Los altos directivos no suelen ignorar los riesgos por descuido. El problema es otro: muchas veces, nadie queda a cargo de mirar el sistema completo. Cada área controla una parte. Operaciones sigue un proceso, cumplimiento aplica una política, finanzas revisa una hoja de cálculo, tecnología administra un panel y el directorio recibe un informe. 

Pero, si cada uno ve solo su parte, nadie entiende del todo cómo funciona el conjunto. Ahí aparece la fragilidad: la empresa no falla por falta de experiencia, sino porque ese conocimiento queda repartido entre áreas, documentos, equipos y rutinas.

La ciberseguridad queda en tecnología. La privacidad de los datos pasa al área legal. La cultura corporativa se deja en manos de Recursos Humanos. La gobernanza de la IA termina en un comité de dirección. Cada sector cumple con su parte, pero la pregunta central para cualquier liderazgo sigue sin respuesta: ¿quién se hace cargo de mirar el sistema completo?

En el sistema financiero del Reino Unido, el Manual de Protección de Activos de Clientes de la FCA, conocido como CASS por sus siglas en inglés, establece las reglas para resguardar el dinero y los activos de los clientes. Según KPMG, este marco ganó peso tras la quiebra de Lehman Brothers, en 2008, cuando quedó expuesto el impacto que podían generar controles débiles sobre la protección de esos activos.

Para los lectores de otras partes del mundo, los términos pueden cambiar, pero el desafío de liderazgo resulta conocido.

Fondos de clientes, datos sensibles, seguridad, inteligencia artificial o riesgos vinculados con proveedores plantean la misma exigencia. Los líderes deben probar que la organización sabe qué información administra, quién responde por ella y qué ocurriría ante una situación de presión.

El tema ya salió del terreno reservado a los especialistas en cumplimiento normativo. FT Adviser informó que el esquema CASS 15 propuesto por la FCA acercaría los estándares de protección de fondos de clientes para entidades de dinero electrónico y empresas de servicios de pago a los que ya regían para las firmas de inversión bajo CASS 7. 

Además, agregaría un nivel de revisión más alto que el que muchas compañías enfrentaron hasta ese momento. La propuesta ya se aplicó y transformó a CASS en un caso útil para entender cómo un riesgo técnico puede convertirse en una decisión de estrategia y liderazgo.

Cuando entrevisté al experto en CASS Asare Nicholls, fue directo. “CASS es donde el liderazgo se encuentra con la realidad operativa”, afirmó. Según su mirada, muchas empresas interpretan CASS como una obligación más de cumplimiento normativo, aunque en los hechos funciona como una prueba concreta. Permite saber si una organización puede explicar cómo protege el dinero y los activos de los clientes, quién ejerce el control y qué pasaría si la compañía quedara bajo presión.

Nicholls profundiza esa idea en su libro The Client Money and Assets (CASS) Blueprint: For CASS 6 & 7 Firms. Allí presenta CASS como algo más que un régimen técnico de cumplimiento. Lo define como una evaluación práctica de gobernanza, rendición de cuentas y control operativo.

La lectura excede por completo a los servicios financieros. CASS revela si el modelo operativo de una empresa acompaña su ritmo de crecimiento. En otros sectores, la exigencia aparece con otra forma, pero con la misma pregunta de fondo. ¿La organización puede explicar cómo gestiona el riesgo, cómo controla el trabajo y cómo protege la confianza cuando sube la presión?

Por qué el riesgo especializado se vuelve invisible

Las organizaciones modernas dependen de la especialización. Y la necesitan. Los líderes no pueden ocuparse en persona de cada detalle técnico en finanzas, asuntos legales, operaciones, tecnología y cumplimiento. Para eso necesitan expertos.

Pero esa misma especialización abre un riesgo menos visible. Cuanto más técnico parece un problema, más fácil resulta para la alta dirección asumir que alguien ya lo tiene bajo control.

La idea suele sonar razonable. Cumplimiento cuenta con un marco definido. Legales revisó la política. Finanzas maneja las cifras. Tecnología controla los sistemas. El directorio recibió garantías. Aun así, esas garantías pueden ocupar el lugar de la comprensión.

Los líderes no necesitan dominar cada regla técnica. Sí deben saber dónde queda la responsabilidad, de dónde salen los datos, en qué zonas hace falta criterio y en qué puntos la organización depende de una persona, una solución transitoria o un proceso débil.

Ahí empiezan muchos fracasos. No por mala conducta, sino por distancia. La alta dirección queda demasiado lejos de la realidad operativa de los riesgos por los que todavía debe responder.

El peligro de "Es propiedad de otra persona"

La frase “eso lo lleva otra área” suele anticipar una debilidad dentro de la organización.

El riesgo rara vez entra de manera prolija en un solo sector. La ciberseguridad no pertenece únicamente a TI, porque la conducta de los empleados y el vínculo con los proveedores también influyen en la exposición. La gobernanza de la IA tampoco es un asunto exclusivo de tecnología, ya que exige criterio, ética, calidad de datos y responsabilidad gerencial. La seguridad en el trabajo no depende solo de instalaciones, porque la cultura define si las personas alertan a tiempo sobre sus preocupaciones.

Cuando los líderes delegan el problema completo en una única área, muchas veces dejan de ver las conexiones entre funciones.

Ahí los riesgos técnicos se convierten en riesgos estratégicos. Una excepción menor se acepta sin demasiadas preguntas. Un ajuste manual pasa a formar parte de la rutina. Una planilla se transforma en la fuente confiable de información. Una política describe un proceso que ya dejó de existir. Una dependencia de terceros se entiende mal.

Por separado, cada falla puede parecer chica. En conjunto, construyen una organización que descansa más en la costumbre que en el diseño.

La frase más peligrosa dentro de una empresa muchas veces no suena alarmante. Parece apenas práctica. Solo ellos saben cómo funciona. Solo la planilla lo explica. Solo esa alternativa permite que las cifras cierren.

Cuando un control depende de una persona, un archivo o una rutina informal, el riesgo ya quedó demasiado concentrado.

Lo que los líderes deberían preguntar en cambio

La solución no consiste en convertir a los altos directivos en especialistas técnicos, sino en llevarlos a formular mejores preguntas sobre el sistema.

¿La política refleja cómo se trabaja en la práctica? ¿Quién responde por el sistema completo y no solo por una tarea aislada? ¿Qué supuestos sostienen el informe? ¿Qué muestra la excepción sobre el modelo operativo? ¿La estructura resistiría si se duplicara el volumen de trabajo, si una persona clave se fuera, si un proveedor fallara o si un regulador pidiera pruebas al día siguiente?

Estas preguntas sacan a los líderes de la pasividad y los obligan a entender el funcionamiento real de la organización. También mueven la discusión del terreno de la culpa al del diseño. El punto es saber si la empresa quedó armada de tal manera que las personas competentes no dependan de la memoria, la improvisación y el trabajo invisible para sostener la operación.

Muchas compañías siguen en pie gracias a equipos capaces que compensan fallas de diseño. Recuerdan excepciones. Mantienen planillas paralelas. Buscan datos incompletos. Conectan áreas. Hacen que los sistemas funcionen pese a sus límites.

Los líderes suelen leer esa dinámica como una señal de tranquilidad. En realidad, puede ser una advertencia. Si la organización depende de una coordinación heroica, no es madura. Es vulnerable.

Por qué esto es una cuestión estratégica

El riesgo técnico se convierte en una cuestión estratégica porque el crecimiento suma complejidad.

Cuando las organizaciones se expanden, los productos se multiplican. La base de clientes aumenta. Aparecen nuevos proveedores. Se agregan sistemas recientes sobre plataformas antiguas. Los equipos cambian. Y los procesos que funcionaban en una estructura más chica empiezan a fallar sin hacer ruido.

Por eso, los líderes no deberían tratar el cumplimiento normativo, la gobernanza ni el control operativo como asuntos secundarios. Forman parte del modelo operativo y definen si el crecimiento puede sostenerse en el tiempo o si apenas luce sólido visto desde lejos.

Una empresa puede tener una estrategia fuerte y, aun así, mostrar debilidades si no logra explicar cómo controla sus riesgos clave. Puede diseñar planes de crecimiento ambiciosos y seguir expuesta si sus controles quedaron viejos. Puede contar con equipos expertos y fracasar igual si esos equipos trabajan desconectados entre sí.

Delegar no borra la responsabilidad. Solo cambia la manera en que debe ejercerse.

Los líderes no necesitan tener todas las respuestas técnicas. Sí deben construir organizaciones donde esas respuestas resulten confiables. Eso exige responsabilidades claras, datos consistentes, controles probados, una comunicación honesta para elevar problemas y rutinas capaces de detectar debilidades antes de que llegue la presión.

Los riesgos que dañan a las organizaciones rara vez aparecen ya definidos. Se acumulan en los espacios que quedan entre equipos, sistemas y supuestos. Los líderes que buscan empresas resilientes deben mirar esos espacios antes de que se conviertan en puntos débiles.

Este artículo fue publicado originalmente por Forbes.com.