La industria financiera latinoamericana enfrenta un aumento sostenido de riesgos operacionales y cibernéticos, con expectativas crecientes de los reguladores respecto de gobernanza, resiliencia operacional y gestión de terceros. En este contexto, los directorios requieren información sintética y accionable que conecte seguridad con resultados operativos, continuidad del negocio y obligaciones supervisoras.
Marco
Apetito de riesgo vs. tolerancia:
COSO ERM define el apetito como “los tipos y cantidad de riesgo, en términos generales, que una organización está dispuesta a aceptar en la búsqueda de valor” (visión estratégica). La tolerancia traduce esa intención en límites operativos medibles, por unidad de riesgo/negocio.
El FSB detalla elementos de un Risk Appetite Framework (RAF):
Declaración de apetito, límites, roles del directorio y alta gerencia, y mecanismos de monitoreo. Esto exige trazabilidad entre objetivos, métricas y escalamiento.
KRIs como puente:
En gestión de riesgo operacional (BCBS), los Key Risk Indicators (KRIs) son métricas tempranas que alertan sobre la materialización de riesgos. Deben ser medibles, comparables y ligarse a umbrales de tolerancia; su propósito es apoyar decisiones y gestión proactiva.
Gobernanza de ciberseguridad:
NIST CSF 2.0 agrega la función GOVERN (GV) que formaliza estrategia, expectativas y políticas de gestión de riesgo cibernético, integrando seguridad con misión y stakeholders.
Operacionalización en banca:
Las guías de operational resilience de BCBS enfatizan definir tolerancias de impacto, continuidad y dependencias críticas (incl. tecnología y terceros). Esto refuerza la necesidad de KRIs y límites claros.
Marcos internacionales:
Revisando marcos internacionales (COSO ERM, FSB, NIST CSF 2.0, BCBS) y realizando un análisis documental de regulación bancaria y de pagos en distintas jurisdicciones latinoamericanas, podemos destacar extractos normativos útiles como umbrales de reporte (p. ej., tiempos de notificación), y requerimientos de KRIs/controles. Cuando la norma no fija valores numéricos de desempeño (p. ej., disponibilidad), se proponen rangos benchmark justificando su origen en prácticas prudenciales (BCBS) y en exigencias de pruebas/continuidad.
Diferencia práctica entre “apetito” y “tolerancia”
-
Apetito (estratégico): define, a nivel corporativo, la disposición a aceptar ciertos niveles de exposición para alcanzar metas (crecimiento digital, eficiencia, time-to-market). Debe ser aprobado por el directorio y ligado a objetivos y KPI.
-
Tolerancia (operativa): límites cuantitativos por dominio/servicio (p. ej., “máximo X horas de indisponibilidad en banca móvil por trimestre”, “≤Y incidentes críticos no notificados en ventana Z”, “≤N% endpoints sin parche crítico >30 días”), que disparan escalamiento y planes de acción.
KRIs y umbrales con trazabilidad regulatoria
- Incidentes: Tiempo de notificación inicial a autoridad
- Nube / Terceros: Plazo de comunicación de contratación/alteración relevante
- Gobernanza: Existencia de KRIs aprobados por directorio y reporte periódico
- Continuidad: Ejecución de pruebas periódicas de seguridad/continuidad
- Pagos: Cumplimiento de controles para los pagos electrónicos interbancarios y definiciones de ciberresiliencia
- Sectorial: Publicación/seguimiento de indicadores sectoriales
En disponibilidad, RTO/RPO, parches o MFA, la regulación regional típicamente exige procesos/controles y pruebas, pero no fija porcentajes o tiempos uniformes; deben definirse como tolerancias internas coherentes con apetito y con principios de resiliencia (BCBS).
Conectar seguridad con metas de negocio y cumplimiento (para “que la empresa se preocupe”)
-
Traducir riesgo en outcomes del negocio: pérdidas evitadas, continuidad de ingresos, cumplimiento de SLA regulatorios. NIST CSF 2.0 (GV) propone alinear expectativas y políticas con la misión; en banca, esto implica ligar KRIs a servicios importantes (onboarding digital, pagos instantáneos, canales mobile).
-
Declaración de apetito aprobada por el directorio, con mapa de riesgos por dominio (fraude, interrupción, terceros), y tolerancias por servicio (p. ej., “interrupción máxima por trimestre”, “tiempo de escalamiento a legal/comunicaciones”). Los reguladores exigen un RAF con roles claros y límites.
-
KRIs trazables a tolerancias: cada KRI debe tener fuente de datos, frecuencia y regla de escalamiento. Los BCBS recomiendan KRIs como parte de una gestión efectiva de riesgo operacional; algunos reguladores piden su cálculo documentado y reportado.
-
Cumplimiento regional como “palanca” de aceptación: tiempos y procesos de notificación, comunicación de nube, pruebas y KRIs, y publicación de indicadores convierten seguridad en deber fiduciario y de licencia operativa, fortaleciendo el caso de negocio.
Cómo reportar a dirección (estructura)
A. Portada ejecutiva.
-
Semáforo de apetito/tolerancias: % métricas dentro de rango, fuera de rango y en vigilancia.
-
Top 5 riesgos y cambios trimestrales.
-
Hechos regulatorios: incidentes reportables, inspecciones, comunicaciones a supervisor.
B. Cuerpo.
-
KRIs por dominio con tendencia (3–4 trimestres), owner y acción correctiva cuando cruza tolerancia.
-
Cumplimiento regulatorio: Argentina (incidentes), Brasil (nube), Chile (KRIs/pruebas), México (SPEI), Perú (tercerización/nube), Colombia (autoevaluaciones/indicadores SFC).
-
Dependencias críticas y tercerización (contratos en nube, exit plans, pruebas de recuperación). BCB y SBS requieren disciplina específica en nube.
-
Escenarios de resiliencia probados y resultados (BCBS).
C. Anexos (para auditoría y supervisor):
Evidencias de cálculo de KRIs bitácoras de incidentes, comunicaciones regulatorias, y registros de pruebas.
¿Dónde suelen fallar las organizaciones?
-
Declaraciones genéricas de apetito, sin límites operativos y sin KRIs trazables. Los reguladores enfatizan coherencia y roles.
-
Métricas de vanidad (actividad de SOC) sin relación con continuidad, fraude o cumplimiento. BCBS promueve indicadores que midan eficacia.
-
Tercerización sin disciplina de nube y comunicación ex post a supervisor (riesgo sancionatorio). Los reguladores fijan plazos y requiere notificación/autorización según condiciones.
Implicancias y recomendaciones
1) Formalizar el RAF y el “hilo rojo” apetito→tolerancias→KRIs.
-
Redactar una Declaración de Apetito vinculada a objetivos (crecimiento digital, eficiencia operativa, cumplimiento).
-
Traducir a tolerancias por servicio crítico (p. ej., SPEI, banca móvil, tarjetas) y por dominio (incidentes, terceros, continuidad).
-
Aprobar en directorio y integrar en NIST CSF 2.0 (GV).
2) Curar un set mínimo de KRIs con trazabilidad regulatoria.
-
Incidentes reportables, nube/terceros, continuidad, pagos. Asegurar evidencias y mecánica de escalamiento.
3) Reporting ejecutivo trimestral.
-
Portada (semáforo de apetito/tolerancias, top 5 riesgos).
-
Narrativa de resiliencia: pruebas realizadas, lecciones aprendidas, cambios en terceros, cumplimientos de notificación.
4) Disciplina de terceros y nube.
-
Mantener inventario, criterios de criticidad y comunicar. Notificar/autorizar según requisitos. Estandarizar cláusulas (acceso supervisor, portabilidad, exit).
5) Cultura y accountability.
-
Incorporar metas de ciber-resiliencia en objetivos de negocio (tiempo de recuperación, tasa de incidentes no reportados).
-
Capacitación directiva basada en escenarios y simulacros (Reguladores recomiendan pruebas periódicas).
6) Métricas de efectividad (ISO 27004).
-
Diseñar KPIs/KRIs con método de medición, línea base y metas; auditable ante supervisor.
Conclusiones
Una estrategia de ciberseguridad aceptada y financiada por dirección en banca latinoamericana requiere un RAF sólido (apetito claro) y tolerancias operativas cuantificadas, materializadas en KRIs que midan lo que importa: continuidad del negocio, cumplimiento de notificación y disciplina de terceros/nube. Los marcos COSO/FSB/NIST/BCBS proveen lenguaje y estructura, pero la operacionalización debe anclarse en los requisitos locales: incidentes, nube, KRIs, pruebas, indicadores sectoriales, ciberresiliencia y tercerización.
Un reporting ejecutivo trimestral, con KRIs trazables a tolerancias y obligaciones, permite al directorio priorizar inversiones, gestionar trade-offs y demostrar diligencia ante el supervisor.
La formación y el desarrollo profesional no son un gasto, sino una inversión estratégica que impulsa el crecimiento individual y organizacional. Priorizar la capacitación es clave para mantenerse competitivo en un entorno laboral en constante evolución.
¿Te has preguntado cómo gestionar eficazmente estos riesgos?
¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación.
Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
