Métricas imprescindibles en un sistema de compliance ISO 37301
Con la reciente publicación del nuevo estándar de gestión de cumplimiento, su efectividad estará bajo la lupa durante un buen tiempo. Pero, aún después, cuando hayan transcurrido algunos años, el sistema de compliance ISO 37301 tendrá que ser comprobado y las organizaciones necesitarán saber con certeza si es efectivo.
Algunas organizaciones medirían el desempeño de su sistema de compliance ISO 37301 con base en las sanciones financieras o el valor de las pérdidas que lograron evitar. Esto puede resultar apropiado para ellas, pero dejar de adoptar métricas confiables para evaluar un sistema de compliance ISO 37301 puede ocultar problemas o generar una sobreestimación del desempeño de la gestión de cumplimiento. Fallas y éxitos pueden pasar desapercibidos, siendo igualmente perjudicial lo uno que lo otro.
Para evaluar el desempeño de un sistema de compliance ISO 37301, la organización debe identificar e implementar métricas que no solo identifiquen lo qué va bien, sino también lo que está fallando, para saber dónde aprovechar oportunidades y dónde es preciso actuar para mejorar.
Medir la efectividad de un sistema de compliance ISO 37301 – Métricas efectivas
Un factor importante a considerar antes de hablar de las métricas más efectivas para medir el rendimiento de un sistema de compliance ISO 37301, es el avance tecnológico que hoy impacta positivamente la gestión de cumplimiento.
Antes, las organizaciones tenían que esperar el fin de año para juzgar el desempeño de todas las áreas de la organización. Hoy contamos con soluciones que automatizan la gestión y ofrecen informes inmediatos, en tiempo real. Así, es posible contar con datos e información confiable y oportuna para implementar las siguientes métricas:
Tiempo medio para informar un problema
Esta métrica evalúa la capacidad del sistema para encontrar un problema en la gestión de cumplimiento con base en el tiempo que toma identificarlo e informarlo. Si el tiempo medio es muy alto, indica que el problema se encuentra en el área de supervisión del cumplimiento.
Muchos Sistemas de Gestión cuentan con herramientas que automatizan la gestión, ofreciendo informes inmediatos que ayudan a descubrir problemas de forma oportuna. Esto facilita identificar los momentos críticos en la evolución del problema, desde su origen hasta su descubrimiento, lo que de otra forma requeriría una investigación, entrevistas o, incluso, un análisis forense.
Tiempo medio para resolver el problema
Los Sistemas de Gestión de Cumplimiento no deberían sólo ayudar con el descubrimiento de problemas, sino que también deberían tener un impacto significativo en el tiempo que lleva implementar una solución y verificar que esta ha resultado efectiva.
Si el tiempo de resolución de un problema es demasiado alto, indica que el problema radica en la capacidad del equipo de compliance para investigar el problema e implementar las correspondientes acciones correctivas.
Nuevamente, una solución tecnológica se convierte en un aliado excepcional. De otra forma, es posible que se obtenga un tiempo medio correspondiente a un número significativo de problemas, lo que finalmente entrega un dato distorsionado, lo que no sucede cuando se tiene la oportunidad de conocer el tiempo medio de cada uno de los problemas, o de ellos agrupados por área, o por alguna otra característica común.
Coste de resolución de un problema
Calcular el ROI del sistema de compliance ISO 37301 es sin duda información valiosa para evaluar su rendimiento. Muchas organizaciones se abstienen de automatizar la gestión, pensando en costes en lugar de inversión.
Con o sin automatización, el coste de resolución de un problema es un indicador clave para medir la eficacia del sistema. Todos sabemos que los recursos no son ilimitados y, cuando la solución es más costosa que el coste financiero que hubiese tenido el problema, algo no va bien.
Una forma de calcular esta métrica es dividiendo el presupuesto total del sistema, entre la cantidad de problemas resueltos. Simple, efectivo, pero no siempre coherente.
Una solución automatizada puede ofrecer información más precisa y relevante, sobre el coste exacto para cada problema resuelto.
Diferencia entre el impacto pronosticado y el impacto real de los riesgos
La capacidad para determinar el impacto negativo de un riesgo y, en consecuencia, planificar la respuesta, es una necesidad imprescindible en un sistema de gestión de compliance.
La gestión de riesgos siempre implicará un grado de predicción que, por tanto, nunca será idéntico al que se evalúe cuando el riesgo ocurra. Sin embargo, cuanto menos sea la brecha, entre lo pronosticado y lo real, mayor calificación obtendrá el sistema de compliance ISO 37301.
Tan malo es pensar que un riesgo tiene una gravedad baja, para descubrir en la realidad que su impacto es negativo en grado superlativo, como evaluar en forma incorrecta un riesgo y calificarlo de gravedad alta, cuando su impacto es poco sensible.
Pero ¿cómo dimensionar la brecha? Se trata por supuesto de una calificación cualitativa, que no obstante, puede tener una estimación financiera. Por supuesto, contando con la herramienta tecnológica adecuada.
Tiempo medio para la implementación de acciones correctivas
Consideramos un problema resuelto cuando identificamos la causa raíz y sabemos cuál es la acción apropiada para resolverlo y evitar la repetición. A eso nos referimos en el segundo ítem que hemos visto.
Pero, en la práctica, ¿cuánto tiempo toma implementar la acción correctiva para eliminar o mitigar el riesgo? Pues la métrica de tiempo medio para la implementación de acciones correctivas mide el espacio de tiempo que transcurre entre el descubrimiento del problema y la implementación efectiva de las acciones necesarias para tratarlo, bien sea mitigándolo o eliminándolo.
Software ISO 19600 de ISOTools
Es claro que uno es el escenario de evaluación de un sistema de compliance, con aporte tecnológico, y otro sin él. Si buscamos una solución que automatice la gestión de cumplimiento y ayude a la organización a mejorar las métricas de rendimiento, el Software ISO 19600 de ISOTools es la herramienta indicada.
Asegure el cumplimiento legal y normativo de su organización. Consulte a uno de nuestros asesores.