Blog Gestión de Riesgos | Pirani

8 aprendizajes del Pirani Summit 2026

Escrito por Juan Diego Vivas | julio 02, 2026

El pasado 24 y 25 de junio en Pirani tuvimos nuestro encuentro más importante del año: el Pirani Summit 2026. Durante dos jornadas intensas, más de 2.300 profesionales de toda Latinoamérica se conectaron en vivo para escuchar a ocho expertos de la región compartir su experiencia práctica sobre gestión de riesgos, compliance, auditoría, gobierno corporativo, ciberseguridad e inteligencia artificial.

Durante estas ocho horas de conferencias quedó una lección muy clara: las metodologías convencionales se transformaron de forma definitiva. Los aprendizajes del Pirani Summit 2026 confirman que las tendencias en gestión de riesgos exigen romper los silos organizacionales por completo, migrar hacia modelos de analítica de datos continua y adoptar la inteligencia artificial como un copiloto estratégico bajo el estricto criterio humano.

Si no pudiste acompañarnos o si quieres repasar las ideas clave de los panelistas para implementarlas en tu organización, este es el resumen completo con las 8 lecciones del Summit:

  • Identificar la interconexión de las amenazas operacionales para evitar los análisis aislados.
  • Reemplazar las matrices estáticas de cumplimiento por esquemas predictivos basados en datos de tiempo real.
  • Evaluar poblaciones y bases de datos completas en las auditorías internas en lugar de simples muestras.
  • Desarrollar una cultura de gobernanza digital robusta frente a los nuevos riesgos tecnológicos.

Dato clave del mercado en LATAM: La presión regulatoria avanza a un ritmo sin precedentes. Entre enero de 2025 y febrero de 2026 se registraron 201 proyectos de ley sobre tecnología en catorce países de Latinoamérica. Este escenario obliga a las compañías a estructurar programas de gobierno digital ágiles para asegurar la continuidad del negocio y cumplir con normativas internacionales de vanguardia.

Tabla de contenido

1. Víctor Guerra: El crimen organizado ya no funciona como antes (y el Compliance debe ver el mapa completo)

El encargado de abrir el Summit fue Víctor Guerra con una conferencia sobre la nueva geografía del riesgo: economías criminales, geopolítica y compliance. Desde los primeros minutos, Víctor rompió un mito obsoleto que muchas organizaciones todavía mantienen de forma interna: pensar en la delincuencia organizada como estructuras jerárquicas clásicas, aisladas y relativamente fáciles de identificar.

Hoy la realidad es completamente diferente. Las empresas criminales operan hoy como redes globales, policéntricas y sistemas adaptativos complejos. Su portafolio de negocios está altamente diversificado y abarca desde el narcotráfico y el lavado de activos hasta el contrabando, la trata de personas, la minería ilegal y la piratería. Al cruzar fronteras con extrema facilidad, estos recursos ilegales se mezclan directamente con los flujos de la economía legal, aprovechando la fragilidad institucional y la corrupción regional. Víctor detalló que este ecosistema ilegal supera los 4 trillones de dólares americanos anuales a nivel global.

Por ello, el mayor error del compliance moderno es analizar cada delito por separado. El cumplimiento normativo actual exige comprender el ecosistema completo, ya que la desinformación, la corrupción y los giros geopolíticos forman parte activa de la agenda de riesgos empresarial. El experto nos recordó una gran verdad: la información disponible muestra únicamente la punta del iceberg, pues las cifras conocidas provienen solo de incautaciones. Aunque herramientas como el Big Data e Inteligencia Artificial procesan grandes volúmenes de datos, nunca reemplazarán el olfato humano ni la debida diligencia.

2. Claudia Avendaño: Los mapas de riesgos tradicionales se quedaron cortos ante la velocidad del entorno

Después llegó Claudia Avendaño con una pregunta incómoda que puso a reflexionar a todos los asistentes: ¿Qué pasa si cuando terminas de actualizar tu matriz de riesgos... el riesgo ya cambió? Su enfoque se centró en la velocidad del riesgo y demostró cómo los modelos tradicionales de medición fallan al intentar describir el entorno operativo moderno.

Hoy en día, las amenazas ya no viven separadas; se interconectan y se contagian entre sí de manera inmediata. Una crisis geopolítica, un ciberataque o una crisis reputacional pueden materializarse y escalar en cuestión de horas, mucho más rápido de lo que le toma a una organización actualizar un archivo estático. Claudia explicó que la gestión convencional suele mirar hacia el pasado, mientras que el desafío actual exige capacidad real de anticipación. Los mapas de calor siguen siendo útiles, pero con frecuencia muestran una fotografía fija de eventos que ya se movieron.

Para mitigar este problema, Claudia presentó metodologías ágiles enfocadas en medir la velocidad y el contagio:

  • Time to impact: Evalúa la brecha temporal exacta que existe entre la causa original de una amenaza y el impacto real en la empresa.
  • Velocity scalar: Una medición enfocada en determinar de forma conjunta la probabilidad junto con la intensidad del impacto.
  • Contagio o interconexión: Analiza la capacidad que tiene un riesgo para saltar de un proceso a otro y afectar a distintas áreas de la organización.

La experta destacó el valor de la inteligencia artificial para detectar patrones de forma automática, como facturas duplicadas o caídas inusuales en las ventas. Sin embargo, dejó claro que detectar una alerta no significa gestionar el riesgo: se requiere priorizar, decidir y actuar. Por eso propuso incorporar la "riesguética", sumando una dimensión ética a cada decisión de riesgo de la empresa. La tecnología potencia el discernimiento, pero el criterio y la cultura humana siguen siendo decisivos.

3. Carlos Rodríguez: La auditoría interna ya no vive de muestras, vive de datos continuos

Durante muchos años, la auditoría interna se apoyó exclusivamente en la revisión de muestras de información para construir conclusiones generales. Carlos Rodríguez explicó cómo este modelo tradicional está evolucionando drásticamente hacia una auditoría analítica y continua que une el proceso de control con el análisis masivo de datos.

Este enfoque expande significativamente la cobertura, permitiendo evaluar poblaciones y bases de datos completas en lugar de simples fracciones del pasado. Al operar cerca del tiempo real, la disciplina pasa de revisar hechos históricos a formular alertas y tendencias predictivas hacia adelante. Los beneficios de esta transición basada en datos son directos: aporta un valor estratégico y consultivo real para la alta dirección, mejora la objetividad y optimiza la priorización de las tareas de control corporativo.

Pero el mensaje central de Carlos no fue puramente tecnológico, sino humano. El auditor moderno no es simplemente quien domina herramientas técnicas como Excel, Power BI, Python, SQL o APIs. El verdadero valor radica en mantener el juicio profesional y convertirse en un gran narrador de historias (storyteller) capaz de explicar con claridad y sencillez lo que muestran las bases de datos. Además, desmontó un gran mito técnico: no se requieren bases de datos perfectas ni ser un programador experto para implementar mejoras automatizadas en los procesos. La tecnología no busca reemplazar al auditor, sino potenciar su capacidad.

4. Leopoldo Astudillo: Ciberseguridad y privacidad más allá de los fierros de TI

Para cerrar el primer día del Summit, Leopoldo Astudillo abordó la privacidad, la ciberseguridad y la gestión del cambio como activos estratégicos vitales para asegurar la continuidad del negocio y la resiliencia comercial. Su ponencia reforzó una idea que se repitió varias veces durante el evento: la seguridad de la información dejó de ser un problema exclusivo de los ingenieros de sistemas para convertirse en una prioridad de toda la organización.

El crecimiento de las empresas incrementa la complejidad de las operaciones y el tráfico masivo de datos compartidos con proveedores y terceros, elevando de forma natural la exposición a los ciberataques a nivel global. En este ecosistema digital, proteger de forma segura todo el ciclo de vida del dato —desde su captura y almacenamiento hasta su distribución y eliminación— es obligatorio. Leopoldo explicó que la verdadera resiliencia no se logra instalando controles tecnológicos aislados, sino estructurando el monitoreo en cuatro frentes indispensables:

  • Gobierno: Involucramiento directo del directorio, ejecución del plan anual, inversión estratégica y gestión de incidentes.
  • Tecnología: Despliegue de herramientas de protección, monitoreo continuo, escaneo de vulnerabilidades y pruebas de ethical hacking.
  • Personas: Acciones de concienciación orientadas a la mitigación de phishing, prevención de errores humanos y formación continua.
  • Procesos: Implementación de planes de respuesta a incidentes, respaldos, restauración de sistemas y segregación de funciones.

Estabilizar la operación exige definir con claridad el gobierno interno y trabajar directamente en la conducta de los colaboradores para crear una cultura de seguridad robusta. La resiliencia corporativa depende directamente de procesos fuertes, cultura interna y liderazgo corporativo. Al final, la gestión del cambio es la pieza clave que logra que la seguridad se viva en el día a día institucional.

5. Alondra de la Garza: La corrupción como el motor y combustible del lavado de dinero

El segundo día del Summit arrancó con la ponencia de Alondra de la Garza sobre el nexo crítico entre las Personas Políticamente Expuestas (PEPs), las redes de corrupción y el financiamiento al terrorismo en América Latina. Alondra demostró cómo la corrupción cumple un doble rol destructivo en el entorno de cumplimiento: actúa como un delito previo al lavado de activos y funciona como un facilitador sistémico que garantiza la impunidad operativa de las bandas delictivas.

El modus operandi habitual de estas redes consiste en desviar recursos públicos o transferir patrimonios injustificados hacia terceros clasificados como asimilados (familiares directos) o personas vulnerables como amigos cercanos, abogados y proveedores particulares. La experta compartió casos regionales de alto impacto, como el de la Familia Favela en Sinaloa —quienes constituyeron doce empresas de giros totalmente inconexos y obtuvieron más de 630 contratos gubernamentales en zonas bajo la mira internacional— o el caso de Huachicol Fiscal en México, donde el contrabando de gasolina camuflada bajo la fracción arancelaria de lubricantes llegó a representar el 30% del combustible vendido en el país tras el traspaso de aduanas en 2020. Además, recordó la presión internacional actual, destacando que desde febrero de 2025 Estados Unidos equiparó a seis cárteles mexicanos con organizaciones terroristas extranjeras, volviendo cualquier favorecimiento un delito de apoyo material.

Frente a esto, Alondra dejó una advertencia práctica fundamental para los oficiales de cumplimiento: clasificar de forma automática a un PEP nacional como cliente de riesgo bajo o medio de forma predeterminada es una pésima práctica. La matriz de control debe contrastarse siempre con la realidad transaccional del entorno, exigiendo declaraciones patrimoniales, fiscales y un monitoreo estricto de su comportamiento. Son señales de alerta críticas que un funcionario público maneje altos volúmenes de dinero en efectivo o que su cuenta de nómina estatal nunca registre retiros ni movimientos corrientes.

6. Natalia Baracaldo: El gran reto de las juntas directivas ante los riesgos emergentes

Natalia Baracaldo expuso la necesidad crítica de transformar por completo el rol de los órganos de gobierno corporativo ante amenazas globales que ya no operan de forma aislada, sino interconectada. Durante su intervención, lanzó una de las advertencias más contundentes del Summit: el mayor peligro para las juntas directivas actuales consiste en seguir tomando decisiones estratégicas con una visión corporativa diseñada para un mundo que ya no existe.

Las organizaciones confunden con frecuencia el cumplimiento formal de rellenar matrices estáticas e indicadores con el ejercicio real de gestionarlos y mitigarlos en la operación. Según datos de un estudio de la firma BDO presentados por Natalia, únicamente el 50% de las organizaciones en la región se considera preparada para enfrentar los escenarios actuales, y solo una de cada diez mantiene esa confianza al proyectar el negocio a diez años. Incidentes reales analizados en el Summit demuestran esta realidad: el ciberataque a IFX Networks (que paralizó a más de 70 entidades públicas en Colombia por una dependencia crítica hacia un único proveedor sin un BCP adecuado) o la crisis institucional de Ecopetrol tras vulnerar la independencia de su junta directiva debido a la politización (causando una caída del 5% del valor de su acción en una sola jornada) evidencian que detrás de las fallas operativas suelen esconderse problemas severos de gobierno corporativo.

La invitación de Natalia para las juntas directivas se resumió en cinco pilares de acción inmediata: actualizar la matriz de competencias de los consejeros para integrar perfiles técnicos con experiencia demostrable en ciberseguridad, inteligencia artificial generativa y riesgos de sostenibilidad (ESG); redefinir y operativizar los límites del apetito al riesgo; elevar la frecuencia y calidad de los reportes; analizar la interconexión de las amenazas y rediseñar el alcance de los comités asesores.

7. Fidel Gómez: Digital Compliance y la urgencia de gobernar las nuevas tecnologías

Una de las ponencias más novedosas estuvo a cargo de Fidel Gómez, quien abordó las estrategias de cumplimiento, gobernanza y gestión de riesgos en la era tecnológica. Fidel reveló una contradicción preocupante en nuestro mercado: aunque América Latina lidera la velocidad de adopción tecnológica global con un 47% de empresas utilizando inteligencia artificial (frente al 45% del promedio mundial), solo el 5% de las compañías de la región cuenta con un esquema formal de gobernanza para esta tecnología. En palabras sencillas, 9 de cada 10 empresas operan sin políticas claras, sin trazabilidad ni procesos de contingencia.

Para solucionar esta falta de control, Fidel explicó que los marcos regulatorios modernos no pueden gestionarse como islas independientes, sino como un framework integrado en tres capas críticas:

  • Capa 1: Datos (Data Governance): Tiene como eje regulatorio principal el GDPR europeo, cuyas multas extraterritoriales alcanzan los 20 millones de euros o el 4% de la facturación global. Bajo el concepto del "dataísmo", exige la protección de la huella digital y la aplicación rigurosa de principios de minimización de datos.
  • Capa 2: Sistemas (Infraestructura): Centrada en garantizar la resiliencia operativa digital frente a intrusiones informáticas, destacando la directiva NIS2 (que responsabiliza penalmente al CEO por fallos de seguridad), el reglamento DORA para el sector financiero (que exige reportar incidentes críticos en un máximo de 4 horas) y la Cyber Resilience Act (CRA).
  • Capa 3: Inteligencia Artificial: Regida por la IA Act de la Unión Europea, clasifica los sistemas bajo un enfoque basado en riesgos (bajo, alto y prohibidos), exigiendo transparencia algorítmica, eliminación de sesgos de género o raza y supervisión humana en la decisión final (human-in-the-loop) con apoyo de la norma ISO 42001.

Ignorar este entorno ya no es una opción viable. Las nuevas normativas internacionales migran la responsabilidad legal y penal desde la entidad hacia los individuos; regulaciones de vanguardia determinan que los directivos y el CEO pueden ser inhabilitados personalmente si la empresa no demuestra una gobernanza digital adecuada. Como el 74% de las organizaciones de la región carece de la figura de un CISO, el desarrollo del rol del Digital Compliance Officer con autonomía fuera de las decisiones comerciales del negocio se vuelve una prioridad absoluta. Un ejemplo real de esta gravedad fue la multa de 530 millones de euros aplicada a la plataforma TikTok por transferir datos confidenciales de usuarios europeos hacia servidores en China sin las garantías requeridas.

8. Gerardo Chavarría: Inteligencia Artificial en Compliance como un copiloto sin exageraciones

El encargado de cerrar el evento fue Gerardo Chavarría, aportando un enfoque técnico y eminentemente pragmático sobre el uso de la inteligencia artificial ante la evolución del enfoque KYX. Gerardo comenzó desmontando el miedo corporativo y los mitos mágicos de la IA: en términos lógicos, actúa simplemente como un sistema avanzado de reconocimiento de patrones y procesamiento de datos masivos, comparable a una macro compleja de Excel conectada a múltiples fuentes de información externas.

La gran evolución para las áreas de control es pasar de la visión lineal del KYC tradicional (Conoce a tu Cliente) hacia un modelo integral de KYX (Conoce el Entorno 360°), aplicando el análisis inteligente no solo a clientes, sino a empleados, transacciones, proveedores, socios comerciales y firmas de dispositivos. En la práctica defensiva de AML/CFT, la IA es sumamente eficiente debido a que, mientras los seres humanos operan bajo variables aleatorias (teoría del caos), los sistemas de lavado automatizado estructuran movimientos bajo patrones rígidos; una IA entrenada detecta de inmediato identidades operando en las mismas frecuencias sistemáticas. Permite automatizar la ingeniería social defensiva cruzando transacciones físicas con la huella digital pública del titular, realizar auditorías documentales forenses para identificar contratos redactados en su totalidad por algoritmos y desplegar chatbots de comunicación interna entrenados con los manuales de la entidad para resolver dudas procedimentales complejas de los cajeros o asesores comerciales en segundos.

No obstante, Gerardo advirtió sobre riesgos críticos, como las alucinaciones de los modelos, los ataques de prompt injections orientados a manipular las instrucciones del chatbot para forzarlo a revelar credenciales o bases de datos internas, y el riesgo de fuga de datos al analizar expedientes corporativos confidenciales en herramientas de acceso libre. La conclusión fue contundente: la inteligencia artificial es un copiloto extraordinario de alta potencia, pero se debe evitar la autonomía ciega en procesos clave; las herramientas deben evaluarse bajo una Matriz de Autonomía vs. Impacto (bloqueando desarrollos de alto impacto estratégico configurados con alta autonomía) y la decisión final siempre seguirá siendo estrictamente humana (human-in-the-loop). Para su implementación segura, recomendó una ruta metodológica trimestral: el Mes 1 para el inventario de casos de uso y restricciones éticas; el Mes 2 para el desarrollo técnico y fases de testeo ciego; y el Mes 3 para la estabilización de métricas de sesgo y puesta en marcha del machine learning supervisado.

El fin de los silos operativos y el valor del criterio humano

Al concluir el Pirani Summit 2026, nos quedó una lección transversal indiscutible: aunque las ocho conferencias abordaron temáticas especializadas, todas terminan conectadas de forma nativa en un mismo ecosistema. Los riesgos modernos operan en cascada; la corrupción, los fallos de gobierno corporativo, el lavado de activos y los incidentes de ciberseguridad están intrínsecamente entrelazados, por lo que las organizaciones ya no pueden gestionar sus amenazas mediante departamentos estancos o aislados.

Redactar manuales estáticos o llenar matrices de calor sin traducirlos en procesos automatizados y en una cultura ética viva ya no es aceptable para los reguladores mundiales. Las organizaciones necesitan mutar con urgencia hacia el uso estratégico de datos para formular alertas tempranas, perfiles de riesgo predictivos e indicadores dinámicos antes de que el riesgo se materialice. El futuro de nuestra profesión no está a cinco años de distancia: ya empezó, y la única forma de liderarlo es integrando tecnología amigable, procesos claros y criterio humano para lograr una gestión sin fricciones.

Si quieres conocer cómo Pirani mejora tu gestión de riesgos, agenda una demo o pruébalo tú mismo e inicia sesión ahora.

Preguntas frecuentes

¿Cuál es la conclusión principal del Pirani Summit 2026 sobre la Inteligencia Artificial?

La Inteligencia Artificial actúa en las empresas como un sistema avanzado de reconocimiento de patrones masivos. Los expertos del evento concluyeron que la IA es un copiloto extraordinario que potencia la eficiencia de los procesos, pero jamás debe reemplazar el juicio crítico, la ética ni la responsabilidad penal de las personas.

¿Qué significa el enfoque de medición KYX presentado en el evento?

El concepto KYX propone evolucionar el conocimiento tradicional del cliente (KYC) hacia un monitoreo inteligente del entorno en 360 grados. Esto implica aplicar analítica avanzada de forma simultánea a transacciones, proveedores, empleados, socios comerciales y firmas de dispositivos para prevenir delitos financieros.

¿Por qué la ciberseguridad ya no pertenece exclusivamente al área de TI?

Porque la resiliencia operativa de una empresa frente a hackeos o fugas de información depende de un ecosistema completo. En el Summit se demostró que la seguridad requiere una estrategia integral dividida en cuatro frentes críticos: gobierno de la alta dirección, tecnología de protección, procesos institucionales y cultura conductual de las personas.