En el sistema financiero latinoamericano, el Riesgo Operacional dejó de ser un asunto “de soporte” o un tema exclusivo del área de Riesgos.
Hoy se trata de un riesgo de continuidad, reputación y supervivencia, con impacto directo en resultados, confianza del mercado y estabilidad del negocio.
El punto de inflexión es claro: más digitalización, más tercerización, más ataques cibernéticos, mayor dependencia tecnológica y mayor escrutinio regulatorio. En ese contexto, el Directorio no puede conformarse con reportes genéricos ni con políticas “correctas” en papel.
La pregunta relevante pasó a ser otra: ¿la organización está preparada para resistir y recuperarse de una interrupción crítica sin comprometer capital, clientes y reputación?
Este artículo presenta las principales actualizaciones de enfoque en la región y propone un checklist de exigencias concretas para Directorios y Alta Gerencia.
1. Qué cambió en el enfoque regional del Riesgo Operacional
- a) Del “control” a la “resiliencia”
Históricamente, la gestión del riesgo operacional se apoyó en herramientas como matrices de riesgo, RCSA (Risk and Control Self-Assessment), mapas de procesos, controles y auditorías. Todo eso sigue siendo necesario, pero ya no alcanza.
Ahora el foco se mueve a la capacidad de resistencia y recuperación frente a eventos reales: indisponibilidad de canales digitales, ransomware, caída de proveedores críticos, errores masivos en procesamiento, fraude interno y fallas de infraestructura. El objetivo dejó de ser “cumplir con un control” y pasó a ser asegurar continuidad de los servicios críticos.
- b) Tecnología y ciber ya no son “un riesgo aparte”
En la práctica, la mayor parte de los incidentes operacionales relevantes tienen componente tecnológico: interrupciones de sistemas, fallas de cambios, vulnerabilidades, accesos indebidos, degradación de performance, dependencia de plataformas externas, entre otros.
Por eso, los marcos modernos integran:
- - Riesgo Operacional + Riesgo Tecnológico,
- - Riesgo Operacional + Ciberseguridad,
- - Riesgo Operacional + Continuidad del Negocio,
- - Riesgo Operacional + Gestión de Terceros (TPRM: Third Party Risk Management).
- c) Terceros críticos: el eslabón más débil
Las entidades financieras tercerizan cada vez más: cloud, fintechs, procesamiento, contact centers, desarrollos, infraestructura, ciberservicios, data analytics. Esto amplía capacidades, pero también traslada riesgo.
El punto clave es que la interrupción del proveedor se convierte en interrupción del banco. Por eso, el Directorio debe pedir evidencia sobre:
- - Criticidad del proveedor,
- - Concentración (dependencia excesiva),
- - Acuerdos de niveles de servicio (SLA),
- - Continuidad del proveedor,
- - Planes de salida (exit plans),
- - Pruebas conjuntas (simulacros).
- d) Datos de pérdidas operacionales: más exigencia y trazabilidad
La región está reforzando la disciplina sobre eventos y pérdidas operacionales:
- - Mayor formalización del registro,
- - Mmejor trazabilidad del evento a causa raíz,
- - Rrelación con controles fallidos,
- - Acciones correctivas con responsables y plazos,
- - Consistencia de clasificación.
En términos ejecutivos: si no está en datos, no existe. Y si existe, debe tener dueño, explicación y plan.
2. Qué debería mirar un Directorio (y qué ya no debería aceptar)
Un Directorio efectivo en riesgo operacional no administra incidentes: administra capacidad organizacional. Para eso, necesita indicadores simples, consistentes y accionables.
Lo que ya no alcanza
- - Reportes que describen actividades (“se hicieron talleres”, “se revisaron procesos”) sin métricas de eficacia.
- - Matrices de riesgo sin evidencia de controles probados.
- - “Semáforos” sin criterios claros.
- - Planes de continuidad que no se testean.
- - Gestión de terceros basada solo en contratos, sin monitoreo real.
Lo que sí debería exigirse
- - Métricas de desempeño y riesgo (KPIs y KRIs) con límites y escalamiento.
- - Evidencia de pruebas: simulacros, ejercicios, restauraciones, DRP (Disaster Recovery Plan).
- - Gestión integrada: tecnología + ciber + continuidad + terceros.
- - Reporte de pérdidas y “near misses” (casi incidentes).
- - Acciones correctivas con fechas, responsables y seguimiento.
3. Los 6 temas que deberían estar en agenda 2026
a) Servicios críticos y tolerancias definidas
El Directorio debería solicitar un mapa de servicios críticos (no solo procesos) y definir tolerancias:
- - Tiempo máximo de interrupción aceptable,
- - Degradación de servicio aceptable,
- - Volumen mínimo de transacciones a sostener,
- - Impacto máximo tolerable en clientes y reputación.
Sin tolerancias, no hay norte. Y sin norte, no hay priorización.
b) KRIs de riesgo operacional con límites reales
Los KRIs deben anticipar problemas, no describirlos después. Ejemplos típicos:
- -Indisponibilidad de canales (tiempo y frecuencia),
- -Fallas en cambios productivos,
- -Incidentes ciber (intentos, eventos confirmados, tiempos de contención),
- - Rotación en áreas críticas,
- - Concentración en proveedores,
- - Bbacklog de vulnerabilidades críticas,
- - Brechas de segregación de funciones (SoD: Segregation of Duties).
El Directorio debería pedir no solo “el indicador”, sino:
- - Límite (umbral),
- - Gatillo de escalamiento,
- - Plan de respuesta,
- - Responsable.
c) Base de eventos y pérdidas: integridad + causa raíz
No es suficiente registrar pérdidas. Hay que entender:
- - Qué pasó,
- - Por qué pasó,
- - Qué control falló,
- - Cómo se evita que se repita,
- - Qué aprendió la organización.
Además, el Directorio debería recibir un Top 10 de eventos y causas raíz por trimestre, con tendencia.
d) Terceros: criticidad, continuidad, concentración y salida
Para proveedores críticos, el Directorio debería exigir:
- - Inventario y clasificación por criticidad,
- - Evaluación de riesgos previa y continua,
- - Monitoreo de performance y SLA,
- - Evidencias de continuidad del proveedor,
- - Planes de salida probados o, al menos, diseñados y financiados.
e) Pruebas de resiliencia: tabletop + técnicas + integradas
Una entidad madura no “declara” que puede recuperarse: lo prueba.
El Directorio debería pedir evidencia de:
- - Ejercicios de mesa (tabletop) para crisis y ciber,
- - Pruebas técnicas de recuperación (restauración),
- - Pruebas de continuidad operativa (procesos),
- - Pruebas integradas con terceros críticos.
f) Conexión entre riesgo operacional, estrategia y capital
La Alta Gerencia y el Directorio deben asegurar que el Riesgo Operacional no quede “aislado”. Debe conectarse con:
- - Decisiones de inversión tecnológica,
- - Decisiones de tercerización,
- - Estrategia digital,
- - Apetito de riesgo, y cuando aplique
- - Planificación de capital (visión prudencial).
4. Un modelo simple de reporte trimestral para Directorio (recomendado)
Para evitar reportes extensos y poco útiles, el Directorio puede solicitar un “paquete ejecutivo” de 1 a 3 páginas:
Página 1 – Tablero de control
- - Top 10 KRIs (con tendencia y límites).
- - Semáforo con criterios publicados.
- - Incidentes críticos del período (máximo 5).
- - Estado de acciones correctivas críticas.
Página 2 – Pérdidas y eventos
- - Pérdidas por categoría (fraude interno, procesos, tecnología, terceros, etc.),
- - “near misses” relevantes,
- - Causa raíz y control asociado.
Página 3 – Resiliencia
- - Pruebas realizadas (qué, cuándo, resultado),
- - Brechas encontradas,
- - Plan y fecha de remediación.
5. Conclusión: el Riesgo Operacional es gobernanza, no burocracia
En 2026, el Riesgo Operacional se define por un criterio sencillo: capacidad de sostener el negocio cuando algo sale mal. Las entidades que gestionen esta agenda desde el Directorio no solo reducen pérdidas y sanciones. También fortalecen su reputación, su resiliencia y su competitividad.
El desafío no es “tener un sistema”. El desafío es que el sistema funcione cuando se lo necesita.
IBEE acompaña a Directorios, Alta Gerencia y equipos de riesgo con programas ejecutivos enfocados en:
- - Riesgo Operacional moderno (integrado con tecnología y ciber),
- - Continuidad del Negocio (ISO 22301),
- - Gestión de Riesgos (ISO 31000),
- - Compliance y sistemas de gestión (ISO 37301 / ISO 37001),
- - Gobierno corporativo con enfoque basado en riesgos.
¿Querés dar el siguiente paso?
Explora nuestro Diplomado en Gestión de Riesgos No Financieros, donde profundizamos en Riesgo Operacional, IA, ciberseguridad, cumplimiento, continuidad operativa y sostenibilidad. Un programa práctico, estratégico y alineado con estándares internacionales.
La formación y el desarrollo profesional no son un gasto, sino una inversión estratégica que impulsa el crecimiento individual y organizacional. Priorizar la capacitación es clave para mantenerse competitivo en un entorno laboral en constante evolución.
¿Te has preguntado cómo gestionar eficazmente estos riesgos?
¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación.
Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
