El pasado 13 de abril se publicó el estándar ISO 37301 sobre Sistemas de Gestión de Compliance y se anunció su manual. Por primera vez, se considera que el compliance es un proceso continuo -no un mero resultado- y se pone énfasis en su vertiente volitiva: lo verdaderamente relevante de cumplir con las normas y los estándares éticos no es tanto el resultado sino cómo se ha logrado. Decía el psiquiatra militar estadounidense M. Scott Peck que el término “voluntad” permite distinguir entre el “deseo” y la “acción”, señalando que el primero no siempre arroja hechos concretos. La diferencia entre ambos conceptos es comparable a “me gustaría ir a nadar esta noche” respecto de “iré a nadar esta noche”. La calidad en la gestión se mide considerando los medios efectivamente dispuestos para obtener ese fruto. Un conjunto equilibrado de Entity Level Controls (generales o de alto nivel) y Activity Level controls(específicos o vinculados a procesos concretos) demuestra que la organización ha migrado del “deseo” a la “acción”. Como en otros ámbitos del buen gobierno corporativo, ahora Compliance no es sólamente lo que hacen las organizaciones, sino “cómo” lo hacen.
El estándar ISO 37301 otorga una gran importancia a la cultura de Compliance, entendida como los valores, ética, creencias que se traducen en conductas correctas. Tradicionalmente, se ha cuestionado este tipo de aproximaciones por la dificultad de medición que entrañan. El físico y matemático británico William Thomson Kelvin ya dijo en el siglo XIX que “lo que no se puede medir no se puede mejorar”, convirtiéndose en un axioma para la ciencia, y llegando a influir en las metodologías de ingeniería de procesos como Six Sigma, durante la pasada década de los 80. Para la ciencia, la medición ha sido una actividad determinante del progreso. Pero que existan elementos difíciles de medir no significa que sean irrelevantes. Este ha sido un escollo en la evolución del Compliance, hasta ahora.
El biólogo y divulgador Carl Safina identifica qué elementos son culturales por su singularidad: “todo el mundo come, comer no es cultura… pero no todos comen con palillos… que son un elemento cultural”. Para él, los rasgos culturales de los seres vivos no son comunes a toda una especie, sino que se aprenden del grupo al que se pertenece. Una comunidad cultural, añade, “es una serie de individuos que han aprendido unos de otros determinadas maneras de hacer las cosas”. Va ligado a lo que el psicólogo y profesor de neurociencia británico Andrew Whiten denominó en 2017 “la segunda herencia”, que es la aprendida del grupo y que se suma a la incorporada genéticamente. Cuando el estándar ISO 37301 subraya la importancia de los aspectos culturales, está propiciando una herencia de grupo, donde las conductas contrarias a ciertos valores no sólo llamarán poderosamente la atención al resto, sino que difícilmente podrán racionalizarse por quienes las desarrollan. Es una aproximación más certera que limitarse a controlar a las personas, sabiendo que eso no altera sus modelos de creencias ni, por lo tanto, evita eficazmente que reproduzcan conductas irreguares.
Al remarcar la importancia de los aspectos culturales, es muy probable que organizaciones alineadas con el estándar ISO 37301 se marquen objetivos vinculados con ello, lo que precisará igualmente fijar indicadores para medir su evolución y desempeño.
Desde hace años, se ha progresado en metodologías para medir la cultura de las organizaciones. Podríamos diferenciar dos aproximaciones esenciales.
Los esquemas de trabajo modernos tienden a planteamientos híbridos, basados en comparar los hallazgos de ambas metodologías para reforzar conclusiones cruzadas. Normalmente, cuando a los responsables de cualquier organización se les pregunta sobre su cultura organizativa, manifiestan estar situados por encima de la media. Dejando de lado que es una respuesta matemáticamente imposible cuando se generaliza –como es el caso-, pone de manifiesto una confianza infundada por parte de los máximos responsables de las empresas en aspectos culturales y de compliance. Es la materia que trato en el vídeo número 5 de la Serie “Compliance: lecciones aprendidas”, donde una organización es víctima de su arrogancia en las medidas que ha dispuesto para asegurar el cumplimiento a nivel global.
Socio responsable de Cumplimento Legal. Especialista en modelos de cumplimiento y prevención penal, Alain es socio de KPMG Abogados desde el año 2000. Además de encargarse de la gestión del riesgo de servicios legales en España, participa en iniciativas de normalización nacional e internacional sobre Compliance y dirige varios postgrados universitarios sobre esta materia.
