Firmas
Compliance | Una aproximación a las métricas en una función de cumplimiento normativo
14/8/2024 05:30
|
Actualizado: 15/8/2024 01:18
|
En el entorno empresarial actual, la función de «Compliance» constituye y representa un elemento fundamental para poder garantizar de manera adecuada, que las organizaciones operen dentro de los marcos legales y éticos establecidos.
Es cierto un viejo adagio que parte de la reflexión de que “no se puede administrar lo que no se puede medir”, y consecuentemente con ello, debe señalarse que los indicadores de gestión de cumplimiento o KPI de «Compliance», permiten al Órgano de «Compliance» demostrar la efectividad del programa y, también, visualizar patrones y tendencias y medir el estado de progreso hacia metas y objetivos específicos.
La evolución y sofisticación de las normas y de los programas de «Compliance» hacen, que hoy en día, sea más difícil obtener indicadores de gestión de cumplimiento confiables y efectivos[i].
En este sentido, tanto la implementación de métricas, como las exigencias vinculadas a la mejora continua de un Modelo de Cumplimiento, no solo aseguran la conformidad con las regulaciones, sino que también promueven una cultura de integridad y responsabilidad eficaz y eficiente.
En este orden de cosas, debe tenerse presente, que la eficacia es lograr los objetivos de «Compliance» fijados por la organización, mientras que la eficiencia es hacerlo con el menor volumen de recursos posible.
Consecuentemente con ello, esta dinámica de la economía en el ámbito del «Compliance» pone en riesgo la consecución de dichos objetivos, y por ello, se ha obviado deliberadamente toda mención a la eficiencia para no amparar medidas o decisiones mediocres que justifiquen ulteriores incumplimientos[ii].
Profundizando en los principales aspectos de las métricas en un Modelo de Cumplimiento, es evidente que es necesario que en primer término es necesario hacer alusión a la naturaleza de las mismas.
Así, debe tenerse en cuenta, que dichas métricas constituyen herramientas diseñadas para medir y evaluar la eficacia de los programas de «Compliance» de una organización.
MÉTRICAS
Estas métricas pueden ser, tanto de tipo cuantitativo o de carácter numérico, como de índole cualitativa, que son aquellas que se encuentran basadas en percepciones y opiniones de los colectivos vinculados por un determinado ámbito de «Compliance».
a). En este sentido, se pueden distinguir dentro de las métricas basadas en elementos cuantitativos, aquellas que distinguen entre los siguientes aspectos o incidencias:
• Con relación al número de Incidentes de Incumplimiento.
A través de las mismas se procede a cuantificar la cantidad de violaciones a las políticas y normativas.
• En función del tiempo de respuesta a incidentes.
Con este tipo de métrica se determina y mide el tiempo-promedio, en el que se tarda en responder y resolver incidentes derivados de supuestos de incumplimiento.
• Con referencia al porcentaje de cumplimiento en las Auditorías.
Con ello se trata de indicar el grado de cumplimiento de la organización con relación a las normativas evaluadas en procesos de auditoría.
b). En lo que hace referencia a las métricas de tipo cualitativas, es preciso referirse a los siguientes aspectos u objeto de las mismas, que son los que se indica seguidamente:
• La satisfacción de los empleados que forman parte de la organización o de la persona jurídica
A través de esta tipología de métricas se recoge la percepción de los empleados sobre la efectividad real de los programas de Cumplimiento Normativo.
• El alcance y la eficacia de la cultura de cumplimiento.
Por medio de esta métrica, se pretende evaluar y determinar, cómo los valores y comportamientos relacionados con el cumplimiento normativo están integrados en la cultura de una organización concreta.
FUENTES DE DATOS
En lo que hace referencia a las fuentes de datos a utilizar en todo tipo de métricas a utilizar en la evaluación de los Modelos de Cumplimiento Normativo, es preciso distinguir entre las de carácter interno, de aquellas que se aprovisionan fundamentalmente de fuentes de naturaleza externa.
Dentro de las fuentes de datos internas, destacan, sobre todo:
(i) los reportes de auditoría interna;
(ii) los registros de incidentes y denuncias; y,
(iii) las encuestas internas de satisfacción y cultura.
En lo que hace referencia a las diferentes fuentes de información externas, destacan, entre otras, las siguientes:
(i) las llamadas auditorías de tipo regulatoria;
(ii) las «benchmarks» de la industria; y,
(iii) los informes de cumplimiento de terceros.
Por lo que se refiere a las características principales que presentan las métricas en un Modelo de Cumplimiento, cabe distinguir al respecto las siguientes:
a). Por su especificidad
Las métricas deben ser específicas y alinearse directamente con los objetivos del programa de cumplimiento.
Por ejemplo, medir el número de incidentes de fraude detectados proporciona información específica y relevante para un programa antifraude.
b). Por su posibilidad de establecer medidas con una cierta precisión.
Las métricas deben ser cuantificables, lo que implica que los datos necesarios para calcularlas deben ser precisos y accesibles.
Esto puede incluir el uso de herramientas tecnológicas para recopilar y analizar datos.
c). En función del requisito de la posibilidad de alcanzar los objetivos vinculados a las mismas.
Las metas establecidas para cada métrica deben ser realistas y alcanzables, considerando los recursos y capacidades de la organización.
Para ello, el hecho de establecer objetivos demasiado ambiciosos puede considerarse y resultar completamente contraproducente.
d). Por su relevancia.
Las métricas deben ser relevantes para los objetivos estratégicos y operativos de la organización puedan ser cumplidos.
En este sentido, debe tenerse presente que la acción de medir los aspectos que no aportan valor a la toma de decisiones puede desviar recursos de áreas más críticas, con una mayor trascendencia negativa para la organización.
e). Por su temporalidad.
Las métricas deben tener un marco temporal definido, lo que permite evaluar el desempeño en períodos específicos y hacer comparaciones a lo largo del tiempo.
Este planteamiento ayuda de una manera decisiva a identificar aquellas tendencias y/o patrones más determinantes a estos efectos dentro del ámbito de la organización.
FINALIDADES
En lo que hace referencia a las finalidades que deben perseguir las métricas a utilizar en un Modelo de Cumplimiento Normativo, deben tenerse en cuenta las que se citan a continuación:
a). En lo que se refiere a la evaluación del desempeño
Esta métrica persigue como objetivos los que se citan seguidamente:
(i) medir la eficacia del desempeño;
(ii) evaluar si los programas de cumplimiento están logrando sus objetivos mediante indicadores clave como la reducción en el número de incidentes de incumplimiento;
(iii) identificar Áreas de Mejora;
(iv) utilizar los datos para detectar áreas que requieren atención o mejoras en los controles y procesos de cumplimiento.
b). En función de la supervisión adecuada de la gestión de riesgos.
En este sentido, cobra una especial relevancia el llamado “monitoreo de riesgos”, que presenta como principales finalidades la posibilidad de identificar y evaluar los riesgos de incumplimiento, permitiendo a la organización enfocarse en áreas de alto riesgo.
c). Por el hecho de llevar a cabo una prevención de incidentes que sea eficaz.
Para ello, se hace imprescindible implementar medidas proactivas basadas en datos para prevenir futuros incidentes de incumplimiento.
d). Con relación a la observancia del llamado “cumplimiento regulatorio”, y especialmente la verificación de su conformidad, con relación a la aplicación e interpretación de las normas jurídicas externas e internas de la organización que le sean de aplicación.
Para ello, se hace preciso que la organización se asegure de estar cumpliendo con todas las leyes y regulaciones aplicables, utilizando para ello unas métricas que reflejen el grado de conformidad alcanzado con relación a las mismas.
e). En lo que atañe a la preparación eficiente de auditorías.
Ello se materializada en la finalidad de facilitar la preparación tanto de auditorías internas como externas, demostrando con ello un control riguroso y bien documentado del cumplimiento normativo que efectivamente se está llevando a cabo dentro de la persona jurídica.
MÉTRICAS TRADICIONALES
Dentro del ámbito del «Compliance», existen unas métricas tradicionales, ampliamente consolidadas y comúnmente utilizadas para determinar la evolución que un Modelo de Cumplimiento Normativo está teniendo dentro de cualquier organización, y por ello es procedente exponer algunas de ellas, como prácticas habitualmente utilizadas en el día a día, y que son las que se indican seguidamente:
a). En primer término, debe hacerse especial referencia es el número de incidentes de incumplimiento, que se produzcan dentro de una organización concreta y determinada.
Para ello, se hace preciso llevar a cabo una descripción y una medición efectiva de los incidentes producidos.
En este sentido, los incidentes vinculados a un Modelo de Cumplimiento pueden ser definidos, teniendo en consideración que los mismos pueden incluir violaciones de políticas internas, regulaciones externas, conductas no éticas y cualquier otro comportamiento que ponga en riesgo el cumplimiento normativo.
b). En segundo término, también se hace relevante examinar y analizar los métodos de recolección de información, y para ello, es preciso utilizar sistemas de reporte y registro de incidentes, incluyendo la posibilidad del uso de software especializado en gestión de «Compliance».
En cuanto a su importancia, deben tenerse en consideración el indicador de riesgo, que normalmente representa una alta frecuencia de aquellos incidentes que pueden indicar la existencia de áreas problemáticas, y, de riesgos recurrentes que necesitan de una especial atención por parte de los responsables de la organización.
Unido a ello, es necesario considerar la evaluación de eficacia, que suele representar un número decreciente de incidentes a lo largo del tiempo que pueden sugerir y llevar consigo el mensaje de que las políticas, y, los controles de «Compliance» están funcionando efectivamente.
c). Otro elemento al que se le debe prestar una especial atención es el relativo al tiempo de respuesta a los incidentes que se puedan producir dentro de la organización.
Para ello, es necesario concretar y definir el tiempo de respuesta preciso ante la producción de determinado incidente.
Este tiempo es el que media desde la detección de un determinado incidente hasta su resolución final, y en este orden de cosas también se hace necesario concretar los métodos de recogida de información al respecto, y para ello se hace preciso llevar a cabo un monitoreo de los tiempos de respuesta a través de los sistemas de gestión de casos y seguimiento de procesos.
Su importancia radica en su eficiencia operativa, ya que a través de la misma se evalúa la capacidad del equipo de «Compliance» para gestionar y resolver problemas rápidamente.
Y todo ello, debe conducir a una minimización del impacto que puede representar dicho incidente para la organización, y para ello, se debe producir una respuesta rápida e inmediata, lo que conlleva una reducción de las consecuencias negativas que de dicho incidente se deriven para la persona jurídica.
d). Otra métrica que considerar dentro de estas medidas de evaluación, es la referente al número de denuncias recibidas.
En este orden de cosas, hay que analizar los tipos de denuncias recibidas, las cuales pueden incluir comunicaciones de conductas no éticas, fraudes, acoso y otros incumplimientos normativos, y consecuentemente con ello, la organización se debe predisponer a implementar canales de denuncia confidenciales y accesibles, como líneas telefónicas, software adecuado, formularios en línea y buzones físicos, donde se garantice la integridad y la confidencialidad de la información que se contiene en dicha denuncia y/o comunicación, así como los valores que deben presidir su funcionamiento, como puede ser el anonimato de la comunicación formulada.
Todo ello, lleva consigo un elemento que debe ser puesto en valor, y que no es otro, que el de la confianza en este medio, donde la existencia de un alto número de denuncias puede indicar que los empleados confían en el sistema, y, al mismo tiempo, se sienten seguros al reportar irregularidades de todo tipo.
DETECCIÓN TEMPRANA
En todo caso, es importante recordar la necesidad de llevar a cabo una detección temprana de cualquier clase de incidente que tenga impacto en el Modelo de Cumplimiento Normativo, lo que permite anticiparse a la resolución de problemas que pueden ser abordados antes que los mismos escalen en importancia dentro de la propia organización.
e). Dentro del conjunto de métricas que estamos analizando, debe considerarse, la que hace referencia a la tasa de resolución de denuncias.
Con ello se hace fundamentalmente referencia a la proporción de denuncias que han sido investigadas y cerradas y/o archivadas en comparación con el total de denuncias recibidas.
El ámbito de actividad esta métrica hace referencia al seguimiento del estado de cada denuncia desde su recepción hasta su resolución.
En este sentido, es importante poder evaluar la eficacia de la gestión llevada a cabo al efecto, e indica la capacidad del Órgano de «Compliance» para gestionar y resolver denuncias de manera efectiva.
Así, una alta tasa de resolución puede aumentar la confianza de los empleados en el sistema de «Compliance».
f). Otra métrica a la que hay que prestar atención, es la que hace referencia al porcentaje de cumplimiento que se pueda constatar a través del desarrollo de auditorías internas y/o externas.
En primer lugar, debe considerarse el tipo de auditoría que se lleve a cabo, donde se incluyen, entre otras, las auditorías financieras, la de carácter operativo, de la de TI, o la de cumplimiento regulatorio.
Ello exige llevar a cabo revisiones periódicas, y, así como auditorías detalladas realizadas por equipos internos y externos de la organización.
Como resultado de este proceso, se puede producir la llamada “evaluación de conformidad”, la cual mide la conformidad con normativas y políticas internas, identificando aquellas áreas donde sea posible llevar a cabo procesos de mejora en su funcionamiento.
Todo ello conlleva la seguridad de que la organización esté preparada para que se le realicen inspecciones y auditorías de tipo regulatorio, garantizando con ello desde una perspectiva general, el éxito y el buen término de las mismas.
g). Otra métrica importante que considerar a estos efectos es la que hace referencia a la participación de los empleados de la organización en los programas de formación.
En la misma se incluyen capacitaciones sobre las normativas aplicables, la ética empresarial, las políticas internas y el manejo de incidentes, y, normalmente, la información a la que hace referencia, que se obtiene por medio del registro de asistencia y participación en programas de formación y capacitaciones, en la que se constata la intervención efectiva que han tenido los empleados, precisamente en dichos programas de formación.
A través de la misma, se obtiene una información muy valiosa, ya que la misma indica el nivel de conocimiento y conciencia de los empleados sobre el Modelo de «Compliance», teniendo presente, que una formación efectiva puede prevenir incidentes de incumplimiento, al educar a los empleados sobre conductas apropiadas.
h). El coste de los incumplimientos, sin lugar a duda, constituye otra métrica importante a considerar.
Dentro de las evaluaciones a llevar a cabo, hay que considerar la propia definición de coste empresarial, en el que se deben incluir: las multas, las sanciones, los costes legales, y, también, las pérdidas ocasionadas por los daños a la reputación de la organización.
REGISTROS FINANCIEROS Y CONTABLES
En lo que atañe a la forma en la que recopilar la información correspondiente a esta métrica, se encuentran, básicamente, los registros financieros y contables de todos los costes asociados a los incidentes de incumplimiento.
A estos efectos, se debe considerar el impacto financiero que estos costes llevan consigo, ya que ello ayuda a la organización a entender lo que representan los mismos respecto de los incumplimientos producidos, y la necesidad de invertir en programas de «Compliance», a los efectos de evitar su reproducción en un futuro.
Utilizar esta métrica lleva consigo la posibilidad de cuantificar estos costes, y proporcionar datos suficientes para poder justificar la inversión en recursos y tecnologías de Compliance, a los efectos, tal como ha quedado indicado, de evitar la reiteración de los mismos, y poder minimizar su impacto en la organización.
i). Por último, dentro del conjunto de estas métricas a las que se está haciendo alusión, hay que señalar la referente al llamado “índice de satisfacción de ‘Compliance’”.
A través de la misma, se trata de recopilar el «feedback» de los empleados recogiendo su percepción sobre el alcance y el significado del programa de «Compliance».
La información a utiliza, normalmente se obtiene por medio de encuestas anónimas, de entrevistas y de grupos especialmente significados dentro del conjunto de cualquier organización.
Esta métrica mide la percepción de los empleados sobre la efectividad y accesibilidad del programa de «Compliance», y simultáneamente, identifica aquellas áreas donde el programa puede ser mejorado para aumentar la satisfacción y participación de los empleados.
Al lado de estas métricas específicas, se pueden encontrar otros medidores genéricos, que proporcionan información valiosa sobre la gestión del Modelo de Cumplimiento, es función de las necesidades que en cada momento se susciten en el seno de las organizaciones, entre las que cabe destacar las que se citan a continuación:
a). El tiempo medio entre errores: esta medida indica el número de días entre un error del sistema y otro. Si la cifra es alta, indica que el programa ofrece un nivel de protección aceptable en ese aspecto.
b). La diferencia porcentual en el número de errores o fallas del sistema de «Compliance»: mide en términos porcentuales el incremento o descenso del número de errores, que presenta el programa de cumplimiento en un determinado periodo.
c). El tiempo medio de reparación: indica el número medio de horas, días o semanas que tarda el equipo de cumplimiento en solucionar un problema, eliminar la causa raíz y retornar a la normalidad.
d). La operatividad del programa: se obtiene dividendo el tiempo que el programa estuvo operando sin problemas entre el tiempo que el programa debería haber estado funcional al cien por cien.
GESTIÓN AUTOMATIZADA
Del mismo modo, existen también indicadores, que permiten una gestión automatizada del seguimiento en la evolución del Modelo de Cumplimiento Normativo dentro de cualquier organización, y que hacen referencia a la evaluación de la siguiente información, con relación a los aspectos que a continuación se detallan:
a). Con relación al número de problemas de cumplimiento identificados.
b). En lo que atañe al número de problemas abiertos, relacionados con empleados.
c). La evaluación del porcentaje de asuntos pendientes posteriores a la auditoría.
d). El análisis del tiempo de ciclo de investigación de cumplimiento.
e). La verificación del porcentaje de auditorías internas completadas a tiempo[iii].
Por medio de las métricas expuestas, se logra con una mayor facilidad la verificación de los controles y su eficacia que debe presidir la operatividad de un Modelo de Cumplimiento Normativo, y con ello, la evaluación del mismo y el progreso real de dicho Modelo en aras del cumplimiento efectivo de los objetivos que se persiguen, determinándose a partir de la obtención de los resultados de las mismas la posibilidad de una mejora en la calidad de la gestión y en su desempeño, tratando de solucionar de manera preventiva y eficaz las contingencias a las que se pueden enfrentar los programas de «Compliance» dentro del seno de cualquier organización.
[i] Cfr.: “Indicadores de gestión de cumplimiento: midiendo el Compliance”. ESGinnova Group. 4 de junio de 2020.
[ii] Cfr.: CASANOVAS, Alain. “Métrica comparativa en los recursos de Compliance”. KPMG. 4 de abril de 2017.
[iii] Cfr.: “Indicadores de gestión de cumplimiento: midiendo el Compliance”. ESGinnova Group. 4 de junio de 2020. Obra citada.
Otras Columnas por Javier Puyol Montero: