So messen Sie die Wirksamkeit des Compliance-Programms
Highlights:
- Um die Wirksamkeit des Compliance-Programms in Ihrem Unternehmen zu messen, müssen Sie zunächst verstehen, was für Ihr Unternehmen wichtig ist. Jedes Unternehmen hat seine eigenen einzigartigen Leistungsindikatoren. Beginnen Sie hier, damit Ihre Tracking-Bemühungen am wirkungsvollsten sind.
- Verfeinern Sie Ihre Storytelling-Fähigkeiten, wenn Sie Programmdaten der Unternehmensführung präsentieren. Es hilft ihnen, sich mit den Daten zu verbinden, während sie die Schlüsselbotschaften wegnehmen.
- Erstellen Sie ein Master-Inventar aller Assets in Ihrem Unternehmen, damit Sie wissen, was zu messen ist.
Die Messung der Effektivität eines Corporate Compliance-Programms ist nicht so einfach wie die Berechnung der Leistung einer Marketingkampagne oder der Leistung des Verkaufs eines Produkts in einer neuen Region.
Die Komplexität wird durch einige Faktoren verursacht. Die Messung der “Wirksamkeit” wird von vielen Behörden und Aufsichtsbehörden, einschließlich der USA, verlangt. Sentencing Kommission, das Leitungsgremium, das für Corporate Compliance-Programme wirksam definiert.
Alle Compliance-Programme sind jedoch nicht universell, d. h. sie sollten sich an die eindeutigen Variablen des Unternehmens wie Branche, Betriebsregionen und Größe halten. Deshalb, Es bleibt ein Mangel an Klarheit darüber, was “effektiv.”
Das Sammeln der Metriken, die benötigt werden, um zu bestimmen, was die Kommission als effektiv bezeichnet, ist für viele Praktiker ein Catch-22.
In unserem kürzlich durchgeführten Webinar haben die Compliance- und Sicherheitsexperten Stephanie Jenkins, Chief Compliance Officer bei ETHIX360, und Janelle Hsia, Director of Privacy and Compliance bei American Cyber Security Management, potenzielle Metriken vorgestellt, mit denen der Wert eines Compliance-Programms unterstützt werden kann.
Verstehen Sie Ihr Unternehmen, um genaue Compliance-Metriken zu erfassen.
“Um ein solides Programmfundament aufzubauen, müssen Sie wissen, was die Anforderungen sind und wie Sie den Erfolg auf diesem Weg messen können”, sagt Stephanie Jenkins, Chief Compliance Officer bei ETHIX360. “Ein wirklich guter Ausgangspunkt ist es, Ihr Unternehmen zu verstehen, nicht nur das Risiko, dem Sie ausgesetzt sind, sondern auch, was Ihre Kunden und andere Interessengruppen interessiert.”
Wenn Sie wissen, was für die Schlüsselpersonen in Ihrem Unternehmen am wichtigsten ist, können Sie eine Geschichte erstellen, die durch die von Ihnen gesammelten Daten unterstützt werden kann, und Sie dabei unterstützen, die richtige Art von Daten zu sammeln. Compliance- und Ethikprogramme sind mit Metriken überflutet, und die Art und Weise, sie zu sammeln, ist wiederholbar — die Herausforderung besteht darin, den Haken zu finden, der mit dem Unternehmen in Resonanz steht.
Wenn Sie beispielsweise bei einem Software-Startup arbeiten, hat Wachstum wahrscheinlich eine hohe Priorität für die Unternehmensführung. Jede Strategie und Taktik, die entwickelt wurde, um eine hohe Wachstumsrate zu unterstützen, erregt die Aufmerksamkeit der Führung und erhöht die Wahrscheinlichkeit, dass sie dazu gezwungen wird.
Aus Compliance- und Sicherheitssicht bedeutet Wachstum eine Reihe von Risiken, die proaktiv berücksichtigt werden müssen. Mitarbeiterbezogene Compliance wie Aktienoptionen, Lohn- und Arbeitszeitgesetze und Beförderungsrichtlinien werden in der Regel beiseite geschoben, um Platz für eine schnelle Produktentwicklung in schnell wachsenden Unternehmen zu schaffen.
Diese Art von Risiken birgt jedoch erhebliche rechtliche und finanzielle Risiken, die das Wachstum des Unternehmens erheblich behindern würden, wenn sie Realität würden.
Durch die Priorisierung der Bereiche, die den größten Einfluss auf rechtliche Auswirkungen oder eine hohe Nachfrage nach Ressourcen haben, können Unternehmen, die wie Startups schlank geführt werden, besser vorbereitet und für ein gesundes Wachstum gerüstet sein.
Das Anhängen dieser Datenpunkte – beispielsweise die Kosten für die Nichtpriorisierung von Aktienoptionsrichtlinien – wird den Geschäftsfall für weitere Investitionen und Unterstützung in der Compliance- und Ethikfunktion veranschaulichen.
Die Daten, die Sie aus Messungen sammeln, sollten Ihnen eine Geschichte erzählen.
“Wenn es keine Geschichte zu erzählen gibt, sind es nur Zahlen”, sagt Jenkins. Zahlen bedeuten für die Führung eines Unternehmens so gut wie nichts. Zu wissen, wie man einem Datenpunkt farbenfrohe Kommentare hinzufügt, erweckt die Daten zum Leben und hilft Führungskräften, den Wert und damit den Wert des Compliance-Programms zu verstehen.
Es gibt viele verschiedene Datenpunkte, die gesammelt werden können, um die Geschichte Ihres Programms zu erzählen, aber was am wichtigsten ist, ist die Auswahl der Metriken, die für Ihr Unternehmen und Ihr Compliance-Programm am wichtigsten sind.
Metriken, die für Ihre Organisation von Bedeutung sein können, können sein:
- Fallmanagement: Hotline- / Helpline-Berichte aufgeschlüsselt nach Themen / Behauptungstyp, Verhaltenskodex, spezifische Richtlinien, anonym vs. benannt, Aufnahmemethode (Telefon, Webportal, SMS), persönliche / offene Türberichte, Anzahl der gemeldeten Fälle geöffnet / geschlossen, Anzahl der Daten zum Schließen von Fällen, Anzahl der Arten von Gerichtsverfahren
- Interessenkonflikte: aufgeschlüsselt nach jährlichen, neu eingestellten und Ad-hoc-Mitarbeitern, Abschlussquoten für Atteste, Anzahl der tatsächlichen vs. wahrgenommenen COIs, Anzahl der zu lösenden Tage
- Richtlinienverwaltung: anzahl der aktiven Richtlinien, wie oft sie überprüft, bestätigt und von Interessenten / Kunden angefordert werden
Wenn Sie Ihrer Führung eine oder alle dieser Metriken präsentieren, fassen Sie die harten und schnellen Zahlen in eine aussagekräftige Geschichte zusammen, auf die sich Ihre Führung beziehen kann. Denken Sie darüber nach, was für sie und das Unternehmen am wichtigsten ist, um die Erzählung der Daten um sie herum zu bilden.
Compliance-Kennzahlen in einem Unternehmen spielen für das nächste Unternehmen möglicherweise keine Rolle, basierend auf der Branche, den aktuellen realen und potenziellen Risiken und der Programmreife, sagt Jenkins.
Analysieren Sie Unternehmensprozesse und bestimmen Sie eine Risikotoleranz, um ein Compliance-Framework aufzubauen.
Für jedes Unternehmen ist es bei der Entwicklung eines Compliance-Programms eine geschäftliche Notwendigkeit, bestehende Richtlinien, Verfahren und Prozesse zu verstehen, oder wie Jenkin die drei Ps nennt.
In dieser Phase werden Sie schnell Lücken aufdecken. Elemente wie Informationssicherheitsrichtlinien, Cybersicherheit und die Vorbereitung auf Initiativen wie die DSGVO sind Beispiele für die Einhaltung von Unternehmensrichtlinien, die bei dieser Ermittlung berücksichtigt werden sollten, wenn nicht bereits.
“Wir können nicht wachsen und erfolgreich sein, wenn diese Dinge nicht vorhanden sind”, sagt Jenkins.
Sie können nicht messen, was Sie nicht wissen – erstellen Sie eine Bestandsaufnahme der Assets.
“Etwas so Einfaches wie die Anzahl der Systeme, die Anzahl der Softwareprodukte und die Anzahl der Mitarbeiter oder Auftragnehmer, die auf Ihre Daten zugreifen”, sagt Hsia. “Sie möchten nicht nur die Anzahl der Systeme oder die Anzahl der Software kennen, sondern auch wissen, was nicht autorisiert ist. Der einzige Weg zu wissen, wer nicht autorisiert ist, ist zu wissen, wer es ist.”
Andere Metriken, die laut Hsia in das Asset Inventory einfließen können, sind:
- Mittlere Zeit zwischen Ausfällen
- Wie oft Geräte an die IT-Abteilung gehen
- Prozentsatz der fehlenden und gestohlenen Geräte einschließlich Anmeldeinformationen und Dateien
- Wartungspläne für Geräte
- Endpunktschutz-Updates wie Antivirensoftware oder Patch-Updates
- Behebungsraten für alle Arten von IT-Sicherheitslücken
- Age of open vulnerabilities
- Number of vulnerabilities
Eine ausführlichere Diskussion darüber, wie Sie Ihr Compliance-Programm effektiv messen können, finden Sie im On-Demand webinar mit Janelle Hsia und Stephanie Jenkins, Compliance-Metriken, die wichtig sind.
Möchten Sie Ihre Gedanken mit der Welt teilen? Werden Sie ein Alchemer Content Contributor! Füllen Sie unser Beitragsformular aus und einer unserer Redakteure wird sich in Kürze bei Ihnen melden.
Leave a Reply