2022 明确的风险与合规性 基准报告 NAVEX是公认的风险和合规管理软件和服务的领导者,使全球成千上万的客户能够充满信心地管理和减轻风险。NAVEX的使命是帮助客户促进道德 ,包容性的工作场所文化,保护其品牌并通过可持续的商业实践保护环境 。 有关更多信息,请访问NAVEX.com和我们的博客。在Twitter和 LinkedIn上关注我们。 Contents 我们的调查参与者的快照7 1. 2.领导改进的机会对合规的承诺18 3.程序仍然有机会更好地利用数据21 编制人: CarriePenman 首席风险和合规官NAVEX 4. 5.风险与合规责任 在多个功能中驻留28 6.31 综合风险管理与方法致第三方44 7.结论与后续步骤52 8.附录:其他发现和图表53 关于作者59 Introduction 自2012年以来,NAVEX一直在收集并向风险与合规(R &C)行业提供领先的市场基准报告。2019年, 我们发布了我们有史以来的第一份“公司合规基准报告”,这是一份对R&C计划的全面审查,提供了关键的发现、分析和见解,以帮助组织衡量、评估和推进他们的计划。 今年,NAVEX与独立研究公司TheHarrisPoll合作,对来自各行各业的R&C专业人士进行了R&C计划的设计,优先级和绩效调查。调查结果代表了全球1000多名影响或管理其组织风险和合规计划的受访者。此外,本报告还包括积极管理或影响者的详细回应。 他们计划的事件管理,政策和程序管理,道德和合规培训 ,第三方风险管理,综合风险管理和/或环境,社会和治理(ESG)功能。新的2022报告中涉及的见解和分析包括 : •R&C决策者的首要任务是什么? •哪些要素构成了一个有效的R&C计划?它们是如何管理的? •程序如何评估其性能? •技术如何影响计划的有效性和设计? •高级管理层对R&C项目的看法如何影响项目成果 ? •R&C项目如何整合风险管理功能? •监管环境在计划绩效中扮演什么角色? •一个成功的计划如何在显著提高效率、准确性和一致性的同时降低监管风险? 如何使用此报告 本报告中的数据和见解有助于首席合规官和其他R&C专业人员做出明智的计划决策。该报告还概述了改进所有成熟度级别和组织规模的R&C计划的实用方法。 •根据同行、行业标准和最佳实践对贵组织的计划进行基准测试。 •评估您的计划成熟度。 •确定提高性能的具体步骤。 •审查和比较计划的优先级和有效性措施。 •确定您的组织风险处理方法是否符合市场趋势和最佳实践。 •通过您的事件管理方法、政策和程序管理、道德和合规培训、第三方风险管理以及环境、社会和治理实践,审查您的组织如何受到保护或面临风险。 •利用报告和建议来获得组织支持、预算和了解全面的风险和合规计划的ROI。 调查方法 这项研究主要是在网上进行的。 由哈里斯民意调查代表NAVEX在美国的1,105名年龄在18岁或以上的现有和潜在客户(包括774美国,来自至少18个其他国家的331名)中,这些客户对风险和合规性有了解,并且是非学术专业人员(管理/非管理或更高) 。 调查于2022年3月30日至5月9日进行。 原始数据未加权,因此仅代表完成调查的个人。此外,请注意,没有抽样误差,因为所有当前和未来的NAVEX客户都有机会对调查做出回应。 假设少于1%的样本没有回应偏差,只有随机误差,Harris在线民意调查的精度是通过使用贝叶斯可信区间来衡量的。对于这项研究,使用95%的置信水平,样本数据的准确性在±2.9个百分点内。在所调查的感兴趣人群的子集中,此可信间隔将更宽。 所有抽样调查和民意测验,无论是否使用概率抽样,都受到其他多种误差来源的影响,这些误差来源通常无法量化或估计,包括但不限于,覆盖错误,与无响应相关的错误,与问题措辞和响应选项相关的错误,以及任何调查后的加权和调整(在这种情况下不适用)。 所有图表都显示四舍五入到最接近的整数百分比的数据。某些百分比的值太小,无法在图表中显示。有关更详细的数据,请参阅附录。 关键定义 政策管理包括在整个策略生命周期中控制组织的策略和程序:起 草,编辑,批准,更新,分发,存储和记录证明。策略管理软件(或策略管理系统)是指能够实现更有效管理和执行的技术这些做法。 道德与合规(E&C)培训 includeregulatorycompliance,conduct,employmentlawandinformationsecuritytrainingfromabehaviorperspective. Thisdefinitionincludesallformsoftrainingonethicsandcompliancetopics:online,in-person,virtual 和混合培训方法。教育和意识方法也在此培训范围内 。 事故管理通常包括电话,网络,移动和其他举报人渠道,员工 和其他利益相关者可以在其中进行报告。事件管理系统记录并鼓励对收到的问题,报告和事件的答复,并提供执行报告工具和跟踪和 管理决议。 第三方风险管理是一个总括的术语,指与第三方相关的所有风险 管理活动:入职,筛选,监控和深入的风险分析;以及识别,分层,确定优先级和减轻第三方风险的相关流程。第三方尽职调查是指在参与之前,期间和之后对第三方进行的研究评估。 内部业务理由、外部初步风险评估、建立业务规则和 授权、处理文档和策略、数据库分析和声誉报告都是第三方尽职调查。它还包括主动监控第三方业务,以了解新的“危险信号”和对第三方的实时更改 风险概况。 综合风险管理是一个过程 通过将风险情报集成到整个企业的活动中,如战略规划和战略执行、投资决策、项目组合管理、企业绩效管理、第三方绩效管理和信息治理,从而改善决策并提高业务价值。 环境、社会和政府 (ESG)是非财务绩效指标的子集,其中包括可持续,道德和公司治理问题,例如管理公司的碳足迹并确保建立确保问责制的系统。 计划成熟度是衡量公司现有风险和合规计划的规模和复杂程度 的指标。出于2022年研究的目的,成熟度指定是根据道德与合规倡议(ECI)的高质量道德与合规计划(HQP)评估的标准进行自我报告的。1我们 利用程序成熟度作为当前熟练程度和绩效的指标。 1https://www.ethics.org/wp-content/uploads/2018/09/ECI-Framework-Final.pdf 快照 我们的调查参与者 作业功能作业级别 道德/风险与合规34% 法律11% 33% 35% 人力资源/员工关系7% 16% 16% C级 会计/审计6% 其他35% 信息技术6% 非管 其他管 主管/高 级管理理理 13% 69% 2% 5% 1% 5% 1% 2% 2%Other 地理足迹(按总部) 79% 道德与合规性 71% 风险管理 39% 环境、社会与治理 知识关于 以公司为代表的快照 公司规模(员工人数)年收入(美元) 15%超过20,000 超过$1B 28% 9% 10% 23% 10,000–20,000 5,000–9,999 1,000–4,999 $50M-$999M27% $50M以下25% 非fit/政府10% 未知9% 44% 1,000以下 金融与保险 Manufacturing 程序成熟度 35% 专业、科学和技术服务 教育服务 12% 9% 7% 15% Other 17% 40% 卫生保健和社会援助 21% 所有其他行业 17%17% 10% Indust 执行摘要 在过去的几年中,风险与合规(R&C)领导者的应变能力非常出色。在COVID-19带来的大规模和突然的工作场所转变中,我们的职业适应了,并且在大多数情况下,通过专注于最重要的核心领域来保持我们计划的有效性 管理风险。2022年版的《最终风险与合规基准报告》提供了这种韧性和奉献精神的证据,即使世界经历了第二年的大流行中断。 今年的报告基于来自全球1,100多名合规专业人员的调查回复 。与过去几年一样,它是整个R&C计划的晴雨表,并提供了组织可以用来提高未来绩效的实践数据。 在关键发现中,有证据表明,人们对组织如何构建其员工队伍和工作地点充满信心。95%的受访者表示,他们的组织有计划解决新冠肺炎后的工作,无论是面对面、混合还是完全远程的工作。这场大流行的不确定性可能还没有完全消失,但有证据表明,大多数组织都知道他们将如何前进。 很明显,许多合规领导者将面临相对新颖的劳动力动态,这可能会带来新的文化和合规挑战。考虑因素包括:高绩效的远程员工会不会将自己视为职业晋升的对象 面对面时间?R&C专业人员必须在确保这些新的工作模式仍然能够实现道德,信任和公平的文化方面发挥重要作用,无论员工位于何处。 ThestructureofR&Cprogramsacrosstheboardcontinuedtotakemanyforms.Non-compliancedutiesarestillhomearcommonforcompliancepersonnel.Andfor1of5organizations,thefunctionitselfisspliedacrossmultipledepartments.Asforexecutiveleadingvisibility风险和合规计划,只有四分之一的组织有独立的合规职能向董事会和/或首席执行官报告。 今年,NAVEX利用了美国司法部关于评估公司合规计划的指南2和高质量的道德 道德与合规倡议(ECI)的合规计划(HQP)评估,以构建调查框架并描述计划在成熟度范围内的位置。使用ECI-HQP指南,受访者自我报告了他们的计划成熟度水平;从“不发达”到最成熟的“优化”。令人鼓舞的是,近五分之一的计划认为自己在 成熟度的前两层,表明许多组织拥有和/或专注于ECI 鼓励的HQP要素。 尽管如此,十分之一的受访者自我报告说他们的组织属于“不发达”类别。但即使这也可以解释为一个积极的发现-围绕改善机会的自我意识水平意味着本报告中的信息将提供充足的想法和可能的工具来帮助“不发达”计划成熟。 2https://www.justice.gov/criminal-fraud/page/file/937501/download 值得注意的是,ECI成熟度模型并不表示完成点或最终目标线。相反,它将成熟度的每个阶段描述为改进和完善的旅程 。即使是高度成熟的计划也必须随着市场条件、风险状况、法规、组织成长和其他因素的发挥作用而受到监控和完善。 今年的风险和合规基准报告调查的结果强调了几个关键领域 ,这些领域既给从业者带来了挑战,也有机会显着增加其计划的积极影响,特别是: 领导力致力于合规,但在面临竞争优先事项或业务目标时面临挑战。 大约一半的受访者(48%)表示,即使面对竞争的利益和/ 或业务目标,他们的高层领导和中层管理人员仍坚持遵守规定 。当然,这可能意味着另一半担心情况并非如此。尽管绝大多数受访者表示,领导者鼓励组织内部的合规,但有一种感觉,这些领导者未能始终如一地模仿道德和合规行为,这削弱了员工自己接受这些价值观的程度。 进行了风险评估,但结果并不总是得到最佳利用。 风险评估是所有研发计划的基本要素和基本实践,但超过四分之一的受访者(26%)没有报告其组织的风险评估是最新的或需要定期审查。只有这一点令人担忧。此外,不到一半 (47%)的人表示,他们的评估是通过连续访问整个组织的运营数据而获得的。类似比例的人表示,他们的风险评估导致了针对风险的资源分配,将更多的时间和审查投入到业务的高风险领域。虽然这对大约50%有效使用风险评估的组织来说是个好兆头,但对另一半组织来说是个问题。最重要的是,虽然许多组织在风险评估方面做得很好,但很大一部分可能正在经历这些运动,但取得了不太理想的结果。 重点关注举