Durante el último año, cambios regulatorios relevantes han redefinido el panorama de la Gestión del Riesgo de Modelos (MRM, por sus siglas en inglés). El Banco Central Europeo (BCE) amplió sus directrices sobre validación interna y gobernanza, con especial atención a modelos de inteligencia artificial y aprendizaje automático (ML, por sus siglas en inglés).
En el Reino Unido, la Autoridad de Regulación Prudencial (PRA) publicó el SS1/23, que establece nuevas expectativas para la gestión de modelos en la era digital. En Estados Unidos, la Reserva Federal y la Oficina del Contralor de la Moneda han intensificado su supervisión de modelos financieros basados en IA, impulsados por preocupaciones sobre la explicabilidad y la rendición de cuentas.
En este contexto tecnológico, las instituciones financieras deben adaptarse a las transformaciones digitales, al comportamiento del consumidor y a los nuevos mandatos regulatorios. La IA, particularmente la IA generativa, ha ganado terreno por su rendimiento y accesibilidad, convirtiéndose en una herramienta habitual en el sector.
Si bien estas tecnologías mejoran la eficiencia y las capacidades predictivas, también introducen riesgos como sesgos, falta de transparencia y desafíos de gobernanza. Por ello, los reguladores exigen mecanismos sólidos de validación, explicabilidad y monitoreo para garantizar un uso responsable de los modelos de IA.
Este año, centramos nuestra atención en:
Cómo las instituciones financieras definen los modelos y qué tipo de modelos consideran dentro de su marco de MRM, incluidos los modelos de proveedores.
El uso de la IA y la importancia de mejorar las prácticas existentes de MRM para abordar los riesgos asociados con modelos impulsados por IA.
Hallazgos clave de la encuesta
Fuerte compromiso con el MRM: más del 50 % de las instituciones financieras cuenta con equipos de al menos cuatro profesionales dedicados a actividades de Gestión del Riesgo de Modelos.
Definición de modelo guiada por la regulación: muchas instituciones prefieren adoptar definiciones regulatorias en lugar de desarrollar sus propias definiciones, lo que resalta la influencia normativa en este campo.
Panorama tecnológico actual: el 95 % de las instituciones encuestadas cuenta con algún tipo de inventario de modelos, y el 82 % utiliza soluciones avanzadas, ya sea desarrolladas internamente o proporcionadas por terceros especializados.
Modelos de proveedores incluidos en el MRM: el 80 % de las organizaciones incorpora modelos desarrollados o mantenidos por proveedores externos dentro de sus inventarios de MRM.
Creciente adopción de inteligencia artificial: el 70 % ya ha integrado modelos basados en IA en sus operaciones. De las que aún no lo hacen, la mitad planea adoptarlos próximamente, lo que refleja la expansión y el reconocimiento del valor de la IA en el sector financiero.
Clasificación de riesgo como elemento clave: el 82 % ha incorporado sistemas de clasificación de riesgo dentro de su marco de MRM. La técnica más utilizada para ello es el método de árbol de decisiones, empleado por más de dos tercios de las instituciones.
“El crecimiento exponencial en el uso de datos ha impulsado una rápida proliferación de los modelos en las entidades y grupos financieros. Sin embargo, en algunos casos se ha identificado la existencia de múltiples modelos con un mismo propósito desarrollados por distintas áreas, generando duplicidad de esfuerzos y menor eficiencia. Contar con un marco robusto de gestión de modelos (MRM) permite establecer criterios claros sobre qué constituye un modelo, su criticidad, y los lineamientos para su evaluación, validación y actualización. Además, fortalece el gobierno corporativo en esta materia, asegurando que la alta dirección pueda confiar plenamente en los resultados generados para la toma de decisiones estratégicas.”
Creciente importancia de la gestión del riesgo de modelos
Reacción al uso de modelos más sofisticados
La Gestión del Riesgo de Modelos (MRM, por sus siglas en inglés) cobra cada vez más relevancia, en la medida en que las instituciones financieras adoptan técnicas avanzadas de modelado, especialmente basadas en IA y aprendizaje automático, aplicadas a operaciones como la evaluación de riesgo crediticio y las estrategias de negociación. No obstante, la creciente complejidad de estos modelos ha impulsado a los reguladores a emitir nuevas directrices que garanticen una gobernanza adecuada.
En el Reino Unido, la Autoridad de Regulación Prudencial (PRA, por sus siglas en inglés), a través del SS1/23 vigente desde mayo de 2024, promueve un enfoque estratégico de MRM, que incluye principios de identificación, desarrollo, validación y mitigación de riesgos.
Por su parte, el Banco de la Reserva de la India (RBI, por sus siglas en inglés) ha publicado directrices preliminares que exigen marcos integrales de MRM, con validación obligatoria de todos los modelos, especialmente los basados en IA, así como revisiones anuales e independientes, para reforzar la estabilidad financiera.
La Autoridad Monetaria de Singapur (MAS, por sus siglas en inglés) también ha alertado sobre riesgos asociados a modelos de IA. Su documento informativo subraya la necesidad de una gobernanza sólida frente a desafíos como los sesgos algorítmicos, la explicabilidad de los modelos y la calidad de los datos. Propone un enfoque equilibrado que combine innovación con control, integrando la gobernanza de IA en los marcos existentes, actualizando estándares y promoviendo un uso ético y transparente.
A nivel global, los reguladores coinciden en la urgencia de contar con marcos de MRM robustos que aseguren una validación rigurosa, una mitigación efectiva de riesgos y un equilibrio entre innovación tecnológica y estabilidad financiera.
Panorama de modelos
Número de modelos relevantes para el riesgo en instituciones financieras
Representación de los modelos relevantes para el riesgo en las organizaciones del sector financiero
El número de modelos relevantes para el riesgo sigue creciendo en el sector financiero. Las instituciones financieras suelen tener docenas o incluso cientos de estos modelos. Nuestra encuesta mostró la siguiente distribución:
Esta diversidad refleja la complejidad y escala de la gestión de modelos, lo que refuerza la necesidad de contar con procesos efectivos de identificación, validación y monitoreo.
Organización de la Gestión del Riesgo de Modelos
Una mirada a la fuerza laboral, liderazgo y recursos externos
Contar con equipos dedicados a MRM es una práctica consolidada que cumple un papel clave en la supervisión de modelos y la prevención de errores. Estos equipos suelen incluir analistas cuantitativos, gestores de riesgos y validadores de modelos, bajo la supervisión de altos cargos como el director de Riesgos (CRO, por sus siglas en inglés) o el jefe de Gestión de Riesgos. Esta estructura garantiza una gobernanza eficaz del marco de riesgo de modelos.
Nuestra encuesta reveló que el 26 % de las instituciones financieras tienen un fuerte compromiso con la gestión de relaciones con el cliente (MRM), con equipos de cuatro a diez profesionales, y el 28 % ha demostrado una dedicación aún mayor, con más de once personas involucradas en actividades de MRM. El 38 % de los encuestados cuenta con entre una y tres personas dedicadas a cuestiones de MRM, mientras que el 8 % no cuenta con un equipo dedicado.
¿Quién supervisa la gestión del riesgo de modelos en tu organización?
Las organizaciones suelen designar a la alta dirección para asegurar la implementación y supervisión del marco de MRM. Este rol, en la mayoría de los casos, recae en el CRO:
¿Qué tan sólida es la función de MRM en tu organización?
Al preguntar por la solidez del área de MRM (escala de 1 a 5), los resultados fueron:
El 12 % la considera altamente robusta. 31 % la califica como fuerte, aunque con brechas, especialmente en IA, validación y gobernanza. Más del 40 % la evalúa como intermedia, señalando limitaciones similares, junto a falta de personal o experiencia. 15 % la considera débil o poco adecuada, debido a recursos limitados y estructuras poco desarrolladas.
Uso de recursos externos en la Gestión del Riesgo de Modelos
En el panorama cambiante de la gestión del riesgo financiero, la cuestión de externalizar recursos equivalentes a tiempo completo (FTEs) en MRM ha cobrado una atención significativa. A medida que las organizaciones buscan optimizar sus procesos de MRM, muchas están considerando los beneficios estratégicos y los desafíos potenciales de aprovechar la experiencia externa.
Uso de modelos desarrollados externamente o productos de terceros: de acuerdo con la PRA SS2/21 sobre tercerización, los consejos y la alta dirección siguen siendo responsables de la gestión del riesgo de modelos, incluso cuando se recurren a proveedores externos (PRA SS1/23, 2023, Principio 2.6).
¿Cuáles son las principales razones para externalizar?
Las instituciones que externalizan actividades de MRM señalan principalmente las limitaciones de capacidad interna como el factor más relevante, con un 71 % indicando que el volumen de trabajo supera sus capacidades actuales. Un 43 % menciona la falta de talento especializado, especialmente en equipos pequeños o en desarrollo. El 14 % identifica limitaciones tecnológicas u operativas que dificultan una gestión efectiva del MRM. Además, el 21 % destaca los beneficios en términos de ahorro de costos y eficiencia operativa, aprovechando la experiencia y tecnología de proveedores externos. Un 14 % considera importante preservar la independencia y objetividad en la evaluación de riesgos, mientras que el 18 % apunta a otros factores, como acceder a una mejor perspectiva del sector y comparar sus prácticas con los estándares del mercado.
Proceso de identificación de modelos
Definición de modelo
La gestión del riesgo de modelos comienza con el proceso de identificación de modelos, el cual requiere una definición institucional clara. Un modelo se define ampliamente como un método que emplea supuestos teóricos y expertos, combinados con algoritmos o técnicas complejas, para procesar entradas y generar resultados significativos. Tiene tres componentes esenciales:
Componente de entrada: puede incluir datos, supuestos, otros modelos (modelos ascendentes) o juicios de expertos.
Componente de procesamiento: puede estar asociado con una fórmula, método, teoría o algoritmo que traduce las entradas en estimaciones.
Componente de salida: puede expresar estimaciones cuantitativas o cualitativas en un formato útil para funciones de negocio o control.
La definición de un modelo varía entre instituciones. Solo el 8 % de las 65 entidades encuestadas usa una definición interna, generalmente basada en normativas locales o internacionales. El 52 % considera regulaciones nacionales en su definición, como MaRisk (Alemania), OSFI-23 (Canadá) y CMN 4557 (Brasil). Además, guías internacionales como la SR 11-7 (Reserva Federal, EE. UU.) y la SS1/23 (PRA, Reino Unido) son reconocidas como buenas prácticas y también influyen en la definición de modelos.
La mayoría de las instituciones opta por seguir guías regulatorias existentes en lugar de desarrollar definiciones propias de modelo, lo que refleja la influencia central de la normativa en este ámbito. Aquellas que utilizan definiciones internas suelen hacerlo para alinearse con estándares locales o internacionales, buscando garantizar coherencia y cumplimiento.
Además, algunas organizaciones ya están empezando a incorporar los requisitos del Reglamento de IA de la Unión Europea, que incluyen aspectos como formación en IA, detección de sesgos y supervisión humana en el uso de modelos.
Criterios utilizados para definir un modelo
Los resultados de la encuesta muestran una diversidad de criterios para identificar algoritmos o técnicas como modelos. El 88 % de los encuestados considera que el uso de un método de procesamiento (como técnicas estadísticas, enfoques matemáticos o juicios de expertos) es el criterio principal, y la mitad lo ve como el único criterio. Otros factores relevantes son la frecuencia de uso del modelo (37 %) y el entorno de implementación (20 %). En la categoría "Otros", se mencionaron aspectos como materialidad, regulación, incertidumbre en los resultados y datos de entrada. Curiosamente, ningún encuestado clasificó los modelos según su uso en la toma de decisiones de negocio.
Definición del Banco de Inglaterra: un modelo es un método cuantitativo, sistema o enfoque que aplica teorías, técnicas y supuestos estadísticos, económicos, financieros o matemáticos para procesar datos de entrada y generar resultados cuantitativos o cualitativos (PRA SS1/23, 2023, Principio 1.1).
Inventarios
Inventario de modelos en instituciones financieras
Las instituciones financieras deben “mantener un inventario de modelos implementados para su uso, en desarrollo para su implementación o recientemente retirados” (SR 11-7). Esta es una exigencia regulatoria común y una práctica estándar en el mercado. Nuestra encuesta muestra que la gran mayoría de las instituciones sigue esta práctica:
Más del 95 % de los encuestados tiene algún tipo de inventario.
El 14 % utiliza una hoja de cálculo simple, generalmente aquellas con menos de 50 modelos
El 82 % emplea soluciones más avanzadas, ya sean desarrolladas internamente o proporcionadas por proveedores especializados.
Solo el 4 % no cuenta con ninguna solución de inventario, y suelen ser instituciones con 20 modelos o menos
Las gráficas ilustran los tipos de soluciones técnicas usadas para gestionar el riesgo de modelos en las organizaciones. A mayor número de modelos, se evidencia una mayor adopción de soluciones internas o especializadas. Las hojas de cálculo y la ausencia de soluciones predominan en entornos con menor complejidad.
Los inventarios de modelos suelen ser soluciones centralizadas a nivel de toda la organización, utilizadas por varios departamentos. Aunque algunas instituciones gestionan inventarios específicos por área o entidad, la mejor práctica es mantener un inventario unificado a nivel corporativo. Esta recomendación está alineada con los principios del Banco de Inglaterra, que indican que un inventario global permite identificar interdependencias entre modelos y comprender mejor el riesgo agregado (PRA SS1/23, 2023, Principio 1.2)
Requisitos del inventario: de la regulación a la mejor práctica
El inventario de modelos debe incluir un conjunto amplio de información relevante para apoyar una gestión efectiva de modelos y mitigar el riesgo asociado. Esta información se agrupa en seis categorías principales:
A. Descripción y categorización del modelo: incluye información clave como entradas de datos, alcance del modelo, proceso de aprobación, limitaciones, proveedores y versiones. Esta sección permite entender qué hace el modelo y en qué condiciones fue desarrollado o adquirido.
B. Roles y responsabilidades: define quiénes participan en el ciclo de vida del modelo: propietario, usuario, desarrollador, validador y aprobador. Esto asegura una gestión clara y trazable.
C. Jerarquización del riesgo (Risk tiering): clasifica los modelos según su importancia y complejidad, considerando factores como el uso, la materialidad y el nivel de riesgo que representan.
D. Información sobre el ciclo de vida: detalla aspectos como la fecha de creación, historial de cambios, validación, aprobación y periodo de vigencia esperada del modelo. Esta trazabilidad es esencial para una gestión eficaz.
E. Documentación del modelo: reúne todos los documentos clave asociados al modelo: informes de validación, documentos de desarrollo e implementación, y aprobaciones. Facilita la revisión y auditoría del modelo.
F. Resultados o hallazgos del modelo: recoge resultados de desempeño (como pruebas retrospectivas) y hallazgos de auditorías o validaciones. Provee evidencia sobre la efectividad y confiabilidad del modelo.
Los inventarios de modelos abarcan distintas áreas según su uso dentro de las instituciones financieras. Los primeros en ser incluidos suelen ser los modelos regulados, especialmente los vinculados a cálculos de capital o provisiones. A estos se suman modelos de riesgo, negocio y finanzas.
La mayoría de las instituciones reporta que:
Modelos de Proveedores en la Gestión del Riesgo de Modelos
El papel de los modelos externos
El tratamiento adecuado de los modelos de terceros desempeña un papel importante en la gestión del riesgo de modelos. Estos modelos, que a menudo son subcontratados o adquiridos, requieren validación, monitoreo y supervisión para garantizar que funcionen correctamente y cumplan con los requisitos regulatorios.
Gestionar modelos de proveedores implica evaluar los riesgos asociados con la dependencia de proveedores externos y asegurar una gobernanza y cumplimiento adecuados. El 80 % incorpora modelos proporcionados o gestionados por proveedores externos en sus inventarios de modelos. La mayoría de estos (79 %) afirma que los modelos de proveedores representan solo entre el 0 % y el 25 % de su inventario total de modelos.
Esto pone de manifiesto la dependencia del desarrollo interno de modelos, incluso entre quienes utilizan modelos externos.
El 20 % restante de los encuestados que no incluye modelos de proveedores cita razones como que su inventario se encuentra en fase de desarrollo, la falta de un proceso de inventario especializado o un enfoque exclusivo en el desarrollo interno de modelos.
Estos resultados subrayan la importancia de contar con prácticas sólidas de MRM, especialmente en lo que respecta a la integración de modelos de proveedores. Adoptar prácticas más consistentes puede mejorar la supervisión y gobernanza de estos modelos, asegurando que cumplan con las regulaciones y contribuyan eficazmente a la toma de decisiones.
Inteligencia artificial
Percepciones diversas sobre la IA
Nuestra encuesta revela percepciones variadas sobre la utilidad y complejidad de la IA en las instituciones financieras, destacando incluso la ausencia de una definición universalmente aceptada. Algunos la consideran como sistemas con aprendizaje automático avanzado (como reconocimiento facial o IA generativa con redes neuronales), mientras que otros incluyen modelos tradicionales como los sistemas de aprobación de préstamos basados en regresión logística o árboles de decisión.
Definición útil del reglamento de IA de la Unión Europea
El Reglamento de IA de la Unión Europea, recientemente adoptado por la OCDE, define un “sistema de IA” como un “sistema basado en máquinas diseñado para operar con distintos niveles de autonomía y que puede mostrar adaptabilidad tras su implementación, y que, con objetivos explícitos o implícitos, infiere a partir de las entradas que recibe cómo generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales” (Reglamento (UE) 2024/1689, Artículo 3).
IA estrecha versus IA general (según IBM):
IA estrecha (débil): sistemas diseñados para realizar tareas específicas con alta competencia, como asistentes de voz, algoritmos de recomendación, reconocimiento facial o IA generativa.
IA general (fuerte): concepto teórico de máquinas capaces de aprender y aplicar inteligencia en una amplia gama de tareas, como un ser humano. Actualmente, esto está más allá de nuestras capacidades tecnológicas.
Uso de la IA en la industria financiera
La encuesta muestra que la IA se está convirtiendo en una herramienta común en los procesos empresariales dentro de las instituciones financieras:
Pese a esto, todavía hay un gran porcentaje (31 %) de organizaciones que indica no hacer uso de esta y plantea no implementarla en el mediano o largo plazo.
¿Tu organización tiene un marco específico de MRM para modelos que utilizan IA?
Modelos de lenguaje en la industria financiera
En el sector financiero, el uso de modelos de lenguaje de gran escala (LLM, por sus siglas en inglés) como ChatGPT aún es limitado: solo el 20 % de los encuestados (13 instituciones) indicó que los emplea en sus operaciones. Las aplicaciones más comunes incluyen programación y codificación (38 %), redacción de documentación (30 %), búsqueda de información (23 %), procesamiento de resultados de modelos (23 %), validación (15 %) y extracción de características (8 %).
Sin embargo, su adopción generalizada enfrenta obstáculos importantes. La razón principal por la cual muchas organizaciones no los emplean es la falta de marcos, políticas o procesos de formación establecidos que permitan gestionar adecuadamente los riesgos asociados. Entre estos riesgos se destacan la privacidad de los datos, la generación de desinformación y el uso no supervisado en la toma de decisiones. Como resultado, varias instituciones han optado por restringir por completo el uso de LLMs hasta que exista mayor claridad normativa y control operativo.
A pesar de estas barreras, algunos encuestados manifestaron una visión positiva hacia el futuro. Mencionaron que están trabajando en el desarrollo de sus propios LLMs, lo que les permitiría mitigar riesgos clave, como la protección de datos o las alucinaciones generadas por estos sistemas. Por otro lado, hay quienes no prevén su implementación a corto o mediano plazo, ya que no han identificado una necesidad clara o una aplicación específica que justifique su uso dentro de sus operaciones.
Clasificación del Riesgo de Modelos
La clasificación del riesgo de modelos es un marco utilizado para categorizar los modelos según su impacto potencial y el riesgo que representan para la organización. Este enfoque generalmente evalúa dimensiones como la complejidad del modelo, su uso, la calidad de los datos y los requisitos regulatorios, con el fin de determinar el nivel adecuado de supervisión y validación.
¿Para qué se utiliza la clasificación del riesgo?
Acerca de esta encuesta
Entre septiembre y diciembre de 2024, PwC realizó una encuesta en profundidad sobre MRM, dirigida principalmente a bancos y aseguradoras, contactados a través de nuestra red interna.
Obtuvimos 65 respuestas completas de diversas instituciones financieras con presencia geográfica variada: Sudamérica (18 respuestas, 28 %), Europa Occidental (11, 17 %), Australia (7, 11 %), Europa Central y del Este (6, 9 %), Canadá (4, 6 %) y Medio Oriente (2, 3 %). El 26 % (17 participantes) optó por no revelar su ubicación.
Las organizaciones fueron clasificadas según atributos como el número de modelos relevantes para el riesgo, abarcando desde aquellas con pocos modelos (0–20) hasta las que gestionan más de 500. Esta diversidad permite una visión integral del estado actual del MRM.
Este artículo está basado en el informe “Model Risk Management in 2024” PwC República Checa, con adaptación y validación por parte "PwC Colombia".
¡Cambiemos la manera en que vemos el riesgo!
En PwC Colombia, te ayudamos a tener una visión integral de tu panorama de riesgos para que puedas actuar con audacia y determinación. Consulta nuestras soluciones en
