Las métricas en un Sistema Interno de Información (SII o SCIIS, conforme a la Ley 2/2023) son indicadores cuantitativos y cualitativos utilizados para medir el funcionamiento, la eficacia, la integridad, la trazabilidad, la capacidad de respuesta y la madurez del canal interno de información y de los procesos asociados a la gestión de denuncias, investigaciones internas y protección del informante.
En términos técnicos, las métricas constituyen el sistema nervioso de control, porque permiten transformar un modelo abstracto de cumplimiento en un sistema objetivamente medible, auditable y gobernable.
Sin métricas, el sistema de información interno queda reducido a una estructura formal difícilmente verificable.
Con métricas, el sistema pasa a ser gestionable, monitorizable y susceptible de mejora continua.
Desde la perspectiva del Compliance, las métricas cumplen varias funciones simultáneas: permiten detectar ineficiencias; identifican riesgos de represalias o bloqueo; evidencian desviaciones; facilitan la rendición de cuentas; ayudan a acreditar la diligencia organizativa; permiten detectar patologías culturales; y sirven como prueba de efectividad ante autoridades, tribunales o auditores.
En el examen de las métricas es necesario priorizar la densidad técnica, la trazabilidad y la operatividad, evitando la producción de indicadores decorativos.
Un subsistema de control
La configuración de métricas en un Sistema Interno de Información no debe plantearse como un cuadro estadístico decorativo, sino como un subsistema de control, trazabilidad, supervisión y mejora continua del propio canal y de todo el modelo vinculado con el Canal de Denuncias.
La lógica correcta no es «medir cuántas denuncias entran», sino medir si el sistema es accesible, confiable, diligente, garantista, proporcional, útil para detectar riesgos y, en todo caso, capaz de generar soluciones reales.
Esa aproximación encaja con la finalidad de la Ley 2/2023, con la exigencia de seguimiento diligente de las comunicaciones, con los plazos de acuse y de retorno de la información, y con la necesidad de preservar la confidencialidad, restringir accesos y tratar los datos conforme a criterios de necesidad y de protección.
La primera decisión de diseño consiste en definir para qué sirven las métricas.
En un sistema bien gobernado deben cumplir cinco funciones simultáneas: servir para el control operativo diario; para la supervisión periódica del Responsable del Sistema y del órgano de administración; para generar evidencias de diligencia frente a auditorías e investigaciones; para la detección temprana de fallos estructurales; y para el diseño preventivo del modelo de cumplimiento.
Si las métricas no permiten tomar decisiones, no son de manera efectiva métricas de Compliance, sino una mera analítica de carácter descriptivo.
La Directiva (UE) 2019/1937 exige canales y procedimientos que permitan recibir, dar seguimiento y devolver información en plazos concretos, lo que convierte el dato temporal de calidad de gestión y de efectividad del seguimiento para verificar su evolución, cumplimiento o resultado en un núcleo obligatorio del cuadro de mando.
Las cuatro categorías métricas
La segunda decisión consiste en separar las métricas de actividad, las métricas de calidad, las métricas de garantía y las métricas de impacto.
Este punto es esencial.
Un sistema puede tener mucha actividad y, sin embargo, ser jurídicamente débil o culturalmente fallido.
Por ejemplo, recibir muchas comunicaciones puede significar tener confianza en el canal, pero también puede indicar la existencia de un conflicto organizacional, una mala gestión preventiva o, incluso, un uso del sistema como buzón generalista.
Del mismo modo, tener pocas comunicaciones no significa necesariamente buena cultura; puede revelar la existencia de miedo, la falta de conocimiento del canal o la desconfianza que se produce sobre el mantenimiento efectivo de la garantía de la confidencialidad.
Por eso las métricas deben interpretarse siempre dentro de un contexto y con una proyección en series temporales, nunca de forma aislada.
La AEPD, al abordar estos sistemas, insiste en la necesidad de preservar la confidencialidad, en limitar accesos, en informar adecuadamente al destinatario de la información y en diseñar el tratamiento de datos con criterios de proporcionalidad y de minimización; por tanto, el modelo métrico también debe vigilar la eficiencia de esas garantías, y no solo los volúmenes de entrada.
Las ocho capas del marco métrico
La configuración práctica correcta pasa por construir un marco de métricas en ocho capas, que son las que se indican seguidamente.
La primera capa es la de accesibilidad y el uso del sistema.
Aquí se debe medir el número total de informaciones recibidas por período; la tasa de crecimiento o el descenso intermensual e interanual; la distribución de actuaciones en función del canal de entrada, distinguiendo la plataforma web, el correo, sea este presencial, verbal, postal u otros medios habilitados al efecto; el porcentaje de las comunicaciones anónimas frente a aquellas identificadas; el porcentaje de comunicaciones admitidas frente a aquellas otras que son inadmitidas; el porcentaje de comunicaciones erróneamente presentadas en el canal por tratarse de materias ajenas que exceden de la competencia objetiva del mismo; y el tiempo medio desde el hecho reportado hasta la realización efectiva de la comunicación, cuando pueda estimarse.
Estas métricas sirven para saber si el sistema es conocido, usable y se encuentra correctamente canalizado.
Si la mayoría de las entradas o comunicaciones llegan por vías informales ajenas al sistema, es posible que exista un problema de diseño o de confianza con relación al mismo.
La Ley 2/2023 exige que el sistema sea accesible y permita presentar informaciones incluso verbalmente, y que disponga de cauces efectivos de gestión, de modo que medir la intensidad de las entradas es una obligación funcional, no una simple preferencia operativa.
La segunda capa es la que hace referencia al cumplimiento procedimental y SLA regulatorios o acuerdos de nivel de servicio.
En este sentido, deben fijarse métricas muy precisas, con umbrales concretos y bien definidos.
Se trata, por ejemplo, del tiempo medio de acuse de recibo; del porcentaje de acuses enviados dentro del plazo de siete días; del tiempo medio hasta la admisión o inadmisión inicial; del tiempo medio hasta la primera actuación de análisis; del tiempo medio de investigación; del porcentaje de expedientes con información de retorno dada al informante dentro del plazo máximo de tres meses, o dentro de la extensión legalmente admisible cuando ello sea procedente; del porcentaje de expedientes paralizados; de la antigüedad media de expedientes abiertos; de los expedientes que han sido reabiertos; y la acumulación estructurada de tareas, de solicitudes, de incidencias o de trabajos pendientes de ejecución por tramo temporal —por ejemplo, 0-30 días, 31-90, 91-180 y más de 180 días—.
Estas son las métricas críticas, porque la Directiva y la Ley fijan precisamente el deber de acusar recibo de la comunicación recibida en el plazo de siete días, y las conclusiones con relación a la misma en un plazo razonable que no debe ser superior a tres meses, con lo que cualquier desviación reiterada deja de ser un problema organizativo y pasa a convertirse en un problema de cumplimiento.
La tercera capa es la de calidad del triaje y la clasificación.
Se debe medir el porcentaje de informaciones clasificadas por tipología de riesgo —por ejemplo: la corrupción, el fraude, el conflicto de interés, el acoso, las represalias, la protección de datos, la competencia, los riesgos contables, los riesgos laborales, la seguridad de la información o la conducta ética—; el porcentaje de reclasificaciones posteriores; el porcentaje de expedientes que exigen, por las razones que sean, un escalado a asesoría jurídica, a RR. HH., al departamento de seguridad, a la auditoría interna o al DPO; el porcentaje de denuncias duplicadas; la ratio de comunicaciones con información suficiente para iniciar un análisis; y la ratio de comunicaciones descartadas por la carencia objetiva de contenido mínimo.
Esta capa sirve para comprobar si el sistema está recibiendo datos de calidad y si quien gestiona el triaje está aplicando criterios homogéneos.
Cuando la reclasificación posterior es muy alta, normalmente pueden existir distorsiones de funcionamiento en el formulario de entrada, en el protocolo de admisión o en la capacitación del equipo gestor.
La cuarta capa es la que hace referencia a las garantías del informante, de la persona afectada y del tercero mencionado.
En consonancia con ello, deben existir métricas cuyo objeto específico son la confidencialidad y la protección de la persona en cuestión.
Por ejemplo, hay que considerar el porcentaje de expedientes con acceso restringido correctamente configurado; el número de incidencias de acceso no autorizado o intentos de acceso; el porcentaje de expedientes con evaluación de conflicto de intereses del gestor; el número de solicitudes de protección frente a represalias; el número de represalias alegadas; el tiempo medio de activación de medidas de protección; el porcentaje de expedientes en los que se documentó la información debida a la persona afectada en el momento procesal oportuno; y el número de incidencias producidas por la revelación indebida de identidad.
En paralelo, conviene medir el cumplimiento de los derechos y garantías de la persona afectada, y todo ello sin comprometer el desarrollo de la investigación.
La AEPD ha insistido en que estos sistemas deben impedir accesos no autorizados, preservar la identidad y garantizar la confidencialidad de denunciantes, afectados y terceros, lo que obliga a traducir esas exigencias en indicadores verificables.
Protección de datos, resultados y cultura
La quinta capa es la de protección de datos y seguridad de la información.
Esta capa debe estar completamente integrada con el registro de actividades de tratamiento y con la seguridad del sistema.
En este sentido, las métricas indispensables son las que hacen referencia a los siguientes aspectos: el porcentaje de expedientes con base jurídica y finalidad correctamente mapeadas; el porcentaje con análisis de minimización documental; la ratio de documentos o de campos eliminados por no pertinencia; el tiempo de conservación efectiva y de control de vencimientos; los expedientes bloqueados o suprimidos conforme al calendario definido; el número de incidentes de seguridad del canal; el porcentaje de expedientes cifrados o con seudonimización adicional cuando proceda; los resultados de la revisión periódica de permisos; los logs de acceso completos; y los tiempos de respuesta ante incidentes relacionados con el sistema.
Desde la óptica de la AEPD, la entidad u organización responsable del SII suele ostentar la condición de responsable de tratamiento respecto de la operativa del canal, por lo que no basta con «tener canal»: hay que poder demostrar que el tratamiento derivado del mismo está efectivamente gobernado, se encuentra limitado y debidamente protegido.
La sexta capa es la correspondiente a la investigación llevada a cabo y su consiguiente reacción organizativa.
En ella se mide qué produce realmente el sistema.
Al hilo de ello, cabe mencionar las siguientes métricas: el porcentaje de expedientes archivados por falta de fundamento; el porcentaje de expedientes confirmados total o parcialmente; el porcentaje de expedientes que terminan en acción correctiva; el número de medidas disciplinarias propuestas y ejecutadas; el número de controles rediseñados tras una investigación; el tiempo medio de implantación de medidas correctoras; el porcentaje de reincidencia en función de la tipología de riesgo; y el porcentaje de acciones correctivas cerradas eficazmente, frente a las simplemente abiertas.
Esta capa es decisiva, porque el sistema interno de información no se justifica solo para recibir comunicaciones, sino para convertirlas en tareas de investigación, en decisión y en la solución de las cuestiones planteadas.
Un canal con mucha entrada de comunicaciones y nula capacidad transformadora es un canal meramente formal.
La Directiva exige un seguimiento efectivo, y no una simple recepción pasiva.
La séptima capa es la de cultura de confianza y speak up.
Esta es la parte peor medida en la realidad práctica.
Se debe observar la tasa de uso del canal en relación con la plantilla y con los terceros vinculados al mismo; la evolución del porcentaje de comunicaciones anónimas; la tasa de comunicaciones por unidad de negocio o geografía; la correlación entre formaciones impartidas y el uso del sistema; los resultados de las encuestas de conocimiento del canal; la percepción relativa a la garantía de confidencialidad; la percepción de la ausencia de represalias; el porcentaje de personas que afirman saber cómo reportar; y el porcentaje que cree que la organización actúa cuando recibe una comunicación.
La interpretación aquí es delicada, ya que un incremento inicial de reportes tras campañas de formación puede ser un indicador positivo de la existencia de confianza, no de un empeoramiento ético.
Del mismo modo, un exceso crónico de anonimato en determinadas áreas puede señalar la existencia de un miedo estructural.
La finalidad protectora de la Ley 2/2023 hace que la ausencia de represalias y la credibilidad del sistema no sean aspectos accesorios de la cultura de cumplimiento, sino elementos nucleares de su eficacia jurídica y práctica.
Gobernanza y supervisión del órgano de administración
La octava capa es la correspondiente a la gobernanza y la supervisión del órgano de administración.
Aquí debe medirse la frecuencia de reporting al Responsable del Sistema y al órgano de gobierno; el porcentaje de reuniones con revisión expresa del cuadro de mando; las decisiones adoptadas a partir de tendencias del sistema; las incidencias relativas al conflicto de interés en el gestor del canal; la dotación de recursos del sistema; la ratio de expedientes por gestor; las horas de formación especializada invertida en el personal responsable; y las revisiones independientes del procedimiento y de la herramienta.
Esto conecta directamente con la exigencia de que los responsables del tratamiento y los gestores de estos sistemas actúen con diligencia, formación y controles suficientes.
La Directiva prevé la necesidad de personal formado para manejar informaciones y para realizar el seguimiento de manera adecuada, teniendo presente que es la propia estructura de la Ley 2/2023 la que presupone un sistema gestionado con independencia funcional y con trazabilidad.
La ficha técnica de cada indicador
Para que estas capas funcionen, la configuración técnica debe hacerse mediante una matriz métrica completa con, al menos, los siguientes campos por indicador: nombre del KPI o KRI; definición exacta; fórmula de cálculo; finalidad de control; fuente de datos; periodicidad; propietario del dato; responsable de revisión; umbral objetivo; umbral de alerta; umbral crítico; acción asociada en caso de desviación; y destinatario del reporte.
Sin esta ficha técnica de cada indicador, el sistema se vuelve inconsistente, porque cada persona interpreta el dato de una manera.
Por ejemplo, no es lo mismo medir el «tiempo de investigación» desde la recepción que desde la admisión, ni es lo mismo contar expedientes «cerrados» que expedientes «resueltos con remediación validada».
La definición debe ser cerrada y auditable.
Un cuadro de mando mínimo necesario en una organización media incluiría, al menos, estos quince indicadores troncales: el volumen total de comunicaciones por mes; el porcentaje de comunicaciones anónimas; el porcentaje de acuse dentro de siete días; el tiempo medio de admisión; el tiempo medio de cierre; el porcentaje de aceptación dado en plazo; la distribución por tipología de riesgo; la tasa de confirmación de casos; el porcentaje de expedientes con medida correctiva; el porcentaje de acciones correctoras cerradas en plazo; el número de incidencias de confidencialidad; el porcentaje de expedientes con accesos revisados; la ratio de represalias alegadas; el índice de acumulación estructurada de tareas, solicitudes, incidencias o trabajos pendientes de ejecución superior a 90 días; y el índice de conocimiento o familiarización de la plantilla con el funcionamiento del canal.
Con eso se tendría una visión razonable del uso, de la diligencia, de la garantía, de la eficacia y de la cultura del funcionamiento del SII.
Los plazos de siete días para el acuse de recibo con relación a las comunicaciones recibidas y de tres meses para el retorno informativo tienen un respaldo directo en el contenido de la Directiva y, tal como se ha apuntado anteriormente, se reflejan también en la lógica de la Ley 2/2023, por lo que deben quedar siempre en el núcleo del panel visual de control que integre, organice y muestre los indicadores clave (KPIs/KRIs) para facilitar su monitorización y la toma de decisiones.
A nivel de riesgo metodológico, conviene evitar cinco errores muy frecuentes en la aplicación de las métricas en el SII.
El primero consiste en medir solo la cantidad y no la calidad.
El segundo, en premiar tiempos de cierre demasiado agresivos, porque eso incentiva normalmente cierres pobres, inadmisiones precipitadas o investigaciones superficiales.
El tercero, en usar métricas que permitan identificar innecesariamente a informantes o afectados en reportes de alta dirección.
El cuarto, en no segmentar por tipología de riesgo, lo que oculta que un canal puede funcionar bien para fraude pero mal para acoso o represalias.
El quinto consiste en convertir el KPI en un objetivo ciego; por ejemplo, exigir «bajar el número de denuncias», ya que puede generar una disuasión ilícita del reporte.
Desde la óptica de la protección de datos, además, el cuadro de mando debe trabajar con factores de agregación y de minimización, de forma que el reporting a órganos de supervisión se haga siempre con la menor cantidad de datos personales posible y con un acceso estrictamente limitado a aquella información que es necesario conocer a los efectos de la investigación.
También es recomendable distinguir entre los KPI y los KRI.
Los KPI miden el desempeño del sistema.
Los KRI miden señales de riesgo derivadas de la información recibida.
Un KPI sería el porcentaje de acuses remitidos en siete días.
Un KRI sería el crecimiento del 40 % de comunicaciones sobre represalias en una unidad concreta en dos trimestres consecutivos.
Un KPI sería el tiempo medio de cierre.
Un KRI sería la concentración anómala de casos de conflicto de interés en una misma cadena de mando.
Esto es importante porque el Sistema Interno de Información no debe verse solo como un mecanismo procedimental, sino como un sensor privilegiado del riesgo corporativo.
En cuanto a la periodicidad de las métricas a aplicar al SII, conviene operar en tres niveles.
En primer término, las métricas operativas semanales para el equipo gestor, centradas en los plazos, en la acumulación estructurada de tareas, solicitudes, incidencias o trabajos pendientes de ejecución, en los accesos y los casos críticos.
En segundo lugar, las métricas mensuales para el Responsable del Sistema, donde se debe poner el foco en las tendencias, en las tipologías, en las garantías, en los recursos y en las soluciones a adoptar.
En tercer lugar, las métricas trimestrales o semestrales para el órgano de administración o comisión competente, ya agregadas, comparadas con otros periodos anteriores y acompañadas de decisiones de gestión.
Esta escalera de reporting evita dos extremos igualmente perjudiciales: que el órgano de gobierno reciba un detalle excesivo e impropio, o que reciba un resumen tan abstracto que en la práctica se le impida cualquier clase de supervisión y control de lo actuado y sus circunstancias.
Desde el punto de vista de arquitectura documental, la configuración métrica debe quedar reflejada en cinco documentos del sistema: la política del Sistema Interno de Información; el procedimiento de gestión de informaciones; la política de protección de datos y la conservación de los mismos; el protocolo de reporting al órgano de administración; y la ficha técnica del cuadro de mando.
Si no está documentado ahí, después será muy difícil defender ante una auditoría, o en sede inspectora, que el sistema está gobernado y no improvisado.
La propia documentación institucional de los organismos públicos que han implementado sistemas conforme al mandato de la Ley 2/2023 insiste en los principios, el procedimiento de gestión, el registro y la conservación de actuaciones, lo que refuerza la necesidad de que la métrica se encuentre efectivamente formalizada y no dispersa.
Las métricas deben demostrar que la accesibilidad, la diligencia, la confidencialidad, la ausencia de represalias, la calidad investigadora y la capacidad de remediación constituyen una realidad en la práctica.
Si una organización puede probar la existencia de estos elementos con evidencia periódica, su Sistema Interno de Información estará razonablemente bien parametrizado.
Si solo puede mostrar un número de denuncias y el estado abierto/cerrado, el sistema estará en una posición de retraso y subdesarrollo.
