Cómo la resiliencia operacional está transformando la gestión de riesgos no financieros
Hace apenas unos años, la mayoría de las organizaciones preparaba sus planes para enfrentar interrupciones individuales: una falla tecnológica, un incendio, la indisponibilidad del personal o un incidente de ciberseguridad.
Hoy ese escenario ha cambiado radicalmente.
Una misma interrupción puede combinar un evento climático extremo, la indisponibilidad de un proveedor de servicios en la nube, problemas de telecomunicaciones, restricciones para el desplazamiento del personal y, simultáneamente, un ciberataque o un fraude digital.
Lo que cambió no fue únicamente el tipo de riesgos que enfrentan las organizaciones. Cambió la forma en que esos riesgos interactúan entre sí. Esa realidad está transformando la gestión de riesgos no financieros y explica por qué la resiliencia operacional ocupa hoy un lugar prioritario en la agenda de los directorios.
Durante las últimas décadas las organizaciones fortalecieron capacidades especializadas en riesgo operacional, continuidad del negocio, seguridad de la información, ciberseguridad, riesgo tecnológico y gestión de terceros. Ese modelo continúa siendo indispensable, pero el contexto exige un paso adicional: integrar esas capacidades para proteger los servicios críticos.
La resiliencia operacional no nació porque aparecieran nuevos riesgos. Nació porque los riesgos comenzaron a interactuar entre sí.
Ese es el verdadero cambio de paradigma.
Cuando cambió el entorno, también tuvo que cambiar la gestión de riesgos
La transformación digital, la inteligencia artificial, la computación en la nube, la creciente dependencia de proveedores especializados, los eventos climáticos extremos y las tensiones geopolíticas han modificado profundamente la naturaleza de las interrupciones.
El Global Risks Report 2026 del World Economic Forum pone de relieve una tendencia especialmente relevante para las organizaciones: los riesgos ya no deben analizarse de manera aislada, sino como fenómenos crecientemente interdependientes. Un evento climático puede desencadenar interrupciones tecnológicas; una falla tecnológica puede afectar servicios críticos; y un incidente de ciberseguridad puede amplificar las consecuencias de ambos. Comprender estas interacciones es hoy tan importante como gestionar cada riesgo individualmente.
Los riesgos dejaron de ocurrir por separado. La gestión de riesgos también debe dejar de hacerlo.
El problema no eran las disciplinas. Era la gestión por silos
La especialización fortaleció la gestión de riesgos, pero muchas organizaciones continuaron administrando sus capacidades de manera independiente. En la práctica, las interrupciones relevantes rara vez responden a un único evento. La resiliencia operacional propone integrar esas capacidades alrededor de un objetivo común: asegurar la continuidad de los servicios críticos.
El verdadero cambio: de proteger procesos a proteger servicios críticos
Durante muchos años las organizaciones preguntaban: ¿qué procesos son críticos?
Hoy la pregunta es distinta: ¿qué servicios son críticos para nuestros clientes y grupos de interés?
Los clientes no experimentan procesos. Experimentan servicios.
Los marcos internacionales de resiliencia operacional centran su atención en identificar los servicios críticos, comprender sus dependencias —personas, procesos, tecnología, información, instalaciones y terceros— y definir tolerancias al impacto.
La incertidumbre no puede eliminarse. Pero la capacidad para responder a ella sí puede desarrollarse.
¿Qué significa esto para los directorios?
La resiliencia operacional deja de ser una responsabilidad exclusiva de las áreas de riesgos o tecnología. El Directorio debe comprender cuáles son los servicios críticos, aprobar las tolerancias al impacto, asegurar la integración entre las distintas capacidades y promover ejercicios que reproduzcan escenarios complejos.
El EY–IIF Global Bank Risk Management Survey 2026 confirma que la resiliencia operacional, el riesgo tecnológico y la ciberseguridad figuran entre las principales prioridades estratégicas de los Chief Risk Officers.
¿Qué significa esto para las organizaciones peruanas?
Las organizaciones peruanas cuentan con una base sólida gracias a la regulación de la SBS sobre gestión integral de riesgos, riesgo operacional, continuidad del negocio, seguridad de la información y ciberseguridad. El siguiente paso consiste en integrar estas capacidades bajo una visión común orientada a proteger los servicios críticos y contribuir al logro de los objetivos estratégicos.
La resiliencia operacional como evolución de la gestión de riesgos
Durante muchos años la gestión de riesgos respondió a una pregunta: ¿cómo reducimos nuestra exposición al riesgo?
Hoy la pregunta ha evolucionado: ¿cómo aseguramos que nuestros servicios críticos continúen disponibles cuando múltiples riesgos ocurren al mismo tiempo?
La resiliencia operacional no reemplaza la gestión de riesgos. La fortalece.
Integra capacidades existentes para responder a un entorno caracterizado por incertidumbre creciente e interdependencia entre riesgos.
Reflexión para la Alta Dirección
La incertidumbre continuará creciendo. También lo hará la velocidad del cambio.
El desafío ya no consiste en determinar si las organizaciones enfrentarán interrupciones complejas.
El verdadero reto es estar preparadas para seguir entregando los servicios de los que dependen sus clientes cuando esas interrupciones ocurran.
La resiliencia operacional constituye la respuesta organizacional a ese desafío. No reemplaza la gestión de riesgos: la integra, la fortalece y la convierte en una capacidad estratégica para proteger la confianza de los clientes y contribuir al logro de los objetivos estratégicos.
¿Quiere fortalecer la resiliencia operacional de su organización?
En GR&P Consultores ayudamos a las organizaciones a evolucionar desde modelos tradicionales de gestión de riesgos hacia modelos integrados de resiliencia operacional. Nuestro enfoque articula la gestión del riesgo operacional, la continuidad del negocio, la ciberseguridad, la gestión de riesgos de terceros y el gobierno corporativo, alineados con estándares internacionales y requerimientos regulatorios, para fortalecer la continuidad de los servicios críticos y contribuir al logro de los objetivos estratégicos.
Solicitar una reunión
