Los riesgos de criminalidad financiera y económica no se gestionan con un documento de política interna que, sobre todo, luce bien en un portal del consejo de administración, con una matriz de riesgos que muestra cada trimestre los mismos colores tranquilizadores, o con una presentación de cumplimiento en la que vulnerabilidades complejas han sido reducidas a puntuaciones, controles y “responsables de acciones”. Todo ello puede ser útil para mantener ordenadas las reuniones, pero dice muy poco sobre la capacidad de su organización para demostrar, bajo presión, qué ocurrió realmente, quién vio qué señales, por qué se actuó o no se actuó, y cómo se adoptaron, documentaron, supervisaron y escalaron las decisiones de riesgo. La criminalidad financiera y económica rara vez nace en el vacío. Circula a través de la urgencia comercial, la debilidad en la documentación de expedientes, las vías de excepción, los terceros, las transacciones complejas, la ausencia de responsabilidades claras, los controles informáticos frágiles, el cribado insuficiente de sanciones, las bases jurídicas imprecisas en materia de protección de datos y una gobernanza más impresionante sobre el papel que en la práctica cotidiana. Y es precisamente ahí donde comienza el problema: su organización puede declarar durante años que los riesgos están bajo control, hasta el día en que una autoridad supervisora, una autoridad investigadora, un banco, una aseguradora, un auditor forense, un investigador externo, un comité de auditoría, una contraparte o un juez lee el mismo expediente sin la cortesía con la que habitualmente se reciben los informes internos. Entonces se descubre que una “excepción cuidadosamente evaluada” quizá no era más que una elusión estructural. Que una “desviación operativa” quizá señalaba un fallo de control. Que un “incidente” se denomina así sobre todo porque la palabra “patrón recurrente” resulta menos agradable para la dirección. Y que el lenguaje tranquilizador de las políticas, la cultura y los procedimientos pesa poco cuando los hechos muestran que las advertencias no fueron atendidas, las señales fueron minimizadas, las responsabilidades fueron desplazadas y las decisiones no pueden reconstruirse de manera convincente a posteriori.
Los riesgos de criminalidad financiera y económica no requieren, por tanto, un cumplimiento decorativo, sino un control demostrable, capaz de resistir cuando su organización ya no controla el relato. En cuanto el expediente se lee desde la perspectiva de la previsibilidad, el deber de diligencia, la imputabilidad, las obligaciones de comunicación, la responsabilidad de supervisión y la responsabilidad de los administradores, el espacio para las abstracciones cómodas desaparece rápidamente. ¿Qué significa su política anticorrupción cuando nadie puede explicar por qué se aceptó, pese a todo, a un agente, distribuidor, proveedor, cliente o socio de joint venture de alto riesgo? ¿Qué significa el cribado de sanciones cuando las alertas se descartaron de forma rutinaria, la responsabilidad era incierta o la presión comercial determinaba la evaluación real del riesgo? ¿Qué significa el control del fraude cuando transacciones inusuales, conflictos de interés, patrones de gastos o circuitos de pago eran visibles, pero no condujeron a intervenciones demostrables? ¿Qué significa el cumplimiento en materia de protección de datos cuando su organización no puede demostrar quién tenía acceso a qué datos, sobre qué base jurídica, con qué registro de accesos, con qué medidas de seguridad y con qué seguimiento de las anomalías? ¿Qué significa una política de ciberseguridad cuando las advertencias fueron tratadas como ruido técnico hasta reaparecer en un informe de investigación como señales ignoradas? En esa fase, es demasiado tarde para pedir confianza sobre la base de las intenciones. Importan los hechos, la documentación, la escalada y la credibilidad de su proceso decisorio. La gestión integrada de los riesgos de criminalidad financiera obliga, por tanto, a su organización a afrontar una pregunta incómoda pero necesaria: ¿puede demostrar que los riesgos de criminalidad financiera y económica fueron efectivamente gestionados, o dispone sobre todo de un sistema cuidadosamente diseñado que parecía convincente únicamente mientras nadie leía realmente el expediente con una mirada crítica?
El reposicionamiento de la dirección de la integridad en un panorama de riesgos estructuralmente transformado
La gestión integrada de los riesgos de criminalidad financiera comienza con el abandono de la cómoda ficción según la cual la dirección de la integridad sería una actividad de cumplimiento de apoyo, que informa educadamente a la dirección jurídica, produce periódicamente un cuadro de mando y, por lo demás, debe evitar molestar demasiado a la maquinaria comercial. En un panorama de riesgos estructuralmente transformado, esta concepción no solo está superada; es peligrosa. Su organización opera en un entorno en el que la criminalidad financiera ya no se presenta exclusivamente como una desviación reconocible respecto de la actividad ordinaria, sino cada vez más como una transacción aparentemente normal, una alianza estratégica, una oportunidad de crecimiento, un pago urgente, un contrato público, un intermediario con “conocimiento local”, un vehículo de inversión con un nombre respetable o una relación con un cliente apenas demasiado rentable como para ser examinada críticamente. Es exactamente ahí donde comienza la debilidad de gobernanza. La gestión integrada de los riesgos de criminalidad financiera debe, por tanto, ser reposicionada: no como vigilancia pasiva de las normas, sino como contrapeso activo de gobernanza. Debe ser el lugar en el que se formula la pregunta que en otros ámbitos suele evitarse: por qué esta operación es tan atractiva, por qué esta estructura es tan compleja, por qué este tercero es tan indispensable, por qué este pago debe realizarse con tanta rapidez, por qué falta documentación, por qué la clasificación del riesgo es tan milagrosamente favorable, por qué las excepciones se venden siempre como necesidades comerciales, y por qué todo el mundo empieza a preocuparse únicamente cuando una autoridad supervisora plantea las mismas preguntas.
Este reposicionamiento exige que su organización deje de considerar la gestión integrada de los riesgos de criminalidad financiera como una línea defensiva situada al final de la cadena decisoria, y la trate como un componente estructural de la estrategia, la asignación de capital, la entrada en mercados, el desarrollo de productos, la aprobación de transacciones, la participación en licitaciones, la selección de socios y la respuesta a crisis. Parece obvio, y precisamente por eso resulta sospechoso que en tantas organizaciones no ocurra. La realidad directiva suele ser que la integridad se califica de importante mientras no retrase una transacción, no ahuyente a un cliente, no ponga bajo presión una previsión de ingresos y no obligue a un dirigente influyente a reconsiderar una iniciativa querida. La gestión integrada de los riesgos de criminalidad financiera es invitada entonces a la mesa cuando las decisiones esenciales ya han sido adoptadas, tras lo cual todavía puede ejecutarse una pequeña due diligence ritual para decorar el expediente. Eso no es control de riesgos; es construcción documental para arrepentimientos futuros. Un reposicionamiento serio significa que la gestión integrada de los riesgos de criminalidad financiera recibe poderes, posición informativa y derechos de escalada proporcionales al peso de los riesgos. Sin acceso al proceso decisorio, la función sigue dependiendo de lo que otros acepten compartir. Sin mandato, la opinión sigue siendo opcional. Sin una línea directa con la dirección y los órganos de supervisión, la escalada sigue siendo una propuesta cortés. Sin protección frente a la presión comercial, toda norma acaba convirtiéndose en moneda de cambio.
En un panorama de riesgos estructuralmente transformado, su organización debe reconocer además que los riesgos de criminalidad financiera no son estáticos. Un cliente que ayer parecía aceptable puede volverse mañana sensible a sanciones. Un proveedor que opera en un mercado estable puede incorporarse repentinamente a una cadena de alto riesgo debido a acontecimientos geopolíticos. Un contrato público jurídicamente válido puede volverse tóxico desde el punto de vista de la gobernanza cuando la decisión, los intereses o los flujos de financiación se examinan con mayor profundidad. Un agente que durante años produjo “resultados” puede demostrar sobre todo, retrospectivamente, que nadie quería saber realmente cómo se habían obtenido esos resultados. La gestión integrada de los riesgos de criminalidad financiera debe ser, por tanto, dinámica, pero no en el sentido de moda de cuadros de mando, mapas de calor y actualizaciones periódicas que prueban sobre todo que los colores pueden cambiar. Dinámica significa que su organización reevalúa constantemente si sus hipótesis siguen siendo defendibles, si las clasificaciones de riesgo aún se corresponden con los desarrollos fácticos, si los controles detectan realmente las anomalías, si las comunicaciones internas se examinan seriamente, y si los dirigentes están preparados para aceptar conclusiones comercial o políticamente desagradables. La prueba más dura no es saber si su organización dispone de reglas, sino si está dispuesta a aceptar una pérdida cuando el cumplimiento de las normas lo exige. Un programa de integridad que funciona solo mientras no cuesta nada no es gestión integrada de los riesgos de criminalidad financiera. Es un centro de costes con pretensiones morales.
Valores, prosperidad y resiliencia como fundamento normativo y de gobernanza de la dirección de la integridad
La gestión integrada de los riesgos de criminalidad financiera no puede implantarse de manera creíble sin una comprensión aguda de la relación entre valores, prosperidad y resiliencia. Su organización no puede seguir presentando la integridad como un lenguaje cultural suave mientras la actividad real está dirigida por objetivos, cuotas de mercado, acceso político, presión financiera y el conocido reflejo directivo de aparcar las normas difíciles junto a especialistas mientras la cúpula conserva para sí margen de maniobra. Los valores solo tienen significado cuando producen consecuencias sobre el dinero, el poder y el espacio discrecional. Un valor que nunca bloquea una operación, nunca influye en una bonificación, nunca corrige a un dirigente y nunca limita una estrategia comercial no es un valor; es decoración de interiores. La gestión integrada de los riesgos de criminalidad financiera expone esa hipocresía. Obliga a su organización a establecer si la integridad constituye una verdadera condición para la creación de prosperidad, o solo una fórmula añadida a los informes anuales para dar la impresión de que el beneficio se obtiene de forma socialmente respetable. La verdad incómoda es que la criminalidad financiera rara vez nace en un vacío de maldad manifiesta. Nace con más frecuencia en la zona gris en la que el crecimiento se vuelve más importante que la verificación, las relaciones pesan más que la transparencia, la presión del tiempo desplaza el control, las ambiciones directivas se presentan como necesidad estratégica, y todos saben lo suficiente para inquietarse pero dicen demasiado poco para parecer responsables.
La prosperidad sin resiliencia hace que su organización sea atractivamente vulnerable. Suena casi cortés, pero la realidad es más áspera: las organizaciones prósperas atraen riesgo. Quien gestiona flujos financieros, da acceso a mercados, posee licencias, distribuye fondos públicos, realiza inversiones o facilita transacciones internacionales se vuelve inevitablemente interesante para sujetos que consideran la diferencia entre emprendimiento y abuso principalmente semántica. La gestión integrada de los riesgos de criminalidad financiera debe proteger, por tanto, no solo frente a descarrilamientos internos, sino también frente a la instrumentalización externa. Su organización puede convertirse en víctima de engaño, redes corruptas, documentación falsa, elusión de sanciones, estructuras de blanqueo de capitales, robo de identidad, conflictos de interés, manipulación financiera ciber-dirigida y abuso estratégico por parte de contrapartes que saben exactamente dónde la prisa comercial supera la disciplina de control. Ello requiere una resiliencia que va mucho más allá de las listas de verificación de cumplimiento. Hacen falta vigilancia de gobernanza, curiosidad forense, agudeza jurídica, disciplina operativa y la voluntad de someter relaciones rentables a preguntas incómodas. Sin esa voluntad, su organización no se vuelve resiliente; se vuelve previsible. Y la previsibilidad es extremadamente útil para los actores malintencionados. Les basta con aprender dónde la presión es más fuerte dentro de su organización, qué directivos desean ser percibidos como dealmakers, qué controles pueden eludirse en nombre de la urgencia, qué excepciones han sido históricamente aceptadas y qué dirigentes prefieren ser tranquilizados antes que informados.
El fundamento normativo de la gestión integrada de los riesgos de criminalidad financiera no reside, por tanto, en declaraciones abstractas de integridad, sino en la estructuración concreta de las decisiones de gobernanza. Su organización debe poder explicar por qué se asumen determinados riesgos, qué límites no se sobrepasan, qué información se exige, quién puede apartarse de la regla, quién examina las excepciones, cuándo la escalada es obligatoria y qué consecuencias se derivan cuando se ignoran las señales. Es mucho menos romántico que hablar de valores, pero mucho más útil cuando una autoridad supervisora, un fiscal, una comisión de investigación, un banco, un periodista o una parte civil pregunta qué ocurrió realmente. La gestión integrada de los riesgos de criminalidad financiera debe traducir los valores en criterios decidibles. ¿Qué terceros son inaceptables? ¿Qué jurisdicciones requieren un examen reforzado? ¿Qué estructuras de pago son sospechosas, incluso cuando son comercialmente prácticas? ¿Qué regalos de empresa, contribuciones de patrocinio, honorarios de asesoramiento o comisiones de introducción son indefendibles? ¿Qué señales hacen irresponsable la continuación de una relación con un cliente? ¿Qué papel desempeña el riesgo reputacional cuando la licitud jurídica aún no está plenamente cristalizada? Quien no responda a estas preguntas por adelantado responderá a ellas más tarde bajo presión, normalmente peor, de manera más defensiva y con asesores sensiblemente más caros en la sala. La conclusión sarcástica se impone: los valores son magníficos mientras nadie pida la prueba de que alguna vez hayan detenido algo. La gestión integrada de los riesgos de criminalidad financiera existe precisamente para poder aportar esa prueba.
La economía de transición como fuente de riesgos de integridad intensificados y entrelazados
La economía de transición ha endurecido considerablemente el terreno de juego de la gestión integrada de los riesgos de criminalidad financiera. La transición energética, la digitalización, la autonomía estratégica, las inversiones en defensa, la economía circular, la renovación de infraestructuras, la financiación climática y la innovación tecnológica implican inmensos flujos financieros, subvenciones públicas, inversiones privadas, licitaciones, programas de aceleración y nuevas dependencias. Donde grandes cantidades de dinero circulan rápidamente, aparece el riesgo. Donde la urgencia pública se utiliza para acelerar las decisiones, el riesgo aumenta aún más. Y donde se atribuye superioridad moral a un proyecto porque se lo califica de “verde”, “estratégico”, “innovador” o “socialmente necesario”, el control crítico se vuelve a veces milagrosamente más blando. Su organización debe comprender que la economía de transición no es automáticamente limpia porque sus objetivos parezcan simpáticos. Un proyecto calificado como favorable al clima puede haber sido adjudicado de forma corrupta. Una inversión estratégica puede pasar por estructuras intermedias opacas. Una cadena circular puede depender de abusos laborales, fraude en certificados o información falsa sobre el origen. Un socio tecnológico puede introducir riesgos de sanciones. Una asociación público-privada puede disimular conflictos de interés detrás del lenguaje de las políticas públicas. La gestión integrada de los riesgos de criminalidad financiera debe mirar, por tanto, más allá del envoltorio moral. La etiqueta de utilidad social no es un salvoconducto; constituye a menudo una razón para redoblar la desconfianza.
En la economía de transición, los riesgos de integridad se vuelven además entrelazados porque factores jurídicos, financieros, geopolíticos y operativos ejercen presión simultánea sobre los mismos expedientes. Su organización puede encontrarse ante cadenas de materias primas procedentes de zonas de alto riesgo, financiación por sujetos vinculados a Estados, tecnologías con características de doble uso, proveedores indirectamente relacionados con entidades sancionadas, procedimientos locales de autorización expuestos al riesgo de corrupción, presión para construir o entregar rápidamente, y expectativas públicas que dejan poco espacio al retraso. Es exactamente el tipo de entorno en el que los modelos de control bien ordenados adquieren con frecuencia un valor teatral. La matriz parece ordenada; la realidad no. La gestión integrada de los riesgos de criminalidad financiera debe funcionar aquí como una disciplina integradora, conectando derecho de sanciones, anticorrupción, controles contra el blanqueo de capitales, derecho de contratación pública, gobernanza, riesgo cibernético, control contractual, análisis reputacional y capacidad de investigación forense. No porque la coherencia resulte seductora en un organigrama, sino porque los riesgos de criminalidad financiera no se preocupan por las fronteras internas entre departamentos. Un pago lógico desde el punto de vista financiero puede ser jurídicamente problemático. Un proveedor esencial desde el punto de vista operativo puede ser sensible a sanciones. Un consultor local comercialmente útil puede introducir un riesgo de corrupción. Una solicitud de subvención atractiva desde el punto de vista político puede contener riesgo de fraude cuando las prestaciones, los costes o las declaraciones de sostenibilidad no son suficientemente verificables. En un entorno semejante, su organización no puede permitirse ninguna ceguera fragmentada.
La economía de transición aumenta además el riesgo de que su organización se absuelva moralmente antes incluso de que comience la determinación de los hechos. Es una patología directiva peligrosa. Los proyectos presentados como contribuciones al clima, la seguridad, la innovación o las infraestructuras públicas adquieren a veces internamente un aura de necesidad, de modo que las preguntas críticas se perciben como molestas, lentas o insuficientemente estratégicas. La gestión integrada de los riesgos de criminalidad financiera debe combatir ese reflejo. Su organización debe aceptar que la urgencia no concede ningún descuento en materia de integridad. Al contrario: la urgencia aumenta el riesgo de abuso, porque la velocidad debilita la documentación, concentra las decisiones, incrementa la dependencia y normaliza las desviaciones. Los expedientes más problemáticos nacen a menudo no porque nadie conociera las reglas, sino porque todos consideraban que ese expediente era demasiado importante para verse obstaculizado por las reglas ordinarias. Es el momento en que la inteligencia directiva se desliza hacia la sobreestimación de sí misma. La gestión integrada de los riesgos de criminalidad financiera debe garantizar, por tanto, que los proyectos de transición sigan sometidos a preguntas duras sobre propiedad, financiación, beneficiarios, intermediarios, determinación de precios, prestaciones, contraprestaciones, relaciones políticas, exposición a sanciones, pruebas y escalada. Una organización que utiliza la transición como excusa para controles débiles suele descubrir más tarde que las autoridades supervisoras, las autoridades investigadoras, los bancos y los medios se impresionan bastante menos por las buenas intenciones que por los expedientes ausentes.
Los efectos sistémicos de la transición sobre el riesgo, las conductas, la legitimidad y la confianza
La gestión integrada de los riesgos de criminalidad financiera debe reconocer que la transición no solo crea nuevos riesgos, sino que también modifica las conductas. Cuando los mercados se desplazan, las subvenciones pasan a estar disponibles, los flujos de capital se redistribuyen, surge la escasez y aumenta la presión pública, cambian los incentivos dentro de su organización. Los departamentos actúan con mayor rapidez, los equipos comerciales empujan con más fuerza, los dirigentes utilizan palabras más grandes, los responsables de proyecto solicitan excepciones, y las funciones de control reciben el conocido reproche de “no entender el negocio”. Ese reproche está generalmente destinado a producir sedación directiva. Naturalmente, la gestión integrada de los riesgos de criminalidad financiera debe comprender la actividad. Pero debe comprender sobre todo cuándo la actividad ya no quiere comprenderse a sí misma porque la recompensa de la velocidad supera la valoración de la prudencia. El efecto sistémico de la transición reside en ese desplazamiento conductual. El riesgo no está determinado únicamente por la amenaza externa, sino también por las racionalizaciones internas. “Todo el mundo lo hace.” “El mercado se mueve rápido.” “El Estado quiere ritmo.” “El competidor también está dentro.” “El socio es políticamente sensible.” “La financiación debe cerrarse.” “Es temporal.” “Los documentos vendrán después.” No son frases neutrales; son señales de alarma. La gestión integrada de los riesgos de criminalidad financiera debe tratarlas como indicadores tempranos de erosión normativa.
Esa erosión normativa incide directamente en la legitimidad. Su organización quizá todavía pueda explicar jurídicamente por qué una transacción, una colaboración o una estructura de financiación era formalmente admisible, pero eso no significa que siga siendo defendible desde el punto de vista de la gobernanza cuando el contexto más amplio se vuelve visible. La legitimidad es más frágil que la legalidad. Se ve afectada cuando los grupos de interés perciben que su organización ha buscado los márgenes de la norma, ha ignorado señales críticas, ha gestionado fondos públicos con excesiva ligereza, ha evaluado los riesgos de sanciones de forma cosmética o ha utilizado la integridad principalmente como lenguaje reputacional. La gestión integrada de los riesgos de criminalidad financiera debe ir, por tanto, más allá de la pregunta jurídica mínima de si algo está estrictamente prohibido. En los expedientes de criminalidad financiera, la pregunta suele ser si su organización, teniendo en cuenta su posición, sus conocimientos, sus medios y su función social, habría debido razonablemente actuar de otro modo. Es la pregunta que duele a los administradores no ejecutivos, vuelve defensivos a los dirigentes y obliga a los equipos jurídicos a formular con extrema prudencia. La realidad sarcástica es que muchas organizaciones descubren que la legitimidad era un activo solo después de haberlo dilapidado. Entonces se habla de repente de restaurar la confianza, como si la confianza fuera un defecto temporal reparable con una declaración, una investigación externa y algunos cambios de personal. La gestión integrada de los riesgos de criminalidad financiera debería impedir que su organización llegue tan tarde a esa toma de conciencia.
La confianza, en este ámbito, no funciona como sentimiento, sino como condición operativa. Los bancos deben estar dispuestos a prestar servicios a su organización. Las autoridades supervisoras deben poder presumir que la información es completa y fiable. Las contrapartes deben poder confiar en que una colaboración no crea riesgo de contaminación. Los colaboradores deben creer que las comunicaciones internas se toman en serio. Los inversores deben poder confiar en flujos financieros y en una gobernanza gestionables. Las instituciones públicas deben poder demostrar que los fondos y los poderes no han sido desviados. En cuanto surgen acusaciones, cada una de esas relaciones de confianza se pone a prueba. La gestión integrada de los riesgos de criminalidad financiera debe diseñarse, por tanto, para el estrés sistémico, no para los momentos ordinarios de reporting. Debe poder establecer qué hechos están acreditados, qué hipótesis siguen siendo inciertas, qué documentos faltan, qué personas tienen intereses, qué comunicaciones internas ya se han realizado, qué transacciones deben congelarse, qué información debe proporcionarse a las autoridades supervisoras, qué posición de confidencialidad es jurídicamente sostenible y qué comunicación causa más daños de los que resuelve. En ese momento, su organización no necesita calmantes directivos, sino precisión. El precio de un sistema débil es que cada actor empieza a extraer sus propias conclusiones: los bancos reducen exposición, las autoridades supervisoras escalan, los colaboradores revelan información o guardan silencio, los medios llenan los vacíos y las facciones internas se protegen. La gestión integrada de los riesgos de criminalidad financiera es la disciplina que debe impedir que un expediente se transforme en caos organizado con membrete corporativo.
La dirección de la integridad en condiciones de confianza, turbulencia e incertidumbre fundamental
La gestión integrada de los riesgos de criminalidad financiera solo se pone verdaderamente a prueba cuando confianza, turbulencia e incertidumbre fundamental se manifiestan simultáneamente. Es el momento en que su organización ya no puede apoyarse en las rutinas ordinarias de gobernanza. Los hechos están incompletos, la presión temporal es elevada, los intereses divergen, las partes externas exigen respuestas, los actores internos se vuelven prudentes o sorprendentemente disponibles, y cada declaración puede reaparecer más tarde como elemento de prueba. En un entorno semejante, la dirección de la integridad no es un proceso tranquilo de análisis y decisión, sino una lucha contra el pánico, la vanidad, la negligencia jurídica y la autoprotección directiva. La gestión integrada de los riesgos de criminalidad financiera debe entonces asegurar una determinación controlada de los hechos. Eso no significa que su organización deba exponerse ritualmente a cada exigencia externa o hacerlo todo inmediatamente público en nombre de la transparencia. La transparencia sin control fáctico no es una virtud; es temeridad. Significa, en cambio, que su organización debe reprimir la tendencia interna a minimizar el problema antes de haberlo comprendido. El primer reflejo directivo suele ser el encuadre: aislar el incidente, limitar el perímetro, suavizar el lenguaje, desplazar la responsabilidad, estimar el daño sobre la base de la esperanza y asegurar al mundo exterior que el asunto se toma “muy en serio”. Esa es precisamente la fase en la que muchas organizaciones crean sus problemas futuros.
En condiciones de turbulencia, su organización debe distinguir entre defensa jurídica, investigación fáctica y decisión directiva. Estas tres líneas deben articularse entre sí, pero no deben disolverse en una única rutina de crisis nebulosa. La defensa jurídica exige protección de derechos, secreto profesional, posición procesal, análisis de responsabilidad y gestión estratégica de las relaciones con las autoridades supervisoras o investigadoras. La investigación fáctica exige conservación de documentos, selección de datos, entrevistas, análisis forense, control del alcance, independencia, fiabilidad y conclusiones verificables. La decisión directiva exige medidas, comunicación, continuidad, decisiones relativas al personal, intervenciones de gobernanza y restablecimiento del control. La gestión integrada de los riesgos de criminalidad financiera reúne estas líneas sin confundirlas. Cuando la defensa jurídica domina por completo la determinación de los hechos, surge el riesgo de que la organización quiera saber sobre todo qué es defendible, no qué es verdadero. Cuando la investigación se separa de la estrategia jurídica, la posición probatoria puede verse dañada innecesariamente. Cuando los dirigentes utilizan el proceso para proteger reputación o posición, el expediente queda contaminado desde el punto de vista de la gobernanza. Su organización debe determinar, por tanto, desde el inicio quién es responsable de qué, qué información se comparte, qué decisiones se documentan, qué conflictos de interés existen y en qué momento determinados titulares de funciones deben contar con su propio asesoramiento jurídico. La ficción de que todos están en el mismo barco suele terminar en cuanto la responsabilidad recibe un nombre.
La incertidumbre fundamental exige además un nivel de humildad directiva raro en muchas organizaciones. Su organización debe poder decir: esto se sabe, esto es incierto, esto está siendo investigado, esta es la posición jurídica, estas son las medidas inmediatas, y estos son los límites de lo que puede declararse responsablemente. Parece sencillo, pero choca con casi todo lo que la comunicación de crisis y el instinto directivo suelen querer hacer. La tentación consiste en sugerir certeza donde no existe, exhibir un control todavía en construcción, reconocer responsabilidad sin nombrar sus consecuencias, o prometer cooperación sin comprender la posición informativa. La gestión integrada de los riesgos de criminalidad financiera debe corregir esa tentación. Debe proteger a su organización frente al confort de las conclusiones prematuras. En expedientes de criminalidad financiera, hablar demasiado pronto suele ser tan arriesgado como actuar demasiado tarde. Un sistema sólido impone, por tanto, decisiones por fases, revisión jurídica, disciplina forense, escalada directiva y documentación coherente. Formula las preguntas incómodas antes de que otros las formulen. Trata la información que falta no como un detalle molesto, sino como un riesgo. Impide anunciar planes de remediación antes de que la causa haya sido establecida. Y muestra claramente que la confianza no se restablece declarando que la integridad es una prioridad, sino probando que su organización se miente menos a sí misma bajo presión que antes.
Dirección pública, coherencia nacional y coordinación internacional en un entorno de amenazas interconectadas
La gestión integrada de los riesgos de criminalidad financiera no puede integrarse seriamente en su organización sin tener en cuenta la dirección pública que configura de manera cada vez más marcada los expedientes de criminalidad financiera. La idea de que empresas, instituciones y organismos públicos gestionan sus riesgos de integridad principalmente de forma autónoma, dentro de su propio marco de gobernanza, resulta seductora por su claridad, pero a estas alturas es bastante ingenua. La criminalidad financiera se aborda cada vez más como una amenaza para la seguridad económica, la resiliencia nacional, la autonomía estratégica, la aplicación de sanciones, los fondos públicos, la integridad de los mercados y la confianza institucional. El terreno de juego cambia, por tanto. Su organización ya no se enfrenta únicamente a normas internas, obligaciones contractuales, expectativas sectoriales y una autoridad supervisora ocasional que solicita periódicamente un expediente. Opera en un entorno en el que autoridades penales, reguladores administrativos, cadenas de inteligencia financiera, autoridades competentes en materia de sanciones, poderes adjudicadores, reguladores extranjeros, mecanismos de cooperación internacional y órganos políticos reivindican cada uno una parte de la imagen del riesgo. Ello convierte inevitablemente la gestión integrada de los riesgos de criminalidad financiera en una disciplina que debe comprender el poder público, no solo el control privado. Quien trata la dirección pública como ruido de fondo suele descubrir demasiado tarde que el fondo ya ha asumido el papel principal. Un incidente interno se convierte entonces de repente en parte de un enfoque sectorial, de una evaluación nacional de amenazas, de un debate internacional sobre sanciones o de una narrativa política más amplia sobre supervisión deficiente, uso indebido de fondos públicos o afectación de la integridad económica.
Esa dirección pública hace necesaria la coherencia nacional, pero también incómoda. Su organización no puede limitarse a marcar obligaciones legales separadas cuando los riesgos reales atraviesan directamente sectores, niveles de gobierno y regímenes de supervisión. Un riesgo de sanciones puede comenzar con una contraparte contractual extranjera, afectar a las relaciones bancarias, tener consecuencias en materia de control de exportaciones, suscitar preguntas ante las autoridades de autorización y, finalmente, provocar un daño reputacional en un debate político. Un riesgo de blanqueo de capitales puede presentarse como una cuestión de aceptación de clientes y estar al mismo tiempo vinculado a inmuebles, estructuras fiduciarias, flujos comerciales internacionales, criptoactivos, sectores intensivos en efectivo o subvenciones públicas. Un riesgo de corrupción puede nacer en una licitación, pero hacerse visible mediante comunicaciones internas, investigaciones periodísticas, señales fiscales o asistencia judicial extranjera. La gestión integrada de los riesgos de criminalidad financiera debe, por tanto, hacer operativa la coherencia nacional dentro de su propia organización. Esto significa que las funciones jurídica, de cumplimiento, finanzas, compras, seguridad, auditoría, asuntos públicos, fiscalidad, recursos humanos y gobernanza no pueden gestionar cada una su pequeña verdad como si la coordinación fuera un lujo. También significa que su organización debe comprender qué información puede ser relevante para qué autoridad, qué obligaciones de notificación pueden surgir, qué posiciones de confidencialidad son sostenibles, qué solapamientos de investigaciones pueden producirse y qué decisiones de gobernanza podrán interpretarse posteriormente como cooperación, obstrucción, negligencia o remedio cosmético. Una organización que, en un contexto semejante, siga apoyándose en notas departamentales separadas y en la disciplina de las reuniones merece casi admiración por su optimismo, pero desde luego no por su gestión del riesgo.
La coordinación internacional vuelve la cuestión aún más aguda, porque los riesgos de criminalidad financiera rara vez permanecen educadamente dentro de las fronteras nacionales. Su organización puede contar en los Países Bajos con un expediente aparentemente gestionable que en otra jurisdicción se lea como elusión de sanciones, corrupción, riesgo de control de exportaciones, abuso de mercado, fraude o incumplimiento de obligaciones de reporting. Las autoridades extranjeras pueden aplicar estándares probatorios diferentes, formular solicitudes de información más agresivas, mostrar ambiciones extraterritoriales más amplias o utilizar la denuncia pública como instrumento de presión. Los bancos y los inversores, a su vez, pueden aplicar modelos globales de riesgo, de modo que una cuestión local produzca efectos inmediatos sobre la financiación, las líneas de crédito, el clearing, la banca corresponsal o la cobertura de seguros. La gestión integrada de los riesgos de criminalidad financiera debe, por tanto, garantizar coherencia internacional sin degenerar en políticas globales genéricas que vuelan tan alto por encima de la realidad que no aterrizan en ninguna parte. Su organización necesita coordinación concreta: qué países, entidades, personas, flujos de mercancías, tecnologías y rutas de pago crean una exposición aumentada; qué listas de sanciones, marcos de control de exportaciones y regímenes anticorrupción son relevantes; qué decisiones internas pueden producir pruebas transfronterizas; qué comunicaciones con socios extranjeros son jurídicamente arriesgadas; y qué investigaciones externas pueden reforzarse o contradecirse entre sí. La coordinación internacional no es el arte de coleccionar dictámenes jurídicos extranjeros hasta que ya nadie se siente responsable. Es la disciplina de mantener, en un entorno de enforcement fragmentado, un cuadro fáctico defendible, una estrategia procesal controlada y una línea de gobernanza creíble.
Gobierno de la integridad en las estructuras económicas, los flujos financieros y las dependencias de la cadena
La gestión integrada de los riesgos de criminalidad financiera adquiere su significado más incisivo cuando su organización deja de tratar las estructuras económicas, los flujos financieros y las dependencias de la cadena como realidades comerciales neutrales, y las considera en cambio posibles vectores de riesgo de criminalidad financiera. La mayoría de los problemas, en efecto, no se presentan como delitos. Se presentan como una estructura. Como una ruta de pago. Como una cadena comercial. Como un modelo de distribución. Como un contrato de consultoría. Como una sociedad de proyecto. Como un socio local. Como un acuerdo de factoring. Como una relación de clearing. Como un contrato de agencia. Como una comisión complicada pero supuestamente conforme al mercado. Y, por supuesto, siempre acompañada de una explicación según la cual en ese sector las cosas funcionan sencillamente así. Su organización debe armarse contra ese tipo de explicaciones con algo más que una duda cortés. Las estructuras económicas nunca son inocentes solo porque existan; deben comprenderse, probarse y reevaluarse periódicamente. La gestión integrada de los riesgos de criminalidad financiera debe poder establecer quién se beneficia económicamente, quién es el propietario formal, quién ejerce el control efectivo, qué valor se entrega, qué pagos se realizan, por qué son necesarios los intermediarios, qué jurisdicciones se utilizan, qué documentación falta y si la lógica económica sigue sosteniéndose cuando se retira del cuadro la prisa comercial. Este último punto suele ser esclarecedor. Muchas estructuras presentadas en reunión como eficientes, flexibles o conformes a los usos locales resultan, bajo examen forense, sobre todo excepcionalmente prácticas para evitar visibilidad.
Los flujos financieros merecen, en el marco de la gestión integrada de los riesgos de criminalidad financiera, una atención mucho más severa que la mirada administrativa tradicional, que verifica principalmente si los importes cuadran, si las facturas existen y si las aprobaciones han sido concedidas. Un pago no es fiable porque haya sido procesado. Una factura no es creíble porque lleve un número. Una aprobación no es tranquilizadora cuando la persona que aprueba depende ella misma del éxito de la transacción. Su organización debe analizar los flujos financieros en función de su origen, destino, calendario, proporcionalidad, contraprestación, fundamento contractual, indicadores de riesgo y desviaciones respecto del comportamiento normal. Esto vale para riesgos clásicos como corrupción, blanqueo de capitales, fraude y apropiación indebida, pero también para riesgos más modernos e interconectados como la elusión de sanciones mediante rutas de pago alternativas, el abuso de criptoactivos, el blanqueo basado en el comercio, la manipulación de declaraciones de sostenibilidad, las certificaciones falsas, el fraude en subvenciones, la consultoría ficticia, los costes de proyecto inflados o los pagos posteriores a terceros desconocidos. La gestión integrada de los riesgos de criminalidad financiera debe ser capaz de reconocer patrones que, considerados aisladamente, pueden parecer explicables, pero que, en conjunto, forman un expediente cuya lectura posterior resultará particularmente desagradable. Los pagos fraccionados. Las solicitudes urgentes. Los contratos retroactivos. Las descripciones vagas de servicios. El tercero indicado en la factura pero no mencionado en el acuerdo. La cuenta bancaria en una jurisdicción inusual. El honorario exactamente lo bastante alto como para merecer preguntas y exactamente lo bastante bajo como para no despertar a nadie. No son curiosidades administrativas; son señales de fracaso de la gobernanza cuando nadie las examina seriamente.
Las dependencias de la cadena figuran, en este aspecto, entre las vulnerabilidades más subestimadas. Su organización puede disponer formalmente de excelentes controles internos y, al mismo tiempo, estar plenamente expuesta a riesgos que nacen en proveedores, subcontratistas, distribuidores, prestadores logísticos, consultores, franquiciados, representantes locales, socios de joint venture o socios de cooperación pública. La idea cómoda de que la responsabilidad se detiene donde termina el control directo resulta cada vez menos sostenible en el plano jurídico, de gobernanza y reputacional. La gestión integrada de los riesgos de criminalidad financiera debe, por tanto, abordar la cadena no como una cuestión de compras, sino como una extensión de la posición de integridad de su organización. Ello significa que la due diligence no es una puerta de entrada puntual, sino una obligación continua de seguimiento, gobierno contractual, derechos de auditoría, escalada, terminación y construcción probatoria. Su organización debe saber qué eslabones son críticos, dónde nacen las dependencias, qué alternativas faltan, qué partes parecen insustituibles, dónde desempeñan un papel las relaciones políticas locales, qué certificados son fiables y dónde la información se proporciona de forma asimétrica por partes interesadas en que usted permanezca en la ignorancia. Dicho sarcásticamente: resulta notable comprobar cuántas organizaciones saben exactamente cómo funcionan los márgenes, los plazos de entrega y los niveles de servicio en la cadena, pero se vuelven repentinamente filosóficas cuando se pregunta quién se oculta realmente detrás de un subcontratista o por qué un consultor local recibe una comisión de éxito. La gestión integrada de los riesgos de criminalidad financiera debería poner fin de inmediato a esa filosofía.
Control interno, arraigo social y capacidad local de protección
La gestión integrada de los riesgos de criminalidad financiera depende por completo de un control interno que vaya más allá de una colección cuidadosamente ordenada de documentos de política interna. Su organización puede disponer de códigos de conducta, análisis de riesgos, planes de control, informes de auditoría, módulos de formación, procedimientos de denuncia, procedimientos en materia de sanciones, políticas anticorrupción, reglas de aceptación de clientes y protocolos de incidentes, y aun así estar apenas controlada cuando el funcionamiento efectivo es débil. El papel ha hecho, en muchas organizaciones, una carrera impresionante como sustituto de la realidad. El control interno debe, por tanto, evaluarse a la luz de los comportamientos, la información, la escalada, el proceso decisorio y las consecuencias. ¿Se identifican los riesgos a tiempo? ¿Se examinan las desviaciones? ¿Se documentan las advertencias? ¿Se hace visible la presión ejercida por la dirección? ¿Pueden las funciones de control bloquear decisiones? ¿Se analizan ex post las excepciones comerciales? ¿Se protege a los denunciantes? ¿Los hallazgos se traducen en acciones concretas? ¿Se confronta a los administradores con patrones incómodos, o reciben sobre todo síntesis que respetan su sueño? La gestión integrada de los riesgos de criminalidad financiera exige que su organización no utilice el control interno como teatro del control, sino como instrumento destinado a exponer vulnerabilidades fácticas. Una auditoría que no detecta estructuralmente ningún problema relevante en un entorno de alto riesgo puede, por supuesto, significar que todo funciona perfectamente. También puede significar que la auditoría no mira con suficiente dureza. La segunda posibilidad merece atención con más frecuencia de la que recibe.
El arraigo social significa que su organización no puede definir sus riesgos de integridad únicamente desde la comodidad de su propia institución. La criminalidad financiera afecta a mercados, comunidades, fondos públicos, empleados, consumidores, competidores, contribuyentes, autoridades locales y sectores vulnerables. Una empresa que facilita la corrupción daña no solo su propia reputación, sino también la competencia leal y la confianza pública. Una institución que controla mal los riesgos de blanqueo de capitales se convierte en parte de una infraestructura por la que circulan patrimonios criminales. Un organismo público que deja deteriorarse la gestión financiera mina la credibilidad de la aplicación de las normas. Una organización que trata con ligereza los riesgos de sanciones puede contribuir a un daño geopolítico mucho más allá de su propio interés comercial. La gestión integrada de los riesgos de criminalidad financiera debe, por tanto, tener en cuenta los efectos sociales, no como apéndice moral, sino como parte integrante de la evaluación de riesgos y de la responsabilidad de gobernanza. Su organización no puede seguir escondiéndose detrás del razonamiento de que algo estaba contractualmente permitido cuando el contexto social es manifiestamente problemático. Este tipo de minimalismo jurídico puede parecer inteligente en una reunión, pero envejece mal en cuanto el expediente se hace público. La pregunta no es solo si su organización estaba formalmente autorizada a actuar, sino si razonablemente debió comprender qué daño podía causar o facilitar su conducta.
La capacidad local de protección es una dimensión a menudo olvidada de la gestión integrada de los riesgos de criminalidad financiera. La criminalidad financiera no se manifiesta únicamente en transacciones internacionales y grandes estructuras societarias, sino también en licitaciones locales, proyectos inmobiliarios, fondos sanitarios, subvenciones, permisos, cooperaciones municipales, fondos regionales de desarrollo, fundaciones, financiación del deporte y la cultura, actividades portuarias, nodos logísticos y cadenas inmobiliarias. Su organización puede disponer de políticas nacionales y contratar asesoramiento internacional, y seguir siendo vulnerable localmente porque allí no se reconocen las señales, falta capacidad, las dependencias son demasiado estrechas o la proximidad administrativa mina la distancia crítica. La gestión integrada de los riesgos de criminalidad financiera debe, por tanto, organizar la capacidad local de protección: formación, canales de denuncia, escalada hacia la pericia central, apoyo forense, poderes claros, protección contra presiones, estándares contractuales y evaluación jurídica accesible. Esto vale en particular para organismos públicos e instituciones financiadas con fondos públicos, donde el entrelazamiento local puede ser a la vez útil y arriesgado. El concejal conoce al empresario, el jefe de proyecto conoce al proveedor, la fundación conoce al asesor de subvenciones, el supervisor conoce el sector, y todos conocen sobre todo las ventajas de no interrogarse demasiado duramente entre sí. Es humano. También es precisamente por esa razón por la que la gestión integrada de los riesgos de criminalidad financiera resulta necesaria. El gobierno de la integridad sin agudeza local es una fantasía de sede central.
Riesgo, continuidad y resiliencia como tarea de gobernanza integrada
La gestión integrada de los riesgos de criminalidad financiera debe tratar riesgo, continuidad y resiliencia como una única tarea de gobernanza integrada, y no como tres expedientes separados que se encuentran por casualidad sobre la misma mesa de reunión. Los riesgos de criminalidad financiera pueden incidir directamente en la continuidad de su organización. Las relaciones bancarias pueden limitarse o resolverse, las licencias pueden verse sometidas a presión, las transacciones pueden congelarse, las partes contractuales pueden tomar distancia, los administradores pueden dimitir, las aseguradoras pueden impugnar la cobertura, los financiadores pueden invocar covenants, los reguladores pueden imponer medidas de remediation y los empleados pueden perder confianza. En este escenario, sirve de poco que su organización pueda señalar un registro de riesgos en el que el riesgo correspondiente estaba cuidadosamente consignado en amarillo con un titular. La continuidad exige que la gestión integrada de los riesgos de criminalidad financiera se traduzca en procesos resistentes a la crisis: quién toma las decisiones, quién gestiona los hechos, quién comunica con las autoridades, quién protege el privilegio legal, quién mantiene los contactos bancarios, quién decide la suspensión de transacciones, quién dirige las investigaciones internas, quién informa a los administradores no ejecutivos, quién protege a los denunciantes, quién evalúa las medidas de derecho laboral y quién impide que los dirigentes presa del pánico digan más de lo que saben. Un sistema de gestión de riesgos que parece elegante en tiempos normales, pero que bajo presión pasa inmediatamente a depender de la improvisación, no es un sistema. Es un objeto de utilería.
La resiliencia exige después que su organización mire más allá de la limitación de daños en un solo expediente. La gestión integrada de los riesgos de criminalidad financiera debe aprender de los incidentes, pero aprender de verdad, no representar el teatro institucional en el que se formulan recomendaciones, se nombran responsables de acción, se supervisan plazos y nadie plantea la pregunta más profunda de por qué el sistema no vio antes el problema. Resiliencia significa que su organización es capaz de reconocer patrones: excepciones recurrentes, puntos de presión comercial, procesos país débiles, controles ineficaces, override de la dirección, mala calidad de datos, responsabilidades fragmentadas, problemas culturales, miedo a la escalada, dependencia de unas pocas personas clave o un consejo de dirección que quiere sobre todo ser sorprendido por buenas noticias. La gestión integrada de los riesgos de criminalidad financiera debe convertir esos patrones en correcciones estructurales. Ello puede significar salir de mercados, poner fin a relaciones, adaptar productos, restringir poderes, revisar modelos de bonus, reforzar controles, sustituir dirigentes o reorganizar líneas de supervisión. Es tentador presentar la resiliencia como capacidad de recuperación, pero en este ámbito la resiliencia es ante todo la capacidad de soportar consecuencias desagradables. Quien, después de un incidente, se limita a reforzar procesos dejando intactos los incentivos que provocaron el incidente, elige la repetición con mejor documentación.
La tarea de gobernanza integrada exige, por último, que su organización formule honestamente su apetito de riesgo. Muchas organizaciones fingen tener una baja tolerancia frente a la criminalidad financiera. Suena bien y no cuesta nada. La verdadera pregunta es qué significa esa baja tolerancia cuando un cliente rentable proporciona información incompleta, un socio estratégico es políticamente sensible, una señal de sanciones retrasa una entrega, una denuncia interna afecta a un alto directivo, una licitación contiene contactos dudosos o un intermediario extranjero explica que “sin facilitation no se mueve nada”. La gestión integrada de los riesgos de criminalidad financiera debe hacer operativo el apetito de riesgo traduciéndolo en límites rígidos y reglas decisorias. ¿Qué riesgos son inaceptables con independencia del valor comercial? ¿Qué circunstancias exigen aprobación del consejo? ¿Qué señales comportan una suspensión inmediata? ¿Qué información mínima debe estar disponible? ¿Qué relaciones se resuelven en caso de negativa a la transparencia? ¿Qué titulares de funciones internas no pueden autorizar excepciones por razón de conflictos de interés? Sin reglas de este tipo, el apetito de riesgo se convierte en una figura retórica. Y las figuras retóricas se defienden mal en un expediente de investigación. Su organización debe comprender que la continuidad no se protege rebautizando amablemente los riesgos, sino diciendo no a tiempo a relaciones, transacciones y conductas que posteriormente pueden minar la razón de ser misma de la organización. La organización más resiliente no es la que anuncia un programa de remediation después de cada escándalo, sino la que posee suficiente disciplina para hacer menos probable el escándalo.
Entidades críticas, obligaciones de resiliencia y desarrollo ulterior del gobierno de la integridad
La gestión integrada de los riesgos de criminalidad financiera adquiere un peso adicional cuando su organización está calificada como entidad crítica, trabaja para entidades críticas, depende de ellas o está vinculada a ellas. En sectores como servicios financieros, energía, transporte, sanidad, infraestructura digital, agua potable, administración pública, actividades vinculadas a la defensa, puertos, telecomunicaciones, abastecimiento alimentario y otros ámbitos vitales, la criminalidad financiera no es simplemente un problema interno de integridad. Puede incidir en la continuidad social, la seguridad nacional, el orden público, las dependencias estratégicas y la confianza en los servicios esenciales. Ello significa que su organización no puede permitirse el lujo de abordar la gestión integrada de los riesgos de criminalidad financiera como una cuestión reputacional principalmente molesta para la comunicación y las relaciones con los inversores. El listón es más alto porque el daño es mayor. La corrupción en una cadena crítica puede afectar a la seguridad del suministro. La elusión de sanciones mediante un proveedor vital puede tener consecuencias geopolíticas. Los riesgos de blanqueo en la infraestructura financiera pueden reforzar redes criminales. El fraude relativo a fondos públicos sanitarios o de infraestructura puede dañar la legitimidad de los servicios esenciales. Una entidad crítica que trata el gobierno de la integridad como un ciclo anual de cumplimiento muestra sobre todo que entiende mejor la palabra “crítico” como adjetivo que como responsabilidad.
Las obligaciones de resiliencia obligan a su organización a conectar la gestión integrada de los riesgos de criminalidad financiera con la resiliencia operativa, la seguridad de la información, la planificación de continuidad, la gestión de proveedores, la respuesta a crisis, la responsabilidad de los órganos de dirección y la supervisión. No se trata de una ampliación burocrática, sino del reconocimiento necesario de que los riesgos de criminalidad financiera entran a menudo a través de dependencias. Un incidente cibernético puede facilitar el fraude en pagos. Un proveedor con estructuras de propiedad ocultas puede introducir un riesgo de sanciones. Un subcontratista puede utilizar la corrupción para acceder a proyectos críticos. Una fuga de datos puede incidir en una investigación, en la posición probatoria o en las obligaciones de notificación. Un tercero vulnerable puede convertirse en el eslabón débil de una cadena vendida a los órganos de gobernanza como “estratégicamente robusta”. La gestión integrada de los riesgos de criminalidad financiera debe, por tanto, hablar el lenguaje de la resiliencia sin perder su precisión jurídica. Su organización debe saber qué procesos son críticos, qué flujos financieros son esenciales, qué terceros son indispensables, qué datos son necesarios para la detección, qué autoridades deben ser informadas, qué escenarios se han ensayado y qué decisiones pueden adoptarse en situación de crisis sin que todos miren primero a las mismas cinco personas. Un programa de resiliencia sin componente de criminalidad financiera es ciego al abuso. Un programa de gestión integrada de los riesgos de criminalidad financiera sin componente de resiliencia es ciego a la perturbación. Estas dos formas de ceguera se combinan de manera sorprendentemente eficaz, pero solo en organizaciones que disfrutan explicando después de los hechos por qué nadie había visto el conjunto.
El desarrollo ulterior del gobierno de la integridad exige, por último, una cultura de gobernanza menos dócil y claramente más afilada. Su organización no debe desarrollar aún más la gestión integrada de los riesgos de criminalidad financiera simplemente creando más políticas, más formación, más cuadros de mando y más foros de gobernanza. Normalmente ya hay suficiente de todo eso para ahogar después de los hechos cada decisión débil en papel. El desarrollo ulterior significa que el gobierno de la integridad se vuelve más inteligente, más independiente, más forense y más estratégico. El análisis de datos debe utilizarse para detectar desviaciones, no para producir falsa certeza. La inteligencia artificial y la automatización pueden apoyar el proceso, pero no deben convertirse en una nueva excusa para la incomprensión cuando el sistema pasa algo por alto. Las investigaciones internas deben concebirse profesionalmente, no ejecutarse como una búsqueda dirigida por la dirección de una conclusión digerible. La supervisión debe formular preguntas de seguimiento sobre expedientes concretos, no asentir satisfecha ante modelos que parecen maduros. Los administradores deben comprender que la gestión integrada de los riesgos de criminalidad financiera no obstaculiza su libertad de acción, sino que los protege frente a las consecuencias de una libertad mal informada. La próxima fase del gobierno de la integridad no es, por tanto, más amable, más suave ni más cosmética. Es más dura, más orientada a la prueba y menos impresionada por las imágenes institucionales que las organizaciones tienen de sí mismas. Su organización debe aprender que la integridad no es una declaración formulada cuando las cosas van mal, sino una disciplina operativa que debe ser visible antes de que las cosas vayan mal. Quien no lo comprenda recibirá finalmente, de todos modos, una formación. Normalmente de una autoridad supervisora, un fiscal, un periodista de investigación, un banco que se marcha, o un correo electrónico interno que alguien había olvidado borrar.
