De principio a obligación: la sostenibilidad pasa a ser eje de la gobernanza bancaria

La consulta de la EBA se cierra el 7 de noviembre, pero su efecto ya se deja sentir en los bancos: departamentos de riesgos, cumplimiento normativo y auditoría interna trabajan contrarreloj para reescribir estructuras, métricas y procesos que hasta ahora trataban la sostenibilidad como un apéndice voluntario.

La reforma propuesta no es un mero retoque semántico. Se trata de la primera vez que un supervisor prudencial de ámbito europeo exige que la identificación, medición y seguimiento de los riesgos ASG figure explícitamente en la declaración de apetito de riesgo y, por extensión, en las obligaciones fiduciarias de los consejos de administración.

El borrador EBA/CP/2025/20, parte de una constatación contundente: los riesgos ASG pueden activar, amplificar o desencadenar los riesgos tradicionales, desde el crédito hasta el operativo, por tanto, deben formar parte indisoluble de la estrategia de negocio y del control interno.

Todo esto anticipa un nuevo paradigma. Si en 2021 las directrices de la EBA introducían la sostenibilidad como principio orientador, la versión de 2025 la convierte en requisito operativo y prueba de fuego de la cultura de riesgos.

A partir de ahora, hablar de solidez bancaria en Europa significará también demostrar que la institución está preparada para los choques reputacionales, regulatorios y financieros que se derivan de ignorar (o subestimar) los factores ASG.

NOTICIAS RELACIONADAS
– La banca avanza hacia un negocio responsable
– Naturaleza y finanzas: un vínculo crucial para el futuro de la economía global

Una gobernanza con apellidos ASG

La EBA quiere que la sostenibilidad deje de ser un concepto etéreo y se plasme primero en organigramas, luego en responsabilidades y, finalmente, en rendición de cuentas.

La primera exigencia que formula es dotar a cada banco de un mapa exhaustivo de funciones: un repositorio único que documente, con nombres y apellidos, qué persona decide, supervisa y responde por cada control y cada línea de negocio. El documento (obligatorio en todos los niveles del grupo) debe detallar los flujos de información, justificar cualquier solapamiento de tareas y mantenerse siempre actualizado para el supervisor.

A partir de esa cartografía, la autoridad pide cultivar una cultura de riesgos capaz de permear toda la plantilla. El borrador describe sus cuatro pilares: ejemplo desde la alta dirección, responsabilidad individual, comunicación abierta que permita cuestionar decisiones sin represalias y un esquema de incentivos alineado con el apetito de riesgo. Añade, además, igualdad, diversidad e inclusión como salvaguarda frente a una visión sesgada de los riesgos.

En cuanto a la estructura formal, el texto blinda la independencia del comité de riesgos: en los bancos sistémicos y significativos deberá contar con mayoría de consejeros independientes y, siempre que sea posible, estar presidido por un miembro que no encabece ningún otro comité. El comité de riesgos debe aportar información sobre factores ASG, mientras que los miembros del comité de remuneraciones han de demostrar conocimientos específicos para evaluar su impacto y vincular los objetivos climáticos y sociales a la política salarial.

También, se regula la presencia real en territorio europeo, lo que la EBA denomina “sustancia suficiente”. Una filial o sucursal de un país tercero no puede operar como una “entidad cáscara” (una sociedad que existe sólo en el papel, sin “mente ni gestión efectivas” en la UE) ni como “entidades buzón” (un mero buzón para transferir negocio y riesgos a la matriz). Para evitarlo, las directrices exigen al menos dos personas con poder de decisión radicadas en el Estado miembro, recursos propios, control sobre los proveedores críticos y capacidad para gestionar los riesgos que se externalicen.

Relacionado con lo anterior, el supervisor limita las operaciones de back-to-back booking (cuando una sucursal registra operaciones que inmediatamente se “reflejan” en la matriz, de modo que el riesgo permanece allí mientras el balance queda en la UE) y ordena que aquellas con nexo europeo se gestionen y cubran localmente. De lo contrario, la entidad corre el riesgo de ser considerada una “entidad cáscara” y de perder la autorización.

Tres líneas de defensa recargadas

El borrador de la EBA recupera el conocido modelo de las tres líneas de defensa, pero lo refuerza con requisitos que van bastante más allá de la práctica habitual.

El texto aclara que el modelo no es una recomendación voluntaria: queda formalmente incrustado en las obligaciones que impone la Directiva de Requisitos de Capital y, por tanto, en el perímetro del control supervisor.

En la primera línea de defensa recaen las unidades de negocio y, de forma expresa, los departamentos transversales (recursos humanos, asesoría jurídica y tecnología de la información) a los que el borrador atribuye la gestión operativa cotidiana de los riesgos. Estos equipos deben implantar procesos y controles propios que les permitan identificar los riesgos, mantenerlos dentro de los límites fijados en la declaración de apetito de riesgo y cumplir tanto la normativa externa como las políticas internas.

Además, el texto recuerda que tales funciones se exponen, ante todo, a riesgos operativos y reputacionales, de ahí que su sistema de controles deba estar preparado para documentar y justificar las decisiones ante el supervisor en cualquier momento.

La segunda línea (formada por las funciones de gestión de riesgos y de cumplimiento normativo) recibe un mandato más amplio y, sobre todo, más visible. El borrador exige que ambas sean independientes de las áreas de negocio, dispongan de suficientes recursos financieros y humanos y tengan acceso directo al consejo en su función de supervisión.

Además, se abre la puerta a crear funciones de control especializadas que trabajen bajo el mismo paraguas de la segunda línea. Su tarea consiste en elaborar una visión holística de los riesgos, retar a la primera línea cuando los controles sean insuficientes y, llegado el caso, ordenar la modificación de los sistemas de gestión.

La tercera línea, la auditoría interna, deja de centrarse en la fiabilidad de los estados financieros para convertirse en garante de la eficacia global del sistema, incluidos los marcos ASG y la resiliencia digital. Según el análisis publicado por Accountancy Ireland, se prevé que los equipos de auditoría pasarán a revisar, con total independencia, la solidez de los datos de sostenibilidad, el gobierno de la inteligencia artificial, la gestión del riesgo de terceros y la adecuación de los controles frente al blanqueo de capitales.

El trasfondo común a las tres líneas es la exigencia de independencia, dotación suficiente y acceso al máximo órgano de gobierno. La EBA subraya que todos los controles quedan, en última instancia, bajo la responsabilidad del consejo de administración, que deberá demostrar al supervisor que cada línea cumple su cometido sin solapamientos ni zonas de sombra.

El resultado es una arquitectura de defensa que, lejos de limitarse a evitar errores contables, se convierte en la columna vertebral de la solvencia, la sostenibilidad y la confianza pública en el sistema bancario europeo.