El auge de la inteligencia artificial en la gestión de riesgos

La inteligencia artificial está ganando terreno en las funciones de gestión de riesgos de los bancos y las instituciones financieras. Es capaz de revisar un mayor número de transacciones, detectar patrones inusuales y actualizar las evaluaciones con mayor rapidez que los sistemas convencionales. Según Accenture, las entidades financieras que utilizan la IA han logrado una mejora de la eficiencia operativa del 20%. Sin embargo, un análisis más rápido no implica necesariamente un mejor control. La calidad del resultado sigue dependiendo de los datos, las hipótesis y las personas que hay detrás del modelo.

La gestión de riesgos siempre ha implicado disponer de información incompleta. Los bancos deben decidir qué prestatarios tienen probabilidades de devolver el préstamo, qué operaciones requieren una investigación y cómo pueden comportarse las carteras ante condiciones de mercado cambiantes.

Tradicionalmente, estas decisiones se basaban en modelos estadísticos, normas establecidas y el criterio de empleados con experiencia. Este enfoque sigue siendo importante, pero cada vez resulta más difícil aplicarlo a la escala y con la rapidez que exige el sector financiero moderno.

En la actualidad, las instituciones procesan un gran volumen de pagos, posiciones de mercado y registros de clientes. Los riesgos pueden surgir en distintos sistemas y jurisdicciones, a menudo antes de que se reflejen en los informes convencionales.

La IA ofrece una forma de analizar estas señales de forma conjunta. Es capaz de identificar anomalías, comparar comportamientos en grandes conjuntos de datos y dirigir la atención humana hacia los casos que merecen un análisis más detallado.

Su principal valor no es la previsión. Es la capacidad de ampliar el alcance de la búsqueda y responder con mayor rapidez.

De las reglas fijas a los patrones cambiantes

Los sistemas de gestión de riesgos tradicionales suelen funcionar mediante umbrales predefinidos. Una transacción que supere un determinado valor puede dar lugar a una revisión. Un prestatario con determinadas características financieras puede recibir una calificación crediticia específica.

Estas normas son transparentes y relativamente fáciles de auditar. Sin embargo, también pueden resultar poco flexibles.

Los estafadores adaptan su comportamiento para eludir los controles conocidos. Las relaciones del mercado cambian. Una transacción que, considerada de forma aislada, parece inofensiva, puede resultar sospechosa cuando se compara con un patrón de actividad más amplio.

Los modelos de aprendizaje automático pueden analizar estas relaciones sin basarse exclusivamente en reglas fijas. Pueden detectar cambios sutiles en el comportamiento de pago, el acceso a las cuentas o las redes de transacciones que serían difíciles de identificar manualmente.

El mismo principio se aplica al riesgo crediticio y al riesgo de mercado. La inteligencia artificial puede procesar una gama más amplia de variables y actualizar las evaluaciones a medida que se dispone de nueva información.

Esto da lugar a un sistema más ágil. Además, hace que la supervisión sea más exigente, sobre todo cuando el modelo no puede explicar sus conclusiones con claridad.

JPMorgan demuestra el atractivo de la economía de escala

JPMorgan Chase ha realizado importantes inversiones en inteligencia artificial en las áreas de negociación, cumplimiento normativo, detección de fraudes y riesgo operativo.

Para un banco de su envergadura, el atractivo es evidente. Incluso unas mejoras modestas en la rapidez o la precisión del análisis de riesgos pueden generar un ahorro considerable cuando se aplican a millones de transacciones y relaciones con los clientes.

Las herramientas basadas en la inteligencia artificial pueden ayudar a los empleados a detectar actividades inusuales, revisar documentos y priorizar las alertas. Además, permiten reducir el tiempo dedicado a investigaciones repetitivas que, al final, no revelan ningún problema.

Esto no significa que las decisiones sobre el riesgo se deleguen por completo a las máquinas. Los casos de mayor riesgo siguen requiriendo una interpretación, pruebas que los respalden y un juicio documentado.

La experiencia de JPMorgan refleja una tendencia generalizada en el sector. Las grandes instituciones están utilizando la inteligencia artificial para reforzar los sistemas de control existentes, en lugar de sustituir los departamentos de riesgos por modelos autónomos.

La tecnología resulta más útil cuando ayuda a los especialistas a decidir dónde buscar.

La adopción se extiende por todo el sector

Una encuesta de Deloitte reveló que el 76 % de las entidades financieras estaban invirtiendo en inteligencia artificial para mejorar sus capacidades de gestión de riesgos.

La implantación abarca los riesgos de crédito, de mercado, de liquidez, operativos y de cumplimiento. El grado de madurez de estas aplicaciones varía considerablemente.

La detección del fraude es uno de los casos de uso más consolidados, ya que las instituciones ya disponen de grandes volúmenes de datos sobre transacciones y pueden comparar las alertas del modelo con los resultados conocidos.

La evaluación crediticia es más compleja. La inteligencia artificial puede tener en cuenta datos sobre el flujo de caja, el historial de pagos y otras variables que los sistemas de puntuación tradicionales pasan por alto. Esto permite obtener una visión más detallada del solicitante de crédito.

Además, puede hacer que las decisiones sean más difíciles de explicar.

Los modelos de riesgo de mercado se enfrentan a un reto diferente. Aunque pueden identificar correlaciones entre valores y clases de activos, las relaciones históricas suelen debilitarse en períodos de tensión.

Las aplicaciones relacionadas con el riesgo operativo abarcan desde la supervisión de la ciberseguridad hasta el análisis de los procesos internos. En este ámbito, la inteligencia artificial puede detectar actividades inusuales en el sistema, comportamientos anómalos de los empleados o concentraciones de transacciones fallidas.

No existe un único sistema de gestión de riesgos de la IA. El término abarca una amplia gama de herramientas destinadas a resolver problemas muy diversos.

Las empresas más pequeñas acceden al mercado a través de proveedores

El uso de la inteligencia artificial no se limita a los bancos internacionales.

Las empresas fintech y las entidades financieras más pequeñas pueden acceder a herramientas de gestión de riesgos a través de plataformas en la nube y proveedores de tecnología especializados. Esto reduce el coste de la detección de fraudes, la verificación de identidad y el análisis de datos.

Plaid, por ejemplo, utiliza sistemas automatizados para garantizar la seguridad de los datos e identificar posibles actividades fraudulentas en las transacciones financieras.

Las plataformas externas permiten a las instituciones más pequeñas acceder a capacidades que no podrían permitirse desarrollar internamente. Además, generan nuevas dependencias.

Una empresa puede externalizar la tecnología, pero no puede externalizar la responsabilidad. Debe saber qué datos utiliza el proveedor, cómo se prueban los sistemas y qué ocurre cuando el servicio falla.

La concentración de proveedores constituye en sí misma un riesgo. Si muchas instituciones dependen de los mismos modelos o de la misma infraestructura, una deficiencia técnica podría afectar simultáneamente a una gran parte del sistema financiero.

Por lo tanto, hay que encontrar un equilibrio entre la comodidad y el control.

Las predicciones tienen límites evidentes

El análisis predictivo suele presentarse como la principal ventaja de la gestión de riesgos basada en la inteligencia artificial.

Los modelos pueden estimar la probabilidad de impago, fraude o pérdidas de mercado mediante el análisis de resultados anteriores. A medida que se reciben nuevos datos, esas estimaciones pueden actualizarse.

El proceso es útil, pero el lenguaje de las predicciones puede generar una falsa sensación de seguridad.

El riesgo financiero rara vez surge en condiciones estables. El comportamiento de los prestatarios cambia durante las recesiones. La liquidez del mercado puede desaparecer rápidamente. Las decisiones políticas, los ciberataques y las catástrofes naturales pueden dar lugar a acontecimientos que no están debidamente reflejados en los datos históricos.

Un modelo puede funcionar bien en condiciones normales y fallar precisamente cuando sus resultados son más importantes.

Por este motivo, la inteligencia artificial debería complementar, y no sustituir, el análisis de escenarios y las pruebas de resistencia. Las instituciones deben examinar qué podría suceder fuera del rango de resultados que el modelo considera probables.

La gestión de riesgos no solo se ocupa de la probabilidad, sino también de las consecuencias.

La automatización libera capacidad, pero puede ocultar puntos débiles

La inteligencia artificial puede automatizar parte de la recopilación de datos, la clasificación de alertas, la documentación y la elaboración de informes.

Esto permite a los profesionales del riesgo dedicar más tiempo a investigaciones complejas y cuestiones estratégicas. Además, puede reducir las inconsistencias que surgen cuando los controles rutinarios se realizan de forma manual.

La mejora en la eficiencia resulta atractiva. Accenture señala que las empresas financieras que utilizan tecnologías de IA han logrado mejoras del 20%.

Pero la automatización puede ocultar procesos deficientes.

Si un modelo se entrena con clasificaciones inexactas, es posible que las reproduzca con mayor eficacia. Si los distintos departamentos utilizan datos de clientes o transacciones incoherentes, un procesamiento más rápido no resolverá el problema subyacente.

Las instituciones también pueden llegar a ser menos capaces de funcionar sin sistemas automatizados. Los empleados que rara vez realizan una tarea de forma manual pueden tener dificultades para darse cuenta de cuándo falla la tecnología.

La resiliencia requiere la capacidad de cuestionar el sistema, no solo de utilizarlo.

Los modelos de riesgo reflejan las decisiones humanas

A veces se dice que la inteligencia artificial es más objetiva que el juicio humano. En la práctica, los modelos se construyen a partir de decisiones humanas.

Los desarrolladores deciden qué datos incluir, qué resultados optimizar y cómo clasificar las decisiones anteriores. Estas decisiones influyen en las conclusiones del modelo.

En el ámbito del riesgo crediticio, los datos históricos pueden reflejar un acceso desigual al crédito o un trato diferenciado hacia determinados grupos de clientes. Un modelo entrenado con esos registros puede reproducir esos patrones sin utilizar explícitamente características protegidas.

Los sistemas de detección de fraudes pueden generar alertas desproporcionadas en el caso de clientes cuyas transacciones se desvíen de la norma, incluso cuando su actividad sea legítima.

El problema no se resuelve eliminando los nombres o la información demográfica. Otras variables pueden servir de indicadores sustitutivos.

Por lo tanto, las instituciones deben comprobar los resultados de los modelos en diferentes grupos de clientes e investigar las disparidades inexplicables.

Un sistema estadísticamente preciso puede, aun así, dar lugar a decisiones injustas, inadecuadas o difíciles de defender desde el punto de vista jurídico.

La explicabilidad se convierte en una cuestión normativa

Los modelos complejos pueden generar predicciones sólidas sin ofrecer una explicación sencilla de cómo se han obtenido.

Esto resulta especialmente problemático cuando una decisión afecta a un cliente. El rechazo de una solicitud de crédito, la congelación de una transacción o una clasificación de riesgo más elevada pueden requerir una explicación clara.

Los organismos reguladores y los órganos de gobierno interno también deben evaluar si los modelos funcionan dentro de los límites aprobados.

Por lo tanto, es posible que algunas instituciones prefieran modelos más sencillos en aplicaciones de alto riesgo, incluso cuando los sistemas más complejos ofrezcan una precisión predictiva ligeramente superior.

Hay que elegir entre el rendimiento y la interpretabilidad.

No todos los modelos de IA tienen que revelar todos los cálculos técnicos a todos los usuarios. Sin embargo, las instituciones deben ser capaces de describir los factores importantes que subyacen a una decisión y demostrar que el sistema ha sido sometido a pruebas.

Un resultado que no se puede impugnar es difícil de gestionar.

La seguridad de los datos pasa a formar parte de la gestión de riesgos

Los sistemas de inteligencia artificial necesitan un amplio acceso a información financiera, transaccional y personal.

Esto genera una tensión evidente. La tecnología tiene por objeto reducir el riesgo, pero la concentración y el tratamiento de datos sensibles pueden crear nuevas vulnerabilidades.

Las instituciones deben proteger la información durante su recopilación, almacenamiento y análisis. El acceso debe estar restringido, registrarse y revisarse periódicamente.

Los proveedores externos de IA deben ser objeto de un escrutinio especial. Las empresas deben saber si sus datos se utilizan para entrenar otros modelos, dónde se procesa la información y con qué rapidez deben notificarse los incidentes.

Los ciberdelincuentes también pueden intentar manipular los sistemas de inteligencia artificial. Al alterar los datos de entrada o imitar un comportamiento normal, pueden intentar evitar ser detectados.

Por lo tanto, el propio modelo puede convertirse en un objetivo.

La seguridad de los datos y la seguridad de los modelos no pueden considerarse disciplinas independientes. Ambas forman parte del marco general de riesgos de la institución.

Los modelos requieren una supervisión continua

A menudo se dice que los sistemas de IA aprenden y mejoran con el tiempo. Ese proceso debe gestionarse con cuidado.

Un modelo que se actualiza por sí solo sin controles eficaces puede alejarse de su objetivo original. Los cambios en los datos pueden alterar gradualmente la forma en que clasifica el riesgo, incluso cuando no se haya tomado ninguna decisión formal de revisar la metodología.

Las instituciones deben supervisar la precisión, los falsos positivos y los cambios inesperados en el comportamiento. El rendimiento debe someterse a pruebas en diferentes condiciones de mercado y económicas.

Los cambios en el modelo de materiales deben documentarse y aprobarse. Los empleados deben saber qué versión se está utilizando y en qué se diferencia de las versiones anteriores.

La validación independiente sigue siendo fundamental. El equipo que desarrolla un modelo no debe ser el único responsable de determinar si este funciona.

El aprendizaje continuo no sustituye a la gobernanza continua.

El criterio humano se centra en las excepciones

La inteligencia artificial cambiará la distribución de tareas dentro de los departamentos de riesgos.

Los casos rutinarios se pueden tramitar cada vez más de forma automática. Los empleados se centrarán en las excepciones, las situaciones ambiguas y los riesgos que no se ajusten a los patrones establecidos.

Esto hace que el criterio humano sea más importante, no menos.

Los casos remitidos a especialistas suelen ser los más difíciles. Los empleados deben conocer el modelo lo suficientemente bien como para cuestionar sus conclusiones y saber cuándo se necesitan pruebas adicionales.

También necesitan la facultad de anular las recomendaciones automáticas.

Un sistema que solo permite la intervención humana en teoría no ofrece una supervisión significativa. Las empresas deberían supervisar con qué frecuencia los empleados discrepan de los modelos y si se ven presionados a seguir los resultados automatizados.

El objetivo no es mantener el trabajo manual por el simple hecho de hacerlo. Se trata de garantizar que las decisiones importantes sigan estando sujetas a rendición de cuentas.

La IA también puede generar un riesgo sistémico

La adopción de modelos similares en todo el sector financiero podría dar lugar a nuevas formas de exposición común.

Si las entidades utilizan datos y algoritmos comparables, pueden responder a las señales del mercado de manera similar. En períodos de tensión, esto podría intensificar las ventas, reducir la liquidez o provocar cambios bruscos en la disponibilidad de crédito.

Un modelo concreto puede ser racional desde el punto de vista de una empresa, pero contribuir a la inestabilidad del sistema en su conjunto.

La dependencia de un número reducido de proveedores de servicios en la nube y de tecnología supone un riesgo de concentración adicional. Una interrupción que afectara a un proveedor importante podría comprometer los controles de riesgo de varias entidades al mismo tiempo.

Por lo tanto, los reguladores deberán ir más allá del rendimiento de los modelos individuales. Deben tener en cuenta cómo la inteligencia artificial modifica el comportamiento en las instituciones y los mercados.

Una mayor eficiencia a nivel de empresa no se traduce automáticamente en una mayor resiliencia a nivel del sistema.

El valor potencial es considerable

McKinsey ha calculado que la inteligencia artificial podría generar hasta 1 billón de dólares en valor anual para el sector bancario mundial.

Solo una parte de este valor provendrá directamente de la gestión de riesgos. No obstante, una mejor detección del fraude, unos menores costes de cumplimiento normativo y unas decisiones crediticias más precisas podrían suponer una contribución significativa.

Los beneficios no se obtendrán simplemente porque las instituciones adquieran herramientas de inteligencia artificial.

Las empresas necesitan datos fiables, objetivos claros y empleados capaces de utilizar los resultados de los modelos. Deben invertir en pruebas, seguridad y gobernanza, además de en el desarrollo.

Algunas aplicaciones no lograrán generar el rendimiento prometido. Otras pueden resultar demasiado difíciles de explicar o demasiado sensibles a los cambios en las condiciones.

Por lo tanto, los responsables de la gestión de riesgos deberían partir de problemas concretos en lugar de ambiciones generales. Un sistema diseñado para reducir las falsas alertas de fraude puede evaluarse en función de un resultado claro. Una promesa general de “transformar la gestión de riesgos” no puede hacerlo.

La inversión en IA debería evaluarse en función de su impacto en la toma de decisiones, y no por el grado de sofisticación de la tecnología.

Advertencias más rápidas, no menos incertidumbres

Es probable que la inteligencia artificial se convierta en un componente habitual de la gestión del riesgo financiero.

Es capaz de detectar patrones en grandes conjuntos de datos, automatizar los controles rutinarios y ayudar a las instituciones a reaccionar con mayor rapidez. Estas capacidades resultan muy valiosas en un sistema financiero en el que los riesgos evolucionan rápidamente y, a menudo, traspasan los límites de las organizaciones.

No hacen que las instituciones sean inmunes al error.

Los modelos de IA pueden malinterpretar situaciones inusuales, reproducir sesgos históricos y crear dependencias difíciles de detectar. La rapidez con la que generan resultados puede llevar a las empresas a confiar más en las predicciones de lo que justifican los datos subyacentes.

Los marcos de gestión de riesgos más sólidos combinarán el análisis automatizado con la revisión humana, la validación independiente y una clara rendición de cuentas.

La IA puede mejorar el sistema de alerta. Sin embargo, no puede decidir qué riesgos debe asumir una institución, cuánta incertidumbre puede soportar ni qué medidas resultan responsables cuando los datos no son concluyentes.

Esas decisiones siguen estando en manos de la gente.