Implementar controles que nadie mide, es una forma de cómo hacer ineficaz el Compliance de una empresa.
Controles versus Compliance
Historia de tres despropósitos
Despropósito Primero.
Hay una urbanización en el norte de Madrid que resulta ser paso intermedio entre dos poblaciones cuyo nombre evitaré. La entrada sur tiene una caseta de vigilancia que nunca está ocupada por menos de tres personas. La barrera de acceso está permanentemente levantada dado el intenso tráfico de vehículos que acceden a la urbanización y transitan hacia la población situada al norte. Tienen pantallas de video-vigilancia en la caseta.
La entrada norte de esa misma urbanización tiene una caseta de vigilancia vacía y casi en estado de ruina. No hay barrera de control (¿para qué?).
Los vecinos de esta urbanización pagan un alto precio por el servicio de vigilancia encomendado a una empresa privada de reconocido prestigio.
Siempre que visito a unos amigos los vigilantes me hacen un gesto de complicidad cuando cruzo la caseta. Siempre he pensado que conocen mi vehículo, pero cuando voy en el de mi mujer (raramente) hacen el mismo gesto.
Despropósito Segundo.
En el acceso a mi vivienda (otra urbanización) han colocado hace poco unas barreras (esta vez no hay caseta ni vigilantes porque el presupuesto no alcanza para ello) que detectan automáticamente cuando un vehículo se aproxima y se levantan. Tengo entendido que la idea era situar unas cámaras frente a las barreras, pero como tampoco hay presupuesto, nos hemos quedado con las barreras que se levantan solitas cuando un vehículo se aproxima.
Despropósito Tercero
Hace once años que tengo una alarma contratada con una empresa de vigilancia (en la última actualización han puesto cámaras de foto en los sensores). Nunca he conectado la alarma porque siempre hay alguien en la vivienda y nadie de mi familia tiene miedo a los ladrones porque ni tenemos nada de valor ni probablemente hemos sido educados en el temor. Eso sí: si se va la luz me llaman al móvil y me piden una contraseña para hablar conmigo.
Cómo hacer ineficaz el Compliance: Controles, controles, controles…
Nadie me negará que esto son controles. Controles de seguridad. Aseguran algo. Nadie sabe muy bien qué, pero están ahí. Los mantenemos y tienen un coste. Nunca nos preguntamos para qué sirven realmente. Cuál es su éxito. Cuantos robos o problemas nos han evitado esos controles. Pero los pagamos.
En Aragón tienen un dicho “dale ferrete”… Según una recopilación de vocablos aragoneses, la expresión “dar ferrete” significa “utilizar mucho alguna cosa”. Yo la tengo asociada a que cuando alguien es muy pesado con algo, uno se lo quita de encima expresándole con claridad “dale ferrete…” Que viene a ser como cuando mi padre (manchego él) decía “Y vuelve la burra al trigo” expresión de hastío donde las haya en el idioma español (¿castellano?).
Me resulta difícil cuantificar el número de veces que me he encontrado en organizaciones con controles que nadie mide, que nadie utiliza, que nadie sabe qué controlan y que, difícilmente, nadie que intente averiguar por qué se diseñaron o están ahí, obtendrá una explicación válida y convincente. Controles que tienen un coste.
No voy a dar ejemplos de controles ineficaces, cláusulas de debida diligencia cuya eficacia nadie controla, declaraciones institucionales que están vacías de contenido real, anexos de compromisos que nadie audita, certificados de proveedores que solo son papel firmado, revisiones que se firman “en barbecho”, burocracia sin límites, validaciones de proveedores hechas por costumbre, cosas que, en fin, se aceptan bajo el principio universal de “para qué nos vamos a complicar la vida…”
La Ley de Dale Ferrete (Deil Firrit) o cómo hacer ineficaz el Compliance, en inglés
Dale ferrete… Vuelve la burra al trigo… Más de lo mismo. La Ley de Dale Ferrete (que suena muy italiano) es invento mío y reclamo su paternidad.
Puede expresarse matemáticamente mediante la siguiente fórmula:
Donde An es cada uno de controles cuya eficacia nadie mide, Xn es el correspondiente coste de mantener permanentemente ese control, siendo Xn una variable que integra no sólo el coste directo sino el indirecto de estar preocupado por si falla el control.
BBn es el coste de oportunidad por no haber establecido un control efectivo y CCn es el coste directo (e indirecto) de eliminar el control An y sustituirlo por otro que tenga sentido. An integra también el efecto positivo que dicho control tiene en el compliance (por algo se puso en su momento).
Finalmente, M es la variable que mide las ganas que tiene el empresario de eliminar dicho control. Pocas ganas, M positivo, muchas ganas, tantas cuanto mas negativo sea M.
Se añade un “coeficiente de hastío” k que potencia o reduce el efecto M según las características del empresario y del contexto (por ejemplo, k es menor que uno, mayor tolerancia al coste del control, si la empresa ha tenido una multa importante recientemente o si el nuevo CEO quiere demostrar el desastre que era el anterior, y es mayor que uno, mayor hartazgo, si el nuevo empresario o CEO quiere demostrar a la empresa matriz o al cliente su preocupación por ser diligente).
Debe tenerse en cuenta que tanto Xn como CCn crecen con el tiempo. En empresas es las que el empresario o CEO hayan sido educados en escuelas de negocio reputadas y la empresa no haya sido aún castigada por las autoridades competentes, el valor k suele ser mayor que uno, por lo que, tanto el éxito como el fracaso del control son potenciados, a veces, hasta extremos un tanto absurdos.
Cagarla en Compliance
La ley de Dale Ferrete (léase “Deil Firit” en las mencionadas escuelas de negocio reputadas) es la quintaesencia de cagarla en compliance.
La Ley de Dale Ferrete debería ser tenida en cuenta por los auditores de cuentas, por los auditores de la UNE 19601 y por el departamento financiero de nuestra empresa, y -si existe- por el Compliance Officer.
Pero, tal parece, vuelve la burra al trigo cada vez que en una organización se trata de diseñar controles eficaces. Yo lo entiendo… es muy difícil cuestionar que algo no funciona y explorar otras alternativas.
Luego nos quejamos… “Jefe, pues lo que se dice controles ya había, ya… Pero nos han robado”, que dirían Mortadelo y Filemón.
Imagen: media.licdn.com
