Come misurare l’efficacia del programma di conformità

In evidenza:

• Per misurare l’efficacia del programma di conformità nella tua organizzazione, in primo luogo, comprendi ciò che conta per la tua azienda. Ogni azienda ha i propri indicatori chiave di performance unici. Inizia qui per i vostri sforzi di monitoraggio per essere più di grande impatto.
• Affina le tue abilità di narrazione quando presenti i dati del programma alla leadership organizzativa. Li aiuta a connettersi ai dati mentre toglie i messaggi chiave.
• Crea un inventario principale di tutte le risorse della tua azienda in modo da sapere cosa misurare.

Misurare l’efficacia di un programma di conformità aziendale non è così semplice come calcolare le prestazioni di una campagna di marketing o le prestazioni delle vendite di un prodotto in una nuova regione.

La complessità è causata da alcuni fattori. Misurare “l’efficacia” è richiesto da molte autorità e regolatori, tra cui gli Stati Uniti. Sentencing Commission, l’organo di governo che definisce efficace per i programmi di conformità aziendale.

Tuttavia, tutti i programmi di conformità non sono universali, il che significa che dovrebbero aderire alle variabili univoche dell’azienda come l’industria, le regioni operative e le dimensioni. Pertanto, rimane una mancanza di chiarezza su ciò che comprende ” efficace.”

Raccogliere le metriche necessarie per determinare ciò che la Commissione ritiene efficace è un po ‘ un catch-22 per molti professionisti.

Nel nostro recente webinar, gli esperti di conformità e sicurezza Stephanie Jenkins, Chief Compliance Officer di ETHIX360 e Janelle Hsia, Director of Privacy and Compliance di American Cyber Security Management hanno condiviso potenziali metriche che possono essere utilizzate per supportare il valore di un programma di conformità; metriche che possono essere utilizzate per determinare l’impatto complessivo di un programma

Per raccogliere metriche di conformità accurate, comprendi la tua attività.

“Per costruire una solida base di programma, è necessario sapere quali sono i requisiti e come misurare il successo lungo la strada”, afferma Stephanie Jenkins, Chief Compliance Officer di ETHIX360. “Un buon punto di partenza è capire la tua attività, non solo il rischio che affronti, ma ciò che i tuoi clienti e gli altri stakeholder si preoccupano.”

Sapere cosa conta di più per le persone chiave della tua organizzazione ti aiuterà a creare una storia che può essere supportata dai dati raccolti e ti aiuterà a raccogliere il giusto tipo di dati. I programmi di conformità ed etica sono inondati di metriche e i modi per raccoglierli sono ripetibili: la sfida è ottenere il gancio che risuonerà con il business.

Ad esempio, se si lavora in una startup di software, la crescita è probabilmente una priorità per la leadership dell’azienda. Ogni strategia e tattica costruita per sostenere un alto tasso di crescita ottiene l’attenzione della leadership e aumenta la probabilità di ottenere budget per farlo.

Dal punto di vista della conformità e della sicurezza, la crescita si traduce in una serie di rischi che devono essere presi in considerazione in modo proattivo. La conformità legata ai dipendenti come le stock option, le leggi sui salari e le ore e le politiche di promozione tendono a essere messe da parte per fare spazio a un rapido sviluppo del prodotto in aziende in rapida crescita.

Tuttavia, questi tipi di rischi comportano rischi legali e finanziari significativi che ostacolerebbero notevolmente la crescita dell’azienda se diventassero realtà.

Dando priorità alle aree che hanno il maggior impatto sulle ramificazioni legali o un’elevata spinta alla domanda di risorse, le aziende che sono gestite come startup possono essere meglio preparate e pronte per una crescita sana.

Allegando questi punti di dati-quelli intorno ai costi di non priorità politiche di stock option, per esempio-inizierà a illustrare il business case per investimenti continui e il supporto nella funzione di conformità ed etica.

I dati raccolti dalla misurazione dovrebbero raccontare una storia alla leadership.

“Se non c’è storia da raccontare, sono solo numeri”, dice Jenkins. I numeri significano quasi nulla per la leadership di un’azienda. Sapere come aggiungere commenti colorati a un punto dati, dà vita ai dati e aiuta i leader a capire il loro valore e, quindi, il valore del programma di conformità.

Ci sono molti punti dati diversi che possono essere raccolti per aiutare a raccontare la storia del tuo programma, ma ciò che è più importante è selezionare le metriche che contano di più per la tua azienda e il tuo programma di conformità.

Le metriche che potrebbero avere importanza per la tua organizzazione potrebbero includere:

• Gestione dei casi: Hotline/helpline rapporti suddivisi per temi/tipo di accusa, Codice di Comportamento, criteri specifici per l’anonimo vs. nome, l’assunzione di metodo (telefono, portale web, messaggi di testo), in persona/aprire la porta di report, il numero di casi segnalati aperto/chiuso, il numero di dati a chiudere i casi, il numero dei procedimenti giudiziari tipi
• Conflitto di Interessi: suddivisi annuale di nuove assunzioni ad hoc e dipendenti, un attestato tassi di completamento, il numero effettivo e percepito COIs, numero di giorni per risolvere
• la Politica di Gestione: numero di politiche attive, con quale frequenza vengono riviste, attestate, richieste da prospect / client

Quando si presentano una o tutte queste metriche alla propria leadership, avvolgere i numeri duri e veloci in una storia significativa a cui la leadership può riferirsi. Pensate a ciò che conta di più per loro e il business per formare la narrazione dei dati intorno ad esso.

Le metriche di conformità di una società potrebbero non avere importanza per la successiva in base al settore, ai rischi reali e potenziali attuali e alla maturità del programma, afferma Jenkins.

Analizza i processi aziendali e determina una tolleranza al rischio per creare un framework di conformità.

Per qualsiasi azienda, è una necessità aziendale quando si sviluppa un programma di conformità per comprendere le politiche, le procedure e i processi esistenti o ciò che Jenkin chiama, i tre Ps.

Durante questa fase, scoprirai rapidamente le lacune. Elementi come le politiche di sicurezza delle informazioni, la sicurezza informatica, la preparazione per iniziative come il GDPR sono esempi di paletti della tabella di conformità aziendale che dovrebbero essere considerati, se non già, durante questa scoperta.

“Non possiamo crescere e avere successo a meno che queste cose non siano a posto”, afferma Jenkins.

Non è possibile misurare ciò che non si conosce: creare un inventario di risorse.

“Qualcosa di semplice come conoscere il numero di sistemi, il numero di prodotti software e il numero di dipendenti o appaltatori che accedono ai tuoi dati”, afferma Hsia. “Non solo vuoi conoscere il numero di sistemi o il numero di software, ma vuoi anche sapere cosa non è autorizzato. L’unico modo per sapere chi non e ‘autorizzato e’ sapere chi lo e’.”

Altre metriche che possono entrare nell’inventario delle risorse, secondo Hsia, includono:

• tempo Medio fra i guasti
• Come spesso l’attrezzatura è di andare al reparto IT
• per Cento dei mancanti e furto attrezzature, ivi comprese le credenziali e i file
• Apparecchiature di programmi di manutenzione
• Endpoint protection aggiornamenti, antivirus software o aggiornamenti di patch
• Riparazione per tutti i tipi di vulnerabilità relative alla
• Età di aprire le vulnerabilità
• Numero di vulnerabilità

Per una discussione più approfondita di come misurare efficacemente il vostro programma di conformità, l’accesso on-demand webinar con Janelle Hsia e Stephanie Jenkins, metriche di conformità che contano.

Desiderosi di condividere i tuoi pensieri con il mondo? Diventa un contributore di contenuti Alchemer! Completa il nostro modulo contributor e uno dei nostri redattori sarà in contatto a breve.