Por Claudia Avendaño, vicepresidente corporativo de Cumplimiento y Riesgo en Molymet, Chile.
¿Cuántas veces has revisado un reporte de riesgos con muchos indicadores que mostraba que todo estaba bien, y días o semanas después la crisis estalló en tu cara?
Imagina esto: un lunes por la mañana, el directorio de tu empresa quiere revisar la matriz de riesgos actualizada y todo se ve dentro de control. Pero el miércoles, una filtración realizada en redes sociales por un cliente descontento desencadena una crisis reputacional.
Por otro lado, el jueves en la tarde un proveedor clave de tu principal actividad, ubicado en otro continente, interrumpe sus operaciones sin claridad de cuánto podría durar. Con todo, el viernes el equipo de ejecutivos se reúne para analizar todo lo acontecido, todavía tratando de entender qué paso.
La matriz de riesgos revisada el lunes no lo vio venir. Los controles existían, pero el riesgo fue más rápido.
Esto ya no es un escenario hipotético, es el patrón que se repite en organizaciones de toda la región y del mundo.
Y no es que la gente haga mal su trabajo, el problema es el modelo que seguimos aplicando. La matriz de riesgos estaba ahí, los controles se testeaban, los comités existían y se reunían cada cierto tiempo, los reportes circulaban cada cierre de mes y alguien los firmaba conforme. Todo en regla y, aun así, la crisis llegó sin que nadie la viera venir para poder desactivarla.
Esto tampoco podemos tomarlo sólo como mala suerte o una excepción, es simplemente un fallo de diseño de nuestro modelo de control. Seguimos gestionando los riesgos al ritmo lento de los procesos internos, mientras el mundo real se mueve a mil por hora.
El mundo cambió; los modelos, no siempre
Durante décadas diseñamos sistemas de control asumiendo que siempre tendríamos margen de maniobra. Había tiempo para auditar, luego analizar y reaccionar. Las matrices anuales funcionaban porque los riesgos también se movían a paso lento.
Ese entorno ya no existe.
En junio de 2025, la llamada Guerra de los 12 días entre Israel e Irán sacudió los mercados globales de energía. Meses después, en febrero de 2026, Estados Unidos e Israel relanzaron operaciones militares contra Irán. El estrecho de Ormuz, por donde transita cerca del 20% del petróleo que mueve la economía global, quedó bajo amenaza directa. Los costos de transporte se dispararon y los tiempos de tránsito se extendieron. Las compañías aseguradoras cancelaron coberturas de guerra con sólo 72 horas de aviso.
Empresas de América Latina que no tenían ninguna operación en Medio Oriente sintieron el impacto en sus cadenas de suministro en cosa de días. Ninguna de ellas lo tenía mapeado en su matriz de riesgo y menos reflejado en un KPI.
Y en simultáneo, grupos cibernéticos alineados con el conflicto desplegaron ataques a cadenas de suministro digital, afectando a organizaciones sin conexión directa con la guerra. El riesgo cibernético y el riesgo geopolítico dejaron de ser riesgos separados.
Entonces el desafío ya no es sólo tener controles, es tener alertas tempranas que respondan en tiempo real. Y eso exige una transformación de fondo que necesariamente requiere de apoyo tecnológico, para pasar de modelos reactivos a capacidades reales de anticipación. Monitoreos continuos, análisis de alertas tempranas, modelos predictores, estructuras capaces de conectar puntos dispersos antes de que se conviertan en crisis.
No todos los riesgos emergentes se resuelven con más controles
Sin duda, enfrentamos tiempos desafiantes, donde no sólo con más y mejor tecnología podremos reemplazar el criterio humano.
Porque mientras más rápido avanza la tecnología, más importante se vuelve la capacidad de cuestionar. De hecho, cuanto más rápido avanza la tecnología, más falta nos hace el sentido común.
Otra consideración importante es saber que algunos riesgos requieren manejarse con una cultura sólida, con liderazgo y ética, que permitan tomar decisiones correctas en tiempos de alta presión.
De hecho, los algoritmos hoy en día pueden amplificar contenidos —incluyendo desinformación y campañas negativas— con una rapidez que supera la velocidad de respuesta humana. Tenemos mucho en que trabajar en Latinoamérica, donde pocas empresas vinculan la gestión de riesgos reputacionales con indicadores clave que se revisan en las reuniones ejecutivas.
En ese sentido, hoy el verdadero desafío de la gestión de riesgos NO es identificar amenazas conocidas; es desarrollar organizaciones capaces de adaptarse, cuestionar y responder rápido en entornos donde la incertidumbre evoluciona más rápido que cualquier modelo de supervisión.
Porque en el mundo actual, el riesgo no espera a la próxima auditoría.
Claudia Avendaño, vicepresidente corporativo de Cumplimiento y Riesgo en Molymet, Chile.
Escríbenos a contacto@compliancelatam.legal si necesitas más información.
