La gestión integrada del riesgo de criminalidad financiera según un enfoque de toda la organización debe entenderse, en su sentido más fundamental, como un principio institucional de ordenación que afecta a la totalidad de la arquitectura organizativa y que desplaza el control de la criminalidad financiera desde la esfera de la especialización funcional hacia la de la responsabilidad general de gobierno, la autoconciencia organizativa y la coherencia normativa. Un enfoque de esta naturaleza parte del reconocimiento de que el riesgo de criminalidad financiera rara vez se limita a un único proceso delimitado, a un único punto de control o a una única función especializada, sino que se manifiesta, por el contrario, en la interacción entre la estrategia, la expansión comercial, la arquitectura de los productos, la ejecutabilidad operativa, la calidad de los datos, las decisiones de diseño tecnológico, los mecanismos de escalado, los incentivos del personal y la toma de decisiones en el plano de la gobernanza. En consecuencia, la gestión integrada del riesgo de criminalidad financiera no se concibe como un ámbito accesorio de control que se añade al modelo de negocio una vez adoptadas las decisiones esenciales, sino como una condición constitutiva de la credibilidad, la sostenibilidad y la gobernabilidad del propio modelo de negocio. En este enfoque, la cuestión de la integridad no se reduce a la existencia de políticas, procedimientos o equipos especializados, sino que se vincula a una cuestión más profunda, a saber, si la organización, en su funcionamiento efectivo, identifica las señales con la debida antelación, tolera las fricciones pertinentes, preserva los límites normativos y corrige las contradicciones internas antes de que estas se traduzcan en vulnerabilidades estructurales. La idea central no es, por tanto, que cada función deba convertirse en una función de cumplimiento, sino que cada función debe configurar sus propias decisiones, incentivos, datos y elecciones operativas de tal manera que el riesgo de criminalidad financiera no sea generado, desplazado, ocultado ni agravado en otra parte de la organización.
Un enfoque verdaderamente transversal de la gestión integrada del riesgo de criminalidad financiera presupone, además, que la noción de integridad sea redefinida en términos institucionales. En este contexto, la integridad no es ni un mero llamamiento moral, ni un mensaje reputacional, ni tampoco un conjunto de obligaciones formales que coexisten paralelamente a los objetivos comerciales. La integridad debe entenderse, por el contrario, como un principio ordenador que determina de qué modo se delimitan las opciones estratégicas, cómo se concreta efectivamente el apetito de riesgo, cómo se evalúan las excepciones, cómo circula la información entre funciones, cómo el liderazgo afronta las tensiones entre crecimiento y control, y cómo una organización evita que racionalidades individuales a nivel departamental desemboquen en una irracionalidad colectiva a nivel institucional. Muchos incidentes graves en materia de integridad no se producen porque determinados equipos omitan por completo el desempeño de sus tareas, sino porque distintas partes de la organización actúan cada una de manera racional conforme a su propia lógica de desempeño, mientras que el conjunto se desalinea en el plano normativo y operativo. El desarrollo de productos optimiza la facilidad de uso, la dirección comercial incrementa los volúmenes, las operaciones aceleran los tiempos de tramitación, la tecnología refuerza la escalabilidad y la dirección persigue la eficiencia, sin que se reconozca suficientemente que precisamente la combinación de estas decisiones, aparentemente legítimas, puede incrementar el potencial de abuso de la institución. La gestión integrada del riesgo de criminalidad financiera según un enfoque de toda la organización pretende sustituir esa racionalidad fragmentada por una forma de coherencia institucional en la que la estrategia, la cultura, la gobernanza, los procesos y los datos no existan unos junto a otros como elementos disociados, sino que se limiten, se aclaren y se disciplinen mutuamente.
La organización en su conjunto como enfoque de toda la organización
La organización en su conjunto como enfoque de toda la organización significa que la gestión integrada del riesgo de criminalidad financiera no puede reducirse al ámbito del cumplimiento normativo, de la función jurídica, de las operaciones de lucha contra la criminalidad financiera o de la auditoría interna, puesto que la criminalidad financiera, en la práctica, se despliega a lo largo de toda la cadena de valor de la institución y aprovecha precisamente aquellos tránsitos organizativos en los que las responsabilidades son difusas, la información está fragmentada y las valoraciones normativas permanecen implícitas. El enfoque de toda la organización desplaza así la perspectiva desde el control ex post hacia el diseño institucional ex ante. Lo que pasa a ser central no es la cuestión de qué función especializada debe absorber un incidente determinado, sino la cuestión, más penetrante, de cómo la organización en su conjunto ha sido diseñada de forma tal que no produzca sistemáticamente oportunidades de abuso bajo la bandera de la racionalidad comercial, la rapidez operativa o la innovación tecnológica. En un enfoque de esta naturaleza, la criminalidad financiera no se considera un fenómeno externo que pueda filtrarse en la entrada por un número limitado de equipos expertos, sino un riesgo que solo puede gestionarse eficazmente si la institución se percibe a sí misma como un único sistema integrado de decisiones, incentivos, procesos y flujos de información. Ese carácter sistémico es decisivo, porque el panorama de amenazas no se limita a debilidades aisladas, sino que se alimenta de una distribución imprecisa de responsabilidades, de señales contradictorias procedentes de la alta dirección, de una conectividad insuficiente de los datos, de circuitos de escalado fragmentados y de la tendencia estructural de las organizaciones a trasladar los riesgos incómodos hacia funciones con menos poder y con mayor carga de ejecución.
El carácter transversal de la gestión integrada del riesgo de criminalidad financiera exige, por tanto, una concepción de la gobernanza en la que cada función central de la institución responda por su propia contribución a la producción, al control o al agravamiento del riesgo de criminalidad financiera. La estrategia determina qué mercados, qué segmentos de clientela, qué canales de distribución y qué trayectorias de crecimiento se seleccionan. El desarrollo de productos determina qué funcionalidades, qué modalidades de uso y qué vías de excepción quedan disponibles. Las operaciones determinan con qué rapidez, con qué grado de rigor y sobre la base de qué información se evalúan las desviaciones. La tecnología determina qué señales se vuelven visibles, qué patrones siguen siendo detectables y qué decisiones automatizadas adquieren, de hecho, un efecto normativo. Los recursos humanos determinan qué comportamientos se recompensan, qué formas de discrepancia conllevan costes de carrera y qué perfiles de liderazgo terminan por imponerse. Las compras y la gestión de terceros determinan en qué medida las cadenas de externalización generan exposiciones adicionales. La tesorería y las finanzas determinan qué flujos transaccionales, qué estructuras de liquidez y qué interfaces internas requieren un grado reforzado de vigilancia. La comunicación y los asuntos públicos determinan la manera en que los incidentes se interpretan interna y externamente. En el momento en que incluso una sola de estas funciones se sitúa fuera del ámbito de la gestión integrada del riesgo de criminalidad financiera, se crea una ficción institucional en la que el riesgo se atribuye a funciones de control especializadas mientras que su producción efectiva tiene lugar en otra parte. El enfoque de toda la organización corrige esa ficción al establecer que el riesgo de criminalidad financiera pertenece al ámbito de la gobernabilidad colectiva y no al de la mera pericia funcional.
El enfoque de toda la organización adquiere así un significado más exigente que el habitual llamamiento a la cooperación o a la colaboración interfuncional. No se trata ni de consultas ocasionales ni de una ampliación cosmética de los órganos de gobernanza en los que varias funciones estén formalmente representadas sin que sus interdependencias sean realmente analizadas. Se trata de una profunda reordenación institucional en la que se hace visible que la calidad de la gestión integrada del riesgo de criminalidad financiera depende del grado en que la organización adopta internamente decisiones coherentes en materia de crecimiento, aceptación de la clientela, lógica de producto, derechos de escalado, titularidad de los datos, gobernanza de modelos, gestión de excepciones y capacidad de remediación. Un enfoque de toda la organización exige, por tanto, no solo la implicación de varias funciones, sino también una comprensión compartida de los límites normativos y operativos dentro de los cuales la institución pretende crear valor. A falta de esa comprensión común, se configura un patrón en el que cada función optimiza sus propios criterios de éxito mientras la institución, en su conjunto, se vuelve progresivamente más vulnerable a los abusos, a la intervención de las autoridades supervisoras, al daño reputacional y a la erosión interna de la conciencia normativa. En este sentido, el enfoque de toda la organización no es un programa adicional, sino una piedra de toque para determinar si la institución se gobierna realmente como una empresa integrada o si funciona simplemente como un conjunto de subsistemas que no se corrigen entre sí de manera suficiente en el plano de la gobernanza.
Estrategia, cultura, gobernanza, procesos y datos en coherencia
La gestión integrada del riesgo de criminalidad financiera solo puede funcionar de manera sostenible cuando la estrategia, la cultura, la gobernanza, los procesos y los datos no se tratan como capas de control separadas, sino como componentes interdependientes de una única arquitectura institucional. Una estrategia sin cultura produce una ambición abstracta carente de anclaje normativo. Una cultura sin gobernanza queda suspendida en expectativas simbólicas sin consecuencias decisorias. Una gobernanza sin procesos genera una supervisión formal carente de ejecutabilidad efectiva. Procesos sin datos degeneran en un control ritualizado sin verdadero valor informativo. Datos desprovistos de contexto estratégico y normativo producen, a su vez, una sofisticación técnica desprovista de comprensión institucional de lo que es realmente arriesgado, desproporcionado o relevante para la gobernanza. La exigencia de coherencia significa, por tanto, que una organización no puede limitarse a inversiones aisladas en documentos de política, programas de formación, tecnologías de monitorización o estructuras de reporte cuando dichos elementos no están incorporados en un modelo coherente que explique cómo la institución comprende, jerarquiza y gobierna sus riesgos de criminalidad financiera. La cuestión más profunda es siempre si la organización es capaz de mantener una misma línea normativa a través de la ambición estratégica, la ejecución operativa, la información de gestión, la dirección del personal y la infraestructura tecnológica. Allí donde esa línea falta, emerge una situación a la vez familiar y peligrosa en la que la institución aparece rigurosa sobre el papel, selectiva a nivel operativo, permisiva en la práctica comercial y fragmentaria en el tratamiento técnico-informativo.
El componente estratégico merece, a este respecto, una atención particular, ya que muchas deficiencias en la gestión integrada del riesgo de criminalidad financiera tienen su origen en decisiones estratégicas que no se traducen, o no se traducen suficientemente, en capacidad de control y en límites normativos. Una institución que apuesta por una rápida expansión internacional, por un escalado digital, por una incorporación acelerada de clientes, por la plataformización o por el acceso a segmentos de clientela más complejos incrementa no solo su potencial de ingresos, sino también la variedad, la velocidad y la ambigüedad de los riesgos que debe comprender y gobernar. Cuando ese movimiento estratégico no va acompañado de decisiones explícitas en materia de apetito de riesgo, asignación de recursos, derechos de decisión, captación de datos e infraestructura de escalado, surge una brecha estructural entre la dirección en la que la organización pretende moverse y aquello que efectivamente es capaz de controlar. La cultura se convierte entonces en el medio a través del cual esa brecha se normaliza o se corrige. Una cultura que comunique implícitamente que la presión sobre los ingresos, el momento de mercado o la comodidad del cliente deben prevalecer siempre vaciará de contenido cualquier estructura de gobernanza, por muy refinado que sea su diseño formal. Una cultura que acepte la fricción, legitime la duda normativa y no sancione el escalado refuerza, por el contrario, el funcionamiento de la gobernanza, porque permite a las funciones no solo señalar el riesgo, sino también hacerlo relevante en el plano de la gobernanza. La coherencia entre estrategia y cultura no es, por tanto, en absoluto accesoria, sino que determina si, en la práctica, la gestión integrada del riesgo de criminalidad financiera opera como un freno al autodaño institucional o como un mecanismo correctivo decorativo aplicado a posteriori.
La coherencia entre gobernanza, procesos y datos es, a continuación, determinante para establecer si la institución está efectivamente en condiciones de ver y gobernar sus propios riesgos. La gobernanza, en este contexto, no debe entenderse como un conjunto de organigramas y comités, sino como la totalidad de las estructuras decisorias formales y sustantivas mediante las cuales la institución ordena las decisiones relevantes para el riesgo, evalúa las excepciones, resuelve los conflictos entre funciones y transforma la información en acción de gobierno. Una gobernanza de esta índole pierde inmediatamente credibilidad cuando los procesos no describen de manera clara la forma en que las señales se generan, se evalúan, se escalan, se documentan y se reintroducen en el sistema. Sin embargo, los procesos pierden igualmente sentido cuando los datos subyacentes son incompletos, incoherentes, pobres en contexto o inaccesibles. La calidad de la información relativa a la clientela, de los datos transaccionales, del registro de eventos, del historial de casos, de la documentación de modelos, de los registros de override y de la información de gestión determina en gran medida qué realidad se vuelve visible para la organización y cuál permanece invisible. Una institución no puede sostener de manera creíble que su gestión integrada del riesgo de criminalidad financiera es madura cuando la alta dirección informa sobre indicadores que solo representan parcialmente la realidad operativa, cuando distintas funciones trabajan con definiciones divergentes del mismo riesgo o cuando decisiones críticas no son reproducibles porque la base de datos correspondiente está fragmentada entre sistemas, soluciones manuales y depositarios informales del conocimiento. La coherencia significa, por tanto, que la estrategia proporciona dirección, la cultura aporta disciplina normativa, la gobernanza estructura los derechos decisorios, los procesos estabilizan la ejecución y los datos permiten a la institución percibirse a sí misma de forma veraz.
Por qué el gobierno de la integridad fracasa en ausencia de coherencia interna
El gobierno de la integridad fracasa en ausencia de coherencia interna porque ningún marco de control puede resistir a una organización que transmite mensajes contradictorios acerca de lo que considera realmente importante. Cuando el consejo, el negocio, las operaciones y las funciones de control hablan formalmente de tolerancia cero frente a la criminalidad financiera, pero en realidad se comportan como si la aceleración del crecimiento, la retención de la clientela, la conversión de ingresos o el alivio de los procesos debieran prevalecer tan pronto como la fricción se vuelve tangible, se forma una ambigüedad institucional que socava cada mecanismo de la gestión integrada del riesgo de criminalidad financiera. Esa erosión rara vez se manifiesta de manera espectacular y casi nunca mediante un rechazo abierto de las normas de integridad. Mucho más frecuentemente, adopta la forma de excepciones aparentemente pragmáticas, decisiones aplazadas de manera informal, presiones implícitas sobre los tiempos de tramitación, un estrechamiento de la construcción del expediente, una normalización de datos incompletos, una ampliación del margen interpretativo o una evitación, en el plano de la gobernanza, de los asuntos comercialmente sensibles. La incoherencia interna lleva al personal a comprender lo que la organización recompensa realmente, incluso cuando ello diverge de los mensajes formales. En el momento en que esa divergencia se vuelve estructural, la gestión integrada del riesgo de criminalidad financiera deja de ser una prioridad organizativa creíble para convertirse en una norma aplicable solo bajo determinadas condiciones, destinada a subsistir únicamente mientras no imponga costes sustanciales. Es precisamente en ese momento cuando el gobierno de la integridad pierde su fuerza preventiva y se transforma en una gestión reactiva del daño.
La coherencia interna no es solamente una cuestión de claridad moral, sino también de fiabilidad operativa. Una organización en la que el diseño del producto facilita funcionalidades que incrementan el riesgo, mientras se exige a las operaciones que absorban manualmente sus consecuencias, crea una brecha estructural entre la decisión de diseño y la capacidad de ejecución. Una organización en la que los equipos comerciales se dirigen hacia el crecimiento de volúmenes sin una traducción suficiente del perfil de cliente, de la complejidad transaccional o de la carga de reevaluación convierte la gestión integrada del riesgo de criminalidad financiera en una permanente acción de retaguardia. Una organización en la que la ciencia de datos desarrolla modelos sobre la base de indicadores de rendimiento técnico sin un anclaje suficiente en el contexto jurídico, ético y operativo puede ciertamente producir una sofisticación aparente, pero en realidad construye nuevas formas de opacidad y de dependencia de la gobernanza. El gobierno de la integridad también fracasa cuando la segunda línea está formalmente encargada del cuestionamiento normativo, pero no dispone, en la práctica, de acceso, autoridad o participación suficientemente tempranos para influir de manera sustantiva en las decisiones estratégicas y de diseño. La coherencia interna significa, por tanto, que ambiciones, mandatos, recursos, información e incentivos están alineados. Allí donde falta esa alineación, el peso de la incoherencia recae sobre los márgenes operativos de la organización, donde el personal debe gestionar excepciones, priorizar alertas y evaluar expedientes incompletos bajo una presión temporal generada en otra parte.
La consecuencia más problemática de la ausencia de coherencia interna es que la organización termina normalizando sus propias vulnerabilidades. No porque los riesgos sean invisibles, sino porque se reinterpretan, a nivel de gobernanza, como incidentes, dolencias de crecimiento, problemas de capacidad o tensiones temporales ligadas a la expansión, cuando en realidad expresan fallos de diseño más profundos. La incoherencia crea un contexto en el que cada parte de la organización puede ofrecer explicaciones plausibles para problemas parciales, mientras nadie asume la responsabilidad del patrón en su conjunto. La alta dirección ve cuadros de mando carentes de plena visibilidad sobre las fricciones operativas. Las operaciones soportan una presión de carga sin disponer de influencia plena sobre las decisiones adoptadas aguas arriba. Las funciones de control identifican carencias, pero tropiezan con una accountability difusa. La tecnología produce soluciones que generan nuevas dependencias. Los recursos humanos recompensan patrones de desempeño susceptibles de entrar en tensión con una conducta prudente. De ello resulta una institución que parece disponer de una intensa actividad de control, pero cuyo gobierno de la integridad fracasa en el plano sustancial porque, internamente, no sigue una misma línea normativa en materia de decisión, remuneración, diseño, ejecución y remediación. Sin coherencia interna, las medidas de control permanecen formalmente en vigor, pero operan a contracorriente de la dinámica institucional. Ello hace que el control sea más costoso, más lento, más conflictivo y, en definitiva, menos creíble a los ojos de las autoridades supervisoras, de las contrapartes, de la clientela y de la propia organización.
El papel del liderazgo, de la accountability y de la estructura decisoria
En el marco de la gestión integrada del riesgo de criminalidad financiera, el liderazgo desempeña un papel que va sensiblemente más allá de la comunicación de mensajes normativos o del apoyo, en un plano abstracto, a iniciativas de cumplimiento normativo. En la práctica, el liderazgo determina el modo en que la institución organiza la tensión entre ambición comercial y contención normativa, la forma en que se ponderan las excepciones, qué riesgos siguen siendo debatibles y qué formas de discrepancia gozan de una protección efectiva. Cuando el liderazgo trata el control de la criminalidad financiera como una condición periférica que debe integrarse en la estrategia de crecimiento de la manera más discreta posible, se configura un clima en el que la fricción se considera un problema de ejecución más que un mecanismo correctivo necesario. Cuando, por el contrario, el liderazgo actúa de forma visible y coherente partiendo del principio de que la gestión integrada del riesgo de criminalidad financiera constituye una condición central de la sostenibilidad institucional, el significado de la integridad se desplaza desde la obligación de cumplimiento hacia la realidad de la gobernanza. Esa diferencia no aparece solo en los discursos, en las reuniones generales o en los códigos de conducta, sino en la forma en que se asignan los presupuestos, se reciben los escalados, se resuelven los casos difíciles, se rechazan las excepciones y se evalúan los desempeños. El liderazgo produce, en este ámbito, un efecto material porque hace visible la jerarquía normativa de la institución: qué objetivos pueden ceder, qué señales reciben prioridad y qué voces funcionales tienen acceso a los lugares donde se adoptan las decisiones estratégicas.
La accountability constituye el complemento necesario del liderazgo, porque una ambición normativa desprovista de una atribución clara de responsabilidades se disuelve rápidamente en un lenguaje colectivo carente de una carga decisoria individual efectiva. En un enfoque de toda la organización aplicado a la gestión integrada del riesgo de criminalidad financiera, accountability no significa que todas las funciones asuman la misma responsabilidad, sino que cada función sea responsable de manera trazable de las consecuencias, en términos de integridad, de sus propias decisiones y omisiones. El desarrollo de productos debe responder por las decisiones de diseño sensibles al abuso. La dirección comercial debe responder por la estrategia de clientela y por la orientación de volúmenes que generan una intensidad de riesgo adicional. Las operaciones deben responder por la calidad, la disciplina de escalado y la integridad de los expedientes. La tecnología debe responder por la transparencia de los modelos, la integridad de los datos y la controlabilidad de las decisiones automatizadas. La segunda línea debe responder por la calidad del cuestionamiento, por su solidez sustantiva, por su oportunidad y por su independencia. La auditoría interna debe responder por la verificación de la coherencia estructural y no únicamente por la presencia procedimental. En el momento en que la accountability permanezca difusa, la organización traslada el riesgo hacia abstracciones colectivas en las que todos están implicados, pero nadie es responsable. Este patrón resulta especialmente dañino en el ámbito de la criminalidad financiera, puesto que muchas disfunciones de integridad emergen en las zonas fronterizas entre funciones, allí donde las descripciones formales de los roles terminan, pero el impacto decisorio sustantivo continúa.
La estructura decisoria constituye, por último, la traducción institucional del liderazgo y de la accountability en una práctica de gobernanza repetible. No son solo la sustancia de las decisiones, sino también el lugar, el momento, la composición y la base informativa del proceso decisorio lo que determina si la gestión integrada del riesgo de criminalidad financiera influye realmente en la dirección de la institución. Una estructura decisoria que consulte a las funciones de control solo cuando el producto, la entrada en el mercado o la propuesta comercial ya se encuentran sustancialmente avanzados reduce el control de la integridad a una mitigación residual. Una estructura en la que los escalados deben atravesar múltiples niveles de dirección antes de que la fricción normativa adquiera peso en el plano de la gobernanza aumenta la probabilidad de retrasos, atenuaciones o elusiones informales. Una estructura en la que las excepciones se aprueban de forma opaca, o en la que la titularidad de la aceptación del riesgo no queda registrada expresamente, hace casi imposibles el aprendizaje y el control ex post. Una estructura decisoria madura en el ámbito de la gestión integrada del riesgo de criminalidad financiera exige, por tanto, derechos de escalado claros, una gobernanza explícita de la aceptación del riesgo, la participación oportuna de las funciones pertinentes, una conformación del expediente que permita reproducir el razonamiento, y una cultura de gobernanza en la que la formulación de límites normativos no se confunda con una falta de comprensión comercial. Solo bajo esa condición emerge una institución en la que el liderazgo no se funda únicamente en la intención, la accountability no se disuelve en la colectividad y el proceso decisorio no reproduce silenciosamente las vulnerabilidades que el sistema está llamado a controlar.
Cultura organizativa, conciencia normativa y capacidad de ejecución
La cultura organizativa determina en gran medida si la gestión integrada del riesgo de criminalidad financiera funciona, en la práctica cotidiana, como un principio vivo de ordenación o como una superestructura formal apoyada sobre una lógica implícita distinta. La cultura no se manifiesta aquí en declaraciones de valores meramente aspiracionales, sino en expectativas compartidas acerca de lo que se considera sensato, leal, eficiente, valiente u obstructivo cuando las cuestiones de integridad entran en colisión con la rapidez, con el interés de la clientela, con la presión sobre los ingresos o con las preferencias jerárquicas. Una cultura que se tome en serio el riesgo de criminalidad financiera se caracteriza por la normalización de la interrogación crítica, por la aceptación del retraso cuando los hechos lo exijan, por la disposición a renunciar a ventajas comerciales cuando se alcancen límites normativos, y por la protección institucional del personal que identifica incoherencias riesgosas. Una cultura que no haga esto produce un patrón sutil pero poderoso de autocensura, racionalización y desplazamiento. El personal entonces no aprende lo que está escrito en las políticas, sino aquello que, en la práctica, es seguro para la carrera, deseable en el plano relacional y factible en el plano operativo. En el momento en que ese entorno de aprendizaje informal comunica que escalar es difícil, que la duda requiere tiempo, que los ingresos son urgentes y que las excepciones son bien recibidas por la gobernanza siempre que no se califiquen expresamente como problemáticas, la gestión integrada del riesgo de criminalidad financiera pierde su profundidad normativa y se convierte en un marco procedimental que se aprende a navegar en lugar de interiorizarse.
La conciencia normativa desempeña, dentro de esa cultura, un papel autónomo, ya que la calidad del control de la integridad no depende solamente del conocimiento de las reglas, sino también de la comprensión de las razones por las que determinados límites existen, de la manera en que se desarrollan las lógicas de abuso y del daño institucional que se produce cuando comportamientos formalmente admisibles contribuyen, en el plano sustancial, a resultados indeseables. Una organización dotada de una fuerte conciencia normativa comprende que la ausencia de una prohibición explícita no equivale a admisibilidad, que la forma jurídica no coincide siempre con la prudencia institucional y que las señales de criminalidad financiera rara vez se presentan de forma completa y no ambigua. Una conciencia normativa de esta índole es esencial porque muchas decisiones relevantes se adoptan en condiciones de incertidumbre, de presión temporal y de asimetría informativa. Allí donde la conciencia normativa es débil, se instala una dependencia de conductas de checklist, de una interpretación mínima y de escalados reservados a los casos evidentes. Ello crea un punto ciego respecto de patrones acumulativos o transversales que pueden parecer explicables si se consideran de forma aislada, pero que, en su conjunto, revelan un riesgo estructural. Una fuerte conciencia normativa permite, por el contrario, pensar más allá de las categorías formales, identificar conductas que pueden parecer técnicamente conformes pero resultar institucionalmente desestabilizadoras, y conducir la discusión sobre el apetito de riesgo en términos de responsabilidad y sostenibilidad antes que de mera licitud jurídica.
La capacidad de ejecución constituye, por último, la prueba material indispensable de cualquier ambición cultural y normativa en el ámbito de la gestión integrada del riesgo de criminalidad financiera. Una organización puede formular expectativas elevadas en materia de disposición al escalado, calidad de los expedientes, vigilancia y conducta prudente, pero tales expectativas pierden legitimidad cuando los procesos, las plantillas, los sistemas, la formación, el acceso a los datos y la presión directiva están configurados de tal modo que actuar con prudencia se vuelve estructuralmente más difícil, más lento o más arriesgado que recurrir a atajos pragmáticos. La capacidad de ejecución exige, por tanto, una lucidez institucional sobria respecto de la cuestión de si la organización hace operativamente posibles sus propias expectativas en materia de integridad. ¿Puede el personal consultar realmente un contexto suficiente? ¿Están los derechos de decisión suficientemente claros como para permitir una intervención oportuna? ¿Es la carga de trabajo compatible con una evaluación cualitativa? ¿Permiten los sistemas una reconstrucción fiel de los razonamientos anteriores? ¿Se respalda institucionalmente la discrepancia o solo se permite de manera formal? ¿Se utilizan los errores para mejorar el sistema o principalmente para atribuir culpas a los equipos ejecutores? Allí donde falta la capacidad de ejecución, se crea inevitablemente una brecha entre norma y práctica, y esa brecha termina socavando tanto la cultura como la conciencia normativa. Una cultura organizativa creíble en el ámbito de la gestión integrada del riesgo de criminalidad financiera no consiste, por tanto, únicamente en una ambición moral, sino en la combinación de límites claros, de una conciencia normativa sostenida institucionalmente y de un entorno de ejecución en el que una conducta prudente no deba ser excepcionalmente difícil para ser considerada profesional.
La articulación entre la primera, la segunda y la tercera línea
La articulación entre la primera, la segunda y la tercera línea constituye, en el marco de la gestión integrada del riesgo de criminalidad financiera, una condición estructural de fiabilidad de la gobernanza, porque la eficacia del sistema no depende exclusivamente de la calidad de las funciones consideradas aisladamente, sino del modo en que dichas funciones, en sus relaciones recíprocas, intercambian información, organizan las tensiones, respetan los mandatos y contribuyen conjuntamente a la capacidad de la institución para aprender y corregirse. Una organización madura presupone que la primera línea no sea considerada como una mera prolongación ejecutiva de objetivos comerciales u operativos, sino como el lugar donde se genera una parte significativa de la producción material del riesgo y, por tanto, como el espacio en el que debe quedar arraigada la responsabilidad por las consecuencias, en términos de integridad, de las decisiones cotidianas. En ese contexto, la segunda línea no desempeña una función administrativa de verificación en la periferia del proceso, sino una función independiente, normativa y metodológica, que orienta los marcos de referencia, cuestiona las hipótesis, examina las decisiones de diseño y confronta al órgano de dirección con tensiones que pueden ser neutralizadas o normalizadas dentro de la primera línea. La tercera línea, por su parte, no cumple únicamente una función final de control, sino que proporciona el espejo sistémico necesario mediante el cual se hace visible si la interacción entre la primera y la segunda línea desemboca realmente en un sistema de control coherente, verificable y sostenible. La articulación entre estas tres líneas no es, por consiguiente, de naturaleza mecánica, sino institucional: determina si la organización es capaz de reconocer el riesgo como un fenómeno de gobernanza en lugar de como una sucesión de expedientes operativos aislados.
Uno de los problemas más persistentes en la práctica de la gestión integrada del riesgo de criminalidad financiera reside en que la relación entre las tres líneas parece formalmente clara, mientras que su interacción material está marcada por la fricción, la actitud defensiva, la confusión de roles o la distancia estratégica. La primera línea puede inclinarse a externalizar el riesgo de criminalidad financiera hacia funciones especializadas, sobre la base de la idea implícita de que la responsabilidad de preservar los límites normativos incumbe principalmente a otros. La segunda línea, por su parte, puede verse tentada, en caso de apropiación insuficiente por parte de la primera línea o bajo la presión de incidentes, a asumir por sí misma responsabilidades operativas, sustituyendo así la impugnación independiente por una sustitución ejecutiva. La tercera línea, finalmente, puede quedar reducida a una verificación ex post de la mera presencia procedimental, sin penetrar suficientemente en la cuestión de si la organización, en su diseño, en su estructura de incentivos y en su proceso decisorio efectivo, actúa de manera coherente con su propia política de riesgo. Cuando se producen tales desplazamientos, surge un sistema que parece ordenado externamente, pero que pierde rigor en su interior. La pureza de roles no es, por tanto, lo contrario de la colaboración, sino su condición. La primera línea debe asumir el riesgo e interiorizarlo. La segunda línea debe enmarcar, desafiar y delimitar. La tercera línea debe valorar de manera independiente si el conjunto funciona tal como formalmente se supone que debe funcionar. Solo cuando esas funciones siguen siendo sólidas dentro de sus respectivos mandatos y, al mismo tiempo, permanecen suficientemente conectadas en términos de información y de acceso a la gobernanza, emerge una arquitectura lo bastante robusta como para responder a la complejidad de la amenaza de criminalidad financiera.
El desafío esencial no radica, por consiguiente, en una descripción esquemática de las tres líneas, sino en el diseño de su interacción efectiva. Ello exige disposiciones explícitas en materia de escalado, momentos de cuestionamiento, participación en el diseño de productos y procesos, información de gestión, evaluaciones temáticas del riesgo y retroalimentación derivada de incidentes y de las enseñanzas extraídas. Exige asimismo que la organización abandone la idea simplista de que la tensión entre la primera y la segunda línea constituiría un signo de disfunción. En un modelo creíble de gestión integrada del riesgo de criminalidad financiera, una tensión constructiva es inevitable e incluso deseable, porque pone de manifiesto los puntos en los que divergen las lógicas comercial, operativa y normativa. Resulta igualmente indeseable que la tercera línea se limite a observar desde una gran distancia, sin una comprensión suficiente de la carga de trabajo real, de las limitaciones de los sistemas y de los dilemas decisorios que determinan, en la práctica, el funcionamiento del sistema. Una articulación efectiva entre las tres líneas presupone, por ello, independencia formal sin extrañamiento institucional. Allí donde esto se consigue, surge un modelo de control en el que el riesgo no se desplaza, en el que el cuestionamiento adquiere peso en el plano de la gobernanza y en el que las conclusiones de auditoría no se limitan a registrar deficiencias, sino que contribuyen a una corrección institucional más profunda. Allí donde no ocurre así, la primera, la segunda y la tercera línea pueden seguir activas de manera aislada, pero la organización en su conjunto se vuelve menos capaz de comprender la criminalidad financiera como una prueba sistémica de su propio orden interno.
Gobernanza de los datos, operaciones y dirección de gobernanza
La gobernanza de los datos, las operaciones y la dirección de gobernanza no constituyen, en el marco de la gestión integrada del riesgo de criminalidad financiera, ámbitos separados, sino un tríptico interdependiente a través del cual se hace visible la capacidad real de la organización para percibir, interpretar y controlar sus riesgos. La gobernanza de los datos determina qué realidad se vuelve visible en los planos administrativo, analítico y decisorio. Las operaciones determinan el modo en que esa realidad es tratada en expedientes, alertas, investigaciones, intervenciones y reevaluaciones. La dirección de gobernanza determina qué patrones que emergen de esa realidad operativa y basada en datos son elevados al rango de cuestiones de gestión, decisiones de capacidad o recalibraciones estratégicas. En cuanto uno de estos tres elementos resulta débil, todo el dispositivo se vuelve vulnerable. Una institución puede disponer de grandes cantidades de datos sin que estos sean suficientemente fiables, contextualmente utilizables o accesibles de manera transversal a las funciones. Las operaciones pueden tratar volúmenes importantes sin que los resultados de dicho tratamiento proporcionen una comprensión real de los riesgos estructurales. La dirección de gobernanza puede recibir una amplia información sin que esta refleje adecuadamente las tensiones efectivas presentes en las operaciones o la calidad normativa de las decisiones. La gestión integrada del riesgo de criminalidad financiera requiere, por tanto, no simplemente más datos, operaciones más eficientes o informes más frecuentes al consejo, sino un grado de conexión entre estas tres dimensiones tal que permita a la organización verse a sí misma con suficiente nitidez y, sobre esa base, darse una dirección.
La calidad de la gobernanza de los datos reviste, a este respecto, una importancia fundamental, porque el riesgo de criminalidad financiera depende en gran medida de la naturaleza de la información registrada, de la coherencia con la que se aplican las definiciones, del modo en que los sistemas se comunican entre sí, del carácter reproducible de las decisiones y del punto hasta el cual la información relativa al comportamiento de los clientes, a las transacciones, a las alertas, a los escalados, a las anulaciones, a las investigaciones y a las salidas permanece disponible de manera coherente a lo largo de todo el ciclo de vida. Una gobernanza de datos deficiente no conduce solo a ineficiencia técnica, sino también a un empobrecimiento normativo. Cuando información crítica se halla fragmentada entre distintos sistemas, cuando decisiones históricas no son trazables, cuando los resultados de los modelos no son explicables o cuando diferentes funciones operan a partir de verdades distintas respecto de un mismo perfil de cliente o de riesgo, la organización pierde la capacidad de formular juicios coherentes. Las operaciones se ven entonces obligadas a actuar sobre la base de un contexto parcial, y ello deteriora a su vez la calidad de las evaluaciones, de los escalados y de las priorizaciones. La realidad operativa en muchas instituciones muestra que los equipos de gestión de casos, los investigadores y los analistas se ven limitados con frecuencia no ante todo por una falta de compromiso o de conocimiento técnico, sino por carencias en materia de integridad de los datos, interconexión de sistemas y reconstrucción de expedientes. En un enfoque creíble de la gestión integrada del riesgo de criminalidad financiera, la gobernanza de los datos no es, por consiguiente, una cuestión informática de apoyo, sino un componente central de la integridad institucional, porque determina si la organización basa sus decisiones en una representación suficientemente coherente y verificable de su propia realidad.
Las operaciones constituyen, a continuación, el punto en el que marcos abstractos, conjuntos de datos y expectativas de gobernanza se traducen en un control efectivo del riesgo. Es ahí donde se hace visible si los volúmenes de alertas son manejables, si la lógica de priorización resulta pertinente, si las vías de excepción son disciplinadas, si los estándares de investigación son sostenibles y si la organización dispone de capacidad suficiente no solo para registrar señales, sino también para tratarlas de manera significativa. La dirección de gobernanza solo puede ser creíble si no reduce la realidad operativa a los tiempos de tramitación, a las estadísticas de volumen y a las tasas de cierre, sino que comprende también las tensiones ocultas detrás de los atrasos, los falsos positivos, la deriva de calidad, los cuellos de botella de revisión, la fatiga de escalado y las dependencias manuales. Un órgano de dirección que solo se interrogue por la eficiencia, sin una comprensión suficiente de la densidad del riesgo y de la complejidad normativa, crea implícitamente una presión susceptible de empujar a las operaciones hacia la abreviación, el estrechamiento o la rutinización del juicio. A la inversa, unas operaciones cuyos hallazgos no sean traducidos al nivel de la gobernanza corren el riesgo de quedar encerradas en la mera gestión de síntomas. La dirección de gobernanza, en el ámbito de la gestión integrada del riesgo de criminalidad financiera, exige por ello que las señales operativas, los patrones de datos y las causas estructurales confluyan en un nivel en el que no solo se discutan las cargas de trabajo, sino también las decisiones de diseño, la asignación de recursos, la gobernanza de modelos, la estrategia de clientes y las medidas correctivas. Solo en esa condición puede la organización pasar del tratamiento operativo al aprendizaje institucional.
Toda la organización como condición de una implementación creíble
Toda la organización debe considerarse una condición para la implementación creíble de la gestión integrada del riesgo de criminalidad financiera, porque una implementación carente de anclaje a escala de toda la organización degenera inevitablemente en un programa formal que ciertamente produce procesos y documentos, pero que no interviene de manera suficiente en la lógica subyacente mediante la cual la institución produce, jerarquiza y gobierna el riesgo. Muchos procesos de implementación fracasan no porque las medidas elegidas sean, en sí mismas, irrelevantes, sino porque son introducidas en una organización que deja intactas sus hipótesis estratégicas, sus estructuras de incentivos, sus derechos de decisión y sus patrones de cooperación. En un contexto así, se añaden nuevos controles a una realidad preexistente que después neutraliza esos mismos controles mediante presión temporal, cultura de la excepción, insuficiencia de datos, fragmentación de la titularidad o prioridad comercial implícita. La credibilidad de la implementación depende, por tanto, no solo de la calidad técnica, de la disciplina de proyecto o de la gobernanza del programa, sino también de la disposición de la institución a reconocer que un control duradero de la criminalidad financiera solo es posible si el conjunto de la organización se ajusta a las exigencias normativas y operativas del sistema. En ese sentido, toda la organización no es un método de implementación entre otros, sino la condición institucional bajo la cual la implementación puede llegar a ser algo más que documentos, herramientas y actividades de formación.
Una implementación creíble de la gestión integrada del riesgo de criminalidad financiera exige, por ello, desde el principio, un perímetro más amplio que la mera elaboración de políticas, la reconfiguración de flujos de trabajo o el endurecimiento de las reglas de monitorización. Exige que la organización examine explícitamente los lugares en los que el riesgo de integridad ya está siendo producido dentro del orden institucional existente. Ese examen debe extenderse a las características de los productos, a la dirección comercial, a la selección de clientes, a las relaciones con terceros, a los modelos de dotación de personal, a la información de gestión, a las definiciones de datos, a las dependencias tecnológicas, a los foros de gobernanza y a los mecanismos de remuneración. A falta de tal amplitud, se configura una lógica de implementación en la que la atención se concentra en los ámbitos de control visibles, mientras que las causas de la vulnerabilidad estructural permanecen en otras partes. La organización parece entonces avanzar porque se introducen nuevos procesos y se producen documentos de rendición de cuentas, mientras que la tensión fundamental entre crecimiento, ejecutabilidad y delimitación normativa permanece intacta. Toda la organización obliga, por tanto, a la implementación a no limitarse a la cuestión de cómo se despliega un marco de control, sino también a responder a la cuestión de cómo la institución impide que sus propias decisiones operativas, comerciales y tecnológicas socaven continuamente ese mismo marco. La credibilidad de la implementación no viene así determinada principalmente por la amplitud del programa, sino por la profundidad con la que este afronta las causas internas de la fragmentación y de la incoherencia.
De ello se sigue asimismo que la implementación, en el marco de un enfoque de toda la organización, constituye un proceso duradero de gobernanza y no un esfuerzo puntual de transformación con un punto final rígidamente delimitado. El riesgo de criminalidad financiera evoluciona, en efecto, junto con los comportamientos de la clientela, la innovación de producto, el cambio tecnológico, las transformaciones geopolíticas y la evolución de las normas supervisoras. Una organización que pretenda implementar de manera creíble la gestión integrada del riesgo de criminalidad financiera debe, por consiguiente, dotarse de mecanismos mediante los cuales las enseñanzas extraídas, los análisis de incidentes, los fallos de control, los cuasiincidentes y las tensiones operativas repercutan nuevamente sobre la estrategia, el diseño y la gobernanza. Ello requiere humildad institucional: el reconocimiento de que la implementación nunca queda definitivamente concluida y de que su culminación formal dice muy poco allí donde el funcionamiento cotidiano de la organización sigue generando nuevas vulnerabilidades. Toda la organización confiere a la implementación precisamente esa durabilidad necesaria, porque desplaza el centro de gravedad desde la mera entrega programática hacia la autocorrección organizativa estable. Allí donde este enfoque está presente, la implementación puede convertirse en un proceso creíble de fortalecimiento institucional. Allí donde falta, incluso esfuerzos considerables conservarán el carácter de correcciones aplicadas a posteriori a una organización que, en otras partes, continúa haciendo aquello que los controles situados al final del proceso están llamados a compensar.
La gestión integrada del riesgo de criminalidad financiera como disciplina de toda la organización y no como función especializada
La gestión integrada del riesgo de criminalidad financiera debe entenderse como una disciplina de toda la organización y no como una función especializada, porque la naturaleza de la amenaza de criminalidad financiera no coincide con los límites de los distintos ámbitos de especialización. El conocimiento especializado sigue siendo indispensable. Sin una experiencia profunda en materia de prevención del blanqueo de capitales, sanciones, fraude, lucha contra el soborno y la corrupción, conducta, ciberseguridad, investigaciones, análisis jurídico y gobernanza de modelos, ninguna institución puede mantener un sistema de control adecuado. Pero la sola especialización es insuficiente cuando la organización, en su conjunto, sigue tratando sus propias decisiones relevantes para el riesgo como si quedaran fuera del ámbito de la gestión integrada del riesgo de criminalidad financiera. En el momento en que el control de la criminalidad financiera queda institucionalmente localizado en un silo especializado, surge para las demás funciones la tentación de negar o minimizar su propia contribución a la producción del riesgo. La estrategia se percibe entonces como función de mercado y crecimiento. El desarrollo de productos se percibe como función de innovación y de comodidad del cliente. Las operaciones se perciben como función de eficiencia. La tecnología se percibe como función habilitadora. Los recursos humanos se perciben como función centrada en las personas. Cada una de estas autodescripciones contiene una parte de verdad, pero ninguna es suficiente si se desconoce que todas estas funciones son también portadoras de decisiones susceptibles de aumentar o reducir la vulnerabilidad de la institución frente a la criminalidad financiera. La gestión integrada del riesgo de criminalidad financiera como disciplina de toda la organización corrige, por tanto, la distinción engañosa entre, por un lado, “el negocio” y, por otro, “la función de criminalidad financiera”.
El carácter disciplinario de la gestión integrada del riesgo de criminalidad financiera implica que el conocimiento, el lenguaje y el juicio pertinentes no deben permanecer concentrados exclusivamente en equipos especializados, sino que deben incorporarse, en forma adaptada, a la alfabetización en gobernanza y a la alfabetización operativa de la institución en su conjunto. Ello no significa que cada función deba convertirse en especialista, pero sí que cada función debe poseer una comprensión suficiente del modo en que la criminalidad financiera puede manifestarse dentro de su propio ámbito de responsabilidad. Los equipos de producto deben comprender qué funcionalidades pueden facilitar abusos. La dirección comercial debe comprender de qué manera el perfil del cliente, la fijación de precios, la definición de objetivos y la presión de captación comportan consecuencias en términos de integridad. Los equipos de datos y de tecnología deben comprender que la clasificación, la selección de modelos y la lógica de automatización no son neutras desde el punto de vista de los valores. Los recursos humanos deben comprender cómo los indicadores de desempeño, los criterios de promoción y las intervenciones culturales sostienen o socavan un comportamiento prudente. El consejo y la alta dirección deben comprender que el control de la criminalidad financiera no es un subdominio técnico sobre el que se reciben informes periódicos, sino una disciplina que incide directamente sobre la legitimidad estratégica y la continuidad empresarial. Cuando esta disciplinarización más amplia falta, las funciones especializadas siguen siendo estructuralmente responsables de compensar riesgos generados en otras partes de la organización sin una conciencia plena del riesgo.
El paso de una función especializada a una disciplina de toda la organización tiene también consecuencias relevantes sobre la manera en que se mide el éxito y se distribuye la responsabilidad. Mientras la gestión integrada del riesgo de criminalidad financiera se considere principalmente como un ámbito especializado, la tendencia natural será medir el desempeño mediante indicadores tales como la gestión de expedientes, el cierre de alertas, las conclusiones de auditoría, la implementación de políticas o el seguimiento regulatorio. Tales indicadores conservan su utilidad, pero resultan insuficientes mientras no se conecten con cuestiones más amplias relativas al diseño de productos, al apetito de riesgo, a la estrategia de clientes, a la integridad de los datos, a la ejecutabilidad operativa, a las decisiones de liderazgo y a la coherencia interna. Una disciplina de toda la organización exige, por ello, un marco conceptual más rico, en el que no solo se mida el rendimiento de los equipos especializados, sino también el grado en que la institución consigue reducir aguas arriba la producción del riesgo, abordar a nivel de gobernanza las tensiones normativas, hacer ascender los escalados en tiempo oportuno y configurar la organización de tal modo que el riesgo de criminalidad financiera no quede estructuralmente externalizado hacia la parte final del proceso. En ese sentido, la disciplinarización de la gestión integrada del riesgo de criminalidad financiera significa que la integridad pasa de ser una condición especializada periférica a convertirse en un criterio general del comportamiento profesional y de gobernanza.
La coherencia interna como fundamento de la eficacia y de la legitimidad externas
La coherencia interna constituye el fundamento de la eficacia y de la legitimidad externas en el ámbito de la gestión integrada del riesgo de criminalidad financiera, porque una institución solo puede actuar de manera creíble hacia el exterior si su orden interno es lo suficientemente coherente como para alinear sus pretensiones normativas, su práctica operativa y su toma de decisiones de gobernanza. La eficacia externa en este ámbito suele evaluarse a partir de la capacidad de detección, de la calidad de las comunicaciones, del cumplimiento de sanciones, de las investigaciones sobre clientes, de la respuesta ante incidentes y de la cooperación con las autoridades. Todos estos elementos son relevantes, pero solo pueden funcionar de manera duradera si la arquitectura interna de la organización no opera sistemáticamente en contra de los resultados perseguidos. Una institución que exhibe hacia el exterior estándares elevados, mientras permite que subsistan internamente incentivos contradictorios, generará inevitablemente una discrepancia entre su posición formal y su funcionamiento efectivo. Esa discrepancia afecta no solo a la eficacia de los controles, sino también a la legitimidad de la institución a los ojos de las autoridades supervisoras, de las contrapartes, de los clientes, de los empleados y de la sociedad. La legitimidad, en el contexto de la gestión integrada del riesgo de criminalidad financiera, no deriva, en efecto, del mero cumplimiento de exigencias mínimas, sino de la capacidad de demostrar de manera plausible que la organización se gobierna realmente a sí misma de una manera que no tolera, no desplaza y no externaliza oportunistamente la criminalidad financiera.
La eficacia externa presupone, por tanto, que la organización sea capaz, internamente, de reunir señales pertinentes más allá de las fronteras funcionales, de afrontar en el plano de la gobernanza objetivos en conflicto y de negarse a reducir deficiencias estructurales a errores individuales o a perturbaciones procedimentales incidentales. Las autoridades supervisoras y los demás evaluadores externos observan cada vez menos exclusivamente la presencia de medidas formales y cada vez más las condiciones de gobernanza y de cultura en las que dichas medidas operan. La cuestión no es solo si la institución dispone de un marco de control, sino si ese marco se halla sostenido en la práctica por una rendición de cuentas clara, una toma de decisiones coherente, datos fiables, cuestionamiento independiente y una apropiación suficiente por parte de la primera línea. También los socios externos, los bancos corresponsales, los inversores y los actores sociales evalúan cada vez más a las instituciones por el grado en que la integridad aparece visiblemente anclada en el funcionamiento real de la empresa. La coherencia interna adquiere así un significado externo: determina si la institución puede demostrar de manera convincente que el riesgo no se gestiona únicamente a posteriori, sino que se delimita aguas arriba mediante la forma en que se diseñan los productos, los procesos, los incentivos y la gobernanza. Allí donde dicha coherencia falta, las expresiones externas de confianza permanecen vulnerables a una rápida erosión en cuanto los incidentes revelan que el control formal no se corresponde con la realidad cotidiana.
La legitimidad reviste, en este contexto, un carácter profundamente institucional. Descansa en la fuerza persuasiva con la que una institución logra demostrar que su enfoque del riesgo de criminalidad financiera procede de una forma duradera de autogobierno y no de una presión temporal, de la gestión reputacional o de una adaptación impuesta por la supervisión. La coherencia interna es indispensable a este fin, porque solo una organización internamente coherente es capaz de sostener de manera creíble límites normativos cuando tales límites conllevan costes en términos de ingresos, rapidez, comodidad del cliente o expansión de mercado. Una institución que opere internamente de forma fragmentada podrá quizás, durante un tiempo, mostrar resultados eficaces en el exterior, pero seguirá siendo vulnerable a recaídas en cuanto aumente la presión o cambie el entorno. Una institución dotada de una fuerte coherencia interna, por el contrario, posee algo más que mera capacidad de control. Posee credibilidad institucional: la capacidad de actuar eficazmente hacia el exterior porque, en su interior, se mantienen la misma lógica normativa, la misma disciplina de gobernanza y la misma coherencia operativa. En ese sentido, la legitimidad externa no es un producto comunicativo, sino el reflejo de una organización que ha inscrito la gestión integrada del riesgo de criminalidad financiera como una propiedad de su propio orden interno.
