图片由天使戈麦斯写到 卡尼,马德里 欧元的威胁: 有效实现汽车合规管理转型 在法规更加严格和复杂的时代,汽车厂商需要360度全方位的合规管理视角。 多年来,几乎每个行业的公司都在投入大量资金来建立管理合规性的系统和结构,通常是在董事会监督下。 然而,一个突出的例子表明,保障措施可能有一个固有且代价高昂的弱点:汽车排放欺诈案。 当当局通知汽车公司他们违反了“清洁空气法”时,公众了解到该公司的工程师非法使用软件来确保车辆能够通过排放测试。除了对公司股价产生重大影响外,这些公司还面临数十亿美元的罚款 ,许多员工被起诉。尽管每家公司都有合规组织和流程,但他们艰难地了解到,他们的产品合规设置并不有效。 合规管理不善会导致严重的公司和个人责任,并承担相当大的声誉风险。 然而,环境合规问题可能只是行业高管称之为合规海啸的第一波 。例如,电动汽车和插电式混合动力车已经在审查非代表性的测试周期和二氧化碳计算方法。此外,在数据、隐私、安全和安全法规方面,连接性和自动驾驶带来了一系列全新的合规挑战。受到汽车排放欺诈等事件的冲击,监管机构正在加大力度 以及开发调查软件相关产品合规性的新方法。 合规管理不善会导致严重的公司和个人责任,并承担相当大的声誉风险。但不仅仅是当局在加强审查。 股东、广大公众和客户也在向汽车企业施加压力,以确保产品和服务合规,从而影响公司的收入来源。这就是为什么建立有效的合规管理系统对于应对数十亿欧元的威胁至关重要。 十亿欧元的威胁:如何有效转变汽车合规性管理1 最高管理层对创造完全透明和面向未来的环境非常感兴趣 产品合规。 现在,产品合规性比以往任何时候都更加重要 合规是一个综合性的主题,从商业合规(如反垄断、腐败或洗钱)到ESG合规(如人权)到产品合规(见第3页的图1)。在柴油门排放丑闻之后,产品合规性已成为过去几年的主要关注点。由于高管可以对违规行为负责,因此最高管理层对为产品合规性创造完全透明和面向未来的环境非常感兴趣。 全面覆盖通常包括五个类别(见第4页的图2): —产品安全。主动安全、被动安全、车载诊断和危险防护 —产品合格。广告功能与实际功能的一致性、信息的一致性和产品文档 —产品环保合规。排放、消耗、车载诊断、材料和循环经济 —产品网络安全和数据隐私。网络安全(软件、硬件和云)和数据隐私 —知识产权。版权、软件(包括开源)、商标(包括域名 )、专利(包括外观设计和实用新型)和专有技术 在本文中,我们介绍了有效转变汽车合规管理的综合框架。我们的重点是预防性产品合规性,这是一个总体目标 创建结构以防止事件发生并有效管理现有事件。领先的公司通过在这两个领域都表现出色来实现360°覆盖。 十亿欧元的威胁:如何有效转变汽车合规性管理2 图1 全面管理产品合规性对于确保有效性至关重要 科尔尼的产品合规风险管理框架 合规管理系统 反垄断 贿赂、腐败 、欺诈 洗钱 对外贸易 个pcm 环境 数据隐私 和网络安全 业务合作伙 伴的风险 第三道防线(监控和审计) 嵌入 (第二道防线)质量管理体系 —质量流程 —成熟度级别指导(如质量检验关) —质量审计管理 —质量组织 第二道防线(管理) 的第一道防线 (操作执行) 嵌入 (第三道防线)内部审计 —事件调查 —风险管理 价值观和文化 这风景 —内部审计组织 目标 组织和管理 培训 风险管理 流程 监测和改进 嵌入(第一道防线) 市场营销和销售 物流 生产过程 供应商管理流程 管理的变革 产品开发过程 价值链 注:PCMS为产品合规管理体系;ESG涉及环境、社会和治理;质量管理体系是质量管理体系。来源:科尔尼分析 十亿欧元的威胁:如何有效转变汽车合规性管理3 你的产品是否合规对未来设置? 假设您是一家全球汽车公司的高管。您是否愿意亲自保证您的公司已经开发出100%符合所有法规、法律和规范的产品?最有可能的是,只有当您知道产品合规性设置完美无缺时,您才会这样做。但是,是什么使合规系统有效、高效且面向未来呢?您如何保护数千名工程师和开发人员的工作,以确保他们满足所有法规要求? 最有可能的是,您会首先问自己以下问题: —谁负责确保产品合规性? —我们如何将抽象的监管要求转化为具体的技术要求? —我们如何在产品和流程的复杂数字环境中确保产品合规性? —我们如何确保我们的产品合规措施有效,而不是只存在于纸面上? —我们如何在不削弱和延迟日常运营的情况下确保产品合规性? 我们敢打赌,只有在您回答了所有这些问题后,您才会签署合规保证。科尔尼实现预防性产品合规性的框架为应对上述挑战提供了一种有效的方法。目标是将产品合规性嵌入到公司的文化、流程和IT环境以及组织和治理结构中(请参阅第5页的图3)。 图2 产品合规性的全面覆盖通常包括五个类别 产品安全 客观的 确保没有有缺陷或不安全的产品投放市场 ——主动安全 —被动安全 —车载诊断 ——危险的保护 产品合格 确保达成一致 规范和产品的承诺 ——广告和实际功能一致 —产品信息和文档一致性 产品环保合规 确保符合环境保护要求 ——排放 —消费 —车载诊断 ——材料 —循环经济 产品网络安全和隐私 确保数据的完整性、机密性和可用性 ——网络安全软件 —硬件网络安全 ------云 网络安全 方面 —数据隐私 知识产权 确保合法使用并防止侵犯知识产权的风险 ——版权 —软件(包括开源) 商标(包括域名的权利) —(包括设计和实用新型专利) —技术 沿着这些维度监管要求和特定的OEM需求。 是原始设备制造商。来源:科尔尼分析 注意:OEM 十亿欧元的威胁:如何有效转变汽车合规性管理 4 图3 产品合规性需要嵌入到整个组织中 吸附元素 个pcm都维 一个 B C 1价值观和文化 吸附原理和格言 改变计划 沟通 2目标 个pcm都整理 潜热计算目标状态 集成在单个目标 3培训 培训的概念 一般产品合规培训 专业培训 4流程 个pcm都核心过程 功能和产品开发流程的PCMS要求 在功能和产品开发过程中有效锚定PCMS的过程 5这风景 中央管理数据库 端到端的数字工作流程和工具链 自动化 6组织和管理 个pcm都管理(第二道防线) 个pcm都监控国防(第三行) 个pcm都用户(第一道防线) 7风险管理 风险识别、分析和评价 风险处理 连续风险转向 8监测和改进 成熟和有效性测量(kpi) 体系和过程审核 持续改进措施 风险id 操作 注:PCMS为产品合规管理体系;KPI是关键绩效指标。来源:科尔尼分析 十亿欧元的威胁:如何有效转变汽车合规性管理5 文化、目标和培训 合规转型的核心是调整公司的文化和思维方式,通过传达产品合规性的重要性来提高每位员工的意识。这种沟通应该来自最高管理层并由最高管理层强调。在开发过程中,产品合规性应该是每个工程师的首要考虑因素,就像产品安全和质量一样。 此外,产品合规性需要集成到您的目标系统中,包括对管理层、工程师和其他相关员工的正确激励。当项目遇到相互冲突的目标时,例如在确保合规性或按时完成之间进行选择,后者通常是激励性的,员工可能会试图在合规性方面走捷径。他们一定不能害怕提出与合规相关的问题。相反,应该鼓励并使他们能够这样做 。 为了使产品合规性成为强制性的,每个员工都应该有权访问一本手册,其中编纂了定义、范围和工具。 的产品合规管理体系。还需要面对面的培训来传播有关产品合规性的知识。Kearney提供一套现成的培训课程,可根据贵公司的需求进行调整,例如软件开发过程中的产品合规性培训。 过程中锚定 产品合规性的要素必须扎根于整个价值链的每个相关流程中——从构思和产品开发到将产品推向市场及其他领域(见图4)。合规问题可能出现在产品生命周期的任何阶段,应尽早消除。必须关注产品开发过程以及功能过程,例如营销和销售,认证和认证以及供应商管理。 图4 产品合规性必须扎根于整个价值链的每个相关流程 监管监测和解释 建立和维护整个价值链的监管体系。 产品开发过程 开发新产品兼容 。 管理的变革 现有产品做兼容的改变。 供应商管理流程 管理供应商的合规风险。 生产过程 确保符合制造、自身的或 通过第三方制造商 。 物流 确保遵从性以及存储和 运输的货物。 市场营销和销售 与客户沟通。审查、记录并响应客户的法规要求。 来源:卡尼分析 十亿欧元的威胁:如何有效转变汽车合规性管理6 供应商是价值链的重要组成部分,保持供应商的完全透明度是产品合规性的必要方面。供应商提供的原材料或组件违反法规要求 ,会使您的组织面临潜在事故的风险。此外,当局和客户越来越要求供应链的透明度。因此,具体措施是强制性的,例如将产品合规性方面整合到供应商培训、文档和合同中,以及通过供应商审核和筛选纳入供应商选择过程。 只有确定、管理、监控所有适用的法规要求并将其应用于您的产品,才能确保价值链上的产品合规性。在开发过程开始时,产品的合规性 需要系统地推导需求,并且必须定义验证的测试标准。科尔尼法规监控流程提供了一种全面的方法来识别和监控监管环境,并将抽象的法规转化为工程师可以理解和使用的特定产品要求。 自动化软件检查和同行评审是在早期开发阶段支持产品合规性的有效方法。然后,里程碑审查和最终版本检查可以保证后期阶段的合规性。所有这些都应基于一个中央数据库,存储所有与合规性相关的信息,例如开发和市场上所有产品的软件和数据集版本 。有效的监管监控流程包括端到端的数字工作流程,为相关法规的负责人提供便利,并促进对监管环境的持续监控。 风险管理 风险管理通常与管理破产、估值和信用评级等领域的公司风险以及开发和推出新产品有关。然而,许多公司未能管理与产品合规性相关的风险。科尔尼的产品合规风险管理框架以风险管理的五个核心组成部分为基础,有效、持续地管理风险及其根本原因(见第8页图5)。 第一步是确定风险范围和标准,通过筛选和分析可能产生风险的驱动因素来定义风险的类型及其来源,从而为风险管理奠定坚实的基础。 风险类型包括操作风险和系统性风险。操作风险是指产品生命周期中的操作,而系统性风险涉及产品合规性管理系统的运作。来源可以是外部的,例如新法规、不断发展的技术和新市场,也可以是内部的,例如历史模式、员工不当行为以及进入新业务领域的进展。 在风险识别的下一步中,根据假设和 根本原因分析。在一系列“可能出错”的问题之后,为确定的风险类型开发了一组风险假设,可以在整个产品生命周期中进行测试。第三步——风险分析和评估——的目的是理解风险的性质和风险特征,并做出相应的决定。根据影响的严重程度和发生概率分析经过验证的风险,并由一组预定义的标准提供便利。此外,需要分析风险之间的相关性和相互依赖性,以更好地了解潜在的整体影响。然后评估分析的风险,以便就如何进行做出适当的决定。应考虑不同的风险处理方案,并需要调整适当的风险处理措施。接下来,需要定义和实施详细的风险处理计划,以消除或降低风险到可接受的水平。最后,在整个风险管理过程中,风险导向确保持续记录、监控、管理、更新和报告每个已识别和分析的风险 。 十亿欧元的威胁:如何有效转变汽车合规性管理7 图5 科尔尼的产品合规框架侧重于风险管理的五个组成部分 —风险治疗应消除或降低风险到可接受的水平。 —选择治疗方案的风险 。 —计划和实施治疗的风险 。 —如果风险没有消除或降低到适当的水平,请采取进一步措施。 风险处理 风险分析 —了解风险特征和风险水平。 —根据风险发生的概率和影响的严重程度分析风险。 —对概率和严重程度组合的评估导致风险等级,例如高、中或低。 风险评估 —根据风险分析,决定如何进行(例如,考虑风险治疗选项、维护现有控制或升级)。 —在适当的组织级别记录、沟通和验证结果。 风险分析和评价 连续风险转向 —合规风险识别产品发展 已确定风险类型的一组风险假设。 —使用风险假设来验证产品合规性相关流程中的风险,并考虑 新的潜在风险。 —通过筛选和分析