Blog Gestión de Riesgos | Pirani

Cómo cumplir con la normativa de gestión de riesgos ASFI en Bolivia

Escrito por Juan Diego Vivas | abril 01, 2026

Cómo cumplir con la normativa de gestión de riesgos ASFI en Bolivia

Cumplir con la normativa de gestión de riesgos de la ASFI en Bolivia exige que todas las entidades supervisadas implementen un proceso formal de Gestión Integral de Riesgos (GIR) con seis etapas; identificación, medición, monitoreo, control, mitigación y divulgación. Según lo establecido en el Libro 3°, Título I, Capítulo I de la Recopilación de Normas para Servicios Financieros y el Artículo 35 de la Ley N° 393 de Servicios Financieros.

El problema no suele estar en la falta de documentación, sino en algo más profundo: la gestión de riesgos no está funcionando como un sistema integral, sino como esfuerzos aislados.

La Autoridad de Supervisión del Sistema Financiero (ASFI) no evalúa únicamente la existencia de documentos. Evalúa la capacidad de la entidad para gestionar riesgos de forma estructurada, consistente y con evidencia verificable.

Qué exige realmente la ASFI en gestión de riesgos

El marco regulatorio boliviano se apoya en dos pilares: la Gestión Integral de Riesgos (GIR) y el Buen Gobierno Corporativo. Ambos funcionan de forma conjunta. No se pueden implementar de manera independiente. La ASFI define la gestión de riesgos como un proceso estructurado, continuo y transversal, orientado a administrar contingencias que puedan afectar los ingresos o el patrimonio de la entidad

Esto implica tres elementos fundamentales:

1. Es un enfoque organizacional, no solo un área
Aunque exista una Unidad de Gestión de Riesgos, la responsabilidad se distribuye en toda la estructura:

  • El Directorio define la estrategia
  • La Alta Gerencia implementa
  • Las áreas operativas ejecutan

2. Es un proceso continuo
La gestión de riesgos debe aplicarse de forma permanente. No responde a eventos puntuales ni a ciclos de auditoría.

3. Es de cumplimiento obligatorio
Aplica a todas las entidades de intermediación financiera y empresas de servicios auxiliares financieros con licencia de funcionamiento emitida por la ASFI. El incumplimiento puede derivar en sanciones administrativas conforme al Régimen de Sanciones de la Ley N° 393.

¿Qué es la gestión integral de riesgos según la ASFI?

La gestión integral de riesgos, según la ASFI, es un proceso estructurado, continuo y transversal que permite identificar, medir, controlar y monitorear los riesgos que pueden afectar la estabilidad financiera, los ingresos y el patrimonio de una entidad.

Este enfoque implica que:

  • No se limita a una sola área, sino que involucra a toda la organización
  • Se ejecuta de forma permanente, no solo en auditorías o revisiones
  • Debe estar respaldado por evidencia verificable

En el contexto de la normativa ASFI de gestión de riesgo operativo, este concepto es la base sobre la cual se construyen todos los requerimientos regulatorios. Su implementación también se alinea con marcos internacionales como la ISO 31000 y el marco COSO ERM.

¿Qué tipos de riesgo exige gestionar la ASFI?

La normativa establece de forma explícita los riesgos que deben ser gestionados.

Riesgos financieros principales

  • Riesgo de crédito
  • Riesgo de liquidez
  • Riesgo de mercado

Estos riesgos tienen impacto directo sobre la estabilidad financiera de la entidad.

Riesgos no financieros

  • Riesgo operativo
  • Riesgo legal
  • Riesgo tecnológico
  • Riesgo reputacional
  • Riesgo estratégico

Un error frecuente es priorizar únicamente los riesgos financieros. La supervisión de la ASFI abarca todos los riesgos relevantes de forma integrada. De hecho, la normativa específica de gestión de riesgo operativo (Libro 3°, Título V) establece requerimientos adicionales que complementan las directrices generales de la GIR.

¿Cuál es el ciclo de gestión de riesgos según la ASFI?

El ciclo de gestión integral de riesgos contempla seis etapas secuenciales: identificación, medición, monitoreo, control, mitigación y divulgación. Cada una debe implementarse de forma formal y documentada.

  1. 1. Identificación
    Consiste en reconocer los riesgos existentes y los asociados a nuevas iniciativas, productos o cambios en el entorno.
  2. 2. Medición
    Implica cuantificar la exposición al riesgo considerando variables como probabilidad e impacto.
  3. 3. Monitoreo
    Se basa en el seguimiento continuo mediante sistemas de información e indicadores que permitan detectar desviaciones.
  4. 4. Control
    Incluye las acciones orientadas a reducir la probabilidad de ocurrencia de eventos adversos.
  5. 5. Mitigación
    Comprende los mecanismos destinados a reducir el impacto de los riesgos cuando se materializan.
  6. 6. Divulgación
    Se refiere a la comunicación oportuna y transparente hacia el Directorio, la Alta Gerencia y el regulador.

Esta última etapa es clave para la toma de decisiones y la supervisión efectiva.

¿Qué estructura organizacional requiere la ASFI?

El cumplimiento no depende únicamente de procesos. También requiere una estructura organizacional definida.

Directorio

Es el responsable final de la gestión de riesgos. Entre sus funciones principales están:

  • Aprobar la estrategia
  • Definir el apetito de riesgo
  • Establecer límites

Comité de Gestión de Riesgos

Es el órgano encargado de diseñar políticas y metodologías. Debe estar conformado por:

  • Un miembro del Directorio
  • El Gerente General
  • El responsable de la Unidad de Riesgos

Unidad de Gestión de Riesgos (UGR)

Debe operar con independencia respecto a las áreas de negocio. Sus funciones incluyen:

  • Monitoreo de riesgos
  • Evaluación de exposures
  • Generación de alertas

Auditoría interna

Actúa como instancia de control independiente. Se encarga de:

  • Verificar la ejecución de políticas
  • Evaluar la efectividad de controles
  • Identificar desviaciones

Buen gobierno corporativo: el otro pilar obligatorio

La gestión de riesgos se complementa con un marco sólido de gobierno corporativo, regulado en el Libro 3°, Título I, Capítulo II de la Recopilación de Normas de la ASFI. La normativa exige la implementación de tres documentos fundamentales:

  • Código de Gobierno Corporativo
  • Código de Ética
  • Reglamento interno

Estos instrumentos regulan: la toma de decisiones, la gestión de conflictos de interés y la transparencia organizacional. Además, permiten mitigar riesgos asociados a cumplimiento normativo, reputación y gobierno corporativo. Pirani permite gestionar estos marcos a través de su sistema de Compliance, centralizando el control de políticas, roles y responsabilidades.

El punto donde todo falla: ejecución vs documentación

En la práctica, muchas entidades cumplen a nivel documental, pero presentan debilidades en la ejecución. Los principales problemas suelen ser:

Falta de trazabilidad
No es posible demostrar de forma clara: quién ejecutó una acción, cuándo se realizó y qué decisiones se tomaron.

Inconsistencia en la gestión
Cada área aplica criterios distintos para gestionar riesgos.

Monitoreo limitado
No existen indicadores activos ni mecanismos automáticos de seguimiento.

Estos aspectos son críticos en los procesos de supervisión de la ASFI. En nuestra experiencia acompañando a organizaciones del sector financiero en Latinoamérica, la brecha entre documentación y ejecución es la causa principal de observaciones regulatorias.

Cómo cumplir con la normativa de gestión de riesgos de la ASFI paso a paso

Entender la normativa es solo el primer paso. El cumplimiento real se logra cuando cada requisito se traduce en procesos, responsables, herramientas y evidencia. A continuación tienes una guía práctica alineada con lo que la ASFI espera encontrar en una supervisión.

Paso 1. Define una política de gestión integral de riesgos completa y aplicable

La normativa exige que la entidad cuente con una política formal de gestión de riesgos. Pero no cualquier documento cumple este requisito. Una política válida debe incluir, como mínimo:

  • Alcance y objetivos: debe definir qué riesgos cubre y cuál es el propósito de la gestión dentro de la entidad.
  • Roles y responsabilidades: debe establecer claramente qué hace el Directorio, la Alta Gerencia, la Unidad de Riesgos y las áreas operativas.
  • Metodologías: debe detallar cómo se van a identificar, medir y evaluar los riesgos.
  • Límites y criterios: debe incluir niveles de tolerancia, límites de exposición y criterios para excepciones.
  • Mecanismos de reporte: debe definir qué se reporta, a quién y con qué frecuencia.

La política no puede ser genérica. Debe reflejar la realidad operativa de la entidad y estar aprobada por el Directorio.

Paso 2. Establece el apetito de riesgo y los límites operativos

Uno de los elementos más revisados por la ASFI es el apetito de riesgo. Esto define cuánto riesgo está dispuesta a asumir la entidad en función de sus objetivos. En la práctica, implica:

  • Definir métricas claras, por ejemplo: nivel máximo de morosidad, límites de exposición por tipo de cliente, umbrales de pérdidas operativas.
  • Establecer límites formales que estén documentados, aprobados por el Directorio y monitoreados de forma continua.
  • Vincularlo con la estrategia: el apetito de riesgo debe estar alineado con el plan estratégico, la capacidad financiera y el contexto del mercado.

Cuando este punto no está bien definido, toda la gestión de riesgos pierde coherencia.

Paso 3. Implementa metodologías de identificación y medición

La ASFI exige que los riesgos no solo se identifiquen, sino que se evalúen con criterios definidos.

  • Identificación estructurada: debe realizarse de forma sistemática, considerando procesos internos, productos financieros y factores externos. Esto suele materializarse en mapas de riesgo e inventarios de riesgos.
  • Medición consistente: cada riesgo debe evaluarse bajo una misma lógica. Las metodologías más utilizadas incluyen matrices de probabilidad e impacto, modelos estadísticos para riesgo financiero e indicadores clave de riesgo (KRI).

La clave aquí es la consistencia. No se trata de tener múltiples metodologías, sino de aplicar una de forma uniforme.

Paso 4. Diseña controles y planes de mitigación efectivos

Identificar riesgos sin controles no genera valor. La ASFI espera ver controles diseñados y ejecutados correctamente:

  • Asociados a riesgos específicos
  • Con responsables definidos
  • Con frecuencia de ejecución clara

Los planes de mitigación se activan cuando el riesgo supera los niveles aceptables. Deben incluir acciones concretas, responsables y fechas de ejecución, y ser monitoreados hasta su cierre.

Paso 5. Implementa un sistema de monitoreo continuo

El monitoreo es uno de los puntos más críticos en supervisión. No basta con revisar riesgos de forma periódica. Debe existir seguimiento continuo a través de:

  • KRI (indicadores de riesgo)
  • KPI (indicadores de desempeño)
  • KCI (indicadores de control)

Los reportes deben tener periodicidad definida, llegar a los niveles correctos (Gerencia, Directorio) y ser claros y accionables. Cuando un indicador supera un umbral, debe generarse una alerta que active acciones. Sin este componente, la gestión de riesgos se vuelve reactiva.

Paso 6. Asegura la trazabilidad y la evidencia

Este es uno de los puntos más críticos para cumplir con la ASFI. Cada acción dentro del sistema de riesgos debe poder demostrarse: evaluaciones realizadas, controles ejecutados, decisiones tomadas y reportes generados. La evidencia debe ser clara, accesible y auditable. Aquí es donde muchas entidades dependen de correos, archivos sueltos o Excel, lo que dificulta demostrar cumplimiento ante una supervisión.

Paso 7. Cumple con los requerimientos de reporte a la ASFI

La normativa establece obligaciones de reporte específicas. Uno de los principales requisitos es el informe anual de gestión de riesgos, que debe incluir:

  • Riesgos identificados
  • Nivel de exposición
  • Características del sistema de gestión
  • Excepciones a políticas
  • Evolución del perfil de riesgo

Además, la información debe ser consistente con lo que ocurre en la operación diaria. Cualquier diferencia entre el reporte y la realidad es un hallazgo seguro.

Paso 8. Fortalece la independencia de la función de riesgos

La ASFI exige independencia en la gestión de riesgos. Esto implica que la Unidad de Riesgos:

  • No debe depender de áreas comerciales
  • Debe tener acceso directo al Directorio o Alta Gerencia
  • Debe poder emitir alertas sin interferencias

Cuando esta independencia se debilita, la gestión pierde objetividad.

Paso 9. Capacita continuamente a la organización

La normativa también establece la necesidad de formación continua. No solo para el equipo de riesgos, sino para toda la organización. Esto permite mejorar la identificación de riesgos, asegurar la correcta ejecución de controles y fortalecer la cultura de riesgo. Pirani ofrece recursos formativos a través de su Escuela de Gestión de Riesgos que pueden complementar los programas internos de capacitación.

El error más costoso: gestionar riesgos en Excel

En este punto, muchas entidades ya tienen procesos definidos. El problema es cómo los ejecutan. La siguiente tabla muestra las limitaciones de gestionar riesgos con herramientas manuales frente a un software especializado:

Criterio Excel / herramientas manuales Software especializado de gestión de riesgos
Trazabilidad Limitada. No registra quién hizo qué ni cuándo Completa. Registro automático de cada acción con usuario, fecha y detalle
Alertas No existen. Dependes de revisión manual Automáticas. Se disparan cuando un indicador supera un umbral
Reportes regulatorios Manuales. Alto riesgo de error y demora Automáticos. Generación en tiempo real para Gerencia, Directorio y ASFI
Escalabilidad Difícil. Cada nuevo riesgo o proceso requiere más archivos Alta. Crece con la operación sin duplicar esfuerzo
Consistencia metodológica Baja. Cada área puede aplicar criterios distintos Alta. Metodología única aplicada de forma uniforme
Evidencia para supervisión Dispersa en correos, carpetas y versiones de archivos Centralizada y auditable en un solo sistema

Esto impacta directamente en la capacidad de cumplir con la ASFI.

Cómo alinear la normativa ASFI con un software de gestión de riesgos

Si comparas los requerimientos de la ASFI con lo que debe tener un sistema, la relación es directa:

  • Identificación y medición → matrices configurables de riesgo
  • Monitoreo → indicadores (KRI, KPI, KCI) y dashboards
  • Control y mitigación → gestión de controles y planes de acción
  • Divulgación → reportes automáticos para Gerencia y Directorio
  • Gobierno corporativo → gestión de políticas, roles y responsabilidades
  • Trazabilidad → registro completo de cada acción

Cuando estos elementos están integrados, el cumplimiento deja de ser manual y pasa a ser parte del flujo normal de la operación.

¿Por qué las entidades en Bolivia están migrando a software especializado?

En el contexto actual de Bolivia, la presión regulatoria es creciente:

  • Más exigencia en evidencia
  • Mayor frecuencia de supervisión
  • Estándares alineados a marcos internacionales como ISO 31000 y Basilea

Esto hace que los modelos basados en Excel o procesos manuales pierdan viabilidad. Las entidades que están avanzando más rápido comparten algo en común: han convertido la gestión de riesgos en un sistema digital, no en un conjunto de archivos. La normativa de la ASFI es clara en lo que exige: un sistema integral, procesos definidos, roles claros y evidencia verificable.

En la práctica, cumplir con la normativa ASFI de gestión de riesgos en Bolivia implica pasar de un enfoque documental a un modelo operativo. Es decir, no solo definir la gestión integral de riesgos, sino ejecutarla de forma consistente, medible y alineada con los lineamientos regulatorios.

¿Quieres ver cómo Pirani puede ayudarte a cumplir con la normativa ASFI? Agenda una demo gratuita o inicia sesión gratis en Pirani y conoce cómo mejorar tu gestión de riesgos 
Ver post completo