En la era actual, donde las organizaciones enfrentan entornos regulatorios cada vez más complejos, las exigencias sociales sobre ética empresarial aumentan y los riesgos reputacionales pueden escalar rápidamente debido a la globalización y la inmediatez de las redes sociales, el cumplimiento normativo (Compliance) ha dejado de ser un área meramente reactiva para convertirse en un elemento estratégico dentro de las organizaciones.
Sin embargo, para que el área de Compliance aporte verdadero valor a la organización, es fundamental que su desempeño pueda medirse y evaluarse de manera objetiva y sistemática.
Aquí es donde entran en liza los KPI’s (Key Performance Indicators o Indicadores Clave de Desempeño) y donde juegan un papel determinante en el ámbito del Compliance.
Los KPI’s permiten cuantificar la eficacia de los sistemas de cumplimiento, medir su impacto en la organización, y, orientar la toma de decisiones estratégicas basadas en datos.
Además, facilitan la detección temprana de riesgos, la identificación de áreas de mejora, y, la alineación del programa de Compliance con los objetivos generales de la organización.
En este análisis se explorarán todos los aspectos relevantes sobre los KPI’s en el ámbito del Compliance: su definición, su importancia estratégica, las diferentes categorías de indicadores aplicables, las metodologías para su diseño e implementación, así como, las mejores prácticas, y, los desafíos más comunes a los que se enfrentan las organizaciones al utilizarlos.
QUÉ SON LOS KPI’S
Los KPI’s en Compliance son básicamente métricas, que permiten evaluar de forma cuantitativa y cualitativa el grado de eficacia, la eficiencia, y, la alineación de los programas de cumplimiento normativo con los objetivos estratégicos de la organización.
Estos indicadores miden aspectos esenciales en Compliance, como pueden ser: el nivel de adhesión a las normativas legales y regulatorias, la efectividad de los controles internos, el grado de concienciación ética de los empleados, el desempeño en la gestión de riesgos, y, la capacidad de respuesta ante posibles incidentes de incumplimiento.
Los KPI’s en Compliance no solo sirven para «medir el cumplimiento», sino también para entender cómo los procesos internos impactan en la sostenibilidad, la reputación, la cultura organizacional, y, la resiliencia empresarial frente a riesgos legales, financieros, y, reputacionales.
Cabe preguntarse por qué razón son necesarios los KPI’s en el Compliance, y la respuesta a ello, es que, precisamente, aquella que señala que el Compliance no puede gestionarse adecuadamente, si no se mide la efectividad en su desempeño.
Las razones principales para implementar KPI’s en un programa de cumplimiento normativo, son las siguientes:
a). A los efectos de poder medir y cuantificar la eficacia del sistema de Compliance.
Así, los KPI’s permiten evaluar, si las políticas, los procedimientos, y, los controles están funcionando correctamente, tal como se esperaba.
b). Hacer efectiva la finalidad de poder identificar los riesgos potenciales, a través del análisis de los KPI’s, lo que permite detectar las áreas críticas dentro de una organización, y, al hilo de ello, adoptar aquellas medidas preventivas antes de que surjan los problemas.
c). El poder facilitar la toma de decisiones, teniendo presente que los datos objetivos obtenidos a partir de los KPI’s sirven como base para la toma de decisiones estratégicas y operativas.
d). El hecho de demostrar el valor del Compliance, ya que permiten a la alta dirección, y, a los grupos de interés comprender el impacto real del programa de cumplimiento, y, justificar la inversión en esta área.
e). El hecho de cumplir con las exigencias regulatorias, ya que, en muchos sectores, las autoridades regulatorias exigen reportes periódicos sobre el grado de cumplimiento normativo de las organizaciones.
Pero no todos los indicadores son adecuados para evaluar el cumplimiento normativo.
CONDICIONES QUE DEBEN REUNIR LOS KPI’S
Para que un KPI aporte valor real, debe reunir ciertas características clave:
a). Los KPI’s tienen que ser específicos.
Cada KPI debe centrarse en un aspecto concreto del programa de cumplimiento.
Por ejemplo, en lugar de un genérico «cumplimiento normativo», se puede medir el «porcentaje de contratos revisados según la normativa vigente».
b). Los KPI’s tienen que ser medibles.
El indicador debe basarse en datos cuantificables que permitan evaluar el desempeño de forma objetiva.
c). Los KPI’s tienen que corresponderse con objetivo que tienen que ser alcanzables.
Los KPI’s deben ser realistas y reflejar metas que objetivamente puedan ser conseguidas, evitando en todo caso, expectativas imposibles de cumplir.
d). Los KPI’s tienen que ser relevantes.
Deben estar alineados con los objetivos estratégicos del programa de Compliance, y de la organización en su conjunto.
e). Los KPI’s tienen que ser temporales.
MARCO TEMPORAL DE MEDICIÓN
Es necesario establecer un marco temporal para la medición, permitiendo comparar resultados a lo largo del tiempo.
A los efectos de obtener KPI’s eficaces, habitualmente se suele utilizar una tecnología denominada KPI’s SMART para Compliance.
La metodología SMART es ampliamente utilizada para la definición de KPI’s eficaces.
Según este enfoque, los KPI’s deben ser:
• S (Specific / Específicos): Enfocados en un aspecto concreto.
• M (Measurable / Medibles): Cuantificables de manera objetiva.
• A (Achievable / Alcanzables): Realistas y logrables.
• R (Relevant / Relevantes): Pertinentes para la estrategia de Compliance.
• T (Time-bound / Limitados en el tiempo): Medibles en un período determinado.
CLASES DE KPI’S
Los KPI’s en Compliance pueden clasificarse según la dimensión del programa que evalúan.
Seguidamente es procedente indicar las principales categorías en las que se clasifican los KPI’s,
a). Los KPI’s de cumplimiento normativo y legal.
Evalúan el grado de adhesión de la organización a las leyes, reglamentos y normativas aplicables, entre los que se encuentran, a título de ejemplo, los siguientes:
(i) el número de infracciones legales registradas en el último año; (ii) el porcentaje de cumplimiento en auditorías regulatorias; (iii) el volumen de multas y sanciones impuestas por las autoridades; (iv) la tasa de cumplimiento de normativas sectoriales específicas (ej.: protección de datos, seguridad laboral).
b). Los KPI’s de gestión de riesgos.
Analizan la eficacia de las políticas y procedimientos implementados para identificar, evaluar y mitigar riesgos legales, financieros y reputacionales, entre los que se encuentran, a título de ejemplo, los siguientes:
(i) el número de riesgos críticos detectados; (ii) el porcentaje de riesgos mitigados frente al total identificado; (iii) el tiempo promedio de resolución de incidentes de riesgo; (iv) el índice de riesgos emergentes no contemplados en auditorías previas.
c). Los KPI’s relativos a la ética y cultura corporativa.
Evalúan el grado de concienciación y compromiso de la organización con la ética y los valores corporativos, entre los que se encuentran, a título de ejemplo, los siguientes:
(i) el porcentaje de empleados capacitados en ética y cumplimiento; (ii) el número de denuncias registradas a través de canales internos; (iii) el nivel de satisfacción de los empleados con la cultura de integridad (encuestas internas); (iv) la frecuencia de violaciones al código de conducta.
d). Los KPI’s de formación y concienciación.
Analizan la efectividad de los programas de formación sobre cumplimiento normativo y ética empresarial, entre los que se encuentran, a título de ejemplo, los siguientes: (i) el porcentaje de empleados que completaron formaciones obligatorias; (ii) el número de sesiones formativas impartidas por año; (iii) la tasa de retención de conocimientos tras la formación (evaluaciones post-curso); (iv) la frecuencia de formación en áreas de alto riesgo (ej.: prevención de blanqueo de capitales).
e). Los KPI’s de control interno y auditoría
Miden la eficacia de los controles implementados para prevenir, detectar y corregir posibles incumplimientos, entre los que se encuentran, a título de ejemplo, los siguientes: (i) el número de auditorías internas realizadas por periodo; (ii) el porcentaje de auditorías con hallazgos críticos; (iii) el tiempo promedio de resolución de no conformidades detectadas; (iv) la tasa de éxito en auditorías externas.
f). Los KPI’s de gestión de crisis y reputación
Evalúan la capacidad de la organización para gestionar crisis y proteger su imagen pública, entre los que se encuentran, a título de ejemplo, los siguientes: (i) el tiempo medio de respuesta ante incidentes reputacionales; (ii) el número de crisis gestionadas exitosamente; (iii) el nivel de impacto mediático tras una crisis; (iv) el porcentaje de clientes recuperados tras eventos críticos.
g). Los KPI’s de Responsabilidad Social Corporativa (RSC) y Sostenibilidad
En organizaciones con un enfoque en la sostenibilidad y la ética social, es importante medir la contribución del programa de Compliance a estos objetivos, entre los que se encuentran, a título de ejemplo, los siguientes: (i) el porcentaje de proveedores evaluados según criterios éticos y medioambientales; (ii) el número de proyectos alineados con los Objetivos de Desarrollo Sostenible (ODS); (iii) la reducción de la huella de carbono derivada de las actividades empresariales; (iv) el porcentaje de cumplimiento en políticas de diversidad e inclusión.
IMPLEMENTACIÓN DE KPI’S EN EL PROGRAMA DE COMPLIANCE
En lo que se refiere al diseño y a la implementación de KPI’s en el Programa de Compliance, debe tenerse en cuenta que dicho proceso debe ser estructurado, y, considerar entre otros aspectos, las particularidades de la organización, el sector en el que opera, y, los marcos normativos que le son aplicables.
En cuanto a las etapas del implementación de dicho proceso, se distinguen las siguientes:
a). La definición de los objetivos estratégicos.
Se trata de identificar los fines específicos del sistema de Compliance (v.gr.: minimizar sanciones legales, fortalecer la cultura ética, reducir riesgos reputacionales).
b). El análisis del entorno normativo.
En esta etapa procede estudiar las leyes, regulaciones y estándares sectoriales para identificar las áreas críticas de cumplimiento. La identificación de riesgos más importantes.
En este momento, es procedente evaluar los principales riesgos legales, financieros y reputacionales que enfrenta la organización.
c). La selección de KPI’s pertinentes.
En esta fase es procedente llevar a cabo la elección de los indicadores que reflejen fielmente el desempeño en las áreas críticas identificadas.
d). El establecimiento de metas y umbrales.
Aquí hay que proceder a definir valores de referencia y niveles aceptables para interpretar los resultados.
e). La recogida y el análisis de datos obtenidos.
En esta etapa hay que implementar los sistemas y las herramientas para recopilar información de manera eficiente y precisa.
f). Y finalmente, la evaluación y la revisión periódica de los resultados obtenidos.
CONTROLAR LOS RESULTADOS DE LOS KPI’S
Para ello, en este momento es necesario monitorizar los resultados de los KPI’s de forma continua y realizar ajustes cuando sea necesario.
En todo caso, una gestión eficiente de KPI’s requiere sistemas tecnológicos adecuados, que faciliten la recopilación, el análisis y la visualización de datos.
Entre las principales herramientas utilizadas se encuentran:
a). El software GRC (Governance, Risk and Compliance), el cual permite integrar la gestión de riesgos, el cumplimiento normativo y el control interno en una única plataforma.
b). Los sistemas de Business Intelligence (BI), que facilitan la creación de cuadros de mando dinámicos para la visualización de KPI’s en tiempo real.
c). Las plataformas de e-learning, las cuales son utilizadas para el seguimiento de la formación en ética y cumplimiento.
d). Los sistemas de gestión documental, cuya finalidad se encuentra dirigida a centralizar las políticas internas, los informes de auditoría, y, también los propios resultados obtenidos a través de la utilización de los KPI’s.
No obstante, todo lo anterior, debe tenerse presente, que la constante evolución de las normativas puede dificultar la actualización de los KPI’s y exigir ajustes continuos en los sistemas de medición.
Así, por ejemplo, la falta de datos precisos y actualizados puede distorsionar los resultados y limitar la utilidad de los KPI’s, y en ocasiones, la implementación de KPI’s puede generar resistencia por parte de los empleados si estos los perciben como instrumentos de control excesivo.
Del mismo modo, incluir demasiados KPI’s puede diluir la atención sobre los aspectos más críticos. Es fundamental priorizar indicadores estratégicos.
MEJORES PRÁCTICAS
En todo caso, dentro de la aplicación de los KPI’s, se deben incluir las mejores prácticas en la implementación de los KPI’s en Compliance, y ello incluye cuestiones que se deben tener en consideración, como las que se indican seguidamente:
a). Es necesario llevar a cabo un enfoque en riesgos críticos, lo que supone priorizar la medición de aquellos riesgos con mayor impacto potencial en la organización.
b). La aplicación de los KPI’s tiene que estar siempre vinculada a la actualización y mejora continua del sistema de cumplimiento normativo, adoptado por una organización, lo que conllevar el hecho de revisar y ajustar los KPI’s de manera periódica para adaptarlos a cambios normativos o estratégicos.
c). La aplicación de los KPI’s debe ir unida, asimismo, a programas de formación y de sensibilización de las personas vinculadas con un modelo de cumplimiento, lo que supone capacitar en la práctica al personal sobre la importancia de los KPI’s, y, su rol en la gestión del cumplimiento.
d). Es incompatible implementar KPI’s en una persona jurídica, sin que ello lleve unido la aplicación de un principio de transparencia en la publicitación de los resultados obtenidos.
De este modo, es necesario compartir los resultados con las partes interesadas relevantes con la finalidad de fortalecer de manera efectiva la rendición de cuentas.
e). Y finalmente, la exigencia del uso de tecnología, lo que conlleva implementar herramientas digitales que automaticen la recopilación y análisis de datos.
Consecuentemente con ello, hay que reiterar que los KPI’s en el ámbito del Compliance son instrumentos clave para medir el rendimiento del programa de cumplimiento normativo, identificar áreas de mejora, optimizar recursos, y, mitigar la existencia de los riesgos legales, financieros y de carácter reputacional.
Su correcta implementación permite a las organizaciones alinear sus políticas y procedimientos con los objetivos estratégicos, fomentar una cultura ética sólida, y, al mismo tiempo, poder garantizar la transparencia, y, la rendición de cuentas frente a los grupos de interés.
En un entorno empresarial cada vez más complejo y regulado, donde la ética, la sostenibilidad, y, la transparencia es altamente valoradas, las organizaciones que gestionen sus sistemas de Compliance de manera estratégica, y, basada en datos estarán mejor posicionadas para afrontar los desafíos presentes y futuros.
Los KPI’s no solo sirven para medir el grado de cumplimiento normativo, sino que también reflejan el compromiso de la organización con la integridad, y, la responsabilidad social, los cuales constituyen los pilares esenciales para su sostenibilidad y su crecimiento a largo plazo.