El cumplimiento efectivo va más allá de educar a los empleados sobre nuevas regulaciones y rastrear el número de incidentes de incumplimiento. En esta guía de implementación, nos enfocamos en una visión holística del cumplimiento que involucra a las partes interesadas clave y sugiere una cuantificación específica de los esfuerzos y resultados del cumplimiento a través de 7 pasos.
Definición de interesados
Comencemos con la definición de interesados genéricos involucrados en el cumplimiento:
- Junta Directiva. Representando los intereses de las organizaciones.
- Oficina de Cumplimiento. Un departamento especializado que asegura el cumplimiento de la organización de acuerdo con las leyes, regulaciones, políticas internas aplicables, etc.
- Sistemas Internos de Negocio. TI y otros sistemas de negocio que apoyan los esfuerzos de cumplimiento.
- Empleados que pueden impactar o ser impactados por las políticas de cumplimiento.
- Terceros. Socios y similares interesados externos.
- Auditor Externo. Un experto en la regulación en cuestión.
- Regulador. Autoridad que establece la regulación.
En BSC Designer, navegue a Configuración > Estrategia > Interesados para agregar interesados relevantes a la lista. Más tarde, esos interesados pueden alinearse con objetivos y métricas específicos a través del campo Responsable.
Plantilla de cumplimiento y KPIs
Los usuarios de BSC Designer tienen acceso a la plantilla de cuadro de mando de cumplimiento con KPIs discutidos en el artículo:
- Esta plantilla se puede personalizar para cumplir con los requisitos de la regulación específica.
- Los cuadros de mando creados para varias regulaciones pueden luego combinarse en un cuadro de mando de cumplimiento integral que presenta un índice de cumplimiento general.
1. Adapte las estrategias proactivamente
Las autoridades regulatorias comienzan a formular nuevas regulaciones en respuesta a una variedad de factores, incluidos los sociales, tecnológicos, políticos, etc. Las organizaciones pueden preparar estrategias proactivamente para las posibles regulaciones realizando un análisis de factores externos, similar al realizado por las autoridades regulatorias.
Utilice la plantilla de análisis PESTEL disponible en BSC Designer para:
- Formular fuerzas impulsoras potenciales y
- Definir indicadores de señales tempranas.
Para cuantificar esta preparación proactiva podemos utilizar el indicador:
Número de fuerzas impulsoras identificadas con el análisis PESTEL regular.
En la plantilla, esta métrica está configurada para actualizaciones anuales:
Por ejemplo, las tecnologías emergentes, específicamente los avances en IA, son identificadas como una de las fuerzas impulsoras en el análisis PESTEL.
2. Identificar nuevas regulaciones aplicables temprano
El papel de la oficina de cumplimiento es identificar nuevas regulaciones aplicables temprano y comenzar la preparación dentro de la organización. Normalmente, los reguladores brindan tiempo suficiente para el análisis y la preparación al publicar inicialmente un borrador de la regulación, y hay un período de transición una vez que la regulación se publica oficialmente.
Para cuantificar la eficiencia de la oficina de cumplimiento, usamos:
Cobertura de regulaciones, %. Seguimiento del porcentaje de regulaciones aplicables detectadas por la oficina de cumplimiento en una etapa temprana.
En el modelo, la métrica de cobertura de regulaciones tiene un mayor peso en el índice, en comparación con otras métricas.
Tiempo de revisión de regulaciones. Tiempo promedio que transcurre desde la publicación inicial de la regulación hasta el desarrollo del plan de preparación.
Tiempo de elaboración de políticas. Tiempo promedio que se tarda en desarrollar políticas internas orientadoras y materiales educativos relevantes.
Las estimaciones para las métricas de tiempo podrían usarse como criterio para determinar si el trabajo en regulaciones específicas debe realizarse internamente o subcontratarse a una firma consultora externa.
Por ejemplo, muchos organismos reguladores publican y actualizan políticas relacionadas con la IA. Usando las métricas mencionadas, podemos asegurar que estas políticas sean examinadas adecuadamente dentro del contexto de una organización específica y traducidas en procedimientos orientadores.
3. Capacite a los empleados para seguir la nueva regulación
Una vez que las políticas correspondientes están formuladas, la organización necesita capacitar a sus empleados para que sigan las nuevas regulaciones. Para seguir el proceso, usamos una métrica básica:
Finalización de la capacitación regulatoria. Podría incluir la concienciación básica sobre la nueva regulación o la modelización detallada de escenarios de cumplimiento y no cumplimiento.
Para regulaciones más complejas, considere emplear un cuadro de mando de capacitación dedicado para seguir el proceso.
4. Validar el cumplimiento de terceros
La mayoría de las regulaciones requieren mirar a lo largo de la cadena de valor y validar el cumplimiento de terceros. La organización podría no estar interesada en examinar los detalles; en su lugar, puede centrarse en rastrear la puntuación general de cumplimiento de los socios y el porcentaje de socios evaluados para el cumplimiento.
% de socios evaluados para el cumplimiento.
Puntuación general de cumplimiento de socios (vea por ejemplo, cuadro de mando de gestión de riesgos de proveedores).
La identificación y mitigación de riesgos es crítica para el éxito a largo plazo del cumplimiento. En este caso, se identificó un riesgo como «Cambios en la regulación» con un plan de mitigación:
- «Mitigar el impacto de los cambios regulatorios en terceros que ya han pasado la verificación de cumplimiento a través de revisiones y revisiones regulares de la puntuación de cumplimiento.»
5. Simule incidentes de incumplimiento
Para validar el éxito de la capacitación en cumplimiento, la organización puede simular incidentes de incumplimiento y evaluar las reacciones apropiadas de los empleados responsables. Los resultados de dicha validación se pueden cuantificar como:
Efectividad de la capacitación regulatoria, validada por simulaciones de incumplimiento.
Cuantificación del impacto del incumplimiento
El impacto del incumplimiento puede validarse usando:
Métrica de daño reputacional – puede cuantificarse por la duración de la cobertura mediática negativa.
Pérdida directa de beneficios.
Multas y sanciones regulatorias.
Su dinámica a lo largo del tiempo indicará la efectividad de los esfuerzos de cumplimiento introducidos. Aunque todas estas métricas son indicadores de resultado por su naturaleza, la oficina de cumplimiento puede usar los riesgos asociados con estas métricas para priorizar ciertas actividades y justificar los presupuestos de cumplimiento.
6. Auditar sistemas por auditor externo
En casos que involucran regulaciones críticas, donde el potencial incumplimiento podría llevar a consecuencias económicas y reputacionales significativas, el consejo de administración contrata auditores independientes.
Las métricas en las que enfocarse en el contexto de un auditor externo:
Cobertura de auditoría, %. Nos interesa una auditoría integral de todas las funciones relevantes de la organización para asegurarnos de que los riesgos de cumplimiento posibles sean detectados en una etapa temprana.
Número de hallazgos de auditoría. Además de su aplicación directa, esta métrica puede usarse para validar la efectividad de la oficina de cumplimiento en el análisis e implementación de los requisitos de la regulación.
Para acciones repetitivas como auditorías externas, es aconsejable seguir métricas a lo largo del tiempo. Los usuarios de BSC Designer pueden establecer intervalos de actualización para las métricas para asegurar la consistencia de los datos.
Otra matiz respecto a este tipo de métrica es la dificultad para establecer un objetivo. Por ejemplo, un pequeño número de hallazgos de auditoría podría ser visto como una atención insuficiente por parte del auditor, mientras que un alto nivel de hallazgos puede indicar que la oficina de cumplimiento no realizó una auditoría interna efectiva. Para capturar esta idea, se modificó la función de rendimiento del indicador.
Además, todos los hallazgos pueden ser clasificados según su impacto, dando el mayor peso a los hallazgos más críticos. Esto ayudará a evitar el mal uso de la métrica al enfocarse en un gran número de hallazgos de bajo valor. Un ejemplo de tal categorización es el índice de riesgo ponderado en el cuadro de mando de ciberseguridad.
Alguna indicación de la efectividad de implementar los hallazgos del auditor puede cuantificarse mediante:
Tasa de cierre de hallazgos de auditoría. Aunque el objetivo obvio para esta métrica es el 100%, puede haber restricciones de tiempo y recursos que impidan implementar todas las recomendaciones del auditor de inmediato.
Tiempo de respuesta a hallazgos de auditoría. Otra perspectiva sobre la corrección de vulnerabilidades de incumplimiento detectadas por la auditoría, estamos considerando el tiempo necesario para cerrar el problema desde su detección.
Los usuarios de BSC Designer pueden actualizar los indicadores con los datos más recientes e incluir una nota sobre la actualización más reciente. Por ejemplo, pueden proporcionar detalles adicionales que expliquen por qué, en una etapa determinada, puede no ser posible cerrar algunos de los hallazgos de auditoría.
Tanto la tasa de cierre como el tiempo de respuesta son métricas de actuación para la mejora de los sistemas de cumplimiento, enfocándose en hacer que todo el proceso sea más ágil y menos complejo para los interesados finales.
Gestionar incidentes de incumplimiento
Las preparaciones adecuadas por parte de la oficina de cumplimiento interno y las auditorías externas no aseguran a la organización contra posibles incumplimientos de cumplimiento.
Métricas para seguir en este contexto:
Tiempo de respuesta ante incidentes. Para asegurar que los incumplimientos se resuelvan rápidamente para minimizar el impacto en la organización.
Reaparición de incidentes. Prevenir la reaparición de incidentes del mismo tipo es un indicador de cuán bien una organización está aprendiendo de los errores.
La unidad de medida para la métrica del tiempo de respuesta podría ser horas o días, dependiendo de la naturaleza del incidente.
Siguiendo la lógica de que la reaparición de incidentes es un indicador de la efectividad de la oficina de cumplimiento, el indicador «Reaparición de incidentes» se alineó con el objetivo ‘Capacitar a los empleados para seguir las nuevas regulaciones’ mediante datos como un indicador de resultado.
7. Alinear cuadros de mando de cumplimiento
Las métricas discutidas serán específicas para una determinada regulación. Para cada regulación, habrá su propio cuadro de mando de cumplimiento con las métricas ajustadas para esa regulación específica. Por ejemplo, hay cuadros de mando para recuperación ante desastres, continuidad del negocio, y validación de proveedores.
Para tener una visión de alto nivel de los esfuerzos de GRC (Gobernanza, Riesgo y Cumplimiento), podemos alinear los cuadros de mando de GRC para regulaciones específicas en un cuadro de mando de GRC general.
Use la plantilla Compliance Template
BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:
- Regístrese para un plan gratuito en la plataforma.
- Use la plantilla Compliance Template como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas.
- Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.
¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!
Alexis es un Consultor Senior de Estrategia y CEO en BSC Designer, con más de 20 años de experiencia en planificación estratégica. Alexis desarrolló el «Sistema de Implementación de Estrategias en 5 Pasos» que ayuda a las empresas con la implementación práctica de sus estrategias. Es un orador habitual en conferencias de la industria y ha publicado más de 100 artículos sobre estrategia y gestión del rendimiento, incluyendo el libro «Sistema KPI de 10 Pasos». Su trabajo es frecuentemente citado en investigaciones académicas.