合规管理:实施指南和关键绩效指标模板

有效的合规不仅仅是教育员工关于新法规和跟踪不合规事件的数量。在本实施指南中,我们专注于合规的整体视角,涉及关键利益相关者,并通过7个步骤建议对合规努力和结果进行具体量化。

整体合规管理的7个步骤

利益相关者定义

让我们从涉及合规的通用利益相关者定义开始:

  • 董事会。 代表组织的利益。
  • 合规办公室。 一个专门的部门,确保组织遵循适用的法律、法规、内部政策等。
  • 内部业务系统。 支持合规工作的IT和其他业务系统。
  • 可能影响或受合规政策影响的员工。
  • 第三方。 合作伙伴和类似的外部利益相关者。
  • 外部审计师。 相关法规的专家。
  • 监管机构。 制定法规的权威机构。

在BSC Designer中,导航到设置 > 战略 > 利益相关者,将相关利益相关者添加到列表中。随后,可以通过“负责人”字段将这些利益相关者与具体目标和指标对齐。

Compliance Management: A Canvas of Objectives, KPIs, and Initiative

合规模板和关键绩效指标

BSC Designer 的用户可以访问文章中讨论的包含关键绩效指标的合规记分卡模板:

BSC Designer 中的包含关键绩效指标的合规模板

合规模板实施指南的步骤。 来源:在BSC Designer中在线查看Compliance Template Compliance Template

  • 可以定制此模板以符合特定法规的要求。
  • 为各种法规创建的记分卡可以稍后合并为一个综合合规记分卡,并具有整体合规指数。

1. 主动调整战略

监管机构开始制定新法规,以应对包括社会、技术、政治等在内的各种因素。组织可以通过类似于监管机构进行的外部因素分析,主动为潜在法规准备战略。

使用BSC Designer中提供的PESTEL分析模板来:

  • 制定潜在的驱动力
  • 定义早期信号指标。

为了量化这种主动准备,我们可以使用以下指标:

KPI 通过定期PESTEL分析识别的驱动力数量。

在模板中,此指标配置为年度更新:

PESTEL分析指标配置为年度更新。

PESTEL分析指标配置为年度更新。 来源:在BSC Designer中在线查看Compliance Template Compliance Template

例如,新兴技术,特别是人工智能的进步,被识别为PESTEL分析中的驱动力之一。

2. 及早识别新的适用法规

合规办公室的职责是及早识别新的适用法规,并在组织内部开始准备工作。通常,监管机构会先发布法规草案,为分析和准备提供充足的时间,并在法规正式发布后设有过渡期。

为了量化合规办公室的效率,我们使用:

KPI 法规覆盖率, %。 跟踪合规办公室在早期阶段检测到的适用法规的百分比。

在模板中,法规覆盖率指标在指数中的权重高于其他指标。

KPI 法规审查时间。 从法规初次发布到制定准备计划所需的平均时间。

KPI 政策制定时间。 制定内部指导政策和相关教育材料所需的平均时间。

政策制定时间指标,优化功能设置为“最小化”。

'政策制定时间'指标,优化功能设置为'最小化'。 来源:在BSC Designer中在线查看Compliance Template Compliance Template

时间指标的估算可用作判断是否应在内部开展特定法规工作或外包给第三方咨询公司的标准。

例如,许多监管机构发布和更新与人工智能相关的政策。使用上述指标,我们可以确保这些政策在特定组织的背景下得到适当审查,并转化为指导程序。

3. 培训员工遵循新法规

一旦相应的政策制定完成,组织需要培训员工遵循新法规。为了跟踪这一过程,我们使用一个基本指标:

KPI 法规培训完成度。 可能包括对新法规的基本认识或合规与不合规情境的详细建模。

对于更复杂的法规,可以考虑使用专门的培训记分卡来跟踪过程。

4. 验证第三方的合规性

大多数法规要求沿着价值链查看并验证第三方的合规性。组织可能不愿意深入细节;相反,它可以专注于跟踪合作伙伴的整体合规得分和已评估合规性的合作伙伴百分比。

KPI 已评估合规性的合作伙伴百分比。

KPI 整体合作伙伴合规得分(例如,请参阅供应商风险管理记分卡)。

BSC Designer中的风险图标 风险识别与缓解对于合规的长期成功至关重要。在这种情况下,风险被识别为“法规变化”,并制定了缓解计划:

  • “通过定期审查和修订合规得分,缓解对已通过合规检查的第三方的监管变化影响。”

合规模板中某一步骤的识别风险。

合规模板中某一步骤的识别风险。 来源:在BSC Designer中在线查看Compliance Template Compliance Template

5. 模拟不合规事件

为验证合规培训的成功,组织可以模拟不合规事件并评估负责员工的适当反应。这种验证的结果可以量化为:

KPI 监管培训的有效性,通过不合规模拟验证。

量化不合规的影响

不合规的影响可以通过以下方式验证:

KPI 声誉损害指标 – 可以通过负面媒体报道的持续时间来量化。

KPI 直接利润损失。

KPI 监管罚款和处罚。

随着时间的推移,它们的动态变化将显示所引入的合规措施的有效性。虽然所有这些指标本质上都是滞后的,但合规部门可以利用与这些指标相关的风险来优先考虑某些活动,并证明合规预算的合理性

6. 外部审计师审核系统

在涉及关键法规的情况下,潜在的不合规可能导致严重的经济和声誉后果,董事会会聘请独立审计师。

外部审计师关注的指标:

KPI 审计覆盖率, %。 我们对组织所有相关功能的全面审计感兴趣,以确保尽可能早地检测到合规风险。

KPI 审计发现数量。 除了直接应用之外,该指标还可以用于验证合规办公室在分析和实施法规要求方面的有效性。

对于外部审计等重复性操作,建议随时间跟踪指标。BSC Designer的用户可以为指标设定更新时间间隔,以确保数据一致性

关于这类指标的另一个细微之处是难以设定目标。例如,少量的审计发现可能被视为审计师关注不够,而高水平的发现可能表明合规办公室没有进行有效的内部审计。为了捕捉这一想法,修改了指标的绩效函数。

一个非线性绩效量表,其绿色区域位于测量范围的中间。

一个非线性绩效量表,其绿色区域位于测量范围的中间。 来源:在BSC Designer中在线查看Compliance Template Compliance Template

此外,所有的发现可以根据其影响进行分类,给予最关键的发现最高的权重。这将有助于避免因关注大量低价值发现而错误使用指标。这种分类的一个例子是网络安全记分卡中的加权风险指数

一些关于实施审计师发现的效果的指示可以通过以下方式量化:

KPI 审计发现结案率。 虽然这个指标的明显目标是100%,但可能会有时间和资源限制阻止立即实施审计师的所有建议。

KPI 审计发现响应时间。 这是另一种解决审计发现的不合规漏洞的视角,我们关注的是从发现问题到解决问题所需的时间。

BSC Designer的用户可以用最新数据更新指标,并在最近的更新中附上说明。例如,他们可以提供额外的细节,解释为何在某个阶段可能无法关闭某些审计发现。

结案率和响应时间是改善合规系统的领先指标,重点在于使整个过程对最终用户利益相关者更灵活和更简单。

领先指标与滞后指标在BSC Designer中的应用

管理不合规事件

内部合规办公室和外部审计的适当准备并不能确保组织免于可能的合规违规。

在此背景下需要跟踪的指标:

KPI 事件响应时间。 确保快速解决合规违规,以最小化对组织的影响。

KPI 事件再发生。 防止同类型事件的再发生是组织从错误中学习的良好指标。

响应时间指标的测量单位可能为小时或天,具体取决于事件的性质。

根据事件再发生是合规办公室有效性指标的逻辑,“事件再发生”指标与“培训员工遵循新规章制度”的目标通过数据作为滞后指标进行了对齐。

7. 对齐合规记分卡

讨论的指标将针对特定法规。对于每个法规,将有其自身的合规记分卡,包含针对该特定法规调整的指标。例如,有用于灾难恢复业务连续性供应商验证的记分卡。

级联方法1:通过视角对齐战略记分卡

对齐不同法规的合规记分卡。 来源:在BSC Designer中在线查看Strategy Cascading Strategy Cascading

为了对GRC(治理、风险和合规)工作有一个高层次的了解,我们可以将特定法规的GRC记分卡对齐到一个整体的GRC记分卡中。

使用 Compliance Scorecard 模板

BSC Designer 帮助组织实施其复杂的策略:

  1. 注册平台上的免费计划。
  2. 使用 Scorecard Template Compliance Scorecard 模板作为起点。您可以在 新建 > 新建平衡记分卡 > 更多模板 中找到它。
  3. 遵循我们的战略实施系统,将利益相关者和战略目标对齐为一个全面的策略。

立即开始,看看 BSC Designer 如何简化您的战略实施!

请引用如下: Alexis Savkín, “合规管理:实施指南和关键绩效指标模板,” BSC Designer, 15 11 月, 2024, https://bscdesigner.com/zh/compliance-template.htm

发表评论

这个站点使用 Akismet 来减少垃圾评论。了解你的评论数据如何被处理