Hace algunos años, la mayoría de las organizaciones concentraba sus esfuerzos en gestionar riesgos financieros. Hoy, muchas de las mayores pérdidas económicas, interrupciones operativas y crisis reputacionales tienen su origen en riesgos no financieros.
Ciberataques, fallas de terceros críticos, incumplimientos regulatorios, interrupciones tecnológicas o decisiones erróneas derivadas del uso de inteligencia artificial están redefiniendo la agenda de riesgos de directorios y gerencias.
¿Está preparada su organización para enfrentar este nuevo entorno?
Desde la experiencia observada en distintos sectores, estos son algunos de los desafíos más relevantes de la gestión de riesgos no financieros en 2026.
1. Transformación digital e Inteligencia Artificial
La adopción acelerada de tecnologías digitales y herramientas de inteligencia artificial está generando mejoras operativas y nuevas oportunidades de negocio, pero también nuevos riesgos. Las organizaciones deben gestionar aspectos como la seguridad de la información, la privacidad de los datos, los sesgos algorítmicos, la transparencia y la capacidad de justificar las decisiones generadas por la inteligencia artificial, la protección de la propiedad intelectual y el cumplimiento regulatorio.
La inteligencia artificial generativa, en particular, está creando una nueva categoría de riesgos relacionados con la generación de información inexacta o no confiable, ‘deepfakes’, ingeniería social automatizada, dependencia de proveedores tecnológicos y toma automatizada de decisiones.
Cómo abordarlo: Incorporar la gestión de riesgos de IA desde el diseño de los proyectos tecnológicos, estableciendo taxonomías específicas, evaluaciones de impacto y controles sobre los modelos en uso. El modelo de gobierno de la IA debe integrarse al marco general de riesgos, no tratarse como una iniciativa aislada de TI.
2. Resiliencia operacional
Las organizaciones dependen cada vez más de proveedores tecnológicos, servicios en la nube y ecosistemas digitales interconectados, lo que incrementa su exposición ante interrupciones que pueden originarse fuera de sus propios límites.
Cómo abordarlo: Fortalecer el modelo de continuidad de negocios con un enfoque de resiliencia operacional ‘end-to-end’: identificar los procesos y servicios críticos, definir estrategias de recuperación realistas, actualizar los planes periódicamente y validarlos mediante pruebas y simulacros.
La resiliencia no se declara; se prueba.
3. Ciberseguridad
El aumento de ataques de ‘ransomware’, fraude digital e incidentes en la cadena de suministro tecnológica obliga a las organizaciones a reforzar sus capacidades de prevención, detección y respuesta ante un panorama de amenazas en constante evolución.
Cómo abordarlo: Adoptar un enfoque basado en riesgos, alineado con marcos como ISO 27001 o NIST CSF, priorizando los activos críticos y desarrollando capacidades efectivas de respuesta ante incidentes. La ciberseguridad efectiva combina tecnología, procesos y cultura.
4. Gestión de riesgo de terceros y proveedores
La externalización de procesos clave y la dependencia de proveedores críticos exponen a las organizaciones a riesgos que muchas veces se encuentran fuera de su control directo.
Los reguladores esperan cada vez más evidencia de que estos terceros estén identificados, evaluados y monitoreados de manera sistemática.
Cómo abordarlo: Implementar un modelo de gobierno de terceros que incluya segmentación por criticidad, ‘due diligence’ estructurado, monitoreo continuo y planes de contingencia ante posibles fallas.
El riesgo de un proveedor crítico es, en la práctica, el riesgo de la propia organización.
5. Presión regulatoria creciente
Las organizaciones deben demostrar una gestión efectiva de riesgos operacionales, cumplimiento normativo, protección de datos, PLAFT, seguridad de información, ciberseguridad, continuidad de negocios y programas de integridad.
En el Perú y otros mercados de la región, los reguladores continúan elevando sus expectativas respecto del modelo de gobierno y la efectividad de los sistemas de control.
Cómo abordarlo: Mapear los requerimientos regulatorios aplicables y traducirlos en controles concretos, con evidencia objetiva y reportes ejecutivos que permitan demostrar cumplimiento efectivo.
La clave está en evolucionar desde una gestión reactiva hacia una gestión preventiva y proactiva, capaz de identificar riesgos y requerimientos regulatorios antes de que generen impactos para la organización.
6. Cultura de riesgos
Muchas organizaciones cuentan con metodologías, políticas y herramientas adecuadas, pero enfrentan dificultades para que la gestión de riesgos forme parte de las decisiones cotidianas.
Cómo abordarlo: Trabajar la cultura desde tres frentes complementarios: liderazgo visible de la Alta Dirección, programas de sensibilización adaptados a cada área y mecanismos que incentiven comportamientos alineados con la gestión de riesgos.
La cultura se construye con ejemplos, no con políticas.
7. Integración de los riesgos no financieros bajo una visión común
La fragmentación de iniciativas genera duplicidades, ineficiencias y una comprensión limitada de las exposiciones reales de la organización.
Las organizaciones más maduras ya no gestionan de forma independiente el riesgo operacional, la continuidad de negocios, la ciberseguridad, el cumplimiento, PLAFT o los riesgos de terceros. Están evolucionando hacia modelos integrados de riesgos no financieros que permiten comprender mejor las interdependencias y priorizar las decisiones de manera más efectiva.
Asimismo, la calidad, integridad y trazabilidad de los datos se están convirtiendo en factores críticos para la efectividad de estos modelos y para la toma de decisiones basada en información confiable.
Cómo abordarlo: Diseñar un modelo integrado de riesgos no financieros con una taxonomía común, metodologías consistentes y un modelo de reporte ejecutivo consolidado que permita a la Alta Dirección contar con una visión integral de sus exposiciones.
La integración no es un proyecto tecnológico; es un ejercicio de gobierno y liderazgo.
La pregunta que realmente importa
La pregunta ya no es si las organizaciones deberán gestionar riesgos no financieros más complejos. La verdadera pregunta es qué tan preparadas están para hacerlo de manera integrada, consistente y alineada con sus objetivos estratégicos.
Aquellas organizaciones que desarrollen capacidades sólidas de gestión de riesgos, resiliencia operacional y gobierno corporativo estarán mejor posicionadas para proteger sus operaciones, fortalecer la confianza de sus grupos de interés y generar valor sostenible en el largo plazo.
¿Cuál de estos desafíos representa hoy la mayor preocupación para su organización?
¿Quiere fortalecer la gestión de riesgos de su organización?
En GR&P Consultores ayudamos a organizaciones del sector financiero, empresas de servicios e instituciones multilaterales a desarrollar modelos de gestión de riesgos no financieros alineados con estándares internacionales, requerimientos regulatorios y objetivos estratégicos.
Solicitar una reunión
