La trampa de la sobre-regulación: cómo el exceso de normas fomenta la deshonestidad

El Army War College descubrió algo incómodo: sus oficiales enfrentaban 297 días de actividades obligatorias en un calendario de solo 256 días disponibles. La respuesta institucional no fue eliminar obligaciones. Fue observar cómo los oficiales aprendían a mentir sobre lo que realmente hacían. La sobre-regulación no generó cumplimiento. Generó deshonestidad sistémica.

En las organizaciones corporativas ocurre exactamente lo mismo. Cada nueva política que se agrega sin eliminar otra crea una deuda de cumplimiento que nadie puede pagar honestamente. Y cuando el sistema es imposible de cumplir, la gente deja de intentarlo — o aprende a fingir que lo hace.

El sesgo de adición en el diseño de controles

Cuando algo falla en una organización, la respuesta instintiva es agregar: una nueva política, un nuevo control, un nuevo formulario, una nueva capacitación obligatoria. Rara vez alguien pregunta qué se puede quitar. Este sesgo de adición está documentado en investigaciones sobre comportamiento organizacional: las personas perciben que agregar es actuar, y que restar es negligencia.

El resultado es un sistema de compliance que crece en una sola dirección. Cada incidente suma una capa. Cada auditoría suma un requerimiento. Cada cambio regulatorio suma un procedimiento. Nadie lleva la cuenta de lo que el sistema ya no puede absorber.

Cuándo el cumplimiento se vuelve imposible

Existe un umbral a partir del cual el volumen de obligaciones supera la capacidad real de cumplimiento. Cuando ese umbral se cruza, ocurren tres cosas predecibles: los empleados priorizan las obligaciones visibles sobre las importantes, aprenden a documentar cumplimiento sin ejecutarlo, y dejan de reportar incumplimientos porque el sistema ya no distingue entre lo crítico y lo burocrático.

El fraude interno no siempre nace de la codicia. A veces nace del agotamiento. Un empleado que lleva meses navegando un sistema de controles imposible de cumplir desarrolla una relación diferente con las reglas. Las reglas dejan de ser límites éticos y se convierten en obstáculos operativos. Esa distinción es el inicio de muchos problemas.

La lista de dejar de hacer como herramienta de compliance

El antídoto no es más capacitación ni más supervisión. Es una auditoría de sustracción: revisar sistemáticamente qué controles, políticas y procedimientos pueden eliminarse sin incrementar el riesgo real. No los que se sienten innecesarios — los que se pueden demostrar que no reducen el riesgo de forma significativa.

Esa auditoría requiere hacer una pregunta que pocas organizaciones se hacen: ¿qué pasaría si dejáramos de hacer esto? Si la respuesta honesta es "probablemente nada", el control es candidato a eliminación. Si nadie puede responder esa pregunta, el control probablemente no debería existir.

Pasos a la acción

• ▸Mapea el inventario de obligaciones de cumplimiento de tu área: políticas, controles, reportes, capacitaciones obligatorias. Suma el tiempo real que requieren. Compáralo con el tiempo disponible de tu equipo.
• ▸Identifica los controles que nadie puede explicar con claridad qué riesgo específico mitigan. Esos son los primeros candidatos a eliminar o simplificar.
• ▸Por cada nueva política o control que propongas agregar, define cuál eliminarás o simplificarás a cambio. El sistema de compliance tiene una capacidad finita — trátalo como tal.

Un sistema de compliance que nadie puede cumplir honestamente no protege a la organización. La expone. La diferencia entre un programa de compliance funcional y uno decorativo está en si alguien tuvo el valor de restar.