Durante décadas, el área de compliance en la banca y los servicios financieros tuvo un rol claro: decir que no. Revisar que los procesos cumplieran con la regulación. Prevenir multas. Proteger a la institución de riesgos regulatorios.
Ese modelo funcionaba cuando el entorno era predecible y la regulación avanzaba lentamente. Pero el escenario actual es otro: regulaciones que cambian con velocidad creciente, riesgos emergentes que no existían hace cinco anos (ciberseguridad, activos digitales, ESG), presión de los reguladores para demostrar cultura de riesgo, no solo cumplimiento formal, y una competencia que ya trata el compliance como diferenciador estratégico, no como costo operacional.
En este nuevo contexto, el líder de riesgo y compliance que más valor aporta no es el que mejor conoce el manual regulatorio. Es el que puede traducir el riesgo en lenguaje de negocio, sentarse en el directorio como par estratégico y construir una cultura donde el compliance no frene, sino que habilita.
Estas son las 5 señales que indican que una institución financiera, y su liderazgo, ya hizo ese salto.
Señal 1: El Chief Risk Officer tiene silla en las decisiones de negocio, no solo en las de control
La primera y más clara señal del nuevo modelo es estructural: donde está sentado el CRO o el Chief Compliance Officer cuando se toman decisiones que importan.
En el modelo tradicional, riesgo y compliance son consultados después de que la decisión de negocio ya está tomada. Su rol es validar, filtrar o bloquear. En el modelo estratégico, están en la mesa desde el inicio: cuando se evalua una nueva línea de productos, una expansión geográfica o una alianza comercial.
Esta diferencia no es cosmética. Cuando el líder de riesgo entra tarde, solo puede decir si algo cumple o no cumple. Cuando entra temprano, puede ayudar a estructurar la oportunidad de una forma que sea viable, regulatoriamente robusta y competitivamente inteligente.
El CRO del futuro no es el guardian de la puerta. Es el arquitecto del riesgo que la organizacion esta dispuesta a asumir conscientemente.
Las instituciones que ya operan bajo este modelo reportan menores tiempos de aprobación de nuevos productos y mayor alineación entre las áreas de negocio y riesgo, porque el dialogo ocurre en paralelo, no en secuencia.
Señal 2: El compliance se mide por valor generado, no solo por incidentes evitados
Un área de compliance tradicional se evalúa por lo que no paso: cuantas multas se evitaron, cuantas observaciones regulatorias se cerraron, cuantos incidentes de fraude se contuvieron. Son métricas de ausencia.
El nuevo liderazgo en compliance trabaja también con métricas de presencia:
- Velocidad de time-to-market: cuanto más rápido llegan los nuevos productos al mercado porque el proceso de validación regulatoria es predictivo en lugar de reactivo.
- Calidad de la relación regulatoria: el regulador ve a la institución como un actor de buena fe que anticipa, no como uno que solo responde cuando lo presionan.
- Cultura de riesgo medida: encuestas internas, reportes espontáneos de incidentes, nivel de participación en instancias de formación.
- Habilitación de negocio: cuantas iniciativas se estructuraron de forma regulatoriamente viable gracias a la participación temprana de compliance.
Este cambio de métricas refleja un cambio de mentalidad: compliance como función que crea condiciones para que el negocio avance con seguridad, no como freno de mano
Señal 3: El líder de riesgo habla el idioma del directorio, y el directorio le escucha
Una de las brechas más costosas en las instituciones financieras es la que existe entre el lenguaje técnico del riesgo y el lenguaje de negocio que hablan los directorios.
Los informes de riesgo tradicionales están llenos de matrices de calor, índices de VaR, indicadores de exposición crediticia y probabilidades de default. Son técnicamente correctos. Y frecuentemente ilegibles para quienes tienen que tomar las decisiones que mas importan.
El nuevo líder de compliance y riesgo sabe traducir:
- De “probabilidad de incumplimiento del 3.2%” a “esto representa un impacto potencial de X millones en el capital si se materializa en el escenario adverso”
- De “exposición a riesgo regulatorio por cambios en la norma X” a “tenemos una ventana de 8 meses para adaptar tres procesos críticos antes de que el regulador empiece a supervisar activamente”
- De “brecha en los controles de prevención de lavado” a “si un auditor externo revisara esto hoy, aquí están las tres áreas que nos generarían observaciones formales”
Esta capacidad de comunicación no es secundaria: es la que determina si el directorio toma decisiones informadas sobre el riesgo o si simplemente firma lo que compliance le presenta sin entenderlo del todo.
Señal 4: Los riesgos emergentes ya están en la agenda, antes de que sean urgentes
El compliance reactivo espera que el regulador emita una norma para comenzar a prepararse. El compliance estratégico mapea el horizonte regulatorio y se mueve antes.
En el contexto actual, los lideres de riesgo que más valor aportan son los que ya tienen posición formada sobre:
- Riesgo climático y ESG: como las exposiciones del portafolio se ven afectadas por la transición energética y que espera el regulador en términos de reporte y gestión.
- Activos digitales y cripto: cual es el marco de riesgo aplicable, como se evalúa la exposición indirecta y como se prepara la institución para una regulación que aun está en construcción.
- Ciberseguridad como riesgo financiero: no solo como tema de TI, sino como exposición al capital, continuidad operacional y reputación.
- Inteligencia artificial en decisiones crediticias: como se gobierna el uso de modelos de ML en scoring para cumplir con principios de explicabilidad y no discriminación que los reguladores ya están exigiendo.
La diferencia entre anticipar y reaccionar puede ser de meses o de anos. Y en un entorno regulatorio que se mueve rápido, esa diferencia es estratégica.
Las instituciones que tratan los riesgos emergentes como "problemas del futuro" suelen descubrir que ese futuro llego más rápido de lo que esperaban.
Señal 5: La cultura de riesgo es visible en toda la organización, no solo en el área de compliance
La señal más sofisticada, y la más difícil de construir, es una cultura de riesgo que esta distribuida en toda la institución, no concentrada en un equipo.
En una cultura de riesgo madura:
- Los equipos de negocio reportan espontáneamente situaciones que podrían representar un riesgo, sin esperar a que compliance las detecte.
- Los lideres de línea hacen preguntas regulatorias antes de lanzar iniciativas, no después.
- El cumplimiento no se percibe como una restricción impuesta desde afuera, sino como parte de la forma de trabajar.
- Los incentivos están alineados: el éxito comercial no se mide solo por volumen, sino por volumen dentro de los parámetros de riesgo aceptados.
Construir esta cultura es, en parte, una responsabilidad del líder de compliance. Pero requiere que ese líder tenga la credibilidad, la visibilidad y las habilidades de influencia para permear una organización completa, no solo su propio equipo.
Y eso nos lleva a la pregunta que más nos hacen los directorios y CFOs con los que trabajamos en Wyser: donde se encuentra un perfil así.
Del compliance de control al compliance estratégico: el cambio en el perfil del líder
Para ilustrar la diferencia entre ambos modelos, aqui un contraste directo de las competencias que definen cada uno:
COMPLIANCE DE CONTROL
- Conoce la norma en profundidad.
- Reporta incumplimientos.
- Habla con el regulador cuando hay problemas.
- Su éxito = cero multas
- Es consultado al final del proceso.
- Comunica en lenguaje técnico.
- Gestiona el area de compliance
COMPLIANCE ESTRATEGICO
- Conoce la norma y el negocio.
- Anticipa riesgos regulatorios.
- Mantiene relación continua con el regulador.
- Su éxito = negocio mas robusto y sostenible.
- Participa desde el diseño.
- Traduce el riesgo al lenguaje del negocio.
- Influye en la cultura de toda la organización.
Preguntas frecuentes sobre liderazgo en compliance y riesgo financiero
¿Cuál es la diferencia entre un Chief Risk Officer y un Chief Compliance Officer?
- El Chief Risk Officer (CRO) tiene una vision mas amplia del riesgo organizacional: riesgo crediticio, operacional, de mercado, liquidez y reputacional. El Chief Compliance Officer (CCO) se enfoca especificamente en el cumplimiento de normas y regulaciones aplicables. En instituciones financieras grandes, ambos roles coexisten y deben coordinarse estrechamente. En instituciones medianas, frecuentemente una misma persona integra ambas responsabilidades.
¿Que habilidades distinguen a un líder de compliance estratégico hoy?
- Mas allá del conocimiento regulatorio profundo, los lideres de compliance de mayor impacto combinan: capacidad de comunicación ejecutiva (traducir riesgo a lenguaje de negocio), pensamiento sistémico para anticipar implicancias de segundo orden, habilidades de influencia sin autoridad formal para permear la cultura organizacional, y conocimiento de riesgos emergentes como ESG, ciberseguridad y activos digitales. La combinación de expertise técnico con liderazgo organizacional es escasa y muy demandada.
¿Por que es tan difícil encontrar buenos lideres de riesgo y compliance en el mercado financiero?
- El perfil ideal combina tres dimensiones que rara vez coexisten en un mismo profesional: conocimiento técnico profundo de la regulación vigente y emergente, experiencia practica en contextos de alta complejidad organizacional, y habilidades de liderazgo e influencia ejecutiva. A esto se suma que los mejores perfiles suelen estar bien posicionados en sus roles actuales y no buscan activamente. La búsqueda requiere metodologías de headhunting especializado que accedan al talento pasivo.
¿Cómo evaluar a un candidato para un rol de liderazgo en compliance o riesgo financiero?
- Mas allá de validar el conocimiento técnico y regulatorio, las mejores entrevistas para estos roles exploran situaciones concretas: como manejaron un conflicto entre compliance y las metas de negocio, como comunicaron un riesgo significativo al directorio, como construyeron cultura de cumplimiento en equipos que no reportaban a ellos directamente. Las respuestas a estas preguntas revelan si el candidato opera en el modelo de control o en el modelo estrategico.