Van Leeuwen Law Firm

Evaluar los controles en función de su eficacia, viabilidad operativa y solidez probatoria

Un control eficaz debe hacer algo más que cubrir una obligación formal. Debe incidir de manera demostrable sobre el riesgo para el cual fue diseñado. En la gestión de riesgos de criminalidad financiera, ello significa que el control debe tener una relación identificable con el riesgo de blanqueo de capitales, financiación del terrorismo, vulneración de sanciones, corrupción, fraude, riesgos de integridad fiscal u otras formas de criminalidad financiera y económica. Esa relación debe ser concreta. Un control de diligencia debida de clientes, por ejemplo, debe contribuir a una identificación fiable del cliente, a la comprensión de los beneficiarios efectivos últimos, a la determinación del propósito y la naturaleza prevista de la relación, así como al reconocimiento de indicadores de riesgo elevado. Un control de monitorización de transacciones debe ser capaz de detectar, priorizar y someter a evaluación las desviaciones relevantes. Un control de screening de sanciones debe permitir, sobre la base de datos actualizados, completos y correctamente calibrados, una detección oportuna y un seguimiento adecuado. En ausencia de ese vínculo sustantivo entre riesgo, actividad de control, resultado y seguimiento, el control queda expuesto a la crítica de funcionar únicamente como un ejercicio procedimental.

La viabilidad operativa constituye, a este respecto, un criterio de evaluación autónomo. Un control puede ser conceptualmente lógico, pero aun así fracasar si no se adapta a la realidad operativa en la que debe aplicarse. Esto afecta, por ejemplo, a controles que requieren demasiados pasos manuales, dependen de fuentes de datos fragmentadas, contienen criterios de decisión poco claros, no están suficientemente integrados en los flujos de trabajo o imponen una carga administrativa tal que induce a los colaboradores a adoptar comportamientos meramente formales de marcación de casillas. En la gestión integrada de riesgos de criminalidad financiera, la viabilidad operativa no debe considerarse una concesión a la función de cumplimiento, sino una condición para una gestión sostenible del riesgo. Un control que no sea comprensible, aplicable y proporcionado para las funciones pertinentes de primera línea, segunda línea y soporte será, en la práctica, ejecutado de manera irregular, interpretado de forma divergente o documentado de manera insuficiente. De ello se deriva el riesgo de que se presente una conformidad formal mientras el valor protector efectivo permanece limitado.

La solidez probatoria marca la diferencia entre convicción interna y defendibilidad externa. Cuando una organización afirma que un control funciona, dicha afirmación debe poder sustentarse en elementos probatorios coherentes, fiables y trazables. Esos elementos deben mostrar qué se controló, cuándo se ejecutó el control, por quién, sobre la base de qué datos, con qué resultado, qué excepciones fueron identificadas, qué escalaciones tuvieron lugar y qué seguimiento se realizó. En los expedientes relativos a criminalidad financiera, esta solidez probatoria reviste especial importancia, porque los supervisores y auditores no examinan únicamente la existencia de políticas, sino también el funcionamiento demostrable de los procesos a lo largo del tiempo. Un control ejecutado pero insuficientemente documentado sigue siendo vulnerable. Un control respecto del cual existe documentación, pero que no permite comprender las valoraciones sustantivas, sigue siendo igualmente vulnerable. Eficacia, viabilidad operativa y solidez probatoria deben, por tanto, evaluarse simultáneamente, porque un control solo resulta convincente cuando aborda el riesgo, funciona en la práctica y permanece verificable a posteriori.

No limitarse a la eficacia del diseño, sino examinar también la eficacia operativa

La eficacia del diseño se refiere a la cuestión de si un control, tal como ha sido diseñado, es idóneo para gestionar el riesgo previsto. Esta cuestión sigue siendo indispensable. Un control diseñado de forma deficiente puede ejecutarse con gran rigor operativo, pero no mitigará adecuadamente el riesgo si la frecuencia del control se ha elegido incorrectamente, si el perímetro es demasiado limitado, si los criterios de riesgo no son suficientemente precisos, si las fuentes de datos utilizadas son incompletas o si los umbrales de escalamiento no están alineados con el apetito de riesgo de la organización. En el marco de la gestión integrada de riesgos de criminalidad financiera, la eficacia del diseño debe evaluarse, por tanto, a la luz de las tipologías específicas de riesgo, la naturaleza de la cartera de clientes, los productos y servicios, la exposición geográfica, los canales de distribución, los flujos transaccionales y el grado de dependencia de la organización respecto de sistemas, terceros o juicio manual. Un diseño de control adoptado de forma genérica a partir de una política, un modelo o un estándar de grupo, sin alineación con el contexto real de riesgo, ofrece un nivel de assurance insuficiente.

La eficacia operativa va más allá e interroga la capacidad del control para funcionar en la práctica conforme a lo previsto. Este criterio examina la ejecución efectiva. ¿Se ejecuta el control dentro de los plazos previstos? ¿Están cubiertas todas las poblaciones relevantes? ¿Se identifican correctamente las excepciones? ¿Las alertas se evalúan en cuanto al fondo o se cierran principalmente sobre una base administrativa? ¿Las escalaciones reciben seguimiento dentro de los plazos acordados? ¿Los colaboradores están suficientemente formados para aplicar el control? ¿El control se ejecuta también cuando aumentan los volúmenes, se aproximan los vencimientos, los sistemas se ralentizan o se intensifica la presión comercial? Estas preguntas suelen ser más reveladoras que el propio diseño del control. Un control puede estar perfectamente diseñado, pero resultar estructuralmente debilitado en la ejecución por limitaciones de capacidad, instrucciones poco claras, mala calidad de datos, información de gestión inadecuada o una cultura en la que las excepciones se aceptan con demasiada rapidez.

La fuerza de un control cuyo funcionamiento es demostrable reside en la coherencia entre diseño y ejecución. La eficacia del diseño sin eficacia operativa produce una gestión del riesgo teórica. La eficacia operativa sin un diseño sólido produce actividades bien ejecutadas, pero potencialmente no pertinentes. La gestión integrada de riesgos de criminalidad financiera exige, por tanto, una evaluación integrada en la que el control se siga desde la definición del riesgo hasta el diseño, del diseño a la ejecución, de la ejecución a los elementos probatorios y de los elementos probatorios a la mejora. También debe establecerse si los resultados de los controles se utilizan efectivamente para la toma de decisiones. Cuando los hallazgos derivados de revisiones de clientes, monitorización de transacciones, screening de sanciones, detección de fraude o diligencia debida de terceros no conducen a ajustes de las puntuaciones de riesgo, escalaciones, medidas frente al cliente, configuraciones de sistema o decisiones de política interna, el valor operativo permanece limitado. Un control funciona de manera convincente solo cuando diseño, ejecución, registro y seguimiento se sitúan demostrablemente en continuidad entre sí.

Verificar si los controles mitigan efectivamente el riesgo relevante

La verificación de la mitigación del riesgo exige, en primer lugar, una determinación precisa del riesgo que el control está destinado a gestionar. En la práctica, esa precisión suele faltar. Los controles se vinculan entonces a categorías amplias de riesgo, como “AML”, “sanciones”, “fraude” o “ABC”, sin claridad sobre qué amenaza específica, vulnerabilidad o factor impulsor del riesgo se está abordando. Esto dificulta evaluar si el control tiene efectivamente un impacto. Una revisión periódica de clientes, por ejemplo, puede tener como finalidad actualizar información de cliente obsoleta, identificar factores de riesgo elevado, contextualizar transacciones anómalas o reevaluar la idoneidad de la relación con el cliente. Cada objetivo requiere criterios distintos, elementos probatorios distintos y resultados distintos. Un control que no está vinculado a un escenario de riesgo claramente definido resulta difícilmente verificable de manera convincente.

La mitigación efectiva exige después una comprensión del funcionamiento del control en relación con el riesgo. Esto significa que debe determinarse no solo que una actividad de control haya tenido lugar, sino también si el control incide en el perfil de riesgo. ¿El control condujo a la detección de desviaciones relevantes? ¿Se identificaron efectivamente clientes, transacciones o terceros de alto riesgo? ¿Se analizaron los falsos positivos y los falsos negativos? ¿Se estableció si el control opera de forma demasiado amplia, demasiado estrecha, demasiado tardía o demasiado superficial? ¿El control se adapta sobre la base de tipologías, incidentes, hallazgos regulatorios, resultados de auditoría interna o patrones de amenaza en evolución? En la gestión integrada de riesgos de criminalidad financiera, la evaluación de la mitigación del riesgo no debe detenerse en la conformidad del proceso; debe mostrar si el control reduce efectivamente la probabilidad o el impacto de los riesgos de criminalidad financiera.

Un elemento importante consiste en distinguir la actividad del efecto. Números elevados de revisiones de clientes completadas, alertas cerradas, screenings realizados o listas de verificación finalizadas pueden dar la impresión de una gestión intensiva, pero dicen poco si no está claro que los riesgos relevantes hayan sido detectados y objeto de seguimiento. Un control puede generar una producción significativa sin una reducción sustantiva del riesgo. Por el contrario, un control dirigido con precisión, aun con un volumen administrativo limitado, puede contribuir de manera relevante a la gestión del riesgo cuando aborda los puntos críticos. La prueba debe centrarse, por tanto, en la cuestión de si el control aporta una contribución demostrable a la prevención, la detección, el escalamiento, la toma de decisiones o la remediación. Solo cuando esa contribución puede documentarse surge una base creíble para afirmar que el control mitiga efectivamente el riesgo relevante.

Identificar controles formalmente presentes pero sustancialmente deficientes

Una de las vulnerabilidades más persistentes en la gestión de riesgos de criminalidad financiera reside en la existencia de controles formalmente presentes, pero sustancialmente deficientes. Esta situación suele desarrollarse gradualmente. Un control se introduce en respuesta a una norma, un hallazgo de auditoría, un incidente o un estándar de grupo, pero posteriormente no se mantiene de forma suficiente. La organización evoluciona, los productos se desarrollan, los comportamientos de los clientes cambian, los sistemas se modifican, los datos se dispersan entre múltiples fuentes y las tipologías de amenaza se transforman. El control, sin embargo, permanece sobre el papel y se incluye en los informes como si continuara siendo eficaz. De ello se deriva una forma peligrosa de control aparente. El dispositivo de control parece completo, mientras que la protección efectiva frente a los riesgos de criminalidad financiera queda rezagada.

Las deficiencias sustanciales pueden adoptar formas diversas. Un control puede intervenir demasiado tarde en el proceso, con la consecuencia de que los riesgos solo se identifican después de que se haya iniciado la relación con el cliente o después de que se hayan ejecutado las transacciones. Un control puede depender de datos incompletos, obsoletos o incoherentes. Un control puede referirse únicamente a la evaluación inicial, mientras que riesgos relevantes emergen durante el ciclo de vida de la relación con el cliente. Un control puede ser formalmente obligatorio, pero en la práctica ejecutarse por colaboradores que carecen de competencias o mandato suficientes. Un control puede generar excepciones sin imponer un seguimiento robusto. Un control puede, además, estar formulado de manera tan amplia que su aplicación dependa de la interpretación individual, creando incoherencias entre equipos, países, líneas de negocio o entidades.

La identificación de tales deficiencias exige pruebas críticas que vayan más allá de la revisión documental. Es necesario examinar expedientes, logs de sistema, pruebas por muestreo, información de gestión, historial de escalaciones, notas decisionales, linaje de datos, incidentes, excepciones, reclamaciones, hallazgos de auditoría y comunicaciones con las autoridades supervisoras. Solo entonces se vuelve visible si el control hace efectivamente, en la práctica, aquello que declara hacer. La gestión integrada de riesgos de criminalidad financiera exige la disposición a no proteger los controles únicamente porque históricamente forman parte del dispositivo, sino a evaluarlos en función de su pertinencia actual y de su contribución real. Cuando la presencia formal no está respaldada por un funcionamiento sustantivo, la conclusión debe ser clara: el control debe rediseñarse, reforzarse, sustituirse o eliminarse. Un control que produce principalmente assurance administrativa puede desviar a la organización de los riesgos que realmente requieren atención.

Evaluar el funcionamiento de los controles a través de procesos, sistemas y cadenas

Los riesgos de criminalidad financiera rara vez se mueven dentro de los límites de un único proceso, departamento o sistema. Aceptación de clientes, revisión de clientes, monitorización de transacciones, screening de sanciones, detección de fraude, aprobación de productos, procesamiento de pagos, gestión de terceros, integridad fiscal, revisión legal, monitorización de cumplimiento y assurance de auditoría constituyen conjuntamente una cadena de control. Cuando los controles se evalúan por separado, puede surgir una imagen distorsionada. Cada control puede funcionar razonablemente bien dentro de su propio proceso, mientras que el conjunto del dispositivo sigue siendo insuficiente debido a problemas de traspaso, defectos en la calidad de datos, uso incoherente de puntuaciones de riesgo, ausencia de bucles de retroalimentación o escalamiento inadecuado entre funciones. La gestión integrada de riesgos de criminalidad financiera exige, por tanto, una evaluación del funcionamiento de los controles a través de procesos, sistemas y cadenas.

Esta perspectiva de cadena revela los puntos en los que la información de riesgo se pierde o se utiliza de forma insuficiente. Un riesgo elevado de integridad del cliente identificado durante el onboarding debe, por ejemplo, reflejarse en la intensidad de la monitorización, la frecuencia de las revisiones, la priorización de alertas y la información de gestión. Una alerta de sanciones gestionada puede ser relevante para la evaluación más amplia del cliente o del riesgo a nivel de grupo. Un patrón de fraude identificado en la actividad de pagos puede justificar ajustes en la segmentación de clientes, las condiciones de producto o los escenarios de monitorización de transacciones. Un hallazgo de auditoría relativo a la calidad de datos puede incidir en múltiples controles que se basan en las mismas fuentes de datos. Cuando esas conexiones están ausentes, los controles permanecen como medidas aisladas. Pueden funcionar en su propio ámbito, pero no contribuyen de manera suficiente a una gestión coherente de los riesgos de criminalidad financiera.

La evaluación del funcionamiento a lo largo de toda la cadena exige especial atención a la integración de sistemas, las definiciones de datos, la titularidad de los controles, los puntos de traspaso, los criterios de escalamiento, los derechos de decisión y los elementos probatorios que cubren todo el ciclo de vida del riesgo. Debe establecerse si la organización es capaz de reconstruir la forma en que surgió una señal de riesgo, qué sistemas estuvieron implicados, qué colaboradores o funciones realizaron la evaluación, qué decisiones se tomaron, qué desviaciones se aceptaron y qué seguimiento se ejecutó. Cuando esa reconstrucción no es posible, falta trazabilidad. Cuando las señales no se comparten entre procesos, falta coherencia. Cuando los controles dependen de sistemas que utilizan definiciones o estándares de calidad de datos diferentes, emerge una vulnerabilidad estructural. Los controles cuyo funcionamiento es demostrable exigen, por tanto, no solo medidas individuales sólidas, sino también una cadena en la que la información de riesgo circule de manera fiable, las decisiones se adopten de forma coherente y el expediente probatorio resista el examen en su conjunto.

Atención a la proporcionalidad entre la carga de control y la reducción del riesgo

La proporcionalidad constituye un criterio esencial en la evaluación de los controles en el ámbito de la gestión integrada de riesgos de criminalidad financiera, ya que la gestión del riesgo nunca puede separarse del contexto operativo, comercial y organizativo en el que debe funcionar. Un control que, en teoría, persigue el máximo nivel de assurance puede, en la práctica, generar cargas desproporcionadas sin que la reducción adicional del riesgo aumente en la misma medida. Este riesgo es particularmente visible en la gestión de los riesgos de criminalidad financiera. En respuesta a la presión de las autoridades supervisoras, a incidentes, a hallazgos de auditoría o a la evolución normativa, las organizaciones desarrollan a menudo el reflejo de ampliar los controles, aumentar la frecuencia de las revisiones, añadir niveles de aprobación, reforzar los requisitos documentales o restringir aún más las excepciones. Aunque tales medidas puedan, a primera vista, parecer prudentes, pueden conducir a un entorno de control en el que la capacidad disponible queda absorbida por actividades con un valor limitado desde la perspectiva del riesgo, mientras amenazas significativas no reciben la atención necesaria. La proporcionalidad exige, por tanto, una evaluación pragmática, jurídicamente defendible y basada en el riesgo: ¿qué carga de control está justificada a la luz de la naturaleza, la magnitud, la probabilidad y el impacto del riesgo de criminalidad financiera de que se trate?

Esta evaluación exige algo más que una referencia genérica a un enfoque basado en el riesgo. Una organización debe poder explicar por qué un determinado nivel de intensidad de control resulta adecuado para un grupo específico de clientes, una línea de productos, una jurisdicción, un flujo transaccional, un modelo de distribución o un tercero. Una due diligence reforzada relativa a una estructura societaria internacional compleja, caracterizada por esquemas de propiedad opacos, exige una profundidad distinta de la necesaria para la revisión periódica de una relación con un cliente particular de bajo riesgo. El filtrado de sanciones sobre flujos de pagos expuestos a países de alto riesgo requiere sensibilidades distintas a las aplicables al filtrado de una base estática de proveedores con dispersión geográfica limitada. Un control de detección de fraude sobre transacciones digitales en tiempo real debe configurarse de manera distinta a una conciliación periódica basada en datos disponibles únicamente ex post. La proporcionalidad no significa, por tanto, menos control, sino un control mejor dirigido. La cuestión no es qué cantidad de esfuerzos puede hacerse visible, sino qué esfuerzos contribuyen de forma demostrable a una mejor gestión del riesgo.

Al mismo tiempo, la proporcionalidad también debe evaluarse desde la perspectiva de la viabilidad y de los efectos conductuales. Una carga de control excesiva puede llevar a los colaboradores a ejecutar los controles de manera mecánica, cerrar alertas con mayor rapidez, estandarizar la documentación sin un análisis sustantivo, evitar las escalaciones o aceptar excepciones de forma rutinaria con el fin de limitar los atrasos operativos. De este modo, un control destinado a reforzar la assurance puede, en realidad, contribuir a una pérdida de capacidad crítica. La gestión integrada de riesgos de criminalidad financiera exige, por tanto, una evaluación periódica de la relación entre la carga de control y la reducción del riesgo. Dicha evaluación debe tener en cuenta los tiempos de tramitación, la capacidad disponible, las tasas de error, la calidad de las alertas, los ratios de escalación, la calidad de los expedientes, el impacto sobre el cliente, las retrabajos, las excepciones, así como los hallazgos derivados del monitoreo y de la assurance. Un control proporcionado no es el control más ligero, sino aquel respecto del cual puede demostrarse que la carga, la profundidad, la frecuencia y la complejidad son razonablemente proporcionales al riesgo gestionado.

Integrar la medibilidad, la documentación y la trazabilidad

La medibilidad es necesaria para evitar que el funcionamiento de los controles permanezca dependiente de impresiones, hipótesis o declaraciones generales de la dirección. En el ámbito de la gestión integrada de riesgos de criminalidad financiera, un control debe diseñarse de forma que permita establecer sus resultados, desviaciones, conclusiones y tendencias. Ello presupone criterios predefinidos: qué población queda comprendida dentro del perímetro del control, qué acción debe ejecutarse, qué requisitos de calidad se aplican, qué plazos son relevantes, qué excepciones están permitidas, qué escalaciones deben seguir y qué resultados indican un funcionamiento eficaz. En ausencia de criterios medibles, resulta difícil determinar si un control se ejecuta de manera coherente y si contribuye a la gestión del riesgo de que se trate. Un control que no es medible puede, como mucho, describirse; no puede evaluarse de manera convincente.

La documentación se convierte después en el soporte de esa medibilidad. En la gestión de los riesgos de criminalidad financiera, la documentación no es una simple consignación administrativa, sino un componente esencial del propio control. La documentación debe mostrar qué datos se utilizaron, qué análisis se realizaron, qué señales de alerta fueron evaluadas, qué desviaciones se identificaron, qué consideraciones fundamentaron una decisión y qué seguimiento se dio. En los expedientes de integridad del cliente, esto significa, por ejemplo, que la justificación de la clasificación del riesgo, de la evaluación de los beneficiarios efectivos últimos, del análisis del origen de los fondos, de la evaluación del origen del patrimonio, de la gestión de una alerta de sanciones o de la aclaración de una transacción debe quedar claramente registrada. En materia de monitoreo de transacciones, esto significa que el cierre de una alerta no puede consistir en fórmulas estándar genéricas, sino que debe proporcionar una explicación suficiente de las razones por las que un patrón es, o no es, anómalo. En materia de filtrado de sanciones, esto significa que la gestión de los falsos positivos debe ser trazable a partir de criterios de identificación concretos y no de hipótesis no verificables.

La trazabilidad conecta la medibilidad y la documentación con la defendibilidad externa. Una organización debe ser capaz de reconstruir a posteriori la forma en que un control funcionó, desde la aparición del riesgo o de la señal hasta la decisión final. Esa reconstrucción no debe depender de recuerdos personales, explicaciones informales o archivos dispersos fuera del sistema de registro de referencia. Debe basarse en datos fiables, registros coherentes, marcas temporales claras, funciones responsables, pistas de aprobación y procesos de toma de decisiones trazables. La trazabilidad reviste especial importancia en investigaciones supervisoras, auditorías internas, revisiones externas, análisis de incidentes y rendición de cuentas ante el consejo de administración. Cuando no es posible establecer qué ocurrió, quién decidió y por qué una determinada decisión era defendible, surge un problema probatorio que debilita el funcionamiento sustantivo del control. La medibilidad, la documentación y la trazabilidad no deben, por tanto, añadirse a los controles a posteriori, sino integrarse en el control desde su diseño.

Establecer si los controles continúan funcionando bajo presión o en caso de perturbación

Un control que solo funciona en circunstancias ideales ofrece una assurance limitada. La gestión de los riesgos de criminalidad financiera suele ponerse a prueba cuando los procesos se someten a una presión creciente: aumento de los volúmenes de alertas, actualizaciones de listas de sanciones, migraciones de sistemas, carencias de personal, pagos urgentes, plazos comerciales, atrasos en las revisiones de clientes, picos de onboarding, incidentes, problemas de calidad de datos, perturbaciones relacionadas con la externalización o cambios normativos repentinos. En tales circunstancias se vuelve visible si un control es estructuralmente robusto o si depende de capacidades contingentes, conocimientos informales, correcciones manuales o gestión de excepciones. La gestión integrada de riesgos de criminalidad financiera exige, por tanto, que el funcionamiento de los controles se evalúe no solo en condiciones operativas ordinarias, sino también en situaciones en las que la organización se enfrenta a perturbaciones, urgencias o una presión incrementada.

Esta prueba es particularmente importante porque los riesgos de criminalidad financiera suelen intensificarse durante los periodos de cambio. Nuevos productos, nuevos mercados, fusiones, transformaciones informáticas, reorganizaciones, externalizaciones, automatizaciones, migraciones de clientes o programas de remediation pueden debilitar los controles existentes o volverlos temporalmente ineficaces. Un control de filtrado de sanciones puede, por ejemplo, volverse vulnerable cuando se migran los datos de clientes y los campos de datos no se transfieren correctamente. Un control de monitoreo de transacciones puede perder eficacia cuando los escenarios no se ajustan a tiempo a las nuevas características de los productos. Un proceso de revisión de clientes puede acumular atrasos cuando la capacidad se redirige hacia proyectos de remediation. Un control de escalación puede ralentizarse cuando cambian las responsabilidades o cuando la gobernanza se vuelve temporalmente incierta. La pregunta no es, por tanto, únicamente si los controles funcionan en condiciones de operación normal, sino también si resisten los cambios que inciden en la posición de riesgo.

Establecer la resiliencia bajo presión exige análisis de escenarios, pruebas de resistencia, revisiones de incidentes, análisis de atrasos, mediciones de calidad y evaluación de los dispositivos de continuidad y contingencia. Dicha evaluación debe tener en cuenta señales como la prolongación de los tiempos de tramitación, el descenso de la calidad de los expedientes, el aumento del número de excepciones, el crecimiento de los ratios de falsos positivos, las escalaciones tardías, los workaround manuales, la indisponibilidad de sistemas, las desviaciones vinculadas a la capacidad y los apartamientos respecto de las fases estándar del proceso. También debe establecerse si existen medidas compensatorias disponibles cuando los controles primarios se debilitan temporalmente. Una organización capaz de demostrar que los controles críticos de criminalidad financiera continúan funcionando en situaciones de perturbación dispone de una posición notablemente más sólida frente al consejo de administración, el regulador y la función de auditoría que una organización que solo puede demostrar que los controles se ejecutaron en circunstancias normales. El funcionamiento de los controles solo se vuelve realmente convincente cuando no colapsa en cuanto aparece la presión.

Proporcionar visibilidad sobre las brechas de control, las medidas compensatorias y las mejoras prioritarias

Los controles cuyo funcionamiento es demostrable no presuponen que todo riesgo haya sido eliminado por completo ni que cada elemento del dispositivo funcione sin dificultad. Un enfoque creíble de la gestión integrada de riesgos de criminalidad financiera reconoce que pueden existir brechas de control y que no todas las deficiencias tienen la misma gravedad, urgencia o importancia en términos de gobernanza. Lo esencial es que las brechas se identifiquen oportunamente, se analicen con precisión, se prioricen de forma coherente y se acompañen de un seguimiento adecuado. Una brecha de control puede derivarse de controles inexistentes, diseño inadecuado, ejecución deficiente, elementos probatorios débiles, problemas de calidad de datos, limitaciones de los sistemas, titularidad insuficiente, escalación tardía o mala alineación entre procesos. Sin una visibilidad sistemática sobre tales brechas, surge el riesgo de que la organización rinda cuentas principalmente sobre lo que está presente, mientras aquello que falta de manera sustantiva permanece insuficientemente visible.

Las medidas compensatorias desempeñan a este respecto un papel importante, pero deben evaluarse críticamente. En la práctica, revisiones manuales temporales, muestreos adicionales, aprobaciones gerenciales suplementarias, monitoreo reforzado, restricciones aplicables a actividades de clientes o reportes temporales se utilizan con frecuencia para absorber las deficiencias de los controles primarios. Tales medidas pueden ser necesarias y defendibles, siempre que quede claro qué riesgo específico atenúan temporalmente, cuál es su perímetro, quién es responsable de ellas, qué fecha de finalización o punto de evaluación se aplica y cuál es la solución estructural prevista. Una medida compensatoria no debe evolucionar hacia una dependencia permanente sin una evaluación formal. Cuando los workaround temporales permanecen vigentes durante un periodo prolongado, a menudo emerge una nueva vulnerabilidad: la organización se apoya en medidas que no fueron concebidas para una gestión sostenible, que no son suficientemente escalables y que siguen siendo difíciles de probar.

La mejora prioritaria exige después una jerarquización basada en el riesgo, el impacto y la viabilidad. No todas las brechas de control justifican una remediation inmediata y de gran alcance, pero las brechas significativas en procesos críticos requieren una atención clara a nivel de gobernanza. Ello presupone tener en cuenta la naturaleza del riesgo de criminalidad financiera, la exposición de la organización, la calidad de las medidas compensatorias existentes, el grado de urgencia jurídica o supervisora, el potencial impacto sobre los clientes, la dependencia de la tecnología o de los datos, así como la rapidez con la que una mejora puede implementarse de forma realista. Una priorización correcta evita que los programas de mejora se atasquen en largas listas de acciones desprovistas de una lógica clara de riesgo. La gestión integrada de riesgos de criminalidad financiera exige transparencia: qué brechas existen, qué riesgos crean, qué control temporal se ha puesto en marcha, qué mejora estructural es necesaria y qué proceso decisorio se requiere para imponer el progreso.

El funcionamiento demostrable como criterio central de la gestión integrada de riesgos de criminalidad financiera

El funcionamiento demostrable constituye el criterio decisivo mediante el cual los controles de criminalidad financiera adquieren su significado. Una organización puede adoptar políticas, publicar procedimientos, implementar sistemas, atribuir roles y producir reportes, pero sin funcionamiento demostrable queda sin respuesta la cuestión de si el riesgo de que se trate se gestiona efectivamente. En el ámbito de la gestión integrada de riesgos de criminalidad financiera, el funcionamiento demostrable debe considerarse, por tanto, un criterio central de la calidad del control. Se trata de la capacidad de mostrar, mediante información concreta, fiable y trazable, que los controles están diseñados de manera adecuada, se ejecutan de forma coherente, abordan los riesgos relevantes, identifican oportunamente las excepciones, imponen escalaciones, apoyan la toma de decisiones y conducen a mejoras cuando se detectan deficiencias.

Este enfoque también reviste importancia desde la perspectiva de la gobernanza. Los consejos de administración, la alta dirección, los comités de riesgos y las funciones de control no necesitan una mera confirmación de la existencia de los controles; necesitan comprender en qué medida el entorno de control ofrece efectivamente protección frente a riesgos significativos de criminalidad financiera. Ello exige reportes que vayan más allá del número de actividades ejecutadas o de los porcentajes de tratamiento dentro de plazo. La información de gestión debe proporcionar visibilidad sobre la calidad de los controles, las tendencias de riesgo, las desviaciones, las causas raíz, los hallazgos recurrentes, las medidas compensatorias, las mejoras abiertas y la medida en que los controles contribuyen a la reducción del riesgo. Solo bajo esta condición la toma de decisiones puede basarse en información sustantiva de gestión del riesgo, en lugar de indicadores de proceso que sugieren assurance pero cuyo significado sigue siendo limitado.

El funcionamiento demostrable aporta, en definitiva, disciplina a todo el sistema de gestión integrada de riesgos de criminalidad financiera. Impone una definición más precisa de los riesgos, mejores diseños de controles, modelos de ejecución realistas, una gobernanza de datos más robusta, una documentación más sólida, una titularidad más clara, una assurance más dirigida y una priorización más eficaz de las mejoras. Hace visible qué controles contribuyen realmente a la gestión del riesgo y cuáles producen principalmente complejidad administrativa. Ayuda a evitar que las organizaciones sean evaluadas sobre la base del tamaño de su dispositivo de control, en lugar de la credibilidad de su gestión de riesgos. En un ámbito en el que reguladores, auditores y partes interesadas sociales exigen cada vez más pruebas del funcionamiento efectivo, la gestión integrada de riesgos de criminalidad financiera no puede basarse únicamente en la presencia, la intención o el esfuerzo. El criterio determinante es si los controles funcionan de manera demostrable, son proporcionales al riesgo y resisten el examen crítico de su funcionamiento.