Cómo pueden las empresas implementar las «Directrices de gestión de riesgos de IA» de Singapur

Autor: Zhang Feng

En la actualidad, con la tecnología de inteligencia artificial arrasando en el sector financiero, la Autoridad Monetaria de Singapur (MAS) publicó el 17 de noviembre de 2025 el “Documento de consulta sobre las directrices para la gestión de riesgos de la inteligencia artificial”, que actúa como un mapa oportuno para señalar un rumbo seguro a las instituciones financieras que navegan en la ola de la innovación. Este documento no solo es el primer marco mundial de gestión de riesgos para el ciclo de vida completo de las aplicaciones de IA en el sector financiero, sino que también representa un cambio clave en el pensamiento regulatorio, que pasa de la “promoción de principios” a la “implementación operativa”. Para cualquier empresa relacionada con el mercado de Singapur, comprender en profundidad y aplicar sistemáticamente estas “Directrices” ha pasado de ser una “opción” a convertirse en una “obligación”.

I. Perspectiva del núcleo de las Directrices: buscar un equilibrio sutil entre el impulso innovador y la prevención de riesgos

El nacimiento de las “Directrices” proviene de un profundo entendimiento regulatorio: la IA es un arma de doble filo. La IA generativa, los agentes de IA y otras tecnologías han brillado en escenarios como el crédito, la asesoría de inversiones y la gestión de riesgos, pero también han traído riesgos sin precedentes como las “alucinaciones” de los modelos, la intoxicación de datos, la dependencia de la cadena de suministro y la pérdida de control en la toma de decisiones autónoma. Si estos riesgos no se gestionan, las reacciones en cadena que pueden desencadenar podrían superar con creces las crisis financieras tradicionales.

Por ello, la lógica reguladora de la MAS no es una represión “de talla única”, sino que se basa en la esencia de “enfoque basado en riesgos” y “principio de proporcionalidad”. Esto significa que el foco regulatorio y los recursos que las empresas dediquen deben corresponder estrictamente con el nivel de riesgo de la aplicación de IA. Un modelo de IA de alto riesgo utilizado para la aprobación de préstamos, por naturaleza, requiere una gobernanza más estricta que una herramienta de IA utilizada para el análisis interno de documentos. Este enfoque diferenciado reconoce las particularidades de cada institución y escenario, y busca construir un ecosistema saludable donde la “innovación no cruce la línea”, consolidando finalmente la posición de Singapur como un centro global de fintech.

II. Construcción de una triple defensa: gobernanza, sistema de riesgos y ciclo de vida completo

Las “Directrices” proporcionan a las empresas una sólida arquitectura de gestión de riesgos en tres capas, que se refuerzan mutuamente y forman un ciclo cerrado.

La primera capa es la gobernanza y supervisión, cuyo objetivo es definir “quién es responsable”. Las “Directrices” asignan la responsabilidad última de la supervisión de los riesgos de IA al consejo de administración y a la alta dirección, exigiendo que no solo aprueben la estrategia de IA, sino que también mejoren su comprensión de la IA para ejercer una supervisión efectiva. Para instituciones con aplicaciones de IA extensas y una gran exposición al riesgo, la creación de un “Comité de IA” transversal a los departamentos de riesgo, cumplimiento, tecnología y negocio, que informe directamente al consejo, es una recomendación clave para garantizar la implementación efectiva de la gobernanza.

La segunda capa es el sistema de gestión de riesgos, que resuelve “qué gestionar” y “qué priorizar”. Las empresas deben primero establecer un mecanismo para identificar y registrar de manera exhaustiva todas las aplicaciones de IA, como si hicieran inventario de activos tangibles, ya sean desarrollos propios, compras externas o herramientas de código abierto, formando un “inventario de IA” que se actualice dinámicamente. Sobre esta base, cada aplicación de IA debe someterse a una “revisión médica” desde tres dimensiones: “grado de impacto”, “complejidad técnica” y “dependencia externa”, y recibir una calificación de riesgo (alta, media o baja). Este mapa de calor de riesgos es la base científica para la asignación de recursos de control.

La tercera capa es la gestión del ciclo de vida completo, que establece “cómo gestionar”. Esta es la parte más operativa de las “Directrices”, integrando los requisitos regulatorios en cada fase desde la concepción hasta la retirada de las aplicaciones de IA. Desde garantizar la legalidad y equidad de los datos de entrenamiento, pasando por la validación de la explicabilidad en el desarrollo del modelo; las pruebas de seguridad contra “alucinaciones” e inyecciones de prompts antes de la puesta en producción; la obligación de mantener interfaces de supervisión humana durante la operación; hasta la estricta gestión de proveedores externos y la regulación del retiro de modelos, se forma una cadena de gestión sin puntos ciegos.

III. Características destacadas: visión de futuro, operatividad y regulación diferenciada

A lo largo del documento, las “Directrices” presentan varias características que las hacen destacar entre muchos textos regulatorios. Su visión de futuro se refleja en ser las primeras a nivel mundial en incluir explícitamente la IA generativa y los agentes de IA en el ámbito regulatorio, enfrentando directamente los riesgos tecnológicos más avanzados. Su operatividad va mucho más allá de recomendaciones basadas en principios, funcionando como un “manual de operaciones” detallado que traduce principios abstractos como equidad, ética, responsabilidad y transparencia (FEAT) en elementos concretos como el inventario de IA y métricas de evaluación cuantitativa. Destaca también el diseño escalonado de la regulación, estableciendo rutas de cumplimiento progresivas para instituciones pequeñas, medianas y grandes/de alto riesgo, demostrando un enfoque pragmático.

Además, las “Directrices” no son una isla, sino que se complementan con otros marcos regulatorios existentes en Singapur, como el “Marco de gobernanza de la IA”, la “Ley de Protección de Datos Personales” (PDPA), y a través de proyectos como Project MindForge, impulsan la elaboración de manuales de mejores prácticas sectoriales, construyendo conjuntamente un ecosistema tridimensional de “regulación dura + orientación blanda”.

IV. Ruta de implementación escalonada: integración total para empresas locales y cumplimiento preciso para empresas transfronterizas

Frente a las “Directrices”, distintos tipos de empresas deben adoptar estrategias muy diferentes.

Para las instituciones financieras que operan en Singapur, la implementación debe avanzar en tres fases:

Antes del plazo de consulta del 31 de enero de 2026, las empresas deben completar la “evaluación inicial” esencial: un inventario completo de los activos de IA y una evaluación preliminar de riesgos, así como participar activamente en la retroalimentación del documento. Durante los 12 meses de transición que comienzan en la segunda mitad de 2026, se inicia la fase de construcción integral: perfeccionar la estructura de gobernanza, establecer procesos de gestión del ciclo de vida completo, reforzar la gestión de proveedores externos y organizar formación en cumplimiento para todo el personal. A partir de la segunda mitad de 2027 y en adelante, en la fase de normalización, el enfoque pasa a la optimización dinámica, auditoría interna y colaboración sectorial, para mantener vivo y vigente el sistema de gestión de riesgos.

Para aquellas empresas que, aunque no tengan entidad en Singapur, ya han extendido su actividad al mercado local (por ejemplo, prestando servicios financieros transfronterizos o proporcionando tecnología de IA a instituciones financieras de la ciudad), la estrategia debe centrarse en el “cumplimiento preciso” y la “separación de riesgos”. Primero, es imprescindible identificar claramente qué negocios y aplicaciones de IA están sujetos a las “Directrices”. Después, debe crearse un flujo de cumplimiento y un expediente específico para estas actividades relacionadas con Singapur, garantizando la capacidad de responder en cualquier momento a auditorías de socios o de la MAS. A nivel técnico, se recomienda aislar adecuadamente los sistemas de IA destinados al mercado singapurense y comunicar proactivamente a los socios locales el estatus de cumplimiento, convirtiendo la capacidad de cumplimiento en confianza de mercado y ventaja competitiva.

V. Más allá del cumplimiento: transformar la gestión de riesgos en una ventaja competitiva clave

La clave para implementar las “Directrices” radica en integrar profundamente sus requisitos en los escenarios de negocio y los procesos operativos, logrando una “fusión perfecta” entre la gestión de riesgos y la actividad diaria.

Tomemos como ejemplo el proceso de aprobación de créditos, un escenario de alto riesgo: la empresa debe establecer varios puntos de control de cumplimiento en el proceso de negocio. En la fase de diseño de requisitos, los equipos de negocio y tecnología deben evaluar conjuntamente los posibles sesgos del modelo, prohibiendo explícitamente el uso de características sensibles como raza o género en la toma de decisiones; durante el desarrollo del modelo, se deben introducir validaciones independientes y pruebas de equidad para asegurar su explicabilidad; tras la puesta en producción, el sistema debe exigir la revisión manual de los casos “de alto riesgo” o “fronterizos”, registrando completamente el historial de decisiones para su auditoría. Además, en el caso de la IA generativa aplicada a la atención al cliente, se debe incorporar detección de “alucinaciones” y monitorización en tiempo real en el flujo de diálogo, evitar respuestas engañosas y establecer puntos claros de intervención humana para operaciones que impliquen transacciones o información sensible.

Las empresas deben transformar la “gestión del ciclo de vida completo” de las Directrices en laSOP (Procedimiento Operativo Estándar) de cada departamento. Por ejemplo, en los procesos de recomendación de marketing, desde la recopilación de datos debe garantizarse la autorización del usuario y la representatividad de los datos; la iteración del modelo debe incluir no solo pruebas técnicas, sino también revisiones conjuntas de negocio y cumplimiento según las últimas exigencias regulatorias; los resultados de las pruebas A/B en operación deben incluir una evaluación del impacto en la equidad. Al integrar los puntos de control de riesgos de IA en los procesos de negocio de forma estructurada, las empresas no solo cumplen sistemáticamente con las exigencias regulatorias, sino que también mejoran la calidad y solidez de las decisiones empresariales, convirtiendo el marco regulatorio en una ventaja operativa.

La implementación de las “Directrices” no es simplemente un centro de costes o una carga de cumplimiento. Su éxito depende de si la empresa es capaz de elevarlas al nivel estratégico. El compromiso real de la alta dirección y la inversión continua de recursos son la base: el consejo debe incluir los riesgos de IA en la apetencia general de riesgos de la institución. La estrecha colaboración entre los departamentos de negocio y tecnología es esencial: la gestión de riesgos de IA no puede ser responsabilidad exclusiva del equipo técnico, sino que debe ser un bucle colaborativo donde negocio define necesidades, tecnología implementa y cumplimiento supervisa. Además, en un contexto de rápida evolución tecnológica y regulatoria, establecer mecanismos de adaptación dinámica y mejora continua, y aprovechar herramientas automatizadas de monitorización y evaluación para ganar eficiencia, es clave para que la empresa mantenga su agilidad.

En última instancia, las empresas líderes comprenderán que una capacidad robusta, transparente y fiable de gestión de riesgos de IA se convierte en un valioso activo de marca y en una ventaja competitiva. No solo permite cumplir con los requisitos regulatorios, sino que también gana la confianza duradera de clientes y del mercado, construyendo el foso defensivo más sólido en la era digital llena de incertidumbre. Con la entrada en vigor de la versión definitiva en 2026, aquellas empresas que logren una implementación sistémica temprana, sin duda obtendrán una preciosa ventaja de salida en la nueva carrera de la tecnología financiera en Singapur y a nivel global.