Gestão de Conformidade: Guia de Implementação e Modelo de KPI

A conformidade eficaz vai além de educar os funcionários sobre novas regulamentações e rastrear o número de incidentes de não conformidade. Neste guia de implementação, focamos em uma visão holística da conformidade que envolve as principais partes interessadas e sugere a quantificação específica dos esforços e resultados de conformidade através de 7 etapas.

7 Steps of Holistic Compliance Management

Definição das Partes Interessadas

Vamos começar com a definição das partes interessadas genéricas envolvidas na conformidade:

  • Conselho Administrativo. Representando os interesses das organizações.
  • Escritório de Conformidade. Um departamento especializado que garante a conformidade da organização de acordo com leis, regulamentações, políticas internas aplicáveis, etc.
  • Sistemas Internos de Negócios. TI e outros sistemas de negócios que apoiam os esforços de conformidade.
  • Funcionários que podem impactar ou ser impactados pelas políticas de conformidade.
  • Terceiros. Parceiros e partes interessadas externas semelhantes.
  • Auditor Externo. Um especialista na regulamentação em questão.
  • Regulador. Autoridade que estabelece a regulamentação.

No BSC Designer, navegue até Configurações > Estratégia > Partes Interessadas para adicionar partes interessadas relevantes à lista. Mais tarde, essas partes interessadas podem ser alinhadas com objetivos e métricas específicas através do campo Proprietário.

Gerenciamento de Conformidade: Um Canvas de Objetivos, KPIs e Iniciativas

Modelo de Conformidade e KPIs

Os usuários do BSC Designer têm acesso ao modelo de scorecard de conformidade com os KPIs discutidos no artigo:

Um modelo de conformidade com KPIs no BSC Designer

As etapas do guia de implementação no modelo de conformidade. Fonte: Ver Modelo de Conformidade online no BSC Designer Modelo de Conformidade.

  • Este modelo pode ser customizado para atender aos requisitos da regulamentação específica.
  • Os scorecards criados para várias regulamentações podem ser posteriormente combinados em um scorecard de conformidade abrangente, apresentando um índice geral de conformidade.

1. Adaptar Estratégias Proativamente

As autoridades reguladoras começam a formular novas regulamentações em resposta a uma variedade de fatores, incluindo sociais, tecnológicos, políticos, etc. As organizações podem preparar estratégias proativamente para regulamentações potenciais, conduzindo uma análise de fatores externos, semelhante à conduzida pelas autoridades reguladoras.

Use o modelo de análise PESTEL disponível no BSC Designer para:

  • Formular forças motrizes potenciais e
  • Definir indicadores de sinais precoces.

Para quantificar esta preparação proativa, podemos usar o indicador:

KPI Número de forças motrizes identificadas com análise PESTEL regular.

No modelo, esta métrica é configurada para atualizações anuais:

O indicador de análise PESTEL está configurado para atualizações anuais.

O indicador de análise PESTEL está configurado para atualizações anuais. Fonte: Ver Modelo de Conformidade online no BSC Designer Modelo de Conformidade.

Por exemplo, tecnologias emergentes, especificamente avanços em IA, são identificadas como uma das forças motrizes na análise PESTEL.

2. Identificar Novas Regulamentações Aplicáveis Precocemente

O papel do escritório de conformidade é identificar novas regulamentações aplicáveis precocemente e iniciar a preparação dentro da organização. Normalmente, os reguladores fornecem tempo suficiente para análise e preparação, inicialmente publicando um rascunho da regulamentação, e há um período de transição uma vez que a regulamentação é oficialmente lançada.

Para quantificar a eficiência do escritório de conformidade, usamos:

KPI Percentual de cobertura de regulamentações. Rastreando a porcentagem de regulamentações aplicáveis detectadas pelo departamento de conformidade em estágio inicial.

No modelo, a métrica de cobertura de regulamentação tem um peso maior no índice, em comparação com outras métricas.

KPI Tempo de revisão da regulamentação. Tempo médio que leva desde a publicação inicial da regulamentação até o desenvolvimento do plano de preparação.

KPI Tempo de desenvolvimento de políticas. Tempo médio que leva para desenvolver políticas internas orientadoras e materiais educativos relevantes.

Indicador de tempo de desenvolvimento de políticas com função de otimização definida para 'Minimização'.

Indicador de tempo de desenvolvimento de políticas com função de otimização definida para 'Minimização'. Fonte: Ver Modelo de Conformidade online no BSC Designer Modelo de Conformidade.

Estimativas para as métricas de tempo podem ser usadas como critérios para determinar se o trabalho em regulamentações específicas deve ser realizado internamente ou terceirizado para uma empresa de consultoria.

Por exemplo, muitos órgãos reguladores lançam e atualizam políticas relacionadas à IA. Usando as métricas mencionadas, podemos garantir que essas políticas sejam devidamente examinadas dentro do contexto de uma organização específica e traduzidas em procedimentos orientadores.

3. Treinar Funcionários para Seguir a Nova Regulamentação

Uma vez que as políticas correspondentes são formuladas, a organização precisa treinar seus funcionários para seguir as novas regulamentações. Para rastrear o processo, usamos uma métrica básica:

KPI Conclusão do treinamento regulatório. Pode incluir desde conscientização básica sobre a nova regulamentação até modelagem detalhada de cenários de conformidade e não conformidade.

Para regulamentações mais complexas, considere empregar um scorecard de treinamento dedicado para rastrear o processo.

4. Validar a Conformidade de Terceiros

A maioria das regulamentações exige olhar ao longo da cadeia de valor e validar a conformidade de terceiros. A organização pode não estar interessada em analisar os detalhes; em vez disso, pode se concentrar em rastrear a pontuação geral de conformidade dos parceiros e a porcentagem de parceiros avaliados para conformidade.

KPI % de parceiros avaliados para conformidade.

KPI Pontuação geral de conformidade dos parceiros (veja, por exemplo, scorecard de gerenciamento de risco de fornecedores).

Risk icon in BSC Designer A identificação e mitigação de riscos é crítica para o sucesso a longo prazo da conformidade. Neste caso, um risco foi identificado como “Mudanças na regulamentação” com um plano de mitigação:

  • “Mitigar o impacto das mudanças regulatórias em terceiros que já passaram na verificação de conformidade através de revisões e revisões regulares da pontuação de conformidade.”

O risco identificado para uma das etapas no modelo de conformidade.

O risco identificado para uma das etapas no modelo de conformidade. Fonte: Ver Modelo de Conformidade online no BSC Designer Modelo de Conformidade.

5. Simular Incidentes de Não Conformidade

Para validar o sucesso do treinamento de conformidade, a organização pode simular incidentes de não conformidade e avaliar as reações apropriadas dos funcionários responsáveis. Os resultados de tal validação podem ser quantificados como:

KPI Efetividade do treinamento regulatório, conforme validado por simulações de não conformidade.

Quantificando o Impacto da Não Conformidade

O impacto da não conformidade pode ser validado usando:

KPI Métrica de dano reputacional – pode ser quantificada pela duração da cobertura negativa na mídia.

KPI Perda direta de lucro.

KPI Multas e penalidades regulatórias.

Sua dinâmica ao longo do tempo indicará a eficácia dos esforços de conformidade introduzidos. Embora todas essas métricas sejam de natureza atrasada, o departamento de conformidade pode usar os riscos associados a essas métricas para priorizar certas atividades e justificar os orçamentos de conformidade.

6. Auditoria de Sistemas por Auditor Externo

Em casos que envolvem regulamentações críticas, onde a possível não conformidade poderia levar a consequências econômicas e reputacionais significativas, o conselho de administração envolve auditores independentes.

As métricas para se concentrar no contexto de um auditor externo:

KPI Percentual de cobertura da auditoria. Estamos interessados em uma auditoria abrangente de todas as funções relevantes da organização para garantir que o máximo possível de riscos de conformidade sejam detectados em um estágio inicial.

KPI Número de descobertas da auditoria. Além de sua aplicação direta, essa métrica pode ser usada para validar a eficácia do departamento de conformidade na análise e implementação dos requisitos da regulamentação.

Para ações repetitivas como auditorias externas, é aconselhável rastrear métricas ao longo do tempo. Os usuários do BSC Designer podem estabelecer intervalos de atualização para as métricas para garantir a consistência dos dados.

Outro detalhe sobre esse tipo de métrica é a dificuldade de estabelecer uma meta. Por exemplo, um pequeno número de descobertas da auditoria pode ser visto como atenção insuficiente do auditor, enquanto um alto nível de descobertas pode indicar que o escritório de conformidade não conduziu uma auditoria interna eficaz. Para capturar essa ideia, a função de desempenho do indicador foi modificada.

Uma escala de desempenho não linear com uma zona verde posicionada no meio da faixa de medição.

Uma escala de desempenho não linear com uma zona verde posicionada no meio da faixa de medição. Fonte: Ver Modelo de Conformidade online no BSC Designer Modelo de Conformidade.

Além disso, todos os achados podem ser categorizados de acordo com seu impacto, dando o maior peso aos achados mais críticos. Isso ajudará a evitar o uso indevido da métrica, focando em um grande número de achados de baixo valor. Um exemplo de tal categorização é o índice de risco ponderado no scorecard de segurança cibernética.

Alguma indicação da eficácia da implementação dos achados do auditor pode ser quantificada por:

KPI Taxa de fechamento das descobertas da auditoria. Enquanto a meta óbvia para esta métrica é 100%, pode haver restrições de tempo e recursos que impedem a implementação de todas as recomendações do auditor imediatamente.

KPI Tempo de resposta às descobertas da auditoria. Outra visão sobre a correção de vulnerabilidades de não conformidade detectadas pela auditoria, estamos olhando para o tempo necessário para resolver o problema desde sua detecção.

Os usuários do BSC Designer podem atualizar os indicadores com os dados mais recentes e incluir uma nota sobre a atualização mais recente. Por exemplo, podem fornecer detalhes adicionais explicando por que, em certo estágio, pode não ser possível fechar alguns dos achados da auditoria.

Tanto a taxa de fechamento quanto o tempo de resposta são métricas principais para a melhoria dos sistemas de conformidade, focando em tornar todo o processo mais ágil e menos complexo para as partes interessadas finais.

Gerenciando Incidentes de Não Conformidade

Preparações adequadas pelo departamento de conformidade interno e auditorias externas não asseguram a organização contra possíveis violações de conformidade.

Métricas a serem rastreadas nesse contexto:

KPI Tempo de resposta a incidentes. Para garantir que as violações de conformidade sejam resolvidas rapidamente para minimizar o impacto na organização.

KPI Reincidência de incidentes. Prevenir a reincidência de incidentes do mesmo tipo é um indicador de quão bem a organização está aprendendo com os erros.

A unidade de medida para a métrica de tempo de resposta pode ser horas ou dias, dependendo da natureza do incidente.

Seguindo a lógica de que a reincidência de incidentes é um indicador da eficácia do escritório de conformidade, o indicador “Reincidência de Incidentes” foi alinhado com o objetivo ‘Treinar funcionários para seguir as novas regulamentações’ por dados como um indicador atrasado.

7. Alinhar Scorecards de Conformidade

As métricas discutidas serão específicas para uma determinada regulamentação. Para cada regulamentação, haverá seu próprio scorecard de conformidade apresentando as métricas ajustadas para essa regulamentação específica.

Método de Cascata 1: Alinhar Scorecards de Estratégia por Perspectivas

Alinhar scorecards de conformidade para várias regulamentações. Fonte: Ver Cascateamento de Estratégia online no BSC Designer Cascateamento de Estratégia.

Para ter uma visão geral dos esforços de GRC (Governança, Risco e Conformidade), podemos alinhar os scorecards de GRC para regulamentações específicas em um scorecard geral de GRC.

O que se segue?

  • Modelos de acesso. Registe-se com um plano grátis na BSC Designer para ter acesso imediato a 31 modelos de scorecards, incluindo o Modelo de Conformidade discutido neste artigo.
  • Competências Chave. Veja gratuitamente o tutorial em vídeo para a Balanced Scorecard. Domine as suas competências de planeamento e execução de estratégias com a formação Execução Estratégica.
  • Automatizar. Aprenda o que o software Balanced Scorecard é e como pode facilitar a sua vida, automatizando a execução de estratégias, KPIs e mapas de estratégia.

Mais exemplos do Balanced Scorecard

8 PASSOS Para Criar um Mapa de Estratégia do BSC Designer
Citação: Alexis Savkín, "Gestão de Conformidade: Guia de Implementação e Modelo de KPI", BSC Designer, junho 18, 2024, https://bscdesigner.com/pt/gestao-de-conformidade-guia-de-implementacao-e-modelo-de-kpi.htm.