Durante los últimos años, el sistema financiero peruano ha entrado en una nueva etapa. No se trata únicamente de mayor regulación, sino de un cambio en la forma en que esa regulación es evaluada. La Superintendencia de Banca, Seguros y AFP (SBS) ha evolucionado hacia modelos de supervisión mucho más exigentes, donde la evidencia operativa, la trazabilidad y la consistencia en la ejecución pesan más que la mera existencia de políticas y procedimientos.

En paralelo, las entidades están atravesando procesos de transformación tecnológica acelerada, con adopción de cloud, arquitecturas distribuidas, integración con terceros, uso creciente de analítica avanzada e inteligencia artificial. Este doble movimiento, más regulación y más complejidad tecnológica, no es solo un contexto desafiante; está generando un punto de tensión muy concreto dentro de las organizaciones.

Porque, en la práctica, la mayoría no tiene un problema para cumplir. Tiene un problema mucho más incómodo: sostener ese cumplimiento en la operación real.

De la documentación a la evidencia: el cambio silencioso en la supervisión

Históricamente, gran parte de los modelos de cumplimiento se construyeron sobre la base de documentación. Políticas, manuales, matrices de riesgo, procedimientos definidos. Ese enfoque sigue siendo necesario, pero dejó de ser suficiente.

Hoy, los organismos reguladores, no solo en Perú sino a nivel global, están poniendo el foco en la capacidad de las organizaciones para demostrar cómo operan realmente. Este cambio está alineado con estándares internacionales como los lineamientos del Basel Committee on Banking Supervision o los marcos de control interno como COSO, que ya no se interpretan como ejercicios teóricos, sino como prácticas que deben sostenerse en la operación cotidiana.

Esto introduce una diferencia clave, que muchas organizaciones subestiman: no alcanza con que un control exista; tiene que ejecutarse, tiene que ejecutarse de forma consistente, y alguien tiene que poder demostrarlo sin reconstruirlo bajo presión.

Ahí es donde empiezan a aparecer las fricciones reales. No en la definición, sino en la ejecución.

El desfasaje estructural: lo que se define vs. lo que realmente ocurre

En la práctica, muchas entidades financieras conviven con un desfasaje que rara vez se explicita, pero que todos reconocen cuando aparece en una auditoría. Existe una distancia entre lo que la organización define, lo que la operación ejecuta y lo que efectivamente puede demostrar.

Ese gap no es anecdótico ni responde a un error puntual. Es estructural.

Se sabe que hay procesos que dependen de personas. Se sabe que hay controles que no siempre se ejecutan como fueron diseñados. Se sabe que la trazabilidad no es completa en todos los flujos críticos. Pero mientras el sistema “funciona”, ese desfasaje se tolera, se naturaliza e incluso se vuelve invisible.

Hasta que alguien pide evidencia.

Distintos estudios lo reflejan. Según Deloitte, más del 60% de las organizaciones financieras reconoce dificultades para asegurar la ejecución consistente de controles definidos, especialmente en entornos tecnológicos complejos. PwC, por su parte, señala que uno de los principales problemas en auditorías no es la ausencia de controles, sino la incapacidad de demostrar su funcionamiento efectivo en el tiempo.

En otras palabras, el problema no es que falten controles. Es que no están integrados a la operación de forma que garanticen su ejecución y su trazabilidad.

Tecnología más compleja, menor control real

A este desfasaje se suma un factor que lo amplifica: la complejidad tecnológica.

Las entidades financieras hoy operan con ecosistemas donde conviven múltiples sistemas core y satélites, integraciones con fintechs y proveedores críticos, arquitecturas híbridas y multicloud, pipelines de datos distribuidos y, cada vez más, componentes de inteligencia artificial.

Nada de esto es negativo en sí mismo. De hecho, es lo que permite escalar, innovar y competir. El problema aparece cuando esa complejidad crece más rápido que la capacidad de gobernarla.

Según Gartner, más del 70% de las organizaciones que avanzan en estrategias multicloud reportan dificultades para mantener control y trazabilidad consistentes entre entornos. En el sector financiero, esa dificultad no es solo técnica; se traduce directamente en riesgo operativo.

El resultado es bastante concreto, aunque no siempre se explicite así dentro de las organizaciones: procesos que atraviesan múltiples sistemas sin una trazabilidad completa de punta a punta, controles que existen pero no pueden seguirse en todo el flujo, y evidencia que debería estar disponible, pero termina reconstruyéndose manualmente cuando alguien la solicita.

Y cuando la solicita el regulador, el margen de error ya no existe.

Cuando el control depende de personas, el riesgo deja de ser gestionable

Hay otro elemento que aparece de forma recurrente cuando se analizan estos escenarios: la dependencia de conocimiento tácito.

En muchas organizaciones, el funcionamiento real de procesos críticos no está en los documentos ni en los sistemas, sino en las personas. Equipos que conocen excepciones, que saben cómo “se resuelven las cosas”, que compensan desvíos y sostienen la operación con criterio propio.

Ese modelo puede funcionar durante años. De hecho, suele ser lo que permite que la operación no se rompa.

Pero también es lo que hace que el control no sea reproducible, ni escalable, ni defendible.

El World Economic Forum ha señalado que la dependencia de procesos no automatizados o no institucionalizados es uno de los principales factores de riesgo en entornos financieros digitalizados. En términos prácticos, esto se traduce en variabilidad, pérdida de consistencia y una exposición que crece a medida que la organización escala.

Lo que antes era flexibilidad, en este contexto, pasa a ser riesgo estructural.

El impacto en el negocio: cuando el problema deja de ser regulatorio

Pensar este problema solo desde el cumplimiento es quedarse corto.

La falta de control operativo real impacta directamente en la eficiencia, en la capacidad de escalar y en la velocidad con la que una organización puede evolucionar. Procesos que requieren intervención manual para sostenerse, auditorías que demandan reconstrucción de evidencia, equipos sobrecargados tratando de cerrar brechas que nunca se resolvieron en origen.

Según McKinsey & Company, las ineficiencias asociadas a procesos de control mal integrados pueden representar entre un 5% y un 10% del costo operativo en instituciones financieras.

En ese contexto, el control deja de ser un requisito regulatorio y pasa a ser un factor que habilita o limita el crecimiento del negocio. No se trata solo de evitar sanciones, sino de poder operar con previsibilidad.

El cambio de enfoque: del cumplimiento documental al control operativo

Las organizaciones que están logrando adaptarse a este escenario no necesariamente tienen más controles ni más regulación. Tienen una forma distinta de abordar el problema.

Dejan de tratar el cumplimiento como una capa externa, documental o reactiva, y empiezan a integrarlo en el diseño mismo de la operación. La normativa deja de ser algo que se interpreta y se convierte en algo que se ejecuta.

Eso implica traducir requerimientos regulatorios en procesos concretos, diseñar controles que formen parte del flujo operativo, generar evidencia de forma automática y asegurar trazabilidad desde el origen, no como un esfuerzo posterior.

No es un cambio menor. Implica dejar de “explicar” el control para empezar a operarlo.

Una transición que ya empezó

La presión regulatoria no va a disminuir. La complejidad tecnológica tampoco. Lo que sí está cambiando, y ya es evidente, es el estándar con el que se evalúa a las organizaciones.

En los próximos años, la diferencia no va a estar en quién tiene mejores políticas o mayor nivel de documentación. Va a estar en quién puede sostener control real sobre su operación y demostrarlo sin fricción.

Porque en este contexto, cumplir es solo el punto de partida.

El verdadero diferencial está en no tener que reconstruir el control cada vez que alguien lo pide.

Y ahí aparece una pregunta inevitable: si hoy tu organización tuviera que demostrar, de punta a punta, cómo funcionan sus controles en la operación, ¿podría hacerlo sin fricción?

Si esta conversación resuena con tu realidad, vale la pena abordarla a tiempo.

👉 Agendar una conversación con un especialista