Gobernanza que acelera: cómo rediseñar comités, umbrales y decisiones para ganar velocidad útil#
Muchas organizaciones dicen que quieren innovar más rápido, pero mantienen intacto el sistema que vuelve lentas sus decisiones. Cambian herramientas, crean squads, hablan de agilidad, anuncian laboratorios o programas de transformación, pero siguen operando con una lógica donde casi todo sube a comité, donde las áreas críticas entran tarde y donde la verdadera decisión aparece cuando el costo de cambiar ya es alto.
Ese modelo produce una ilusión peligrosa: parece que existe gobierno, cuando en realidad lo que existe es fricción administrada.
En servicios financieros, esta distinción importa especialmente. La gobernanza sí debe existir. Tiene que existir. Pero una cosa es gobernar para decidir mejor y otra muy distinta es gobernar de forma tan secuencial, ambigua o tardía que la organización termine confundiendo prudencia con lentitud estructural. El FFIEC, en su Management Booklet del IT Examination Handbook, explica que la gobernanza de TI debe integrarse a la gobernanza general de la institución y que sus objetivos son generar valor de negocio y mitigar riesgos tecnológicos. A la vez, el NIST Cybersecurity Framework 2.0 coloca la función Govern en el centro del marco para conectar estrategia, responsabilidades, política, supervisión y gestión del riesgo.
¿Cómo se rediseña una gobernanza que acelera en lugar de frenar?#
Se rediseña pasando de aprobaciones secuenciales y genéricas a decisiones tempranas, multidisciplinarias y proporcionales al nivel de riesgo e impacto. Una gobernanza que acelera distingue tipos de iniciativa, usa umbrales claros, define ownership explícito y hace intervenir a arquitectura, riesgo, seguridad, cumplimiento y operación en el momento correcto, no al final.
El Basel Committee on Banking Supervision insiste en que la estructura de gobierno del riesgo operacional debe ser apropiada al tamaño y complejidad del banco, mientras el NIST CSF 2.0 refuerza que la gobernanza debe incorporarse al marco más amplio de gestión empresarial del riesgo. La idea de fondo es simple: gobierno útil no es más trámite; es mejor diseño de decisión.
El problema no es tener comités; es usarlos como sustituto de diseño#
No creo que el enemigo sea el comité en sí. El problema aparece cuando el comité reemplaza lo que debió haberse diseñado antes.
Hay organizaciones donde el comité existe porque nadie se atrevió a definir umbrales. O porque no está claro quién decide qué. O porque el flujo normal no puede absorber desacuerdos entre negocio, tecnología, riesgo, seguridad y cumplimiento. Entonces el comité deja de ser un mecanismo de gobierno y se convierte en una sala donde se renegocian tarde problemas que debieron resolverse más abajo y antes.
El FFIEC es bastante claro al separar la supervisión del board, la implementación por parte de la administración y el papel de un eventual IT steering committee. Incluso señala que el comité debería tener un charter claro, autoridad para decidir y capacidad de reportar al consejo sin sustituir la gestión cotidiana. Esa separación sana entre supervisión, decisión ejecutiva y ejecución es exactamente lo que evita que el comité se vuelva refugio de indecisión.
La gobernanza madura distingue entre decisiones, no solo entre proyectos#
Uno de los errores más comunes es tratar todas las iniciativas como si exigieran el mismo circuito. Un pequeño experimento interno de productividad termina recorriendo el mismo camino que una capacidad nueva de onboarding, un cambio relevante en pagos o una automatización con impacto sobre clientes.
Ese enfoque es caro, porque mezcla dos cosas que deberían estar separadas: el valor potencial y la exposición potencial.
El Basel Committee reconoce explícitamente que muchos bancos estructuran la gestión del riesgo operacional sobre el modelo de tres líneas de defensa: negocio, función independiente de riesgo operacional y revisión independiente. Esa lógica existe precisamente para evitar ambigüedad sobre quién administra, quién supervisa y quién audita. La consecuencia práctica es evidente: una gobernanza madura debe diferenciar tipos de iniciativa y tipos de decisión, no empujar todo hacia una misma tubería.
Los umbrales correctos hacen más por la velocidad que muchos discursos de transformación#
Cuando una organización no tiene umbrales claros, cada cambio se discute como caso especial. Y cuando todo es caso especial, nada escala bien.
Por eso, si yo tuviera que rediseñar gobernanza para ganar velocidad útil, empezaría por definir umbrales concretos. No en abstracto, sino sobre criterios como estos:
- impacto regulatorio,
- exposición a datos personales,
- criticidad operativa,
- afectación a clientes,
- dependencia de terceros,
- impacto financiero,
- nivel de automatización,
- necesidad de excepciones arquitectónicas,
- y reversibilidad del cambio.
El NIST CSF 2.0 establece que la estrategia, expectativas, políticas y responsabilidades de ciberseguridad deben ser definidas, comunicadas y monitoreadas, y su Resource & Overview Guide resume que Govern sirve precisamente para entender necesidades, riesgos y prioridades organizacionales. Esa lógica es plenamente compatible con el uso de umbrales: la organización gana velocidad cuando deja de improvisar el nivel de revisión y lo define antes de que llegue el conflicto.
Una buena gobernanza no revisa todo igual; revisa distinto según riesgo e impacto#
Aquí es donde la conversación suele madurar o quedarse inmadura.
La gobernanza inmadura confunde igualdad con uniformidad: como toda iniciativa importa, todas deben seguir el mismo circuito. La gobernanza madura entiende que la proporcionalidad no debilita el control; lo vuelve más útil.
Un experimento acotado de productividad interna no debería cargar con el mismo proceso que una capacidad nueva sobre pagos o identidad. Una mejora incremental sobre un journey ya controlado no debería pasar por el mismo nivel de comité que una automatización que cambie decisiones con impacto financiero o reputacional.
Lo importante no es revisar menos por reflejo. Lo importante es revisar con intensidad proporcional. Eso es lo que convierte a la gobernanza en acelerador, no en barrera ornamental.
Un ejemplo realista: tres iniciativas, tres niveles de gobierno#
Imaginemos una institución financiera con estas tres iniciativas en paralelo:
- automatizar resúmenes internos para agentes de atención;
- rediseñar onboarding digital con nuevos controles de identidad;
- incorporar un nuevo tercero para un flujo de pagos sensible.
Si las tres recorren el mismo circuito, la organización desperdicia tiempo donde no hace falta y, al mismo tiempo, trivializa donde sí debería haber más profundidad.
La primera podría resolverse con un comité táctico y métricas de salida muy claras. La segunda exigiría intervención temprana de arquitectura, seguridad, riesgo, privacidad y operación. La tercera requeriría además una evaluación más estricta de tercero, resiliencia, trazabilidad, reglas operativas y accountability.
El FFIEC, en su declaración conjunta sobre seguridad en entornos de nube, recuerda que las instituciones deben comprender los riesgos de sus actividades y servicios externalizados antes de migrarlos o adoptarlos. Esa misma lógica aplica aquí: el gobierno útil no trata todo igual; aumenta profundidad cuando la exposición realmente lo exige.
En México, los umbrales importan todavía más cuando tocas pagos, datos o canales sensibles#
En el contexto mexicano, esta conversación no puede quedarse solo en teoría organizacional. Hay ámbitos donde el umbral regulatorio o de control no es opcional.
Si una iniciativa toca pagos interbancarios, operación relacionada con SPEI o requerimientos de seguridad de la información vinculados a ese ecosistema, el texto compilado de la Circular 14/2017 de Banco de México incorpora obligaciones concretas sobre oficiales de seguridad de la información del SPEI, niveles de acceso y responsabilidades asociadas. Y si una iniciativa trata datos personales en posesión de particulares, la LFPDPPP establece en su artículo 1 que su tratamiento debe ser legítimo, controlado e informado.
Es decir: hay casos en los que el umbral no solo lo define la organización; también lo define la regulación.
Eso no vuelve inviable la velocidad. Solo vuelve inaceptable la improvisación.
Lo que debe cambiar en los comités: menos validación tardía, más decisión temprana#
Desde mi perspectiva, los comités fallan cuando se usan para validar tarde, no cuando se usan para decidir bien.
Un comité útil debería servir para alguna de estas cosas:
- resolver trade-offs reales entre áreas,
- destrabar decisiones que exceden un umbral definido,
- priorizar portafolio,
- aprobar excepciones justificadas,
- o decidir escalamiento.
Lo que no debería hacer es revisar por primera vez algo que ya viene políticamente comprometido. Tampoco debería convertirse en el lugar donde cada área “pone su sello” sobre iniciativas que casi no ayudó a diseñar.
La lógica de las tres líneas de defensa reconocida por el Basel Committee existe justamente para aclarar responsabilidades y evitar que la supervisión sustituya la gestión cotidiana. Cuando el comité empieza a administrar el detalle de todo, la organización deja de gobernar bien y empieza a microescalar su indecisión.
La economía oculta de la mala gobernanza#
La mala gobernanza casi nunca se mide bien. Se percibe como lentitud, pero no se traduce fácilmente a costo visible.
Y sin embargo cuesta mucho:
- retrabajo,
- tiempo perdido entre áreas,
- iniciativas que se deforman para sobrevivir al circuito,
- decisiones elevadas sin necesidad,
- sponsors desgastados,
- excepciones no resueltas a tiempo,
- y una sensación general de que “todo tarda”.
El NIST CSF 2.0 es valioso aquí porque presenta la gobernanza como parte del sistema de gestión del riesgo, no como apéndice burocrático. Esa formulación ayuda a leer la mala gobernanza como un problema de desempeño organizacional, no solo como una molestia administrativa. La organización no pierde velocidad por tener gobierno. La pierde cuando su gobierno no sabe distinguir qué decidir, cuándo y en qué foro.
Reflexión de Arquitectura#
La arquitectura madura necesita una gobernanza que tome decisiones en el momento correcto. Cuando casi todo se convierte en excepción o llega tarde a comité, la arquitectura deja de ser una capacidad de diseño y pasa a ser una oficina de regularización. Ese es uno de los síntomas más claros de que la organización no está acelerando: está parchando.
Lo que un CTO debería leer detrás de esta conversación#
Desde dirección tecnológica, este tema no se resuelve pidiendo “menos gobierno”. Se resuelve diseñando mejor el gobierno.
Un CTO serio debería preguntarse:
- ¿qué decisiones estamos subiendo sin necesidad?
- ¿qué decisiones llegan demasiado tarde?
- ¿qué iniciativas están recorriendo un circuito desproporcionado?
- ¿qué órganos deciden, cuáles supervisan y cuáles solo coordinan?
- ¿qué métricas muestran realmente la fricción del sistema?
El NIST y el FFIEC coinciden, desde ángulos distintos, en algo importante: gobierno significa claridad de responsabilidades, integración con gestión de riesgo y alineación con estrategia. No significa acumulación indefinida de aprobaciones. Esa diferencia es la que convierte a la gobernanza en acelerador o en lastre.
Reflexión CTO#
La mejor gobernanza no es la que aprueba más lento ni la que aprueba todo. Es la que distingue rápido, decide temprano y reserva la escalación para aquello que realmente lo merece. Ese tipo de gobierno no sacrifica control. Lo vuelve más valioso.
Mi opinión: casi ninguna organización es lenta por falta de comité; muchas lo son por exceso de ambigüedad#
No creo que el problema principal sea que existan demasiados órganos formales. El problema es que muchas organizaciones no han diseñado bien la frontera entre decisión, supervisión y ejecución.
Entonces el comité compensa lo que el operating model no resolvió. Y cuando eso pasa, el gobierno se vuelve pesado, reactivo y caro.
Por eso, para mí, la conversación madura no es “cómo evitamos gobierno para ir más rápido”. La conversación correcta es “cómo diseñamos un gobierno que reduzca fricción, haga explícitos los umbrales y ayude a la organización a decidir mejor antes de que el costo de cambiar se dispare”.
Conclusión#
La velocidad útil no aparece cuando una organización elimina gobierno. Aparece cuando deja de usar el gobierno como sustituto de diseño, como sala de validación tardía o como mecanismo genérico para casi todo.
En servicios financieros, ganar velocidad con control exige rediseñar comités, umbrales y decisiones para que la organización distinga mejor, intervenga antes y escale solo aquello que realmente lo necesita.
En 2026, esa diferencia es crucial. Porque el mercado no necesita organizaciones que aprueben más cosas sin criterio. Necesita organizaciones que decidan mejor, más temprano y con menos fricción innecesaria.
Glosario breve#
Gobernanza
Conjunto de mecanismos, roles, políticas y foros usados para orientar, supervisar y decidir sobre tecnología, riesgo y cambio organizacional.
Umbral
Criterio previamente definido que determina qué nivel de revisión o decisión requiere una iniciativa según su impacto o riesgo.
Líneas de defensa
Modelo de gobierno y control usado ampliamente en gestión de riesgos para separar responsabilidades entre operación, supervisión de riesgo/control y auditoría independiente.
NIST CSF 2.0
Cybersecurity Framework 2.0 de NIST. Estructura la gestión del riesgo en funciones como Govern, Identify, Protect, Detect, Respond y Recover.
FFIEC
Federal Financial Institutions Examination Council. Publica guías de supervisión tecnológica y operativa para instituciones financieras en Estados Unidos.
Circular 14/2017 de Banxico
Reglas del SPEI emitidas por Banco de México, con requerimientos operativos y de seguridad aplicables a los participantes del sistema.
Basel Committee on Banking Supervision El Comité de Supervisión Bancaria de Basilea (BCBS, por sus siglas en inglés) es el principal organismo internacional que establece normas prudenciales para los bancos.
Referencias#
FFIEC, IT Examination Handbook – Management Booklet
https://www.ffiec.gov/sites/default/files/media/press-releases/2015/2015-it-examination-handbook-management-booklet.pdfNIST, The NIST Cybersecurity Framework (CSF) 2.0
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdfNIST, CSF 2.0 Resource & Overview Guide
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1299.pdfBasel Committee on Banking Supervision, Operational Risk – Supervisory Guidelines for the Advanced Measurement Approaches
https://www.bis.org/publ/bcbs196.pdfFFIEC, Joint Statement on Security in a Cloud Computing Environment
https://www.ffiec.gov/sites/default/files/media/press-releases/2020/2020-april-30-cloud-computing-statement.pdfBanco de México, Circular 14/2017 – Reglas del SPEI (texto compilado)
https://www.banxico.org.mx/marco-normativo/normativa-emitida-por-el-banco-de-mexico/circular-14-2017/%7BA06FBFEE-06BB-F249-32FC-25B334B2A744%7D.pdfCámara de Diputados, Ley Federal de Protección de Datos Personales en Posesión de los Particulares
https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf