Como medir a eficácia do Programa de Conformidade

destaques:

  • para medir a eficácia do programa de conformidade em sua organização, primeiro, entenda o que é importante para sua empresa. Cada empresa tem seus próprios indicadores-chave de desempenho exclusivos. Comece aqui para que seus esforços de rastreamento sejam mais impactantes.
  • Refine suas habilidades de contar histórias ao apresentar dados do programa à liderança organizacional. Isso os ajuda a se conectar aos dados enquanto remove as mensagens-chave.
  • crie um inventário mestre de todos os ativos da sua empresa para que você saiba o que medir.

medir a eficácia de um programa de compliance corporativo não é tão reduzido quanto calcular o desempenho de uma campanha de marketing ou o desempenho das vendas de um produto em uma nova região.

Compliance-Metrics-That-Matter-Painelists

a complexidade é causada por alguns fatores. Medir a “eficácia” é exigido por muitas autoridades e reguladores, incluindo os EUA. Sentencing Commission, o órgão que define eficaz para programas de conformidade corporativa. No entanto, todos os programas de Conformidade não são universais, o que significa que devem aderir às variáveis exclusivas da empresa, como indústria, regiões operacionais e tamanho. Portanto, permanece uma falta de clareza em torno do que compreende “eficaz.”

reunir as métricas precisa determinar o que a Comissão chama de eficaz é um pouco catch – 22 para muitos profissionais.

No nosso último webinar, conformidade e segurança de especialistas Stephanie Jenkins, Diretor de Conformidade, no ETHIX360 e Janelle Hsia, Diretor de Privacidade e Conformidade na Americana de Segurança Cibernética de Gestão compartilhada potencial de métricas que podem ser usadas para suportar o valor de um programa de compliance; métricas que podem ser usadas para determinar um programa geral de impacto no negócio.

para reunir métricas de Conformidade precisas, entenda seu negócio.

“para construir uma base de programa sólida, você precisa saber quais são os requisitos e como você medirá o sucesso ao longo do caminho”, diz Stephanie Jenkins, Diretora de Conformidade da ETHIX360. “Um ponto de partida muito bom é entender seu negócio, não apenas o risco que você enfrenta, mas o que seus clientes e outras partes interessadas se preocupam. Saber o que mais importa para as pessoas-chave em sua organização irá ajudá-lo a formar uma história que pode ser suportada pelos dados que você coleta e ajudar a orientá-lo a coletar o tipo certo de dados. Os programas de conformidade e ética são inundados de métricas e as maneiras de coletá — las são repetíveis-o desafio é conseguir o gancho que ressoará com o negócio.Por exemplo, se você trabalha em uma startup de software, o crescimento é provavelmente uma alta prioridade para a liderança da empresa. Toda estratégia e tática construída para apoiar uma alta taxa de crescimento chama a atenção da liderança e aumenta a probabilidade de obter orçamento para fazê-lo.

do ponto de vista de conformidade e segurança, o crescimento se traduz em uma série de riscos que precisam ser levados em consideração de forma proativa. A conformidade relacionada aos funcionários, como opções de ações, leis de salários e horas e políticas de promoção, tendem a ser deixadas de lado para abrir espaço para o rápido desenvolvimento de produtos em empresas em rápido crescimento.

no entanto, esses tipos de riscos representam riscos legais e financeiros significativos que prejudicariam muito o crescimento da empresa se se tornassem realidade.Ao priorizar as áreas que têm maior impacto nas ramificações legais ou uma alta atração na demanda de recursos, as empresas que são administradas lean como startups podem estar melhor preparadas e preparadas para um crescimento saudável.

anexar esses pontos de dados — aqueles em torno dos custos de não priorizar Políticas de opções de ações, por exemplo — começará a ilustrar o caso de negócios para investimento contínuo e suporte na função de conformidade e ética.

os dados que você coleta da medição devem contar uma história à liderança.

“se não há história para contar, são apenas números”, diz Jenkins. Números significam quase nada para a liderança de uma empresa. Saber como adicionar comentários coloridos a um ponto de dados dá vida aos dados e ajuda os líderes a entender seu valor e, portanto, o valor do programa de Conformidade.

existem muitos pontos de dados diferentes que podem ser coletados para ajudar a contar a história do seu programa, mas o mais importante é selecionar as métricas que mais importam para sua empresa e seu programa de Conformidade.

métricas que podem ser importantes para sua organização podem incluir:

  • Gestão de casos: Hotline/helpline relatórios discriminados por questões/denúncia tipo, Código de Conduta, política, anônimo vs. nomeado, a ingestão de método (telefone, portal web, mensagem de texto), na pessoa/abrir a porta relatórios, o número de casos notificados aberto/fechado, o número de dados para perto de casos, número do processo judicial tipos de
  • Conflito de Interesse: desagregados por anual, novas contratações e ad hoc funcionários, atestado de conclusão de tarifas, número de reais vs. percepção COIs, número de dias para resolver
  • Gestão da Política de: número de políticas ativas, com que frequência são revisadas, atestadas, solicitadas pelo cliente em potencial

ao apresentar qualquer ou todas essas métricas à sua liderança, envolva os números rígidos e rápidos em uma história significativa com a qual sua liderança pode se relacionar. Pense no que mais importa para eles e para os negócios para formar a narrativa dos dados em torno dele. As métricas de Conformidade em uma empresa podem não importar para a próxima com base no setor, nos riscos reais e potenciais atuais e na maturidade do programa, diz Jenkins.

analise os processos da empresa e determine uma tolerância ao risco para construir uma estrutura de Conformidade.

para qualquer empresa, é uma necessidade comercial ao desenvolver um programa de conformidade para entender as políticas, procedimentos e processos existentes, ou o que Jenkin chama, os três Ps.

durante este estágio, você descobrirá rapidamente lacunas. Elementos como políticas de segurança da Informação, Segurança Cibernética, preparação para iniciativas como o GDPR são exemplos de riscos de tabela de conformidade corporativa que devem ser considerados, se ainda não, durante essa descoberta.

“não podemos crescer e ter sucesso a menos que essas coisas estejam no lugar”, diz Jenkins.

você não pode medir o que não sabe — crie um inventário de ativos.

“algo tão simples como saber o número de sistemas, o número de produtos de software e o número de funcionários ou contratados que estão acessando seus dados”, diz Hsia. “Não só você quer saber o número de sistemas ou o número de software, mas também quer saber o que não está autorizado. A única maneira de saber quem não está autorizado é saber quem é.”

outras métricas que podem entrar no inventário de ativos, de acordo com a Hsia, incluem:

  • tempo Médio entre falhas
  • Como muitas vezes o equipamento está indo para o departamento de TI
  • Percentagem de falta e roubo de equipamentos, incluindo credenciais e arquivos
  • manutenção de Equipamentos de agendas
  • ponto de Extremidade de atualizações de proteção, como antivírus, software ou patch de atualizações
  • Remediação de taxas para todos os tipos de vulnerabilidades relacionadas
  • > Idade de abrir vulnerabilidades
  • Número de vulnerabilidades

Para uma discussão mais aprofundada de como medir eficazmente o seu programa de conformidade, o acesso on-demand webinar com Janelle Hsia e Stephanie Jenkins, métricas de Conformidade que importam.

Ansioso para compartilhar seus pensamentos com o mundo? Torne-se um colaborador de conteúdo Alchemer! Preencha nosso formulário de colaborador e um de nossos editores entrará em contato em breve.

Leave a Reply