Jak mierzyć skuteczność programu Compliance

najważniejsze informacje:

  • aby zmierzyć skuteczność programu zgodności w Twojej organizacji, najpierw zrozum, co ma znaczenie dla Twojej firmy. Każda firma ma swoje unikalne kluczowe wskaźniki wydajności. Zacznij tutaj, aby twoje wysiłki śledzenia miały największy wpływ.
  • udoskonal swoje umiejętności opowiadania historii, prezentując dane programu kierownictwu organizacyjnemu. Pomaga im połączyć się z danymi, jednocześnie odbierając kluczowe wiadomości.
  • Stwórz główny spis wszystkich aktywów w swojej firmie, abyś wiedział, co zmierzyć.

mierzenie skuteczności korporacyjnego programu zgodności nie jest tak proste, jak obliczanie skuteczności kampanii marketingowej lub wydajności sprzedaży produktu w nowym regionie.

Compliance-Metrics-That-Matter-Panelists

złożoność jest spowodowana kilkoma czynnikami. Pomiar “skuteczności” jest wymagany przez wiele organów i organów regulacyjnych, w tym USA. Sentencing Commission, organ zarządzający, który określa skuteczne dla korporacyjnych programów zgodności.

jednak wszystkie programy zgodności nie są uniwersalne, co oznacza, że powinny być zgodne z unikalnymi zmiennymi firmy, takimi jak branża, regiony operacyjne i rozmiar. W związku z tym pozostaje brak jasności co do tego, co obejmuje ” skuteczne.”

zbieranie metryk potrzebnych do określenia, co Komisja dubs skuteczne jest trochę haczyk-22 dla wielu praktyków.

w naszym niedawnym webinarium eksperci ds. zgodności i bezpieczeństwa, Stephanie Jenkins, Chief Compliance Officer w ETHIX360 i Janelle Hsia, Dyrektor ds. prywatności i zgodności w American Cyber Security Management, podzielili się potencjalnymi wskaźnikami, które można wykorzystać do wsparcia wartości programu zgodności; miernikami, które można wykorzystać do określenia ogólnego wpływu programu na firmę.

aby zebrać dokładne wskaźniki zgodności, zrozum swoją firmę.

“aby zbudować solidny fundament programu, musisz wiedzieć, jakie są wymagania i jak będziesz mierzyć sukces po drodze”, mówi Stephanie Jenkins, Chief Compliance Officer w ETHIX360. “Naprawdę dobrym punktem wyjścia jest zrozumienie biznesu, nie tylko ryzyka, ale także tego, na czym zależy Twoim klientom i innym interesariuszom.”

Wiedza o tym, co jest najważniejsze dla kluczowych osób w Twojej organizacji, pomoże Ci stworzyć historię, która może być wspierana przez gromadzone dane i pomoże Ci zebrać odpowiedni rodzaj danych. Programy zgodności i etyki są zalane wskaźnikami, a sposoby ich zbierania są powtarzalne — wyzwaniem jest zdobycie haczyka, który będzie rezonował z biznesem.

na przykład, jeśli pracujesz przy starcie oprogramowania, wzrost jest prawdopodobnie wysokim priorytetem dla kierownictwa firmy. Każda strategia i taktyka stworzona w celu wspierania wysokiego tempa wzrostu przyciąga uwagę kierownictwa i zwiększa prawdopodobieństwo uzyskania na to budżetu.

z punktu widzenia zgodności i bezpieczeństwa wzrost przekłada się na szereg zagrożeń, które należy aktywnie uwzględnić. Zgodność z przepisami dotyczącymi pracowników, takimi jak opcje na akcje, prawo płacowe i godzinowe oraz Polityka promocji, Zwykle odsuwają się na bok, aby zrobić miejsce dla szybkiego rozwoju produktów w szybko rozwijających się firmach.

jednak tego rodzaju ryzyka stwarzają znaczne ryzyko prawne i finansowe, które znacznie utrudniłoby rozwój firmy, gdyby stały się rzeczywistością.

poprzez priorytetowe traktowanie obszarów, które mają największy wpływ na konsekwencje prawne lub duży nacisk na zapotrzebowanie na zasoby, firmy, które są prowadzone lean, takie jak startupy, mogą być lepiej przygotowane i przygotowane do zdrowego wzrostu.

dołączenie tych punktów danych — na przykład dotyczących kosztów braku priorytetyzacji polityki opcji na akcje — zacznie ilustrować uzasadnienie biznesowe dla kontynuacji inwestycji i wsparcia w zakresie zgodności i etyki.

dane, które zbierasz z pomiaru, powinny opowiadać historię przywództwa.

“jeśli nie ma historii do opowiedzenia, to tylko liczby” – mówi Jenkins. Liczby nie znaczą prawie nic dla kierownictwa firmy. Wiedza o tym, jak dodać kolorowy komentarz do punktu danych, ożywia Dane i pomaga liderom zrozumieć ich wartość, a tym samym wartość programu zgodności.

istnieje wiele różnych punktów danych, które można zebrać, aby opowiedzieć historię programu, ale najważniejsze jest wybranie wskaźników, które mają największe znaczenie dla Twojej firmy i programu zgodności.

dane, które mogą mieć znaczenie dla Twojej organizacji, mogą obejmować:

  • zarządzanie sprawami: Raporty infolinii/infolinii z podziałem na kwestie/rodzaj zarzutu, Kodeks Postępowania, konkretną politykę, anonimowy vs. nazwany, sposób przyjmowania (telefon, portal internetowy, wiadomość tekstowa), raporty osobiste/otwarte drzwi, liczba zgłoszonych spraw otwartych/zamkniętych, Liczba danych do zamknięcia spraw, liczba rodzajów postępowań prawnych
  • konflikt interesów: w podziale na pracowników rocznych, nowych i doraźnych, wskaźniki ukończenia zaświadczeń, liczba rzeczywistych vs. postrzeganych Coi, liczba dni do rozwiązania
  • zarządzanie polityką: liczba aktywnych zasad, jak często są one weryfikowane, poświadczane, wymagane przez potencjalnego klienta/klienta

prezentując którąkolwiek z tych wskaźników kierownictwu, zawnij twarde i szybkie liczby w znaczącą historię, do której może odnosić się twoje przywództwo. Pomyśl o tym, co ma największe znaczenie dla nich i firmy, aby stworzyć narrację danych wokół niego.

wskaźniki zgodności w jednej firmie mogą nie mieć znaczenia dla drugiej w oparciu o branżę, aktualne rzeczywiste i potencjalne ryzyko oraz dojrzałość programu, mówi Jenkins.

przeanalizuj procesy firmy i określ tolerancję ryzyka, aby zbudować ramy zgodności.

w przypadku każdej firmy opracowywanie programu zgodności jest koniecznością biznesową, aby zrozumieć istniejące zasady, procedury i procesy lub to, co nazywa Jenkin, trzy Ps.

na tym etapie szybko odkryjesz luki. Elementy takie jak polityka bezpieczeństwa informacji, cyberbezpieczeństwo, przygotowanie się do inicjatyw, takich jak RODO, to przykłady stawek korporacyjnych w tabeli zgodności, które należy uwzględnić, jeśli jeszcze nie, podczas tego odkrycia.

“nie możemy się rozwijać i odnosić sukcesów, jeśli te rzeczy nie są na miejscu” – mówi Jenkins.

nie możesz zmierzyć tego, czego nie wiesz — stwórz spis aktywów.

“coś tak prostego, jak znajomość liczby systemów, liczby produktów oprogramowania oraz liczby pracowników lub wykonawców, którzy mają dostęp do Twoich danych”, mówi Hsia. “Nie tylko chcesz znać liczbę systemów lub liczbę oprogramowania, ale także chcesz wiedzieć, co nie jest autoryzowane. Jedynym sposobem, aby dowiedzieć się, kto nie jest upoważniony jest wiedząc, kto jest.”

Inne metryki, które mogą przejść do spisu aktywów, zgodnie z Hsia, obejmują:

  • średni czas między awariami
  • jak często sprzęt trafia do działu IT
  • procent brakujących lub skradzionych urządzeń, w tym danych uwierzytelniających i plików
  • harmonogramy konserwacji sprzętu
  • aktualizacje ochrony punktów końcowych, takie jak oprogramowanie antywirusowe lub aktualizacje poprawek
  • wiek otwartych luk w zabezpieczeniach
  • liczba luk w zabezpieczeniach

aby uzyskać głębszą dyskusję na temat tego, jak skutecznie zmierzyć swój program zgodności, uzyskaj dostęp do aplikacji na żądanie webinar z udziałem Janelle Hsia i Stephanie Jenkins, Compliance Metrics That Matter.

chcesz podzielić się swoimi przemyśleniami ze światem? Zostań dostawcą treści Alchemer! Wypełnij nasz formularz współpracownika, a jeden z naszych redaktorów wkrótce się z tobą skontaktuje.

Leave a Reply