コンプライアンス管理: 実施ガイドとKPIテンプレート

効果的なコンプライアンスは、従業員に新しい規制を教育し、非遵守の事例数を追跡することを超えています。この実施ガイドでは、主要な利害関係者を含むコンプライアンスの全体的な視点に焦点を当て、7つのステップを通じてコンプライアンスの取り組みと結果を具体的に定量化することを提案します。

全体的コンプライアンス管理の7ステップ

ステークホルダーの定義

まず、コンプライアンスに関与する一般的なステークホルダーの定義から始めましょう:

  • 取締役会。 組織の利益を代表します。
  • コンプライアンスオフィス。 適用される法律、規制、社内方針などに従って組織のコンプライアンスを確保する専門部署。
  • 内部業務システム。 コンプライアンス活動を支援するITやその他の業務システム。
  • 従業員 は、コンプライアンス方針に影響を与えたり、影響を受けたりする可能性があります。
  • 第三者。 パートナーや同様の外部ステークホルダー。
  • 外部監査人。 該当する規制の専門家。
  • 規制当局。 規制を制定する権限。

BSC Designerでは、設定 > 戦略 > ステークホルダーに移動して、関連するステークホルダーをリストに追加してください。後で、これらのステークホルダーを担当者フィールドを通じて特定の目標や指標と整合させることができます。

Compliance Management: A Canvas of Objectives, KPIs, and Initiative

コンプライアンステンプレートとKPI

BSC Designerのユーザーは、この記事で議論されたKPIを含むコンプライアンススコアカードテンプレートにアクセスできます:

BSC Designer内のKPIを含むコンプライアンステンプレート

コンプライアンステンプレートの実装ガイドのステップ。 出典: BSC Designerでコンプライアンステンプレートをオンラインで見る コンプライアンステンプレート.

  • このテンプレートは特定の規制の要件に合わせてカスタマイズできます。
  • さまざまな規制に対して作成されたスコアカードは、後で総合的なコンプライアンス指標を備えた包括的なコンプライアンススコアカードに組み合わせることができます。

1. 戦略を積極的に適応させましょう

規制当局は、社会的、技術的、政治的な要因を含む様々な要因に応じて新しい規制を策定し始めます。組織は、規制当局が行うような外部要因の分析を実施することにより、潜在的な規制に対する戦略を積極的に準備することができます。

BSC Designerで利用可能なPESTEL分析テンプレートを使用して、以下を行います:

  • 潜在的な推進要因を策定し、
  • 早期兆候指標を定義します。

この積極的な準備を定量化するために、以下の指標を使用できます:

KPI 定期的なPESTEL分析で特定された推進要因の数。

テンプレートでは、この指標は年間更新用に設定されています:

PESTEL分析指標は年間更新用に設定されています。

PESTEL分析指標は年間更新用に設定されています。 出典: BSC DesignerでCompliance Templateをオンラインで見る Compliance Template.

例えば、新興技術、特にAIの進展は、PESTEL分析における推進要因の一つとして特定されています。

2. 新しい適用規制を早期に特定する

コンプライアンスオフィスの役割は、新しい適用規制を早期に特定し、組織内で準備を開始することです。通常、規制当局は規制の草案を最初に公開し、分析と準備のための十分な時間を提供し、規制が正式に発表された後には移行期間が設けられます。

コンプライアンスオフィスの効率を定量化するために、私たちは以下を使用します:

KPI 規制のカバレッジ率, %。 コンプライアンスオフィスが早期に検出した適用規制の割合を追跡します。

テンプレートでは、規制カバレッジの指標が他の指標と比較して指数内でより高い重みを持っています。

KPI 規制レビュー時間。 規制の初期公開から準備計画の策定までの平均時間。

KPI ポリシー開発時間。 内部ガイドラインと関連する教育資料を開発するのにかかる平均時間。

ポリシー開発時間の指標で、最適化機能が「最小化」に設定されています。

'ポリシー開発時間'の指標で、最適化機能が'最小化'に設定されています。 出典: BSC DesignerでCompliance Templateをオンラインで見る Compliance Template.

時間指標の推定は、特定の規制についての業務を社内で行うべきか、外部のアドバイザリー会社に委託すべきかを判断する基準として使用されるかもしれません。

例えば、多くの規制機関がAI関連のポリシーを発表および更新しています。これらの指標を使用することで、特定の組織の文脈でこれらのポリシーが適切に検討され、ガイドライン手順に翻訳されることを確保することができます。

3. 新しい規則に従うように従業員を訓練してください

対応するポリシーが策定された後、組織は従業員に新しい規則に従うよう訓練する必要があります。プロセスを追跡するために、基本的な指標を使用します。

KPI 規制トレーニング完了。 新しい規則についての基本的な認識や、コンプライアンスおよび非コンプライアンスのシナリオの詳細なモデリングを含む場合があります。

より複雑な規則については、プロセスを追跡するために専用のトレーニングスコアカードを使用することを検討してください。

4. 第三者のコンプライアンスを検証する

ほとんどの規制は、バリューチェーンに沿って第三者のコンプライアンスを検証することを要求します。組織は詳細を調べることに興味がないかもしれませんが、代わりにパートナーの全体的なコンプライアンススコアやコンプライアンス評価を受けたパートナーの割合を追跡することに集中できます。

KPI コンプライアンス評価を受けたパートナーの割合

KPI 全体的なパートナーコンプライアンススコア (例えば、ベンダーリスク管理スコアカードを参照)。

BSC Designerのリスクアイコン リスクの特定と軽減は、コンプライアンスの長期的な成功にとって重要です。この場合、「規制の変更」がリスクとして特定され、軽減計画が立てられました:

  • 「コンプライアンスチェックを既に通過した第三者に対する規制変更の影響を、定期的なレビューとコンプライアンススコアの改訂を通じて軽減する。」

コンプライアンステンプレートのステップの1つで特定されたリスク。

コンプライアンステンプレートのステップの1つで特定されたリスク。 出典: BSC DesignerでCompliance Templateをオンラインで見る Compliance Template.

5. 非準拠のインシデントをシミュレーションする

コンプライアンス研修の成功を検証するために、組織は非準拠のインシデントをシミュレーションし、責任ある従業員の適切な反応を評価することができます。このような検証の結果は、以下のように定量化できます:

KPI 規制トレーニングの効果性、非準拠シミュレーションによって検証されたもの。

不遵守の影響を定量化する

不遵守の影響は次の方法で検証できます:

KPI 評判損失指標 – 否定的なメディア報道の期間によって定量化できます。

KPI 直接的な利益損失。

KPI 規制の罰金とペナルティ。

これらの時間的な動態は、導入されたコンプライアンスの取り組みの効果を示します。これらの指標はすべてその性質上遅行指標ですが、コンプライアンスオフィスはこれらの指標に関連するリスクを使用して特定の活動を優先し、コンプライアンス予算を正当化することができます。

6. 外部監査人によるシステム監査

重大な規制が関与し、潜在的な不遵守が経済的および評判上の重大な結果をもたらす可能性がある場合、取締役会は独立した監査人を起用します。

外部監査人の文脈で注目すべき指標:

KPI 監査範囲, %。 組織のすべての関連機能の包括的な監査に興味があり、可能な限りのコンプライアンスリスクが早期に検出されることを確認します。

KPI 監査所見の数。 その直接的な適用とは別に、この指標は、規制の要件の分析と実施におけるコンプライアンスオフィスの有効性を検証するために使用できます。

外部監査のような繰り返し行動に対しては、時間を追った指標の追跡をお勧めします。BSC Designerのユーザーは、データの一貫性を確保するために、指標の更新間隔を設定できます。

この種の指標に関するもう一つのニュアンスは、目標を設定する難しさです。例えば、監査所見の数が少ない場合、監査人の注意が不十分と見なされるかもしれませんし、所見が多い場合、コンプライアンスオフィスが効果的な内部監査を実施しなかったことを示すかもしれません。この考えを捉えるために、指標のパフォーマンス機能が変更されました。

測定範囲の中央に緑色のゾーンが配置された非線形のパフォーマンス尺度。

測定範囲の中央に緑色のゾーンが配置された非線形のパフォーマンス尺度。 出典: BSC Designerでコンプライアンステンプレートをオンラインで見る コンプライアンステンプレート.

さらに、すべての所見を影響に従って分類することができ、最も重要な所見に最高の重みを与えます。これにより、低価値の所見が多いことに焦点を当てて指標を誤用することを避けることができます。そのような分類の例として、サイバーセキュリティスコアカードにおける加重リスク指数があります。

監査人の所見の実施の有効性のいくつかの指標は、次のように定量化できます:

KPI 監査所見のクローズ率。 この指標の明らかな目標は100%ですが、監査人のすべての推奨事項をすぐに実施することを妨げる時間と資源の制約があるかもしれません。

KPI 監査所見の応答時間。 監査によって検出された不遵守の脆弱性を修正する別の視点として、問題が検出されてから解決するまでに必要な時間を見ています。

BSC Designerのユーザーは、最新のデータで指標を更新し、最新の更新に関するメモを追加できます。例えば、ある段階で監査所見の一部をクローズできない理由を説明する追加の詳細を提供することができます。

クローズ率と応答時間の両方は、コンプライアンスシステムの改善のための先行指標であり、プロセス全体をより迅速かつエンドユーザーのステークホルダーにとって複雑でないものにすることに焦点を当てています。

BSC Designerにおける先行指標と遅行指標

コンプライアンス違反の管理

内部コンプライアンスオフィスによる適切な準備と外部監査は、組織がコンプライアンス違反を完全に防ぐことを保証するものではありません。

この文脈で追跡するべき指標:

KPI インシデント対応時間。 組織への影響を最小限に抑えるために、コンプライアンス違反が迅速に解決されることを保証します。

KPI インシデントの再発。 同じタイプのインシデントの再発を防ぐことは、組織が過ちからどれだけ学んでいるかの指標となります。

対応時間の指標の測定単位は、インシデントの性質に応じて時間または日数になる場合があります。

インシデントの再発がコンプライアンスオフィスの有効性の指標であるという論理に従い、「インシデントの再発」指標は、遅行指標としてデータにより「新しい規則を遵守するために従業員を訓練する」という目標と整合されました。

7. コンプライアンススコアカードを整合させる

議論された指標は特定の規制に特有のものになります。各規制ごとに、その特定の規制に調整された指標を備えた独自のコンプライアンススコアカードがあります。例えば、災害復旧事業継続、およびベンダー検証のスコアカードがあります。

展開方法1: 視点による戦略スコアカードの整合

さまざまな規制のためのコンプライアンススコアカードを整合させる。 出典: BSC DesignerでStrategy Cascadingをオンラインで見る Strategy Cascading.

GRC(統治、リスク、コンプライアンス)への取り組みの高レベルな全体像を把握するために、特定の規制に対するGRCスコアカードを全体のGRCスコアカードに整合させることができます。

Compliance Scorecardテンプレートを使用してください

BSC Designerは、組織が複雑な戦略を実施するのを支援します:

  1. プラットフォームで無料プランにサインアップしてください。
  2. 新規 > 新しいスコアカード > その他のテンプレートで、Scorecard Template Compliance Scorecardテンプレートを開始点として使用してください。
  3. 利害関係者と戦略的野心を包括的な戦略に整合させるために、戦略展開システムに従ってください。

今日から始めて、BSC Designerがどのように戦略実施を簡素化できるかをご覧ください!

以下のように引用してください: Alexis Savkín, 「コンプライアンス管理: 実施ガイドとKPIテンプレート,」 BSC Designer, 11月 29, 2024, https://bscdesigner.com/ja/konpuraiansu-tenpureto.htm

コメントする