Guía de implementación y plantilla de KPI para la gestión de cumplimiento

El cumplimiento efectivo va más allá de educar a los empleados sobre nuevas regulaciones y rastrear el número de incidentes de incumplimiento. En esta guía de implementación, nos enfocamos en una visión holística del cumplimiento que involucra a las partes interesadas clave y sugiere una cuantificación específica de los esfuerzos y resultados del cumplimiento a través de 7 pasos.

7 pasos de la gestión holística del cumplimiento

Definición de interesados

Comencemos con la definición de interesados genéricos involucrados en el cumplimiento:

  • Junta Directiva. Representando los intereses de las organizaciones.
  • Oficina de Cumplimiento. Un departamento especializado que asegura el cumplimiento de la organización de acuerdo con las leyes, regulaciones, políticas internas aplicables, etc.
  • Sistemas Internos de Negocio. TI y otros sistemas de negocio que apoyan los esfuerzos de cumplimiento.
  • Empleados que pueden impactar o ser impactados por las políticas de cumplimiento.
  • Terceros. Socios y similares interesados externos.
  • Auditor Externo. Un experto en la regulación en cuestión.
  • Regulador. Autoridad que establece la regulación.

En BSC Designer, navegue a Configuración > Estrategia > Interesados para agregar interesados relevantes a la lista. Más tarde, esos interesados pueden alinearse con objetivos y métricas específicos a través del campo Responsable.

Gestión del Cumplimiento: Un lienzo de Objetivos, Indicadores Clave de Desempeño e Iniciativa

Plantilla de cumplimiento y KPIs

Los usuarios de BSC Designer tienen acceso a la plantilla de cuadro de mando de cumplimiento con KPIs discutidos en el artículo:

A compliance template with KPIs in BSC Designer

The steps of implementation guide on the compliance template. Fuente: Ver Compliance Template en línea en BSC Designer Compliance Template.

  • Esta plantilla se puede personalizar para cumplir con los requisitos de la regulación específica.
  • Los cuadros de mando creados para varias regulaciones pueden luego combinarse en un cuadro de mando de cumplimiento integral que presenta un índice de cumplimiento general.

1. Adapte las estrategias proactivamente

Las autoridades regulatorias comienzan a formular nuevas regulaciones en respuesta a una variedad de factores, incluidos los sociales, tecnológicos, políticos, etc. Las organizaciones pueden preparar estrategias proactivamente para las posibles regulaciones realizando un análisis de factores externos, similar al realizado por las autoridades regulatorias.

Utilice la plantilla de análisis PESTEL disponible en BSC Designer para:

  • Formular fuerzas impulsoras potenciales y
  • Definir indicadores de señales tempranas.

Para cuantificar esta preparación proactiva podemos utilizar el indicador:

KPI Número de fuerzas impulsoras identificadas con el análisis PESTEL regular.

En la plantilla, esta métrica está configurada para actualizaciones anuales:

El indicador del análisis PESTEL está configurado para actualizaciones anuales.

El indicador del análisis PESTEL está configurado para actualizaciones anuales. Fuente: Ver Compliance Template en línea en BSC Designer Compliance Template.

Por ejemplo, las tecnologías emergentes, específicamente los avances en IA, son identificadas como una de las fuerzas impulsoras en el análisis PESTEL.

2. Identificar nuevas regulaciones aplicables temprano

El papel de la oficina de cumplimiento es identificar nuevas regulaciones aplicables temprano y comenzar la preparación dentro de la organización. Normalmente, los reguladores brindan tiempo suficiente para el análisis y la preparación al publicar inicialmente un borrador de la regulación, y hay un período de transición una vez que la regulación se publica oficialmente.

Para cuantificar la eficiencia de la oficina de cumplimiento, usamos:

KPI Cobertura de regulaciones, %. Seguimiento del porcentaje de regulaciones aplicables detectadas por la oficina de cumplimiento en una etapa temprana.

En el modelo, la métrica de cobertura de regulaciones tiene un mayor peso en el índice, en comparación con otras métricas.

KPI Tiempo de revisión de regulaciones. Tiempo promedio que transcurre desde la publicación inicial de la regulación hasta el desarrollo del plan de preparación.

KPI Tiempo de elaboración de políticas. Tiempo promedio que se tarda en desarrollar políticas internas orientadoras y materiales educativos relevantes.

Indicador de tiempo de elaboración de políticas con función de optimización establecida en 'Minimización'.

'Indicador de tiempo de elaboración de políticas' con función de optimización establecida en 'Minimización'. Fuente: Ver Compliance Template en línea en BSC Designer Compliance Template.

Las estimaciones para las métricas de tiempo podrían usarse como criterio para determinar si el trabajo en regulaciones específicas debe realizarse internamente o subcontratarse a una firma consultora externa.

Por ejemplo, muchos organismos reguladores publican y actualizan políticas relacionadas con la IA. Usando las métricas mencionadas, podemos asegurar que estas políticas sean examinadas adecuadamente dentro del contexto de una organización específica y traducidas en procedimientos orientadores.

3. Capacite a los empleados para seguir la nueva regulación

Una vez que las políticas correspondientes están formuladas, la organización necesita capacitar a sus empleados para que sigan las nuevas regulaciones. Para seguir el proceso, usamos una métrica básica:

KPI Finalización de la capacitación regulatoria. Podría incluir la concienciación básica sobre la nueva regulación o la modelización detallada de escenarios de cumplimiento y no cumplimiento.

Para regulaciones más complejas, considere emplear un cuadro de mando de capacitación dedicado para seguir el proceso.

4. Validar el cumplimiento de terceros

La mayoría de las regulaciones requieren mirar a lo largo de la cadena de valor y validar el cumplimiento de terceros. La organización podría no estar interesada en examinar los detalles; en su lugar, puede centrarse en rastrear la puntuación general de cumplimiento de los socios y el porcentaje de socios evaluados para el cumplimiento.

KPI % de socios evaluados para el cumplimiento.

KPI Puntuación general de cumplimiento de socios (vea por ejemplo, cuadro de mando de gestión de riesgos de proveedores).

Icono de riesgo en BSC Designer La identificación y mitigación de riesgos es crítica para el éxito a largo plazo del cumplimiento. En este caso, se identificó un riesgo como «Cambios en la regulación» con un plan de mitigación:

  • «Mitigar el impacto de los cambios regulatorios en terceros que ya han pasado la verificación de cumplimiento a través de revisiones y revisiones regulares de la puntuación de cumplimiento.»

El riesgo identificado para uno de los pasos en la plantilla de cumplimiento.

El riesgo identificado para uno de los pasos en la plantilla de cumplimiento. Fuente: Ver Plantilla de Cumplimiento en línea en BSC Designer Plantilla de Cumplimiento.

5. Simule incidentes de incumplimiento

Para validar el éxito de la capacitación en cumplimiento, la organización puede simular incidentes de incumplimiento y evaluar las reacciones apropiadas de los empleados responsables. Los resultados de dicha validación se pueden cuantificar como:

KPI Efectividad de la capacitación regulatoria, validada por simulaciones de incumplimiento.

Cuantificación del impacto del incumplimiento

El impacto del incumplimiento puede validarse usando:

KPI Métrica de daño reputacional – puede cuantificarse por la duración de la cobertura mediática negativa.

KPI Pérdida directa de beneficios.

KPI Multas y sanciones regulatorias.

Su dinámica a lo largo del tiempo indicará la efectividad de los esfuerzos de cumplimiento introducidos. Aunque todas estas métricas son indicadores de resultado por su naturaleza, la oficina de cumplimiento puede usar los riesgos asociados con estas métricas para priorizar ciertas actividades y justificar los presupuestos de cumplimiento.

6. Auditar sistemas por auditor externo

En casos que involucran regulaciones críticas, donde el potencial incumplimiento podría llevar a consecuencias económicas y reputacionales significativas, el consejo de administración contrata auditores independientes.

Las métricas en las que enfocarse en el contexto de un auditor externo:

KPI Cobertura de auditoría, %. Nos interesa una auditoría integral de todas las funciones relevantes de la organización para asegurarnos de que los riesgos de cumplimiento posibles sean detectados en una etapa temprana.

KPI Número de hallazgos de auditoría. Además de su aplicación directa, esta métrica puede usarse para validar la efectividad de la oficina de cumplimiento en el análisis e implementación de los requisitos de la regulación.

Para acciones repetitivas como auditorías externas, es aconsejable seguir métricas a lo largo del tiempo. Los usuarios de BSC Designer pueden establecer intervalos de actualización para las métricas para asegurar la consistencia de los datos.

Otra matiz respecto a este tipo de métrica es la dificultad para establecer un objetivo. Por ejemplo, un pequeño número de hallazgos de auditoría podría ser visto como una atención insuficiente por parte del auditor, mientras que un alto nivel de hallazgos puede indicar que la oficina de cumplimiento no realizó una auditoría interna efectiva. Para capturar esta idea, se modificó la función de rendimiento del indicador.

Una escala de rendimiento no lineal con una zona verde posicionada en el medio del rango de medición.

Una escala de rendimiento no lineal con una zona verde posicionada en el medio del rango de medición. Fuente: Ver Plantilla de Cumplimiento en línea en BSC Designer Plantilla de Cumplimiento.

Además, todos los hallazgos pueden ser clasificados según su impacto, dando el mayor peso a los hallazgos más críticos. Esto ayudará a evitar el mal uso de la métrica al enfocarse en un gran número de hallazgos de bajo valor. Un ejemplo de tal categorización es el índice de riesgo ponderado en el cuadro de mando de ciberseguridad.

Alguna indicación de la efectividad de implementar los hallazgos del auditor puede cuantificarse mediante:

KPI Tasa de cierre de hallazgos de auditoría. Aunque el objetivo obvio para esta métrica es el 100%, puede haber restricciones de tiempo y recursos que impidan implementar todas las recomendaciones del auditor de inmediato.

KPI Tiempo de respuesta a hallazgos de auditoría. Otra perspectiva sobre la corrección de vulnerabilidades de incumplimiento detectadas por la auditoría, estamos considerando el tiempo necesario para cerrar el problema desde su detección.

Los usuarios de BSC Designer pueden actualizar los indicadores con los datos más recientes e incluir una nota sobre la actualización más reciente. Por ejemplo, pueden proporcionar detalles adicionales que expliquen por qué, en una etapa determinada, puede no ser posible cerrar algunos de los hallazgos de auditoría.

Tanto la tasa de cierre como el tiempo de respuesta son métricas de actuación para la mejora de los sistemas de cumplimiento, enfocándose en hacer que todo el proceso sea más ágil y menos complejo para los interesados finales.

Leading vs. Lagging Indicators in BSC Designer

Gestionar incidentes de incumplimiento

Las preparaciones adecuadas por parte de la oficina de cumplimiento interno y las auditorías externas no aseguran a la organización contra posibles incumplimientos de cumplimiento.

Métricas para seguir en este contexto:

KPI Tiempo de respuesta ante incidentes. Para asegurar que los incumplimientos se resuelvan rápidamente para minimizar el impacto en la organización.

KPI Reaparición de incidentes. Prevenir la reaparición de incidentes del mismo tipo es un indicador de cuán bien una organización está aprendiendo de los errores.

La unidad de medida para la métrica del tiempo de respuesta podría ser horas o días, dependiendo de la naturaleza del incidente.

Siguiendo la lógica de que la reaparición de incidentes es un indicador de la efectividad de la oficina de cumplimiento, el indicador «Reaparición de incidentes» se alineó con el objetivo ‘Capacitar a los empleados para seguir las nuevas regulaciones’ mediante datos como un indicador de resultado.

7. Alinear cuadros de mando de cumplimiento

Las métricas discutidas serán específicas para una determinada regulación. Para cada regulación, habrá su propio cuadro de mando de cumplimiento con las métricas ajustadas para esa regulación específica. Por ejemplo, hay cuadros de mando para recuperación ante desastres, continuidad del negocio, y validación de proveedores.

Método de Cascada 1: Alinear cuadros de mando de estrategia por perspectivas

Alinear cuadros de mando de cumplimiento para varias regulaciones. Fuente: Ver Strategy Cascading en línea en BSC Designer Strategy Cascading.

Para tener una visión de alto nivel de los esfuerzos de GRC (Gobernanza, Riesgo y Cumplimiento), podemos alinear los cuadros de mando de GRC para regulaciones específicas en un cuadro de mando de GRC general.

Use la plantilla Compliance Template

BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:

  1. Regístrese para un plan gratuito en la plataforma.
  2. Use la plantilla Scorecard Template Compliance Template como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas.
  3. Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.

¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!

Cita: Alexis Savkín, "Guía de implementación y plantilla de KPI para la gestión de cumplimiento", BSC Designer, 18 marzo, 2024, https://bscdesigner.com/es/plantilla-de-cumplimiento.htm.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.