Van Leeuwen Law Firm

Diseñar los controles de modo que la verificabilidad esté integrada desde el inicio

Una gestión de los riesgos de criminalidad financiera diseñada para ser verificable desde el inicio parte del presupuesto de que todo control relevante debe ser más que una intención de política o un requisito procedimental. Un control debe tener una conexión clara con el riesgo subyacente, debe ser ejecutable en la realidad operativa, debe estar respaldado por una responsabilidad claramente atribuida y debe poder evaluarse posteriormente en cuanto a su existencia, diseño y eficacia operativa. Cuando la verificabilidad se añade solo después de la implementación, a menudo se crea una separación artificial entre lo que la organización hace y lo que es capaz de demostrar. En un contexto de Gestión integrada del riesgo de criminalidad financiera, esa separación es arriesgada, ya que las autoridades supervisoras y las funciones de assurance no evalúan únicamente si existe una política, sino sobre todo si dicha política se ha traducido de forma demostrable en una ejecución eficaz, en decisiones coherentes y en información de control reproducible.

Integrar la verificabilidad desde el inicio significa que, al diseñar los controles, ya se establece qué norma o fuente de riesgo aborda el control, qué objetivo de control se persigue, qué actividad constituye la medida de mitigación, quién es responsable de la ejecución, qué frecuencia se aplica, qué umbrales o criterios se utilizan, qué sistemas o fuentes de datos se emplean y qué evidencias deben estar disponibles para demostrar la eficacia operativa. Sin esta precisión preliminar, posteriormente se abre espacio para divergencias interpretativas. La línea de negocio puede considerar que una fase del proceso se ha realizado adecuadamente, compliance puede tener expectativas adicionales, la auditoría puede constatar la ausencia de evidencias y el consejo de administración puede no obtener un nivel suficiente de confort sobre la eficacia real. Al integrar la verificabilidad desde la fase de diseño, se evita que la Gestión integrada del riesgo de criminalidad financiera dependa de explicaciones construidas ex post o de conocimientos individuales mantenidos por determinados colaboradores.

Un enfoque de este tipo requiere una disciplina en la que el diseño del control, la ejecución del control y las evidencias del control no se traten como ámbitos separados. La descripción de un control de diligencia debida del cliente, de un control de monitorización de transacciones, de un control de screening de sanciones, de un proceso de escalación o de una revisión periódica debe aclarar de inmediato qué deberá poder verificarse posteriormente. Esto implica también que los datos de control no deben dispersarse entre correos electrónicos separados, notas manuales, archivos no estructurados o valoraciones implícitas conservadas en la mente de los colaboradores. La verificabilidad exige una conexión sistemática entre fase del proceso, decisión, motivación, elemento probatorio e información reportada. De este modo, la Gestión integrada del riesgo de criminalidad financiera se vuelve más sólida no solo desde el punto de vista de compliance, sino también como instrumento fiable de gobernanza y dirección empresarial.

Considerar la documentación, la constitución de expedientes y las evidencias desde la fase de diseño

La documentación, la constitución de expedientes y las evidencias no son subproductos administrativos de la gestión de los riesgos de criminalidad financiera; contribuyen directamente a la defendibilidad del sistema de Gestión integrada del riesgo de criminalidad financiera. En muchas organizaciones, la documentación todavía nace con demasiada frecuencia como respuesta a preguntas planteadas ex post: un auditor solicita pruebas, una autoridad supervisora exige una motivación, un comité de auditoría desea comprender las excepciones, o un revisor externo pide los criterios de decisión. En ese momento emerge frecuentemente que los documentos existen, pero no están conectados lógicamente entre sí; que los expedientes contienen información, pero no exponen un razonamiento claro; o que los elementos probatorios están disponibles, pero no demuestran suficientemente que un control se haya ejecutado conforme a su diseño. Tales carencias rara vez son meramente administrativas. Por lo general indican un problema más profundo en el diseño inicial de los procesos y las responsabilidades.

Cuando la documentación se integra desde la fase de diseño, emerge un estándar diferente. Para cada control material relativo a la criminalidad financiera se establece de antemano qué información debe registrarse, en qué momento debe producirse dicho registro, qué nivel de detalle es necesario, qué criterios de evaluación se utilizan, quién debe verificar el registro y durante cuánto tiempo deben permanecer disponibles las evidencias. Esto se aplica, por ejemplo, a las decisiones de aceptación de clientes, las reevaluaciones de clientes de alto riesgo, las alertas de monitorización de transacciones, los impactos de sanciones, las desviaciones respecto de la política estándar, las escalaciones hacia la alta dirección y las decisiones de aceptación del riesgo. En todas estas situaciones no importa únicamente el resultado, sino también el recorrido que condujo a ese resultado. Un expediente que contiene solo la conclusión, sin dar visibilidad a los hechos, las valoraciones, las fuentes y las aprobaciones, ofrece una base insuficiente para una verificación posterior.

Un enfoque documental sólido en el ámbito de la Gestión integrada del riesgo de criminalidad financiera distingue además entre evidencias necesarias y carga administrativa excesiva. No todo proceso requiere la misma profundidad, y no todo riesgo requiere la misma intensidad probatoria. Un enfoque basado en el riesgo implica que una constitución de expediente más profunda sea requerida allí donde el riesgo, la complejidad, la materialidad o la sensibilidad supervisora sean más elevados. Al mismo tiempo, la documentación debe diseñarse de modo que siga siendo coherente y utilizable para los equipos operativos. Cuando los requisitos probatorios se vuelven demasiado pesados, demasiado fragmentados o demasiado poco claros, surge el riesgo de que los colaboradores documenten para el expediente en lugar de hacerlo para la calidad del proceso de decisión. El núcleo del enfoque reside, por tanto, en un registro proporcionado, orientado y verificable, que apoye tanto la operativa como el assurance posterior.

Diseñar los controles teniendo en cuenta la auditoría interna, las revisiones externas y las preguntas de las autoridades supervisoras

Los controles en el ámbito de la Gestión integrada del riesgo de criminalidad financiera deben diseñarse de forma que puedan resistir las preguntas que la auditoría interna, los revisores externos y las autoridades supervisoras previsiblemente plantearán. Esto no significa que el entorno de control esté dictado exclusivamente por la metodología de auditoría o por las expectativas de las autoridades supervisoras. Significa, sin embargo, que la lógica de evaluación que se aplicará posteriormente se considera ya en la fase de diseño. La auditoría interna querrá saber si el control está diseñado de forma apropiada, si las responsabilidades son claras, si la ejecución se produce de manera coherente, si las desviaciones son objeto de seguimiento y si la información de gestión es fiable. Los revisores externos buscarán a menudo decisiones trazables, criterios claros y evidencias suficientes. Las autoridades supervisoras querrán sobre todo comprender si la organización conoce, gestiona, monitoriza y corrige oportunamente sus riesgos de criminalidad financiera.

Estas preguntas de verificación pueden traducirse ya en requisitos concretos de diseño durante la fase de diseño de los controles. Un control de monitorización de transacciones, por ejemplo, no debe limitarse a afirmar que las alertas se examinan, sino que también debe indicar sobre qué base se produce la priorización, qué red flags son relevantes, cuándo es necesaria una escalación, cómo se realiza el control de calidad y qué información de gestión se genera. Un control de screening de sanciones no debe limitarse a registrar que el screening se efectúa, sino que también debe explicar cómo se actualizan las listas, cómo se gestionan los falsos positivos, cómo se examinan los posibles matches, cómo se documentan los bloqueos o las escalaciones y cómo se obtiene assurance sobre la integridad de la población. Al abordar estas cuestiones de antemano, toma forma un control que no debe explicarse por primera vez durante la auditoría, sino que está construido desde el inicio de manera lógica y defendible.

Una perspectiva de tercera línea añade valor porque hace visibles los puntos sobre los que los controles probablemente serán objeto de impugnación o profundización en un momento posterior. Muchas vulnerabilidades no nacen del hecho de que las organizaciones no hagan nada, sino de que no articulan con suficiente precisión qué hacen, por qué ello es suficiente y cómo puede demostrarse la eficacia operativa. La auditoría interna y las verificaciones externas evalúan generalmente la conexión entre análisis de riesgos, diseño del control, ejecución, evidencias, monitorización y seguimiento. Si falta uno de estos vínculos, puede surgir una constatación capaz de comprometer la credibilidad del conjunto. Al diseñar los controles desde el inicio teniendo presente esta cadena evaluativa, la Gestión integrada del riesgo de criminalidad financiera se vuelve menos dependiente de remediaciones posteriores y más capaz de sostener un examen profundo.

Impedir que la preparación para la auditoría se organice solo ex post

Una preparación para la auditoría organizada solo ex post conduce a menudo a reconstrucciones costosas, presión operativa y mayor riesgo de incoherencias. En cuanto se anuncia una revisión, una inspección o una auditoría, comienza una carrera para completar expedientes, explicar el proceso de decisión, recopilar documentos faltantes, entrevistar a los responsables de los controles, reconciliar informes y motivar decisiones anteriores. Esta forma de trabajar no solo genera una carga para la organización, sino que también aumenta la probabilidad de que el paquete probatorio final parezca defensivo, fragmentado o insuficientemente persuasivo. En los expedientes relativos a la criminalidad financiera esto resulta especialmente problemático, ya que la documentación añadida ex post rara vez posee el mismo valor probatorio que los registros creados en el momento mismo de la decisión.

Impedir que la preparación para la auditoría se organice ex post comienza con un diseño claro de los procesos, en los que las evidencias deriven automática o naturalmente de la ejecución. Cuando se examina un expediente de cliente, la correspondiente evaluación del riesgo debe registrarse inmediatamente. Cuando se aprueba una excepción, la motivación, el mandato y la medida compensatoria deben ser inmediatamente visibles. Cuando se cierra una alerta, debe resultar claro qué información se examinó y por qué la conclusión es defendible. Cuando se produce una escalación, el recorrido, el calendario, la valoración y el resultado deben ser trazables. De este modo, la preparación para la auditoría pasa de ser una actividad preparatoria episódica a una característica integrada de la gestión cotidiana.

Este desplazamiento también tiene relevancia en materia de gobernanza. Una organización que organiza la preparación para la auditoría solo cuando se aproximan las verificaciones corre el riesgo de que el consejo de administración y el comité de auditoría reciban una imagen incompleta o tardía de la calidad de los controles. Las constataciones emergen tarde, los programas de remediación se vuelven reactivos y la priorización queda determinada en parte por la presión externa. En el ámbito de la Gestión integrada del riesgo de criminalidad financiera, ello resulta indeseable, porque los riesgos de criminalidad financiera son dinámicos y requieren una dirección oportuna. Cuando la verificabilidad está integrada de manera permanente, la organización puede identificar antes dónde los controles no funcionan eficazmente, dónde las evidencias son insuficientes, dónde los procesos se apartan de la política y dónde son necesarias medidas adicionales. La preparación para la auditoría se convierte así en una fuente de información continua sobre la gestión de los controles, y no solo en un mecanismo defensivo con ocasión de una evaluación externa.

Alinearse con los requisitos de assurance sin sobrecargar innecesariamente la operativa

Un diseño eficaz de la Gestión integrada del riesgo de criminalidad financiera debe alinearse con los requisitos de assurance sin gravar la operativa con documentación desproporcionada, trabajos duplicados o capas de control complejas que aportan poco a la reducción del riesgo. El assurance exige fiabilidad, reproducibilidad y demostrabilidad, pero esos requisitos deben traducirse en procesos operativos practicables. Cuando los requisitos de assurance se imponen de forma demasiado pesada o demasiado abstracta, surge el riesgo de que los equipos estén ocupados principalmente en producir evidencias en lugar de gestionar los riesgos de criminalidad financiera. Esto puede crear una paradoja: la organización parece intensamente controlada, mientras que la calidad real del proceso de decisión, de la evaluación de riesgos y del seguimiento no mejora en una medida equivalente.

La alineación con los requisitos de assurance requiere, por tanto, una valoración precisa de lo que es necesario, proporcionado y eficaz. Para clientes de alto riesgo, estructuras complejas, personas políticamente expuestas, transacciones inusuales, riesgos de sanciones y excepciones materiales, pueden estar justificadas evidencias extensas. Para situaciones de bajo riesgo, puede bastar un modelo probatorio más sencillo y estandarizado, siempre que la clasificación del riesgo sea en sí misma fiable. Esta diferenciación evita que toda la operativa quede sometida al mismo estándar probatorio, con independencia del riesgo o de la materialidad. La Gestión integrada del riesgo de criminalidad financiera no exige la máxima documentación en todos los casos, sino una documentación apropiada basada en el riesgo, la complejidad y la sensibilidad supervisora.

Un enfoque equilibrado exige además que las necesidades de assurance se traduzcan en un diseño inteligente de los procesos, en soporte sistémico y en evidencias impulsadas por datos. Siempre que sea posible, las evidencias deberían derivarse del workflow normal, de los logs del sistema, de las rutas de aprobación, de los campos de evaluación estandarizados y de la generación automatizada de informes. Esto evita que los colaboradores deban compilar ex post expedientes probatorios separados, desconectados del proceso efectivo. También los controles de calidad, las pruebas por muestreo y la información de gestión pueden diseñarse de modo que apoyen tanto la dirección operativa como el assurance. De este modo toma forma un sistema de Gestión integrada del riesgo de criminalidad financiera controlable sin volverse asfixiante, y capaz de reforzar la demostrabilidad sin comprometer innecesariamente la viabilidad comercial y operativa.

Garantizar la trazabilidad del proceso de decisión, de las excepciones y de las escalaciones

La trazabilidad constituye una de las condiciones más determinantes para una gestión defendible en el ámbito de la Gestión integrada del riesgo de criminalidad financiera. El proceso de decisión en materia de criminalidad financiera rara vez se desarrolla en circunstancias completamente sencillas. La aceptación de clientes, el mantenimiento de relaciones con clientes, la monitorización de transacciones, el screening de sanciones, la diligencia debida reforzada, las decisiones de salida, las excepciones a las políticas estándar y las escalaciones hacia niveles decisorios superiores requieren con frecuencia una combinación de comprobación de hechos, evaluación del riesgo, proporcionalidad, contexto comercial, interpretación jurídica y gobernanza. Cuando esas consideraciones no se registran de forma trazable, surge una vulnerabilidad que va más allá de la mera documentación. La organización no puede entonces demostrar de manera convincente qué información estaba disponible, qué riesgos fueron identificados, qué alternativas fueron consideradas, quién adoptó la decisión, sobre la base de qué mandato se tomó dicha decisión y qué condiciones o medidas de mitigación se asociaron a ella.

La trazabilidad exige, por tanto, una estructuración coherente de las pistas decisorias. No solo debe ser visible el resultado de una decisión, sino también el razonamiento que condujo a ese resultado. En el caso de un cliente de alto riesgo, no basta con registrar que el cliente ha sido aceptado o mantenido. Debe quedar claro qué factores de riesgo fueron identificados, qué fuentes fueron consultadas, cómo se evaluó cualquier información mediática adversa, qué cuestiones relativas a los beneficiarios efectivos fueron abordadas, qué patrones transaccionales se consideraron relevantes, qué salvaguardias adicionales se impusieron y por qué la aceptación del riesgo residual sigue siendo defendible. En el caso de una escalación relacionada con sanciones, no solo debe constar que se examinó un posible hit, sino también cómo se evaluó la coincidencia, qué datos se compararon, qué incertidumbres permanecieron, qué aportación jurídica o de compliance intervino y qué bloqueos o liberaciones operativas se aplicaron.

Para las excepciones y las escalaciones, la trazabilidad cumple además una función directa de gobernanza. Las excepciones son inevitables en muchos procesos relativos a la criminalidad financiera, pero no deben convertirse en un canal paralelo informal fuera del marco de control ordinario. Cuando las excepciones se registran de forma insuficiente, surge el riesgo de que las tendencias permanezcan invisibles, de que las decisiones individuales se desvinculen de los objetivos de política y de que la alta dirección no disponga de visibilidad suficiente sobre desviaciones estructurales. Las escalaciones no deben considerarse únicamente como remisiones vinculadas a incidentes, sino como señales relevantes para la gobernanza que revelan tensiones entre política, operativa, apetito de riesgo y capacidad de control. Un sistema de Gestión integrada del riesgo de criminalidad financiera que toma en serio la trazabilidad hace que las escalaciones sean trazables en el tiempo, en su contenido, en su mandato y en su seguimiento, de modo que pueda establecerse posteriormente si la organización reaccionó de manera adecuada, adoptó decisiones oportunas e implementó medidas de mitigación apropiadas.

Documentar racionales de control claros para la supervisión y la evaluación posteriores

Un racional de control constituye la justificación sustantiva de una medida de control: qué riesgo de criminalidad financiera se aborda, por qué ese control es adecuado para dicho riesgo, qué limitación se pretende lograr, qué hipótesis lo sustentan y en qué momento el control es suficientemente eficaz para justificar la confianza de la gobernanza y de la operativa. En muchas organizaciones, esos racionales permanecen implícitos. Los colaboradores comprenden en términos generales por qué existe una fase del proceso, compliance puede remitirse a la normativa o a una política, y auditoría puede localizar el control en una matriz de controles. Sin embargo, esto sigue siendo insuficiente cuando las autoridades supervisoras, los revisores externos o los comités de auditoría preguntan por qué un control fue concebido precisamente de esa manera y por qué dicha configuración corresponde al perfil de riesgo específico de la organización. Sin un racional explícito, sigue siendo difícil conectar el análisis de riesgos, la elección de política, el diseño del control y la prueba de eficacia operativa.

La documentación de los racionales de control es especialmente importante en los ámbitos de criminalidad financiera en los que las normas son abiertas, basadas en el riesgo o dependientes del contexto. La diligencia debida del cliente, la monitorización de transacciones, la gestión del riesgo de sanciones, la detección de fraude, la banca corresponsal, la financiación del comercio, las exposiciones vinculadas a criptoactivos, las estructuras de propiedad complejas y los sectores de alto riesgo no pueden gestionarse íntegramente mediante procedimientos genéricos. Es necesario explicar de forma recurrente por qué determinados factores de riesgo tienen mayor peso, por qué determinados umbrales son apropiados, por qué ciertos escenarios se han incluido o excluido de la monitorización, por qué algunos grupos de clientes se someten a una evaluación más intensiva y por qué determinadas formas de evidencia se consideran suficientes. Un racional de control claro evita que la organización, en verificaciones posteriores, dependa de referencias generales a la política o a la normativa, cuando la elección de diseño efectiva requiere una justificación específica y contextualizada.

Un racional bien documentado también sostiene una ejecución coherente y una mejora dirigida. Cuando los colaboradores comprenden qué riesgo pretende mitigar un control, disminuye la probabilidad de que traten ese control como un ejercicio mecánico de marcado de casillas. Cuando los responsables de control comprenden las hipótesis subyacentes al control, están en mejores condiciones de identificar el momento en que dichas hipótesis dejan de ser sostenibles. Cuando la información de gestión muestra que los volúmenes de alertas, los falsos positivos, los tiempos de tramitación, las escalaciones o las excepciones presentan desviaciones estructurales, el racional puede utilizarse para evaluar si resulta necesario un ajuste. En el ámbito de la Gestión integrada del riesgo de criminalidad financiera, el racional de control funciona así como punto de conexión entre norma, riesgo, operativa, datos, assurance y responsabilidad de gobernanza. Deja claro que la gestión no consiste únicamente en ejecutar fases de proceso, sino en adoptar decisiones defendibles que deben contrastarse periódicamente con la evolución de las amenazas, de la normativa y de las expectativas supervisoras.

Diseñar la información de gestión y las evidencias de control desde una perspectiva de auditoría

La información de gestión en el ámbito de la Gestión integrada del riesgo de criminalidad financiera solo tiene valor cuando es fiable, pertinente, disponible oportunamente y trazable. Los informes relativos a la diligencia debida del cliente, la monitorización de transacciones, el screening de sanciones, las comunicaciones de fraude, las escalaciones, los atrasos, los hallazgos de calidad, las excepciones y las medidas de remediación pueden apoyar el proceso decisorio de gobernanza, pero únicamente cuando queda claro cómo se producen los datos, qué definiciones se han utilizado, qué poblaciones se han incluido, qué limitaciones existen y cómo la información se conecta con el riesgo subyacente. Cuando la información de gestión se compila principalmente para la presentación periódica de informes, sin una conexión suficiente con las evidencias de control y con la pista de auditoría, surge el riesgo de que el consejo de administración y el comité de auditoría confíen en información que no es correctamente verificable. En un contexto de criminalidad financiera, esto puede generar un falso confort: el informe parece completo, mientras que la calidad de los datos subyacentes, las definiciones o los registros de proceso no son suficientemente robustos.

Una perspectiva de auditoría sobre la información de gestión significa que el origen, la integridad, la completitud y el valor probatorio de los datos se consideran ya en la fase de diseño del reporting. Un dashboard que indique el número de alertas gestionadas, por ejemplo, debe poder explicar también qué alertas forman parte de la población, qué alertas fueron excluidas, cómo se tratan las reaperturas, qué control de calidad se realiza sobre los motivos de cierre y cómo se calculan los tiempos de tramitación. Un informe sobre atrasos en materia de diligencia debida del cliente debe precisar qué clientes se contabilizan, qué categorías de riesgo se distinguen, cómo se trataron las excepciones y qué acciones de remediación están vinculadas a los incumplimientos de plazo. Un informe sobre sanciones debe ofrecer visibilidad sobre los posibles hits, los falsos positivos, las coincidencias verdaderas, las escalaciones, los bloqueos, las liberaciones y los eventuales excesos en los tiempos de tramitación. Sin este nivel de detalle, la información de gestión puede resultar atractiva desde el punto de vista de la gobernanza, pero seguir siendo vulnerable desde la perspectiva del assurance.

Las evidencias de control no deben considerarse como una capa probatoria separada junto a la información de gestión, sino como el fundamento sobre el que dicha información se basa. Cuando las evidencias de control se registran de manera sistemática, resulta posible validar los informes, explicar tendencias, examinar desviaciones y responder eficazmente a las preguntas de auditoría. Esto requiere una alineación estrecha entre el diseño de procesos, el modelo de datos, la configuración de sistemas, las definiciones, los controles de calidad y la gobernanza del reporting. La Gestión integrada del riesgo de criminalidad financiera solo puede dirigir eficazmente cuando la información de gestión no muestra únicamente lo que ha ocurrido, sino que también es suficientemente fiable para evaluar si el marco de control subyacente funciona. Una perspectiva de auditoría refuerza esa fiabilidad al integrar desde el inicio en el diseño del reporting las cuestiones de completitud, exactitud, coherencia y reproducibilidad.

Reforzar la fiabilidad ante el consejo de administración, el comité de auditoría y las autoridades supervisoras

La fiabilidad ante el consejo de administración, el comité de auditoría y las autoridades supervisoras no nace únicamente de paquetes voluminosos de reporting o de documentos de política detallados. Nace cuando la organización es capaz de demostrar de manera coherente que los riesgos de criminalidad financiera se identifican, evalúan, gestionan, monitorizan y ajustan, y que las decisiones subyacentes son trazables, proporcionadas y verificables. El consejo de administración y el comité de auditoría necesitan información que no sea meramente descriptiva, sino que también proporcione orientación sobre la visión del riesgo, la calidad de los controles, las prioridades y las vulnerabilidades. Las autoridades supervisoras esperan además que la organización comprenda sus propios riesgos y demuestre que las medidas de control son adecuadas a su naturaleza, tamaño, complejidad y perfil de riesgo. Cuando la preparación para la auditoría se diseña desde los fundamentos, esta fiabilidad recibe un apoyo estructural.

En la práctica, la fiabilidad se debilita con frecuencia por incoherencias entre diferentes niveles de información. Un documento de política puede describir un enfoque basado en el riesgo, mientras que las instrucciones operativas son predominantemente uniformes y mecánicas. Un informe de gestión puede sugerir una mejora, mientras que los hallazgos de auditoría evidencian una constitución de expedientes insuficiente. Una matriz de controles puede indicar una responsabilidad claramente asignada, mientras que las escalaciones se producen en realidad a través de canales informales. Tales incoherencias debilitan la confianza del consejo de administración, del comité de auditoría y de las autoridades supervisoras, porque generan dudas sobre la capacidad efectiva de la organización para mantener el control sobre su sistema de Gestión integrada del riesgo de criminalidad financiera. La fiabilidad exige, por tanto, no solo documentos individualmente sólidos, sino sobre todo coherencia entre política, ejecución, evidencias, reporting y gobernanza.

Un diseño preparado para la auditoría refuerza esta coherencia al exigir a la organización que sustente con elementos fácticos su narrativa de control. El consejo de administración y el comité de auditoría pueden entonces evaluar mejor dónde están aumentando los riesgos, qué controles están bajo presión, qué medidas de remediación merecen prioridad y qué riesgos residuales deben aceptarse explícitamente. Las autoridades supervisoras obtienen una visión más clara de la manera en que la organización traduce los estándares en ejecución y monitoriza la calidad de sus propios controles. Esto refuerza no solo la defendibilidad en revisiones formales, sino también la capacidad interna de ajuste oportuno. La Gestión integrada del riesgo de criminalidad financiera se vuelve así menos dependiente de una rendición de cuentas reactiva y más orientada hacia una gestión demostrable y continua.

La preparación para la auditoría como parte integrante de un diseño eficaz de la Gestión integrada del riesgo de criminalidad financiera

La preparación para la auditoría como parte integrante de la Gestión integrada del riesgo de criminalidad financiera significa que la verificabilidad, las evidencias y la reproducibilidad no se sitúan junto al marco de control, sino que están incorporadas en su interior. Cada componente material de la gestión de los riesgos de criminalidad financiera debe diseñarse de manera que permita a la organización explicar qué riesgos se gestionan, qué controles se han concebido para ese fin, cómo se desarrolla la ejecución, qué evidencias están disponibles, cómo se hace seguimiento de las desviaciones y cómo se informa a la dirección. La preparación para la auditoría deja así de ser una disciplina distinta, activada únicamente bajo la presión de una revisión, y se convierte en una característica integrada de una gestión eficaz. Un control que no es verificable resulta difícil de evaluar de forma convincente. Una decisión que no es trazable resulta difícil de defender. Un informe que no se conecta con las evidencias subyacentes resulta difícil de utilizar como base de confianza para la gobernanza.

Este enfoque requiere una conexión integrada entre primera línea, segunda línea y tercera línea, sin confundir las responsabilidades. La primera línea sigue siendo responsable de la ejecución y de la gestión de riesgos en las operaciones diarias. La segunda línea define los marcos, ejerce una impugnación crítica, monitoriza el cumplimiento de los estándares y apoya la interpretación de la normativa y de las expectativas supervisoras. La tercera línea proporciona una evaluación independiente y puede aportar perspectivas valiosas sobre la verificabilidad, las evidencias, el diseño de los controles y los riesgos de assurance. Cuando estas perspectivas se incorporan desde la fase de diseño, emerge un sistema de Gestión integrada del riesgo de criminalidad financiera más sólido que aquel en el que auditoría solo constata posteriormente la ausencia de evidencias o la insuficiente verificabilidad de los controles. La cuestión no consiste en mezclar los roles, sino en conectar antes las perspectivas, cada una de las cuales contribuye, desde su propia responsabilidad, a una mejor gestión.

En definitiva, la preparación para la auditoría contribuye a la eficacia porque reduce la distancia entre lo que la organización pretende hacer, lo que ejecuta y lo que puede demostrar. En la gestión de los riesgos de criminalidad financiera, esa distancia determina a menudo la diferencia entre una conformidad formal y una gestión creíble del riesgo. Una organización que mantiene bajo control su proceso de decisión, sus excepciones, sus escalaciones, sus racionales de control, su información de gestión y sus evidencias se encuentra en una posición más sólida frente al consejo de administración, el comité de auditoría, las autoridades supervisoras y los revisores externos. Más importante aún, dispone internamente de mejor información para comprender los riesgos, establecer prioridades e intervenir oportunamente. La preparación para la auditoría desde los fundamentos no es, por tanto, una preparación defensiva frente a la crítica, sino una parte esencial de la Gestión integrada del riesgo de criminalidad financiera, que refuerza la calidad, la fiabilidad y la utilidad de gobernanza de todo el sistema.