dokončení atestace, počet skutečných vs. vnímaných Coi, počet dní k vyřešení
  • řízení zásad: počet aktivních politik, jak často jsou kontrolovány, doloženy, požadovány vyhlídkou/klientem

při prezentaci některé nebo všech těchto metrik vašemu vedení zabalte tvrdá a rychlá čísla do smysluplného příběhu, se kterým se vaše vedení může vztahovat. Přemýšlejte o tom, na čem jim a podnikání nejvíce záleží, abyste vytvořili příběh dat kolem něj.

metriky shody u jedné společnosti nemusí záležet na další na základě odvětví, současných skutečných a potenciálních rizik a zralosti programu, říká Jenkins.

analyzujte firemní procesy a určete toleranci rizika pro vytvoření rámce shody.

pro každou společnost je to obchodní nutnost při vývoji programu compliance, který rozumí existujícím zásadám, postupům a procesům nebo tomu, co Jenkin nazývá, tři Ps.

během této fáze rychle odhalíte mezery. Prvky, jako jsou zásady bezpečnosti informací, kybernetická bezpečnost, příprava na iniciativy, jako je GDPR, jsou příklady firemních sázek na dodržování předpisů, pokud již ne, během tohoto objevu.

“nemůžeme růst a být úspěšní, pokud tyto věci nejsou na místě,” říká Jenkins.

nemůžete měřit to — co nevíte-vytvořte soupis aktiv.

” něco tak jednoduchého, jako je znalost počtu systémů, počtu softwarových produktů a počtu zaměstnanců nebo dodavatelů, kteří přistupují k vašim datům,” říká Hsia. “Nejen, že chcete znát počet systémů nebo počet softwaru, ale také chcete vědět, co není povoleno. Jediný způsob, jak zjistit, kdo není oprávněn, je vědět, kdo je.”

další metriky, které mohou jít do inventáře aktiv, podle Hsia zahrnují:

  • střední doba mezi poruchami
  • jak často zařízení jde do IT oddělení
  • procento chybějících a odcizených zařízení včetně pověření a souborů
  • plány údržby zařízení
  • aktualizace ochrany koncových bodů, jako je antivirový software nebo aktualizace oprav
  • míra nápravy pro všechny typy zranitelností souvisejících s IT
  • věk otevřených zranitelností
  • počet zranitelných míst

chcete-li hlouběji diskutovat o tom, jak efektivně měřit svůj program compliance, otevřete on-demand webinář představující Janelle Hsia a Stephanie Jenkins, metriky shody, na kterých záleží.

toužíte se podělit o své myšlenky se světem? Staňte se přispěvatelem obsahu Alchemer! Vyplňte náš formulář přispěvatele a jeden z našich editorů bude brzy v kontaktu.

Leave a Reply