Sådan måles Compliance Program effektivitet
højdepunkter:
- for at måle compliance program effektivitet i din organisation, først, forstå, hvad der betyder noget for din virksomhed. Hver virksomhed har deres egne unikke nøgletal. Start her for at din sporingsindsats skal være mest virkningsfuld.
- Forfin dine historiefortællingsevner, når du præsenterer ProgramData for organisatorisk lederskab. Det hjælper dem med at oprette forbindelse til dataene, mens de fjerner de vigtigste meddelelser.
- Opret en masteropgørelse over alle aktiver i din virksomhed, så du ved, hvad du skal måle.
måling af effektiviteten af et virksomhedsoverholdelsesprogram er ikke så skåret og tørt som beregning af effektiviteten af en marketingkampagne eller udførelsen af et produkts salg i en ny region.
kompleksiteten er forårsaget af et par faktorer. Måling af “effektivitet” kræves af mange myndigheder og tilsynsmyndigheder, herunder USA. Sentencing Commission, det styrende organ, der definerer effektiv til virksomhedernes compliance programmer.
alligevel er alle compliance-programmer ikke universelle, hvilket betyder, at de skal overholde virksomhedens unikke variabler som industri, driftsområder og størrelse. Derfor, der er stadig en mangel på klarhed omkring, hvad der omfatter “effektiv.”
indsamling af metrics skal bestemme, hvad Kommissionen dubs effektiv er lidt af en catch-22 for mange praktikere.
i vores seneste hjemmeside delte compliance-og sikkerhedseksperter Stephanie Jenkins, Chief Compliance Officer hos ETHIK360 og Janelle Hsia, direktør for Privacy and Compliance hos American Cyber Security Management, potentielle metrics, der kan bruges til at understøtte værdien af et compliance-program; metrics, der kan bruges til at bestemme et programs samlede indvirkning på en virksomhed.
for at indsamle nøjagtige compliance metrics, forstå din virksomhed.
“for at opbygge et solidt programfundament skal du vide, hvad kravene er, og hvordan du måler succes undervejs,” siger Stephanie Jenkins, Chief Compliance Officer hos ETHIKS360. “Et rigtig godt udgangspunkt er at forstå din virksomhed, ikke kun den risiko, du står over for, men hvad dine kunder og andre interessenter bryr sig om.”
at vide, hvad der betyder mest for nøglepersonerne i din organisation, hjælper dig med at danne en historie, der kan understøttes af de data, du indsamler, og hjælpe dig med at indsamle den rigtige type data. Compliance og etik programmer er oversvømmet i målinger og måder at indsamle dem kan gentages — udfordringen er at få krogen, der vil genlyd med virksomheden.
hvis du f.eks. arbejder ved opstart af programmer, er vækst sandsynligvis en høj prioritet for virksomhedens ledelse. Hver strategi og taktik, der er bygget til at understøtte en høj vækstrate, får ledelsens opmærksomhed og øger sandsynligheden for at få budget til at gøre det.
fra et compliance-og sikkerhedsmæssigt synspunkt betyder vækst en række risici, der skal tages proaktivt i betragtning. Medarbejderrelateret overholdelse såsom aktieoptioner, løn-og timelovgivning og forfremmelsespolitikker har tendens til at blive skubbet til side for at give plads til hurtig produktudvikling i hurtige voksende virksomheder.
alligevel udgør disse former for risici betydelige juridiske og økonomiske risici, der i høj grad ville hindre virksomhedens vækst, hvis de blev en realitet.
ved at prioritere de områder, der har størst indflydelse på juridiske konsekvenser eller et højt træk på ressourceefterspørgslen, kan virksomheder, der drives magert som startups, være bedre forberedt og klar til sund vækst.
vedhæftning af disse datapunkter — dem omkring omkostningerne ved ikke at prioritere aktieoptionspolitikker, for eksempel — vil begynde at illustrere business case for fortsat investering og support i compliance and ethics-funktionen.
de data, du indsamler fra måling, skal fortælle lederskab en historie.
“hvis der ikke er nogen historie at fortælle, er det bare tal,” siger Jenkins. Tal betyder næsten ingenting for en virksomheds ledelse. At vide, hvordan man tilføjer farverige kommentarer til et datapunkt, bringer dataene til live og hjælper ledere med at forstå dets værdi og dermed værdien af compliance-programmet.
der er mange forskellige datapunkter, der kan indsamles for at hjælpe med at fortælle historien om dit program, men det vigtigste er at vælge de metrics, der betyder mest for din virksomhed og dit compliance-program.
Metrics, der kan have betydning for din organisation, kan omfatte:
- sagsbehandling: Hotline / hotline-rapporter opdelt efter problemer/påstandstype, adfærdskodeks, specifik politik, anonym vs. navngivet, indtagsmetode (telefon, internetportal, SMS), personlige/åbne dørrapporter, antal rapporterede sager åbnet/lukket, antal data til at lukke sager, antal retssager typer
- interessekonflikt: opdelt efter årlige, nyansatte og ad hoc-medarbejdere, attesteringsafslutningsrater, antal faktiske vs. opfattede Coi ‘ er, antal dage at løse
- politikstyring: antal aktive politikker, hvor ofte de gennemgås, attesteres, anmodet af prospect/client
når du præsenterer en eller alle disse målinger for dit lederskab, skal du pakke de hårde og hurtige tal ind i en meningsfuld historie, som dit lederskab kan forholde sig til. Tænk over, hvad der betyder mest for dem og virksomheden for at danne fortællingen om dataene omkring den.
Compliance metrics på et selskab kan ikke noget for den næste baseret på industrien, nuværende reelle og potentielle risici, og programmet modenhed, siger Jenkins.
analyser virksomhedens processer og bestem en risikotolerance for at opbygge en compliance-ramme.
for enhver virksomhed er det en forretningsmæssig nødvendighed, når man udvikler et compliance-program for at forstå eksisterende politikker, procedurer og processer, eller hvad Jenkin ‘ s kalder, de tre Ps.
i løbet af denne fase vil du hurtigt afdække huller. Elementer som informationssikkerhedspolitikker, cybersikkerhed, at blive forberedt på initiativer som GDPR er eksempler på virksomhedernes compliance table stakes bør overvejes, hvis ikke allerede, under denne opdagelse.
“vi kan ikke vokse og få succes, medmindre disse ting er på plads,” siger Jenkins.
du kan ikke måle, hvad du ikke ved — oprette en opgørelse over aktiver.
“noget så simpelt som at kende antallet af systemer, antallet af programmelprodukter og antallet af medarbejdere eller entreprenører, der har adgang til dine data,” siger Hsia. “Ikke kun vil du vide antallet af systemer eller antallet af programmer, men du vil også vide, hvad der ikke er autoriseret. Den eneste måde at vide, hvem der ikke er autoriseret, er ved at vide, hvem der er.”
andre målinger, der kan gå ind i aktivbeholdningen, ifølge Hsia, omfatter:
- gennemsnitlig tid mellem fejl
- hvor ofte udstyr går til IT-afdelingen
- procent af manglende og stjålet udstyr inklusive legitimationsoplysninger og filer
- udstyrsvedligeholdelsesplaner
- slutpunktsbeskyttelsesopdateringer såsom antivirusprogrammer eller patch-opdateringer
- Afhjælpningshastigheder for alle typer IT-relaterede sårbarheder
- alder af åbne sårbarheder
- antal sårbarheder
for en dybere diskussion af, hvordan du effektivt måler dit overholdelsesprogram, få adgang til on-demand Janelle Hsia og Stephanie Jenkins, Compliance Metrics, der betyder noget.
ivrig efter at dele dine tanker med verden? Bliv en alchemer indhold bidragyder! Udfyld vores bidragyder formular og en af vores redaktører vil være i kontakt snarest.
Leave a Reply