El cumplimiento efectivo va más allá de educar a los trabajadores sobre las nuevas normativas y hacer un seguimiento del número de incidentes de incumplimiento. En esta guía de implementación, nos enfocamos en una visión holística del cumplimiento que involucra a las principales partes interesadas y sugiere una cuantificación específica de los esfuerzos y resultados del cumplimiento a través de 7 pasos.
Definición de las partes interesadas
Empecemos con la definición de las partes interesadas genéricas involucradas en el cumplimiento:
- Junta Directiva. Representa los intereses de las organizaciones.
- Oficina de Cumplimiento. Departamento especializado que garantiza el cumplimiento de la organización de conformidad con las leyes, reglamentos, políticas internas, etc. aplicables.
- Sistemas empresariales internos. Sistemas informáticos (TI) y otros sistemas empresariales que apoyan los esfuerzos de cumplimiento.
- Empleados que pueden afectar o verse afectados por las políticas de cumplimiento.
- Terceros. Socios y partes interesadas externas similares.
- Auditor Externo. Experto en la norma en cuestión.
- Regulador. Autoridad que establece la normativa.
En BSC Designer, vaya a Configuración > Estrategia > Partes interesadas para añadir las partes interesadas relevantes a la lista. Más tarde, esas partes interesadas pueden alinearse con objetivos y métricas específicos a través del campo Propietario.
Plantilla de cumplimiento y KPIs
Los usuarios de BSC Designer tienen acceso a la plantilla del cuadro de mando con los indicadores clave de rendimiento (KPIs) que se comentan en el artículo:
- Esta plantilla se puede personalizar para que se ajuste a los requisitos de la normativa específica.
- Los cuadros de mando creados para las distintas normativas pueden combinarse posteriormente en un cuadro de mando de cumplimiento global que incluya un índice de cumplimiento general.
1. Adaptar las estrategias de forma proactiva
Las autoridades reguladoras formulan nuevas normativas en respuesta a factores sociales, tecnológicos, políticos, etc. Las organizaciones pueden preparar proactivamente estrategias para posibles normativas realizando un análisis de los factores externos, similar al que llevan a cabo las autoridades reguladoras.
Utilice la plantilla de análisis PESTEL disponible en BSC Designer para:
- Formular posibles fuerzas impulsoras y
- Definir indicadores de señales tempranas.
Para cuantificar esta preparación proactiva podemos usar el indicador:
Número de fuerzas impulsoras identificadas con el análisis PESTEL regular.
En la plantilla, esta métrica está configurada para actualizaciones anuales:
2. Identificar con antelación la nueva normativa aplicable
El papel de la oficina de cumplimiento es identificar pronto las nuevas normativas aplicables e iniciar la preparación dentro de la organización. Normalmente, los reguladores dan tiempo suficiente para el análisis y la preparación publicando inicialmente un borrador de la normativa, y hay un periodo de transición una vez que la normativa se publica oficialmente.
Para cuantificar la eficiencia de la oficina de cumplimiento, utilizamos:
Cobertura normativa, %. Seguimiento del porcentaje de normativas aplicables detectadas por la oficina de cumplimiento en una fase temprana.
En la plantilla, la métrica de cobertura de la normativa tiene un mayor peso en el índice, en comparación con otras métricas.
Tiempo de revisión de la normativa. Tiempo promedio que transcurre desde la publicación inicial de la normativa hasta la elaboración del plan de preparación.
Tiempo de desarrollo de políticas. Tiempo promedio que se tarda en elaborar políticas orientativas internas y material educativo pertinente.
Las estimaciones de las métricas de tiempo podrían usarse como criterio para determinar si el trabajo sobre normativas específicas debe realizarse internamente o subcontratarse con una empresa de asesoramiento externa.
3. Capacitar a los empleados para que cumplan la nueva normativa
Una vez formuladas las políticas correspondientes, la organización tiene que capacitar a sus empleados para que cumplan la nueva normativa. Para realizar un seguimiento al proceso, usamos una métrica básica:
Finalización de la capacitación normativa. Puede incluir un conocimiento básico de la nueva normativa o una modelización detallada de las situaciones de cumplimiento e incumplimiento.
Para normativas más complejas, considere la posibilidad de emplear un cuadro de mando de capacitación dedicado para realizar un seguimiento del proceso.
4. Validar el cumplimiento de terceros
La mayoría de las normativas exigen examinar toda la cadena de valor y validar el cumplimiento de terceros. La organización puede no estar interesada en examinar los detalles; en su lugar, puede enfocarse en el seguimiento de la puntuación general de cumplimiento de los socios y el porcentaje de socios evaluados para el cumplimiento.
% de socios evaluados en cuanto a cumplimiento.
Puntuación global de cumplimiento de los socios (consulte, por ejemplo, el cuadro de mando de gestión de riesgos de proveedores).
La identificación y mitigación de riesgos es fundamental para el éxito a largo plazo del cumplimiento de la normativa. En este caso, se identificó un riesgo como «Cambios en la normativa» con plan de mitigación:
- «Mitigar el impacto de los cambios normativos en terceros que ya han pasado el control de cumplimiento mediante revisiones periódicas y revisiones de la puntuación de cumplimiento.»
5. Simular incidentes de incumplimiento
Para validar el éxito de la formación en materia de cumplimiento, la organización puede simular incidentes de incumplimiento y evaluar las reacciones apropiadas de los empleados responsables. Los resultados de dicha validación pueden cuantificarse como:
Eficacia de la formación normativa, validada mediante simulaciones de incumplimiento.
Cuantificar el impacto del incumplimiento
El impacto del incumplimiento se puede validar mediante:
Métrica de daño a la reputación: se puede cuantificar por la duración de la cobertura mediática negativa.
Pérdida directa de beneficios.
Multas y sanciones normativas.
Su dinámica a lo largo del tiempo indicará la eficacia de los esfuerzos de cumplimiento introducidos. Aunque todas estas métricas son de resultado por naturaleza, la oficina de cumplimiento puede utilizar los riesgos asociados a estas métricas para priorizar determinadas actividades y justificar los presupuestos de cumplimiento.
6. Sistemas de Auditoría por el Auditor Externo
En los casos relacionados con normativas críticas, en los que un posible incumplimiento podría acarrear importantes consecuencias económicas y afectar la reputación, el consejo de administración contrata a auditores independientes.
Métricas en las que debe enfocarse la atención en el contexto de un auditor externo:
Cobertura de auditoría, %. Nos interesa una auditoría exhaustiva de todas las funciones relevantes de la organización para asegurarnos de que se detectan en una fase temprana los máximos riesgos de cumplimiento posibles.
Número de hallazgos de auditoría. Además de su aplicación directa, esta métrica puede utilizarse para validar la eficacia de la oficina de cumplimiento en el análisis y la aplicación de los requisitos de la normativa.
Para acciones repetitivas como auditorías externas, se sugiere llevar a cabo un seguimiento de las métricas a lo largo del tiempo. Los usuarios de BSC Designer pueden establecer intervalos de actualización de las métricas para garantizar la coherencia de los datos.
Otro matiz relativo a este tipo de métrica es la dificultad para establecer un objetivo. Por ejemplo, un número reducido de hallazgos de auditoría podría considerarse como una atención insuficiente por parte del auditor, mientras que un nivel elevado de hallazgos podría indicar que la oficina de cumplimiento no llevó a cabo una auditoría interna eficaz. Para captar esta idea, se modificó la función de rendimiento del indicador.
Además, todos los hallazgos pueden categorizarse en función de su impacto, dando el mayor peso a los hallazgos más críticos. De este modo se evitará el uso incorrecto de la métrica al enfocarse en un gran número de hallazgos de escaso valor. Un ejemplo de dicha categorización es índice de riesgo ponderado en el cuadro de mando de ciberseguridad.
Algunas indicaciones de la efectividad de implementar los hallazgos del auditor pueden ser cuantificadas por:
Tasa de cierre de hallazgos de auditoría. Aunque el objetivo obvio para esta métrica es el 100%, puede haber limitaciones de tiempo y recursos que impidan implementar de inmediato todas las recomendaciones del auditor.
Tiempo de respuesta de los hallazgos de auditoría. Otro punto de vista sobre la solución de las vulnerabilidades de incumplimiento detectadas por la auditoría es el tiempo necesario para cerrar el problema desde su detección.
Los usuarios de BSC Designer pueden actualizar los indicadores con los datos más recientes e incluir una nota sobre la actualización más reciente. Por ejemplo, pueden proporcionar detalles adicionales que expliquen por qué, en una determinada fase, quizás no sea posible cerrar algunos de los hallazgos de auditoría.
Tanto la tasa de cierre como el tiempo de respuesta son métricas de actuación para mejorar los sistemas de cumplimiento, enfocándose en hacer todo el proceso más ágil y menos complejo para las partes interesadas del usuario final.
Gestión de incidentes de incumplimiento
Los preparativos apropiados por parte de la oficina de cumplimiento interno y las auditorías externas no protegen a la organización contra posibles incumplimientos.
Métricas de seguimiento en este contexto:
Tiempo de respuesta a incidentes. Garantizar que los incumplimientos se resuelven rápidamente para minimizar el impacto en la organización.
Reaparición de incidentes. Evitar que vuelvan a presentarse incidentes del mismo tipo es un indicador del grado en que una organización aprende de sus errores.
La unidad de medida del tiempo de respuesta puede ser horas o días, dependiendo de la naturaleza del incidente.
Siguiendo la lógica de que la repetición de incidentes es un indicador de la eficacia de la oficina de cumplimiento, el indicador «Reaparición de incidentes» se alineó con el objetivo «Capacitar a los empleados para que cumplan la nueva normativa» mediante datos como el indicador de resultado.
7. Alineación con cuadros de mando de cumplimiento
Las métricas analizadas serán específicas para una determinada normativa. Para cada normativa, habrá su propio cuadro de mando de cumplimiento con los parámetros ajustados a esa normativa específica.
Para tener una imagen de alto nivel de los esfuerzos de GRC (Gobernanza, Riesgo y Cumplimiento), podemos alinear los cuadros de mando GRC para normativas específicas en un cuadro de mando GRC general.
- Plantillas de CMI. Regístrese con un plan gratuito de BSC Designer y tenga acceso inmediato a 31 plantillas de cuadro de mando, incluyendo el Plantilla de cumplimiento discutido en este artículo.
- Domine habilidades. Aprenda a desglosar objetivos ambiguos como "mejorar la calidad" y "aumentar la resiliencia" en estrategias específicas.
- Automatice. Aprenda qué es el software de Cuadro de Mando Integral y cómo puede facilitarle la vida al automatizar la ejecución de la estrategia, los KPIs y los mapas estratégicos.
Más ejemplos del Cuadro de Mando Integral
Alexis es el CEO de BSC Designer con más de 20 años de experiencia en planificación estratégica. Tiene una formación académica en matemáticas aplicadas y ciencias de la computación. Alexis es autor del «Sistema de Despliegue de Estrategia en 5 Pasos», del libro «Sistema de KPI en 10 Pasos», y «Tu Guía para el Cuadro de Mando Integral». Es orador habitual en conferencias de la industria y ha escrito más de 100 artículos sobre estrategia y medición del rendimiento. Su trabajo es citado con frecuencia en investigaciones académicas y por profesionales de la industria.