Cum se măsoară eficacitatea programului de conformitate

Repere:

• pentru a măsura eficacitatea programului de conformitate în organizația dvs., în primul rând, înțelegeți ce contează pentru afacerea dvs. Fiecare afacere are proprii indicatori cheie de performanță unici. Începeți aici pentru ca eforturile dvs. de urmărire să aibă cel mai mare impact.
• Rafinați-vă abilitățile de povestire atunci când prezentați datele programului conducerii organizaționale. Îi ajută să se conecteze la date în timp ce îndepărtează mesajele cheie.
• creați un inventar principal al tuturor activelor din compania dvs., astfel încât să știți ce să măsurați.

măsurarea eficacității unui program de conformitate corporativă nu este la fel de redusă și uscată ca calcularea performanței unei campanii de marketing sau a performanței vânzărilor unui produs într-o regiune nouă.

complexitatea este cauzată de câțiva factori. Măsurarea “eficacității” este cerută de multe autorități și autorități de reglementare, inclusiv SUA. Comisia de condamnare, organul de conducere care definește eficient pentru programele de conformitate corporativă.

cu toate acestea, toate programele de conformitate nu sunt universale, ceea ce înseamnă că ar trebui să adere la variabilele unice ale afacerii, cum ar fi industria, regiunile de operare și dimensiunea. Prin urmare, rămâne o lipsă de claritate în jurul a ceea ce cuprinde “eficient.”

colectarea valorilor trebuie să determine ceea ce Comisia numește eficace este un pic de catch-22 pentru mulți practicieni.

în webinarul nostru recent, experții în conformitate și securitate Stephanie Jenkins, Chief Compliance Officer la ETHIX360 și Janelle Hsia, Director de confidențialitate și Conformitate la American Cyber Security Management au împărtășit valori potențiale care pot fi utilizate pentru a susține valoarea unui program de conformitate; valori care pot fi utilizate pentru a determina impactul general al unui program asupra unei afaceri.

pentru a obține valori exacte de conformitate, înțelegeți-vă afacerea.

“pentru a construi o fundație solidă a programului, trebuie să știți care sunt cerințele și cum veți măsura succesul pe parcurs”, spune Stephanie Jenkins, Chief Compliance Officer la ETHIX360. “Un punct de plecare foarte bun este să înțelegeți afacerea dvs., nu doar riscul cu care vă confruntați, ci și ceea ce le pasă clienților și altor părți interesate.”

cunoașterea a ceea ce contează cel mai mult pentru persoanele cheie din organizația dvs. vă va ajuta să formați o poveste care poate fi susținută de datele pe care le colectați și vă va ajuta să colectați tipul potrivit de date. Programele de Conformitate și etică sunt inundate de valori, iar modalitățile de colectare a acestora sunt repetabile — provocarea este obținerea cârligului care va rezona cu afacerea.

de exemplu, dacă lucrați la o pornire de software, creșterea este probabil o prioritate ridicată pentru conducerea companiei. Fiecare strategie și tactică construită pentru a susține o rată ridicată de creștere atrage atenția conducerii și crește probabilitatea ca bugetul să facă acest lucru.

din punct de vedere al conformității și securității, creșterea se traduce printr-o serie de riscuri care trebuie luate în considerare în mod proactiv. Conformitatea legată de angajați, cum ar fi opțiunile pe acțiuni, legile privind salariile și orele și politicile de promovare tind să fie împinse deoparte pentru a face loc dezvoltării rapide a produselor în companiile în creștere rapidă.

cu toate acestea, aceste tipuri de riscuri prezintă riscuri juridice și financiare semnificative care ar împiedica foarte mult creșterea companiei dacă ar deveni realitate.

prin prioritizarea domeniilor care au cel mai mare impact asupra ramificațiilor legale sau o atracție ridicată asupra cererii de resurse, companiile care sunt conduse slab ca startup-urile pot fi mai bine pregătite și pregătite pentru o creștere sănătoasă.

atașarea acestor puncte de date — cele din jurul costurilor de a nu acorda prioritate politicilor de opțiuni pe acțiuni, de exemplu — va începe să ilustreze cazul de afaceri pentru investiții continue și sprijin în funcția de Conformitate și etică.

datele pe care le colectați din măsurare ar trebui să spună conducerii o poveste.

“dacă nu există nicio poveste de spus, sunt doar numere”, spune Jenkins. Numerele înseamnă aproape nimic pentru conducerea unei companii. Știind cum să adăugați comentarii colorate la un punct de date, aduce datele la viață și îi ajută pe lideri să înțeleagă valoarea și, prin urmare, valoarea programului de conformitate.

există multe puncte de date diferite care pot fi colectate pentru a vă ajuta să spuneți povestea programului dvs., dar cel mai important este să selectați valorile care contează cel mai mult pentru compania dvs. și pentru programul dvs. de conformitate.

valorile care pot conta pentru organizația dvs. ar putea include:

• managementul cazurilor: Rapoarte Hotline/helpline defalcate pe probleme/tip de acuzație, cod de conduită, politică specifică, anonim vs. numit, metoda de admisie (telefon, portal web, mesaj text), rapoarte în persoană/ușă deschisă, numărul de cazuri raportate deschise/închise, numărul de date pentru a închide cazurile, numărul de tipuri de proceduri legale
• Conflict de interese: defalcate pe angajați anuali, noi angajați și ad-hoc, ratele de finalizare a atestării, numărul de coi reale vs. percepute, numărul de zile pentru a rezolva
• managementul politicilor: numărul de politici active, cât de des sunt revizuite, atestate, solicitate de prospect/client

când prezentați oricare sau toate aceste valori conducerii dvs., înfășurați numerele dure și rapide într-o poveste semnificativă la care se poate raporta conducerea dvs. Gândiți-vă la ceea ce contează cel mai mult pentru ei și afacerea pentru a forma narațiunea datelor din jurul ei.

valorile de Conformitate la o companie pot să nu conteze pentru următoarea pe baza industriei, a riscurilor reale și potențiale actuale și a maturității programului, spune Jenkins.

analizați procesele companiei și determinați o toleranță la risc pentru a construi un cadru de conformitate.

pentru orice companie, este o necesitate de afaceri atunci când dezvoltă un program de Conformitate pentru a înțelege politicile, procedurile și procesele existente sau ceea ce Jenkin numește, cele trei Ps.

în această etapă, veți descoperi rapid lacune. Elemente precum politicile de securitate a informațiilor, securitatea cibernetică, pregătirea pentru inițiative precum GDPR sunt exemple de mize de masă de conformitate corporativă ar trebui luate în considerare, dacă nu deja, în timpul acestei descoperiri.

“Nu putem să creștem și să avem succes decât dacă aceste lucruri sunt în vigoare”, spune Jenkins.

nu puteți măsura ceea ce nu știți — creați un inventar al activelor.

“ceva la fel de simplu ca cunoașterea numărului de sisteme, a numărului de produse software și a numărului de angajați sau contractori care vă accesează datele”, spune Hsia. “Nu numai că doriți să cunoașteți numărul de sisteme sau numărul de software, dar doriți să știți și ce nu este autorizat. Singura modalitate de a ști cine nu este autorizat este de a ști cine este.”

alte valori care pot intra în inventarul activelor, conform Hsia, includ:

• timp mediu între defecțiuni
• cât de des echipamentul merge la departamentul IT
• procentul echipamentelor lipsă și furate, inclusiv acreditările și fișierele
• programe de întreținere a echipamentelor
• actualizări de protecție Endpoint, cum ar fi software antivirus sau actualizări de patch-uri
• rate de remediere pentru toate tipurile de vulnerabilități legate de IT
• vârsta vulnerabilităților deschise
• numărul vulnerabilităților

pentru o discuție mai profundă a modului de măsurare eficientă a programului de conformitate, Accesați aplicația on-demand webinar cu Janelle Hsia și Stephanie Jenkins, valori de Conformitate care contează.

dornici de a împărtăși gândurile tale cu lumea? Deveniți un contribuitor de conținut alchimist! Completați formularul nostru de contributor și unul dintre editorii noștri va fi în contact în scurt timp.