Tres grandes focos de riesgo - El rumbo del “buque Colombia” - 23° Congreso de Riesgos Asobancaria 2025
Tres grandes focos en la Gestión de Riesgo : 1. Responsabilidad Crediticia - 2. Cumplimiento Regulatorio - 3. Gestión de la Seguridad, y la prevención de Ciberdelitos en modelos de Open Finance
El rumbo del “buque Colombia”: lecciones — y amenazas — tras el 23° Congreso de Riesgos 2025 de Asobancaria
Cartagena fue, nuevamente, el escenario 23º Congreso de Riesgos de Asobancaria, celebrado los días 20 y 21 de noviembre de 2025 en el hotel Hyatt Regency.
Durante la sesión de instalación, a cargo de Alajandro Vera, su vicepresidente técnico, abordó los grandes restos, desafíos y riesgos a través de un nombre sugestivo, “Buque Colombia”, el que dibujó una metáfora poderosa: un navío que surca mares turbulentos — guerras internacionales, marejadas comerciales, tormentas climáticas, desafíos internos — pero impulsado por un motor vigoroso y potente: el sistema financiero. Un motor que impulsa y da velocidad; además, es confiable y se adapta a los cambios globales.
Y claro que este motor del sistema financiero es confiable ¡¡, y no por que lo diga Asobancaria, sino por que asi lo demuestra el famiso CFEN "Coeficiente de Fondeo Estable Neto", que valga repetirlo, si le ha sacado canas a todos los equipos de riesgo: " hoy podemos decir que por cada peso de fondeo estable requerido tenemos 1,17 pesos de fondeo disponible para fondearnos en el sistema. En materia de liquidez" resalto Vera.
TODA LA BANCA SE HA TRANSFORMADO
En general en todo la agenda académica del evento, todos conincidieron, así como lo resalto Vera en su presentación, que no es correcto dividir la banca entre banca tradicional y banca nueva, la banca en general ha hecho una gran transformación. El 82% de las operaciones son digitales hoy en Colombia, hace cinco años era 68%, hace 10 años era cercano al 45%.: "Nos hemos adaptado al cambio tecnológico y esto se va a seguir profundizando; la llegada de Bre-B va a ser fundamental. Bre-B lleva un mes y medio desde el 6 de octubre, un mes y medio de operaciones, y hoy contamos con 93 millones de llaves según el Banco de la República, el centralizador, 93 millones de llaves para 33 millones de personas. Esto se va a profundizar necesariamente" puntualizó Vera.
CONFERENCIA MAGISTRAL
La conferencia magistral, a cargo de Patricinio Puga, líder de inclusión para Latinoamérica y el Caribe de IFC, se centró en la gestión de riesgos ambientales y sociales. Resalto los dos principios centrales que deben orintar su gestión: proporcionalidad y relevancia.
Lo que isgnifica: 1) defina umbrales ajustados a al tamaño de cada entidad, exposición y capacidades 2) procesos más realistas y efectivos operativamente. 3) Segmentación adecuada con criterios específicos, que permita identificar el portafolio de personas que tienen una exposición diferenciada , para su correcta identificación, evaluación y mitigación.
Sin duda en este tema una de las grandes preguntas quedo en el contexto: ¿Cómo integrar el análisis de riesgos ambientales y sociales en la estrategia de portafolio de personas? – Sostenibilidad en el crédito individual
La incorporación de factores ESG (ambientales, sociales y de gobernanza) en la evaluación de créditos personales, no da espera. La exploración sobre cómo mitigar riesgos climáticos y sociales en préstamos a individuos, con casos prácticos de inclusión financiera, con énfasis en innovación sostenible, es el siguiente paso.
Entre miles de retos, en 2026 ese buque llamado el sistema financiero de Colombia, encuentra uno de sus mayores retos en tres grandes focos en cuanto a la la Gestión de Riesgo : Responsabilidad Crediticia; Cumplimiento Regulatorio; Gestión del Fraude
1. Responsabilidad Crediticia
Ese motor, el sistema financiero, está impulsado por la potencia de cerca de 784 billones de pesos en cartera, (los que significan un crecimiento del 6,8% real entre 2019 y 2025)
Es de resaltar que de los 784 billones de pesos en cartera, 134 billones, el 18% del total, se entrega con cumplimiento de criterios ambientales y sociales a las poblaciones excluidas, a los proyectos de biodiversidad, a las energías renovables.
Un hecho que resalto Vera es que el crédito en las empresas está creciendo: "Ustedes miran las cifras recientes de la Superintendencia de Sociedades y se dan cuenta que las empresas no están creciendo por más equity, más patrimonio de los accionistas, están creciendo por crédito, crédito que pone el sector financiero y que está generando, según estimaciones técnicas, entre 0,3 y 0,5 puntos porcentuales más de crecimiento económico cada trimestre", afirmo. Vera- Comentario que nos llamó mucho la atención en el equipo de Ciclo de Riesgo, por que el empresariado no lo siente asi.
REBANCARIZACIÓN DE DEUDORES VENCIDOS
Uno de los temas que ha cogido más auge es la importancia de los modelos de Rebancarización, especializados en reincorporar al sistema financiero de más de 7 millones de personas que actualmente están excluidas por historial crediticio negativo.
Colombia cuenta con cerca de 38 millones de adultos, y de estos hay 20 millones de personas que tienen al menos un crédito. Según los standares internacionales de acceso al crédito, (que dan cuenta que más o menos el 25% de la población se auto excluye del crédito) y consdierando tambien las personas que no necesitan, no quieren crédito, que se lo piden a a otras fuentes) se estima que en Colombia nos falta atender al rededor de 8,5 millones de personas, que están por fuera de las cifras de créditos activos.
Bajo otra aproximación, hay fuentes diferentes que muestran que entre 7 y 8 millones de personas están reportadas negativamente en las centrales de riesgos. Frente a esta Cifra resalto Vera que el foco esta ahi :
"si queremos seguir avanzando en el acceso al crédito, en seguir mejorando el indicador de inclusión crediticia, el trabajo está allí, en esas 7 u 8 millones de personas que están reportadas negativamente. Por eso es muy importante trabajar en una política gruesa de rebancarización. Esa política obviamente va a requerir que las autoridades y las entidades se articulen con productos flexibles, acompañamiento permanente y monitoreo estricto. Evidentemente es mucho más riesgo, pero si queremos avanzar en acceso al crédito, nos toca trabajar en una política de esta naturaleza, que además en Asobancaria creemos es la única manera, ¡la única manera! de detener la andanada o la seguidilla de proyectos populistas. Populistas porque evidentemente lo que generan es un efecto muy dañino en la ciudadanía que se quiere volver a bancarizar o que quiere volver a tener un crédito. Para lograrlo, subrayó que será vital diseñar productos financieros adecuados a los perfiles de estos clientes y acompañarlos durante el proceso, fomentando así una cultura de pago responsable. En esta vía, los nuevos modelos de “rebancarización” con perfil de riesgo, que han resultado positivos, continúan perfeccionándose".
PROBLEMÁTICA CON LA LEY DE INSOLVENCIA
Como uno de los focos en responsabilidad crediticia, la banca viene priorizando la promoción de buenos hábitos de pago: como explicó Vera: "¡Los colombianos somos en verdad muy buenas pagas! Cuando uno mira el promedio histórico de la cartera en mora en Colombia, se acerca al 4%, obviamente con subidas y bajadas, cuatro pesos de cada 100 solamente han estado, en promedio, en mora en Colombia. Tenemos que seguir promoviendo esa cultura de pago porque es lo que mantiene el ciclo financiero funcionando adecuadamente. ¿Cuál es el desafío que tenemos? Que han empezado a aparecer personas, empresas, que están usando mecanismos legales, incluso necesarios, como la Ley de Insolvencia que es fundamental para cuando las personas tienen un periodo de vacas flacas, un periodo negativo y tienen que ajustarse, para erosionar los hábitos de pago y generar fraude. Tenemos un trabajo fundamental allí.
El uso creciente de mecanismos legales — como procesos de insolvencia — que, si bien legítimos, están ya erosionando la cultura de pago y aumentando la vulnerabilidad del sistema.
La Ley de Insolvencia fue flexibilizada recientemente, reduciendo el requisito de mora del 50 % al 30 % de las acreencias. Ante esta flexibilización y presionados por un veradero boom de abogados oportunistas, que han hecho de esto todo un negocio que atenta contra la ética, se dispararón las solictudes de insolvencia de personas naturale. Crecieron 64 % entre 2023 y 2024 y en 46 % en los primeros diez meses de 2025. Se estiman que puedan llegar a las 18.000 al cierre del año.
Y es que es tan grave lo que está pasando con la Ley de Insolvencia de personas naturales, que por primera vez este tema, es protagonista de esta agenda de este congreso.
Unidos en una sola voz, los expertos alentaron del mal uso de este mecanismo para eludir el pago, desafortunadamente en muchos casos con la complacencia, casi delictiva de abogados y jueces.
2. Cumplimiento regulatorio y fragilidad del “fondo de maniobra” macro-económico
Un dato que genera alerta: la reserva fiscal, el colchón de estabilidad macroeconómico — tiene un “agujero” estimado del 6,7 % del PIB.
- La incertidumbre política y fiscal: con un déficit del tamaño señalado y la cercanía de elecciones con múltiples precandidatos, la gobernabilidad, la política pública, los impuestos, la regulación pueden virar, generando ruido para los inversionistas, para los depositantes, para los riesgos macroeconómicos.
- Con tasas de interés elevadas, costo de deuda creciente y gasto público robusto, esa frágil estructura fiscal pone en tensión la capacidad del sistema bancario de resistir choques simultáneos: impagos, devaluaciones, presiones inflacionarias.
Sin duda, la forma como se proyecta el panorama político y los escenarios de cambio en Colombia de cara a 2026, colocan a la Política como factor de riesgo principal .
Uno de los paneles analizó las implicaciones de los cambios políticos inminentes en Colombia, incluyendo elecciones y reformas, y su impacto en la estabilidad financiera, con énfasis en escenarios de riesgo como polarización o reformas fiscales. Se discutieron herramientas para modelar estos riesgos en portafolios bancarios.
En este sentido, una de las intervenciones más destacada fuer la de Néstor Humberto Martínez, exfiscal general de la Nación, quien detalló riesgos legales y constitucionales. Por su parte, María Margarita Zuleta, directora de la Escuela de Gobierno Alberto Lleras Camargo de la Universidad de los Andes, enfatizó en los modelos de escenarios futuros, subrayando la necesidad de diversificación de riesgos ante un 2026 incierto.
Ante la pregunta, ¿Está preparado el sistema financiero para enfrentar los vaivenes de la coyuntura macroeconómica? La respuesta contundente es Si. Y esta dotado de gran Resiliencia para seguir afrontando tiempos de incertidumbre.
Este panel discusión exploró la capacidad del sector financiero colombiano para navegar fluctuaciones macroeconómicas, como inflación persistente y tensiones geopolíticas, proponiendo estrategias de mitigación basadas en datos y proyecciones. El enfoque estuvo en equilibrar crecimiento con estabilidad, analizando indicadores clave como el PIB y las tasas de interés.
En la sesión participó Francisco Bustillo, excanciller de Uruguay y exembajador en España y Argentina, quien aportó una visión internacional sobre impactos geopolíticos; Laura Moisá, codirectora del Banco de la República, que presentó datos macroeconómicos actualizados; Daniel Velandia, director general de investigación y economista jefe de Credicorp Capital, enfocado en proyecciones de mercado; y José Alba, decano de la Facultad de Administración, Finanzas y Ciencias Económicas de la Universidad EAN, quien enfatizó modelos de estrés testing. Sus aportes resaltaron la preparación relativa del sistema, pero alertaron sobre vulnerabilidades externas.
3. Fraude, riesgo operacional y nuevos desafíos de ciberseguridad
-
Durante el congreso se identificó la gestión del fraude como uno de los tres desafíos centrales para 2026.
-
En un contexto en que el grueso de las operaciones bancarias se ha digitalizado — con una adopción creciente de plataformas, pagos inmediatos (como el sistema BRE‑B), banca móvil y nuevos canales digitales — las amenazas cibernéticas, de fraude, phishing, suplantación o vulneraciones de datos cobran mayor relevancia. Lo advierten también recientes estudios globales sobre banca digital.
Vera destacó el crecimiento exponencial de las operaciones digitales, que ya representan el 82% de las transacciones en el sistema, y alertó sobre el aumento significativo del fraude digital, como se ha evidenciado en otros países con la implementación de pagos instantáneos. El sector bancario colombiano ya destina 1,7 billones de pesos anuales para prevenir fraudes y fortalecer la ciberseguridad, y se trabaja en un centralizador de datos que permita consolidar información para generar alertas tempranas y promover un intercambio efectivo entre entidades.
Sin duda una de las mayores preocupaciones está centrada en la gestión del riesgo operacional de cara a la operación de la nube, cuando hay caídas del sistema, frente a lo cual, el desarrollo de resiliencia tecnológica en la mejor herramienta, según lo enfatizó Juan David Vergara, líder del centro de excelencia de Arquitectura de TI de Bancolombia, compartiendo protocolos de recuperación. Sus lecciones: backups híbridos reducen downtime en 50%.
En Colombia, avances como Bre-B y open finance obligatorio intensifican riesgos operativos, con delitos cibernéticos que propagan fraudes transfronterizos en cadenas interoperables. El BID advierte sobre exclusión y gobernanza deficiente, urgiendo atención inmediata ante un ecosistema donde atacar uno es atacar todos
-
Respecto a regulación y cumplimiento se profundicó especialmente en la Quinta Ronda de Evaluaciones Mutuas del GAFI prevista para 2028 y la adopción de estándares internacionales Basilea III.
-
En el congreso participaron activamente los entes reguladores, representados por Guillermo Sinisterra, superintendente delegado adjunto para riesgos de la Superintendencia Financiera de Colombia, y Mauricio Salazar, subdirector de regulación prudencial de la Unidad de Proyección Normativa y Estudios de Regulación Financiera, quien compartió avances en políticas prudenciales. Ambos subrayaron la necesidad de una supervisión proactiva en un entorno volátil.
Más allá del crédito: el río turbulento de riesgos macro, climáticos y geopolíticos
Con visión holística, durante varios de los paneles se expusieron amenazas sistémicas que trascienden los estados financieros:
- Las derivadas del comercio internacional: aranceles crecientes, tensiones geopolíticas, rupturas en cadenas de suministro globales. Todo eso puede golpear de forma asimétrica sectores clave de la economía real — agro, manufactura, importaciones — lo que se traduce en riesgo crediticio para los bancos.
- El cambio climático: sequías, inundaciones, desastres naturales, alteraciones en la producción agrícola — eventos que, aunque no dependan directamente del sistema bancario, pueden generar incumplimientos generalizados y afectar la calidad del crédito, sobre todo en sectores sensibles.
Un llamado a las estrategias de riesgo:
El llamado para los altos directivos que manejamos carteras, cobranza, crédito, fintech y riesgos es claro: no es suficiente con tener una cartera limpia o provisiones adecuadas. La resiliencia debe construirse con una arquitectura de riesgo de múltiples capas, que contemple:
- Políticas estrictas de responsabilidad crediticia: análisis robusto de perfil de endeudamiento, límites prudenciales, monitoreo constante de la calidad de los activos.
- Fortalecimiento de controles operativos y de fraude: inversión en ciberseguridad, monitoreo de transacciones, autenticación fuerte, modelos de detección temprana.
- Estrategias de diversificación — no sólo geográfica o de producto, sino de riesgo: incluir activos sometidos a criterios ambientales y sociales (ESG), considerar exposiciones al clima y al riesgo regulatorio. De hecho, Asobancaria informa que 134 billones de pesos de cartera (≈ 18 % del total) ya operan con criterios ambientales y sociales.
- Preparación para escenarios macro adversos: estrés de liquidez, estrés de crédito, escenarios de shock cambiario o inflación, cambios regulatorios.
- Crédito alineado a objetivos sociales. Propender por una colocación con propósito, lleva a redefinir la gestión del riesgo y la productividad del crédito.
Los préstamos con impacto social (como vivienda asequible) optimizan riesgos y rentabilidad, fueron protagonistas en el debate, mediante el análisis de métricas de productividad y casos de éxito en Colombia.
¿Es posible delegar en la IA la gestión del riesgo de crédito y la toma de decisiones financieras? – IA como aliada o amenaza
Como no podía ser de otra manera, el debate examinó el rol de la inteligencia artificial en la evaluación de créditos, desde algoritmos predictivos hasta sesgos éticos, cuestionando si la IA puede reemplazar juicios humanos sin comprometer la equidad y la regulación. Sin duda los modelos IA basados en datos alternativos están siendo grandes protagonistas.
En un Diálogo regional, los CROs (Chief Risk Officers) sobre loque une y desafía a los vicepresidentes de riesgos en Latinoamérica hoy, se destacaron, las ciberamenazas y la volatilidad cambiaria, como los mayores desafíos, identificando sinergias para una gestión transfronteriza de riesgos.
Otro tema que estuvo muy presente fue la forma en que ayudan las pruebas de estrés a fortalecer la resiliencia financiera ante las disrupciones del mercado, bajo metodologías para de simulaciones para crisis, como metodologías de stress testing, desde escenarios climáticos hasta shocks inflacionarios, y su rol en la preparación de balances bancarios
GESTIÓN DE FRAUDE Y ATAQUES CIBERNETICOS EN UN MODELO DE OPEN FINANCE
La banca abierta será tan segura como su eslabón más débil - La arquitectura de Open Finance y banca abierta ha creado, sin proponérselo, una cadena de confianza nivelada al eslabón menos seguro.
Uno de los temas de mayor relevancia es la gestión del fraude en un ecosistema de finanzas abiertas. La discusión abordó amenazas como phishing en APIs abiertas, proponiendo IA y colaboración interbancaria para detección temprana.
La banca abierta (Open Finance) se presenta como una promesa de democratización financiera, habilitando el intercambio de datos entre actores regulados y no regulados bajo el principio del consentimiento informado. Sin embargo, esta apertura expone al sistema a un riesgo estructural: la vulnerabilidad compartida. En un ecosistema interconectado, el encadenamiento de actores se nivela por el eslabón más débil. Un ataque dirigido a un participante marginal puede escalar con la misma magnitud que un ataque país, comprometiendo la integridad de todo el sistema.
Por su puesto todos sabemos que la entidad que luzc más débil que va ser el principal blanco de los ataques: entidades no reguladas, cooperativas, fintechs de capital mínimo, agregadores de datos y proveedores del comercio, telcos, etc...
-
- Suplantación de identidad y accesos indebidos a datos sensibles
- Fraude sistémico se maginifica por la interoperabilidad, ya que se crean superficies de ataque que trascienden fronteras regulatorias. Un tercero no regulado, con controles laxos, puede convertirse en puerta de entrada para comprometer bancos, fintechs y usuarios.
- Responsabilidad difusa: La coexistencia de actores heterogéneos —instituciones financieras tradicionales, startups tecnológicas, proveedores de servicios auxiliares, cooperativas— plantea un dilema: ¿quién responde cuando la falla de uno afecta a todos?
El riesgo no es individual, sino colectivo. La cadena de confianza se rompe en el punto más frágil, y el impacto se distribuye en cascada.
El encadenamiento nivelado al eslabón más débil
El principio de resiliencia sectorial exige reconocer que la seguridad no puede ser opcional ni fragmentada. En Open Finance, la vulnerabilidad de un actor periférico equivale a la vulnerabilidad de todo el ecosistema. La metáfora del “ataque país” es precisa: un adversario no necesita atacar al centro neurálgico; basta con comprometer al actor menos protegido para desencadenar un colapso sistémico.
En la premisa fundacional de la banca abierta —“el cliente es dueño de sus datos”— ha sido elevada a dogma sin que nadie haya respondido la pregunta verdaderamente perturbadora: ¿qué ocurre cuando el cliente, o un tercero que actúa en su nombre, es el vector de entrada de un atacante persistente avanzado?
El Precedente que Nadie Quiere Nombrar: En 2016, el robo de 81 millones de dólares del Banco de Bangladesh a través de la red SWIFT demostró que comprometer un nodo periférico puede generar pérdidas de escala global. la historia se se repetido, pero ahora sin necesidad de acceder a sistemas de mensajería bancaria: basta una cuenta de desarrollador descuidada.Open Finance ha multiplicado exponencialmente el número de nodos periféricos equivalentes a aquel banco de Bangladesh de 2016, pero con una diferencia crítica: en lugar de un único punto de fallo, ahora existen decenas de miles.
El Reloj Corre en Silencio, y aún no hay protocolos probados concluyentes, a pruebas mixtas sobre acceso delegado irrestricto a cuentas y pagos, heterogeneidad extrema en niveles de seguridad entre participantes, y responsabilidad solidaria efectiva.
La banca abierta, tal como está concebida hoy, constituye el mayor experimento no controlado de transferencia de riesgo sistémico de la historia financiera moderna. Mientras los reguladores celebran indicadores de adopción y número de APIs registradas, el contador de un incidente de proporciones catastróficas sigue avanzando.Cuando ocurra —y la probabilidad es solo función del tiempo—, no habrá espacio para señalar culpables individuales: el sistema entero habrá sido diseñado para caer en bloque desde el momento en que se aceptó que el eslabón más débil tuviera el mismo poder destructivo que el más fuerte.Este no es un riesgo futuro. Es un riesgo presente que aún no ha encontrado su detonador.
La narrativa de innovación financiera no puede ocultar la dimensión crítica del riesgo compartido. El fraude y la suplantación en Open Finance no son incidentes aislados, sino amenazas estructurales que ponen en cuestión la viabilidad del modelo si no se asume una responsabilidad colectiva. La alerta es clara: sin estándares homogéneos de seguridad y sin gobernanza que abarque a todos los actores, regulados y no regulados, el sistema se expone a un colapso que trasciende lo financiero y se convierte en un problema de confianza institucional.
Si no se aborda esta brecha de seguridad sistémica con el mismo nivel de coordinación y rigor que se aplica a la estabilidad financiera macroeconómica, el Open Finance corre el riesgo de convertirse en un canal eficiente para la amplificación del fraude, volviendo insostenible la promesa de la innovación. El momento de la alerta es ahora.
Este Congreso reafirma que la banca colombiana avanza con prudencia en un contexto volátil, apostando por la inclusión financiera, la innovación responsable y la colaboración intersectorial para afrontar en 2026 los retos que plantea un entorno cada vez más desafiante y digitalizado.