Dejando atrás “KPIs ciegos” de PBC/FT
Muchos de los datos tradicionalmente presentados a la dirección sobre el estado de PBC, son métricas triviales y volátiles. No capturan la exposición al riesgo de la empresa, ni la efectividad de las medidas.
Muchos de los datos tradicionalmente presentados a la dirección sobre el estado de PBC, son métricas triviales y volátiles. No capturan la exposición al riesgo de la empresa, ni la efectividad real de las medidas.
La mayoría de organizaciones miden sus esfuerzos de PBC, fijándose en el “número de falsos positivos”, en el “número de alertas de actividad sospechosa”, y/o en la “tasa de comunicaciones al regulador / alertas detectadas”.
Sin embargo, estos KPIs son mediciones ciegas de la realidad, dicen muy poco sobre la efectividad de tus procedimientos de PBC.
Por ejemplo, si tienes una filial en un país naturalmente de riesgo, sería poco lógico establecer un KPI orientado a “reducir el número de clientes de alto riesgo”, ya que casi todos sus clientes podrían considerarse de alto riesgo.
De KPIs ciegos a KPIs útiles de PBC/FT
Revisión 1: “número de clientes de alto riesgo” 🔍
Para el último ejemplo comentado, “número de clientes de alto riesgo” de una filial en país de riesgo, podrías establecer un KPI de “número de due diligences reforzadas implementadas”, o “tiempo de procesamiento de alertas de actividad sospechosa” para tener una visión más clara del rendimiento de las medidas.
Revisión 2: “número de KYCs vencidos” 🔍
“El número de clientes con KYC vencidos” es una métrica muy analizada por los sujetos obligados que establecen relaciones continuadas con sus clientes. El objetivo es identificar cuántos KYCs deberían haberse actualizado, y no lo han hecho.
El problema de este KPI es que se persigue un número que dice muy poco sobre la eficiencia real del mecanismo de KYC resfresh (actualización).
Un KPI más útil podría ser “nº de procesos de KYC refresh iniciados automáticamente”.
Revisión 3: “número de falsos positivos” 🔍
Otro indicador común es el “número de falsos positivos”, es decir, las alertas de transacciones que son descartadas como falsas alarmas tras ser revisadas.
Una disminución del 20% en falsos positivos podría indicarte una mayor eficacia de vuestro sistema de defensa, o bien podría indicar un notable cambio en los métodos utilizados por los criminales.
En lugar de enfocarte en la cantidad de falsos positivos, asegúrate de que tu sistema de monitoreo de transacciones funciona correctamente y se actualiza regularmente con nuevos escenarios y modelos de riesgo.
En este caso, podrías medir cuánto tiempo te lleva adaptarte a las nuevas regulaciones y/o a las nuevas tendencias delictivas.
Revisión 4: “número de formaciones en AML completadas” 🔍
Como sujeto obligado, necesitas poder confiar en tus empleados implicados en tus procedimientos de PBC, desde la primera línea, hasta la alta dirección.
Esto se puede medir en términos de cursos completados, asistencia a congresos de PBC, etc., sin embargo, esto solo expresa vuestro nivel de cumplimiento de esta obligación regulatoria.
Pero de nuevo, estos datos estarán lejos de indicarte cuán actualizados y preparados estáis. Los KPIs útiles para este caso, podrían ser:
- Tiempo promedio de procesamiento de alertas de actividad sospechosa.
- Número de incumplimientos "no esperados" detectados en auditorías internas.
- Tasa de retención de empleados en roles críticos de PBC/FT.
Los roles críticos conocen bien el riesgo al que se expone una organización. Una mala retención de estos empleados debería hacer saltar todas las alarmas.
Además, necesitas mirar estas métricas durante un período de tiempo prolongado para realmente entender las tendencias y períodos pico, retroalimentar tu medición, y optimizar la definición de tus KPIs.