La sopa de letras es un plato simpático para los niños. Muchos lo hemos tomado en muestra infancia y continuamos haciéndolo. Observamos en esa comida un caos de caracteres y, entre cucharadas, hay quien juega a descubrir alguna palabra por azar. Imaginemos que, de manera espontánea, se alineasen perfectamente los caracteres que forman nuestro nombre y apellidos ¿Qué pensaríamos?
Existen hechos que díficilmente podemos atribuir al azar, dado que sus probabilidades de ocurrencia espontánea son despreciables, y denotan intencionalidad. Un plato de sopa de letras constituye un universo caótico, que deja de serlo cuando el orden de sus componentes transmite un mensaje. En los modelos de Compliance sucede algo parecido, cuando dejan de ser la mera conjunción de elementos para adquirir un significado trascendente en virtud de sus características y orden.
Los textos tradicionales sobre Compliance nos hablan de Programas, como una relación de componentes o buenas prácticas que contribuyen al cumplimiento de las normas. Recurren a este concepto, por ejemplo, las recomendaciones de la OCDE para la lucha contra el soborno o las US Sentencing Commission Guidelines, por citar dos textos ampliamente conocidos. Los estándares modernos sobre Compliance, como las normas ISO 19600, ISO 37001, UNE 19601 y UNE 19602, superan este enfoque y adoptan el concepto de sistema de gestión, igualmente basado en una serie de componentes o buenas prácticas, pero cuyas características y orden no son en absoluto intrascendentes.
Los sistemas de gestión ponen énfasis en la interrelación de sus elementos y en la lógica que inviste al conjunto. En materia de Compliance se sigue una aproximación basada en el riesgo (Risk Based Approach RBA), que determina el foco del sistema de gestión y el sentido de sus componentes. Bajo esta premisa, la evaluación de los riesgos de Compliance adquiere una importancia capital, puesto que el sistema de gestión se proyectará en prevenirlos, detectarlos y reaccionar frente a ellos. Sin el resultado de este ejercicio, el modelo carecerá de sentido aun cuando concurran en él otros componentes habituales.
Es lo que sucede con la sopa de letras cuando, flotando aleatoriamente, no trasmite ninguna voluntad. Entre otros aspectos no menos importantes, la evaluación de los riesgos de Compliance permite fijar unos objetivos coherentes (su evolución residual hasta límites razonables), un correcto dimensionado de los recursos para su consecución, la definición de los indicadores precisos para monitorizar su grado de avance, así como el contenido de los reportes internos que ayudarán a conocer su progresión. Estas circunstancias dotan a los sistemas de gestión de una mayor eficacia y, por eso, son un salto evolutivo relevante en la esfera del Compliance.
Diseñar, implantar y evaluar sistemas de gestión de Compliance no sólo supone atender a las características de sus elementos, sino al orden que les permite interactuar los unos sobre los otros, de modo que la sopa de letras trasmita un mensaje racional que la distinga de una mero caldo caótico de caracteres. Tanto quienes diseñan como los profesionales que evalúan sistemas de gestión buscarán ese orden y valorarán la razonabilidad de su contenido en estos términos, sin limitarse a contrastar la mera existencia de ciertos componentes a modo de “box ticking”.
Actualizar el modelo de Compliance y migrarlo hacia un sistema de gestión es una buena idea, que enlaza con los contenidos del Video número 10 de la Serie dedicada a la entrevista forense a la función de Compliance en caso de incidentes. ¿Se debió el inicidente a una falta de actualización del modelo?
Deja un comentario