A Plataforma de Decisão Agentic
Combinando a rapidez da IA com a supervisão humana para decisões mais seguras e inteligentes.
Soluções
Descubra como a Taktile pode ajudá-lo a aprovar clientes com segurança, detectar mais fraudes e manter a conformidade.
Recursos
Saiba mais sobre nossos clientes, descubra insights e fique por dentro dos webinars mais recentes.
Eventos
Descubra os próximos webinars, acesse análises sob demanda e venha se encontrar conosco nos próximos eventos.

IA, AML 10 minutos de leitura

IA na AML: Entendendo a nova exigência relativa ao risco de modelo para bancos e fintechs

Dustin Eaton

Por Dustin Eaton, Diretor de Combate à Fraude e AML da Taktile

Esta é a primeira parte de uma série de duas partes destinada a ajudar as instituições financeiras a lidar com as exigências relativas ao risco de modelo para sistemas de combate à lavagem de dinheiro baseados em IA.

Introdução: A IA melhora o desempenho na prevenção da lavagem de dinheiro e dá início a uma tomada de consciência regulatória

O setor de serviços financeiros está passando por uma profunda transformação na forma como as instituições detectam e previnem a lavagem de dinheiro e os crimes financeiros. As tecnologias de inteligência artificial (IA) e aprendizado de máquina (ML) se difundiram rapidamente nas funções de combate à lavagem de dinheiro (AML), remodelando profundamente as capacidades de monitoramento de transações, gestão de casos e triagem de sanções. Neste artigo, o termo “IA” é usado de forma ampla para abranger tanto os modelos clássicos de aprendizado de máquina (por exemplo, pontuação de transações, detecção de anomalias) quanto os sistemas de IA generativa mais recentes, incluindo grandes modelos de linguagem (LLMs) e modelos de base de terceiros usados para tarefas como resumo, geração de narrativas e apoio investigativo.

Pesquisas recentes demonstram que os sistemas de AML baseados em IA podem reduzir os falsos positivos em 70% e, ao mesmo tempo, melhorar a detecção de eventos de alto risco em 30%— uma melhoria revolucionária em relação às abordagens tradicionais baseadas em regras. Mesmo no complexo mundo das sanções, um relatório recente do Federal Reserve Board constatou uma redução de até 92% nos falsos positivos e um aumento de 11% na detecção correta.

No entanto, essa revolução tecnológica desencadeou um despertar regulatório paralelo. O que começou como estruturas de gestão de risco de modelo (MRM) para modelos de risco de crédito e de mercado está agora sendo sistematicamente estendido aos sistemas de IA implantados nas funções de conformidade. A convergência não é acidental nem opcional: os reguladores veem cada vez mais os sofisticados sistemas de IA para combate à lavagem de dinheiro como modelos sujeitos aos mesmos rigorosos padrões de validação, governança e documentação tradicionalmente reservados aos sistemas quantitativos com impacto no capital.

A tese deste artigo é simples, mas de grande importância: os bancos e as fintechs devem agora tratar os sistemas de IA para combate à lavagem de dinheiro com o mesmo rigor, os mesmos padrões de documentação e a mesma validação independente aplicados aos modelos de crédito. Essa mudança representa não apenas uma exigência de conformidade a ser cumprida, mas uma reformulação fundamental de como as instituições desenvolvem, validam e governam a IA em suas funções de conformidade mais críticas. As organizações que reconhecerem essa exigência antecipadamente e construírem estruturas robustas de gerenciamento de risco de modelo em torno da IA para AML obterão vantagens competitivas significativas em termos de velocidade de implantação, confiança regulatória e resultados operacionais.

Embora muitos dos exemplos neste artigo se concentrem em modelos preditivos e de pontuação comuns no monitoramento de transações de AML, os mesmos princípios de gerenciamento de risco de modelo se aplicam aos sistemas de IA generativa e agentiva cada vez mais incorporados aos fluxos de trabalho de AML.

A norma SR 11-7 chega ao setor de AML: como ela se expandiu e por que a pressão regulatória está aumentando

A estrutura regulatória para a gestão do risco de modelo foi estabelecida em 2011, quando o Federal Reserve e o Gabinete do Controlador da Moeda (OCC) emitiram conjuntamente a SR 11-7,“Orientação de Supervisão sobre a Gestão do Risco de Modelo”. Essa orientação introduziu um abrangente estrutura de três pilares, definindo o risco de modelo como “o potencial de consequências adversas decorrentes de decisões baseadas em resultados e relatórios de modelos incorretos ou mal utilizados”.

Fundamentalmente, a SR 11-7 definiu um “modelo” de forma ampla como “um método, sistema ou abordagem quantitativa que aplica teorias, técnicas e pressupostos estatísticos, econômicos, financeiros ou matemáticos para transformar dados de entrada em estimativas quantitativas”. Essa definição abrangente foi intencional, concebida para abranger qualquer ferramenta de tomada de decisão quantitativa, independentemente do grau de sofisticação tecnológica ou da forma de implementação. Por mais de uma década, as instituições aplicaram essa estrutura principalmente a modelos de risco tradicionais — tais como cálculos de valor em risco, scorecards de crédito, modelos de risco de taxa de juros e mecanismos de testes de estresse.

O panorama regulatório sofreu uma mudança decisiva em 2021, quando as agências bancárias federais emitiram uma“Declaração Interagências sobre a Gestão de Risco de Modelo para Sistemas Bancários que Apoiam a Conformidade com a Lei de Sigilo Bancário e a Legislação Antilavagem de Dinheiro”, confirmando explicitamente que os princípios de MRM se aplicam aos sistemas AML. A declaração esclareceu que os sistemas de monitoramento de transações, as ferramentas de triagem de sanções e as plataformas de conformidade baseadas em IA atendem à definição de “modelo” nos termos da SR 11-7, sujeitando-os às mesmas expectativas de validação, governança e controle.

Isso é importante agora porque a fiscalização regulatória se intensificou.A Divisão de Inspeções da SEC identificou a governança de IA como uma prioridade de inspeção para 2025, sinalizando um escrutínio mais rigoroso sobre como as empresas desenvolvem, validam e monitoram sistemas de IA. Da mesma forma, o Departamento de Serviços Financeiros de Nova York (NYDFS) e o Departamento de Proteção Financeira do Consumidor (CFPB) demonstraram — por meio de ações de fiscalização e orientações de inspeção — que a governança de IA dentro das funções de conformidade receberá o mesmo escrutínio que os modelos de segurança e solidez.

O princípio fundamental que sustenta essa convergência é simples: qualquer método quantitativo que influencie significativamente as decisões de risco — incluindo as decisões de conformidade — constitui um modelo sujeito a normas de validação. A sofisticação tecnológica dos sistemas modernos de IA/ML não os isenta desses requisitos; na verdade, sua complexidade e o potencial para uma tomada de decisão opaca intensificam a necessidade de uma gestão de risco de modelo (MRM) rigorosa.

Os três pilares da SR 11-7: como se aplicam aos modelos de IA para combate à lavagem de dinheiro

Pilar 1: Desenvolvimento, implementação e utilização de modelos

O primeiro pilar da SR 11-7 aborda a forma como os modelos são desenvolvidos, implementados e colocados em operação. No caso dos sistemas de IA para combate à lavagem de dinheiro, esse pilar apresenta desafios técnicos e de documentação específicos, que diferem significativamente dos modelos tradicionais de risco de crédito ou de mercado.

Requisitos de documentação para modelos de IA em matéria de combate à lavagem de dinheiro

Uma gestão robusta do risco de modelos começa com uma documentação abrangente da linhagem dos dados, das decisões de engenharia de características e das metodologias de treinamento de modelos. A integridade e a completude dos dados constituem a base — os dados de entrada devem ser “precisos, completos, consistentes com a finalidade e o projeto do modelo e da mais alta qualidade disponível”. Para aplicações de combate à lavagem de dinheiro (AML), isso requer uma documentação clara sobre:

  • Linhagem de dados: rastreabilidade completa desde os sistemas de origem, passando pelos pipelines de transformação, até as entradas do modelo, incluindo quaisquer proxies de dados, agregações ou processos de enriquecimento.
  • Engenharia de características: documentação clara sobre quais atributos de transação, características do cliente e padrões de comportamento foram selecionados como características do modelo, juntamente com a justificativa para sua inclusão ou exclusão.
  • Abordagens de treinamento: independentemente de o modelo empregar aprendizado supervisionado, agrupamento não supervisionado, aprendizado por reforço ou abordagens híbridas, com documentação explícita sobre a seleção de dados, o ajuste de hiperparâmetros e as estratégias de validação.

O Manual de Gestão de Risco de Modelos da OCC enfatiza que a documentação deve ser “suficientemente detalhada para que as partes que não estão familiarizadas com um modelo possam compreender como ele funciona, suas limitações e seus principais pressupostos”. Essa norma revela-se particularmente exigente no caso de modelos complexos de aprendizado de máquina, nos quais as interações entre características e os limites de decisão podem ser não lineares e difíceis de explicar.

Desafios no desenvolvimento de modelos específicos para AML

Três desafios técnicos distinguem o desenvolvimento de modelos de AML das aplicações de modelagem mais tradicionais:

  • Rótulos de referência: Ao contrário dos modelos de crédito, nos quais os resultados de inadimplência fornecem uma referência clara, os modelos de combate à lavagem de dinheiro (AML) enfrentam uma ambiguidade fundamental. O que constitui “verdadeira” lavagem de dinheiro permanece inerentemente ambíguo. Os Relatórios de Atividades Suspeitas (SARs) representam suspeitas institucionais, e não atividades criminosas confirmadas. Isso cria desafios no treinamento e na validação dos modelos, uma vez que a própria “referência” reflete uma determinação subjetiva, e não um resultado objetivo. Os modelos devem, portanto, ser treinados e validados levando em conta essa incerteza inerente à rotulagem.
  • Desequilíbrio de classes: A lavagem de dinheiro e o financiamento do terrorismo representam casos extremos dentro do conjunto de transações — muitas vezes, menos de 1% das transações justificam uma investigação. Esse grave desequilíbrio de classes representa um desafio para os algoritmos tradicionais de aprendizado de máquina, que são otimizados para conjuntos de dados equilibrados. Os modelos devem ser especificamente projetados e ajustados para detectar sinais raros sem gerar taxas proibitivas de falsos positivos.
  • Cobertura de tipologias: As tipologias de lavagem de dinheiro evoluem continuamente à medida que os criminosos se adaptam aos controles de detecção. Os modelos AML devem demonstrar cobertura de todas as tipologias conhecidas (por exemplo, lavagem baseada em transações comerciais, smurfing, layering), mantendo ao mesmo tempo a capacidade de detectar novos padrões. Isso requer um monitoramento contínuo dos modelos e ciclos de retreinamento mais rápidos do que os ciclos típicos de atualização dos modelos de crédito.

Métricas de desempenho além da precisão na prevenção da lavagem de dinheiro

A precisão — a proporção de classificações corretas — revela-se inadequada como principal métrica de desempenho para modelos de combate à lavagem de dinheiro devido ao grave desequilíbrio entre as classes. Um modelo que classifica 99,9% das transações como legítimas atinge 99,9% de precisão, embora não detecte nenhum caso de lavagem de dinheiro. Em vez disso, a validação de modelos de combate à lavagem de dinheiro deve dar ênfase a métricas como:

  • Precisão e recuperação: a precisão mede a proporção de alertas gerados que representam atividades suspeitas reais (frequentemente representada pela taxa de conversão de SAR), enquanto a recuperação mede a proporção de atividades suspeitas reais que o modelo detecta. O equilíbrio entre essas métricas define o ponto de operação do modelo.
  • PRAUC (Área sob a curva de precisão-recall): Ao contrário das métricas tradicionais de ROC-AUC, que podem induzir em erro em conjuntos de dados desequilibrados, o PRAUC oferece uma avaliação mais realista do desempenho do modelo ao medir a precisão em relação ao recall em todos os limiares de decisão. Pesquisas demonstram que o PRAUC “reflete melhor a realidade operacional do que as alternativas tradicionais” em contextos como o combate à lavagem de dinheiro (AML), onde os casos positivos são extremamente raros.
  • Redução de falsos positivos: Considerando que os sistemas tradicionais de AML geram aproximadamente 90% a 95% de alertas falsos positivos, medir a redução nas taxas de falsos positivos, mantendo ao mesmo tempo a capacidade de detecção, representa um indicador de sucesso fundamental.

Métricas de desempenho para IA generativa e casos de uso de AML baseados em LLM

No caso de aplicações de IA generativa — como resumo de transações, síntese de evidências ou elaboração de relatórios de atividades suspeitas (SAR) —, as métricas tradicionais de classificação (por exemplo, precisão, recall, PRAUC) não se aplicam. Esses sistemas não “preveem” atividades suspeitas, mas geram conteúdo que auxilia no julgamento humano.

Para essas aplicações de IA, as métricas estatísticas tradicionais de desempenho são insuficientes. As instituições devem, portanto, recorrer a sinais de validação alternativos, incluindo:

  • Revisão de qualidade com intervenção humana (precisão, integridade e consistência factual dos resultados gerados)
  • Pontuações estruturadas de feedback humano (por exemplo, utilidade, clareza, adequação regulatória)
  • Monitoramento de erros e alucinações (frequência de fatos incorretos, inferências sem fundamento)
  • Indicadores de resultados finais (economia de tempo para o investigador, melhorias na qualidade dos relatórios de segurança, taxas de retrabalho)

Controles de implementação para modelos de IA na área de combate à lavagem de dinheiro

Controles rigorosos de implementação distinguem os modelos de IA para combate à lavagem de dinheiro (AML) prontos para produção dos protótipos experimentais. A SR 11-7 enfatiza que “a gestão do risco de modelo depende de um investimento substancial em sistemas de apoio para garantir a integridade dos dados e dos relatórios, juntamente com controles e testes para assegurar a implementação adequada dos modelos, a integração eficaz dos sistemas e o uso apropriado”. Os controles essenciais de implementação incluem:

  • Controle de versão: Todo o código do modelo, arquivos de configuração, instantâneos dos dados de treinamento e hiperparâmetros devem ser controlados por versão e rastreáveis, a fim de garantir a reprodutibilidade e a manutenção de registros de auditoria.
  • Testes A/B: As novas versões dos modelos devem ser avaliadas em comparação com os modelos atuais, utilizando dados de teste idênticos, a fim de demonstrar a melhoria no desempenho antes da implantação em produção.
  • Implantação de nós em modo simulado: antes de substituir os sistemas operacionais, os novos modelos devem ser executados em paralelo no “modo simulado”, no qual os resultados são gerados, mas não aplicados, permitindo a validação do desempenho em fluxos de dados reais antes de causar impacto nos negócios.

Pilar 2: Validação independente do modelo

A validação independente constitui a base da gestão do risco de modelo, oferecendo garantia objetiva de que os modelos funcionam conforme o previsto e cumprem seus objetivos de projeto. O Manual de Gestão do Risco de Modelo do OCC afirma inequivocamente que “a validação deve ser realizada por pessoas que não sejam responsáveis pelo desenvolvimento ou pela utilização do modelo e que não tenham interesse direto na determinação da validade do mesmo”.

Requisitos de validação independente

A questão de quem pode validar os sistemas de IA para combate à lavagem de dinheiro exige uma análise cuidadosa tanto da independência organizacional quanto da expertise técnica. O modelo das “três linhas de defesa” fornece a estrutura reguladora:

  • Primeira linha (unidades de negócios): Os desenvolvedores de modelos e as equipes de operações de AML são responsáveis pelo desempenho dos modelos, mas não podem fornecer uma validação independente.
  • Segunda linha (gestão de riscos independente): As funções de gestão de riscos independentes das linhas de negócio geralmente realizam a validação e prestam contas aos comitês de riscos do conselho.
  • Terceira linha (auditoria interna): As funções de auditoria avaliam a eficácia geral do próprio quadro de MRM.
  • Validação externa: Validadores independentes podem complementar a validação interna, especialmente quando é necessário conhecimento especializado em IA/ML.

Para bancos comunitários e fintechs de menor porte, alcançar uma verdadeira independência pode exigir recursos externos de validação, uma vez que o conhecimento técnico necessário para a validação de modelos de IA muitas vezes não existe fora das equipes de desenvolvimento.

Âmbito da validação do modelo 

A validação abrangente de modelos de IA para combate à lavagem de dinheiro abrange três elementos essenciais exigidos pela SR 11-7:

  • Solidez conceitual: Validação de que os fundamentos teóricos do modelo, a abordagem matemática e as escolhas algorítmicas são adequadas para detectar tipologias de lavagem de dinheiro. Isso inclui avaliar se as características selecionadas apresentam relações lógicas com o risco de lavagem de dinheiro e se a arquitetura do modelo (rede neural, floresta aleatória, gradient boosting, etc.) se adapta à estrutura do problema.
  • Análise de resultados: comparação entre os resultados do modelo e os resultados observados ao longo do tempo. No caso dos modelos de AML, isso inclui a análise das taxas de conversão de SARs a partir de alertas gerados pelo modelo, a avaliação se as transações com pontuação elevada realmente apresentavam características suspeitas e a identificação de quaisquer tipologias não detectadas ou falsos negativos.
  • Monitoramento contínuo: Avaliação constante do desempenho do modelo à medida que os padrões de transações, as bases de clientes e as tipologias de lavagem de dinheiro evoluem. O Manual da OCC destaca que “o monitoramento contínuo é essencial para avaliar se mudanças nos produtos, exposições, atividades, clientes ou condições de mercado exigem ajustes, reformulação ou substituição do modelo”.

Desafios na validação de modelos específicos para AML

Dois desafios técnicos complicam de maneira específica a validação de modelos de IA para AML:

  • Validação da detecção de tipologias desconhecidas: A validação tradicional de modelos pressupõe que o fenômeno alvo (por exemplo, inadimplência de crédito) seja bem definido e observável. Os modelos de combate à lavagem de dinheiro devem detectar tipologias futuras desconhecidas — métodos de lavagem de dinheiro que ainda não existem nos dados de treinamento. A validação deve, portanto, avaliar a capacidade do modelo para a detecção de anomalias e o reconhecimento de padrões além dos exemplos históricos, e não apenas sua precisão em relação a tipologias conhecidas.
  • Testes em diferentes jurisdições: os métodos de lavagem de dinheiro, os requisitos regulatórios e os padrões normais de transações variam substancialmente entre as jurisdições. Um modelo validado para transações domésticas nos EUA pode falhar quando aplicado a pagamentos internacionais envolvendo mercados emergentes. A validação deve testar explicitamente o desempenho do modelo em toda a área geográfica em que será implantado, com limites específicos para cada jurisdição e calibração conforme necessário.

Requisitos de back-testing e validação de resultados

Embora o back-testing tradicional — que consiste em comparar as previsões do modelo com os resultados efetivamente observados — seja um desafio para os modelos de combate à lavagem de dinheiro (não existe um conjunto de dados definitivo que abranja “todos os casos de lavagem de dinheiro ocorridos”), existem abordagens alternativas para a validação dos resultados, tais como:

  • Métricas de qualidade dos SARs: Análise da qualidade, integridade e aceitação regulatória dos SARs gerados a partir de alertas de modelo.
  • Taxas de conversão de alertas em SAR: Acompanhamento da porcentagem de alertas gerados pelo modelo que avançam na investigação até o preenchimento do SAR.
  • Testes acima da linha/abaixo da linha: Amostragem de transações para as quais o modelo emitiu um alerta (acima da linha) para validar os verdadeiros positivos, e de transações para as quais o modelo não emitiu um alerta (abaixo da linha) para identificar os falsos negativos.

O Manual de Gestão de Risco de Modelos de 2021 do OCC oferece orientações práticas, enfatizando que “o back-testing tradicional pode não ser a melhor forma de análise de resultados para modelos de BSA/AML” e endossando essas abordagens alternativas de validação.

Pilar 3: Governança e controles

O terceiro pilar aborda a estrutura organizacional, as políticas e os processos de supervisão que garantem que a gestão do risco de modelo funcione de forma eficaz em toda a empresa.

Requisitos de estoque de modelos

Uma boa governança começa por conhecer os modelos existentes em toda a empresa. A SR 11-7 determina que “os bancos devem manter um conjunto abrangente de informações sobre os modelos implementados para uso, em desenvolvimento para implementação ou recentemente descontinuados”. No caso dos sistemas de IA para combate à lavagem de dinheiro, isso exige, no mínimo, a catalogação de:

  • Modelos de monitoramento de transações (tanto baseados em regras quanto em IA/ML)
  • Modelos de verificação de nomes e filtragem de sanções
  • Modelos de classificação de risco de clientes utilizados nos processos de KYC/CDD
  • Modelos de priorização de casos e fluxo de trabalho de investigação
  • Modelos de análise de redes e resolução de entidades
  • Modelos de pontuação de alertas e triagem

O inventário deve registrar não apenas a existência de cada modelo, mas também sua classificação de risco, status de validação, limitações identificadas, pessoal responsável e dependências em relação a outros modelos ou fontes de dados. Muitas instituições descobrem, durante os exercícios de inventário, que os componentes de IA/ML se proliferaram pelas funções de combate à lavagem de dinheiro sem um acompanhamento centralizado — uma lacuna de governança que gera tanto risco de conformidade quanto ineficiência operacional.

Classificação de riscos

Nem todos os modelos exigem o mesmo rigor de validação. O Manual da OCC afirma que “o risco do modelo aumenta com o aumento da complexidade do modelo, maior incerteza sobre os dados de entrada e pressupostos, uso mais amplo e maior impacto potencial”. As estruturas de classificação de risco classificam os modelos como de alto, moderado ou baixo risco com base em fatores que incluem:

  • Relevância do impacto: os modelos que determinam diretamente as decisões relativas à apresentação de relatórios SAR ou que afetam os relatórios regulatórios apresentam um risco maior do que os modelos consultivos que servem de base para o julgamento dos analistas.
  • Grau de automação: Os modelos que geram ou executam automaticamente resultados de conformidade (por exemplo, alertas, escalonamento, recomendações de SAR, ações do cliente) apresentam maior risco do que os modelos de apoio à decisão que auxiliam os investigadores e exigem uma revisão humana documentada antes de qualquer ação regulatória.
  • Complexidade: Modelos de aprendizado profundo com milhões de parâmetros e limites de decisão não lineares apresentam desafios de validação maiores do que os modelos de pontuação linear.
  • Qualidade dos dados: modelos que dependem de fontes de dados incompletas ou aproximadas apresentam um risco elevado
  • Sensibilidade regulatória: Modelos relacionados a práticas justas de crédito, conformidade com sanções ou cálculos de capital justificam uma classificação de risco mais elevada.

Na prática, muitos casos de uso emergentes de IA na área de combate à lavagem de dinheiro — como resumo de transações, priorização de investigações, agregação de evidências e elaboração de relatórios de suspeita de lavagem de dinheiro — funcionam como um apoio à tomada de decisões. Quando investigadores experientes mantêm total autoridade para aceitar, modificar ou rejeitar os resultados da IA, o risco geral do modelo é significativamente reduzido. Os reguladores geralmente consideram esses sistemas “human-in-the-loop” como aplicações de menor risco, justificando validação e governança proporcionais, em vez do rigor total exigido para modelos de tomada de decisão automatizada. Risco menor, no entanto, não implica exclusão dos inventários de modelos ou das expectativas de supervisão. Essa distinção é particularmente importante para aplicações baseadas em LLM, nas quais os resultados são informativos, e não determinantes, e os investigadores mantêm total autoridade sobre os julgamentos regulatórios.


A ilustração a seguir demonstra como o grau de automação costuma influenciar a classificação de risco dos modelos de IA para AML na prática, partindo do princípio de que outros fatores de risco, como qualidade dos dados, complexidade e sensibilidade regulatória, permanecem constantes.

  • Alto risco
    • Geração ou supressão totalmente automatizada de alertas
    • Recomendações de apresentação de relatórios SAR baseadas em IA, sem a necessidade de revisão humana
    • Ações autônomas do cliente (bloqueio, saída, congelamento)
    • Expectativas do examinador: validação completa da norma SR 11-7, revisão anual, transparência para o conselho
  • Risco moderado
    • Classificação ou priorização de alertas baseada em IA que influencia a carga de trabalho e a atenção
    • Recomendações sobre o encaminhamento ou a escalação de casos
    • Expectativas do avaliador: validação formal, testes de resultados, monitoramento
  • Menor risco
    • Ferramentas de produtividade para analistas:
      • Resumo das transações
      • Visualização de relações entre entidades
      • Elaboração de relatórios SAR
      • Compilação de provas
    • Resultados revisados e finalizados por pessoas
    • Expectativas do avaliador: inclusão no inventário do modelo, justificativa documentada, análise da solidez conceitual básica, monitoramento de viés ou desvio

Os modelos de alto risco exigem validação mais frequente (pelo menos uma vez por ano), documentação mais abrangente e o envolvimento da alta administração nos processos de aprovação e supervisão.

Supervisão do conselho e da administração

A SR 11-7 estabelece responsabilidades claras para o conselho de administração: “Os membros do conselho devem garantir que o nível de risco do modelo esteja dentro de sua tolerância e orientar as mudanças quando for o caso.” No que diz respeito especificamente à IA para combate à lavagem de dinheiro (AML), isso significa que os líderes seniores devem compreender e aprovar:

  • A abordagem geral da instituição em relação à IA no âmbito da conformidade com a legislação contra a lavagem de dinheiro
  • Apetite ao risco para a geração de alertas baseada em modelos e a tomada de decisões sobre relatórios de atividades suspeitas (SAR)
  • Alocação de recursos para validação do modelo e monitoramento contínuo
  • Limitações significativas do modelo e controles compensatórios
  • Métricas de desempenho do modelo e tendências ao longo do tempo

Os conselhos de administração não precisam compreender os meandros matemáticos dos algoritmos de gradient boosting, mas devem entender quais funções de AML dependem de IA, quais riscos esses modelos acarretam e como esses riscos são gerenciados. Os relatórios de gestão devem incluir métricas como modelos com validações em atraso, modelos operando sob exceções, tendências de falsos positivos e taxas de conversão de SAR.

Risco de modelo de terceiros

Muitos bancos e empresas de fintech recorrem a plataformas de fornecedores para obter recursos de IA na área de combate à lavagem de dinheiro (AML), sejam eles sistemas de monitoramento especializados, serviços de enriquecimento de dados ou plataformas de conformidade de ponta a ponta. A SR 11-7 aborda explicitamente os modelos de terceiros: “Os produtos de fornecedores devem, no entanto, ser incorporados à estrutura mais ampla de gestão de risco de modelos do banco, seguindo os mesmos princípios aplicados aos modelos internos.”

A due diligence do fornecedor deve investigar:

  • Metodologia de desenvolvimento de modelos e documentação de validação
  • Fontes de dados e controles de qualidade
  • Processos de atualização e controle de versões de modelos
  • Recursos e limitações de personalização
  • Histórico de conformidade regulatória
  • Disposições contratuais relativas ao acesso para fins de análise regulatória

Esses desafios são ainda maiores no caso de modelos de base de terceiros e APIs de LLM utilizados para apoiar a tomada de decisões em matéria de combate à lavagem de dinheiro. As instituições devem esperar transparência limitada sobre o funcionamento interno dos modelos, ausência de acesso à documentação tradicional de desenvolvimento de modelos e dependência das garantias dos fornecedores, em vez de relatórios independentes sobre os modelos. Consequentemente, a validação deve se concentrar mais fortemente no escopo controlado dos casos de uso, nos testes de resultados, nos processos de revisão humana e na governança contratual, em vez de na mecânica dos modelos. Além disso, a governança eficaz de casos de uso de AML habilitados por LLM deve incluir controles como:

  • Limites claros dos casos de uso (para que o LLM pode ou não ser utilizado)
  • Gestão ágil, controle de versões e controle de alterações
  • Monitoramento da produção e amostragem periódica para controle de qualidade

As instituições não podem transferir a responsabilidade pelo risco de modelo. Mesmo quando utilizam modelos de fornecedores, os bancos continuam sendo responsáveis por validar se o modelo funciona adequadamente em seu ambiente operacional específico, com sua base de clientes e seus padrões de transações. A documentação de validação do fornecedor serve como referência, mas não substitui os requisitos de validação da própria instituição.

Normas de documentação de risco de modelo

O quadro de governança culmina em normas de documentação que garantem transparência, auditabilidade e continuidade. A documentação exigida inclui:

  • Política de risco de modelo: política aprovada pelo Conselho de Administração que estabelece a estrutura de gestão de risco de modelo (MRM) da instituição, as funções e responsabilidades, os padrões de validação e a propensão ao risco.
  • Relatórios de validação: Relatórios formais de validação para cada modelo, documentando avaliações da solidez conceitual, conclusões da análise de resultados, limitações identificadas e recomendações de validação.
  • Relatórios de monitoramento contínuo: Relatórios periódicos (normalmente trimestrais) sobre métricas de desempenho do modelo, violações de limites e questões emergentes.
  • Acompanhamento de problemas: acompanhamento formal dos problemas do modelo, respostas da gerência e prazos para correção.

Conclusão: Da exigência regulatória à implementação prática

Os líderes da área de combate à lavagem de dinheiro (AML) que dedicarem tempo para adquirir uma compreensão prática da SR 11-7 e de como ela se aplica à gestão de riscos de modelos para IA no âmbito da AML serão recursos essenciais neste novo cenário. Compreender o mandato, no entanto, é apenas o primeiro passo. 

A segunda parte desta série apresenta as etapas práticas para a criação de recursos de MRM em conformidade com as normas — desde a realização de um inventário abrangente de IA em todas as funções de combate à lavagem de dinheiro até a implementação de estruturas padronizadas de documentação e monitoramento. Além disso, analisa o que as instituições devem esperar dos órgãos reguladores no futuro e explora como o MRM pode se tornar uma vantagem competitiva, em vez de um custo adicional.

Aprimore sua estratégia de combate à lavagem de dinheiro com IA.

Agende uma demonstração

Descubra a Taktile