Gerenciamento de Conformidade: Guia de Implementação e Modelo de KPI

A conformidade eficaz vai além de educar os funcionários sobre novas regulamentações e rastrear o número de incidentes de não conformidade. Neste guia de implementação, focamos em uma visão holística da conformidade que envolve as partes interessadas chave e sugere a quantificação específica dos esforços e resultados de conformidade por meio de 7 etapas.

7 Steps of Holistic Compliance Management

Definição de Stakeholders

Vamos começar com a definição de stakeholders genéricos envolvidos na conformidade:

  • Conselho de Administração. Representando os interesses das organizações.
  • Departamento de Conformidade. Um departamento especializado que garante a conformidade da organização de acordo com as leis, regulamentos, políticas internas aplicáveis, etc.
  • Sistemas Internos de Negócios. TI e outros sistemas de negócios que apoiam os esforços de conformidade.
  • Funcionários que podem impactar ou ser impactados por políticas de conformidade.
  • Terceiros. Parceiros e stakeholders externos semelhantes.
  • Auditor Externo. Um especialista na regulamentação em questão.
  • Regulador. Autoridade que estabelece a regulamentação.

No BSC Designer, navegue para Configurações > Estratégia > Stakeholders para adicionar stakeholders relevantes à lista. Posteriormente, esses stakeholders podem ser alinhados com metas e métricas específicas através do campo Proprietário.

Gerenciamento de Conformidade: Um Canvas de Objetivos, KPIs e Iniciativas

Modelo de conformidade e KPIs

Os usuários do BSC Designer têm acesso ao modelo de scorecard de conformidade com KPIs discutidos no artigo:

Um modelo de conformidade com KPIs no BSC Designer

Os passos do guia de implementação no modelo de conformidade. Fonte: Ver Compliance Template online no BSC Designer Compliance Template.

  • Este modelo pode ser customizado para atender aos requisitos da regulamentação específica.
  • Os scorecards criados para várias regulamentações podem posteriormente ser combinados em um scorecard de conformidade abrangente, apresentando um índice geral de conformidade.

1. Adapte estratégias proativamente

As autoridades reguladoras começam a formular novas regulamentações em resposta a uma variedade de fatores, incluindo sociais, tecnológicos, políticos, etc. As organizações podem preparar estratégias proativamente para regulamentações potenciais conduzindo uma análise de fatores externos, semelhante à realizada pelas autoridades reguladoras.

Use o modelo de análise PESTEL disponível no BSC Designer para:

  • Formular forças motrizes potenciais e
  • Definir indicadores de sinais precoces.

Para quantificar esta preparação proativa, podemos usar o indicador:

KPI Número de forças motrizes identificadas com análise PESTEL regular.

No modelo, esta métrica é configurada para atualizações anuais:

O indicador de análise PESTEL está configurado para atualizações anuais.

O indicador de análise PESTEL está configurado para atualizações anuais. Fonte: Ver Compliance Template online no BSC Designer Compliance Template.

Por exemplo, tecnologias emergentes, especificamente avanços em IA, são identificadas como uma das forças motrizes na análise PESTEL.

2. Identificar novas regulamentações aplicáveis cedo

O papel do escritório de conformidade é identificar novas regulamentações aplicáveis cedo e iniciar a preparação dentro da organização. Normalmente, os reguladores fornecem tempo suficiente para análise e preparação ao publicar inicialmente um rascunho da regulamentação, e há um período de transição assim que a regulamentação é oficialmente lançada.

Para quantificar a eficiência do escritório de conformidade, usamos:

KPI Cobertura de regulamentações, %. Acompanhando a porcentagem de regulamentações aplicáveis detectadas pelo escritório de conformidade em um estágio inicial.

No modelo, a métrica de cobertura de regulamentação tem um peso maior no índice, em comparação com outras métricas.

KPI Tempo de revisão de regulamentação. Tempo médio que leva desde a publicação inicial da regulamentação até o desenvolvimento do plano de preparação.

KPI Tempo de desenvolvimento de políticas. Tempo médio que leva para desenvolver políticas internas orientadoras e materiais educacionais relevantes.

Indicador de tempo de desenvolvimento de políticas com função de otimização definida para 'Minimização'.

'Indicador de tempo de desenvolvimento de políticas' com função de otimização definida para 'Minimização'. Fonte: Ver Compliance Template online no BSC Designer Compliance Template.

Estimativas para as métricas de tempo podem ser usadas como critérios para determinar se o trabalho em regulamentações específicas deve ser realizado internamente ou terceirizado para uma empresa de consultoria externa.

Por exemplo, muitos órgãos reguladores lançam e atualizam políticas relacionadas à IA. Usando as métricas mencionadas, podemos garantir que essas políticas sejam devidamente examinadas dentro do contexto de uma organização específica e traduzidas em procedimentos orientadores.

3. Treinar funcionários para seguir a nova regulamentação

Uma vez que as políticas correspondentes são formuladas, a organização precisa treinar seus funcionários para seguir as novas regulamentações. Para acompanhar o processo, usamos uma métrica básica:

KPI Conclusão do treinamento regulamentar. Pode incluir conscientização básica sobre a nova regulamentação ou modelagem detalhada de cenários de conformidade e não conformidade.

Para regulamentações mais complexas, considere empregar um scorecard de treinamento dedicado para acompanhar o processo.

4. Validar conformidade de terceiros

A maioria das regulamentações exige examinar a cadeia de valor e validar a conformidade de terceiros. A organização pode não estar interessada em investigar os detalhes; em vez disso, pode focar no acompanhamento da pontuação geral de conformidade dos parceiros e na porcentagem de parceiros avaliados para conformidade.

KPI % de parceiros avaliados para conformidade.

KPI Pontuação geral de conformidade dos parceiros (veja, por exemplo, scorecard de gestão de risco de fornecedores).

Ícone de risco no BSC Designer A identificação e mitigação de riscos é crítica para o sucesso a longo prazo da conformidade. Neste caso, um risco foi identificado como “Mudanças na regulamentação” com plano de mitigação:

  • “Mitigar o impacto das mudanças regulatórias em terceiros que já passaram pela verificação de conformidade por meio de revisões e revisões regulares da pontuação de conformidade.”

O risco identificado para uma das etapas no modelo de conformidade.

O risco identificado para uma das etapas no modelo de conformidade. Fonte: Ver Modelo de Conformidade online no BSC Designer Modelo de Conformidade.

5. Simular incidentes de não conformidade

Para validar o sucesso do treinamento de conformidade, a organização pode simular incidentes de não conformidade e avaliar as reações apropriadas dos funcionários responsáveis. Os resultados de tal validação podem ser quantificados como:

KPI Efetividade do treinamento regulatório, conforme validado por simulações de não conformidade.

Quantificando o impacto da não conformidade

O impacto da não conformidade pode ser validado usando:

KPI Métrica de dano reputacional – pode ser quantificada pela duração da cobertura negativa na mídia.

KPI Perda direta de lucro.

KPI Multas e penalidades regulatórias.

A dinâmica deles ao longo do tempo indicará a eficácia dos esforços de conformidade introduzidos. Embora todas essas métricas sejam atrasadas por natureza, o escritório de conformidade pode usar os riscos associados a essas métricas para priorizar certas atividades e justificar os orçamentos de conformidade.

6. Auditar sistemas por auditor externo

Em casos envolvendo regulamentações críticas, onde o potencial de não conformidade pode levar a consequências econômicas e reputacionais significativas, o conselho de administração contrata auditores independentes.

As métricas em que se deve focar no contexto de um auditor externo:

KPI A cobertura da auditoria, %. Estamos interessados em uma auditoria abrangente de todas as funções relevantes da organização para garantir que os riscos de não conformidade sejam detectados o mais cedo possível.

KPI Número de constatações da auditoria. Além de sua aplicação direta, essa métrica pode ser usada para validar a eficácia do escritório de conformidade na análise e implementação dos requisitos da regulamentação.

Para ações repetitivas como auditorias externas, é aconselhável acompanhar métricas ao longo do tempo. Usuários do BSC Designer podem estabelecer intervalos de atualização para as métricas para assegurar a consistência dos dados.

Outra nuance em relação a esse tipo de métrica é a dificuldade de estabelecer uma meta. Por exemplo, um pequeno número de constatações da auditoria pode ser visto como falta de atenção do auditor, enquanto um nível alto de constatações pode indicar que o escritório de conformidade não realizou uma auditoria interna eficaz. Para captar essa ideia, a função de desempenho do indicador foi modificada.

Uma escala de desempenho não linear com uma zona verde posicionada no meio da faixa de medição.

Uma escala de desempenho não linear com uma zona verde posicionada no meio da faixa de medição. Fonte: Ver Modelo de Conformidade online no BSC Designer Modelo de Conformidade.

Além disso, todas as constatações podem ser categorizadas de acordo com seu impacto, dando o maior peso às constatações mais críticas. Isso ajudará a evitar o uso inadequado da métrica, focando em um grande número de constatações de baixo valor. Um exemplo de tal categorização é o índice de risco ponderado no scorecard de cibersegurança.

Alguma indicação da eficácia da implementação das constatações do auditor pode ser quantificada por:

KPI Taxa de fechamento das constatações da auditoria. Embora a meta óbvia para essa métrica seja 100%, pode haver restrições de tempo e recursos que impeçam a implementação imediata de todas as recomendações do auditor.

KPI Tempo de resposta às constatações da auditoria. Outra visão sobre a correção de vulnerabilidades de não conformidade detectadas pela auditoria, estamos analisando o tempo necessário para resolver o problema desde sua detecção.

Usuários do BSC Designer podem atualizar os indicadores com os dados mais recentes e incluir uma nota sobre a atualização mais recente. Por exemplo, podem fornecer detalhes adicionais explicando por que, em determinado estágio, pode não ser possível fechar algumas das constatações da auditoria.

Tanto a taxa de fechamento quanto o tempo de resposta são métricas de tendência para a melhoria dos sistemas de conformidade, focando em tornar todo o processo mais ágil e menos complexo para os stakeholders usuários finais.

Leading vs. Lagging Indicators in BSC Designer

Gerenciar incidentes de não conformidade

Preparações adequadas pelo escritório de conformidade interna e auditorias externas não garantem a organização contra possíveis violações de conformidade.

Métricas a serem acompanhadas neste contexto:

KPI Tempo de resposta do incidente. Garantir que as violações de conformidade sejam resolvidas rapidamente para minimizar o impacto na organização.

KPI Reincidência do incidente. Prevenir a reincidência de incidentes do mesmo tipo é um indicador de quão bem uma organização está aprendendo com os erros.

A unidade de medida para a métrica de tempo de resposta pode ser horas ou dias, dependendo da natureza do incidente.

Seguindo a lógica de que a reincidência de incidentes é um indicador da eficácia do escritório de conformidade, o indicador “Reincidência do Incidente” foi alinhado com o objetivo ‘Treinar funcionários para seguir as novas regulamentações’ por dados como um indicador de resultado.

7. Alinhar scorecards de conformidade

As métricas discutidas serão específicas para uma determinada regulamentação. Para cada regulamentação, haverá seu próprio scorecard de conformidade apresentando as métricas ajustadas para essa regulamentação específica. Por exemplo, há scorecards para recuperação de desastres, continuidade de negócios e validação de fornecedores.

Método de Cascata 1: Alinhar scorecards de estratégia por perspectivas

Alinhar scorecards de conformidade para várias regulamentações. Fonte: Ver Strategy Cascading online no BSC Designer Strategy Cascading.

Para ter uma visão geral dos esforços de GRC (Governança, Risco e Conformidade), podemos alinhar os scorecards de GRC para regulamentações específicas em um scorecard geral de GRC.

Use o modelo Compliance Scorecard

O BSC Designer ajuda as organizações a implementarem suas estratégias complexas:

  1. Inscreva-se para um plano gratuito na plataforma.
  2. Use o modelo Scorecard Template Compliance Scorecard como ponto de partida. Você o encontrará em Novo > Novo Scorecard > Mais Modelos.
  3. Siga o nosso Sistema de Implementação de Estratégia para alinhar as partes interessadas e ambições estratégicas em uma estratégia abrangente.

Comece hoje e veja como o BSC Designer pode simplificar a implementação da sua estratégia!

Citação: Alexis Savkín, "Gerenciamento de Conformidade: Guia de Implementação e Modelo de KPI", BSC Designer, junho 18, 2024, https://bscdesigner.com/pt/gestao-de-conformidade-guia-de-implementacao-e-modelo-de-kpi.htm.