Gestione della conformità: guida all’implementazione e modello di KPI

La conformità efficace va oltre l’educazione dei dipendenti sulle nuove normative e il monitoraggio del numero di incidenti di non conformità. In questa guida all’implementazione, ci concentriamo su una visione olistica della conformità che coinvolge i principali stakeholder e suggerisce una specifica quantificazione degli sforzi e dei risultati di conformità attraverso 7 passaggi.

7 passaggi della gestione olistica della conformità

Definizione degli stakeholder

Iniziamo con la definizione degli stakeholder generici coinvolti nella conformità:

  • Consiglio di amministrazione. Rappresenta gli interessi delle organizzazioni.
  • Ufficio di conformità. Un dipartimento specializzato che garantisce la conformità dell’organizzazione in accordo con le leggi, regolamenti, politiche interne applicabili, ecc.
  • Sistemi aziendali interni. Sistemi IT e altri sistemi aziendali che supportano gli sforzi di conformità.
  • Dipendenti che possono influenzare o essere influenzati dalle politiche di conformità.
  • Terze parti. Partner e stakeholder esterni simili.
  • Revisore esterno. Un esperto nella regolamentazione in questione.
  • Regolatore. Autorità che stabilisce la regolamentazione.

In BSC Designer, vai su Impostazioni > Strategia > Stakeholder per aggiungere stakeholder rilevanti all’elenco. Successivamente, quegli stakeholder possono essere allineati con obiettivi e metriche specifiche attraverso il campo Proprietario.

Compliance Management: A Canvas of Objectives, KPIs, and Initiative

Modello di conformità e KPI

Gli utenti di BSC Designer hanno accesso al modello di scorecard di conformità con KPI discussi nell’articolo:

Un modello di conformità con KPI in BSC Designer

I passaggi della guida all'implementazione sul modello di conformità. Fonte: Visualizza Modello di conformità online in BSC Designer Modello di conformità.

  • Questo modello può essere personalizzato per soddisfare i requisiti della specifica normativa.
  • Le scorecard create per varie normative possono successivamente essere combinate in una scorecard di conformità completa con un indice di conformità complessivo.

1. Adattare le strategie in modo proattivo

Le autorità regolatorie iniziano a formulare nuove normative in risposta a una varietà di fattori, inclusi quelli sociali, tecnologici, politici, ecc. Le organizzazioni possono preparare strategie in modo proattivo per potenziali normative conducendo un’analisi dei fattori esterni, simile a quella condotta dalle autorità regolatorie.

Utilizzare il modello di analisi PESTEL disponibile in BSC Designer per:

  • Formulare potenziali forze trainanti e
  • Definire indicatori di segnale precoce.

Per quantificare questa preparazione proattiva possiamo utilizzare l’indicatore:

KPI Numero di forze trainanti identificate con l’analisi PESTEL regolare.

Nel modello, questa metrica è configurata per aggiornamenti annuali:

L'indicatore di analisi PESTEL è configurato per aggiornamenti annuali.

L'indicatore di analisi PESTEL è configurato per aggiornamenti annuali. Fonte: Visualizza Compliance Template online in BSC Designer Compliance Template.

Ad esempio, le tecnologie emergenti, in particolare i progressi nell’IA, sono identificate come una delle forze trainanti nell’analisi PESTEL.

2. Identificare tempestivamente le nuove normative applicabili

Il ruolo dell’ufficio compliance è identificare tempestivamente le nuove normative applicabili e avviare la preparazione all’interno dell’organizzazione. Tipicamente, i regolatori forniscono tempo sufficiente per l’analisi e la preparazione pubblicando inizialmente una bozza della normativa, e c’è un periodo di transizione una volta che la normativa è ufficialmente rilasciata.

Per quantificare l’efficienza dell’ufficio compliance, usiamo:

KPI Copertura delle normative, %. Monitoraggio della percentuale di normative applicabili rilevate dall’ufficio compliance in una fase iniziale.

Nel modello, la metrica di copertura delle normative ha un peso maggiore nell’indice, rispetto ad altre metriche.

KPI Tempo di revisione delle normative. Tempo medio che intercorre dalla pubblicazione iniziale della normativa fino allo sviluppo del piano di preparazione.

KPI Tempo di sviluppo delle policy. Tempo medio necessario per sviluppare politiche guida interne e materiali educativi pertinenti.

Indicatore del tempo di sviluppo delle policy con funzione di ottimizzazione impostata su 'Minimizzazione'.

'Indicatore del tempo di sviluppo delle policy' con funzione di ottimizzazione impostata su 'Minimizzazione'. Fonte: Visualizza Compliance Template online in BSC Designer Compliance Template.

Le stime per le metriche temporali potrebbero essere utilizzate come criterio per determinare se il lavoro su normative specifiche debba essere condotto internamente o esternalizzato a una società di consulenza terza.

Ad esempio, molti enti regolatori rilasciano e aggiornano politiche relative all’IA. Utilizzando le metriche menzionate, possiamo garantire che queste politiche siano adeguatamente esaminate nel contesto di una specifica organizzazione e tradotte in procedure guida.

3. Formare i dipendenti a seguire la nuova normativa

Una volta formulate le politiche corrispondenti, l’organizzazione deve formare i propri dipendenti a seguire le nuove normative. Per monitorare il processo, utilizziamo una metrica di base:

KPI Completamento della formazione normativa. Potrebbe includere una consapevolezza di base della nuova normativa o una modellazione dettagliata degli scenari di conformità e non conformità.

Per regolamenti più complessi, considera l’impiego di un cruscotto di formazione dedicato per monitorare il processo.

4. Convalidare la conformità delle terze parti

La maggior parte delle normative richiede di esaminare lungo la catena del valore e convalidare la conformità delle terze parti. L’organizzazione potrebbe non essere interessata a esaminare i dettagli; invece, può concentrarsi sul monitoraggio del punteggio complessivo di conformità dei partner e della percentuale di partner valutati per la conformità.

KPI % di partner valutati per la conformità.

KPI Punteggio complessivo di conformità dei partner (vedi, ad esempio, scorecard di gestione del rischio del fornitore).

Icona di rischio in BSC Designer L’identificazione e la mitigazione del rischio sono fondamentali per il successo a lungo termine della conformità. In questo caso, è stato identificato un rischio come “Cambiamenti normativi” con piano di mitigazione:

  • “Mitigare l’impatto dei cambiamenti normativi sulle terze parti che hanno già superato il controllo di conformità attraverso revisioni regolari e aggiornamenti del punteggio di conformità.”

Il rischio identificato per uno dei passaggi nel modello di conformità.

Il rischio identificato per uno dei passaggi nel modello di conformità. Fonte: Visualizza Modello di conformità online in BSC Designer Modello di conformità.

5. Simulare incidenti di non conformità

Per convalidare il successo della formazione sulla conformità, l’organizzazione può simulare incidenti di non conformità e valutare le reazioni appropriate dei dipendenti responsabili. I risultati di tale convalida possono essere quantificati come:

KPI Efficacia della formazione normativa, come convalidato dalle simulazioni di non conformità.

Quantificare l’impatto della non conformità

L’impatto della non conformità può essere validato utilizzando:

KPI Metrica del danno reputazionale – può essere quantificata dalla durata della copertura mediatica negativa.

KPI Perdita diretta di profitto.

KPI Multe e sanzioni regolamentari.

La loro dinamica nel tempo indicherà l’efficacia degli sforzi di conformità introdotti. Sebbene tutte queste metriche siano intrinsecamente ritardate, l’ufficio di conformità può utilizzare i rischi associati a queste metriche per dare priorità a determinate attività e giustificare i budget per la conformità.

6. Verificare i sistemi da revisore esterno

Nei casi che coinvolgono normative critiche, dove il potenziale mancato rispetto potrebbe portare a significative conseguenze economiche e reputazionali, il consiglio di amministrazione ingaggia revisori indipendenti.

Le metriche su cui concentrarsi nel contesto di un revisore esterno:

KPI Copertura dell’audit, %. Siamo interessati a una verifica completa di tutte le funzioni rilevanti dell’organizzazione per assicurarci che i rischi di non conformità siano stati rilevati al più presto.

KPI Numero di rilievi dell’audit. Oltre alla sua applicazione diretta, questa metrica può essere utilizzata per convalidare l’efficacia dell’ufficio di conformità nell’analisi e nell’implementazione dei requisiti normativi.

Per azioni ripetitive come gli audit esterni, è consigliabile monitorare le metriche nel tempo. Gli utenti di BSC Designer possono stabilire intervalli di aggiornamento per le metriche per garantire la coerenza dei dati.

Un’altra sfumatura riguardante questo tipo di metrica è la difficoltà di stabilire un obiettivo. Ad esempio, un numero ridotto di rilievi dell’audit potrebbe essere visto come una scarsa attenzione da parte del revisore, mentre un alto livello di rilievi può indicare che l’ufficio di conformità non ha condotto un audit interno efficace. Per catturare questa idea, la funzione di prestazione dell’indicatore è stata modificata.

Una scala di prestazioni non lineare con una zona verde posizionata al centro dell'intervallo di misurazione.

Una scala di prestazioni non lineare con una zona verde posizionata al centro dell'intervallo di misurazione. Fonte: Visualizza Compliance Template online in BSC Designer Compliance Template.

Inoltre, tutti i rilievi possono essere categorizzati in base al loro impatto, attribuendo il peso più elevato ai rilievi più critici. Questo aiuterà a evitare l’uso improprio della metrica concentrandosi su un gran numero di rilievi di basso valore. Un esempio di tale categorizzazione è l’indice di rischio ponderato nella scorecard della sicurezza informatica.

Alcuna indicazione dell’efficacia dell’implementazione dei rilievi del revisore può essere quantificata da:

KPI Tasso di chiusura dei rilievi dell’audit. Sebbene l’obiettivo ovvio per questa metrica sia il 100%, potrebbero esserci vincoli di tempo e risorse che impediscono di implementare subito tutte le raccomandazioni del revisore.

KPI Tempo di risposta ai rilievi dell’audit. Un altro aspetto della risoluzione delle vulnerabilità di non conformità rilevate dall’audit, ci si concentra sul tempo necessario per chiudere la questione dalla sua rilevazione.

Gli utenti di BSC Designer possono aggiornare gli indicatori con i dati più recenti e includere una nota sull’aggiornamento più recente. Ad esempio, possono fornire dettagli aggiuntivi spiegando perché, a un certo punto, potrebbe non essere possibile chiudere alcuni dei rilievi dell’audit.

Sia il tasso di chiusura che il tempo di risposta sono metriche guida per il miglioramento dei sistemi di conformità, concentrandosi su rendere l’intero processo più agile e meno complesso per gli stakeholder finali.

Indicatori anticipatori vs. indicatori ritardati in BSC Designer

Gestire gli incidenti di non conformità

Preparazioni adeguate da parte dell’ufficio di conformità interno e audit esterni non garantiscono l’organizzazione contro possibili violazioni di conformità.

Metriche da monitorare in questo contesto:

KPI Tempo di risposta agli incidenti. Garantire che le violazioni di conformità siano risolte rapidamente per minimizzare l’impatto sull’organizzazione.

KPI Ricorrenza degli incidenti. Prevenire la ricorrenza di incidenti dello stesso tipo è un indicatore di quanto bene un’organizzazione stia imparando dagli errori.

L’unità di misura per la metrica del tempo di risposta potrebbe essere ore o giorni, a seconda della natura dell’incidente.

Seguendo la logica che la ricorrenza degli incidenti è un indicatore dell’efficacia dell’ufficio di conformità, l’indicatore “Ricorrenza degli incidenti” è stato allineato con l’obiettivo ‘Formare i dipendenti a seguire le nuove normative’ dai dati come indicatore ritardato.

7. Allineare le scorecard di conformità

Le metriche discusse saranno specifiche per una certa regolamentazione. Per ogni regolamentazione, ci sarà una propria scorecard di conformità con le metriche adattate a quella specifica regolamentazione. Ad esempio, ci sono scorecard per il recupero da disastro, la continuità operativa e la validazione del fornitore.

Metodo di cascata 1: allineare le scorecard strategiche per prospettive

Allineare le scorecard di conformità per varie regolamentazioni. Fonte: Visualizza Strategia di cascata online in BSC Designer Strategia di cascata.

Per avere una visione d’insieme degli sforzi GRC (Governance, Risk, and Compliance), possiamo allineare le scorecard GRC per specifiche regolamentazioni in una scorecard GRC complessiva.

Usa il modello Scorecard di conformità

BSC Designer aiuta le organizzazioni a implementare le loro strategie complesse:

  1. Iscriviti per un piano gratuito sulla piattaforma.
  2. Usa il modello Scorecard Template Scorecard di conformità come punto di partenza. Lo troverai in Nuovo > Nuova Scorecard > Altri Modelli.
  3. Segui il nostro Sistema di Implementazione della Strategia per allineare stakeholder e ambizioni strategiche in una strategia completa.

Inizia oggi e scopri come BSC Designer può semplificare l'implementazione della tua strategia!

Cita questo articolo in questo modo: Alexis Savkín, "Gestione della conformità: guida all’implementazione e modello di KPI," BSC Designer, Novembre 20, 2024, https://bscdesigner.com/it/modello-di-conformita.htm.

Lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.