Desde la adhesión de Costa Rica a la OCDE, las entidades supervisadas por la SUGEF enfrentan un estándar regulatorio que ya no evalúa si cumplen, sino si pueden demostrar con evidencia trazable. El Acuerdo SUGEF 24-22 vincula directamente la calidad de la gestión de riesgos con la calificación institucional, lo que significa que una gestión basada en hojas de cálculo y documentos dispersos puede traducirse en restricciones operativas, mayor supervisión y daño reputacional. En este contexto, el cumplimiento deja de ser una declaración y se convierte en una capacidad demostrable. Este artículo explica qué cambió en el marco regulatorio costarricense, qué exige cada normativa vigente y cómo las entidades financieras y los sujetos obligados fuera del sistema bancario pueden pasar de un cumplimiento teórico a uno demostrable.
Tabla de contenido
- 1. ¿Qué cambió con el ingreso de Costa Rica a la OCDE?
- 2. ¿Cómo afecta el Acuerdo SUGEF 24-22 a tu entidad?
- 3. Normativas vigentes y qué exigen
- 4. Tabla comparativa de normativas
- 5. ¿Qué sucede cuando llega una visita de supervisión?
- 6. De la gestión manual a los sistemas integrados
- 7. Cómo Pirani ayuda a demostrar cumplimiento en Costa Rica
1. ¿Qué cambió con el ingreso de Costa Rica a la OCDE?
El ingreso de Costa Rica a la OCDE no fue solo un reconocimiento diplomático. Representa un cambio estructural en la forma en que las entidades financieras son evaluadas, supervisadas y comparadas a nivel global. La adhesión obligó al país a alinear su marco regulatorio con estándares internacionales como Basilea III, que refuerzan la necesidad de modelos formales de gestión de riesgos, gobierno corporativo sólido y mayor transparencia. En la práctica, la SUGEF y el CONASSIF ahora exigen evidencia verificable, trazable y consistente en el tiempo. Para las entidades, el mensaje es directo: cumplir ya no es suficiente si no puedes demostrarlo.
2. ¿Cómo afecta el Acuerdo SUGEF 24-22 a tu entidad?
El Acuerdo SUGEF 24-22 establece el sistema de calificación de entidades financieras y contiene un criterio que muchas organizaciones subestiman: la calidad de la gestión de riesgos influye directamente en la evaluación integral de cada institución. Esto tiene tres implicaciones concretas:
- La gestión de riesgos debe ser verificable: no basta con tener una política escrita; debe existir evidencia operativa de que se aplica.
- La participación de la alta dirección debe estar documentada: las actas, aprobaciones y decisiones de junta directiva deben tener trazabilidad.
- Los controles deben demostrar efectividad: no solo su existencia, sino los resultados de su monitoreo periódico.
Una calificación baja ya no es solo una observación técnica. Puede traducirse en mayores niveles de supervisión, restricciones operativas e impacto reputacional frente a inversionistas y aliados internacionales.
3. Normativas vigentes y qué exigen
El nuevo estándar de cumplimiento regulatorio en Costa Rica se materializa en seis regulaciones clave.
¿Qué exige la SUGEF 2-10 en la práctica?
La SUGEF 2-10 establece la necesidad de un sistema formal para identificar, medir, monitorear y controlar riesgos en toda la organización. Esto incluye indicadores clave de riesgo (KRIs), matrices de probabilidad e impacto, y reportes periódicos a la alta gerencia. En este contexto, la gestión de riesgos deja de ser una función aislada y se convierte en un componente central en la toma de decisiones organizacionales. Las entidades que gestionan sus riesgos en hojas de cálculo no logran generar la trazabilidad que la SUGEF requiere durante una visita de supervisión.
¿Cómo cumplir con la SUGEF 14-21 sobre seguridad de la información?
La SUGEF 14-21 exige una gestión estructurada de los activos de información, incorporando controles de seguridad alineados con la norma ISO 27001. Además, requiere procesos documentados para responder a incidentes, lo que implica demostrar no solo prevención, sino capacidad de reacción y resiliencia operativa. Los elementos clave que una entidad debe tener documentados incluyen: inventario clasificado de activos de información, evaluación de riesgos de seguridad, controles implementados del Anexo A de ISO 27001, y una Declaración de Aplicabilidad (SoA) verificable.
¿Qué significa el enfoque preventivo de la SUGEF 23-23?
Esta norma exige dejar atrás la reacción para implementar indicadores de alerta temprana monitoreados de forma continua, planes de recuperación ante escenarios de estrés y contingencias aprobadas por la junta directiva. Para muchas organizaciones, pasar de reaccionar a prevenir representa el mayor salto en su madurez de cumplimiento regulatorio Costa Rica.
¿Qué establece el CONASSIF 5-24 sobre ciberseguridad?
El acuerdo CONASSIF 5-24 introduce lineamientos sobre el gobierno y la gestión de tecnología de información. Refuerza la necesidad de una infraestructura sólida de ciberseguridad, capacidades de monitoreo y respuesta ante incidentes, y establece un rol activo de la junta directiva en la supervisión de estos temas. Con esta regulación, la tecnología pasa de ser un tema operativo a un componente estratégico del cumplimiento regulatorio en Costa Rica.
¿A quién aplica la Ley 7786 fuera del sistema financiero?
La Ley 7786 amplía significativamente el alcance del cumplimiento en materia de prevención de lavado de activos y financiamiento del terrorismo (PLAFT). Su impacto no se limita al sector financiero tradicional. Profesionales como notarios, contadores y abogados, así como empresas del sector inmobiliario que gestionan transacciones de alto valor, están obligados a implementar sistemas formales que incluyen: metodología de riesgo LAFT, procesos de debida diligencia (KYC), esquemas de monitoreo continuo de operaciones, y reportes a la UIF del ICD. Sin embargo, la realidad muestra que muchos de estos sujetos obligados desconocen esta obligación o la gestionan de manera informal con documentos dispersos y herramientas básicas. Mientras tanto, la UIF del ICD continúa fortaleciendo su capacidad de fiscalización. La pregunta clave no es si la obligación existe, sino si tu organización o firma podría demostrarlo hoy con evidencia clara y trazable ante una visita de la UIF.
¿Cómo impacta Basilea III en Costa Rica?
Refuerza la necesidad de modelos formales de gestión, gobierno corporativo sólido y mayor transparencia, alineando Costa Rica con estándares internacionales.
4. Tabla comparativa de normativas
A continuación se detalla qué exige cada una:
| Normativa | Qué exige | A quién aplica | Riesgo de incumplimiento |
|---|---|---|---|
| SUGEF 2-10 |
Sistema integral de gestión de riesgos: KRIs, matrices, reportes periódicos a alta gerencia |
Bancos, financieras, cooperativas, mutuales y entidades captadoras | Calificación baja, mayor supervisión |
| SUGEF 14-21 |
Gestión estructurada de activos de información, controles ISO 27001, planes de respuesta a incidentes |
Toda entidad supervisada con infraestructura tecnológica crítica |
Vulnerabilidad ante incidentes, observaciones regulatorias
|
| SUGEF 23-23 |
Enfoque preventivo: alertas tempranas, planes de recuperación ante estrés, contingencias aprobadas por junta |
Bancos y entidades financieras supervisadas por SUGEF Énfasis en entidades sistémicamente relevantes para el sistema financiero costarricense |
Gestión reactiva y riesgo operativo
|
| CONASSIF 5-24 |
Gobierno TI, ciberseguridad, monitoreo de incidentes, rol activo de junta directiva |
Todas las entidades del sistema financiero nacional | Exposición a ciberriesgo, incumplimiento de gobierno TI |
| Ley 7786 |
Prevención LAFT: metodología de riesgo, debida diligencia (KYC), monitoreo continuo, reportes UIF |
Entidades financieras, notarios, contadores, abogados, inmobiliarias |
Multas, sanciones y reputación
|
| Basilea III |
Modelos formales de gestión, gobierno corporativo de riesgos, transparencia |
Bancos y entidades sistémicamente relevantes | Desalineación con estándares internacionales |
5. ¿Qué sucede cuando llega una visita de supervisión?
¿Cómo prepararse para una visita de la SUGEF o la UIF?
Las entidades mejor preparadas tienen información estructurada, histórica y verificable lista para exportar en minutos. Las que no lo están enfrentan: información dispersa en hojas de cálculo sin consolidación, falta de trazabilidad en decisiones y aprobaciones, controles que existen en papel pero sin monitoreo documentado, y reportes que requieren días de reconstrucción manual cuando el regulador los solicita en horas. La diferencia no está en el nivel de conocimiento técnico, sino en si ese conocimiento se ha convertido en gestión sistemática y evidencia exportable.
6.De la gestión manual a los sistemas integrados
El cambio que atraviesa el sistema financiero costarricense no es únicamente regulatorio, sino también operativo. Las entidades que están logrando adaptarse con mayor éxito comparten una característica: han migrado de modelos fragmentados a sistemas integrados de gestión. En estos modelos:
- Los riesgos se identifican y evalúan en una misma plataforma con metodología estandarizada.
- Los controles se documentan, se les asignan responsables y monitorean continuamente.
- Los indicadores clave (KRIs) generan alertas en tiempo real cuando se superan umbrales definidos.
- El cumplimiento normativo se gestiona con responsables y evidencias.
- La auditoría interna opera sobre información centralizada, conectada con hallazgos y planes de acción.
Este tipo de enfoque permite no solo cumplir con las normativas vigentes, sino demostrar cumplimiento de forma consistente, eficiente y auditable ante cualquier regulador.
7. Cómo Pirani ayuda a demostrar cumplimiento en Costa Rica
Pirani es una plataforma GRC (Gobierno, Riesgo y Cumplimiento) diseñada para ayudar a las organizaciones a gestionar de forma integrada su cumplimiento regulatorio en Costa Rica y su gestión de riesgos. Utilizada por más de 70,000 usuarios en más de 110 países, permite a entidades financieras, cooperativas y sujetos obligados pasar del cumplimiento teórico al cumplimiento demostrable. Pirani integra cinco sistemas diseñados para cubrir el espectro completo de la gestión de riesgos y cumplimiento:
- ORM (Gestión de Riesgo Operacional): matrices de riesgo, KRIs, controles con evaluación de diseño y ejecución, y reportes automáticos alineados con SUGEF 2-10.
- ISMS (Seguridad de la Información): inventario de activos, evaluación de riesgos TI, controles ISO 27001, gestión de incidentes y Declaración de Aplicabilidad (SoA) para SUGEF 14-21.
- AML (Antilavado): segmentación de clientes por perfil de riesgo, matriz LAFT, KYC documentado, monitoreo de operaciones y reportes a la UIF del ICD según Ley 7786.
- Compliance (Cumplimiento): gestión del universo normativo completo con responsables, estados, plazos y evidencias centralizadas.
- Auditoría : hallazgos, planes de acción, seguimiento a mejora continua, todo conectado con los demás sistemas.
Entidades como MultiMoney, Coopealianza y Akros Technologies ya utilizan Pirani para centralizar riesgos, controles, normativas y evidencias en una sola plataforma. Transformaron el cumplimiento teórico en cumplimiento demostrable, con evidencia lista para exportar ante SUGEF, CONASSIF y la UIF. Toda la información se centraliza en una sola plataforma, lo que significa que cuando llegue la próxima visita de SUGEF, CONASSIF o la UIF, la evidencia está lista para exportar.
Conoce más y solicita una demo aquí.
Año electoral en LATAM y la agenda de riesgos para 2026
Cómo gestionar la Ciberseguridad Financiera en Bolivia según ASFI
Gestión del riesgo operacional en instituciones financieras de Uruguay
Gestión del riesgo operativo en cooperativas de ahorro y crédito
Norma de control para la gestión del riesgo operativo en Ecuador
Aún no hay comentarios
Danos tu opinión