La gestión de riesgos en Latinoamérica entró a 2026 con una paradoja difícil de ignorar: hay alta conciencia del riesgo, pero baja consistencia en la ejecución. Ese fue el punto de partida de nuestro foro alrededor del Estudio de Gestión de Riesgos 2026, y también el hilo conductor de una conversación que cruzó cultura, data, regulación, ciberseguridad, continuidad del negocio e inteligencia artificial.
El mensaje de fondo fue claro: no faltan marcos, matrices ni documentos. Lo que falta -en muchas organizaciones- es convertir el riesgo en decisiones, hábitos y asignación real de recursos.
La brecha principal: saber de riesgos no es lo mismo que gestionarlos
El estudio (y la experiencia de los panelistas) confirma un patrón regional: muchas empresas pueden describir sus riesgos, incluso tienen metodologías y reportes, pero la gestión no se “vive” en el día a día.
En palabras que se repitieron con distintos enfoques: el riesgo se queda en el PowerPoint, en el PDF o en el checklist, y no llega a donde debería llegar: la operación, la estrategia y el presupuesto.
Si tuvieras que tomar una sola decisión en 2026 para cerrar la brecha, ¿cuál sería?
La primera pregunta del foro fue directa: si una organización tuviera que elegir una sola decisión clave para cerrar la brecha entre conciencia y ejecución en 2026, ¿cuál sería?
Las respuestas fueron complementarias y, juntas, dibujan una hoja de ruta muy práctica:
1) Consolidar una cultura de riesgos (no solo “capacitar”)
Juan Carlos Medina lo planteó como base: cuando la gestión de riesgos se vuelve cultura, deja de depender de persecución, recordatorios o auditorías. Se vuelve parte del “ADN” organizacional.
La idea no es romántica: es operativa. Sin cultura, los controles se ejecutan por inercia, se vuelven rituales y terminan fallando cuando más importan.
2) Arreglar la data antes de querer “hacer magia” con IA
Maribel Vázquez puso el foco en un problema silencioso: la data incompleta, inconsistente o no digitalizada. Muchas organizaciones quieren analítica avanzada, automatización o IA, pero se encuentran con que su información “no da”.
Y aquí hay un punto crítico: sin data confiable, no hay monitoreo efectivo, no hay alertas útiles y no hay trazabilidad real. La gestión se vuelve opinativa.
3) Integrar el riesgo al sistema de incentivos y desempeño
Karen Lopera aterrizó la cultura en un mecanismo concreto: lo que se mide y se premia, se hace. Si la gestión de riesgos no aparece en evaluaciones de desempeño, incentivos o criterios de éxito, el mensaje implícito es que “no es prioridad”.
En otras palabras: la cultura no se decreta; se diseña.
4) Hacer que el riesgo tenga voto en estrategia y presupuesto
Julián Zamora lo resumió con una frase contundente: si el riesgo no cambia decisiones, no es gestión, es decoración corporativa.
El foro citó un dato del estudio: muchas organizaciones declaran que el riesgo es estratégico, pero pocas lo integran realmente en decisiones. El resultado es predecible: se aprueban iniciativas, se asignan recursos y luego se “acomoda” la matriz para cumplir.
5) Involucrar a la alta dirección con lenguaje de impacto (incluyendo cuantificación)
Reinaldo Sandoval reforzó un punto clave: la cultura empieza arriba. Y para involucrar a la alta dirección, muchas veces hay que hablar en el idioma que mueve decisiones: impacto, consecuencias y dinero.
Además, propuso migrar de una gestión solo cualitativa a una que combine lo cualitativo con lo cuantitativo, para que el riesgo sea comparable, priorizable y accionable.
Señales prácticas de que una empresa “dice” que gestiona riesgos, pero no lo vive
Una de las intervenciones más accionables fue la de Karen Lopera, al describir señales típicas de una gestión de riesgos superficial:
- Lenguaje de delegación: “eso lo ve riesgos”, “eso es de auditoría”, “eso es de compliance”. Cuando la primera línea no se siente dueña, la gestión no existe.
- Matrices que se actualizan solo por auditoría o regulación, no por cambios reales del negocio.
- Riesgos que aparecen después de aprobar proyectos, como un trámite posterior, en vez de ser insumo previo para decidir.
- Responsables que ni saben que lo son, o comités donde el riesgo es un punto formal sin discusión estratégica.
- Indicadores con desviaciones recurrentes que se vuelven paisaje: se reportan, pero no generan acción.
En síntesis: se nota cuando el riesgo es un sistema vivo y cuando es un archivo.
Regulación, fraude digital y delitos financieros: la brecha entre norma y realidad
Maribel Vázquez explicó un desfase que muchas organizaciones sienten: los fraudes digitales evolucionan con velocidad y creatividad, mientras que la regulación suele moverse más lento y con rigidez.
Además, hay un componente global: estos delitos cruzan fronteras, y las diferencias entre marcos regulatorios crean “grietas” que los atacantes aprovechan.
¿Dónde está el punto de equilibrio? Maribel lo ubicó en capacidades como:
- monitoreo,
- alertamiento,
- y un enfoque basado en riesgos que permita diseñar controles dinámicos sin esperar a que la norma “alcance” al fraude.
Cumplimiento por obligación vs convicción: el riesgo de operar en modo checklist
Juan Carlos Medina advirtió sobre un riesgo frecuente: ver el cumplimiento como un requisito regulatorio genera pérdida de efectividad.
Los reguladores ya no se conforman con “tener el manual” o “tener el oficial”: revisan calidad, aterrizaje a la realidad del negocio y capacidad técnica. Pero incluso más allá del regulador, el problema es interno: cuando se trabaja por checklist, se pierde el propósito, se sobrecarga el modelo y se vuelve ineficiente.
Y en un contexto donde “hay que hacer más con menos”, la efectividad deja de ser deseable y se vuelve indispensable.
Ciberseguridad e IA: el error no es técnico, es conceptual
Julián Zamora llevó la conversación a un punto muy actual: los incidentes de ciberseguridad aumentan y la IA acelera ataques, pero el mayor error es tratar la ciberseguridad como un problema solo tecnológico.
Su argumento fue contundente: la IA no elimina vulnerabilidades; las reconfigura. Y si los atacantes operan a velocidad algorítmica, las organizaciones no pueden responder con comités mensuales, aprobaciones en cadena y falta de gobernanza.
La pregunta ya no es “¿tenemos ciberseguridad?”, sino: ¿tenemos gobernanza, criterio humano y velocidad de decisión equivalentes a la velocidad del ataque?
Continuidad del negocio: por qué fallan los planes “en papel”
Reinaldo Sandoval explicó que el problema no suele ser el diseño del plan (muchas empresas ya documentan bien), sino lo que pasa cuando el evento es real:
- pruebas demasiado tecnológicas,
- líderes de procesos críticos que no saben operar sin sistemas,
- dependencia total de TI para “volver a funcionar”,
- y, sobre todo, desorden en la toma de decisiones durante la crisis.
De nuevo, el hilo conductor fue cultura y liderazgo: quienes dirigen la crisis a veces son los últimos en entrenarse para manejarla.
Riesgo como oportunidad: cómo salir del “fatalismo”
En preguntas del público apareció un tema recurrente: ¿cómo dejar de ver el riesgo solo como amenaza?
Karen propuso empezar por el lenguaje y el objetivo: si decimos que el riesgo también crea valor, hay que incorporarlo conscientemente en identificación, gestión y reporte (no solo “los goles que tapé”, también “los goles que hice”).
Juan Carlos lo aterrizó con un ejemplo: la pandemia obligó a virtualizar operaciones; para algunos fue solo riesgo, para otros fue oportunidad de alcance y crecimiento. La diferencia suele estar en el conocimiento del modelo de negocio y la madurez para leer el contexto.
