La Ley de Pareto establece que, de forma general, aproximadamente el 80% de las consecuencias proviene del 20% de las causas.
En el mundo empresarial, la Ley de Pareto suele cumplirse con bastante frecuencia. Así, es habitual comprobar cómo el 80% de las ventas de una empresa proviene de un 20% de sus clientes o de sus productos, o el 80% de sus gastos proviene de un 20% de sus proveedores.
La Ley de Pareto puede ser muy útil en la gestión empresarial, ya que identificando el 20% de un factor concreto que cause el 80% de las consecuencias, conocemos dónde es más rentable enfocar los esfuerzos para obtener mejores resultados.
En lo que a cumplimiento normativo se refiere, si aplicásemos la Ley de Pareto deberíamos concluir que el 80% del riesgo de incumplimiento en el seno de una organización proviene del 20% de los actos que ésta realiza.
Esta afirmación, lejos de ser empírica, tampoco va mal desencaminada. Y es muy útil en el caso de PYMES, pues en organizaciones con, por ejemplo, plantillas de 100 personas, enfocar las actuaciones en torno a 20 de ellas y conseguir minimizar el 80% del riesgo suena muy prometedor.
La norma ISO 19600, de sistemas de gestión de Compliance, establece recomendaciones dirigidas al control del riesgo respecto de aquel personal que la propia norma cataloga como «especialmente expuesto» (al riesgo). Parece lógico pensar que, enfocando los esfuerzos hacia ese conjunto de personas (que no significa olvidar al resto), se obtendrían resultados altamente satisfactorios en un periodo de tiempo razonable.
Por su parte, la Fiscalía General del Estado, en su Circular 1/2016, ha establecido que los modelos de cumplimiento penal deben ser proporcionales y proporcionados al tamaño y características de la organización que los implementa. Del mismo espíritu es la citada norma ISO 19600 e incluso la más reciente norma UNE 19601 de sistemas de gestión de Compliance penal.
Los modelos de cumplimiento no deben ser ni tan laxos que pierdan la esencia para la que fueron creados, ni tampoco un corsé que impida a las organizaciones moverse con la agilidad suficiente en sus respectivos mercados.
Por ello, y en aras a alcanzar esa proporcionalidad y eficacia, en una primera fase de implantación parece razonable centrar los esfuerzos en identificar a ese 20% de la organización que motiva el 80% del riesgo, dejando para una segunda fase el 20% del riesgo restante, que probablemente se encuentre más disperso.
Esta metodología centra su atención en el «stayed focused» anglosajón o, como diría Steve Jobs:
«Si tuviera que nombrar tres reglas básicas para el éxito empresarial, diría «foco, foco y foco».
El Compliance va de cumplir las normas, y las normas son demasiadas, y muy extensas y complejas, como para querer abarcarlas todas desde el primer minuto.
Por eso considero muy importante, en una primera fase, dedicar el tiempo que sea necesario a entender el universo normativo al que cada organización esté expuesto, a descubrir dónde se concentra el mayor riesgo dentro de dicho universo, y a focalizar los esfuerzos en esos puntos y no en otros, para posteriormente abarcar (progresivamente) más campo de actuación a medida que tengamos todo lo anterior identificado, medido y controlado.
En el fondo, se trata de aplicar en Compliance la teoría de focalizarse en la identificación y en la preparación. Se trata de no desorientarnos en el frondoso bosque normativo, de no tener miedo de emplear tiempo en analizar qué queremos conseguir y cómo queremos conseguirlo, y de identificar cuales son los pocos puntos (pero que nos van a reportar importantes resultados) por los que vamos a empezar a conseguirlo. Cuanto más preparado estés, más oportunidades tendrás de conseguirlo.
No en vano Abraham Lincoln, uno de los mejores estrategas de todos los tiempos, dijo en una ocasión:
«Si tuviera nueve horas para talar un árbol, pasaría las seis primeras afilando mi hacha».
Valor y Ética 