Durante muchos años, las reuniones sobre riesgos estuvieron centradas en temas regulatorios, controles internos y cumplimiento normativo. Hoy, ese enfoque resulta insuficiente para enfrentar un entorno caracterizado por una creciente incertidumbre, aceleración tecnológica e interdependencia entre riesgos.

El estudio EY/IIF Global Bank Risk Management Survey 2026, elaborado a partir de entrevistas con Chief Risk Officers (CRO) de instituciones financieras de distintos países, refleja claramente este cambio de paradigma. Uno de los participantes resume esta transformación con una frase que invita a la reflexión:

"Antes, las reuniones sobre riesgos estaban dominadas por asuntos regulatorios. Hoy son conversaciones estratégicas sobre la organización y sobre cómo impulsar su crecimiento."

¿Qué significa este cambio?

Que la función de riesgos ha dejado de concentrarse exclusivamente en el cumplimiento y el control para participar cada vez más en decisiones relacionadas con la estrategia, la transformación digital, la resiliencia y el crecimiento sostenible. En otras palabras, la gestión de riesgos está evolucionando desde una función de supervisión hacia una capacidad que fortalece la toma de decisiones.

Aunque el estudio se desarrolló en instituciones financieras, las conclusiones a las que llega resultan aplicables a organizaciones de diferentes sectores. La creciente digitalización, la dependencia de terceros, el uso intensivo de tecnologías emergentes y un entorno regulatorio cada vez más exigente están redefiniendo la forma en que las organizaciones gestionan sus riesgos y fortalecen su capacidad de adaptación.

La pregunta, entonces, no es si la gestión de riesgos ha cambiado.

La verdadera pregunta es si la agenda del directorio ha evolucionado al mismo ritmo.

Cuando la información de riesgos llega demasiado tarde

En la mayoría de las organizaciones, el directorio recibe periódicamente reportes sobre riesgos, controles, auditorías e indicadores. Sin embargo, con frecuencia esa información describe eventos ya ocurridos, evidencia el cumplimiento de obligaciones regulatorias o presenta matrices que, con el paso del tiempo, dejan de ser una herramienta útil para la toma de decisiones.

Una gestión de riesgos que aspire a generar valor debe ofrecer algo diferente: escenarios prospectivos, indicadores tempranos, análisis de tendencias y una comprensión clara de cómo los riesgos podrían afectar el cumplimiento de los objetivos estratégicos.

Esta necesidad resulta especialmente relevante si se considera la velocidad con la que está cambiando el entorno de riesgos. Según el estudio EY/IIF 2026, el 86 % de los CRO identifica los riesgos de ciberseguridad y tecnología entre las principales prioridades para los próximos doce meses. Asimismo, el 59 % destaca el fraude digital y el 43 % los riesgos asociados a delitos financieros como áreas prioritarias de atención.

Los riesgos evolucionaron.

La pregunta es si la información que recibe el directorio evolucionó con ellos.

Los riesgos no financieros no se materializan de forma aislada

Uno de los principales desafíos para los directorios consiste en comprender que los riesgos no financieros rara vez se presentan de manera independiente. Se conectan, se amplifican y terminan afectando los mismos objetivos estratégicos.

Un incidente cibernético interrumpe procesos críticos → esa interrupción impide la prestación de servicios → la indisponibilidad genera incumplimientos regulatorios → afecta la experiencia del cliente → el daño reputacional erosiona la confianza de clientes, inversionistas y reguladores → y todo ello termina impactando los resultados financieros.

Lo importante no es únicamente la ocurrencia de un riesgo individual, sino la forma en que distintos riesgos interactúan entre sí y amplifican sus consecuencias.

Ese es precisamente el riesgo de gestionar los riesgos en silos.

Cuando cada disciplina —riesgo operacional, ciberseguridad, continuidad de negocios, cumplimiento o gestión de terceros— trabaja de forma independiente, la organización pierde la capacidad de comprender cómo una misma situación puede desencadenar múltiples impactos sobre la estrategia.

El verdadero desafío del directorio

La principal responsabilidad del directorio no consiste en revisar un mayor número de indicadores ni en recibir reportes más extensos.

Consiste en asegurar que la organización disponga de información que le permita comprender cuáles son los principales factores de riesgo que podrían comprometer el logro de sus objetivos estratégicos, anticipar riesgos emergentes antes de que se materialicen y entender cómo interactúan los riesgos tecnológicos, operacionales, regulatorios y de terceros para definir la exposición real de la organización.

Como señala uno de los CRO entrevistados en el estudio de EY/IIF:

"El rol ya no es únicamente el de Chief Risk Officer; es el de Chief Uncertainty Officer."

La incertidumbre se ha convertido en una variable estratégica que condiciona las decisiones de negocio. Gestionar riesgos significa, ante todo, ayudar a la organización a comprender esa incertidumbre antes de que se convierta en una crisis.

Esta visión coincide con los principios promovidos por ISO 31000 y COSO Enterprise Risk Management (ERM), que plantean que la gestión de riesgos debe integrarse con la estrategia, el gobierno corporativo y la toma de decisiones. En el Perú, este enfoque también se refleja en la regulación emitida por la Superintendencia de Banca, Seguros y AFP (SBS) y la Superintendencia del Mercado de Valores (SMV) para las entidades bajo su supervisión.

La información que el directorio necesita para decidir

La gestión de riesgos genera su mayor valor cuando deja de limitarse al control y comienza a mejorar la calidad de las decisiones estratégicas.

Es en ese momento cuando se convierte en una capacidad que fortalece la resiliencia organizacional y contribuye al logro sostenible de los objetivos del negocio.

El desafío del directorio ya no consiste únicamente en reconocer que existen riesgos relevantes para la organización. Consiste en asegurar que dispone de la información necesaria para identificar oportunamente los riesgos que podrían comprometer el logro de los objetivos estratégicos, comprender sus posibles impactos y tomar decisiones antes de que esos riesgos se materialicen.

¿El directorio de tu organización recibe información que realmente fortalece la toma de decisiones estratégicas o continúa recibiendo principalmente reportes orientados al cumplimiento?

¿Quiere fortalecer la gestión de riesgos de su organización?

En GR&P Consultores ayudamos a organizaciones del sector financiero, empresas de servicios e instituciones multilaterales a desarrollar modelos de gestión de riesgos no financieros alineados con estándares internacionales, requerimientos regulatorios y objetivos estratégicos.

Solicitar una reunión