Muchos modelos de compliance fracasan no porque carezcan de controles, sino precisamente porque acumulan demasiados, están mal diseñados, mal integrados o desconectados de la realidad operativa. Por ello, recogemos una de las lecciones aprendidas más relevantes en trabajos de revisión, auditoría interna y rediseño de programas de cumplimiento: más controles no siempre implican más control y, en determinados contextos, pueden incluso aumentar el riesgo.
El punto de partida: control no es documento, control no es “check”
En la práctica, muchas organizaciones confunden “tener controles” con disponer de documentos, formularios o checklists. El marco COSO (Internal Control–Integrated Framework) es mucho más exigente. Las actividades de control son acciones —manuales o automatizadas— diseñadas para mitigar riesgos hasta niveles aceptables y que se despliegan a través de políticas y procedimientos adecuados (principios 10 a 12).
Desde la perspectiva del compliance, un control solo es defendible si puede responder con claridad a preguntas básicas: ¿Qué evento de riesgo mitiga? ¿Qué objetivo de control asegura? ¿Quién es el responsable (owner) de su ejecución? ¿Qué evidencia deja? ¿Con qué criterios puede evaluarse su efectividad?
Cuando estos elementos no están claramente definidos, el control puede existir formalmente, pero su capacidad real para prevenir o detectar incumplimientos es limitada.
Lección aprendida: el histórico de hallazgos como termómetro del modelo
Una señal especialmente fiable de problemas sistémicos no es que un control falle de manera puntual. Es que, auditoría tras auditoría, se repiten recomendaciones de naturaleza similar, relacionadas con: evidencias insuficientes o poco robustas, descripciones ambiguas del control, responsables mal definidos o que cambian con frecuencia, controles mal ubicados dentro del proceso o procedimientos que ya no reflejan cómo se opera realmente.
Cuando este patrón se mantiene en el tiempo, incluso sin fallos operativos graves, suele indicar problemas más profundos:
El mensaje clave es claro: un modelo puede cumplir en papel y estar deteriorándose en la práctica.
COSO aplicado: selección y desarrollo de controles que realmente mitiguen riesgos
COSO enfatiza que la organización debe seleccionar y desarrollar actividades de control que contribuyan de forma efectiva a la mitigación de riesgos. En compliance, este principio se traduce en un criterio de calidad sencillo pero contundente: Un control que no cambia comportamientos y no reduce la probabilidad o la capacidad de detección de un evento relevante está generando “ruido”.
Por ello, antes de añadir nuevos controles, resulta crítico depurar el modelo existente y cuestionar:
La experiencia demuestra que, cuando el número de controles crece sin una lógica clara, la organización no puede absorberlo. Aumentan los incumplimientos formales, se genera frustración en los responsables y, paradójicamente, el riesgo global se incrementa.
Controles y tecnología: cuando automatizar no es simplemente digitalizar
El marco COSO incorpora de forma explícita los controles generales sobre tecnología. En compliance, esto no debe interpretarse como una llamada a “implantar herramientas”, sino como una invitación a reflexionar sobre cómo la tecnología puede mejorar (o empeorar) el sistema de control. Históricamente y en la práctica, el grueso de los controles de los Modelos de Compliance son actividades eminentemente manuales. El apoyo en sistemas es residual.
La automatización puede:
Pero también puede generar nuevos riesgos si no se acompaña de:
Una lección aprendida recurrente es que muchos controles manuales se mantienen por inercia, aunque el proceso ya esté informatizado. El resultado suele ser evidencia pobre (capturas, correos, hojas de cálculo) y un coste de cumplimiento innecesariamente elevado.
Un enfoque más maduro permite identificar controles repetitivos con reglas claras, adecuados para automatización; los centrados en excepciones, que pueden resolverse con analítica y alertas; y los de aprobación, gestionables mediante workflows trazables. No se trata de dar recetas, sino de abrir la reflexión sobre cómo simplificar sin perder control.
Políticas y procedimientos: el punto donde suele romperse la efectividad
COSO vincula estrechamente las actividades de control con políticas y procedimientos. En la práctica, muchos fallos de efectividad tienen su origen en procedimientos no actualizados, políticas excesivamente genéricas, que no aterrizan en el “cómo” y controles descritos sin criterios claros de ejecución (qué se revisa, con qué umbral, qué constituye una excepción).
El resultado es un hallazgo habitual en auditoría interna: el control existe, pero no puede demostrarse de forma consistente.
.
Cuando los controles se multiplican y el modelo se vuelve pesado, la causa raíz no siempre es técnica. La experiencia comparada muestra que saturar de hard controls (normas, procedimientos, controles operativos, o checklists) puede aumentar el riesgo de incumplimiento si la cultura no acompaña.
Aquí resulta especialmente útil el concepto de soft controls, desarrollado en la literatura académica por Muel Kaptein, profesor de Ética Empresarial y Gestión de la Integridad en el Departamento de Gestión Empresarial y Social de la Rotterdam School of Management de la Universidad Erasmus (RSM), y aplicado con mayor frecuencia en entornos anglosajones.
Más allá de los controles formales, existen factores culturales —los denominados “soft controls”— que influyen decisivamente en la efectividad real del sistema. Estos elementos, relacionados con la percepción, el comportamiento y el liderazgo, explican por qué algunos controles funcionan en la práctica y otros se erosionan con el tiempo
De forma sintética, estos soft controls se articulan en ocho dimensiones:
Lección aprendida: cuando un control se ejecuta, pero el responsable lo percibe como burocrático o desconectado de la realidad, el sistema empieza a fallar por los márgenes: evidencias débiles, ejecuciones mecánicas, excepciones no elevadas. Las causas más habituales no están en el procedimiento, sino en:
En España, la evaluación sistemática de estos factores culturales todavía no está plenamente incorporada, pero constituye una palanca clave para avanzar hacia modelos sostenibles.
Soft controls como herramienta diagnóstica, no como teoría
Para auditoría interna, compliance y legal, el valor de los soft controls no está en la teoría, sino en su uso como herramienta diagnóstica:
Este enfoque permite desplazar la conversación de “añadir controles” a diseñar una arquitectura de control y cultura que funcione en el tiempo.
Controles en compliance que aportan valor, no desgaste
Un modelo de compliance sostenible se mide por:
La madurez aparece cuando los controles:
Los modelos de control y cumplimiento se ponen a prueba
Las actividades de control constituyen el punto en el que los modelos de compliance se ponen verdaderamente a prueba. No basta con que los controles existan ni con que estén correctamente documentados; su valor reside en que respondan a eventos de riesgo reales, sean ejecutables en la práctica y se sostengan en el tiempo sin desgastar a la organización.
La experiencia demuestra que los modelos que se limitan a acumular controles acaban perdiendo efectividad, mientras que aquellos que combinan rigor técnico, simplificación, automatización inteligente y atención a los factores culturales avanzan hacia sistemas más sólidos y creíbles. Un enfoque alineado con COSO (aún siendo un estándar ya histórico, es perfectamente válido) permite transformar las actividades de control en una palanca real de mitigación del riesgo, refuerzo del accountability y apoyo a la toma de decisiones, en coherencia con la gobernanza y la evaluación de riesgos analizadas en los artículos anteriores de esta serie.
Lecciones aprendidas
Las actividades de control solo aportan valor cuando están conectadas a riesgos concretos y a objetivos de control definidos.
Sobrecarga de controles
Aumentar el número de controles sin depurar el modelo genera fatiga, incumplimientos formales y pérdida de efectividad.
Repetición de hallazgos
La recurrencia en auditoría refleja una degradación estructural del modelo, más allá de errores puntuales.
Depuración previa
Antes de añadir controles, conviene eliminar duplicidades, aclarar responsabilidades y cuestionar los que no generan información útil.
Automatización con criterio
Debe enfocarse en reducir carga y mejorar trazabilidad, evitando digitalizar ineficiencias existentes.
Actualización normativa
Políticas y procedimientos desactualizados afectan a la consistencia en la ejecución del control.
Peso de los “soft controls”
Explican por qué fallan los controles y resultan clave para la sostenibilidad del modelo.
Madurez del compliance
No se mide por el número de controles, sino por los riesgos que cubre, cómo lo hace y el coste organizativo asociado.
Por Rafael Tejedor, Socio de Gobierno, Riesgo y Cumplimiento deKPMG en España
