Los programas éticos basados en el cumplimiento constituyen un punto de partida indispensable para las organizaciones que no desean dejar la conducta normativa en manos de expectativas implícitas, de la intuición personal o de un estilo directivo circunstancial. En un entorno empresarial complejo, en el que la presión comercial, la rapidez operativa, las cadenas de valor internacionales, los procesos de toma de decisiones basados en datos y las obligaciones de supervisión interactúan de forma constante, un marco ético formal no representa un lujo administrativo, sino una condición previa para una integridad gobernable. Los códigos de conducta, las políticas de comportamiento, los módulos formativos, las certificaciones, los procedimientos de denuncia, los marcos disciplinarios y los procesos de escalamiento proporcionan un lenguaje a aquello que, de otro modo, permanecería difuso e indeterminado. Definen el comportamiento esperado, los límites que no pueden sobrepasarse, los conflictos de interés que deben declararse, la información que debe permanecer confidencial, la forma en que deben tratarse clientes, proveedores, intermediarios y funcionarios públicos, así como las consecuencias que pueden derivarse del incumplimiento de los estándares de conducta. De este modo, estos programas crean un primer nivel de previsibilidad. Los colaboradores y directivos disponen de puntos de referencia, las autoridades de supervisión y los stakeholders pueden constatar que las expectativas normativas han sido formalizadas, y la empresa cuenta con un marco de referencia para la aplicación de las normas, las investigaciones y la rendición de cuentas interna.
Al mismo tiempo, precisamente esa fuerza formal contiene también su límite central. Un programa ético basado en el cumplimiento puede parecer convincente sobre el papel sin incidir realmente en los comportamientos, los procesos de toma de decisiones y la cultura. La existencia de reglas no demuestra que los colaboradores identifiquen a tiempo los dilemas, que los directivos tomen en serio las tensiones éticas, que los objetivos comerciales se limiten cuando emergen riesgos normativos, o que las denuncias puedan realizarse sin temor a represalias. En el ámbito de la Dirección Estratégica de la Integridad y de la Gestión Integrada de los Riesgos de Criminalidad Financiera, esta distinción reviste una importancia fundamental. Los Riesgos de Criminalidad Financiera suelen surgir no porque falte toda regla, sino porque las reglas se desconectan de los incentivos reales, del liderazgo, de la disciplina documental, del proceso decisorio comercial y del contraste interno. El blanqueo de capitales, la corrupción, el fraude, la elusión de sanciones, las irregularidades fiscales, los abusos de mercado, los riesgos de colusión y antitrust, la ciberdelincuencia y las violaciones de datos rara vez se ven facilitados por un único vacío de política interna. Con mayor frecuencia, el riesgo nace de que los estándares formales no se traducen suficientemente en la práctica operativa, de que las advertencias permanecen fragmentadas, de que la documentación adquiere un carácter ritual, o de que los colaboradores aprenden que el cumplimiento es importante mientras no ralentice en exceso la actividad. Por tanto, un programa ético eficaz debe hacer algo más que publicar reglas. Debe conectar la claridad normativa con la gobernanza, la ejemplaridad directiva, la formación, las investigaciones, la disciplina, el seguimiento y un follow-up demostrable.
Los programas éticos basados en el cumplimiento como estructura mínima para la gestión de comportamientos
Los programas éticos basados en el cumplimiento funcionan, ante todo, como una estructura mínima para la gestión de comportamientos, porque permiten a la empresa hacer que los estándares de conducta sean explícitos, conocidos y aplicables. En ausencia de una estructura de este tipo, la integridad queda supeditada a interpretaciones personales, a la cultura informal y a acentos directivos cambiantes. Esto constituye una vulnerabilidad desde la perspectiva de la gobernanza. Una empresa que no proporciona un marco claro para los conflictos de interés, los regalos y la hospitalidad, la gestión de información confidencial, las terceras partes, las denuncias internas, la presión comercial, la conservación documental y el escalamiento crea espacio para incoherencias. Lo que en un departamento se considera inadmisible puede ser relativizado en otro como pragmatismo, orientación al cliente o flexibilidad comercial. Un programa ético basado en el cumplimiento interrumpe esa fragmentación mediante la formulación de una base normativa común. No proporciona únicamente reglas, sino también un lenguaje institucional: términos, procedimientos, responsabilidades y criterios de evaluación a través de los cuales los comportamientos pueden discutirse, evaluarse y corregirse.
Esta estructura mínima resulta especialmente relevante para las empresas expuestas a Riesgos de Criminalidad Financiera. En el marco de la Gestión Integrada de los Riesgos de Criminalidad Financiera, no puede existir una gestión eficaz de riesgos si los colaboradores no saben dónde se sitúan los límites de conducta, qué señales son relevantes, qué información debe registrarse y cuándo el escalamiento es obligatorio. La evaluación de clientes, transacciones, terceras partes, circuitos de pago, excepciones, operaciones comerciales y desviaciones operativas exige no solo conocimientos técnicos, sino también discernimiento normativo. Un colaborador que se encuentre ante una instrucción de pago inusual, una estructura de titularidad real poco clara, un pago de comisión excesivo o una interacción incómoda con un intermediario debe poder apoyarse en algo más que en una duda personal. El programa ético debe establecer claramente que tales señales no deben ser ignoradas, normalizadas o discutidas únicamente de manera informal, sino tratadas dentro de una línea de gobernanza reconocible. En este sentido, el programa constituye el primer mecanismo institucional de contención frente a la erosión normativa.
El valor de esta estructura mínima reside también en la defendibilidad de la empresa cuando, en un momento posterior, surjan preguntas sobre la conducta, la supervisión, la toma de decisiones o el control interno. En el contexto de investigaciones, interlocuciones con autoridades de supervisión, auditorías internas y escenarios de derecho civil o penal, la cuestión no se limita a si se produjo un incidente, sino que también se extiende a qué sistema normativo había implantado la empresa para prevenir, identificar y abordar tales riesgos. Un programa ético basado en el cumplimiento puede entonces demostrar que las expectativas fueron comunicadas de antemano, que las responsabilidades fueron asignadas, que los colaboradores fueron formados, que existían canales de denuncia y que las infracciones podían, en principio, investigarse y sancionarse. Sin embargo, esa defendibilidad no debe confundirse con inmunidad. Un programa constituido exclusivamente por documentos, sin aplicación visible, sin implicación directiva y sin seguimiento coherente, solo ofrece una protección limitada. La estructura mínima es necesaria, pero adquiere pleno significado únicamente cuando se conecta con el funcionamiento efectivo.
Códigos, políticas y obligaciones formativas como instrumentos fundamentales
Los códigos, las políticas y las obligaciones formativas constituyen los instrumentos fundamentales a través de los cuales los programas éticos basados en el cumplimiento producen su primer efecto. El código de conducta ocupa, en este sentido, una posición particular. Generalmente representa el documento normativo más general de la empresa y, por ello, debe hacer algo más que presentar una serie de valores abstractos. Un código eficaz traduce los valores en expectativas de conducta reconocibles y muestra cómo la integridad, la legalidad, la diligencia, la transparencia y la responsabilidad se relacionan con situaciones concretas. Debe dejar claro que el rendimiento comercial no puede separarse de la forma en que se consigue, que la generación de ingresos no justifica una aceptación negligente de clientes, estructuras de pago arriesgadas o una dependencia inapropiada de terceras partes, y que los directivos tienen una responsabilidad reforzada no solo de comunicar los estándares, sino también de encarnarlos efectivamente. El código funciona así como documento constitucional del orden interno de integridad.
Las políticas aportan después mayor precisión a los estándares generales contenidos en el código. Allí donde el código ofrece una orientación, las políticas específicas deben proporcionar marcos aplicables para áreas de riesgo como la lucha contra el soborno y la corrupción, sanciones y embargos, prevención del blanqueo de capitales y lucha contra la financiación del terrorismo, fraude, conflictos de interés, competencia, abuso de mercado, seguridad de datos, privacidad, canales de denuncia, due diligence de terceras partes y conservación documental. En el contexto de la Gestión Integrada de los Riesgos de Criminalidad Financiera, la calidad de estas políticas determina si los estándares pueden aplicarse efectivamente dentro de los procesos operativos. Una política que se limite a repetir prohibiciones jurídicas sin formular criterios decisorios, puntos de escalamiento, requisitos documentales y distribución de roles ofrece un apoyo insuficiente a la organización. Los colaboradores necesitan indicaciones concretas: cuándo debe solicitarse información adicional, cuándo debe congelarse una relación, cuándo deben intervenir Legal o Compliance, cuándo se requiere aprobación de la dirección, qué excepciones están prohibidas y qué valoraciones deben registrarse de forma trazable. Por tanto, las políticas deben ser no solo normativas, sino también orientadas a la decisión.
La formación y las certificaciones garantizan que los códigos y las políticas no permanezcan como documentos pasivos. La formación solo tiene impacto cuando va más allá de la transferencia de conocimientos y confronta a los colaboradores con las tensiones en las que la conducta normativa se ve sometida a presión. Un e-learning genérico sobre reglas de conducta puede ser útil como base, pero resulta inadecuado cuando emergen riesgos complejos. Una formación eficaz se alinea con el rol, la función, el perfil de riesgo y el poder decisorio. Los colaboradores de front office necesitan escenarios distintos de los equipos de finanzas, procurement, alta dirección, asesoría jurídica interna, auditoría, equipos de datos o colaboradores que trabajan con agentes y distribuidores. La formación debe hacer visibles los dilemas: el cliente que exige rapidez, el intermediario que no ofrece transparencia, el directivo que quiere una excepción, la transacción comercialmente atractiva pero de origen incierto, el proveedor que sugiere beneficios personales, el conjunto de datos que parece útil pero plantea riesgos de privacidad. Las certificaciones pueden confirmar que los conocimientos han sido recibidos, pero no deben tratarse como prueba de que el comportamiento haya cambiado. Su valor reside principalmente en crear accountability y en formalizar la responsabilidad personal por la toma de conocimiento y el cumplimiento de las reglas.
La fuerza y los límites de la gestión ética basada en reglas
La fuerza de la gestión ética basada en reglas reside en la claridad. Las reglas hacen visibles los límites, reducen el espacio interpretativo y sostienen una aplicación coherente. En grandes organizaciones, estructuras societarias internacionales y sectores regulados, esto resulta indispensable. En ausencia de reglas surgen arbitrariedad, incertidumbre y dependencia de la intuición moral individual. Los programas basados en reglas proporcionan además una base de medición: la finalización de la formación, la confirmación de políticas, el registro de denuncias, la gestión de investigaciones, las medidas disciplinarias y la información sobre excepciones pueden ser monitorizados. Ello genera información de gestión que permite al consejo de administración, los órganos de supervisión, compliance, legal y auditoría evaluar dónde se conocen los estándares, dónde surgen preguntas, dónde se concentran los incidentes y dónde son necesarias intervenciones adicionales. En este sentido, la gestión ética basada en reglas constituye un elemento importante de la Dirección Estratégica de la Integridad.
El límite surge cuando las reglas se tratan como sustituto del juicio ético. No todo riesgo de integridad puede capturarse en una prohibición formulada de antemano. Los Riesgos de Criminalidad Financiera suelen desarrollarse en zonas grises: transacciones inusuales pero no manifiestamente prohibidas, estructuras comerciales que parecen formalmente permitidas pero resultan económicamente ilógicas, terceras partes que existen jurídicamente pero presentan escasa sustancia real, señales de mercado que no proporcionan inmediatamente una prueba pero justifican una duda seria, patrones de datos que no revelan una infracción concluyente pero pueden indicar un uso indebido. Una organización que se pregunte únicamente si una regla ha sido literalmente infringida descuida la cuestión más amplia de si el comportamiento, la estructura o la decisión son coherentes con la finalidad protectora del marco normativo. En consecuencia, la conformidad formal puede coexistir con una vulnerabilidad material. Las reglas pueden producir involuntariamente una mentalidad de mero cumplimiento formal: una vez cumplimentado el formulario, completada la formación y obtenida la aprobación, el riesgo se considera bajo control.
Un programa ético basado en el cumplimiento sofisticado reconoce, por tanto, que las reglas proporcionan orientación, pero no pueden sustituir toda valoración normativa. La esencia reside en la combinación de estándares claros y juicio ejercitado. Los colaboradores y directivos deben aprender que la integridad no comienza únicamente con la pregunta sobre lo que está prohibido, sino también con la pregunta sobre lo que resulta dudoso, vulnerable, desequilibrado, inexplicado o indefendible. En el ámbito de la Gestión Integrada de los Riesgos de Criminalidad Financiera, ello significa que la gestión basada en reglas debe integrarse con interpretación del riesgo, análisis contextual, cultura de escalamiento y toma de decisiones crítica. La empresa debe evitar que las reglas se utilicen como escudo frente a la responsabilidad. Una decisión puede encajar formalmente en una política y, sin embargo, resultar insuficientemente diligente cuando se han ignorado señales, no se han examinado alternativas, no se ha identificado la presión comercial o la documentación no muestra una valoración genuina. Por ello, la gestión ética basada en reglas alcanza su mayor valor cuando no se considera el punto final de la valoración normativa, sino el punto de partida de una conducta responsable.
Cómo los programas de cumplimiento contribuyen a la conciencia normativa y a la previsibilidad
Los programas de cumplimiento contribuyen a la conciencia normativa porque no evalúan la conducta únicamente ex post, sino que proporcionan de antemano marcos para el reconocimiento, la interpretación y la toma de decisiones. La conciencia normativa nace cuando los colaboradores comprenden que las reglas no son una carga externa, sino una traducción de expectativas fundamentales relativas a fiabilidad, corrección, diligencia y responsabilidad social. Un código de conducta que explica por qué determinados comportamientos son perjudiciales produce un efecto mayor que un código que se limita a enumerar lo que está prohibido. Una política de sanciones que ofrece comprensión de los riesgos geopolíticos, las estructuras de elusión y el daño reputacional genera mayor vigilancia que una mera remisión técnica a listas. Una política anticorrupción que muestra cómo pequeños favores, relaciones de dependencia e intermediarios opacos pueden evolucionar hacia graves problemas de integridad hace que los colaboradores sean más resistentes a la normalización. La conciencia normativa requiere, por tanto, significado. Los colaboradores no solo deben saber que una regla existe, sino comprender qué riesgo pretende delimitar.
La previsibilidad constituye la segunda contribución central de los programas de cumplimiento. Una organización que formula claramente los estándares de conducta y los aplica de manera coherente reduce la incertidumbre sobre lo que se espera de los colaboradores y sobre lo que la empresa hará cuando los estándares sean infringidos. Esta previsibilidad es importante para la equidad interna. Los colaboradores deben poder confiar en que comportamientos comparables serán evaluados de forma comparable, que la antigüedad o el rango no constituirán una licencia para desviarse de los estándares, que el valor comercial no ofrecerá protección frente a una investigación y que los denunciantes no serán perjudicados por haber puesto en conocimiento de la organización hechos incómodos. La previsibilidad también tiene relevancia externa. Las autoridades de supervisión, socios comerciales, clientes, inversores y otros stakeholders evalúan cada vez más si las empresas disponen de mecanismos de integridad creíbles. Un programa de cumplimiento coherente demuestra que los estándares no se emplean de forma episódica, sino que forman parte estructural de la manera en que la empresa se gobierna a sí misma.
En el ámbito de la Dirección Estratégica de la Integridad y de la Gestión Integrada de los Riesgos de Criminalidad Financiera, la conciencia normativa constituye además una condición previa para la detección temprana. Los Riesgos de Criminalidad Financiera suelen hacerse visibles a través de pequeñas desviaciones, explicaciones incompletas, solicitudes inusuales, comportamientos incoherentes o dudas internas. Cuando los colaboradores no saben qué señales son relevantes, tales indicios permanecen bajo el radar. Cuando han sido formados en el plano normativo, surge una mayor disposición a formular preguntas, solicitar documentación, activar el escalamiento o evitar que una transacción avance automáticamente. El programa de cumplimiento incrementa así la capacidad sensorial de la organización. No porque cada colaborador se convierta en especialista en blanqueo de capitales, sanciones, fraude, corrupción, abuso de mercado, riesgos de competencia o ciberdelincuencia, sino porque un grupo más amplio aprende a reconocer cuándo algo no encaja y cuándo se requiere una valoración especializada. Este es el valor práctico de la conciencia normativa: reduce la distancia entre la observación operativa y la intervención de gobernanza.
La relación entre políticas, disciplina y rendición de cuentas interna
Una política solo adquiere significado real cuando está conectada con la disciplina y la rendición de cuentas interna. Una regla de conducta que no se aplica pierde fuerza normativa. Una política sistemáticamente ignorada sin consecuencias comunica, en la práctica, que el cumplimiento es facultativo. Este efecto resulta especialmente dañino en entornos sensibles a la integridad, porque los colaboradores observan atentamente cómo la organización reacciona ante las desviaciones de los estándares. Cuando las infracciones menores se relativizan, las excepciones no se registran, la alta dirección permanece protegida o el rendimiento comercial pesa más que una conducta diligente, emerge una norma implícita que puede ser más fuerte que la política formal. La disciplina no es, por tanto, un instrumento de recursos humanos separado, sino un componente esencial de la gestión de comportamientos. Confirma que los estándares son vinculantes, que la responsabilidad puede atribuirse individual y funcionalmente, y que una infracción no puede reducirse a una mera imperfección administrativa.
La rendición de cuentas interna exige más que una sanción ex post. Exige que las decisiones relativas a desviaciones de los estándares, investigaciones, escalamiento, medidas correctivas y responsabilidad directiva sean trazables. En el contexto de la Gestión de la Criminalidad Financiera, esto resulta especialmente importante. Cuando se ha autorizado una transacción inusual, se ha aceptado un cliente de alto riesgo, se ha mantenido una tercera parte pese a red flags, se ha cerrado una señal de sanciones o no se ha investigado más a fondo un indicio de fraude, debe ser posible establecer posteriormente quién disponía de qué información, qué valoración se realizó, qué condiciones se impusieron y por qué la decisión se consideró defendible. Sin tal rendición de cuentas interna, surge un problema probatorio. La empresa puede afirmar que los riesgos fueron evaluados, pero no dispone de un expediente convincente que demuestre que la valoración fue diligente, independiente y proporcionada. Por tanto, las políticas, la disciplina y la rendición de cuentas deben situarse dentro de una única cadena funcional.
Un programa ético sólido basado en el cumplimiento distingue además entre error individual, fallo sistémico y responsabilidad del liderazgo. No toda infracción de los estándares puede imputarse exclusivamente al colaborador que realizó el acto final. En ocasiones, un incidente revela instrucciones poco claras, objetivos irreales, formación insuficiente, controles deficientes, capacidad inadecuada, datos de baja calidad o presión directiva. La rendición de cuentas interna debe tener en cuenta este contexto más amplio. Esto no significa que desaparezca la responsabilidad individual, sino que la disciplina mantiene su credibilidad cuando también se investigan las causas estructurales. En el ámbito de la Gestión Integrada de los Riesgos de Criminalidad Financiera, este aspecto reviste una importancia fundamental, ya que la criminalidad financiera y los daños a la integridad suelen nacer de la acumulación de pequeñas concesiones, escalaciones débiles y titularidades difusas de responsabilidades. Un programa que sanciona únicamente la infracción visible dejando intactos los fallos de gestión subyacentes no restablece suficientemente la norma. El impacto real emerge cuando las políticas, la aplicación de las reglas, la investigación, la gobernanza y la remediación se refuerzan mutuamente.
Límites de los programas éticos que se basan principalmente en la documentación y la validación formal
Los programas éticos que se basan principalmente en la documentación, la validación formal y las confirmaciones administrativas crean un riesgo reconocible de falsa tranquilidad. Los documentos son necesarios, pero no constituyen prueba de una verdadera interiorización. Un código de conducta firmado indica que un colaborador ha tomado conocimiento de un marco normativo, pero dice poco sobre si ese colaborador comprende la norma, si es capaz de aplicarla bajo presión, si se atreve a activar una escalación en caso de duda o si puede resistir incentivos comerciales que entran en conflicto con la integridad. Un módulo formativo completado demuestra participación o finalización, pero no garantiza que los dilemas se reconozcan a tiempo en la práctica. Una certificación anual confirma que una política ha sido formalmente aceptada, pero no ofrece certeza alguna de que los equipos apliquen efectivamente la norma cuando un cliente importante, una transacción urgente, un directivo dominante o un proyecto rentable ejercen presión sobre la conducta diligente. Este es el límite fundamental de un programa ético guiado por la documentación: puede crear la impresión de que la integridad está bajo control porque el ciclo administrativo se ha completado, mientras que el comportamiento real permanece fuera del campo de visión.
Este límite se vuelve más agudo en el ámbito de la Dirección Estratégica de la Integridad y de la Gestión Integrada de los Riesgos de Criminalidad Financiera. Los Riesgos de Criminalidad Financiera rara vez se manifiestan exactamente en el momento en que se lee una política o se completa un módulo formativo. Nacen en la fricción cotidiana entre norma y práctica: la aceptación de un cliente que debe acelerarse, el tercero que promete acceso comercial pero ofrece poca transparencia, el pago que parece defendible desde el punto de vista contractual pero inusual desde el punto de vista económico, la advertencia interna que no encaja con el calendario transaccional deseado, la señal procedente de los datos que no se investiga por presión temporal, o la aprobación de una excepción registrada sin una verdadera motivación. Un programa que pregunta principalmente si los formularios han sido cumplimentados y si las declaraciones han sido firmadas no puede abordar adecuadamente estos momentos. Mide la presencia de un procedimiento, pero no la calidad del juicio. Registra la participación, pero no la vigilancia normativa. Conserva los documentos, pero no verifica si el proceso decisorio ha sido efectivamente diligente, independiente y defendible.
Por tanto, un programa ético basado en el cumplimiento debe evaluarse críticamente en función de si la documentación funciona como prueba de funcionamiento o solo como prueba de existencia. Estas dos dimensiones no deben confundirse. La prueba de existencia significa que las políticas, la formación y las certificaciones están disponibles. La prueba de funcionamiento significa que las normas se aplican de manera demostrable en decisiones concretas, que las desviaciones se identifican y se siguen, que las denuncias se toman en serio y se investigan, que las escalaciones se documentan, que los dirigentes responden por sus actuaciones y que los hallazgos conducen a ajustes en los procesos, los controles y los comportamientos. En la Gestión de la Criminalidad Financiera, esta distinción es decisiva. Un expediente administrativamente completo puede ser materialmente débil cuando las señales de alerta no han sido ponderadas, las alternativas no han sido examinadas, la aceptación del riesgo no ha sido sustentada o la presión comercial no ha sido identificada. Un programa ético que se apoya excesivamente en la validación formal corre así el riesgo de producir una tranquilidad equivocada: tranquilidad sobre el papel en lugar de tranquilidad sobre el comportamiento.
La necesidad de conectar los programas éticos con la gobernanza y la conducta del liderazgo
Un programa ético basado en el cumplimiento solo adquiere fuerza institucional cuando está conectado con la gobernanza y la conducta del liderazgo. Las normas de conducta no pueden funcionar de manera duradera si son gestionadas exclusivamente por Compliance, Legal o Recursos Humanos, mientras que los incentivos cotidianos de la actividad se determinan en otro lugar. La integridad debe ser visible en la forma en que el consejo de administración, la alta dirección y los responsables operativos fijan prioridades, evalúan el desempeño, tratan las excepciones y responden a señales incómodas. La gobernanza determina quién decide, quién asesora, quién ejerce el contraste crítico, quién recibe la escalación, quién acepta el riesgo y quién sigue siendo responsable cuando las normas se ven sometidas a presión. Sin esta conexión, surge un programa ético aislado: formalmente presente, pero insuficientemente vinculado a los lugares donde convergen el poder real, los recursos y la presión comercial. En una situación así, los colaboradores pueden llegar a percibir la ética como un régimen documental, mientras que el proceso decisorio real está guiado por la rapidez, la facturación, la preservación de las relaciones o la evitación de conflictos.
La conducta del liderazgo no es, por tanto, un accesorio comunicativo, sino una condición central de credibilidad. Los colaboradores evalúan la seriedad de las normas de conducta no solo sobre la base de las políticas, sino sobre todo a partir de lo que los dirigentes hacen efectivamente. Cuando la dirección habla de integridad pero premia objetivos agresivos sin tener en cuenta la calidad de la facturación, surge una señal contradictoria. Cuando los dirigentes imponen excepciones sin una justificación completa, la cultura de escalación se erosiona. Cuando personas de alto nivel quedan protegidas frente a las consecuencias en casos de misconduct, la disciplina pierde legitimidad. Cuando las preguntas críticas se perciben como un obstáculo, la conciencia normativa disminuye. En cambio, una conducta sólida del liderazgo crea un espacio normativo: deja claro que una demora puede estar justificada cuando los riesgos no se comprenden suficientemente, que una pérdida de facturación puede ser aceptable cuando una relación no es defendible, que el contraste crítico se valora y que la llevanza transparente de expedientes no es una carga burocrática, sino una medida de protección de la gobernanza.
En el marco de la Gestión Integrada de los Riesgos de Criminalidad Financiera, la conexión entre el programa ético, la gobernanza y la conducta del liderazgo reviste una importancia particular, porque los Riesgos de Criminalidad Financiera suelen surgir en la intersección de varias funciones. La aceptación de clientes afecta a la actividad comercial, compliance, legal, fiscalidad, finanzas y datos. El screening de sanciones afecta a operaciones, comercio, procurement, logística y management. Los riesgos anticorrupción afectan a ventas, gestión de terceros, finanzas y supervisión ejercida por el liderazgo. Los riesgos de fraude y ciberdelincuencia afectan al control interno, IT, recursos humanos, auditoría y seguimiento jurídico. Un programa ético sin conexión con la gobernanza permanece demasiado estrecho. La empresa necesita no solo reglas, sino también un modelo de dirección claro en el que se definan responsabilidades, líneas de escalación, derechos decisorios y momentos de rendición de cuentas. La conducta del liderazgo hace visible ese modelo en la práctica. La gobernanza determina la estructura; el liderazgo determina si esa estructura adquiere confianza y autoridad.
Los programas basados en el cumplimiento como fundamento, pero no como punto final
Los programas basados en el cumplimiento deben entenderse como un fundamento, no como un punto final. Su valor reside en la creación de una primera capa de orden, claridad y disciplina. Formulan normas, establecen procedimientos, organizan la formación, crean canales de denuncia, apoyan la aplicación de las reglas y hacen posible la rendición de cuentas. Sin este fundamento, la organización no dispone de un lenguaje común para la integridad y corre el riesgo de que los comportamientos solo se evalúen después de que el daño ya se haya producido. Existe, sin embargo, un riesgo significativo de que la existencia de un programa formal se confunda con un nivel suficiente de integridad. Esta confusión nace cuando la empresa se fija principalmente en los componentes del programa: la existencia de un código, la adopción de políticas, el despliegue de la formación, la recopilación de certificaciones, la creación de canales de denuncia, la inclusión de disposiciones disciplinarias. Estas preguntas son relevantes, pero no responden a la cuestión central de si el programa influye realmente en los comportamientos.
El punto final no se sitúa, por tanto, en el diseño formal, sino en el funcionamiento demostrable. Un programa ético debe mostrar que las normas se comprenden, se aplican y se defienden cuando ello importa. Esto requiere pruebas periódicas de eficacia, análisis de incidentes, evaluación de patrones de denuncia, examen de la coherencia disciplinaria, revisión de decisiones de excepción, feedback de la actividad, hallazgos de auditoría interna y seguimiento de indicadores culturales. En la Gestión de la Criminalidad Financiera, esto significa que un programa no debe limitarse a registrar lo que está prohibido, sino también demostrar que las situaciones de riesgo se identifican a tiempo, que la duda se somete a escalación, que el proceso decisorio está sustentado y que las lecciones aprendidas se reincorporan a las políticas y los procesos. La cuestión no es si la empresa ha impartido formación sobre corrupción, blanqueo de capitales o sanciones. La cuestión es si esa formación ha llevado a los colaboradores a examinar con mayor rigor a los intermediarios, las estructuras de propiedad, los circuitos de pago, las solicitudes inusuales y las presiones internas.
Así queda claro que los programas basados en el cumplimiento deben evolucionar hacia una forma más amplia de Dirección Estratégica de la Integridad. Esta evolución no exige abandonar las reglas, sino conectarlas con los comportamientos, la gobernanza, el análisis de riesgos, el seguimiento basado en datos, el contraste interno y la responsabilidad a nivel del consejo de administración. La Gestión Integrada de los Riesgos de Criminalidad Financiera ofrece un marco adecuado a este respecto, porque no reduce la criminalidad financiera a obligaciones separadas, sino que la considera un dominio de riesgo interconectado en el que las normas jurídicas, los procesos comerciales, las estructuras fiscales, la auditabilidad, los datos, la cultura y la gobernanza se influyen recíprocamente. El programa basado en el cumplimiento constituye entonces la capa subyacente sobre la cual puede construirse una dirección más avanzada. Sigue siendo necesario, pero se inserta en un sistema más amplio que no pregunta únicamente si existen reglas, sino si la empresa es capaz de comprender, priorizar, documentar y gestionar eficazmente los riesgos normativos.
El impacto de normas éticas de base bien integradas en la gestión de riesgos
Las normas éticas de base bien integradas tienen un impacto directo en la gestión de riesgos porque mejoran la calidad de las decisiones cotidianas. Muchos riesgos de integridad no nacen en situaciones excepcionales, sino en elecciones recurrentes que pueden parecer gestionables aisladamente y que, en conjunto, forman un patrón de riesgo. La decisión de dejar avanzar un expediente incompleto, de no someter a challenge crítico una relación con un cliente, de aceptar a un tercero sobre la base de información limitada, de normalizar un pago poco claro, de ignorar una objeción interna o de no hacer explícito un conflicto de interés puede parecer menor en sí misma. Sin embargo, cuando tales decisiones se repiten, emerge una cultura en la que la desviación se vuelve normal. Las normas éticas de base interrumpen este proceso porque ayudan a los colaboradores a reconocer que la integridad no se refiere únicamente a infracciones manifiestas, sino también a la diligencia, la transparencia, la responsabilidad y la disposición a formular preguntas incómodas antes de que se produzca el daño.
En el marco de la Gestión Integrada de los Riesgos de Criminalidad Financiera, las normas éticas integradas refuerzan el funcionamiento de los controles formales. Los controles rara vez son más sólidos que el comportamiento de las personas que los ejecutan, los evalúan o pueden eludirlos. Un proceso de due diligence de clientes puede estar técnicamente bien concebido, pero perder valor cuando los colaboradores minimizan las señales de alerta. Un proceso de screening de sanciones puede estar automatizado, pero seguir siendo vulnerable cuando las alertas se cierran de forma rutinaria sin evaluación contextual. Una política anticorrupción puede ser rigurosa, pero funcionar de manera insuficiente cuando los equipos comerciales consideran la due diligence de terceros como una formalidad incómoda. Un proceso de gestión del fraude puede consistir en informes y aprobaciones, pero debilitarse cuando las desviaciones no se denuncian por temor a consecuencias reputacionales o profesionales. Las normas éticas de base garantizan que los controles no se ejecuten simplemente porque son exigidos, sino que se comprendan como mecanismos de protección de la empresa, sus stakeholders y la fiabilidad de los mercados.
El impacto en la gestión de riesgos también es visible en la rapidez y la calidad de la escalación. Las organizaciones dotadas de normas éticas de base bien integradas identifican antes las señales, discuten los riesgos de manera más abierta y documentan las decisiones con mayor cuidado. Esto reduce la probabilidad de que los Riesgos de Criminalidad Financiera permanezcan confinados en canales informales o desaparezcan bajo la presión operativa. También mejora la calidad de la información de gobernanza. Cuando los colaboradores comunican dudas y desviaciones, emerge una imagen más rica de las vulnerabilidades en los procesos, los productos, los segmentos de clientes, los riesgos país, los terceros, la calidad de los datos y los incentivos internos. Esto permite a la empresa intervenir de forma más precisa. Las normas éticas de base no son, por tanto, importantes solo en el plano cultural; desempeñan una función operativa concreta. Incrementan la capacidad de detección, refuerzan la calidad de los expedientes, mejoran el proceso decisorio y sostienen una posición defendible frente a autoridades de supervisión, autoridades investigadoras y de persecución, auditores, inversores y otros stakeholders.
La ética basada en el cumplimiento como primera capa de la Dirección Estratégica de la Integridad
La ética basada en el cumplimiento constituye la primera capa de la Dirección Estratégica de la Integridad, porque proporciona la infraestructura normativa mínima sobre la que puede apoyarse una dirección más amplia de la integridad. Esta primera capa se compone de normas explícitas, marcos de políticas, formación, mecanismos de denuncia, procesos disciplinarios, referencias de gobernanza y requisitos documentales. Establece claramente que la integridad no depende de una preferencia personal o de una cultura departamental, sino que constituye una obligación institucional. En empresas expuestas a Riesgos de Criminalidad Financiera, esta primera capa es indispensable, porque sin normas de base no puede esperarse ningún comportamiento coherente ni puede ofrecerse una rendición de cuentas creíble. La empresa debe ser capaz de mostrar que no problematiza la conducta solo después de que un incidente se haya hecho público o visible para las autoridades de supervisión, sino que ha fijado de antemano expectativas claras respecto de colaboradores, dirigentes, intermediarios y relaciones comerciales relevantes.
Al mismo tiempo, esta primera capa debe conectarse con una lógica de dirección más amplia. La Dirección Estratégica de la Integridad exige que la ética no se sitúe junto a la estrategia, el desarrollo comercial, la gestión de riesgos y la gobernanza, sino que se integre en ellos. Esto significa que las normas de conducta deben influir en la selección de clientes, el desarrollo de productos, la entrada en mercados, las estructuras retributivas, las alianzas, las adquisiciones, la externalización, el uso de datos y la respuesta a crisis. Una empresa que limita la ética a una formación anual pierde el significado estratégico de las decisiones normativas. La cuestión de qué clientes atender, en qué mercados entrar, qué terceros involucrar y qué riesgos aceptar no es únicamente comercial o jurídica. Es también una cuestión de integridad. La ética basada en el cumplimiento constituye, por tanto, el punto de partida de una disciplina de gobernanza más amplia, en la que las normas orientan la forma en que el valor se crea, se protege y se justifica.
En el marco de la Gestión Integrada de los Riesgos de Criminalidad Financiera, esta primera capa adquiere pleno significado porque está conectada con una Gestión de la Criminalidad Financiera coherente. El blanqueo de capitales, la financiación del terrorismo, las sanciones y embargos, el fraude, la corrupción activa y pasiva, la evasión fiscal y el fraude fiscal, el abuso de mercado, la colusión y el antitrust, la ciberdelincuencia y las violaciones de datos no requieren documentos de política aislados, sino un enfoque integrado en el que señales, proceso decisorio, escalación, investigación, seguimiento y assurance estén conectados. La ética basada en el cumplimiento proporciona el fundamento normativo de esa conexión. Precisa qué conducta se espera de los colaboradores, qué límites se aplican y qué responsabilidad acompaña a la duda o la desviación. La Dirección Estratégica de la Integridad se apoya en esta base integrando esas normas en la gobernanza, el liderazgo, los controles, los datos, la auditabilidad y la información de gestión. Así, la ética basada en el cumplimiento no se convierte en un programa separado, sino en la primera capa de un sistema de dirección a escala de toda la organización, que aborda conjuntamente la criminalidad financiera, los riesgos de integridad y la responsabilidad de gobernanza.
