Actividades de control en compliance: cuando el exceso eleva el riesgo

Lección aprendida: el histórico de hallazgos como termómetro del modelo

Una señal especialmente fiable de problemas sistémicos no es que un control falle de manera puntual. Es que, auditoría tras auditoría, se repiten recomendaciones de naturaleza similar, relacionadas con: evidencias insuficientes o poco robustas, descripciones ambiguas del control, responsables mal definidos o que cambian con frecuencia, controles mal ubicados dentro del proceso o procedimientos que ya no reflejan cómo se opera realmente.

Cuando este patrón se mantiene en el tiempo, incluso sin fallos operativos graves, suele indicar problemas más profundos:

• Degradación progresiva del diseño del control.
• Cambios en procesos y negocio que no han sido absorbidos por el modelo.
• Fatiga de controles, derivada de una carga excesiva o de la pérdida de sentido.
• Crecimiento del número de controles sin que la organización tenga capacidad real para ejecutarlos de forma consistente.

El mensaje clave es claro: un modelo puede cumplir en papel y estar deteriorándose en la práctica.

COSO aplicado: selección y desarrollo de controles que realmente mitiguen riesgos

COSO enfatiza que la organización debe seleccionar y desarrollar actividades de control que contribuyan de forma efectiva a la mitigación de riesgos. En compliance, este principio se traduce en un criterio de calidad sencillo pero contundente: Un control que no cambia comportamientos y no reduce la probabilidad o la capacidad de detección de un evento relevante está generando “ruido”.

Por ello, antes de añadir nuevos controles, resulta crítico depurar el modelo existente y cuestionar:

• Controles duplicados entre funciones o líneas de defensa.
• Controles que verifican lo mismo con evidencias distintas.
• Controles “huérfanos”, sin un dueño claro.
• Controles “de cortesía” que se ejecutan, pero cuya información no se utiliza.

La experiencia demuestra que, cuando el número de controles crece sin una lógica clara, la organización no puede absorberlo. Aumentan los incumplimientos formales, se genera frustración en los responsables y, paradójicamente, el riesgo global se incrementa.

Controles y tecnología: cuando automatizar no es simplemente digitalizar

El marco COSO incorpora de forma explícita los controles generales sobre tecnología. En compliance, esto no debe interpretarse como una llamada a “implantar herramientas”, sino como una invitación a reflexionar sobre cómo la tecnología puede mejorar (o empeorar) el sistema de control. Históricamente y en la práctica, el grueso de los controles de los Modelos de Compliance son actividades eminentemente manuales. El apoyo en sistemas es residual.

La automatización puede:

• Reducir carga operativa.
• Mejorar la trazabilidad.
• Aumentar la consistencia en la ejecución.

Pero también puede generar nuevos riesgos si no se acompaña de:

• Calidad del dato.
• Gobernanza adecuada del sistema.
• Controles de acceso y segregación.

Una lección aprendida recurrente es que muchos controles manuales se mantienen por inercia, aunque el proceso ya esté informatizado. El resultado suele ser evidencia pobre (capturas, correos, hojas de cálculo) y un coste de cumplimiento innecesariamente elevado.

Un enfoque más maduro permite identificar controles repetitivos con reglas claras, adecuados para automatización; los centrados en excepciones, que pueden resolverse con analítica y alertas; y los de aprobación, gestionables mediante workflows trazables. No se trata de dar recetas, sino de abrir la reflexión sobre cómo simplificar sin perder control.

Políticas y procedimientos: el punto donde suele romperse la efectividad

COSO vincula estrechamente las actividades de control con políticas y procedimientos. En la práctica, muchos fallos de efectividad tienen su origen en procedimientos no actualizados, políticas excesivamente genéricas, que no aterrizan en el “cómo” y controles descritos sin criterios claros de ejecución (qué se revisa, con qué umbral, qué constituye una excepción).

El resultado es un hallazgo habitual en auditoría interna: el control existe, pero no puede demostrarse de forma consistente.

La causa raíz que casi nunca se aborda: cultura y soft controls

Cuando los controles se multiplican y el modelo se vuelve pesado, la causa raíz no siempre es técnica. La experiencia comparada muestra que saturar de hard controls (normas, procedimientos, controles operativos, o checklists) puede aumentar el riesgo de incumplimiento si la cultura no acompaña.

Aquí resulta especialmente útil el concepto de soft controls, desarrollado en la literatura académica por Muel Kaptein, profesor de Ética Empresarial y Gestión de la Integridad en el Departamento de Gestión Empresarial y Social de la Rotterdam School of Management de la Universidad Erasmus (RSM), y aplicado con mayor frecuencia en entornos anglosajones.

Más allá de los controles formales, existen factores culturales —los denominados “soft controls”— que influyen decisivamente en la efectividad real del sistema. Estos elementos, relacionados con la percepción, el comportamiento y el liderazgo, explican por qué algunos controles funcionan en la práctica y otros se erosionan con el tiempo

De forma sintética, estos soft controls se articulan en ocho dimensiones:

• Claridad.
• Ejemplaridad (role modelling).
• Viabilidad (achievability).
• Soporte y compromiso.
• Transparencia y visibilidad.
• Apertura y discusión.
• Capacidad de sanción.
• Justicia.

Lección aprendida: cuando un control se ejecuta, pero el responsable lo percibe como burocrático o desconectado de la realidad, el sistema empieza a fallar por los márgenes: evidencias débiles, ejecuciones mecánicas, excepciones no elevadas. Las causas más habituales no están en el procedimiento, sino en:

• Falta de claridad sobre el “por qué”.
• Baja viabilidad práctica.
• Ausencia de ejemplaridad desde el liderazgo.
• Percepción de injusticia o arbitrariedad disciplinaria.

En España, la evaluación sistemática de estos factores culturales todavía no está plenamente incorporada, pero constituye una palanca clave para avanzar hacia modelos sostenibles.

Soft controls como herramienta diagnóstica, no como teoría

Para auditoría interna, compliance y legal, el valor de los soft controls no está en la teoría, sino en su uso como herramienta diagnóstica:

• Hallazgos recurrentes “de forma” pueden indicar un problema de sostenibilidad del modelo.
• La fatiga de controles puede requerir simplificación y automatización, no más controles.
• La resistencia organizativa puede necesitar intervenciones de tone from the top, incentivos, accountability y coherencia disciplinaria.

Este enfoque permite desplazar la conversación de “añadir controles” a diseñar una arquitectura de control y cultura que funcione en el tiempo.

Controles en compliance que aportan valor, no desgaste

Un modelo de compliance sostenible se mide por:

• Cuántos eventos relevantes y objetivos de control se cubren con controles adecuados.
• Cuánto reduce la exposición real.
• Qué nivel de trazabilidad se genera para reporting y assurance.
• Qué carga impone a la organización y si es proporcional al riesgo.
• Cómo se integra con procesos y tecnología.

La madurez aparece cuando los controles:

• Son menos, pero mejores.
• Están automatizados donde tiene sentido.
• Dejan evidencia robusta y trazable.
• Se entienden y se pueden ejecutar por cualquier persona (asegurando los procesos de sucesión cuando cambian los responsables).
• Se sostienen culturalmente.

Los modelos de control y cumplimiento se ponen a prueba

Las actividades de control constituyen el punto en el que los modelos de compliance se ponen verdaderamente a prueba. No basta con que los controles existan ni con que estén correctamente documentados; su valor reside en que respondan a eventos de riesgo reales, sean ejecutables en la práctica y se sostengan en el tiempo sin desgastar a la organización.

La experiencia demuestra que los modelos que se limitan a acumular controles acaban perdiendo efectividad, mientras que aquellos que combinan rigor técnico, simplificación, automatización inteligente y atención a los factores culturales avanzan hacia sistemas más sólidos y creíbles. Un enfoque alineado con COSO (aún siendo un estándar ya histórico, es perfectamente válido) permite transformar las actividades de control en una palanca real de mitigación del riesgo, refuerzo del accountability y apoyo a la toma de decisiones, en coherencia con la gobernanza y la evaluación de riesgos analizadas en los artículos anteriores de esta serie.