Riesgos emergentes y debida diligencia continua en 2026: cómo proteger la operación y la confianza

Tabla de contenidos

Introducción: cuando el riesgo ya no está solo “dentro”

Durante mucho tiempo, las organizaciones concentraron sus esfuerzos de control en lo que ocurría dentro de sus fronteras: procesos internos, personal propio y sistemas corporativos. Ese enfoque hoy es insuficiente. En 2026, una parte relevante del riesgo vive fuera de la organización: en terceros, proveedores, aliados, plataformas tecnológicas y dependencias operativas.

Este cambio obliga a replantear la forma de entender la debida diligencia. Ya no basta con evaluar a un tercero al inicio de la relación. La realidad exige debida diligencia continua, proporcional al riesgo y basada en evidencia verificable.

En TP Panamá trabajamos este enfoque desde la gestión del riesgo y el cumplimiento preventivo, integrando debida diligencia, auditoría y seguimiento para que las relaciones con terceros no se conviertan en puntos ciegos del sistema.

1) ¿Qué son los riesgos emergentes en 2026?

1.1. No siempre son riesgos nuevos

Un riesgo emergente no necesariamente es algo desconocido. Muchas veces es un riesgo conocido que:

  • aumenta su impacto,
  • cambia su forma,
  • o se manifiesta en un nuevo contexto.

Ejemplos frecuentes incluyen:

  • Dependencia creciente de proveedores críticos.
  • Mayor exposición a incidentes tecnológicos.
  • Uso intensivo de canales digitales.
  • Cambios regulatorios que impactan procesos existentes.
  • Reconfiguración rápida del negocio (crecimiento, fusiones, outsourcing).

El problema no es el riesgo en sí, sino no verlo a tiempo.

1.2. La velocidad como factor de riesgo

En 2026, los riesgos no “avisan”. Se materializan con rapidez, y cuando lo hacen, el margen de reacción es corto. Esto vuelve indispensable contar con mecanismos de detección temprana y revisión periódica del mapa de riesgos.

Aquí se conecta directamente el compliance con la gestión estratégica del riesgo, tal como se desarrolla en Compliance 2026: del cumplimiento normativo a la gestión estratégica del riesgo.

2) Terceros: el punto más vulnerable del sistema

2.1. Por qué los terceros concentran riesgo

Un tercero puede afectar a la organización en múltiples dimensiones:

  • Operativa: interrupciones, fallas de servicio.
  • Reputacional: prácticas inadecuadas asociadas.
  • Regulatoria: incumplimientos indirectos.
  • Tecnológica: accesos indebidos o manejo de datos.
  • Contractual: dependencias mal definidas.

Por eso, en 2026, la gestión de terceros deja de ser administrativa y se convierte en una función crítica de control interno.

2.2. No todos los terceros son iguales

Uno de los errores más comunes es aplicar el mismo nivel de revisión a todos los proveedores. La debida diligencia continua parte de la segmentación por riesgo:

  • Terceros críticos vs. no críticos.
  • Acceso a información sensible vs. acceso limitado.
  • Impacto directo en la operación vs. impacto indirecto.

Este enfoque está alineado con el enfoque basado en riesgo promovido por organismos internacionales como el GAFI/FATF, que enfatiza la proporcionalidad de las medidas según el nivel de exposición.

3) Debida diligencia continua: qué significa en la práctica

3.1. De la revisión inicial al seguimiento periódico

La debida diligencia tradicional suele concentrarse en el “onboarding” del tercero. En 2026, eso es solo el primer paso. La debida diligencia continua implica:

  • Actualizar información relevante.
  • Revisar cambios en el perfil del tercero.
  • Evaluar incidentes o alertas.
  • Verificar que los controles siguen operando.

Este seguimiento no debe ser burocrático, sino útil y aplicable.

3.2. Evidencia y trazabilidad en la relación con terceros

La debida diligencia continua solo funciona si se sostiene con evidencia clara:

  • Registros de evaluaciones.
  • Documentación de revisiones.
  • Seguimiento de hallazgos.
  • Acciones correctivas con responsables.

Cuando esta evidencia está ordenada, la organización puede demostrar que gestiona activamente sus relaciones y no solo “confía” en ellas.

Este punto se conecta con la importancia de la evidencia y el control interno, desarrollada en Tecnología, evidencia y gobernanza: los nuevos pilares del compliance en 2026.

4) Riesgo tecnológico y terceros: una conversación obligatoria

4.1. Accesos, datos y dependencias

Muchos terceros hoy tienen:

  • Acceso a sistemas internos.
  • Manejo de información sensible.
  • Rol clave en procesos críticos.

Esto convierte a la ciberseguridad en un componente esencial de la debida diligencia. Algunas preguntas clave incluyen:

  • ¿Qué accesos tiene el proveedor?
  • ¿Cómo se controlan?
  • ¿Qué medidas de seguridad aplica?
  • ¿Cómo reporta incidentes?

4.2. Evidencia de controles tecnológicos

No basta con declaraciones. En un enfoque maduro, el tercero debe poder demostrar controles: políticas, certificaciones, procedimientos, pruebas o reportes. Esta exigencia fortalece la relación y reduce riesgos para ambas partes.

5) Integración con auditoría y control interno

5.1. Auditoría como herramienta de verificación

La auditoría interna cumple un rol clave en la evaluación de la debida diligencia continua. Permite verificar si:

  • Los criterios de evaluación son coherentes.
  • La evidencia existe y es consistente.
  • Los hallazgos se gestionan oportunamente.

Este enfoque se desarrolla en Qué debe contener una auditoría de cumplimiento, donde se explica cómo conectar riesgo, control y verificación.

5.2. Control interno como soporte del seguimiento

Un control interno bien diseñado facilita la continuidad del seguimiento, evitando depender de personas específicas. Esto reduce el riesgo operativo y mejora la resiliencia organizacional.

6) Indicadores para gestionar la debida diligencia continua

En 2026, gestionar sin medir es una ilusión. Algunos indicadores útiles para debida diligencia incluyen:

  • Porcentaje de terceros clasificados por riesgo.
  • Frecuencia de actualización de evaluaciones.
  • Número de incidentes asociados a terceros.
  • Tiempo promedio de cierre de hallazgos.
  • Porcentaje de terceros críticos con evidencia vigente.

Estos indicadores no buscan “castigar”, sino anticipar.

7) Beneficios de una debida diligencia continua bien aplicada

Cuando la debida diligencia se integra al sistema de cumplimiento, los beneficios son claros:

  1. Menor exposición a incidentes inesperados.
  2. Mayor confianza de clientes y socios.
  3. Mejor respuesta ante auditorías y revisiones.
  4. Relaciones más claras y sostenibles con terceros.
  5. Mayor resiliencia operativa.

Además, la organización demuestra un compromiso real con la prevención y la gestión responsable del riesgo.

Conclusión: en 2026, confiar sin verificar es un riesgo

La confianza sigue siendo un valor, pero en 2026 debe ir acompañada de verificación. Los riesgos emergentes y la complejidad del entorno hacen que la debida diligencia continua sea una necesidad, no una opción.

Gestionar terceros con criterio, evidencia y seguimiento es una de las formas más efectivas de proteger la operación y la reputación.

Fortalece tu gestión de terceros

Si tu organización necesita fortalecer su debida diligencia continua y gestionar riesgos emergentes con un enfoque práctico y proporcional, en TP Panamá podemos acompañarte con soluciones adaptadas a tu realidad operativa.

Te invitamos a escribirnos desde nuestra página de contacto para conversar sobre cómo robustecer tu sistema de cumplimiento, auditoría y gestión de riesgos.

Nuestros servicios

Asesoría en cumplimiento

Auditorias y gestión de riesgos

Asesoría en recursos humanos

Otros

Academia TPPanamá

Contacto (#5)