Crear cuenta gratis
Crear cuenta gratis

Riesgo operativo en el sistema financiero boliviano: lo que exige la ASFI

El riesgo operativo en Bolivia está regulado por el Título V del Libro 3 de la RNSF de la ASFI, que obliga a todas las entidades financieras supervisadas a identificar, medir, monitorear, controlar, mitigar y divulgar sus exposiciones de riesgo de forma continua y documentada.

En abril de 2023, el Banco Fassil colapsó. No fue una crisis repentina: la ASFI había detectado problemas desde 2021, emitió observaciones y solicitó planes de acción. El propio director ejecutivo del regulador declaró que la entidad fue "hostigada, amenazada y amedrentada" cuando intentó inspeccionar el banco. El resultado: 4.600 empleados despedidos, miles de ahorristas en pánico y aproximadamente Bs. 12.800 millones de cartera bajo fideicomiso.

Y esto sigue pasando. No al mismo nivel, pero los factores que llevaron a Fassil al colapso (procesos deficientes, controles débiles, gobierno corporativo capturado) siguen presentes en entidades que operan hoy en el sistema financiero boliviano. La normativa que debía prevenir ese escenario ya existía. El Título V del Libro 3 de la Recopilación de Normas para Servicios Financieros (RNSF) de la ASFI lo establece con claridad. El problema no fue la norma. Fue la brecha entre lo que dice el papel y lo que se hace en la práctica.

En este especial aprenderás:

  • Qué exige la ASFI sobre gestión del riesgo operativo en Bolivia
  • Cómo estructurar un sistema conforme a la RNSF
  • Los errores más comunes que cometen las entidades financieras
  • Cómo preparar tu entidad para una inspección de la ASFI

Qué entiende la ASFI por riesgo operativo

La RNSF, en su Libro 3, Título V, Capítulo II, define el riesgo operativo como la posibilidad o probabilidad de que una entidad supervisada incurra en pérdidas por:

  • Fraude interno o externo
  • Fallas en las personas, procesos y sistemas
  • Eventos internos de orden estratégico y operativo
  • Otros eventos externos

Tres elementos de esa definición merecen atención específica. El riesgo tecnológico y el riesgo legal son componentes del riesgo operativo. No son categorías separadas. Una falla en el sistema de pagos digitales y un contrato mal redactado con un proveedor tecnológico son ambos eventos de riesgo operativo. La norma exige anticipación, no solo registro. Habla de "posibilidad o probabilidad", lo que implica identificar los riesgos antes de que generen pérdidas.

Los factores de riesgo son cinco. Cualquier sistema de gestión que no los cubra todos está incompleto desde el punto de vista regulatorio:

  • Procesos internos
  • Personas
  • Tecnología de información
  • Eventos externos
  • Infraestructura

Las 6 etapas del riesgo operativo según la ASFI

El Artículo 3° de la Sección 2 del Capítulo II establece seis etapas obligatorias. No son recomendaciones.

  1. Identificación. La entidad debe construir un inventario de procesos y sistematizar los eventos que pueden afectarlos. Cualquier nuevo producto o tecnología debe llevar aparejada una evaluación de riesgos operativos antes de su lanzamiento.
  2. Medición. La norma permite metodologías cualitativas o cuantitativas, pero los modelos deben ser aprobados formalmente por el Directorio. No basta con que los tenga la Unidad de Gestión de Riesgos.
  3. Monitoreo. El seguimiento debe ser continuo. Esto implica sistemas de información reales, no archivos en Excel que se actualizan cada trimestre.
  4. Control. La entidad debe definir acciones concretas para reducir o mitigar los riesgos identificados, incluyendo el nivel de riesgo que la institución está dispuesta a asumir.
  5. Mitigación. Aquí entran los planes de contingencia y los planes de continuidad del negocio. Ambos deben ser probados, y los resultados deben quedar documentados en informes al Comité de Riesgos, al Directorio y a la Alta Gerencia.
  6. Divulgación. La gestión del riesgo operativo no puede vivir solo en la unidad técnica. Las exposiciones y resultados deben comunicarse a los órganos de gobierno de la entidad.

Estas seis etapas no son un checklist anual. Son un ciclo continuo que debe estar integrado en la estrategia institucional.

La estructura organizativa que la ASFI exige tener

Uno de los errores más frecuentes es asumir que basta con tener una persona encargada del tema. La norma establece una estructura con responsabilidades diferenciadas para cada nivel.

  • Directorio. Aprueba las metodologías de gestión y cualquier modificación posterior. Recibe informes periódicos sobre los resultados de las pruebas de continuidad del negocio.
  • Comité de Riesgos. Diseña las políticas, sistemas, metodologías y procedimientos. Debe integrarse al menos por: un miembro del Directorio (quien lo preside), el Gerente General y el responsable de la Unidad de Gestión de Riesgos. Para el riesgo operativo específicamente, la norma exige también la participación del Gerente de Operaciones, con derecho a voz.
  • Unidad de Gestión de Riesgos. Ejecuta el proceso: identifica, mide, monitorea y reporta. Realiza las pruebas de los planes de contingencia y continuidad.
  • Unidad de Auditoría Interna. Verifica de manera independiente que el sistema funciona correctamente. No gestiona el riesgo; lo audita.
  • Alta Gerencia. Recibe los informes e implementa las decisiones del Comité de Riesgos y el Directorio a nivel operativo.

Esta arquitectura responde a la lógica de tres líneas de defensa: quienes gestionan el riesgo, quienes lo supervisan internamente y quienes lo auditan de forma independiente. Es el mismo principio que estructura un software de gestión de riesgos robusto: cada nivel tiene visibilidad sobre el trabajo del otro.

El registro de eventos: la Central de Información de Riesgo Operativo (CIRO)

La ASFI administra la CIRO, un sistema que consolida los datos de eventos de riesgo operativo y pérdidas reportados por todas las entidades supervisadas. Participar no es una opción; es una obligación regulatoria.

Para reportar a la CIRO, la entidad necesita registrar internamente:

  • Tipo de evento de pérdida
  • Factor de riesgo que lo originó
  • Monto de la pérdida (si la hubo)
  • Línea de negocio afectada
  • Acciones correctivas tomadas

Los tipos de eventos de pérdida reconocidos por la norma son:

  • Fraudes internos y externos
  • Relaciones laborales y seguridad en el puesto de trabajo
  • Clientes, productos y prácticas empresariales
  • Daños a activos materiales
  • Incidencias en el negocio y fallas en los sistemas
  • Ejecución, entrega y gestión de procesos

Una entidad que no registra sistemáticamente sus eventos tiene dos problemas simultáneos: incumple la norma y pierde la información que necesita para mejorar su gestión.

Tabla: tipos de eventos de pérdida vs factores de riesgo

Tipo de evento de pérdida Factor de riesgo principal Ejemplos en el sistema financiero boliviano
Fraude interno Personas Alteración de registros contables, apropiación de fondos por empleados
Fraude externo Eventos externos Suplantación de identidad, clonación de tarjetas, estafas digitales
Relaciones laborales y seguridad Personas / Infraestructura Accidentes en instalaciones, demandas laborales por incumplimiento
Clientes, productos y prácticas empresariales Procesos internos Venta de productos sin la debida información, incumplimiento de debida diligencia ALA/CFT
Daños a activos materiales Eventos externos / Infraestructura Incendios, inundaciones, daños por bloqueos y manifestaciones
Incidencias en el negocio y fallas en sistemas Tecnología de información Caída del sistema de pagos, fallo del core bancario, interrupción de servicios digitales
Ejecución, entrega y gestión de procesos Procesos internos / Personas Errores en liquidaciones, documentación incompleta en créditos, fallas en reprogramaciones

El contexto boliviano: presiones que amplifican el riesgo operativo

Gestionar el riesgo operativo en Bolivia no ocurre en el vacío. El contexto macroeconómico y financiero del país crea condiciones que amplifican ciertas categorías de riesgo de manera específica.

El sistema financiero boliviano cerró septiembre de 2025 con un Coeficiente de Adecuación Patrimonial (CAP) del 14,6%, por encima del mínimo legal del 10%, lo que refleja solvencia del sistema en conjunto. Sin embargo, la cartera reprogramada, que llegó a representar el 20% del total en momentos de mayor tensión, y el incremento sostenido de la mora, crean presiones operativas concretas: más procesos de reprogramación significan más riesgo de errores humanos, más documentación que gestionar y más controles que implementar.

La escasez de divisas que caracterizó al sistema financiero boliviano a partir de 2023 generó riesgos operativos que pocas entidades tenían modelados. ¿Qué pasa con los procesos de atención al cliente cuando no hay disponibilidad de dólares? ¿Cómo afecta esto a los sistemas de gestión de tesorería? ¿Qué contingencias existen para eventos de este tipo? Estas preguntas tienen respuesta si los planes de contingencia fueron diseñados correctamente. Si no la tienen, el gestor de riesgo tiene trabajo por delante.

La regulación de las Empresas de Tecnología Financiera (ETF), formalizada mediante el Decreto Supremo 5384 de mayo de 2025 y el Reglamento ASFI 885/2025, amplía el perímetro de supervisión y crea nuevas exigencias operativas. Las ETF que operan con blockchain, activos tokenizados o activos virtuales deben contar con planes de mitigación de riesgos y protocolos de seguridad. Para las EIF tradicionales que trabajan con estas empresas como proveedoras de servicios, esto se traduce en riesgo operativo por terceros: si el proveedor falla, la entidad asume consecuencias.

Adicionalmente, la Evaluación Mutua que realizó el GAFILAT en 2024 identificó vulnerabilidades en el sistema relacionadas con la legitimación de ganancias ilícitas y el financiamiento del terrorismo. Estas vulnerabilidades no son solo un problema de cumplimiento ALA/CFT; generan riesgo operativo cuando los procesos de debida diligencia son insuficientes o cuando los controles internos no detectan operaciones inusuales en tiempo real.

El caso Fassil como laboratorio de riesgo operativo

Ningún análisis del riesgo operativo en Bolivia puede ignorar la intervención del Banco Fassil. No como historia, sino como caso de estudio sobre cómo falla un sistema de gestión de riesgos en la práctica.

El colapso no fue repentino. La ASFI detectó problemas de liquidez desde 2019. Los sometió a regularización en 2021. Las calificadoras de riesgo ya advertían sobre la vulnerabilidad de la institución. Sin embargo, los ejecutivos continuaron otorgando créditos en el sector inmobiliario en Santa Cruz, a prestatarios sin la debida solvencia. Concentraron el riesgo en un solo sector. Financiaron activos de largo plazo con pasivos de corto plazo.

Cuando la crisis de liquidez estalló en 2023, el banco no pudo responder a la demanda de retiros. El resultado fue una corrida bancaria que, a pesar de la buena salud del sistema en conjunto, generó pánico y afectó la confianza en otras entidades.

Desde el ángulo del riesgo operativo, el caso ilustra tres fallas simultáneas:

  • Controles internos inefectivos. Los informes de auditoría externa para 2020, 2021 y 2022 presentaban resultados razonables mientras las señales de deterioro eran visibles para las calificadoras.
  • Captura del gobierno corporativo. El Directorio no actuó como primera línea de defensa; actuó como cómplice activo de las prácticas riesgosas.
  • Resistencia a la supervisión. Según el propio regulador, el banco "rechazaba sus observaciones" y los inspectores de la ASFI fueron amenazados durante las visitas de campo.

Ninguno de estos factores es exclusivo de Fassil. Son patrones que pueden aparecer en cualquier entidad donde la gestión del riesgo operativo es tratada como un costo de cumplimiento.

Los 4 errores más comunes en Bolivia

Tras más de una década de aplicación de la Circular ASFI/207/2013 que introdujo las directrices del Título V, algunos patrones de incumplimiento se repiten con frecuencia en las entidades supervisadas.

1. Tener documentos sin ejecución real.

Muchas entidades cuentan con manuales aprobados por el Directorio, planes de contingencia archivados y matrices de riesgo elaboradas. Pero ninguno de esos documentos está conectado con la operación cotidiana. Los registros no se actualizan, los indicadores no se monitorean y los planes nunca se prueban. La norma exige que el sistema sea "revisado y actualizado permanentemente" y que "forme parte de la estrategia institucional". Un documento estático no cumple ese requisito.

2. Confundir el registro de pérdidas con la gestión del riesgo.

Registrar lo que ya ocurrió es necesario para la CIRO, pero no es suficiente. La identificación de riesgos debe anticiparse a los eventos: analizar procesos para detectar debilidades, evaluar riesgos de nuevos productos antes de lanzarlos y modelar escenarios que podrían generar pérdidas.

3. Aislar la gestión del riesgo en la unidad técnica.

La norma establece responsabilidades explitas para el Directorio, la Alta Gerencia, el Comité de Riesgos y la Auditoría Interna. Cuando el riesgo operativo no llega con información útil y oportuna a los órganos de gobierno, la entidad gestiona síntomas, no causas.

4. No actualizar el sistema cuando cambia el contexto operativo.

Una entidad que lanzó servicios de pago digital sin revisar sus planes de contingencia tecnológica, o que empezó a trabajar con activos virtuales sin mapear los riesgos operativos asociados, tiene brechas reales aunque sus documentos de hace tres años estén formalmente en orden.

Cómo construir un sistema que pase una inspección de la ASFI

Una visita de inspección evalúa la coherencia entre lo que dice la documentación y lo que ocurre en la práctica. Los inspectores pueden revisar:

  • Actas del Comité de Riesgos
  • Registro histórico de eventos en la CIRO
  • Evidencia de pruebas de los planes de contingencia
  • Actas que demuestren que el Directorio aprobó formalmente las metodologías vigentes
  • Informes de la Unidad de Auditoría Interna sobre el sistema de gestión

Esto tiene implicaciones concretas. El inventario de procesos debe actualizarse cuando cambia la estructura organizativa, cuando se lanza un nuevo producto o cuando ocurre un evento de pérdida que revela un proceso no identificado previamente. Los modelos de estimación de pérdidas deben tener trazabilidad clara: qué variables consideran, qué supuestos usan y cuándo fueron actualizados. La norma establece que estos modelos deben permanecer a disposición de la ASFI.

Las actas del Comité de Riesgos deben reflejar discusiones reales. Un acta que solo registra aprobaciones sin debate es una señal de que el comité funciona como formalidad. Los inspectores de la ASFI leen las actas. Las pruebas de los planes de continuidad deben documentarse con resultados concretos. No basta con tener el plan; hay que demostrar que se probó, que se identificaron brechas y que se tomaron acciones correctivas. La carencia de cualquiera de los manuales de procedimientos establecidos en el Capítulo I del Título V se considera una falta administrativa y está sujeta a sanción según el Libro 7 de la RNSF.

Riesgo tecnológico: la dimensión que más evoluciona

El Título V establece que la gestión del riesgo operativo debe considerar la exposición al riesgo tecnológico y remite al Reglamento para la Gestión de Seguridad de la Información. Esto significa que la seguridad de la información no es una capa independiente; es un insumo obligatorio del sistema de gestión del riesgo operativo.

En el contexto actual, donde el BCB impulsó nuevos esquemas de pago digital durante 2024 y donde la regulación de las ETF amplió el ecosistema de activos digitales en Bolivia, esta categoría de riesgo es más relevante que nunca. Las entidades que operan servicios de pago móvil, transferencias digitales o canales electrónicos con el cliente deben tener respuestas claras a estas preguntas:

  • ¿Qué ocurre si el sistema de pago en línea falla durante un día de alto volumen?
  • ¿Cuánto tiempo puede la entidad operar sin su sistema central?
  • ¿Existe un protocolo de comunicación con los clientes para esos escenarios?

En julio de 2024, una interrupción en los servicios de Microsoft afectó operaciones de conectividad en múltiples organizaciones a nivel global. Las entidades bolivianas que dependían de proveedores tecnológicos internacionales experimentaron los efectos de la concentración del riesgo en un tercero. Si ese evento no aparece en el registro de riesgo operativo de su entidad y no generó una revisión de los planes de contingencia, hay una brecha documentable.

Lo que un software de gestión de riesgos aporta en este contexto

Gestionar el riesgo operativo según los requisitos del Título V implica mantener un inventario de procesos actualizado, registrar eventos de forma sistemática, generar informes para múltiples órganos de gobierno, administrar los planes de contingencia y continuidad, y demostrar ante la ASFI que todo ese sistema funciona de manera coherente y documentada.

Hacerlo en hojas de cálculo dispersas es técnicamente posible, pero introduce riesgos operativos en la propia gestión del riesgo: versiones desactualizadas, información no centralizada, trazabilidad débil y dificultad para generar reportes en tiempo real.

Pirani es una plataforma de gestión de riesgos, cumplimiento y auditoría diseñada para entidades que necesitan cumplir con marcos normativos exigentes en el contexto latinoamericano. Permite centralizar el inventario de procesos y riesgos, registrar y categorizar eventos de pérdida, gestionar los planes de acción y hacer seguimiento de su implementación, y generar evidencia documentada para auditorías internas y visitas de inspección regulatoria.

Si su entidad está revisando la madurez de su sistema de gestión del riesgo operativo o necesita fortalecer su posición ante la próxima visita de la ASFI, solicite una demostración del software y evalúe cómo puede apoyar el trabajo de su equipo.

Preguntas frecuentes

¿Qué entidades están obligadas a cumplir el Título V del Libro 3 de la RNSF?

Todas las entidades de intermediación financiera y empresas de servicios financieros complementarios con licencia de funcionamiento emitida por la ASFI, con excepción de las casas de cambio. Esto incluye bancos múltiples, bancos PyME, cooperativas de ahorro y crédito, instituciones financieras de desarrollo, empresas de arrendamiento financiero, empresas de servicios de pago móvil y empresas de giro y remesas, entre otras.

¿Qué es la CIRO y cómo funciona?

La Central de Información de Riesgo Operativo (CIRO) es el sistema administrado por la ASFI que consolida los datos de eventos de riesgo operativo y pérdidas reportados por las entidades supervisadas. Las entidades deben reportar sus eventos según las categorías y formatos establecidos. Esta información sirve tanto para el seguimiento regulatorio como para que la industria pueda analizar patrones de pérdida de forma agregada.

¿Con qué frecuencia debe actualizarse el sistema de gestión del riesgo operativo?

La norma establece que el sistema debe ser "revisado y actualizado permanentemente". En la práctica, esto implica una actualización ante cualquier cambio significativo: nuevo producto, nueva tecnología, nueva estructura organizativa, nuevo evento de pérdida relevante o cambio en el entorno regulatorio.

¿Qué responsabilidad tiene el Directorio en la gestión del riesgo operativo?

El Directorio debe aprobar las metodologías de gestión y cualquier modificación posterior, así como las políticas y estrategias del sistema. Además, recibe informes sobre los resultados de las pruebas de continuidad del negocio. La aprobación formal no es una formalidad: si el Directorio aprueba una metodología deficiente o no recibe informes adecuados, la entidad tiene un problema de gobierno que puede derivar en sanciones regulatorias.

¿Cuál es la diferencia entre un plan de contingencia y un plan de continuidad del negocio?

El plan de contingencia establece los procedimientos que deben activarse cuando ocurre un evento de riesgo operativo específico. El plan de continuidad del negocio establece la logística para restaurar las funciones críticas dentro de un tiempo predeterminado, después de una paralización. En términos prácticos: el plan de contingencia responde a "¿qué hacemos cuando pasa X?", y el plan de continuidad responde a "¿cómo retomamos la operación normal después de que pasó X?".

¿Qué son los procesos críticos y cómo se identifican?

La norma define proceso crítico como el proceso o sistema de información que al dejar de funcionar afecta la continuidad operativa de la entidad supervisada. El criterio es funcional: ¿puede la entidad seguir operando si este proceso falla? ¿Por cuánto tiempo?

¿Qué ocurre si la ASFI detecta incumplimientos en el sistema de gestión del riesgo operativo?

Las sanciones están establecidas en el Libro 7, Título II, Capítulo II de la RNSF. La carencia de los manuales de procedimientos establecidos en el Capítulo I del Título V se considera una falta administrativa. Los incumplimientos más graves, como la resistencia a las inspecciones, pueden derivar en sanciones mayores conforme a la Ley N° 393 de Servicios Financieros.

¿Cómo afecta la entrada de las ETF al riesgo operativo de los bancos tradicionales?

Las entidades que trabajan con ETF como proveedoras de servicios asumen riesgo operativo por terceros: si el proveedor falla, la entidad financiera puede verse afectada operativamente. La norma establece que la gestión del riesgo operativo debe considerar los niveles de dependencia e interrelación existentes entre las áreas de gestión de la información. Esto aplica también a los proveedores externos, incluyendo las nuevas ETF reguladas por la ASFI.

Ponte al día con lo último de la Escuela de gestión de riesgos

Los riesgos no son estáticos: evolución en el tiempo
Los riesgos no son estáticos: evolución en el tiempo
Software de gestion de riesgos

Los riesgos no son estáticos: evolución en el tiempo

22 de abril de 2026 3 min read
Gobernanza de IA: cómo aplicar ISO 42001 y gestionar riesgos reales
Gestión de Riesgos de IA: Aplicando la ISO 42001 para una IA Segura
Inteligencia artificial

Gobernanza de IA: cómo aplicar ISO 42001 y gestionar riesgos reales

14 de abril de 2026 2 min read
Cómo aplicar ISO 31000 en colegios y universidades
Gestión de riesgos en colegios y universidades: Guía práctica con ISO 31000
Cumplimiento normativo

Cómo aplicar ISO 31000 en colegios y universidades

31 de marzo de 2026 3 min read