Van Leeuwen Law Firm

Clara distribución de funciones entre la primera, la segunda y la tercera línea de defensa

Una clara distribución de funciones entre la primera, la segunda y la tercera línea de defensa constituye el punto de partida de una gobernanza eficaz en materia de criminalidad financiera, ya que, sin una disciplina explícita de roles, cualquier dispositivo de control se vuelve vulnerable a duplicidades, lagunas de ejecución y controversias sobre la responsabilidad en el momento en que los riesgos se materializan. En el marco de la Gestión integrada del riesgo de criminalidad financiera, la primera línea asume la responsabilidad principal de identificar, evaluar y controlar los riesgos de criminalidad financiera en las operaciones diarias. Esto significa que la aceptación de clientes, las revisiones periódicas, las señales transaccionales, el filtrado de sanciones, el diseño de productos, las decisiones de distribución, las excepciones operativas y la toma de decisiones comerciales no pueden considerarse actividades puramente técnicas o administrativas. Constituyen el primer nivel concreto en el que los riesgos de integridad se asumen, se limitan, se aceptan o se escalan. Por ello, la primera línea debe disponer de una conciencia suficiente del riesgo, facultades claras, procedimientos aplicables y acceso a información adecuada. Sin esas condiciones, la titularidad del riesgo se convierte en una atribución formal carente de significado sustantivo.

La segunda línea desempeña una función fundamentalmente distinta dentro de la Gestión integrada del riesgo de criminalidad financiera. Compliance, legal, risk y, cuando resulte relevante, tax deben desarrollar el marco normativo interno, interpretar la legislación y la regulación, traducir el apetito de riesgo en requisitos de política interna, monitorizar la calidad de los controles y someter a la primera línea a un challenge crítico. La segunda línea no es, por tanto, ni un sustituto ejecutivo de la business line ni una función de supervisión pasiva a distancia. Su valor añadido reside en su capacidad para reunir la definición de estándares, la comprensión práctica y el challenge independiente. Esto exige suficiente autoridad, suficiente profundidad sustantiva y suficiente acceso a la toma de decisiones. Cuando la segunda línea se involucra demasiado tarde, funciona exclusivamente como una ventanilla de aprobación o carece de un mandato suficiente para cuestionar las decisiones operativas, la gobernanza en materia de criminalidad financiera pierde su efecto correctivo. A la inversa, también surge una vulnerabilidad cuando la segunda línea asume tareas ejecutivas y debilita así su posición independiente. La frontera entre apoyo, definición de estándares, challenge y ejecución debe preservarse, por tanto, con rigor.

La tercera línea tiene después la tarea de evaluar de forma independiente si todo el dispositivo de control de la criminalidad financiera es sólido en su diseño, en su existencia y en su eficacia operativa. Internal audit no debe limitarse a constatar si existen procedimientos, sino que debe evaluar si la gobernanza es efectivamente capaz de identificar, escalar y mitigar oportunamente los riesgos relevantes. Ello implica un mandato de assurance más amplio. La tercera línea debe poder valorar si la primera línea cumple su función de titularidad, si la segunda línea opera con suficiente eficacia en la definición de estándares y en el ejercicio del challenge, y si la toma de decisiones a nivel de gobernanza se basa en medida suficiente en información fiable. En un marco correctamente concebido de Gestión integrada del riesgo de criminalidad financiera, de ello resulta una relación dinámica entre las líneas: la primera línea actúa y controla, la segunda línea define los estándares y ejerce el challenge, y la tercera línea verifica de forma independiente y pone de manifiesto las deficiencias estructurales. La fuerza de este modelo no reside en la descripción separada de esas funciones, sino en la disciplina con la que se organizan los límites, las dependencias y las interacciones entre dichas funciones.

Clara atribución de la titularidad de los riesgos, los controles y las escaladas

La clara atribución de la titularidad de los riesgos, los controles y las escaladas es esencial para evitar que el control de la criminalidad financiera se disuelva en una responsabilidad colectiva desprovista de accountability concreta. En el marco de la Gestión integrada del riesgo de criminalidad financiera, debe quedar claro, para cada riesgo material, quién ostenta la titularidad del riesgo, quién ejecuta el control pertinente, quién monitoriza su funcionamiento, quién evalúa las excepciones, quién gestiona las escaladas y quién, en última instancia, rinde cuentas a nivel de gobernanza. En ausencia de tal atribución, se crea un vacío de gobernanza en el que los riesgos se discuten, pero no son efectivamente asumidos. Esta situación es particularmente problemática en los ámbitos de la criminalidad financiera en los que los riesgos emergen a lo largo de una cadena de actividades. Un riesgo sancionatorio puede comenzar en el momento de la aceptación del cliente, desarrollarse a través de las transacciones, hacerse visible en la monitorización, ser interpretado jurídicamente por la función legal y, finalmente, exigir una decisión de gobernanza relativa a la terminación de la relación, el bloqueo, la comunicación o la continuación bajo determinadas condiciones. Cuando la titularidad a lo largo de esta cadena no ha sido organizada explícitamente, surgen retrasos, incoherencias y riesgos probatorios.

La titularidad de los controles exige, además, algo más que la mera designación de un responsable de proceso. Un control owner debe ser capaz de explicar qué riesgo mitiga el control, por qué el control es proporcionado, en qué punto del proceso se ejecuta, qué datos o documentación lo respaldan, qué excepciones son posibles, cómo se registran las desviaciones y cuándo se requiere una escalada. En el marco de la Gestión integrada del riesgo de criminalidad financiera, esa responsabilidad debe ser suficientemente concreta para poder ser testeada. Un control que nadie puede defender en términos sustantivos es vulnerable desde la perspectiva de la gobernanza, incluso cuando figura formalmente en una matriz. Del mismo modo, los controles afectados por varias funciones no son automáticamente propiedad de varias funciones. Es necesaria una documentación explícita de la responsabilidad principal, la responsabilidad de apoyo y la verificación independiente. Solo así puede evitarse que las funciones se remitan recíprocamente la responsabilidad cuando surjan deficiencias, o que los hallazgos permanezcan sin resolver porque nadie se sienta titular de la remediation.

La titularidad de la escalada merece una atención diferenciada, porque los riesgos de criminalidad financiera a menudo solo adquieren verdadera relevancia a nivel de gobernanza cuando convergen señales operativas, interpretación jurídica y apetito de riesgo. Un patrón transaccional inusual, una estructura de propiedad compleja, un posible vínculo con sanciones o un incidente de integridad no requieren siempre la misma ruta. Algunas señales pueden tratarse dentro de los marcos operativos existentes. Otras exigen el challenge de la segunda línea, una evaluación jurídica, un análisis fiscal, una decisión del senior management o la implicación del consejo de administración y de administradores no ejecutivos u órgano de supervisión. La gobernanza debe, por tanto, establecer de antemano cuándo la escalada es obligatoria, quién la inicia, qué información debe estar disponible como mínimo, dentro de qué plazo debe adoptarse la decisión y cómo debe documentarse esa decisión. En la Gestión integrada del riesgo de criminalidad financiera, la escalada no es señal de un fallo operativo, sino una válvula de seguridad indispensable de la gobernanza. Sin una clara atribución de la titularidad de la escalada, esta pasa a depender en exceso de la vigilancia individual, de relaciones informales o de una aversión al riesgo manifestada a posteriori.

Prevención de solapamientos, lagunas y traslados de responsabilidad entre las líneas

La prevención de solapamientos, lagunas y traslados de responsabilidad entre las líneas de defensa se sitúa en el centro de una gobernanza sólida en materia de criminalidad financiera. A primera vista, el solapamiento puede parecer menos problemático que una laguna, ya que varias funciones se ocupan del mismo asunto. En la práctica, sin embargo, el solapamiento puede provocar retrasos, instrucciones contradictorias, una accountability debilitada y una imagen confusa sobre quién decide efectivamente. Cuando business line, compliance, risk, legal y audit realizan cada una sus propias evaluaciones sin una delimitación clara, el mismo asunto de criminalidad financiera puede analizarse varias veces sin resolverse. La Gestión integrada del riesgo de criminalidad financiera exige, por tanto, que la participación paralela de varias funciones se organice solo cuando responda a una finalidad clara. La intervención paralela debe contribuir a una mejor toma de decisiones, a un challenge más incisivo o a una assurance más sólida, no a una repetición institucional.

Las lagunas son igualmente perjudiciales, aunque a menudo menos visibles. Surgen cuando cada línea presume que otra línea es responsable, o cuando la política interna no ha sido traducida en pasos operativos ejecutables. Una laguna puede existir en los datos de clientes, en la lógica de monitorización, en la gestión de excepciones relacionadas con sanciones, en la documentación de la aceptación del riesgo, en el seguimiento de hallazgos de audit o en el reporting de gobernanza. El peligro de esas lagunas reside en que solo se hacen visibles con ocasión de un incidente, una solicitud del supervisor o una revisión de audit. En ese momento, la organización no solo debe abordar el riesgo subyacente, sino también explicar por qué el proceso de gobernanza no identificó antes la deficiencia. La Gestión integrada del riesgo de criminalidad financiera debe, por ello, prever una identificación sistemática de los puntos ciegos entre las líneas. Esto presupone revisiones periódicas de roles, evaluaciones end-to-end de procesos, un mapeo claro de controles y una cultura en la que la incertidumbre sobre la titularidad no sea tolerada.

El traslado de responsabilidad constituye la vulnerabilidad de gobernanza más fundamental, porque compromete la integridad de todo el modelo. El modelo de las tres líneas tiene por objeto organizar las responsabilidades, no diluirlas. Cuando la primera línea remite a compliance, compliance remite a la business line, legal invoca los límites interpretativos y audit identifica problemas a posteriori sin que la remediation sea asumida, surge un marco defensivo en el que los riesgos de criminalidad financiera circulan dentro de la organización sin ser tratados eficazmente. Una gobernanza sólida interrumpe este patrón haciendo explícita la accountability. Las decisiones deben ser trazables hasta las funciones y personas dotadas de la autoridad apropiada. Los hallazgos deben tener un titular, un plazo y una trayectoria de remediation. Las aceptaciones de riesgo deben estar motivadas en términos sustantivos y ser asumidas a nivel de gobernanza. En la Gestión integrada del riesgo de criminalidad financiera, la prevención del traslado de responsabilidad no es, por tanto, un asunto conductual accesorio, sino una condición estructural de un control eficaz.

Refuerzo de la cooperación entre business line, compliance, legal, tax y audit

La cooperación entre business line, compliance, legal, tax y audit determina en gran medida si la Gestión integrada del riesgo de criminalidad financiera forma, en la práctica, un marco coherente o solo una yuxtaposición de perspectivas especializadas. Los riesgos de criminalidad financiera rara vez pueden comprenderse plenamente desde una sola disciplina. La business line observa el comportamiento de los clientes, el contexto comercial, las fricciones operativas y la viabilidad. Compliance observa la aplicación normativa, las expectativas de las autoridades supervisoras y la calidad de los controles. Legal observa las bases jurídicas, las facultades, las limitaciones contractuales, las obligaciones de comunicación y los riesgos de responsabilidad. Tax observa los riesgos de integridad fiscal, las cuestiones de estructuración, las obligaciones de transparencia y los posibles vínculos con elusión, fraude o planificación agresiva. Audit observa la testabilidad, los elementos probatorios y las deficiencias estructurales en el diseño y la eficacia operativa. Cuando estas perspectivas funcionan por separado, emerge una visión fragmentada del riesgo. Cuando se conectan correctamente, se hace posible un juicio más rico y más relevante para la gobernanza.

La cooperación no debe confundirse, sin embargo, con la dilución de roles. En el marco de la Gestión integrada del riesgo de criminalidad financiera, cada función debe preservar su propio estándar profesional. La business line no debe esperar que compliance asuma la responsabilidad operativa. Compliance no debe participar en el proceso decisorio de una manera que debilite su función de challenge. Legal debe explicar claramente los límites jurídicos sin reducir la cuestión más amplia de gobernanza a la mera viabilidad jurídica. Tax debe conectar las señales de riesgo fiscal con una interpretación de integridad sin razonar exclusivamente desde una perspectiva técnico-fiscal. Audit debe permanecer independiente, aunque disponga de una comprensión suficiente del funcionamiento efectivo de los procesos para proporcionar una assurance pertinente. La cooperación debe, por tanto, organizarse mediante estructuras de consulta fijas, un lenguaje común del riesgo, mandatos decisorios claros y requisitos documentales coherentes. No es determinante la frecuencia de las reuniones; lo que importa es la calidad de la interpretación común y del seguimiento.

En un marco de gobernanza correctamente operativo, la cooperación multidisciplinar se hace especialmente visible en expedientes complejos o transfronterizos de criminalidad financiera. Puede tratarse de clientes con estructuras internacionales, transacciones que presentan un posible riesgo sancionatorio, señales de corrupción, cuestiones de integridad fiscal, relaciones de correspondent banking, riesgos vinculados a terceros o incidentes con implicaciones de comunicación. Tales expedientes requieren una coordinación rápida y prudente, pero también una toma de decisiones nítida. La Gestión integrada del riesgo de criminalidad financiera debe, por tanto, prever mecanismos que permitan reunir oportunamente las aportaciones especializadas y traducirlas en una decisión concreta: continuar, limitar, llevar a cabo una investigación reforzada, comunicar, bloquear, poner fin a la relación o escalar. El valor de la cooperación no reside, en última instancia, en el consenso como tal, sino en la calidad del juicio motivado. Una gobernanza sólida permite que distintas funciones se sometan mutuamente a challenge, se complementen y se refuercen sin que la toma de decisiones se retrase ni que la responsabilidad se vuelva indistinta.

Diseño de la gobernanza en torno a la toma de decisiones, la transparencia y la accountability

La gobernanza en el marco de la Gestión integrada del riesgo de criminalidad financiera debe concebirse principalmente en torno a la toma de decisiones, la transparencia y la accountability. Esto significa que la eficacia del marco de gobernanza no se evalúa exclusivamente con referencia a comités formales, líneas de reporting o documentos de política interna, sino preguntando si las decisiones relevantes en materia de criminalidad financiera se adoptan oportunamente, con información suficiente, de manera coherente y defendible. La toma de decisiones es el punto en el que convergen el apetito de riesgo, la regulación, la realidad operativa y los intereses comerciales. Cuando ese proceso decisorio es opaco, el control se desplaza hacia esquemas informales: los colaboradores buscan certezas en contactos habituales, los expedientes sensibles se aplazan, las excepciones se documentan de forma insuficiente y la escalada se produce sobre la base de un juicio personal en lugar de criterios de gobernanza. Un marco sólido evita esa deriva definiendo explícitamente los puntos de decisión.

La transparencia es indispensable a este respecto. El consejo de administración, el senior management, las funciones de control y audit deben poder ver qué riesgos de criminalidad financiera existen, qué decisiones se han adoptado, qué excepciones se han autorizado, qué hallazgos siguen abiertos y qué tendencias indican deterioro o mejora. La transparencia no significa que cada detalle operativo deba elevarse al nivel del consejo de administración. Significa que la información se organiza de tal manera que cada nivel dispone de la información necesaria para asumir su responsabilidad. Para la primera línea, ello significa visibilidad sobre los riesgos relativos a clientes, transacciones y procesos. Para la segunda línea, significa visibilidad sobre el cumplimiento de las políticas, el funcionamiento de los controles, los incidentes, las excepciones y los asuntos que requieren challenge. Para la tercera línea, significa acceso a elementos probatorios fiables y a rastros decisorios. Para el consejo de administración y los administradores no ejecutivos u órgano de supervisión, significa visibilidad sobre los riesgos materiales, las deficiencias estructurales, las aceptaciones de riesgo, los desarrollos regulatorios y supervisores y las decisiones estratégicas. La Gestión integrada del riesgo de criminalidad financiera exige, por tanto, que la información no solo se recopile, sino que se traduzca en comprensión relevante para la gobernanza.

La accountability constituye finalmente el elemento de cierre de una gobernanza sólida. Sin accountability, la transparencia puede incluso volverse contraproducente: los riesgos son visibles, pero no necesariamente son asumidos. La accountability exige que quede claro quién es responsable de las decisiones, quién es responsable de la ejecución, quién es responsable de la monitorización, quién es responsable de la remediation y quién rinde cuentas del resultado a nivel de gobernanza. En el control de la criminalidad financiera, este aspecto adquiere particular importancia, porque las decisiones suelen evaluarse retrospectivamente por autoridades supervisoras, auditores, autoridades de enforcement, contrapartes o stakeholders públicos. Una organización debe entonces poder demostrar que una decisión no fue arbitraria, defensiva o puramente comercial, sino que se basó en un proceso cuidadoso, información adecuada, challenge apropiado y una evaluación explícita del riesgo. En la Gestión integrada del riesgo de criminalidad financiera, la accountability no es, por tanto, solo una norma interna de management, sino también una condición externa de defendibilidad. Una gobernanza que sitúa en el centro la toma de decisiones, la transparencia y la accountability hace visible quién sabía qué, cuándo se conocía la información, qué evaluación se realizó y por qué la línea de actuación elegida era proporcionada y defendible.

Definir con claridad las rutas de escalada y de decisión para situaciones ordinarias y de crisis

Las rutas de escalada y de decisión constituyen, en el marco de la Gestión integrada del riesgo de criminalidad financiera, un mecanismo esencial para garantizar que señales, incidentes, excepciones y riesgos materiales sean evaluados en el nivel adecuado. Un dispositivo de criminalidad financiera puede comprender políticas detalladas, monitoring avanzado y descripciones extensas de controles, pero, en ausencia de rutas de escalada claramente definidas, sigue siendo incierto cuándo un hallazgo operativo debe elevarse a cuestión de compliance, cuándo resulta necesaria una interpretación jurídica, cuándo debe involucrarse expertise fiscal, cuándo debe decidir el senior management y cuándo el consejo de administración o los administradores no ejecutivos o miembros del órgano de supervisión deben ser puestos en condiciones de intervenir. En la práctica, esa falta de claridad conduce a retrasos, incoherencias y a una toma de decisiones defensiva. Las señales permanecen entonces demasiado tiempo en el ámbito operativo, se abstraen jurídicamente demasiado pronto, o solo se hacen visibles a nivel de gobernanza cuando el margen para la remediation ya se ha reducido. Una gobernanza sólida previene esta situación determinando de antemano qué tipos de cuestiones de criminalidad financiera pueden tratarse dentro de las líneas ordinarias de proceso y qué señales requieren una escalada formal.

Para las situaciones ordinarias, la escalada no debe hacerse innecesariamente gravosa, pero debe diseñarse con suficiente precisión. No toda desviación, alert o ambigüedad relativa a un cliente requiere atención a nivel del consejo de administración. Al mismo tiempo, una serie de señales aparentemente menores puede, en conjunto, indicar un riesgo material de integridad. La Gestión integrada del riesgo de criminalidad financiera exige, por tanto, que los criterios de escalada no se basen únicamente en categorías de incidentes, sino también en el componente de riesgo, la recurrencia, el perfil del cliente, la exposición geográfica, el vínculo con sanciones, el valor transaccional, los terceros implicados, la sensibilidad reputacional y la relevancia potencial para la autoridad supervisora. Un equipo operativo debe poder determinar cuándo un expediente permanece dentro del proceso estándar, cuándo se requiere el challenge de la segunda línea, cuándo es necesaria una evaluación legal o tax y cuándo resulta necesaria una decisión formal acompañada de una aceptación documentada del riesgo. Ello presupone árboles de decisión claros, pero también un espacio para el juicio profesional. Un modelo de escalada sólido no es mecánico; es normativo, basado en el riesgo y demostrablemente conectado con el apetito de riesgo de la organización.

Para las situaciones de crisis, la gobernanza debe ser aún más precisa, porque los incidentes de criminalidad financiera sometidos a presión temporal suelen afectar simultáneamente a varias dimensiones. Un posible hit relativo a sanciones, un incidente de fraude a gran escala, una sospecha de corrupción, un descubrimiento data-driven de un fallo sistemático de controles, una solicitud de la autoridad supervisora o un expediente urgente sensible desde el punto de vista mediático requieren una organización inmediata de los roles, las facultades y la toma de decisiones. En tales circunstancias, no debe ser necesario determinar primero quién dirige la deliberación de crisis, qué información es fiable, qué obligaciones de comunicación pueden aplicarse, qué restricciones relativas a clientes o transacciones son necesarias y quién comunica externamente. La Gestión integrada del riesgo de criminalidad financiera exige, por ello, rutas de crisis predefinidas, que incluyan mandato decisorio, consideraciones relativas al secreto profesional y al legal privilege, requisitos documentales, líneas de comunicación, participación del consejo de administración y de los administradores no ejecutivos o miembros del órgano de supervisión, así como alineación con los procesos más amplios de incident response y business continuity. La calidad de la gobernanza de crisis se mide por la capacidad de hacer coexistir rapidez y rigor. Una ruta de escalada y de decisión claramente concebida permite actuar con rapidez sin perder la defendibilidad jurídica, operativa y de gobernanza del proceso decisorio.

Supervisar la aplicación coherente de las políticas y del apetito de riesgo

La aplicación coherente de las políticas y del apetito de riesgo constituye un requisito central en el marco de la Gestión integrada del riesgo de criminalidad financiera, ya que el control de la criminalidad financiera pierde su autoridad cuando situaciones comparables se tratan de manera distinta sin una razón explicable. Los documentos de política y las declaraciones de apetito de riesgo solo adquieren significado cuando se traducen de forma visible en la aceptación de clientes, las revisiones periódicas, el monitoring de transacciones, el screening de sanciones, el seguimiento de incidentes, la gobernanza de productos, la gestión de terceros y la toma de decisiones a nivel de gobernanza. En muchas organizaciones existe una distancia considerable entre el apetito de riesgo formal y la ejecución diaria efectiva. Un consejo de administración puede formular sobre el papel una baja tolerancia al riesgo de sanciones, mientras que los procesos operativos permiten excepciones sin justificación suficiente. Una organización puede declarar tolerancia cero frente a los riesgos de corrupción, mientras que la presión comercial conduce a una evaluación insuficientemente crítica de intermediarios o de estructuras de pago complejas. La gobernanza debe reducir activamente esa distancia.

La coherencia no significa que cada expediente deba tratarse de forma idéntica. La Gestión integrada del riesgo de criminalidad financiera exige una aplicación basada en el riesgo, y una aplicación basada en el riesgo presupone diferenciación. Un cliente de bajo riesgo, un grupo internacional complejo, una persona políticamente expuesta, una relación de correspondent banking, una estructura fiduciaria y un cliente con exposición incrementada a sanciones no requieren la misma profundidad, la misma intensidad ni la misma ruta decisoria. La coherencia significa que las diferencias de tratamiento pueden reconducirse a factores de riesgo pertinentes, a criterios explícitos de política y a evaluaciones defendibles. El marco de gobernanza debe, por tanto, prever mecanismos mediante los cuales se registren las desviaciones respecto de la política estándar, se motiven las excepciones, se aprueben las aceptaciones de riesgo en el nivel apropiado y se teste periódicamente la aplicación práctica de las políticas frente al apetito de riesgo establecido. En ausencia de tales mecanismos surge arbitrariedad, y la arbitrariedad en el control de la criminalidad financiera es vulnerable desde la perspectiva de la gobernanza, la supervisión y la reputación.

La supervisión de la aplicación coherente requiere una combinación de first line ownership, monitoring por parte de la segunda línea y assurance por parte de la tercera línea. La primera línea debe disponer de instrucciones claras, formación, soporte sistémico e información de gestión para aplicar correctamente las políticas en la actividad diaria. La segunda línea debe poder identificar tendencias, someter a challenge las desviaciones, resolver divergencias interpretativas e informar periódicamente sobre la medida en que la ejecución se alinea con el apetito de riesgo. La tercera línea debe poder evaluar de forma independiente si la gobernanza relativa a la aplicación de las políticas es suficientemente robusta y si la información de gestión proporciona una imagen fiable del funcionamiento efectivo. La Gestión integrada del riesgo de criminalidad financiera reúne estas funciones en un marco en el que la política no se trata como un documento normativo estático, sino como un instrumento de gobernanza que debe ser testeado continuamente frente a la ejecución, la evolución del riesgo y las expectativas de la autoridad supervisora. La aplicación coherente exige, por tanto, disciplina en el diseño, la ejecución, el monitoring, la corrección y la accountability.

Arraigar los temas de criminalidad financiera en el nivel del consejo de administración y del órgano de supervisión

El arraigo de los temas de criminalidad financiera en el nivel del consejo de administración y del órgano de supervisión es necesario, porque el control de la criminalidad financiera no puede reducirse a una función operativa o especializada de compliance. Los riesgos afectan a cuestiones fundamentales de estrategia, aceptación de clientes, acceso a mercados, decisiones de producto, crecimiento internacional, reputación, asignación de capital, inversiones tecnológicas y legitimidad pública. Cuando el consejo de administración y los administradores no ejecutivos o miembros del órgano de supervisión abordan la criminalidad financiera exclusivamente como un expediente ejecutivo, las decisiones materiales pueden permanecer implícitas. La organización puede entonces continuar actividades que ya no se corresponden con su apetito de riesgo, invertir en controles sin una priorización clara, o conectar de forma insuficiente las señales procedentes de compliance, audit y supervisión con decisiones estratégicas más amplias. La Gestión integrada del riesgo de criminalidad financiera exige, por ello, que el consejo de administración y el órgano de supervisión no solo sean informados sobre incidentes y hallazgos, sino que estén estructuralmente en condiciones de proporcionar orientación en materia de apetito de riesgo, prioridades, remediation, inversiones y accountability.

La participación del consejo de administración debe ser sustantiva y no debe limitarse a informes periódicos acompañados de indicadores genéricos. Los informes de criminalidad financiera destinados al consejo de administración y al órgano de supervisión deben proporcionar visibilidad sobre los riesgos materiales, la evolución de los panoramas de amenaza, la calidad de los controles, las deficiencias abiertas, las escaladas, los incidentes, las señales de la autoridad supervisora, las desviaciones respecto de las políticas, los segmentos de clientes con exposición incrementada, la eficacia de los programas de remediation y los dilemas estratégicos. La cuestión no consiste en disponer de más información, sino de mejor información de gobernanza. Un consejo de administración debe poder evaluar si la organización ve los riesgos correctos, si el apetito de riesgo se aplica efectivamente, si la primera línea demuestra suficiente ownership, si la segunda línea dispone de suficiente autoridad, si los hallazgos de audit son objeto de follow-up estructural y si las inversiones en sistemas, personas y datos son proporcionadas. El órgano de supervisión debe, a su vez, poder supervisar la calidad de todo el marco, formular preguntas críticas y evaluar si las decisiones de gobernanza se adoptan con suficiente rigor y defendibilidad.

La Gestión integrada del riesgo de criminalidad financiera exige además conexiones de gobernanza claras entre el nivel del consejo de administración, el nivel del órgano de supervisión y las líneas de defensa subyacentes. Ello significa que las escaladas hacia el consejo de administración y el órgano de supervisión no deben depender de sensibilidades informales ni de preferencias personales. El marco de gobernanza debe determinar qué temas de criminalidad financiera se incluyen estructuralmente en el orden del día, qué incidentes requieren atención inmediata, qué aceptaciones de riesgo requieren aprobación a nivel del consejo de administración, qué informes se discuten en el risk committee, en el audit committee o en el consejo en sesión plenaria, y cómo se monitoriza el follow-up de las decisiones. También es importante que el consejo de administración y el órgano de supervisión desarrollen un conocimiento sustantivo suficiente para evaluar los temas de criminalidad financiera no solo en términos procedimentales, sino también materiales. El arraigo de los temas de criminalidad financiera en el nivel del consejo de administración y del órgano de supervisión confiere a la Gestión integrada del riesgo de criminalidad financiera autoridad, dirección y continuidad. Sin ese arraigo, el control permanece excesivamente dependiente de la capacidad operativa y de la fuerza persuasiva de los especialistas.

Mejorar el intercambio de información sobre riesgos, incidentes y hallazgos

Un intercambio eficaz de información sobre riesgos, incidentes y hallazgos constituye una condición previa para una gobernanza sólida, porque los riesgos de criminalidad financiera suelen manifestarse de forma dispersa a través de distintos procesos, sistemas, jurisdicciones y funciones. Un expediente de cliente puede contener señales que parecen operacionalmente explicables para la business line, normativamente relevantes para compliance, jurídicamente significativas para legal, indicativas de una cuestión de integridad fiscal para tax y reveladoras de una debilidad estructural de control para audit. Cuando esa información permanece fragmentada, no emerge una imagen completa del riesgo. La Gestión integrada del riesgo de criminalidad financiera exige, por tanto, que la información no solo se comparta verticalmente dentro de funciones separadas, sino que también se conecte horizontalmente y a nivel de gobernanza. La calidad de la gobernanza depende en gran medida de la rapidez, completitud y utilidad con que la información relevante circula entre la primera línea, la segunda línea, la tercera línea y los órganos decisorios.

El intercambio de información debe diseñarse cuidadosamente. Demasiada poca información crea puntos ciegos; demasiada información no filtrada crea ruido, sobrecarga y una apariencia de transparencia. La Gestión integrada del riesgo de criminalidad financiera exige, por ello, criterios claros sobre qué información debe compartirse, en qué momento, con qué función, en qué formato y para qué decisión o follow-up previsto. Las notificaciones de incidentes deben ser suficientemente fácticas para permitir el follow-up. Los informes de riesgo deben hacer visibles las tendencias y la materialidad. Los hallazgos de audit deben conectarse con los control owners, los plazos de remediation y las causas estructurales. El monitoring de compliance no debe limitarse a registrar observaciones, sino que también debe interpretar qué ajustes de política o de proceso son necesarios. Los análisis legal y tax deben traducirse de forma que sean útiles en el plano operativo y de gobernanza sin perder precisión sustantiva. Un buen intercambio de información requiere, por tanto, una taxonomía común, definiciones coherentes, datos fiables, una atribución clara del ownership y ritmos fijos de reporting.

Un punto particular de atención se refiere al feedback de los hallazgos hacia la mejora de los procesos. En muchos entornos de criminalidad financiera, incidentes, alerts, hallazgos de audit y cuestiones de compliance se registran, pero no se utilizan de manera suficientemente sistemática para mejorar el marco de controles. Como consecuencia, la información permanece reactiva y específica de cada expediente. La Gestión integrada del riesgo de criminalidad financiera exige un ciclo de aprendizaje en el que las señales procedentes de la ejecución, el monitoring, la gestión de incidentes, la supervisión y el audit se reúnan y se traduzcan en ajustes de políticas, controles, formación, lógica de sistemas, calidad de datos o gobernanza. Este feedback convierte el intercambio de información en algo más que simple reporting. Transforma la información en información de dirección para la gobernanza. Un marco de gobernanza sólido garantiza que la información relevante no solo esté disponible, sino que también conduzca a decisiones, priorización y follow-up demostrable.

La gobernanza como capa de conexión de la gestión integrada de la integridad

En el marco de la Gestión integrada del riesgo de criminalidad financiera, la gobernanza funciona como la capa de conexión que reúne los elementos distintos de la gestión de la integridad en un marco coherente y operativo. Sin gobernanza, el análisis de riesgos, las políticas, los controles, el monitoring, la gestión de incidentes, el audit, el reporting y la interacción con la autoridad supervisora permanecen como componentes separados, cada uno con sus propios ritmos y lógicas. Con una gobernanza sólida, estos componentes se conectan mediante ownership, toma de decisiones, escalada, intercambio de información y accountability. Este aspecto es especialmente importante en el ámbito de la criminalidad financiera, porque los riesgos no respetan las fronteras organizativas internas. Una cuestión relativa a sanciones puede incidir simultáneamente en la aceptación de clientes, los flujos de pago, la interpretación jurídica, los datos, la tecnología, la formación, la gestión de terceros y la toma de decisiones a nivel del consejo de administración. Un incidente de integridad puede activar al mismo tiempo compliance, legal, tax, audit, comunicación y senior management. La gobernanza determina si tales cuestiones se tratan de forma fragmentada o se gestionan como un riesgo coherente.

Como capa de conexión, la gobernanza debe ofrecer al mismo tiempo estabilidad y capacidad de adaptación. La estabilidad es necesaria para aclarar quién es responsable de qué, cómo se adoptan las decisiones, qué rutas de escalada se aplican y cómo se ejerce la accountability. La capacidad de adaptación es necesaria porque los riesgos de criminalidad financiera, la regulación, las expectativas de la autoridad supervisora, la tecnología y las tipologías criminales evolucionan continuamente. La Gestión integrada del riesgo de criminalidad financiera exige, por tanto, un marco de gobernanza que no solo sea claro sobre el papel, sino que también se teste periódicamente frente al funcionamiento efectivo. Nuevos riesgos, segmentos de clientes en evolución, expansión internacional, automatización, detección data-driven, externalización y nuevas regulaciones pueden someter a presión las relaciones de gobernanza existentes. Un marco que en su momento fue suficientemente claro puede, con el tiempo, producir igualmente lagunas, retrasos o incoherencias. La gobernanza debe, por ello, mantenerse como un instrumento activo de gobierno, y no como un ejercicio de diseño puntual.

La función de conexión de la gobernanza se expresa, en última instancia, en la calidad del juicio dentro de la organización. La Gestión integrada del riesgo de criminalidad financiera no consiste solo en cumplir reglas o ejecutar controles, sino en la capacidad de evaluar riesgos complejos de integridad con rigor, oportunidad y defendibilidad. Una gobernanza sólida garantiza que las perspectivas relevantes se encuentren, que la información sea fiable, que las decisiones se adopten en el nivel apropiado, que las desviaciones se documenten, que la remediation se monitorice y que el consejo de administración y el órgano de supervisión mantengan visibilidad sobre los temas materiales. De ello resulta un marco de control en el que las líneas de defensa no operan lado a lado como muros defensivos separados, sino que contribuyen de forma integrada a un único mecanismo de control de gobernanza. La gobernanza es, por tanto, la capa que hace gobernable la Gestión integrada del riesgo de criminalidad financiera, la mantiene testeable y da dirección a una gestión sostenible de la integridad.