Reglamento de IA en Banca: Transformando el Marco de Tesorería en Acción
La frontera de la inteligencia artificial (IA) se ha comparado con el Viejo Oeste: prioridades en competencia, supervisión limitada y bancos e instituciones financieras compitiendo por hacerse un lugar en esta nueva era. Ahora, ha llegado un nuevo regulador para poner orden. El Marco de Gestión de Riesgos de IA de los Servicios Financieros del Tesoro de EE. UU. adapta el marco de gestión de riesgos de IA de NIST de 2023 para instituciones financieras. Proporciona a la industria un vocabulario compartido y una arquitectura de control común para gobernar la IA, desde la detección de fraudes hasta el compromiso con el cliente y las herramientas de productividad interna.
El objetivo no es cerrar estas «ciudades digitales», sino domar el caos y aportar responsabilidad y consistencia en la gobernanza de la IA. El marco ofrece a las instituciones financieras de todos los tamaños una forma estructurada de evaluar y gestionar el riesgo de IA. El desafío para la mayoría de las instituciones es que el marco asume que los bancos ya saben dónde se encuentra la IA dentro de sus organizaciones y cómo se está utilizando. Aquellos sin un inventario básico del uso de IA enfrentarán desafíos inmediatos al aplicar el marco.
Implementación del Marco
La implementación del marco es un trabajo arduo que requiere coordinación interfuncional y respaldo ejecutivo. Sin una clara propiedad y responsabilidad, las organizaciones pueden tener dificultades para operacionalizar un programa que abarque la gobernanza, el ámbito legal, el riesgo y otras funciones. Más importante aún, el marco no es solo un requisito regulatorio; señala un cambio claro en cómo los directores de riesgos y cumplimiento y los asesores externos apoyan la responsabilidad, la ejecución operativa y los roles de asesoría dentro de estos marcos y resultados.
El marco está estructurado en cuatro componentes integrados: un Cuestionario de Etapa de Adopción de IA que determina la madurez institucional, una Matriz de Riesgo y Control que mapea los controles aplicables, una Guía de Implementación que proporciona orientación, y una Guía de Objetivos de Control que ofrece soporte técnico detallado.
Cuestionario de Etapa de Adopción
La aplicación del marco comienza con el Cuestionario de Etapa de Adopción, una autoevaluación que categoriza a una institución en uno de cuatro niveles de madurez: Inicial, Mínimo, Evolutivo o Incorporado. Tu etapa determina qué objetivos de control en la Matriz de Riesgo y Control son aplicables. Una vez determinado el nivel de madurez, los controles se construyen de manera acumulativa, heredando requisitos anteriores mientras se introducen requisitos más rigurosos.
El salto de una etapa a otra es significativo y un multiplicador de gobernanza. La diferencia entre Inicial y Mínimo expande el entorno de control en más de 100 objetivos. El Cuestionario delimita la amplitud y rigor de tus obligaciones de gestión de riesgos bajo el marco.
Sin embargo, el cuestionario asume que conoces cómo se despliega la IA en tu institución. En la práctica, muchas organizaciones no lo saben. Caracterizar el uso de la IA a través de dimensiones clave es un desafío sin un inventario existente.
Desafíos y Riesgos
Un desafío adicional es que construir el inventario de IA es uno de los objetivos de control; es un proceso que abarca desde la gestión de riesgos de TI hasta el análisis a nivel de cartera. Aunque el marco implica construir un inventario a través de controles, una organización no puede completar el cuestionario sin un inventario básico del uso de la IA.
Esto incluye desde un chatbot de producción que probablemente pasó por la gestión de riesgos de modelos hasta un despliegue de ChatGPT a nivel empresarial donde los empleados pueden ser creativos y definir sus propios casos de uso. Para que el cuestionario determine con precisión la etapa de adopción y la exposición al riesgo, el análisis del uso de IA debe ser exhaustivo.
Una vez que hayas construido un inventario funcional y tomado una decisión reflexiva sobre tu etapa de adopción, el resto del marco es directo. La Matriz de Riesgo y Control mapea las declaraciones de riesgo a objetivos de control específicos para tu etapa, y la Guía te guía a través de la implementación.
Conclusión
La ejecución de este trabajo no es fácil. Debe involucrar la gobernanza, el ámbito legal, el cumplimiento, la tecnología, la gestión de proveedores, los recursos humanos y la junta directiva. Requiere coordinación entre funciones que pueden no estar acostumbradas a trabajar juntas y asume un nivel de preparación organizacional que muchas instituciones aún están construyendo.
