Articles /

Hoe de effectiviteit van het nalevingsprogramma te meten

Highlights:

  • om de effectiviteit van het complianceprogramma in uw organisatie te meten, begrijpt u eerst wat belangrijk is voor uw bedrijf. Elk bedrijf heeft zijn eigen unieke prestatie-indicatoren. Begin hier voor uw tracking inspanningen om het meest impactful.
  • Verfijn uw verhalenvaardigheden bij het presenteren van programmagegevens aan organisatorisch leiderschap. Het helpt hen om verbinding te maken met de gegevens, terwijl het wegnemen van de belangrijkste boodschappen.
  • Maak een hoofdinventaris van alle activa in uw bedrijf, zodat u weet wat u moet meten.

het meten van de effectiviteit van een corporate compliance programma is niet zo scherp als het berekenen van de prestaties van een marketingcampagne of de prestaties van de verkoop van een product in een nieuwe regio.

Compliance-Metrics-That-Matter-Panelists

de complexiteit wordt veroorzaakt door enkele factoren. Het meten van “effectiviteit” is vereist door veel autoriteiten en regelgevers, waaronder de VS Veroordeling Commissie, het bestuursorgaan dat effectief definieert voor corporate compliance programma ‘ s.

toch zijn alle nalevingsprogramma ‘s niet universeel, wat betekent dat ze moeten voldoen aan de unieke variabelen van het bedrijf, zoals industrie, operationele regio’ s en grootte. Daarom blijft er een gebrek aan duidelijkheid over wat “effectief.”

het verzamelen van de gegevens die nodig zijn om te bepalen wat de Commissie effectief noemt, is een beetje een catch-22 voor veel mensen uit de praktijk. In ons recente webinar hebben compliance-en beveiligingsexperts Stephanie Jenkins, Chief Compliance Officer bij ETHIX360 en Janelle Hsia, Director of Privacy and Compliance bij American Cyber Security Management, potentiële metrics gedeeld die kunnen worden gebruikt om de waarde van een compliance-programma te ondersteunen; metrics die kunnen worden gebruikt om de totale impact van een programma op een bedrijf te bepalen.

om nauwkeurige compliance metrics te verzamelen, begrijpt u uw bedrijf.

“om een solide basis voor het programma te bouwen, moet u weten wat de vereisten zijn en hoe u het succes onderweg zult meten”, zegt Stephanie Jenkins, Chief Compliance Officer bij ETHIX360. “Een heel goed uitgangspunt is om je bedrijf te begrijpen, niet alleen het risico dat je loopt, maar waar je klanten en andere stakeholders om geven.”

weten wat het belangrijkst is voor de belangrijkste mensen in uw organisatie zal u helpen een verhaal te vormen dat ondersteund kan worden door de gegevens die u verzamelt en u helpen de juiste soort gegevens te verzamelen. Compliance en ethiek programma ‘ s worden overspoeld in statistieken en de manieren om ze te verzamelen zijn herhaalbaar — de uitdaging is het krijgen van de haak die zal resoneren met het bedrijf.

bijvoorbeeld, als u bij een software startup werkt, is groei waarschijnlijk een hoge prioriteit voor het leiderschap van het bedrijf. Elke strategie en tactiek gebouwd om een hoge mate van groei te ondersteunen krijgt de aandacht van leiderschap en verhoogt de kans op het krijgen van budget om dit te doen.

vanuit het oogpunt van compliance en veiligheid vertaalt groei zich in een aantal risico ‘ s waarmee proactief rekening moet worden gehouden. Employee-gerelateerde compliance, zoals aandelenopties, loon-en uurwetten, en promotiebeleid hebben de neiging om opzij te worden geduwd om ruimte te maken voor snelle productontwikkeling in snel groeiende bedrijven.

toch vormen dit soort risico ‘s aanzienlijke juridische en financiële risico’ s die de groei van de onderneming sterk zouden belemmeren als ze werkelijkheid zouden worden.

door prioriteit te geven aan de gebieden die het meeste effect hebben op juridische vertakkingen of een grote invloed hebben op de vraag naar hulpbronnen, kunnen bedrijven die als startups worden gerund beter worden voorbereid en klaar staan voor gezonde groei.

het koppelen van deze gegevenspunten — bijvoorbeeld die rond de kosten van het niet prioriteren van het aandelenoptiebeleid — zal de business case illustreren voor verdere investeringen en ondersteuning in de compliance-en ethische functie.

de gegevens die u verzamelt bij het meten moeten leiderschap een verhaal vertellen.

” als er geen verhaal te vertellen is, zijn het gewoon getallen,” zegt Jenkins. Cijfers betekenen bijna niets voor de leiding van een bedrijf. Weten hoe kleurrijk commentaar toe te voegen aan een datapunt, brengt de gegevens tot leven en helpt leiders begrijpen de waarde ervan, en dus de waarde van het compliance-programma.

er zijn veel verschillende datapunten die kunnen worden verzameld om het verhaal van uw programma te vertellen, maar het belangrijkste is om de statistieken te selecteren die het belangrijkst zijn voor uw bedrijf en uw compliance-programma.

Metrics die belangrijk kunnen zijn voor uw organisatie, kunnen omvatten:

  • beheer van cases: Hotline/hulplijn rapporten uitgesplitst naar problemen/bewering type, Code of Conduct, specifiek beleid, anonieme vs. genoemd, intake methode (telefoon -, web-portal, sms), in-persoon/open-deur-rapporten, het aantal gemelde gevallen geopend/gesloten aantal gegevens om zaken, het nummer van de gerechtelijke procedure types
  • belangenconflict: uitgesplitst naar jaarlijkse, nieuwe huur-en ad-hoc medewerkers, attest van de slagingspercentages, aantal werkelijke versus waargenomen COIs, aantal dagen te lossen
  • Beleid-Management: aantal actieve beleidsregels, hoe vaak ze worden beoordeeld, bevestigd, gevraagd door prospect/client

wanneer u een of al deze statistieken aan uw leiderschap presenteert, wikkel dan de harde en snelle cijfers in een betekenisvol verhaal waarop uw leiderschap betrekking kan hebben. Denk na over wat het belangrijkst is voor hen en het bedrijf om het verhaal van de gegevens eromheen te vormen.

Compliance metrics bij een bedrijf kan niet uitmaken voor de volgende op basis van de industrie, de huidige reële en potentiële risico ‘ s, en de looptijd van het programma, zegt Jenkins.

analyseer bedrijfsprocessen en bepaal een risicotolerantie om een compliance framework op te bouwen.

voor elk bedrijf is het een zakelijke noodzaak bij het ontwikkelen van een compliance-programma om het bestaande beleid, procedures en processen, of wat Jenkin noemt, de drie P ‘ s, te begrijpen.

tijdens deze fase zult u snel gaten ontdekken. Elementen zoals informatiebeveiligingsbeleid, cybersecurity, voorbereiding op initiatieven zoals GDPR zijn voorbeelden van Corporate compliance table stakes moeten worden overwogen, zo niet al, tijdens deze ontdekking.

” we kunnen niet groeien en succesvol zijn tenzij deze dingen op hun plaats zijn,” zegt Jenkins.

u kunt niet meten wat u niet weet — Maak een inventaris van activa.

“zoiets simpels als het kennen van het aantal systemen, het aantal softwareproducten en het aantal werknemers of contractanten die toegang hebben tot uw gegevens”, zegt Hsia. “Je wilt niet alleen het aantal systemen of het aantal software weten, maar je wilt ook weten wat niet geautoriseerd is. De enige manier om te weten wie niet geautoriseerd is door te weten wie wel.”

andere maatstaven die in de inventaris van activa kunnen worden opgenomen, volgens Hsia, omvatten:

  • Gemiddelde tijd tussen storingen
  • Hoe vaak apparatuur gaat om de IT-afdeling
  • Procent van vermiste en gestolen apparatuur, met inbegrip van referenties en bestanden
  • onderhoud van de Apparatuur de schema ‘ s
  • Endpoint protection updates, zoals antivirus software of patch updates
  • Sanering tarieven voor alle soorten IT-gerelateerde kwetsbaarheden
  • Leeftijd van open kwetsbaarheden
  • Aantal kwetsbaarheden

Voor een diepere bespreking van hoe effectief het meten van uw compliance-programma, toegang tot de on-demand webinar met Janelle Hsia en Stephanie Jenkins, Compliance Metrics That Matter.

wilt u uw gedachten met de wereld delen? Word een Alchemer content contributor! Vul ons bijdragerformulier in en een van onze redacteuren neemt binnenkort contact met u op.

Leave a Reply