Wdrażanie sztucznej inteligencji w sektorze finansowym przestało być jedynie technologiczną nowinką marketingu i operacji. Obecnie to fundament optymalizacji kosztów i strukturalny element zarządzania ryzykiem. A już niedługo – fundament bezpieczeństwa całego sektora finansowego.
W artykule przybliżę ewolucję governance oraz wyzwania związane z użyciem Gen AI i Agentic AI w obszarze ryzyka. Omówię korzyści, koszty oraz wpływ na jakość procesów, podkreślając jednocześnie kluczową rolę effective challenge w nowym środowisku technologicznym oraz najnowsze spojrzenie regulatorów na definicję modelu.
Asystent i Agent AI – wszędzie, czyli w ryzyku też
Adaptacja rozwiązań Gen AI, modeli językowych LLM oraz autonomicznych systemów Agentic AI na stałe zmienia architekturę workflowów operacji i zarządzania ryzykiem. To już nie jest faza eksperymentów, ale wymóg naszych „szybkich” czasów, w których presja na cięcie kosztów operacyjnych, oszczędność czasu i poprawę jakości weryfikacji wymusza radykalne decyzje docierające do najgłębszych części organizacji, w tym ryzyka i audytu.
Narzędzia te rewolucjonizują codzienny „effective challenge”, z jednej strony skracając czas wnikliwych analiz z tygodni do minut, co drastycznie podnosi ogólne bezpieczeństwo banków, w szczególności w obszarach IT, Resilience i Cybersecurity. Z drugiej strony, zatraceniu ulega wewnętrzne i ludzkie zrozumienie procesów organizacji, a wdrożenie to generuje istotne koszty cykliczne i początkowe związane z infrastrukturą, chmurą oraz kompetencjami.
Zmiana paradygmatu ostatniego roku polega na tym, że instytucje finansowe przestały zastanawiać się, czy wdrażać te rozwiązania, a zaczęły odważniej, ale i rygorystycznie, projektować ich repozytoria, governance, w tym niezależne przeglądy lub challenge.
Model czy nie model – jakie to ma znaczenie?
Klasyczny machine learning dla modeli w ryzyku finansowym i niefinansowym od dawna wpisuje się w standardowy cykl życia modeli i aplikacji oraz w zastosowanie metod wewnętrznych do wyliczania kapitału regulacyjnego i ekonomicznego. Natomiast systemy wykorzystujące Gen AI, NLP, CV czy Agentów lub asystentów AI wymykają się tradycyjnej regulacyjnej definicji nawet z uwzględnieniem silnika modelu według foundation model i wytrenowanych z użyciem sieci neuronowych.
W ujęciu definicji regulatorów takich jak PRA czy najnowszych rewizji OCC, generowanie tekstu przez Gen AI lub automatyzacja zadań z pomocą Agentic AI niekoniecznie stanowi model w wąskim rozumieniu podległy typowej przedwdrożeniowej walidacji dla modeli wewnętrznych opartej na określonym zastosowaniu (use case).
Samo pytanie: „Czy to jest model?” już nie wystarcza, a nawet nie ma znaczenia, kiedy najistotniejsze staje się określenie udziału w podejmowaniu decyzji, wpływu biznesowego, krytyczności skutków oraz granic (boundaries) zastosowania modelu i jego produktu (outcome). Automatyzacja jest decyzją biznesową podyktowaną korzyściami zwinności procesów, ale efektywność zarządzania ryzykiem nie może zostać osłabiona przez generację AI slop.
Governance dla Gen AI i Agentic AI – inny czy zwinny?
Zmiana środka ciężkości polega na przesunięciu akcentów z samego algorytmu na odpowiedzialność za wynik, jakość danych i prawo do zatrzymania procesu. AI governance musi aktywnie integrować właścicieli modelu, walidatorów, właścicieli funkcji ryzyka oraz wymiar zgodności z regulacjami również w zakresie fairness i ethics.
Determistyczne kontrole typu Human in the loop lub Human on the loop nie mogą być tylko symbolicznym krokiem formalnym, ale muszą stanowić prawdziwą kontrolę ekspercką zapewniającą przestrzeń na rzetelny „review”, „challenge” i „escalation”. Tworzenie oddzielnych frameworks i tabel ryzyka/kontroli (GRC) dla Gen AI/Agentic AI traci sens, kiedy pochłania moce przerobowe połączonych linii obrony (3LoD według IIA) albo dubluje procesy przeglądu i atestacji.
Czy walidacja jest potrzebna? Od testów do cyklu życia Agenta lub Sieci Agentów
Niezależna walidacja Gen AI albo Sieci Agentów nie może ograniczać się do punktowej oceny precyzji czy zabezpieczenia promptów, baz RAG czy nawet skanowania podatności.
Ryzyko zastosowania Gen AI albo Sieci (Hubs) rozkłada się na cały łańcuch wdrożenia i ciągłości funkcjonowania: „input”, „retrieval”, „model inference”, „output” oraz „feedback loop”.
Fundamentem są tu cztery filary:
- data first,
- materiality-driven scope,
- end-to-end validation,
- continuity in controls.
Oznacza to głębszy przegląd Tools/Skills czy dostępu do serwerów MCP dla Agentów i Sieci Agentów w tym testowanie halucynacji, weryfikację odporności i stabilności wyników oraz ciągły monitoring w środowisku produkcyjnym pod kątem dryftu modelu.
Czyli gdzie to AI realnie wzmacnia drugą linię zarządzania ryzykiem?
Zastosowanie tych innowacji lub usprawnień w drugiej linii obrony nie polega na ślepej automatyzacji procesów decyzyjnych opartych na eksperckiej ocenie. Służy ono poprawie skuteczności twardych kontroli:
- zwinnej automatyzacji testów w architekturze low-code/no-code,
- generowaniu wnikliwych „model findings” i wszystkich „issues”,
- sprawnemu przygotowaniu raportów z walidacji lub effective challenge.
Usprawnia również agregację rozproszonych danych na potrzeby zarządzania ryzykiem w duchu BCBS 239, dając gigantyczne oszczędności czasu.
Mnogość forów lub gremiów opiniodawczych i konsultacyjnych będących bardzo statycznym elementem struktur powiązanych linii obrony i zarządzania ryzykiem zdecydowanie przyśpiesza z użyciem agencyjnych transkrypcji, auto podsumowań i notatek kierujących akcje i odpowiedzialność wraz z terminami ich realizacji.
W istocie też wspomaga wzajemne zrozumienie ryzyka i tłumaczy adekwatność kontroli do sytuacji.
Ryzyka w ryzyku, których nie wolno zignorować
Autonomiczne użycie sztucznej inteligencji bez nadzoru to prosta droga do powielania wielorakich „bias”, erozji zasady need-to-know i osłabienia niezależności drugiej linii obrony poprzez użycie predefiniowanych i automatycznych wniosków pasujących do wszystkiego.
Mimo że niektóre narzędzia nie są definicyjnie modelami i nie podlegają rygorom walidacji, w żaden sposób nie zwalniają instytucji z pełnej odpowiedzialności za produkt czy wpływ na rzetelność funkcjonowania produktu z Agentów AI w systemie zarządzania ryzykiem i podejmowania decyzji.
Implementacja proporcjonalnego governance wpisanego w istniejące taksonomie ryzyka, kontroli i monitoringu to bezwzględny warunek konieczny. Asystenci i Agenci AI realnie wzmacniają moce produkcyjne, ale istotność „effective challenge” pozostaje niezmienna.
Cybersecurity
Chronimy Twoje dane i środowisko IT dzięki nowoczesnym rozwiązaniom i usługom – audytom, testom penetracyjnym, ciągłemu monitorowaniu i reagowaniu na incydenty.
Oferta CybersecurityMamy analizy, notatki i akcje, ale co z tego wynika?
Użycie Gen AI i Agentów AI to istotny skok jakościowy, który radykalnie zwiększa możliwości przepływu informacji w strukturach linii obrony, a stąd efektywność globalnych i lokalnych struktur zarządzania ryzykiem.
Pozwala na bezprecedensowe optymalizacje procesowe i obniża koszty operacyjne, dostarczając jednocześnie potężnych mechanizmów dla znacznie skuteczniejszego, codziennego „effective challenge”.
Ostateczne bezpieczeństwo całego sektora finansowego zależy jednak od zrównoważenia tej technologii odpowiednim nadzorem człowieka oraz strategiczną wizją bezpieczeństwa. Wygrają te banki i instytucje, które potraktują sztuczną inteligencję nie jako bezkosztowy i oszczędnościowy gadżet lub fasadowy system zarządzani ryzykiem produkujący atrakcyjny „AI slop” bez następczej akcji poprawy kontroli ryzyka, lecz jako potężne środowisko operacyjne, rozliczane rygorystycznie i zgodnie z oczekiwaniami PRA oraz ewoluującym podejściem FRB i OCC.
Źródła
- PRA: SS1/23 – Model risk management principles for banks
- FRB: Supervisory Letter SR 26-2, Revised Guidance on Model Risk Management
- OCC: OCC Bulletin 2026-13, Revised Guidance on Model Risk Management
- KNF/UKNF: Wytyczne i publikacje w zakresie cyfrowej transformacji oraz raportowania ESG
Zostaw komentarz