Hvordan Måle Compliance Program Effektivitet

Høydepunkter:

  • for å måle effektiviteten av samsvarsprogrammet i organisasjonen må du først forstå hva som betyr noe for bedriften din. Hver bedrift har sine egne unike nøkkelindikatorer. Start her for sporing innsats for å være mest effektive.
  • Avgrens dine historiefortellingsevner når du presenterer programdata til organisatorisk lederskap. Det hjelper dem å koble til dataene mens du tar bort nøkkelbudskapene.
  • Opprett en masteropptelling av alle eiendeler i firmaet ditt, slik at du vet hva du skal måle.

Det Er ikke like enkelt å Måle effektiviteten til et samsvarsprogram for bedrifter som å beregne ytelsen til en markedsføringskampanje eller ytelsen til et produkts salg i en ny region.

 Compliance-Metrics-That-Matter-Paneldeltakere

kompleksiteten skyldes noen få faktorer. Måling av “effektivitet” kreves av mange myndigheter og regulatorer, inkludert USA Sentencing Commission, det styrende organ som definerer effektiv for corporate compliance programmer.

likevel er ikke alle compliance-programmer universelle, noe som betyr at de bør følge virksomhetens unike variabler som bransje, driftsregioner og størrelse. Derfor, det er fortsatt en mangel på klarhet rundt hva som omfatter ” effektiv.”

Samle beregningene må avgjøre hva Kommisjonen dubs effektive er litt av en catch-22 for mange utøvere.

I vårt siste webinar delte compliance-og sikkerhetseksperter Stephanie Jenkins, Chief Compliance Officer HOS ETHIX360 og Janelle Hsia, Director Of Privacy and Compliance hos American Cyber Security Management, potensielle beregninger som kan brukes til å støtte verdien av et compliance-program; beregninger som kan brukes til å bestemme et programs samlede innvirkning på en bedrift.

forstå virksomheten din for å samle nøyaktige samsvarsmålinger.

” for å bygge et solid programgrunnlag må du vite hva kravene er og hvordan du vil måle suksess underveis,” sier Stephanie Jenkins, Chief Compliance Officer HOS ETHIX360. “Et veldig godt utgangspunkt er å forstå virksomheten din, ikke bare risikoen du står overfor, men hva dine kunder og andre interessenter bryr seg om.”

Å Vite hva som betyr mest for nøkkelpersonene i organisasjonen din, vil hjelpe deg med å danne en historie som kan støttes av dataene du samler inn og hjelpe deg med å samle inn riktig type data. Compliance og etikk programmer er oversvømmet i beregninger og måter å samle dem er repeterbare-utfordringen er å få kroken som appellerer til virksomheten.

for eksempel, hvis du jobber ved en programvareoppstart, er vekst sannsynligvis en høy prioritet for selskapets ledelse. Hver strategi og taktikk bygget for å støtte en høy vekstrate får ledelsens oppmerksomhet og øker sannsynligheten for å få budsjett til å gjøre det.

fra et samsvars-og sikkerhetssynspunkt betyr vekst en rekke risikoer som må tas proaktivt i betraktning. Ansattes overholdelse som aksjeopsjoner, lønns-og timelover og kampanjepolitikk har en tendens til å bli presset til side for å gi plass til rask produktutvikling i raskt voksende selskaper.

likevel utgjør slike risikoer betydelige juridiske og økonomiske risikoer som i stor grad vil hindre selskapets vekst hvis de ble en realitet.

ved å prioritere de områdene som har størst innvirkning på juridiske konsekvenser eller et høyt trekk på ressursbehov, kan selskaper som drives lean som oppstart, være bedre forberedt og klar for sunn vekst.

Vedlegg av disse datapunktene-de rundt kostnadene ved å ikke prioritere aksjeopsjonspolicyer, for eksempel — vil begynne å illustrere forretningssaken for fortsatt investering og støtte i samsvars-og etikkfunksjonen.

dataene du samler inn fra måling, bør fortelle ledelsen en historie.

” hvis det ikke er noen historie å fortelle, er det bare tall, ” sier Jenkins. Tall betyr nesten ingenting til et selskaps ledelse. Å vite hvordan du legger til fargerike kommentarer til et datapunkt, bringer dataene til liv og hjelper ledere til å forstå verdien, og dermed verdien av compliance-programmet.

det er mange forskjellige datapunkter som kan samles inn for å fortelle historien om programmet ditt, men det viktigste er å velge beregningene som betyr mest for firmaet ditt og samsvarsprogrammet ditt.

Beregninger som kan ha betydning for organisasjonen din, kan inkludere:

  • Saksbehandling: Hotline/hjelpelinjer fordelt på spørsmål/anklagetype, Etiske Retningslinjer, spesifikk policy, anonym vs. navngitt, inntaksmetode (telefon, nettportal, tekstmelding), personlig/åpen dørrapporter, antall innrapporterte saker åpnet/lukket, antall data for å lukke saker, antall prosedyretyper
  • Interessekonflikter: fordelt på årlig, nyansatte og ad hoc-ansatte, attestasjonsgjennomføringsrater, antall faktiske vs. oppfattede Coi, antall dager å løse
  • policy management: antall aktive policyer, hvor ofte de blir gjennomgått, bekreftet, forespurt av prospekt/klient

når du presenterer noen eller alle disse beregningene for ditt lederskap, pakk de harde og raske tallene inn i en meningsfull historie ditt lederskap kan forholde seg til. Tenk på hva som betyr mest for dem og virksomheten for å danne fortellingen av dataene rundt den.

Samsvarsmålinger i ett selskap kan ikke ha betydning for det neste basert på industri, nåværende reelle og potensielle risikoer og programmodighet, sier Jenkins.

Analyser selskapsprosesser og bestem en risikotoleranse for å bygge et compliance-rammeverk.

for ethvert selskap er det en forretningsbehov når man utvikler et samsvarsprogram for å forstå eksisterende retningslinjer, prosedyrer og prosesser, eller Hva Jenkins kaller, de tre Ps.

I løpet av dette stadiet vil du raskt avdekke hull. Elementer som informasjonssikkerhetspolicyer, cybersikkerhet, å bli forberedt på tiltak som GDPR er eksempler på at bedriftens overholdelse av tabellinnsatser bør vurderes, om ikke allerede, under denne oppdagelsen.

“Vi kan ikke vokse og lykkes med mindre disse tingene er på plass,” sier Jenkins.

du kan ikke måle det du ikke vet-opprette en beholdning av eiendeler.

” Noe så enkelt som å vite antall systemer, antall programvareprodukter og antall ansatte eller entreprenører som har tilgang til dataene dine,” sier Hsia. “Ikke bare vil du vite antall systemer eller antall programvare, men du vil også vite hva som ikke er autorisert. Den eneste måten å vite hvem som ikke er autorisert er ved å vite hvem som er.”

Andre beregninger som kan gå inn i aktiva inventar, ifølge Hsia, inkluderer:

  • Gjennomsnittlig tid mellom feil
  • hvor ofte utstyr går TIL IT-avdelingen
  • Prosent av manglende og stjålet utstyr, inkludert legitimasjon og filer
  • vedlikeholdsplaner for Utstyr
  • Endepunktsbeskyttelsesoppdateringer som antivirusprogramvare eller oppdateringsoppdateringer
  • Utbedringsrater for ALLE TYPER it-relaterte sårbarheter
  • age of open vulnerabilities
  • antall sårbarheter

hvis du vil ha en dypere diskusjon om hvordan du effektivt måler samsvarsprogrammet, kan du gå til on-demand webinar med Janelle Hsia Og Stephanie Jenkins, Samsvarsmålinger Som Betyr Noe.

Ivrig etter å dele dine tanker med verden? Bli En Alchemer innhold bidragsyter! Fyll ut vår bidragsyter skjema og en av våre redaktører vil være i kontakt innen kort tid.

Leave a Reply