Hay un diagnóstico que se repite en casi todas las discusiones sobre compliance corporativo: el problema es que las políticas no son suficientemente claras, o que los controles no están bien documentados, o que los empleados no han recibido suficiente capacitación. Ese diagnóstico, me parece, es equivocado. No porque las políticas, los controles y la capacitación sean irrelevantes, sino porque apuntan a un problema que ya no es el central. El desafío real del compliance hoy no es normativo. Es epistémico: las organizaciones no saben lo que no saben, y los instrumentos con los que operan sus áreas de compliance fueron diseñados para un entorno de riesgo radicalmente más simple que el actual.
El compliance tradicional nació para administrar el cumplimiento en organizaciones donde los riesgos eran relativamente estables, los flujos de información eran manejables y el régimen sancionatorio dependía en gran medida de que alguien reportara algo. Ese mundo ya no existe.
La arquitectura del modelo que heredamos.
El modelo clásico de compliance tiene una lógica clara: se identifican los riesgos regulatorios, se diseñan controles, se capacita a las personas, se instala un canal de denuncias y se audita periódicamente. El compliance officer es, en esencia, un abogado senior que interpreta normas y supervisa procedimientos. La función es reactiva casi por definición: responde a eventos que ya ocurrieron, a denuncias que alguien se atrevió a presentar, a auditorías que llegan una o dos veces al año.
El problema no es que este modelo sea malo. Es que fue diseñado para detectar lo que ya se sabe que es un problema. Para anomalías que dejan rastros visibles. Para fraudes cometidos por personas que no tenían acceso a sistemas sofisticados de ocultamiento. Para un volumen de transacciones que un equipo humano podía revisar, al menos en muestra.
Hoy una empresa mediana puede generar decenas de miles de transacciones diarias, mantener relaciones con cientos de proveedores en múltiples jurisdicciones, operar con sistemas de aprobación delegados a decenas de niveles jerárquicos y tener información crítica dispersa en correos electrónicos, chats, sistemas ERP, bases de datos de clientes y plataformas de terceros. Ningún equipo de compliance, por numeroso que sea, puede procesar ese volumen con revisión humana. Y sin embargo, la mayoría de las áreas de compliance siguen operando con exactamente esa lógica.
Lo que cambia cuando cambia la escala.
Hay un umbral a partir del cual la complejidad organizacional hace que el modelo tradicional de compliance se vuelva estructuralmente ciego. No ineficiente: ciego. Un canal de denuncias no detecta lo que nadie denuncia. Una auditoría anual no detecta lo que se construye en los meses entre auditorías. Una política de conflictos de interés no detecta la red informal de relaciones que nunca se declara formalmente.
Lo que cambia con la tecnología no es simplemente que ahora podemos hacer más de lo mismo más rápido. Cambia el tipo de pregunta que el compliance puede hacerse. El monitoreo continuo de transacciones con modelos de detección de anomalías no responde a la pregunta «¿alguien cometió fraude?», sino a la pregunta «¿hay patrones que se desvían estadísticamente de lo esperado?». Esa diferencia conceptual es enorme.
Piénsese en un proveedor de una empresa constructora que comienza a facturar importes que crecen sistemáticamente en los trimestres previos a licitaciones que esa empresa gana. Ningún auditor mirando facturas individuales lo ve. Un modelo de regresión sobre series de tiempo, sí. O en un ejecutivo cuyos patrones de aprobación de gastos cambian abruptamente después de un viaje a una región específica. Un dashboard que compara perfiles históricos de comportamiento contra la media del equipo; lo detecta en días.
Esto no es ciencia ficción. Son casos reales que organizaciones con equipos de data analytics aplicados al complianceya están resolviendo. El problema es que son la excepción.
El compliance que viene no busca, encuentra.
La diferencia más importante entre el compliance reactivo y el compliance basado en datos no es técnica: es conceptual. El modelo tradicional parte de una hipótesis («creemos que puede haber fraude en esta área») y busca evidencia que la confirme o refute. El modelo analítico parte de los datos y deja que los patrones planteen las hipótesis.
Eso tiene consecuencias profundas para quien debe liderar la función.
Un abogado bien formado sabe interpretar normas, construir argumentos, gestionar procedimientos sancionatorios y relacionarse con reguladores. Esas habilidades siguen siendo necesarias. Pero no son las habilidades que se necesitan para diseñar un modelo de detección de anomalías en pagos a terceros, ni para interpretar la salida de un algoritmo de clustering sobre el comportamiento de usuarios internos, ni para definir qué métricas deben poblar un dashboard de riesgo operacional en tiempo real.
El compliance officer del futuro cercano va a necesitar saber leer una distribución estadística, entender qué significa que un modelo tenga muchos falsos positivos, diseñar indicadores adelantados en lugar de indicadores de resultado y tener conversaciones técnicas con equipos de ingeniería y ciencia de datos. Eso no es un complemento del perfil jurídico: es un perfil diferente.
El compliance que viene se parece más a la inteligencia de negocios que al derecho corporativo.
Por eso, si estás pensando seguir un curso de especialización en compliance,y el cuerpo de profesores está mayoritariamente compuesto por abogados, yo lo descartaría.
El error que ya está ocurriendo.
Muchas organizaciones han comenzado a invertir en tecnología para sus áreas de compliance. Compran plataformas de gestión de riesgos, implementan software de due diligence de terceros, digitalizan sus matrices de riesgo. Y después de todo ese esfuerzo, su compliance sigue siendo esencialmente el mismo: reactivo, normativo, dependiente del juicio humano.
El error no está en las herramientas: está en que digitalizaron la lógica antigua sin cambiar la lógica. Es el equivalente a escanear documentos en papel y llamar eso «transformación digital». Tienen datos, pero no los analizan. Tienen dashboards, pero muestran indicadores de resultado que llegan tarde. Tienen alertas, pero las calibran tan alto que casi nunca se disparan.
Hay una diferencia entre compliance digital y compliance transformado. El primero usa tecnología para hacer más eficiente lo que ya hacía. El segundo rediseña la función desde sus objetivos hacia atrás: ¿qué quiero detectar?, ¿cuándo quiero saberlo?, ¿con qué nivel de confianza estadística?, ¿qué acción desencadena cada señal? Esas preguntas no las hace un abogado: las hace alguien que piensa en sistemas.
Un compliance más capaz de detectar también genera más fricción interna. Eso no es un efecto secundario menor: es una consecuencia estructural que pocas organizaciones están dispuestas a gestionar.
Cuando el compliancetenía capacidad de detección limitada, la tensión con el negocio era manejable. Ahora imagínese un sistema que, con suficiente sofisticación analítica, puede detectar patrones sospechosos en el comportamiento de decisores comerciales, variaciones en la tasa de aprobación de descuentos según el perfil del cliente, o irregularidades en los ciclos de aprobación de contratos. Eso no es neutral. Es información que tiene consecuencias políticas dentro de la organización.
La pregunta de gobernanza que esto plantea es más difícil que la tecnológica: ¿quién tiene acceso a esos análisis?, ¿qué umbral de evidencia se requiere para escalar?, ¿quién decide que una señal débil merece investigación? Sin una respuesta institucional clara, el compliance más poderoso no produce mejores resultados: produce más conflicto sin resolución.
Los directorios que todavía reciben reportes de compliance estructurados como listas de políticas aprobadas y capacitaciones completadas están recibiendo la información equivocada. El compliance que les debería interesar es el que les dice cuántos patrones anómalos se detectaron el trimestre pasado, cuántos se investigaron, cuántos derivaron en hallazgos, y qué cambió en los sistemas de control como resultado. Esa conversación supone que alguien en la organización tiene la capacidad de producirla.
Lo que debería estar ocurriendo.
Las gerencias legales que integran compliance deberían estar haciendo tres cosas que pocas hacen: contratar o desarrollar perfiles con capacidad analítica real, no solo abogados con interés en tecnología; redefinir sus indicadores de éxito desde outputs de proceso hacia métricas de detección temprana; y construir relaciones de trabajo funcionales con los equipos de datos y tecnología, no relaciones de cliente-proveedor interno.
Los compliance officers deberían estar preguntando hoy cuáles son los cinco patrones de riesgo que sus modelos actuales no pueden detectar, y por qué. Si no tienen respuesta, es porque no tienen modelos: tienen procedimientos.
Y los directorios deberían estar exigiendo que la conversación de compliance en sus sesiones cambie de contenido. No quieren saber cuántas horas de capacitación se impartieron. Quieren saber si la función tiene capacidad real de anticipar, no solo de reaccionar.
El problema del compliance no es tecnológico. Nunca lo fue. Es que durante décadas construimos una función sobre el supuesto de que el riesgo es visible si alguien lo busca con los instrumentos adecuados. Ese supuesto era discutible antes. Hoy es insostenible.
El compliance que viene no se parece al que se enseña en los posgrados de las facultades de derecho ni al que se practica en la mayoría de las organizaciones. Se parece a una función de inteligencia organizacional, con capacidad predictiva, lenguaje estadístico y gobernanza de datos. Eso requiere perfiles distintos, presupuestos distintos y una conversación institucional distinta.
Este cambio ya está ocurriendo en las organizaciones que van a marcar el estándar en los próximos diez años. La pregunta es cuántas de las demás van a seguir confundiendo digitalizar con transformar.
Rafael es el responsable de Mirada 360 en América Latina, donde colabora con las firmas de abogados en estrategia, modelo de negocio y posicionamiento competitivo. El trabajo académico, como profesor e investigador durante más de 15 años, y su formación en derecho y en economía, lo llevó a interesarse por estudiar el mercado legal.
