Cómo la IA generativa puede ayudar a los bancos a gestionar el riesgo y el cumplimiento normativo

| Artículo

Nota: Hacemos nuestro mejor esfuerzo por preservar el espíritu original y los matices de nuestros artículos. Sin embargo, nos disculpamos de antemano por cualquier falla de traducción que pueda notar. Agradecemos sus comentarios en reader_input@mckinsey.com

La IA generativa está a punto de convertirse en el catalizador de la próxima oleada de aumentos de productividad en todas las industrias, entre ellas los servicios financieros. Desde el modelado analítico hasta la automatización de tareas manuales y la síntesis de contenido no estructurado, la tecnología ya está cambiando la forma en que operan las funciones bancarias, incluida la manera en que las instituciones financieras gestionan los riesgos y cumplen con las regulaciones.

Más perspectivas de McKinsey en Español

Mire nuestra colección de artículos en Español y suscríbase a nuestro newsletter mensual en Español.

Navegue por la colección

Es imperativo que las funciones de riesgo y cumplimiento normativo pongan barreras de seguridad en torno al uso de la IA generativa en una organización. Sin embargo, la tecnología puede ayudar a que las propias funciones mejoren la eficiencia y eficacia. En este artículo, analizamos cómo los bancos pueden crear un enfoque flexible y potente para utilizar la IA generativa en la gestión de riesgos y el cumplimiento normativo, e identificamos algunos temas cruciales que los responsables de las funciones deberían considerar.

Aprovechar la promesa de la IA generativa

La IA generativa tiene el potencial de revolucionar la forma en que los bancos gestionan los riesgos en los próximos tres a cinco años. Podría permitir que las funciones se alejen de actividades orientadas a las tareas para asociarse con las líneas de negocios en la prevención de riesgos estratégicos y disponer de controles desde el principio en los recorridos de los clientes nuevos, lo que a menudo se denomina enfoque de “desplazamiento a la izquierda”. Esto, a su vez, liberaría a los profesionales del riesgo para asesorar a las empresas sobre el desarrollo de nuevos productos y decisiones empresariales estratégicas, explorar tendencias y escenarios de riesgo emergentes, reforzar la resiliencia y mejorar los procesos de riesgo y control de manera proactiva.

Estos avances podrían conducir a la creación de centros de inteligencia de riesgos impulsados por la IA y la IA generativa que presten servicio a todas las líneas de defensa (lines of defense, o LOD): negocios y operaciones, funciones de riesgo y cumplimiento, y auditorías. Un centro de este tipo proporcionaría informes automatizados, mejoraría la transparencia de los riesgos, aumentaría la eficiencia en la toma de decisiones relacionadas con los riesgos y automatizaría parcialmente la redacción y actualización de políticas y procedimientos para reflejar los cambiantes requisitos normativos. Actuaría como una fuente de información fiable y eficiente, permitiendo a los gestores de riesgos tomar decisiones informadas con rapidez y precisión.

Por ejemplo, McKinsey ha desarrollado un experto virtual de IA generativa que puede ofrecer respuestas personalizadas basadas en la información y los activos propiedad de la empresa. Las funciones de riesgo de los bancos y sus partes interesadas pueden desarrollar herramientas similares que analicen las transacciones con otros bancos, las posibles señales de alarma, las noticias del mercado, los precios de los activos y más para influir en las decisiones de riesgo. Estos expertos virtuales también pueden recopilar datos y valorar las evaluaciones de riesgo climático para responder preguntas de las contrapartes.

Por último, la IA generativa podría facilitar una mejor coordinación entre la primera y la segunda LOD de la organización, manteniendo al mismo tiempo la estructura de gobernanza en las tres. La mejora de la coordinación permitiría optimizar los mecanismos de seguimiento y control, fortaleciendo así el marco de gestión de riesgos de la organización.

Aplicaciones emergentes de la IA generativa en el riesgo y el cumplimiento normativo

De las muchas aplicaciones prometedoras de la IA generativa para las instituciones financieras, hay un conjunto de candidatas que los bancos están explorando para una primera oleada de adopción: el cumplimiento normativo, los delitos financieros, el riesgo crediticio, el modelado y análisis de datos, el riesgo cibernético y el riesgo climático. En general, vemos aplicaciones de la IA generativa en funciones de riesgo y cumplimiento normativo a través de tres arquetipos de casos de uso.

A través de un experto virtual, un usuario puede hacer una pregunta y recibir una respuesta resumida generada a partir de documentos extensos y datos no estructurados. Con la automatización de procesos manuales, la IA generativa realiza tareas que requieren mucho tiempo. Con la aceleración de código, la IA generativa actualiza o traduce código antiguo o escribe código completamente nuevo. Todos estos arquetipos pueden desempeñar funciones en las responsabilidades clave de riesgo y cumplimiento normativo:

  • Cumplimiento normativo. Las empresas están utilizando la IA generativa como un experto virtual en normativa y políticas, entrenándola para responder preguntas sobre regulaciones, políticas de la empresa y directrices. La tecnología también puede comparar políticas, normativas y procedimientos operativos. Como acelerador de código, puede verificar el código para detectar desajustes y lagunas en el cumplimiento. Puede automatizar la comprobación del cumplimiento normativo y alertar de posibles infracciones.
  • Delitos financieros. La IA generativa puede elaborar reportes de actividades sospechosas basados en información sobre clientes y transacciones. También puede automatizar la creación y actualización de las calificaciones de riesgo de los clientes en función de los cambios en los atributos de “conozca a su cliente”. Al generar y mejorar el código para detectar actividades sospechosas y analizar transacciones, la tecnología puede optimizar el monitoreo de transacciones.
  • Riesgo crediticio. Al resumir la información del cliente (por ejemplo, las transacciones con otros bancos) para fundamentar las decisiones crediticias, la IA generativa puede ayudar a acelerar el proceso crediticio integral de los bancos. Tras una decisión de crédito, puede redactar la nota de crédito y el contrato. Las instituciones financieras están utilizando la tecnología para generar informes de riesgo crediticio y extraer información sobre los clientes a partir de las notas de crédito. La IA generativa puede escribir código para obtener y analizar datos crediticios con el fin de obtener una visión de los perfiles de riesgo de los clientes y generar estimaciones de probabilidad de incumplimiento y pérdida a través de modelos.
  • Modelado y análisis de datos. La IA generativa puede acelerar la migración de lenguajes de programación heredados, como el cambio de SAS y COBOL a Python. También puede automatizar la supervisión del rendimiento de los modelos y generar alertas si las métricas se salen de los niveles de tolerancia. Las empresas también están utilizando la IA generativa para redactar la documentación de los modelos y los informes de validación.
  • Riesgo cibernético. Al comprobar las vulnerabilidades de ciberseguridad, la IA generativa puede usar lenguaje natural para generar código para las reglas de detección y acelerar el desarrollo de código seguro. Puede resultar útil en “equipos rojos” (“red teaming”) (simulando estrategias adversas y probando escenarios de ataque). La tecnología también puede servir como experto virtual para investigar datos de seguridad. Puede hacer que la detección de riesgos sea más inteligente al acelerar y agregar perspectivas y tendencias de seguridad a partir de eventos de seguridad y anomalías de comportamiento.
  • Riesgo climático. Como acelerador de código, la IA generativa puede sugerir fragmentos de código, facilitar las pruebas unitarias y ayudar a la visualización del riesgo físico con mapas de alta resolución. Puede automatizar la recopilación de datos para las evaluaciones del riesgo de transición de las contrapartes y generar señales de alerta temprana basadas en eventos desencadenantes. Como experto virtual, la IA generativa puede producir automáticamente informes sobre temas ambientales, sociales y de gobernanza (ASG) y secciones de sostenibilidad de los informes anuales (ver el recuadro: “Cómo la IA generativa puede acelerar las evaluaciones de riesgo climático de las instituciones financieras”).

Una vez que las empresas han integrado la IA generativa en estos roles y funciones, han visto una segunda oleada de casos de uso emergentes en otros aspectos de la gestión de riesgos. La IA generativa puede agilizar el riesgo empresarial sintetizando resúmenes de gestión del riesgo empresarial a partir de datos e informes existentes. Puede ayudar a acelerar el proceso de evaluación interna de la adecuación del capital y modelizar la adecuación del capital mediante la obtención de datos relevantes. Los bancos también pueden utilizarla para resumir posiciones de riesgo y redactar informes de riesgos y reportes ejecutivos para la alta dirección.

Otra área en la que la IA generativa puede desempeñar un papel importante es el riesgo operativo. Los bancos pueden utilizarla para la automatización operativa de los controles, la supervisión y la detección de incidentes. También puede redactar automáticamente autoevaluaciones de riesgos y controles, o evaluar la calidad de las existentes.

Consideraciones clave para la adopción de la IA generativa

Si bien existen varios casos de uso convincentes en los que la IA generativa puede impulsar la productividad, es fundamental priorizarlos para obtener valor al tiempo que se adopta la tecnología de manera responsable y sostenible. Vemos tres dimensiones críticas que los líderes de riesgos pueden evaluar para determinar la priorización de los casos de uso y maximizar el impacto (Gráfica).

Cómo la IA generativa puede ayudar a los bancos a gestionar el riesgo y el cumplimiento normativo

Los directores de riesgos pueden basar sus decisiones en evaluaciones de dimensiones cualitativas y cuantitativas del impacto, el riesgo y la viabilidad. Este proceso incluye la alineación con las visiones generales de sus bancos sobre la IA generativa y las barreras de seguridad asociadas, la comprensión de la normativa pertinente (como la Ley de IA de la UE) y la evaluación de la sensibilidad de los datos. Todos los líderes deben ser conscientes de los nuevos riesgos asociados a esta nueva tecnología. Estos riesgos pueden dividirse a grandes rasgos en ocho categorías:

  • imparcialidad perjudicada, cuando el resultado de un modelo de IA generativa puede estar intrínsicamente sesgado en contra de un grupo concreto de usuarios
  • infracciones de la propiedad intelectual, como violaciones de los derechos de autor e incidentes de plagio, ya que los modelos fundacionales suelen aprovechar datos basados en Internet
  • preocupaciones de privacidad, como la divulgación pública no autorizada de información personal o sensible
  • uso malintencionado, como la difusión de contenido falso y el uso de la IA generativa por parte de delincuentes para crear identidades falsas, orquestar ataques de phishing o estafar a clientes
  • amenazas a la seguridad, cuando las vulnerabilidades dentro de los sistemas de IA generativa pueden violarse o explotarse
  • riesgos de rendimiento y “explicabilidad”, como modelos que proporcionan respuestas incorrectas e información desactualizada
  • riesgos estratégicos por el incumplimiento de los estándares o las regulaciones ASG, creando riesgos sociales o de reputación
  • riesgos para terceros, como la filtración de datos exclusivos al ámbito público mediante el uso de herramientas de terceros

Estrategias ganadoras para planear un recorrido de IA generativa

Las organizaciones que puedan extraer valor de la IA generativa deberían utilizar un enfoque centrado y descendente para comenzar el recorrido. Dada la escasez de talento para escalar las capacidades de la IA generativa, las organizaciones deberían comenzar con tres a cinco casos de uso de alta prioridad en materia de riesgo y cumplimiento normativo que se alineen con sus prioridades estratégicas. Pueden ejecutar estos casos de uso en tres a seis meses, seguidos de una estimación del impacto empresarial. Escalar las aplicaciones requerirá el desarrollo de un ecosistema de IA generativa que se centre en siete áreas:

  • un catálogo de servicios y soluciones de IA generativa listos para la producción y reutilizables (casos de uso) que puedan integrarse fácilmente en una serie de escenarios y aplicaciones empresariales en toda la cadena de valor bancaria
  • una pila tecnológica segura y preparada para la IA generativa que admita despliegues de nube híbrida para permitir el soporte de datos no estructurados, la incrustación de vectores, el entrenamiento en aprendizaje automático, la ejecución y el procesamiento previo y posterior al lanzamiento
  • la integración con herramientas y modelos fundacionales de nivel empresarial para permitir la selección y orquestación de modelos abiertos y patentados adaptados a cada propósito
  • la automatización de las herramientas de soporte, incluidas las operaciones de aprendizaje automático (machine learning operations, o MLOps), los datos y los canales de procesamiento, para acelerar el desarrollo, el lanzamiento y el mantenimiento de las soluciones de IA generativa
  • unos modelos de gobernanza y talento que desplieguen fácilmente la experiencia interfuncional capacitada para colaborar e intercambiar conocimientos (como el lenguaje, el procesamiento del lenguaje natural y el aprendizaje de refuerzo a partir de la retroalimentación humana, de ingenieros de prompt, expertos en la nube, líderes de productos de IA, y expertos legales y normativos)
  • la alineación de los procesos de creación de IA generativa para apoyar la experimentación, validación e implementación rápida y segura de soluciones de extremo a extremo
  • una hoja de ruta en la que se detalle el cronograma de lanzamiento y ampliación de las distintas capacidades y soluciones, en consonancia con la estrategia empresarial más amplia de la organización

En un momento en el que las empresas de todos los sectores están experimentando con la IA generativa, las organizaciones que no logren aprovechar el potencial de la tecnología corren el riesgo de quedarse atrás en eficiencia, creatividad y compromiso con el cliente. Al principio, los bancos deben tener en cuenta que el paso del programa piloto a la producción lleva mucho más tiempo para la IA generativa que para la IA clásica y el aprendizaje automático. Al seleccionar los casos de uso, las funciones de riesgo y cumplimiento normativo pueden verse tentadas a utilizar un enfoque aislado. Más bien, deberían alinearse con la estrategia y los objetivos de la IA generativa de toda la organización.

Para que la adopción de la IA generativa por parte de los grupos de riesgo y cumplimiento sea eficaz y responsable, es fundamental que estos grupos comprendan la necesidad de nuevos controles y gestión de riesgos, la importancia de las exigencias tecnológicas y de datos, y los nuevos requisitos de talento y modelos operativos.

Gestión de riesgos y controles

Con la IA generativa, es necesario un nuevo nivel de gestión y control de riesgos. Ganar de forma responsable requiere estrategias tanto defensivas como ofensivas. Todas las organizaciones se enfrentan a los riesgos entrantes de la IA generativa, además de los riesgos derivados del desarrollo de casos de uso de IA generativa y de la integración de la IA generativa en las herramientas estándar del lugar de trabajo. Por ello, los bancos tendrán que evolucionar sus capacidades de mitigación de riesgos en consecuencia.

La primera oleada se centra en gran medida en las revisiones humanas para garantizar la precisión de las respuestas del modelo. El uso de la IA generativa para autoverificarse –por ejemplo, mediante citas de fuentes y puntuaciones de riesgo– puede hacer que las revisiones humanas sean más eficientes. Al trasladar las barreras de seguridad de la IA generativa al tiempo real y prescindir de las revisiones humanas, algunas empresas ya están poniendo la IA generativa directamente frente a sus clientes. Para dar este paso, los profesionales de riesgo y cumplimiento normativo pueden trabajar con los miembros del equipo de desarrollo para establecer las barreras y crear controles desde el principio.

Las funciones de riesgo deben estar atentas para gestionar los riesgos de la IA generativa a nivel empresarial. Pueden cumplir esa obligación tomando las siguientes medidas:

  1. Asegurarse de que todos los miembros de la organización sean conscientes de los riesgos inherentes a la IA generativa, publicando lo que se debe y no se debe hacer, y estableciendo barreras de seguridad contra riesgos.
  2. Actualizar los criterios de identificación de modelos y la política de riesgo de modelos (en línea con normativas como la Ley de IA de la UE) para permitir la identificación y clasificación de modelos de IA generativa, y contar con un marco adecuado de evaluación y control de riesgos.
  3. Desarrollar expertos en riesgo y cumplimiento de la IA generativa que puedan trabajar directamente con los equipos de desarrollo de primera línea en nuevos productos y recorridos del cliente.
  4. Revisar los controles existentes de conocimiento del cliente, antiblanqueo de dinero, fraude y control cibernético para garantizar que siguen siendo efectivos en un mundo habilitado por la IA generativa.

Exigencias tecnológicas y de datos

Los bancos no deberían subestimar las exigencias de datos y tecnología relacionadas con un sistema de IA generativa que requiere enormes cantidades de ambos. ¿Por qué? En primer lugar, el proceso de integración del contexto es crucial para garantizar la precisión y relevancia de los resultados. Ese proceso requiere la introducción de los datos adecuados y la resolución de los problemas de calidad de los datos. Además, los datos disponibles pueden ser insuficientes. Es posible que las organizaciones necesiten crear o invertir en conjuntos de datos etiquetados para cuantificar, medir y rastrear el rendimiento de las aplicaciones de IA generativa en función de la tarea y el uso.

Los datos serán una ventaja competitiva a la hora de extraer valor de la IA generativa. Una organización que busque automatizar la relación con el cliente utilizando la IA generativa debe tener datos precisos y actualizados. Las organizaciones con plataformas de datos avanzadas serán las más eficaces a la hora de aprovechar las capacidades de la IA generativa.

Requisitos de talento y modelo operativo

Dado que la IA generativa es una tecnología transformadora que requiere un cambio organizacional, las organizaciones tendrán que comprender los requisitos de talento relacionados. Los bancos pueden integrar los cambios de modelo operativo en su cultura y sus procesos habituales. Pueden capacitar a los nuevos usuarios no solo sobre cómo utilizar la IA generativa, sino también sobre sus limitaciones y fortalezas. Reunir un equipo de “defensores de la IA generativa” puede ayudar a dar forma, desarrollar y escalar la adopción de esta nueva tecnología.


Esperamos que en el futuro la IA generativa potencie todas las funciones de riesgo y cumplimiento normativo de los bancos. Esto implica un profundo cambio cultural que requerirá que todos los profesionales del riesgo conozcan la nueva tecnología, sus capacidades, sus limitaciones y cómo mitigarlas. El uso de la IA generativa supondrá un cambio significativo para todas las organizaciones, pero aquellas que logren navegar por el delicado equilibrio de aprovechar los poderes de la tecnología y, al mismo tiempo, gestionar los riesgos que plantea, pueden obtener importantes ganancias de productividad.

Explore a career with us