Эффективный комплаенс выходит за рамки обучения сотрудников новым нормативам и отслеживания количества случаев несоответствия. В этом руководстве по внедрению мы сосредоточимся на целостном подходе к комплаенсу, который включает ключевых заинтересованных сторон и предлагает конкретную количественную оценку усилий и результатов комплаенса через 7 шагов.
Определение заинтересованных сторон
Давайте начнем с определения основных заинтересованных сторон, участвующих в комплаенсе:
- Совет директоров. Представляет интересы организаций.
- Комплаенс-офис. Специализированный отдел, обеспечивающий соблюдение организацией применимых законов, норм, внутренних политик и т.д.
- Внутренние бизнес-системы. IT и другие бизнес-системы, поддерживающие усилия по комплаенсу.
- Сотрудники, которые могут влиять на политику комплаенса или на которых она может влиять.
- Третьи стороны. Партнеры и аналогичные внешние заинтересованные стороны.
- Внешний аудитор. Эксперт по рассматриваемому регулированию.
- Регулятор. Орган, устанавливающий регулирование.
В BSC Designer перейдите в Настройки > Стратегия > Заинтересованные стороны, чтобы добавить соответствующие заинтересованные стороны в список. Позже эти стороны могут быть связаны с конкретными целями и показателями через поле Владелец.
Шаблон комплаенса и KPI
Пользователи BSC Designer имеют доступ к шаблону системы показателей комплаенса с KPI, обсуждаемыми в статье:
Шаблон комплаенса. - Этот шаблон можно настроить в соответствии с требованиями конкретного регулирования.
- Системы показателей, созданные для различных регулирований, могут быть позднее объединены в комплексную систему показателей комплаенса с общим индексом комплаенса.
1. Адаптировать стратегии заблаговременно
Регулирующие органы начинают формулировать новые нормы в ответ на различные факторы, включая социальные, технологические, политические и т. д. Организации могут заблаговременно подготовить стратегии для потенциальных норм, проведя анализ внешних факторов, аналогичный тому, который проводят регулирующие органы.
Используйте шаблон анализа PESTEL, доступный в BSC Designer, чтобы:
- Сформулировать потенциальные движущие силы и
- Определить индикаторы ранних признаков.
Чтобы количественно оценить эту заблаговременную подготовку, мы можем использовать индикатор:
Количество движущих сил, выявленных с регулярным анализом PESTEL.
В шаблоне эта метрика настроена на ежегодное обновление:
Шаблон комплаенса. Например, новые технологии, в частности развитие искусственного интеллекта, определены как одна из движущих сил в анализе PESTEL.
2. Выявить новые применимые нормативные акты на раннем этапе
Роль комплаенс-офиса состоит в том, чтобы выявлять новые применимые нормативные акты на раннем этапе и начинать подготовку внутри организации. Обычно регуляторы предоставляют достаточное время для анализа и подготовки, сначала публикуя проект нормативного акта, и существует переходный период после официального выпуска акта.
Для количественной оценки эффективности комплаенс-офиса мы используем:
Охват нормативных актов, %. Отслеживание процента применимых нормативных актов, обнаруженных комплаенс-офисом на раннем этапе.
В шаблоне метрика охвата нормативных актов имеет больший вес в индексе по сравнению с другими метриками.
Время рассмотрения нормативного акта. Среднее время с момента первоначальной публикации нормативного акта до разработки плана подготовки.
Время разработки политики. Среднее время, необходимое для разработки внутренних руководящих политик и соответствующих образовательных материалов.
Compliance Template. Оценки для временных метрик могут использоваться в качестве критерия для определения, следует ли проводить работу над конкретными нормативными актами своими силами или передавать ее сторонней консультационной фирме.
Например, многие регулирующие органы выпускают и обновляют политики, связанные с искусственным интеллектом. Используя упомянутые метрики, мы можем убедиться, что эти политики надлежащим образом изучены в контексте конкретной организации и переведены в руководящие процедуры.
3. Обучите сотрудников следовать новым правилам
Как только соответствующие политики сформулированы, организация должна обучить своих сотрудников следовать новым правилам. Для отслеживания процесса мы используем базовый показатель:
Завершение регуляторного тренинга. Может включать базовое ознакомление с новыми правилами или детализированное моделирование сценариев комплаенса и неконплаенса.
Для более сложных правил рассмотрите возможность использования специализированной системы показателей тренинга для отслеживания процесса.
4. Проверка комплаенса третьих сторон
Большинство регуляций требуют рассмотрения всей цепочки создания стоимости и проверки комплаенса третьих сторон. Организация может не быть заинтересована в изучении деталей; вместо этого она может сосредоточиться на отслеживании общего уровня комплаенса партнеров и процента партнеров, оцененных на соответствие комплаенсу.
% партнеров, оцененных на соответствие комплаенсу.
Общий уровень комплаенса партнеров (см., например, система показателей управления рисками поставщиков).
Идентификация и работа с рисками критически важны для долгосрочного успеха комплаенса. В данном случае риск был идентифицирован как «Изменения в регуляциях» с планом по работе с риском:
- «Снизить влияние изменений в регуляциях на третьи стороны, которые уже прошли проверку на комплаенс, через регулярные обзоры и пересмотры уровня комплаенса.»
Compliance Template. 5. Смоделируйте инциденты несоответствия
Чтобы подтвердить успех комплаенс-тренинга, организация может смоделировать инциденты несоответствия и оценить соответствующие реакции ответственных сотрудников. Результаты такой проверки могут быть количественно оценены как:
Эффективность регуляторного тренинга, подтвержденная моделированием инцидентов несоответствия.
Определение влияния несоответствия
Влияние несоответствия можно оценить с помощью:
Метрика репутационного ущерба — может быть количественно оценена по продолжительности негативного освещения в СМИ.
Прямые потери прибыли.
Регуляторные штрафы и санкции.
Их динамика с течением времени будет указывать на эффективность введенных комплаенс-мероприятий. Хотя все эти метрики по своей природе являются индикаторами результата, комплаенс-офис может использовать риски, связанные с этими метриками, чтобы расставить приоритеты для определенных действий и обосновать бюджеты на комплаенс.
6. Аудит систем внешним аудитором
В случаях, связанных с критическими нормативами, когда потенциальный комплаенс-нарушения могут привести к значительным экономическим и репутационным последствиям, совет директоров привлекает независимых аудиторов.
Метрики, на которые следует обратить внимание в контексте внешнего аудита:
Охват аудита, %. Нас интересует комплексный аудит всех релевантных функций организации, чтобы обеспечить выявление максимального количества комплаенс-рисков на ранней стадии.
Количество аудиторских замечаний. Помимо прямого применения, эта метрика может быть использована для проверки эффективности комплаенс-офиса в анализе и внедрении требований нормативов.
Для повторяющихся действий, таких как внешние аудиты, рекомендуется отслеживать метрики со временем. Пользователи BSC Designer могут устанавливать интервалы обновления для метрик, чтобы обеспечить согласованность данных.
Еще один нюанс, касающийся данного типа метрик, это сложность установления цели. Например, малое количество аудиторских замечаний может рассматриваться как недостаточное внимание со стороны аудитора, в то время как высокий уровень замечаний может указывать на то, что комплаенс-офис не провел эффективный внутренний аудит. Для отражения этой идеи была изменена функция производительности индикатора.
Compliance Template. Кроме того, все замечания могут быть категоризированы в зависимости от их воздействия, придавая наибольший вес наиболее критическим замечаниям. Это поможет избежать неправильного использования метрики, сосредотачиваясь на большом количестве малозначительных замечаний. Примером такой категоризации является взвешенный индекс риска в системе показателей кибербезопасности.
Некоторые показатели эффективности внедрения аудиторских замечаний могут быть количественно определены с помощью:
Темп закрытия аудиторских замечаний. Хотя очевидной целью этой метрики является 100%, могут быть временные и ресурсные ограничения, которые не позволяют сразу выполнять все рекомендации аудитора.
Время реакции на аудиторские замечания. Другой взгляд на устранение уязвимостей комплаенса, выявленных в ходе аудита, — это время, необходимое для закрытия проблемы с момента ее обнаружения.
Пользователи BSC Designer могут обновлять индикаторы с последними данными и включать заметки о последнем обновлении. Например, они могут предоставить дополнительные детали, объясняющие, почему на определенном этапе может быть невозможно закрыть некоторые аудиторские замечания.
Как темп закрытия, так и время реакции являются ведущими метриками для улучшения систем комплаенса, сосредоточенными на повышении гибкости и упрощении всего процесса для конечных пользователей-стейкхолдеров.
Управление инцидентами комплаенса
Надлежащая подготовка внутреннего офиса комплаенса и внешние аудиты не гарантируют защиту организации от возможных нарушений комплаенса.
Метрики для отслеживания в этом контексте:
Время реагирования на инциденты. Чтобы обеспечить быстрое устранение нарушений комплаенса и минимизировать их влияние на организацию.
Повторяемость инцидентов. Предотвращение повторения инцидентов одного типа является индикатором того, насколько хорошо организация учится на ошибках.
Единицей измерения для метрики времени реагирования могут быть часы или дни в зависимости от характера инцидента.
Следуя логике, что повторяемость инцидентов является индикатором эффективности офиса комплаенса, индикатор «Повторяемость инцидентов» был связан с целью ‘Обучить сотрудников следовать новым регламентам’ через данные как индикатор результата.
7. Связь систем показателей комплаенс
Обсуждаемые метрики будут специфичны для определенного регулирования. Для каждого регулирования будет своя собственная система показателей комплаенс с метриками, адаптированными для этого конкретного регулирования. Например, существуют системы показателей для восстановления после катастроф, управления бизнес-непрерывностью и валидации поставщиков.
Каскадирование стратегии. Чтобы иметь общее представление о GRC (управление, риск и комплаенс), мы можем связать системы показателей GRC для конкретных регулирований в общую систему показателей GRC.
Используйте шаблон Система показателей комплаенс
BSC Designer помогает организациям реализовывать их сложные стратегии:
- Зарегистрируйтесь на бесплатный план на платформе.
- Используйте шаблон
Система показателей комплаенс в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов. - Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.
Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!
Alexis является старшим консультантом по стратегии и генеральным директором BSC Designer с более чем 20-летним опытом в области стратегического планирования. Alexis разработал «Систему внедрения стратегии из 5 шагов», которая помогает компаниям в практической реализации их стратегий. Он является постоянным докладчиком на отраслевых конференциях и опубликовал более 100 статей по управлению стратегией и производительностью, включая книгу «Система KPI из 10 шагов». Его работы часто цитируются в академических исследованиях.