Gestión de Riesgos con IA aplicada a Compliance

A medida que los algoritmos comienzan a influir en decisiones críticas, surgen nuevas preguntas: ¿hasta qué punto se puede confiar en un sistema automatizado? ¿Cómo se gestionan los errores o los sesgos? ¿Qué rol debe asumir el profesional frente a estas herramientas?

La incorporación de inteligencia artificial en la gestión de riesgos exige algo más que tecnología. Requiere criterio, gobernanza y una comprensión profunda del impacto que estas decisiones pueden tener en el negocio.

¿Qué cambia en compliance cuando la gestión de riesgos incorpora inteligencia artificial?

La gestión de riesgos en compliance ya no se define únicamente por su capacidad de controlar. Empieza a medirse por su capacidad de anticipar.

La inteligencia artificial introduce ese cambio necesario en la tecnología en el Compliance. No reemplaza el criterio normativo, pero sí transforma tres dimensiones clave:

• cómo se detecta el riesgo 
• cuándo se detecta 
• con qué profundidad se interpreta 

De controles periódicos a monitoreo continuo

En muchos programas de compliance, el análisis de riesgo sigue una lógica cíclica:

• revisiones programadas 
• auditorías puntuales 
• matrices que se actualizan por períodos 

La IA altera esa dinámica. Permite:

• analizar datos de forma constante 
• detectar anomalías en tiempo real 
• generar alertas antes de que el riesgo se materialice 

Como se desarrolla en el libro Compliance, protección de datos personales y Estado, los sistemas de inteligencia artificial operan analizando su entorno y actuando con cierto grado de autonomía para cumplir objetivos específicos. Aplicado a compliance, esto se traduce en una capacidad de observación continua que supera ampliamente los esquemas tradicionales de control.

De datos aislados a patrones de riesgo

El problema histórico del compliance no fue la falta de información. Fue la dificultad para conectarla.

La IA permite:

• cruzar múltiples fuentes de datos 
• identificar correlaciones invisibles 
• detectar “señales débiles” de riesgo 

Esto cambia la lógica de análisis.

El riesgo deja de ser un evento aislado. Pasa a ser un patrón emergente.

Desde una perspectiva técnica, el mismo libro señala que el valor de estos sistemas no está en su generalidad, sino en su capacidad para resolver problemas concretos mediante el análisis de grandes volúmenes de información. Ese enfoque explica por qué su adopción en compliance se concentra en tareas como monitoreo, clasificación y detección temprana.

De reacción a anticipación

Este es el cambio más estratégico.

Antes:

• el riesgo se identificaba después del desvío 
• el control era correctivo 

Ahora:

• se identifican tendencias 
• se priorizan alertas 
• se interviene antes del impacto 

De función de control a función de inteligencia

Cuando la IA se integra correctamente, compliance deja de ser únicamente una barrera.

Empieza a convertirse en:

• un sistema de lectura organizacional 
• un filtro de decisiones 
• una fuente de información estratégica 

Esto cambia su posición dentro de la empresa.

El área ya no observa solo el pasado. Empieza a influir en decisiones presentes.

El debate deja de ser técnico. Ya no es: “¿Estamos cumpliendo?”. Empieza a ser: “¿Cómo estamos interpretando el riesgo y con qué criterio estamos decidiendo?”

¿Cómo usar IA para identificar riesgos antes de que se conviertan en incidentes?

Uno de los aportes más valiosos de la inteligencia artificial en compliance aparece antes de la infracción, antes de la denuncia y, muchas veces, antes incluso de que el riesgo sea visible para el equipo humano. Ahí está su verdadera potencia: en la capacidad de leer señales dispersas, relacionarlas entre sí y convertirlas en indicios accionables.

Este punto exige una precisión importante. La IA no “descubre la verdad” por sí sola. Lo que hace es acelerar la observación, ampliar el campo de análisis y mejorar la sensibilidad del monitoreo. 

En el libro Compliance, protección de datos personales y Estado se explica que los sistemas de IA pueden analizar el entorno y actuar con cierto grado de autonomía para alcanzar objetivos específicos; esa definición resulta especialmente útil en compliance porque muestra que su valor no está en una inteligencia abstracta, sino en su capacidad para intervenir sobre problemas concretos, delimitados y operativos. 

Detección temprana de anomalías

La detección temprana parte de una idea sencilla: muchas irregularidades no comienzan con un hecho espectacular. Comienzan con pequeñas desviaciones.

Pueden ser, por ejemplo:

• aprobaciones fuera de horario habitual 
• cambios repetidos en condiciones contractuales 
• patrones atípicos de facturación 
• excepciones frecuentes en circuitos internos 
• comportamientos que no encajan con la historia normal de una cuenta, área o proveedor 

El problema es que, vistas por separado, esas señales suelen parecer menores. El ojo humano tiende a tratarlas como hechos aislados. La IA, en cambio, puede analizarlas como parte de una secuencia.

En el libro Compliance, protección de datos personales y Estado se desarrolla una idea particularmente fértil para este punto: el análisis de una solución basada en IA no debe concentrarse únicamente en el resultado final, sino en las distintas etapas de su ciclo de vida, desde el entrenamiento y la validación hasta el despliegue y la explotación. Trasladado a compliance, esto significa que el riesgo puede empezar a configurarse mucho antes del incidente visible; puede surgir en la calidad de los datos, en la lógica de clasificación o en la manera en que ciertas señales son capturadas y reinterpretadas por el sistema. 

En términos prácticos, esto permite pasar de una pregunta reactiva —“¿qué ocurrió?”— a una pregunta mucho más útil para la gestión —“¿qué está empezando a desordenarse?”—.

Imaginemos una empresa con varias filiales en la región. Durante un trimestre, un sistema detecta que ciertos pagos a proveedores se concentran en días no habituales, con montos apenas por debajo de los niveles que exigen revisión adicional. Ninguna operación, por sí sola, activa una alarma grave. Pero el patrón conjunto sí merece atención. Sin IA, esa lógica fragmentada puede pasar inadvertida. Con IA, la anomalía emerge antes de convertirse en un incidente.

Priorización de alertas

Detectar mucho no siempre equivale a controlar mejor. De hecho, uno de los grandes problemas de los sistemas tradicionales de compliance es el exceso de alertas poco relevantes.

Cuando todo parece urgente, nada termina siéndolo.

Por eso, el segundo uso estratégico de la IA consiste en priorizar. Es decir, ayudar a distinguir:

• qué señales requieren revisión inmediata 
• cuáles deben observarse en contexto 
• cuáles pueden archivarse o escalarse con menor urgencia 

Esta capacidad es particularmente valiosa en organizaciones donde los equipos de compliance trabajan con recursos limitados y alto volumen de información. La IA no solo identifica variaciones; también puede ponderarlas según frecuencia, recurrencia, impacto potencial, historial, concentración de factores y relación con eventos previos.

Aquí conviene introducir una cautela. En Debates y desafíos actuales, Ricardo Greco retoma desarrollos de Celia Lerman para mostrar que la inteligencia artificial aplicada a entornos profesionales puede producir resultados erróneos, incompletos o sesgados, y que el verdadero problema aparece cuando esos resultados son asumidos sin revisión crítica. 

Llevado a compliance, esto implica que la priorización automatizada puede ser muy útil, pero no debe convertirse en un sustituto ciego del criterio profesional. Una alerta alta no equivale automáticamente a una infracción; una alerta baja tampoco garantiza inocuidad. 

Monitoreo continuo de terceros y operaciones

En compliance, una parte relevante del riesgo no nace dentro de la organización. Llega desde afuera: proveedores, distribuidores, aliados comerciales, contratistas, intermediarios y socios operativos.

El problema es conocido: muchas compañías evalúan al tercero al inicio de la relación, pero luego lo monitorean de forma intermitente. Ese vacío temporal es peligroso. Un tercero puede cambiar de estructura, de comportamiento, de perfil reputacional o de prácticas operativas sin que la empresa lo advierta a tiempo.

La IA puede monitorear:

• desvíos recurrentes en aprobaciones 
• concentración anormal de excepciones 
• cambios súbitos en comportamientos transaccionales 
• repeticiones entre actores, áreas y circuitos 
• inconsistencias entre lo declarado y lo ejecutado 

Una condición indispensable: datos, criterio y gobernanza

Usar IA para anticipar riesgos no consiste en encender una herramienta y esperar resultados. Requiere tres condiciones mínimas.

• Datos confiables: Si los datos son pobres, incompletos o sesgados, la detección temprana será débil y la priorización perderá valor.
• Criterio profesional: La tecnología puede ordenar señales, pero la interpretación sigue siendo una tarea humana, especialmente cuando hay impacto regulatorio, contractual o reputacional.
• Gobernanza clara: Debe quedar definido qué se monitorea, con qué finalidad, quién revisa, qué umbrales disparan intervención y cómo se documenta la decisión.

Ricardo Greco insiste, al desarrollar los desafíos éticos de la IA en ámbitos jurídicos, en que la tecnología no reduce por sí sola la responsabilidad del profesional; por el contrario, obliga a comprender mejor los beneficios, riesgos y límites de las herramientas utilizadas. Esa observación es central para compliance: la anticipación vale cuando puede explicarse, justificarse y auditarse.

¿Qué riesgos legales crea la propia IA dentro de un programa de compliance?

La inteligencia artificial no solo ayuda a gestionar riesgos. También los genera.

Este es uno de los puntos más críticos —y menos comprendidos— en muchas organizaciones. La IA suele incorporarse como una solución operativa, pero introduce una nueva capa de exposición legal que atraviesa distintas áreas del compliance: datos personales, propiedad intelectual y confidencialidad.

Datos personales y perfilamiento

Uno de los principales riesgos legales aparece cuando la IA trabaja con datos personales.

Esto ocurre en múltiples situaciones:

• análisis de empleados 
• evaluación de proveedores 
• monitoreo de clientes 
• modelos de scoring o clasificación 

El punto clave es que la IA no solo procesa datos. Los interpreta, los cruza y genera inferencias.

En el libro Compliance, protección de datos personales y Estado, se explica que estos sistemas operan a lo largo de un ciclo que incluye: entrenamiento, validación, despliegue y uso continuo. 

Esto implica que el riesgo no está únicamente en el resultado final, sino también en:

• los datos utilizados para entrenar el modelo 
• los criterios de clasificación 
• las inferencias que se generan sobre personas físicas 

Riesgos concretos

• perfilamiento sin base legal suficiente 
• uso de datos sensibles sin control adecuado 
• decisiones automatizadas sin transparencia 
• incumplimiento de principios como minimización o finalidad 

Propiedad intelectual y outputs generados

El segundo foco de riesgo aparece en la propiedad intelectual. Las herramientas de IA generativa permiten redactar documentos, generar informes, producir contenido legal o técnico y analizar normativas.

El problema es que los resultados no siempre tienen un encuadre jurídico claro.

El informe de la Organización Mundial de la Propiedad Intelectual (OMPI), “Inteligencia artificial generativa y propiedad intelectual: consideraciones para empresas”, advierte que existen incertidumbres relevantes sobre:

• titularidad de los contenidos generados 
• uso de materiales protegidos en el entrenamiento 
• posibles infracciones no intencionales 
• reutilización de outputs sin validación jurídica 

Esto introduce una tensión concreta en compliance: la eficiencia operativa puede entrar en conflicto con la seguridad legal.

Riesgos concretos

• uso de contenido generado que infringe derechos de terceros 
• falta de claridad sobre quién es titular del resultado 
• dependencia de herramientas sin revisión contractual adecuada 

Confidencialidad y secretos comerciales

El tercer riesgo —y uno de los más sensibles— es la confidencialidad. Muchas herramientas de IA funcionan mediante prompts. Es decir, requieren que el usuario cargue información.

El problema es evidente: lo que se carga puede dejar de ser completamente controlable.

El informe de la OMPI señala que existe riesgo de pérdida de confidencialidad cuando:

• se ingresan datos sensibles en herramientas externas 
• no se comprende cómo se almacenan o reutilizan esos datos 
• no hay políticas internas claras sobre uso de IA 

Esto es especialmente crítico en compliance, donde se manejan:

• investigaciones internas 
• reportes de irregularidades 
• información contractual 
• datos estratégicos 

Riesgos concretos

• exposición involuntaria de información sensible 
• filtración de datos a terceros proveedores 
• pérdida de control sobre información estratégica 

Ricardo Greco, al analizar la relación entre inteligencia artificial y práctica jurídica, plantea que los principales desafíos no surgen solo de errores técnicos, sino del uso acrítico de los resultados. Cuando una organización confía en la tecnología sin comprender sus límites, el riesgo deja de ser operativo y pasa a ser estructural.

¿Puede una organización confiar en decisiones automatizadas para temas de compliance?

La respuesta no es absoluta. Depende del tipo de decisión.

En el análisis desarrollado por Ricardo Greco —a partir de los aportes de Celia Lerman— se plantea una distinción clave: existen decisiones que pueden ser trasladadas a sistemas automatizados porque responden a criterios objetivos, y otras que requieren necesariamente interpretación humana, porque implican valoración, contexto o impacto sobre derechos. 

Desde esa lógica, en compliance conviene ordenar el problema en tres niveles: lo automatizable, lo revisable y lo indelegable.

Lo automatizable

Hay decisiones que pueden ser automatizadas con alto grado de confiabilidad.

Son aquellas que:

• responden a reglas claras 
• se basan en datos verificables 
• no requieren interpretación subjetiva 
• pueden auditarse fácilmente 

En estos casos, la IA actúa como un sistema de ejecución eficiente, no como un decisor autónomo.

Ejemplos en compliance

• validación de requisitos formales 
• clasificación de operaciones según criterios definidos 
• detección de coincidencias en listas restrictivas 
• verificación de condiciones contractuales objetivas 

Lo revisable

El segundo nivel es el más común en la práctica. Aquí la IA:

• detecta patrones 
• genera alertas 
• sugiere niveles de riesgo 

Pero la decisión final requiere intervención humana. Es un modelo híbrido.

Este enfoque es coherente con lo que plantea Greco: incluso cuando los sistemas son confiables, sus resultados deben ser comprendidos en contexto, porque pueden ser incompletos, sesgados o depender de los datos con los que fueron entrenados. 

Ejemplos en compliance

• scoring de riesgo de terceros 
• detección de patrones anómalos en transacciones 
• alertas de comportamiento atípico 
• análisis de correlaciones entre eventos 

Lo indelegable

Hay decisiones que no deben ser automatizadas. No por limitación tecnológica, sino por su naturaleza. Son aquellas que:

• implican valoración jurídica 
• afectan derechos o reputación 
• requieren interpretación contextual 
• no pueden justificarse solo con datos 

Ejemplos en compliance

• decisión de iniciar una investigación interna 
• determinación de una sanción 
• evaluación de conducta ética 
• interpretación de un incumplimiento normativo 

Greco advierte que el riesgo no está solo en que la IA falle, sino en que sus resultados sean utilizados sin revisión crítica. Ese punto es especialmente sensible en compliance, donde cada decisión puede tener consecuencias regulatorias, económicas y reputacionales.

¿Qué rol debe asumir el compliance officer frente a la IA?

El cambio no es solo técnico. Es conceptual.

Antes, el foco estaba en:

• cumplir la norma 
• documentar procesos 
• responder ante auditorías 

Ahora, el desafío es mayor:

• definir cómo se usan sistemas de IA dentro de la organización 
• establecer criterios de decisión 
• garantizar trazabilidad 
• anticipar riesgos derivados del uso tecnológico 

Compliance officer y la creación de nuevas políticas internas

Uno de los primeros espacios donde este cambio se vuelve tangible es en la creación de políticas internas. La IA no puede utilizarse de forma espontánea o desordenada. Requiere reglas claras.

Esto aplica directamente a compliance. Una política sólida de IA debería definir:

• qué herramientas están autorizadas 
• qué tipo de información puede cargarse 
• qué usos están restringidos 
• qué procesos requieren validación humana 
• cómo se documentan decisiones asistidas por IA 

Coordinación con legal, tecnología, auditoría y negocio

La gestión de IA no es responsabilidad exclusiva de compliance. Pero sin compliance, no tiene control. El compliance officer se convierte en un punto de articulación entre áreas:

• Legal → interpretación normativa y riesgos regulatorios 
• Tecnología (IT / Data) → funcionamiento de los sistemas 
• Auditoría → trazabilidad y control 
• Negocio → aplicación práctica y toma de decisiones 

Formación ejecutiva: la nueva base del rol

Dentro de la oferta académica de ADEN en posgrados en Derecho y Compliance, este cambio ya está reflejado en programas diseñados para integrar tecnología, riesgo y decisión. En particular:

El Programa Especializado en IA Aplicada a Compliance permite comprender cómo implementar inteligencia artificial en procesos de cumplimiento, abordando:

• automatización de controles 
• análisis de riesgos con datos 
• impacto legal y ético de la IA 
• diseño de gobernanza tecnológica 

Este programa responde directamente a la necesidad de traducir la IA en decisiones aplicables dentro de la organización.

Por otro lado, la Especialización Online en Business Law aporta una base jurídica sólida para interpretar:

• riesgos contractuales 
• responsabilidad legal 
• marcos regulatorios 
• impacto de nuevas tecnologías en el derecho de los negocios 

Esta combinación es clave. En entornos atravesados por inteligencia artificial, el valor de los abogados y profesionales del derecho no está en aplicar normas, sino en definir cómo se usan, se interpretan y se controlan las tecnologías dentro de la organización.

Algunas preguntas frecuentes