En varios de nuestros artículos sobre el plan o programa de compliance, mencionamos como parte de su implementación, la necesidad de realizar un seguimiento y una evaluación de su efectividad, pero para poder hacer esto, es necesario medir la efectividad de las medidas aplicadas; aquí es dónde entran en juego los KPIs de compliance o indicadores de cumplimiento.
En las siguientes líneas explicaremos qué son los indicadores de cumplimiento, por qué es importante utilizar KPIs para medir el nivel y el desempeño del programa de compliance y cómo medirlos.
En este artículo hablamos de:
¿Qué son los indicadores KPIs del compliance?
Los indicadores KPIs del compliance son indicadores de rendimiento que permiten medir el desempeño del programa de compliance, así como obtener una completa radiografía en diferentes períodos de la situación en materia de cumplimiento de la empresa, ya que a través de su análisis se pueden detectar tendencias, prevenir riesgos de cumplimiento y mejorar y actualizar el programa.
También denominados KCI (Key Compliance Indicators), estos indicadores son la herramienta que cualquier compliance officer debe utilizar para poder demostrar la eficacia del programa o plan de compliance implementado en la empresa.
Sin estos indicadores de compliance, sería imposible determinar en qué medida se están o se han alcanzado los objetivos propuestos en materia de compliance.
¿Para qué sirven los indicadores de cumplimiento?
Los indicadores de cumplimiento sirven para medir el rendimiento y el nivel de cumplimiento de la organización, tanto de las medidas del propio programa de compliance como de sus obligaciones legales externas e internas.
Así mismo, los indicadores de cumplimiento también sirven para mejorar y mantener un programa o plan de compliance eficaz, requisito indispensable para los planes de prevención de delitos penales (o compliance penal), que deben demostrar su eficacia en la prevención de ilícitos en la empresa y no ser, como dice la Circular 1/2016 de la Fiscalía General del Estado, papeles olvidados en un cajón.
Por lo tanto, otra de sus utilidades es demostrar la eficacia del plan de compliance en un posible juicio y poder atenuar o eximir a la empresa de su responsabilidad penal.
Gracias a los KPIs de compliance es posible medir el nivel de desempeño de cada una de las medidas del plan de compliance y la efectividad de las políticas de compliance adoptadas en la empresa. Además, como decíamos, estas mediciones, hechas con periodicidad, muestran una imagen de en qué punto se encuentra la empresa desde la última medición y lo cerca o lejos que está de alcanzar los objetivos de compliance fijados en el plan.
Así mismo, los KPIs de cumplimiento también permiten anticiparse a algunos incidentes, ya que un análisis de los mismos puede dibujar tendencias y patrones en determinadas áreas o en torno a determinados riesgos.
Los indicadores de compliance son una muestra del grado de madurez de compliance de la empresa y su nivel de gestión de los riesgos identificados y evaluados en el mapa de riesgos en compliance.
¿Cuáles son los indicadores de cumplimiento?
Lo cierto es que, como ocurre con otros KPIs, cada empresa, en función de su actividad, las normativas que la afecten, su localización o la probabilidad y nivel de riesgos de cumplimiento a los que esté expuesta, entre otros factores, elegirá aquellas métricas e indicadores que le resulten más útiles para medir el desempeño del plan de compliance y sus medidas.
Los KPIs de cumplimiento se eligen y fijan en base a los objetivos marcados por el programa de compliance. Y los hay tanto cualitativos (más comunes y habituales en la medición del desempeño del cumplimiento) y cuantitativos.
Teniendo esto en cuenta, podemos hablar de cuatro tipos generales de KPIs de compliance:
- Indicadores de actividad: Miden el nivel de realización de las medidas adoptadas en el plan o programa de compliance para conseguir los objetivos marcados.
- Indicadores de efectividad: Miden la eficacia de las medidas llevadas a cabo, es decir, permiten ver el nivel de aplicación de la medida y su efectividad de cara a alcanzar el objetivo marcado.
- Indicadores predictivos: Se trata de información interna y externa que ponen de manifiesto la posibilidad de uno o varios riesgos se materialicen, de manera que permite prevenirlos su ocurrencia en la empresa, implementado medidas correctivas antes.
- Indicadores reactivos: Sirven para medir la respuesta dada en casos de incumplimientos.
Así mismo, cualquier sistema de gestión de compliance debe contar con estos KPIs de cumplimiento, puesto que, como decíamos, no contar con ellos haría imposible medir el nivel de desempeño del programa y sus medidas, así como su eficacia y si se logran o no los objetivos marcados.
¿Cómo medir el desempeño con indicadores de compliance?
Para medir el desempeño de un programa, plan o sistema de gestión de compliance con indicadores de cumplimiento, es necesario determinar tanto qué se va a medir como dónde empezar a medir.
Para decidir qué medir, nos fijaremos en los objetivos de compliance adquiridos o marcados por la empresa; estos objetivos vendrán definidos por las leyes que afectan a la empresa y por su propia normativa interna (políticas de buenas prácticas, código ético, protocolos contra el acoso laboral, etc.).
Para decidir dónde comenzar a medir el rendimiento de las medidas de plan de compliance, se deberán determinar los puntos críticos, es decir, establecer en qué procesos pueden producirse riesgos de cumplimiento (esto incluye sistemas y empleados y directivos).
Además, habrá que determinar un umbral de riesgo para cada indicador de compliance (para lo que podemos recurrir al mapa de riesgos de cumplimiento) y de esa manera poder valorar si se alcanza o no el objetivo marcado.
Al usar KPIs de compliance, se obtendrá una visión del nivel de cumplimiento antes de implementar el programa o plan de compliance, durante las diferentes mediciones que se hagan durante su desarrollo y al final de un período de tiempo marcado para su evaluación (como puede ser un año o dos años).
Por ejemplo, si una de las medidas del plan de compliance es la formación respecto a u protocolo de buenas prácticas en seguridad de la información y protección de datos (para cumplir con las obligaciones del RGPD y la LOPDGDD), recurriremos a indicadores de actividad (la formación impartida sobre el protocolo) e indicadores de efectividad (si se produce o no disminución de incidentes de seguridad, como pérdida de contraseñas y accesos no autorizados a la red interna, tras haber impartido la formación).
Si los resultados de la mediación muestran una disminución en los incidentes de ciberseguridad, estaremos ante un desempeño positivo de esta medida del plan de compliance. Si, por el contrario, no han disminuido, habrá qué determinar cuál es la razón (la formación no es la adecuada, no todos los empleados han atendido al curso, complejidad del sistema, etc.) y buscar una medida mejor.
¿Qué indicadores de cumplimiento elegir?
Como decíamos, aparte de la clasificación general que hemos hecho de los tipos de KPIs de compliance, cada empresa puede elegir y diseñar sus propios indicadores de desempeño. Se trata de elegir aquellos que resulten más útiles y adecuados para evaluar la eficacia del programa de compliance y sus medidas, que permitan medir, analizar y extraer conclusiones respecto a lo cerca o lejos que se está de alcanzar los objetivos propuestos.
Aquellas empresas que opten por adaptar un sistema de gestión de compliance basado en la ISO 37301, podrán recurrir, adaptándolos si es necesario a la realidad de su empresa, a los indicadores de compliance que contiene esta norma.
Señalar también que la mayoría de software de compliance que pueden adquirir las empresas para gestionar sus programas de compliance, suelen incluir KPIs de cumplimiento, ya que permiten realizar medidas e informes estadísticos de las medidas puestas en marcha.
En definitiva, comprobar y demostrar la eficacia de un programa o plan de compliance, pasa por recurrir a los KPIs de compliance para medir el desempeño y efectividad de las medidas adoptadas.