How to Present Compliance ROI to Leadership: Some Thoughts on the Value of Showing Value

Abraham Smith

Hier ist meine Traumwelt: Eine Welt unendlicher Ressourcen – unendlich viel Zeit, Geld, Möglichkeiten. Jeder Schritt, den Sie unternehmen, schließt keine andere Möglichkeit aus. Jede Konsequenz kann enträtselt werden.

Manche träumen. In der Welt, in der wir leben, sind Ressourcen endlich. Wenn Sie eine Compliance-Führungskraft mit einer großartigen Investitionsidee sind, steht zwischen Ihnen und der Umsetzung Ihres Vorschlags nur, der Führung zu erklären, warum sie Ressourcen so ausgeben sollte, wie Sie es vorschlagen. Mit anderen Worten: Wie hoch ist der prognostizierte ROI?

DevOps-Erfahrung 2022

Verwenden Sie den Compliance-ROI, um den Wert nachzuweisen

Return on Investment oder ROI ist das, was für die Führung sinnvoll ist. Sie denken vielleicht, dass eine Compliance-bezogene Investition eine gute Idee ist, weil sie das Engagement Ihres Unternehmens zeigt, die richtigen Kästchen anzukreuzen. Ist das nicht genug? Eine Investition nicht rechtfertigen. Compliance wird allzu oft als reine Kostenstelle angesehen, und die Forderung nach Geld für das Ankreuzen weiterer Kästchen verdeutlicht nur das Problem. Wenn Sie die Art und Weise ändern können, wie Sie Investitionen in Compliance präsentieren, indem Sie zeigen, dass es sich um eine geschäftsfördernde Funktion handelt, können Sie es der Führung erleichtern zu erkennen, warum die Investition ihre Unterstützung wert ist. Wie zeigen Sie, wie eine Ausgabe der Organisation zugute kommt? Indem es seinen ROI anzeigt. In einer Welt endlicher Ressourcen erweist sich der ROI als wertvoll.

Wir werden über einige Dinge sprechen, die Sie berücksichtigen sollten, bevor Sie mit ROI zur Führung übergehen, darunter:

  • Framing ROI, wenn Sie über Folgendes sprechen:
  1. Nutzung von Praktiken, die Sie bereits verwenden
  2. Wie man den Wert von Compliance darstellt
  3. Sparen Sie Geld, indem Sie zeitraubende Arbeiten automatisieren
  • Die Begriffe, in denen der ROI am aussagekräftigsten ist

Rahmen-Compliance-ROI

Um sich der Führung mit dem erwarteten ROI zu nähern, ist es hilfreich, die Art des Projekts zu berücksichtigen, das Sie vorschlagen. Möchten Sie von bereits vorhandenen Tools profitieren? Implementieren Sie neue Frameworks? Reduzieren Sie Ressourcen wie Zeit/Geld, die Ihr Unternehmen bereits ausgibt, oder erweitern Sie Ihr Geschäft? Welche Art von Vorteilen erwarten Sie und wie können Sie diese am besten gestalten?

Wie Sie die Idee der Nutzung von Praktiken präsentieren, die Sie bereits verwenden

In dieser Traumwelt, die ich erwähnt habe, hat meine Traumküche alle erdenklichen Geräte und einen Platz, um sie alle unterzubringen. Dieser schicke Tortenheber, der nur einmal im Jahr an Thanksgiving das Licht der Welt erblickt? Ich habs. Ja, es gibt eine Verbindung zwischen Kuchen und ROI. Wenn Sie dies hier lesen, stehen die Chancen gut, dass Sie bereits in eine datengesteuerte Compliance-Plattform investiert haben. Sie wissen also, welchen Unterschied es bei der Rationalisierung von Audits durch einfache Vorbereitung und Sammlung von Nachweisen macht. Wenn Sie in Tools investiert haben, warum nicht mehr aus ihnen herausholen? Niemand würde jemals denken: „Kaufen wir dieses Sicherheitstool und verwenden es dann nur einmal im Jahr.“ Ihre Compliance-Plattform ist nicht nur für besondere Anlässe gedacht, wie dieser Lonely Pie Server. Sie sollten diese Plattform die ganze Zeit nutzen, so viel die Kosten für Humankapital tragen, um die Signale zu erhalten, die sie Ihnen geben kann, und so schnell wie möglich etwas dagegen zu unternehmen.

Nehmen wir zum Beispiel an, Sie erkennen, dass das vierteljährliche Abrufen von Daten von einer solchen Plattform Ihnen zeitnahere Informationen über Risiken liefern würde. Und anstatt jährliche Risikobewertungen durchzuführen, könnten Sie diese vierteljährlich durchführen. Aber bevor Sie der Unternehmensleitung mitteilen, dass Sie zu vierteljährlichen Risikobewertungen übergehen möchten, sollten Sie die potenziellen zusätzlichen Kosten berücksichtigen und wie sehr das Unternehmen davon profitieren könnte. Wie würden sich häufigere Bewertungen auf Risiken auswirken, die Sie erkennen, wie z. B. Insider-Bedrohungen oder unbefugter Benutzerzugriff? Was könnten Ihnen diese Daten darüber sagen, was vor sich geht, von dem Sie vielleicht nichts wissen?

Und was wäre, wenn Sie nicht bei den vierteljährlichen Bewertungen aufhören würden? Was wäre, wenn Sie jeden Monat Daten abrufen würden? Oder noch öfter? Was wäre der Dollarwert für Ihre Organisation von:

  • Reduzierung der Zeit zwischen der Erkennung eines Risikos und dem Ergreifen von Maßnahmen
  • Reduzierung der Zeit zwischen dem Erkennen eines negativen Ereignisses und dessen Behebung
  • Auf der Grundlage von Beweisen wissen, wo Ihr Unternehmen für mehr Sicherheit mehr investieren sollte
  • Wissen, wo man weniger investieren muss – aufgrund von Beweisen, die zeigen, welche Kontrollen so gut funktionieren, wie sie müssen

Wenn Sie noch keine datengesteuerte Compliance hätten, wäre die Idee, Informationen häufiger manuell abzurufen, um eine bessere Vorstellung davon zu bekommen, wo in Kontrollen investiert werden sollte, störend. Wenn Sie jedoch eine ständig verfügbare Compliance-Plattform implementiert haben, die ständig Daten sammelt, ist es einfacher, sich an das Management zu wenden und zu sagen: „Wir ziehen einmal im Jahr Informationen von dieser Plattform, um unsere Audits zu vereinfachen und unsere Mitarbeiter ihre Arbeit erledigen zu lassen. Lassen Sie uns diese Informationen jeden Tag abrufen und mehr Wert daraus ziehen.“ (Und dieser Tortenheber. Warum steckt er immer noch hinten in der Schublade? Sie können ihn für Quiche und Brownies und zum Wenden von Burgern verwenden.)

Das wegnehmen: Überlegen Sie, ob Sie Ihre bereits vorhandenen Ressourcen – Tools, Mitarbeiter usw. – optimal nutzen. Verwenden Sie Ihre Compliance-Plattform nicht nur für Audits. Es soll es Compliance-Führungskräften wie Ihnen ermöglichen, mit der Führung darüber zu sprechen, ob Kontrollen wirksam sind und wo das Unternehmen investieren sollte. Diese Plattform kann Ihnen jederzeit Informationen liefern; Es liegt an Ihnen, zu entscheiden, was Sie brauchen und wie Sie davon profitieren können. Ihre Botschaft an die Führung: Wir haben diese Ressource bereits. So maximieren wir, was wir daraus machen.

Compliance-ROI: Wie man den Wert von Investitionen in Compliance darstellt

Manchmal möchten Sie, dass Führungskräfte in Compliance-Formen investieren, die für das Geschäft nicht unbedingt erforderlich sind – nicht gesetzlich vorgeschrieben –, aber anerkannte Geschäftstreiber sind. SOC 2 ermöglicht beispielsweise Business-to-Business-Transaktionen, indem es zeigt, dass Sie die Sicherheit von Kundendaten ernst nehmen und Maßnahmen ergriffen haben, um das Risiko von Datenschutzverletzungen zu verringern; SOC 2 bietet somit einen Wettbewerbsvorteil gegenüber Unternehmen, die SOC 2 nicht eingeführt haben. Die Frage ist also, wie der ROI der Einführung von SOC 2 gemessen werden kann. Überlegen Sie sich dazu, was hinter Ihrer Absicht steckt, die SOC 2-Abdeckung zu implementieren oder zu erweitern.

Angenommen, Ihre Organisation verfügt bereits über einen SOC 2-Bericht, der einen Geschäftsbereich abdeckt. Sie möchten, dass die Führung der Erweiterung des Umfangs Ihres SOC 2-Berichts zustimmt, um zwei Geschäftsbereiche abzudecken. Die Führung könnte besorgt sein, dass die Erweiterung des Umfangs von SOC 2 die Wahrscheinlichkeit erhöhen könnte, dass die Organisation das Audit nicht besteht. Sie werden wissen wollen, warum eine Erweiterung notwendig ist. Bevor Sie sich an die Führung wenden, seien Sie also vorbereitet, indem Sie den ROI bestimmen. Beweisen Sie, wie viel zusätzliches Transaktionsvolumen unter den SOC 2-Kriterien für Vertrauensdienste (TSC) liegen wird, wenn Sie den Geltungsbereich erweitern. Sehen Sie sich die zusätzlichen Kosten für die Erweiterung des Umfangs von SOC 2 an und wie viel es Ihren Kunden wert wäre, wenn die Sicherheit, die das TSC bietet, einen größeren Teil Ihres Unternehmens abdeckt. Sie werden der Führung also nicht nur eine nebulöse „gute Idee“ präsentieren; Sie haben bereits den Wert Ihrer Idee für die Organisation bestimmt.

Was ist, wenn Sie erwägen, eine Compliance-Vorschrift wie HIPAA zu übernehmen? Die traditionelle Sichtweise auf diese Art von Regulierung ist: Es ist ein Gesetz, an das wir uns halten müssen, oder wir bekommen eine hohe Geldstrafe oder werden von der Regierung geschlossen. Wenn Sie sich jedoch auf die Kosten konzentrieren, die Unternehmen entstehen könnten, wenn sie gegen ein Gesetz wie HIPAA verstoßen, werden die Gründe ignoriert, aus denen Sie Ihr Geschäft auf einen Bereich ausdehnen möchten, der die Einhaltung dieses Gesetzes erfordert. Ziehen Sie also die Gelegenheit in Betracht: Sollten Sie beispielsweise Ihre B2B-Kunden gestatten, geschützte Gesundheitsinformationen (PHI) auf den Systemen Ihres Unternehmens zu speichern? Das würde HIPAA-Compliance erfordern – wägen Sie also die zusätzlichen Kosten, einschließlich Compliance, gegen die erwarteten zusätzlichen Einnahmen ab.

Das wegnehmen: Zeigen Sie den Wert von Compliance. Wenn Sie Compliance erweitern möchten, wo es nicht gesetzlich vorgeschrieben ist, verwenden Sie Daten, um den ROI zu bestimmen – und dann beweisen, wie die Erweiterung der Compliance das Geschäft ankurbeln wird. Und wo Compliance zu den Kosten der Geschäftstätigkeit gehört, die Möglichkeit aufzeigen, die die Investition ermöglicht.

Geld sparen durch Automatisierung zeitaufwändiger Arbeit: Erleichterung der Prüfung des Benutzerzugriffs

Schnell, woran denken Sie, wenn ich „Überprüfungen des Benutzerzugriffs“ sage? Wenn Ihnen die Wörter „rote“, „mühsam“, „zeitraubend“ und ihre Synonyme in den Sinn kommen, sind Sie nicht allein. Wir werden in einem kommenden Blog mehr über UAR sprechen, aber wir möchten nur den Vorteil der Verwendung von datengesteuerter Compliance erwähnen, um den Prozess zu vereinfachen und zu beschleunigen und ihn gleichzeitig zu einer zuverlässigeren Kontrolle zu machen. Wenn Sie daran denken, wie viele Stunden Manager für UAR aufwenden (na ja, Manager und ihre Manager und ihre Manager usw.) und die stündlichen Kosten für all diese Zeit multipliziert mit all den Leuten, die sie aufwenden, sehen Sie eine Situation, die weint Aus für die Automatisierung. Einige Teile von UAR brauchen die menschliche Note, aber so viel davon kann automatisiert werden.

Denken Sie also darüber nach, welche Schritte von UAR automatisiert werden könnten. Vergessen Sie nicht die entscheidende Frage: Wie stellen wir sicher, dass wir es rechtzeitig tun? Jetzt haben Sie die Chance, sich an die Führung zu wenden und den Wert der Stunden herauszufinden, die mit manueller UAR verschwendet werden, sowie den Wert, nie zu vergessen, UAR rechtzeitig zu tun. Das ist ein ROI, der Investitionen in Automatisierung unterstützen kann.

Das wegnehmen: Wenn Ihre vorgeschlagene Investition im gesamten Unternehmen Zeit sparen oder Fristüberschreitungen vermeiden würde, Bestimmen Sie den Geldwert dieser Ersparnisse.

Die Begriffe, in denen der ROI am aussagekräftigsten ist

Wir haben viel darüber gesprochen, den Führungskräften den Wert einer Investition in Compliance aufzuzeigen. Aber warum ist es nicht genauso gut, den Wert des vermiedenen Risikos aufzuzeigen? Ist „Geld gespart“ nicht nur die Kehrseite von „Geld verdient“? Nicht genau. Die Art von Menschen, die Unternehmen leiten, sind oft eher risikobereite als risikoscheue Personen. Ein solcher Ansatz ist notwendig, um als Unternehmer den Sprung zu wagen, aber es ist nicht förderlich, Entscheidungen zu treffen, die auf der Vermeidung von Risiken basieren. Zu zeigen, wie Compliance Geld spart, das sonst für Bußgelder und Strafen ausgegeben würde, ist wenig inspirierend. Die Führung möchte etwas über die Vorteile einer Investition erfahren: den Geldwert, den sie bringen wird. Sie können über Risiko sprechen, aber es ist effektiver, über Werte zu sprechen.

ROI: Sprechen Sie mit Führungskräften in einer Sprache, die sie verstehen

Um Führungsunterstützung zu erhalten, geben Sie die Gründe für Ihre Investition in Dollar (oder einer anderen relevanten Währung) an. Der so ausgedrückte Wert für die Organisation wird mehr bedeuten, als wenn Sie die Investition nur in Bezug auf vermiedene Risiken ausdrücken. Verwenden Sie Daten, um das Risiko, die Kosten und den Nutzen zu quantifizieren. Und obwohl es immer Spaß macht, neue Sachen zu bekommen, unterschätzen Sie nicht, was Sie bereits haben, wie diesen Tortenheber, der für eine tägliche Drehung herausgenommen werden kann. Führungskräfte werden den Reiz zu schätzen wissen, mehr Wert aus einem Tool zu ziehen, für das sie bereits bezahlt haben. Ressourcen sind endlich, aber Ihre Kreativität ist es nicht.

Leave a Reply

Your email address will not be published. Required fields are marked *