Crear cuenta gratis
Crear cuenta gratis

Madurez regulatoria en Costa Rica: guía completa

El sistema financiero costarricense opera bajo cuatro niveles de madurez regulatoria que determinan qué puede demostrar una entidad ante SUGEF: desde la gestión informal hasta el cumplimiento verificable en tiempo real. En 2024, tres entidades intervenidas formalmente tenían algo en común: gestionaban el riesgo, pero no podían demostrarlo.

Este especial responde dos preguntas que los marcos normativos no abordan directamente: en qué nivel de madurez regulatoria está tu entidad hoy y cuál es el costo real de no avanzar. No son preguntas teóricas.

En 2024, el CONASSIF intervino Coopeservisores. Ese mismo año, Desifyn, Coopeamistad y Coopelecheros enfrentaron procesos formales con consecuencias directas para sus ahorrantes e inversionistas. El denominador común no fue la ausencia de normativa ni la mala fe de sus directivos. Fue la incapacidad de demostrar una gestión de riesgos que, en muchos casos, sí existía pero no tenía la estructura necesaria para resistir el escrutinio del regulador.

¿Qué caracteriza a una entidad en cada nivel de madurez regulatoria?

No todas las entidades del sistema financiero costarricense están en el mismo lugar frente al nuevo estándar post-OCDE. El patrón que se observa de forma consistente —tanto en Costa Rica como en otros países de la región que han atravesado procesos similares de alineación con estándares internacionales— define cuatro niveles. Identificar en cuál está tu entidad hoy es el primer paso para entender qué está en juego y qué se necesita para avanzar.

Nivel Nombre Características clave
Nivel 1 Gestión informal Sin procesos documentados. Depende del conocimiento personal de las personas clave.
Nivel 2 Cumplimiento documental Documentos en orden, pero no conectados con la operación real. Falsa sensación de seguridad.
Nivel 3 Gestión estructurada Sistemas formales con KRIs, matrices y reportes periódicos. Falta integración entre áreas.
Nivel 4 Demostrable en tiempo real Una sola plataforma integrada. Evidencia disponible al instante. Cumplimiento como activo.

 

Nivel 1 · Gestión informal

Una entidad en el Nivel 1 no carece necesariamente de personas competentes ni de buena intención. Lo que le falta es estructura. La gestión del riesgo vive en la experiencia acumulada de quienes llevan años en la organización, en conversaciones informales, en decisiones que se toman correctamente pero que nadie documenta.

El KYC existe porque el oficial que atiende a los clientes los conoce de años, no porque haya una metodología de riesgo documentada. Las matrices de riesgo aparecen en carpetas que se actualizan antes de cada visita de supervisión y luego vuelven a dormir hasta la próxima.

¿Quién suele estar en el Nivel 1?

  • Cooperativas de ahorro y crédito de menor tamaño
  • Profesiones no financieras que son sujetos obligados bajo la Ley 7786
  • Financieras que operan en mercados locales con poca presión histórica de supervisión
  • Departamentos específicos de entidades más grandes con integración mínima al sistema de gestión

La vulnerabilidad fundamental ante el regulador

Cuando SUGEF o la UIF llegan y piden evidencia, el tiempo de respuesta se mide en días y la información que se produce está reconstruida, no registrada. Esa diferencia es perceptible para cualquier supervisor experimentado y, en el contexto del Acuerdo SUGEF 24-22, tiene consecuencias directas sobre la calificación institucional.

Nivel 2 · Cumplimiento documental

El Nivel 2 es el más común entre entidades que han invertido en cumplimiento pero que aún no han dado el salto hacia una gestión real. Tienen políticas de riesgo aprobadas por la junta directiva, matrices de riesgo formalmente elaboradas, un manual de prevención de lavado de activos y, en muchos casos, un oficial de cumplimiento designado. El problema es que todo eso vive en documentos que no están conectados con la operación real.

Las señales de alerta del Nivel 2

  • Los KRIs existen en papel pero no generan alertas
  • Las matrices se actualizan una vez al año, no de forma continua
  • Los controles están descritos pero no tienen evaluación de efectividad ni historial de monitoreo
  • El oficial de cumplimiento puede enviar reportes a la UIF, pero reconstruir el histórico tarda días
  • La junta directiva aprueba el apetito al riesgo en la sesión anual, pero no recibe información continua sobre el estado real del sistema

Nivel 3 · Gestión estructurada

Las entidades en el Nivel 3 han dado el salto más importante: tienen sistemas formales, no solo documentos. Las matrices de riesgo se actualizan de forma periódica con un responsable asignado. Los KRIs tienen umbrales definidos y cuando se superan, alguien lo sabe. El inventario de activos de información existe y está clasificado por criticidad. Los reportes a la alta gerencia se generan con regularidad.

El reto del Nivel 3: la integración

Los sistemas que gestionan el riesgo operativo, la seguridad de la información, el cumplimiento normativo y la auditoría interna frecuentemente no comparten datos. Cuando el regulador pide una visión consolidada, hay que cruzar información de herramientas distintas, y ese proceso tarda y a veces genera inconsistencias.

El Nivel 3 es donde los estándares IIA, COSO ERM y la lógica del Acuerdo 24-22 define el mínimo esperado para entidades que quieren mantener una calificación sólida. La mayoría de los bancos y financieras costarricenses más grandes se encuentran aquí o en la transición hacia él. El salto al Nivel 4 no requiere más conocimiento regulatorio: requiere integración tecnológica.

Nivel 4 · Cumplimiento demostrable en tiempo real

El Nivel 4 es donde el cumplimiento deja de ser un esfuerzo periódico y se convierte en un estado continuo. Los cinco sistemas de gestión —riesgos operativos, seguridad de la información, prevención LAFT, cumplimiento normativo y auditoría— comparten datos en una sola plataforma.

¿Qué cambia en el Nivel 4?

  • Alertas cruzadas: un evento de pérdida en el sistema operativo actualiza automáticamente el estado de los controles relacionados
  • Reportes inmediatos: los informes para SUGEF, la UIF o el CONASSIF se generan en minutos, no en días
  • Junta directiva informada en tiempo real: dashboards actualizados, no información reconstruida para cada sesión
  • Auditoría sobre evidencia real: no sobre documentación preparada para la visita
  • Historial completo: cualquier indicador, control u obligación normativa desde el primer día de operación del sistema

El costo real de quedarse en los niveles 1 y 2

El costo de no avanzar en madurez regulatoria no es abstracto. En 2024, el sistema financiero costarricense tuvo un año particularmente duro que dejó lecciones que no se pueden ignorar.

Lo que está en juego bajo el Acuerdo SUGEF 24-22

El Acuerdo SUGEF 24-22 vincula directamente la calificación institucional con la calidad demostrable del sistema de gestión de riesgos. Las consecuencias escalan en severidad:

  • Nivel leve: mayor frecuencia de visitas de supervisión y requerimientos adicionales de información
  • Nivel intermedio: restricciones operativas y mayores requerimientos de capital, lo que impacta la capacidad de crecer y competir
  • Nivel severo: el CONASSIF puede intervenir la entidad —como ocurrió con Coopeservisores— con consecuencias desde la sustitución de la administración hasta la liquidación
  • El artículo 155 de la Ley 7558 tipifica sanciones específicas para obstaculizar la supervisión, alterar registros o presentar información falsa o incompleta

Para bancos con presencia internacional, hay una dimensión adicional: las contrapartes, los bancos corresponsales y los inversionistas institucionales consultan las calificaciones SUGEF antes de establecer relaciones. Una calificación deteriorada puede cerrar puertas en mercados donde los controles reputacionales son tan importantes como los regulatorios.

El costo específico bajo la Ley 7786

Para entidades financieras y sujetos obligados fuera del sistema bancario, la Ley 7786 tiene un régimen de sanciones que muchos desconocen. La UIF del ICD puede imponer multas, suspender actividades y —en los casos más graves— inhabilitar el ejercicio profesional. El artículo 84 establece sanciones para quienes incumplan las obligaciones de reporte, con una tendencia desde la adhesión a la OCDE hacia una aplicación más estricta y sistemática.

Para las profesiones no financieras, el riesgo es particularmente inmediato: el nivel de cumplimiento formal en ese segmento es bajo y el margen de justificación ante una visita es mínimo. Un notario que gestiona el KYC de sus clientes de memoria, sin metodología documentada y sin registro de operaciones inusuales, no tiene defensa técnica ante la UIF —por más que en la práctica haya actuado con diligencia. La evidencia que no existe no puede presentarse.

El precedente regional que Costa Rica no puede ignorar

En junio de 2025, el Departamento del Tesoro de Estados Unidos sancionó a tres instituciones financieras mexicanas —CIBanco, Intercam y Vector— por deficiencias sistémicas en sus controles antilavado que presuntamente permitieron el flujo de fondos vinculados al tráfico de fentanilo. La sanción no vino de la CNBV mexicana: vino de una autoridad extranjera, bajo la Ley FEND Off Fentanyl, con restricciones operativas inmediatas y daño reputacional severo.

Este caso ilustra una tendencia que el sistema financiero regional no puede ignorar: el incumplimiento en materia de prevención LAFT ya no solo tiene consecuencias locales. Las entidades costarricenses que operan con corresponsales internacionales, que gestionan inversiones de no residentes o que tienen presencia en mercados de capital globales están expuestas a un escrutinio que va más allá de lo que SUGEF o la UIF pueden aplicar.

¿Qué implica realmente pasar de nivel?

El salto entre niveles no es una cuestión de presupuesto ni de contratar más personas. Las entidades que avanzan de forma efectiva comparten un patrón: cambian el modelo de trabajo antes de cambiar las herramientas. Una plataforma integrada en manos de un equipo que sigue pensando en el cumplimiento como una tarea de preparación previa a las visitas no produce resultados distintos a los de una hoja de cálculo bien organizada.

Del Nivel 1 al Nivel 2: el cambio es cultural

Implica reconocer que la gestión informal no es sostenible y que el conocimiento que vive en las personas necesita convertirse en procesos documentados. Este es el paso más difícil culturalmente, porque requiere que los equipos inviertan tiempo en documentar lo que ya saben hacer.

Ejemplo práctico: una cooperativa de ahorro con un oficial de cumplimiento experimentado puede hacer este salto en semanas si estructura el KYC actual en una metodología documentada con plantillas, y empieza a registrar en un sistema las operaciones inusuales que hoy analiza de memoria.

Del Nivel 2 al Nivel 3: el cambio es metodológico

Implica pasar de documentos que describen cómo debería funcionar el sistema a sistemas que registran cómo funciona realmente. Los KRIs dejan de ser una tabla en un informe anual y se convierten en indicadores con umbrales que generan alertas. Las matrices de riesgo dejan de ser un documento estático y se convierten en un registro vivo con historial de cambios y responsables asignados.

Del Nivel 3 al Nivel 4: el cambio es tecnológico

Implica integrar en una sola plataforma los sistemas que en el Nivel 3 operan de forma separada. Cuando riesgos, controles, cumplimiento y auditoría comparten datos, los reportes se automatizan, las alertas son cruzadas y la evidencia está disponible sin reconstrucción.

Cómo Pirani acompaña ese avance

Pirani es la plataforma GRC que permite a las entidades financieras costarricenses avanzar de nivel de forma estructurada, sin requerir un equipo técnico dedicado ni meses de implementación. Con más de 70.000 usuarios en más de 110 países y presencia en el sistema financiero costarricense a través de entidades como MultiMoney, Coopealianza y Akros Technologies, Pirani integra en un solo ecosistema los cinco sistemas que el nuevo estándar regulatorio exige gestionar de forma integrada.

Para entidades en el Nivel 1 o en tránsito al Nivel 2

El módulo AML de Pirani es el punto de entrada más crítico para cooperativas, profesiones no financieras y cualquier sujeto obligado bajo la Ley 7786 que hoy gestiona el KYC de forma informal. Permite:

  • Construir la metodología de riesgo LAFT desde cero
  • Documentar el KYC por perfil de cliente con trazabilidad completa
  • Registrar operaciones inusuales con análisis y decisión
  • Generar los reportes a la UIF del ICD con evidencia lista para presentar

Para una cooperativa o un estudio jurídico, este módulo puede ser la diferencia entre una visita de la UIF manejable y una con consecuencias formales.

Para entidades en el Nivel 2 en tránsito al Nivel 3

El módulo ORM de Pirani es donde se produce el salto más importante: digitaliza las matrices de riesgo con historial completo de cambios, configura KRIs con umbrales y alertas en tiempo real, registra controles con evaluación de diseño y ejecución, y documenta eventos de pérdida con planes de acción y seguimiento.

El módulo ISMS de Pirani complementa este salto en materia de seguridad de la información: inventario de activos clasificado por criticidad, evaluación de riesgos tecnológicos, controles del Anexo A de ISO 27001 con evaluación de efectividad, y Declaración de Aplicabilidad disponible para SUGEF 14-21.

Para entidades en el Nivel 3 en tránsito al Nivel 4

Los módulos Compliance y Auditoría completan la integración. Compliance gestiona el universo normativo completo con responsables, estados, plazos y evidencias centralizadas. Auditoría conecta hallazgos, planes de acción y mejora continua con los datos de riesgo y cumplimiento, cerrando el ciclo que en el Nivel 3 queda abierto.

Cuando los cinco módulos operan juntos: los reportes para SUGEF, la UIF o el CONASSIF se generan automáticamente, las alertas son cruzadas entre sistemas, la junta directiva recibe información real y cuando el regulador llega, la evidencia está lista en minutos.

Pirani Copilot: inteligencia artificial para equipos de cualquier tamaño

El asistente de IA incluido en la plataforma multiplica la capacidad operativa de equipos pequeños —que es precisamente la condición de la mayoría de las cooperativas y sujetos obligados no financieros en Costa Rica. Pirani Copilot sugiere riesgos y controles alineados con las normativas SUGEF y la Ley 7786, responde preguntas regulatorias en lenguaje claro, redacta planes de acción en minutos e identifica brechas automáticamente frente al estándar vigente.

El onboarding de Pirani está diseñado para ser ágil: acompañamiento en español, sin requerimientos técnicos especiales, con la entidad operativa en semanas. El objetivo no es reemplazar el conocimiento de los equipos: es darle la infraestructura que necesita para que ese conocimiento genere evidencia continua.

Si quieres conocer cómo funciona Pirani, agenda una demo ahora mismo, o prueba por tu cuenta iniciando sesión.

Nueva llamada a la acción

Ponte al día con lo último de la Escuela de gestión de riesgos

Cómo calcular Riesgos en Pirani: impacto, frecuencia y controles
Cálculo del riesgo residual y calificación de controles en Pirani
Software de gestion de riesgos

Cómo calcular Riesgos en Pirani: impacto, frecuencia y controles

27 de abril de 2026 3 min read
Los riesgos no son estáticos: evolución en el tiempo
Los riesgos no son estáticos: evolución en el tiempo
Software de gestion de riesgos

Los riesgos no son estáticos: evolución en el tiempo

22 de abril de 2026 3 min read
Gobernanza de IA: cómo aplicar ISO 42001 y gestionar riesgos reales
Gestión de Riesgos de IA: Aplicando la ISO 42001 para una IA Segura
Inteligencia artificial

Gobernanza de IA: cómo aplicar ISO 42001 y gestionar riesgos reales

14 de abril de 2026 2 min read