企业如何才能掌握不断变化的合规性法规

与地方政府和州政府密切合作的企业，在金融和医疗保健等受到高度管制的行业中，企业始终面临着不断变化的合规性法规。 新的政策和规则需要在组织的各个层次上保持一致，“道德与合规专业人员”的作用通常落在人力资源（HR）经理和信息技术（IT）部门上。 这些专业人员通常负责诸如基础结构管理和网络安全之类的工作，其中包括使用虚拟专用网络（VPN）在远程员工访问时保护敏感的公司数据。 人力资源和IT专业人员需要维护这些系统，同时确保业务符合数据，隐私和其他法规。

但是企业如何保持合规性呢？ 根据NAVEX Global的研究，答案可能是使用更好的自动化策略管理软件。 公司的2016年《道德与合规第三方政策管理基准报告》对全球1, 075名受访者（其中75％在美国）进行了广泛调查，涉及的行业广泛。 这些行业包括医疗保健，制造业，银行和金融业，非营利组织，保险，能源和公用事业，政府和行政管理以及技术业务。 该报告对负责道德和合规性的高级管理人员和经理进行了调查，调查了他们目前在政策管理方面面临的挑战，以及哪些策略和解决方案可以改善组织中的流程。 （请参阅同名的2018年报告。）

我们与NAVEX Global咨询服务副总裁Randy Stephens（以及2016年报告的合著者）进行了交谈，探讨了这项研究的主要内容，以及企业如何从技术和组织角度解决主动合规问题。

斯蒂芬斯说：“我们发现，通常来说，这并不奇怪，很多人在遵守法规时对他们的政策管理计划不满意。即使有那些满意的人，也总有改进的余地。” 。 “我们看到预算和策略管理职责可以分散在一大批业务部门中，并且组织内分散的职责可能导致效率降低。”

分解报告

NAVEX全球研究样本涵盖了小型企业（25％），中型企业（31％）和企业企业（43％）的受访者，收入从不到5, 000万美元到超过10亿美元不等，以及政府和非营利组织。 最常见的受访者类型是敬业的道德与合规专业人员，但是研究还包括业务分析师和人力资源，IT，内部审计，法律，风险管理以及在组织内管理合规性的安全专业人员。

以下是该报告的一些主要内容。 受访者可以选择多个答案：

• 将近一半的组织（47％）表示，他们最大的策略管理挑战是通过新的和不断变化的法规使策略保持最新。
• 其他主要的策略管理挑战包括对员工进行策略培训（40％），策略冗余和不准确性（32％），与法律合规性相关的特定要求（31％），易于访问的当前策略和程序（28％）以及文档管理（DM）（23％）。
• 超过50％的组织拥有七个或更多部门，并拥有一定的策略管理和预算流程所有权，将近50％的组织表示他们要么没有用于策略管理的资金，要么是公司范围内预算的一部分。
• 57％的受访者使用在线培训来确保对政策的理解，紧随其后的是55％的受访者使用了面对面的培训。
• 该报告发现，自动化软件使策略管理的执行总体提高了16％，在提高策略质量，通信，工作流和访问的效率方面特别有效。

NAVEX Global提供合规性和策略管理软件，服务和咨询。 Stephens承认该公司确实对使用自动化软件有既得利益，但强调该报告与供应商无关。

斯蒂芬斯说：“最大的挑战之一是要跟上不断变化的法律和法规。” “这是人们真正挣扎的领域之一。自动化过程的发挥作用是对有效程序中的策略进行定期审核-更新，翻译，版本控制以及确保人们可以访问最新版本所需的一切。最终，报告中最明显的是那些拥有自动化策略管理流程，软件驱动策略的人员，他们认为自己的程序是最有效的，而且每个标准都如此。 ”

您的业​​务可以采取的5个策略管理步骤

策略管理软件可能会因行业而有很大差异。 从诸如Accountable之类的在线健康保险合规培训软件到针对现有协作的专用解决方案以及诸如Microsoft SharePoint Online之类的DM软件，解决方案具有各种形状和大小，并且取决于它们与现有系统集成的深度。

但是，无论您的企业使用什么系统来管理合规性和策略，Stephens都说，可以采取几个关键的组织步骤来改善策略管理和问责制，同时确保组织中的每个人都是最新的。 以下是他的五个建议：

1.专用保单负责人

斯蒂芬斯说，合规性失败通常源于政策制定后几个月或几年内没有人检查。 如果员工违反某项政策，公司在问责制或纪律处分时可能会遇到麻烦，但是合规官甚至不敢指责违反了什么政策。

斯蒂芬斯说：“政策需要有所有者。” “有时可能会有多方参与，但是有人需要拥有该政策，并确保该政策反映出法律，法规和公司惯例的变化。

2.易于访问和可用性

斯蒂芬斯说，从人力资源和信息技术政策到健康和安全政策，警察通常遍布整个组织。 因此，企业需要确保通过策略管理软件，公司Intranet或HR门户或DM平台随时可以使用策略。

斯蒂芬斯说：“当员工有问题时，他们需要能够查看政策。如果找不到，就不能接受培训。” “这是自动化解决方案的不二之选，这是因为这些策略位于中央位置。SharePoint网站和Intranet网站可以正常工作，但是在那些网站中，您经常会发现仍然缺乏集中控制。这项政策易于为广大用户所理解和理解，您将无法获得良好的合规性。”

3.跨部门沟通

在企业或大型组织的各个部门之间委派职责和策略管理需要进行开放式沟通，以确保一切保持同步。 斯蒂芬斯说，无论是通过某种形式的政策委员会还是进行定期审查，企业都需要合规官在整个组织内进行协作，并就纪律处分等共同点达成共识。

斯蒂芬斯说：“考虑到法律部门需要从监管的角度来研究政策，然后由开发团队或人力资源团队来研究政策，以确保它们易于阅读和理解。” “定期召集这些人，以确保责任并确保政策得到更新并提供给所有人。”

4.在线培训

斯蒂芬斯说，这项调查的主要收获之一是，在线培训是提供政策变更更新并确保整个组织范围内意识的最有效方法。 PCMag已经审查了许多出色的在线学习平台和学习管理系统（LMS），可以向员工（包括Editor's Choice Docebo）提供此类培训信息。

斯蒂芬斯说：“这是关于无缝衔接政策和培训的。” “使用自动化系统执行此操作，很容易跟踪谁看到了政策电子邮件或对新的或更新的政策进行了培训，谁阅读了，确认了以及完成了证书。”

5.自动化和事件管理

Stephens解释说，自动化软件是控制创建，更新，查看和发布策略过程的最简单方法。 版本控制也很重要，它使企业可以跟踪谁查看或更新了策略以及是否正在处理最新版本。 关于这一点，斯蒂芬斯说，限制策略访问并将策略更新与事件管理联系在一起以更主动地遵守法规非常重要。

斯蒂芬斯解释说：“尤其是当您处理跨国公司的不同部门和多个国家/地区的政策时，这种访问权限和可见性确保了该政策确实适用于您的英国员工，” “然后，您将拥有版本控制权，以查看进行了哪些更改以及由谁进行了审核，然后将更新快速发送给用户，让他们知道您已经对其旅行政策进行了更改。”

他补充说：“然后，在管理与用户共享的内容并监视对他们进行培训的内容时，还可以将其链接到事件管理报告中。” “如果用户有问题或疑问，您可以提出一个问题，并将其自动转换为报告，以提高对您正在处理的任何政策的合规效率。您不能指望人们会遵守如果他们不知道期望是什么，那就制定政策。”