La cultura corporativa es el factor que determina cómo se comporta una organización cuando no está siendo supervisada. Es, en muchos casos, la primera línea de defensa frente al riesgo. Medirla de forma objetiva no es sencillo, pero es posible a través de indicadores indirectos. Por ejemplo, la rotación en determinadas áreas, el número y la calidad de las denuncias recibidas, el tiempo de escalado de los problemas o la coherencia entre los objetivos comerciales y los comportamientos observados. También es relevante analizar la calidad de la información que llega al Consejo. Una cultura sana no oculta problemas; los expone de forma temprana. Cuando la información fluye con transparencia, el riesgo se gestiona mejor.
Fundó Grupo Paradell en 1999, cuando la investigación corporativa era prácticamente desconocida en España. ¿Cómo ha evolucionado la receptividad de los altos directivos hacia una mirada externa sobre su propia empresa?
La evolución ha sido significativa, aunque no homogénea. A finales de los años noventa, plantear a un Consejo de Administración la necesidad de incorporar una mirada externa era, en muchos casos, interpretado como una señal de desconfianza o incluso como una amenaza. Existía una convicción bastante arraigada de que el control interno era suficiente y que los riesgos relevantes eran, en su mayoría, externos.
Hoy, en cambio, las organizaciones más avanzadas entienden que la complejidad del entorno empresarial hace imposible tener una visión completa desde dentro. La globalización, la digitalización y la velocidad de los cambios han multiplicado los ángulos muertos. En ese contexto, la mirada externa no se percibe como una fiscalización, sino como una herramienta de anticipación y mejora. Sin embargo, todavía conviven dos realidades. Por un lado, compañías que han integrado esta visión como parte estructural de su gobierno corporativo. Por otro, organizaciones que siguen recurriendo a ella únicamente cuando el problema ya es evidente. La diferencia entre ambas no es técnica, es cultural
¿Por qué el 95% de los fraudes corporativos son cometidos por personas de confianza dentro de la propia organización y, no obstante, las empresas siguen mirando el riesgo hacia afuera?
Porque el riesgo interno es incómodo. Obliga a cuestionar no sólo a las personas, sino también los sistemas, los procesos y, en última instancia, las decisiones del propio equipo directivo. Es más sencillo conceptualizar el riesgo como algo externo, algo que viene de fuera y que, en cierto modo, es más fácil de justificar. Además, la confianza es un elemento esencial en cualquier organización. Sin ella, el negocio no funciona. Pero cuando la confianza no está equilibrada con mecanismos de control adecuados, se convierte en un punto vulnerable. El fraude interno no suele ser un acto aislado, sino la consecuencia de una combinación de oportunidad, racionalización y ausencia de supervisión efectiva.
Muchas compañías siguen mirando hacia fuera porque el relato es más cómodo. Reconocer que el problema puede estar dentro implica asumir responsabilidades más profundas. Y eso no siempre es fácil.
Usted lleva 27 años asesorando a consejos de administración en situaciones de riesgo. ¿Qué señales tempranas suelen ignorar los directivos antes de que un problema escale?
Las señales tempranas rara vez son evidentes, pero casi siempre están presentes. Entre las más habituales destacan los cambios de comportamiento injustificados en personas clave, la concentración excesiva de poder o de información, y la resistencia a los procesos de control o transparencia.
También es frecuente observar pequeñas desviaciones que, de forma aislada, pueden parecer irrelevantes, pero que, cuando se repiten, apuntan a un patrón. Otra señal crítica es el deterioro en la calidad de la información que llega a la alta dirección: informes incompletos, retrasos injustificados o explicaciones poco consistentes.
Sin embargo, hay una señal especialmente reveladora: el silencio organizativo. Cuando en una compañía nadie cuestiona nada, cuando no hay discrepancia ni debate, el problema no es la ausencia de riesgos, sino la falta de visibilidad sobre ellos.
¿Cómo puede un Consejo de Administración detectar zonas opacas o ángulos muertos dentro de su propia organización sin recurrir a métodos que vulneren la legalidad?
La clave está en el diseño del sistema, no en la intensidad del control. No se trata de investigar más, sino de estructurar mejor la información y los procesos para que las anomalías emerjan de forma natural. Un Consejo eficaz se apoya en mecanismos como auditorías internas bien orientadas, análisis de procesos críticos, segregación de funciones y sistemas de reporting que permitan identificar incoherencias. También es fundamental disponer de canales de información independientes que permitan contrastar la versión oficial. Todo ello debe hacerse dentro del marco legal, respetando los derechos de las personas. De hecho, la experiencia demuestra que los sistemas más eficaces no son los más invasivos, sino los mejor diseñados. La transparencia estructural reduce la necesidad de intervención.
¿Qué diferencia, en su experiencia, a una compañía que anticipa riesgos de otra que siempre reacciona tarde?
La diferencia no está en los recursos, sino en la disciplina. Las compañías que anticipan han integrado la gestión del riesgo en su operativa diaria. No la consideran una función de soporte, sino un elemento central en la toma de decisiones. Estas organizaciones trabajan con indicadores débiles, analizan tendencias y están dispuestas a actuar con información incompleta. Entienden que esperar a tener certeza absoluta suele implicar llegar tarde. Por el contrario, las empresas que reaccionan tarde suelen
operar bajo un enfoque reactivo. Confían en que los problemas serán evidentes cuando sean relevantes. El problema es que, en la mayoría de los casos, cuando un riesgo es evidente, ya ha generado impacto.
¿Cómo se diseña una organización en la que los riesgos operativos, reputacionales o de fraude sean estructuralmente difíciles de materializarse?
Diseñar una organización resiliente implica combinar estructura, procesos y cultura. Desde el punto de vista estructural, es imprescindible evitar la concentración de funciones críticas en una sola persona. La segregación de responsabilidades y los controles cruzados son elementos básicos.
En el plano de procesos, es fundamental que las decisiones relevantes dejen trazabilidad. No se trata de burocratizar, sino de asegurar que existe un rastro verificable que permita entender qué se decidió, por qué y quién participó. Pero el elemento más determinante es la cultura. Si la organización tolera atajos, presiones indebidas o comportamientos poco éticos, cualquier sistema de control acabará siendo insuficiente. La coherencia entre lo que se dice y lo que se hace es el verdadero sistema de prevención.
¿Por qué el canal de denuncias puede ser el mejor sistema de alerta temprana o, al mismo tiempo, el mayor punto ciego de una compañía? ¿Cómo evitar esto último?
El canal de denuncias es, potencialmente, uno de los mecanismos más eficaces para detectar riesgos en fases tempranas, precisamente porque permite acceder a información que difícilmente emerge por otras vías. Sin embargo, su eficacia no depende de su existencia, sino de su credibilidad. Un canal que no genera confianza no se utiliza. Y uno que se utiliza sin garantías puede derivar en distorsiones, conflictos internos o incluso en un deterioro del clima laboral. Por eso, puede convertirse tanto en una fortaleza como en un punto ciego. Para evitar esto último, es imprescindible asegurar tres elementos. Primero, la protección real del informante, no sólo en términos formales, sino en la práctica. Segundo, la independencia en la gestión del canal, evitando que las denuncias sean tratadas por estructuras que puedan verse afectadas. Y tercero, la trazabilidad y supervisión a nivel de Consejo, que debe tener visibilidad agregada del sistema sin interferir en los casos concretos. Cuando estas condiciones se cumplen, el canal se convierte en un auténtico sistema de alerta temprana. Cuando no, se transforma en un elemento meramente decorativo.
¿Qué errores cometen las empresas al investigar problemas internos que acaban agravando el riesgo en lugar de mitigarlo?
El error más habitual es la improvisación. Ante una situación de riesgo, muchas organizaciones reaccionan sin un plan claro, lo que puede comprometer tanto la investigación como la gestión del problema.
Otro error frecuente es la falta de independencia. Intentar resolver internamente situaciones complejas, sin los recursos o la objetividad necesaria, suele generar sesgos y decisiones poco eficaces. También es habitual alertar prematuramente a las personas implicadas, lo que puede derivar en la destrucción de evidencias o en la coordinación de versiones. Además, en ocasiones se prioriza la discreción sobre la eficacia, retrasando decisiones clave. El resultado es que el problema no sólo no se resuelve, sino que se amplifica.
¿Cuándo debe un consejero delegado escalar un problema interno y tratarlo como un riesgo estratégico?
Debe hacerlo cuando el problema tiene potencial para afectar a la reputación, la confianza de los clientes, la relación con los reguladores o la continuidad del negocio. No es una cuestión de impacto económico inmediato, sino de alcance y consecuencias.
Un error habitual es esperar a que el problema se materialice plenamente para escalarlo. En realidad, el momento adecuado es cuando existen indicios razonables de que puede tener un impacto relevante. La anticipación en este punto es clave. Escalar a tiempo permite gestionar el riesgo con mayor margen de maniobra y, en muchos casos, evitar consecuencias más graves.
¿Cuál es el coste real, más allá del económico, de no ver a tiempo lo que está ocurriendo dentro de la organización?
El coste económico suele ser el más visible, pero no el más relevante. El verdadero impacto se produce en la confianza: la de los empleados, la de los clientes, la de los socios y la del mercado.
Cuando una organización pierde credibilidad, la recuperación es lenta y costosa. Además, estos episodios suelen tener un efecto interno significativo, afectando a la moral
del equipo y a la capacidad de atraer y retener talento. En muchos casos, el daño reputacional supera con creces el impacto financiero inicial. Y, a diferencia de este, no siempre es recuperable en el corto plazo.
Como socio fundador de World Compliance Association, ¿considera que el cumplimiento normativo en España es ya una cultura real o sigue siendo, en demasiadas organizaciones, un ejercicio de mera apariencia?
España ha avanzado de forma notable en materia de compliance en los últimos años. La presión regulatoria, junto con una mayor sensibilización del tejido empresarial, ha
impulsado la adopción de modelos de cumplimiento en muchas organizaciones. Sin embargo, todavía existe una brecha importante entre aquellas compañías que han integrado el compliance como parte de su cultura y aquellas que lo abordan desde una perspectiva formal. En estas últimas, el cumplimiento se traduce en documentación, pero no necesariamente en comportamiento. La diferencia es clara: en unas organizaciones, el compliance condiciona las decisiones; en otras, simplemente las acompaña. El reto en los próximos años no será tanto implantar sistemas, sino consolidar una cultura en la que el cumplimiento forme parte real de la gestión empresarial
Fotos: Nina Prodanova
