En el actual panorama institucional y del derecho empresarial, el riesgo, la continuidad y la resiliencia no deben ser tratados como elementos separados del léxico de la gobernanza, sino como tres dimensiones estrechamente entrelazadas de una misma cuestión de dirección integrada, que afecta al núcleo mismo de la conducción de las organizaciones en condiciones de incertidumbre persistente, creciente interdependencia y aceleración de las presiones externas. En muchas organizaciones, instituciones financieras, entidades semipúblicas y sistemas públicos, estas nociones siguen coexistiendo dentro de ámbitos diferenciados de responsabilidad, ciclos internos de políticas y circuitos separados de aseguramiento: el riesgo se sitúa en marcos de identificación, clasificación y control; la continuidad en la continuidad de negocio, la gestión de crisis o la disponibilidad operativa; y la resiliencia en nociones más amplias de restablecimiento, solidez o capacidad de adaptación. A primera vista, esa separación puede parecer ordenada, pues delimita funciones de gobernanza, líneas de reporte y esferas de responsabilidad. Precisamente por ello, sin embargo, resulta engañosa. En el momento en que las amenazas dejan de desarrollarse de manera lineal y emergen, en cambio, de la interacción entre dependencias de cadena, concentraciones digitales, presiones geopolíticas, vulnerabilidades de integridad, riesgos de suministro, errores humanos, dinámicas reputacionales y expectativas normativas de las autoridades supervisoras, de la sociedad y del mercado, un enfoque fragmentado pierde simultáneamente capacidad explicativa y fuerza de dirección. Un riesgo que en abstracto parece gestionable puede, en circunstancias concretas, poner inmediatamente bajo presión la continuidad de funciones críticas. Una medida de continuidad que parece operativamente razonable puede comprometer la resistencia global frente a perturbaciones cuando se apoya en el agotamiento del personal, en procedimientos de emergencia inmanejables o en una dependencia desproporcionada de terceros. La invocación de la resiliencia puede vaciarse de contenido si antes no se ha determinado qué funciones, qué valores, qué estructuras decisorias y qué límites normativos deben preservarse bajo presión. En una configuración semejante, ya no resulta convincente dejar que riesgo, continuidad y resiliencia coexistan como disciplinas separadas, cada una dotada de su propia terminología y de un marco conceptual compartido solo de manera limitada. La cuestión de gobernanza es más fundamental. Consiste en determinar si una organización o un sistema está estructurado de tal manera que pueda identificar a tiempo las amenazas relevantes, seguir desempeñando bajo presión las funciones críticas de las que dependen la legitimidad, la prestación y el cumplimiento, y adaptarse durante o después de una perturbación de manera que impida la erosión progresiva de su núcleo institucional.
Desde esta perspectiva, también se desplaza el centro de gravedad del análisis. La cuestión central de gobernanza no consiste únicamente en identificar qué amenazas existen, ni solo en determinar qué procesos deben seguir operativos, ni tampoco exclusivamente en definir de qué manera debe organizarse el restablecimiento tras un incidente. La cuestión esencial es si el conjunto formado por la gobernanza, la posición informativa, la priorización, la toma de decisiones, los controles, las estructuras de escalado, la capacidad financiera, las relaciones de cadena y los límites normativos presenta un grado suficiente de coherencia como para impedir que la amenaza degenere automáticamente en desorden, que el desorden se transforme por sí solo en discontinuidad y que la discontinuidad termine convirtiéndose progresivamente en debilitamiento estructural de la institución. Esta problemática resulta especialmente relevante en el ámbito de la Gestión integrada de los riesgos de criminalidad financiera, en el que los riesgos rara vez se manifiestan de forma aislada. Los riesgos de criminalidad financiera afectan no solo al cumplimiento o a la exposición jurídica, sino también al servicio al cliente, a la reputación, a las relaciones de banca corresponsal, a la calidad de los datos, al monitoreo de transacciones, a la integridad del personal, a la viabilidad operativa, a la confianza en la gobernanza y a la capacidad de la organización para seguir operando de manera coherente bajo presión supervisora. Lo mismo ocurre en contextos públicos y semipúblicos, en los que las vulneraciones de integridad, las interrupciones informativas, las perturbaciones de la cadena y las quiebras de confianza social se refuerzan mutuamente y pueden estrechar rápidamente el margen de maniobra de los órganos de dirección. Un enfoque integrado reconoce, por tanto, que el riesgo no se refiere únicamente a la exposición, la continuidad no se refiere únicamente a la disponibilidad y la resiliencia no se refiere únicamente al restablecimiento. Se trata de gobernar las interdependencias: entre amenaza y función, entre función y dependencia, entre dependencia y prioridad normativa, y entre adaptación y preservación del núcleo institucional. Ahí reside el significado más profundo del riesgo, de la continuidad y de la resiliencia como cuestión integrada de gobernanza: no la promesa de invulnerabilidad, sino el desarrollo de un orden de dirección que permanezca fiable, explicable, jurídicamente sostenible y funcional bajo presión.
Gestión integrada del riesgo a través de funciones, amenazas y ámbitos de impacto
La gestión integrada del riesgo presupone, en primer lugar, que el riesgo ya no sea leído como un conjunto de exposiciones separadas que pueden distribuirse según líneas organizativas familiares, sino como una constelación de amenazas que solo adquiere significado de gobernanza en relación con las funciones que deben garantizarse en toda circunstancia. En muchas instituciones, la gestión del riesgo sigue organizándose en gran medida por categorías, titulares de responsabilidad y taxonomías: el riesgo financiero, el riesgo operativo, el riesgo de cumplimiento, el riesgo cibernético, el riesgo de integridad, el riesgo vinculado a terceros y el riesgo reputacional son identificados, ponderados y agregados dentro de sus respectivos marcos. Ese modelo produce clasificación, pero no necesariamente una verdadera inteligencia de gobernanza. Una institución puede disponer de un registro de riesgos técnicamente sofisticado y, al mismo tiempo, no captar con claridad qué combinación de riesgos aparentemente acotados puede, en realidad, provocar la caída de una función crítica. Este problema se agudiza a medida que los procesos se digitalizan, las cadenas se internacionalizan y las expectativas supervisoras se intensifican. Una perturbación en el ámbito de la diligencia debida del cliente puede producir simultáneamente consecuencias sobre la incorporación de clientes, el monitoreo de transacciones, las relaciones de banca corresponsal, las obligaciones de reporte, la reputación y la posición comercial. Un riesgo sancionatorio puede parecer inicialmente de naturaleza jurídica o de cumplimiento, pero traducirse rápidamente en bloqueos operativos, mayor presión sobre la capacidad directiva, intensificación del escrutinio externo y deterioro del acceso al mercado. La gestión integrada del riesgo no parte, por tanto, de la pregunta de qué tipo de riesgo está en juego, sino de la pregunta de qué funciones son esenciales para un funcionamiento continuado, lícito y creíble, qué amenazas recaen sobre esas funciones y a través de qué trayectorias el daño puede propagarse por los distintos ámbitos de impacto.
Un enfoque de esta naturaleza exige un desplazamiento desde el análisis lineal hacia un análisis relacional. Lo que importa no es únicamente la probabilidad de ocurrencia de un incidente ni la magnitud del daño inmediato, sino sobre todo la interconexión entre procesos, sistemas, toma de decisiones, actores externos y obligaciones normativas. Cuando no se integra a través de funciones, amenazas y ámbitos de impacto, la gestión del riesgo tiende a mostrar un patrón recurrente: medidas de control individuales pueden parecer localmente adecuadas, mientras que la auténtica resistencia del conjunto frente a perturbaciones se debilita. Un control fuertemente reforzado en un nodo puede sustraer capacidad en otro; una externalización diseñada de manera eficiente puede aumentar la concentración de dependencias; un proceso de respuesta a incidentes jurídicamente correcto puede revelarse operativamente demasiado lento frente a la velocidad con la que se desarrollan el daño reputacional o la intervención de la autoridad supervisora. Una gestión integrada del riesgo exige, por tanto, que los órganos de dirección y la alta dirección no contemplen únicamente las posiciones de riesgo de forma aislada, sino también sus efectos combinados, sus trayectorias de escalado y la carga acumulada que ejercen sobre las funciones críticas. Ello implica una concepción de la gobernanza en la que la información sobre el riesgo no se transmite como mera suma de informes sectoriales, sino como una representación coherente de los puntos en los que el propio orden se vuelve vulnerable, de los márgenes de seguridad verdaderamente portantes y de los lugares en los que la convergencia de presiones puede reducir materialmente la capacidad de actuación de la organización.
Dentro de la Gestión integrada de los riesgos de criminalidad financiera, esta lógica adquiere una intensidad particular, puesto que los riesgos de criminalidad financiera son, por definición, transversales en los planos organizativo, funcional y jurídico. Una debilidad en el control de la diligencia debida del cliente no es solamente una cuestión de cumplimiento; puede comprometer la calidad de la aceptación de clientes, socavar la integridad del monitoreo de transacciones, reducir la fiabilidad de la información de gestión, disminuir la eficacia de los reportes de operaciones sospechosas, dañar la credibilidad externa frente a las autoridades supervisoras y restringir el margen de maniobra estratégico de la institución. Por esa razón, la Gestión integrada de los riesgos de criminalidad financiera no puede concebirse de manera convincente como una recopilación de controles aplicados a subámbitos aislados. Requiere una gestión integrada del riesgo en la que funciones, amenazas y ámbitos de impacto queden reunidos en un marco unitario inteligible para la gobernanza. Ese marco debe hacer visibles los puntos en los que los riesgos de integridad se transforman en presión operativa, aquellos en los que las restricciones operativas refuerzan a su vez los riesgos normativos y aquellos en los que los efectos prudenciales o reputacionales pueden comprometer la continuidad de actividades esenciales. Solo entonces emerge un modelo de dirección en el que el riesgo no se gestiona como un objeto abstracto, sino como un factor concreto que determina la capacidad de la institución para seguir desempeñando sus funciones fundamentales en circunstancias adversas.
La vinculación entre el riesgo de integridad y los riesgos operativos, estratégicos y reputacionales
En la práctica de la gobernanza y en la práctica jurídica, el riesgo de integridad sigue tratándose con demasiada frecuencia como si pudiera aislarse en los ámbitos de cumplimiento, ética o conducta, cuando en realidad su manifestación efectiva es casi siempre más amplia e interfiere profundamente con la viabilidad operativa, el posicionamiento estratégico y la solidez reputacional. Esa reducción resulta comprensible desde la lógica organizativa: las cuestiones de integridad suelen abordarse mediante normas internas, obligaciones de diligencia, mecanismos de monitoreo, formación y procedimientos de escalado. Pero en el momento en que una vulnerabilidad de integridad se materializa, su impacto rara vez queda limitado a una infracción normativa en sentido estricto. Una deficiencia en un control de sanciones no afecta solo al cumplimiento jurídico, sino también a los flujos de pago, a las relaciones con la clientela, a la banca corresponsal y al acceso a los mercados externos. Un control insuficiente de los riesgos de blanqueo de capitales tiene consecuencias sobre el tratamiento de transacciones, la dotación de personal, la formación de atrasos, los programas de remediación, las intervenciones supervisoras, la exposición a medidas sancionadoras y la reputación de mercado. Una vulnerabilidad cultural inicialmente percibida como una cuestión de conducta puede evolucionar hacia una erosión estratégica cuando el disenso interno se atenúa, las señales de la dirección se aplanan y los indicadores críticos de riesgo se detectan estructuralmente demasiado tarde. El riesgo de integridad, por tanto, no puede ser gobernado de manera convincente como una categoría normativa estrecha. Debe ser comprendido como un riesgo que incide sobre la capacidad operativa, la libertad estratégica y la credibilidad pública de la institución.
Desde esta perspectiva, el vínculo entre riesgo de integridad y riesgo operativo no es ocasional, sino estructural. La preservación de la integridad se apoya en datos, sistemas, juicio humano, líneas de escalado, calidad de expedientes, formación, disciplina de gobernanza y oportunidad en la toma de decisiones. Cualquier debilidad en esa cadena puede aumentar la carga operativa y, al mismo tiempo, profundizar la exposición normativa. Cuando las alertas se acumulan, los expedientes envejecen o los escalados se producen demasiado tarde, no se está únicamente ante un atraso de cumplimiento, sino ante una situación operativa en la que la priorización se rigidiza, la calidad se deteriora y el margen de error aumenta. De ello se deriva un mecanismo autorreforzante: la sobrecarga operativa puede debilitar aún más la preservación de la integridad, mientras que una preservación de la integridad deteriorada genera a su vez nueva presión operativa en forma de remediaciones, revisiones, bloqueos de clientes u obligaciones supervisoras. La conexión con el riesgo estratégico es igualmente esencial. Cuando fragilidades de integridad conducen a medidas coercitivas, a restricciones en el desarrollo de productos, a un endurecimiento de las exigencias supervisoras o a daños reputacionales, no se ve afectada únicamente la posición de cumplimiento, sino también la capacidad de la institución para adoptar decisiones estratégicas de manera libre y creíble. Los planes de expansión, las alianzas, el acceso al mercado, las decisiones de inversión e incluso la capacidad de retener talento pueden verse directamente comprometidos.
Para la Gestión integrada de los riesgos de criminalidad financiera, ello significa que el riesgo de integridad nunca debe ser tratado como un bloque autónomo que solo más tarde haya de vincularse con cuestiones más amplias de gobernanza. Ese vínculo debe quedar incorporado desde el origen en la manera en que el riesgo es percibido, representado y gobernado. Los órganos de dirección obtienen escaso valor de una visión aislada del riesgo de integridad que no establezca conexión alguna con la capacidad operativa, las implicaciones estratégicas y los efectos reputacionales. Lo que se requiere es un marco de dirección integrado que haga visible de qué modo una vulnerabilidad de integridad puede incidir sobre la continuidad de la relación con la clientela, la fiabilidad de las cadenas, la confianza de las autoridades supervisoras, la percepción del mercado y el margen de maniobra estratégico. Ello es tanto más importante cuanto que, en este contexto, la reputación no constituye un simple fenómeno comunicativo o de imagen externa, sino a menudo el resultado concentrado de carencias subyacentes en los controles, en el proceso decisorio y en la aplicación de las normas. El riesgo reputacional, por consiguiente, no debe abordarse como una consecuencia difusa que haya de gestionarse por separado después del incidente, sino como un ámbito de impacto que debe integrarse ya en el diseño de la Gestión integrada de los riesgos de criminalidad financiera. Solo bajo esa condición puede emerger una representación de gobernanza realista del modo en que los riesgos de integridad se desarrollan en la práctica: no como simples desviaciones de cumplimiento, sino como acontecimientos o dinámicas capaces de comprometer directamente la articulación entre norma, operación, estrategia y confianza.
La robustez como articulación entre prevención, absorción, adaptación y restablecimiento
En la práctica de la gobernanza, la robustez suele asociarse con la capacidad de resistir perturbaciones o de recuperarse de ellas, pero esa comprensión sigue siendo insuficiente mientras no se explicite la articulación subyacente entre prevención, absorción, adaptación y restablecimiento. Un sistema puede estar fuertemente orientado a la prevención y, sin embargo, revelarse vulnerable en el momento en que sobreviene una perturbación que queda fuera de los escenarios anticipados. A la inversa, una institución puede disponer de procedimientos de restablecimiento y de planes de crisis y, aun así, carecer de una capacidad de absorción suficiente para soportar el primer impacto sin una pérdida grave de funcionalidad, un daño reputacional o la superación de límites normativos. La robustez no es, por tanto, una propiedad unitaria, sino una condición de gobernanza estratificada. La prevención apunta a reducir la probabilidad de que una amenaza se materialice o a limitar la vulnerabilidad inicial. La absorción se refiere a la capacidad de absorber una perturbación sin una pérdida desproporcionada de funcionalidad crítica. La adaptación se refiere a la capacidad de modificar modos operativos, prioridades y asignaciones cuando cambian las circunstancias, sin sacrificar el núcleo del mandato institucional. El restablecimiento se refiere a la capacidad, durante o después de una perturbación, de volver a un nivel aceptable de desempeño, normalizar los procesos e incorporar aprendizajes estructurales. Solo mediante la articulación de estas cuatro dimensiones la robustez adquiere forma en sentido propio de gobernanza.
Esta enseñanza reviste particular importancia en contextos en los que las perturbaciones ya no constituyen excepciones raras, sino fenómenos frecuentes y en parte superpuestos. La sola prevención, en tal caso, no puede ofrecer una respuesta suficiente, porque no todas las amenazas pueden ser enteramente previstas o excluidas. La absorción se vuelve entonces determinante: es preciso comprender si los sistemas, los equipos, las líneas decisorias y las cadenas de terceros están configurados de modo que puedan soportar un primer impacto sin una desintegración inmediata de las funciones críticas. Sin embargo, la absorción por sí sola tampoco basta. Una organización que absorbe sin adaptarse consume sus reservas sin reorganizar la situación subyacente. La adaptación exige una flexibilidad tanto de gobernanza como operativa: la capacidad de modificar reglas decisorias, reasignar recursos, activar procesos alternativos, acelerar temporalmente la gobernanza y repriorizar los canales de información, sin generar arbitrariedad ni disolver los puntos de anclaje normativo. El restablecimiento, por último, no puede reducirse a un simple retorno al statu quo ante. En entornos complejos, el restablecimiento suele ser relevante solo si va acompañado de una recalibración: una corrección de las hipótesis, del diseño de los procesos, de las dependencias y de las prioridades a la luz de lo que la perturbación ha revelado efectivamente sobre el funcionamiento del sistema.
Dentro de la Gestión integrada de los riesgos de criminalidad financiera, esa articulación emerge con especial nitidez. La prevención comprende, entre otros elementos, el conocimiento del cliente, el cribado, el monitoreo, la gobernanza, la formación y la calidad de los datos. La absorción se refiere a la capacidad de la institución para afrontar picos de carga, volúmenes elevados de alertas, escalados, incidentes o intervenciones externas sin que las funciones críticas de cumplimiento y de negocio queden simultáneamente bloqueadas. La adaptación se refiere a la capacidad de modificar los modelos de riesgo, los criterios de escalado, la asignación del personal, el aseguramiento de la calidad y los ritmos decisorios cuando el contexto de riesgo cambia, por ejemplo, debido a nuevos regímenes sancionatorios, tensiones geopolíticas, evolución de los patrones delictivos o intensificación de la supervisión. El restablecimiento no consiste solo en absorber atrasos o cerrar brechas de control, sino también en mejorar estructuralmente la manera en que la institución percibe las amenazas, fija prioridades y organiza la ejecución. Una comprensión convincente de la robustez exige, por tanto, que la Gestión integrada de los riesgos de criminalidad financiera no se conciba únicamente como un marco de control destinado a prevenir riesgos de criminalidad financiera, sino como un orden integrado de dirección en el que prevención, absorción, adaptación y restablecimiento se refuerzan mutuamente y determinan conjuntamente si la institución puede seguir operando de forma lícita, creíble y funcional bajo presión.
La resiliencia estratégica como capacidad de reorientación y agilidad
La resiliencia estratégica designa la capacidad de una institución, en condiciones de incertidumbre estructural, presión externa y tensión interna, no solo de sobrevivir, sino también de recalibrar su trayectoria de tal manera que preserve la continuidad del mandato institucional, sin caer ni en la inercia ni en la sobrerreacción oportunista. No se trata aquí de flexibilidad táctica en sentido estricto, sino de comprobar si la dirección es capaz de leer oportunamente el significado de las circunstancias cambiantes, reevaluar la pertinencia de las hipótesis existentes y, sobre esa base, redistribuir medios, prioridades y orientación general. Una institución puede ser operativamente sólida y, no obstante, estratégicamente vulnerable si sigue confiando durante demasiado tiempo en factores históricos de éxito, en representaciones del riesgo ya superadas o en hipótesis de crecimiento lineal. Del mismo modo, una institución puede reaccionar rápidamente en el plano formal y, sin embargo, mostrar una resiliencia estratégica limitada si se desplaza de incidente en incidente sin revisar las decisiones subyacentes. La resiliencia estratégica presupone, por tanto, no solo rapidez, sino también una auténtica capacidad de discernimiento: la capacidad de distinguir qué elementos del cambio son temporales, cuáles son estructurales, cuáles son remediables y cuáles exigen un rediseño más profundo de la dirección, de la cartera, de las dependencias o del apetito de riesgo.
Esta forma de resiliencia se halla estrechamente vinculada a la calidad de la percepción de gobernanza. Cuando la información de gestión se fragmenta, las desviaciones se hacen visibles demasiado tarde o las señales contradictorias no se interpretan en su articulación de conjunto, la dirección pierde la capacidad de reorientarse a tiempo. La resiliencia estratégica exige, por ello, algo más que el mero recurso al razonamiento por escenarios como ejercicio aislado. Lo que se necesita es una conexión duradera entre los desarrollos externos, las vulnerabilidades internas, el margen financiero, la capacidad operativa de carga, las expectativas supervisoras y las consecuencias reputacionales. En el contexto de los mercados financieros, de los sectores regulados y de las infraestructuras públicas, ello significa que los cambios de rumbo no están dictados exclusivamente por consideraciones comerciales, sino también por la pregunta de si el modelo existente sigue siendo sostenible bajo el efecto acumulativo de la presión de integridad, de las transformaciones tecnológicas, de los riesgos de cadena y de las exigencias de legitimidad social. La agilidad, a este respecto, no es sinónimo de arbitrariedad ni de reorganización permanente. Significa que la institución es capaz de moverse de manera deliberada sin perder su coherencia institucional. Ello requiere derechos decisorios claramente definidos, una rápida afloración de señales estratégicas, apertura hacia información desfavorable y una estructura de gobernanza que permita correcciones de rumbo sin generar parálisis decisoria.
Para la Gestión integrada de los riesgos de criminalidad financiera, la resiliencia estratégica reviste una importancia particular, puesto que las transformaciones de los riesgos de criminalidad financiera rara vez permanecen confinadas al solo ámbito del cumplimiento y con frecuencia inciden directamente en el modelo de negocio, en la estrategia de mercado, en el diseño de productos y en el posicionamiento geográfico. Nuevos regímenes sancionatorios, la evolución de las técnicas de blanqueo, el cambio de las expectativas de las autoridades supervisoras, la intensificación de la fragmentación geopolítica y la aparición de nuevas tecnologías pueden modificar en profundidad la sostenibilidad de los segmentos de clientela existentes, de las relaciones de banca corresponsal, de los flujos transaccionales y de los modelos de servicio. Una institución que trate esas señales exclusivamente dentro de marcos de control preexistentes, sin recalibrar su orientación estratégica, acumula una vulnerabilidad latente. La resiliencia estratégica dentro de la Gestión integrada de los riesgos de criminalidad financiera exige, por tanto, la capacidad no solo de controlar los riesgos de criminalidad financiera, sino también de leerlos como información estratégica: una información que revela los puntos en los que el modelo existente se ha vuelto excesivamente concentrado, demasiado dependiente, demasiado complejo o demasiado frágil desde el punto de vista normativo. En este sentido, la resiliencia estratégica no reside en la adhesión inmóvil a orientaciones elegidas en otro tiempo, sino en la capacidad de reorientación preservando al mismo tiempo la credibilidad institucional, la sostenibilidad jurídica y la viabilidad operativa.
La resiliencia operativa como capacidad para mantener los procesos críticos bajo presión
La resiliencia operativa designa la capacidad de una organización para continuar sus procesos, servicios y funciones decisorias críticas en situaciones de perturbación, degradación o presión excepcional, sin que la caída de un solo elemento produzca un efecto desproporcionado sobre el conjunto. Desde esta perspectiva, va más allá de las concepciones tradicionales de disponibilidad o continuidad de negocio, a menudo orientadas principalmente al restablecimiento dentro de escenarios predefinidos o a la redundancia técnica de sistemas y emplazamientos. La resiliencia operativa exige una comprensión más fina de qué es realmente crítico, de las cadenas de procesos que sostienen esa criticidad, de las dependencias que llevan incorporadas y del modo en que las perturbaciones evolucionan en el tiempo y en intensidad. Un proceso rara vez es crítico por sí mismo; lo es en relación con obligaciones, derechos decisorios, intereses de la clientela, funciones de mercado, expectativas supervisoras o ejercicio de funciones públicas. La cuestión, por tanto, no es solo si un proceso puede seguir técnicamente activo, sino si la función que debe producir sigue siendo, bajo presión, creíble, controlable y conforme a las normas. Esta distinción es esencial. Un sistema puede figurar como “disponible” mientras los datos resultan poco fiables, los escalados se bloquean, las excepciones se acumulan o la capacidad humana de decisión es insuficiente. En una situación semejante, la disponibilidad formal no constituye una medida suficiente de la resiliencia operativa.
Un enfoque convincente de la resiliencia operativa requiere, en consecuencia, un análisis funcional y orientado a las cadenas de dependencia. ¿Qué procesos sostienen las actividades críticas de la institución? ¿Qué dependencias internas y externas soportan esos procesos? ¿Dónde se sitúan los puntos únicos de fallo, los riesgos de concentración, las fracturas de capacidad y las soluciones manuales de emergencia que solo pueden escalarse de manera limitada? ¿Qué niveles mínimos de desempeño deben preservarse en condiciones de perturbación para no comprometer las obligaciones jurídicas, las responsabilidades frente a la clientela y la credibilidad de la gobernanza? Tales interrogantes no pueden ser abordados únicamente por los equipos operativos, puesto que implican inevitablemente decisiones de priorización normativa y de gobierno del riesgo. La resiliencia operativa es, por tanto, tanto una cuestión de gobernanza como una cuestión de ejecución. Requiere decisiones claras en materia de umbrales de tolerancia, mecanismos de respaldo, derechos decisorios en situación de incidente, estructuras de escalado y uso de medidas de emergencia. Asimismo, es fundamental que los procedimientos de emergencia no existan solo sobre el papel, sino que sean realmente ejecutables en condiciones de estrés, reducción de personal, carencia informativa y perturbación de las cadenas de dependencia. Un dispositivo de respaldo dependiente de competencias escasas, de pasos manuales no probados o de datos indisponibles puede existir formalmente y, sin embargo, resultar materialmente ilusorio.
Dentro de la Gestión integrada de los riesgos de criminalidad financiera, la resiliencia operativa reviste una importancia particular, en la medida en que una parte significativa de la prevención y control de la criminalidad financiera descansa sobre procesos fuertemente interconectados, en los que sistemas, datos, juicio humano y fuentes externas de información se encuentran indisolublemente unidos. La diligencia debida del cliente, el cribado, el monitoreo de transacciones, la gestión de casos, el reporte, la gobernanza de modelos y los mecanismos de escalado solo funcionan correctamente si la cadena de procesos subyacente, en su conjunto, posee una verdadera capacidad de carga. La perturbación de un solo eslabón puede tener consecuencias inmediatas sobre la licitud del servicio al cliente, la oportunidad de la detección, la calidad del proceso decisorio y la credibilidad de los reportes dirigidos a las autoridades supervisoras o a las unidades de inteligencia financiera. La resiliencia operativa en el marco de la Gestión integrada de los riesgos de criminalidad financiera exige, por consiguiente, algo más que la mera eficacia de los controles en condiciones ordinarias. Lo que se requiere es una configuración en la que los procesos críticos de integridad puedan seguir funcionando a un nivel suficiente incluso ante cargas extremas, degradación de sistemas, escasez de personal, presión de crisis externa o remediaciones de gran escala. Ello significa que la institución debe saber qué funcionalidad mínima esencial debe preservarse bajo presión, qué modalidades operativas alternativas se encuentran disponibles, qué estructuras decisorias pueden acelerarse y qué límites no pueden traspasarse, ni siquiera en condiciones de crisis. Solo bajo esa condición existe una resiliencia operativa que no permanece puramente formal, sino que sostiene efectivamente, en la práctica, la continuidad de las funciones críticas de integridad.
La resiliencia financiera como fundamento de la continuidad y de la absorción de impactos
La resiliencia financiera constituye, en toda organización, institución financiera, cadena de ejecución o sistema público, una condición previa para una continuidad real, pues ninguna intención de gobernanza orientada a la estabilidad, la protección o la recuperación puede sostenerse cuando falta el margen financiero necesario para absorber impactos, adoptar medidas correctivas, soportar ineficiencias temporales y seguir financiando funciones críticas durante períodos de presión elevada. En los debates de gobernanza, la resiliencia financiera sigue reduciéndose con demasiada frecuencia a la fortaleza del capital, a la posición de liquidez o a la solidez presupuestaria general. Esos elementos tienen, sin duda, una importancia considerable, pero solo reflejan una parte del cuadro relevante. En un sentido más amplio, la resiliencia financiera remite a la cuestión de si una organización dispone de una capacidad de absorción suficiente, de flexibilidad asignativa y de margen de maniobra de gobernanza que le permitan evitar, en circunstancias adversas, caer de inmediato en recortes reactivos de costes, en mecanismos irresponsables de aplazamiento o en la reducción precisamente de aquellas funciones que deben salvaguardar la continuidad y la integridad del sistema. Cuando el margen financiero es demasiado estrecho, los riesgos no se eliminan, sino que se difieren; los programas de recuperación no se aceleran, sino que se ralentizan; y las dependencias críticas no se reducen, sino que se profundizan. Por ello, el significado de gobernanza de la resiliencia financiera no reside únicamente en la cuestión de si las pérdidas pueden ser soportadas, sino sobre todo en la de si la organización dispone todavía, incluso bajo presión, de los medios necesarios para proteger prioridades, financiar las intervenciones indispensables y seguir sosteniendo sus funciones esenciales sin erosión normativa, operativa o reputacional.
La importancia de la resiliencia financiera se hace más nítida cuando la perturbación no se entiende como una excepción ocasional, sino como una condición recurrente bajo la cual las instituciones adoptan sus decisiones. En tales circunstancias, resulta insuficiente vincular la solidez financiera exclusivamente a ratios tradicionales o a la disciplina presupuestaria. Se requiere comprender hasta qué punto la organización es capaz de absorber costes imprevistos, remediations, litigios, medidas de ejecución, retrasos operativos, refuerzos de personal, interrupciones de cadena y presiones externas de mercado o supervisión, sin perder de inmediato su margen de maniobra estratégico. Ello exige atención a la calidad de la estructura de costes, a la adaptabilidad de las carteras de inversión, a la disponibilidad de reservas, a la rigidez contractual de las obligaciones externas, a la concentración de las fuentes de ingresos y al grado en que las funciones críticas de control y continuidad han pasado a depender de modelos de eficiencia que son los primeros en fallar bajo estrés. En muchas organizaciones, es precisamente esto último lo que se hace visible: la optimización de costes se persigue de una manera que parece racional en períodos de calma, pero que, en fases de shock, de intervención supervisora o de presión operativa, revela una estrechez peligrosa en la capacidad financiera de actuación. Allí donde falta resiliencia financiera, surge la tendencia a elegir, bajo presión, medidas de corto plazo que aumentan la vulnerabilidad real, por ejemplo aplazando inversiones de recuperación, reduciendo dotaciones en funciones críticas, estrechando la formación, el aseguramiento de la calidad o la mejora de datos, o reduciendo selectivamente actividades sin suficiente visibilidad sobre sus efectos de segundo orden.
En el ámbito de la Gestión integrada de los riesgos de criminalidad financiera, la resiliencia financiera reviste una importancia singular, porque los riesgos de criminalidad financiera rara vez son neutros en costes cuando se materializan y con frecuencia dan lugar a cargas financieras extensas, prolongadas y multidimensionales. Los programas de remediation, las reevaluaciones de expedientes, la sustitución de sistemas, las revisiones externas, las medidas impuestas por el supervisor, los retrasos en transacciones, la pérdida de clientes, el daño reputacional, el incremento de las necesidades de personal y la resolución jurídica pueden someter a la organización a una tensión financiera sostenida. Una institución que carece de una capacidad real de absorción financiera tenderá, en tales condiciones, a tratar la Gestión integrada de los riesgos de criminalidad financiera como una partida de gasto que debe contenerse, cuando en realidad constituye una condición para un funcionamiento continuado, lícito y creíble. En este contexto, resiliencia financiera significa que la organización es capaz, incluso bajo presión, de seguir financiando los componentes esenciales de la Gestión integrada de los riesgos de criminalidad financiera, de no posponer las mejoras necesarias por mero reflejo presupuestario, y de absorber perturbaciones temporales en ingresos, procesos o flujos de clientes sin volver más frágil la propia función de integridad. La resiliencia financiera no constituye, por tanto, un tema periférico externo, sino una condición portante de la continuidad, de la absorción de impactos y del cumplimiento creíble en un entorno en el que los riesgos de criminalidad financiera pueden traducirse con rapidez en consecuencias materiales de gobernanza y en efectos económicos.
La representación del riesgo, la gobernanza y la ejecución como un único ciclo interconectado de dirección
Un enfoque coherente del riesgo, de la continuidad y de la resiliencia presupone que la representación del riesgo, la gobernanza y la ejecución no se traten como componentes sucesivos o débilmente conectados, sino como elementos de un mismo ciclo continuo de dirección en el que la percepción, la toma de decisiones, la priorización, la implementación y la retroalimentación se influyen de forma constante. En muchas instituciones persiste todavía una separación implícita entre la identificación de los riesgos, la asignación formal de responsabilidades y la actuación efectiva en procesos y controles. La representación del riesgo se produce entonces mediante assessments, paneles y taxonomías; la gobernanza adopta forma en comités, mandatos y líneas de reporte; y la ejecución se desarrolla en el negocio, las operaciones, la función de cumplimiento o las áreas de soporte. Ese modelo aporta claridad organizativa, pero a menudo oculta el grado en que sus componentes se distancian entre sí. Una representación del riesgo puede ser analíticamente sofisticada y, sin embargo, producir escaso efecto en el plano de la gobernanza cuando no influye suficientemente en las decisiones relativas a recursos, umbrales de tolerancia y escalados. La gobernanza puede estar formalmente diseñada con cuidado y seguir siendo ineficaz cuando la toma de decisiones es demasiado lenta, demasiado fragmentada o demasiado abstracta para influir en la realidad operativa. La ejecución, a su vez, puede ser comprometida y técnicamente competente y, aun así, no producir efectos suficientes cuando no está alimentada por una representación del riesgo actual y funcional o cuando la gobernanza emite señales contradictorias acerca de las prioridades. La tarea de gobernanza consiste, por tanto, en crear un ciclo en el que la información sobre el riesgo no solo se reporte, sino que se traduzca efectivamente en decisiones orientadoras, y en el que la ejecución no se limite a informar sobre cumplimiento o carencias, sino que también devuelva información acerca de cómo funciona realmente el sistema bajo presión.
Ese ciclo interconectado de dirección exige, en primer lugar, una representación del riesgo que sea algo más que un conjunto de exposiciones o una visión estática de los riesgos por categorías. Se requiere una representación del riesgo que muestre la interrelación entre amenazas, funciones críticas, dependencias, vulnerabilidades, ámbitos de impacto y opciones de actuación. Debe hacer visibles los puntos en los que el aparente control descansa sobre supuestos frágiles, aquellos en los que las prioridades compiten entre sí, aquellos en los que la capacidad parece suficiente en condiciones ordinarias pero resulta insuficiente bajo estrés, y aquellos en los que la escalada de un acontecimiento limitado hacia un efecto perturbador del sistema resulta plausible. A continuación, la gobernanza debe ser capaz de actuar sobre la base de esa representación. Ello exige no solo supervisión formal, sino también disciplina institucional para adoptar decisiones difíciles: qué riesgos se aceptan, qué funciones se protegen con una intensidad reforzada, qué dependencias se reducen, qué excepciones se delimitan y qué señales desencadenan una intervención acelerada. Finalmente, la ejecución no debe considerarse como el último eslabón que simplemente “despliega” la política, sino como el lugar en el que se hace visible la calidad del conjunto del modelo de dirección. Es precisamente en la ejecución donde se pone de manifiesto si los controles son practicables, si las líneas de escalado funcionan, si los datos son utilizables, si la priorización es explicable y si las estructuras de emergencia proporcionan realmente apoyo bajo presión.
Para la Gestión integrada de los riesgos de criminalidad financiera, esta interrelación resulta especialmente acusada. Una institución puede disponer de una amplia representación de los riesgos de criminalidad financiera, de múltiples foros de gobernanza y de extensos marcos de control y, sin embargo, fracasar en términos de gobernanza cuando esos componentes no estén conectados entre sí dentro de un único ciclo coherente. Cuando los indicadores de riesgo no conducen a una repriorización oportuna, cuando los debates de gobernanza se desvinculan de la viabilidad operativa, o cuando los problemas de ejecución no refluyen hacia la manera en que los riesgos son comprendidos y las decisiones son adoptadas, surge un sistema fuertemente estructurado en términos formales pero materialmente carente de suficiente capacidad de dirección. Un ciclo de dirección conectado dentro de la Gestión integrada de los riesgos de criminalidad financiera exige, por ello, que el consejo, la segunda línea y la ejecución operen sobre la base de una comprensión compartida de dónde se sitúan las amenazas esenciales, qué funciones deben preservarse bajo presión y qué intervenciones son necesarias para ello. Esto significa que la información de gestión no debe orientarse únicamente a volúmenes, closure rates o estado de las políticas, sino también a la coherencia, las vulnerabilidades, los tiempos de tramitación bajo presión, la calidad de la toma de decisiones y el grado en que el sistema permanece lícito y creíble incluso en condiciones de perturbación. Solo cuando la representación del riesgo, la gobernanza y la ejecución se tratan así como un único ciclo de gobierno emerge una forma de dirección que no queda confinada al diagnóstico o al procedimiento, sino que incide realmente en la fiabilidad y en la capacidad portante de la organización.
Controles resistentes al estrés, estructuras de fallback y redundancia como elecciones de diseño
En muchas organizaciones, los controles, las estructuras de fallback y la redundancia siguen tratándose como instrumentos técnicos u operativos que se añaden únicamente después de que los procesos, los sistemas y la gobernanza hayan sido ya diseñados en gran medida. Esa secuencia resulta arriesgada desde el punto de vista de la gobernanza, porque presupone que la resiliencia puede incorporarse a posteriori en un modelo optimizado ante todo para la velocidad, la eficiencia o la escala. En realidad, la cuestión de si una organización puede seguir funcionando de manera ordenada bajo presión, perturbación e incertidumbre debe quedar ya inscrita en el diseño de los controles, de la lógica de procesos, de las dependencias y de las estructuras de decisión. Los controles resistentes al estrés son controles que no solo resultan eficaces en condiciones normales de flujos de datos estables, volúmenes previsibles y dotación completa de personal, sino que continúan cumpliendo su función esencial en situaciones de presión incrementada, escasez de tiempo, degradación operativa o perturbación de cadena. Ello no significa que funcionen de manera inalterada en toda circunstancia, pero sí que están diseñados de tal forma que los márgenes de error permanezcan controlables, que las excepciones no escalen sin límite y que la información necesaria para las decisiones de gobernanza y operativas no desaparezca de inmediato. Las estructuras de fallback desempeñan un papel afín dentro de ese diseño. No son anexos del proceso, sino modos operativos alternativos que pueden activarse en condiciones previamente consideradas para continuar las funciones críticas cuando los mecanismos ordinarios fallen o resulten insuficientes. La redundancia, por último, no es mera duplicación; constituye la elección deliberada de construir capacidad adicional, rutas alternativas o fuentes suplementarias en determinados nodos con el fin de evitar dependencias desproporcionadas.
La importancia de estas elecciones de diseño a menudo solo se hace plenamente visible cuando sobreviene una perturbación que exige más que una eficacia ordinaria de los controles. Un control que en condiciones normales obtiene resultados elevados en eficiencia y precisión puede revelarse completamente inadecuado bajo estrés cuando depende de una única fuente de datos, de un único proveedor, de una única función especializada o de un flujo de trabajo rígidamente orquestado que no deja espacio para la degradación. Del mismo modo, un mecanismo de fallback puede parecer convincente sobre el papel y resultar impracticable en la realidad porque se basa en volúmenes manuales no escalables, en personal simultáneamente necesario en otros lugares, o en líneas de decisión que se ralentizan precisamente en situaciones de crisis. Un diseño resistente al estrés exige, por tanto, reflexión desde el inicio acerca de cómo se comportan los controles en condiciones anómalas, cuáles son las funciones esenciales mínimas que deben mantenerse en pie en cualquier caso, qué tolerancias son admisibles y en qué puntos la redundancia está justificada pese a su aparente coste adicional. Ello exige un enfoque de gobernanza en el que la eficiencia no prevalezca automáticamente, sino que se pondere frente a la importancia de la fiabilidad, de la explicabilidad y de la resistencia a los impactos. En ese sentido, la elección de la redundancia no constituye prueba de ineficiencia, sino que puede representar el reconocimiento racional de que determinadas funciones, sistemas o momentos decisorios son demasiado críticos para organizarse de manera singular o con una lógica de extrema esbeltez.
En el ámbito de la Gestión integrada de los riesgos de criminalidad financiera, estas cuestiones de diseño tienen una relevancia inmediata para la gobernanza. Muchos controles de este ámbito dependen en gran medida de la calidad de los datos, de los parámetros de escenario, de los resultados de los modelos, del juicio del personal, del escalado oportuno y de la disponibilidad de fuentes externas. A medida que aumentan los volúmenes, se degradan los sistemas, cambian las circunstancias geopolíticas o se intensifica la presión del supervisor, controles que parecen adecuados en condiciones normales pueden perder rápidamente su eficacia. Un control de screening dependiente de una sola fuente externa de listas, un proceso de monitorización de transacciones sin mecanismo de fallback escalable, o una estructura de escalado apoyada en unas pocas personas clave crea una vulnerabilidad latente precisamente en aquella parte de la organización donde la licitud y la confianza deben protegerse bajo presión. Los controles resistentes al estrés dentro de la Gestión integrada de los riesgos de criminalidad financiera exigen, por ello, elecciones de diseño que tengan en cuenta de forma explícita la perturbación, los picos de carga y la incertidumbre. Las estructuras de fallback no deben solo existir, sino también quedar ancladas en ejercicios, en la gobernanza y en la preparación del personal. La redundancia debe introducirse allí donde la pérdida de datos, de conocimientos especializados, de proveedores o de sistemas tendría consecuencias directas para funciones críticas de integridad. En ese enfoque, los controles no se conciben como barreras estáticas contra la desviación, sino como componentes de un diseño más amplio de dirección que permite al sistema mantenerse ordenado, explicable y conforme a las normas incluso en circunstancias adversas.
La confianza y la capacidad de recuperación como componentes de la resiliencia
La confianza y la capacidad de recuperación figuran entre los componentes más infravalorados y, al mismo tiempo, más esenciales de la resiliencia, porque ninguna organización puede seguir funcionando de manera sostenible bajo presión cuando la confianza interna y externa se evapora y cuando, tras una perturbación, no existe capacidad creíble alguna para restablecer el orden, la fiabilidad y la legitimidad. En contextos de gobernanza, la confianza se reduce en ocasiones a reputación, comunicación o gestión de grupos de interés, pero ese enfoque es demasiado estrecho. En sentido sustantivo, la confianza es la expectativa de que la organización continuará, incluso bajo tensión, sosteniendo de manera coherente sus funciones esenciales, sus obligaciones normativas y sus responsabilidades de gobernanza. La confianza interna se refiere al grado en que el consejo, la dirección, los empleados y las funciones de control pueden confiar en que la información sea sólida, las decisiones sean explicables, los escalados se tomen en serio y los errores no conduzcan de inmediato a negación o parálisis. La confianza externa se refiere a la credibilidad, ante supervisores, clientes, socios de cadena, accionistas, instituciones públicas y sociedad, de que la organización desempeña su papel de manera fiable incluso cuando surgen incidentes, incertidumbres o necesidades de corrección. Una vez que esa confianza desaparece, no solo se ven afectadas la reputación y la legitimidad, sino también el margen de actuación operativo y estratégico de la organización. La supervisión puede intensificarse, los clientes pueden marcharse, los socios pueden mostrarse más reticentes, la colaboración interna puede rigidizarse y las medidas correctoras pueden volverse considerablemente más costosas y complejas.
Desde esa perspectiva, la capacidad de recuperación no se agota en la mera restitución de sistemas, procesos o volúmenes de producción a un nivel previo. Se refiere a la capacidad más amplia de reconstruir, tras una perturbación, el control de gobernanza, el orden operativo, la claridad normativa y la credibilidad relacional. Eso exige más que el simple cierre formal de incidentes o la remediation técnica. Se requiere un proceso mediante el cual la organización pueda determinar qué ha sido exactamente afectado, qué funciones tienen prioridad, qué errores o insuficiencias eran estructurales, qué medidas de emergencia deben retirarse y cómo puede volver a ganarse la confianza de actores internos y externos. La capacidad de recuperación se convierte así en una piedra de toque de la profundidad de la resiliencia. Una institución que cierre formalmente un incidente pero carezca de una trayectoria creíble hacia la estabilización, la mejora y la legitimidad renovada no es verdaderamente resiliente. Tampoco hay resiliencia cuando la continuación de las funciones solo resulta posible a costa de una sobrecarga prolongada de las personas, de la tolerancia tácita de control gaps o de la suspensión de exigencias normativas que después ya no podrán restablecerse sin daño. La capacidad de recuperación presupone, por tanto, honestidad de gobernanza sobre aquello que ha resultado dañado, disciplina institucional para mantener en el tiempo las medidas correctoras y suficiente espacio organizativo no solo para remediar síntomas, sino también para abordar causas.
Para la Gestión integrada de los riesgos de criminalidad financiera, la confianza y la capacidad de recuperación tienen una importancia excepcional, porque las vulnerabilidades ligadas a la criminalidad financiera no solo comprometen el control interno, sino que afectan de inmediato también a la credibilidad externa de la institución. Los supervisores no evalúan únicamente la existencia de políticas y controles, sino también la credibilidad con la que las insuficiencias son reconocidas, abordadas y mejoradas de manera estructural. Clientes, bancos corresponsales, inversores y otros grupos de interés atienden no solo a los resultados, sino también a la manera en que la institución comunica, prioriza y corrige bajo presión. La capacidad interna de recuperación es, en ese sentido, tan importante como la rendición de cuentas externa. Cuando los empleados experimentan que las insuficiencias no pueden discutirse, que las advertencias carecen de efecto o que los programas de recuperación son en gran medida simbólicos, se erosiona la capacidad de aprendizaje y, con ella, la futura robustez de la Gestión integrada de los riesgos de criminalidad financiera. La confianza y la capacidad de recuperación deben, por tanto, constituir componentes explícitos de la resiliencia en este ámbito. Ello significa que la recuperación no se entiende únicamente como el cierre de findings o la reducción del backlog, sino como la reconstrucción de una situación en la que procesos, información, gobernanza y relaciones externas funcionen de tal manera que la institución pueda ser nuevamente considerada fiable, controlable y conforme a las normas. Una resiliencia desprovista de confianza y de capacidad de recuperación sigue siendo una pretensión formal; solo allí donde ambas están presentes emerge una robustez duradera de gobernanza.
La dirección integrada de la resiliencia como objetivo último de la Gestión integrada de los riesgos de criminalidad financiera
El objetivo último de una Gestión integrada de los riesgos de criminalidad financiera configurada de forma convincente no reside en la suma de controles individuales, documentos de política, mecanismos de escalado o juicios de assurance, sino en el establecimiento de una dirección integrada de la resiliencia: una forma de gobernanza en la que conocimiento de la amenaza, claridad normativa, continuidad operativa, capacidad financiera, capacidad adaptativa y capacidad de recuperación queden reunidos en un conjunto coherente. Ese objetivo es fundamentalmente más exigente que las concepciones tradicionales de cumplimiento, en las que el éxito se mide sobre todo por la existencia de marcos, por la exhaustividad de los procedimientos o por la reducción de deficiencias individuales de control. La dirección integrada de la resiliencia exige, en efecto, que la Gestión integrada de los riesgos de criminalidad financiera no se trate como una especialidad delimitada dentro de la segunda línea ni como un conjunto de obligaciones a satisfacer, sino como un componente integral de la manera en que la organización se gobierna a sí misma en condiciones de amenaza persistente, presión supervisora y expectativa social. De ese modo, también se desplaza el criterio de calidad de la gobernanza. La cuestión no es si cada riesgo puede quedar enteramente excluido, sino si la institución es capaz de identificar, contener, absorber y corregir los riesgos de criminalidad financiera de modo que se preserven las funciones críticas, la fiabilidad normativa y el margen de maniobra estratégico.
Tal objetivo exige que las clásicas líneas divisorias entre identificación del riesgo, gestión de la continuidad, respuesta a la crisis, ejecución del cumplimiento y programas de recuperación sean superadas en medida significativa. Cuando cada uno de esos componentes se organiza por separado sin suficiente coherencia sustantiva, surge una dirección fragmentada: los riesgos se nombran sin traducirse en protección funcional, las medidas de continuidad se establecen sin suficiente anclaje normativo o estratégico, las estructuras de crisis se activan sin que las enseñanzas obtenidas refluyan estructuralmente hacia el diseño y la gobernanza, y los programas de recuperación permanecen reactivos porque no se alimentan de una imagen integrada de dónde se encuentran las vulnerabilidades más profundas. La dirección integrada de la resiliencia exige, por ello, coherencia en la información dirigida al consejo, coherencia en la priorización y coherencia en el ejercicio de las responsabilidades. El consejo y la alta dirección no deben limitarse a supervisar paneles separados, sino mantener la comprensión del vínculo subyacente entre amenaza, funciones críticas, dependencias, controles, resistencia a los impactos y capacidad de recuperación. Los ejercicios de escenarios no deben poner a prueba solo caídas de sistemas o perturbaciones operativas, sino también la calidad de las decisiones de gobernanza, la claridad de las fronteras normativas, la capacidad portante de las relaciones de cadena y la disponibilidad de margen de absorción financiero y de personal. La información de gestión no debe limitarse a presentar cifras o estadísticas de cierre, sino ofrecer una imagen de los puntos en los que, bajo presión, la institución corre el mayor riesgo de perder su núcleo.
Dentro de la Gestión integrada de los riesgos de criminalidad financiera, la dirección integrada de la resiliencia significa, en última instancia, que la organización deja de considerar los riesgos de criminalidad financiera como una tarea de cumplimiento situada junto al negocio, para entenderlos como un componente constitutivo de la cuestión de si la institución puede seguir operando, en sentido amplio, como un actor de gobernanza fiable. Ello implica que los riesgos de integridad se vinculen a sus consecuencias operativas y estratégicas, que las decisiones de continuidad se conecten expresamente con funciones críticas de integridad, que la resiliencia financiera sea reconocida como condición para un control creíble, que los controles se diseñen para condiciones de estrés y no solo para la operativa ordinaria, y que la confianza y la capacidad de recuperación se consideren resultados esenciales de la calidad del modelo de dirección. Allí donde se alcanza esa coherencia, emerge una forma de gobernanza que no mantiene la ficción de que el riesgo pueda desaparecer, sino que realiza la ambición, mucho más realista y más exigente desde el punto de vista de la gobernanza, de que la institución pueda seguir operando de manera lícita, ordenada, explicable y funcional incluso bajo presión considerable. Precisamente en ello reside el significado más profundo de la dirección integrada de la resiliencia como objetivo último de la Gestión integrada de los riesgos de criminalidad financiera: no la promesa de ausencia de fallos, sino la estructuración de una organización capaz de soportar la amenaza sin que continuidad, integridad y credibilidad de gobernanza se vayan cediendo progresivamente.
