A megfelelőségi Program hatékonyságának mérése
Főbb jellemzők:
- a megfelelőségi program hatékonyságának mérése a szervezetben, először értse meg, mi számít a vállalkozásának. Minden vállalkozásnak megvan a maga egyedi kulcsfontosságú teljesítménymutatója. Kezdje itt, hogy nyomon követési erőfeszítései a leghatékonyabbak legyenek.
- finomítsa történetmesélési képességeit, amikor a programadatokat bemutatja a szervezeti vezetésnek. Segít nekik csatlakozni az adatokhoz, miközben elveszik a legfontosabb üzeneteket.
- hozzon létre egy fő leltárt a vállalat összes eszközéről, hogy tudja, mit kell mérni.
a vállalati megfelelőségi program hatékonyságának mérése nem olyan egyszerű, mint egy marketingkampány teljesítményének vagy egy termék új régióban történő értékesítésének kiszámítása.
a komplexitást néhány tényező okozza. A “hatékonyság” mérését számos hatóság és szabályozó hatóság, köztük az Egyesült Államok is megköveteli. Büntetés Bizottság, az irányító testület, amely meghatározza a vállalati megfelelőségi programok hatékonyságát.
mégis, az összes megfelelőségi program nem univerzális, vagyis be kell tartaniuk a vállalkozás egyedi változóit, például az iparágat, a működési régiókat és a méretet. Ebből adódóan, továbbra is hiányzik az egyértelműség arról, hogy mi tartalmaz “hatékony.”
a mutatók összegyűjtése annak meghatározásához, hogy a Bizottság milyen hatékonysággal rendelkezik, sok gyakorló számára egy 22-es csapdát jelent.
legutóbbi webináriumunkon Stephanie Jenkins, az ETHIX360 megfelelőségi igazgatója és Janelle Hsia, az American Cyber Security Management Adatvédelmi és megfelelőségi igazgatója megosztották a lehetséges mutatókat, amelyek felhasználhatók a megfelelőségi program értékének alátámasztására; olyan mutatókat, amelyek felhasználhatók a program vállalkozásra gyakorolt általános hatásának meghatározására.
a pontos megfelelőségi mutatók összegyűjtéséhez értse meg vállalkozását.
“ahhoz, hogy szilárd programalapot építsen, tudnia kell, hogy mik a követelmények, és hogyan fogja mérni a sikert az út mentén” – mondja Stephanie Jenkins, az ETHIX360 Compliance igazgatója. “Egy igazán jó kiindulási pont az, hogy megértsük az üzleti, nem csak a kockázat akkor szembe, de mi az ügyfelek és más érdekelt felek törődnek.”
annak ismerete, hogy mi a legfontosabb a szervezet kulcsfontosságú embereinek, segít egy olyan történet kialakításában, amelyet az összegyűjtött adatok támogathatnak, és segít a megfelelő típusú adatok gyűjtésében. A Megfelelőségi és etikai programok elárasztják a mutatókat, és az összegyűjtésük módja megismételhető — a kihívás az, hogy megkapja a horgot, amely rezonál az üzleti életben.
például, ha egy szoftver indításakor dolgozik, a növekedés valószínűleg kiemelt fontosságú a vállalat vezetése számára. Minden olyan stratégia és taktika, amely a magas növekedési ütem támogatására épül, felhívja a vezetés figyelmét, és növeli annak valószínűségét, hogy a költségvetés erre kerüljön.
Megfelelőségi és biztonsági szempontból a növekedés számos kockázatot jelent, amelyeket proaktívan figyelembe kell venni. Az alkalmazottakkal kapcsolatos megfelelés, mint például a részvényopciók, a bér-és órajogi törvények, valamint az előléptetési politikák hajlamosak félretenni, hogy helyet biztosítsanak a gyors ütemű növekvő vállalatok gyors termékfejlesztésének.
az ilyen típusú kockázatok azonban jelentős jogi és pénzügyi kockázatokat jelentenek, amelyek valósággá válásuk esetén nagymértékben hátráltatnák a vállalat növekedését.
azáltal, hogy azokat a területeket rangsorolják, amelyek a legnagyobb hatással vannak a jogi következményekre vagy az erőforrás-kereslet nagy vonzerejére, a startupokhoz hasonlóan működő vállalatok jobban felkészülhetnek és készen állnak az egészséges növekedésre.
ezeknek Az adatpontoknak a csatolása — például a részvényopciós politikák prioritásainak figyelmen kívül hagyásával kapcsolatos költségek — elkezdi szemléltetni a folyamatos befektetés és támogatás üzleti esetét a Megfelelőségi és etikai funkcióban.
a mérésből gyűjtött adatoknak történetet kell elmondaniuk a vezetésnek.
“ha nincs mesélni való történet, akkor csak számok” – mondja Jenkins. A számok szinte semmit sem jelentenek a vállalat vezetésének. Annak ismerete, hogyan lehet színes kommentárokat hozzáadni egy adatponthoz, életre kelti az adatokat, és segít a vezetőknek megérteni annak értékét, és így a megfelelőségi program értékét.
számos különböző adatpont gyűjthető össze, hogy segítsen elmondani a program történetét, de a legfontosabb az, hogy kiválassza azokat a mutatókat, amelyek a legfontosabbak a vállalat és a megfelelőségi program számára.
a szervezet számára fontos mutatók a következők lehetnek:
- ügykezelés: Forródrót-/segélyvonal-jelentések kérdések/állítások típusa, Magatartási Kódex, konkrét politika, névtelen vs. megnevezett, beviteli módszer (telefon, internetes portál, szöveges üzenet), személyes/nyitott ajtók jelentései, bejelentett nyitott/lezárt esetek száma, lezárandó esetek száma, bírósági eljárások száma
- összeférhetetlenség: éves, új alkalmazott és ad hoc alkalmazottak szerinti bontásban, tanúsítási teljesítési arányok, tényleges vs. észlelt Coi-k száma, megoldandó napok száma
- politika menedzsment: az aktív politikák száma, Milyen gyakran vizsgálják felül, tanúsítják, kérik a prospect/client
amikor bemutatja ezeket a mutatókat a vezetőségnek, csomagolja be a kemény és gyors számokat egy értelmes történetbe, amelyhez a vezetés kapcsolódhat. Gondoljon arra, hogy mi a legfontosabb számukra és az üzlet számára, hogy kialakítsa a körülötte lévő adatok narratíváját.
az egyik vállalat megfelelőségi mutatói nem számítanak a következőnek az ipar, a jelenlegi valós és potenciális kockázatok és a program érettsége alapján, mondja Jenkins.
elemezze a vállalati folyamatokat és határozza meg a kockázati toleranciát a megfelelőségi keretrendszer kialakításához.
bármely vállalat számára üzleti szükségszerűség, ha megfelelőségi programot fejleszt ki a meglévő irányelvek, eljárások és folyamatok, vagy Jenkin hívásai, a három Ps megértéséhez.
ebben a szakaszban gyorsan feltárja a hiányosságokat. Az olyan elemek, mint az információbiztonsági politikák, a kiberbiztonság, az olyan kezdeményezésekre való felkészülés, mint a GDPR, példák arra, hogy a vállalati megfelelési táblázatokat figyelembe kell venni, ha még nem, a felfedezés során.
“csak akkor tudunk növekedni és sikeresek lenni, ha ezek a dolgok a helyükön vannak” – mondja Jenkins.
nem tudja mérni azt, amit nem tud — hozzon létre egy eszközleltárt.
“valami olyan egyszerű, mint a rendszerek számának, a szoftvertermékek számának, valamint az adatokhoz hozzáférő alkalmazottak vagy vállalkozók számának ismerete” – mondja Hsia. “Nem csak a rendszerek vagy a szoftverek számát szeretné tudni, hanem azt is, hogy mi nem engedélyezett. Csak úgy tudhatjuk meg, hogy ki nincs felhatalmazva, ha tudjuk, ki az.”
egyéb mutatók, amelyek a Hsia szerint bekerülhetnek az eszközleltárba, a következők:
- a meghibásodások közötti átlagos idő
- milyen gyakran fordulnak a berendezések az informatikai osztályhoz
- az eltűnt és ellopott berendezések százaléka, beleértve a hitelesítő adatokat és fájlokat
- a berendezések karbantartási ütemtervei
- végpontvédelmi frissítések, például víruskereső szoftverek vagy javítócsomagok
- az IT-vel kapcsolatos sebezhetőségek minden típusára vonatkozó javítási arányok
- a nyitott biztonsági rések kora
- biztonsági rések száma
a megfelelőségi program hatékony mérésének mélyebb megvitatásához nyissa meg az on-demand programot webinar Janelle Hsia és Stephanie Jenkins közreműködésével, megfelelőségi mutatók, amelyek számítanak.
szívesen megosztaná gondolatait a világgal? Legyen Alkimer tartalom közreműködő! Töltse ki a közreműködői űrlapot, és az egyik szerkesztőnk hamarosan felveszi a kapcsolatot.
Leave a Reply