Hoy, en el sector financiero, no solo estamos automatizando procesos: estamos automatizando decisiones. Y eso redefine el riesgo.
Desde mi experiencia trabajando con instituciones financieras, he visto cómo la inteligencia artificial ha dejado de ser un proyecto piloto para convertirse en parte estructural de la operación. Interviene en modelos de originación crediticia, motores antifraude, monitoreo de cumplimiento y análisis predictivo. Su adopción es lógica: promete eficiencia, reducción de errores humanos y mayor capacidad analítica.
Sin embargo, hay una pregunta que todavía no siempre se formula con suficiente profundidad en los Consejos de Administración: ¿estamos gobernando la inteligencia artificial con el mismo rigor con el que históricamente hemos gobernado el capital, el riesgo financiero o el cumplimiento regulatorio?
Delegar decisiones a sistemas algorítmicos sin reglas explícitas no es un ajuste operativo menor. Implica modificar el perfil de riesgo corporativo. La IA ya no es solo una herramienta auxiliar; en muchos casos influye, y en ocasiones determina, decisiones con impacto financiero y reputacional. El entusiasmo por automatizar puede hacernos olvidar que la inteligencia artificial no solo acelera procesos, también puede amplificar riesgos cuando no existe un marco claro de gobernanza.
Redefinir el apetito de riesgo
Durante décadas, el sector financiero ha construido estructuras sólidas para gestionar liquidez, crédito, mercado y cumplimiento. Pero la incorporación de inteligencia artificial nos obliga a ampliar ese marco.
El apetito de riesgo debe integrar nuevas variables: el nivel de autonomía que permitiremos a los modelos, el margen de error tolerable en decisiones automatizadas, el impacto reputacional aceptable ante un fallo algorítmico y el grado de dependencia estratégica respecto a proveedores tecnológicos.
Un error humano suele ser acotado; un error algorítmico puede escalar con rapidez, amplificado por la velocidad y el volumen de procesamiento. Por eso insisto en que la discusión no es tecnológica, sino de gobierno corporativo. Si estos elementos no están claramente definidos en los Comités de Riesgo y en el propio Consejo, la adopción de IA puede convertirse en una exposición que no ha sido plenamente dimensionada.
Gobernanza y ciberseguridad: una arquitectura inseparable
En este contexto, gobernanza y ciberseguridad no pueden tratarse como disciplinas independientes. La gobernanza establece los límites de actuación de la inteligencia artificial; la ciberseguridad protege la integridad de esos límites.
La IA introduce nuevas superficies de riesgo: manipulación de modelos, alteración de datos que alimentan algoritmos, vulnerabilidades en cadenas de suministro digitales o exposición indebida de información sensible. En el sistema financiero, donde cada decisión depende de la calidad y confiabilidad del dato, su integridad es un asunto estratégico.
El principio es sencillo: si el dato se compromete, la decisión también. Hoy la ciberseguridad ya no se limita a proteger infraestructura tecnológica; protege decisiones automatizadas que inciden directamente en capital, clientes y reputación institucional. Sin ciberseguridad, la gobernanza de IA se vuelve declarativa; sin gobernanza, la ciberseguridad resulta insuficiente.
A ello se suma un entorno regulatorio que avanza con rapidez. La Unión Europea ha adoptado el AI Act bajo un enfoque basado en niveles de riesgo; en Estados Unidos, el NIST AI Risk Management Framework ofrece lineamientos estructurados; estándares como ISO 42001 comienzan a consolidar sistemas formales de gestión. La experiencia demuestra que estos marcos terminan influyendo globalmente, especialmente en sectores altamente supervisados como el financiero. Anticiparse no es solo prudencia técnica; es visión estratégica.
Adoptar inteligencia artificial sin un modelo claro de gobernanza implica reaccionar ante incidentes. Adoptarla con límites definidos, supervisión continua y criterios explícitos de responsabilidad implica liderazgo institucional. No se trata de frenar la innovación, sino de decidir conscientemente qué riesgos estamos dispuestos a automatizar y bajo qué controles.
En esta nueva etapa, ya no solo blindamos infraestructura tecnológica; blindamos decisiones. Y en un sector donde la confianza es el principal activo, gobernar la inteligencia artificial es una obligación estratégica. En Indra Group hemos avanzado en la integración de marcos de gobernanza alineados con estándares internacionales, combinando gestión de riesgo y controles de ciberseguridad para que la innovación avance sobre bases sólidas. Porque innovar sin gobernar no es audacia: es exposición.
