I
Impetora

Gestión de riesgos de modelos de IA en banca: SR 11-7, EBA y Ley de IA

By Impetora -

La banca europea opera modelos cuantitativos bajo un marco maduro: SR 11-7 de la Reserva Federal como referencia internacional, las directrices de la EBA sobre gobierno interno y la guía del Banco de España. Los modelos de IA encajan en ese marco como modelos más, con dos capas adicionales: la específica de IA generativa y la regulatoria de la Ley de IA de la UE.

Cuál es el marco base de gestión de riesgos de modelos en banca?

El estándar SR 11-7 fija tres principios. Definición amplia de modelo (cualquier método cuantitativo o estadístico que produce estimaciones). Gestión de riesgos por todo el ciclo de vida (desarrollo, validación, uso, monitorización, retirada). Validación independiente con autoridad para bloquear el despliegue. La EBA y el Banco de España acogen estos principios en sus directrices supervisoras.

La estructura típica en un banco europeo cubre tres líneas. Negocio que desarrolla y opera. Riesgos que valida independientemente. Auditoría interna que revisa el funcionamiento del marco. Comité de modelos con representación senior decide despliegues, retiradas y excepciones.

Qué cambia con IA generativa?

Tres aspectos cambian. Definición de "salida del modelo": deja de ser un número y pasa a ser texto libre, lo que complica la métrica de calidad. Reproducibilidad: la temperatura no nula y la dependencia del prompt introducen varianza, lo que obliga a fijar versiones de prompt como parte del modelo. Datos de entrenamiento: el modelo base lo entrena el proveedor, pero el banco puede afinarlo o aplicar RAG, lo que introduce dependencias adicionales.

La práctica que funciona: tratar prompt + RAG + modelo base + parámetros como una unidad versionada. Cada cambio en cualquiera de los componentes activa revalidación. Las métricas combinan precisión por tarea (con conjunto dorado), métricas de fundamentación (la cita coincide con la fuente), latencia y coste.

Cómo se hace validación independiente para IA?

El validador independiente revisa cinco bloques. Datos: origen, calidad, sesgo, representatividad, ciclo de vida. Metodología: justificación de la elección de modelo base, técnica de afinamiento o RAG, parámetros de generación. Pruebas: harness de evaluación con conjunto dorado anotado por expertos, robustez adversaria, equidad. Limitaciones documentadas: casos donde el sistema no debe usarse. Plan de monitorización post-despliegue.

Para modelos de alto riesgo bajo la Ley de IA, este expediente cubre directamente la documentación técnica del Anexo IV. El esfuerzo de validación se reutiliza como evidencia regulatoria. Sin esa intersección, el banco hace dos veces el mismo trabajo.

Qué se monitoriza después del despliegue?

Cuatro familias de métricas. Deriva de entradas: distribución de prompts, fuentes recuperadas, características del usuario. Deriva de salidas: longitud, sentimiento, cantidad de citas, tasa de rechazo del usuario. Calidad: puntuaciones del harness contra el conjunto dorado, ejecutado periódicamente. Operativa: latencia, coste, errores, disponibilidad.

Cuando dos métricas clave salen de banda, el comité de modelos decide. La decisión va desde reentrenamiento o reajuste hasta retirada del sistema. La trazabilidad por decisión se conserva al menos cinco años.

Preguntas frecuentes

El Banco de España exige validación específica para IA?
El Banco de España aplica el principio de proporcionalidad sobre el marco general de modelos. No existe una guía monográfica para IA todavía, pero las inspecciones revisan IA con la misma exigencia que cualquier otro modelo crítico, con énfasis adicional en explicabilidad y supervisión humana.
Cómo encaja la Ley de IA con SR 11-7?
SR 11-7 es marco supervisor; la Ley de IA es ley. La Ley impone requisitos sustantivos sobre el sistema (gestión de riesgos, datos, documentación, supervisión humana). SR 11-7 impone requisitos sobre el proceso de gestión. Ambos coinciden en el 70% del trabajo. La estrategia: un único expediente con dos vistas.
Cuándo es obligatoria la documentación del Anexo IV?
Cuando el sistema es de alto riesgo (Anexo III). Los sistemas de scoring crediticio para personas físicas y los seguros de vida y salud están en Anexo III. Otros casos pueden estar en alto riesgo según funcionalidad.
Qué pasa con modelos heredados?
Los modelos en producción a la fecha de aplicación tienen calendarios específicos en la Ley de IA. La práctica recomendada: priorizar la actualización documental por criticidad, no por edad del modelo.
Impetora

Ready to scope your project? Submit a short brief and we reply within one business day.

Fuentes

Sources cited (4) - show
  1. SR 11-7 - Guidance on Model Risk Management. Federal Reserve, 2011-04-04. https://www.federalreserve.gov/supervisionreg/srletters/sr1107.htm
  2. EBA - Guidelines on internal governance. EBA, 2021. https://www.eba.europa.eu/
  3. Banco de España - Supervisión bancaria. Banco de España, 2024. https://www.bde.es/
  4. Reglamento (UE) 2024/1689 - Anexo III. EUR-Lex, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
About Impetora
Impetora designs, builds, and deploys custom AI systems for enterprises in regulated industries. We operate from Vilnius and Amsterdam and work in five languages.
Llamada de descubrimiento

Reserva una llamada de descubrimiento

Cuéntanos qué quieres construir. Respondemos en un día hábil.

Llamada de 30 minutos. Gratis. Sin compromiso.