El certificado es apenas el piso de la madurez

El mercado de la certificación arrastra una confusión persistente entre tres cosas distintas: tener un sistema, tener un certificado y tener un sistema que funciona cuando algo sale mal. Las tres se nombran con la misma palabra, sello, y esa economía del lenguaje tiene consecuencias. Quien compra confunde la prueba de existencia con la prueba de desempeño.

Un certificado declara que una organización implementó un sistema de gestión conforme a una norma en un alcance definido y en un momento determinado. Esa afirmación es verdadera y limitada. No promete ausencia de incidentes, no garantiza profundidad de controles y no anticipa cómo reaccionará la organización ante una falla que todavía no ocurrió.

La tesis de este dossier es simple de enunciar y difícil de aceptar para quien vende sellos: el certificado es un piso, no un techo. Marca el umbral por debajo del cual una organización no debería operar, no el horizonte de madurez al que aspira.

Cuando un estándar se difunde, su capacidad de diferenciar se erosiona. La lógica es mecánica: si todos los proveedores de una cadena disciplinada exhiben el mismo certificado, el certificado deja de informar y pasa a ser condición de entrada. Se convierte en peaje, no en distinción.

En esos contextos la organización madura no compite por tener el certificado, sino por todo lo que el certificado no captura: trazabilidad, disciplina operativa, capacidad de respuesta. La masificación de certificados válidos a escala global prueba amplitud de difusión, no ventaja competitiva. El número alto es un dato de penetración, no de calidad.

La commoditización no es un defecto de la norma. Es la consecuencia previsible de su éxito. El problema aparece cuando el mercado sigue tratando como señal escasa algo que ya es abundante, y paga por la escasez un precio que la abundancia no justifica.

Hay sistemas de gestión que existen para funcionar y sistemas que existen para mostrarse. La diferencia rara vez se ve en el manual, porque ambos manuales pueden ser idénticos. Se ve en la evidencia de operación, que es justamente lo que el manual no puede fabricar por anticipado.

Los marcos de evaluación más exigentes ya internalizaron esta distinción. No preguntan si el programa existe; preguntan si está diseñado con criterio de riesgo, si tiene recursos y autoridad real, y si funciona en la práctica. Un sistema defensivo se construye mirando hacia afuera: produce documentos que anticipan la inspección. Un sistema real se construye mirando hacia adentro: produce registros porque la operación los genera.

La prueba decisiva no es la posesión del certificado, sino la capacidad de mostrar que el sistema detectó algo, reaccionó y dejó constancia. Un programa que nunca registró un hallazgo, una no conformidad o una corrección no es un programa maduro: es un programa que todavía no demostró estar encendido.

Si el certificado no distingue madurez, la pregunta correcta deja de ser si una organización está certificada y pasa a ser qué tan profundo es el sistema que el certificado declara. La madurez no es un atributo binario; es un gradiente que se infiere de proxies observables.

Esos proxies son conocidos por cualquier auditor que mire más allá del documento de alcance. La amplitud real de lo certificado frente al perímetro completo de la organización. La frecuencia con que se revisan los riesgos. La existencia de pruebas de respuesta ensayadas y no solo previstas. La trazabilidad de las investigaciones internas y de las medidas que las siguieron.

Los principios de auditoría establecen que la evidencia debe ser verificable, basada en muestras de información disponible y obtenida con un enfoque de riesgo. Una auditoría que solo confirma que los documentos existen no audita madurez: audita prolijidad.

Tratar el certificado como piso reordena las prioridades de quien lo emite, de quien lo exige y de quien lo exhibe. El comprador deja de pedir el sello y empieza a pedir la evidencia que el sello supone. La organización deja de coleccionar certificados y empieza a construir el sistema que los justifica.

El Observatorio IAC registra estándares, verifica afirmaciones de conformidad y avala la trazabilidad de la evidencia que las sostiene. Esa función no compite con la certificación: la completa por el costado que el sello, por su naturaleza, no puede cubrir. El certificado afirma; la verificación contrasta.

El certificado es un buen punto de partida y un mal punto de llegada. Como piso, ordena y disciplina. Como techo, anestesia. La diferencia entre una organización que usa el sello para empezar y otra que lo usa para terminar de pensar se ve siempre en el mismo lugar: en la evidencia que cada una puede mostrar cuando alguien, con criterio, decide mirar.