Hur man mäter Efterlevnadsprogrammets effektivitet
höjdpunkter:
- för att mäta efterlevnadsprogrammets effektivitet i din organisation, förstå först vad som är viktigt för ditt företag. Varje företag har sina egna unika nyckeltal. Börja här för att dina spårningsinsatser ska vara mest effektiva.
- förfina dina berättande färdigheter när du presenterar ProgramData för organisatoriskt ledarskap. Det hjälper dem att ansluta till data samtidigt som de tar bort de viktigaste meddelandena.
- skapa en huvudinventering av alla tillgångar i ditt företag så att du vet vad du ska mäta.
att mäta effektiviteten i ett företags efterlevnadsprogram är inte lika klippt och torrt som att beräkna resultatet för en marknadsföringskampanj eller resultatet för en produkts försäljning i en ny region.
komplexiteten orsakas av några faktorer. Att mäta “effektivitet” krävs av många myndigheter och tillsynsmyndigheter, inklusive USA. Dömande kommissionen, det styrande organet som definierar effektiv för företagens efterlevnadsprogram.
ändå är alla efterlevnadsprogram inte universella, vilket innebär att de bör följa företagets unika variabler som industri, verksamhetsregioner och storlek. Därför, det återstår en brist på tydlighet kring vad som innefattar “effektiv.”
samla mätvärdena måste bestämma vad kommissionen dubs effektiv är lite av en catch-22 för många utövare.
i vårt senaste webinar delade compliance-och säkerhetsexperter Stephanie Jenkins, Chief Compliance Officer på ETHIX360 och Janelle Hsia, Director of Privacy and Compliance på American Cyber Security Management potentiella mätvärden som kan användas för att stödja värdet av ett compliance-program; mätvärden som kan användas för att bestämma ett programs övergripande inverkan på ett företag.
för att samla in exakta mätvärden för efterlevnad, förstå ditt företag.
“för att bygga en solid programgrund måste du veta vad kraven är och hur du kommer att mäta framgång på vägen”, säger Stephanie Jenkins, Chief Compliance Officer på ETHIX360. “En riktigt bra utgångspunkt är att förstå ditt företag, inte bara risken du står inför, men vad dina kunder och andra intressenter bryr sig om.”
att veta vad som är viktigast för nyckelpersonerna i din organisation hjälper dig att skapa en historia som kan stödjas av de data du samlar in och hjälper dig att samla in rätt typ av data. Efterlevnads — och etikprogram översvämmas i mätvärden och sätten att samla in dem är repeterbara-utmaningen är att få kroken som kommer att resonera med verksamheten.
om du till exempel arbetar vid en mjukvarustart är tillväxten sannolikt en hög prioritet för företagets ledarskap. Varje strategi och taktik byggd för att stödja en hög tillväxttakt får ledarskapets uppmärksamhet och ökar sannolikheten för att få budget att göra det.
från en efterlevnad och säkerhetssynpunkt innebär tillväxt ett antal risker som måste beaktas proaktivt. Medarbetarrelaterad efterlevnad som aktieoptioner, löne-och timlagar och marknadsföringspolicyer tenderar att skjutas åt sidan för att göra plats för snabb produktutveckling i snabbt växande företag.
ändå utgör dessa typer av risker betydande juridiska och finansiella risker som i hög grad skulle hindra företagets tillväxt om de blev verklighet.
genom att prioritera de områden som har störst inverkan på juridiska konsekvenser eller en hög pull på efterfrågan på resurser, företag som drivs magert som startups kan vara bättre förberedda och redo för en sund tillväxt.
att bifoga dessa datapunkter — de kring kostnaderna för att inte prioritera personaloptionspolicyer, till exempel — kommer att börja illustrera affärssaken för fortsatt investering och stöd i compliance and ethics-funktionen.
de data du samlar in från mätning bör berätta ledarskap en historia.
” om det inte finns någon historia att berätta, är det bara siffror”, säger Jenkins. Siffror betyder nästan ingenting för ett företags ledarskap. Att veta hur man lägger till färgglada kommentarer till en datapunkt, ger data till liv och hjälper ledare att förstå dess värde, och därmed värdet av efterlevnadsprogrammet.
det finns många olika datapunkter som kan samlas in för att berätta historien om ditt program, men det som är viktigast är att välja de mätvärden som är viktigast för ditt företag och ditt efterlevnadsprogram.
mätvärden som kan vara viktiga för din organisation kan inkludera:
- ärendehantering: Hotline-/helpline-rapporter uppdelade efter problem/anklagningstyp, uppförandekod, specifik policy, anonym vs. namngiven, intagsmetod (telefon, webbportal, textmeddelande), personliga/öppna dörrrapporter, antal rapporterade ärenden öppnade/stängda, antal data för att avsluta ärenden, antal typer av rättsliga förfaranden
- intressekonflikt: uppdelat efter årliga, nyanställda och ad hoc-anställda, slutförande av intyg, antal faktiska vs. upplevda COIs, antal dagar att lösa
- policyhantering: antal aktiva policyer, hur ofta de granskas, bekräftas, begärs av prospect/client
när du presenterar någon eller alla dessa mätvärden för ditt ledarskap, linda in de hårda och snabba siffrorna i en meningsfull historia som ditt ledarskap kan relatera till. Tänk på vad som är viktigast för dem och verksamheten för att bilda berättelsen om data kring den.
Efterlevnadsmått hos ett företag kanske inte spelar någon roll för nästa baserat på bransch, nuvarande verkliga och potentiella risker och programmognad, säger Jenkins.
analysera företagets processer och bestämma en risktolerans för att bygga ett ramverk för efterlevnad.
för alla företag är det en affärsbehov när man utvecklar ett efterlevnadsprogram för att förstå befintliga policyer, procedurer och processer, eller vad Jenkins kallar, de tre Ps.
under detta skede kommer du snabbt att upptäcka luckor. Element som informationssäkerhetspolicyer, cybersäkerhet, att förbereda sig för initiativ som GDPR är exempel på att företagens efterlevnadstabeller bör övervägas, om inte redan, under denna upptäckt.
“vi kan inte växa och bli framgångsrika om inte dessa saker är på plats”, säger Jenkins.
du kan inte mäta det du inte vet — skapa en inventering av tillgångar.
“något så enkelt som att veta antalet system, antalet mjukvaruprodukter och antalet anställda eller entreprenörer som har tillgång till dina data”, säger Hsia. “Inte bara vill du veta antalet system eller antalet program, men du vill också veta vad som inte är auktoriserat. Det enda sättet att veta vem som inte är auktoriserad är att veta vem som är.”
andra mätvärden som kan gå in i tillgångsinventering, enligt Hsia, inkluderar:
- medeltid mellan fel
- hur ofta utrustning går till IT-avdelningen
- procent av saknad och stulen utrustning inklusive referenser och filer
- underhållsscheman för utrustning
- uppdateringar av Slutpunktsskydd som antivirusprogram eller patchuppdateringar
- Saneringshastigheter för alla typer av IT-relaterade sårbarheter
- ålder för öppna sårbarheter
- antal sårbarheter
för en djupare diskussion om hur du effektivt mäter ditt efterlevnadsprogram, få tillgång till on-demand webinar med Janelle Hsia och Stephanie Jenkins, mätvärden för efterlevnad som är viktiga.
vill du dela dina tankar med världen? Bli en alchemer content bidragsgivare! Fyll i vårt bidragsformulär och en av våra redaktörer kommer att kontakta inom kort.
Leave a Reply