La gestión de riesgos en 2026 ya no puede limitarse a identificar amenazas aisladas o cumplir con marcos formales. El entorno actual exige una gestión integrada, dinámica y orientada a la toma de decisiones.

Estos son los diez retos que marcarán la agenda de las organizaciones este año.

1. La aceleración tecnológica supera a los marcos de control

La adopción de IA, automatización y servicios digitales avanza más rápido que la capacidad de evaluarlos, documentarlos y gobernarlos adecuadamente.  El mejor ejemplo de esto es el uso de IA no autorizada (el llamado “shadow IA”) donde empleados utilizan IA en su día a día sin supervisión o control…y sin ser consciente de que están incumpliendo la ley.  Para ponerse al día con este tema, se requiere:

• Disponer de una política de uso de IA para los empleados y difundirla.
• Realizar un inventario de las herramientas de IA más utilizadas (quizá priorizando las áreas de gestión de personal y marketing).
• Del inventario anterior, validar en qué casos puede haber “fuga de información” a países que no garantizan la protección de los datos confidenciales o personales.
• Establecer mecanismos de revisión periódica (o mejor aún, automática), de que se está cumpliendo la política de IA de la empresa.

2. Presión regulatoria creciente

Siguiendo la tendencia de los últimos años, 2026 se presenta como un año de nuevas normativas, como por ejemplo de inteligencia artificial, sostenibilidad con el nuevo ómnibus, NIS2 (o equivalentes) de seguridad, DAC8 (fiscalidad).  El problema no es que haya más regulación, sino que la tendencia es clara a basarse en gestión de riesgos y en necesitar evidencias para demostrar el cumplimiento.

La buena noticia es que si recibes esta newsletter es que ya eres parte de la familia de Ulises GRC y seguro que podemos ayudarte.

3. Riesgo de terceros ampliado

Estamos acostumbrados a homologar a los proveedores y que nos respondan un cuestionario de vez en cuando.  En 2026 se nos exigirá automatizar y ampliar estos requerimientos… Por eso es interesante que vayamos “segmentando” los proveedores en función de su criticidad, y en función de dicha clasificación estableciendo cuáles son los mínimos a exigir para las distintas normativas (IA, sostenibilidad, penal, packaging, etc…).

También recomendamos reservar tiempo para repasar las cláusulas que tenemos con ellos, de forma que nos permitan auditarles o enviarles los cuestionarios que necesitamos.

4. Ciberseguridad como riesgo de negocio

Antiguamente el “phishing” o las suplantaciones de identidad para robar datos eran muy básicas. Todos conocemos los casos del príncipe africano que te da su herencia, etc…  En el 2026 se van a consolidar los ataques bien dirigidos, donde incluso se puede suplantar la voz del CEO (o un video) de la empresa solicitando una transferencia, por ejemplo.  Ya no a nivel empresarial, sino a nivel personal, no estamos preparados, todavía, para este tipo de ataques tan personalizados.

5. Automatización del cumplimiento

En 2026 comenzaremos a ver un cambio, especialmente en grandes compañías, donde pasaremos del cumplimiento formal a un seguimiento de riesgos automatizado. ¿Qué significa esto? Las grandes compañías comenzarán a analizar, en tiempo real, sus transacciones y operaciones internas, en busca de patrones de fraude, de incumplimiento o malas prácticas… Las ventajas son evidentes aunque hasta ahora la automatización de estos procesos requería mucha “consultoría” y procesos “ad-hoc”.

En 2026 viviremos una transformación donde se aprovecharán las ventajas de interconexión de datos digitales para acortar significativamente el período de implantación de este tipo de indicadores.

Estaremos atentos…