Comment mesurer l’efficacité du Programme de conformité

Faits saillants:

• Pour mesurer l’efficacité du programme de conformité dans votre organisation, commencez par comprendre ce qui compte pour votre entreprise. Chaque entreprise a ses propres indicateurs de performance clés uniques. Commencez ici pour que vos efforts de suivi soient les plus percutants.
• Affinez vos compétences en narration lorsque vous présentez les données du programme à la direction de l’organisation. Cela les aide à se connecter aux données tout en supprimant les messages clés.
• Créez un inventaire principal de tous les actifs de votre entreprise afin de savoir quoi mesurer.

Mesurer l’efficacité d’un programme de conformité d’entreprise n’est pas aussi simple que de calculer la performance d’une campagne de marketing ou la performance des ventes d’un produit dans une nouvelle région.

La complexité est due à quelques facteurs. La mesure de ” l’efficacité ” est exigée par de nombreuses autorités et organismes de réglementation, y compris les États-Unis. Commission de détermination de la peine, l’organe directeur qui définit les programmes de conformité efficaces pour les entreprises.

Pourtant, tous les programmes de conformité ne sont pas universels, ce qui signifie qu’ils doivent respecter les variables uniques de l’entreprise telles que l’industrie, les régions d’exploitation et la taille. Par conséquent, il reste un manque de clarté autour de ce qui comprend “efficace.”

La collecte des métriques doit déterminer ce que la Commission juge efficace est un peu un catch-22 pour de nombreux praticiens.

Lors de notre récent webinaire, les experts en conformité et sécurité Stephanie Jenkins, Chief Compliance Officer chez ETHIX360 et Janelle Hsia, directrice de la confidentialité et de la conformité chez American Cyber Security Management, ont partagé des mesures potentielles pouvant être utilisées pour soutenir la valeur d’un programme de conformité; des mesures pouvant être utilisées pour déterminer l’impact global d’un programme sur une entreprise.

Pour collecter des mesures de conformité précises, comprenez votre entreprise.

“Pour établir une base de programme solide, vous devez savoir quelles sont les exigences et comment vous mesurerez le succès en cours de route “, explique Stephanie Jenkins, Chief Compliance Officer chez ETHIX360. “Un très bon point de départ est de comprendre votre entreprise, pas seulement le risque auquel vous êtes confronté, mais ce qui intéresse vos clients et les autres parties prenantes.”

Savoir ce qui compte le plus pour les personnes clés de votre organisation vous aidera à créer une histoire qui peut être étayée par les données que vous collectez et vous aidera à collecter le bon type de données. Les programmes de conformité et d’éthique sont inondés de mesures et les moyens de les collecter sont reproductibles — le défi consiste à obtenir le crochet qui résonnera avec l’entreprise.

Par exemple, si vous travaillez dans une start-up de logiciels, la croissance est probablement une priorité élevée pour les dirigeants de l’entreprise. Chaque stratégie et tactique conçue pour soutenir un taux de croissance élevé attire l’attention des dirigeants et augmente les chances d’obtenir un budget pour le faire.

Du point de vue de la conformité et de la sécurité, la croissance se traduit par un certain nombre de risques qui doivent être pris en compte de manière proactive. La conformité liée aux employés, comme les options d’achat d’actions, les lois sur les salaires et les heures et les politiques de promotion, a tendance à être écartée pour laisser la place au développement rapide de produits dans des entreprises en croissance rapide.

Pourtant, ces types de risques posent des risques juridiques et financiers importants qui entraveraient grandement la croissance de l’entreprise s’ils devenaient une réalité.

En donnant la priorité aux domaines qui ont le plus d’impact sur les ramifications juridiques ou une forte attraction sur la demande de ressources, les entreprises gérées de manière allégée comme des startups peuvent être mieux préparées et prêtes à une croissance saine.

L’ajout de ces points de données – ceux qui concernent les coûts liés à la non-hiérarchisation des politiques d’options d’achat d’actions, par exemple — commencera à illustrer l’analyse de rentabilisation pour un investissement continu et un soutien dans la fonction de conformité et d’éthique.

Les données que vous collectez grâce à measuring devraient raconter une histoire au leadership.

” S’il n’y a pas d’histoire à raconter, ce ne sont que des chiffres “, explique Jenkins. Les chiffres ne signifient presque rien pour la direction d’une entreprise. Savoir comment ajouter des commentaires colorés à un point de données donne vie aux données et aide les dirigeants à comprendre leur valeur et, par conséquent, la valeur du programme de conformité.

Il existe de nombreux points de données différents qui peuvent être collectés pour vous aider à raconter l’histoire de votre programme, mais le plus important est de sélectionner les mesures qui comptent le plus pour votre entreprise et votre programme de conformité.

Les mesures qui peuvent avoir de l’importance pour votre organisation peuvent inclure:

• Gestion De Cas: Rapports de la ligne d’assistance téléphonique ventilés par problème/type d’allégation, Code de conduite, politique spécifique, anonyme ou nommé, méthode d’accueil (téléphone, portail Web, message texte), rapports en personne/porte ouverte, nombre de cas signalés ouverts/fermés, nombre de données pour clore les cas, nombre de types de procédures judiciaires
• Conflits d’intérêts : ventilés par employés annuels, nouveaux employés et employés ad hoc, taux d’achèvement des attestations, nombre de COI réels ou perçus, nombre de jours pour résoudre
• Gestion des Politiques: nombre de politiques actives, fréquence à laquelle elles sont examinées, attestées, demandées par le prospect / client

Lorsque vous présentez l’une ou l’ensemble de ces mesures à votre direction, enveloppez les chiffres durs et rapides dans une histoire significative à laquelle votre direction peut se rapporter. Pensez à ce qui compte le plus pour eux et l’entreprise pour former le récit des données qui l’entourent.

Les mesures de conformité d’une entreprise peuvent ne pas avoir d’importance pour l’autre en fonction de l’industrie, des risques réels et potentiels actuels et de la maturité du programme, explique Jenkins.

Analyser les processus de l’entreprise et déterminer une tolérance au risque pour construire un cadre de conformité.

Pour toute entreprise, il est nécessaire, lors de l’élaboration d’un programme de conformité, de comprendre les politiques, procédures et processus existants, ou ce que Jenkin appelle les trois Ps.

Au cours de cette étape, vous découvrirez rapidement des lacunes. Des éléments tels que les politiques de sécurité de l’information, la cybersécurité, la préparation à des initiatives telles que le RGPD sont des exemples d’enjeux de table de conformité des entreprises doivent être pris en compte, sinon déjà, lors de cette découverte.

“Nous ne pouvons pas grandir et réussir à moins que ces choses ne soient en place”, explique Jenkins.

Vous ne pouvez pas mesurer ce que vous ne savez pas — créez un inventaire d’actifs.

“Quelque chose d’aussi simple que de connaître le nombre de systèmes, le nombre de produits logiciels et le nombre d’employés ou de sous-traitants qui accèdent à vos données”, explique Hsia. “Non seulement vous voulez connaître le nombre de systèmes ou le nombre de logiciels, mais vous voulez également savoir ce qui n’est pas autorisé. La seule façon de savoir qui n’est pas autorisé est de savoir qui l’est.”

D’autres mesures pouvant entrer dans l’inventaire des actifs, selon Hsia, comprennent:

• Temps moyen entre les pannes
• Fréquence à laquelle l’équipement est envoyé au service informatique
• Pourcentage d’équipements manquants ou volés, y compris les informations d’identification et les fichiers
• Calendriers de maintenance de l’équipement
• Mises à jour de la protection des terminaux telles que les mises à jour de logiciels antivirus ou de correctifs
• Taux de correction pour tous les types de vulnérabilités liées à l’informatique
• Âge des vulnérabilités ouvertes
• Nombre de vulnérabilités

Pour une discussion plus approfondie sur la façon de mesurer efficacement votre programme de conformité, accédez à la fonction à la demande webinaire mettant en vedette Janelle Hsia et Stephanie Jenkins, Mesures de conformité qui comptent.

Désireux de partager vos pensées avec le monde? Devenez un contributeur de contenu Alchemer ! Remplissez notre formulaire de contributeur et l’un de nos rédacteurs vous contactera sous peu.