Durante años, muchas organizaciones entendieron la gobernanza de datos como una disciplina de control: catálogos, políticas, diccionarios, responsables, comités, linaje, clasificación y reglas de acceso.
Todo eso importa. Pero en banca digital, quedarse solo en esa lectura es insuficiente.
La gobernanza de datos no debería existir únicamente para ordenar información o cumplir auditorías. Debería ayudar a que la organización tome mejores decisiones, automatice con más confianza, responda con evidencia y reduzca ambigüedad en procesos críticos.
La idea de fondo es simple: gobernar datos no es controlar documentos; es gobernar la forma en que una institución decide.
Cuando una organización financiera no tiene claridad sobre sus datos, tampoco tiene claridad completa sobre sus decisiones. Puede tener tableros, plataformas analíticas, modelos de inteligencia artificial y procesos automatizados, pero si las definiciones son ambiguas, las fuentes no están autorizadas, la calidad no se mide y el linaje no se entiende, la confianza queda comprometida.
La gobernanza de datos se vuelve estratégica cuando deja de ser un esfuerzo administrativo y se convierte en una capacidad organizacional para decidir, operar y evolucionar mejor.
¿Qué es la gobernanza de datos en banca digital?#
La gobernanza de datos en banca digital es el conjunto de roles, políticas, responsabilidades, estándares, controles y mecanismos que permiten que los datos sean confiables, seguros, trazables, comprensibles y útiles para decisiones de negocio, riesgo, operación, cumplimiento, automatización e inteligencia artificial. Su objetivo no es solo controlar información, sino mejorar la calidad de las decisiones que dependen de ella.
El error: tratar la gobernanza de datos como burocracia#
Una de las principales razones por las que la gobernanza de datos falla es porque se presenta como una carga adicional para negocio y tecnología.
- Un nuevo comité.
- Un nuevo formato.
- Una nueva política.
- Una nueva matriz de responsables.
- Un glosario que nadie consulta.
- Un catálogo que se llena una vez y luego envejece.
Cuando la gobernanza se implementa así, la organización la percibe como burocracia. Algo que retrasa, que documenta tarde o que aparece cuando ya hay un problema.
Pero el problema no es la gobernanza. El problema es reducirla a una práctica documental desconectada de decisiones reales.
La gobernanza de datos debería responder preguntas que importan a la operación y al negocio: cuál es la definición oficial de cliente activo, qué fuente es autorizada para consultar identidad, qué datos puede usar un modelo de inteligencia artificial, quién responde por la calidad de un dato crítico, qué información es sensible, cómo se explica una decisión automatizada y qué evidencia se conserva para auditoría o regulador.
Cuando esas preguntas no están resueltas, la organización no solo tiene un problema de datos. Tiene un problema de decisión.
El vínculo entre arquitectura de datos y gobernanza#
La gobernanza de datos no puede operar aislada de la arquitectura de datos.
La arquitectura define cómo se estructuran, integran, protegen, transforman, distribuyen y consumen los datos. La gobernanza define las reglas, responsabilidades y controles para que ese ecosistema sea confiable.
Separarlas genera una fractura peligrosa.
Cuando arquitectura diseña sin gobernanza, puede construir plataformas técnicamente elegantes pero funcionalmente ambiguas. Cuando gobernanza define políticas sin arquitectura, puede producir documentos correctos pero difíciles de implementar.
En una institución financiera, ambas disciplinas deben trabajar juntas.
La arquitectura de datos debe ayudar a materializar la gobernanza en flujos, dominios, APIs, eventos, modelos, controles de acceso, linaje, observabilidad y mecanismos de consumo. La gobernanza debe ayudar a la arquitectura a priorizar qué datos son críticos, quién los cuida, qué calidad requieren y qué decisiones habilitan.
El Data Management Body of Knowledge (DAMA-DMBOK) organiza la gestión de datos como una disciplina amplia que incluye gobierno, arquitectura, calidad, seguridad, metadatos e integración. Su valor está en recordar que la gobernanza no es una isla: forma parte de un sistema integral de gestión de datos.
La gobernanza se vuelve efectiva cuando pasa del papel a la arquitectura operativa.
Caso aplicado: el indicador que cambia según el área#
Imaginemos una institución financiera que quiere medir clientes digitales activos.
Negocio define cliente activo como quien inició sesión en la aplicación durante los últimos 30 días. Riesgo considera activo al cliente que tiene un producto vigente. Operaciones lo mide por transacciones ejecutadas. Marketing lo mide por interacción con campañas. Finanzas lo cruza con rentabilidad. Tecnología lo toma desde logs de canales digitales.
Todas las definiciones pueden tener sentido en su contexto. El problema aparece cuando la organización usa el mismo nombre para hablar de cosas distintas.
El resultado es conocido: reportes que no cuadran, discusiones improductivas en comités, campañas mal segmentadas, decisiones comerciales inconsistentes, modelos analíticos entrenados con criterios mezclados e indicadores ejecutivos difíciles de defender.
Una respuesta superficial sería pedir “arreglar el reporte”.
Una respuesta de gobernanza haría algo distinto: distinguiría entre cliente digital activo, cliente transaccionalmente activo, cliente comercialmente activo y cliente con producto vigente; definiría responsables; documentaría reglas de cálculo; establecería fuentes autorizadas; publicaría linaje; definiría controles de calidad e integraría la definición a tableros, modelos, APIs y procesos.
El problema no era el tablero. Era la falta de gobierno sobre el significado.
La gobernanza como sistema de decisión#
Uno de los cambios más importantes es dejar de ver la gobernanza de datos como un sistema de control y empezar a verla como un sistema de decisión.
En banca digital, muchas decisiones dependen de datos: aprobar una solicitud, bloquear una transacción sospechosa, segmentar clientes, personalizar una oferta, priorizar cobranza, medir rentabilidad, calcular riesgo, generar reportes regulatorios, monitorear operación o alimentar modelos de inteligencia artificial.
Si los datos están mal gobernados, las decisiones heredan esa fragilidad.
Por eso la gobernanza debe enfocarse en datos críticos para decisiones críticas. No todos los datos requieren el mismo nivel de gobierno. No todo campo merece el mismo esfuerzo. No todo reporte exige el mismo grado de trazabilidad.
El criterio arquitectónico consiste en priorizar.
¿Qué datos sostienen decisiones de alto impacto? ¿Qué datos afectan al cliente? ¿Qué datos impactan riesgo, cumplimiento o continuidad? ¿Qué datos alimentan automatización o inteligencia artificial? ¿Qué datos generan evidencia ante auditoría o regulador?
Ahí debe concentrarse primero la gobernanza.
Calidad de datos: de métrica técnica a riesgo operativo#
La calidad de datos suele medirse con criterios como completitud, consistencia, unicidad, validez, oportunidad y exactitud. Son criterios útiles, pero no suficientes.
En banca, la calidad de datos debe conectarse con riesgo operativo.
Un dato incompleto puede impedir una validación de identidad. Un dato duplicado puede afectar la visión integral del cliente. Un dato desactualizado puede generar una oferta incorrecta. Un dato inconsistente puede distorsionar un indicador de riesgo. Un dato sin linaje puede debilitar una explicación ante auditoría. Un dato mal clasificado puede exponer información sensible.
Por eso, la pregunta no debería ser únicamente:
¿Qué porcentaje de calidad tiene este dato?
La pregunta más importante es:
¿Qué decisión se afecta si este dato falla?
Esa pregunta cambia la conversación. Convierte calidad de datos en gestión de riesgo, continuidad operativa y confianza organizacional.
BCBS 239: una lección clave sobre datos de riesgo#
En servicios financieros, una de las referencias más relevantes para hablar de datos, riesgo y reporteo es el documento del Basel Committee on Banking Supervision (BCBS), Principles for effective risk data aggregation and risk reporting, conocido como BCBS 239.
Aunque fue desarrollado para bancos de importancia sistémica, sus principios dejan una lección útil para cualquier institución financiera: la agregación de datos de riesgo debe ser precisa, íntegra, oportuna, adaptable y gobernada.
Esto importa porque el riesgo no se gestiona bien si la información llega tarde, incompleta, fragmentada o con definiciones inconsistentes.
En banca digital, la misma lógica puede aplicarse a fraude, crédito, operación, ciberseguridad, cumplimiento, canales digitales y experiencia de cliente. No se trata de copiar BCBS 239 como si toda institución tuviera la misma escala o regulación. Se trata de entender su mensaje de fondo: una organización financiera necesita capacidades sólidas de datos para entender su exposición y responder con oportunidad.
Gobierno de datos para inteligencia artificial#
La inteligencia artificial aumenta la urgencia de una buena gobernanza de datos.
Un modelo de IA puede consumir grandes volúmenes de información, detectar patrones y automatizar decisiones o recomendaciones. Pero si los datos no están gobernados, el modelo puede amplificar errores, sesgos, ambigüedad o exposición de información sensible.
Antes de escalar IA en banca digital, conviene responder preguntas básicas: qué datos puede usar el modelo, qué datos no debe usar, qué fuentes son autorizadas, qué datos son sensibles, qué reglas de privacidad aplican, qué calidad mínima se requiere, qué linaje debe conservarse, quién responde por el dato, quién responde por el modelo y cómo se audita la decisión.
El National Institute of Standards and Technology (NIST), mediante su Artificial Intelligence Risk Management Framework (AI RMF 1.0), plantea una aproximación para gestionar riesgos de IA en sistemas que son diseñados, desarrollados, desplegados o usados por organizaciones. En una institución financiera, ese enfoque solo puede aterrizar correctamente si existe gobierno sobre los datos que alimentan esos sistemas.
La IA sin gobernanza de datos puede producir velocidad. Pero no necesariamente confianza.
COBIT, BIAN y TOGAF: ordenar sin burocratizar#
La gobernanza de datos también debe conectarse con gobierno de tecnología, arquitectura bancaria y arquitectura empresarial.
ISACA presenta COBIT como un marco para el gobierno y la gestión de información y tecnología empresarial. Esta perspectiva es útil porque los datos no son solo un tema del área de datos: son parte del sistema de gobierno tecnológico, valor, riesgo, recursos y accountability de la organización.
El Banking Industry Architecture Network (BIAN) puede ayudar a ordenar capacidades y dominios de servicio bancarios. Esto permite gobernar datos por dominios cercanos al negocio financiero, no solo por sistemas o bases de datos.
The Open Group, mediante TOGAF Standard, aporta una visión de arquitectura empresarial para conectar estrategia, capacidades, procesos, información, aplicaciones y tecnología. Esa conexión es clave porque la gobernanza no debe gobernar todos los datos con la misma intensidad. Debe enfocarse donde hay mayor valor, mayor riesgo y mayor dependencia estratégica.
Usados con criterio, estos marcos ayudan a ordenar decisiones. Usados como decoración, solo generan burocracia.
Seguridad y privacidad: gobernar también es limitar#
Gobernar datos no significa abrir el acceso a toda la organización. Significa permitir el uso correcto bajo condiciones correctas.
En banca digital, la gobernanza debe incorporar seguridad y privacidad desde el diseño: clasificación de datos, mínimo privilegio, segregación de funciones, cifrado, controles de acceso, trazabilidad de consultas, retención, anonimización o seudonimización cuando aplique, monitoreo de usos anómalos, controles para terceros y evidencia de cumplimiento.
En México, además del marco interno de cada institución, esta conversación debe considerar el contexto regulatorio financiero y de protección de datos personales aplicable. Para una entidad financiera digital, el dato no es solo un activo analítico; también puede ser evidencia, información sensible, insumo regulatorio, soporte de operación y base de confianza para el cliente.
La gobernanza madura no busca bloquear el uso del dato. Busca evitar que la democratización se convierta en exposición.
Modelo operativo: quién gobierna realmente los datos#
La gobernanza falla cuando nadie tiene responsabilidad real.
Un modelo operativo mínimo debería distinguir varios roles.
El Data Owner es responsable funcional o de negocio sobre un dominio o dato crítico. Define significado, prioridad, uso y responsabilidad funcional.
El Data Steward coordina definiciones, reglas de calidad, metadatos, resolución de incidencias y consistencia del dato.
El Data Custodian es responsable técnico de almacenar, proteger, operar y disponibilizar los datos conforme a las reglas definidas.
El consumidor de datos es el área, proceso, aplicación, modelo o persona que usa datos para análisis, operación, automatización o decisiones.
El gobierno de arquitectura asegura que la solución de datos se integre correctamente a dominios, capacidades, aplicaciones, flujos, controles y principios tecnológicos.
Seguridad, cumplimiento y riesgo validan clasificación, privacidad, controles, evidencias, riesgos y obligaciones regulatorias o internas.
Lo importante no es solo nombrar roles. Lo importante es que esos roles tengan autoridad, mecanismos de decisión y capacidad de resolver conflictos.
Sin accountability, la gobernanza se vuelve decorativa.
Mi postura: la gobernanza de datos debe sentirse en la operación#
Una gobernanza que solo vive en documentos no transforma.
La gobernanza debe sentirse cuando un equipo diseña una nueva solución, cuando negocio define un indicador, cuando riesgo valida una regla, cuando tecnología publica una API, cuando datos alimenta un modelo, cuando seguridad clasifica información y cuando auditoría solicita evidencia.
Debe estar presente en el ciclo de vida real: ideación, diseño, arquitectura, desarrollo, integración, operación, monitoreo, mejora continua, auditoría y retiro de datos o sistemas.
Si la gobernanza no aparece en esos momentos, entonces probablemente no está gobernando. Solo está documentando.
Reflexión de arquitectura: gobernar datos es gobernar relaciones#
Como arquitecto, creo que uno de los mayores errores es pensar que los datos son elementos aislados.
Un dato vive dentro de una red de relaciones: procesos, sistemas, personas, decisiones, regulaciones, controles, reportes, modelos y experiencias de cliente.
Cuando se gobierna un dato crítico, en realidad se gobierna esa red de relaciones.
Por eso la arquitectura es tan importante. Ayuda a ver dependencias que no siempre son evidentes. Muestra qué pasa si una fuente cambia, si un indicador se redefine, si una integración se rompe, si una regla de calidad falla o si un modelo consume información fuera de contexto.
La gobernanza de datos sin arquitectura puede quedarse en definiciones. La arquitectura sin gobernanza puede quedarse en estructuras.
Juntas, pueden convertir información en una capacidad real de decisión.
Reflexión CTO: la gobernanza de datos no es freno, es velocidad confiable#
Desde una mirada CTO, la gobernanza de datos no debería venderse como cumplimiento. Debería explicarse como una condición para escalar.
Una organización que no confía en sus datos discute más, decide más lento, automatiza con miedo y escala con mayor riesgo. Una organización que gobierna bien sus datos puede moverse con más confianza porque sabe qué información usa, de dónde viene, quién responde por ella y qué límites tiene.
La gobernanza no es el enemigo de la velocidad. La mala gobernanza sí lo es.
Cuando cada proyecto redefine datos, cuando cada área maneja su propia verdad y cuando cada tablero cuenta una historia distinta, la organización pierde tiempo, credibilidad y capacidad de ejecución.
La gobernanza bien diseñada no frena la innovación. Reduce la fricción invisible que impide que la innovación llegue a producción con confianza.
Conclusión: gobernar datos es mejorar la calidad de las decisiones#
La gobernanza de datos en banca digital debe evolucionar.
No puede quedarse en catálogos, políticas o controles documentales. Debe convertirse en una capacidad estratégica para mejorar decisiones, sostener inteligencia artificial, automatizar con trazabilidad, fortalecer resiliencia operativa y responder con evidencia.
Los datos no generan valor solo porque existan. Generan valor cuando son confiables, comprendidos, protegidos, contextualizados y accionables.
Y eso requiere gobierno.
En banca digital, gobernar datos no es controlar información por controlar. Es diseñar las condiciones para que la organización pueda decidir mejor, operar con más confianza y construir capacidades sostenibles.
La gobernanza de datos no debería sentirse como burocracia. Debería sentirse como claridad.
Glosario breve#
Gobernanza de datos
Conjunto de roles, políticas, responsabilidades, estándares y mecanismos de decisión que permiten gestionar los datos como un activo confiable, seguro y útil para la organización.
Arquitectura de datos
Disciplina que define cómo se estructuran, integran, protegen, transforman y consumen los datos para habilitar operación, decisiones, analítica, automatización e inteligencia artificial.
BIAN — Banking Industry Architecture Network
Red global orientada a desarrollar modelos de referencia para arquitectura bancaria. Ayuda a estructurar capacidades, dominios de servicio y escenarios de negocio en servicios financieros.
BCBS — Basel Committee on Banking Supervision
Comité internacional de supervisión bancaria que emite principios y recomendaciones para fortalecer la gestión de riesgos, supervisión y estabilidad del sistema financiero.
BCBS 239
Documento del Basel Committee on Banking Supervision sobre principios para agregación efectiva de datos de riesgo y reporteo de riesgo.
COBIT
Marco de ISACA para el gobierno y la gestión de información y tecnología empresarial. Ayuda a conectar tecnología, valor, riesgo, recursos y accountability.
Data Owner
Responsable funcional o de negocio sobre un dato o dominio de datos. Define significado, reglas, uso y prioridad del dato.
Data Steward
Rol encargado de coordinar definiciones, calidad, metadatos, reglas y resolución de incidencias relacionadas con datos.
Linaje de datos
Capacidad de conocer el origen, transformación, uso y destino de un dato. Es clave para trazabilidad, auditoría, calidad y confianza.
NIST — National Institute of Standards and Technology
Institución de Estados Unidos que desarrolla estándares, guías y marcos ampliamente usados en tecnología, ciberseguridad, riesgo e inteligencia artificial.
TOGAF — The Open Group Architecture Framework
Estándar de arquitectura empresarial desarrollado por The Open Group. Ayuda a conectar estrategia, capacidades, procesos, información, aplicaciones y tecnología.
Referencias#
DAMA International, Data Management Body of Knowledge (DAMA-DMBOK) — alcance global
https://dama.org/learning-resources/dama-data-management-body-of-knowledge-dmbok/Basel Committee on Banking Supervision (BCBS), Principles for effective risk data aggregation and risk reporting — alcance global para banca, con adopción proporcional según contexto regulatorio
https://www.bis.org/publ/bcbs239.pdfISACA, COBIT — alcance global para gobierno y gestión de información y tecnología empresarial
https://www.isaca.org/resources/cobitNational Institute of Standards and Technology (NIST), Artificial Intelligence Risk Management Framework (AI RMF 1.0) — referencia de Estados Unidos con adopción internacional como marco de gestión de riesgo de IA
https://www.nist.gov/itl/ai-risk-management-frameworkNational Institute of Standards and Technology (NIST), Artificial Intelligence Risk Management Framework (AI RMF 1.0) PDF
https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdfBanking Industry Architecture Network (BIAN), Service Landscape — alcance global para arquitectura bancaria
https://bian.org/deliverables/service-landscape/The Open Group, The TOGAF Standard — alcance global para arquitectura empresarial
https://www.opengroup.org/togafComisión Nacional Bancaria y de Valores (CNBV), Sitio institucional — México
https://www.gob.mx/cnbvBanco de México, Seguridad de la información — México
https://www.banxico.org.mx/sistema-financiero/seguridad-informacion-banco.html