Manajemen Kepatuhan: Panduan Implementasi dan Template KPI - BSC Designer

Kepatuhan yang efektif melampaui sekadar mendidik karyawan tentang peraturan baru dan melacak jumlah insiden ketidakpatuhan. Dalam panduan implementasi ini, kami memfokuskan pada pandangan holistik tentang kepatuhan yang melibatkan pemangku kepentingan utama dan menyarankan kuantifikasi spesifik dari upaya dan hasil kepatuhan melalui 7 langkah.

7 Steps of Holistic Compliance Management

Definisi Pemangku Kepentingan

Mari kita mulai dengan definisi pemangku kepentingan umum yang terlibat dalam kepatuhan:

Dewan Direksi. Mewakili kepentingan organisasi.
Kantor Kepatuhan. Departemen khusus yang memastikan kepatuhan organisasi sesuai dengan hukum, peraturan, kebijakan internal yang berlaku, dll.
Sistem Bisnis Internal. Sistem TI dan bisnis lainnya yang mendukung upaya kepatuhan.
Karyawan yang dapat mempengaruhi atau dipengaruhi oleh kebijakan kepatuhan.
Pihak Ketiga. Mitra dan pemangku kepentingan eksternal serupa.
Auditor Eksternal. Seorang ahli dalam peraturan yang dimaksud.
Regulator. Otoritas yang menetapkan peraturan.

Dalam BSC Designer, navigasikan ke Pengaturan > Strategi > Pemangku Kepentingan untuk menambahkan pemangku kepentingan yang relevan ke daftar. Kemudian, pemangku kepentingan tersebut dapat diselaraskan dengan tujuan dan metrik tertentu melalui bidang Pemilik.

Compliance Management: A Canvas of Objectives, KPIs, and Initiative

Watch this video on YouTube

Template Kepatuhan dan KPI

Pengguna BSC Designer memiliki akses ke template kartu skor kepatuhan dengan KPI yang dibahas dalam artikel:

Sebuah template kepatuhan dengan KPI di BSC Designer

Langkah-langkah panduan implementasi pada template kepatuhan. Sumber: Compliance Template.

Template ini dapat dikustomisasi untuk memenuhi persyaratan regulasi tertentu.
Kartu skor yang dibuat untuk berbagai regulasi dapat kemudian digabungkan menjadi kartu skor kepatuhan yang komprehensif dengan menampilkan indeks kepatuhan keseluruhan.

1. Adaptasi Strategi Secara Proaktif

Otoritas regulasi mulai merumuskan peraturan baru sebagai tanggapan terhadap berbagai faktor, termasuk sosial, teknologi, politik, dll. Organisasi dapat secara proaktif menyiapkan strategi untuk peraturan potensial dengan melakukan analisis faktor eksternal, mirip dengan yang dilakukan oleh otoritas regulasi.

Gunakan templat analisis PESTEL yang tersedia di BSC Designer untuk:

Merumuskan potensi kekuatan penggerak dan
Mendefinisikan indikator tanda awal.

Untuk mengukur persiapan proaktif ini, kita dapat menggunakan indikator:

Jumlah kekuatan penggerak yang diidentifikasi dengan analisis PESTEL secara reguler.

Dalam templat ini, metrik ini dikonfigurasi untuk pembaruan tahunan:

Indikator analisis PESTEL dikonfigurasi untuk pembaruan tahunan.

Indikator analisis PESTEL dikonfigurasi untuk pembaruan tahunan. Sumber: Compliance Template.

Sebagai contoh, teknologi yang muncul, khususnya kemajuan dalam AI, diidentifikasi sebagai salah satu kekuatan penggerak dalam analisis PESTEL.

2. Identifikasi Peraturan Baru yang Berlaku Lebih Awal

Peran kantor kepatuhan adalah mengidentifikasi peraturan baru yang berlaku lebih awal dan memulai persiapan dalam organisasi. Biasanya, regulator memberikan waktu yang cukup untuk analisis dan persiapan dengan awalnya menerbitkan draf peraturan, dan ada masa transisi setelah peraturan tersebut resmi dirilis.

Untuk mengukur efisiensi kantor kepatuhan, kami menggunakan:

Cakupan peraturan, %. Melacak persentase peraturan yang berlaku yang terdeteksi oleh kantor kepatuhan pada tahap awal.

Dalam template, metrik cakupan peraturan memiliki bobot lebih tinggi dalam indeks, dibandingkan dengan metrik lainnya.

Waktu tinjauan peraturan. Waktu rata-rata yang dibutuhkan dari publikasi awal peraturan hingga pengembangan rencana persiapan.

Waktu pengembangan kebijakan. Waktu rata-rata yang dibutuhkan untuk mengembangkan kebijakan panduan internal dan materi edukasi yang relevan.

Indikator waktu pengembangan kebijakan dengan fungsi optimasi diatur ke 'Minimisasi'.

'Indikator waktu pengembangan kebijakan' dengan fungsi optimasi diatur ke 'Minimisasi'. Sumber: Compliance Template.

Estimasi untuk metrik waktu mungkin digunakan sebagai kriteria untuk menentukan apakah pekerjaan pada peraturan tertentu harus dilakukan secara internal atau diserahkan kepada firma penasihat pihak ketiga.

Misalnya, banyak badan pengatur merilis dan memperbarui kebijakan terkait AI. Dengan menggunakan metrik yang disebutkan, kita dapat memastikan kebijakan ini diperiksa dengan benar dalam konteks organisasi tertentu dan diterjemahkan menjadi prosedur panduan.

3. Latih Karyawan untuk Mengikuti Peraturan Baru

Setelah kebijakan terkait dirumuskan, organisasi perlu melatih karyawannya untuk mengikuti peraturan baru. Untuk melacak prosesnya, kami menggunakan metrik dasar:

Penyelesaian pelatihan regulasi. Mungkin termasuk kesadaran dasar tentang peraturan baru atau pemodelan rinci tentang skenario kepatuhan dan ketidakpatuhan.

Untuk peraturan yang lebih kompleks, pertimbangkan untuk menggunakan kartu skor pelatihan khusus untuk melacak prosesnya.

4. Validasi Kepatuhan Pihak Ketiga

Sebagian besar regulasi mengharuskan melihat sepanjang rantai nilai dan memvalidasi kepatuhan pihak ketiga. Organisasi mungkin tidak tertarik melihat ke dalam detail; sebaliknya, dapat fokus pada pelacakan skor kepatuhan keseluruhan mitra dan persentase mitra yang dinilai untuk kepatuhan.

% mitra yang dinilai untuk kepatuhan.

Skor kepatuhan keseluruhan mitra (lihat misalnya, kartu skor manajemen risiko vendor).

Identifikasi dan mitigasi risiko adalah hal yang kritis untuk kesuksesan jangka panjang kepatuhan. Dalam kasus ini, risiko diidentifikasi sebagai “Perubahan dalam regulasi” dengan rencana mitigasi:

“Mengurangi dampak perubahan regulasi pada pihak ketiga yang telah lolos pemeriksaan kepatuhan melalui tinjauan dan revisi reguler skor kepatuhan.”

Risiko yang diidentifikasi untuk salah satu langkah dalam template kepatuhan.

Risiko yang diidentifikasi untuk salah satu langkah dalam template kepatuhan. Sumber: Compliance Template.

5. Simulasikan Insiden Ketidakpatuhan

Untuk memvalidasi keberhasilan pelatihan kepatuhan, organisasi dapat mensimulasikan insiden ketidakpatuhan dan menilai reaksi yang tepat dari karyawan yang bertanggung jawab. Hasil dari validasi tersebut dapat diukur sebagai:

Efektivitas pelatihan regulasi, sebagaimana divalidasi oleh simulasi ketidakpatuhan.

Mengukur Dampak Ketidakpatuhan

Dampak ketidakpatuhan dapat divalidasi dengan menggunakan:

Metrik kerusakan reputasi – dapat diukur dari lamanya pemberitaan media negatif.

Kerugian laba langsung.

Denda dan sanksi regulasi.

Dinamika mereka dari waktu ke waktu akan menunjukkan efektivitas upaya kepatuhan yang diperkenalkan. Meskipun semua metrik ini bersifat tertinggal, kantor kepatuhan dapat menggunakan risiko terkait dengan metrik ini untuk memprioritaskan kegiatan tertentu dan membenarkan anggaran kepatuhan.

6. Audit Sistem oleh Auditor Eksternal

Dalam kasus yang melibatkan peraturan kritis, di mana potensi ketidakpatuhan dapat menyebabkan konsekuensi ekonomi dan reputasi yang signifikan, dewan direksi melibatkan auditor independen.

Metrik yang harus difokuskan dalam konteks auditor eksternal:

Cakupan audit, %. Kami tertarik pada audit komprehensif dari semua fungsi relevan organisasi untuk memastikan risiko ketidakpatuhan maksimum terdeteksi pada tahap awal.

Jumlah temuan audit. Selain aplikasi langsungnya, metrik ini dapat digunakan untuk memvalidasi efektivitas kantor kepatuhan dalam analisis dan implementasi persyaratan peraturan.

Untuk tindakan berulang seperti audit eksternal, disarankan untuk melacak metrik dari waktu ke waktu. Pengguna BSC Designer dapat menetapkan interval pembaruan untuk metrik guna memastikan konsistensi data.

Nuansa lain mengenai jenis metrik ini adalah kesulitan menetapkan target. Misalnya, sejumlah kecil temuan audit mungkin dianggap sebagai kurangnya perhatian dari auditor, sementara tingkat temuan yang tinggi dapat menunjukkan bahwa kantor kepatuhan tidak melakukan audit internal yang efektif. Untuk menangkap ide ini, fungsi kinerja indikator diubah.

Skala kinerja non-linear dengan zona hijau ditempatkan di tengah rentang pengukuran.

Skala kinerja non-linear dengan zona hijau ditempatkan di tengah rentang pengukuran. Sumber: Compliance Template.

Selain itu, semua temuan dapat dikategorikan menurut dampaknya, memberikan bobot tertinggi pada temuan yang paling kritis. Ini akan membantu menghindari penyalahgunaan metrik dengan fokus pada sejumlah besar temuan bernilai rendah. Contoh kategorisasi semacam itu adalah indeks risiko berbobot dalam kartu skor keamanan siber.

Beberapa indikasi efektivitas implementasi temuan auditor dapat diukur dengan:

Tingkat penutupan temuan audit. Sementara target yang jelas untuk metrik ini adalah 100%, mungkin ada kendala waktu dan sumber daya yang mencegah penerapan semua rekomendasi auditor segera.

Waktu tanggapan temuan audit. Pandangan lain tentang memperbaiki kerentanan ketidakpatuhan yang terdeteksi oleh audit, kami melihat waktu yang dibutuhkan untuk menutup masalah sejak deteksinya.

Pengguna BSC Designer dapat memperbarui indikator dengan data terbaru dan menyertakan catatan tentang pembaruan terbaru. Misalnya, mereka dapat memberikan detail tambahan yang menjelaskan mengapa, pada tahap tertentu, mungkin tidak dapat menutup beberapa temuan audit.

Baik tingkat penutupan maupun waktu tanggapan adalah metrik terkemuka untuk peningkatan sistem kepatuhan, berfokus pada membuat seluruh proses lebih gesit dan kurang kompleks bagi pemangku kepentingan pengguna akhir.

Indikator Terkemuka vs. Tertinggal dalam BSC Designer

Watch this video on YouTube

Kelola Insiden Ketidakpatuhan

Persiapan yang tepat oleh kantor kepatuhan internal dan audit eksternal tidak menjamin organisasi terhadap kemungkinan pelanggaran kepatuhan.

Metrik untuk dilacak dalam konteks ini:

Waktu respons insiden. Untuk memastikan pelanggaran kepatuhan diselesaikan dengan cepat guna meminimalkan dampak pada organisasi.

Pengulangan insiden. Mencegah pengulangan insiden jenis yang sama adalah indikator seberapa baik organisasi belajar dari kesalahan.

Unit pengukuran untuk metrik waktu respons mungkin dalam jam atau hari, tergantung pada sifat insiden.

Mengikuti logika bahwa pengulangan insiden adalah indikator efektivitas kantor kepatuhan, indikator “Pengulangan Insiden” disejajarkan dengan tujuan ‘Melatih karyawan untuk mengikuti peraturan baru’ dengan data sebagai indikator tertinggal.

7. Menyelaraskan Kartu Skor Kepatuhan

Metrik yang dibahas akan spesifik untuk peraturan tertentu. Untuk setiap peraturan, akan ada kartu skor kepatuhan tersendiri yang menampilkan metrik yang disesuaikan untuk peraturan tersebut. Sebagai contoh, ada kartu skor untuk pemulihan bencana, kelangsungan bisnis, dan validasi vendor.

Metode Penurunan 1: Menyelaraskan Kartu Skor Strategi Berdasarkan Perspektif

Menyelaraskan kartu skor kepatuhan untuk berbagai peraturan. Sumber: Strategy Cascading.

Untuk mendapatkan gambaran tingkat tinggi tentang upaya GRC (Tata Kelola, Risiko, dan Kepatuhan), kita dapat menyelaraskan kartu skor GRC untuk peraturan tertentu ke dalam kartu skor GRC keseluruhan.

Gunakan Template Compliance Scorecard

BSC Designer membantu organisasi mengimplementasikan strategi kompleks mereka:

Daftar untuk rencana gratis di platform.
Gunakan template Compliance Scorecard sebagai titik awal. Anda akan menemukannya di Baru > Kartu Skor Baru > Template Lainnya.
Ikuti Sistem Penerapan Strategi kami untuk menyelaraskan pemangku kepentingan dan ambisi strategis menjadi strategi yang komprehensif.

Mulailah hari ini dan lihat bagaimana BSC Designer dapat menyederhanakan penerapan strategi Anda!

Alexis Savkín

Alexis Savkin adalah seorang Arsitek Implementasi Strategi dan pendiri BSC Designer, sebuah platform perangkat lunak untuk eksekusi strategi dan Kartu Skor Berimbang. Ia membantu organisasi mengotomatiskan manajemen kinerja dan mengubah strategi menjadi hasil yang terukur. Alexis adalah pencipta “Kanvas Eksekusi Strategi”, penulis lebih dari 100 artikel tentang strategi dan pengukuran kinerja, serta pembicara rutin di acara industri.