Lo que no se mide difícilmente se gobierna. En cumplimiento AML/CFT, los indicadores internos no deben verse como una obligación administrativa más, sino como una herramienta para saber si el sistema funciona. Una aseguradora puede tener manuales, políticas, matrices y capacitaciones, pero si no mide tiempos de revisión, calidad de expedientes, alertas cerradas, casos escalados, brechas de debida diligencia y efectividad de capacitación, difícilmente podrá demostrar que su programa mejora con el tiempo.

Los indicadores internos deben responder a una pregunta central: ¿el programa de cumplimiento permite identificar, mitigar y reportar riesgos de forma oportuna y proporcional? Para contestarla, conviene organizar las métricas en cuatro grupos. El primero es el de cobertura: porcentaje de clientes con expediente actualizado, proporción de beneficiarios identificados, avance de actualizaciones periódicas, completitud de datos críticos y revisión de relaciones de mayor riesgo. Estos datos muestran si la base de información permite operar controles razonables.

El segundo grupo es el de alertas y casos. Aquí pueden medirse alertas generadas por tipo, alertas cerradas, alertas escaladas, tiempo promedio de análisis, reincidencia de señales por cliente o intermediario, casos pendientes por antigüedad y razones de cierre. Este bloque permite distinguir entre volumen y calidad. Un número alto de alertas no siempre significa mejor control; puede reflejar una parametrización deficiente. Un número bajo tampoco garantiza bajo riesgo; puede indicar falta de sensibilidad del sistema. La lectura debe ser técnica y contextual.

El tercer grupo es el de efectividad institucional. Incluye capacitaciones realizadas, participación por área, resultados de evaluaciones, hallazgos de auditoría, reincidencia de observaciones, cumplimiento de planes de acción y reportes periódicos a comités o alta dirección. El GAFI enfatiza que los programas AML/CFT deben incluir políticas, controles, procedimientos, capacitación y auditoría independiente. Por eso, medir la existencia de actividades no basta: también debe medirse si producen correcciones, aprendizaje y mejor toma de decisiones.

El cuarto grupo es el de riesgo residual. Este es más sofisticado, pero muy útil. Consiste en observar si los controles reducen efectivamente los riesgos identificados. Por ejemplo, si después de reforzar debida diligencia en un producto específico disminuyen expedientes incompletos; si una nueva regla de alerta reduce cierres improcedentes; o si la capacitación a canales comerciales mejora la calidad de información capturada. Esta lectura permite pasar de métricas de cumplimiento a métricas de gestión.

En Guatemala, estos indicadores pueden aportar valor tanto operativo como institucional. La supervisión AML/CFT exige evidencia, y la evidencia no se construye únicamente con documentos aislados. Se construye con datos consistentes que permitan demostrar seguimiento, proporcionalidad y mejora continua. Para una aseguradora, contar con indicadores internos ordenados puede facilitar la preparación de auditorías, fortalecer comités internos, orientar recursos y dar respaldo a decisiones de cumplimiento frente a áreas comerciales y técnicas.

También hay un beneficio para la alta dirección. Un tablero ejecutivo de cumplimiento no debe saturar con detalles operativos, pero sí mostrar señales estratégicas: evolución de riesgos, atrasos relevantes, productos o canales con mayor exposición, cumplimiento de planes de acción, casos críticos y necesidades de inversión. De esa manera, el cumplimiento deja de ser un reporte tardío y se convierte en información útil para la toma de decisiones.

Medir no significa burocratizar. Significa aprender. Los indicadores bien diseñados ayudan a distinguir dónde hay riesgo real, dónde hay fricción innecesaria y dónde el sistema necesita ajustes. En un sector que administra confianza, esa capacidad de medición es parte de la integridad del mercado.