Resumen De IA
Una visita del ente regulador no llega con cuatro semanas de aviso. Llega cuando llega, y pide lo que pide. En Colombia, la Superintendencia Financiera; en México, la CNBV; en general, cualquier supervisor sectorial quiere ver lo mismo: el mapa de riesgos actualizado, las políticas aprobadas por la junta en su versión vigente, las evidencias de los controles ejecutados en el último trimestre y el historial de incidentes con sus planes de acción.
Hay organizaciones que responden con carpetas físicas y correos buscados en el historial. Hay otras que abren el módulo de auditoría de su software GRC y entregan un paquete organizado en horas. La diferencia entre ambas no es solo operativa. Es reputacional. Y en ciertos casos, determina la severidad de las observaciones que el ente deja en el informe de visita.
Lo que buscan los entes reguladores cuando auditan tu gestión de riesgos
La SFC no audita si tienes un software. Audita si gestionas el riesgo de manera efectiva y si puedes demostrarlo. Esa demostración requiere evidencia: no intenciones, no documentos de política desactualizados, no matrices de riesgo que nadie toca desde hace dos años.
Los organismos reguladores colombianos verifican cuatro elementos concretos cuando evalúan la gestión de riesgos y cumplimiento de una organización:
| Elemento | Qué verifica el regulador | Cómo lo evidencia un GRC |
| Modelo formal de gestión | Políticas vigentes, metodología documentada, roles y responsabilidades definidas | Módulo de políticas con versionado, aprobadores y fecha de vigencia activa |
| Ejecución del modelo | Riesgos evaluados en el período, cambios en valoraciones, controles ejecutados y sus resultados | Módulo de riesgos con historial de evaluaciones y evidencias de ejecución de controles |
| Gestión de incidentes y hallazgos | Eventos documentados, impacto, planes de remediación y estado de seguimiento por responsable | Módulo de incidentes y hallazgos con trazabilidad completa y fechas de cierre |
| Planes de continuidad | BIA actualizado, planes de recuperación probados y versionados | Módulo de BIA y continuidad con historial de pruebas, versiones activas y responsables |
Cómo un GRC organiza tu evidencia por ente regulador
La dificultad real de responder ante múltiples entes reguladores no es la falta de información. Es que la información está dispersa: políticas en SharePoint, matrices en Excel, incidentes en tickets de correo, planes de continuidad en PDF sin versión clara. La gestión de evidencias para auditorías es uno de los puntos donde la diferencia entre un GRC y Excel es más inmediata y visible.
Un software GRC para entes reguladores bien implementado centraliza esa información bajo una estructura común y permite organizarla por requerimiento de supervisión. Cuando la SFC pide el inventario de riesgos operativos con sus controles asociados, el sistema genera ese reporte. Cuando la Supersolidaria requiere la documentación del SIAR, está disponible con su historial de versiones. Cuando el auditor externo necesita las evidencias de controles del último semestre, el módulo de auditoría basada en riesgos las entrega filtradas por período y por marco normativo.
La diferencia entre construir esa evidencia en el momento de la visita y tenerla disponible de forma continua no es solo operativa. Los organismos reguladores colombianos han intensificado la supervisión basada en datos. Llegan con preguntas preparadas sobre períodos históricos. Si tu evidencia solo existe en el momento de la inspección, eso es visible.
SAGRILAFT, PTEE y la presión del sector financiero
Para las entidades obligadas por el SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos y Financiación del Terrorismo), las exigencias de documentación son específicas. El reporte anual a la UIAF requiere estructura de datos precisa. Las matrices de riesgo de LA/FT deben reflejar la metodología aprobada. Los controles deben estar documentados con sus ejecutores y fechas de ejecución.
El PTEE (Plan de Trabajo Empresarial de Erradicación) agrega otra capa de cumplimiento para organizaciones del sector privado sujetas a normas adicionales.
Gestionar SAGRILAFT y PTEE en hojas de cálculo independientes, sin conexión con el resto del modelo de riesgos, genera trabajo duplicado y evidencia fragmentada. Un GRC que integra el módulo de cumplimiento normativo con el módulo de riesgos y el módulo de auditoría permite que los controles SAGRILAFT se vinculen con los riesgos operativos, y que los hallazgos de auditoría alimenten la actualización del mapa de riesgos. No son capas separadas: son el mismo proceso visto desde ángulos distintos.
ISO 31000 e ISO 27001: cómo un GRC alienado reduce la distancia entre operación y auditoria
Las certificaciones ISO no son exclusivas del sector privado de gran tamaño. Cada vez más organizaciones en Colombia y LATAM las adoptan como señal de madurez ante reguladores, clientes y socios internacionales. Y para que el proceso de certificación no sea un proyecto aparte de tu operación cotidiana, la clave está en usar una plataforma GRC alineada desde el inicio a los marcos que quieres certificar.
ISO 31000:2018 establece los principios, el marco y el proceso de gestión de riesgos. Un GRC alineado a esta norma no requiere que reconstruyas tu modelo para preparar la auditoría de certificación: el modelo ya está en la plataforma, con su historial de revisiones y sus evidencias de ejecución.
ISO 27001:2022 requiere un tratamiento riguroso del riesgo de seguridad de la información, con controles documentados, evaluaciones de riesgo periódicas y un plan de tratamiento con responsables y fechas. El módulo de gestión de riesgos de un GRC cubre exactamente esa estructura.
Cuando una organización ya trabaja con un GRC alineado a estos marcos, la auditoría de certificación pasa de ser un proyecto de seis meses a ser una verificación de lo que ya existe en el sistema.
El impacto real de un informe de visita con observaciones
Un informe de visita con observaciones por deficiencias en la gestión de riesgos tiene consecuencias concretas: planes de acción con plazos que el mismo ente va a monitorear, potenciales sanciones en reincidencia y, en el caso de la SFC, posibles medidas cautelares o requerimientos públicos.
Lo que no suele aparecer en ese análisis es el costo previo: el tiempo del equipo de cumplimiento construyendo evidencias de último minuto, los errores que se cometen bajo presión de tiempo y el desgaste acumulado de responder cada visita como si fuera la primera.
Un software GRC que organiza esa evidencia de manera continua tiene un costo mensurable. El costo de no tenerlo cuando el inspector llega también lo tiene, pero se paga en el peor momento.
Sectores que ya gestionan su cumplimiento regulatorio con NovaSec
NovaSec trabaja con organizaciones del sector financiero, cooperativo y de servicios en LATAM que gestionan sus modelos SARM, SARL, SARO y SAGRILAFT en una sola plataforma. Casos como Redeban y Cotrafa ilustran cómo esta integración funciona en sectores altamente regulados. La integración entre módulos permite que el trabajo de cumplimiento alimente el modelo de riesgos y que los hallazgos de auditoría generen acciones de tratamiento con responsables y fechas definidas.
Si tu organización está evaluando opciones y quieres saber qué preguntas hacerle a cualquier proveedor en ese proceso, te recomendamos revisar el RFI para software GRC con las 20 preguntas que ningún proveedor debería poder esquivar.
