La segunda paradoja del compliance: cuando el programa de compliance existe, pero nadie lo usa

“Cuando creíamos que teníamos todas las respuestas, de pronto cambiaron todas las preguntas”. — Mario Benedetti

Marco Antonio Ruiz

Durante los últimos años, el debate sobre el compliance pareció girar en torno a una pregunta relativamente clara: ¿cómo lograr que las empresas implementen Programas de Compliance? Sin embargo, a medida que estos programas comenzaron a adoptarse de manera más generalizada, el foco dejó de estar en su existencia para trasladarse a un problema distinto, más complejo y menos evidente. Ese fenómeno parecía relativamente claro. El compliance existía, pero solo en el papel. Estamos hablando de los “Paper Compliance”

Sin embargo, con la evolución de los programas de compliance y el desarrollo de regímenes de responsabilidad de las personas jurídicas —como ocurre en el Perú con la Ley N.º 30424 y sus modificatorias— ha comenzado a aparecer un fenómeno distinto, más sutil y quizá más preocupante. Podríamos llamarlo “la segunda paradoja del compliance”.

Nos referimos a las organizaciones que sí tienen modelos de prevención, códigos de ética y conducta, políticas anticorrupción, mapas de riesgos, canales de denuncia y otros instrumentos de su programa de compliance, pero donde, en la práctica, nadie utiliza realmente esas herramientas.

Durante la primera etapa de desarrollo del compliance en la región y, principalmente, en el Perú —que puede situarse a partir de la promulgación de la Ley N.º 30424 en el año 2016, su progresiva entrada en vigencia y, especialmente, con la publicación de su Reglamento mediante Decreto Supremo N.º 002-2019-JUS—, el principal desafío era convencer a las empresas de que necesitaban contar con un modelo de prevención.

Esto implicaba no solo explicar la existencia de una nueva normativa, sino traducir su impacto en términos concretos para la empresa. En muchos casos, fue necesario desarrollar un trabajo pedagógico relevante: identificar los riesgos de compliance asociados a la actividad empresarial, mapear su posible materialización en los procesos operativos y evidenciar las consecuencias legales, económicas y reputacionales derivadas de su ocurrencia.

Asimismo, resultaba fundamental evidenciar los beneficios de implementar un modelo de prevención efectivo: no solo como un mecanismo de exención o atenuación de responsabilidad, sino como una herramienta de gestión que permite ordenar procesos, fortalecer la toma de decisiones y generar confianza en stakeholders clave. En ese contexto, el compliance empezó a ser entendido progresivamente no como una carga regulatoria, sino como un elemento estratégico vinculado al Buen Gobierno Corporativo.

Sin embargo, cuando se observa el funcionamiento real de muchas organizaciones, aparece una situación distinta: el compliance existe, pero se mantiene al margen de las decisiones empresariales relevantes, operando como un sistema paralelo que no logra integrarse en la dinámica del negocio. No está impregnada en la cultura.

En ese escenario, el problema no es la ausencia de herramientas, sino su falta de integración en los procesos de toma de decisiones. El resultado es un fenómeno que podría describirse como “compliance ornamental”: programas que existen formalmente, pero que no influyen de manera efectiva en la conducta real de la organización ni en la gestión de sus riesgos. Donde los Programas de Compliance, son el adorno perfecto para la imagen institucional.

En muchos casos, el problema no radica en el diseño del modelo de prevención. Los documentos están bien elaborados. Las políticas siguen estándares internacionales. El mapa de riesgos se encuentra correctamente estructurado y alineado con la actividad de la empresa. El problema aparece en otro nivel: “la cultura organizacional”.

Cuando el compliance no forma parte del proceso de toma de decisiones, pierde su capacidad preventiva. Si los gerentes no consultan al área de cumplimiento antes de asumir riesgos relevantes, si los colaboradores perciben los canales de denuncia como una formalidad o si el directorio entiende el cumplimiento normativo como un asunto exclusivamente legal y no como un componente del gobierno corporativo, el Programa de Compliance se convierte en una estructura paralela, sin impacto real en la operación del negocio.

Esta situación se ve reforzada, en algunos casos, por una comprensión limitada del rol del compliance dentro de la organización, que lleva a asignar estas funciones como una extensión del área legal, sin necesariamente contar con especialización y sobre todo con recursos adecuados, generando que su implementación dependa más de esfuerzos reactivos que de una estrategia preventiva estructurada.

En ese escenario, la ausencia de una cultura de integridad —reflejada en el liderazgo, en los incentivos y en las prácticas cotidianas— limita la efectividad de cualquier herramienta de compliance, por más sofisticada que esta sea. En esos casos, el compliance deja de ser un mecanismo de prevención para convertirse en una pieza decorativa dentro de la arquitectura corporativa.

La eficacia de un programa de compliance no depende de la sofisticación de los manuales ni de la extensión de las políticas corporativas, sino de su capacidad para influir en la conducta real de la organización. Algo mucho más difícil de construir: “la convicción de que las reglas deben aplicarse incluso cuando nadie está mirando, especialmente cuando su cumplimiento puede entrar en tensión con los objetivos del negocio”.

Porque, al final, un programa de compliance no se mide por lo que dice, sino por lo que la organización está dispuesta a hacer cuando enfrenta una decisión compleja. Y es ahí donde la reflexión inicial cobra sentido. El mayor riesgo es tenerlo… y no usarlo.

Marco Antonio Ruiz Martínez es abogado especializado en compliance corporativo y prevención del lavado de activos en el Estudio Muñiz.

 
También te puede interesar:
— El inicio del fin del paper compliance
— Del compliance defensivo al compliance estratégico: el nuevo rol del directorio en Chile
— Huracán Otis: seguros paramétricos y compliance de datos de suscripción