Auditoría & Co

El compliance ha conquistado organigramas enteros con códigos éticos, matrices de riesgos y protocolos para casi todo. Pero existe una pregunta incómoda: ¿quién supervisa a los que mandan? ¿Quién controla al consejero, al presidente o al comité de dirección? En muchas organizaciones, el sistema funciona hacia abajo, pero no hacia arriba. Y ese punto ciego convierte al compliance en una ilusión peligrosa: la que deja sin control a quienes toman las decisiones más críticas.

En la práctica, la mayoría de los modelos de cumplimiento normativo funcionan en sentido vertical descendente. Se imponen obligaciones a empleados, proveedores e incluso colaboradores externos, pero el Consejo de Administración, la alta dirección y, en definitiva, quienes aprueban las políticas, quedan a menudo fuera del alcance de los mismos mecanismos de control que exigen a los demás. El resultado: un riesgo sin dueño.

Este vacío no es anecdótico, es estructural. Porque el verdadero liderazgo ético no se demuestra firmando códigos de conducta, sino sometiéndose a ellos. Persisten, sin embargo, ficciones corporativas que confunden compromiso con retórica: bastaría, según esta lógica, con declarar que “el órgano de gobierno lidera con el ejemplo” para considerar el asunto resuelto. Pero eso no es liderazgo: es marketing de cumplimiento.

Las normas y estándares son claros. La UNE 19601, la ISO 37301 o las Directrices de la Fiscalía General del Estado insisten en que el compromiso de la alta dirección debe ser medible, verificable y auditable. No vale con la voluntad presunta ni con declaraciones de principios. Y, sin embargo, en demasiadas auditorías de compliance nunca se entrevista al presidente, ni se revisan decisiones estratégicas bajo criterios éticos, ni se evalúa la cultura real de integridad en el máximo nivel. Así, el órgano que debería ser ejemplo queda fuera del alcance del propio modelo que aprueba.

Esto es más que un descuido: es una grieta en la gobernanza. Y es ahí donde se incuban los escándalos más costosos, no solo en términos penales, sino también reputacionales y culturales. Porque cuando la cúpula no se somete a las mismas reglas que el resto, la organización lo percibe. Y entonces el compliance deja de ser un pilar y se convierte en fachada.

Un sistema de cumplimiento maduro no se mide por la cantidad de políticas que acumula, sino por su capacidad para establecer controles horizontales y verticales, sin excepciones jerárquicas. Esto implica independencia real del órgano de compliance, acceso sin filtros al Consejo, evaluación ética del desempeño directivo y la posibilidad efectiva de investigar cualquier nivel. Sin estos elementos, todo lo demás es cosmética.

Marta Molina
Head of Corporate Compliance
mmb@uhy-fay.com