Desde la adhesión de Costa Rica a la OCDE, las entidades supervisadas por la SUGEF enfrentan un estándar regulatorio que ya no evalúa si cumplen, sino si pueden demostrar con evidencia trazable. El Acuerdo SUGEF 24-22 vincula directamente la calidad de la gestión de riesgos con la calificación institucional, lo que significa que una gestión basada en hojas de cálculo y documentos dispersos puede traducirse en restricciones operativas, mayor supervisión y daño reputacional. En este contexto, el cumplimiento deja de ser una declaración y se convierte en una capacidad demostrable. Este artículo explica qué cambió en el marco regulatorio costarricense, qué exige cada normativa vigente y cómo las entidades financieras y los sujetos obligados fuera del sistema bancario pueden pasar de un cumplimiento teórico a uno demostrable.
Tabla de contenido
El ingreso de Costa Rica a la OCDE no fue solo un reconocimiento diplomático. Representa un cambio estructural en la forma en que las entidades financieras son evaluadas, supervisadas y comparadas a nivel global. La adhesión obligó al país a alinear su marco regulatorio con estándares internacionales como Basilea III, que refuerzan la necesidad de modelos formales de gestión de riesgos, gobierno corporativo sólido y mayor transparencia. En la práctica, la SUGEF y el CONASSIF ahora exigen evidencia verificable, trazable y consistente en el tiempo. Para las entidades, el mensaje es directo: cumplir ya no es suficiente si no puedes demostrarlo.
El Acuerdo SUGEF 24-22 establece el sistema de calificación de entidades financieras y contiene un criterio que muchas organizaciones subestiman: la calidad de la gestión de riesgos influye directamente en la evaluación integral de cada institución. Esto tiene tres implicaciones concretas:
Una calificación baja ya no es solo una observación técnica. Puede traducirse en mayores niveles de supervisión, restricciones operativas e impacto reputacional frente a inversionistas y aliados internacionales.
El nuevo estándar de cumplimiento regulatorio en Costa Rica se materializa en seis regulaciones clave.
La SUGEF 2-10 establece la necesidad de un sistema formal para identificar, medir, monitorear y controlar riesgos en toda la organización. Esto incluye indicadores clave de riesgo (KRIs), matrices de probabilidad e impacto, y reportes periódicos a la alta gerencia. En este contexto, la gestión de riesgos deja de ser una función aislada y se convierte en un componente central en la toma de decisiones organizacionales. Las entidades que gestionan sus riesgos en hojas de cálculo no logran generar la trazabilidad que la SUGEF requiere durante una visita de supervisión.
La SUGEF 14-21 exige una gestión estructurada de los activos de información, incorporando controles de seguridad alineados con la norma ISO 27001. Además, requiere procesos documentados para responder a incidentes, lo que implica demostrar no solo prevención, sino capacidad de reacción y resiliencia operativa. Los elementos clave que una entidad debe tener documentados incluyen: inventario clasificado de activos de información, evaluación de riesgos de seguridad, controles implementados del Anexo A de ISO 27001, y una Declaración de Aplicabilidad (SoA) verificable.
Esta norma exige dejar atrás la reacción para implementar indicadores de alerta temprana monitoreados de forma continua, planes de recuperación ante escenarios de estrés y contingencias aprobadas por la junta directiva. Para muchas organizaciones, pasar de reaccionar a prevenir representa el mayor salto en su madurez de cumplimiento regulatorio Costa Rica.
El acuerdo CONASSIF 5-24 introduce lineamientos sobre el gobierno y la gestión de tecnología de información. Refuerza la necesidad de una infraestructura sólida de ciberseguridad, capacidades de monitoreo y respuesta ante incidentes, y establece un rol activo de la junta directiva en la supervisión de estos temas. Con esta regulación, la tecnología pasa de ser un tema operativo a un componente estratégico del cumplimiento regulatorio en Costa Rica.
La Ley 7786 amplía significativamente el alcance del cumplimiento en materia de prevención de lavado de activos y financiamiento del terrorismo (PLAFT). Su impacto no se limita al sector financiero tradicional. Profesionales como notarios, contadores y abogados, así como empresas del sector inmobiliario que gestionan transacciones de alto valor, están obligados a implementar sistemas formales que incluyen: metodología de riesgo LAFT, procesos de debida diligencia (KYC), esquemas de monitoreo continuo de operaciones, y reportes a la UIF del ICD. Sin embargo, la realidad muestra que muchos de estos sujetos obligados desconocen esta obligación o la gestionan de manera informal con documentos dispersos y herramientas básicas. Mientras tanto, la UIF del ICD continúa fortaleciendo su capacidad de fiscalización. La pregunta clave no es si la obligación existe, sino si tu organización o firma podría demostrarlo hoy con evidencia clara y trazable ante una visita de la UIF.
Refuerza la necesidad de modelos formales de gestión, gobierno corporativo sólido y mayor transparencia, alineando Costa Rica con estándares internacionales.
A continuación se detalla qué exige cada una:
| Normativa | Qué exige | A quién aplica | Riesgo de incumplimiento |
|---|---|---|---|
| SUGEF 2-10 |
Sistema integral de gestión de riesgos: KRIs, matrices, reportes periódicos a alta gerencia |
Bancos, financieras, cooperativas, mutuales y entidades captadoras | Calificación baja, mayor supervisión |
| SUGEF 14-21 |
Gestión estructurada de activos de información, controles ISO 27001, planes de respuesta a incidentes |
Toda entidad supervisada con infraestructura tecnológica crítica |
Vulnerabilidad ante incidentes, observaciones regulatorias
|
| SUGEF 23-23 |
Enfoque preventivo: alertas tempranas, planes de recuperación ante estrés, contingencias aprobadas por junta |
Bancos y entidades financieras supervisadas por SUGEF Énfasis en entidades sistémicamente relevantes para el sistema financiero costarricense |
Gestión reactiva y riesgo operativo
|
| CONASSIF 5-24 |
Gobierno TI, ciberseguridad, monitoreo de incidentes, rol activo de junta directiva |
Todas las entidades del sistema financiero nacional | Exposición a ciberriesgo, incumplimiento de gobierno TI |
| Ley 7786 |
Prevención LAFT: metodología de riesgo, debida diligencia (KYC), monitoreo continuo, reportes UIF |
Entidades financieras, notarios, contadores, abogados, inmobiliarias |
Multas, sanciones y reputación
|
| Basilea III |
Modelos formales de gestión, gobierno corporativo de riesgos, transparencia |
Bancos y entidades sistémicamente relevantes | Desalineación con estándares internacionales |
Las entidades mejor preparadas tienen información estructurada, histórica y verificable lista para exportar en minutos. Las que no lo están enfrentan: información dispersa en hojas de cálculo sin consolidación, falta de trazabilidad en decisiones y aprobaciones, controles que existen en papel pero sin monitoreo documentado, y reportes que requieren días de reconstrucción manual cuando el regulador los solicita en horas. La diferencia no está en el nivel de conocimiento técnico, sino en si ese conocimiento se ha convertido en gestión sistemática y evidencia exportable.
El cambio que atraviesa el sistema financiero costarricense no es únicamente regulatorio, sino también operativo. Las entidades que están logrando adaptarse con mayor éxito comparten una característica: han migrado de modelos fragmentados a sistemas integrados de gestión. En estos modelos:
Este tipo de enfoque permite no solo cumplir con las normativas vigentes, sino demostrar cumplimiento de forma consistente, eficiente y auditable ante cualquier regulador.
Pirani es una plataforma GRC (Gobierno, Riesgo y Cumplimiento) diseñada para ayudar a las organizaciones a gestionar de forma integrada su cumplimiento regulatorio en Costa Rica y su gestión de riesgos. Utilizada por más de 70,000 usuarios en más de 110 países, permite a entidades financieras, cooperativas y sujetos obligados pasar del cumplimiento teórico al cumplimiento demostrable. Pirani integra cinco sistemas diseñados para cubrir el espectro completo de la gestión de riesgos y cumplimiento:
Entidades como MultiMoney, Coopealianza y Akros Technologies ya utilizan Pirani para centralizar riesgos, controles, normativas y evidencias en una sola plataforma. Transformaron el cumplimiento teórico en cumplimiento demostrable, con evidencia lista para exportar ante SUGEF, CONASSIF y la UIF. Toda la información se centraliza en una sola plataforma, lo que significa que cuando llegue la próxima visita de SUGEF, CONASSIF o la UIF, la evidencia está lista para exportar.
Conoce más y solicita una demo aquí.