en Sin categoría

Carta a una certificación de cumplimiento

Ahora que están tan de moda las certificaciones, aprovecho para retomar la actividad editora con el texto literal de un informe informal que preparé para los directivos de una prestigiosa certificadora en apoyo del proyecto de mejora de su esquema de certificación de cumplimiento que les había presentado.

En mi humilde opinión creo que, antes de poner sellos, hay que desarrollar conocimiento integral desde una perspectiva realmente sistémica que incluya a todos los stakeholders (y no solo a los cuatro iluminados de siempre que luego se nos venden como los profetas patriarcas de la norma de que se trate, esos e isos, vosotros me entendéis), desde la perspectiva de la innovación centrada en el ser humano, que no legislen los lobbies haciendo de la extorsión una práctica legal.

Y sobre todo ser humildes, me harto de decirlo. El conocimiento no lo tienen los cuatro gurús de los congresos y los blogs (entre los que no me incluyo pues a mi no me invitan a congresos). El conocimiento, como decía Sócrates, está dentro del alumno, el profesor solo tiene que enseñarle a sacarlo. Aprendámos a extraer y compartir el conocimiento de las empresas en vez de venderles nuestro modelo de compliance exclusivo e innovador (seguro que a alguno le suena esto).

La pregunta a que respondía esta carta es; y por qué no financiamos la mejora de la certificación con las primeras ventas? qué nos puede pasar en el peor de los casos? A la primera pregunta respondí tan solo; Ah pero es que se está vendiendo???

 

RIESGOS Y OPORTUNIDADES

                          CERTIFICACIÓN COMPLIANCE XXX S.A.

 

“Incluso en el caos debe de haber un orden” Marqués de Sade

En este breve escrito me propongo enunciar los riesgos de no mejorar la estructura de la Certificación Compliance XXX S.A., dotándole del rigor técnico suficiente para poder ser llamada como tal, así como las oportunidades que esta iniciativa, encomiable, representa para XXX S.A. como líder global en aseguramiento técnico industrial.

Como en cada ámbito profesional, el mundo de la Calidad y de la Certificación tiene su vocabulario específico y es muy importante tenerlo en cuenta. Las definiciones siguientes provienen de las normas ISO 8402, ISO 65 y de la Guía ISO/CEI 2 ahora sustituida por ISO 17065:2012 estándar global para la certificación de productos y empresas.

La certificación es el procedimiento mediante el cual un organismo da una garantía por escrito, de que un producto, un proceso o un servicio está conforme a los requisitos especificados. Las palabras clave son garantía de requisitos específicos.

La diferencia entre una norma ISO no certificable (terminada en 0 como ISO 19600 o ISO 31000) o si certificable (terminada en 1) es precisamente el nivel de detalle de los requerimientos específicos respecto de los atributos (en terminología de auditoría interna) representativos de cada una de las directrices de la norma de alto nivel, imposibles de precisar sin ese nivel de detalle.

En mi humilde opinión, y a falta de mejor fundada, las certificaciones de cumplimiento y GRC existentes en la actualidad adolecen todas de la falta de entidad que, como disciplina de conocimiento, tiene el cumplimiento normativo y/o penal, no existiendo apenas cuerpos legislativos con un desarrollo amplio y un recorrido contrastado (aparte de las Guidelines del DOJ EEUU para la persecución de corporaciones, que se reformaron en 2004), ni habiendo datos históricos debidamente tratados para que pueda generarse un conocimiento certificable de la mejor práctica actual. Las directrices de las normas de referencia son tan ambiguas que podrían cumplirse de mil maneras distintas sin contravenir su sentido literal, por ambiguo de este.

Cuando se certifica un tornillo los requerimientos son claros y concretos y es fácil monitorizar su cumplimiento de cara a la certificación. Cuando lo que se certifica es un sistema de prevención de delitos su valor vendrá dado por el número de absoluciones de empresas certificadas con cada sello, y si su sistema de cumplimiento se reputa a la postre ineficaz aun habiendo sido certificado dejará en mal lugar a la certificadora. Es lo que le está pasando a los competidores cuyos clientes afloran más casos de soborno cuantos más sellos lucen en sus programas.

Se desprenden ciertos riesgos legales de la situación actual del esquema de certificación que se pretende comercializar que se me presenta para informe:

-Incumplimiento contractual.- La calidad por debajo de un mínimo aceptable (que la cosa sirva para lo que se vende) puede suponer un incumplimiento contractual, que de acuerdo con el art 1124 CC puede conllevar la resolución del contrato con reclamación de daños y perjuicios.

-Enriquecimiento injusto. En los contratos sinalagmáticos debe haber un equilibrio entre las prestaciones de las partes, dar algo por algo equivalente. Si certificamos las notas abstractas de ISO 19600 sin precisar requerimientos no estaremos aportando nada, se dirá que hay gestión de riesgos pero no si ésta está bien o mal conforme a qué criterios. Esto es un enriquecimiento injusto como una catedral, que, si bien tal vez no sea constitutivo de delito, lo cierto que luce bastante mal en a estrategia corporativa de la Firma.

-Publicidad desleal.- Si además estamos publicitando una certificación sin cumplir con los requisitos mínimos que implica el concepto de certificación, entonces puede haber publicidad desleal, ya que ofertas un producto con propiedades que no tiene.

-Estafa.- Si además de esas propiedades puede depender el despliegue de efectos beneficiosos para el certificado, la exoneración de RPPJ por ejemplo, entonces puede haber un problema de estafa si una empresa certificada se demuestra ante los tribunales que el modelo de cumplimiento no era eficaz aun habiendo sido certificado.

Además de los riesgos propiamente legales están los impactos reputacionales que el conocimiento público de las carencias de un producto puede tener sobre una marca. Recuérdese por ejemplo el agua del grifo que se vendía embotellada por cierto fabricante mundial de bebidas.

Certificación es confianza, y esta se gana explicando la lógica del esquema seguido y la eficacia de la revisión efectuada, si simplemente acredita que se tiene (check list) o también que lo que se tiene es eficaz, entonces estamos ante una auditoría. El nivel de certificación se obtiene cuando para cada atributo reconocible como requisito del sistema se pueden presentar modelos uniformes de cumplimiento. Por poner un ejemplo, validación de técnicas de gestión de riesgos en el análisis.

Por tanto, en la mejora del esquema de Certificación XXX S.A. habría que priorizar tareas, primero centrarse en que el esquema tenga los rudimentos conceptuales  mínimos para ser llamado certificación, para luego incidir en la diferenciación con la competencia y la comunicación de la ventaja competitiva al mercado, aunque la consecución de rudimentos mínimos ya sería un plus respecto a ciertos competidores directos que no los tienen.

La parte más floja de todo el modelo son los riesgos, por lo que habría que empezar diseñando los requerimientos específicos para certificar la gestión de riesgos penales/de cumplimiento.

Luego habría que bajar a detalle en el resto de elementos del modelo, pero eso, aparte de más sencillo, es menos urgente.

La disyuntiva del ROI de la innovación nos lleva al punto de equilibrio de la innovación; si el conocimiento existente es suficiente para cumplir con los mínimos de lo que se vende, venderlo por precio o diferenciarse, entonces se puede innovar más tarde con el producto de la venta. Pero si lo que hay generado no es bastante, hay que completar el conocimiento con investigación hasta llegar a esos mínimos. Los budistas dicen que estar presente en el momento con la atención y en el futuro con la intención, desapegándose del resultado, es la Ley del Desapego, y funciona, también para certificaciones …

Costes analíticos en I+D Compliance.- Si XXX S.A. financia el I+D de los proyectos de certificación con el rédito de su propia comercialización, es decir hace contabilidad analítica por proyectos, ello puede no ser un  buen indicador de la estrategia de la entidad, puede llevar a pensar que esperan obtener beneficio antes de haber generado el conocimiento suficiente (vender la piel del oso antes de cazarlo), es contrario a la acumulación generalmente aceptada de costes de I+D en los proyectos de investigación que empiezan a dar rédito cuando sus productos se repercuten en las ventas a los clientes.

En mi humilde opinión, todo proceso de certificación debería ser patentable, soportando el test de novedad o avance en la ciencia de que se trate. Este debería ser el objetivo final del proceso que tan sabiamente habéis comenzado.

Habiendo hecho esto la venta será mucho más fácil, no tendréis que abusar de la marca XXX S.A. para soportar una certificación con poco fundamento. Siempre digo que la mejor publicidad es el mejor producto, después solo hay que centrarse en lo que nos diferencia de los competidores, y decir aquello de busque compare, y si encuentra algo mejor, cómprelo.

Lo que os diferenciará será rigor profesional y lógica de la estructura de la certificación, de la que los demás carecen.

La oportunidad que se abre para XXX S.A. es, sin embargo, mucho mayor que el riesgo que encierra. Se trata, ni más ni menos, que de sentar las bases para dotar de cierto  rigor científico y exactitud lógica al modelo de risk&compliance, que no lo tiene. Y en estas condiciones difícilmente podrá cumplir la misión para la que está llamado por las élites del Gobierno Mundial, sin lugar a dudas, a recuperar la confianza perdida tras la crisis de 2008, indispensable para que el burro (los ciudadanos) siga tirando del carro (el Sistema, con mayúsculas). O se pone un poco de orden en todo este caos, o el burro dejará de tirar del carro.

Prefiero no pronunciarme sobre la situación en España donde la propia distribución institucional de funciones normalizadora y certificadora es anómala, por emplear un calificativo suave. Da la impresión de que se quieren repartir la piel del oso del cumplimiento antes de haberlo cazado.