En resumen
Hay organizaciones donde el procedimiento es tan complejo que nadie lo sigue completamente. Y esa complejidad, paradójicamente, protege al infractor más que al sistema.
Por qué importa
Un procedimiento que se cumple al 80% de forma consistente es más valioso que uno que se cumple al 100% en el papel y al 40% en la realidad.
Hay un fenómeno que aparece en organizaciones muy reguladas y que pocas veces se nombra con claridad: el procedimiento tan complejo que nadie lo sigue completamente. Y esa complejidad, paradójicamente, protege al infractor más que al sistema.
Cuando el procedimiento tiene cuarenta pasos y todos saben que en la práctica se hacen veinte, el infractor tiene una coartada perfecta: "Nadie sigue el procedimiento completo. Yo tampoco lo seguí. ¿Cuál es la diferencia?"
La trampa de la regulación excesiva
Philip Howard, en "The Death of Common Sense", documenta cómo la acumulación de regulaciones puede producir el efecto opuesto al deseado. Cuando las normas son tantas y tan detalladas que nadie puede cumplirlas todas, el cumplimiento se vuelve selectivo. Y el cumplimiento selectivo es, en la práctica, discrecional.
La discrecionalidad en el cumplimiento crea dos problemas simultáneos. Primero: el empleado honesto que intenta seguir todas las normas queda en desventaja frente al que elige cuáles seguir. Segundo: cuando ocurre un incidente, es casi imposible determinar si la violación fue intencional o simplemente parte del patrón normal de incumplimiento parcial.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Un procedimiento que nadie sigue completamente no es un procedimiento. Es una ficción institucional que da la apariencia de control sin producirlo.
El procedimiento como teatro de seguridad
Bruce Schneier acuñó el término "security theater" para describir medidas de seguridad que dan la apariencia de protección sin producirla realmente. Los procedimientos excesivamente complejos son una forma de teatro de seguridad: existen en el papel, se presentan en las auditorías, se incluyen en los manuales. Pero en el piso de operaciones, son papel.
Cómo simplificar sin perder control
- ▸Audita el cumplimiento real, no el declarado — observa cómo se ejecutan los procedimientos en la práctica.
- ▸Elimina pasos que no tienen consecuencia real si se omiten — si nadie nota cuando no se hace, no debería estar en el procedimiento.
- ▸Concentra la complejidad donde el riesgo es mayor — no todos los pasos merecen el mismo nivel de detalle.
- ▸Diseña para el operador promedio, no para el ideal — ¿puede alguien con seis meses de experiencia seguir esto sin ayuda?
- ▸Mide el cumplimiento real periódicamente — no como auditoría punitiva, sino como diagnóstico de diseño.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.