Articles /

A megfelelőségi Program hatékonyságának mérése

Főbb jellemzők:

  • a megfelelőségi program hatékonyságának mérése a szervezetben, először értse meg, mi számít a vállalkozásának. Minden vállalkozásnak megvan a maga egyedi kulcsfontosságú teljesítménymutatója. Kezdje itt, hogy nyomon követési erőfeszítései a leghatékonyabbak legyenek.
  • finomítsa történetmesélési képességeit, amikor a programadatokat bemutatja a szervezeti vezetésnek. Segít nekik csatlakozni az adatokhoz, miközben elveszik a legfontosabb üzeneteket.
  • hozzon létre egy fő leltárt a vállalat összes eszközéről, hogy tudja, mit kell mérni.

a vállalati megfelelőségi program hatékonyságának mérése nem olyan egyszerű, mint egy marketingkampány teljesítményének vagy egy termék új régióban történő értékesítésének kiszámítása.

megfelelőségi mutatók-ez-Anyag-panelisták

a komplexitást néhány tényező okozza. A “hatékonyság” mérését számos hatóság és szabályozó hatóság, köztük az Egyesült Államok is megköveteli. Büntetés Bizottság, az irányító testület, amely meghatározza a vállalati megfelelőségi programok hatékonyságát.

mégis, az összes megfelelőségi program nem univerzális, vagyis be kell tartaniuk a vállalkozás egyedi változóit, például az iparágat, a működési régiókat és a méretet. Ebből adódóan, továbbra is hiányzik az egyértelműség arról, hogy mi tartalmaz “hatékony.”

a mutatók összegyűjtése annak meghatározásához, hogy a Bizottság milyen hatékonysággal rendelkezik, sok gyakorló számára egy 22-es csapdát jelent.

legutóbbi webináriumunkon Stephanie Jenkins, az ETHIX360 megfelelőségi igazgatója és Janelle Hsia, az American Cyber Security Management Adatvédelmi és megfelelőségi igazgatója megosztották a lehetséges mutatókat, amelyek felhasználhatók a megfelelőségi program értékének alátámasztására; olyan mutatókat, amelyek felhasználhatók a program vállalkozásra gyakorolt általános hatásának meghatározására.

a pontos megfelelőségi mutatók összegyűjtéséhez értse meg vállalkozását.

“ahhoz, hogy szilárd programalapot építsen, tudnia kell, hogy mik a követelmények, és hogyan fogja mérni a sikert az út mentén” – mondja Stephanie Jenkins, az ETHIX360 Compliance igazgatója. “Egy igazán jó kiindulási pont az, hogy megértsük az üzleti, nem csak a kockázat akkor szembe, de mi az ügyfelek és más érdekelt felek törődnek.”

annak ismerete, hogy mi a legfontosabb a szervezet kulcsfontosságú embereinek, segít egy olyan történet kialakításában, amelyet az összegyűjtött adatok támogathatnak, és segít a megfelelő típusú adatok gyűjtésében. A Megfelelőségi és etikai programok elárasztják a mutatókat, és az összegyűjtésük módja megismételhető — a kihívás az, hogy megkapja a horgot, amely rezonál az üzleti életben.

például, ha egy szoftver indításakor dolgozik, a növekedés valószínűleg kiemelt fontosságú a vállalat vezetése számára. Minden olyan stratégia és taktika, amely a magas növekedési ütem támogatására épül, felhívja a vezetés figyelmét, és növeli annak valószínűségét, hogy a költségvetés erre kerüljön.

Megfelelőségi és biztonsági szempontból a növekedés számos kockázatot jelent, amelyeket proaktívan figyelembe kell venni. Az alkalmazottakkal kapcsolatos megfelelés, mint például a részvényopciók, a bér-és órajogi törvények, valamint az előléptetési politikák hajlamosak félretenni, hogy helyet biztosítsanak a gyors ütemű növekvő vállalatok gyors termékfejlesztésének.

az ilyen típusú kockázatok azonban jelentős jogi és pénzügyi kockázatokat jelentenek, amelyek valósággá válásuk esetén nagymértékben hátráltatnák a vállalat növekedését.

azáltal, hogy azokat a területeket rangsorolják, amelyek a legnagyobb hatással vannak a jogi következményekre vagy az erőforrás-kereslet nagy vonzerejére, a startupokhoz hasonlóan működő vállalatok jobban felkészülhetnek és készen állnak az egészséges növekedésre.

ezeknek Az adatpontoknak a csatolása — például a részvényopciós politikák prioritásainak figyelmen kívül hagyásával kapcsolatos költségek — elkezdi szemléltetni a folyamatos befektetés és támogatás üzleti esetét a Megfelelőségi és etikai funkcióban.

a mérésből gyűjtött adatoknak történetet kell elmondaniuk a vezetésnek.

“ha nincs mesélni való történet, akkor csak számok” – mondja Jenkins. A számok szinte semmit sem jelentenek a vállalat vezetésének. Annak ismerete, hogyan lehet színes kommentárokat hozzáadni egy adatponthoz, életre kelti az adatokat, és segít a vezetőknek megérteni annak értékét, és így a megfelelőségi program értékét.

számos különböző adatpont gyűjthető össze, hogy segítsen elmondani a program történetét, de a legfontosabb az, hogy kiválassza azokat a mutatókat, amelyek a legfontosabbak a vállalat és a megfelelőségi program számára.

a szervezet számára fontos mutatók a következők lehetnek:

  • ügykezelés: Forródrót-/segélyvonal-jelentések kérdések/állítások típusa, Magatartási Kódex, konkrét politika, névtelen vs. megnevezett, beviteli módszer (telefon, internetes portál, szöveges üzenet), személyes/nyitott ajtók jelentései, bejelentett nyitott/lezárt esetek száma, lezárandó esetek száma, bírósági eljárások száma
  • összeférhetetlenség: éves, új alkalmazott és ad hoc alkalmazottak szerinti bontásban, tanúsítási teljesítési arányok, tényleges vs. észlelt Coi-k száma, megoldandó napok száma
  • politika menedzsment: az aktív politikák száma, Milyen gyakran vizsgálják felül, tanúsítják, kérik a prospect/client

amikor bemutatja ezeket a mutatókat a vezetőségnek, csomagolja be a kemény és gyors számokat egy értelmes történetbe, amelyhez a vezetés kapcsolódhat. Gondoljon arra, hogy mi a legfontosabb számukra és az üzlet számára, hogy kialakítsa a körülötte lévő adatok narratíváját.

az egyik vállalat megfelelőségi mutatói nem számítanak a következőnek az ipar, a jelenlegi valós és potenciális kockázatok és a program érettsége alapján, mondja Jenkins.

elemezze a vállalati folyamatokat és határozza meg a kockázati toleranciát a megfelelőségi keretrendszer kialakításához.

bármely vállalat számára üzleti szükségszerűség, ha megfelelőségi programot fejleszt ki a meglévő irányelvek, eljárások és folyamatok, vagy Jenkin hívásai, a három Ps megértéséhez.

ebben a szakaszban gyorsan feltárja a hiányosságokat. Az olyan elemek, mint az információbiztonsági politikák, a kiberbiztonság, az olyan kezdeményezésekre való felkészülés, mint a GDPR, példák arra, hogy a vállalati megfelelési táblázatokat figyelembe kell venni, ha még nem, a felfedezés során.

“csak akkor tudunk növekedni és sikeresek lenni, ha ezek a dolgok a helyükön vannak” – mondja Jenkins.

nem tudja mérni azt, amit nem tud — hozzon létre egy eszközleltárt.

“valami olyan egyszerű, mint a rendszerek számának, a szoftvertermékek számának, valamint az adatokhoz hozzáférő alkalmazottak vagy vállalkozók számának ismerete” – mondja Hsia. “Nem csak a rendszerek vagy a szoftverek számát szeretné tudni, hanem azt is, hogy mi nem engedélyezett. Csak úgy tudhatjuk meg, hogy ki nincs felhatalmazva, ha tudjuk, ki az.”

egyéb mutatók, amelyek a Hsia szerint bekerülhetnek az eszközleltárba, a következők:

  • a meghibásodások közötti átlagos idő
  • milyen gyakran fordulnak a berendezések az informatikai osztályhoz
  • az eltűnt és ellopott berendezések százaléka, beleértve a hitelesítő adatokat és fájlokat
  • a berendezések karbantartási ütemtervei
  • végpontvédelmi frissítések, például víruskereső szoftverek vagy javítócsomagok
  • az IT-vel kapcsolatos sebezhetőségek minden típusára vonatkozó javítási arányok
  • a nyitott biztonsági rések kora
  • biztonsági rések száma

a megfelelőségi program hatékony mérésének mélyebb megvitatásához nyissa meg az on-demand programot webinar Janelle Hsia és Stephanie Jenkins közreműködésével, megfelelőségi mutatók, amelyek számítanak.

szívesen megosztaná gondolatait a világgal? Legyen Alkimer tartalom közreműködő! Töltse ki a közreműködői űrlapot, és az egyik szerkesztőnk hamarosan felveszi a kapcsolatot.

Leave a Reply